Responsabilità e conseguenze di un attacco

informatico [ estratto ]

Convegno CONFAPINDUSTRIA Piacenza

«Gli attacchi informatici: quale prevenzione e protezione?»

Piacenza, 27 ottobre 2016

Avv. Andrea Maggipintowww.maggipinto.eu

Agenda

Scenario (in evoluzione)

Patrimonio informativo e PMI

Cyber crime

Livelli di protezione e controllo

(fonte: QMEE.COM)

Agenda digitale per l'Europa

L’Agenda Digitale per l'Europa, presentata dalla Commissione europea nel

maggio 2010, è la prima di sette iniziative della strategia «Europa 2020».

L’Agenda Digitale si articola su 7 aree prioritarie e 101 azioni, ognuna delle quali

ha dato o darà luogo a una specifica misura (legislativa o non legislativa) volta a

sfruttare al meglio il potenziale delle tecnologie attraverso la creazione di un

“mercato unico digitale” che favorisca l’innovazione e la crescita economica.

1. Creare un nuovo e stabile quadro normativo per quanto riguarda la banda

larga

2. Nuove infrastrutture per i servizi pubblici digitali attraverso prestiti per

collegare l'Europa

3. Avviare una grande coalizione per le competenze digitali e per

l'occupazione

4. Aggiornare il framework normativo dell'UE sul copyright

5. Accelerare il cloud computing attraverso il potere d'acquisto del settore

pubblico

6. Lancio di una nuova strategia industriale sull'elettronica

7. Proporre una strategia per la sicurezza digitale dell'UE

The Global Risks Report 2016 (11th Edition)

The Global Risks Report 2016 (11th Edition)

Consapevolezza

Ricerca condotta da Cyber Aware (già “Cyber Streetwise”) nel 2015:

«SMEs are putting a third (32%) of their revenue at risk because they

are falling for some of the common misconceptions around cyber

security, leaving them vulnerable to losing valuable data and suffering

both financial and reputational damage».

26% wrongly believed that “only companies that take payments are

online are at risk of cyber crime”

22% wrongly believed that small companies “aren’t a target for

hackers”

66% of SMEs wrongly believed that their businesses is not

vulnerable to attack

Cyber crimes e PMI

Tipi di minacce

• Frodi

• Furto d’identità

• Furto di dati sensibili e di proprietà

intellettuale

• Spionaggio

• Sabotaggio

• Attacchi dimostrativi

• Estorsione

Tipi di attacco

• Hacking

• Spam

• Phishing

• Spear phishing

• Pharming

• Defacement

• DoS - DDoS

• Botnet

• Malware

• Social engineering

Tipi di attaccanti

• Crimine organizzato

• Insider

• Spie industriali

• Hacktivist

• Wannabe lamer

• Script kiddie

Reati informatici

Sistematica:

contro il patrimonio (frode informatica, danneggiamento

informatico)

contro la fede pubblica (falsità di documenti informatici)

contro la riservatezza e la sicurezza informatiche

(accesso abusivo ad un sistema informatico, detenzione

e circolazione abusiva di password e codici di accesso,

diffusione di virus, intercettazione di comunicazioni

telematiche, violazioni della corrispondenza informatica,

ecc.)

Accesso abusivo (art.615 ter cp)

• Principio del Domicilio Elettronico, ovvero di uno spazio non limitato dalla fisicità ma in qualche modo riconducibile ad un sistemainformatico o telematico

• L’accesso abusivo si produce in caso di accesso non autorizzato in un sistema protetto da misure di sicurezza. Se ne deduce che non vi sia violazione se l’accesso avviene in un sistema nonadeguatamente protetto

• L’accesso è abusivo se viola la volontà espressa o tacita di negarlo, per cui anche in caso di mancanza di rilevanti protezioni, se si evince l’intenzione di non rendere pubblico l’ingresso, l’intrusione puòessere punibile

• Non può essere condivisa la tesi secondo cui il reato si consuma nelluogo in cui è collocato il server che controlla le credenziali di autenticazione, in quanto, in ambito informatico, deve attribuirsirilevanza al luogo da cui parte il dialogo elettronico (Cassazionepenale, SS.UU., sentenza 24/04/2015 n° 17325)

Furto di identità

Fenomeno multiforme. Tipicamente tramite phishing (in questo caso

la più corretta qualificazione giuridica deve essere quella di cui all’art.

