Banche dati, privacy e sicurezza: gli
obblighi del gestore
di Gianni Buonomo(*) -
28.01.97
La Gazzetta Ufficiale ha
pubblicato l'8 gennaio scorso con il n. 675 il testo
della legge sulla tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali.
L'approvazione del controverso provvedimento di legge è
il frutto di oltre dieci anni di appassionato dibattito e
segna un decisivo passo in avanti a favore della tutela
della privacy delle persone.
Alla legge si accompagna la delega al Governo per la
disciplina dei servizi telematici e della connettività
Internet.
Si tratta, in sostanza, di due provvedimenti
"dovuti", poiché - come molti sanno - era
necessario colmare il vuoto legislativo esistente tra
l'Italia e gli altri Paesi dell'Unione Europea sulla base
della Convenzione di Strasburgo del 1981 e dell'accordo
di Schengen sulla libera circolazione delle persone.
Si tratta, peraltro, di
una normativa destinata ad incidere profondamente sulle
materie relative alla responsabilità dei gestori di
sistemi informativi, degli addetti alla sicurezza dei
centri EDP e dei fornitori di connettività e di servizi
Internet.
L'evoluzione tecnologica del settore IT verso sistemi di
elaborazione sempre più potenti e sempre più a basso
costo ha segnato, in particolare negli ultimi dieci anni,
il passaggio dalla informatica tradizionalmente intesa
come "automazione dei processi", in cui alle
macchine veniva affidato il compito di eseguire attività
meramente ripetitive, lasciando all'uomo funzioni di
controllo, alla informatica intesa come trattamento dei
dati al fine di estrarne un "valore aggiunto".
È stato possibile - così - concentrare raccolte di dati
eterogenei e aggregare e disaggregare le informazioni
sino ad estrarne previsioni per l'adozione di ogni sorta
di decisioni, che spaziano dalle scienze mediche
all'andamento delle economie e dei mercati finanziari.
Appare, dunque, evidente
il pericolo che si cela dietro il possesso e l'uso
indiscriminato delle banche di dati personali.
Gravi violazioni dei diritti inalienabili dell'individuo
sono configurabili - ad esempio - di fronte al rifiuto di
stipulare polizze assicurative opposto da talune
compagnie assicurative rispetto a soggetti assolutamente
sani (che tuttavia presentano, nella storia genetica
della loro famiglia, casi di malattie trasmissibili
geneticamente).
In altri casi l'uso abusivo di informazioni personali
può spingersi sino alla discriminazione per ragioni
ideologiche o religiose.
Si pensi - ad esempio - al monitoraggio che normalmente
viene effettuato - per ragioni di sicurezza - sugli
accessi ai siti Internet. Ogni Internet provider si trova
a gestire un tabulato che, opportunamente interpretato,
rappresenta un vero "diario" personale degli
utenti del servizio, dove vengono annotate le preferenze
commerciali, i gusti, le opinioni politiche e religiose
di ogni persona.
La disponibilità di questo archivio può costituire,
nella migliore delle ipotesi, un grande vantaggio
commerciale per le imprese che effettuano la vendita a
domicilio o per le società che effettuano indagini di
mercato.
La legge sulla privacy
affronta il problema dei possibili abusi e delle
violazioni del diritto alla riservatezza degli individui
sotto un duplice profilo:
1. impedire che un archivio informatizzato venga
utilizzato per scopi diversi da quelli per cui è stato
creato;
2. sanzionare severamente in sede penale il furto e la
diffusione indebita di informazioni custodite in archivi
informatizzati.
Si tratta, a ben vedere, di un profondo mutamento di
prospettiva rispetto alla tradizionale tutela approntata
dall'ordinamento giuridico per questi beni.
Questa "rivoluzione" - che prevede il
trattamento dei dati intimamente connesso al consenso
espresso dell'interessato - si collega, per la parte che
qui interessa, al concetto tradizionale di sicurezza
informatica.
Sino ad oggi, infatti, il compito del cosiddetto
"titolare" del trattamento dei dati poteva
limitarsi, nella maggior parte dei casi, alla valutazione
della "affidabilità" tecnica del sistema;
oggi, invece, il concetto di sicurezza si estende sino a
comprendere la integrità dei dati e la correttezza del
loro utilizzo.
