Diritto & sicurezza informatica                         Simone Bonavita      Professore a Contratto in "trattamento dei da...
Diritti dell’interessato /1• Art. 7. Diritto di accesso ai dati personali ed altri diritti1.    Linteressato ha diritto di...
Diritti dell’interessato /23. Linteressato ha diritto di ottenere:a) laggiornamento, la rettificazione ovvero, quando vi h...
Diritti dell’interessato /34. Linteressato ha diritto di opporsi, in tutto o inparte:a) per motivi legittimi al trattament...
Esercizio dei diritti• Art. 8. Esercizio dei diritti1. I diritti di cui allarticolo 7 sono  esercitati con richiesta rivol...
LA SICUREZZA INFORMATICA
La sicurezza informatica• Non esiste una vera e propria definizione di  "Sicurezza Informatica". Possiamo comunque  deline...
La sicurezza informatica•    “La sicurezza è studio, sviluppo ed attuazione delle    strategie, delle politiche e dei pian...
Disclosure?• La conoscenza degli strumenti di sicurezza,  dei   problemi e delle vulnerabilità che  sorgono progressivamen...
Sicurezza informatica per giovani              Giuristi• Non esiste un sistema sicuro al 100%; Il mito  del sistema inatta...
Diritto & Sicurezza• Perché i giuristi parlano di sicurezza  informatica?• Il diritto, volente o nolente, ha dovuto  “mutu...
Il diritto della Sicurezza Informatica• La Comuntà Europea [...] è impegnata nel  promuovere un vero e proprio diritto del...
Il diritto della Sicurezza Informatica• Il diritto della sicurezza informatica ha ad  oggetto lo studio delle norme tramit...
Il Dato• “Il concetto di dato esprime una  registrazione elementare nella memoria di  un computer, pur non avendo una sua ...
“Antiche Fonti del Diritto”•    D.P.C.M.15 FEBBRAIO 1989 Coordinamento delle iniziative    e pianificazioni degli investim...
Fonti• La legge 23 dicembre 1993 n. 547 “Modificazioni ed  integrazioni alle norme del codice penale e del codice di  proc...
Fonti• Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della  responsabilità amministrativa delle persone giuridi...
Misure minime di sicurezza• Il complesso delle misure tecniche,  informatiche, organizzative, logistiche e  procedurali di...
Misure Minime ed Idonee• Chiunque cagiona danno ad altri per effetto  del trattamento di dati personali è tenuto al  risar...
I rischi ex art. 31• “[…] distruzione o perdita, anche accidentale,  dei dati stessi, di accesso non autorizzato o di  tra...
Sicurezza & Diritto•   Mai come nellera della “cyberlaw” il diritto si è interessato, per diversi aspetti,    della sicure...
Codice dell’amministrazione digitale (D.Lgs. 7                marzo 2005 n. 82)Art. 51 (Sicurezza dei dati)1. Con le regol...
Codice della proprietà industriale (D.               Lgs. 30/05)• Art. 98“1. Costituiscono oggetto di tutela le informazio...
Giurisprudenza sui computer crimes (Cass. V            Sez. Pen. Sent. 12732/00)“...Certo è necessario che laccesso al sis...
Cass. Sez. VI Pen. Sent. 46509/04“[…] 3. Per quanto concerne il reato di cui allart. 615 ter, comma   2, n. 1, c.p. (capo ...
Sicurezza e UE
La raccomandazione del Consiglio Europeo             di Stoccolma • “il Consiglio svilupperà insieme alla   Commissione un...
Gli organismi europei che si occupano           di sicurezza ICT• Commissione  – Direzione Società dell’informazione• Cons...
Focus: la direttiva sull’e-commerce               (2000/31/CE)•   La direttiva disciplina la prestazione dei servizi della...
Focus: la convenzione di Budapest• La Convenzione del Consiglio di Europa sulla Criminalità  informatica (STE n. 185) è st...
Risoluzione del Consiglio UE            compiti degli Stati membri•   Campagne di informazione ed educazione;•   Adozione ...
Risoluzione del Consiglio UE         compiti della Commissione• Facilitare lo scambio di best practices;• Predisporre un i...
L’agenzia per la sicurezza(European Network and Information Security Agency - ENISA)• E’ il risultato della proposta inizi...
