Prima pagina
   
Secondo convegno del Forum multimediale "La società dell'informazione"
LA LEGGE E LA RETE
Roma, 12 novembre 1997

Banche dati, privacy e sicurezza: gli obblighi del gestore
di Gianni Buonomo (magistrato addetto al servizio Automazione del Ministero di Grazia e Giustizia)


La Gazzetta Ufficiale ha pubblicato l'8 gennaio scorso con il n. 675 il testo della legge sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.
L'approvazione del controverso provvedimento di legge è il frutto di oltre dieci anni di appassionato dibattito e segna un decisivo passo in avanti a favore della tutela della privacy delle persone.
Alla legge si accompagna la delega al Governo per la disciplina dei servizi telematici e della connettività Internet.
Si tratta, in sostanza, di due provvedimenti "dovuti", poiché - come molti sanno - era necessario colmare il vuoto legislativo esistente tra l'Italia e gli altri Paesi dell'Unione Europea sulla base della Convenzione di Strasburgo del 1981 e dell'accordo di Schengen sulla libera circolazione delle persone.

Si tratta, peraltro, di una normativa destinata ad incidere profondamente sulle materie relative alla responsabilità dei gestori di sistemi informativi, degli addetti alla sicurezza dei centri EDP e dei fornitori di connettività e di servizi Internet.
L'evoluzione tecnologica del settore IT verso sistemi di elaborazione sempre più potenti e sempre più a basso costo ha segnato, in particolare negli ultimi dieci anni, il passaggio dalla informatica tradizionalmente intesa come "automazione dei processi", in cui alle macchine veniva affidato il compito di eseguire attività meramente ripetitive, lasciando all'uomo funzioni di controllo, alla informatica intesa come trattamento dei dati al fine di estrarne un "valore aggiunto".
È stato possibile - così - concentrare raccolte di dati eterogenei e aggregare e disaggregare le informazioni sino ad estrarne previsioni per l'adozione di ogni sorta di decisioni, che spaziano dalle scienze mediche all'andamento delle economie e dei mercati finanziari.

Appare, dunque, evidente il pericolo che si cela dietro il possesso e l'uso indiscriminato delle banche di dati personali.
Gravi violazioni dei diritti inalienabili dell'individuo sono configurabili - ad esempio - di fronte al rifiuto di stipulare polizze assicurative opposto da talune compagnie assicurative rispetto a soggetti assolutamente sani (che tuttavia presentano, nella storia genetica della loro famiglia, casi di malattie trasmissibili geneticamente).
In altri casi l'uso abusivo di informazioni personali può spingersi sino alla discriminazione per ragioni ideologiche o religiose.
Si pensi - ad esempio - al monitoraggio che normalmente viene effettuato - per ragioni di sicurezza - sugli accessi ai siti Internet. Ogni Internet provider si trova a gestire un tabulato che, opportunamente interpretato, rappresenta un vero "diario" personale degli utenti del servizio, dove vengono annotate le preferenze commerciali, i gusti, le opinioni politiche e religiose di ogni persona.
La disponibilità di questo archivio può costituire, nella migliore delle ipotesi, un grande vantaggio commerciale per le imprese che effettuano la vendita a domicilio o per le società che effettuano indagini di mercato.

