- Home
- Categorie
- Impresa, Fisco e Leggi
- Leggi per le Professioni Web
- Hotspot Antiterrorismo Pisanu
-
Hotspot Antiterrorismo Pisanu
Salve,
in merito a questo argomento vi è tanta confusione nella quale ho cercato di farmi un pò di luce.
Il mio scopo è quello di realizzare un hotspot gratuito per una biblioteca.
Essendo una biblioteca l'attività principale non è quella della fornitura di internet, quindi non è associabile all'attività di un ISP, quindi per l'autorizzazione basterebbe una comunicazione alla procura per avere una autorizzazione ad operare. Se entro 60giorni non si riceve alcuna comunicazione vale il silenzio assenso e si è automaticamente autorizzati.
Per quanto riguarda il sistema di fruizione del servizio, il tutto è gestito da un server (piattaforma Linux) grazie al quale vi è una autenticazione in https tramite l'utilizzo di una username e di una password rilasciata solo dopo aver ricevuto gli estemi del documento di identità.
Durante la fruizione del solo servizio internet (disabilitanto MSN, Skype, etc) vi è la registrazione delle seggioni legate agli IP ed agli USER da parte degli utenti, nonchè dei loro LOG di navigazione SENZA alcuna analisi verso il contenuto delle pagine visitate (per questioni di privacy).Quello che vorrei ora chiedere è per quanto tempo lo storico dei LOG e delle sessioni per ogni utente deve essere salvato e con quale cadenza?
Grazie a tutti.
-
Ciao Gianny,
se non ricordo male i dati telematici devono essere conservati per almeno 12 mesi (codice privacy), estesi a 30 mesi dal decreto Pisanu (valido fino a dicembre 2007).
Trattandosi di materia particolarmente complicata ti consiglio di leggere questa pagina.
-
Grazie del riferimento.
Ma avrei ancora una domanda.....ovvero....il Decreto Pisanu è valido fino a dicembre 2007, ma ciò vuol dire che dal 1 gennaio 2008 aveva cessato la sua validità? Chiedo questo perchè non comprendo quel rifermento "fino a dicembre 2007".
-
Mi correggo. Il decreto è stato prorogato fino al dicembre 2009.
-
Grazie per la risposta......
Quindi decuco che salvo altre proroghe......superando l'anno 2009 il Dcreto Pisanu dovrebbe perdere le sua validità?
Dove è possibile reperire la notizia delle sua estensione fino al dicembre 2009?
-
Faccio una domanda un pò anomala.
Dal punto di vista della privacy unito al Decreto antiterrorismo, il tracciamento e la memorizzazione delle pagine visitate, ma non dei loro contenuti come deve essere inteso?
Ovvero per esempio memorizzare come "ww w.google.it" (come anche servizi di posta online) oppure il suo equivalente indirizzo IP è la stessa cosa oppure a livello normativo sono due cose diverse?Grazie a tutti.
-
Ciao Gianny,
per il link non ricordo dove era. Dovrei cercarlo di nuovo.
Per la domanda, non saprei, è una questione meramente tecnica. Secondo me è lo stesso, ma non ho certezze sul punto:(. Forse dovresti chiedere agli organi competenti.
-
La Legge prevede che venga memorizzato l'IP assegnato, l'ora, la durata, oltre ovviamente all'identità dell'utente. Punto.
Da ciò che hai scritto mi pare di capire che tu abbia in mente di memorizzare anche gli indirizzi delle pagine visitate dai malcapitati utenti del tuo hotspot... Se ti scopre il Garante ti fa vedere i sorci verdi, questo è poco ma sicuro.
-
E' proprio su questo punto che si basano i miei dubbi.