Compiti di ENISA• Contribuire al buon funzionamento del mercato interno   – assistendo la Commissione e gli Stati Membri s...
•   Alcune conclusioni:- senza previsione di misure di sicurezza si incorre quasi certamente in una    violazione di legge...
Teorie sulla sicurezza•   Alla sicurezza (in particolare dei dati e dei sistemi informatici) sono state attribuite    dive...
Quindi…•   La sicurezza è un processo, non un prodotto, nel quale intervengono tre    componenti fondamentali: hardware, s...
Upcoming SlideShare
Loading in...5
×

Diritto & sicurezza informatica

2,383

Published on

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,383
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Diritto & sicurezza informatica"

  1. 1. Diritto & sicurezza informatica Simone Bonavita Professore a Contratto in "trattamento dei dati sensibili" Università degli Studi di Milano aa 2011/2012. Aprile 2012
  2. 2. Diritti dell’interessato /1• Art. 7. Diritto di accesso ai dati personali ed altri diritti1. Linteressato ha diritto di ottenere la conferma dellesistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.2. Linteressato ha diritto di ottenere lindicazione:a) dellorigine dei dati personali;b) delle finalità e modalità del trattamento;c) della logica applicata in caso di trattamento effettuato con lausilio di strumenti elettronici;d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dellarticolo 5, comma 2;e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
  3. 3. Diritti dell’interessato /23. Linteressato ha diritto di ottenere:a) laggiornamento, la rettificazione ovvero, quando vi hainteresse, lintegrazione dei dati;b) la cancellazione, la trasformazione in forma anonima o ilblocco dei dati trattati in violazione di legge, compresi quellidi cui non è necessaria la conservazione in relazione agli scopiper i quali i dati sono stati raccolti o successivamente trattati;c) lattestazione che le operazioni di cui alle lettere a) e b)sono state portate a conoscenza, anche per quanto riguarda illoro contenuto, di coloro ai quali i dati sono stati comunicati odiffusi, eccettuato il caso in cui tale adempimento si rivelaimpossibile o comporta un impiego di mezzi manifestamentesproporzionato rispetto al diritto tutelato.
  4. 4. Diritti dell’interessato /34. Linteressato ha diritto di opporsi, in tutto o inparte:a) per motivi legittimi al trattamento dei datipersonali che lo riguardano, ancorché pertinentiallo scopo della raccolta;b) al trattamento di dati personali che lo riguardanoa fini di invio di materiale pubblicitario o di venditadiretta o per il compimento di ricerche di mercato odi comunicazione commerciale.
  5. 5. Esercizio dei diritti• Art. 8. Esercizio dei diritti1. I diritti di cui allarticolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.è[ […omissis…]• Art. 9. Modalità di esercizio1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda lesercizio dei diritti di cui allarticolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dellincaricato o del responsabile. […omissis…]
  6. 6. LA SICUREZZA INFORMATICA
  7. 7. La sicurezza informatica• Non esiste una vera e propria definizione di "Sicurezza Informatica". Possiamo comunque delinearla come la scienza che studia come proteggere le informazioni elaborate o trasferite elettronicamente da atti indesiderabili che possono avvenire accidentalmente, o essere frutto di azioni colpose o dolose. (Perri 2003)
  8. 8. La sicurezza informatica• “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui lazienda dispone e necessita per garantirsi unadeguata capacità concorrenziale nel breve, medio e lungo periodo”.
  9. 9. Disclosure?• La conoscenza degli strumenti di sicurezza, dei problemi e delle vulnerabilità che sorgono progressivamente devono essere patrimonio culturale di tutti gli utenti.• A tal proposito si parla di full disclosure contrapposta alla closed disclosure.
  10. 10. Sicurezza informatica per giovani Giuristi• Non esiste un sistema sicuro al 100%; Il mito del sistema inattaccabile è analogo al mito della nave inaffondabile. (V. Titanic)• Gnu/Linux e MacOS sono veramente immuni ai virus?• Il livello sicurezza di un sistema è dato dal tempo necessario per violare il sistema, dallinvestimento necessario e dalla probabilità di successo.
  11. 11. Diritto & Sicurezza• Perché i giuristi parlano di sicurezza informatica?• Il diritto, volente o nolente, ha dovuto “mutuare” per certi versi la disciplina informatica della sicurezza, integrandola nei testi di legge.
