Proteggere il business nellera digitale
-
Upload
andrea-maggipinto-1k -
Category
Law
-
view
2.526 -
download
0
Transcript of Proteggere il business nellera digitale
Proteggere il business nell’era digitale
Come gestire (e tutelare)
dati e informazioni dal
punto di vista legale
[ estratto ]
Avv. Andrea Maggipinto
www.maggipinto.eu
L’Economia della Conoscenza
Nel 2010, secondo uno studio IBM:
• quasi 3 milioni di email spedite al secondo;
• 20 ore di video caricate ogni minuto su YouTube;
• 24 petabyte (milioni di gigabyte) di dati processati dai server
di Google al giorno;
• 50 milioni di “tweets” al giorno;
• 700 miliardi di minuti trascorsi al mese su Facebook;
• 1,3 exabyte (miliardi di gigabyte) di dati inviati e ricevuti
attraverso “internet mobile”.
(fonte: QMEE.COM)
Agenda digitale per l'Europa
L’Agenda Digitale per l'Europa, presentata dalla Commissione europea
nel maggio 2010, è la prima di sette iniziative della strategia «Europa
2020».
L’Agenda Digitale si articola su 7 aree prioritarie e 101 azioni, ognuna
delle quali ha dato o darà luogo a una specifica misura (legislativa o
non legislativa) volta a sfruttare al meglio il potenziale delle tecnologie
attraverso la creazione di un “mercato unico digitale” che favorisca
l’innovazione e la crescita economica.1. Creare un nuovo e stabile quadro normativo per quanto riguarda la banda larga
2. Nuove infrastrutture per i servizi pubblici digitali attraverso prestiti per collegare
l'Europa
3. Avviare una grande coalizione per le competenze digitali e per l'occupazione
4. Aggiornare il framework normativo dell'UE sul copyright
5. Accelerare il cloud computing attraverso il potere d'acquisto del settore pubblico
6. Lancio di una nuova strategia industriale sull'elettronica
7. Proporre una strategia per la sicurezza digitale dell'UE
The Global Risks Report 2016 (11th Edition)
The Global Risks Report 2016, 11th Edition is published by the World
Economic Forum within the framework of The Global Competitiveness
and Risks Team.
«Although organizations may recognize the benefit of cyber
technologies for their bottom lines, they may not be fully internalizing
cyber security risks and making the appropriate level of investment to
enhance operational risk management and strengthen organizational
resilience. Particular attention is needed in two areas that are so far
under-protected: mobile internet and machine-to-machine
connections. It is vital to integrate physical and cyber management,
strengthen resilience leadership and organizational and business
processes, and leverage supporting technologies»
E le Piccole e Medie Imprese?
Fonte: Symantec
Gli Stati Membri dell’UE non solo non hanno un comune approccio ad
alcuni tipi di reati realizzati attraverso lo strumento informatico, ma
hanno apparati giuridici differenti e difformi.
Questa situazione non permette facilmente l’unificazione delle misure
giuridiche e legali adatte a aggiungere una risposta comunitaria alla
minaccia informatica.
E le Piccole e Medie Imprese?
Ricerca condotta da Cyber Aware (già “Cyber Streetwise”) nel 2015:
«SMEs are putting a third (32%) of their revenue at risk because they
are falling for some of the common misconceptions around cyber
security, leaving them vulnerable to losing valuable data and suffering
both financial and reputational damage».