Sino a qualche anno fa, dunque, l'esigenza di aggiornare
i sistemi secondo criteri di economicità poteva
significare, nei casi più comuni, il semplice passaggio
dal mainframe, ben protetto nel bunker nel centro EDP, ad
un sistema dipartimentale distribuito, fondato su
architetture multipiattaforma e multi-LAN, ove ogni
workstation locale può virtualmente favorire l'accesso
indesiderato ad informazioni riservate o altri attentati
alla sicurezza dell'impresa.
Da oggi, si può ben dire, muta l'approccio
"culturale" al problema della sicurezza
informatica.
È necessario - infatti - garantire la genuinità dei
dati impedendo alterazioni che ne possono mutare il
significato originale, impedire la
"esportazione" non autorizzata d'informazioni
riservate; impedire, in genere, l'utilizzo delle
risorse del sistema per scopi diversi (comunemente
illeciti) da quelli per i quali esso è stato progettato.
Il profondo mutamento di prospettiva segue, peraltro,
l'evoluzione del fenomeno della cosiddetta criminalità
informatica, che è pur sempre riconducibile alle
esigenze di tutela della privacy.
I primi computer crimes
furono commessi da dipendenti dell'impresa o dell'Ente
che alteravano le registrazioni dei dati o, abusando
della qualità di operatori addetti al sistema, si
impossessavano (a scopo di lucro, o anche per semplice
gusto della sfida tecnologica e nella certezza
dell'impunità) di informazioni riservate.(1)
I primi sistemi di sicurezza furono progettati, dunque,
per prevenire attacchi al sistema provenienti - per così
dire - "dall'interno".
Lo sviluppo successivo delle reti locali e la diffusione
dei modem per i collegamenti su linea telefonica hanno
introdotto, solo di recente, nel dibattito tecnico
giuridico sulla materia, l'argomento della prevenzione di
possibili, letali attacchi al sistema provenienti
"dall'esterno" (ad opera degli hackers o per
causa dei virus informatici).
L'art. 15 della legge (sicurezza dei dati) dispone,
dunque, che "I dati personali oggetto di
trattamento devono essere custoditi e controllati, anche
in relazione alle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati ed alle
specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o
perdita anche accidentale dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta".
La legge introduce, per la
prima volta nel nostro ordinamento, una ipotesi di reato
per la omessa adozione delle misure necessarie a
garantire la sicurezza dei dati (art.36).
Poiché tale norma si applica "al trattamento
dei dati personali da chiunque effettuato nell'ambito del
territorio dello Stato" e considerato che per
"dato personale" si intende "qualunque
informazione relativa a persona fisica, persona giuridica
o ente, identificati o identificabili anche
indirettamente", si tratta, evidentemente, di
una disciplina destinata a trovare pratica applicazione
nell'ambito di tutti (o quasi) i sistemi informativi
automatizzati che contengano un elenco di nominativi.
Chiunque, essendovi tenuto, omette di adottare le misure
necessarie ad assicurare la sicurezza dei dati è
punibile, secondo il testo della legge, con la reclusione
sino ad un anno (se dal fatto non è derivato alcun
danno) o con la reclusione da due mesi a due anni se si
è verificato un "nocumento".
Le pene, diminuite, si applicano anche al caso di
condotta semplicemente colposa (cioè in caso di
omissione dovuta a negligenza, imperizia o imprudenza
del responsabile - art. 36 comma secondo).
È interessante notare
come le "misure di sicurezza" siano
state qui descritte come misure di protezione idonee a
prevenire il rischio di una perdita o distruzione dei
dati anche solo accidentale, "di un accesso
non autorizzato o di un trattamento non consentito o non
conforme alle finalità della raccolta",
confermando la definizione di "sicurezza" verso
la quale sembrano orientate le legislazioni di tutti i
Paesi che si sono già occupati del problema.
