HACKING: LE LEGGI CHE IL GIORNALISTA

DEVE CONOSCERE

Avv. Daniele Loglio

La sicurezza rappresenta sempre un costo certo a fronte di un rischio potenziale, ma è ormai chiaro che il rischio cyber è a livelli mai raggiunti prima.

Un’azienda può essere un target interessante qualora:1) possiede proprietà intellettuale/know how che deve rimanere riservato e memorizza su dispositivi informatici tali informazioni (disegni industriali, piani di sviluppo di prodotti, informazioni relative a processi e dinamiche interne, anche all’interno di messaggi email o di testo, business plan, prototipi software/hardware)2) ha clienti ai quali fornisce servizi o prodotti che potrebbero risentire, in qualità o disponibilità, nel caso in cui i sistemi dell’azienda fossero resi indisponibili oppure fossero controllati da attaccanti3) ha una presenza su internet e offre servizi via web (es. fa business online, shop online, ecc.)4) è in possesso di dati personali relativi a dipendenti e/o clienti5) ha stipulato accordi di riservatezza con clienti/fornitori6) gestisce dati sensibili per conto di altre imprese (clienti o fornitori)7) i prodotti (hardware/software/servizi) dell’azienda potrebbero essere installati in ambienti sensibili (es. IoT) oppure eventuali manipolazioni dei prodotti potrebbero causare danni a terzi

Con il decreto legislativo del 17 febbraio 2017 il nostro Paese ha riorganizzato la propria architettura di sicurezza per la protezione dello spazio cibernetico nazionale, concentrando la responsabilità di governo all’interno del Dipartimento per le Informazioni e la Sicurezza (DIS).

Circolare dell’Agenzia per l’Italia Digitale del 17 marzo 2017 n. 1 - “Misure minime di sicurezza ICT per le pubbliche amministrazioni” - impone l’adozione di standard minimi di prevenzione e reazione ad eventi cibernetici.

Direttiva (UE) 2016/1148 del 6 luglio 2016

«misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione».

Conosciuta come “Direttiva NIS” (maggio 2018)

Best practice

• 1 Esista e sia mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Solo l’utilizzo dei sistemi inventariati dovrebbe essere autorizzato.

• 2 I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc.) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.

• 3 Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.

• 4 È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

• 5 Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.

• Gli aspetti legali relativi al trattamento dati personali e agli obblighi riguardanti la tutela della privacy, unitamente agli adempimenti procedurali e alla prescrizione delle misure minime di sicurezza, da applicarsi prevalentemente all’ambito della sicurezza cibernetica, sono contenuti nel D. Lgs. n. 196 del 30 giugno 2003, meglio conosciuto come ’Testo Unico in materia di dati personali", o “Codice della Privacy".

• Come specificato nell’Allegato B del Codice, il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

• a) Utilizzo di un sistema di autenticazione informatica, tramite l’assegnazione di credenziali di autenticazione -delle quali deve essere assicurata la segretezza - e l’adozione di procedure per la custodia dei dispositivi di accesso e delle copie di sicurezza, al fine di garantire il ripristino della disponibilità dei dati e dei sistemi.

• b) Utilizzo di un sistema di autorizzazione, attraverso la limitazione dell’accesso ai soli dati necessari per effettuare le operazioni di trattamento, l’individuazione di profili di autorizzazione e la verifica periodica delle condizioni di sussistenza per la conservazione di tali profili di autorizzazione.

• c) Altre misure di sicurezza, come la redazione di una lista degli incaricati per classi omogenee di incarico e dei relativi profili di autorizzazione, il salvataggio dei dati con frequenza almeno settimanale e l’aggiornamento periodico dei programmi volti a prevenire la vulnerabilità degli strumenti elettronici.

• d) Ulteriori misure in caso di trattamento di dati sensibili o giudiziari, dei quali devono essere garantiti il ripristino e l’accesso in caso di danneggiamento e che vanno protetti mediante l’utilizzo di idonei strumenti elettronici e adeguate procedure relative alla custodia e all’accesso da parte di incaricati non direttamente autorizzati.

• e) Misure di tutela e garanzia, che prevedono la possibilità di avvalersi di soggetti esterni alla propria struttura, che attestino la conformità alle disposizioni sopra descritte.

Il nuovo Regolamento europeo in materia di protezione dei dati personali (General Data Protection Regulation - GDPR, Regolamento UE 2016/679), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 ed entrato in vigore il 24 maggio 2016, sostituirà il CdP.

• 6 Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, anti-malware, ecc...) regolarmente aggiornato.

• 7 Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).

• 8 Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.

• 9 Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

• 10 Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, etc.). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

• 11 La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.

• 12 Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda. I backup sono conservati in modo sicuro e verificati periodicamente.

• 13 Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es. Firewall e altri dispositivi/software anti-intrusione).

• 14 In caso di incidente (es. sia rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

• 15 Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

• Dispositivo dell'art. 615 bis Codice Penale• (1) Chiunque, mediante l'uso di strumenti di ripresa visiva o sonora,

si procura indebitamente (2) notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell'articolo 614, è punito con la reclusione da sei mesi a quattro anni.