  12. 12. Il diritto della Sicurezza Informatica• La Comuntà Europea [...] è impegnata nel promuovere un vero e proprio diritto della sicurezza informatica (Cfr. Buttarelli, Verso un diritto della sicurezza informatica in Sicurezza Informatica.1995)• “Nella tematica della sicurezza, lapproccio giuridico non è quello prevalente, ma, nel tempo, la disciplina tecnica si è dovuta coniugare con un insieme di regole simbolicamente contrassegnate come diritto della sicurezza informatica” (Buttarelli 1997)
  13. 13. Il diritto della Sicurezza Informatica• Il diritto della sicurezza informatica ha ad oggetto lo studio delle norme tramite le quali è possibile assicurare lintegrità, la riservatezza e la disponibilità del dato trattato. (Bonavita 2009)
  14. 14. Il Dato• “Il concetto di dato esprime una registrazione elementare nella memoria di un computer, pur non avendo una sua dimensione numerica prestabilita, che possa farlo ritenere una precisa unità di misurazione: nel linguaggio comune il termine dati ha invece una accezione più ampia, significando spesso linsieme dei contenuti registrati nella memoria di un computer [...]” (Pica 1999)
  15. 15. “Antiche Fonti del Diritto”• D.P.C.M.15 FEBBRAIO 1989 Coordinamento delle iniziative e pianificazioni degli investimenti in materia di automazione nelle amministrazioni pubbliche, Art. 4. “Le amministrazioni pubbliche garantiscono lapplicazione delle misure per la sicurezza dei centri elaborazione dati, la segretezza e la riservatezza dei dati contenuti negli archivi automatizzati, il numero delle copie dei programmi dei dati memorizzati da conservare, le modalità per la loro conservazione e custodia”.
  16. 16. Fonti• La legge 23 dicembre 1993 n. 547 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”;• La legge 3 agosto 1998, n. 269 “Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù”;• La legge 18 agosto 2000, n. 248 “Nuove norme di tutela del diritto dautore” volta a reprimere i comportamenti illeciti di pirateria informatica;
  17. 17. Fonti• Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dellarticolo 11 della legge 29 settembre 2000, n. 300”• In particolare il d.lgsl. 231/01 viene periodicamente aggiornato con l’inclusione di nuovi reati; nel 2008 è stato aggiornato per tener conto della legge n.48/2008, nel luglio 2009 per tener conto di nuovi delitti in relazione alla violazione del diritto d’autore• E’ tuttavia nella legge in materia di trattamento dei dati personali che la sicurezza informatica ha trovato il suo luogo di elezione.
  18. 18. Misure minime di sicurezza• Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nellarticolo 31 del Codice;
  19. 19. Misure Minime ed Idonee• Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dellarticolo 2050 del codice civile.• Chiunque, essendovi tenuto, omette di adottare le misure minime previste dallarticolo 33 del Codice è punito con larresto sino a due anni.
  20. 20. I rischi ex art. 31• “[…] distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
  21. 21. Sicurezza & Diritto• Mai come nellera della “cyberlaw” il diritto si è interessato, per diversi aspetti, della sicurezza. Alcuni esempi illustri:- Normativa sul diritto dautore (art. 102-quater L 633/41)“1. I titolari di diritti dautore e di diritti connessi nonché del diritto di cui allart. 102- bis, comma 3, possono apporre sulle opere o sui materiali protetti misure tecnologiche di protezione efficaci che comprendono tutte le tecnologie, i dispositivi o i componenti che, nel normale corso del loro funzionamento, sono destinati a impedire o limitare atti non autorizzati dai titolari dei diritti.2. Le misure tecnologiche di protezione sono considerate efficaci nel caso in cui luso dellopera o del materiale protetto sia controllato dai titolari tramite lapplicazione di un dispositivo di accesso o dì un procedimento di protezione, quale la cifratura, la distorsione o qualsiasi altra trasformazione dellopera o del materiale protetto, ovvero sia limitato mediante un meccanismo di controllo delle copie che realizzi lobiettivo di protezione”.
