Smau milano 2013 fratepietro vaciago

25 Ottobre 2013 – SMAU

Legge 231 e la sicurezza informatica in azienda: un

approccio pratico

Stefano Fratepietro e Giuseppe Vaciago

Alcuni dati: un primato europeo

In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso continuo ad Internet, e quasi 20 milioni in grado di connettersi con uno smartphone o tablet (Fonte: Audiweb Trends, 2013). Il 44% dei pc italiani sono attaccati da malware contro il 20% di quelli danesi (Fonte: Kaspersky Lab).

Alcuni dati: un’analisi degli attacchi

Il rapporto Clusit 2013 identifica un rapido cambiamento del trend: iniziano ad essere colpiti tutti i settori industriali e non solo più il settore governativo o quello dell’industria multimediale

Alcuni dati: un’analisi degli attacchi

Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degli attivisti. 1 attacco su 2 è non è per finalità dimostrative.

Alcuni dati: tipologie di attacchi

Attività fraudolente poste in essere da insider e outsider

Attività di “phishing” Furto di dati

confidenziali, furto di dati e spionaggio

industriale

Accessi non autorizzati da parte dei

lavoratori

Accessi non autorizzati da parte di

esterni (hacking) Violazioni contrattuali Diffamazione e

molestie sessuali

Acquisizione e commercio di

materiale pornografico e pedopornografico

Furto di codici di accesso e pirateria

informatica

Modifica non autorizzata di dati

(virus, cavallo di Troia, etc.)

Furto di risorse informatiche aziendali

per fini personali Denial of Services

Abuso dell’utilizzo della posta elettronica

e di internet Violazione di policy e regolamenti aziendali

Alcuni Casi: La “banda della firma digitale”

Un imprenditore “perde” la sua azienda perché il truffatore usando la sua smart card cede a sé stesso e al suo coimputato la totalità delle quote sociali.

Ciò avviene perché il truffatore ottiene la firma digitale dell’imprenditore incarica uno studio commercialista che facendone richiesta a suo nome non è tenuto a portare con sé l’imprenditore al momento della consegna.

Alcuni Casi: “Social Botnet”

Da una approfondita indagine dell’FBI emerge che nel 2012 più di 11 milioni di utenti di Facebook sono rimasti affetti da un particolare malware in grado di fare un danno di circa 850 milioni di dollari.

Social Media Security and Big Data

Behavioral security

BYOD e Consumerization

Perdità del controllo dei device aziendali +

Aumento del rischio di introduzione di malware =

Aumento del rischio di perdita di dati aziendali

Alcuni Casi: Una esemplificazione

Normativa su “protezione cibernetica”: Awareness

DPCM 24 gennaio 2014 Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. I fornitori di connettività e i gestori delle infrastrutture critiche di rilievo nazionale devono comunicare al Nucleo per la Sicurezza Informatica (CISR - Comitato Interministeriale per la Sicurezza della Repubblica, AISE - Agenzia Informazioni e Sicurezza Esterna, AISI - Agenzia Informazioni e Sicurezza Interna e NISP - Nucleo Interministeriale Situazione e Pianificazione) ogni significativa violazione della sicurezza o dell'integrità dei propri sistemi informatici, utilizzando canali di trasmissione protetti

Provvedimento Generale del Garante del 4 aprile 2013 – Obbligo per ISP e TELCO di segnalazione di Data Breach I fornitori di servizi di comunicazione elettronica hanno l’obbligo di segnalare al Garante Privacy ogni violazione subita e, in talune ipotesi, di avvertire, successivamente gli interessati cui i dati si riferiscono.

Sicurezza informatica

La sicurezza non è un prodotto ma un processo. Inutile spendere milioni di euro di budget nell ’ IT Security se la vulnerabilità si chiama “UTONTO”.

