TELEMATIC JOURNAL OF CLINICAL CRIMINOLOGY

WWW.
TELEMATIC JOURNAL OF CLINICAL CRIMINOLOGY
Telematic Journal of Clinical Criminology - www.criminologia.org International Crime Analysis Association
LA SICUREZZA INFORMATICA
Di Gabriele Faggioli
La sicurezza informatica è un concetto particolarmente complesso rispetto al quale il legislatore
italiano sta muovendo i primi insicuri passi almeno nel settore del trattamento dei dati
personali.
L’unica normativa vigente ad oggi è il D.P.R. 318/99, emanato in virtù della previsione di cui
all’articolo 15 della legge 675/96 (legge sulla privacy), in base alla quale il titolare del
trattamento deve custodire e controllare i dati personali oggetto di trattamento, anche in
relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di
idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei
dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta.
Il D.P.R. 318/99 del luglio 1999 ha introdotto un articolato impianto di misure di sicurezza
relative ai sistemi informativi che si fonda sulla tripartizione fra computer stand alone,
computer in rete non accessibili da una rete di telecomunicazione disponibile al pubblico e
computer in rete accessibili mediante una rete di telecomunicazioni disponibile al pubblico.
Inoltre, sono state previste due nuove figure che rispondono ai nomi di amministratore di
sistema (cioè i soggetti cui è conferito il compito di sovrintendere alle risorse del sistema
operativo di un elaboratore o di un sistema di base dati e di consentirne l'utilizzazione) e di
preposto alla custodia delle parole chiave.
Fondamentalmente, le misure di sicurezza minime che chiunque proceda al trattamento deve
adottare sono:
Computer stand alone:
prevedere una parola chiave per l'accesso ai dati, fornirla agli incaricati del trattamento e, ove
tecnicamente possibile in relazione alle caratteristiche dell'elaboratore, consentirne l'autonoma
sostituzione, previa comunicazione ai preposti;
individuare per iscritto, quando vi è più di un incaricato del trattamento e sono in uso più
parole chiave, i soggetti preposti alla loro custodia o che hanno accesso ad informazioni che
concernono le medesime.
computer in rete non accessibili da una rete di telecomunicazione disponibile al
pubblico:
tutte le misure previste per i computer stand alone;
a ciascun utente o incaricato del trattamento deve essere attribuito un codice identificativo
personale per l'utilizzazione dell'elaboratore;
i codici identificativi personali devono essere assegnati e gestiti in modo che ne sia prevista la
disattivazione in caso di perdita della qualità che consentiva l'accesso all'elaboratore o di
mancato utilizzo dei medesimi per un periodo superiore ai sei mesi;
Note legali: il presente articolo o documento può essere riprodotto integralmente o in parte citando la
fonte: nome autore - data - Telematic Journal of Clinical Criminology – www.criminologia.org
gli elaboratori devono essere protetti contro il rischio di intrusione ad opera di virus, mediante
idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza almeno
semestrale;
qualora vengano trattati dati sensibili l'accesso per effettuare le operazioni di trattamento deve
essere determinato sulla base di autorizzazioni assegnate, singolarmente o per gruppi di
lavoro, agli incaricati del trattamento o della manutenzione. Le autorizzazioni all'accesso sono
rilasciate e revocate dal titolare e, se designato, dal responsabile. Periodicamente, e comunque
almeno una volta l'anno, deve essere verificata la sussistenza delle condizioni per la loro
conservazione. L'autorizzazione all'accesso deve essere limitata ai soli dati la cui conoscenza è
necessaria e sufficiente per lo svolgimento delle operazioni di trattamento o di manutenzione.
computer in rete accessibili da una rete di telecomunicazione disponibile al pubblico:
tutte le misure previste per i computer in rete non accessibili da una rete di telecomunicazione
disponibile al pubblico;
elaborazione del documento programmatico sulla sicurezza che deve definire, sulla base
dell'analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell'ambito delle
strutture preposte al trattamento dei dati stessi:
i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di
sicurezza nonchè le procedure per controllare l'accesso delle persone autorizzate ai locali
medesimi;
i criteri e le procedure per assicurare l'integrità dei dati;
i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le
restrizioni di accesso per via telematica;
l'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei
rischi individuati e dei modi per prevenire danni.
