Quaderno UNINFO: sicurezza delle informazioni e privacy

Segnalo che è stato pubblicato il Quaderno UNINFO dal titolo "La gestione della sicurezza delle informazioni e della privacy nelle PMI".

Ho collaborato alla sua redazione con alcuni membri del Gruppo di Lavoro UNINFO sulla serie di norme ISO/IEC 27000. Si tratta infatti di una riflessione sui collegamenti tra ISO/IEC 27001 e normativa privacy. La seconda parte del quaderno presenta una tabella con i collegamenti tra i requisiti dello standard e quelli della normativa italiana.

Devo dire che è stato un lavoro molto interessante, che mi ha dato la possibilità di avere un bel confronto con professionisti preparati.

La home page di UNINFO:
- http://www.uninfo.polito.it/



La pagina delle pubblicazioni di UNINFO:
- http://www.uninfo.polito.it/Pubblicazioni.htm

Il link diretto al Quaderno:
- http://www.uninfo.polito.it/SC27/SC27public/Quaderno%20UNINFO_La_gestione_dellaSicurezza_delleInformazioni_e_della_Privacy_v1_0.pdf

IRCA Briefing note: Annex SL

L'IRCA ha pubblicato una piccola guida sull'Annex SL.

Si sta parlando dell'Allegato SL al "ISO/IEC Directives, Part 1: Consolidated ISO Supplement – Procedures specific to ISO". Precedentemente, questo Allegato aveva il nome di ISO Guide 83.

L'Annex SL stabilisce lo schema comune che dovranno avere tutte le norme di requisiti per i sistemi di gestione. In altre parole, stabilisce lo schema che dovranno avere le future edizioni di ISO 9001, ISO 14001, ISO/IEC 20000-1, ISO/IEC 27001 e non solo. Questo schema è già stato adottato, anche se in una versione precedente, dalla ISO 22301 sulla business continuity.

Il testo si può trovare all'appendice 3 dell'allegato SL del supplemento consolidato dell'ISO della parte 1 delle direttive ISO/IEC. In poche parole: da pagina 143 a pagina 152 del documento che si può scaricare da qui:
- http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype

La guida dell'IRCA illustra i punti più significativi delle modifiche che saranno introdotte negli standard dei sistemi di gestione:
- http://www.irca.org/en-gb/resources/Guidance-notes/Annex-SL-previously-ISO-Guide-83/

Di Internet e delle pene

Paolo Gasperi di Loogut mi ha segnalato il libro "Di Internet e delle pene" che ha scritto con Silvano Marchi.

L'ho trovato interessante perché spiega in modo chiaro 5 sentenze corrispondenti ad altrettanti reati:
- diffamazione su social network
- cyberstalking
- pubblicazione di un numero telefonico su social network
- scambio video con protagonisti non consenzienti
- uso di e-mail intestata ad altro

Il libro, gratuito e di sole 47 pagine, è scaricabile da:
- http://www.ladige.it/articoli/2012/02/06/sicurezza-line-questione-cultura

Call Center e privacy - Decreto crescita

Max Cottafavi di Spike Reply mi ha segnalato un aggiornamento privacy con impatto sui call center.

Il DL 83/2012, convertito dalla Legge 134/2012, ha visto l'aggiunta in fase di conversione dell'articolo 24, dal titolo "Misure  a  sostegno  della  tutela  dei  dati  personali,  della sicurezza  nazionale,  della  concorrenza  e  dell'occupazione  nelle attività svolte da call center".

Per quanto riguarda la privacy, l'articolo richiede (sintetizzo): Quando un cittadino effettua o riceve una chiamata a/da un call center deve essere informato preliminarmente, e se il caso, sul Paese estero in cui  l'operatore con cui parla è fisicamente collocato.

Il DL è facilmente reperibile con la funzione di ricerca di www.normattiva.it.

Segnalo, su indicazione dello stesso Max Cottafavi, questo articolo dell'Istituto Italiano per la Privacy, con riflessioni critiche:
- http://www.istitutoitalianoprivacy.it/it/decreto-sviluppo-istituto-privacy-in-parlamento-norma-sbagliata-sui-call-center/

NISTIR 7874: "Guidelines for Access Control System Evaluation Metrics"

Il NIST, a settembre 2012, ha pubblicato il report "Guidelines for Access Control System Evaluation Metrics".