Sicurezza difensiva

•  Proteggere la rete aziendale •  Lan •  Wan

•  Proteggere i servizi e le applicazioni •  Proteggere gli asset •  Proteggere le persone

Proteggersi da cosa? – Ramsonware

•  Malware che blocca la produttività di un sistema •  Cifratura dati •  Replica nella rete aziendale •  Malware che blocca l’accesso al sistema

operativo

Sicurezza difensiva – EndPoint Protection

Access control

Firewall

Virtualization

ApplicationControl

Device Control

Encryption

Anti-malware

Mobile Control

Data Control

Patch assessment

Web Protection

ExchangeServer Protection

Proteggersi da cosa? – Spionaggio industriale

•  Blocco degli storage esterni con censimento delle memorie di massa aziendali

•  Controllo dei vettori di uscita dei dati in tempo reale

•  Full disk encryption dei device in mobilità

•  Policy puntuali di accesso al dato con audit log verboso

Proteggersi da cosa? – Attacchi da remoto

•  Sfruttamento di vulnerabilità applicative •  Sfruttamento di vulnerabilità di servizi •  DDoS •  Traffico dati non autorizzato •  Reti Wi-Fi

Sicurezza difensiva – Firewall e sonde

Sicurezza difensiva – Controllo degli eventi

SIEM Security Information and event management:

•  Raccogliere gli eventi di sistema •  Log •  Netflow •  Correlazione ed interpretazione degli eventi •  Alert policy

Sicurezza difensiva – Controllo degli eventi

•  Vulnerability Assestment e Penetration Test svolti solo da personale altamente specializzato e formato

•  Controlli per la sicurezza delle Web application •  Attività svolte su reti wired, wireless e Internet •  Test eseguiti in modalità White box o Black Box •  Valutazione del rischio per ogni singolo asset

aziendale •  Reportistica personalizzata con le remediation

ad ogni vulnerabilità riscontrata

Sicurezza informatica e 231

LA NORMATIVA IN VIGORE

Cos’è il Decreto Legislativo 231/2001

•  Il D.lgs. 231 del 2001 si caratterizza per aver introdotto per la prima volta la responsabilità penale della società per i reati commessi dai propri dipendenti nell’interesse e/o a vantaggio della stessa.

•  Nel caso in cui un reato venga commesso da un dipendente della società, alla responsabilità penale del dipendente (arresto) e alla responsabilità civile della società (risarcimento del danno) si aggiunge la responsabilità penale della società.

Le Sanzioni per la Società

da 26.000 Euro a 1.550.000 Euro

- Interruzione dall’esercizio dell’attività (es. Chiusura temporanea degli uffici o degli stabilimenti); - Divieto di pubblicizzare beni o servizi (es. Obbligo temporaneo di astenersi dal Pubblicizzare determinati prodotti della società) - Revoca delle autorizzazioni/licenze/concessioni (es. Revoca di un permesso di costruzione) - Divieto di contrattare con la Pubblica Amministrazione Amministrazione (es. divieto temporaneo di partecipare a gare pubbliche); - Esclusione da finanziamenti/contributi pubblici e revoca di quelli già concessi (es. revoca di un finanziamento della Comunità Europea per un progetto di ricerca).

Diventa quindi di pubblico dominio la commissione di un reato nell’interesse della società

Il profitto risultante dal reato viene sempre confiscato

Sanzioni Pecuniarie

Sanzioni Interdittive

Pubblicazione Sentenza

Confisca

Il Modello di Organizzazione, Gestione e Controllo

È un documento che individua le aree a rischio in cui possono essere commessi i reati e prevede una serie di comportamenti/procedure/processi volti a prevenirli.

Al fine di salvaguardare i propri interessi e quelli della società, ogni dipendente ha il dovere di leggerlo e rispettarlo nonchè di partecipare ai training – on line o in aula - che saranno organizzati per facilitarne la conoscenza.

Elenco dei reati “231” in ambito informatico

§  falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.); §  accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.); §  detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-

quater c.p. §  diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o

interrompere un sistema informatico o telematico (art. 615-quinquies c.p.); §  intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche

(art. 617-quater c.p.); §  installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni

informatiche o telematiche (art. 615-quinquies c.p.); §  danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.); §  danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro

ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); §  danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.); §  danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.); §  frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)

Alcuni esempi

Accesso non autorizzato a sistemi che erogano le buste paga per alterare i dati relativi a voci di cedolino di non semplice verifica da parte dei dipendenti al fine di ridurre illecitamente le erogazioni nei confronti degli stessi e realizzare coì un interesse e vantaggio per l’azienda Un utilizzo illecito degli strumenti informatici per danneggiare siti internet e di pubblica utilità, avvenuto attraverso un accesso abusivo a sistema telematico Il reato di intercettare o di impedire la comunicazione telematica senza il consenso dell’avente diritto per finalità di concorrenza sleale.

