Dati fiscali

A cosa fa riferimento questo post dovrebbe essere chiaro ai più.
Come sintesi, suggerisco questo articolo, tranne sulle conclusioni con le quali non concordo.
In sostanza, direi che l’Agenzia delle Entrate sia in diritto di effettuare la pubblicazione. Le norme che l’articolo citato illustra non esprimono un diniego, nè un criterio di permanenza.
L’assenza di una espressa autorizzazione verso il mezzo “internet” non pregiudica la pubblicazione on line: “sine lege, sine poena” è il principio con cui si basa il nostro ordinamento.

Queste norme, piuttosto, non tengono conto della natura del cambiamento degli ultimi anni, e probabilmente non l’ha fatto, ingenuamente, neppure l’Agenzia delle Entrate.
Due cambiamenti quasi enormi: la normativa sulla tutela dei dati personali, ed Internet.
La prima ci ha educato (e spesso influenzato più che garantito) sotto il profilo della riservatezza delle informazioni. Non ricordo una attenzione alla riservatezza propria ed altrui come quella attuale, parlando dell’“uomo della strada”, quando questa norma non c’era.
Il secondo cambiamento, internet, è di maggiore portata, e naturalmente rende inadatte le logiche tradizionali, ovvero il fatto che il diritto di accesso alle informazioni sia naturalmente soggetto ad una limitazione della diffusione di tali dati per la difficoltà di accedervi, di crearne delle copie e di aiutarne la diffusione.
Tuttavia,

• i dati pubblicati, per essere precisi, sono relativi all’imponibile. Non permettono di risalire al dettaglio, per esempio, delle spese sanitarie, di eventuali donazioni a istituzioni politiche, culturali, religiose. Non permettono di risalire allo stipendio, anche se lasciano intuire il tenore di vita: riferiscono sostanzialmente in quanta parte il contribuente contribuisce con le proprie tasse all’erario


• tali dati sono pubblici o, per essere precisi “destinati alla diffusione”: sono pubblicati sui quotidiani e sono disponibili per la consultazione


• come dicevo, tali dati non sono sensibili: sono comuni come il numero di telefono.

Pertanto, non vedo un caso.

Vedo molta disinformazione. Come mi ha fatto notare un amico, nessuno ha spiegato esattamente quali dati siano stati effettivamente pubblicati ed il loro reale significato. Ho sentito dire addirittura che una qualche associazione di commercialisti ha deciso di sporgere denuncia per danni relativi ai costi che questi devono sostenere per adeguarsi alla privacy, quando a loro dire gli stessi sono poi resi pubblici.
Come se i miei scontrini della farmacia avessero lo stesso valore, per la mia privacy, dell’imponibile dichiarato.

Piuttosto, qualcuno ha visto quanto dichiara il proprio commercialista? :-))))))

Pubblicato il Provvedimento del Garante sulle regole per la tenuta dei dati di traffico Telefonico e Internet

E' in linea il Provvedimento Generale del Garante per la Protezione dei Dati Personali concernente la Sicurezza dei Dati di Traffico Telefonico e Telematico.

La versione definitiva del testo raccoglie le indicazioni fornite a seguito di una Consultazione Pubblica che il Garante ha indetto il 25 Settembre 2007, conclusasi il successivo 31 ottobre.
Come CLUSIT abbiamo accolto positivamente l'iniziativa, alla quale abbiamo risposto con entusiasmo, apportando un contributo "tecnico", in particolare richiedendo chiarimenti tanto sugli aspetti tecnologici che sulle implicazioni legali di alcune indicazioni della bozza, proponendo quindi dei possibili miglioramenti.

