Diritto e informatica - AN-Light · Diritto per il secondo biennio 1/16 Sicurezza dei sistemi...

L. Bobbio - E. Gliozzi - L. Lenti

Diritto per il secondo biennio

1/16

Sicurezza dei sistemi informatici, tutela dei dati personali e della proprietà intellettuale

Diritto e informatica

1. La sicurezza dei sistemi informatici1.1 Lasicurezzafisicadeisistemi1.2 Lasicurezzadeidati1.3 Ilcontrollodegliaccessi

2. Hacker e cracker: un’importante distinzione

3. Le tecniche di violazione più diffuse3.1 Ivirusele“fontidelcontagio”3.2 Gliantivirus3.3 Leregoleperunacorrettaprevenzione

4. La validità dei documenti informatici: un excursus della normativa 4.1 Lafirmaelettronica,lafirmaelettronicaqualificataelafirmadigitale4.2 Informatizzazioneepubblicaamministrazione

5. La tutela dei dati personali5.1 Lerecentisemplificazioniinmateriadituteladeidatipersonali5.2 Lasicurezzadeidatinelleorganizzazioni:ilruolodell’amministratoredi

sistema

6. L’approccio normativo ai reati informatici6.1 Ireatiinformatici:laprospettivaeuropea

7. La tutela giuridica dei programmi per elaboratore e delle banche dati 7.1 Scambiarefileinrete

8. L’ultima frontiera dello shopping: l’e-commerce

9. Commercio elettronico: la normativa italiana nella cornice europea9.1 L’attuazionedelladirettivaeuropea9.2 Ilcodicedelconsumo:ildirittodirecesso

diritto informatica.indd 1 27/05/13 15.11

L. Bobbio - E. Gliozzi - L. Lenti Diritto per il secondo biennio

2/16

1. La sicurezza dei sistemi informatici

Si definisce sicuro il sistema informatico in cui per mezzo di “meccanismi” e misureappositamentepredispostileinformazionisianoprotettedalpericolodiviolazioni.

Persicurezzadiunsistema informatico intendiamo, invece, la salvaguardiadei seguentiaspettifondamentali:n l’affidabilità,valeadirelapossibilitàdirendereidatisempreaccessibiliodisponibiliagli

utentiautorizzati;n l’integrità,cioèlaprotezionedeidatifinalizzataaevitarnelacorruzione;n lariservatezza,cioèlagaranziacheidatisianoaccessibili“inlettura”soloailegittimi

destinatari;n l’autenticità,cioèlapossibilitàdistabilireconcertezzalasorgente,ladestinazioneeil

contenutodelmessaggio;n ilnonripudio,cioèlacertezzachechitrasmette(non ripudio del mittente)echiriceve

(nonripudio del destinatario)nonpossanegarediaverrispettivamenteinviatoericevutoidati.

Garantire nel corso del tempo la sicurezza di apparecchiature hardware, software e datirappresentaunodeiprincipaliproblemideisistemiinformatici.Inquestoambitounodegliaspetti più controversi è stimare la maggiore o minore probabilità del verificarsi di undeterminatorischio,ilcostodellasuaprevenzioneequellodeglieventualidannichepotrebbecausare.Non tuttiglioperatoripossonopermettersiunsistemadisicurezzacomequellidiGoogle,ma,comeGoogle,tuttidevonomettereapuntounpianoperridurrealminimoicostieirischidell’esposizionealpericolodiviolazioni.

Aquestoscopolemisuredaadottaresipossonoclassificareinduecategorie:n quellerelativeallasicurezzafisicadelsistema,chesibasasulcontrollodell’ambiente;n quellerelativeallasicurezzadeidatiedeiprogrammi.

Al fine di individuare correttamente quali sono le misure che occorre mettere in atto, èindispensabilepoterclassificareidiversitipidirischiaiqualiognisistemapuòesseresoggetto.

1.1 La sicurezza fisica dei sistemiIntemadisicurezzafisicadeisistemiinformaticiirischipossonoessereprimadituttoditipoaccidentale.Rientranoinquestacasisticatuttiglieventidannosinonprevedibili,comeperes.incendiecalamitànaturali(alluvioni,terremotiecc.)e,traquesti,ilrischiodiincendioèsicuramenteilpiùdiffuso:perpoterloprevenireoccorredotaretuttigliambientiincuisisvolgonoleattivitàaziendalidiunadeguatosistemaantincendio.

Risulta,invece,piùcomplessofarefrontealrischiodimanomissionedeidatiesabotaggiodapartediterzi.Inquestocasogarantirelasicurezzasignificacontrollareelimitarel’accessoalleareededicateall’elaborazionedeidaticlassificandolecomeareeriservate.L’utilizzodiaccessiattivabiliesclusivamenteattraversoparticolarisistemi(daisemplicibadgeai lettoridell’irideedelleimprontedigitali)permettedirisolverealmenoparzialmenteilproblema.

1.2 La sicurezza dei datiQuandosiaffrontailtemadellasicurezzadeidati,un’importantedistinzioneèquellatra:n dannidiorigineaccidentale,cioètuttiiproblemicausatidaidannialleapparecchiature,

conparticolareriferimentoaidischiincuisonomemorizzatidatieprogrammi,daeventualicaduteditensionedellacorrentedovutealmalfunzionamentodell’alimentazione(fulmini,blackout); in quest’ultimo caso la soluzione è quella di dotare i sistemi di gruppi dicontinuitàchepermettonodifornirecorrentealpersonalcomputerperuncertoperiododitempoancheafrontediunblackout;

n dannidioriginedolosa, cioè tutti i problemicausatidall’uso fraudolentodeidati cheoccorrepreveniredotandoilsistemadiprotezioniall’accesso;inquestocampoèpossibilericorrereasistemidicontrollochepossonoesserepiùomenosofisticatiasecondadel



3/16

livello di sicurezza desiderato. Poiché questi metodi possono risultare particolarmentecostosi(soprattuttopercomputerpersonali),sipossonoutilizzaremetodisemplici,comeladigitazionediuncodice identificativoediunapasswordoppure sipossonodotare ipersonalcomputerdilettoridibadgeodiriconoscitoridifirma.

Irischidiperditadeidatiregistratisudischimagneticisipossono,inparte,evitaregrazieallacorrettamanutenzionedeglistessi.Aquestoscoposonostatisviluppatiappositisistemi,chesonoarticolatiinduecomponenti:n lafunzionedibackup;n quelladirestore.

L’operazione dibackup permette di copiare il contenuto del discomagnetico su un altrosupportorimovibile(dvd,chiavettausb,harddiskesternoecc.)che,asuavolta,puòesserearchiviatoinunluogosicuro.

Il restore è l’operazione inversa, cioè quella che, se necessario, permette di ricostruire ilcontenuto dei dischi magnetici a partire dai supporti rimovibili preventivamente prodotti.Tuttavia,idatiinseritinelsistematraunbackupel’altroverrannoperduti.

1.3 Il controllo degli accessiLaprotezionedeidatidalrischiodiaccessinonautorizzatidevetenerecontodelfattochegliutentiinteressatialleinformazionicostituisconouninsiemealquantodiversificato.Oltre a salvaguardare fisicamente l’integrità del server, è necessario prevedere l’esistenzadi barriere logiche, cioè di procedure di controllo dell’accesso ai dati e di identificazionedell’utente, inparticolareafrontedell’esigenzasemprepiùdiffusadiconsentire l’accessoremoto.

