Una recente modifica della normativa statunitense sulla e-discovery corre il rischio di rendere inefficaci tutti gli sforzi fatti finora. Inclusi quelli di conformità con altre regole
Se ci si ferma un attimo a guardare come era l’Information technology otto anni fa, si può facilmente notare che l’ammontare delle normative che interessavano questo settore era decisamente inferiore rispetto alla situazione attuale. Ricordo, come se fosse ieri, l’atteggiamento scherzoso di un Chief information officer di un importante Ente pubblico romano che affermava «male che vada c’è la privacy». Adesso non è, evidentemente, più così e le normative cui si è sottoposti non sono soltanto quelle italiane “cogenti” (di fatto obbligatorie) ma anche quelle che sono indirettamente tali, cioè quelle straniere che obbligano le aziende italiane a una compliance, anche in tempi rapidi, con costi molto alti.
Le norme “di fronte”
Sicuramente la legge sulla privacy è una delle normative più ricorrenti dell’ultimo quinquennio. A volte ostica, a volte fin troppo chiara, la 196/2003 ha rappresentato (e rappresenta tutt’oggi) uno degli impegni più difficili da assolvere per gli operatori dell’Information technology. Esistono vari modi di gestire la compliance con la legge sulla privacy. Il primo, e più comune per le piccole medie imprese, è quello di affidarsi al “consulente di fiducia” che, a suo dire, è in possesso delle credenziali, degli skill e, soprattutto, degli strumenti di gestione dei processi di tutela dei dati personali. Il secondo è, invece, qualcosa di più strutturato e, nella maggior parte dei casi, riguarda le aziende di una grandezza superiore che, per forza di cose, hanno una disponibilità finanziaria e un commitment maggiori, per differenti ragioni. Queste ultime realtà sono in grado di fronteggiare, almeno come impegno formale, le incognite della legge sulla privacy e di cercare una compliance superiore. Saremmo portati a dire de facto.
Il mero dichiarare di essere in regola, infatti, non è sufficiente per l’organo accertatore e non mette al riparo chi fa detta dichiarazione da eventuali accertamenti che riscontrino il contrario. Per esperienza diretta di chi scrive, infatti, sono molti i casi in cui è presente in azienda un castello documentale molto ben costruito al quale non corrisponde, in molti casi, una situazione di fatto altrettanto rigorosa. Questo può di solito avvienire quando la tematica privacy viene gestita esclusivamente dall’ufficio legale (unitamente alla sua interfaccia esterna) e non dalle varie funzioni di Information technology, inclusa la parte di sicurezza.
Luca de Grazia, avvocato partner di Dflabs per le questioni legali nazionali, rincara la dose: «Questo avviene quando si snobba l’importanza della norma, quando la si prende in senso negativo e non come occasione, anche se imposta, di rivedere e ottimizzare tutti i processi aziendali. È l’approccio di chi ritiene che le norme scritte non “vivano”, che sia sufficiente “scrivere quattro lettere” per avere l’illusione di una compliance che non c’è, di chi non comprende che una cosa è il contratto e ben altra è la sua esecuzione… In ultima istanza, si potrebbe definire questo l’approccio di chi vuole continuare a fare il “furbetto del quartierino”.
Ad ogni modo, evidentemente, la funzione sicurezza è interessata in maniera diretta in quanto, almeno nel mondo perfetto, dovrebbe fornire sia le informazioni di mappatura delle misure di sicurezza sia partecipare alla formazione del rischio piuttosto che alla sua analisi. Non sempre è cosi. Mi è capitato più volte di assistere a riunioni sulla “privacy” ove la funzione di information security non era stata neppure convocata e dove, evidentemente, questa tematica non era sentita nel modo sopra descritto.
Il risultato di una gestione sicuramente non lungimirante non è immediato, ma si subisce, in prima istanza, a seguito di un incidente informatico di sicurezza o di un’ispezione effettuata dall’organo accertatore. In questi casi, inoltre, risulta addirittura difficile trovare l’interfaccia aziendale e l’accertatore spesso perde la pazienza e inizia a “elargire” verbali.
Le norme “di lato”
Se la legge privacy coinvolge direttamente l’informatica e il suo modo di gestire i dati (con la relativa parte di sicurezza) c’è un’altra normativa non proprio recentissima che, pur avendo fatto parte per molto tempo del “calderone dei dimenticati” è tornata alla ribalta in occasione del caso Parmalat. Stiamo parlando della 231/2001. Secondo la maggior parte dei giuristi, si tratta di una delle normative più intelligenti e, al contempo, più pericolose del nostro ordinamento giuridico. La 231 è in realtà un articolato insieme di norme, ognuna delle quali indica precisi criteri di responsabilità e precise esenzioni per le aziende che garantiscono un modello di controllo efficiente. Il sistema di controllo deve garantire l’insieme dei riscontri e delle attività di audit/sorveglianza, finalizzate a mitigare il rischio di abusi interni da parte dei dipendenti infedeli. Appare evidente, quindi, che le attività di sorveglianza non sono soltanto finalizzate a evitare che vi siano episodi di corruzione propria, ma anche “impropria”, ove l’ultimo fruitore è lo stesso dipendente infedele, a volte anche contro l’integrità e il business della medesima azienda.
