Backup dati: strategie operative e responsabilità legali di chi deve occuparsene - Cyber Security 360

SOLUZIONI TECNOLOGICHE

Backup dati: strategie operative e responsabilità legali di chi deve occuparsene

L’incendio al data center OVH ci ricorda l’importanza di tutelare i nostri dati archiviati nel cloud o in un sito Web adottando una strategia efficace nell’effettuare e conservare una copia di backup, verificando al contempo la presenza di una clausola di manleva per backup nei contratti della web agency

29 Apr 2021
C
Mirko Cazzolla

Mobile App Specialist

D
Monia Donateo

Polimeni.Legal

Nell’ultimo mese si parla tantissimo di backup dati e della sua importanza anche a seguito del grave incendio ai data center OVH di Strasburgo, evento che ha visto tantissime aziende costrette a ricostruire ex novo i propri siti o i siti dei propri clienti.

Ciò è avvenuto sia per chi non aveva un servizio di backup presso OVH, sia per chi invece lo aveva, con ogni evidente pregiudizievole conseguenza sotto il profilo contrattuale con i clienti.

Prima di entrare nel merito delle responsabilità a cui un’agenzia va incontro e delle relative precauzioni che dovrebbe attuare nel rapporto contrattuale con i propri clienti, occorre una breve disamina sul tema e su come il cloud sia sempre più scheletro dell’Internet.

Come funziona il cloud

Il cloud è ormai al centro della nostra routine. Ci mettiamo di tutto: le foto della nostra ultima vacanza, quel documento importante che è comodo avere a portata di smartphone, le e-mail scambiate con l’ultimo cliente.

I nostri dati sono sul cloud. Ma sappiamo esattamente cosa vuol dire? Per capirlo, facciamo un passo indietro, un passo lungo 30 anni. Era il 1991 quando il CERN pubblicò il primo sito internet della storia, a opera di Tim Berners-Lee: da quel giorno, il numero di siti internet è letteralmente esploso, fino a toccare i circa 200 milioni di siti attivi di oggi e 2 miliardi di domini registrati.

Avere un sito internet è quindi un cosa abbastanza comune, soprattutto per un’attività commerciale o un professionista. Ancor più comune è archiviare documenti e dati sul cloud. Ma cosa vuol dire possedere un sito internet o dei dati in rete? Dove si trovano e come vengono gestiti?

Cosa significa avere un sito internet o dei dati in rete

Con estrema sintesi e semplicità, a scapito di dettagli e formalismi tecnici, un sito internet consiste in un’applicazione, un software, che è sempre in esecuzione ed è raggiungibile tramite un indirizzo web. In questo modo riesce a gestire le richieste che gli vengono fatte quando, navigando, visualizziamo il contenuto delle varie pagine o risorse.

Per fare in modo che tutto funzioni, abbiamo bisogno di due componenti fondamentali: il software – che in questo caso è un sito internet funzionante – e l’hardware, un computer che sia sempre acceso e connesso ad internet.

Di base, è possibile far funzionare un sito internet sul proprio computer, tuttavia garantire a tutti gli internauti che il proprio PC non verrà mai spento, non avrà mai guasti o malfunzionamenti o che la rete domestica performi sempre al meglio e sia in grado di gestire tutti i visitatori del sito è utopia.

Per questo motivo ci si affida a fornitori terzi che ci offrono il servizio di “hosting”, in pratica ci offrono un “computer” più o meno a nostra disposizione sui cui possiamo caricare e tenere in esecuzione il nostro sito. Questo “hosting” si trova all’interno di enormi edifici pieni zeppi di altri computer e verrà gestito e tenuto operativo h24 per noi da chi ci offre il servizio. Ci dovremo occupare esclusivamente di sviluppare un buon sito da caricare nell’hosting del fornitore di servizi, mentre la gestione della macchina hardware su cui girerà viene completamente demandata al fornitore.

Ciò vale per un sito così come per i nostri documenti e foto archiviati in cloud. I nostri dati si trovano in un hard disk che anziché trovarsi nel nostro pc, è all’interno di un computer in uno di questo edifici, accompagnato da un applicativo web che ci permette di caricare altri dati, visualizzare quante e quali foto abbiamo caricato e scaricarle.

