1. Diritto & sicurezza informatica
Simone Bonavita
Professore a Contratto in "trattamento dei dati sensibili"
Università degli Studi di Milano
aa 2011/2012.
Aprile 2012
2. Diritti dell’interessato /1
• Art. 7. Diritto di accesso ai dati personali ed altri diritti1.
L'interessato ha diritto di ottenere la conferma dell'esistenza o
meno di dati personali che lo riguardano, anche se non ancora
registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio
di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del
rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza in
qualità di rappresentante designato nel territorio dello Stato, di
responsabili o incaricati.
3. Diritti dell’interessato /2
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha
interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il
blocco dei dati trattati in violazione di legge, compresi quelli
di cui non è necessaria la conservazione in relazione agli scopi
per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b)
sono state portate a conoscenza, anche per quanto riguarda il
loro contenuto, di coloro ai quali i dati sono stati comunicati o
diffusi, eccettuato il caso in cui tale adempimento si rivela
impossibile o comporta un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato.
4. Diritti dell’interessato /3
4. L'interessato ha diritto di opporsi, in tutto o in
parte:
a) per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché pertinenti
allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano
a fini di invio di materiale pubblicitario o di vendita
diretta o per il compimento di ricerche di mercato o
di comunicazione commerciale.
5. Esercizio dei diritti
• Art. 8. Esercizio dei diritti1. I diritti di cui all'articolo 7 sono
esercitati con richiesta rivolta senza formalità al titolare o al
responsabile, anche per il tramite di un incaricato, alla quale è
fornito idoneo riscontro senza ritardo.è[
[…omissis…]
• Art. 9. Modalità di esercizio1. La richiesta rivolta al titolare o al
responsabile può essere trasmessa anche mediante lettera
raccomandata, telefax o posta elettronica. Il Garante può
individuare altro idoneo sistema in riferimento a nuove soluzioni
tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo
7, commi 1 e 2, la richiesta può essere formulata anche oralmente e
in tal caso è annotata sinteticamente a cura dell'incaricato o del
responsabile.
[…omissis…]
7. La sicurezza informatica
• Non esiste una vera e propria definizione di
"Sicurezza Informatica". Possiamo comunque
delinearla come la scienza che studia come
proteggere le informazioni elaborate o
trasferite elettronicamente da atti
indesiderabili che possono avvenire
accidentalmente, o essere frutto di azioni
colpose o dolose. (Perri 2003)
8. La sicurezza informatica
•
“La sicurezza è studio, sviluppo ed attuazione delle
strategie, delle politiche e dei piani operativi volti a
prevenire, fronteggiare e superare eventi in
prevalenza di natura dolosa e/o colposa, che
possono danneggiare le risorse materiali, immateriali
ed umane di cui l'azienda dispone e necessita per
garantirsi un'adeguata capacità concorrenziale nel
breve, medio e lungo periodo”.
9. Disclosure?
• La conoscenza degli strumenti di sicurezza,
dei problemi e delle vulnerabilità che
sorgono progressivamente devono essere
patrimonio culturale di tutti gli utenti.
• A tal proposito si parla di full disclosure
contrapposta alla closed disclosure.
10. Sicurezza informatica per giovani
Giuristi
• Non esiste un sistema sicuro al 100%; Il mito
del sistema inattaccabile è analogo al mito
della nave inaffondabile. (V. Titanic)
• Gnu/Linux e MacOS sono veramente immuni
ai virus?
• Il livello sicurezza di un sistema è dato dal
tempo necessario per violare il sistema,
dall'investimento necessario e dalla
probabilità di successo.
11. Diritto & Sicurezza
• Perché i giuristi parlano di sicurezza
informatica?
• Il diritto, volente o nolente, ha dovuto
“mutuare” per certi versi la disciplina
informatica della sicurezza, integrandola nei
testi di legge.
12. Il diritto della Sicurezza Informatica
• La Comuntà Europea [...] è impegnata nel
promuovere un vero e proprio diritto della sicurezza
informatica (Cfr. Buttarelli, Verso un diritto della
sicurezza informatica in Sicurezza Informatica.1995)
• “Nella tematica della sicurezza, l'approccio giuridico
non è quello prevalente, ma, nel tempo, la disciplina
tecnica si è dovuta coniugare con un insieme di
regole simbolicamente contrassegnate come diritto
della sicurezza informatica” (Buttarelli 1997)
13. Il diritto della Sicurezza Informatica
• Il diritto della sicurezza informatica ha ad
oggetto lo studio delle norme tramite le quali
è possibile assicurare l'integrità, la
riservatezza e la disponibilità del dato
trattato. (Bonavita 2009)
14. Il Dato
• “Il concetto di 'dato' esprime una
registrazione elementare nella memoria di
un computer, pur non avendo una sua
dimensione numerica prestabilita, che possa
farlo ritenere una precisa unità di
misurazione: nel linguaggio comune il termine
dati ha invece una accezione più ampia,
significando spesso l'insieme dei contenuti
registrati nella memoria di un computer [...]”
