• Super User

    Ciao Gianny,

    per il link non ricordo dove era. Dovrei cercarlo di nuovo.
    Per la domanda, non saprei, è una questione meramente tecnica. Secondo me è lo stesso, ma non ho certezze sul punto:(. Forse dovresti chiedere agli organi competenti.


  • User

    La Legge prevede che venga memorizzato l'IP assegnato, l'ora, la durata, oltre ovviamente all'identità dell'utente. Punto.

    Da ciò che hai scritto mi pare di capire che tu abbia in mente di memorizzare anche gli indirizzi delle pagine visitate dai malcapitati utenti del tuo hotspot... Se ti scopre il Garante ti fa vedere i sorci verdi, questo è poco ma sicuro.


  • User Attivo

    E' proprio su questo punto che si basano i miei dubbi.
    A livello tecnico sono in grado di eseguire un controllo su tre livelli (se interessa posso spiegare come realizzare il tutto con uno strumento open source basato su linux):
    1 - far passare in maniera trasparente il traffico degli utenti (senza memorizzazione);
    2 - registrare i soli indirizzi (URL) che visitano gli utenti e non i loro contenuti;
    3 - registrazione degli URL visitati e dei loro contenuti con loro archiviazione (condizione da escludere perchè perseguibile penalmente).

    Da quanto ho letto sulla legge del 31 luglio 2005, n. 155 e da quanto specificato dal DM 16/08/2005 (reperibile su w ww.ictlex.net/?p=495) mi è sembrato di capire che nel caso:
    1 - con un numero di postazioni fisse non superiori a 3 è possibile avere un registro vidimato sul quale si devono riportare l'ora di inizio e fine dell'utilizzo del terminale da parte delle utenze;
    2 - per un utilizzo di postazioni non vigilate (hotspot con tecnologia wifi) in questo caso è necessario ricorrere ad utilizzo di tecnologie informatiche che registrino IP fornito all'utente dietro una autenticazione (User e Pass) ora di inizio e fine delle navigazione ed il monitoraggio delle attività escuso i loro contenuti.

    Secondo me il punto è che interpretazione è necessario dare alla lettura del DM Interno 16/08/2005:
    "adottare le misure di cui all?art. 2, occorrenti per il monitoraggio delle attivita?;" ???

    Ci sarebbe poi da chiedersi anche un'altra cosa, ovvero essendo le tecnologie wifi molto più esposte e meno protette rispetto a quelle a cavo (sniffing, hacking, etc) a livello normativo verso queste particolari minacce informatiche gestori degli esercizi ne sono esenti? Un utente che scopre di essere stato vittima di un furto di identità durante la navigazione dal punto di vista legale ha motivo di denunciare il fornitore del servizio?
    Dalla mia conoscenza, a livello normativo chi fornisce il servizio deve solo preoccuparsi di ottemperare al decreto Pisanu e non tutelare gli autenti da minacce da terzi.


  • Super User

    Ciao. Concordo con l'identificazione del periodo di conservazione dei dati in 12 mesi. Mi sembra che negli hot spot bisogna conservare i dati di log completi di navigazione.
    Il soggetto ospitato che si accorgesse di essere stato clonato ha interesse ad accertare lo sniffing ma non ha azione contro il fornitore che abbia agito con diligenza e senza colpa o dolo.
    Mi sai dire che software opensource hai trovato??
    Mi interesserebbe tantissimo capire lo stato dell'arte nel mondo open.
    Grazie mille.
    Aspetto di leggerti. Ciao.


  • User Attivo

    Certamente, come soluzione da me adottata è ZeroShell, una distribuzione tutta italiana, con la possibilità di includere un antivirus (ClamAV) nelle fasi di navigazione, ma non immune ad attacchi brutali di furto dati, non sul sistema server dove esistono di dati di accesso ma sulle postazioni dei client.
    Altre soluzioni di me vagliate ed in fase di studio sono IPCop e pfSense, ma come opinione del tutto personale il maggior corrispondente alla normativa italiana è ZeroShell. Gli altri due forniscono affidabilità dal punto di vista degli attacchi alle utenze, ma non sono riuscito a fare una registrazione delle navigazione a norma di legge (infatti è come se memorizzo la cache di navigazione, compresi i contenuti....il che non và bene.....).

    Quindi ricapitolando.....col sistema automatico.....creo le utenze solo dopo la loro identificazione.......fornisco un User e Pass.......ed il sistema svolge in automatico una identificazione univoca tra Utente ed IP, nonchè registrazione della durata della sessione.......e per ogni IP registra gli URL visitati, ma non i suoi contenuti (è come memorizzare tutto ciò che passa dalla barra degli indirizzi, ma non la cache del browser di navigazione).

    Un sistema così realizzato dovrebbe andare bene dal punto di vista normativo?