L’applicabilità della 231 segue, concettualmente, quella della 196/2003 nel caso in cui il modello di controllo deve corrispondere alla realtà dei fatti, specie nelle attività di sorveglianza preventiva. Quest’ultimo può risultare un’espressione un po’ forte per alcuni, ma il dato di fatto è che la legge 231 impone attività di controllo preventivo alle aziende, le quali devono poi essere dimostrate (e dimostrabili) in caso di contestazione mossa all’azienda medesima.
Sono in molti a chiedersi come si possa garantire l’interazione tra una normativa che richiede di fatto un controllo obbligatorio e un’altra che, in teoria, lo bolla come una gravissima violazione della sfera personale del singolo impiegato. Quest’ultimo, inoltre, è altresì tutelato dall’articolo 5 dello Statuto dei lavoratori, che vieta esplicitamente qualsiasi forma di controllo a distanza.
Dopo la Sox ecco la “e-discovery”
Se la privacy e la 231 sono sicuramente il primo fardello per il Cio e per il Cso delle aziende medio grandi, per il mondo corporate c’è anche un’altra realtà, chiamata Sarbanes Oxley Act. Come principio normativo la “Sarbox” o “Sox” è simile alla 231/2001. Tuttavia, esistono dei requisiti soggettivi ben più stringenti e costosi. Lato It, la Sox è gestita dal titolo 404 che, senza voler scendere troppo nei particolari, impone una serie di controlli It che dovrebbero, implicitamente ed esplicitamente, garantire l’esercizio del potere di controllo (e di tracciamento) in qualsiasi momento, all’interno dei seguenti gruppi di soggetti passivi:
• in tutte le società statunitensi e, comunque, straniere che abbiano i titoli quotati presso un Us exchange o Nasdaq, siano soggette a obblighi di comunicazione di bilancio o abbiano l’intenzione di procedere a un’offerta pubblica sul mercato statunitense;
• nelle società europee quotate negli Stati Uniti o che intendano procedere a un’offerta pubblica di security per la quotazione sul mercato statunitense o che siano soggette a un obbligo di comunicazione nei confronti della Sec, con un patrimonio superiore a 10 milioni di dollari e un numero di azionisti nel mondo superiore a cinquecento, di cui almeno trecento residenti negli Stati Uniti;
• nelle società europee che, pur non quotate in una borsa statunitense, siano però controllate da un’istituzione finanziaria emittente statunitense;
• nelle società di revisione non statunitensi che svolgono negli Usa attività di certificazione in favore delle Istituzioni finanziarie emittenti non statunitensi.Va aggiunta anche qualsiasi società di fascia medio alta che abbia interesse o meno a trovarsi in una delle condizioni di cui sopra. Ecco come, in base a quest’ultima categoria implicita residuale, si assiste all’impennata di progetti “Sarbox ready” avviati da aziende anche al momento non soggette alla normativa.
Ma non solo: da circa un bienno a questa parte, le aziende di common law (e non solamente queste) stanno “approcciando” la tematica della electronic discovery, termine con il quale si indica la ricerca e la presentazione di documenti e, in generale, di fonti di prova digitale. Il fine di questa attività può essere sia di tipo penalistico sia di tipo civilistico. La e-discovery, inoltre, può rendersi necessaria sia nel caso in cui l’azienda sia citata in tribunale sia, al contrario, voglia fare valere i propri diritti citando terzi.
Già altre volte, abbiamo parlato delle interazioni tra digital investigation, forensics ed e-discovery. E abbiamo più volte ribadito che in molti casi quest’ultima è apparentemente “meno rigida” rispetto ai canoni della digital forensics in generale. Tuttavia, in molti casi, la pratica ci ha confermato che, specie nella fase di preservation (atto durante il quale si deve fare tutto ciò che è tecnicamente possibile per garantire integrità della fonte di prova e ripetibilità degli atti di analisi) le attività di e-discovery seguono comunque criteri scientifici propri di altre discipline.
Quello che spesso non si cura, specie quando i termini sopra citati non rientrano propriamente tra le priorità aziendali, è la fase di preparazione, cioè l’insieme di attività finalizzate a definire il perimetro architetturale, dove si trovino le informazioni, quali siano le politiche e le tecnologie a supporto della loro movimentazione e storage, log, e-mail e così via. Se fino a poco tempo fa le aziende cercavano di posticipare la soluzione del problema oppure, in pochi casi per la verità, mappare le informazioni secondo un criterio di priorità e di classificazione della loro importanza, un recente intervento normativo negli Stati Uniti potrebbe rendere il tutto obbligatorio per legge.
Dopo la tempesta di polemiche avvenuta nel 2004, infatti, e proprio quando si credeva che il mercato della e-discovery fosse in normale espansione, si è avuta notizia del definitivo cambiamento delle regole di electronic discovery nei casi civilistici, che sono entrate in vigore nel mese di dicembre ultimo scorso.
