21 settembre 2012

438 views

Published on

  • Be the first to comment

21 settembre 2012

  1. 1. La protezione dei datipersonali nella gestione dei flussi documentali, il vantaggio della sicurezza.
  2. 2. informatica e diritto 2012 Diritto dellinformatica Informatica 1895 Forense
  3. 3. ...digital forensics & ... antiforensics... identificazione, conservazione, dell’analisi e della documentazione deireperti informatici al fine di presentare prove digitali valide in procedurecivili e penali ......we will consider anti-forensics to be any attempts to compromise theavailability or usefulness of evidence to the forensics process. ...
  4. 4. world digital(a). - Informatizzazione della prestazione lavorativa e della protezione delleinformazioni (CLASSIFIED - NDA);(b). - Difficoltà di inquadramento normativo dei c. d. contrattidellinformatica (Cloud computing; SaaS; Pen Test; Security Management).(c). - Rilevanza giuridica delle operazioni di configurazione, gestione emanutenzione dei sistemi (obbligazione di mezzi vs obbligazione dirisultato?).(d). - Normativa su data protection, segreto (militare, industriale, di stato,dufficio);(e). - Impatto della tecnologia e della configurazione dei sistemi sui dirittidei lavoratori (art. 4 comma 2° legge 300 1970, Statuto dei lavoratori);(f). Rilevanza sostanziale e processuale dei "documenti e degli eventiinformatici";
  5. 5. ... documenti ...Art. 2214. Libri obbligatori e altre scritture contabili. Limprenditore cheesercita unattività commerciale deve tenere il libro giornale e il libro degliinventari. Deve altresì tenere le altre scritture che siano richieste dalla naturae dalle dimensioni dellimpresa e conservare ordinatamente per ciascunaffare gli originali delle lettere, dei telegrammi e delle fatture ricevute,nonché le copie delle lettere, dei telegrammi e delle fatture spedite.
  6. 6. … scritture …Art. 2220 c.c. - Conservazione delle scritture contabili. Le scritturedevono essere conservate per dieci anni dalla data dellultima registrazione.Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammiricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti. Lescritture e documenti di cui al presente articolo possono essere conservatisotto forma di registrazioni su supporti di immagini, sempre che leregistrazioni corrispondano ai documenti e possano in ogni momentoessere rese leggibili con mezzi messi a disposizione dal soggetto che utilizzadetti supporti.
  7. 7. ... archiving properties ... Fax - Mail C.A.D. - Art. 1 lett p) Documento informatico: La rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. Fattura elettronica: Direttiva 2012/45/UE a partire da 1° gennaio 2013
  8. 8. ... Fattura elettronica: Direttiva 2012/45/UEPiù precisamente, lemittente deve assicurare lattestazione della data,lautenticità dellorigine, lintegrità del contenuto.Secondo quanto previsto, in particolare, dallart. 21, comma 3, quintoperiodo, D.P.R. 26 ottobre 1972, n. 633 tali requisiti sono garantiti conlapposizione “del riferimento temporale e della firma elettronicaqualificata dellemittente o mediante sistemi EDI di trasmissioneelettronica (...)".
  9. 9. ... Firma elettronica qualificataFirma elettronica ottenuta attraverso una procedura informatica chegarantisce la connessione univoca al firmatario, creata con mezzi sui qualiil firmatario può conservare un controllo esclusivo e collegata ai dati aiquali si riferisce in modo da consentire di rilevare se i dati stessi siano statisuccessivamente modificati, che sia basata su un certificato qualificato erealizzata mediante un dispositivo sicuro per la creazione della firma".[Direttiva Europea 1999/93/CE].
  10. 10. Il Giudice Art. 20 CAD - Documento informatico - 1-bis. Lidoneita del documento informaticoa soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabiliin giudizio, tenuto conto delle sue caratteristiche oggettive di qualita, sicurezza, integrita edimmodificabilita, fermo restando quanto disposto dallarticolo 21.
  11. 11. ... in giudiziodigital evidence: or electronic evidence is any probativeinformation stored or transmitted in digital form that a party to acourt case may use at trial.
  12. 12. … accertamenti …Art. 244. c.p.p. - Ispezioni - Lautorità giudiziaria può disporre rilievisegnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche inrelazione a sistemi informatici o telematici, adottando misure tecnichedirette ad assicurare la conservazione dei dati originali e ad impedirnel’alterazione.Art. 247. c.p.p. - Perquisizioni. - 1-bis. Quando vi è fondato motivo diritenere che dati, informazioni, programmi informatici o tracce comunquepertinenti al reato si trovino in un sistema informatico o telematico,ancorchè protetto da misure di sicurezza, ne è disposta la perquisizione,adottando misure tecniche dirette ad assicurare la conservazione dei datioriginali e ad impedirne l’alterazione.