Dotaredipasswordilpropriosistemadielaborazione,idatieleapplicazionichesivoglionoproteggererappresentaunadellesoluzionipiùsempliciediffuse,quandositrattadiadottaredellebarrierelogiche.Purtroppo,questoèancheunmetododicontrollomoltovulnerabile,perchéallapasswordsipuòarrivarefacendounaseriedicongetture.Molti,perpoterselaricordarepiùfacilmente,costruisconolapropriapasswordapartiredainformazionichesipossonointuireoppurescoprireconrelativafacilità.Quando,invece,sisceglieunapasswordpiùcomplessa(magariperchésièvincolatiinqualchemodo),spessoperpauradidimenticarlasidecidediannotarladaqualcheparterendendolacosìfacilmenteaccessibileancheadaltri.Percreareunapasswordèconsigliabileseguirealcunesemplici,mafondamentali,indicazioni:n prevederechesiaformatadaalmeno8caratteri;n utilizzare,all’internodellastessapassword,letteresiamaiuscolecheminuscole,numeri

esegnidiinterpunzione;n per riuscire a ricordarla facilmente, provare a combinare a qualche numeroo carattere

specialelelettereinizialiofinalidiunafrasecelebreoppurediunpensieroricorrente;peresempio:“QuelramodellagodiComo”potrebbediventare“6QrDLdC3”.

Ilfirewall (alla lettera“paratia tagliafuoco”)rappresentaun’ulteriore lineadidifesacontrogli intrusi e consiste in particolari dispositivi che funzionano da sentinelle alla porta dicollegamentodelcomputerconunaretepubblica,comepuòessereInternet.È lamodernariedizionedelfossatopienod’acquaedelpontelevatoiocheproteggevanogliantichicastelli.Il principio è lo stesso: costringere tutto il traffico in transito (esseri umani nell’antichità,trafficodireteoggi)apassareattraversoununicopuntodiingressoeuscita,dovesiprovvedeaeffettuaregliopportunicontrolli.Lasicurezzadiun’interareteaziendaleconnessaaInternetvienericondottaquindiallasicurezzadiunristrettissimonumerodinodi,moltospessounosolo.Èsolo ilnodoinquestione, ilfirewall appunto,quellocherisultaesseredirettamentecollegatoaInterneteiparticolarisoftwarediquelnodosonoingradodieffettuareleoperazionidicontrolloeverificadegliaccessi.

Leimpresedevonoconservareilpropriodatabaseinunambientesicuro;maèinutilecheil



4/16

databasesiasicuro,seidatipossonoessereestrattiemessiarischioperilcomportamentononopportunodeidipendenti(datisalvatisudvdoe-maileinviatiattraversocanalinonsicuri).Oggi sempre più persone lavorano utilizzando tablet e smartphone, dispositivi che nonesistevanoancoraquandosonostatecodificatelepoliticheaziendalisullasicurezzadeidati;seperpoterutilizzarequestidispositiviènecessariobypassare le regolestabilite, significachequalcosanonva.GliespertidisicurezzaITspessosonogeneralisti (sannoconfiguraresistemiefarebackup),manonhannoiltempomaterialedioccuparsidituttaquellalungalistadipuntideboli(vulnerabilità)cheinevitabilmenteognisistemapresentaebastaunasolafallaperrendereilsistemainsicuro.

2. Hacker e cracker: un’importante distinzione

Ascrivereireatiinformaticiaisoggettichevengonoidentificaticonl’appellativodi“hacker”èunostereotipodiffusoneimezzidiinformazionema,comevedremo,sidimostradeltuttofuorviante.Nella sua accezione originaria il termine “hacker” (dall’inglese to hack che letteralmentesignifica“fareapezzi,tagliare”)siriferisceaunapersonachevivel’attivitàdiprogrammazioneinformaticacomeunaveraepropriapassione;l’obiettivodell’hackerèriuscireadominarelamacchina,smontarneisistemi,osservarecomesonostaticostruitiecomefunzionanoperscoprirnelepeculiaritànascosteeledebolezze,operinnovareeimplementareleapplicazioni.L’hackerè,quindi,colui che si cimenta nella sfida intellettuale rappresentata dall’aggirare o superare, in modo creativo, tutti i vincoli e le limitazioni che gli vengono imposti da un certo sistema informatico.Sebbene,comeabbiamoosservato,ilterminehackersiutilizzicomunementeperdesignarei criminali informatici, la reale intenzione di questi soggetti è dedicarsi all’esplorazione, divertirsi, apprenderesenza arrecare reali dannial sistema.

Chi,invece,siingegna,con finalità distruttive,pereludereiblocchiimpostidaunsoftwarevienedenominatocracker.Il cracking può avere diversi scopi secondari: una volta guadagnato l’accesso al sistemadesiderato, o dopo aver rimosso le protezioni di un certo programma, il cracker agiscerispondendoaunaltromoventechepuòesseredicarattereeconomico(ilguadagnoderivanteda operazioni di spionaggio industriale o frodi) oppure “sociale”, conquistare prestigio ericonoscimentonell’ambientedeicracker.

3. Le tecniche di violazione più diffuse

Vediamocomeèpossibileriuscireadaggirarelebarrierelogichedicuiunsistemaèdotato:n collegandosidirettamenteauncalcolatoredellareteinternaprovvistodiaccessoautonomo

inmododaeludereilfiltrodelfirewall;n facendospoofing(dall’ingleseto spoof,chesignifica“imbrogliare,frodare”):ilcriminale

informatico sceglie di inviare un pacchetto modificando l’indirizzo IP dell’origine efacendo,quindi,credereall’hostdidestinazione,eaivarinodicheilpacchettoattraversa(firewall,routerecosìvia),diproveniredaun’originediversadaquellacheilsistemaèprogrammatoperescludere;

n facendo sniffing, una delle tecniche più usate dai criminali informatici che permettedi “ascoltare”, omeglio “annusare” (to sniff in inglese significa appunto annusare), ilpassaggiodeidatilungolaretepercatturarequellidesiderati;siutilizzataperviolarelariservatezzadeidati;

n facendospamming,cioèinviandomessaggidipostaelettronicaachinonèinteressatoariceverli,ilmittentediunattaccodispammingrestaovviamentenascostoespesso,primadiarrivarealcomputerdell’utente,ilmessaggiovienefattotransitaresupiùserverdipostaelettronica.Sololeggendoattentamenteeperestesoidatidiprovenienzadiunmessaggioèpossibilecapiresesitrattadispammingoppureno.Sottoilprofilogiuridicol’attivitàdispammingcostituisceunaviolazionedellanormativainmateriadiprotezionedeidatipersonali.



5/16

3.1 I virus e le “fonti del contagio”Si definisce virus informatico un programma che serve per inserirsi all’interno delle istruzioni di altri programmi al fine di modificarli. Ilvirusinizia lapropriaattivitàquandovieneeseguito ilprogrammachegli fadaportatore. Ilviruscontiene, tra lesue istruzioni,anchequellecheprovvedonoacopiarlosuglialtriprogrammicontenutinellamemoriadelcomputerriuscendocosìamoltiplicarlo.Normalmente,unavoltaconclusalafasedireplicazioneilviruscominciaacompierel’azioneperlaqualeèstatoscritto:puòconsistere,peresempio,neldistruggereidatie/oiprogrammipresentisuunsupportomagneticooppure,semplicemente,nelfarcomparireavideouncertomessaggio.

Ivirusinformaticisonoframmentidicodicerelativamentesempliciemoltopiccolirispettoalprogrammacheinvadono:sitrattadiprogrammicostituitidapochecentinaiadiistruzioni,ilchegliconsentediportareatermineilcompitoperilqualesonostatiscritti,ingenere,senzachel’utentedelcomputersirendacontodellaloropresenza.Letipologiediviruschepossonoinfettareunsistemainformaticosonolepiùdisparatemahannounmododiagirecomune;ingenereilvirus:n arriva al computertramitepennausb,postaelettronica,collegamentoinrete;n vienefatto involontariamenteeseguireesi replicasullamacchina;n si diffonde altrove infettando altri dispositivi usb, attaccandosi agli allegati e inviando

e-mail,duplicandosisualtremacchinetramiteicollegamentiinrete.

