Cristallizzazione delle registrazioni informatiche con rilevanza giuridica
Sarebbe preistorico affermare che i dati e i documenti digitali delle aziende non hanno in molti contesti la necessità di garantire una rilevanza giuridica ed una efficacia probatoria in quanto vengono stampati su carta.
Ormai il business, la comunicazione e la relazione delle aziende con clienti, fornitori e in generale con gli utenti è gestita tramite servizi digitali, piattaforme, portali web e in generale tramite applicazioni e transazioni elettroniche.
Il processo di trasformazione digitale dei modelli di business delle imprese italiane è stato oltremodo accelerato dall’emergenza pandemica, trasformando anche settori economici tradizionali in modelli digitali e data driven.
Nel 2021 si sta registrando un boom nell’adozione da parte dell’aziende di piattaforme online, di soluzioni di firma elettronica per la sottoscrizione dei documenti da remoto e in mobilità, di soluzioni di gestione documentale e conservazione digitale, nell’adozione di portali e/o app per il commercio elettronico. L’e-commerce in Italia nel 1° trimestre 2021 ha registrato una crescita di quasi l’80%, posizionandosi al quarto posto al mondo per crescita percentuale, sulla scia del forte aumento di acquisti online e soprattutto degli acquisti effettuati in mobilità attraverso lo smartphone.
Le azioni e le scelte degli utenti rappresentati dai log delle transazioni
I canali digitali stanno diventando sempre più i canali di relazione con gli utenti e pertanto aumentano le registrazioni informatiche (log) da memorizzare a rappresentazione delle transazioni elettroniche, accrescendo sempre più l’esigenza di garantire la rilevanza e l’efficacia per il business di questi record.
Oggi le aziende sono abituate a memorizzare i log come record di data base, rappresentando in questo modo le azioni e le scelte eseguite da un cliente, un fornitore o semplicemente un utente in una esperienza digitale di una qualsiasi applicazione.
Ma questi log potrebbero mai avere una rilevanza determinante in qualche controversia giudiziaria? Potrebbero rappresentare prove da presentare in sede di giudizio? Se la risposta è sì, allora è necessario chiedersi se i log sono gestiti correttamente come documenti informatici e se vengono cristallizzati a dovere.
Nel log di una transazione è sempre opportuno descrivere e memorizzare bene “chi fa cosa e quando lo fa”, per questo si consiglia di indicare sempre la descrizione dell’azione eseguita dall’utente, la data e ora dell’azione nello standard UTC, l’ID dell’utente e, se l’oggetto dell’azione è un documento, anche l’hash (l’impronta) del documento stesso calcolata con algoritmo di hashing almeno SHA-256. Oltre a memorizzare bene il log nel data base, poi, è obbligatorio garantirne l’immodificabilità e l’integrità.
I log delle transazioni sono documenti informatici a tutti gli effetti
Ogni giorno vengono apposti dagli utenti miliardi di point & click in merito alle proprie scelte, accettazioni, autorizzazioni, conferme e prese visioni. Questi point & click diventano delle registrazioni informatiche, che vengono memorizzate per un periodo (retention) definito dall’esigenza di business o dalla normativa di riferimento in merito alla conservazione dei dati e dal rispetto del Regolamento europeo in materia di protezione dei dati personali n. 2016/679 (GDPR).
L’aspetto su cui vogliamo focalizzarci è se questi log delle transazioni garantiscono, dalla loro generazione alla loro conservazione, i requisiti di integrità e immodificabilità.
Molti, infatti, non sanno che le registrazioni informatiche (log delle transazioni) sono da qualificarsi a tutti gli effetti di legge come documenti informatici, come previsto dalle regole tecniche attuative del CAD (Codice dell’Amministrazione Digitale).
Più nel dettaglio, le regole tecniche attuative del CAD – già dal D.P.C.M. 13 novembre 2014, ora confermate anche dalle nuove Linee Guida AgID sul documento informatico – stabiliscono che un documento informatico è formato anche mediante:
- c): memorizzazione su supporto informatico in formato digitale delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente;
- d): generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più banche dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.
Sempre queste regole chiariscono che il documento informatico è immodificabile se la sua memorizzazione su supporto informatico in formato digitale non può essere alterata nel suo accesso, gestione e conservazione.
Quindi, in concreto, è obbligatorio applicare la disciplina sul documento informatico ai record log memorizzati in un data base, sempre che questi abbiano per l’azienda una qualche rilevanza come elemento probatorio da produrre eventualmente in giudizio.
Per tal motivo, ogni azienda, prima di adottare delle misure per l’immodificabilità dei log, dovrebbe eseguire un’analisi di rischio sui log memorizzati in ciascun data base e chiedersi se i log sono gestiti correttamente rispetto alle proprie esigenze di efficacia probatoria.
Come posso rendere i log cristallizzati e quindi immodificabili e integri?
In questi ultimi anni, la tecnologia ci ha messo a disposizione alcune modalità per cristallizzare i record log o anche solo le impronte (hash) dei record stessi, ma vediamo come. Le regole tecniche del CAD (Codice dell’Amministrazione Digitale) affermano che nel caso di documento informatico formato secondo le sopracitate lettere c) e d), in cui rientrano i log registrazioni informatiche, le caratteristiche di immodificabilità e di integrità sono garantite da una o più delle seguenti operazioni:
- apposizione di una firma elettronica qualificata, di una firma digitale o di un sigillo elettronico qualificato o firma elettronica avanzata;
- registrazione nei log di sistema dell’esito dell’operazione di formazione del documento informatico, compresa l’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema;
- produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione.
Operativamente, quindi, si possono adottare diverse modalità alternative tra di loro per la protezione dell’integrità nella produzione e conservazione dei log di sistema, quali ad esempio:
- l’estrazione statica dei record log, rilevanti dal punto di vista probatorio, o delle loro impronte (hash) in un file di formato statico (ad esempio il formato XML) e suo trasferimento automatico ad un servizio di conservazione digitale a norma per la sua conservazione secondo legge;
- la notorizzazione dei record log su tecnologia basata sui registri distribuiti (DLT) di cui il protocollo Blockchain è parte, garantendo in questo modo l’integrità e la validazione temporale L’art. 8-ter comma 1 del D.L. n. 135/2018, cosiddetto Decreto Semplificazioni 2019, convertito in Legge n. 12 del 11 febbraio 2019;
- l’adozione di misure e funzionalità native e intrinseche dei data base che garantiscono l’inalterabilità e l’integrità dei dati in esso memorizzati sin dalla loro origine (non deve essere possibile la variazione nemmeno da parte del DB Administrator e deve poter essere individuata l’autenticità e la validazione temporale ossia la data e ora del log).
In conclusione, in una società che sta diventando sempre più data driven è necessario che ciascuna organizzazione, grande o piccola che sia, si ponga l’obiettivo di valutare la sicurezza e l’immodificabilità dei dati memorizzati nei propri data base, soprattutto se questi dati rappresentano azioni e scelte degli utenti che possono avere una qualche rilevanza giuridica nel business dell’organizzazione stessa.