    La diligenza contro azioni di sniffing o derivate è quella di inserire un antivirus nella fruizione del servizio (navigazione internet) oltre che fornire il servizio alle sole utenze identificabili e schedate secondo il decreto Pisanu. Secondo questa starda dovrei essere tranquillo dal punto di vista legale?


  • User

    Affermare che rispetti la riservatezza perché registri gli URL ma non il loro contenuto mi pare al limite dell'assurdo.

    Negli URL sono contenute anche le stringhe di query, quindi raccogli dati sensibili sugli interessi degli utenti, come ad esempio ciò che cercano con i motori di ricerca.

    Come minimo devi informare preventivamente gli utenti che li stai effettivamente spiando mentre navigano e loro devono accettare questo fatto.


  • User Attivo

    Quindi con una informativa adeguata ed accettata dall'utente nel momento della fruizione del servizio (pena la non accessibilità allo stesso) si è in grado di rispettare da una parte il decreto antiterrorismo e dall'altra essere tutelati contro violazioni di privacy all'insaputa degli stessi utenti?!


  • User Attivo

    Penso di aver trovato qualcosa di interessante e contraddittorio.
    Dalla lettura della risposta fornita su un altro forum ho trovato che:


    Relativamente alla questione da Lei proposta, specifichiamo che il decreto legge 27 luglio 2005, n. 144 coordinato con la legge di conversione 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale, ha disposto la necessarietà di una licenza del Questore territorialmente competente, per chiunque intenda aprire un pubblico esercizio o un circolo privato, nel quale sono posti a disposizione del pubblico, apparecchi terminali utilizzabili per le comunicazioni anche telematiche, nonché una serie di ulteriori prescrizioni sull?integrazione della disciplina amministrativa degli esercizi pubblici di telefonia e internet.

    La licenza non è richiesta nel caso di sola installazione di telefoni pubblici a pagamento, abilitati esclusivamente alla telefonia locale.

    Il citato decreto ha disposto, fra gli obblighi dei titolari e dei gestori dei servizi internet, ?l?identificazione di chi accede ai servizi telefonici e telematici offerti, prima dell?accesso stesso o dell?offerta di credenziali di accesso, acquisendo i dati anagrafici riportati su un documento di identità, nonché il tipo, il numero e la riproduzione del documento presentato dall?utente?.** Lei dovrà , pertanto, garantire l?associabilità di un determinato indirizzo ip ad una persona fisica** (l?utilizzatore del pc in quel momento). Non gravano a suo carico gli obblighi di tracciare la navigazione dell?utente ( operazioni effettuate, siti visitati etc).Qualora, comunque, dovesse accorgersi che sono stati perpetrati degli illeciti penali potrà, comunque, prontamente segnalarceli utilizzando il modulo di ?Richiesta informazioni? del Commissariato di Ps on line.

    **Occorre, inoltre, ottenere l?autorizzazione del Ministero delle Comunicazioni.
    **
    Potrà, altresì, consultare il sito www . agcom . it dell?Autorità per le garanzie nelle comunicazioni al fine di ottenere ogni altra utile informazione

    A questo punto in me si pervade e si diffonde un senso di insicurezza su come procedere.
    Secondo Voi quale soluzione sarebbe la più conveniente?
    1 - Tenere solo traccia delle associazione IP, MAC e delle Sessioni di accesso e di uscita;
    2 - In più al precedente grazie ad una bella informativa (allargata) fatta firmare alle utenze prima dell'accesso del servizio, grazie alla quale si svolge il monitoraggio dei soli URL.

    Un ringraziamento a tutti.


  • User Attivo

    Salve,
    penso di aver raggiunto un punto sulla situazione, ma piacerebbe avere anche il Vostro parere.
    Ho reperito su internet un documento che chiarisce alcuni punti del decreto in questione, ovvero:

    www . netorange.it/AspettiLegaliDecretoPisanu.pdf

    nel quale è specificato che anche in caso di postazioni non vigilate (quali hotspot appunto) non vi è l'imposizione di registrare gli URL visitati dagli utenti.

    A questo punto rimane SOLO da memorizzare e registrare gli orari di connessione degli utenti.

    Domandina......tra i servizi internet possono rientrare MSN, Skype, Gtalk, emule, torrent?


  • Super User

    Ciao Gianny,

    per quello che so io :?conservare gli url, quindi i contenuti letti (navigati) dagli utenti è illecito. Quello che si deve conservare sono i dati di accesso, in modo da indentificare chi stava navigando in un certo momento. Così da poter stabilire chi eventualmente ha commesso un certo reato. Conservare i dati di navigazione, invece, sarebbe un modo di profilare gli utente che il Garante non ritiene consentito.


  • User

    E per quanto riguarda i log relativi alle email inviate? Come funziona?


  • User Newbie

    Ciao a tutti vi chiedo un chiarimento che per me è molto importante.

    Chi gestisce un servizio di Hosting tipo seeweb è tenuto a conservare i log delle visite ai propri server?

    Se si quali tipo di dati viene salvato?

    Grazie