Ormai sempre più spesso si ricorre all’assistenza in remoto per farsi aiutare con il funzionamento di un software; recentemente ci è capitato di fornire un parere su uno degli aspetti della teleassistenza e nel seguente articolo ne riportiamo la parte condivisibile.
Per comodità espositiva, suddividiamo la teleassistenza tra assistenza all’utilizzo di uno specifico software web based e l’aiuto per il funzionamento di un software installato su un client (notebook, pc, tablet o smartphone).
In questo approfondimento ci occuperemo solo della prima tipologia di teleassistenza, ossia dell’assistenza all’utilizzo di un software web based, che agli utilizzatori appare come una pagina internet.
Talvolta quando viene richiesta l’assistenza, ad esempio per l’utilizzo dell’home banking, chi fa assistenza ha la necessità di accedere e vedere la pagina internet così come la sta visualizzando chi ha richiesto assistenza.
A questo punto, chi fornisce l’assistenza ha due alternative: farsi comunicare la password da chi ha richiesto assistenza oppure accedere al software come se si fosse il richiedente, ma senza farsi rivelare la password del richiedente. In entrambi i casi il risultato è lo stesso, ossia chi fornisce assistenza riesce a vedere la stessa pagina che vede l’utente che ha richiesto assistenza.
A nostro parere, per fornire assistenza senza violare la normativa sulla privacy è possibile percorrere solo la seconda strada, ossia accedere – tramite un account di amministratore – così come se si fosse il richiedente, ma senza farsi comunicare la password di accesso. Infatti, così agendo si eviterà che chi fa assistenza venga a conoscenza della password del richiedente, evitando conseguentemente di contravvenire a quando previsto dal punto 2 dell’Allegato B del Codice privacy, ossia che la password deve essere conosciuta solo dall’incaricato.
Resta inteso però che, anche nel caso della teleassistenza da noi “approvata”, andranno implementati alcuni aggiornamenti nel software, suggeriti dal Garante in tema di utilizzo contemporaneo delle medesime credenziali.
Su tale tematica l’Autorità ha scritto che “a fronte dell’accertata possibilità per taluni applicativi di effettuare più accessi contemporanei con le medesime credenziali, al fine di consentire a ciascun utente di controllare l’utilizzo del proprio account” bisogna prevedere “la visualizzazione, nella prima schermata successiva al collegamento, di informazioni relative all’ultima sessione effettuata con le stesse credenziali (almeno con l’indicazione di data, ora e indirizzo di rete da cui è stata effettuata la precedente connessione). Per accrescere la consapevolezza del controllo, le stesse informazioni devono essere riportate anche relativamente alla sessione corrente”. Inoltre bisogna “disciplinare la possibilità di effettuare accessi contemporanei con le medesime credenziali (sessioni multiple), limitandone l’utilizzo ai soli casi necessari per esigenze di servizio (ad es., per le connessioni originate da una stessa postazione di lavoro). In ogni caso, tale possibilità deve essere consentita esclusivamente laddove il certificato digitale o l’indirizzo Ip siano sufficienti a discriminare l’identità digitale delle postazioni accedenti, come sopra descritto. Nel caso in cui non sia possibile individuare la postazione di lavoro, nelle more dell’attuazione delle prescrizioni sopra individuate, deve essere inibita la possibilità di accessi contemporanei” [doc. web n. 1549548, 1657692, 1693889, 2276103].
Pertanto a nostro parere, nel caso in cui sia possibile accedere tramite l’account del richiedente, è necessario adottare i seguenti accorgimenti che vengono normalmente utilizzati nell’assistenza in remoto:
-
prevedere un’informativa sintetica in aggiunta ad un pulsante che consenta a chi riceve assistenza di autorizzare scientemente l’accesso di chi fornisce assistenza (si potrebbe prevedere che compaia nome e cognome dell’operante, od un codice identificativo interno dell’azienda);
-
inibire la possibilità di accesso da altro account senza il preventivo assenso (mediante l’utilizzo del pulsante di cui al punto precedente);
-
inibire ogni altra possibilità di utilizzo contemporaneo di un account;
-
far visualizzare nella home-page di del richiedente “l’indicazione di data, ora e indirizzo di rete da cui è stata effettuata la precedente connessione”.
Scrivi un commento
Accedi per poter inserire un commento