  22. 22. Codice dell’amministrazione digitale (D.Lgs. 7 marzo 2005 n. 82)Art. 51 (Sicurezza dei dati)1. Con le regole tecniche adottate ai sensi dell articolo 71 sono individuate le modalitàche garantiscono lesattezza, la disponibilità, laccessibilità, lintegrità e la riservatezzadei dati, dei sistemi e delle infrastrutture .1-bis. DigitPA, ai fini dellattuazione del comma 1 :a) raccorda le iniziative di prevenzione e gestione degli incidenti di sicurezzainformatici;b) promuove intese con le analoghe strutture internazionali;c) segnala al Ministro per la pubblica amministrazione e linnovazione il mancatorispetto delle regole tecniche di cui al comma 1 da parte delle pubblicheamministrazioni .2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi econtrollati con modalità tali da ridurre al minimo i rischi di distruzione, perdita,accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.2-bis. Le amministrazioni hanno lobbligo di aggiornare tempestivamente i dati neipropri archivi, non appena vengano a conoscenza dellinesattezza degli stessi .
  23. 23. Codice della proprietà industriale (D. Lgs. 30/05)• Art. 98“1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico- industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;b) abbiano valore economico in quanto segrete;c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.2. Costituiscono altresi oggetto di protezione i dati relativi a prove o altri dati segreti, la cui elaborazione comporti un considerevole impegno ed alla cui presentazione sia subordinata lautorizzazione dellimmissione in commercio di prodotti chimici, farmaceutici o agricoli implicanti luso di nuove sostanze chimiche.”
  24. 24. Giurisprudenza sui computer crimes (Cass. V Sez. Pen. Sent. 12732/00)“...Certo è necessario che laccesso al sistema informatico non sia aperto a tutti, come talora avviene soprattutto quando si tratti di sistemi telematici. Ma deve ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati allaccesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare lingresso stesso nei locali in cui gli impianti sono custoditi. Ed è certamente corretta, in questa prospettiva, la distinzione operata dalla corte dappello tra le banche dati offerte al pubblico a determinate condizioni e le banche dati destinate a unutilizzazione privata esclusiva, come i dati contabili di unazienda”.
  25. 25. Cass. Sez. VI Pen. Sent. 46509/04“[…] 3. Per quanto concerne il reato di cui allart. 615 ter, comma 2, n. 1, c.p. (capo B) non e ravvisabile la condotta contestata in quanto il sistema informatico nel quale limputato si inseriva abusivamente non risulta obiettivamente (ne la sentenza fornisce la relativa prova) protetto da misure di sicurezza, essendo anzi tale sistema a disposizione dellimputato in virtù delle mansioni affidategli per ragioni di ufficio. Il fatto che il D.C. ne facesse un uso distorto a fini illeciti e personali, non sposta i termini della questione, mancando il presupposto della "protezione" speciale del sistema stesso. Da tale reato pertanto limputato deve essere assolto perché il fatto non sussiste”.
  26. 26. Sicurezza e UE
  27. 27. La raccomandazione del Consiglio Europeo di Stoccolma • “il Consiglio svilupperà insieme alla Commissione una strategia globale per la sicurezza delle reti elettroniche, comprensiva di azioni concrete di attuazione. Tale strategia dovrebbe essere presentata in tempo per il Consiglio Europeo di Göteborg”. (2001)
  28. 28. Gli organismi europei che si occupano di sicurezza ICT• Commissione – Direzione Società dell’informazione• Consiglio – Working party su telecomunicazioni e servizi della società dell’informazione• Parlamento europeo – Commissioni parlamentari• Finanziamenti: piano d’azione eEurope
  29. 29. Focus: la direttiva sull’e-commerce (2000/31/CE)• La direttiva disciplina la prestazione dei servizi della società dell’informazione nel mercato interno europeo. Principi base: – assenza di autorizzazione preventiva – obbligo di informativa da parte del prestatore di servizi – limiti di responsabilità per i fornitori dei servizi di trasporto, caching ed hosting – possibilità di risoluzione delle controversie per via telematica• Non sono presenti norme specifiche sulla sicurezza, ma nel considerando si rimanda allarticolo 5 della direttiva 97/66/CE• Gli Stati membri devono vietare qualsiasi forma di intercettazione o di sorveglianza non legalmente autorizzata da parte di chi non sia il mittente o il destinatario• La direttiva è stata recepita dal Decreto legislativo 9 aprile 2003, n. 70
  30. 30. Focus: la convenzione di Budapest• La Convenzione del Consiglio di Europa sulla Criminalità informatica (STE n. 185) è stata sottoscritta a Budapest il 23.11.2001 da 30 paesi, tra cui lItalia• La Convenzione è stata poi ratificata da 5 Stati, per cui è divenuta esecutiva nel luglio dello scorso anno• È prevista l’introduzione di specifiche norme per contrastare la criminalità informatica (in Italia molte di esse sono state introdotte con la la legge 23.12.1993, n.547)• Uno dei temi più dibattuti riguarda la conservazione dei dati di traffico• È stata recepita in Italia con la legge 48/08.
