La responsabilità del gestore del sistema
informatico per omessa adozione di misure di sicurezza
di Gianni Buonomo(*) -
29.01.96
Il disegno di legge
n.1901- bis sulla tutela delle persone rispetto al
trattamento dei dati personali, attualmente in
discussione al Parlamento, prevede, all'art. 25, una
ipotesi di reato a carico di "chiunque, essendovi
tenuto, omette di adottare le misure necessarie per
assicurare la sicurezza dei dati personali".
Nel testo attuale, il
delitto è punito con la pena della reclusione sino ad un
anno (da due mesi a due anni "se dal fatto deriva
nocumento"). Il delitto puo' essere punito (con pene
dimezzate) anche soltanto a titolo di colpa (cioe' per
una omissione dovuta a semplice negligenza, imprudenza o
imperizia).
Poiché tale norma si applicherà "al trattamento
dei dati personali da chiunque effettuato nell'ambito del
territorio dello Stato" e considerato che per
"dato personale" si intende "qualunque
informazione relativa a persona fisica, persona giuridica
o ente, identificati o identificabili anche
indirettamente", e' facile argomentare che la norma
trovera' pratica applicazione nell'ambito di tutti (o
quasi) i sistemi informativi automatizzati aziendali che
contengano un elenco di nominativi. È - dunque - di
fondamentale importanza, prima che il disegno di legge
venga approvato, cercare di definire i profili giuridici
della responsabilità del gestore del sistema informativo
e, in particolare, assegnare, per quanto possibile, alla
luce della legislazione attualmente in vigore, precisi
contorni alla definizione giuridica della "sicurezza
informatica".
È interessante notare
come le "misure di sicurezza", cu fa
riferimento il citato articolo del disegno di legge,
coincidono con le misure di protezione del sistema
informativo idonee (art. 7 del ddl):
1) a prevenire il rischio di una perdita o distruzione
dei dati anche solo accidentale,
2) eliminare o ridurre al minimo i rischi di un accesso
non autorizzato
3) impedire un trattamento non consentito o "non
conforme alle finalità della raccolta".
Questi concetti si
ritrovano ampiamente nelle legislazioni di tutti i Paesi
che si sono occupati del problema prima dell'Italia.
In sintesi, essi si richiamano ad un complesso di
accorgimenti tecnici ed organizzativi che mirano a
tutelare i beni giuridici della confidenzialità (o
riservatezza), della integrità e della disponibilità
delle= informazioni registrate.
Ciò significa, dunque,
che i principali doveri che incombono al responsabile
della sicurezza della rete possono essere così
sintetizzati:
1. garantire
l'autenticazione degli utenti della rete (evitare
sostituzioni fraudolente di persona);
2. garantire la confidenzialità dele informazioni
(assicurare che solo il destinatario del messaggio possa
prendere cognizione del suo contenuto); garantire
l'integrità del dato (impedire che il dato registrato
venga fraudolentemente alterato);
3. impedire il discoscimento della trasmissione
("non repudiation" - chi trasmette non può
negare di avere trasmesso - chi riceve, non può negare
di aver ricevuto);
4. garantire il controllo degli accessi (politiche
organizzative e di gestione delle password);
5. sorvegliare il traffico sulla rete per segnalare
indebite intrusioni.
In attesa
dell'approvazione della legge, deve essere comunque
tenuto presente che, anche nel sistema normativo vigente,
la omessa adozione di misure di protezione può condurre
il gestore del sistema a rispondere del danno cagionato a
terzi incolpevoli o alla propria azienda. È necessario
peraltro provare che il fatto dannoso si è verificato in
quanto colui che si ritiene responsabile ha omesso di
adottare cautele considerate "doverose" secondo
i normali criteri di prudenza, di competenza
professionale e di attenzione.
Viene qui in
considerazione, pertanto, il criterio di
"prevedibilità" dell'evento, decisivo per la
delimitazione dei confini della responsabilità degli
addetti . Il principale riferimento normativo resta, pur
sempre, la risarcibilità per fatto illecito, sancita
dall'art. 2043 del codice civile.
Nell'espressione adoperata in questo articolo
("fatto doloso o colposo che cagiona ad altri un
fatto ingiusto") rientrano tutti quei casi in cui il
danno sia riconducibile direttamente alla omissione di
cure e cautele che chiunque sarebbe tenuto ad adottare
nelle medesime cicostanze, come la omissione di una
attività che il responsabile aveva il dovere di
compiere. Deve tenersi presente che anche l'inosservanza
di regole tecniche o norme di condotta costituisce una
colposa negligenza, sicchè anche quando manchi una
specifica norma di legge che faccia obbligo di osservare
una particolare linea di condotta , l'imprudenza, la
negligenza o l'imperizia possono costituire elementi
della colpa.