26% wrongly believed that “only companies that take payments are
online are at risk of cyber crime”
22% wrongly believed that small companies “aren’t a target for
hackers”
66% of SMEs wrongly believed that their businesses is not
vulnerable to attack
Cyber crimes e PMI
Tipi di minacce
• Frodi
• Furto d’identità
• Furto di dati sensibili e di
proprietà intellettuale
• Spionaggio
• Sabotaggio
• Attacchi dimostrativi
• Estorsione
Tipi di attacco
• Hacking
• Spam
• Phishing
• Spear phishing
• Pharming
• Defacement
• DoS - DDoS
• Botnet
• Malware
• Social engineering
Tipi di attaccanti
• Crimine organizzato
• Insider
• Spie industriali
• Hacktivist
• Wannabe lamer
• Script kiddie
Accesso abusivo (art.615 ter cp)
• Principio del Domicilio Elettronico, ovvero di uno spazio non limitato dalla fisicità ma in qualche modo riconducibile ad un sistema informatico o telematico
• L’accesso abusivo si produce in caso di accesso non autorizzato in un sistema protetto da misure di sicurezza. Se ne deduce che non vi sia violazione se l’accesso avviene in un sistema nonadeguatamente protetto
• L’accesso è abusivo se viola la volontà espressa o tacita di negarlo, per cui anche in caso di mancanza di rilevanti protezioni, se si evince l’intenzione di non rendere pubblico l’ingresso, l’intrusione può essere punibile
• Non può essere condivisa la tesi secondo cui il reato si consuma nel luogo in cui è collocato il server che controlla le credenziali di autenticazione, in quanto, in ambito informatico, deve attribuirsi rilevanza al luogo da cui parte il dialogo elettronico (Cassazione penale, SS.UU., sentenza 24/04/2015 n° 17325)
Danneggiamento informatico (art. 635 bis)
• Art. 635 bis c.p.: «Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni».
Del tutto irrilevante, ai fini della sussistenza del reato, il fatto che i file cancellati possano essere recuperati ex post attraverso una specifica procedura tecnico-informatica (Cass., Sez. V, 18 novembre 2011, n. 8555).
Reati rilevanti anche per la «231»
Art. 24bis - “Delitti informatici e trattamento illecito di dati”Art.615-ter c.p.: Accesso abusivo ad un sistema informatico o telematico
Art.615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o
telematici
Art.615-quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informativo o telematico
Art.617-quater: Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche
Art.617-quinquies: Installazione di apparecchiature atte ad intercettare, impedire od
interrompere comunicazioni informatiche o telematiche
Art.635-bis: Danneggiamento di informazioni, dati e programmi informatici
Art.635-ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato
o da altro ente pubblico o comunque di pubblica utilità
Art.635-quater: Danneggiamento di sistemi informatici o telematici
Art.635-quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità
(Art.640-ter: Frode informatica)
Art.640-quinquies: Frode informatica del soggetto che presta servizi di certificazione di firma
elettronica
Art.491-bis: Falsità di documenti informatici
Idoneità del “Modello 231”
Il requisito dell’idoneità è soddisfatto quando il modello
organizzativo contiene tutti gli elementi minimi essenziali
previsti dagli artt. 6 e 7 del D.Lgs. 231/2001:
Identificazione aree e attività “a rischio”
Predisposizione di protocolli e procedure per la formazione
e l’attuazione delle decisioni
Modalità di gestione delle risorse finanziarie
Obblighi di informazione e reporting all’O.d.V.
Verifica periodica ed eventuale modifica
Codice etico e sistema disciplinare sanzionatorio
Informazioni (segrete) come bene aziendale
Know-how: “patrimonio di conoscenze pratiche non brevettate
derivanti da esperienze e da prove” (tecnologico, commerciale,
finanziario, strategico)
Il Codice della Proprietà Industriale (artt. 98 e 99 del D.Lgs.30/2005)
vieta la divulgazione a terzi di informazioni necessarie e utili per il
processo produttivo, distributivo o organizzativo di un’attività
economica.
Tali informazioni, per essere protette dall’Ordinamento, devono
soddisfare certi requisiti:
• Segretezza delle informazioni
• Valore economico delle informazioni
• “Segregazione” delle informazioni
Quali informazioni sono protette?
le informazioni aziendali (organizzative, finanziarie, di
gestione, di marketing)
le esperienze tecnico-industriali e quelle commerciali
i dati relativi a prove o altri segreti la cui elaborazione
comporti un considerevole impegno economico e di tempo
Assume rilevanza non tanto l'informazione in sé e per sé, ma il
complesso di informazioni o la loro specifica configurazione e
combinazione
Condizione di accesso alla tutela
Onere di adottare misure “ragionevolmente adeguate” da parte
del soggetto al cui legittimo controllo le informazioni sono
soggette (titolare dell'impresa).