...continua a leggere il post su SicuraMente >>>

Paper Security

Mi ha sorpreso questo articolo. Se non altro, perchè è dal 2001 che includo le fotocopiatrici e le stampanti nell'elenco degli apparati da valutare dal punto di vista della sicurezza, nelle aziende, e spesso sono stato considerato un tantino paranoico.
La notizia di per sè non sorprenderà chi fa un uso intensivo di fotocopiatrice di ultima generazione: dei veri e propri computer con interfaccia touch-screen con capacità di interconnessione alla rete (per funzionalità di stampa) e memoria volatile (mica tanto...) per la memorizzazione di documenti da sottoporre a copie successive, elaborazioni di vario tipo e stampa.
Personalmente, ho avuto modo di maturare autonomamente qualche sospetto su questi apparati durante il servizio civile, svolto (ahimè, nonostante la richiesta congiunta con un Centro di Igiene Mentale) negli uffici di una ASL.
La prima volta sono inorridito di fronte a una serie di documenti inerenti trattamenti socio-sanitari lasciati su una fotocopiatrice per errore... In questo caso, ovviamente la tecnologia non c'entra! Il problema, di processo, ma sopratutto di scarsa cultura e buonsenso, può far sorridere oggi, "tempi di 196", ma ricordo che anche allora vigeva una normativa, la buona vecchia 675, talvolta ben più punitiva, anche se talvolta sembra che prima del Testo Unico sulla tutela dei dati personali non vi fossero adempimenti...
La seconda volta, è capitato a me di sbagliare nell'inserire il numero di copie di una grossa mole di fogli che stavo fotocopiando: panico! Avrei dovuto cominciare dall'inizio! Manualmente!!!!
Fortunatamente (!) la fotocopiatrice aveva attiva una funzionalità di recupero e stampa dell'ultima sequenza di fogli memorizzata. Due click e... fatto! L'n-esima copia era di nuovo disponibile!
Ovviamente, inizialmente ho gioito di questa feature! Poi, mi sono posto il problema.
Chiunque potrebbe quindi richiedere la ristampa di una sequenza di copie? Certo, se la fotocopiatrice non richiede la password utente o, ancora meglio, una password specifica per ogni utente. Nate inizialmente come meccanismi di supporto alla fatturazione delle copie, queste funzionalità sono molto utili per la sicurezza, pertanto, perchè non usarle?
La stessa cosa vale per le stampe fatte su stampante di rete, condivisa tra vari uffici e tipicamente posizionata in aree ad accesso pubblico e non presidiato.
Vi è mai capitato di mandare in stampa qualcosa e poi scoprire che non è stato effettivamente stampato?
A me si, anche con la stampante a dieci centimetri dal PC.
Da remoto, potrebbe darsi che i fogli li abbia presi qualcuno...Con il vantaggio che maledirete solo la stampante che, poverina, ha svolto per bene il proprio lavoro...
Rimedi? Tipicamente, tutte le fotocopiatrici/stampanti di rete consentono di specificare una password quando si invia il documento allo spooler. La fotocopiatrice non avvierà la stampa fintanto che non digiterete fisicamente sull'apposito tastierino la parola chiave che avete deciso.
Ovviamente, serve una print-etiquette per evitare che le persone mandino documenti in stampa e poi cogliere l'occasione di prendere un caffè, sospendendo il servizio per tutto l'ufficio, ma i dati personali dei vostri utenti ve ne saranno grati!

Se volevamo solo telefonare, ascoltare musica e fare ginnastica...

Di nuovo uno spunto tratto da Cryptogram: come farsi spiare facendo ginnastica. Potete trovare i dettagli in questo documento.

Si tratta dell'ennesimo caso in cui strumenti non certo di fondamentale utilità possono compromettere la nostra privacy, semplicemente perchè non sono minimamente progettati e realizzati tenendo conto del rispetto della medesima.
Il caso riguarda un noto riproduttore MP3, al quale è collegato un kit per il jogging con sensori wireless posizionati nelle scarpe.
Non si tratta di accedere a dei dati, ma semplicemente di dedurre informazioni dall'uso che si fa di un oggetto, ed in particolare, il kit è stato utilizzato per rilevare la posizione di un soggetto che si allena all'aperto.
Questo per riflettere su due aspetti non trascurabili: in primo luogo, parlando di privacy, non dobbiamo mai dimenticare che il dato in se non è sempre l'unica cosa da difendere: per esempio, non è necessario conoscere la cartella clinica dei pazienti di un reparto di cardiologia se posso conoscere la provenienza degli accessi internet al sito stesso (ammesso che dal sito siano fruibili dei servizi agli utenti) : se io fossi un'assicurazione, questo potrebbe essere sufficiente.
In secondo luogo, le tecnologie mobili, in grado di operare in maniera attiva o passiva (penso, avrete capito, anche agli RFID), devono essere oggetto di attenta valutazione da parte degli integratori e, fintanto che il settore non si dimostrerà sufficientemente maturo, degli utenti.
Come al solito.
Aggiungo un altro fatto.
Recentemente, un amico mi ha mostrato il suo nuovo cellulare.
Dovendo *necessariamente* far funzionare un kit di navigazione satellitare, vado sulle impostazioni bluetooth: il telefono è impostato come "visibile a tutti".
In questo caso, non c'è bisogno di essere ricercatori all'MIT per sapere quanto sia rischioso lasciare visibile il telefono rispetto ai nuovi worm che circolano su queste piattaforme.
Solo che stiamo parlando di tecnologie che hanno dimostrato problemi di sicurezza da qualche anno, esperienza che si spererebbe essere tramutata in configurazioni adeguate, se non soluzioni.
Il problema è che se può sembrare banale come esempio, d'altro canto il mio amico fa tutt'altro mestiere e naturalmente non è tenuto a sapere che ha comprato un mini-computer, pur giovandosi da poche ore del suo GPS (per la cronaca, la consapevolezza c'era, ma il problema era far funzionare il navigatore :-) )!

