Proteggere il business nell’era digitale

Come gestire (e tutelare)

dati e informazioni dal

punto di vista legale

[ estratto ]

Avv. Andrea Maggipinto

www.maggipinto.eu

L’Economia della Conoscenza

Nel 2010, secondo uno studio IBM:

• quasi 3 milioni di email spedite al secondo;

• 20 ore di video caricate ogni minuto su YouTube;

• 24 petabyte (milioni di gigabyte) di dati processati dai server

di Google al giorno;

• 50 milioni di “tweets” al giorno;

• 700 miliardi di minuti trascorsi al mese su Facebook;

• 1,3 exabyte (miliardi di gigabyte) di dati inviati e ricevuti

attraverso “internet mobile”.

(fonte: QMEE.COM)

Agenda digitale per l'Europa

L’Agenda Digitale per l'Europa, presentata dalla Commissione europea

nel maggio 2010, è la prima di sette iniziative della strategia «Europa

2020».

L’Agenda Digitale si articola su 7 aree prioritarie e 101 azioni, ognuna

delle quali ha dato o darà luogo a una specifica misura (legislativa o

non legislativa) volta a sfruttare al meglio il potenziale delle tecnologie

attraverso la creazione di un “mercato unico digitale” che favorisca

l’innovazione e la crescita economica.1. Creare un nuovo e stabile quadro normativo per quanto riguarda la banda larga

2. Nuove infrastrutture per i servizi pubblici digitali attraverso prestiti per collegare

l'Europa

3. Avviare una grande coalizione per le competenze digitali e per l'occupazione

4. Aggiornare il framework normativo dell'UE sul copyright

5. Accelerare il cloud computing attraverso il potere d'acquisto del settore pubblico

6. Lancio di una nuova strategia industriale sull'elettronica

7. Proporre una strategia per la sicurezza digitale dell'UE

The Global Risks Report 2016 (11th Edition)

The Global Risks Report 2016, 11th Edition is published by the World

Economic Forum within the framework of The Global Competitiveness

and Risks Team.

«Although organizations may recognize the benefit of cyber

technologies for their bottom lines, they may not be fully internalizing

cyber security risks and making the appropriate level of investment to

enhance operational risk management and strengthen organizational

resilience. Particular attention is needed in two areas that are so far

under-protected: mobile internet and machine-to-machine

connections. It is vital to integrate physical and cyber management,

strengthen resilience leadership and organizational and business

processes, and leverage supporting technologies»

E le Piccole e Medie Imprese?

Fonte: Symantec

Gli Stati Membri dell’UE non solo non hanno un comune approccio ad

alcuni tipi di reati realizzati attraverso lo strumento informatico, ma

hanno apparati giuridici differenti e difformi.

Questa situazione non permette facilmente l’unificazione delle misure

giuridiche e legali adatte a aggiungere una risposta comunitaria alla

minaccia informatica.

E le Piccole e Medie Imprese?

Ricerca condotta da Cyber Aware (già “Cyber Streetwise”) nel 2015:

«SMEs are putting a third (32%) of their revenue at risk because they

are falling for some of the common misconceptions around cyber

security, leaving them vulnerable to losing valuable data and suffering

both financial and reputational damage».

26% wrongly believed that “only companies that take payments are

online are at risk of cyber crime”

22% wrongly believed that small companies “aren’t a target for

hackers”

66% of SMEs wrongly believed that their businesses is not

vulnerable to attack

Cyber crimes e PMI

Tipi di minacce

• Frodi

• Furto d’identità

• Furto di dati sensibili e di

proprietà intellettuale

• Spionaggio

• Sabotaggio

• Attacchi dimostrativi

• Estorsione

Tipi di attacco

• Hacking

• Spam

• Phishing

• Spear phishing

• Pharming

• Defacement

• DoS - DDoS

• Botnet

• Malware

• Social engineering

Tipi di attaccanti

• Crimine organizzato

• Insider

• Spie industriali

• Hacktivist

• Wannabe lamer

• Script kiddie

Accesso abusivo (art.615 ter cp)