La legge sulla privacy affronta il problema dei possibili abusi e delle violazioni del diritto alla riservatezza degli individui sotto un duplice profilo:
1. impedire che un archivio informatizzato venga utilizzato per scopi diversi da quelli per cui è stato creato;
2. sanzionare severamente in sede penale il furto e la diffusione indebita di informazioni custodite in archivi informatizzati.
Si tratta, a ben vedere, di un profondo mutamento di prospettiva rispetto alla tradizionale tutela approntata dall'ordinamento giuridico per questi beni.
Questa "rivoluzione" - che prevede il trattamento dei dati intimamente connesso al consenso espresso dell'interessato - si collega, per la parte che qui interessa, al concetto tradizionale di sicurezza informatica.
Sino ad oggi, infatti, il compito del cosiddetto "titolare" del trattamento dei dati poteva limitarsi, nella maggior parte dei casi, alla valutazione della "affidabilità" tecnica del sistema; oggi, invece, il concetto di sicurezza si estende sino a comprendere la integrità dei dati e la correttezza del loro utilizzo.
Sino a qualche anno fa, dunque, l'esigenza di aggiornare i sistemi secondo criteri di economicità poteva significare, nei casi più comuni, il semplice passaggio dal mainframe, ben protetto nel bunker nel centro EDP, ad un sistema dipartimentale distribuito, fondato su architetture multipiattaforma e multi-LAN, ove ogni workstation locale può virtualmente favorire l'accesso indesiderato ad informazioni riservate o altri attentati alla sicurezza dell'impresa.
Da oggi, si può ben dire, muta l'approccio "culturale" al problema della sicurezza informatica.
È necessario - infatti - garantire la genuinità dei dati impedendo alterazioni che ne possono mutare il significato originale, impedire la "esportazione" non autorizzata d'informazioni riservate; impedire, in genere, l'utilizzo delle risorse del sistema per scopi diversi (comunemente illeciti) da quelli per i quali esso è stato progettato.
Il profondo mutamento di prospettiva segue, peraltro, l'evoluzione del fenomeno della cosiddetta criminalità informatica, che è pur sempre riconducibile alle esigenze di tutela della privacy.

I primi computer crimes furono commessi da dipendenti dell'impresa o dell'Ente che alteravano le registrazioni dei dati o, abusando della qualità di operatori addetti al sistema, si impossessavano (a scopo di lucro, o anche per semplice gusto della sfida tecnologica e nella certezza dell'impunità) di informazioni riservate.(1)
I primi sistemi di sicurezza furono progettati, dunque, per prevenire attacchi al sistema provenienti - per così dire - "dall'interno".
Lo sviluppo successivo delle reti locali e la diffusione dei modem per i collegamenti su linea telefonica hanno introdotto, solo di recente, nel dibattito tecnico giuridico sulla materia, l'argomento della prevenzione di possibili, letali attacchi al sistema provenienti "dall'esterno" (ad opera degli hackers o per causa dei virus informatici).
L'art. 15 della legge (sicurezza dei dati) dispone, dunque, che "I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".

La legge introduce, per la prima volta nel nostro ordinamento, una ipotesi di reato per la omessa adozione delle misure necessarie a garantire la sicurezza dei dati (art.36).
Poiché tale norma si applica "al trattamento dei dati personali da chiunque effettuato nell'ambito del territorio dello Stato" e considerato che per "dato personale" si intende "qualunque informazione relativa a persona fisica, persona giuridica o ente, identificati o identificabili anche indirettamente", si tratta, evidentemente, di una disciplina destinata a trovare pratica applicazione nell'ambito di tutti (o quasi) i sistemi informativi automatizzati che contengano un elenco di nominativi.
Chiunque, essendovi tenuto, omette di adottare le misure necessarie ad assicurare la sicurezza dei dati è punibile, secondo il testo della legge, con la reclusione sino ad un anno (se dal fatto non è derivato alcun danno) o con la reclusione da due mesi a due anni se si è verificato un "nocumento".
Le pene, diminuite, si applicano anche al caso di condotta semplicemente colposa (cioè in caso di omissione dovuta a negligenza, imperizia o imprudenza del responsabile - art. 36 comma secondo).

È interessante notare come le "misure di sicurezza" siano state qui descritte come misure di protezione idonee a prevenire il rischio di una perdita o distruzione dei dati anche solo accidentale, "di un accesso non autorizzato o di un trattamento non consentito o non conforme alle finalità della raccolta", confermando la definizione di "sicurezza" verso la quale sembrano orientate le legislazioni di tutti i Paesi che si sono già occupati del problema.
Le "misure minime di protezione" obbligatorie verranno fissate con una norma regolamentare (un dPR da emanare ogni due anni ai sensi dell'art. 15 della legge). All'entrata in vigore del dPR, peraltro, le norme transitorie (art. 41) prevedono che i dati siano "custoditi in maniera tale da evitare un incremento dei rischi di cui al all'art. 15 comma 1" e cioè in modo da ridurre al minimo "in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento" i rischi di perdita anche accidentale dei dati o di intrusione non autorizzata nel sistema informativo automatizzata.
Questo significa che un obbligo preciso di adottare misure di sicurezza adeguate alla protezione dei dati sussiste in capo al responsabile del centro di elaborazione sin dal momento di emanazione del regolamento.
A livello comunitario, del resto, la Posizione Comune, adottata nella riunione del Consiglio 20 febbraio 1995 in vista della adozione della direttiva sul trattamento dei dati personali prevedeva che gli Stati membri disponessero, nelle rispettive legislazioni, per un diritto al risarcimento del danno "per chiunque subisca nocumento da un trattamento illecito di dati personali o dalla violazione delle norme che disciplinano le banche-dati"
(2), oltre a "misure appropriate" per garantire la piena applicazione della legge.

