Il disegno di legge n.1901- bis sulla tutela delle persone
rispetto al trattamento dei dati personali, attualmente in discussione al
Parlamento, prevede, all'art. 25, una ipotesi di reato a carico di
"chiunque, essendovi tenuto, omette di adottare le misure necessarie per
assicurare la sicurezza dei dati personali".
Nel testo attuale, il delitto è punito con la pena della
reclusione sino ad un anno (da due mesi a due anni "se dal fatto deriva
nocumento"). Il delitto puo' essere punito (con pene dimezzate) anche
soltanto a titolo di colpa (cioe' per una omissione dovuta a semplice
negligenza, imprudenza o imperizia).
Poiché tale norma si applicherà "al trattamento dei dati personali da
chiunque effettuato nell'ambito del territorio dello Stato" e considerato
che per "dato personale" si intende "qualunque informazione
relativa a persona fisica, persona giuridica o ente, identificati o
identificabili anche indirettamente", e' facile argomentare che la norma
trovera' pratica applicazione nell'ambito di tutti (o quasi) i sistemi
informativi automatizzati aziendali che contengano un elenco di nominativi. È -
dunque - di fondamentale importanza, prima che il disegno di legge venga
approvato, cercare di definire i profili giuridici della responsabilità del
gestore del sistema informativo e, in particolare, assegnare, per quanto
possibile, alla luce della legislazione attualmente in vigore, precisi contorni
alla definizione giuridica della "sicurezza informatica".
È interessante notare come le "misure di sicurezza",
cu fa riferimento il citato articolo del disegno di legge, coincidono con le
misure di protezione del sistema informativo idonee (art. 7 del ddl):
1) a prevenire il rischio di una perdita o distruzione dei dati anche solo
accidentale,
2) eliminare o ridurre al minimo i rischi di un accesso non autorizzato
3) impedire un trattamento non consentito o "non conforme alle finalità
della raccolta".
Questi concetti si ritrovano ampiamente nelle legislazioni di
tutti i Paesi che si sono occupati del problema prima dell'Italia.
In sintesi, essi si richiamano ad un complesso di accorgimenti tecnici ed
organizzativi che mirano a tutelare i beni giuridici della confidenzialità (o
riservatezza), della integrità e della disponibilità delle= informazioni
registrate.
Ciò significa, dunque, che i principali doveri che incombono al
responsabile della sicurezza della rete possono essere così sintetizzati:
garantire l'autenticazione degli utenti della rete (evitare
sostituzioni fraudolente di persona);
garantire la confidenzialità dele informazioni (assicurare che solo il
destinatario del messaggio possa prendere cognizione del suo contenuto);
garantire l'integrità del dato (impedire che il dato registrato venga
fraudolentemente alterato);
impedire il discoscimento della trasmissione ("non repudiation" - chi
trasmette non può negare di avere trasmesso - chi riceve, non può negare di
aver ricevuto);
garantire il controllo degli accessi (politiche organizzative e di gestione
delle password);
sorvegliare il traffico sulla rete per segnalare indebite intrusioni.
In attesa dell'approvazione della legge, deve essere comunque
tenuto presente che, anche nel sistema normativo vigente, la omessa adozione di
misure di protezione può condurre il gestore del sistema a rispondere del danno
cagionato a terzi incolpevoli o alla propria azienda. È necessario peraltro
provare che il fatto dannoso si è verificato in quanto colui che si ritiene
responsabile ha omesso di adottare cautele considerate "doverose"
secondo i normali criteri di prudenza, di competenza professionale e di
attenzione.
Viene qui in considerazione, pertanto, il criterio di "prevedibi
lità" dell'evento, decisivo per la delimitazione dei confini della
responsabilità degli addetti . Il principale riferimento normativo resta, pur
sempre, la risarcibilità per fatto illecito, sancita dall'art. 2043 del codice
civile.
Nell'espressione adoperata in questo articolo ("fatto doloso o colposo che
cagiona ad altri un fatto ingiusto") rientrano tutti quei casi in cui il
danno sia riconducibile direttamente alla omissione di cure e cautele che
chiunque sarebbe tenuto ad adottare nelle medesime cicostanze, come la omissione
di una attività che il responsabile aveva il dovere di compiere. Deve tenersi
presente che anche l'inosservanza di regole tecniche o norme di condotta
costituisce una colposa negligenza, sicchè anche quando manchi una specifica
norma di legge che faccia obbligo di osservare una particolare linea di condotta
, l'imprudenza, la negligenza o l'imperizia possono costituire elementi della
colpa.