Lo segnalo per due motivi: uno tecnico e uno terminologico.

Il motivo tecnico è presto detto: il rapporto presenta un elenco di requisiti che dovrebbe avere un sistema di controllo accessi. E' evidentemente rivolta agli sviluppatori e richiede un buon livello di preparazione tecnica.

Il motivo terminologico riguarda l'uso del termine "metrica". Il documento presenta come "metriche" quasi unicamente domande le cui risposte possibili sono "sì" o "no". Qui si pone un primo problema: si può parlare di "metriche", e quindi di "misurazione" come da ISO/IEC 27004, se la scala è composta da due valori discreti? A rigore, ovviamente, la risposta è sì. Tutto ciò, nel mondo non scientifico, porta al rischio di vedere inclusi nelle metriche anche valori soggettivi ("è adeguato?"; "sì"), fino a perdere di vista la differenza tra "metriche", "valutazioni su parametri oggettivi" e "valutazioni su parametri soggettivi".

Tutto ciò può portare (e sta già portando) a errori potenzialmente dannosi, come l'idea che si possa fare un'analisi dei rischi quantitativa o che il livello di sicurezza sia misurabile sulla base di valori oggettivi.

Concludo, anche se salto logico potrebbe apparire eccessivamente ampio: è un errore cercare di riportare la sicurezza a schemi rigorosamente logico-analitici: c'è anche la psicologia, di cui tenere conto. Oltre al fatto che un approccio troppo rigoroso dovrebbe tenere conto di un elevatissimo livello di complessità che mal si sposa con il fatto che la sicurezza deve essere applicata da organizzazioni fatte di persone. Quindi, promuovo il ritorno a termini meno ambiziosi di "metriche": "criteri di valutazione" andrebbe benissimo.

Modifiche al CAD (commento)

A settembre 2012 avevo scritto un articolo sulle modifiche al Codice dell'Amministrazione Digitale:
- http://blog.cesaregallotti.it/2012/07/modifiche-al-codice-dellamministrazione.html

Io avevo scritto che "la Pubblica Amministrazione è invitata ad acquisire software freeware e non solo open source". Andrea Rui mi ha scritto la precisazione che segue e lo ringrazio.

Il CAD vuole specificare meglio, rispetto alla precedente edizione, che è d'obbligo (a meno di motivatissime ragioni) l'utilizzo di software che viene tecnicamente (non nel testo) identificato come FLOSS (Free/Libre Open Source Software).

Faccio questa precisazione perché il termine 'open source' non sempre implica gratuità, ed in generale il freeware è software a codice chiuso, ma disponibile gratuitamente.

Agenzia per l'Italia Digitale

Il Decreto Legge 83 del 22 giugno 2012 ("Misure urgenti per la crescita del Paese") ha sancito la chiusura di DigitPA per passarne le funzioni alle neonata Agenzia per l'Italia Digitale. Il Decreto Legge è stato convertito con modificazioni dalla Legge 134 del 7 agosto 2012.

Ricordo che DigitPA era nata a dicembre 2009 come erede del CNIPA, a sua volta erede dell'AIPA. Chissà se la catena si fermerà per un po' di tempo.

L'operazione è ovviamente lodevole, visto che promuove l'accentramento delle funzioni della Pubblica Amministrazione sull'informatizzazione.

L'articolo 20 del DL afferma che l'Agenzia prenderà le funzioni di DigitPA, eccetto "ogni altra funzione prevista da leggi e regolamenti  già  attribuita al CNIPA, nell'ambito delle direttive del Presidente del Consiglio dei Ministri o del Ministro delegato". Mi chiedo allora chi svolgerà quelle funzioni.

Ho notato con dispiacere che il sito di DigitPA non dà la notiza (cita le attività dell'Agenzia per l'Italia Digitale, ma nulla più) e non ho ancora capito se esite un sito web dell'Agenzia per l'Italia Digitale. Capisco che non ci sia, visto che è appena nata; se qualcuno avrà notizie, prego di fornirle.