Le attività di controllo

Tracciabilità degli accessi e

dellavulnerabilità

Raccolta di segnalazioni di

fattispecie a rischio

Procedure e livelli

autorizzativi

Separazione dei ruoli e escalation

Privacy reato “231” – Occasione persa

Il decreto “femminicidio” non ha ricompreso tra i reati presupposto per la responsabilità dell’impresa il trattamento illecito di dati personali. Inoltre sarebbe comunque mancato l’art. 169 del Codice Privacy che prevede una sanzione alla persona fisica che viola le misure di sicurezza di un sistema informatico.

Sicurezza informatica e Investigazioni difensive

LA DIGITAL FORENSICS

Digital e Corporate Forensics

In questo contesto, diventa sempre più necessario ricercare all’interno dei sistemi informativi dell’azienda (corporate forensics) e del cittadino (digital forensics) la prova digitale utilizzabile nella successiva fase giudiziale (penale, civile e amministrativa).

La prova digitale è qualunque informazione generata, memorizzata o trasmessa attraverso uno strumento elettronico che possa essere ammessa in giudizio (Fonte: Digital Forensics Guide - Council of Europe - 2013).

Auten&ca: non deve subire alcuna alterazione

Ammissibile: essere u2lizzabile in giudizio come fonte di prova

Proporzionale: ossia rispe7are I diri9 fondamentali

“Credibile”:Facilmente comprensibile

dall’autorità giudiziaria

Digital Forensics - Individuazione

Identificazione dei componenti informatici di interesse aventi memorie di massa utilizzabili da un utente.

Digital Forensics - Preservazione

§  Mettere in sicurezza i dispositivi mediante appositi sigilli

§  Calcolo dell’hash delle memorie oggetto di sequestro

§  Verbale delle operazioni

Digital Forensics - Acquisizione

§  Accertamento tecnico ripetibile §  Clonazione della memoria di massa mediante una bit

stream image (raw, ewf o aff) §  La memoria da clonare deve essere collegata al

sistema mediante opportuni dispositivi di blocco di scrittura (hardware o software)

§  L’acquisizione della memoria deve essere completa §  La copia fedele deve avere lo stesso valore di hash

dell’originale

La memoria informatica è cifrata?


§  Accertamento tecnico irripetibile: procedura che potrebbe alterare, anche in minima parte, l’originalità della memoria di massa

§  Cellulari o Smarthphone che necessitano procedure invasive preventive

§  L’acquisizione della memoria può avvenire in modo completo (clonazione) o parziale (acquisendo i songoli dati di interesse)

§  La copia potrebbe non necessitare la comparazione di hash con la memoria originale

La memoria informatica è cifrata?


Variabili e calcolo del rischio: tener conto dello stato di usura dell’oggetto di perizia; nel caso in cui esso sia molto vecchio, è meglio eseguire un accertamento tecnico irripetibile; questo perchè lo stress che subirà la memoria durante la fase di acquisizione potrebbe alterare definitivamente il corretto funzionamento della memoria.

Digital Forensics - Analisi

Ad ogni evidenza raccolta va calcolato l’hash e riportato all’interno della documentazione in una apposita tabella dei file di interesse. Va riportato anche il path esatto dove è stato trovata l’evidenza o l’offset della memoria con annessi riferimenti temporali.

Digital Forensics - Presentazione delle risultanze

Il lettore della perizia, seguendo la documentazione prodotta, deve ottenere gli stessi ed identici risultati ottenuti da chi ha eseguito l’attività. Cioè avviene attraverso la redazione di un: §  Elenco dei software e degli strumenti utilizzati per

l’acquisizione e l’analisi §  Elenco di tutte le attività eseguite passo passo §  Catalogo dei file di interesse con il loro relativo hash

Creazione di un doppio report, un “executive summary” e un “technical summary”

Ovviamente è importante limitarsi alla parte tecnico informatica

Digital Forensics - Catena di custodia

Documentazione da allegare ad ogni singola memoria posta sotto sequestro dove annotare: §  Descrizione, marca, modello e numero di serie §  Chi custodisce la memoria §  In quale periodo risale l’Hash della memoria §  Note di interesse