Le "misure minime di protezione"
obbligatorie verranno fissate con una norma regolamentare
(un dPR da emanare ogni due anni ai sensi dell'art. 15
della legge). All'entrata in vigore del dPR, peraltro, le
norme transitorie (art. 41) prevedono che i dati siano
"custoditi in maniera tale da evitare un
incremento dei rischi di cui al all'art. 15 comma 1"
e cioè in modo da ridurre al minimo "in
relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati ed alle specifiche
caratteristiche del trattamento" i rischi di
perdita anche accidentale dei dati o di intrusione
non autorizzata nel sistema informativo automatizzata.
Questo significa che un obbligo preciso di adottare
misure di sicurezza adeguate alla protezione dei dati
sussiste in capo al responsabile del centro di
elaborazione sin dal momento di emanazione del
regolamento.
A livello comunitario, del resto, la Posizione Comune,
adottata nella riunione del Consiglio 20 febbraio 1995 in
vista della adozione della direttiva sul trattamento dei
dati personali prevedeva che gli Stati membri
disponessero, nelle rispettive legislazioni, per un
diritto al risarcimento del danno "per chiunque
subisca nocumento da un trattamento illecito di dati
personali o dalla violazione delle norme che disciplinano
le banche-dati" (2), oltre a "misure appropriate" per
garantire la piena applicazione della legge.
La legge 675ha scelto, a
questo proposito, la più grave delle sanzioni, quella
penale e una disciplina sanzionatoria che, nel complesso,
si presta a non poche critiche.
Innanzitutto, l'articolo 18 della legge prevede che
"chiunque cagiona un danno ad altri per effetto
del trattamento dei dati personali è tenuto al
risarcimento ai sensi dell'articolo 2050 del codice
civile".
Ciò significa che la legge presume la colpa del
gestore della banca di dati e - invertendo l'onere della
prova - pone a suo carico ogni possibile conseguenza dei
danni cagionati a terzi, se egli non prova di avere
adottato tutte le misure idonee ad evitare il danno.
Si tenga presente, tanto per fare un esempio, che
"presumere la colpa del gestore" è qualcosa di
diverso dalla semplice inversione dell'onere della prova.
Il gestore della banca di dati, infatti, per liberarsi
dalla "presunzione di colpa" deve dimostrare
che il danno è conseguenza (nella maggior parte dei
casi) di un caso fortuito o di forza maggiore.
Ben diversa, invece, sarebbe stata la previsione di una
"semplice" inversione dell'onere della prova.
In questo caso la norma avrebbe previsto che, in caso di
danno, il gestore del sistema avrebbe dovuto risarcire il
danno se non avesse dimostrato di essere senza colpa
e cioè di avere adottato le misure di sicurezza previste
e di avere agito, nel complesso con la ordinaria
diligenza, prudenza e perizia.
Va anche detto della
discutibile scelta "culturale" costituita dal
richiamo - a proposito delle banche dati personali -
delle norme in materia di "responsabilità per
l'esercizio di attività pericolose".
L'equiparazione, ai fini della responsabilità civile,
del gestore di un sistema EDP o di un sito telematico ad
un gestore di un deposito di carburanti o di materiale
esplodente evoca, nella coscienza collettiva, quantomeno
la concezione antica di un'informatica "pericolosa
in sé", patrimonio incontrollabile di una stretta
cerchia di tecnici specializzati, il pericolo del mad
scientist e quant'altro da decenni la stampa poco
specializzata ci propina.
Si è molto discusso, a
questo proposito, della applicabilità di queste norme
alle cosiddette "banche dati per fini esclusivamente
personali".
L'ipotesi è prevista dall'articolo 3 della legge, che
dispone: "il trattamento dei dati personali,
effettuato da persone fisiche per fini esclusivamente
personali, non è soggetto alla applicazione della
presente legge, sempre che i dati non siano destinati ad
una comunicazione sistematica o alla diffusione".
Il secondo comma dello stesso articolo, peraltro, precisa
che "al trattamento di cui al comma 1 si
applicano in ogni caso le disposizioni in tema di
sicurezza dei dati di cui all'art. 15, nonché le
disposizioni di cui agli articoli 18 e 36".