Duetraitipidiviruspiùcomunisono:n iworm(vermi),definizioneconlaqualesifariferimentoaiprogrammichesiinseriscono

nellamemoriacercandoareelibereperreplicarsifinoasaturareilsistema;sonoingenereveicolatiattraversoleretiesonomoltodiffusi.Iwormassumonoilcontrollodellefunzionidelcomputerdestinateal trasportodeifileodelle informazioni:molti, infatti,agisconosulletrasmissionidirete,saturandolabandadisponibileconproprimessaggierendendodifficoltosa lacomunicazione;altri agisconosullapostaelettronica,generandomigliaiadie-mail fasullee intasandoiserverdiposta; ilpericolomaggioredeiwormèproprioquesta loro capacità di riprodursi in numero sempre maggiore e con grande rapidità;congestionanolareteesonolacausadilungheatteseperl’aperturadellepagineweb;

n itrojan(cavallidiTroia)sonocodicichesinascondonoall’internodiunprogrammaodiundocumentoesiattivanonelmomentoincuisiverificaundeterminatoevento(peres.ilgiorno13diognimese,oppureognivoltachesiapreunparticolaredocumentoecc.);allefunzionilegittimedelprogrammacheloospita,questotipodivirusaggiungefunzioniindesiderate: proprio come il famoso cavallo di Troia, si presenta come programmaapparentemente innocuo, ma in realtà è in grado di sferrare un attacco distruttivo,trasportandoivirusall’internodell’elaboratoredainfettare.

ConladiffusionediInternetsiassisteaunutilizzomassiccio,dapartedeicosiddetti“piratiinformatici”,dellapostaelettronicacomeveicoloditrasmissionedeivirus;comequalsiasialtromezzoditrasmissione,ancheInternetsiprestaadiventareunadellefontidi“contagio”deivirusinformatici.Inparticolare,propriolapossibilitàdiscaricareprogrammidatuttoilmondogarantisceaognivirus,ancheaquelliappenacreati,unarapidissimadiffusione.Perquesteragioni,primadiaprirequalunquemessaggiodipostaelettronicaèopportunosempresincerarsi dell’identità delmittente: quando non lo si riconosce, ci si trova in presenza diunpotenzialepericolodi attacco informatico ed èquindi buonanormacestinare lamail esegnalarlacomespam.

3.2 Gli antivirusSi trattadi applicativichecercanodi individuare ivirus informaticipresentinel computerprovvedendo, poi, alla loro eliminazione; per funzionare correttamente questi programmidevonoessereregolarmenteaggiornatiinmododapoterriconoscereancheivirusdinuovaproduzione;perquestoiproduttoridiantivirusoffronol’aggiornamentoviaInternet.Quandoilprogrammaantivirusrilevalapresenzadiunvirus,spessoèancheingradodirimuoverlo(inautomaticoosu richiestadell’utente).Avolte,però,puòcapitarechenonsiapossibileeffettuarelarimozioneautomaticaperchéilvirusètropporecente;inquestocasovienemessoinquarantena,inattesachevengatrovatounmetodoperrimuoverlo.



6/16

3.3 Le regole per una corretta prevenzionePerpoterrisolvereiproblemilegatiaivirusèimportanteseguirealcunenormedicaratteresiastrutturalesiacomportamentale.Peranticipareeprevenirelepiùcomuniinfezionidavirusèopportuno:n nel caso degli elaboratori aziendali, dotare ciascuna macchina di una password che

impediscal’accessoalpersonalenonautorizzato;evitarechevenganoinstallatiprogrammisenzalicenzaechesiverifichinofrequentiscambidifiletracasael’ufficio;

n eliminare lee-mailsospettecheabbiano inallegatodeifileeseguibili (.exe, .com, .batecc.);

n impostareunaprotezionedilivelloelevato,precisandoalmegliolespecifichedelbrowserutilizzato;

n effettuareilbackupconcadenzaalmenosettimanale:idatisalvatieidischiprogrammiintatti consentiranno sempredi ripristinare il contenutodel computer, anche in casodidisastrononimputabileavirus(peres.sesirompel’harddisk);

n dotareilpropriopcdiunbuonprogrammaantivirus;n certificareipropridocumenticonlafirmadigitale(ofirmaelettronica).

4. La validità dei documenti informatici: un excursus della normativa

Perquantoattieneallacertificazionedeidocumentidigitali,l’ordinamentogiuridicoitalianoèstatotraiprimialmondoadarerilevanzagiuridicaaldocumentoinformatico.L’art.15dellalegge15marzo1997n.59,piùconosciutacome leggeBassanini1,ha introdottoprincipiecriteridieccezionaleimportanzainmateriadi trattamentodiattiedocumenti informatodigitale.Nelsuopassaggiopiùsignificativo –cherecita“Gliatti,idatieidocumentiformatidallapubblicaamministrazioneedaiprivaticonstrumentiinformaticietelematici,icontrattistipulati nelle medesime forme, nonché la loro archiviazione, trasmissione con strumentiinformaticietelematici,sonovalidierilevantiaognieffettodilegge”–lanormastabilisceche, una volta risolto il problema dell’identificazione dell’autore grazie all’adozione dellafirmadigitale,un atto realizzato su supporti informatici ha il valore di atto originale, al quale la legge attribuisce piena efficacia giuridica.Diconseguenza,daunpuntodivista“pratico”dimostrare l’autenticitàdellafirmadigitale risultaaddiritturapiùsempliceperchéconsenteunaverificaconhardwareesoftware,tuttelecopiesonoidenticheequindiautentiche,nonèfalsificabile,nétantomenoripudiabile.

Lanormativainmateriadifirmadigitaleèstatasuccessivamenteampliatadald.p.r.28dicembre2000n.445,meglionotocomeTuda,testounicosulladocumentazioneamministrativa,chetral’altro:n contieneunanuovadefinizionedidocumentoinformatico;n stabilisce che le regole tecniche per la formazione, trasmissione, conservazione,

duplicazione, riproduzione, validazione (anche temporale) dei documenti informaticivenganoaggiornatealmenoognidueannicondecretodelPresidentedelConsigliodeiministri(d.p.c.m.);

n attribuiscealdocumentoinformatico(redattoinconformitàconleregoletecnichestabilitedal d.p.c.m.di cui al puntoprecedente) la stessavaliditàdella riproduzionemeccanica(fotocopiaofotografia)odellescrittureprivate.

Un ulteriore aggiornamento è quello attuato con l’entrata in vigore del codicedell’amministrazionedigitale (d.lgs.7marzo2005n.82,successivamentemodificatodald.lgs.4aprile2006),chesièpostol’obiettivodirealizzareunatotaleriorganizzazionedellapubblica amministrazione attraverso l’utilizzo degli strumenti informatici e telematici, inparticolarenellosvolgimentodell’attivitàamministrativa,neirapporticonicittadini,conleimpreseeconlealtreamministrazionipubbliche.Ilcodice,tral’altro:n hastabilitoleregoletecnicheperlafirmadigitale;n ha introdotto nell’ordinamento giuridico il diritto del cittadino di utilizzare tecnologie

telematichepercomunicareconlapubblicaamministrazione;n ha sancito,apartiredal30giugno2007, l’obbligoper lepubblicheamministrazionidi



7/16

consentireilpagamentoinmodalitàinformatica;n garantiscel’interoperabilitàtraisistemiinformaticidellepubblicheamministrazioni;n attribuisce al Presidente del Consiglio dei ministri (o al ministro per la pubblica

amministrazionee l’innovazione)compiti inmateriadi innovazionee tecnologiaper lapromozioneelosviluppodellacosiddettasocietàdell’informazione(chesioccupadellosviluppo e impiego delle tecnologie informatiche e telematiche nell’economia, nellapubblicaamministrazioneenellefamiglie);

n haistituitolaconferenzapermanenteperl’innovazionetecnologica,conilcompitodifornirealPresidentedelConsigliodeiministri(oalministrodelegatoperl’innovazioneeletecnologie)consulenzainmateriadisviluppoeattuazionedell’innovazionetecnologica,verificare lo stato di attuazione dei programmi in questo ambito e del piano triennalepredisposto dalCentronazionaleper l’informaticanellapubblica amministrazione(Cnipa).