Digital Forensics - Indagine interna

Durante i test di disaster recovery, alcuni sistemisti, cercando di capire quale fosse il problema che provocava il blocco del ripristino del backup di un client, scoprono che all’interno del backup vi sono 2 video aventi contenuto pedopornografico. Il computer oggetto di accertamento è una postazione avente Windows 2000 Professional (già da tempo in end of life). La postazione era in uso ad un solo operatore di sportello che diventa il principale indiziato


§  L’utente nega di aver mai visto o usato tali file

§  Da controlli fatti sulla postazione mediante opportune tecniche di creazione di timeline, gli analisti confermano le affermazioni dell’utente, cioè che quei file sono comparsi all’interno della memoria del computer in periodo in cui la persona era assente per malattia

§  I sospetti si spostano su l’unica persona capace di accedere lecitamente a qualsiasi client della banca: l’amministratore di sistema!


§  Per non destare sospetto, viene clonata durante la notte la memoria del computer portatile del nuovo sospettato, sostituendo con una copia fedele il disco originale che sarà analizzato in laboratorio in un secondo momento

§  L’analisi della memoria (clonata una terza volta in laboratorio), mediante opportune tecniche di file carving, permise di recuperare i video incriminati, cancellati dall’utente proprio il giorno in cui furono trovati tali file

§  Da una analisi del registro di Windows si è potuto risalire alla fonte di origine da cui sono pervenuti i file, cioè una penna usb collegata al computer portatile.

Sistema di Gestione della Digital Forensics È necessario un sistema di gestione con un approccio di tipo preventivo rispetto alle esigenze di investigazione informatica, fondato su 4 presupposti:

Monitoraggio e analisi

dell’evoluzione normativa

Pianificazione periodica di

attività di assessment

Progettazione e erogazione di

iniziative di training

Formalizzazione delle procedure

in caso di incidenti IT

Sicurezza informatica e Investigazioni difensive

LA NORMATIVA IN VIGORE

La normative utili in tema di sicurezza informatica

Investigazioni difensive

Compliance program (D.lgs.

231/01)

Linee Guida di categoria

Sistema di gestione della sicurezza delle

informazioni ISO/IEC 27037, 27041, 27042 e

27043

Codice Privacy e Provvedimenti Garante Privacy

I limiti legali delle investigazioni difensive

Investigazioni difensive

Artt. 113 e 114 Codice Privacy

I “controlli difensivi”

Utilizzabilità in ambito penale

Utilizzabilità in ambito civile

La digital evidence in ambito civile

Nel processo civile, il giudice fonda il proprio convincimento sulla base delle prove a fondamento dei diritti e delle eccezioni reperite e prodotte dalle parti. Le riproduzioni informatiche di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime. Ove disconosciute, esse conservano il valore probatorio di un semplice elemento di prova, liberamente valutabile dal giudice. Solo nel rito del lavoro, le prove a fondamento dei diritti e delle eccezioni devono essere cercate e prodotte dalle parti, ma il giudice ha poteri istruttori non previsti nel rito ordinario

La digital evidence in ambito penale

La prova in sede penale è valutata liberamente dall’organo giudicante e viene raggiunta a seguito del giudizio come disciplinato dal codice di procedura penale. La legge 48/2008 si è posta il problema della peculiarità delle tradizionali attività di ricerca dei mezzi di prova (ispezioni, perquisizioni, sequestri e accertamenti urgenti), in relazione alle prove digitali, prevedendo l’adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l’alterazione. I mezzi di ricerca della prova sono strumenti di indagine a disposizione del pubblico ministero e in via residuale della polizia giudiziaria, ma anche al difensore dell’indagato e della parte offesa è concessa la facoltà di compiere indagini difensive, anche in ottica preventiva.

Art. 113 D.lgs. 196/03 e art. 4 Statuto Lavoratori

È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori a meno che non siano richieste da:

Esigenze organizzative Esigenze produttive

Esigenze di sicurezza

CONTROLLI LEGITTIMI O PRAETERINTENZIONALI

Previo accordo con RSA e in difetto di accordo su istanza del datore di lavoro e provvedimento dell’ispettorato del lavoro

Art. 114 D.lgs. 196/03 e art. 8 Statuto Lavoratori

È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi su: 1. Opinioni politiche, religiose o sindacali del lavoratore. 2. Su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.

Art. 171 D.lgs 196/03 e art. 38 Statuto Lavoratori

Le violazioni degli articoli 4 e 8 comportano: Ammenda da € 154,95 a €1549,5 o arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente.