La soluzione non è certo evitare di comprare telefoni evoluti o lettori MP3 con il cardio-frequenzimetro! Il problema reale, tuttavia, è che non esiste un marketing della sicurezza su prodotti di tali fasce di utenze, e nessun mezzo per discernere chiaramente tra prodotti "buoni" e "meno buoni", quanto meno nelle impostazioni di base con le quali sono messi sul mercato.
Ancora una volta, il richiamo forte è alla "cultura della sicurezza".

Cellulari, dischi USB, CD-ROM, porte USB....

Per la prima volta ho un cellulare che mi soddisfa pienamente.
Posso evitare di usare cavi, ha la connettività Bluetooth, WiFi, IrDA... riesco anche a telefonare!
Appena comprato, ho aperto il pacchetto, sono "corso" alla configurazione della rete WiFi con il mio router (per inciso, per 50 eurini sono riuscito a configurarlo in un'attimo per fare autenticazione 802.1x, ma questa è un'altra storia...), quindi ho scaricato la posta, ho letto qualche pagina web, ho provato anche quanche sito AJAX ma non ci siamo ancora...
Provo il cavo USB: appena collegato il cellulare mi chiede se deve comportarsi come un cellulare o come un disco USB!
Ho pure provato a installare qualche software. Simpatiche le applicazioni che fanno discovery sulle reti wireless. Ho fatto un giro per la città e sono riuscito a scaricare la posta almeno un paio di volte grazie all'assenza di meccanismi di autenticazione su router altrui... Non sono abituato a fare di queste cose, devo dire, ma provare se queste reti permettevano effettivamente di andare su web è stato più forte di me... Giuro, non lo faccio più!
Qualche giorno fa, sono entrato in una azienda per discutere di una attività: mi ha meravigliato l'accuratezza della procedura di controllo accessi fisici (mi devo ricordare di farmi mandare l'esito delle analisi del sangue); naturalmente, non posso che compiacermi di controlli tanto efficaci. Mi hanno poi fatto accomodare in una sala riunioni, fisicamente interposta tra l'ingresso e gli uffici interni, ai quali può accedere solo il personale dipendente.
Fantastico!
Non ho potuto, per altro, lasciare del software ai miei interlocutori, dato che è prevista una procedura di ingresso per i CD-ROM (di cui gli utenti sono privi sui loro PC) che prevede l'analisi da parte di un apposito ufficio e l'inserimento su un file server interno per il download.
Dopo aver scritto politiche, suggerimenti, progetti, ecco un posto dove finalmente vedo applicare molte delle più restrittive regole di controllo accessi (a buon ragione, ma naturalmente non posso dire il perchè...)
Discutiamo di varie cose, compreso il fatto che non ritengono sia adeguato adottare al momento una rete WiFi, sempre per motivi di sicurezza.
Mi fanno poi accedere al sancta santorum... devo pur fare il mio lavoro!
Qualche minuto in ufficio e... boing! Ho lasciato attivo l'infrarosso sul cellulare, ed un simpatico Windows mi ha visto passare!

Morale della favola:
- ho un bellissimo cellulare, ma adesso la mia posta elettronica è alla portata di tutti...
- praticamente ogni cellulare con alloggiamento di schede di memoria può memorizzare quanto ed in certi casi più di una "penna" USB;
- a chi serve il WiFi se con bluetooth, GSM/GPRS/UMTS, IrDA è possibile inviare informazioni a chiunque?

