Cancellazione sicura e cifratura dei dati: due misure necessarie

di Carlo Piana* – 21.10.04

La cancellazione sicura

Una delle misure di cui parliamo è espressamente prevista come misura minima per il trattamento dei dati personali attraverso mezzi elettronici, ed è la cancellazione sicura (o la distruzione) dei supporti utilizzati al termine del loro utilizzo per il trattamento. Questa è un'occorrenza non solo per i supporti rimovibili, alcuni dei quali hanno un costo così basso che non è nemmeno opportuno prendere in considerazione il loro riutilizzo, se ciò comporta l'utilizzo di strumenti di cancellazione sicura. E' un'occorrenza anche per gli hard disk contenuti nei computer, il cui valore è sufficientemente elevato da giustificare interventi di cancellazione sicura in caso di riutilizzo.
Ma di cosa si tratta?

I dati in un sistema operativo sono raccolti in file. La cancellazione dei file su supporto magnetico o comunque riscrivibile non comporta la cancellazione dei dati, ma solo la cancellazione del loro riferimento. In pratica ciò comporta che il sistema "dimentica" l'indirizzo, ma i dati sono ancora lì, solo lo spazio allocato viene segnalato come libero, e dunque può essere sovrascritto. Sino a che tale evenienza non si verifica, i dati sono perfettamente leggibili. Anche con la formattazione del supporto, tale situazione non cambia, perché si verifica solo che l'indirizzario viene buttato via, ma ancora nulla succede ai file. Anche nel caso in cui i dati vengano sovrascritti, esiste tecnicamente la possibilità di ricostruire lo stato precedente all'ultima sovrascrittura, perché fisicamente i supporti magnetici conservano un'aura, un'immagine fantasma dello stato precedente, che può essere osservata con svariati strumenti.

Dunque, non è neppure sufficiente riscrivere completamente ogni e ciascuno dei settori di cui è composto il disco, perché ciò rende solo più complicato, ma non impossibile, né estremamente difficile, ricostruire le informazioni sovrascritte. L'unico strumento per raggiungere uno stato del supporto che sia compatibile con le misure minime di sicurezza è quello di utilizzare uno degli strumenti commercialmente disponibili, che operano automaticamente la riscrittura di intere porzioni del disco (o anche di tutto il disco), o anche di un solo file, secondo algoritmi e tecniche che rendono quasi assolutamente impossibile la ricostruzione del contenuto della porzione di disco cancellata.

Le misure minime non sono sufficienti

Sinora è stato affrontato unicamente il tema dal punto di vista delle misure minime. Tuttavia, l'utilizzo di strumenti che rendano impossibile l'accesso a dati a chi abbia il controllo fisico del supporto (anche al di fuori del caso in cui tale controllo sia dato per volontà del titolare, per via della cessazione del trattamento mediante quel supporto) risponde a precise esigenze anche al di fuori del campo di applicazione delle misure minime.
Ricordiamo che l'adozione delle misure minime, benché ancora una chimera per molti, soprattutto nel settore pubblico, non esaurisce gli obblighi del titolare del trattamento in materia di sicurezza dei dati. Egli infatti deve porre in essere tutte le misure idonee a prevenire evenienze negative per i dati trattati (quali appunto l'accesso non autorizzato o la diffusione). Vi sono alcuni standard, nessuno dei quali adottato ufficialmente nel nostro paese, che si preoccupano di raggiungere tale obiettivo, e che sono un riferimento almeno a grandi linee su quali adempimenti adottare (i principali sono il BS 7799-2:2000, l'ISO/IEC 17799 e, in ambito sanitario, la norma UNI/ENV 12924).

Posto dunque che non esiste nessuna norma che individui esattamente quali siano le “misure idonee”, possiamo comunque considerare alcuni elementi.
Essendo precisamente previsto che tale misura sia "minima" per i dati sensibili, è facile argomentare che l'assenza di tale misura in caso di trattamento di soli dati ordinari conduce all'assenza delle misure "idonee" necessarie al fine di escludere la responsabilità civile. Sono noti esempi di trattamento di dati personali ordinari nei quali il titolare ha venduto i propri computer e alcuni studenti sono riusciti a risalire a centinaia di migliaia di data relativi a carte di credito di clienti di quel titolare. Nel caso in cui tali dati fossero stati utilizzati per scopi fraudolenti, il titolare non avrebbe potuto evitare la responsabilità per trattamento dannoso di dati.

Comunque, la cancellazione definitiva dei dati risponde a esigenze di sicurezza o di riservatezza che vanno al di là della tutela dei dati personali. I supporti di memorizzazione sono ad esempio notoriamente una miniera d'oro per ottenere prove in sede giudiziale, anche di fatti e comportamenti di cui il titolare non avrebbe gran voglia di dare giustificazione. Il fatto che tali esigenze non siano sempre in linea con quelle di giustizia non deve lasciar trascurare tale aspetto, ed è comunque sempre diritto del cittadino non facilitare il compito degli investigatori anche in tali casi.