(Pica 1999)
15. “Antiche Fonti del Diritto”
• D.P.C.M.15 FEBBRAIO 1989 Coordinamento delle iniziative
e pianificazioni degli investimenti in materia di automazione
nelle amministrazioni pubbliche, Art. 4. “Le amministrazioni
pubbliche garantiscono l'applicazione delle misure per la
sicurezza dei centri elaborazione dati, la segretezza e la
riservatezza dei dati contenuti negli archivi automatizzati, il
numero delle copie dei programmi dei dati memorizzati da
conservare, le modalità per la loro conservazione e custodia”.
16. Fonti
• La legge 23 dicembre 1993 n. 547 “Modificazioni ed
integrazioni alle norme del codice penale e del codice di
procedura penale in tema di criminalità informatica”;
• La legge 3 agosto 1998, n. 269 “Norme contro lo
sfruttamento della prostituzione, della pornografia, del
turismo sessuale in danno di minori, quali nuove forme di
riduzione in schiavitù”;
• La legge 18 agosto 2000, n. 248 “Nuove norme di tutela del
diritto d'autore” volta a reprimere i comportamenti illeciti di
pirateria informatica;
17. Fonti
• Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della
responsabilità amministrativa delle persone giuridiche, delle
società e delle associazioni anche prive di personalità
giuridica, a norma dell'articolo 11 della legge 29 settembre
2000, n. 300”
• In particolare il d.lgsl. 231/01 viene periodicamente
aggiornato con l’inclusione di nuovi reati; nel 2008 è stato
aggiornato per tener conto della legge n.48/2008, nel luglio
2009 per tener conto di nuovi delitti in relazione alla
violazione del diritto d’autore
• E’ tuttavia nella legge in materia di trattamento dei dati
personali che la sicurezza informatica ha trovato il suo luogo
di elezione.
18. Misure minime di sicurezza
• Il complesso delle misure tecniche,
informatiche, organizzative, logistiche e
procedurali di sicurezza che configurano il
livello minimo di protezione richiesto in
relazione ai rischi previsti nell'articolo 31 del
Codice;
19. Misure Minime ed Idonee
• Chiunque cagiona danno ad altri per effetto
del trattamento di dati personali è tenuto al
risarcimento ai sensi dell'articolo 2050 del
codice civile.
• Chiunque, essendovi tenuto, omette di
adottare le misure minime previste
dall'articolo 33 del Codice è punito con
l'arresto sino a due anni.
20. I rischi ex art. 31
• “[…] distruzione o perdita, anche accidentale,
dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme
alle finalità della raccolta”.
21. Sicurezza & Diritto
• Mai come nell'era della “cyberlaw” il diritto si è interessato, per diversi aspetti,
della sicurezza. Alcuni esempi illustri:
- Normativa sul diritto d'autore (art. 102-quater L 633/41)
“1. I titolari di diritti d'autore e di diritti connessi nonché del diritto di cui all'art. 102-
bis, comma 3, possono apporre sulle opere o sui materiali protetti misure
tecnologiche di protezione efficaci che comprendono tutte le tecnologie, i
dispositivi o i componenti che, nel normale corso del loro funzionamento, sono
destinati a impedire o limitare atti non autorizzati dai titolari dei diritti.
2. Le misure tecnologiche di protezione sono considerate efficaci nel caso in cui l'uso
dell'opera o del materiale protetto sia controllato dai titolari tramite l'applicazione
di un dispositivo di accesso o dì un procedimento di protezione, quale la cifratura,
la distorsione o qualsiasi altra trasformazione dell'opera o del materiale protetto,
ovvero sia limitato mediante un meccanismo di controllo delle copie che realizzi
l'obiettivo di protezione”.
22. Codice dell’amministrazione digitale (D.Lgs. 7
marzo 2005 n. 82)
Art. 51 (Sicurezza dei dati)
1. Con le regole tecniche adottate ai sensi dell' articolo 71 sono individuate le modalità
che garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza
dei dati, dei sistemi e delle infrastrutture .