A ben riflettere,
comunque, norme di condotta esistono e si possono
ricostruire dall'analisi della legislazione vigente.
L'articolo 615-ter del codice penale, ad esempio punisce
il delitto di "accesso abusivo ad un sistema
telematico", che si verifica ogni qualvolta taluno
si inserisce come utente abusivo, senza averne diritto,
in un sistema informativo altrui "protetto da misure
di sicurezza". Si tratta - unitamente all'art. 615
-quater che segue - dell'unica norma che menziona
espressamente le misure di sicurezza di un sistema
informatico o telematico (per usare la ridondante
espressione della legge) e che fa implicito riferimento,
per converso, alla sicurezza informatica. Il reato si
verifica (in gergo giudiziario si dice :"si
consuma") al momento del verificarsi dell'evento
(purche' il fatto sia intenzionale), dunque nel momento
in cui avviene la intrusione nel sistema informatico. Non
e' necessario, dunque, per ottenere la condanna
dell'autore del reato, che l'accesso abusivo abbia
causato un danno, ne' l'hacker potrebbe discolparsi
dichiarando al giudice di aver agito per gioco e per mero
gusto della sfida ai sistemi di sicurezza.
Il motivo di questa severita' della legge penale, sta -
evidentemente - nel fatto che la semplice intromissione
abusiva mette in pericolo il bene primario della
"integrita' dei dati" e rende non piu'
affidabile l'intero sistema.
Dopo ogni intrusione e'
necessario effettuare lunghi ed approfonditi controlli
per verificare se i dati sono ancora affidabili e, in
generale, se il sistema e' ancora affidabile e se la
abusiva intromissione ha veicolato virus caricati a tempo
all'interno del calcolatore. Su questo effetto
"psicologico", legato alla perdita di
affidabilità del sistema informativo, fanno leva,
dunque, i fenomeni piu' vistosi di hackering.
L'articolo 615 - ter del
codice penale costituisce l'omologo della
"violazione di domicilio" prevista
dall'articolo 614. Il sistema informativo - o anche il
semplice PC col quale ognuno di noi lavora ogni giorno,
costituisce una sorta di espansione della personalita',
una stanza "virtuale" del proprio domicilio
"reale".
È questa, a mio parere, la chiave di interpretazione del
concetto di "misure di sicurezza" attualmente
ricavabile da queste norme : le "misure di
sicurezza" di cui parla l'art. 615-ter del codice
penale possono consistere in qualunque accorgimento
(logico o meccanico) idoneo allo scopo di interdire
l'introduzione nel sistema informativo da parte di chi
non è autorizzato.
Anche una semplice password, sotto questo profilo,
costituisce una (seppure minima) misura di sicurezza
informatica, ma potrebbe risultare del tutto inadeguata (cioe' non proporzionata,
sottodimensionata) rispetto
alla delicatezza dei dati da proteggere.
In questo contesto, infatti, la misura di sicurezza ha
rilevanza nella misura in cui essa è predisposta a far
conoscere all'estraneo il carattere di riservatezza dei
dati contenuti in quel sistema, analogamente alla
funzione che svolge la porta di ingresso di una abitazione
che (anche se aperta) pone l'intruso in condizione di
sapere con certezza che egli sta, per avventura,
introducendosi nella proprietà altrui.
Per ciascuno dei fatti
illeciti previsti dalla legislazione penale è necessario
che vengano adottate e accuratamente praticate delle
contromisure proporzionate.
Una politica "minima" della sicurezza dei
sistemi informativi deve prevedere, in sostanza, un
sistema di identificazione degli utenti, una politica
degli accessi associata a meccanismi logici e meccanici
di protezione della integrità dei dati e misure
normative ed organizzative adeguate : non ha senso,
infatti, investire cospicue risorse economiche per
installare un sistema di protezione, se gli operatori,
non adeguatamente sensibilizzati o addestrati,
trascrivono la password sul cabinet del loro PC o
dimenticano di estrarre il badge quando si assentano
temporaneamente dal posto di lavoro col terminale acceso.
Allo stesso modo deve ritenersi che qualora la intrusione
nel sistema informativo o il suo danneggiamento siano
riconducibili alla scarsa diligenza del responsabile di
sistema, questi potrà essere chiamato a risarcire il
danno nei confronti dell'azienda e nei confronti
dell'eventuale terzo danneggiato.
(*) Magistrato addetto
all'Ufficio Sistemi informativi automatizzati del
Ministero di Grazia e Giustizia
|