Il cellulare è ormai una piattaforma tecnicamente comparabile ad un PC di qualche anno fa, prestazioni a parte, ed in taluni casi è più avanzato di un moderno desktop, quanto a multicanalità. E' quindi un mezzo potenziale per caricare e scaricare informazioni, aprire canali di comunicazione non difendibili, introdurre software etc...
Non mi addentro su temi come reti ad-hoc e mule-network, ma il rischio potenziale dell'estensione della rete locale in modo incontrollato è certamente reale, tanto più quando gli utenti autorizzati della LAN collegano i loro cellulari ai PC abilitando le funzionalità di condivisione, sincronizzazione e navigazione. Senza parlare poi dei worm che si propagano via SMS o via bluetooth...
Quindi, urgono revisioni a policy, procedure e, perchè no?, soluzioni di policy enforcement.
Il DRM non è la risposta, nè basteranno prodotti di tipo Data Loss Prevention, anche se sono certamente interessanti, sopratutto per la gestione. Serve riconsiderare il problema in relazione all'assenza di compartimentazione. La soluzione potrebbe non essere necessariamente la segregazione di tali strumenti ma, al contrario, l'individuazione di forme di estensione/integrazione in multicanalità.
Certo è che questi saranno temi tecnologici caldi, quanto il fatto che non sarà possibile parlarne fintanto che l'infrastruttura IT "tradizionale" non sia di per se congrua con un accettabile livello di sicurezza (scusate la generalità...).
E, non dimentichiamo, come al solito, il problema non è *squisitamente* tecnologico...

Ancora sulla proroga dei termini del D.Lgs.196/03

Interlex ha riportato la notizia, con i consueti commenti.
L'articolo di Paolo Ricchiuto introduce un aspetto sul quale sicuramente tornerò, ovvero la qualità del Documento Programmatico sulla Sicurezza.
Già, perchè troppo spesso, nel cercare di rispettare i termini di scadenza in attesa dell'ennesima proroga, la realizzazione del Documento Programmatico consiste in una vera e propria compilazione di un sin troppo minuto questionario che, sebbene costituisca un passo avanti rispetto al nulla, rischia di non dare seguito ad un vero processo di adeguamento a criteri e requisiti di sicurezza basati sulla reale necessità dell'azienda.
La mia visione?
Il DPS è l'occasione per l'azienda per fotografare lo stato della sicurezza del sistema informativo, per prendere consapevolezza dei rischi, per progettare l'evoluzione verso l'IT tenendo conto anche degli obiettivi di business!
Parole? Ho volutamente omesso che la sicurezza è un costo?

L'analisi dei rischi, tanto per fare un esempio, è certamente la componente di maggiore costo in tutto il processo di stesura del DPS. Certamente, supera il 60% in quanto a tempi/oneri di tutta l'attività. Al di là delle varie tabelle propinate in vari siti informativi, che opera nel settore sa che stimare i rischi in modo serio significa:

• conoscere approfonditamente il contesto
• conoscere approfonditamente il problema
• saper scegliere un criterio oggettivo, riconosciuto e riutilizzabile per stimare la probabilità che i probemi di sicurezza si verifichino ed il danno potenziale che questi potrebbero arrecare.

Per svolgere una vera e propria analisi dei rischi, deve essere analizzata tutta l'azienda, dal punto di vista dei processi e/o degli asset.

L'esito dell'attività di analisi dei rischi produce la maggior parte dei dati sui quali effettuare attività decisionale in merito al DPS, ma in minima parte rispetto alla redazione di un Piano di Sicurezza Aziendale, di una Roadmap di investimenti per la sicurezza IT, per la definizione di politiche atte a coadiuvare il management nella definizione e nel supporto dei processi aziendali.
Chi ha avuto modo di subire una perdita economica diretta o indiretta derivante dall'assenza di consapevolezza del problema security potrà fare i propri conti.
Chi ha avuto modo di subire perdite economiche per scelte errate, spesso derivanti dall'assenza di consapevolezza e di scarsa conoscenza del peso del problema nella propria realtà, sa di cosa parlo.
Ecco come il costo si traduce in vantaggio. In più, con il beneficio, ex art.2050 del codice civile, di dormire in pace la notte!
A presto!