La legge 675ha scelto, a questo proposito, la più grave delle sanzioni, quella penale e una disciplina sanzionatoria che, nel complesso, si presta a non poche critiche.
Innanzitutto, l'articolo 18 della legge prevede che "chiunque cagiona un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile".
Ciò significa che la legge presume la colpa del gestore della banca di dati e - invertendo l'onere della prova - pone a suo carico ogni possibile conseguenza dei danni cagionati a terzi, se egli non prova di avere adottato tutte le misure idonee ad evitare il danno.
Si tenga presente, tanto per fare un esempio, che "presumere la colpa del gestore" è qualcosa di diverso dalla semplice inversione dell'onere della prova.
Il gestore della banca di dati, infatti, per liberarsi dalla "presunzione di colpa" deve dimostrare che il danno è conseguenza (nella maggior parte dei casi) di un caso fortuito o di forza maggiore.
Ben diversa, invece, sarebbe stata la previsione di una "semplice" inversione dell'onere della prova. In questo caso la norma avrebbe previsto che, in caso di danno, il gestore del sistema avrebbe dovuto risarcire il danno se non avesse dimostrato di essere senza colpa e cioè di avere adottato le misure di sicurezza previste e di avere agito, nel complesso con la ordinaria diligenza, prudenza e perizia.

Va anche detto della discutibile scelta "culturale" costituita dal richiamo - a proposito delle banche dati personali - delle norme in materia di "responsabilità per l'esercizio di attività pericolose".
L'equiparazione, ai fini della responsabilità civile, del gestore di un sistema EDP o di un sito telematico ad un gestore di un deposito di carburanti o di materiale esplodente evoca, nella coscienza collettiva, quantomeno la concezione antica di un'informatica "pericolosa in sé", patrimonio incontrollabile di una stretta cerchia di tecnici specializzati, il pericolo del mad scientist e quant'altro da decenni la stampa poco specializzata ci propina.

Si è molto discusso, a questo proposito, della applicabilità di queste norme alle cosiddette "banche dati per fini esclusivamente personali".
L'ipotesi è prevista dall'articolo 3 della legge, che dispone: "il trattamento dei dati personali, effettuato da persone fisiche per fini esclusivamente personali, non è soggetto alla applicazione della presente legge, sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione".
Il secondo comma dello stesso articolo, peraltro, precisa che "al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all'art. 15, nonché le disposizioni di cui agli articoli 18 e 36".
Ciò significa, per semplificare con un esempio, che anche la rubrica telefonica contenuta nel notebook deve essere "custodita e controllata" a norma dell'articolo 15 della legge, "anche in relazione alle conoscenze tecniche acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento" mediante l'adozione di "idonee e preventive misure di sicurezza" conformi al regolamento previsto dallo stesso articolo.
E poiché l'articolo 36 della legge (qui espressamente richiamato) punisce con un anno di reclusione chi, per colpa, "omette di adottare le misure di sicurezza necessarie a garantire la sicurezza dei dati personali" sarà bene - sin da ora - evitare di dimenticare il PC portatile dell'esempio di cui sopra sulla metropolitana per evitare di incorrere (se non proprio in un procedimento penale) nella severissima norma che stabilisce l'obbligo del risarcimento del danno ex art. 2050 del codice civile (come detto, solo un evento del tutto imprevedibile scagiona il presunto responsabile).