Ciò significa, per semplificare con un esempio, che
anche la rubrica telefonica contenuta nel notebook
deve essere "custodita e controllata" a norma
dell'articolo 15 della legge, "anche in
relazione alle conoscenze tecniche acquisite in base al
progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento" mediante
l'adozione di "idonee e preventive misure di
sicurezza" conformi al regolamento previsto dallo
stesso articolo.
E poiché l'articolo 36 della legge (qui espressamente
richiamato) punisce con un anno di reclusione chi, per
colpa, "omette di adottare le misure di
sicurezza necessarie a garantire la sicurezza dei dati
personali" sarà bene - sin da ora - evitare di
dimenticare il PC portatile dell'esempio di cui sopra
sulla metropolitana per evitare di incorrere (se non
proprio in un procedimento penale) nella severissima
norma che stabilisce l'obbligo del risarcimento del danno
ex art. 2050 del codice civile (come detto, solo un
evento del tutto imprevedibile scagiona il presunto
responsabile).
È di fondamentale
importanza, allora, che vengano stabilite con chiarezza
le norme di sicurezza minime e preventive cui fa
riferimento l'articolo 15 della legge.
Queste "misure idonee" sono innanzitutto quelle
previste da norme e regolamenti (e in primo luogo quelle
approvate con decreto del Presidente della Repubblica
entro sei mesi dall'approvazione della legge dalla
commissione interministeriale prevista dall'art. 15), ma
non queste soltanto.
La legge impone, come vedremo fra un attimo, che in ogni
caso vengano adottate misure che riducano al minimo i
pericoli di perdita o distruzione dei dati di illecita
intromissione nei sistemi da parte di soggetti non
autorizzati e fa riferimento alle "conoscenze
acquisite in base al progresso tecnico" per la
prevenzione di tali rischi.
Nel sistema tradizionale, il danneggiato dalla condotta
del titolare del sistema di trattamento dei dati avrebbe
dovuto dimostrare, per vedersi riconoscere il diritto al
risarcimento, che il danno subito fosse direttamente
riconducibile alla omissione di cautele considerate
"doverose" secondo i normali criteri di
prudenza, di competenza professionale e di attenzione, da
parte del responsabile EDP.
L'articolo 18 della legge sul trattamento dei dati,
invece, presume questa responsabilità a carico del
titolare della banca di dati sino alla dimostrazione (che
spetta al gestore del sistema e non al danneggiato) della
"sicurezza" del sistema rispetto agli eventi
dannosi prevedibili.
Viene dunque in
considerazione quel criterio di
"prevedibilità" dell'evento che è sempre
decisivo per la delimitazione dei confini della
responsabilità degli addetti.
Il quadro normativo che si va delineando è dunque il
seguente:
1. il gestore del sistema informativo ha il dovere di
"ridurre al minimo" i rischi di distruzione o
perdita accidentale dei dati;
2. il gestore deve prevenire accessi non autorizzati al
sistema informativo;
3. per far ciò il gestore deve adottare "misure di
sicurezza" adeguate all'importanza dei dati
custoditi negli archivi e in linea con le conoscenze
acquisite in base al progresso tecnologico.
Tra i casi di condotta colposa debbono farsi rientrare
tutti i fatti contrari alla legge in cui il danno sia
riconducibile direttamente alla omissione di cure e
cautele che chiunque sarebbe tenuto ad adottare nelle
medesime cicostanze, come la omissione di una attività
che il responsabile aveva il dovere di compiere.
Anche l'inosservanza di regole tecniche o norme di
condotta costituisce una colposa negligenza, sicchè
anche quando venga a mancare una specifica norma di legge
che faccia obbligo di osservare una particolare linea di
condotta, l'imprudenza, la negligenza o l'imperizia
possono costituire elementi della colpa.
A ben riflettere, comunque, norme di condotta esistono e
si possono ricostruire dal quadro normativo sopra
delineato.
Per ciascuno dei fatti illeciti previsti dalla
legislazione penale è necessario, infatti, che vengano
adottate e accuratamente praticate delle contromisure
proporzionate.
