1. 25 Ottobre 2013 – SMAU
Legge 231 e la sicurezza
informatica in azienda: un
approccio pratico
Stefano Fratepietro e Giuseppe
Vaciago

2. Alcuni dati: un primato europeo
In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso
continuo ad Internet, e quasi 20 milioni in grado di connettersi con uno
smartphone o tablet (Fonte: Audiweb Trends, 2013). Il 44% dei pc italiani sono
attaccati da malware contro il 20% di quelli danesi (Fonte: Kaspersky Lab).

3. Alcuni dati: un’analisi degli attacchi
Il rapporto Clusit 2013 identifica un rapido cambiamento del trend:
iniziano ad essere colpiti tutti i settori industriali e non solo più il settore
governativo o quello dell’industria multimediale

4. Alcuni dati: un’analisi degli attacchi
Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degli
attivisti. 1 attacco su 2 è non è per finalità dimostrative.

5. Alcuni dati: tipologie di attacchi
Attività fraudolente
poste in essere da
insider e outsider
Attività di “phishing”
Furto di dati
confidenziali, furto di
dati e spionaggio
industriale
Accessi non
autorizzati da parte dei
lavoratori
Accessi non
autorizzati da parte di
esterni (hacking)
Violazioni contrattuali
Diffamazione e
molestie sessuali
Acquisizione e
commercio di
materiale pornografico
e pedopornografico
Furto di codici di
accesso e pirateria
informatica
Modifica non
autorizzata di dati
(virus, cavallo di Troia,
etc.)
Furto di risorse
informatiche aziendali
per fini personali
Denial of Services
Abuso dell’utilizzo
della posta elettronica
e di internet
Violazione di policy e
regolamenti aziendali

6. Alcuni Casi: La “banda della firma digitale”
Un imprenditore “perde” la sua azienda perché il truffatore usando la sua
smart card cede a sé stesso e al suo coimputato la totalità delle quote
sociali.
Ciò avviene perché il truffatore ottiene la firma digitale dell’imprenditore
incarica uno studio commercialista che facendone richiesta a suo nome
non è tenuto a portare con sé l’imprenditore al momento della consegna.

7. Alcuni Casi: “Social Botnet”
Da una approfondita indagine dell’FBI emerge che nel 2012 più di 11
milioni di utenti di Facebook sono rimasti affetti da un particolare malware
in grado di fare un danno di circa 850 milioni di dollari.

8. Social Media Security and Big Data

9. Behavioral security

10. BYOD e Consumerization
Perdità del controllo dei device aziendali
+
Aumento del rischio di introduzione di malware
=
Aumento del rischio di perdita di dati aziendali

11. Alcuni Casi: Una esemplificazione

12. Normativa su “protezione cibernetica”: Awareness
DPCM 24 gennaio 2014 Direttiva recante
indirizzi
per
protezione cibernetica e la sicurezza informatica nazionale.
la
I fornitori di connettività e i gestori delle infrastrutture critiche di rilievo nazionale
devono comunicare al Nucleo per la Sicurezza Informatica (CISR - Comitato
Interministeriale per la Sicurezza della Repubblica, AISE - Agenzia Informazioni e
Sicurezza Esterna, AISI - Agenzia Informazioni e Sicurezza Interna e NISP - Nucleo
Interministeriale Situazione e Pianificazione) ogni significativa violazione della
sicurezza o dell'integrità dei propri sistemi informatici, utilizzando canali di
trasmissione protetti
Provvedimento Generale del Garante del 4 aprile 2013 – Obbligo
per ISP e TELCO di segnalazione di Data Breach
I fornitori di servizi di comunicazione elettronica hanno l’obbligo di segnalare
al Garante Privacy ogni violazione subita e, in talune ipotesi, di avvertire,
successivamente gli interessati cui i dati si riferiscono.

13. Sicurezza informatica
La sicurezza non è un prodotto ma
un processo.
Inutile spendere milioni di euro di
budget nell’IT Security se la
vulnerabilità si chiama “UTONTO”.