Le misure di sicurezza sopra riassunte costituiscono il minimo imposto dal legislatore. Tuttavia,
le aziende devono avere come riferimento il concetto di idoneità del sistema di protezione dei
dati. In altre parole, il rispetto del D.P.R. 318/99 potrebbe non essere sufficiente per andare
esenti da responsabilità in caso di danni derivanti dalla mancata adozione di ulteriori misure
che sarebbero risultate idonee alla luce della delicatezza dei dati trattati, della complessità del
trattamento, dei rischi a cui lo stesso era esposto. Di fatto, il legislatore ha lasciato aperta la
porta ad una valutazione discrezionale dell’eventuale magistrato chiamato a decidere sulla
mancata o insufficiente protezione dei dati personali tratatti da un’azienda.
E’evidente che proprio questa apertura rende necessaria una seria politica di prevenzione che
si fondi su un’analisi dei rischi e di un successivo output credibile, che sia la base per la
creazione di un sistema di difesa ragionevolemtne equilibrato rispetto ai trattamenti di date
effettuati. Qualora risulti necessaria l’adozione di misure di sicurezza più stringenti rispetto alle
previsioni del D.P.R. 318/99, sarà allora possibile fare riferimento ad altri standard
regolamentari disponibili come, per esempio, i British Standard 7799 parte II (già utilizzati
come norma di riferimento epr procedere alla certificazione della sicurezza dei sistemi
informativi).
Un ultimo sguardo merita di essere rivolto ai risvolti sanzionatori conseguenti alla mancata
adozione di misure di sicurezza.
L’articolo 36 della legge sulla privacy prevede che chiunque, essendovi tenuto, omette di
adottare le misure necessarie a garantire la sicurezza dei dati personali è punito con l'arresto
sino a due anni o con l'ammenda da € 5.164,57 a € 41.316,55. E’ stato poi introdotto il
meccanismo c.d. del ravvedimento operoso che così opera: all’autore del reato, all’atto
dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una
prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva
difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni
successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l'autore del
reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda
stabilita per la contravvenzione.
Note legali: il presente articolo o documento può essere riprodotto integralmente o in parte citando la
fonte: nome autore - data - Telematic Journal of Clinical Criminology – www.criminologia.org
Gli aspetti legali collegati alla sicurezza informatica, tuttavia, non si esauriscono con l’analisi
della normativa citata ed anzi occorre ampliare l’orizzonte su altri aspetti normativi e,
soprattutto, contrattuali.
Innanzitutto, infatti, è bene ricordare che il D.P.R. 318/99, in applicazione dell’articolo 15 della
legge sulla privacy, fissa le cosiddette “misure minime” da adottare a protezione dei dati
personali, mentre la legge 675/96 pretende l’implementazione di misure di sicurezza definite
idonee, ed allora è bene avere riguardo alle disposizioni contenute in standard internazionali di
sicurezza di assoluto rilievo come le BS7799 e le ISO17799.
Tuttavia, gli aspetti sotto i quali la sicurezza informatica viene in genere trascurata sono altri,
ed in particolare i rapporti con i terzi e i rapporti con i dipendenti sotto il duplice profilo degli
accordi contrattuali e della regolamentazione delle privative in materia brevettuale e,
soprattutto, in punto diritto d’autore.
I rapporti con i fornitori.
In ambito informatico è usuale che contratti di appalto (comunque essi vengano chiamati)
regolamentino i rapporti con i fornitori di prodotti e, soprattutto, servizi.
La catena dei fornitori, soprattutto in caso di subappalto, deve quindi essere sensibilizzata
rispetto alle esigenze di sicurezza del committente e deve essere fata oggetto di apposite
clausole contrattuali che evitino di creare sacche di rischio difficilmente controllabili.