Comunque, l'Agenzia ha già iniziato a lavorare sui servizi di Disaster Recovery nelle Pubbliche Amministrazioni (la pubblicazione è sul sito di DigitPA): http://www.digitpa.gov.it/sites/default/files/Raccomandazioni_PROFILI%20MINIMI%20SERVIZI%20DI%20DR_v_2_4_0.pdf

Assicurazioni e sicurezza informatica (commenti)

A settembre ho scritto un articolo sul mercato delle assicurazioni nell'ambito della sicurezza informatica:
- http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html

Ho ricevuto questo commento da Fabrizio Monteleone del DNV Italia: "ci sono articoli del codici civile che trattano i rischi nelle assicurazioni; in particolare il 1897 "Diminuzione del rischio". Esso afferma che se il contraente comunica all'assicuratore mutamenti che producono una diminuzione del rischio (perchè ha fatto l'analisi dei rischi, si è certificato.....), l'assicuratore deve abbassare il premio corrispondente.
Quante aziende certificate ISO/IEC 27001 o BS 25999 lo usano coi loro broker assicurativi? Come potremmo aiutarli?"

Le mie risposte sono facili:
- non so quante aziende certificate ISO/IEC 27001 o BS 25999 usano questo articolo coi loro broker assicurativi. Ho delle supposizioni, ma preferirei avere prima dei dati (se i miei lettori vorranno contribuire, ne sarò ben lieto)
- potremmo aiutarli dicendo loro questa cosa

Per leggere l'articolo del CC: http://www.studiocataldi.it/codicecivile/assicurazione.asp

Stefano Ramacciotti ha trovato interessante il fatto che qualcuno orienti le assicurazioni a riconoscere la bontà del prodotto se sottoposto a 2700x e/o Common Criteria. Infine ragiona: "Forse... dove non poté la politica, poté il dio denaro".

European Cyber Security Month

Mi segnala Simone Tomirotti che "una volta c'era il mese della prevenzione dentale; oggi c'è l'European Cyber Security Month!"

Si tratta di ottobre 2012. Il materiale è in inglese, francese, tedesco e spagnolo. Manca l'italiano e ho un sospetto del perché non ne ho ancora sentito parlare.

Ad ogni modo, il materiale (poster, video, illustrazioni) è interessante anche per chi vuole cominciare una campagna di sensibilizzazione sulla sicurezza informatica nella propria azienda.

Il sito: http://www.enisa.europa.eu/activities/cert/security-month

Standardizzazione: le regole del gioco

La UNI ha pubblicato il libro "Le regole del gioco", in cui sono spiegati in modo chiaro e scorrevole i processi che portano alla definizione degli standard nazionali e internazionali. Sono descritti quasi tutti i termini gergali e gli acronimi che non sempre sono facili da capire.

L'ho letto con piacere e con gusto. Ho trovato spiegate le relazioni tra UNI, UNINFO, EN, CEI e ISO; la definizione di PAS, TS e IS; la storia della normazione internazionale. Non sono neanche nascoste le difficoltà che ogni tanto emergono e le limitazioni della normazione.

La pagina ufficiale al libro "Le regole del gioco", scaricabile in pdf:http://www.uni.com/index.php?option=com_content&view=article&id=1555

Le mie critiche ai processi di normazione:http://blog.cesaregallotti.it/2012/05/chi-partecipa-ai-comitati-iso_10.html

Architetti e ingegneri

Nel contesto dell'organizzazione aziendale, negli anni '80 e '90 del XX secolo andava di moda l'ingegneria. Schiere di consulenti promuovevano la "reingegnerizzazione" dei processi (business process reengineering; BPR); ma tantissimi progetti fallirono o ebbero grossi problemi: troppe analisi, troppa complessità nella definizione delle soluzioni, troppe difficoltà nel realizzarle, troppi soldi per i consulenti. Per tutto l'inizio degli anni 2000, non si è quasi più sentito parlare di questa materia.

In questi ultimi anni stanno prendendo la scena gli architetti e si sente parlare assai di "Enterprise architecture" (EA), soprattutto in ambito IT. I loro riferimenti sono principalmente il TOGAF e ArchiMate, ambedue mantenuti (e venduti) dal The Open Group (già dal nome, fanno capire che nel marketing sono bravi).

