|
Osservazioni sulle "misure
minime di sicurezza" introdotte dal DPR
318/99
L'approccio penale alla sicurezza informatica*
di Gianni Buonomo - 04.11.99
L'evoluzione tecnologica del settore IT verso
sistemi di elaborazione sempre più potenti e sempre più a basso costo ha
segnato, in particolare negli ultimi dieci anni, il passaggio dalla informatica
tradizionalmente intesa come "automazione dei processi", in cui alle
macchine veniva affidato il compito di eseguire attività meramente ripetitive,
lasciando all'uomo funzioni di controllo, alla informatica intesa come
trattamento dei dati al fine di estrarne un "valore aggiunto".
È stato possibile - così - concentrare raccolte di dati eterogenei e aggregare
e disaggregare le informazioni sino ad estrarne previsioni per l'adozione di
ogni sorta di decisioni, che spaziano dalle scienze mediche all'andamento delle
economie e dei mercati finanziari.
Appare, dunque, evidente il pericolo che si cela dietro il possesso e l'uso
indiscriminato delle banche di dati personali.
Si pensi - ad esempio - al monitoraggio che
normalmente viene effettuato - per ragioni di sicurezza - sugli accessi ai siti
Internet. Ogni Internet provider si trova a gestire un tabulato che,
opportunamente interpretato, rappresenta un vero "diario" personale
degli utenti del servizio, dove vengono annotate le preferenze commerciali, i
gusti, le opinioni politiche e religiose di ogni persona.
La disponibilità di questo archivio può costituire, nella migliore delle
ipotesi, un grande vantaggio commerciale per le imprese che effettuano la
vendita a domicilio o per le società che effettuano indagini di mercato.
La legge sulla privacy, in estrema
sintesi, vieta l'utilizzazione di un archivio informatizzato per scopi diversi
da quelli per cui è stato creato e provvede a munire di sanzione penale le
ipotesi di omessa protezione dei dati e di diffusione indebita di informazioni
custodite in archivi informatizzati).
L'ipotesi di reato prevista dall'articolo
36 della legge (omessa adozione
di misure di sicurezza) è strettamente connessa col divieto di diffusione di
informazioni relative ai dati personali raccolti: la mancata adozione delle
misure di sicurezza si risolve, infatti nella colposa agevolazione della
commissione del delitto di "esportazione" non autorizzata
d'informazioni riservate.
Si tratta di impedire, in genere, l'utilizzo
delle risorse del sistema per scopi diversi (comunemente illeciti) da quelli per
i quali esso è stato progettato.
L'articolo
15 della legge (sicurezza dei
dati) dispone, dunque, che "I dati personali oggetto di trattamento devono
essere custoditi e controllati, anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati ed alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o
perdita anche accidentale dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della raccolta".
La norma si applica "al trattamento dei dati personali da chiunque
effettuato nell'ambito del territorio dello Stato".
Si consideri, inoltre, che la legge definisce
"dato personale" "qualunque informazione relativa a persona
fisica, persona giuridica o ente, identificati o identificabili anche
indirettamente".
Se ne deduce che queste norme sono destinate ad operare per tutti i casi in cui
un elenco di nominativi sia contenuto nella memoria di un elaboratore
elettronico.
Chiunque, essendovi tenuto, omette di adottare le
misure necessarie ad assicurare la sicurezza dei dati è punibile, secondo il
testo della legge, con la reclusione sino ad un anno (se dal fatto non è
derivato alcun danno) o con la reclusione da due mesi a due anni se si è
verificato un "nocumento".
Le pene, diminuite, si applicano anche al caso di condotta semplicemente colposa
(cioè in caso di omissione dovuta a negligenza, imperizia o imprudenza del
responsabile - articolo 36, comma secondo).
È interessante notare come le "misure di
sicurezza" siano state qui descritte come misure di protezione idonee a
prevenire il rischio di una perdita o distruzione dei dati anche solo
accidentale, "di un accesso non autorizzato o di un trattamento non
consentito o non conforme alle finalità della raccolta", confermando la
definizione di "sicurezza" verso la quale sembrano orientate le
legislazioni di tutti i Paesi che si sono già occupati del problema.
Le "misure minime" di protezione"
obbligatorie sono fissate con una norma regolamentare (un DPR da emanare ogni
due anni ai sensi dell'art. 15 della legge). All'entrata in vigore del DPR,
peraltro, le norme transitorie (articolo
41) prevedono che i dati siano
"custoditi in maniera tale da evitare un incremento dei rischi di cui al
all'articolo 15 comma 1, e cioè in modo da ridurre al minimo "in relazione
alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed
alle specifiche caratteristiche del trattamento" i rischi di perdita anche
accidentale dei dati o di intrusione non autorizzata nel sistema informativo
automatizzata.