A ben riflettere, comunque, norme di condotta esistono e si
possono ricostruire dall'analisi della legislazione vigente. L'articolo 615-ter
del codice penale, ad esempio punisce il delitto di "accesso abusivo ad un
sistema telematico", che si verifica ogni qualvolta taluno si inserisce
come utente abusivo, senza averne diritto, in un sistema informativo altrui
"protetto da misure di sicurezza". Si tratta - unitamente all'art. 615
-quater che segue - dell'unica norma che menziona espressamente le misure di
sicurezza di un sistema informatico o telematico (per usare la ridondante
espressione della legge) e che fa implicito riferimento, per converso, alla
sicurezza informatica. Il reato si verifica (in gergo giudiziario si dice
:"si consuma") al momento del verificarsi dell'evento (purche' il
fatto sia intenzionale), dunque nel momento in cui avviene la intrusione nel
sistema informatico. Non e' necessario, dunque, per ottenere la condanna
dell'autore del reato, che l'accesso abusivo abbia causato un danno, ne'
l'hacker potrebbe discolparsi dichiarando al giudice di aver agito per gioco e
per mero gusto della sfida ai sistemi di sicurezza.
Il motivo di questa severita' della legge penale, sta - evidentemente - nel
fatto che la semplice intromissione abusiva mette in pericolo il bene primario
della "integrita' dei dati" e rende non piu' affidabile l'intero
sistema.
Dopo ogni intrusione e' necessario effettuare lunghi ed
approfonditi controlli per verificare se i dati sono ancora affidabili e, in
generale, se il sistema e' ancora affidabile e se la abusiva intromissione ha
veicolato virus caricati a tempo all'interno del calcolatore. Su questo effetto
"psicologico", legato alla perdita di affidabilità del sistema
informativo, fanno leva, dunque, i fenomeni piu' vistosi di hackering.
L'articolo 615 - ter del codice penale costituisce l'omologo
della "violazione di domicilio" prevista dall'articolo 614. Il sistema
informativo - o anche il semplice PC col quale ognuno di noi lavora ogni giorno,
costituisce una sorta di espansione della personalita', una stanza
"virtuale" del proprio domicilio "reale".
È questa, a mio parere, la chiave di interpretazione del concetto di
"misure di sicurezza" attualmente ricavabile da queste norme : le
"misure di sicurezza" di cui parla l'art. 615-ter del codice penale
possono consistere in qualunque accorgimento (logico o meccanico) idoneo allo
scopo di interdire l'introduzione nel sistema informativo da parte di chi non è
autorizzato.
Anche una semplice password, sotto questo profilo, costituisce una (seppure
minima) misura di sicurezza informatica, ma potrebbe risultare del tutto
inadeguata (cioe' non proporzionata, sottodimensionata) rispetto alla
delicatezza dei dati da proteggere.
In questo contesto, infatti, la misura di sicurezza ha rilevanza nella misura in
cui essa è predisposta a far conoscere all'estraneo il carattere di
riservatezza dei dati contenuti in quel sistema, analogamente alla funzione che
svole la porta di ingresso di una abitazione che (anche se aperta) pone
l'intruso in condizione di sapere con certezza che egli sta, per avventura,
introducendosi nella proprietà altrui.
Per ciascuno dei fatti illeciti previsti dalla legislazione
penale è necessario che vengano adottate e accuratamente praticate delle
contromisure proporzionate.
Una politica "minima" della sicurezza dei sistemi informativi deve
prevedere, in sostanza, un sistema di identificazione degli utenti, una politica
degli accessi associata a meccanismi logici e meccanici di protezione della
integrità dei dati e misure normative ed organizzative adeguate : non ha senso,
infatti, investire cospicue risorse economiche per installare un sistema di
protezione, se gli operatori, non adeguatamente sensibilizzati o addestrati,
trascrivono la password sul cabinet del loro PC o dimenticano di estrarre il
badge quando si assentano temporaneamente dal posto di lavoro col terminale
acceso.
Allo stesso modo deve ritenersi che qualora la intrusione nel sistema
informativo o il suo danneggiamento siano riconducibili alla scarsa diligenza
del responsabile di sistema, questi potrà essere chiamato a risarcire il danno
nei confronti dell'azienda e nei confronti dell'eventuale terzo danneggiato.
(29.01.96)
Gianni Buonomo <g.buonomo@agora.stm.it>
(Magistrato, addetto all'Ufficio automazione del Ministero di Grazia e
Giustizia)