Una politica
"minima" della sicurezza dei sistemi
informativi deve prevedere, in sostanza, un sistema di
identificazione degli utenti, una politica degli accessi
associata a meccanismi logici e meccanici di protezione
della integrità dei dati e misure normative ed
organizzative adeguate: non ha senso, infatti, investire
cospicue risorse economiche per installare un sistema di
protezione, se gli operatori, non adeguatamente
sensibilizzati o addestrati, trascrivono la password sul
cabinet del loro PC o dimenticano di estrarre il badge
quando si assentano temporaneamente dal posto di lavoro
col terminale acceso.
Allo stesso modo deve ritenersi che qualora la intrusione
nel sistema informativo o il suo danneggiamento siano
riconducibili alla scarsa diligenza del responsabile di
sistema, questi potrà essere chiamato a risarcire il
danno nei confronti dell'azienda e nei confronti
dell'eventuale terzo danneggiato.
Il concetto giuridico di
"sicurezza informatica" è - dunque - collegato
a quel complesso di accorgimenti tecnici ed organizzativi
che mirano a tutelare i beni giuridici della
confidenzialità (o riservatezza), della integrità e
della disponibilità delle informazioni registrate.(3)
Per comprendere correttamente il significato di queste
espressioni si deve aver riguardo - secondo un
riconosciuto criterio interpretativo dei concetti
giuridici - agli interessi che appaiono meritevoli di
tutela.
Si definisce "sicuro" un sistema informativo
in cui le informazioni in esso contenute vengono
"garantite", attraverso i sistemi di sicurezza
all'uopo predisposti, contro il pericolo di accessi o
sottrazioni ad opera di persone non autorizzate e contro
il pericolo di manipolazioni, alterazioni o cancellazioni
involontarie o dolose (a scopo di danneggiamento o di
frode) . (4)
Rendere le informazioni riservate "non
disponibili" da parte di chi non è autorizzato
significa parimenti, e sotto altro profilo, rendere tali
informazioni disponibili nella loro integrità
originaria a chi ne ha diritto (criterio della
"disponibilità" del dato).
In altre parole, non ha senso porsi un problema di tutela
della riservatezza dell'individuo se prima non viene
assicurata la integrità dei dati personali, poiché il
dato informatico esiste in quanto è "sicuro",
in quanto di esso qualcuno ne garantisce l'integrità e
la affidabilità.(5)
Nell'ordinamento giuridico
italiano il concetto di sicurezza informatica si ricava
da una attenta lettura degli articoli 615-ter e
615-quater del codice penale (introdotti recentemente
dalla legge 23 dicembre 1993 n. 547, più comunemente
nota come "legge sui computer crimes").
Queste norme sono state, sino alla approvazione della
legge 675, le uniche ad occuparsi espressamente di un
"sistema informatico o telematico protetto da misure
di sicurezza", al fine di sanzionare con la pena
della reclusione (che può anche arrivare alla misura di
cinque anni, secondo la gravità dei casi) il reato di
accesso abusivo ad un sistema informatico o telematico (6) o la divulgazione dei suoi codici
di accesso.
In pratica, commette il delitto di abusiva introduzione
chiunque, senza averne il diritto, si introduce (i.e.: si
inserisce, come utente abusivo, direttamente, attraverso
un terminale o tramite collegamento su linea telefonica)
in un sistema informativo altrui.
Non è richiesto, perché si compia il reato, un intento
particolare o specifico. Non ha rilievo, cioè, che
l'intruso agisca per fini di lucro o semplicemente per
gioco.
Quando sono in ballo
ingenti investimenti per la creazione e la gestione di un
centro di elaborazione dati, il semplice fatto che
qualcuno riesca a superare le misure di sicurezza
costituisce, in sè, un attentato alla affidabilità del
sistema poiché mette in pericolo il bene che abbiamo
definito della "integrità" del dato.
Il semplice collegamento abusivo può, inoltre, veicolare
nel sistema host un virus caricato a tempo, i
cui effetti dannosi potranno manifestarsi dopo molti
mesi, al verificarsi di determinate condizioni scelte dal
programmatore dell'ordigno.
Si tratta, dunque, di un "reato di pericolo"
sanzionato al solo verificarsi del comportamento proibito
dalla legge, indipendentemente dal verificarsi di un
particolare evento dannoso.