Ho guardato velocemente Wikipedia e quanto disponibile liberamente sul web. Mi pare che questi architetti non siano diversi dai precedenti ingegneri: tanti modelli, tanta astrazione, tanti nomi difficili, tanto approccio top-down (ossia: scrivere le procedure senza sapere cosa fa attualmente chi le dovrà applicare e, quindi, le difficoltà che avrà nell'adottarle). Immagino che ciò voglia anche dire tanti soldi per i consulenti. Consulenti che amano scrivere documenti, parlare con i dirigenti e non affaticarsi a capire cosa succede veramente tra gli operatori.

Io sono un matematico e già ho una naturale diffidenza per ingegneri e architetti. Ho anche avuto modo di imparare a fare consulenza scrivendo pochi e sintetici documenti, parlando e discutendo con gli operatori e cercando di capire visivamente i processi aziendali prima di proporre modifiche. Ho scoperto in un secondo tempo che si potrebbe apporre l'etichetta "Kaizen" a questo approccio (sarebbe comunque limitativo; il Kaizen è materia molto complessa). E ho scoperto che i miei progetti durano poco tempo, lasciano dietro di sé qualcosa (non tutto) che dura qualche annetto, mi fanno fare delle amicizie che ancora durano.

Non è pubblicità a me stesso: ci sono anche altri che la pensano come me, da cui ho imparato molto e lavorano quasi sicuramente meglio di me. Chiamateci artigiani, se volete.

Perché scrivo tutto ciò? Per dire perché studio superficialmente i modelli BPR e EA e ne diffido. Forse sbaglio, forse molti non condividono il mio punto di vista. Meno male.

- Il TOGAF: http://pubs.opengroup.org/architecture/togaf9-doc/arch/index.html
- ArchiMate: http://www.opengroup.org/archimate/
- Il DoDAF, il modello EA del DoD USA: http://dodcio.defense.gov/dodaf20.aspx

Infine, segnalo l'articolo che mi ha spinto a scrivere questo, segnalato sul itSMF Italia Group di LinkedIn:
- http://www.twitlonger.com/show/j63qc9?goback=.gde_43531_member_159589784

CERT-EU

Non sapevo che esistesse, ma la notizia sul SANS Newsbyte dice che dopo un anno di sperimentazione il CERT europeo è stato confermato in modo permanente.

Il sito mi sembra molto ricco di informazioni, forse fin troppe.

Per chi fosse interessato: http://cert.europa.eu

10 steps to cyber security: la guida del UK GCHQ

Dalla newsletter del SANS, si ha la notizia che il UK Government Communications Headquarters ha attivato il programma "Cyber security guidance for business". Nella pagina dedicata si trovano alcune guide certamente interessanti. Nulla di nuovo, ma il promotore è degno di nota:
- http://www.bis.gov.uk/policies/business-sectors/cyber-security/downloads

Garante privacy: regole per le scuole

Il Garante Privacy ha pubblicato un opuscolo con le regole applicabili alle scuole.

La maggior parte sembrano regole di buon senso.

Ringrazio Daniela Quetti della DFA per la segnalazione:
- la pagina del Garante: http://www.garanteprivacy.it/garante/doc.jsp?ID=1922676

Guida alla sicurezza informatica personale

Dal blog Over Security ho avuto la notizia della pubblicazione di "Il giornalista Hacker. Piccola guida per un uso sicuro e consapevole della tecnologia" di Giovanni Ziccardi.

Un pdf di 36 pagine con riportati, tra gli altri, gli strumeni utili per cifrare i propri dati, navigare in modo anonimo su Internet, cancellare in modo sicuro i file.

Il link:
- blog.marsilioeditori.it/files/2012/04/Il_giornalista_hacker.pdf

Qualche tool per analizzare la sicurezza

Io seguo da diversi mesi e con interesse il blog Over Security. E' dedicato maggiormente alla tecnologia rispetto al mio, ma è spesso interessante.

Il blog segnala anche diversi strumenti per la verifica tecnologica della sicurezza. Io ho raccolto alcune segnalazioni e, pur senza averle mai testate, mi sento di elencarle:
- W3af (Web Application Attack and Audit Framework) è un web scanner dedicato alla sicurezza delle applicazioni Web; il sito ufficiale è http://sourceforge.net/projects/w3af/; sono convinto che gli sviluppatori di applicazioni web dovrebbero imparare ad usarlo oppure utilizzare altri prodotti simili (cosa che spesso non succede)
- Nessus è il più famoso strumento di analisi della rete e ora è disponibile la verisione 5; il sito è www.nessus.org
- Nmap, il famoso software di port scanning, è ora alla versione 6; il sito web è http://nmap.org/6/
- WPA tester: un simpatico strumento Android da utilizzare nel caso in cui abbiate perso la chiave della vostra wi-fi (ehm ehm ehm); mi piacerebbe averlo per pc (solo perché ogni volta che perdo la chiave della mia wi-fi non ho voglia di fare copia incolla dal cellulare al pc); il sito è https://carlomandroid.wordpress.com/download-wpa-tester/