• Principio del Domicilio Elettronico, ovvero di uno spazio non limitato dalla fisicità ma in qualche modo riconducibile ad un sistema informatico o telematico

• L’accesso abusivo si produce in caso di accesso non autorizzato in un sistema protetto da misure di sicurezza. Se ne deduce che non vi sia violazione se l’accesso avviene in un sistema nonadeguatamente protetto

• L’accesso è abusivo se viola la volontà espressa o tacita di negarlo, per cui anche in caso di mancanza di rilevanti protezioni, se si evince l’intenzione di non rendere pubblico l’ingresso, l’intrusione può essere punibile

• Non può essere condivisa la tesi secondo cui il reato si consuma nel luogo in cui è collocato il server che controlla le credenziali di autenticazione, in quanto, in ambito informatico, deve attribuirsi rilevanza al luogo da cui parte il dialogo elettronico (Cassazione penale, SS.UU., sentenza 24/04/2015 n° 17325)

Danneggiamento informatico (art. 635 bis)

• Art. 635 bis c.p.: «Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni».

Del tutto irrilevante, ai fini della sussistenza del reato, il fatto che i file cancellati possano essere recuperati ex post attraverso una specifica procedura tecnico-informatica (Cass., Sez. V, 18 novembre 2011, n. 8555).

Reati rilevanti anche per la «231»

Art. 24bis - “Delitti informatici e trattamento illecito di dati”Art.615-ter c.p.: Accesso abusivo ad un sistema informatico o telematico

Art.615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o

telematici

Art.615-quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a

danneggiare o interrompere un sistema informativo o telematico

Art.617-quater: Intercettazione, impedimento o interruzione illecita di comunicazioni

informatiche o telematiche

Art.617-quinquies: Installazione di apparecchiature atte ad intercettare, impedire od

interrompere comunicazioni informatiche o telematiche

Art.635-bis: Danneggiamento di informazioni, dati e programmi informatici

Art.635-ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato

o da altro ente pubblico o comunque di pubblica utilità

Art.635-quater: Danneggiamento di sistemi informatici o telematici

Art.635-quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità

(Art.640-ter: Frode informatica)

Art.640-quinquies: Frode informatica del soggetto che presta servizi di certificazione di firma

elettronica

Art.491-bis: Falsità di documenti informatici

Idoneità del “Modello 231”

Il requisito dell’idoneità è soddisfatto quando il modello

organizzativo contiene tutti gli elementi minimi essenziali

previsti dagli artt. 6 e 7 del D.Lgs. 231/2001:

Identificazione aree e attività “a rischio”

Predisposizione di protocolli e procedure per la formazione

e l’attuazione delle decisioni

Modalità di gestione delle risorse finanziarie

Obblighi di informazione e reporting all’O.d.V.

Verifica periodica ed eventuale modifica

Codice etico e sistema disciplinare sanzionatorio

Informazioni (segrete) come bene aziendale

Know-how: “patrimonio di conoscenze pratiche non brevettate

derivanti da esperienze e da prove” (tecnologico, commerciale,

finanziario, strategico)

Il Codice della Proprietà Industriale (artt. 98 e 99 del D.Lgs.30/2005)

vieta la divulgazione a terzi di informazioni necessarie e utili per il

processo produttivo, distributivo o organizzativo di un’attività

economica.

Tali informazioni, per essere protette dall’Ordinamento, devono

soddisfare certi requisiti:

• Segretezza delle informazioni

• Valore economico delle informazioni

• “Segregazione” delle informazioni

Quali informazioni sono protette?

le informazioni aziendali (organizzative, finanziarie, di

gestione, di marketing)

le esperienze tecnico-industriali e quelle commerciali

i dati relativi a prove o altri segreti la cui elaborazione

comporti un considerevole impegno economico e di tempo

Assume rilevanza non tanto l'informazione in sé e per sé, ma il

complesso di informazioni o la loro specifica configurazione e

combinazione

Condizione di accesso alla tutela

Onere di adottare misure “ragionevolmente adeguate” da parte

del soggetto al cui legittimo controllo le informazioni sono

soggette (titolare dell'impresa).