1-bis. DigitPA, ai fini dell'attuazione del comma 1 :
a) raccorda le iniziative di prevenzione e gestione degli incidenti di sicurezza
informatici;
b) promuove intese con le analoghe strutture internazionali;
c) segnala al Ministro per la pubblica amministrazione e l'innovazione il mancato
rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche
amministrazioni .
2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e
controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita,
accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.
2-bis. Le amministrazioni hanno l'obbligo di aggiornare tempestivamente i dati nei
propri archivi, non appena vengano a conoscenza dell'inesattezza degli stessi .
23. Codice della proprietà industriale (D.
Lgs. 30/05)
• Art. 98
“1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-
industriali, comprese quelle commerciali, soggette al legittimo controllo del
detentore, ove tali informazioni:
a) siano segrete, nel senso che non siano nel loro insieme o nella precisa
configurazione e combinazione dei loro elementi generalmente note o facilmente
accessibili agli esperti ed agli operatori del settore;
b) abbiano valore economico in quanto segrete;
c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette,
a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.
2. Costituiscono altresi' oggetto di protezione i dati relativi a prove o altri dati segreti,
la cui elaborazione comporti un considerevole impegno ed alla cui presentazione
sia subordinata l'autorizzazione dell'immissione in commercio di prodotti chimici,
farmaceutici o agricoli implicanti l'uso di nuove sostanze chimiche.”
24. Giurisprudenza sui computer crimes (Cass. V
Sez. Pen. Sent. 12732/00)
“...Certo è necessario che l'accesso al sistema informatico non sia aperto a
tutti, come talora avviene soprattutto quando si tratti di sistemi
telematici. Ma deve ritenersi che, ai fini della configurabilità del delitto,
assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati
all'accesso al sistema informatico, anche quando si tratti di strumenti
esterni al sistema e meramente organizzativi, in quanto destinati a
regolare l'ingresso stesso nei locali in cui gli impianti sono custoditi. Ed è
certamente corretta, in questa prospettiva, la distinzione operata dalla
corte d'appello tra le banche dati offerte al pubblico a determinate
condizioni e le banche dati destinate a un'utilizzazione privata esclusiva,
come i dati contabili di un'azienda”.
25. Cass. Sez. VI Pen. Sent. 46509/04
“[…] 3. Per quanto concerne il reato di cui all'art. 615 ter, comma
2, n. 1, c.p. (capo B) non e' ravvisabile la condotta contestata
in quanto il sistema informatico nel quale l'imputato si
inseriva abusivamente non risulta obiettivamente (ne' la
sentenza fornisce la relativa prova) protetto da misure di
sicurezza, essendo anzi tale sistema a disposizione
dell'imputato in virtù delle mansioni affidategli per ragioni di
ufficio. Il fatto che il D.C. ne facesse un uso distorto a fini
illeciti e personali, non sposta i termini della questione,
mancando il presupposto della "protezione" speciale del
sistema stesso. Da tale reato pertanto l'imputato deve
essere assolto perché il fatto non sussiste”.
27. La raccomandazione del Consiglio Europeo
di Stoccolma
• “il Consiglio svilupperà insieme alla
Commissione una strategia globale per la
sicurezza delle reti elettroniche,
comprensiva di azioni concrete di
attuazione. Tale strategia dovrebbe essere
presentata in tempo per il Consiglio
Europeo di Göteborg”. (2001)
28. Gli organismi europei che si occupano
di sicurezza ICT
• Commissione
– Direzione Società dell’informazione
• Consiglio
– Working party su telecomunicazioni e servizi della
società dell’informazione
• Parlamento europeo
– Commissioni parlamentari
• Finanziamenti: piano d’azione eEurope
29. Focus: la direttiva sull’e-commerce
(2000/31/CE)
• La direttiva disciplina la prestazione dei servizi della società
dell’informazione nel mercato interno europeo. Principi base:
– assenza di autorizzazione preventiva
– obbligo di informativa da parte del prestatore di servizi
– limiti di responsabilità per i fornitori dei servizi di trasporto, caching ed hosting
– possibilità di risoluzione delle controversie per via telematica
• Non sono presenti norme specifiche sulla sicurezza, ma nel considerando
si rimanda all'articolo 5 della direttiva 97/66/CE
• Gli Stati membri devono vietare qualsiasi forma di intercettazione o di
sorveglianza non legalmente autorizzata da parte di chi non sia il mittente
o il destinatario
• La direttiva è stata recepita dal Decreto legislativo 9 aprile 2003, n. 70
30. Focus: la convenzione di Budapest
• La Convenzione del Consiglio di Europa sulla Criminalità
informatica (STE n. 185) è stata sottoscritta a Budapest il
23.11.2001 da 30 paesi, tra cui l'Italia
• La Convenzione è stata poi ratificata da 5 Stati, per cui è
divenuta esecutiva nel luglio dello scorso anno
• È prevista l’introduzione di specifiche norme per contrastare
la criminalità informatica (in Italia molte di esse sono state
introdotte con la la legge 23.12.1993, n.547)
• Uno dei temi più dibattuti riguarda la conservazione dei dati
di traffico
• È stata recepita in Italia con la legge 48/08.