14. Sicurezza difensiva
• Proteggere la rete aziendale
• Lan
• Wan
• Proteggere i servizi e le applicazioni
• Proteggere gli asset
• Proteggere le persone

15. Proteggersi da cosa? – Ramsonware
•
•
•
•
Malware che blocca la produttività di un sistema
Cifratura dati
Replica nella rete aziendale
Malware che blocca l’accesso al sistema
operativo

16. Sicurezza difensiva – EndPoint Protection
Exchange
Server Protection
Application
Control
Device Control
Anti-malware
Access control
Virtualization
Mobile Control
Web
Protection
Firewall
Encryption
Data Control
Patch assessment

17. Proteggersi da cosa? – Spionaggio industriale
•
•
•
•
Blocco degli storage esterni con
censimento delle memorie di
massa aziendali
Controllo dei vettori di uscita dei
dati in tempo reale
Full disk encryption dei device in
mobilità
Policy puntuali di accesso al dato
con audit log verboso

18. Proteggersi da cosa? – Attacchi da remoto
•
•
•
•
•
Sfruttamento di vulnerabilità applicative
Sfruttamento di vulnerabilità di servizi
DDoS
Traffico dati non autorizzato
Reti Wi-Fi

19. Sicurezza difensiva – Firewall e sonde

20. Sicurezza difensiva – Controllo degli eventi
SIEM Security Information and event management:
•
•
•
•
•
Raccogliere gli eventi di sistema
Log
Netflow
Correlazione ed interpretazione degli eventi
Alert policy

21. Sicurezza difensiva – Controllo degli eventi
• Vulnerability Assestment e Penetration Test svolti
solo da personale altamente specializzato e
formato
• Controlli per la sicurezza delle Web application
• Attività svolte su reti wired, wireless e Internet
• Test eseguiti in modalità White box o Black Box
• Valutazione del rischio per ogni singolo asset
aziendale
• Reportistica personalizzata con le remediation
ad ogni vulnerabilità riscontrata

22. Sicurezza informatica e 231
LA NORMATIVA IN VIGORE

23. Cos’è il Decreto Legislativo 231/2001
•
Il D.lgs. 231 del 2001 si caratterizza per aver
introdotto per la prima volta la responsabilità penale
della società per i reati commessi dai propri
dipendenti nell’interesse e/o a vantaggio della
stessa.
•
Nel caso in cui un reato venga commesso da un
dipendente della società, alla responsabilità penale
del dipendente (arresto) e alla responsabilità civile
della società (risarcimento del danno) si aggiunge la
responsabilità penale della società.

24. Le Sanzioni per la Società
Sanzioni
Pecuniarie
Sanzioni
Interdittive
Pubblicazione
Sentenza
Confisca
da 26.000 Euro a 1.550.000 Euro
- Interruzione dall’esercizio dell’attività (es. Chiusura temporanea degli
uffici o degli stabilimenti);
- Divieto di pubblicizzare beni o servizi (es. Obbligo temporaneo di
astenersi dal Pubblicizzare determinati prodotti della società)
- Revoca delle autorizzazioni/licenze/concessioni (es. Revoca di un
permesso di costruzione)
- Divieto di contrattare con la Pubblica Amministrazione
Amministrazione (es. divieto temporaneo di partecipare a gare pubbliche);
- Esclusione da finanziamenti/contributi pubblici e revoca di quelli già
concessi (es. revoca di un finanziamento della Comunità Europea per un
progetto di ricerca).
Diventa quindi di pubblico dominio la commissione di un reato nell’interesse
della società
Il profitto risultante dal reato viene sempre confiscato

25. Il Modello di Organizzazione, Gestione e
Controllo
È un documento che individua le
aree a rischio in cui possono essere
commessi i reati e prevede una
serie di comportamenti/procedure/
processi volti a prevenirli.
Al fine di salvaguardare i propri
interessi e quelli della società, ogni
dipendente ha il dovere di leggerlo e
rispettarlo nonchè di partecipare ai
training – on line o in aula - che
saranno organizzati per facilitarne la
conoscenza.