Nuovi termini di scadenza per gli adempimenti alla normativa per la tutela dei dati personali, il D.Lgs.196/03.

Con decreto legge “milleproroghe”, il 273/2005, entrato in vigore il 31 dicembre 2005, pubblicato sulla Gazzetta ufficiale del 30 dicembre 2005 n. 303, è previsto lo slittamento dei termini di:

• adozione delle misure minime di sicurezza, prevista per il 31 Marzo 2006, ivi compresa la redazione del Documento Programmatico sulla Sicurezza
• l'adeguamento dei sistemi informatici alle misure di sicurezza, previsto per il 30 Giugno 2006
• l'adozione di regolamenti per il trattamento di dati sensibili e giudiziari, da parte dei soggetti pubblici, prevista per il 28 Febbraio 2006.

Attenzione, però! Come avvenuto per le precedenti proroghe, lo slittamento dei termini riguarda:

• relativamente alle misure di sicurezza, solo quelle introdotte dal D.Lgs.196/03 in più o diverse rispetto al precedente DPR318/99, ivi compresa la stesura del Documento Programmatico sulla Sicurezza! Chi era precedentemente tenuto a produrre tale documento, non potrà beneficiare dei nuovi termini;
• relativamente all'adeguamento dei sistemi informatici, la proroga al 30 Giugno ha valore solo per coloro che possono certificare l'impossibilità di adottare le misure di sicurezza entro la data del 31 Marzo per motivi oggettivi, come ad esempio l'utilizzo di sistemi informatici la cui obsolescenza non consente di apportare tali adeguamenti.

Allo stesso modo, non sono oggetto di proroga gli adempimenti diversi da quelli sopra indicati, come tutti gli atti formali (nomina dei responsabili e degli incaricati, adozione delle “vecchie” misure minime etc...)

Questi gli effetti immediati del decreto.

Certamente, l'ennesimo slittamento dei termini porta con se una sempre maggiore insofferenza verso le normative che prevedono adempimenti in merito alla sicurezza aziendale: da un lato, coloro che hanno adeguato il loro sistema informativo nel rispetto dei termini originari della norma (o di una delle proroghe precedenti!) possono sentire come non giustificabili gli sforzi e gli investimenti effettuati; dall'altro, coloro che non hanno voluto provvedere fino ad oggi per una qualunque motivazione, trovano ulteriori buoni motivi per attendere ulteriormente.
Rimangono coloro che effettivamente non hanno potuto, per un qualche motivo, conformarsi alla normativa: questi ricadranno in una delle due categorie precedenti, ma quale?

Certamente, l'imminente fine legislatura renderà estremamente difficile la conversione in legge del decreto, e probabilmente non vi saranno le condizioni e le priorità perchè il governo uscente o quello neo-insediato possano far slittare ulteriormente i termini.
In questo caso, se non per l'italianissimo rigore, condizioni di necessità faranno (finalmente?) chiarezza sui termini e porranno fine all'agonia che ogni semestre ci ha accompagnati negli ultimi due anni.
Quello che ho scoperto essere però troppo spesso ignorato è il livello di “rischio legale” al quale i Titolari di banche dati sono esposti, indipendentemente dalla categoria, tra le due precedentemente indicate, di appartenenza!
Parlo della responsabilità civile derivante dal trattamento dei dati ex art.15 del Codice per la tutela dei dati personali:

Art. 15 (Danni cagionati per effetto del trattamento)
1.Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. (...)