Perché si rientri nell'operatività di questa norma è
invece assolutamente necessario che l'hacker sia
consapevole del fatto che con la sua condotta egli sta
violando il "domicilio informatico" altrui.
Non a caso, l'art. 615-ter è stato inserito nell'ambito
dei delitti contro l'inviolabilità del domicilio (artt.
614 - 615 - quinquies). Il sistema informativo
costituisce, infatti, rispetto alla persona, una sorta di
"espansione" della sua soggettività:(7) chi si introduce clandestinamente
all'interno della abitazione d'altri commette, comunque,
il delitto di violazione di domicilio anche se dimostra
che non aveva alcuna intenzione di rubare.
L'appartenenza ad altri
(che i giuristi chiamano "altruità") della
abitazione e la mancanza di consenso dei suoi occupanti
sono ben evidenti dalla presenza di una porta (non
importa che sia aperta o chiusa) o - nel caso analogo di
introduzione abusiva nel suolo altrui - anche dalla mera
presenza di un cartello che rechi ben visibili i classici
ammonimenti della tutela possessoria ("proprietà
privata" e "divieto di accesso").
Nel mondo informatico,
peraltro, la "introduzione" all'interno degli
archivi di un sistema automatizzato può avvenire per
mezzo dei collegamenti telefonici, anche da distanze
intercontinentali.
Le reti telematiche pubbliche o "aperte"(come
Internet) contengono una pluralità di gateways che
immettono in siti di libero accesso (gli archivi pubblici
delle università, i luoghi di dibattito) e in siti
privati (come le caselle della posta elettronica) o a
pagamento.
A ben vedere, tutti i sistemi contengono aree riservate
(le aree di sistema, quelle riservate al gestore ed ai
suoi collaboratori) ove l'accesso è consentito soltanto
alle persone autorizzate e non anche agli abbonati.
È ben evidente, allora, che le "misure di
sicurezza" di cui parla l'art. 615-ter del codice
penale possono consistere in qualunque accorgimento
(logico o meccanico) idoneo allo scopo di interdire
l'introduzione nel sistema informativo da parte di chi
non è autorizzato.
Anche una semplice password, sotto questo profilo,
costituisce una (seppure minima) misura di sicurezza
informatica.(8)
Al medesimo concetto di
sicurezza fa riferimento il successivo art. 615-quater
del codice penale (anch'esso introdotto dalla
L.547/93)per sanzionare con la reclusione sino a due anni
e con la multa sino a 20 milioni di lire (nei casi
aggravati)di detenzione e diffusione abusiva dei
"codici di accesso" ad un sistema informativo
automatizzato.(9)
Commette questo delitto chiunque , a scopo di profitto o
per recare danno, si procura, o fornisce ad altri,
"codici, parole chiave o altri mezzi idonei
all'accesso" ad un sistema informativo
"protetto da misure di sicurezza".
Per la parte che qui
interessa (la norma offre spunti interessanti di
discussione sotto molteplici profili) questo articolo
contiene una elencazione esemplificativa delle
"misure di sicurezza" che possono proteggere il
sistema: la "parola-chiave", come si vede, è
considerata, unitamente ai "codici" e ad ogni
altro accorgimento (meccanico o logico) tra le possibili
difese che debbono essere apprestate a protezione delle
informazioni riservate.
In generale, l'intera casistica di "disastri
informatici" che si ricava dalla lettura della legge
547/93 costituisce una sorta di elenco (non esaustivo)
degli attacchi che possono minacciare la integrità dei
sistemi informativi.
La prevedibilità di questi eventi dannosi è - come
detto - di importanza decisiva per delimitare i profili
della responsabilità del responsabile della sicurezza.
I casi previsti, oltre a
quelli già citati, sono quelli dell'attentato ad
impianti informatici di pubblica utilità (art.420);
della falsificazione di documenti informatici (quindi,
della alterazione o della manipolazione dell'integrità
deldato originario - art. 491-bis), della diffusione di
programmi idonei a danneggiare o interrompere il
funzionamento di un sistema informatico (art.