A livello tecnico sono in grado di eseguire un controllo su tre livelli (se interessa posso spiegare come realizzare il tutto con uno strumento open source basato su linux):
1 - far passare in maniera trasparente il traffico degli utenti (senza memorizzazione);
2 - registrare i soli indirizzi (URL) che visitano gli utenti e non i loro contenuti;
3 - registrazione degli URL visitati e dei loro contenuti con loro archiviazione (condizione da escludere perchè perseguibile penalmente).Da quanto ho letto sulla legge del 31 luglio 2005, n. 155 e da quanto specificato dal DM 16/08/2005 (reperibile su w ww.ictlex.net/?p=495) mi è sembrato di capire che nel caso:
1 - con un numero di postazioni fisse non superiori a 3 è possibile avere un registro vidimato sul quale si devono riportare l'ora di inizio e fine dell'utilizzo del terminale da parte delle utenze;
2 - per un utilizzo di postazioni non vigilate (hotspot con tecnologia wifi) in questo caso è necessario ricorrere ad utilizzo di tecnologie informatiche che registrino IP fornito all'utente dietro una autenticazione (User e Pass) ora di inizio e fine delle navigazione ed il monitoraggio delle attività escuso i loro contenuti.Secondo me il punto è che interpretazione è necessario dare alla lettura del DM Interno 16/08/2005:
"adottare le misure di cui all?art. 2, occorrenti per il monitoraggio delle attivita?;" ???Ci sarebbe poi da chiedersi anche un'altra cosa, ovvero essendo le tecnologie wifi molto più esposte e meno protette rispetto a quelle a cavo (sniffing, hacking, etc) a livello normativo verso queste particolari minacce informatiche gestori degli esercizi ne sono esenti? Un utente che scopre di essere stato vittima di un furto di identità durante la navigazione dal punto di vista legale ha motivo di denunciare il fornitore del servizio?
Dalla mia conoscenza, a livello normativo chi fornisce il servizio deve solo preoccuparsi di ottemperare al decreto Pisanu e non tutelare gli autenti da minacce da terzi.
-
Ciao. Concordo con l'identificazione del periodo di conservazione dei dati in 12 mesi. Mi sembra che negli hot spot bisogna conservare i dati di log completi di navigazione.
Il soggetto ospitato che si accorgesse di essere stato clonato ha interesse ad accertare lo sniffing ma non ha azione contro il fornitore che abbia agito con diligenza e senza colpa o dolo.
Mi sai dire che software opensource hai trovato??
Mi interesserebbe tantissimo capire lo stato dell'arte nel mondo open.
Grazie mille.
Aspetto di leggerti. Ciao.
-
Certamente, come soluzione da me adottata è ZeroShell, una distribuzione tutta italiana, con la possibilità di includere un antivirus (ClamAV) nelle fasi di navigazione, ma non immune ad attacchi brutali di furto dati, non sul sistema server dove esistono di dati di accesso ma sulle postazioni dei client.
Altre soluzioni di me vagliate ed in fase di studio sono IPCop e pfSense, ma come opinione del tutto personale il maggior corrispondente alla normativa italiana è ZeroShell. Gli altri due forniscono affidabilità dal punto di vista degli attacchi alle utenze, ma non sono riuscito a fare una registrazione delle navigazione a norma di legge (infatti è come se memorizzo la cache di navigazione, compresi i contenuti....il che non và bene.....).Quindi ricapitolando.....col sistema automatico.....creo le utenze solo dopo la loro identificazione.......fornisco un User e Pass.......ed il sistema svolge in automatico una identificazione univoca tra Utente ed IP, nonchè registrazione della durata della sessione.......e per ogni IP registra gli URL visitati, ma non i suoi contenuti (è come memorizzare tutto ciò che passa dalla barra degli indirizzi, ma non la cache del browser di navigazione).
Un sistema così realizzato dovrebbe andare bene dal punto di vista normativo?
La diligenza contro azioni di sniffing o derivate è quella di inserire un antivirus nella fruizione del servizio (navigazione internet) oltre che fornire il servizio alle sole utenze identificabili e schedate secondo il decreto Pisanu. Secondo questa starda dovrei essere tranquillo dal punto di vista legale?
-
Affermare che rispetti la riservatezza perché registri gli URL ma non il loro contenuto mi pare al limite dell'assurdo.
Negli URL sono contenute anche le stringhe di query, quindi raccogli dati sensibili sugli interessi degli utenti, come ad esempio ciò che cercano con i motori di ricerca.
Come minimo devi informare preventivamente gli utenti che li stai effettivamente spiando mentre navigano e loro devono accettare questo fatto.
