Re: "Utilizzabilita' legale" dei dati sniffati

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2001 ml@sikurezza.org
Soggetto: Re: "Utilizzabilita' legale" dei dati sniffati
Mittente: Brigante
Data: 7 Nov 2001 09:34:42 -0000

> Nel momento in cui una azienda avvisasse tutti i dipendenti che tutto il
> traffico email aziendale e' sniffato e storato e venisse a scoprire che un
> dipendente ha inviato all'esterno informazioni riservate (ad un
concorrente
> ad esempio) puo' utilizzare come prova legale del fatto il log di tutto
> quello che e' passato?

Il controllo del traffico e-mail è un tema molto dibattuto.
Nel nostro ordinamento allo stato attuale pare sia permesso (in base ad una
dichiarazione d'intenti emanata dai garanti della privacy europei) un
controllo del traffico e-mail da parte del datore di lavoro, ma solo
rispettando determinati requisiti.
In primis devono essere avvisati tutti i dipendenti dei controlli, le
finalità e le modalità mediante le quali questi controlli saranno
effettuati.
In nessun modo il controllo può avvenire sul contenuto delle e-mail, ma solo
ed esclusivamente sul traffico entrante ed uscente.
Questo per rispondere alla tua domanda...non si potrà mai sapere se il
contenuto della mail era riservato o meno.
In teoria bisognerebbe anche coordinare, di concerto con le rappresentanze
sindacali aziendali, le modalità entro le quali esercitare il controllo e
soprattutto le motivazioni che spingono il datore di lavoro ad esercitarlo.
Secondo un'altra parte della dottrina, invece, per applicazione analogica in
materia di privacy delle telefonate (è assolutamente vietato per il datore
di lavoro non solo ascoltare le telefonate, ma anche tener traccia dei
tabulati dei numeri in modo tale che possano essere ricondotti al singolo
dipendente), il discorso non si pone perchè il controllo sulle e-mail, di
qualunque tipo sia, è illegittimo.
Si spera che i garanti europei intervengano entro la fine dell'anno con un
testo normativo che dipani questo problema.

> Mi invento: e' necessario far fare una perizia sullo sniffer per far
vedere
> che cio' che viene sniffato e' esattamente cio' che e' passato?
> E necessario fare un hashing md5 ogni ora sui dati registrati ed inviarne
> copia all'autorita' di pg?  (sto delirando...)

Al momento la forensics valida ai fini probatori può essere effettuata solo
dalle autorità di polizia ad esse preposte.
Per quanto tu possa cifrare e firmare un log per utilizzarlo come prova, un
avvocato in un processo te lo smonta in 5 minuti :-)
Puoi chiedere, invece, l'intervento della polizia che farà un'immagine del
disco firmandola con PGP. In quel caso potrà avere valore probatorio in
quanto raccolta da un pubblico ufficiale nell'esercizio delle sue funzioni.
Ciao

Brigante


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- "Utilizzabilita' legale" dei dati sniffati, Massimo Fubini

Data:
- precedente: R: R: modem connessi PUNTO-PUNTO, rossi500
- successivo: Re: Firewall, ahime' questo sconosciuto, Marco Ivaldi
- indice

Argomento:
- precedente: Re: "Utilizzabilita' legale" dei dati sniffati, Raistlin
- successivo: Re: "Utilizzabilita' legale" dei dati sniffati, Federico
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005