FORUM MULTIMEDIALE
LA SOCIETÀ DELL'INFORMAZIONE

 

UNA RETE DI NORME PER IL MONDO IN RETE

 


INTERVENTI - 5


La responsabilità del gestore del sistema informatico per omessa adozione di misure di sicurezza
di Gianni Buonomo

Il disegno di legge n.1901- bis sulla tutela delle persone rispetto al trattamento dei dati personali, attualmente in discussione al Parlamento, prevede, all'art. 25, una ipotesi di reato a carico di "chiunque, essendovi tenuto, omette di adottare le misure necessarie per assicurare la sicurezza dei dati personali".

Nel testo attuale, il delitto è punito con la pena della reclusione sino ad un anno (da due mesi a due anni "se dal fatto deriva nocumento"). Il delitto puo' essere punito (con pene dimezzate) anche soltanto a titolo di colpa (cioe' per una omissione dovuta a semplice negligenza, imprudenza o imperizia).
Poiché tale norma si applicherà "al trattamento dei dati personali da chiunque effettuato nell'ambito del territorio dello Stato" e considerato che per "dato personale" si intende "qualunque informazione relativa a persona fisica, persona giuridica o ente, identificati o identificabili anche indirettamente", e' facile argomentare che la norma trovera' pratica applicazione nell'ambito di tutti (o quasi) i sistemi informativi automatizzati aziendali che contengano un elenco di nominativi. È - dunque - di fondamentale importanza, prima che il disegno di legge venga approvato, cercare di definire i profili giuridici della responsabilità del gestore del sistema informativo e, in particolare, assegnare, per quanto possibile, alla luce della legislazione attualmente in vigore, precisi contorni alla definizione giuridica della "sicurezza informatica".

È interessante notare come le "misure di sicurezza", cu fa riferimento il citato articolo del disegno di legge, coincidono con le misure di protezione del sistema informativo idonee (art. 7 del ddl):
1) a prevenire il rischio di una perdita o distruzione dei dati anche solo accidentale,
2) eliminare o ridurre al minimo i rischi di un accesso non autorizzato
3) impedire un trattamento non consentito o "non conforme alle finalità della raccolta".

Questi concetti si ritrovano ampiamente nelle legislazioni di tutti i Paesi che si sono occupati del problema prima dell'Italia.
In sintesi, essi si richiamano ad un complesso di accorgimenti tecnici ed organizzativi che mirano a tutelare i beni giuridici della confidenzialità (o riservatezza), della integrità e della disponibilità delle= informazioni registrate.

Ciò significa, dunque, che i principali doveri che incombono al responsabile della sicurezza della rete possono essere così sintetizzati:

    garantire l'autenticazione degli utenti della rete (evitare sostituzioni fraudolente di persona);
    garantire la confidenzialità dele informazioni (assicurare che solo il destinatario del messaggio possa prendere cognizione del suo contenuto); garantire l'integrità del dato (impedire che il dato registrato venga fraudolentemente alterato);
    impedire il discoscimento della trasmissione ("non repudiation" - chi trasmette non può negare di avere trasmesso - chi riceve, non può negare di aver ricevuto);
    garantire il controllo degli accessi (politiche organizzative e di gestione delle password);
    sorvegliare il traffico sulla rete per segnalare indebite intrusioni.


In attesa dell'approvazione della legge, deve essere comunque tenuto presente che, anche nel sistema normativo vigente, la omessa adozione di misure di protezione può condurre il gestore del sistema a rispondere del danno cagionato a terzi incolpevoli o alla propria azienda. È necessario peraltro provare che il fatto dannoso si è verificato in quanto colui che si ritiene responsabile ha omesso di adottare cautele considerate "doverose" secondo i normali criteri di prudenza, di competenza professionale e di attenzione.

Viene qui in considerazione, pertanto, il criterio di "prevedibi lità" dell'evento, decisivo per la delimitazione dei confini della responsabilità degli addetti . Il principale riferimento normativo resta, pur sempre, la risarcibilità per fatto illecito, sancita dall'art. 2043 del codice civile.
Nell'espressione adoperata in questo articolo ("fatto doloso o colposo che cagiona ad altri un fatto ingiusto") rientrano tutti quei casi in cui il danno sia riconducibile direttamente alla omissione di cure e cautele che chiunque sarebbe tenuto ad adottare nelle medesime cicostanze, come la omissione di una attività che il responsabile aveva il dovere di compiere. Deve tenersi presente che anche l'inosservanza di regole tecniche o norme di condotta costituisce una colposa negligenza, sicchè anche quando manchi una specifica norma di legge che faccia obbligo di osservare una particolare linea di condotta , l'imprudenza, la negligenza o l'imperizia possono costituire elementi della colpa.