Se il giudice ritiene l’ammenda troppo bassa ha facoltà di aumentarla fino al quintuplo.

Nei casi più gravi l'autorità giudiziaria ordina la pubblicazione della sentenza penale di condanna

I controlli difensivi

La giurisprudenza ha introdotto con i controlli difensivi una ulteriore ipotesi di non applicazione del divieto dell’art. 4 dello Statuto dei Lavoratori: “devono ritenersi certamente fuori dall’ambito di applicazione dell’art. 4 Statuto dei Lavoratori i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate, o appunto gli apparecchi di rilevazione di telefonate ingiustificate”.

Investigazioni difensive in ambito penale

L’attività principale riconosciuta dall’art. 327-bis c.p.p., è senza dubbio l’assunzione di informazioni da soggetti che possono rendere informazioni utili all’indagine. Tuttavia, è prevista dall’art. 391-sexies anche la possibilità di effettuare un sopralluogo e di redigere un verbale che documenti l’attività svolta. In questa attività investigativa, potrebbe rientrare l’accesso a un sistema informatico aziendale da parte di un consulente tecnico nominato dall’avvocato, finalizzato a controllare la commissione di eventuali illeciti da parte del lavoratore. È importante rilevare che, ai sensi dell’art. 391-decies, qualora l’attività sia qualificabile come accertamento tecnico non ripetibile ex art. 360 c.p.p., il difensore ha il dovere di darne avviso, senza ritardo, al pubblico ministero. La dottrina si è interrogata molte volte sulla ripetibilità o meno dell’analisi forense di un sistema informatico .

La società Marsh S.p.A. attraverso la società di investigazione tedesca Kroll Ontrack GMBH effettuava un controllo sulla posta elettronica del lavoratore senza alcun avviso. Il dipendente ricorre al Garante della Privacy e la società si difende sostenendo che: 1. Era specificato nel Manuale sulla privacy l’esclusione per fini personali dell’utilizzo della e-mail aziendale 2. Era stato espletato in forza “sia dalla legislazione americana che impone alle aziende accertamenti di tal specie in relazione a presunti illeciti penali commessi dal top management (Sarbanes Oxley Act–Sox), sia dalla legislazione italiana, che prevede sanzioni per le imprese che non vigilino sull'osservanza di modelli organizzativi volti a prevenire la commissione di specifici reati da parte degli stessi vertici aziendali (d.lg. n. 231/2001)”

Garante Privacy: Caso “Marsh”

Il Garante accoglie il ricorso del dipendente in quanto il principio di correttezza comporta l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e l'eventualità che controlli da parte del datore di lavoro possano riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (Caso Copland in UK). Nel caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalità vengono effettuati controlli ai sensi delle linee guida del Garante della Privacy del 1/3/2007. In sostanza, il Garante impedisce ogni ulteriore utilizzo dei dati, salva la loro conservazione per la tutela di diritti in sede giudiziaria nei limiti di cui all'art. 160, comma 6 del Codice.

Garante Privacy: Caso “Marsh”

La società Telepost licenzia un dipendente che aveva all’interno del suo notebook aziendale file contenenti materiale pornografico. L’azienda accede all’hard disk in sua assenza e con l’ausilio di un consulente tecnico terzo, dopo aver inviato solo il giorno prima la normativa per l'utilizzo dei servizi informatici. Il Garante accoglie il ricorso sostenendo che la società ha esperito il controllo informatico in assenza di una previa idonea informativa all'interessato relativa al: •  trattamento dei dati personali (art. 13 del Codice)

•  modalità da seguire per gli stessi (presenza dell'interessato, di rappresentanti sindacali, di personale all'uopo incaricato)

Garante Privacy: Caso “Telepost”

Linee Guida Garante Privacy su posta elettronica e internet

I datori di lavoro privati e pubblici devono indicare chiaramente le modalità di uso degli strumenti elettronici messi a disposizione e se e in che misura e con quali modalità vengono effettuati controlli

Divieti (es. file-sharing o downloading di mp3 e

software illegale)

Posta privata: come (webmail o client?) e

quando ?

Memorizzazione di dati (es. log file): quali e per quanto

tempo ?