  31. 31. Risoluzione del Consiglio UE compiti degli Stati membri• Campagne di informazione ed educazione;• Adozione di best practices, soprattutto nelle piccole e medie imprese;• Sicurezza nella formazione informatica;• CERT (Computer Emergency Response Team);• Interoperabilità delle soluzioni sulla sicurezza (tra cui open source) nei servizi pubblici di e-government e firma elettronica;• Cooperazione su sistemi di identificazione elettronica e/o biometrica.
  32. 32. Risoluzione del Consiglio UE compiti della Commissione• Facilitare lo scambio di best practices;• Predisporre un inventario delle misure nazionali;• Rafforzare la cooperazione con altre organizzazioni internazionali;• Proporre una struttura per la gestione delle componenti critiche della rete Internet (nomi di dominio);• Redigere un rapporto sullo stato dell’arte delle tecnologie di identificazione elettronica e/o biometrica.
  33. 33. L’agenzia per la sicurezza(European Network and Information Security Agency - ENISA)• E’ il risultato della proposta iniziale per la Cyber- security task force• Costituita da circa 30 esperti (2 per ogni Stato membro)• Budget di 24,3 M€ per 5 anni, incrementato di 9 M€ nel caso di ingresso di altri 10 stati in UE• Avviata nel 2004• La struttura ed i compiti dell’agenzia sono definiti dal regolamento (CE) N. 460/2004
  34. 34. Compiti di ENISA• Contribuire al buon funzionamento del mercato interno – assistendo la Commissione e gli Stati Membri su problematiche di sicurezza ICT (art. 1.1, 1.2) – sviluppando competenze di alto profilo (art. 2.3) – fornendo, su richiesta, consulenza nei lavori preparatori delle norme sulla sicurezza ICT (art. 2.4) – raccogliendo “le informazioni appropriate per analizzare rischi attuali ed emergenti...” (art. 3) – favorendo la cooperazione in tema di sicurezza ICT tra Commissione, Stati Membri, settore privato e mondo accademico (art. 3)
  35. 35. • Alcune conclusioni:- senza previsione di misure di sicurezza si incorre quasi certamente in una violazione di legge o nell’impossibilità di esercitare un proprio diritto, in quanto essa costituisce spesso il discrimen fondamentale per valutare linsorgere di responsabilità;- se non vi sono misure di sicurezza vari ambiti dellIT e del dirtto ad essi connessi non hanno ragion d’essere;- la sicurezza ha un costo, ma fa funzionare meglio le cose.
  36. 36. Teorie sulla sicurezza• Alla sicurezza (in particolare dei dati e dei sistemi informatici) sono state attribuite diverse funzioni: - funzione concorrenziale (fattore di competitività per lazienda); - funzione garantista (preservando i dati personali da usi impropri si tutela anche la dignità della persona); - funzione forense (può prevenire la formazione di fattispecie criminose o, quantomeno, agevolare loperato delle forze dellordine); - funzione efficientista (è stato statisticamente provato che l’adozione di accorgimenti in materia di sicurezza ha portato ad una maggiore efficienza dell’intera struttura, sia essa pubblica o privata).
  37. 37. Quindi…• La sicurezza è un processo, non un prodotto, nel quale intervengono tre componenti fondamentali: hardware, software e humanware.• La mancata cooperazione di uno solo di questi elementi rende instabile tutto il sistema (la robustezza di un sistema si basa sulla robustezza del suo anello più debole).• La sicurezza è un processo asintotico, ossia necessita di continue verifiche ed aggiornamenti per potersi avvicinare alla perfezione, senza tuttavia mai raggiungerla appieno.• Gli obiettivi che un sistema dovrà raggiungere per potersi definire “sicuro” consistono in: 1) integrità; 2) autenticità; 3) riservatezza; 4) disponibilità; 5) reattività.

×