• Alla stessa pena soggiace, salvo che il fatto costituisca più grave reato, chi rivela o diffonde (3), mediante qualsiasi mezzo di informazione al pubblico, le notizie o le immagini ottenute nei modi indicati nella prima parte di questo articolo.

• I delitti sono punibili a querela della persona offesa; tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o servizio, o da chi esercita anche abusivamente la professione di investigatore privato (4).

• Dispositivo dell'art. 615 ter Codice Penale• (1) Chiunque abusivamente si introduce in un sistema informatico o telematico (2) protetto da

misure di sicurezza (3) ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

• La pena è della reclusione da uno a cinque anni:• 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con

abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

• 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

• 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

• Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

• Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.

• Dispositivo dell'art. 615 quater Codice Penale• (1) Chiunque, al fine di procurare a sé o ad altri un profitto o di

arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo (2) , è punito con la reclusione sino a un anno e con la multa sino a cinquemilacentosessantaquattro euro.

• La pena è della reclusione da uno a due anni e della multa da cinquemilacentosessantaquattro euro a diecimilatrecentoventinoveeuro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617quater.

• Dispositivo dell'art. 615 quinquies Codice Penale

• (1) Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici (2) , è punito con la reclusione fino a due anni e con la multa sino a euro 10.329.

• Dispositivo dell'art. 616 Codice Penale• Chiunque prende cognizione (1) del contenuto di una corrispondenza

chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prender cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime (2), è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da trenta euro a cinquecentosedici euro.

• Se il colpevole, senza giusta causa (3), rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni [618](4).

• Il delitto è punibile a querela della persona offesa.• Agli effetti delle disposizioni di questa sezione, per "corrispondenza"

s'intende quella epistolare, telegrafica o telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza (5).

• Dispositivo dell'art. 617 bis Codice Penale• (1)Chiunque, fuori dei casi consentiti dalla legge [c.p.p. 266-

271], installa apparati, strumenti, parti di apparati o di strumenti al fine di intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche tra altre persone è punito con la reclusione da uno a quattro anni (2).

• La pena è della reclusione da uno a cinque anni se il fatto è commesso in danno di un pubblico ufficiale nell'esercizio o a causa delle sue funzioni ovvero da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o servizio o da chi esercita anche abusivamente la professione di investigatore privato (3).

• Dispositivo dell'art. 617 ter Codice Penale• (1)Chiunque, al fine di procurare a sé o ad altri un vantaggio o di

recare ad altri un danno, forma falsamente, in tutto o in parte, il testo di una comunicazione o di una conversazione telegrafica o telefonica ovvero altera o sopprime, in tutto o in parte, il contenuto di una comunicazione o di una conversazione telegrafica o telefonica vera, anche solo occasionalmente intercettata, è punito, qualora ne faccia uso o lasci che altri ne faccia uso, con la reclusione da uno a quattro anni.

• La pena è della reclusione da uno a cinque anni se il fatto è commesso in danno di un pubblico ufficiale nell'esercizio o a causa delle sue funzioni ovvero da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o servizio o da chi esercita anche abusivamente la professione di investigatore privato

• Dispositivo dell'art. 617 quater Codice Penale• (1)Chiunque fraudolentemente intercetta comunicazioni relative a un sistema

informatico o telematico o intercorrenti tra più sistemi (2), ovvero le impedisce o le interrompe (3), è punito con la reclusione da sei mesi a quattro anni.

• Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma (4).

• I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

• Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:

• 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;

• 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;

• 3) da chi esercita anche abusivamente la professione di investigatore privato.

• Dispositivo dell'art. 635 bis Codice Penale• (1)Salvo che il fatto costituisca più grave reato,

chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui (2) è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.

• Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni.

Ricettazione

• Dispositivo dell'art. 648 Codice Penale• Fuori dei casi di concorso nel reato [110] (1), chi, al fine di procurare a sé o

ad altri un profitto (2), acquista, riceve od occulta denaro o cose provenienti da un qualsiasi delitto, o comunque si intromette nel farle acquistare, ricevere od occultare(3), è punito con la reclusione da due ad otto anni e con la multa da cinquecentosedici euro a diecimilatrecentoventinove euro [709, 712]. La pena è aumentata quando il fatto riguarda denaro o cose provenienti da delitti di rapina aggravata ai sensi dell'articolo 628, terzo comma, di estorsione aggravata ai sensi dell'articolo 629, secondo comma, ovvero di furto aggravato ai sensi dell'articolo 625, primo comma, n. 7-bis) (4).

• La pena è della reclusione sino a sei anni e della multa sino a cinquecentosedici euro, se il fatto è di particolare tenuità [62 n. 4, 133] (5).

• Le disposizioni di questo articolo si applicano anche quando l'autore del delitto, da cui il denaro o le cose provengono, non è imputabile [85] o non è punibile [379, 649, 712] ovvero quando manchi una condizione di procedibilità riferita a tale delitto.

• Dispositivo dell'art. 110 Codice Penale

Quando più persone (1) concorrono nel medesimo reato (2) (3) (4), ciascuna di esse soggiace alla pena per questo stabilita (5), salve le disposizioni degli articoli seguenti.