26. Elenco dei reati “231” in ambito informatico
§
§
falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.);
accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.);
§
detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615quater c.p.
§
diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
§
intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
(art. 617-quater c.p.);
§
installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche (art. 615-quinquies c.p.);
§
danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.);
§
danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro
ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.);
§
danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.);
§
danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.);
§
frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)

27. Alcuni esempi
Accesso non autorizzato a sistemi che erogano le buste paga per
alterare i dati relativi a voci di cedolino di non semplice verifica da
parte dei dipendenti al fine di ridurre illecitamente le erogazioni nei
confronti degli stessi e realizzare coì un interesse e vantaggio per
l’azienda
Un utilizzo illecito degli strumenti informatici per danneggiare siti
internet e di pubblica utilità, avvenuto attraverso un accesso abusivo
a sistema telematico
Il reato di intercettare o di impedire la comunicazione telematica
senza il consenso dell’avente diritto per finalità di concorrenza
sleale.

28. Le attività di controllo
Separazione dei
ruoli e escalation
Tracciabilità
degli accessi e
dellavulnerabilità
Procedure e
livelli
autorizzativi
Raccolta di
segnalazioni di
fattispecie a
rischio

29. Privacy reato “231” – Occasione persa
Il decreto “femminicidio” non ha ricompreso tra i reati presupposto
per la responsabilità dell’impresa il trattamento illecito di dati personali.
Inoltre sarebbe comunque mancato l’art. 169 del Codice Privacy che
prevede una sanzione alla persona fisica che viola le misure di
sicurezza di un sistema informatico.

30. Sicurezza informatica e Investigazioni difensive
LA DIGITAL FORENSICS

31. Digital e Corporate Forensics
In questo contesto, diventa sempre più necessario ricercare all’interno dei
sistemi informativi dell’azienda (corporate forensics) e del cittadino (digital
forensics) la prova digitale utilizzabile nella successiva fase giudiziale (penale,
civile e amministrativa).
La prova digitale è qualunque informazione generata, memorizzata o
trasmessa attraverso uno strumento elettronico che possa essere ammessa in
giudizio (Fonte: Digital Forensics Guide - Council of Europe - 2013).
Auten&ca:
non
deve
subire
alcuna
alterazione
Ammissibile:
essere
u2lizzabile
in
giudizio
come
fonte
di
prova
Proporzionale:
ossia
rispe7are
I
diri9
fondamentali
“Credibile”:Facilmente
comprensibile
dall’autorità
giudiziaria

32. Digital Forensics - Individuazione
Identificazione dei componenti informatici di
interesse aventi memorie di massa utilizzabili da
un utente.

33. Digital Forensics - Preservazione
§
§
§
Mettere in sicurezza i dispositivi mediante
appositi sigilli
Calcolo dell’hash delle memorie oggetto di
sequestro
Verbale delle operazioni

34. Digital Forensics - Acquisizione
§
§
§
§
§
Accertamento tecnico ripetibile
Clonazione della memoria di massa mediante una bit
stream image (raw, ewf o aff)
La memoria da clonare deve essere collegata al
sistema mediante opportuni dispositivi di blocco di
scrittura (hardware o software)
L’acquisizione della memoria deve essere completa
La copia fedele deve avere lo stesso valore di hash
dell’originale
La memoria informatica è cifrata?

35. Digital Forensics - Acquisizione
§
§
§
§
Accertamento tecnico irripetibile: procedura che
potrebbe alterare, anche in minima parte, l’originalità
della memoria di massa
Cellulari o Smarthphone che necessitano procedure
invasive preventive
L’acquisizione della memoria può avvenire in modo
completo (clonazione) o parziale (acquisendo i songoli
dati di interesse)
La copia potrebbe non necessitare la comparazione di
hash con la memoria originale
La memoria informatica è cifrata?

36. Digital Forensics - Acquisizione
Variabili e calcolo del rischio: tener conto dello stato di
usura dell’oggetto di perizia; nel caso in cui esso sia
molto vecchio, è meglio eseguire un accertamento
tecnico irripetibile; questo perchè lo stress che subirà la
memoria durante la fase di acquisizione potrebbe alterare
definitivamente il corretto funzionamento della memoria.