È di fondamentale importanza, allora, che vengano stabilite con chiarezza le norme di sicurezza minime e preventive cui fa riferimento l'articolo 15 della legge.
Queste "misure idonee" sono innanzitutto quelle previste da norme e regolamenti (e in primo luogo quelle approvate con decreto del Presidente della Repubblica entro sei mesi dall'approvazione della legge dalla commissione interministeriale prevista dall'art. 15), ma non queste soltanto.
La legge impone, come vedremo fra un attimo, che in ogni caso vengano adottate misure che riducano al minimo i pericoli di perdita o distruzione dei dati di illecita intromissione nei sistemi da parte di soggetti non autorizzati e fa riferimento alle "conoscenze acquisite in base al progresso tecnico" per la prevenzione di tali rischi.
Nel sistema tradizionale, il danneggiato dalla condotta del titolare del sistema di trattamento dei dati avrebbe dovuto dimostrare, per vedersi riconoscere il diritto al risarcimento, che il danno subito fosse direttamente riconducibile alla omissione di cautele considerate "doverose" secondo i normali criteri di prudenza, di competenza professionale e di attenzione, da parte del responsabile EDP.
L'articolo 18 della legge sul trattamento dei dati, invece, presume questa responsabilità a carico del titolare della banca di dati sino alla dimostrazione (che spetta al gestore del sistema e non al danneggiato) della "sicurezza" del sistema rispetto agli eventi dannosi prevedibili.

Viene dunque in considerazione quel criterio di "prevedibilità" dell'evento che è sempre decisivo per la delimitazione dei confini della responsabilità degli addetti.
Il quadro normativo che si va delineando è dunque il seguente:
1. il gestore del sistema informativo ha il dovere di "ridurre al minimo" i rischi di distruzione o perdita accidentale dei dati;
2. il gestore deve prevenire accessi non autorizzati al sistema informativo;
3. per far ciò il gestore deve adottare "misure di sicurezza" adeguate all'importanza dei dati custoditi negli archivi e in linea con le conoscenze acquisite in base al progresso tecnologico.
Tra i casi di condotta colposa debbono farsi rientrare tutti i fatti contrari alla legge in cui il danno sia riconducibile direttamente alla omissione di cure e cautele che chiunque sarebbe tenuto ad adottare nelle medesime cicostanze, come la omissione di una attività che il responsabile aveva il dovere di compiere.
Anche l'inosservanza di regole tecniche o norme di condotta costituisce una colposa negligenza, sicchè anche quando venga a mancare una specifica norma di legge che faccia obbligo di osservare una particolare linea di condotta, l'imprudenza, la negligenza o l'imperizia possono costituire elementi della colpa.
A ben riflettere, comunque, norme di condotta esistono e si possono ricostruire dal quadro normativo sopra delineato.
Per ciascuno dei fatti illeciti previsti dalla legislazione penale è necessario, infatti, che vengano adottate e accuratamente praticate delle contromisure proporzionate.

Una politica "minima" della sicurezza dei sistemi informativi deve prevedere, in sostanza, un sistema di identificazione degli utenti, una politica degli accessi associata a meccanismi logici e meccanici di protezione della integrità dei dati e misure normative ed organizzative adeguate: non ha senso, infatti, investire cospicue risorse economiche per installare un sistema di protezione, se gli operatori, non adeguatamente sensibilizzati o addestrati, trascrivono la password sul cabinet del loro PC o dimenticano di estrarre il badge quando si assentano temporaneamente dal posto di lavoro col terminale acceso.
Allo stesso modo deve ritenersi che qualora la intrusione nel sistema informativo o il suo danneggiamento siano riconducibili alla scarsa diligenza del responsabile di sistema, questi potrà essere chiamato a risarcire il danno nei confronti dell'azienda e nei confronti dell'eventuale terzo danneggiato.