Modifiche alla normativa sul Segreto di Stato

Dal blog Over Security apprendo che è stata approvata la Legge 133 del 2012 che modifica la Legge 124 del 2007, quella sul Segreto di Stato (il titolo è "Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto").

Le modifiche non mi sembrano rilevanti per le finalità delle imprese private.

E' possibile leggere il testo su www.normattiva.it.
E' anche possibile leggere il comunicato dell'AdnKronos:
- http://www.adnkronos.com/IGN/News/Politica/Servizi-segreti-Senato-approva-la-riforma-e-legge_313560499627.html

Pubblicata la ISO/IEC 20000-3:2012

Dall'ITSM (ITIL) Professionals Group Members di LinkedIn ho avuto notizia, poi confermata dal sito ISO, che il 14 agosto è stata pubblicata la nuova versione della ISO/IEC 20000-3 "Guidance on scope definition and applicability of ISO/IEC 20000-1".

Come noto, la ISO/IEC 20000-1 può essere applicata a tutti i fornitori di servizi IT, ma non tutti possono conformarsi completamente a tutti i suoi requisiti. Questo perché, per ottemperare a tutti i requisiti, è necessario avere il pieno governo di tutti i processi descritti dalla norma e quando si utilizzano fornitori esterni non sempre è possibile.

La norma descrive quindi i criteri da utilizzare per comprendere se un'organizzazione (o parte di essa) può essere conforme a tutta la ISO/IEC 20000-1.

La norma non si limita però a questo e fornisce anche ulteriori utili requisiti per condurre delle verifiche ad un sistema di gestione dei servizi IT.

Rispetto alla precedente versione del 2009, questa è stata completamente riscritta, presenta più esempi e prende in carico le esperienze accumulate in questi anni.

Assicurazioni e sicurezza informatica

L'ENISA, il 28 giugno, ha pubblicato lo studio "Incentives and barriers of the cyber insurance market in Europe". E' possibile scaricarlo dalla pagina ufficiale (io ne ho avuto notizia dalla newsletter del Clusit):
- https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/incentives-and-barriers-of-the-cyber-insurance-market-in-europe

Lo studio è molto interessante e provo di seguito a fornirne alcuni spunti.

I rischi di sicurezza informatica rispondono alle caratteristiche dei modelli di assicurazione e, pertanto, potrebbero essere oggetto di polizze.

Nonostante ciò, il mercato delle assicurazioni per la ciber-sicurezza in Europa non è maturo. I motivi individuati sono i seguenti:
- non ci sono sufficienti dati attuariali (ma questo non ha impedito di avviare il mercato delle assicurazioni sull'inquinamento delle piattaforme petrolifere, sul danno ai satelliti, sulle controversie di lavoro);
- le perdite potenziali sono incerte: anche perché i danni maggiori sono dovuti al valore di beni intangibili (le informazioni), per i quali non sono disponibili metodi di valutazione
- ci sono difficoltà a comprendere quali rischi assicurare (attacchi criminali, attacchi terroristici, rotture di apparecchiature, perdita di dati), a loro volta non sempre facili da distinguere in caso di incidente
- le innovazioni tecnologiche non permettono di fare previsioni basate su casi precedenti
- difficoltà a definire quale possa essere il limite superiore delle perdite da assicurare; a questo aspetto sono collegate le caratteristiche di "interdipendenza della sicurezza" (il livello di rischio non dipende solo dalle carattersitiche dell'assicurato, ma anche di altri quali partner, fornitori vari, eccetera) e di "rischi correlati" (un singolo evento può danneggiare più assicurati o essere talmente distruttivo da richiedere un risarcimento non conveniente per l'assicuratore)
- ridotta visibilità sull'efficacia delle misure di sicurezza (lo studio tratta anche delle certificazioni ISO/IEC 27001 e Common Criteria; io ritengo anche che ogni meccanismo è difficile da valutare);
- la percezione che i prodotti assicurativi ora disponibili sono sufficienti per i potenziali assicurati (tranne poi scoprire che non è così al momento della richiesta di risarcimento)
- il possibile "azzardo morale", per cui l'assicurato non realizza un buon livello di prevenzione perché si sente già coperto dall'assicurazione
- collegato a questa, c'è la possibilità che l'assicurato, a fronte di un incidente, investa in campagne di comunicazione per ridurre il danno consequenziale o secondario (di immagine), non occupandosi delle cause per cui si è verificato l'incidente e lasciando quindi aperte delle vulnerabilità
- la possibile "selezione avversa", ossia il fatto che la disponibilità di informazioni per calcolare il premio è assimetrica: il potenziale assicurato non fornisce tutti i dati a sua disposizione all'assicuratore (io aggiungo che forse neanche li ha)
- mancanza di meccanismi di ri-assicurazione, ossia della possibilità per l'assicuratore di assicurarsi a sua volta nel caso in cui riceva numerose richieste di risarcimento nello stesso momento (fatto che può capitare in occasione di certi attacchi o eventi naturali)