Uno dei momenti più importanti di questa modifica riguarda la procedura di discovery e la “leggibilità del dato”. Come recita la normativa, infatti, in caso di litigation civile, attore e convenuto (per utilizzare un termine legale locale) devono accordarsi entro trenta giorni dall’apertura della causa su come gestire eventuali fonti di prova elettroniche. Inoltre, entrambe le parti devono esser certe, in via preventiva di quali informazioni si procederà alla condivisione e in quale formato elettronico. Fino a qui sembra una cosa normale, almeno per gli avvocati. Ma non è proprio così. La definizione preventiva (e scientifica) di “readable format” (formato leggibile) rimane una cosa fondamentale e oggettivamente difficile da garantire a priori. Il problema quindi è aperto: in quale formato immagazzinare le informazioni e, soprattutto, quale degli strumenti attualmente in circolazione è realmente in grado di garantire la compliance con la nuova normativa? Proprio in base a detto quesito, alcuni analisti cominciano a interrogarsi circa l’efficacia dei vari sistemi di storage e, allo stesso tempo, quali informazioni dovranno essere incluse nelle politiche di data retention, ormai obbligatorie (già per la Sarbanes Oxley) in molte corporation multinazionali.
Limiti e possibilità tecnologiche
Fino a qui un excursus sulle varie normative. Dal punto di vista tecnico, invece, è ormai opinione comune che l’approccio debba essere sviluppato su due fronti.
Quali informazioni gestire: sotto questo aspetto, si iniziano a individuare le informazioni da proteggere (dati sensibili, ex legge privacy) nonché le comunicazioni e i file che possano opportunamente essere acquisiti e tecnicamente sottoponibili a futura ricerca testuale, sia per la 231, sia per la Sox sia per le regole sull’e-discovery. In alcuni casi, infatti, le aziende iniziano a trattare con una certa preoccupazione la crittografia di alcuni formati di comunicazione e di file transfer, nonché varie attività di posta elettronica (per esempio le Web mail). Qui l’approccio, a sua volta, si suddivide in allow and deny rules. Secondo i canoni generali della sicurezza informatica, si adotta il principio del least privilege, secondo il quale tutto è negato tranne espressa disposizione contraria. Appare, quindi, fondamentale trattare con attenzione tutte le innovazioni di tipo tecnologico “secrecy oriented”, quali i dispositivi di criptazione dei dati su disco (che con l’avvento di Vista sono addirittura forniti in maniera nativa), i formati “sicuri” di istant messaging, le videoconferenze sicure, l’uso di onion routing e simili.
In che formato gestire le informazioni: l’orientamento è quello di garantire la presenza del dato grezzo, a prescindere dal suo formato. Questa metodica, utilizzata da tempo anche nella digital forensics, renderebbe maggiormente possibile sia la produzione “a discolpa” per la 231, sia una compliance con la Sarbanes Oxley, sia un accordo tra le parti, durante la fase dei trenta giorni discussa nell’articolo. Le informazioni da acquisire, inoltre, saranno inizialmente quelle presenti sui file system, o anche le informazioni in transito sulla rete, da ricostruire sotto forma di comunicazioni strutturate, partendo comunque dal dato grezzo, in un secondo momento.
A questo punto, poi, bisogna capire come affrontare il problema dal punto di vista meramente tecnologico. Se, ormai, tutti convengono sulla necessità di mantenere, comunque, il dato grezzo, il processo di produzione dei dati richiesti dalle normative che impongono il controllo (inclusa la e-discovery) dovrà essere gestito con la massima attenzione sia sulle informazioni disponibili online sia su quelle ormai già “ruotate” in storage. Partendo da queste ultime, il numero di tecnologie in grado di effettuare indicizzazione e ricerca delle informazioni è comunque in aumento, ma il variare della loro operatività può, in teoria, esporre le aziende a un ulteriore livello di responsabilità. Questo è potenzialmente un falso problema, in quanto non è tanto la capacità di ricerca e indicizzazione della tecnologia a essere opinabile, bensì la capacità della stessa tecnologia di garantire l’integrità del dato memorizzato.
Un problema di estrema complessità
Quali sono le aziende a essere realmente soggette a tutte queste normative? Sicuramente, dal punto di vista indiretto, anche quelle che sono al di fuori dei confini americani ma che, per forza di cose (ad esempio le multinazionali) devono garantire la compliance con le direttive della corporation. Il problema non sarà, però, quello di fornire le informazioni necessarie, ma quello di garantire la compliance con queste regole (che ricordiamo essere di natura civilistica e penalistica) e, al contempo, con le normative vigenti localmente, come quelle europee sul trattamento dei dati sensibili e sulla privacy, piuttosto che i vari statuti dei lavoratori e via dicendo.
Una cosa è certa: se volevano aumentare il volume d’affari compliance in generale ci sono riusciti. Il rischio è che si assista, volenti o nolenti, a un altro bagno di sangue finanziario, che potrebbe ridurre la competitività di alcune aziende.