-
Quindi con una informativa adeguata ed accettata dall'utente nel momento della fruizione del servizio (pena la non accessibilità allo stesso) si è in grado di rispettare da una parte il decreto antiterrorismo e dall'altra essere tutelati contro violazioni di privacy all'insaputa degli stessi utenti?!
-
Penso di aver trovato qualcosa di interessante e contraddittorio.
Dalla lettura della risposta fornita su un altro forum ho trovato che:
Relativamente alla questione da Lei proposta, specifichiamo che il decreto legge 27 luglio 2005, n. 144 coordinato con la legge di conversione 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale, ha disposto la necessarietà di una licenza del Questore territorialmente competente, per chiunque intenda aprire un pubblico esercizio o un circolo privato, nel quale sono posti a disposizione del pubblico, apparecchi terminali utilizzabili per le comunicazioni anche telematiche, nonché una serie di ulteriori prescrizioni sull?integrazione della disciplina amministrativa degli esercizi pubblici di telefonia e internet.
La licenza non è richiesta nel caso di sola installazione di telefoni pubblici a pagamento, abilitati esclusivamente alla telefonia locale.
Il citato decreto ha disposto, fra gli obblighi dei titolari e dei gestori dei servizi internet, ?l?identificazione di chi accede ai servizi telefonici e telematici offerti, prima dell?accesso stesso o dell?offerta di credenziali di accesso, acquisendo i dati anagrafici riportati su un documento di identità, nonché il tipo, il numero e la riproduzione del documento presentato dall?utente?.** Lei dovrà , pertanto, garantire l?associabilità di un determinato indirizzo ip ad una persona fisica** (l?utilizzatore del pc in quel momento). Non gravano a suo carico gli obblighi di tracciare la navigazione dell?utente ( operazioni effettuate, siti visitati etc).Qualora, comunque, dovesse accorgersi che sono stati perpetrati degli illeciti penali potrà, comunque, prontamente segnalarceli utilizzando il modulo di ?Richiesta informazioni? del Commissariato di Ps on line.
**Occorre, inoltre, ottenere l?autorizzazione del Ministero delle Comunicazioni.
**
Potrà, altresì, consultare il sito www . agcom . it dell?Autorità per le garanzie nelle comunicazioni al fine di ottenere ogni altra utile informazioneA questo punto in me si pervade e si diffonde un senso di insicurezza su come procedere.
Secondo Voi quale soluzione sarebbe la più conveniente?
1 - Tenere solo traccia delle associazione IP, MAC e delle Sessioni di accesso e di uscita;
2 - In più al precedente grazie ad una bella informativa (allargata) fatta firmare alle utenze prima dell'accesso del servizio, grazie alla quale si svolge il monitoraggio dei soli URL.Un ringraziamento a tutti.
-
Salve,
penso di aver raggiunto un punto sulla situazione, ma piacerebbe avere anche il Vostro parere.
Ho reperito su internet un documento che chiarisce alcuni punti del decreto in questione, ovvero:www . netorange.it/AspettiLegaliDecretoPisanu.pdf
nel quale è specificato che anche in caso di postazioni non vigilate (quali hotspot appunto) non vi è l'imposizione di registrare gli URL visitati dagli utenti.
A questo punto rimane SOLO da memorizzare e registrare gli orari di connessione degli utenti.
Domandina......tra i servizi internet possono rientrare MSN, Skype, Gtalk, emule, torrent?
-
Ciao Gianny,
per quello che so io :?conservare gli url, quindi i contenuti letti (navigati) dagli utenti è illecito. Quello che si deve conservare sono i dati di accesso, in modo da indentificare chi stava navigando in un certo momento. Così da poter stabilire chi eventualmente ha commesso un certo reato. Conservare i dati di navigazione, invece, sarebbe un modo di profilare gli utente che il Garante non ritiene consentito.
-
E per quanto riguarda i log relativi alle email inviate? Come funziona?
-
Ciao a tutti vi chiedo un chiarimento che per me è molto importante.
Chi gestisce un servizio di Hosting tipo seeweb è tenuto a conservare i log delle visite ai propri server?
Se si quali tipo di dati viene salvato?
Grazie