615-quinquies), della violazione di corrispondenza
telematica (art. 616 e art. 617-sexies), della
intercettazione di e-mail (art. 617-quater) ed infine del
danneggiamento (art. 635-bis) e della frode informatica
(cioè l'alterazione dell'integrità dei dati allo scopo
di procurarsi un ingiusto profitto - art. 640-ter).
La sicurezza di un sistema
informativo coincide, in sostanza, con la intrinseca
capacità di prevedere ed impedire queste e altre
probabili minacce.
Si tratta tanto delle caratteristiche intrinseche del
progetto, quanto di accorgimenti organizzativi e tecnici
che debbono essere adottati per ridurre al minimo
(rendere poco probabile)la possibilità di un attentato.
Ciò significa che un sistema informativo è
"sicuro" se viene progettato pensando alla
disciplina delle politiche di accesso.
Competente a dettare le norme tecniche in materia di
sicurezza per i sistemi informativi della pubblica
Amministrazione e degli Enti pubblici non economici è -
come s'è detto - l'Autorità per l'informatica nella
p.A. alla quale, a norma dell'art. 7 del decreto
legislativo 12 febbraio 1993 n. 39, spetta di
"dettare criteri tecnici riguardanti la sicurezza
dei sistemi".
A livello comunitario,
come è noto, sin dal 1990 Gran Bretagna, Francia ,
Olanda e Germania hanno dato vita ad un accordo per
armonizzare i rispettivi criteri di valutazione della
sicurezza dei prodotti e sistemi informatici e telematici
(IT - Information Technology).
La Comunità Europea, nell'intento di favorire la libera
circolazione delle tecnologie dell'informazione e di
assicurare nel contempo la sicurezza dei sistemi e dei
prodotti informatici e telematici, ha fatto propria tale
esperienza, raccomandando agli Stati membri l'adozione di
questi criteri comuni per la valutazione della sicurezza
dei prodotti (ITSEC - Information Technology Security
Evaluation Criteria).10
Il sistema si fonda sul riconoscimento reciproco tra
Stati delle certificazioni sulla sicurezza dei prodotti
effettuate in laboratori autorizzati mediante l'adozione
dei predetti criteri e della corrispondente metodologia
di applicazione raccolta nel manuale ITSEM (IT Security
Evaluation Manual).
In sintesi, ogni sistema informativo sottoposto a
certificazione deve essere accompagnato da un documento
contenente le specifiche di sicurezza (Security Target)
nel quale vengono indicati i pericoli che si intendono
prevenire, gli accorgimenti adottati e il livello di
certificazione richiesto.
Il prodotto "sicuro" viene così certificato ad
un determinato livello di affidabilità secondo una scala
di valutazione suddivisa in sei gradi.
L'Italia partecipa al
negoziato che dovrebbe dar vita al mutuo riconoscimento
delle certificazioni effettuate negli altri Paesi della
Comunità, ed è auspicabile che una raccomandazione del
Consiglio introduca, quanto prima, il sistema delle
certificazioni nell'ambito dell'Unione europea.
(*) Magistrato addetto
all'Ufficio Sistemi informativi automatizzati del
Ministero di Grazia e Giustizia
Note
1
- Per una casistica esemplificativa e per una
ricostruzione dei casi giudiziari più significativi in
tema di frodi informatiche si rinvia a Borruso, Buonomo,
Corasaniti e D'aietti, "Profili penali
dell'Informatica", Giuffrè, Milano, 1994, pag.140 e
ss. Nonchè alla bibliografia ivi citata.
2
- La legge equipara il trattamento dei dati, ai fini
della risarcibilità del danno, all'esercizio di
attività pericolose che determinano, a carico di chi le
esercita, una presunzione di responsabilità a norma
dell'art. 2050 del codice civile.
3
- Si fa riferimento, principalmente, alla Computer Fraud
and Abuse Act emanata in USA nel 1986, seguita, nel 1988
dalla Loi n.18-19 relative à la fraude informatique e al
Computer Misuse Act della Gran Bretagna entrata in vigore
nel 1990. Altre leggi interessanti sul tema della
criminalità informatica sono state adottate da Grecia
(n.1805 del 1988), Austria (n.605 del 1987) e Danimarca
(n.229 del 1985). Una buona raccolta sulle legislazioni
di tutti i Paesi del mondo può essere consultata sul
server Web della Electronic Frontier Foundation
all'indirizzo http://www.eff.org/pub/Legislation/Foreign_and_local/
4
- Per una definizione del concetto di sicurezza come
"la garanzia che determinate politiche di accesso al
sistema informativo siano messe in atto e opportunamente
salvaguardate" si veda A.Berretti "I
Firewall" in Sicurezza Informatica (anno 2 n.3 pagg.
