Normativa

Queste informazioni sono state estratte da varie fonti, fra le quali:

• Securteam: "Panorama giuridico-legislativo sui temi della Sicurezza Informatica" 
• Net_Lex: raccolta di normativa #1
• InterLex: raccolta di normativa #2

Sono riportate solo informazioni rilevanti per amministratori di sistema e per utenti dei Laboratori Nazionali di Frascati dell'INFN.

1. Legislazione vigente
2. Reati penali
3. Illeciti civili
4. Sanzioni amministrative (un esempio)

1 - Legislazione vigente

Acceptable use policy della rete GARR, versione preliminare del 15 giugno 2000.

Provvedimento del Garante per la protezione dei dati personali sulle misure minime di sicurezza del 29 febbraio 2000.

Decreto del Presidente della Repubblica 28 luglio 1999, n. 318 - Regolamento recante norme per l'individuazione delle misure di sicurezza minime per il trattamento dei dati personali a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675.

Decreto legislativo 22 maggio 1999, n. 185 - Attuazione della direttiva 97/7/CE relativa alla protezione dei consumatori in materia di contratti a distanza.

Decreto legislativo 11 maggio 1999, n. 135 - Disposizioni integrative della legge 31 dicembre 1996, n. 675, sul trattamento di dati sensibili da parte di soggetti pubblici.

Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 - Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513.

Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 - "Regolamento contenente i criteri e le modalita' di applicazione dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici".

Legge 31 dicembre 1996 n. 675 - "Tutela delle persone e di altri soggetti rispetto al trattamento di dati personali" (testo vigente).

Direttiva UE 95/46/CE del 24 ottobre 1995 - "Sulla protezione dei dati personali".

Decreto del Presidente del Consiglio dei Ministri 3 gennaio 1994, n. 244 - "Regolamento concernente il registro pubblico speciale per i programmi per elaboratore".

Legge 23 dicembre 1993 n. 547 - "Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalita' informatica".

2 - Reati penali

In questa breve sintesi sono elencate alcune figure di reato previste dal Codice Penale (legge 547/93, pene variabili fino ad un massimo di cinque anni di reclusione):

• Attentato a impianti informatici di pubblica utilita' (art. 420);
• Falsificazione di documenti informatici (art. 491bis);
• Accesso abusivo ad un sistema informatico o telematico (art. 615ter);
• Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615quater);
• Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615quinquies);
• Violazione di corrispondenza telematica (artt. 616-617sexies);
• Intercettazione di e-mail (art. 617quater);
• Danneggiamento di sistemi informatici e telematici (art. 635bis);
• Frode informatica (alterazione dell'integrita' di dati allo scopo di procurarsi un ingiusto profitto) (art. 640ter).

Protezione dei sistemi informatici da attacchi esterni

Le aziende (DPR 318/1999, Legge 675/96) dovranno adottare tutti i dispositivi di sicurezza necessari (parole-chiave, codici logici ecc.), per difendere i propri sistemi informatici da attacchi esterni. Cio' non solo per opportuna prevenzione ma anche per consentire l'eventuale incriminazione del soggetto attivo, con la conseguente richiesta di danni in sede civile.

Dovranno anche essere posti in atto tutti gli interventi necessari a ridurre i rischi di coinvolgimento dell'azienda, nell'ipotesi che i reati sopra elencati siano commessi dai propri dipendenti che, utilizzando gli strumenti aziendali, si introducano abusivamente nei sistemi informatici di terzi.

Ferma la responsabilita' dell'autore del comportamento illecito, il nostro ordinamento penale prevede infatti la categoria dei cosiddetti "reati omissivi impropri" (art. 40 cpv c.p.) che si concretizzano nella violazione di un generico obbligo giuridico di impedire determinati eventi dannosi.