Questo significa che un obbligo preciso di adottare misure di sicurezza
adeguate alla protezione dei dati sussiste in capo al responsabile del centro di
elaborazione sin dal momento di emanazione del regolamento.
A livello comunitario, del resto, la direttiva
sul trattamento dei dati personali prevede che gli Stati membri dispongano,
nelle rispettive legislazioni, per un diritto al risarcimento del danno
"per chiunque subisca nocumento da un trattamento illecito di dati
personali o dalla violazione delle norme che disciplinano le banche-dati",
oltre a "misure appropriate" per garantire la piena applicazione della
legge.
La legge 675 ha scelto, a questo proposito, la più grave delle sanzioni, quella
penale e una disciplina sanzionatoria che, nel complesso, si presta a non poche
critiche.
Innanzitutto, l'articolo
18 della legge prevede che
"chiunque cagiona un danno ad altri per effetto del trattamento dei dati
personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice
civile".
Ciò significa che la legge presume la colpa del gestore della banca di dati e -
invertendo l'onere della prova - pone a suo carico ogni possibile conseguenza
dei danni cagionati a terzi, se egli non prova di avere adottato tutte le misure
idonee ad evitare il danno.
Si è molto discusso, a questo proposito, della
applicabilità di queste norme alle cosiddette "banche dati per fini
esclusivamente personali".
L'ipotesi è prevista dall'articolo
3 della legge,
che dispone: "il trattamento dei dati personali, effettuato da persone
fisiche per fini esclusivamente personali, non è soggetto alla applicazione
della presente legge, sempre che i dati non siano destinati ad una comunicazione
sistematica o alla diffusione".
Il secondo comma dello stesso articolo, peraltro, precisa che "al
trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema
di sicurezza dei dati di cui all'articolo 15, nonché le disposizioni di cui
agli articoli 18 e 36".
Ciò significa, per semplificare con un esempio,
che anche la rubrica telefonica contenuta nel notebook deve essere
"custodita e controllata" a norma dell'articolo 15 della legge,
"anche in relazione alle conoscenze tecniche acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento" mediante l'adozione di "idonee e preventive misure di
sicurezza" conformi al regolamento previsto dallo stesso articolo.
E poiché l'articolo 36 della legge (qui
espressamente richiamato) punisce con un anno di reclusione chi, per colpa,
"omette di adottare le misure di sicurezza necessarie a garantire la
sicurezza dei dati personali" sarà bene - sin da ora - evitare di
dimenticare il PC portatile dell'esempio di cui sopra sulla metropolitana per
evitare di incorrere (se non proprio in un procedimento penale) nella
severissima norma che stabilisce l'obbligo del risarcimento del danno ex art.
2050 del codice civile (come detto, solo un evento del tutto imprevedibile
scagiona il presunto responsabile).
Assumono fondamentale importanza, allora, le norme di sicurezza minime e
preventive cui fa riferimento l'articolo 15 della legge.
Le misure di sicurezza, poste a protezione del
patrimonio informativo custodito nelle memorie di un sistema informatico, sono
costituite dai meccanismi logici, tecnologici ed organizzativi che tendono a
impedire la commissione di reati informatici e a prevenire altri eventi dannosi
per il sistema o per i dati.
Questi eventi dannosi consistono, in estrema sintesi, in ogni forma di attentato
ai beni costituiti dalla integrità dei dati informatici (che assicura l'assenza
di alterazioni dell'informazione originale) dalla loro riservatezza (che
assicura la conoscenza dell'informazione soltanto alle persone autorizzate) o
della loro disponibilità (che assicura alle persone che ne hanno diritto la
immediata e libera conoscenza dell'informazione).
La sicurezza dei dati informatici è un attributo
di tali informazioni: una banca di dati può funzionare soltanto se i dati in
essa custoditi sono "sicuri" (cioè disponibili, riservati e integri)
poiché il dato informatico o è sicuro o . non è.
Gli articoli 615-ter e 615-quater del codice penale (introdotti dalla legge
547/93) fanno espresso
riferimento ad un "sistema informatico o telematico protetto da misure di
sicurezza", al fine di sanzionare con la pena della reclusione (che può
anche arrivare alla misura di cinque anni, secondo la gravità dei casi) il
reato di accesso abusivo ad un sistema informatico o telematico o la
divulgazione dei suoi codici di accesso.
