Tenete XP in garage

La cosa straordinaria successa negli ultimi giorni è che Microsoft ha rilasciato un aggiornamento di sicurezza persino per il suo sistema operativo più longevo: Windows XP: a questa pagina la lista degli aggiornamenti.

Questo è successo per colpa (o merito) di #Wannacry che sta, tutt'ora, minacciando molti sistemi informativi comportandosi come le più moderne minacce informatiche sanno fare. E la minaccia è stata presa così seriamente da spingere Microsoft all'aggiornamento persino di Windows XP, sistema operativo di cui la società produttrice aveva dichiarato cessata l'assistenza (o "supporto" come amano dire loro e gli informatici in genere) nel 2014 (qui un comunicato di Microsoft).

Dal 2014 ad oggi moltissime (quasi tutte?) le aziende hanno lasciato i lidi di Windows XP, ma nonostante questo, ad oggi, conosco più di una realtà lavorativa dove Windows XP è ancora utilizzato con generosità e incoscienza: ad esempio molti uffici delle Poste Italiane hanno ancora terminali che utilizzano Windows XP, e conosco almeno un ospedale dove è con generosità adottato oltre che una università che continua a tenere terminali con Windows XP.

Nonostante questo aggiornamento rilasciato tempestivamente da Microsoft, però, usare Windows XP per "lavoro" è una formale violazione delle misure minime di sicurezza. Se leggete le righe che seguono capirete come si può arrivare ad una affermazione così drastica (tutte le volte che lo dico la reazione è di stupore o persino di fastidio).

Uso professionale e dati personali

Il d.lg. 196/2003 è la norma fondamentale in Italia (conforme a direttiva UE e sino al maggio 2018 quando entrerà in vigore Regolamento UE) sulla protezione dei dati personali, si applica a tutti coloro i quali trattano dati personali con la sola esclusione delle persone fisiche che trattano i dati personali "per fini esclusivamente personali" (cfr. art. 5 del d.lg. 196/2003): di fatto la norma non si occupa delle rubriche telefoniche di ciascun privato cittadino et similia.

Tutti gli altri (persone giuridiche e qualsiasi professionista), però, non appena trattano dati personali devono rispettare gli obblighi della norma e in particolare gli obblighi di sicurezza.

Tutti trattiamo dati personali

Anni fa, all'inizio della mia professione, seppi di una deliziosa direttrice di banca che sosteneva con forza di non trattare dati personali: spero che oggi sappia di avere sostenuto una solenne corbelleria: tutto nel 2017 tende ad essere "dato personale", un numero di targa, un indirizzo IP, un cookie, un log di sessione, e ovviamente una scheda cliente, gli estremi identificativi di un conto corrente e via dicendo. I dati anonimi sono solo quelli che non non possono "essere associati ad un interessato identificato o identificabile" (cfr. art. 4, comma 1, lettera n).

Tutti dobbiamo rispettare le misure di sicurezza

Se ne deve dedurre che poiché tutti quelli che per fini professionali (non quelli esclusivamente personali quindi) trattano dati sono sottoposti alle regole del Codice Privacy tutti devono anche rispettare le misure di sicurezza (almeno quelle minime).

Tra le misure di sicurezza da rispettare ci sono quelle minime come indicate dall'Allegato B al Codice (cfr. art. 34 d.lg. 196/2003). Quindi "tutti" (tutti secondo significato già precisato) dobbiamo rispettare le regole contenute nell'Allegato B.

L'Allegato B

L'Allegato B al Codice è il "Disciplinare tecnico in materia di sicurezza" vecchio e ormai superato (il Consiglio dei Ministri avrebbe dovuto aggiornarlo, cfr. art. 58) detta le misure minime che bisogna adottare.

La regola 16 dice:

I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615- quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

La regola 17 dice:

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. 

In altre parole si deve sempre periodicamente aggiornare il proprio computer contro minacce informatiche, e l'aggiornamento deve essere preventivo. Per i sistemi operativi supportati l'aggiornamento periodico (e preventivo nei limiti del possibile) viene effettuato, ma per Windows XP dal 2014 non viene più previsto.

Quindi le due regole sopra indicate non possono essere rispettate!

Quindi usare Windows XP in ambiente lavorativo connesso ad Internet, quasi inevitabilmente trattando dati personali è una "Omessa adozione delle misure minime di sicurezza" (cfr. art. 169 d.lg. 196/2003).

In altre parole: Windows XP è una vecchia vettura che da anni non effettua la revisione, di conseguenza la sua carta di circolazione è stata annullata (e per fortuna aggiungerei).

Suvvia: passate ad altro, o tenete quel vecchio computer solo per giocarci a Freecell o per farci qualcosa che non prevede Internet!

Risorse e utilità

1. Testo del Codice Privacy in italiano e in inglese
2. Testo dell'Allegato B al Codice a questa pagina.