37. Digital Forensics - Analisi
Ad ogni evidenza raccolta va calcolato l’hash e riportato
all’interno della documentazione in una apposita tabella
dei file di interesse.
Va riportato anche il path esatto dove è stato trovata
l’evidenza o l’offset della memoria con annessi riferimenti
temporali.

38. Digital Forensics - Presentazione delle risultanze
Il lettore della perizia, seguendo la documentazione prodotta,
deve ottenere gli stessi ed identici risultati ottenuti da chi ha
eseguito l’attività. Cioè avviene attraverso la redazione di un:
§
§
§
Elenco dei software e degli strumenti utilizzati per
l’acquisizione e l’analisi
Elenco di tutte le attività eseguite passo passo
Catalogo dei file di interesse con il loro relativo hash
Creazione di un doppio report, un “executive summary” e
un “technical summary”
Ovviamente è importante limitarsi alla parte tecnico informatica

39. Digital Forensics - Catena di custodia
Documentazione da allegare ad ogni singola
memoria posta sotto sequestro dove annotare:
§
§
§
§
Descrizione, marca, modello e numero di serie
Chi custodisce la memoria
In quale periodo risale l’Hash della memoria
Note di interesse

40. Digital Forensics - Indagine interna
Durante i test di disaster recovery, alcuni sistemisti,
cercando di capire quale fosse il problema che provocava
il blocco del ripristino del backup di un client, scoprono
che all’interno del backup vi sono 2 video aventi
contenuto pedopornografico.
Il computer oggetto di accertamento è una postazione
avente Windows 2000 Professional (già da tempo in end
of life).
La postazione era in uso ad un solo operatore di sportello
che diventa il principale indiziato

41. Digital Forensics - Indagine interna
§
L’utente nega di aver mai visto o usato tali file
§
Da controlli fatti sulla postazione mediante opportune
tecniche di creazione di timeline, gli analisti
confermano le affermazioni dell’utente, cioè che quei
file sono comparsi all’interno della memoria del
computer in periodo in cui la persona era assente per
malattia
§
I sospetti si spostano su l’unica persona capace di
accedere lecitamente a qualsiasi client della banca:
l’amministratore di sistema!

42. Digital Forensics - Indagine interna
§
§
§
Per non destare sospetto, viene clonata durante la
notte la memoria del computer portatile del nuovo
sospettato, sostituendo con una copia fedele il disco
originale che sarà analizzato in laboratorio in un
secondo momento
L’analisi della memoria (clonata una terza volta in
laboratorio), mediante opportune tecniche di file
carving, permise di recuperare i video incriminati,
cancellati dall’utente proprio il giorno in cui furono
trovati tali file
Da una analisi del registro di Windows si è potuto
risalire alla fonte di origine da cui sono pervenuti i file,
cioè una penna usb collegata al computer portatile.

43. Sistema di Gestione della Digital Forensics
È necessario un sistema di gestione con un approccio di tipo preventivo
rispetto alle esigenze di investigazione informatica, fondato su 4 presupposti:
Formalizzazione
delle procedure
in caso di
incidenti IT
Monitoraggio e
analisi
dell’evoluzione
normativa
Progettazione e
erogazione di
iniziative di
training
Pianificazione
periodica di
attività di
assessment

44. Sicurezza informatica e Investigazioni difensive
LA NORMATIVA IN VIGORE

45. La normative utili in tema di sicurezza informatica
Sistema di
gestione della
sicurezza delle
informazioni
Linee Guida di
categoria
Compliance
program (D.lgs.
231/01)
Investigazioni
difensive
ISO/IEC 27037,
27041, 27042 e
27043
Codice Privacy
e Provvedimenti
Garante Privacy

46. I limiti legali delle investigazioni difensive
Utilizzabilità in
ambito penale
Investigazioni
difensive
Artt. 113 e 114
Codice Privacy
I “controlli
difensivi”
Utilizzabilità in
ambito civile