Oltre la cancellazione, la cifratura

La cancellazione permanente dei dati è ovviamente un'occorrenza che accade quando il titolare decide di non utilizzare più tale supporto. Tuttavia la stessa necessità di evitare l'accesso di terzi ai dati in caso di accesso fisico alla lettura del supporto può accadere anche in corso di utilizzo, laddove la cancellazione impedisce il trattamento ulteriore dei dati. A seconda del tipo di supporto, è possibile utilizzare due differenti approcci. Nel primo, si assicura l'impossibilità di accesso per via della sicurezza fisica del supporto, dimodoché esso non sia avvicinabile da un terzo. Ciò è possibile per gli hard disk in computer "fissi". Non è praticabile o sufficiente, però, per i computer portatili (laptop, handeld eccetera) e per i supporti rimovibili, come ad esempio le chiavi USB, i floppy disk, i CD ecc. Tali supporti necessitano qualcosa di diverso dalla sicurezza fisica, perché sono facilmente soggetti a furto (come ho la sfortuna di aver sperimentato personalmente).

Nel caso di furto o di accesso temporaneo non autorizzato, l'unica sicurezza di non lettura dei dati è la cifratura degli stessi. Nel caso di computer portatili o di supporti rimovibili, è praticamente certo che la cifratura dei dati corrisponda a una misura necessaria.
La cifratura è possibile sia a livello del singolo file, ma più propriamente è possibile a livello di file system. Benché la prima soluzione sia possibile senza particolari difficoltà tecniche, comporta che ogni volta si voglia accedere ai dati si debba operare una decifratura in chiaro, il che comporta una scrittura in chiaro dei dati sul disco, il che riporta al problema iniziale.

Inoltre, per svariate ragioni, le applicazioni utilizzano file che vengono scritti temporaneamente, e ciò impedisce l'utilizzabilità della cifratura a livello di file. Pertanto sono maggiormente attraenti le soluzioni che fisicamente scrivono i dati sul disco in maniera criptata, ed effettuano una decifratura e cifratura dinamica (attivata tramite l'utilizzo di una password), e alla fine dell'utilizzo tale possibilità di accedere ai dati in chiaro viene rimossa.

Ciò assicura che (a meno che il computer venga rubato con tale funzionalità attivata) un ipotetico ladro (come quello del mio personale esempio) non abbia accesso a dati significativi, anche qualora l'utente non abbia cancellato in modo “sicuro” i dati decifrati (per l'utente, una volta attivata la partizione criptata, non vi sono differenze di comportamento ed egli non nota alcuna differenza, se non un leggero rallentamento dovuto alla necessità di operare le necessarie attività computazionali).
Tale possibilità, per quanto è a mia conoscenza, è disponibile direttamente su alcuni sistemi operativi, quali Linux e MacOS, ma non è disponibile in Windows, se non utilizzando applicazioni acquistabili separatamente.

Occorre prestare attenzione, inoltre, al fatto che i word processor e altre applicazioni registrano copie di backup o copie temporanee (swap) in locazioni ben note, ma non necessariamente sul supporto di conservazione definitiva: anche tali copie fanno parte del trattamento, e vanno prese in considerazione. Sarebbe ben futile implementare un sistema di cifratura ad alta efficienza, se i dai trattati venissero poi scritti "in chiaro" su altre porzioni dello stesso supporto. Anche qui, alcuni sistemi operativi sono più premurosi, preoccupandosi che ogni informazione dell'utente sia su supporto criptato (MacOSX, ad esempio), con altri si può giungere a risultati simili in modo efficiente (alcune distribuzioni di Linux), con altri occorre arrangiarsi o affidarsi a soluzioni esterne.

La cifratura dei dati, poi, realizza in un modo diverso il risultato di rendere illeggibili i dati di un disco criptato anche in caso di riutilizzo. Poiché, però, il Disciplinare tecnico parla di informazioni non più intelligibili e tecnicamente non ricostruibili, è probabile che, pur essendo i dati ancora leggibili, ma non interpretabili perché criptati, il riutilizzo del supporto sia legalmente possibile senza tecniche di cancellazione sicura. Tuttavia, poiché non è del tutto escluso che anche la chiave di decifratura possa diventare accessibile (essendo solitamente protetta da una semplice password) si consiglia di utilizzare entrambe le misure combinatamente.

Cifratura dei dati: misura minima?

Da un punto di vista della tutela dei dati personali, ritengo che chiunque utilizzi supporti rimovibili o personal computer portatili debba considerare in maniera rilevante l'opportunità di utilizzare tali presidi, anche nel caso in cui non si tratti di misure minime. Tuttavia, per alcuni trattamenti, la previsione di cifratura dei dati, se non proprio una misura minima, risulta qualcosa di molto vicino. E' il caso previsto dall'art. 22 comma 6 del Codice, di cui ci si occupa poco spesso perché, pur essendo a stretto rigore una misura di sicurezza, è posto al di fuori del disciplinare. Esso prevede che i dati sensibili o di origine giudiziaria, conservati in elenchi trattati elettronicamente, siano cifrati o resi inaccessibili se non in caso di necessità. E' difficile comprendere quando si debba applicare un ramo o l'altro della norma, tuttavia appare prudente considerare sempre modalità di cifratura in corso di trattamento quale misura minima.
 

* Studio legale Tamos Piana & Partners - http://www.avvocatinteam.com