Neldettarenuoveregoleinmateriadidocumentazioneinformaticaefirmadigitale,ilcodiceindividua,all’art.1,tredistintefattispecie:n lafirmaelettronica;n lafirmaelettronicaqualificata;n lafirmadigitale.

4.1 La firma elettronica, la firma elettronica qualificata e la firma digitaleInbaseall’art.1,c.1,lett.qdelcodicedell’amministrazionedigitale,lafirmaelettronicaè“l’insiemedeidatiinformaelettronica,allegatioppureconnessitramiteassociazionelogicaadaltridocumentielettronici,utilizzaticomemetododiautenticazioneinformatica”.

Lafirmaelettronicaqualificatavienedefinitacome“lafirmaelettronicaottenutaattraversounaprocedurainformaticachegarantiscelaconnessioneunivocaalfirmatarioelasuaunivocaautenticazioneinformatica,creataconmezzisuiqualiilfirmatariopuòconservareuncontrolloesclusivoecollegarlaaidatiaiqualisiriferisceinmododaconsentiredirilevareseidatistessisianostatisuccessivamentemodificati,chesiabasatasuuncertificatoqualificatoerealizzatamedianteundispositivosicuroperlacreazionedellafirma,qualel’apparatostrumentaleusatoperlacreazionedellafirmaelettronica”.

Lafirmadigitale,infine,siconfiguracome“unparticolaretipodifirmaelettronicaqualificatabasatasuunsistemadichiavicrittografiche,unapubblicaeunaprivata,correlate tra loro,checonsentealtitolaretramitelachiaveprivataealdestinatariotramitelachiavepubblica,rispettivamente,direnderemanifestaediverificarelaprovenienzael’integritàdiundocumentoinformaticoodiuninsiemedidocumentiinformatici”.

Sotto il profilo probatorio, un documento informatico sottoscritto con firma elettronicaqualificatahalastessaefficaciadiunascritturaprivataautenticata(art.2702c.c.).

4.2 Informatizzazione e pubblica amministrazioneLagiàcitatalegge59/1997siprefiggeva,tral’altro,nelquadrodiunaprospettivadiampiodecentramento,larealizzazione di unareteunitariadellepubblicheamministrazioni,affidandoall’Autoritàperl’informaticanellapubblicaamministrazione (Aipa)ilcompitodistipularecontratti-quadroperlafornituradiserviziditrasportodeidatiallepubblicheamministrazioni.Con l’entrata invigoredeld.lgs.196/2003(nuovocodice inmateriadiprotezionedeidatipersonali) l’Aipa venne sostituita dalCnipa (Centro nazionale per l’informatica nellapubblicaamministrazione).Questoeraunastrutturadisupportoperl’utilizzodell’informaticanell’attivitàdellapubblicaamministrazioneesiprefiggevalafinalitàdimigliorarelaqualitàdeiserviziediridurneicostidigestione;traisuoiobiettiviricordiamo:n fornireconsulenzasull’adozionedinormativenelsettoreinformatico;n emanare norme e criteri per la realizzazione e la gestionedei sistemi informatici nelle

pubblicheamministrazioni(attraversounpianotriennaleconilqualevenivanodettatelelineestrategicheperilmiglioramentodeiservizieperunpiùefficaceeserciziodell’azioneamministrativa:maggioretrasparenza,riduzionedeicostiecosìvia);



8/16

n definirecriterieregoleperlasicurezzael’interoperabilitàdeisistemiinformatici;n curarelaformazioneel’aggiornamentodeidipendentipubblicinelsettoreinformatico.

In seguito a quanto disposto dal d.lgs. 1 dicembre 2009 n. 177, il Centro nazionale perl’informatica nella pubblica amministrazione è stato riorganizzato e ha preso il nome diDigitPA Ente nazionale per la digitalizzazione della pubblica amministrazione, oradenominatoAgenziaperl’Italiadigitale(GestioneexDigitPA).

5. La tutela dei dati personali

L’avvento della “società dell’informazione”, cui la dimensione planetaria dell’accessodiffusoallareteInternethaimpressoun’enormeaccelerazione,cihadatempopostodifronteall’ineludibilequestionedellatuteladeidatipersonali,cioèquell’insiemediinformazioniriguardantilapersona(fisicaogiuridica),cuinellinguaggioquotidianosifariferimentoconiltermine“privacy”.

Ilnostroordinamentopuòvantareunalegislazioneorganicainmateria:si trattadelcodiceinmateriadiprotezionedeidatipersonali,d.lgs.30giugno2003n.196,chedisciplinalatuteladellariservatezzadeidatipersonaliintuttiisuoidiversiaspetti:n individualanaturadeidati personalidistinguendoinquestoambitoidati sensibili;n neregolailtrattamento(raccolta,elaborazione,conservazione,comunicazione,diffusione)

identificandotitolare eresponsabiledeltrattamento;n istituisceun’autoritàpubblicaindipendente,dettaGarante,chehailpoteredicontrollare

laformazionee lagestionedellebanchedati, imporre lacessazionedeicomportamentiillecitieirrogaresanzioniamministrative.

5.1 Le recenti semplificazioni in materia di tutela dei dati personaliNegliultimidueannilanormativaitalianasullatuteladeidatipersonalièstataoggettodiunaseriedisuccessiviinterventidisemplificazione.Lacosiddetta“tuteladellaprivacy”èstatainfattiunodeisettoricherientravanelraggiodiazionedelle“semplificazioniburocratiche”volutedalpassatogovernoMonticondueprovvedimentidistinti;vediamoquali.n Ild.l.6dicembre2011n.201(convertitoconmodificazionidallal.22dicembre2011

n. 214)denominatoDisposizioniurgentiper lacrescita, l’equitàe ilconsolidamentodeicontipubblici,conosciutocomedecretoSalvaItalia,cheincludeva,tralemisurefinalizzate a ridurre gli adempimenti amministrativi a carico delle imprese, alcunemodifichealcodiceinmateriadiprotezionedeidatipersonali;insintesiquestodecretohacomportatounasostanzialemodificadeiconcettidi“datopersonale”edi“interessato”,conl’esclusionedellepersonegiuridichedall’ambitodiprotezionegarantitodalcodiceelaconseguenterestrizioneanchedellatuteladeidatipersonaliaisolisoggettipersonefisiche.

n Ild.l.9febbraio2012n.5(convertitoconmodificazionidallal.4aprile2012n.35)denominatoDisposizioniurgenti inmateriadi semplificazioneedi sviluppo (decretoSemplificazioni)hacancellatol’obbligodiredazioneeaggiornamentodeldocumentoprogrammatico sulla sicurezza (dps), eliminando anche l’obbligo collaterale di dareattodellasuaapprovazioneedelsuoaggiornamentonellarelazioneaccompagnatoriaalbilanciodiesercizio.