Controlli del datore di lavoro: specifici con indicazione dei

tempi

I datori di lavoro devono adottare e pubblicare un disciplinare interno e adottare misure di tipo organizzativo affinché: §  si proceda ad un’attenta valutazione dell’impatto sui diritti dei

lavoratori;

§  si individuino preventivamente i lavoratori cui è consentito l’utilizzo di internet e della posta elettronica;

§  si individui quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi.


È vietato il trattamento di dati personali da parte dei datori di lavoro mediante software e hardware che mirano al controllo a distanza dei lavoratori attraverso: §  la lettura sistematica dei messaggi di posta elettronica;

§  memorizzazione riproduzione delle pagine web visionate dal lavoratore;

§  la lettura e la registrazione dei caratteri inseriti tramite la tastiera; §  l’analisi occulta dei computer portatili affidati al lavoratore.


In ogni caso tutti i trattamenti devono rispettare i principi di:

PERTINENZA

Divieto di un'ingiustif icata interferenza sui diritti e sulle libertà fondamentali di lavoratori

NECESSITÀ

Elenco di siti attendibili Filtri inseriti su black list (download Anonimizzazione dei log file Retention limitate file

CORRETTEZZA

Le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori

NON INVASIVITÀ

Monitoraggio effettuato solo su soggetti a rischio ed effettuato nel rispetto del principio della segretezza della corrispondenza


Giurisprudenza penale su art. 616 c.p.

“Non incorre nel reato di cui all’art. 616 c.p. il datore di lavoro che legge le e-mail aziendali dei propri dipendenti se esiste un regolamento dettato dall’impresa che impone la comunicazione della password del PC” (Cass. Pen., Sez. V, 11/12/2007, n. 47096) “L’indirizzo aziendale, proprio perché tale, può essere nella disponibilità di accesso e lettura da parte di persone diverse dall’utilizzatore consuetudinario a prescindere dalla identità o diversità di qualifica o funzione” (Tribunale di Milano, 10/5/2002) “Il dipendente che utilizza la casella di posta elettronica aziendale si espone al rischio che anche altri della medesima azienda possano lecitamente accedere alla casella in suo uso previa acquisizione della relativa " password” (Tribunale Torino, 15 settembre 2006)

Giurisprudenza civile su controlli difensivi

“Non sono utilizzabili a fini disciplinari i dati acquisiti mediante programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet dei dipendenti, sul presupposto che gli stessi consentono al datore di lavoro di controllare a distanza ed in via continuativa l'attività lavorativa durante la prestazione, e di accertare se la stessa sia svolta in termini di diligenza e corretto adempimento” (Cassazione civile sez. lav., 23/2/2010, n. 4375) “Non sono utilizzabili i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet violano, da un lato, l'art. 8 st. lav., posto che il monitoraggio e la conservazione per un certo lasso di tempo dei dati acquisiti può concretare trattamenti dei dati sensibili che consentono al datore di lavoro di acquisire indicazioni sulle "opinioni politiche, religiose o sindacali" del singolo dipendente"; dall'altro, l'art. 4 dello stesso statuto, ove non sia attivata la procedura prevista per l'installazione delle apparecchiature necessarie per soddisfare esigenze aziendali (C. App. Milano, 30/09/2005)

Conclusioni

Quadro normativo e giurisprudenziale caotico: dall’art. 4 Statuto Lavoratori alle Linee Guida del Garante Privacy del 1 marzo 2007, dai Provvedimenti del Garante Privacy alle decisioni della Corte di Cassazione civile e penale. Il D.lgs. 231/01 rischia di essere in contrasto con quanto stabilito dal Garante Privacy rendendo difficile la redazione del modello di organizzazione gestione e controllo, ma costituisce un ottimo strumento per implementare la sicurezza informatica. La digital forensics, riveste e rivestirà sempre di più un ruolo di fondamentale importanza per garantire la corretta cristallizzazione della prova digitale che dovrà essere successivamente prodotta in giudizio.

Avv. Giuseppe Vaciago [email protected] http://it.linkedin.com/in/vaciago https://twitter.com/giuseppevaciago

Grazie per l’attenzione

Dott. Stefano Fratepietro [email protected] http://www.linkedin.com/in/stefanofratepietro https://twitter.com/stevedeft

Smau milano 2013 fratepietro vaciago

Documents

Transcript of Smau milano 2013 fratepietro vaciago