494 e 640-ter c.p.).

Art. 494 c.p. (Sostituzione di persona)

Cassazione, Sentenza nr. 12479 del 3 aprile 2012 «commette il reato di

sostituzione di persona chi apre e registra un account di posta

elettronica a nome di un’altra persona, ignara e realmente esistente»

Tribunale di Milano: il reato si perfeziona anche nel caso si finga di

essere una persona.. “immaginaria”

Art. 640 ter c.p. (Frode informatica)

Art. 640 c.p.: “artifizio o raggiro” (Truffa)

Danneggiamento informatico (art. 635 bis)

• Art. 635 bis c.p.: «Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altruiè punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se il fatto è commessocon violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni».

Del tutto irrilevante, ai fini della sussistenza del reato, il fattoche i file cancellati possano essere recuperati ex post attraverso una specifica procedura tecnico-informatica(Cass., Sez. V, 18 novembre 2011, n. 8555).

Falsificazione di documenti informatici (art.491bis)

Documento informatico (art. 1,lett. p, CAD): «rappresentazione

informatica di atti, fatti o dati giuridicamente rilevanti».

L’introduzione dell’art. 491 bis risponde alla necessità di assicurare una

sanzione penale alle diverse forme di falso informatico che non erano

riconducibili alle norme sui falsi documentali. Alla nozione “tradizionale”

di documento, infatti, il documento informatico risultava essenzialmente

estraneo.

L'archivio informatico dev'essere considerato alla stregua di un registro

(costituito da materiale non cartaceo) tenuto da un soggetto, pubblico o

privato. Nel caso un Pubblico Ufficiale, nell'esercizio delle sue funzioni

e facendo uso dei supporti tecnici della P.A., confezioni un falso atto

informatico destinato a rimanere nella memoria dell'elaboratore, integra

una falsità in atto pubblico, ininfluente restando la circostanza che non

sia stato stampato alcun documento cartaceo.

Reati rilevanti anche per la «231»

Art. 24bis - “Delitti informatici e trattamento illecito di dati”Art.615-ter c.p.: Accesso abusivo ad un sistema informatico o telematico

Art.615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o

telematici

Art.615-quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a

danneggiare o interrompere un sistema informativo o telematico

Art.617-quater: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche

o telematiche

Art.617-quinquies: Installazione di apparecchiature atte ad intercettare, impedire od

interrompere comunicazioni informatiche o telematiche

Art.635-bis: Danneggiamento di informazioni, dati e programmi informatici

Art.635-ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o

da altro ente pubblico o comunque di pubblica utilità

Art.635-quater: Danneggiamento di sistemi informatici o telematici

Art.635-quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità

(Art.640-ter: Frode informatica)

Art.640-quinquies: Frode informatica del soggetto che presta servizi di certificazione di firma

elettronica

Art.491-bis: Falsità di documenti informatici

Idoneità del “Modello 231”

Il requisito dell’idoneità è soddisfatto quando il modello

organizzativo contiene tutti gli elementi minimi essenziali

previsti dagli artt. 6 e 7 del D.Lgs. 231/2001:

Identificazione aree e attività “a rischio”

Predisposizione di protocolli e procedure per la formazione

e l’attuazione delle decisioni

Modalità di gestione delle risorse finanziarie

Obblighi di informazione e reporting all’O.d.V.