Ricordiamo che il dps era il documento finalizzato ad attestare l’adeguamento di unastrutturaallanormativasullatuteladeidatipersonali,specificandotuttelemisureadottateperlaprotezionedeidatipersonalididipendenti,collaboratori,clienti,utenti,fornitoriecc.in ogni fase e a ogni livello (fisico, logico, organizzativo) sia per l’attività presente cheperquellafutura(programmazione,implementazionemisure,verifiche,analisideirisultatiecc.).Venutomenotaleobbligonormativo,perdimostrarediessereinregolaeaveradottatolemisuredi sicurezzaminimeè sufficiente redigereundocumentodi conformitàdellemisuredisicurezza.



9/16

5.2 La sicurezza dei dati nelle organizzazioni: il ruolo dell’amministratore di sistema

L’implementazione delle misure di sicurezza e il rispetto della normativa sulla privacysono da sempre questioni prioritarie per quanti si trovano a gestire grandi banche datioppure sono titolari o responsabili del trattamento e della conservazione dei dati nelleimprese che, inmaggiore ominorequantità a secondadella lorodimensione, si trovanoquotidianamente a trattare e dover conservare dati riguardanti una pluralità di soggetti(dipendenti, clienti, fornitori, consulenti, consumatori ecc.).Questi soggetti, infatti, sonotenutiarispettareparticolaricriteridiprudenzaquandositrattadiscegliereenominareilproprioamministratoredisistema.

A questo proposito è opportuno inquadrare, da un punto di vista giuridico, la figuradell’amministratoredisistemaperindividuarneilruoloelefunzioni;inassenzadidefinizionida parte della legislazione primaria, in un provvedimento del 27 novembre 2008 (G.U. n.300del24dicembre2008emodificatodalprovvedimentodel25giugno2009) ilGaranteperlaprotezionedeidatipersonalifariferimentoall’amministratoredisistema“qualefigura professionale dedicataallagestioneeallamanutenzionediimpiantidielaborazioneconcuivenganoeffettuati trattamentididatipersonali,compresi i sistemidigestionedellebasididati,isistemisoftwarecomplessiqualiisistemiErp(Enterprise resource planning)utilizzatiingrandiaziendeeorganizzazioni,leretilocaliegliapparatidisicurezza,nellamisuraincuiconsentanodiinterveniresuidatipersonali”.ImportantecorollariodiquestadefinizioneècheilGarantenon ha inteso equipararegli“operatoridisistema”,dicuiagliarticolidelcodicepenalerelativiaidelittiinformatici,congli“amministratoridisistema”:questiultimisonodeiparticolari operatori di sistema, dotati di specifici privilegi.In sintesi si può affermare che l’amministratoredi sistema è quella figura professionale finalizzata alla gestione e alla manutenzione dell’impianto di elaborazione o dei suoi componenti.Nonrientrano,invece,nelladefinizionequeisoggettichesolooccasionalmenteintervengono(per es. per scopi dimanutenzione a seguitodi guasti omalfunzionamento) sui sistemidielaborazioneesuisoftware.

Nell’ambito della struttura aziendale l’individuazione dell’amministratore di sistemarappresentaunadellesceltefondamentalipercontribuireainnalzareillivellocomplessivodisicurezzadeitrattamentisvolti.Bastipensarecheingenereèall’amministratoredisistema,inquantofiguraprivilegiata,chespettailcompitodistabilire,inaccordoconiltitolaree/oglieventualialtriresponsabilideirelativitrattamenti,chipuòaccedereinmodoprivilegiatoallerisorsedelsistemainformativoeatuttiidatipersonaliaziendali(compresiquellisensibili):per tale motivo l’amministratore di sistema deve essere scelto con particolare attenzioneperchéirischicuisonoespostelebanchedatioleretiinformatichecrescono,innumeroeconsistenza,ognigiornodipiù.

InbaseaquantodispostodalgiàcitatoprovvedimentodelGarantedel27novembre2008, ogniamministratoredisistema(compresicolorochesvolgonolamansionediamministratoredirete,didatabaseoimanutentori)hal’obbligodiconservare,perunperiododialmenoseimesi,gliaccess log di tutti gli utenticollocandoliinunarchiviodotatodicaratteristichediinalterabilità (intesacomemantenimentodell’integritàdeidati raccolti)e immodificabilità.Peraccesslogsiintendela registrazione degli eventi generati dal sistema di autenticazione informatica ogniqualvolta si accede a sistemi di elaborazione o di reti o a sistemi gestionali di basi di dati (Dbms) o archivi elettronici.L’amministratoredisistemahaquindil’obbligodidotarsidisistemiidoneiallaregistrazionedegliaccessilogiciaisistemidielaborazioneeagliarchivielettronicie, aspetto forsepiù importante,questi access logdevonopresentarelecaratteristichedicompletezzae inalterabilitàegarantirepossibilitàdiverificadella lorointegritàadeguatealraggiungimentodelloscopodiverificapercuisonorichiesti;ciòsignificacheleregistrazionidevonoesserecompletediriferimentitemporalicertiedelladescrizionedell’eventochelehagenerate.



10/16

6. L’approccio normativo ai reati informatici

Lasicurezzadiunsistemainformaticoèunconcettostrettamentelegatoaquellogiuridicodi sicurezza informatica: comprende, cioè, quel complesso di accorgimenti tecnici e organizzativi che mirano a tutelare i beni giuridici della confidenzialità (o riservatezza), dell’integrità e della disponibilità delle informazioni registrate.

Nell’adottare una normativa finalizzata a regolare i comportamenti socialmente dannosi opericolosiconnessiall’utilizzodellenuovetecnologiedell’informazione,illegislatoreitalianosièmossoconuncertoritardorispettoaquantoavvenutoinaltriStati,siaeuropei(Danimarca,Norvegia, Austria, Francia) sia extraeuropei (Canada, Stati Uniti, Australia, Giappone).È solocon l’approvazionedella legge23dicembre1993n.547, rubricata“Modificazionied integrazioni alle norme del codice penale e del codice di procedura penale in tema dicriminalitàinformatica”,cheèstatofattountentativoorganicodiriordinareinunamateriachefinoaquelmomentoerastataoggettodisporadiciinterventisettoriali.

Intemadicriminalitàinformatica,nonostanteimoltiannitrascorsidallasuaentratainvigore,lalegge547/1993conservatuttoraunruolocentrale.Comesievincedaltitolodellalegge,perregolamentarelamateriasièsceltalaviadiapportarenumerosemodificheeintegrazionialla normativa del codice penale e di procedura penale per ricomprendere nel suo campoladiversificatacasisticadeifenomenichecaratterizzanol’implementazionedelletecnologiedell’informazione.Vediamo ora quali sono stati gli elementi di novità più significativi diquestointervento:

1 le frodi informatiche, che, rispetto a quelle tradizionali, si caratterizzano per il fattodiessere realizzatepermezzodi strumenti informatici; il tipicoesempioèquellodellamanipolazione finalizzataaprocurarsiunillecitoarricchimentointerferendoabusivamentenell’elaborazionedidatirilevantisulpianoeconomicoefinanziario(sipensiallagestioneinformaticadellacontabilitàdiun’aziendaodellamovimentazionedeicontideiclientidiunabanca);percombatterequesteformediimpiegofraudolentodellanuovatecnologiaèstatainseritanelcodicepenaleunanuovafiguradireato,lafrodeinformatica(art.640terc.p.),modellatasullafalsarigadellatruffa(art.640c.p.);

2 ledisposizionisullafalsificazionedidocumentipubblicieprivativengonoesteseancheatuttiicasiincuil’oggettodifalsificazionesiaundocumento informaticointesocome“qualunquesupportoinformaticocontenentedatioinformazioniaventiefficaciaprobatoriaoprogrammispecificamentedestinatiadelaborarli”(art.491bisc.p.);

3 leaggressioniall’integritàdeidatiedeisistemivengonosanzionatesiapermezzodellanuovafattispeciedidanneggiamento di sistemi informatici e telematici(art.635bisc.p.),siaprevedendoilreatodidiffusione di programmi diretti a danneggiare o interrompere un sistema informatico(art.615quinquiesc.p.),cherientratrai“delitticontrol’inviolabilitàdeldomicilio”emiraacolpireilfenomenodelladiffusionedeivirus;

4 leaggressioniallariservatezzadeidatiedellecomunicazioniinformatiche,chesonooggetto di tutte quelle disposizioni introdotte nel codice penale per reprimere diverseformediintrusionenellasferaprivataaltrui:– l’accessoabusivoaunsistemainformaticootelematico(art.615terc.p.);– ladetenzioneediffusioneabusivadeicodicidiaccessoasistemiinformatici(art.615

quaterc.p.);– l’intercettazione, impedimentoo interruzionee falsificazione (artt. 616,617quater,

617quinquies,617sexies c.p.).