Valutare in concreto per graduare la scelta:

condizioni di conservazione/detenzione delle informazioni

modalità di utilizzo

soggetti che possono accedere alle informazioni

progresso/adeguamento tecnologico

altre misure di natura organizzativa o tecnologica già adottate

(misure di sicurezza privacy, policiesaziendali, ecc.)

misure di natura contrattuale

Misure preventive

Patto di non concorrenza e non sollicitation (art. 2125 Cod. Civ.)

[«key people»]

Patto di riservatezza / accordo di non divulgazione / non-disclosure

agreement definizione di “informazioni riservate”

durata

penali (i.e. sanzioni)

garanzia anche per fatto e obbligazione di terzo(art. 1381 c.c.)

giudice competente e legge applicabile

Policy aziendale

Misure di sicurezza (privacy)

Azioni a difesa

In sede civile:

• Ordinaria: inibitoria / risarcimento del danno /

pubblicazione della sentenza / retroversione degli utili

• Cautelare: descrizione / inibitoria / sequestro

In sede penale:

• Sanzioni penali (art. 513 e art. 622 Cod. Pen.)

• Altri reati informatici (tipicamente, accesso abusivo a

sistema informatico)

Caso d’uso

L’INSIDER.

• Impresa editoriale

• Settore «peculiare»

• Sottrazione del patrimonio aziendale

Strumento di tutela

La c.d. «Descrizione giudiziale»

• Ai sensi degli artt. 161 della legge 633/1941 (LDA) e 129 del

D.Lgs.30/2005 (CPI), il titolare dei diritti può chiedere la descrizione

degli "oggetti costituenti violazione di tale diritto, nonché dei mezzi

adibiti alla produzione dei medesimi e degli elementi di prova

concernenti la denunciata violazione e la sua entità" (art. 129 CPI).

• finalità: acquisire la prova dell’illecito ed evitare che in futuro si

possa sostenere di non avere estratto e/o duplicato e/o riprodotto

e/o rivelato e/o acquisito e/o detenuto e/o comunque utilizzato le

informazioni, il know-how e le banche dati

Onere probatorio (da assolvere) riguardo:

• Segretezza

• Valore economico

• Idonee misure di “segregazione”

Sicurezza dei dati: scenario attuale

Direttiva “Madre” 95/46/CE Legge 675/96

Decisione Quadro 2008/977/GAI

Direttiva 97/66/CE

Direttiva 2002/58/CE (e s.m.i.)

D.Lgs. 196/2003 (e s.m.i.)

Allegato B

«Disciplinare Tecnico»

La “nuova” privacy

- Privacy by Design

- Accountability (approccio sostanziale, non formalistico)

- Minimizzazione dei dati

- Conservare documenti sul “modello organizzativo e di sicurezza privacy”

- Diritto all’oblio

- Diritto dell’interessato alla "portabilità del dato"

- Maggiori poteri, anche sanzionatori, alle Autorità Garanti

- Notifica delle violazioni all’Autorità nazionale

- Data Protection Officer

- A fianco del risk based approach, viene introdotto il c.d. privacy impact assessment (valutazione dell’impatto-privacy)

Quale strategia adottare?

Evitare che vengano a crearsi “sistemi paralleli” (inutile burocrazia)

Modello organizzativo “integrato”

mappatura processi e procedure tenendo conto delle variabili

organizzative

modelli di “autovalutazione” (D.Lgs. 231/01; D.Lgs. 196/2003 e,

in prospettiva, nuovo Regolamento UE; D.Lgs. 81/2008, ecc.)

valutazione dei rischi e misure di sicurezza

disciplinare sull’utilizzo delle risorse informatiche, posta

elettronica e internet (policies)

formazione del personale (fattore umano/culturale)

O.d.V./Amministratore di Sistema/D.P.O.

protocolli volontari (certificazioni di qualità, ambientali, di

sicurezza, ecc.)

avvocato@maggipinto.eu