Valutare in concreto per graduare la scelta:
condizioni di conservazione/detenzione delle informazioni
modalità di utilizzo
soggetti che possono accedere alle informazioni
progresso/adeguamento tecnologico
altre misure di natura organizzativa o tecnologica già adottate
(misure di sicurezza privacy, policiesaziendali, ecc.)
misure di natura contrattuale
Misure preventive
Patto di non concorrenza e non sollicitation (art. 2125 Cod. Civ.)
[«key people»]
Patto di riservatezza / accordo di non divulgazione / non-disclosure
agreement definizione di “informazioni riservate”
durata
penali (i.e. sanzioni)
garanzia anche per fatto e obbligazione di terzo(art. 1381 c.c.)
giudice competente e legge applicabile
Policy aziendale
Misure di sicurezza (privacy)
Azioni a difesa
In sede civile:
• Ordinaria: inibitoria / risarcimento del danno /
pubblicazione della sentenza / retroversione degli utili
• Cautelare: descrizione / inibitoria / sequestro
In sede penale:
• Sanzioni penali (art. 513 e art. 622 Cod. Pen.)
• Altri reati informatici (tipicamente, accesso abusivo a
sistema informatico)
Caso d’uso
L’INSIDER.
• Impresa editoriale
• Settore «peculiare»
• Sottrazione del patrimonio aziendale
Strumento di tutela
La c.d. «Descrizione giudiziale»
• Ai sensi degli artt. 161 della legge 633/1941 (LDA) e 129 del
D.Lgs.30/2005 (CPI), il titolare dei diritti può chiedere la descrizione
degli "oggetti costituenti violazione di tale diritto, nonché dei mezzi
adibiti alla produzione dei medesimi e degli elementi di prova
concernenti la denunciata violazione e la sua entità" (art. 129 CPI).
• finalità: acquisire la prova dell’illecito ed evitare che in futuro si
possa sostenere di non avere estratto e/o duplicato e/o riprodotto
e/o rivelato e/o acquisito e/o detenuto e/o comunque utilizzato le
informazioni, il know-how e le banche dati
Onere probatorio (da assolvere) riguardo:
• Segretezza
• Valore economico
• Idonee misure di “segregazione”
Sicurezza dei dati: scenario attuale
Direttiva “Madre” 95/46/CE Legge 675/96
Decisione Quadro 2008/977/GAI
Direttiva 97/66/CE
Direttiva 2002/58/CE (e s.m.i.)
D.Lgs. 196/2003 (e s.m.i.)
Allegato B
«Disciplinare Tecnico»
La “nuova” privacy
- Privacy by Design
- Accountability (approccio sostanziale, non formalistico)
- Minimizzazione dei dati
- Conservare documenti sul “modello organizzativo e di sicurezza privacy”
- Diritto all’oblio
- Diritto dell’interessato alla "portabilità del dato"
- Maggiori poteri, anche sanzionatori, alle Autorità Garanti
- Notifica delle violazioni all’Autorità nazionale
- Data Protection Officer
- A fianco del risk based approach, viene introdotto il c.d. privacy impact assessment (valutazione dell’impatto-privacy)
Quale strategia adottare?
Evitare che vengano a crearsi “sistemi paralleli” (inutile burocrazia)
Modello organizzativo “integrato”
mappatura processi e procedure tenendo conto delle variabili
organizzative
modelli di “autovalutazione” (D.Lgs. 231/01; D.Lgs. 196/2003 e,
in prospettiva, nuovo Regolamento UE; D.Lgs. 81/2008, ecc.)
valutazione dei rischi e misure di sicurezza
disciplinare sull’utilizzo delle risorse informatiche, posta
elettronica e internet (policies)
formazione del personale (fattore umano/culturale)
O.d.V./Amministratore di Sistema/D.P.O.
protocolli volontari (certificazioni di qualità, ambientali, di
sicurezza, ecc.)