Apropositodelprecedentepunto4cipareinteressanteosservareche,nonacaso, la legge547/1993hainseritol’art.615terc.p.traidelitticontrol’inviolabilitàdeldomicilio:inquestaaccezione il sistema informatico costituisce, rispetto alla persona, una sorta di espansione



11/16

della sua soggettività: chi si introduce clandestinamente all’interno dell’abitazione altruicommette,comunque,ildelittodiviolazionedidomicilioanchesedimostrachenonavevaalcunaintenzionedirubare.

6.1 I reati informatici: la prospettiva europeaL’Unioneeuropeahadasempreprofusoenergieerisorsealfinedicontrastarel’utilizzodiInternetperladiffusionedicontenutipericolosioilleciti,tutelarelaproprietàintellettualeegarantirelaprotezionedeidatipersonali,dareimpulsoall’e-commercerendendoletransazionionlinefaciliesicure(firmaelettronica).

LacomunicazionedellaCommissionealConsiglioealParlamentoeuropeo─COM(2000)890 ─ del 26 gennaio 2001, che si intitola “Creare una società dell’informazione sicuramigliorando la sicurezza delle infrastrutture dell’informazione e mediante la lotta allacriminalitàinformatica”,delinealepossibiliformediunapoliticacomunepermigliorarelasicurezzadeisistemiinformativiereprimereicriminiinformatici.

La comunicazione citata si rivela particolarmente interessante perché nel circoscrivere lamateriadicui trattaci fornisceunaseriedi importantidefinizionidei fenomenichevannosottoilnomedireatiinformatici(cyber crime).Inprimoluogoiltestoinoggettospecificacheconl’espressione“reaticonnessi,insensolato,aisistemiinformatici”sivuoleintendere“ogni reato che comporti il ricorso alle tecnologie dell’informazione”; successivamente ildocumentointroduceun’importantedistinzionetra:n reatiinformaticispecificiche,inquantotali,rendononecessariol’aggiornamentodelle

definizioniriportateneicodicipenalinazionali;n reati di tipo convenzionale perpetrati con l’ausilio delle tecnologie informatiche –

peres. icasi incui“Internetviene impiegatopercommetterereaticontro lanormativadoganale, quali il contrabbando, la contraffazione, ecc.” – che si possono contrastareefficacementepermezzodiunmaggiorlivellodicooperazionetragliStatielamessaapuntodimigliorimisureprocedurali.

Nell’osservare che nei diversi Stati membri sono stati adottati numerosi atti normativiriguardantiquestamateria,laCOM(2000)890sottolineavachealivellodiUnioneeuropea(a parte una decisione del Consiglio relativa alla pornografia su Internet) non esistevano, fino al momento della sua redazione, strumenti legislativi atti a disciplinare direttamente le violazioni connesse ai sistemi informatici,machepiuttostoinquestoambitosipotevacontaresunumerosistrumentilegislativiindirettamentepertinenti.

Vediamooraqualisono,secondoquestacomunicazione,leprincipaliquestionidisciplinatedallalegislazioneinmateriadireatiinformaticispecificialivellodiUnioneeuropeaodeisingoliStatimembri.n Reati contro la riservatezza:numerosiStatihannointrodottonormepenalicheaffrontano

gli illeciti attinenti la raccolta, la memorizzazione, l’alterazione, la divulgazione ediffusionedidatipersonali;alivellodiUnioneeuropea,sonostateadottateduedirettive(direttiva 95/46/CE e direttiva 97/66/CE) che ravvicinano le disposizioni nazionali inmateriadituteladellariservatezzaconriguardoaltrattamentodeidatipersonali;inoltre,ildirittofondamentaleallariservatezzaequelloallaprotezionedeidatisonosancitidallaCartadeidirittifondamentalidellaUe(art.8).

n Reati relativi ai contenuti: per contrastare la diffusione, soprattutto via Internet, dipornografia(inparticolareinfantile),affermazionirazzisteealtricontenutiviolentiecc.laCommissionehasceltodisostenereilseguenteprincipio:ciòcheèillecitooffline,dovrebbeesseretaleancheonline;diconseguenza,l’autore o il fornitore dei contenuti illeciti può essere chiamato a risponderne in sede penale. Invece, la questione dellaresponsabilitàdei fornitoridiservizichefungonoda intermediari, lecui retioservervengonoutilizzatiper la trasmissioneo lamemorizzazionedi informazioni relativeaterzi,èstataaffrontatadalladirettiva2000/31/CE,notacome“Direttivasulcommercioelettronico”,cheintervienesullaresponsabilitàdeiprestatoridiserviziintermediaripertaluneloroattività,vietandoagliStatimembridiimporreataliprestatoriintermediaridi



12/16

servizil’obbligogeneraledicontrollareleinformazionidaessitrasmesseomemorizzate.n Reati contro il patrimonio, accesso non autorizzato e sabotaggio: molti Paesi hanno

introdottonormerelativeaireaticontroilpatrimoniospecificamenteconnessiaglistrumentiinformaticiehannodefinitonuovefattispecielegateall’accessononautorizzatoaisistemiinformatici (peres.pirateria,sabotaggiodielaboratoriediffusionedivirus,spionaggioinformatico,falsificazioneinformaticaefrodeinformatica)enuovemodalitàdiviolazione(adesempio,manipolazionidielaboratoriinvecediinganniadannodiindividui).

n Reati contro la proprietà intellettuale: sonostateadottateduedirettive,relativeallatutelagiuridicadeiprogrammiperelaboratoreedellebanchedati:ladirettiva91/250/CEEdelConsiglio,del14maggio1991,periprogrammiperelaboratore(G.U.legge17maggio1991n.122)eladirettiva96/9/CEdelParlamentoeuropeoedelConsiglio,dell’11marzo1996,perlebanchedidati(G.U.legge27marzo1996n.77),chetrattanodirettamentedi temi inerenti alla “società dell’informazione” e stabiliscono i casi in cui è previstal’adozionedisanzioni.

Perlequestionirelativealdirittod’autorerimandiamoalprossimoparagrafo,mentreperoraci sembrapiù interessantespenderequalcheparolasuunaltrodei fenomenidescrittidallacomunicazione: la crescente importanza commerciale di Internet ha fatto emergere nuovecontroversielegateainomididominio,inparticolare:– laregistrazioneabusivadinomididominio(cybersquatting);– l’accumulazioneafinispeculatividiungrannumerodinomididominio(warehousing);– lariattribuzionecontroversadinomididominio(reverse hijacking,fenomenopercuile

impresedimaggioridimensionisottraggonoinomididominioaconcorrentipiùpiccoli).