E' previsto anche il coinvolgimento penale del datore di lavoro, a titolo di concorso nel reato commesso da un proprio dipendente, nella misura in cui le circostanze concrete dimostrino che il comportamento criminoso del dipendente sia stato agevolato dalla mancata adozione, da parte del datore di lavoro, di idonee misure di prevenzione e controllo (anche in materia di abusiva duplicazione e/o commercializzazione di programmi per elaboratore).

"Obblighi di controllo" del datore di lavoro

Il Garante per la protezione dei dati personali ha emesso, il 29/2/2000, un provvedimento, allo scopo di richiamare l'attenzione dei soggetti pubblici e privati tenuti al rispetto del DPR 318/99 (obbligo di predisporre misure minime per la sicurezza) sulle prescrizioni in esso contenute e sulle connesse sanzioni, nonché sulla scadenza del 29/3/2000 prevista per l'applicazione delle misure minime di sicurezza. Nell'ottobre 1999 anche l'AIPA (Autorita' per l'Informatica nella Pubblica Amministrazione) ha pubblicato le "Linee guida per la definizione di un piano per la sicurezza".

Cautele minime la cui adozione potrebbe fortemente limitare i rischi di un coinvolgimento penale del datore di lavoro:

• Responsabilizzazione degli utilizzatori finali, attraverso la diffusione dell'informazione circa i rischi penali connessi all'uso indebito del mezzo informatico o alla riproduzione non autorizzata di software.
• Formazione degli utilizzatori finali, attraverso corsi di introduzione e di aggiornamento, non solo mirati all'aspetto tecnico-applicativo, ma anche alla tematica della sicurezza informatica.
• Limitazione degli accessi a sistemi informatici esterni solo agli utilizzatori che ne abbiano effettiva necessita' per ragioni di servizio, adottando le misure idonee per vigilare su comportamenti potenzialmente dannosi del dipendente.
• Meccanismi di controllo dei vari personal computer per verificare l'esistenza di software non autorizzato.

"Datore di lavoro" e delega di funzioni

Le eventuali responsabilita' penali derivanti dalla commissione dei "reati informatici" potrebbero essere assunte da un "Delegato alla sicurezza informatica" purché la delega risulti da atto scritto e sia accettata dal delegato, soggetto tecnicamente competente, qualificato e idoneo allo svolgimento dei compiti assegnatigli.

L'ipotesi di reato a carico del responsabile della sicurezza e' "Omessa adozione di misure necessarie alla sicurezza dei dati" (art. 36 L. 675/96): "Chiunque, essendovi tenuto, omette di adottare le misure necessarie ad assicurare la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti [...], e' punito con la reclusione fino ad un anno. Se dal fatto deriva nocumento, la pena e' della reclusione da due mesi a due anni".

3 - Illeciti civili

Devono essere adottate le cautele minime che chiunque, dotato di un livello di diligenza media in relazione alle circostanze e alla competenza professionale, avrebbe adottato, tenuto conto delle migliori tecniche messe a disposizione dallo sviluppo tecnologico del settore.

Misure di sicurezza

Principi di massima ai quali ispirare una politica aziendale di sicurezza informatica:

• Rispetto dei requisiti di "diligenza professionale", richiesti dall'articolo 2050 del codice civile.
• Adeguamento preventivo ai contenuti espressi dall'art. 15 della legge 675/96 (Legge sulla privacy).
• Adeguamento sostanziale alle "Linee Guida per la definizione di un piano per la sicurezza", a cura dell'AIPA.
• Allineamento a standard riconosciuti a livello comunitario o internazionale (es. ITSEC).

4 - Sanzioni amministrative (un esempio)

Attenzione a non diffondere messaggi di posta elettronica di tipo "catena di S. Antonio" o contenente messaggi pubblicitari indesiderati!

In base all'Articolo 10 del DLgs 185/99 l'invio di messaggi di posta elettronica non sollecitati costituisce una violazione punibile con sanzione amministrativa pecuniaria da lire un milione a lire dieci milioni.

Servizio di Calcolo
Last updated on Monday, 6-Nov-2000 16:51:05 MET DST