Il concetto giuridico di "sicurezza informatica" è - dunque - collegato a quel complesso di accorgimenti tecnici ed organizzativi che mirano a tutelare i beni giuridici della confidenzialità (o riservatezza), della integrità e della disponibilità delle informazioni registrate.(3)
Per comprendere correttamente il significato di queste espressioni si deve aver riguardo - secondo un riconosciuto criterio interpretativo dei concetti giuridici - agli interessi che appaiono meritevoli di tutela.
Si definisce "sicuro" un sistema informativo in cui le informazioni in esso contenute vengono "garantite", attraverso i sistemi di sicurezza all'uopo predisposti, contro il pericolo di accessi o sottrazioni ad opera di persone non autorizzate e contro il pericolo di manipolazioni, alterazioni o cancellazioni involontarie o dolose (a scopo di danneggiamento o di frode) .
(4)
Rendere le informazioni riservate "non disponibili" da parte di chi non è autorizzato significa parimenti, e sotto altro profilo, rendere tali informazioni disponibili nella loro integrità originaria a chi ne ha diritto (criterio della "disponibilità" del dato).
In altre parole, non ha senso porsi un problema di tutela della riservatezza dell'individuo se prima non viene assicurata la integrità dei dati personali, poiché il dato informatico esiste in quanto è "sicuro", in quanto di esso qualcuno ne garantisce l'integrità e la affidabilità.
(5)

Nell'ordinamento giuridico italiano il concetto di sicurezza informatica si ricava da una attenta lettura degli articoli 615-ter e 615-quater del codice penale (introdotti recentemente dalla legge 23 dicembre 1993 n. 547, più comunemente nota come "legge sui computer crimes").
Queste norme sono state, sino alla approvazione della legge 675, le uniche ad occuparsi espressamente di un "sistema informatico o telematico protetto da misure di sicurezza", al fine di sanzionare con la pena della reclusione (che può anche arrivare alla misura di cinque anni, secondo la gravità dei casi) il reato di accesso abusivo ad un sistema informatico o telematico
(6) o la divulgazione dei suoi codici di accesso.
In pratica, commette il delitto di abusiva introduzione chiunque, senza averne il diritto, si introduce (i.e.: si inserisce, come utente abusivo, direttamente, attraverso un terminale o tramite collegamento su linea telefonica) in un sistema informativo altrui.
Non è richiesto, perché si compia il reato, un intento particolare o specifico. Non ha rilievo, cioè, che l'intruso agisca per fini di lucro o semplicemente per gioco.

Quando sono in ballo ingenti investimenti per la creazione e la gestione di un centro di elaborazione dati, il semplice fatto che qualcuno riesca a superare le misure di sicurezza costituisce, in sè, un attentato alla affidabilità del sistema poiché mette in pericolo il bene che abbiamo definito della "integrità" del dato.
Il semplice collegamento abusivo può, inoltre, veicolare nel sistema host un virus caricato a tempo, i cui effetti dannosi potranno manifestarsi dopo molti mesi, al verificarsi di determinate condizioni scelte dal programmatore dell'ordigno.
Si tratta, dunque, di un "reato di pericolo" sanzionato al solo verificarsi del comportamento proibito dalla legge, indipendentemente dal verificarsi di un particolare evento dannoso.
Perché si rientri nell'operatività di questa norma è invece assolutamente necessario che l'hacker sia consapevole del fatto che con la sua condotta egli sta violando il "domicilio informatico" altrui.
Non a caso, l'art. 615-ter è stato inserito nell'ambito dei delitti contro l'inviolabilità del domicilio (artt. 614 - 615 - quinquies). Il sistema informativo costituisce, infatti, rispetto alla persona, una sorta di "espansione" della sua soggettività:
(7) chi si introduce clandestinamente all'interno della abitazione d'altri commette, comunque, il delitto di violazione di domicilio anche se dimostra che non aveva alcuna intenzione di rubare.

L'appartenenza ad altri (che i giuristi chiamano "altruità") della abitazione e la mancanza di consenso dei suoi occupanti sono ben evidenti dalla presenza di una porta (non importa che sia aperta o chiusa) o - nel caso analogo di introduzione abusiva nel suolo altrui - anche dalla mera presenza di un cartello che rechi ben visibili i classici ammonimenti della tutela possessoria ("proprietà privata" e "divieto di accesso").