In tal senso, le clausole contrattuali più rilevanti sono:
la regolamentazione del subappalto che deve sempre accompagnarsi a una clausola di
gradimento del subfornitore (nei casi più rilevanti prevedendo anche una lista di fornitori
accreditati);
le previsioni inerenti l’obbligo per l’appaltatore di adottare a sua volta le misure di sicurezza
idonee a proteggere le informazioni, le infrastrutture, il know how del committente (soprattutto
in ipotesi di contratto di outsourcing) al limite prevedendo l’obbligo di certificazione
dell’appaltatore stesso in base agli standard internazionali in materia (BS7799; ISO17799);
le clausole disciplinanti la tutela del know how del committente, di particolare importanza nei
contratti disciplinanti l’implementazione di sistemi informatici integrati, nei quali la necessità di
conoscenza del committente da parte del fornitore si fa particolarmente invasiva con il rischio
che quanto appreso venga riutilizzato con terzi che potrebbero averne indebiti vantaggi;
le clausole disciplinanti le privative, con particolare riguardo al software e alle banche dati
(aspetto trattato di seguito);
le clausole disciplinanti l’applicazione della legge 675/96 sotto il profilo degli adempimenti
burocratici e della titolarità delle informazioni;
le clausole disciplinanti le garanzie e le responsabilità del fornitore;
le cosiddette “clausole etiche”, cioè quelle previsioni che regolamentano la possibilità o meno
per il committente o per il fornitore di assumere o collaborare con personale dell’altra parte
contrattuale in corso o allo spirare del rapporto contrattuale;
il patto di non concorrenza (articolo 2596 c.c. per il quale il patto che limita la concorrenza
deve essere: provato per iscritto; circoscritto ad una determinata zona o a una determinata
attività; non eccedente i cinque anni di durata).
I rapporti con i dipendenti.
Naturalmente, anche i rapporti con i propri dipendenti e collaboratori rileva nella gestione della
sicurezza informatica. Ed infatti, è noto come la maggior parte degli attacchi e dei
comportamenti fraudolenti nasca in seno all’azienda. Se esiste una normativa apposita che
mira a reprimere i cosiddetti computer crimes (la legge 547 del 1993 che ha introdotto nuove
ipotesi di reato quali, per esempio, la violazione del domicilio informatico, la frode informatica,
la diffusione di virus, l’intercettazione di comunicazioni informatiche), è pur vero che il
contratto rimane il migliore strumento per prevenire e se necessario reprimere comportamenti
pericolosi ed al limite illegittimi se non addirittura illeciti.
In tal senso, le clausole contrattuali più rilevanti sono:
il patto di riservatezza;
Note legali: il presente articolo o documento può essere riprodotto integralmente o in parte citando la
fonte: nome autore - data - Telematic Journal of Clinical Criminology – www.criminologia.org
il patto di non concorrenza, che deve esplicare i suoi effetti anche alla cessazione del rapporto
di lavoro (articolo 2125 c.c. per il quale il patto con cui si limita lo svolgimento dell’attività del
prestatore di lavoro per il tempo successivo alla cessazione del contratto è nullo se non risulta
da atto scritto, se non è pattuito un corrispettivo a favore del prestatore di lavoro e se il
vincolo non è contenuto entro determinati limiti di oggetto di tempo e di luogo. La durata del
vincolo non può inoltre essere superiore a cinque anni, se si tratta di dirigenti, e a tre anni
negli altri casi);
le clausole disciplinanti le privative, con particolare riguardo al software e alle banche dati
(aspetto trattato di seguito);
Inoltre, costituiscono integrazione del contratto di lavoro o, comunque, fonte di obbligazione in
capo al lavoratore i regolamenti interni anche disciplinari inerenti l’uso delle strumentazioni
aziendali (internet; posta elettronica; software; hardware; attività di download e quant’altro).
Detti regolamenti, inerenti in genere tanto l’aspetto privacy che l’aspetto security risultano
tanto più importanti in questi anni in considerazione della tendenza del legislatore a creare
quadri di garanzia a protezione dei diritti della persona entro i quali l’obbligo informativo è in
genere l’aspetto maggiormente rilevante.
Le privative: il diritto d’autore sul software e sulle banche dati.