Sia che utilizziamo il nostro pc di casa, che un hosting, stiamo comunque svolgendo la funzione di “server”, poiché per server, nella sceneggiatura dell’informatica, si intende semplicemente l’attore che “serve” le richieste che fanno i visitatori (client) ad un sito o ad un software in generale.

Tuttavia, quando scegliamo di spostare il server dalla nostra abitazione o attività in un luogo remoto, preposto e ottimizzato per questo, utilizziamo il concetto di “cloud”.

Backup: a che serve, come farlo e strumenti migliori (2021)

Backup: quali dati devono essere salvati

Possiamo immaginare un sito web come l’equivalente di un negozio digitalizzato nella rete. Il fatto che sia sempre aperto e in grado di gestire i clienti è fondamentale per la nostra attività. Scegliendo di demandare la gestione “hardware” a terzi, stiamo mettendo nelle loro mani tutto il nostro “sito”.

Per assicurarci che questo continui a funzionare sempre e correttamente, la strategia migliore è certamente quella di conservare delle copie di riserva. Se dovesse accadere qualcosa sia alla componente software che a quella hardware, potremmo ricostruirlo in pochissimo tempo, altrove, partendo da un backup dati.

Vediamo ora quali sono le parti che possono essere oggetto di backup.

Un sito è composto prima di tutto da file statici che contengono il codice che verrà letto ed eseguito dal server. Questi file sono essenzialmente dei documenti che contengono del testo in linguaggio informatico. Questa che costituisce la base di partenza del sito si avvale della seconda componente fondamentale, il database. Il database contiene i dati delle pagine, dei contenuti, degli utenti registrati al sito e dei dati che gli utenti hanno archiviato in esso. Terza componente è quella dei file media caricati dagli utenti.

Ciascuna di queste componenti riveste un ruolo chiave nel funzionamento del sito e nel garantire una corretta e soddisfacente esperienza utente dei visitatori. Se un nostro visitatore (cliente) carica dei contenuti nel nostro sito, si aspetta di poter fare affidamento e di ritrovarli in un futuro accesso.

Viste le componenti principali di un sito, per assicurarci di resistere a perdite di dati del fornitore hosting o attacchi hacker abbiamo due strategie principali di backup. La prima è quella di conservare backup giornalieri (o più frequenti) di file statici, database e risorse. Se qualcosa andrà storto, ci basterà ricaricare questi dati per rimettere in piedi il sito.

La seconda è quella di salvare una copia dell’intero “server” che l’hosting ci mette a disposizione. Un’immagine che comprenda non solo i file ma anche l’intera macchina a noi dedicata, e che ci permetta di ripristinarla ripartendo esattamente da dove eravamo rimasti. Una sorta di macchina del tempo.

La seconda è certamente da preferire ma non tutti i gestori offrono questo servizio.

Strategie di backup dati

Alla luce di quanto detto circa i tipi di dati che dobbiamo tutelare, occorre però avere una strategia efficace nell’effettuare e conservare questi backup.

Dobbiamo in primo luogo assicurarci di effettuare frequenti e regolari copie di backup dei dati. In base all’importanza e alla frequenza di aggiornamento dei nostri contenuti sarà opportuno effettuare una o più copie durante la giornata. Questo ci permetterà, in caso di un evento avverso, di avere a disposizione una copia recente pronta all’uso.

Il secondo principio è quello di diversificare il luogo di conservazione.

È buona norma tenere una copia di backup pronta all’uso, magari sullo stesso server utilizzato per ospitare il sito. In caso di ripristino la copia di riserva si troverà già dove serve riducendo i tempi di intervento e quindi di disservizio. Un’altra copia andrà conservata in un altro punto della rete, presso un secondo servizio collocato in una diversa area geografica.

Nel malaugurato caso di problemi presso il luogo in cui il nostro gestore conserva i nostri dati, avremo una copia sana e salva in un altro Stato o regione geografica. La terza ed ultima copia è bene conservarla in locale, nel proprio hard disk esterno o PC, assicurandosi che i dati siano protetti e sicuri.

Ipotizziamo che la probabilità che una delle tre copie subisca danni o vada irrimediabilmente persa sia di una su mille: avendo tre copie della stessa, la probabilità che tutte e tre le copie siano compromesse contemporaneamente scende vertiginosamente a una su un miliardo.