31. Risoluzione del Consiglio UE
compiti degli Stati membri
• Campagne di informazione ed educazione;
• Adozione di best practices, soprattutto nelle piccole e medie imprese;
• Sicurezza nella formazione informatica;
• CERT (Computer Emergency Response Team);
• Interoperabilità delle soluzioni sulla sicurezza (tra cui open source) nei
servizi pubblici di e-government e firma elettronica;
• Cooperazione su sistemi di identificazione elettronica e/o biometrica.
32. Risoluzione del Consiglio UE
compiti della Commissione
• Facilitare lo scambio di best practices;
• Predisporre un inventario delle misure nazionali;
• Rafforzare la cooperazione con altre organizzazioni
internazionali;
• Proporre una struttura per la gestione delle componenti
critiche della rete Internet (nomi di dominio);
• Redigere un rapporto sullo stato dell’arte delle tecnologie di
identificazione elettronica e/o biometrica.
33. L’agenzia per la sicurezza
(European Network and Information Security Agency - ENISA)
• E’ il risultato della proposta iniziale per la Cyber-
security task force
• Costituita da circa 30 esperti (2 per ogni Stato
membro)
• Budget di 24,3 M€ per 5 anni, incrementato di 9 M€
nel caso di ingresso di altri 10 stati in UE
• Avviata nel 2004
• La struttura ed i compiti dell’agenzia sono definiti dal
regolamento (CE) N. 460/2004
34. Compiti di ENISA
• Contribuire al buon funzionamento del mercato interno
– assistendo la Commissione e gli Stati Membri su problematiche di
sicurezza ICT (art. 1.1, 1.2)
– sviluppando competenze di alto profilo (art. 2.3)
– fornendo, su richiesta, consulenza nei lavori preparatori delle norme
sulla sicurezza ICT (art. 2.4)
– raccogliendo “le informazioni appropriate per analizzare rischi attuali
ed emergenti...” (art. 3)
– favorendo la cooperazione in tema di sicurezza ICT tra Commissione,
Stati Membri, settore privato e mondo accademico (art. 3)
35. • Alcune conclusioni:
- senza previsione di misure di sicurezza si incorre quasi certamente in una
violazione di legge o nell’impossibilità di esercitare un proprio diritto, in
quanto essa costituisce spesso il discrimen fondamentale per valutare
l'insorgere di responsabilità;
- se non vi sono misure di sicurezza vari ambiti dell'IT e del dirtto ad essi
connessi non hanno ragion d’essere;
- la sicurezza ha un costo, ma fa funzionare meglio le cose.
36. Teorie sulla sicurezza
• Alla sicurezza (in particolare dei dati e dei sistemi informatici) sono state attribuite
diverse funzioni:
- funzione concorrenziale (fattore di competitività per l'azienda);
- funzione garantista (preservando i dati personali da usi impropri si tutela anche
la dignità della persona);
- funzione forense (può prevenire la formazione di fattispecie criminose o,
quantomeno, agevolare l'operato delle forze dell'ordine);
- funzione efficientista (è stato statisticamente provato che l’adozione di
accorgimenti in materia di sicurezza ha portato ad una maggiore efficienza
dell’intera struttura, sia essa pubblica o privata).
37. Quindi…
• La sicurezza è un processo, non un prodotto, nel quale intervengono tre
componenti fondamentali: hardware, software e humanware.
• La mancata cooperazione di uno solo di questi elementi rende instabile tutto il
sistema (la robustezza di un sistema si basa sulla robustezza del suo anello più
debole).
• La sicurezza è un processo asintotico, ossia necessita di continue verifiche ed
aggiornamenti per potersi avvicinare alla perfezione, senza tuttavia mai
raggiungerla appieno.
• Gli obiettivi che un sistema dovrà raggiungere per potersi definire “sicuro”
consistono in: 1) integrità; 2) autenticità; 3) riservatezza; 4) disponibilità; 5)
reattività.