Uno degli aspetti più rilevanti che in genere deve essere affrontato contrattualmente tanto con
i fornitori quanto con i dipendenti e che ha importanti risvolti sulla security è la titolarità ei
diritti d’autore sul software e sulle banche dati sviluppato da un’azienda o per conto di questa.
La normativa di riferimento, la legge n. 633 del 1941, prevede infatti che:
art. 12 bis: “Salvo patto contrario, il datore di lavoro è titolare del diritto esclusivo di
utilizzazione economica del programma per elaboratore o della banca di dati creati dal
lavoratore dipendente nell'esecuzione delle sue mansioni o su istruzioni impartite dallo stesso
datore di lavoro”;
art. 110 “La trasmissione dei diritti di utilizzazione deve essere provata per iscritto”.
Nei rapporti con i fornitori esterni, dunque, occorre prevedere per iscritto nel contratto la
titolarità dei diritti patrimoniali sui software sviluppati e sulle banche dati (in quanto i diritti
morali, cioè la paternità dell’opera, spettano in ogni caso all’autore materiale dell’opera), in
quanto il non disciplinarlo contrattualmente o il non prevedere alcun contratto scritto,
determina l’attribuzione dei diritti in capo al fornitore, con grave rischio di nocumento in capo
al committente.
Rimangono ancora da analizzare, in questo panorama, le indicazioni che il Ministro per
l’innovazione e le tecnologie di intesa con il Ministro delle comunicazioni hanno divulgato
tramite la direttiva 16 gennaio 2002 e dedicata alla “Sicurezza informatica e delle
telecomunicazioni nelle pubbliche amministrazioni”.
Al di là del fatto che sia la PA la destinataria ultima del contenuto della direttiva, è importante
sottolineare come anche ai massimi livelli statali si stia diffondendo la cultura della sicurezza e
la presa di coscienza della necessità di implementare sistemi informatici e telematici che oltre
ad essere perfettamente funzionanti siano anche il più possibile sicuri. Le linee di principio
tracciate e le indicazioni metodologiche suggerite possono quindi ed anzi devono, essere fatte
proprie anche dalle aziende private, anche alla luce del fatto che sui sistemi informativi pubblici
ben transitano informazioni anche relative ai cittadini privati ed alle aziende, ed è bene quindi
sapere quale sia il grado di sicurezza che lo Stato inizia a imporre ai propri enti ed alle proprie
amministrazioni.
La direttiva parte dal presupposto che le informazioni gestite dai sistemi informativi pubblici
costituiscono una risorsa di valore strategico per il governo del Paese e che questo patrimonio
deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni del
significato intrinseco delle informazioni stesse.
Al fine di evitare che prendano corpo le minacce di intrusione e di divulgazione non autorizzata
di informazioni, la direttiva afferma l’importanza fondamentale della valutazione dei rischi
connessi con la gestione delle informazioni e dei sistemi anche alla luce della necessità di
Note legali: il presente articolo o documento può essere riprodotto integralmente o in parte citando la
fonte: nome autore - data - Telematic Journal of Clinical Criminology – www.criminologia.org
presentare ai cittadini credenziali di sicurezza nelle informazioni conformi agli standard
internazionali di riferimento.
La direttiva raccomanda quindi l’avviamento immediato di alcune azioni prioritarie tali da
consentire una rapida autodiagnosi del livello di adeguatezza della sicurezza informatica e delle
telecomunicazioni (e allo scopo fornisce un apposito documento valutativo) e la conseguente
attivazione delle iniziative necessarie a porsi su una base minime di sicurezza definita da un
ulteriore documento allegato alla direttiva.
Ciò che rileva maggiormente nel contenuto della direttiva, a parere di chi scrive, è il tentativo
di sistematizzazione della materia attraverso l’individuazione di attività pratiche da porre in
essere, al di là delle mere enunciazioni di principio: una valida guida operativa, quindi, cui fare
riferimento.
Articolo Pubblicato anche da: Net Business – Edizioni EDIPI.
Note legali: il presente articolo o documento può essere riprodotto integralmente o in parte citando la
fonte: nome autore - data - Telematic Journal of Clinical Criminology – www.criminologia.org