Il reato sussiste, dunque, nei soli casi in cui il sistema informatico colpito
dall'azione criminale sia stato adeguatamente protetto.
Il legislatore del 1993 ha lasciato
all'interpretazione giurisprudenziale la individuazione degli accorgimenti
idonei a proteggere un sistema informatico, in considerazione della rapida
evoluzione tecnologica del settore informatico, che avrebbe vanificato e reso
obsoleto qualsiasi tentativo di elencazione anche solo esemplificativa.
Diversamente, la legge 31 dicembre 1996, n.
675 sulla protezione dei dati personali ha affidato ad un apposito regolamento
il compito di individuare le misure "minime" di sicurezza la cui
predisposizione a protezione dei dati personali è obbligatoria e la cui mancata
adozione è sanzionata penalmente dall'articolo 36 della legge.
Prima di commentare le principali novità del
regolamento sulle misure di sicurezza, tuttavia è opportuno segnalare che la legge
31 dicembre 1996, n. 676 ha
delegato il Governo per l'emanazione di disposizioni per l'applicazione della
legislazione in materia di protezione dei dati personali "ai servizi di
comunicazione e di informazione offerti per via telematica, individuando i
titolari del trattamento di dati inerenti ai servizi accessibili al pubblico e
la corrispondenza privata, nonché i compiti del gestore anche in rapporto alle
connessioni con reti sviluppate su base internazionale" (art.1 lett. n).
L'attuazione della delega, con apposito decreto legislativo, potrebbe
comportare il rischio di una sovrapposizione di norme in materia di sicurezza
dei "servizi di comunicazione" che raccolgono dati personali.
Ma non basta.
Nel 1997, con la legge
n. 249, è stata istituita
l'Autorità per le garanzie nelle comunicazioni, fra i cui compiti rientra anche
la definizione delle misure di sicurezza delle comunicazioni (art. 1, comma 6,
lett. a, n.3). La sicurezza delle operazioni di rete è considerata - inoltre -
"esigenza fondamentale" che i fornitori di servizi di
telecomunicazioni aperti al pubblico sono tenuti ad assicurare "al massimo
livello possibile" "per quanto in loro potere" dall'articolo 12
del DPR
19 settembre 1997, n. 318
emanato per l'attuazione delle direttive comunitarie nel settore delle
telecomunicazioni.
Inoltre, con la legge
15 marzo 1997, n. 59 (art. 15) e
col successivo DPR
10 novembre 1997, n. 513 è
stata attribuita piena validità ed efficacia ai documenti formati con strumenti
informatici e trasmessi per via telematica dai privati e dalla pubblica
amministrazione, utilizzando la cosiddetta firma digitale.
Quest'ultimo regolamento - che equipara i
documenti informatici sottoscritti con firma digitale alle scritture private
sottoscritte con la firma autografa - prevede, a carico degli utilizzatori dei
sistemi di chiavi asimmetriche, l'obbligo di adottare tutte le misure
organizzative e tecniche idonee ad evitare danni a terzi (art. 9) analogamente a
quanto prevede la citata legge 675 del 1996 sulla protezione dei dati personali
che dispone, all'articolo 18, che "chiunque cagiona danno ad altri per
effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi
dell'articolo 2050 del codice civile".
Da questi brevi riferimenti emerge - dunque -
la conferma della tradizionale tendenza (se si eccettuano le modifiche al codice
penale) alla frammentarietà ed alla specialità della legislazione italiana.
In altre parole, si è passati, in pochi anni, da un sistema
caratterizzato dalla assenza di normativa ad un sistema caratterizzato, al
contrario, da una superfetazione di norme che sembrano tutte destinate a
disciplinare le stesse materie.
Toccherà, ancora una volta, alla giurisprudenza il compito di
districare, per via interpretativa, la complessa matassa.
Il regolamento definisce - dunque - quel
complesso delle misure "tecniche, informatiche, logistiche e procedurali di
sicurezza " che configurano il livello di protezione richiesto "in
relazione ai rischi previsti dall'articolo 15, comma 1 della legge n.
675/96".
Questi rischi sono, come si ricorderà, la "distruzione o perdita, anche
accidentale, dei dati, l'accesso non autorizzato o il trattamento non
consentito o non conforme alle finalità della raccolta".
Tradotto in termini informatici, ciò significa,
per esempio, impedire l'accesso anonimo ai dati, o l'accesso alle
funzioni, ai servizi, ai locali o ai dati da parte di persone non autorizzate,
limitare il riutilizzo dei supporti di archiviazione per impedire la perdita o
la sottrazione di dati riservati.