47. La digital evidence in ambito civile
Nel processo civile, il giudice fonda il proprio convincimento
sulla base delle prove a fondamento dei diritti e delle
eccezioni reperite e prodotte dalle parti.
Le riproduzioni informatiche di fatti e di cose formano piena
prova dei fatti e delle cose rappresentate, se colui contro il
quale sono prodotte non ne disconosce la conformità ai
fatti o alle cose medesime.
Ove disconosciute, esse conservano il valore probatorio di
un semplice elemento di prova, liberamente valutabile dal
giudice.
Solo nel rito del lavoro, le prove a fondamento dei diritti e
delle eccezioni devono essere cercate e prodotte dalle
parti, ma il giudice ha poteri istruttori non previsti nel rito
ordinario

48. La digital evidence in ambito penale
La prova in sede penale è valutata liberamente
dall’organo giudicante e viene raggiunta a seguito del
giudizio come disciplinato dal codice di procedura penale.
La legge 48/2008 si è posta il problema della peculiarità
delle tradizionali attività di ricerca dei mezzi di prova
(ispezioni, perquisizioni, sequestri e accertamenti urgenti),
in relazione alle prove digitali, prevedendo l’adozione di
misure tecniche dirette ad assicurare la conservazione
dei dati originali e a impedirne l’alterazione.
I mezzi di ricerca della prova sono strumenti di indagine a
disposizione del pubblico ministero e in via residuale
della polizia giudiziaria, ma anche al difensore
dell’indagato e della parte offesa è concessa la facoltà di
compiere indagini difensive, anche in ottica preventiva.

49. Art. 113 D.lgs. 196/03 e art. 4 Statuto Lavoratori
È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo
a distanza dell'attività dei lavoratori a meno che non siano richieste da:
Esigenze organizzative
Esigenze produttive
Esigenze di sicurezza
CONTROLLI LEGITTIMI O PRAETERINTENZIONALI
Previo accordo con RSA e in difetto di accordo su istanza del datore di
lavoro e provvedimento dell’ispettorato del lavoro

50. Art. 114 D.lgs. 196/03 e art. 8 Statuto Lavoratori
È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel
corso dello svolgimento del rapporto di lavoro, di effettuare indagini,
anche a mezzo di terzi su:
1. Opinioni politiche, religiose o sindacali del lavoratore.
2. Su fatti non rilevanti ai fini della valutazione dell'attitudine
professionale del lavoratore.

51. Art. 171 D.lgs 196/03 e art. 38 Statuto Lavoratori
Le violazioni degli articoli 4 e 8 comportano:
Ammenda da € 154,95 a €1549,5 o arresto da 15 giorni ad un
anno.
Nei casi più gravi le pene dell'arresto e dell'ammenda sono
applicate congiuntamente.
Se il giudice ritiene l’ammenda troppo bassa ha facoltà di
aumentarla fino al quintuplo.
Nei casi più gravi l'autorità giudiziaria ordina la pubblicazione
della sentenza penale di condanna

52. I controlli difensivi
La giurisprudenza ha introdotto con i controlli difensivi
una ulteriore ipotesi di non applicazione del divieto
dell’art. 4 dello Statuto dei Lavoratori:
“devono ritenersi
certamente fuori dall’ambito di
applicazione dell’art. 4 Statuto dei Lavoratori i controlli
diretti ad accertare condotte illecite del lavoratore
(c.d. controlli difensivi), quali, ad esempio, i sistemi di
controllo dell’accesso ad aree riservate, o appunto gli
apparecchi di rilevazione di telefonate ingiustificate”.

53. Investigazioni difensive in ambito penale
L’attività principale riconosciuta dall’art. 327-bis c.p.p., è senza dubbio
l’assunzione di informazioni da soggetti che possono rendere
informazioni utili all’indagine.
Tuttavia, è prevista dall’art. 391-sexies anche la possibilità di effettuare un
sopralluogo e di redigere un verbale che documenti l’attività svolta. In
questa attività investigativa, potrebbe rientrare l’accesso a un sistema
informatico aziendale da parte di un consulente tecnico nominato
dall’avvocato, finalizzato a controllare la commissione di eventuali illeciti da
parte del lavoratore.
È importante rilevare che, ai sensi dell’art. 391-decies, qualora l’attività sia
qualificabile come accertamento tecnico non ripetibile ex art. 360 c.p.p., il
difensore ha il dovere di darne avviso, senza ritardo, al pubblico
ministero. La dottrina si è interrogata molte volte sulla ripetibilità o meno
dell’analisi forense di un sistema informatico .