Nel mondo informatico, peraltro, la "introduzione" all'interno degli archivi di un sistema automatizzato può avvenire per mezzo dei collegamenti telefonici, anche da distanze intercontinentali.
Le reti telematiche pubbliche o "aperte"(come Internet) contengono una pluralità di gateways che immettono in siti di libero accesso (gli archivi pubblici delle università, i luoghi di dibattito) e in siti privati (come le caselle della posta elettronica) o a pagamento.
A ben vedere, tutti i sistemi contengono aree riservate (le aree di sistema, quelle riservate al gestore ed ai suoi collaboratori) ove l'accesso è consentito soltanto alle persone autorizzate e non anche agli abbonati.
È ben evidente, allora, che le "misure di sicurezza" di cui parla l'art. 615-ter del codice penale possono consistere in qualunque accorgimento (logico o meccanico) idoneo allo scopo di interdire l'introduzione nel sistema informativo da parte di chi non è autorizzato.
Anche una semplice password, sotto questo profilo, costituisce una (seppure minima) misura di sicurezza informatica.
(8)

Al medesimo concetto di sicurezza fa riferimento il successivo art. 615-quater del codice penale (anch'esso introdotto dalla L.547/93)per sanzionare con la reclusione sino a due anni e con la multa sino a 20 milioni di lire (nei casi aggravati)di detenzione e diffusione abusiva dei "codici di accesso" ad un sistema informativo automatizzato.(9)
Commette questo delitto chiunque , a scopo di profitto o per recare danno, si procura, o fornisce ad altri, "codici, parole chiave o altri mezzi idonei all'accesso" ad un sistema informativo "protetto da misure di sicurezza".

Per la parte che qui interessa (la norma offre spunti interessanti di discussione sotto molteplici profili) questo articolo contiene una elencazione esemplificativa delle "misure di sicurezza" che possono proteggere il sistema: la "parola-chiave", come si vede, è considerata, unitamente ai "codici" e ad ogni altro accorgimento (meccanico o logico) tra le possibili difese che debbono essere apprestate a protezione delle informazioni riservate.
In generale, l'intera casistica di "disastri informatici" che si ricava dalla lettura della legge 547/93 costituisce una sorta di elenco (non esaustivo) degli attacchi che possono minacciare la integrità dei sistemi informativi.
La prevedibilità di questi eventi dannosi è - come detto - di importanza decisiva per delimitare i profili della responsabilità del responsabile della sicurezza.

I casi previsti, oltre a quelli già citati, sono quelli dell'attentato ad impianti informatici di pubblica utilità (art.420); della falsificazione di documenti informatici (quindi, della alterazione o della manipolazione dell'integrità deldato originario - art. 491-bis), della diffusione di programmi idonei a danneggiare o interrompere il funzionamento di un sistema informatico (art. 615-quinquies), della violazione di corrispondenza telematica (art. 616 e art. 617-sexies), della intercettazione di e-mail (art. 617-quater) ed infine del danneggiamento (art. 635-bis) e della frode informatica (cioè l'alterazione dell'integrità dei dati allo scopo di procurarsi un ingiusto profitto - art. 640-ter).

La sicurezza di un sistema informativo coincide, in sostanza, con la intrinseca capacità di prevedere ed impedire queste e altre probabili minacce.
Si tratta tanto delle caratteristiche intrinseche del progetto, quanto di accorgimenti organizzativi e tecnici che debbono essere adottati per ridurre al minimo (rendere poco probabile)la possibilità di un attentato.
Ciò significa che un sistema informativo è "sicuro" se viene progettato pensando alla disciplina delle politiche di accesso.
Competente a dettare le norme tecniche in materia di sicurezza per i sistemi informativi della pubblica Amministrazione e degli Enti pubblici non economici è - come s'è detto - l'Autorità per l'informatica nella p.A. alla quale, a norma dell'art. 7 del decreto legislativo 12 febbraio 1993 n. 39, spetta di "dettare criteri tecnici riguardanti la sicurezza dei sistemi".

A livello comunitario, come è noto, sin dal 1990 Gran Bretagna, Francia , Olanda e Germania hanno dato vita ad un accordo per armonizzare i rispettivi criteri di valutazione della sicurezza dei prodotti e sistemi informatici e telematici (IT - Information Technology).
La Comunità Europea, nell'intento di favorire la libera circolazione delle tecnologie dell'informazione e di assicurare nel contempo la sicurezza dei sistemi e dei prodotti informatici e telematici, ha fatto propria tale esperienza, raccomandando agli Stati membri l'adozione di questi criteri comuni per la valutazione della sicurezza dei prodotti (ITSEC - Information Technology Security Evaluation Criteria).
10
Il sistema si fonda sul riconoscimento reciproco tra Stati delle certificazioni sulla sicurezza dei prodotti effettuate in laboratori autorizzati mediante l'adozione dei predetti criteri e della corrispondente metodologia di applicazione raccolta nel manuale ITSEM (IT Security Evaluation Manual).
In sintesi, ogni sistema informativo sottoposto a certificazione deve essere accompagnato da un documento contenente le specifiche di sicurezza (Security Target) nel quale vengono indicati i pericoli che si intendono prevenire, gli accorgimenti adottati e il livello di certificazione richiesto.
Il prodotto "sicuro" viene così certificato ad un determinato livello di affidabilità secondo una scala di valutazione suddivisa in sei gradi.