Partiamo dalle definizioni introdotte dal
regolamento.
Molto s'è detto (mai abbastanza) sulla
impropria definizione di "mezzi elettronici o comunque automatizzati"
introdotta legge e richiamata quasi obbligatoriamente dal DPR troppo ampia e
comunque idonea a ricomprendere qualsiasi strumentazione elettronica adibita al
trattamento dei dati.
Più corretta sarebbe stata la locuzione "sistemi informativi
automatizzati," contenuta nel DLgs.
12 febbraio 1993, n. 39,
istitutivo dell'Autorità per l'informatica nella PA (senza tener conto di
una terza definizione di "sistemi informatici o telematici" introdotta
dalla legge
547/93 sui crimini informatici).
E' singolare - a questo proposito - che il
regolamento sia articolato su mezzi di protezione dei "sistemi"
informativi automatizzati utilizzati per il trattamento dei dati, nonostante la
legge preveda la protezione dei "dati" personali (e non dei sistemi
utilizzati per il loro trattamento). La distinzione tra elaboratori
accessibili in rete e elaboratori non disponibili al pubblico appare,
in ogni caso, non univoca.
E' chiaro che il legislatore intendeva riferirsi all'accesso alla rete
(locale) attraverso una rete telematica pubblica (Internet, innanzitutto). Ma è
altrettanto chiaro che un collegamento attraverso linee commutate può, secondo
i casi, rendere occasionalmente "disponibile al pubblico" anche la
rete locale.
Giova all'interpretazione delle norma la
distinzione tra reti accessibili "solo" attraverso sistemi non
disponibili al pubblico e reti "di telecomunicazione" disponibili al
pubblico.
E' evidente che il parametro di riferimento è - per il legislatore - la disponibilità
al pubblico della rete di telecomunicazioni e non già la modalità di
accesso (per via telematica o attraverso la rete locale).
E' naturale, del resto, che più restrittive misure di sicurezza siano
concettualmente connesse con maggiori rischi derivanti dal numero indeterminato
di utenti.
Lo schema seguito dal regolamento è,
dunque, il seguente:
- Se i dati personali sono trattati su di un PC stand
alone è necessario che le macchine siano fornite di parole chiave,
distribuite da un "soggetto preposto" qualora vi siano più incaricati
del trattamento (ciascuno dei quali lavora su un singolo PC non collegato ai PC
degli altri incaricati).
Se questo è il caso dell'articolo
2 del DPR 318/99, appare chiaro
che l'ipotesi è del tutto residuale e riguarda, forse, alcuni settori della
pubblica amministrazione il cui stato di arretratezza informatica ben può aver
giustificato questa irrazionale previsione: in un'impresa privata è quasi
impossibile, oggi, trovare una pluralità di addetti al trattamento
automatizzato delle informazioni in assenza di una connessione di rete.
- Se la connessione è limitata agli incaricati
del trattamento (e al responsabile) allora si verifica l'ipotesi di cui all'articolo
3 (elaboratori accessibili
attraverso reti "non disponibili al pubblico"). L'ipotesi comprende,
evidentemente, anche l'accesso per via telematica, purché riservato ai
soggetti autorizzati.
Il punto di riferimento, come detto, è l'elaboratore
nel quale sono custoditi i dati ed il modo attraverso il quale i dati
possono essere trattati: se l'accesso (da parte delle persone autorizzate)
avviene attraverso una rete "disponibile al pubblico" si applicano
obbligatoriamente le protezioni dell'articolo 4 (codici identificativi e
protezioni antivirus) e l'obbligo del documento programmatico previsto dall'articolo
6 per il trattamento dei dati
sensibili.
- Ciò che fa la differenza, allora, è il maggior
rischio legato all'uso delle reti "pubbliche".
Non risulta che siano state effettuate
approfondite verifiche su modelli di riferimento (case-studies) prima di
emanare il regolamento, al fine di acquisire, attraverso una corretta
metodologia, sufficienti elementi di conoscenza in ordine all'impatto delle
misure di sicurezza sulle diverse situazioni esistenti.
Ancora una volta, dunque, sarà l'interpretazione dei tribunali a dover
gestire questo approccio "penale" alla sicurezza informatica.
*
Dalla relazione presentata al Convegno "Misure minime di sicurezza per la
protezione dei dati personali" - Roma, sede EUROS/ISTINFORM 22 ottobre 1999
|
Pagina stampabile