54. Garante Privacy: Caso “Marsh”
La società Marsh S.p.A. attraverso la società di investigazione
tedesca Kroll Ontrack GMBH effettuava un controllo sulla posta
elettronica del lavoratore senza alcun avviso. Il dipendente ricorre
al Garante della Privacy e la società si difende sostenendo che:
1. Era specificato nel Manuale sulla privacy l’esclusione per fini
personali dell’utilizzo della e-mail aziendale
2. Era stato espletato in forza “sia dalla legislazione americana
che impone alle aziende accertamenti di tal specie in relazione a
presunti illeciti penali commessi dal top management (Sarbanes
Oxley Act–Sox), sia dalla legislazione italiana, che prevede
sanzioni per le imprese che non vigilino sull'osservanza di modelli
organizzativi volti a prevenire la commissione di specifici reati da
parte degli stessi vertici aziendali (d.lg. n. 231/2001)”

55. Garante Privacy: Caso “Marsh”
Il Garante accoglie il ricorso del dipendente in quanto il principio
di correttezza comporta l'obbligo, in capo al titolare del
trattamento, di indicare chiaramente agli interessati le
caratteristiche essenziali del trattamento e l'eventualità che
controlli da parte del datore di lavoro possano riguardare gli
strumenti di comunicazione elettronica, ivi compreso l'account di
posta (Caso Copland in UK).
Nel caso di specie, tale principio impone di rendere
preventivamente e chiaramente noto agli interessati se, in che
misura e con quali modalità vengono effettuati controlli ai sensi
delle linee guida del Garante della Privacy del 1/3/2007.
In sostanza, il Garante impedisce ogni ulteriore utilizzo dei dati,
salva la loro conservazione per la tutela di diritti in sede
giudiziaria nei limiti di cui all'art. 160, comma 6 del Codice.

56. Garante Privacy: Caso “Telepost”
La società Telepost licenzia un dipendente che aveva all’interno del
suo notebook aziendale file contenenti materiale pornografico.
L’azienda accede all’hard disk in sua assenza e con l’ausilio di un
consulente tecnico terzo, dopo aver inviato solo il giorno prima la
normativa per l'utilizzo dei servizi informatici.
Il Garante accoglie il ricorso sostenendo che la società ha esperito il
controllo informatico in assenza di una previa idonea informativa
all'interessato relativa al:
• trattamento dei dati personali (art. 13 del Codice)
• modalità da seguire per gli stessi (presenza dell'interessato, di
rappresentanti sindacali, di personale all'uopo incaricato)

57. Linee Guida Garante Privacy su posta elettronica e
internet
I datori di lavoro privati e pubblici devono indicare
chiaramente le modalità di uso degli strumenti elettronici
messi a disposizione e se e in che misura e con quali modalità
vengono effettuati controlli
Divieti (es. file-sharing o
downloading di mp3 e
software illegale)
Posta privata: come
(webmail o client?) e
quando ?
Memorizzazione di dati (es.
log file): quali e per quanto
tempo ?
Controlli del datore di lavoro:
specifici con indicazione dei
tempi

58. Linee Guida Garante Privacy su posta elettronica e
internet
I datori di lavoro devono adottare e pubblicare un disciplinare
interno e adottare misure di tipo organizzativo affinché:
§ si proceda ad un’attenta valutazione
lavoratori;
dell’impatto sui diritti dei
§ si individuino preventivamente i lavoratori cui è consentito
l’utilizzo di internet e della posta elettronica;
§ si individui quale ubicazione è riservata alle postazioni di lavoro
per ridurre il rischio di impieghi abusivi.

59. Linee Guida Garante Privacy su posta elettronica e
internet
È vietato il trattamento di dati personali da parte dei datori di lavoro
mediante software e hardware che mirano al controllo a distanza dei
lavoratori attraverso:
§ la lettura sistematica dei messaggi di posta elettronica;
§ memorizzazione riproduzione delle pagine web visionate dal
lavoratore;
§ la lettura e la registrazione dei caratteri inseriti tramite la tastiera;
§ l’analisi occulta dei computer portatili affidati al lavoratore.