A ben riflettere, comunque, norme di condotta esistono e si possono ricostruire dall'analisi della legislazione vigente. L'articolo 615-ter del codice penale, ad esempio punisce il delitto di "accesso abusivo ad un sistema telematico", che si verifica ogni qualvolta taluno si inserisce come utente abusivo, senza averne diritto, in un sistema informativo altrui "protetto da misure di sicurezza". Si tratta - unitamente all'art. 615 -quater che segue - dell'unica norma che menziona espressamente le misure di sicurezza di un sistema informatico o telematico (per usare la ridondante espressione della legge) e che fa implicito riferimento, per converso, alla sicurezza informatica. Il reato si verifica (in gergo giudiziario si dice :"si consuma") al momento del verificarsi dell'evento (purche' il fatto sia intenzionale), dunque nel momento in cui avviene la intrusione nel sistema informatico. Non e' necessario, dunque, per ottenere la condanna dell'autore del reato, che l'accesso abusivo abbia causato un danno, ne' l'hacker potrebbe discolparsi dichiarando al giudice di aver agito per gioco e per mero gusto della sfida ai sistemi di sicurezza.
Il motivo di questa severita' della legge penale, sta - evidentemente - nel fatto che la semplice intromissione abusiva mette in pericolo il bene primario della "integrita' dei dati" e rende non piu' affidabile l'intero sistema.

Dopo ogni intrusione e' necessario effettuare lunghi ed approfonditi controlli per verificare se i dati sono ancora affidabili e, in generale, se il sistema e' ancora affidabile e se la abusiva intromissione ha veicolato virus caricati a tempo all'interno del calcolatore. Su questo effetto "psicologico", legato alla perdita di affidabilità del sistema informativo, fanno leva, dunque, i fenomeni piu' vistosi di hackering.

L'articolo 615 - ter del codice penale costituisce l'omologo della "violazione di domicilio" prevista dall'articolo 614. Il sistema informativo - o anche il semplice PC col quale ognuno di noi lavora ogni giorno, costituisce una sorta di espansione della personalita', una stanza "virtuale" del proprio domicilio "reale".
È questa, a mio parere, la chiave di interpretazione del concetto di "misure di sicurezza" attualmente ricavabile da queste norme : le "misure di sicurezza" di cui parla l'art. 615-ter del codice penale possono consistere in qualunque accorgimento (logico o meccanico) idoneo allo scopo di interdire l'introduzione nel sistema informativo da parte di chi non è autorizzato.
Anche una semplice password, sotto questo profilo, costituisce una (seppure minima) misura di sicurezza informatica, ma potrebbe risultare del tutto inadeguata (cioe' non proporzionata, sottodimensionata) rispetto alla delicatezza dei dati da proteggere.
In questo contesto, infatti, la misura di sicurezza ha rilevanza nella misura in cui essa è predisposta a far conoscere all'estraneo il carattere di riservatezza dei dati contenuti in quel sistema, analogamente alla funzione che svole la porta di ingresso di una abitazione che (anche se aperta) pone l'intruso in condizione di sapere con certezza che egli sta, per avventura, introducendosi nella proprietà altrui.

Per ciascuno dei fatti illeciti previsti dalla legislazione penale è necessario che vengano adottate e accuratamente praticate delle contromisure proporzionate.
Una politica "minima" della sicurezza dei sistemi informativi deve prevedere, in sostanza, un sistema di identificazione degli utenti, una politica degli accessi associata a meccanismi logici e meccanici di protezione della integrità dei dati e misure normative ed organizzative adeguate : non ha senso, infatti, investire cospicue risorse economiche per installare un sistema di protezione, se gli operatori, non adeguatamente sensibilizzati o addestrati, trascrivono la password sul cabinet del loro PC o dimenticano di estrarre il badge quando si assentano temporaneamente dal posto di lavoro col terminale acceso.
Allo stesso modo deve ritenersi che qualora la intrusione nel sistema informativo o il suo danneggiamento siano riconducibili alla scarsa diligenza del responsabile di sistema, questi potrà essere chiamato a risarcire il danno nei confronti dell'azienda e nei confronti dell'eventuale terzo danneggiato.
(29.01.96)


Gianni Buonomo <g.buonomo@agora.stm.it>
(Magistrato, addetto all'Ufficio automazione del Ministero di Grazia e Giustizia)


Pagina precedente