Verifica periodica ed eventuale modifica

Codice etico e sistema disciplinare sanzionatorio

Tutela legale dei beni intangibili

La conoscenza è valore

Segreto industriale: informazioni che devono rimanere

riservate

Know-How: conoscenze pratiche e saperi

Banche dati: insieme di dati/archivi collegati secondo un

modello logico

Invenzioni: conoscenza di nuovi rapporti causali per

l’ottenimento di un certo risultato riproducibile

Brevetto: il trovato o il processo innovativo suscettibile di

applicazione industriale

«Informazioni segrete»

Art. 98 CPI (Oggetto della tutela)

1. Costituiscono oggetto di tutelale informazioni aziendali e le

esperienze tecnico-industriali, comprese quelle commerciali,

soggette al legittimo controllo del detentore, ovetali informazioni:

a) siano segrete, nel senso che non siano nel loro insieme o

nella precisa configurazione e combinazione dei loro elementi

generalmente note o facilmente accessibili agli esperti ed agli

operatori del settore;

b) abbiano valore economico in quanto segrete;

c) siano sottoposte, da parte delle persone al cui legittimo

controllo sono soggette, a misure da ritenersi ragionevolmente

adeguate a mantenerle segrete […]

Condizione di accesso alla tutela

Onere di adottare misure “ragionevolmente adeguate” da parte

del soggetto al cui legittimo controllo le informazioni sono

soggette (titolare dell'impresa).

Valutare in concreto per graduare la scelta:

condizioni di conservazione/detenzione delle informazioni

modalità di utilizzo

soggetti che possono accedere alle informazioni

progresso/adeguamento tecnologico

altre misure di natura organizzativa o tecnologica già adottate

(misure di sicurezza privacy, policiesaziendali, ecc.)

misure di natura contrattuale

Misure preventive

Patto di non concorrenza e non sollicitation (art. 2125 Cod. Civ.)

[«key people»]

Patto di riservatezza / accordo di non divulgazione / non-disclosure

agreement definizione di “informazioni riservate”

durata

penali (i.e. sanzioni)

garanzia anche per fatto e obbligazione di terzo(art. 1381 c.c.)

giudice competente e legge applicabile

Policy aziendale

Misure di sicurezza (privacy)

Azioni a difesa

In sede civile:

• Ordinaria: inibitoria / risarcimento del danno /

pubblicazione della sentenza / retroversione degli utili

• Cautelare: descrizione / inibitoria / sequestro

In sede penale:

• Sanzioni penali (art. 513 e art. 622 Cod. Pen.)

• Altri reati informatici (tipicamente, accesso abusivo a

sistema informatico)

Caso d’uso

L’INSIDER

• Impresa editoriale

• Settore «peculiare»

• Sottrazione del patrimonio aziendale

Strumento di tutela

La c.d. «Descrizione giudiziale»

• Ai sensi degli artt. 161 della legge 633/1941 (LDA) e 129 del

D.Lgs.30/2005 (CPI), il titolare dei diritti può chiedere la descrizione

degli "oggetti costituenti violazione di tale diritto, nonché dei mezzi

adibiti alla produzione dei medesimi e degli elementi di prova

concernenti la denunciata violazione e la sua entità" (art. 129 CPI).

• finalità: acquisire la prova dell’illecito ed evitare che in futuro si possa

sostenere di non avere estratto e/o duplicato e/o riprodotto e/o rivelato

e/o acquisito e/o detenuto e/o comunque utilizzato le informazioni, il

know-how e le banche dati

Onere probatorio (da assolvere) riguardo:

• Segretezza

• Valore economico

• Idonee misure di “segregazione”

La “nuova” privacy

Nuovo Regolamento Generale 2016/679

- Privacy by Design

- Accountability (approccio sostanziale, non formalistico)

- Minimizzazione dei dati

- Conservare documenti sul “modello organizzativo e di sicurezzaprivacy”

- Diritto all’oblio

- Diritto dell’interessato alla "portabilità del dato"

- Maggiori poteri, anche sanzionatori, alle Autorità Garanti

- Notifica delle violazioni all’Autorità nazionale

- Data Protection Officer

- A fianco del risk based approach, viene introdotto il c.d. privacy impact assessment (valutazione dell’impatto-privacy)

avvocato@maggipinto.eu www.maggipinto.eu