Le regole italiane sulla crittografia prevedono indicazioni più stringenti rispetto ad altri paesi, come ad esempio gli Stati Uniti.
La normativa italiana obbliga a non rendere intellegibili i dati sensibili e giudiziari. È quanto si legge nel Codice Privacy (D. Lgs. 196 del 30 giugno 2003) ai commi 6, 7 e 8 dell’articolo 22.
“I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l’ausilio di strumenti elettronici.
I dati idonei a rivelare lo stato di salute non possono essere diffusi”.
Cifratura dati obbligatoria per dati sensibili e giudiziari
Pertanto, in Italia la cifratura dei dati è obbligatoria, ma solo per i dati sensibili e giudiziari.
I dati sensibili sono quei “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (art. 4, lett. d, Codice Privacy).
I dati giudiziari sono “i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del Codice di Procedura Penale” (art. 4, lett. e, Codice Privacy ).
Nonostante le regole italiane sulla crittografia siano sorrette da riferimenti normativi ben precisi che prevedono un sistema di protezione, è comunque ancora lunga la strada verso servizi web completamente sicuri su larga scala.
L’attacco informatico subìto da Anthem negli USA
All’inizio di febbraio, la compagnia assicurativa sanitaria statunitense Anthem ha subìto un attacco informatico, con gli hacker che hanno avuto accesso ai database della società. L’entità del danno è ancora sconosciuto. La compagnia conta circa 80 milioni di membri. Le informazioni rubate includono indirizzi, numeri di telefono, date di nascita, numeri di social security (che sono l’equivalente statunitense della nostra carta di identità). I dati erano in chiaro. In presenza di dati crittografati, le conseguenze dell’attacco sarebbero state sicuramente diverse.
La crittografia stimola sempre ampi e controversi dibattiti nel mondo ICT. Alcuni ritengono che riuscire a trovare la chiave per decifrare i dati crittografati sia solo questione di potenza elaborativa del sistema e quindi di tempo. Su questo forse la maggior parte degli esperti informatici sarà d’accordo. Ciò non significa che a un ladro che voglia rubare la nostra auto dobbiamo fargliela trovare già aperta, perché tanto riuscirà ad aprirla da solo. Al contrario, un buon antifurto renderà sicuramente l’opera più difficile, almeno in termini di tempo che il ladro dovrà impiegare.
Allo stesso modo, un buon sistema di cifratura non può essere scardinato da chiunque e crea più di qualche problema ai malintenzionati. Eppure, negli Stati Uniti un sistema di crittografia a protezione dei dati è altamente consigliato, ma non è obbligatorio per legge, neanche per cifrare i dati sanitari.