8 e ss.).
5
- Si vedano in proposito gli interventi di Guido Rey e di Gianni Buttarelli.
6
- Si trascrive, di seguito, il testo integrale
dell'articolo 615-ter del codice penale, citato nel
testo:
(Accesso abusivo ad un sistema informatico o telematico).
- "Chiunque abusivamente si introduce in un sistema
informatico o telematico protetto da misure di sicurezza
ovvero vi si mantiene contro la volontà' espressa o
tacita di chi ha il diritto di escluderlo, è punito con
la reclusione fino a tre anni. La pena è della
reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da
un incaricato di un pubblico servizio, con abuso dei
poteri o con violazione dei doveri inerenti alla funzione
o al servizio, o da chi esercita anche abusivamente la
professione di investigatore privato, o con abuso della
qualità' di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza
sulle cose o alle persone, ovvero se è palesemente
armato;
3) se dal fatto deriva la distruzione o il danneggiamento
del sistema o l'interruzione totale o parziale del suo
funzionamento, ovvero la distruzione o il danneggiamento
dei dati, delle informazioni o dei programmi in esso
contenuti.
Qualora i fatti di cui ai commi primo e secondo
riguardino sistemi informatici o telematici di interesse
militare o relativi all'ordine pubblico o alla sicurezza
pubblica o alla sanita' o alla protezione civile o
comunque di interesse pubblico, la pena è,
rispettivamente, della reclusione da uno a cinque anni e
da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile
a querela della persona offesa; negli altri casi si
procede d'ufficio."
7
- Precisamente, si legge nella Relazione che accompagnava
il disegno di legge, che i sistemi informativi
costituiscono "un'espansione ideale dell'area di
rispetto pertinente al soggetto interessato, garantito
dall'art. 14 della Costituzione e penalmente tutelata nei
suoi aspetti più essenziali e tradizionali agli articoli
614 e 615 del codice penale".
8
- Una opinione contraria si ritrova in G. Ceccacci,
Computer Crimes - la nuova disciplina dei reati
informatici, FAG, Milano, 1994. Secondo l'autore, le
misure di sicurezza debbono essere intese come qualcosa
di più complesso di una semplice password.
Accedendo a
tale ipotesi, tuttavia, si arriverebbe al paradosso per
cui la punibilità dello scassinatore informatico sarebbe
collegata alla "complessità" delle misure di
sicurezza predisposte: chiunque riuscisse a
"forzare" un sistema informativo con una
password falsa non commetterebbe alcun reato se il
gestore di sistema non ha previsto altre e più
"complesse" misure.
Cosa dire, poi, dei sistemi a password plurime, in cui
per entrare in un settore è necessario una parola di
accesso diversa da quella necessaria per accedere ad
altra area? È, questo, un sistema complesso? E quanto
deve essere "lunga" la password per potersi
considerare "complessa"?
9
- Codice Penale, art. 615-quater: - (detenzione e
diffusione abusiva di codici di accesso a sistemi
informatici o telematici). - Chiunque, al fine di
procurare a sé o ad altri un profitto o di arrecare ad
altri un danno, abusivamente si procura, riproduce,
diffonde, comunica o consegna codici, parole chiave o
altri mezzi idonei all'accesso ad un sistema informatico
o telematico, protetto da misure di sicurezza, o comunque
fornisce indicazioni o istruzioni idonee al predetto
scopo, è punito con la reclusione sino ad un anno e con
la multa sino a lire dieci milioni.
La pena è della reclusione da uno a due anni e della
multa da lire dieci milioni a venti milioni se ricorre
taluna delle circostanze di cui ai numeri 1) e 2) del
quarto comma dell'articolo 617-quater".
|
Pagina stampabile
