Utilizzo di servizi cloud - Digitalisierung

Uso di servizi cloud

L'uso dei servizi informatici è diventato da tempo parte integrante della pratica legale. Tuttavia, l'impostazione e la manutenzione della TI spesso non è fatta dall'avvocato stesso, ma affidata al personale interno o a un fornitore di servizi informatici esterno. Più recentemente, gli studi legali hanno iniziato a utilizzare non solo i cosiddetti computer stand-alone o le reti locali, ma anche i servizi dei fornitori di cloud. Il termine "cloud" è usato per descrivere un insieme di servizi online ai quali si può accedere tramite una rete da qualsiasi luogo, in modo che la loro posizione fisica possa essere trascurata da un punto di vista tecnico.

Mentre negli Stati Uniti il cloud computing si è affermato come un'alternativa all'informatica tradizionale e in Europa il CCBE, come organizzazione ombrello della professione legale, ha emesso raccomandazioni generali su come gestire il cloud computing e quindi ha dichiarato che questa alternativa è uno strumento di lavoro fondamentalmente ammissibile, in Svizzera fino a poco tempo fa c'era una grande incertezza su come tali servizi esterni avrebbero potuto resistere alle severe norme professionali del nostro settore. Un progetto di ricerca universitario svolto in collaborazione con la FSA dal titolo "La digitalizzazione della comunicazione e le soluzioni basate sul cloud come sfida per la professione legale" e uno studio pubblicato dal Center for Information Technology, Society and Law (ITSL) dell'Università di Zurigo hanno fatto chiarezza:

"Se i dati vengono criptati dagli avvocati prima di essere trasferiti a un fornitore di cloud e il fornitore di cloud non ha la chiave, non c'è divulgazione di segreti nel senso dell'art. 321 CP. Poiché i dati criptati non si qualificano come dati personali, anche l'attività del fornitore di cloud non è soggetta alla legge sulla protezione dei dati. In questa costellazione, l'uso di servizi cloud da parte degli avvocati è quindi ineccepibile sotto il diritto penale e di protezione dei dati. Tuttavia, se i dati non sono criptati dagli avvocati, ma solo dal fornitore di cloud, quest'ultimo ha accesso ai dati in chiaro e accesso alle informazioni protette dal segreto professionale. Tuttavia, utilizzando i suoi servizi, il fornitore di cloud diventa parte dell'unità funzionale "studio legale", che è organizzata in base alla divisione delle aree di lavoro, ed è quindi da qualificare come una persona ausiliaria dell’avvocato. Le persone ausiliarie non sono mai terzi non autorizzati ai sensi dell'art. 321 CP. La divulgazione di informazioni segrete ai fornitori di cloud non soddisfa quindi l'elemento oggettivo della divulgazione a terzi non autorizzati, il che significa che non c'è responsabilità penale ai sensi dell'articolo 321 CP. Gli avvocati devono, tuttavia, selezionare attentamente il fornitore di cloud, assicurare contrattualmente la protezione del segreto professionale e garantire che i dati siano utilizzati dal fornitore di cloud solo per l'esecuzione del contratto".

I contributi di diversi autori (cfr. Chappuis/Alberini, secret professionnel de l'avocat et solutions cloud, Anwaltsrevue 8/2017, p. 337 s.) e anche il Consiglio federale appoggiano queste conclusioni: Nell'ambito del suo messaggio sulla legge sulla protezione dei dati, quest'ultimo afferma che il trattamento su mandato di dati personali protetti dall'articolo 321 CP non è escluso anche dalla nuova legge sulla protezione dei dati se i terzi vanno qualificati come ausiliari ai sensi dell'articolo 321 n. 1 comma 1 CP.

Guida FSA per l'outsourcing IT e il cloud computing

Facciamo riferimento alla guida preparata dal gruppo di esperti FSA sulla digitalizzazione nel giugno 2019.

Modelli di servizi cloud

Un sondaggio condotto dalla SAV nel 2018 indica che tra gli studi legali intervistati, le infrastrutture informatiche di base sono per lo più installate in modo stazionario (53%), ma sono già archiviate nel cloud da una grande percentuale (39%). Quasi tutte le risorse TI possono essere esternalizzate in un cloud e i modelli di servizio cloud offerti sul mercato variano di conseguenza. Di solito si distinguono tre categorie principali: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Software-as-a-Service (SaaS). Il modello di servizio PaaS è utilizzato principalmente per lo sviluppo di applicazioni. Poiché è improbabile che gli studi legali utilizzino questo modello al momento, la seguente presentazione è limitata agli altri due modelli.

Infrastructure-as-a-Service (IaaS) è il modello di base dei servizi cloud. Nel modello di servizio IaaS, le risorse di cloud computing (ad esempio, calcolo, archiviazione o accesso alla rete) sono fornite come servizio. Questo modello è un'opzione interessante quando uno studio legale ha bisogno di un'infrastruttura informatica ma non vuole gestirla da solo a causa dei costi. In questo modello, lo studio legale continua a determinare quali soluzioni software sono installate sull'infrastruttura e deve anche adottare misure per garantire la riservatezza e l'integrità del sistema. Il fornitore di cloud, d'altra parte, deve garantire che i dati memorizzati dallo studio legale siano disponibili in ogni momento.