Si aggiunge che il Lloyds ha dichiarato che il mercato delle ciber-assicurazioni è in crescita (ma chissà quanto questa dichiarazione ha fini pubblicitari) e potrebbe avere una spinta dal futuro Regolamento UE sulla privacy che richiede di notificare ogni violazione alle autorità preposte.

Concludo scivolando sul personale: sul rapporto ho trovato che "la sicurezza quantitativa (uno dei pezzi fondamentali per le assicurazioni) è supportata da metodi di validità non chiara, secondo alcuni studi recenti" e cita un articolo del 2009. Io lo dico almeno dal 2002 che non è possibile quantificare la sicurezza: non è difficile arrivarci, basta aver fatto almeno un'analisi dei rischi. Purtroppo, anche recentemente, ho avuto alcune discussioni con chi sosteneva la possibilità di fare analisi quantitative.

Conservazione delle registrazioni

Finalmente, causa anche mia pigrizia, ho trovato i punti normativi per cui la documentazione contabile debba essere conservata per almeno 10 anni: si tratta dell'articolo 2220 del Codice Civile che recita:
<< Le scritture devono essere conservate per dieci anni dalla data dell'ultima registrazione.
- Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti.
- Le scritture e documenti di cui al presente articolo possono essere conservati sotto forma di registrazioni su supporti di immagini, sempre che le registrazioni corrispondano ai documenti e possano in ogni momento essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza detti supporti.>>

Questo è quanto ho trovato su http://www.studiocataldi.it/codicionline.asp.

Ho trovato questo riferimento in un dossier de Il Mondo (segnalatomi da Franco Ferrari del DNV), che riporta una comunicazione commerciale dell'azienda Faber System dal titolo "meglio conservare le e-mail". Io penso che l'articolo in questione (anche richiamato dall'articolo 22 della Legge 600 del 1973) faccia riferimento alle sole scritture contabili e non bisognerebbe esagerare. Penso anche che i documenti aziendali non dovrebbero essere conservati nelle caselle di posta, ma in altri archivi.

POST SCRIPTUM

Aggiorno questo articolo su una segnalazione che mi è arrivata che riporto di seguito.

Il Codice Civile riporta anche i seguenti articoli:
- art. 2946 "prescrizione ordinaria": salvi i casi in cui la legge dispone diversamente, i diritti si estinguono per prescrizione con il decorso di dieci anni;
- art. 2945 "Effetti e durata dell'interruzione": per effetto dell'interruzione s'inizia un nuovo periodo di prescrizione.

L'art 2945 è particolarmente insidioso; infatti sottointende che se si interrompe la conservazione (per esempio si estrae un documento per fornirlo ad un cliente) si riparte con il periodo di 10 anni.

Inoltre per le banche vale ciò che indica il Testo Unico Bancario (d. lgs n.385 del 1 settembre 1993) all'art. 119 "Comunicazioni periodiche alla clientela" che il cliente ha «diritto di ottenere, a proprie spese, entro un congruo termine e comunque non oltre novanta giorni, copia della documentazione inerente a singole operazioni poste in essere negli ultimi dieci anni.»