Queste sono alcune delle cose che possiamo fare noi, tuttavia i servizi di hosting forniscono di base dei servizi di backup di emergenza e per massimizzare la qualità e la sicurezza del servizio offerto, duplicano il contenuto dei nostri dati in uno o più dei loro stabilimenti, auspicabilmente in regioni geografiche differenti.

Se ipotizziamo che i nostri dati siano allocati di base presso un data center in Olanda, e in replica a Francoforte, nel caso di un malfunzionamento al data center olandese, il nostro sito continuerà indisturbato a girare presso il data center a Francoforte.

Clausola di manleva per backup nei contratti della web agency

L’importanza di un contratto blindato in punto di responsabilità sussiste sia nel caso in cui come web agency offriamo solo la creazione di un sito con eventuale manutenzione ed assistenza senza backup, che nel caso in cui, a maggior ragione, il backup lo offriamo.

Il caso OVH ha fatto emergere profili tecnico-giuridici davvero interessanti che purtroppo vengono sempre trascurati, talvolta anche dalle medie e grandi aziende come web agency e software house italiane, molte delle quali – offrendo un servizio di backup con OVH stessa – hanno di fatto affidato ad un unico soggetto le sorti del proprio business con buona pace degli adempimenti tecnici a tutela del proprio lavoro di cui sopra.

In altri termini, sono andati persi per sempre quei data center contenenti i backup – e non avendo provveduto a farne un altro “privato” o con un terzo outsourcer – sono andati incontro ad una cospicua perdita di dati e contenuti, perdita del posizionamento fino ad allora acquisito dai propri clienti, perdita di leads e di investimenti marketing etc.

Ebbene, senza un contratto che contenga delle clausole di esonero di responsabilità per eventi che esulano dall’agenzia o comunque per qualsiasi motivo imputabile al terzo fornitore (nel nostro esempio, OVH), dovremmo aspettarci che il cliente avanzi richiesta di risarcimento dei danni per tutte le perdite subite.

Viene dunque meno il legittimo affidamento nel servizio di backup che l’agenzia garantiva nel contratto. Si badi bene, tutte le clausole di manleva in Italia valgono soltanto se sottoscritte appositamente, ovvero richiamate espressamente in una sezione separata dalle clausole contrattuale (c.d. doppia sottoscrizione).

Va da sé che l’azienda sprovvista di tali formalità contrattuali potrebbe essere tenuta a pagare i danni ai propri clienti, potendo a sua volta rivalersi sull’outsourcer sia per le voci di danno corrisposte a titolo risarcitorio che per l’eventuale lucro cessante, ovvero perdita di nuovi clienti per tutto il tempo occorrente a rimettere sui siti persi.

A maggior ragione chi non fornisce il servizio backup deve necessariamente inserire nel proprio contratto una clausola di limitazione di responsabilità sottoscritta ad hoc con la quale si esplicita l’assenza dell’obbligo della web agency di effettuare il backup su contenuti, informazioni e dati inseriti dal cliente o creati dallo stesso.

Sarà quindi contenuta nel contratto una clausola con cui il cliente si impegna espressamente ad effettuare il backup completo e a prendere tutte le misure di sicurezza a sua tutela.

Pertanto, la web agency in nessun caso potrà essere considerata responsabile di perdite di dati o danni subiti dal cliente o da un terzo per effetto del suo operato o per effetto di sospensione dovuta a cause imputabili allo stesso cliente o a cause di forza maggiore.

L’azione contro OVH

Proprio in merito alla possibilità di rivalersi sul fornitore del servizio hosting, Polimeni.Legal ha raccolto l’interesse di circa cento aziende (web agency e proprietari di siti come gli e-commerce) che potranno agire contro OVH Italia per ottenere il risarcimento del danno derivante dalla perdita totale o parziale dei siti e relativi dati.

Alcune tra le agenzie che hanno perso il backup presso OVH – non avendone un altro diverso da quello offerto da OVH o comunque non recente – sono risultate scoperte a livello contrattuale per assenza della suddetta clausola di manleva. In queste fattispecie, una buona strategia per il contenimento delle pretese può essere agire in favore del cliente ricostruendo ex novo il sito e poi avanzare, nei confronti di OVH, richiesta di risarcimento per l’inadempimento contrattuale, ovviamente prove alla mano (tra cui il dettaglio delle ore di lavoro, le spese vive sostenute, la quantificazione del lucro cessante per mancata acquisizione di altri clienti ecc.).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5