60. Linee Guida Garante Privacy su posta elettronica e
internet
In ogni caso tutti i trattamenti devono rispettare i principi di:
CORRETTEZZA
PERTINENZA
Le caratteristiche essenziali dei
trattamenti devono essere rese
note ai lavoratori
Divieto di
un'ingiustificata
interferenza sui diritti e sulle libertà
fondamentali di lavoratori
NECESSITÀ
NON INVASIVITÀ
Elenco di siti attendibili
Filtri inseriti su black list (download
Anonimizzazione dei log file
Retention limitate file
Monitoraggio effettuato solo su
soggetti a rischio ed effettuato nel
rispetto del principio della
segretezza della corrispondenza

61. Giurisprudenza penale su art. 616 c.p.
“Non incorre nel reato di cui all’art. 616 c.p. il datore di lavoro che
legge le e-mail aziendali dei propri dipendenti se esiste un
regolamento dettato dall’impresa che impone la comunicazione
della password del PC” (Cass. Pen., Sez. V, 11/12/2007, n. 47096)
“L’indirizzo aziendale, proprio perché tale, può essere nella
disponibilità di accesso e lettura da parte di persone diverse
dall’utilizzatore consuetudinario a prescindere dalla identità o
diversità di qualifica o funzione” (Tribunale di Milano, 10/5/2002)
“Il dipendente che utilizza la casella di posta elettronica aziendale si
espone al rischio che anche altri della medesima azienda possano
lecitamente accedere alla casella in suo uso previa acquisizione
della relativa " password” (Tribunale Torino, 15 settembre 2006)

62. Giurisprudenza civile su controlli difensivi
“Non sono utilizzabili a fini disciplinari i dati acquisiti mediante programmi
informatici che consentono il monitoraggio della posta elettronica e degli
accessi Internet dei dipendenti, sul presupposto che gli stessi consentono al
datore di lavoro di controllare a distanza ed in via continuativa l'attività
lavorativa durante la prestazione, e di accertare se la stessa sia svolta in
termini di diligenza e corretto adempimento” (Cassazione civile sez. lav.,
23/2/2010, n. 4375)
“Non sono utilizzabili i programmi informatici che consentono il monitoraggio
della posta elettronica e degli accessi ad Internet violano, da un lato, l'art. 8
st. lav., posto che il monitoraggio e la conservazione per un certo lasso di
tempo dei dati acquisiti può concretare trattamenti dei dati sensibili che
consentono al datore di lavoro di acquisire indicazioni sulle "opinioni
politiche, religiose o sindacali" del singolo dipendente"; dall'altro, l'art. 4 dello
stesso statuto, ove non sia attivata la procedura prevista per l'installazione
delle apparecchiature necessarie per soddisfare esigenze aziendali (C. App.
Milano, 30/09/2005)

63. Conclusioni
Quadro normativo e giurisprudenziale caotico: dall’art. 4 Statuto
Lavoratori alle Linee Guida del Garante Privacy del 1 marzo 2007, dai
Provvedimenti del Garante Privacy alle decisioni della Corte di
Cassazione civile e penale.
Il D.lgs. 231/01 rischia di essere in contrasto con quanto stabilito dal
Garante Privacy rendendo difficile la redazione del modello di
organizzazione gestione e controllo, ma costituisce un ottimo strumento
per implementare la sicurezza informatica.
La digital forensics, riveste e rivestirà sempre di più un ruolo di
fondamentale importanza per garantire la corretta cristallizzazione della
prova digitale che dovrà essere successivamente prodotta in giudizio.

64. Grazie per l’attenzione
Avv. Giuseppe Vaciago
giuseppe.vaciago@replegal.it
http://it.linkedin.com/in/vaciago
https://twitter.com/giuseppevaciago
Dott. Stefano Fratepietro
s.fratepietro@teslaconsulting.it
http://www.linkedin.com/in/stefanofratepietro
https://twitter.com/stevedeft