L'Italia partecipa al negoziato che dovrebbe dar vita al mutuo riconoscimento delle certificazioni effettuate negli altri Paesi della Comunità, ed è auspicabile che una raccomandazione del Consiglio introduca, quanto prima, il sistema delle certificazioni nell'ambito dell'Unione europea.

(28.01.97)

Note
1 - Per una casistica esemplificativa e per una ricostruzione dei casi giudiziari più significativi in tema di frodi informatiche si rinvia a Borruso, Buonomo, Corasaniti e D'aietti, "Profili penali dell'Informatica", Giuffrè, Milano, 1994, pag.140 e ss. Nonchè alla bibliografia ivi citata.

2 - La legge equipara il trattamento dei dati, ai fini della risarcibilità del danno, all'esercizio di attività pericolose che determinano, a carico di chi le esercita, una presunzione di responsabilità a norma dell'art. 2050 del codice civile.

3 - Si fa riferimento, principalmente, alla Computer Fraud and Abuse Act emanata in USA nel 1986, seguita, nel 1988 dalla Loi n.18-19 relative à la fraude informatique e al Computer Misuse Act della Gran Bretagna entrata in vigore nel 1990. Altre leggi interessanti sul tema della criminalità informatica sono state adottate da Grecia (n.1805 del 1988), Austria (n.605 del 1987) e Danimarca (n.229 del 1985). Una buona raccolta sulle legislazioni di tutti i Paesi del mondo può essere consultata sul server Web della Electronic Frontier Foundation all'indirizzo http://www.eff.org/pub/Legislation/Foreign_and_local/

4 - Per una definizione del concetto di sicurezza come "la garanzia che determinate politiche di accesso al sistema informativo siano messe in atto e opportunamente salvaguardate" si veda A.Berretti "I Firewall" in Sicurezza Informatica (anno 2 n.3 pagg. 8 e ss.).

5 - Si vedano in proposito gli interventi di Guido Rey e di Gianni Buttarelli.

6 - Si trascrive, di seguito, il testo integrale dell'articolo 615-ter del codice penale, citato nel testo:
(Accesso abusivo ad un sistema informatico o telematico). - "Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà' espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità' di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanita' o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio."

7 - Precisamente, si legge nella Relazione che accompagnava il disegno di legge, che i sistemi informativi costituiscono "un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantito dall'art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli articoli 614 e 615 del codice penale".

8 - Una opinione contraria si ritrova in G. Ceccacci, Computer Crimes - la nuova disciplina dei reati informatici, FAG, Milano, 1994. Secondo l'autore, le misure di sicurezza debbono essere intese come qualcosa di più complesso di una semplice password.

Accedendo a tale ipotesi, tuttavia, si arriverebbe al paradosso per cui la punibilità dello scassinatore informatico sarebbe collegata alla "complessità" delle misure di sicurezza predisposte: chiunque riuscisse a "forzare" un sistema informativo con una password falsa non commetterebbe alcun reato se il gestore di sistema non ha previsto altre e più "complesse" misure.
Cosa dire, poi, dei sistemi a password plurime, in cui per entrare in un settore è necessario una parola di accesso diversa da quella necessaria per accedere ad altra area? È, questo, un sistema complesso? E quanto deve essere "lunga" la password per potersi considerare "complessa"?

9 - Codice Penale, art. 615-quater: - (detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici). - Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni.
La pena è della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617-quater".

10 - Raccomandazione del Consiglio 95/144/CE del 7 aprile 1995, pubblicata in G.U.C.E. n. L93/27.

convegno - relazioni - prima pagina
© 1997 - Informazioni sul copyright