7. La tutela giuridica dei programmi per elaboratore e delle banche dati

Inattuazionedelladirettiva91/250/CEE,cuiabbiamoaccennatonelparagrafoprecedente,illegislatoreitalianohaprovvedutoagarantirelatuteladelsoftwareconild.lgs.29dicembre1992n.518chemodificalaleggesuldirittod’autore(legge633/1941)facendorientrareancheilsoftware(programmiperelaboratore)nell’ambitodelleoperedell’ingegno;inquestomodosièpotutoestendereancheachielaborasoftwareladuplicetutelaprevistadallalegge633/1941:quelladeldiritto adesserericonosciutocomeautoredell’operad’ingegno(diritto morale)equelladeldirittoesclusivoallosfruttamentoeconomicodell’opera(diritto patrimoniale).

Successivamente,lalegge18agosto2000n.248,rubricata“Nuovenormedituteladeldirittod’autore”,ha introdottoulteriorimodifichemiratea rafforzare laprotezionedeicreatoridisoftware rendendopiùefficaci lemisurediprevenzionee le sanzioniper leviolazionideidirittisulsoftwarealfinedicontrastareilfenomenodilagantedellapirateria.

Da ultimo, il d.lgs. 9 aprile 2003 n. 68 rappresenta il completamento di un processo diadeguamentodelleleggiallemutatecondizioni,incuivengonodateaimagistratimaggioripossibilità di applicare la normativa anche a casi completamente nuovi, a seguito delladiffusione sempremaggiore di banche dati e Internet. In particolare vengono chiariti conmaggiorprecisione iconcettidi“diffusione”,“distribuzione”e“riproduzione” inmododaprevedereilconcettodidownloaddifile.

7.1 Scambiare file in reteIlpeer-to-peer(abbreviatop2p)èunatecnologiacheconsenteadiversicomputerdipotersicollegaretralorosenzapassaredaunservercentrale,realizzandolacondivisionedirettadifile(anche,esoprattutto,difilemusicaliefilm)nellacomunitàdelWeb.Etuttociòsipuòrealizzaresemplicemente installandosulpropriocomputerunsoftware,chesipuòreperirein rete anche gratuitamente. L’assenza del server centrale ha di fatto trasformato il file sharing,ovvero loscambiodifilepermezzodiprogrammipeer-to-peer, inun’opportunitàpercostruireun’enormeretediconoscenzecondivise.Datochesoloconmoltedifficoltàèpossibilecontrollarequestapraticadimassa,ilfile sharingpuòanchediventareunsistema



13/16

truffaldino per aggirare le norme sul copyright favorendo l’instaurarsi di un’incontrollata“terradinessuno”.Èquindibuonanormaprestareattenzioneaciòchesicondivideinreteconiprogrammipeer-to-peerpernonviolareleleggisulcopyright.

Lanormativaitalianasulpeer-to-peerèlalegge21maggio2004n.128,chehaconvertitoild.l.72marzo2004n.72edèpiùnotacomeleggeUrbanidalnomedelsuopreponente,l’alloraministroperibeniculturali.Nell’ambitodiuninsiemeeterogeneodimisuresulfinanziamentodiattivitàcinematograficheesportive,ilprovvedimentocontieneanchenormeriguardantiladistribuzionedioperecopertedaldirittod’autoreattraversoilcosiddettopeer-to-peerestendendocosìlatuteladellanormativasuldirittod’autoreanchealleopereeditesusupportoelettronicoescambiateinrete.Sullabasedelladisciplinanormativaoggiinvigore,chiunqueeffettuiildownloaddiun’operaprotettaelamettaincondivisionecommetteunillecitopenale(cosìl’art.171,lett.abis,l.aut.).Lanormaèchiarissima:èpunitochiunquelofaccia“senza averne diritto, a qualsiasi scopo e in qualsiasi forma”.Lapenaprevistaèunamultada51a2.065euro,maèpossibileevitareilprocessopenalepagandolametàdelmassimoprevisto(quindicirca1.000euro)elespesedelprocedimento.Iprogrammidip2ppiùdiffusimettonoautomaticamenteincondivisioneunfilementrequestovienescaricato,percuisevieneeffettuatoildownloaddimaterialeprotettodadirittod’autoremedianteunodiessisiconcretizza la fattispeciepenale. Inoltre, laviolazionedelsuddettoarticolocomportaaltresìl’irrogazionediunasanzioneamministrativaparialdoppiodelprezzodimercatodell’operaodelsupportooggettodellaviolazione(art.174bisl.aut.),madettacifranonpuòesseremaiinferiorea103euro.Tuttiibranicopertidacopyright,qualunquesiailloroformato(quindianchemp3)eilmezzodidistribuzione(quindiancheInternet),sonotutelatidallaleggesuldirittod’autore(legge22aprile1941n.633).Sullabasediquantoprevistoda tale legge,con le suesuccessive integrazioniemodificherelativamente alla diffusione della musica via Internet (principalmente tramite mp3), sipossonoriassumereitrattiprincipalidellanormativainmateriacomesegue.Èpermesso:n scaricaresoftwarediletturaecodificamp3;n scaricarebranimusicalidiffusidagliautori;n crearemp3perusopersonaledauncdacquistatoregolarmentedallastessapersona;n creare cd audio da file mp3 scaricati, a condizione che i file siano stati diffusi con

l’autorizzazionedell’autore.Nonèpermesso:n diffondereglimp3prendendoilmaterialedallapropriaraccoltapersonale;n piùingeneralediffonderemp3senzaesplicitaautorizzazionedell’autore;n scaricarefilemp3creatidaaltriutenti.

8. L’ultima frontiera dello shopping: l’e-commerce

Il termine commercio elettronico (e-commerce) si riferisce alle transazioni commerciali, effettuate sia da società sia da privati e basate sulla trasmissione di dati digitali, compreso testo, suono e immagini.Generalmentesidistingueilcommercio elettronico direttodaquelloindiretto.n Conilprimoterminesiindicaqueltipoditransazioneincuituttelefasiavvengonoon

line;dall’ordinealpagamento,allaconsegna,tuttoavvieneinmanieraelettronica.Sitrattadicessionedibeni“digitali”,comeades.software,filmatidigitali,dischiocanzoni informatodigitale,maanchediqueiservizichevengonofornitidirettamenteviaInternet,comeades.iserviziinformativi,legali,dibanking,igiochionline.

n Conilsecondoterminesiindica,invece,latransazioneincuilafasepreliminaredell’ordineeilpagamentoavvengonoelettronicamente,mailbenecedutovienepoiinviatofisicamentealdomiciliodell’acquirente.Sitrattaingeneredibenitradizionali,comelibri,cibo,vinoelavenditapresentaqualcheaffinitàconlavenditapercorrispondenza.

Lapossibilitàdigarantireunaumentatolivellodisicurezzadelletransazionisièdimostrata



14/16

il fattore decisivo per lo sviluppo di questo canale commerciale.Anche in questo ambito,affrontareiltemadellasicurezzasignificaprimadituttogarantire:n lasicurezzadeidati,cioèregolareiltrattamentodiquelle“inevitabilitracce”chel’utente

lasciaogniqualvoltaeffettuaunacquistoperviatelematica;siamoquindinellasferadellatuteladeidatipersonali,dicuiabbiamogiàparlato;

n lasicurezzadeipagamenti,cioèiproblemiconnessiall’autenticazione,altrasferimentoeallaconservazionedeidatirelativiallecartedicredito.

Conlosviluppodell’e-commercesisonodiffusetruffesemprepiùinsidiose,checolpisconoprincipalmentegliacquirenti.Iprincipalicasisono:n lavendita di prodotti da siti civetta:al ricevimentodelpagamentononviene inviata la

merceoppurelaspedizionevienesolamentesimulata;n larealizzazione di siti clonaticonlafinalitàdirubareinformazioniqualiilcodicedella

cartadicredito;n il caso di aziende in dissesto economico, che giocano la carta di accumulare ordini e

incassarepagamenti,purnonavendolapossibilitàdievaderli.