L'articolo 2050 del codice civile sancisce l'inversione dell'onere della prova. Da profano della materia, cerco di spiegare: il nostro ordinamento prevede che in caso di reato o violazione un soggetto sia ritenuto innocente fino a prova del contrario, di colpevolezza. Questo fatto è noto ai più, tuttavia vi sono dei casi ove questo principio non si applica. In particolare, per le “attività pericolose”, trattate per l'appunto dall'articolo 2050 del codice civile, vale il concetto opposto.
Le “attività pericolose”, per propria natura, si configurano come ambiti lavorativi nei quali è estremanente difficile prevedere tutti i casi nei quali una azione si concretizza in una violazione contro terzi. Se pensiamo ad un cantiere edile, per esempio, la semplice osservanza di tutte le norme non si traduce nella certezza che non possa accadere un quale evento che possa causare danni a cose o a persone.
Per questo motivo, le norme non riescono a trattare tutti gli eventi possibili e quindi a disciplinare in quali condizioni un certo evento è considerabile come violazione o meno, ed è atresì estremamente difficile comprendere la misura della violazione, e quindi la sanzione o il risarcimento, da applicare.
A questo punto è necessaria una divagazione: la legislazione italiana si basa sul principio romano “sine lege, sine poena”. Significa che in assenza di una legge che specifichi che una certa azione viola la legge, non può essere contestata a colui che ha compiuto volontariamente o meno tale azione una pena, una sanzione o un risarcimento.
Se ritorniamo alla descrizione dell'attività pericolosa ex art.2050 del codice civile, a fronte del principio “sine lege, sine poena”, avere a disposizione uno strumento che consenta di trattare a livello legale eventi non prevedibili è tanto più importante, poiché altrimenti il legislatore dovrebbe considerare “tutti gli eventi possibili” per garantire ai cittadini di avere giustizia in casi del tutto particolari.
Le attività pericolose prevedono quindi che sia tenuta, da chi le svolge, una condotta detta “del buon padre di famiglia”.
Alla rigidità delle definizioni di legge si sostituisce quindi il criterio di ragionevolezza, nel quale viene valutata, in caso di dispute, la condotta di un imputato.

Come si rapporta il “buon padre di famiglia” alla normativa sulla tutela dei dati personali?

Il Titolare del trattamento, ovvero l'azienda che detiene i dati, deve provvedere per quanto possibile a garantire che siano rispettati il principio di necessità, il diritto alla protezione dei dati ed i diritti dell'interessato (colui al quale i dati fanno riferimento).
Non solo: il Titolare deve adempiere ai propri obblighi sempre nel rispetto del principio del buon padre di famiglia.
In caso di danno arrecato a terzi, il Titolare sarà infatti chiamato in giudizio non per valutare se ia responsabile dell'evento, ma se ha adottato tutte le misure in proprio potere per evitare il verificarsi stesso dell'evento!
Rimane il fatto che “cagionare un danno ad altri per effetto del trattamento” sintetizza un insieme molto vasto di potenziali casistiche, che l'alterazione di un dato, la diffusione o comunicazione accidentale o volontaria, così come la perdita o distruzione dei dati potrebbero causare e la cui stima del potenziale danno arrecato dipende non solo dal tipo di informazione personale, ma anche dal soggetto alla quale appartiene!
Questo significa che il danno per effetto del trattamento può essere valutato diversamente da chi tratta il dato, dall'interessato e dal giudice chiamato a gestire una causa.
In questa logica, è evidente che per coloro che sono chiamati ad adeguare le misure di sicurezza si aprono diversi scenari:

• eventuali danni arrecati nonostante la proroga dei termini a terzi, non imputabili direttamente dall'assenza di una delle “misure minime”
• eventuali danni arrecati nonostante l'adozione delle misure minime,tuttavia implementate in modo palesemente insufficiente per le tipolgie di dati trattati o senza mantenere un controllo accurato sugli eventi in atto sul sistema informativo che hanno causato l'aggravarsi di problemi inizialmente poco significativi.
• eventuali danni che non si sono verificati a causa delle modalità di applicazione delle misure minime, fatto che per scarsa pianificazione/progettazione o per assenza di controllo non è possibile dimostrare.

Questi scenari, sono di per sé ottime motivazioni perchè una qualunque azienda intraprenda seriamente un percorso tecnologico/organizzativo e procedurale per adeguare il proprio sistema informativo.
Allo stesso modo, mi riesce difficile comprendere in quale posizione possa essere una azienda che ha certificato l'impossibilità di adeguare i propri sistemi informatici entro la data del 31 Marzo, chiamata a rispondere per negligenza in sede giudiziale: come è possibile dire che dal 1 Gennaio 2004 sono ancora oggi presenti criteri oggettivi che impediscono l'adozione delle misure minime?
Certamente potrebbe trattarsi di un fattore di costi.
Certamente l'assenza di rigore nel rispetto dei termini della norma, di per se un motivo per rimandare il problema e pensare a cose più urgenti.

A presto!