Nel Software-as-a-Service (SaaS), il fornitore di cloud fornisce un'applicazione software basata sul web di facile utilizzo per l'utente finale. In questo modello di servizio, non solo il software e i dati sono immagazzinati centralmente nell'infrastruttura cloud, ma anche l'elaborazione dei dati avviene su questa infrastruttura (per esempio l'elaborazione di testi, il calcolo o la creazione di presentazioni). Il cloud provider installa anche gli aggiornamenti e offre funzioni di supporto. A differenza di IaaS, lo studio legale può fare solo configurazioni limitate rilevanti per la sicurezza nel modello di servizio SaaS. Da un punto di vista tecnico, deve solo garantire la sicurezza dei dati di accesso. Il fornitore di cloud deve garantire la riservatezza dei dati, l'integrità della rete e la disponibilità dei servizi.


Accesso ai dati

Quando si utilizzano i servizi cloud, i dati non sono più memorizzati localmente nello studio legale ma presso il fornitore cloud. La trasmissione via internet è criptata usando HTTPS (Hypertext Transmission Protocol Secure) e TLS (Transport Layer Security)1, che utilizza una chiave forte (128 o 256 bit). Presso il cloud provider, i dati sono anche criptati con una chiave locale, ad esempio con il metodo di crittografia AES (Advanced Encryption Standard).

Ci sono due varianti da distinguere:

  • Se i dati sono prima criptati presso il fornitore di cloud, lo studio legale e il fornitore di cloud hanno accesso ai dati in chiaro.
  • Tuttavia, i dati da memorizzare presso il fornitore di cloud possono essere criptati dallo studio legale prima di essere trasmessi su Internet. Questo permette il libero accesso ai dati solo allo studio legale.

Qui, il fornitore di cloud rende il software disponibile nel cloud. L'applicazione software deve essere in grado di accedere ai file non criptati e i dati sono quindi visibili al fornitore di cloud in chiaro. Tuttavia, gli altri utenti dello stesso cloud non possono accedere ai dati perché viene utilizzata una chiave diversa per ogni cliente. Tuttavia, i clienti che lavorano con contenuti confidenziali devono essere consapevoli del fatto che quando usano SaaS il fornitore di cloud può accedere ai loro dati e ha di fatto la possibilità di usarli.

 

Coinvolgimento di fornitori di cloud stranieri

Se i dati vengono trasferiti all'estero o se un cloud provider straniero ha accesso ai dati memorizzati in Svizzera, questi dati possono essere soggetti a una protezione giuridica più debole o a un diritto di accesso da parte di autorità straniere (ad esempio in caso di misure coercitive di diritto penale). Ad esempio, il Cloud Act29 promulgato dal Congresso degli Stati Uniti nel marzo 2018 permette alle autorità statunitensi di accedere ai dati conservati all'estero se sono in possesso, custodia o controllo di un fornitore di cloud americano.

In linea di principio, la giurisdizione penale svizzera si basa sul luogo di commissione, cioè sul luogo di esecuzione o sul luogo di successo (art. 8 cpv. 1 CP). Se i dati vengono violati e divulgati all'estero, non ci può essere un luogo svizzero di commissione. Tuttavia, non è decisivo per l'ammissibilità di una divulgazione a una persona ausiliaria che quest'ultima sia anch'essa soggetta all'articolo 321 CP. Piuttosto, il fattore decisivo è che il coinvolgimento del cloud provider sia giustificato. Ciò richiede che il fornitore sia contrattualmente obbligato a mantenere il segreto professionale e che l'esternalizzazione sia soggetta a una valutazione del rischio nel singolo caso. Questa valutazione deve innanzitutto prendere in considerazione la sensibilità dei dati, ma anche la conformità contrattuale e legale prevista del fornitore di cloud straniero, nonché la probabilità effettiva di accesso ai dati. Questa valutazione del rischio può variare a seconda delle attività dell’avvocato; è probabile che una particolare cautela sia indicata, per esempio, quando si fornisce a clienti stranieri consulenza legale su questioni fiscali e/o consulenza legale a clienti politicamente esposti.

Salvaguardia supplementare: giustificare il consenso

Anche se l'uso di cloud provider da parte degli avvocati è consentito in linea di principio, sembra ragionevole, nel senso di un'ulteriore salvaguardia, ottenere il consenso dei clienti all'uso di cloud provider (così come all'uso di altre persone ausiliarie, come sostituti e manager informatici) nell’ambito del contratto di mandato. Questo consenso può essere dato informalmente. Inoltre, il consenso implicito potrebbe essere presunto se i clienti sono stati sufficientemente informati sull'uso dei servizi cloud e mantengono in essere il mandato senza  esprimere riserve. Per i mandati già conclusi, invece, l'archiviazione crittografata dall'utente nel contesto di un modello di servizio IaaS è un'opzione che esclude l'accesso del fornitore di cloud ai dati in chiaro fin dall'inizio.