Il successodel commercio elettronicoè strettamente collegato allapossibilitàdi effettuaretransazioni sicure in rete. Particolare attenzione deve essere posta alle transazioni di tipobusiness-to-business.Loscenariodiriferimento,inunambientedicommercioelettronicoconsistemidipagamentoonline,èquelloincuiunacquirente,connessoaInternetdauncomputerremoto,accedeaunnegoziovirtuale suun sito Internet. Il gestoredelnegozioon line, ricevuto l’ordinediacquisto,deverichiederel’autorizzazioneperprocedereconilpagamento.Leparticoinvolteinunatransazionecommercialeincuiilpagamentoavvieneconcartadicreditosonoquindibenpiùdelledueipotizzabili:n iltitolaredellacarta(acquirente);n chivendeilbene/servizio(venditore);n l’ente finanziarioacuiilvenditoresiappoggia;n ilgatewaydipagamento,cioèilsoftwarechegestiscelatransazione;n lasocietàchehaemessolacartadicredito(società emittente);n leauthoritycompetentialrilasciodelcertificatodigitale.

9. Commercio elettronico: la normativa italiana nella cornice europea

InItaliailcommercioelettronicoèregolamentatodald.lgs.70/2003,attuativodelladirettivaeuropeasulcommercioelettronico,edald.lgs.206/2005,notocomecodicedelconsumo(inparticolare,gliartt.50-67,suicontrattiadistanzaesulrecesso,gliartt.67bis-67vicies bis,suiservizifinanziariadistanza,nonché,piùingenerale,gliartt.18-27quatersullepratichecommercialiscorrette).

9.1 L’attuazione della direttiva europeaAllo scopo di superare i limiti conseguenti al mancato contatto fisico tra venditore (prestatore) e consumatore,offrendoaquest’ultimolapossibilitàdivenireaconoscenzaditutte lenotizienecessarieper individuareconesattezza l’altrocontraente, ild.lgs.70/2003(in attuazionedelladirettiva2000/31/CE relativa a taluni aspetti giuridicidei servizidellasocietàdell’informazione,inparticolareilcommercioelettronico,nelmercatointerno)siponel’obiettivodigarantireaidestinatarideibenieservizicommercializzationlinelamassimatrasparenza. Esso stabilisce per il prestatore, cioè per il soggetto che vende, l’obbligo direndere facilmente accessibili, in modo diretto e permanentele seguenti informazioni:n ilnome,ladenominazioneolaragionesociale;n ildomicilioolasedelegale;n gli estremi che permettono di contattare rapidamente il prestatore e di comunicare

direttamenteedefficacementeconlostesso,compresol’indirizzodipostaelettronica;n ilnumerodi iscrizionealRepertoriodelleattivitàeconomiche (Rea)oal registrodelle

imprese;



15/16

n glielementidiindividuazione,nonchégliestremidellacompetenteautoritàdivigilanzaqualoraun’attivitàsiasoggettaaconcessione,licenzaoautorizzazione;

n ilnumerodellapartitaIvaoaltronumerodiidentificazioneconsideratoequivalentenelloStatomembro,qualorailprestatoreesercitiun’attivitàsoggettaaimposta;

n l’indicazione,inmodochiaroeinequivocabile,deiprezziedelletariffedeidiversiservizidellasocietàdell’informazioneforniti,evidenziandosecomprendonoleimposte,icostidiconsegnaealtrielementiaggiuntividaspecificare;

n l’indicazionedelleattivitàconsentiteal consumatoreealdestinatariodel servizioegliestremidelcontrattoqualoraun’attivitàsiasoggettaadautorizzazioneo l’oggettodellaprestazionesiafornitosullabasediuncontrattodilicenzad’uso.

Analogamentesonostatepuntualmentedisciplinatelediversefasidell’accordocontrattualee,pertanto,ilprestatoreètenutoafornirealconsumatoreleseguentiinformazioni:n idiversipassaggitecnicidaseguireperlaconclusionedelcontratto;n ilmodoincuiilcontrattoconclusosaràarchiviatoelerelativemodalitàdiaccesso;n imezzitecnicimessiadisposizionedeldestinatarioperindividuareecorreggereglierrori

diinserimentodeidatiprimadiinoltrarel’ordinealprestatore;n glieventualicodicidicondottacuiaderisceecomeaccederviperviatelematica;n lelingueadisposizioneperconcludereilcontrattooltreall’italiano;n l’indicazionedeglistrumentidicomposizionedellecontroversie.

Le clausole e le condizioni generali del contratto proposte al destinatario (consumatore/acquirente) devono essere messe a sua disposizione in modo che gli sia consentita lamemorizzazioneelariproduzione.Lenormesullaconclusionedeicontrattiofflinesiapplicanoanche al commercio elettronico. Il prestatore (venditore) deve, inoltre, senza ingiustificatoritardo e per via telematica, emettere ricevuta dell’ordine del destinatario contenente unriepilogodellecondizionigeneralieparticolariapplicabilialcontratto,leinformazionirelativeallecaratteristicheessenzialidelbeneodelservizioel’indicazionedettagliatadelprezzo,deimezzidipagamento,dellemodalitàdirecesso,deicostidiconsegnaedeitributiapplicabili.Ilconsumatorenonèobbligatoincasodifornituranonrichiestael’assenzadirispostanonequivaleinalcunmodoallaprestazionedelconsensodapartedelconsumatore.

9.2 Il codice del consumo: il diritto di recessoNel2005,dopoparecchiannidipreparazione,granpartedeiprovvedimenticheeranostatiadottatidal legislatore italianoalfinedi recepire lenormeeuropee inmateriadi tuteladelconsumatoresonostatiriorganizzatiinuntestounicointitolatocodice del consumo(d.lgs.6settembre2005n.206).

L’entratainvigoredelcodicedelconsumohasegnatounsignificativopassoinavantinellatutela del consumatore anche nell’ambito del commercio elettronico perché ha sancitoildirittodi recesso,applicabile a tutti i contratti conclusi a distanza e, quindi, anche ai contratti conclusi mediante Internet.Ilconsumatoreha,quindi,ildirittodirecedere liberamente daqualunque contratto a distanza, senza alcuna penalità e senza specificarne il motivo, entroilterminedidieci giorni lavorativi chedecorrono,secondoicasi, dalla data: n di sottoscrizione dell’ordine;n di consegna del prodotto.

Altro principio molto importante è che le forniture non richieste costituiscono pratiche commerciali scorrette,inquantotalivietateepuniteaisensidegliartt.18-27quaterdelcodicedelconsumo.



16/16

Riferimenti bibliografici

Centro di doCumentazione l’altro diritto - dipartimento di teoria e storia del diritto università di Firenze

L’approccio normativo alla criminalità informaticahttp://www.altrodiritto.unifi.it/index.htm http://www.altrodiritto.unifi.it/ricerche/devianza/tavassi/cap3.htm

movimento Consumatori regione veneto, Il commercio elettronico. Acquistare in Internet senza troppe sorprese

garante per la protezione dei dati personali, Faq su “amministratore di sistema” e “access log”

giovanni gioFFré,Il Garante della privacy e l’amministratore di sistema,Altalex,21ottobre2009

Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al comitato delle regioni. Creare una società dell’informazione sicura migliorando la sicurezza delle infrastrutture dell’informazione e mediante la lotta alla criminalità informaticaCOM(2000)890,26gennaio2001

l. BoBBio, e. gliozzi, l. lenti,Introduzione al diritto e diritto civile,MondadoriEducation,2011


Diritto e informatica - AN-Light · Diritto per il secondo biennio 1/16 Sicurezza dei sistemi...

Documents

Transcript of Diritto e informatica - AN-Light · Diritto per il secondo biennio 1/16 Sicurezza dei sistemi...