  13. 13. ... digital - vision .... Url AES DEFT log file dumpplausible deniability social engineering vulnerability enumerate header key logger brute force PEC ISO spam sys - adminidentity theftevent manager e-mail web 2.0 digital signature https hash hidden volume botnet virus SAM e-discovery SSL
  14. 14. ... legal - vision .... PCI DSS copyright privacy SLA Inf. classificate segreto ind. trade mark e-commerce dir_lavdigital forensics concorrenza sleale inform. riservate dir_proc_ (pen_civ) ADS computer crimes e-discovery data protection Risk analysis HIPAA
  15. 15. ... scultura informatica ...
  16. 16. … digit …Art. 392. III° c.p. - Esercizio arbitrario delle proprie ragioni medianteviolenza sulle cose - Si ha altresì, violenza sulle cose allorchè unprogramma informatico viene alterato, modificato o cancellato in tutto o inparte ovvero viene impedito o turbato il funzionamento di un sistemainformatico o telematico.
  17. 17. ad esempio... Limpresa alfa e il trasferimentodi know how al consorzioEurofighter
  18. 18. informazioni segrete Art. 98 Cod. Propr. Ind.le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni: (a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore; (b) abbiano valore economico in quanto segrete; (c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.
  19. 19. ..... un pignoramento presso terzi....... per effettuare questa proceduraoccorre conoscere presso quale banca ildebitore ha accesso un conto corrente..
  20. 20. … dati sensibili …Art. 22 comma 6. - I dati sensibili e giudiziari contenuti in elenchi,registri o banche di dati, tenuti con lausilio di strumenti elettronici, sonotrattati con tecniche di cifratura o mediante lutilizzazione di codiciidentificativi o di altre soluzioni che, considerato il numero e la naturadei dati trattati, li rendono temporaneamente inintelligibili anche a chi èautorizzato ad accedervi e permettono di identificare gli interessati soloin caso di necessità.
  21. 21. Ma è vero che hanno abolito la privacy ?Il fatto che il legislatore abbia abolito lobbligo formale, rilevante ai fini della“norma incriminatrice”, di cui allart. 169, codice privacy, di redazione edaggiornamento del DPS, espone il Titolare del trattamento, al rischio, in casodi “omissione delle relative valutazioni sostanziali”, di abbassare,oggettivamente, l idoneità delle misure adottate, con riferimento allart. 31del codice, con effetti, irrimediabili, in punto esclusione da responsabilitàcivile e amministrativa, anche in considerazione delle valutazioni di segnocontrario operate, dal legislatore comunitario nellart. 30 della proposta direg. di seguito indicata, e degli standard di sicurezza dei sistemi informativi,che costituiscono il c.d. stato dellarte
  22. 22. … data protection policy … Brussels, 25.1.2012 COM(2012) 11 final 2012/0011 (COD) Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIOconcernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)
  23. 23. dura lex… sed lex …I dati personali oggetto ditrattamento sono custoditi e Previa valutazione dei rischi, ilcontrollati, anche in relazione responsabile del trattamento ealle conoscenze acquisite in l’incaricato del trattamentobase al progresso tecnico, alla prendono le misure di cui alnatura dei dati e alle specifiche paragrafo 1 per proteggere i daticaratteristiche del trattamento, personali dalla distruzionein modo da ridurre al minimo, accidentale o illegale o dallamediante ladozione di idonee e perdita accidentale e perpreventive misure di impedire qualsiasi formasicurezza, i rischi di distruzione illegittima di trattamento, ino perdita, anche accidentale, dei particolare la comunicazione, ladati stessi, di accesso non divulgazione o l’accesso nonautorizzato o di trattamento autorizzati o la modifica deinon consentito o non conforme dati personali..alle finalità della raccolta.
  24. 24. ... access denied ...Art. 615-ter. Accesso abusivo ad un sistema informatico o telematico -Chiunque abusivamente si introduce in un sistema informatico otelematico protetto da misure di sicurezza ovvero vi si mantiene controla volontà espressa o tacita di chi ha il diritto di escluderlo, è punito conla reclusione fino a tre anni.
  25. 25. ... misure minime ...il complesso delle misure tecniche, informatiche, organizzative,logistiche e procedurali di sicurezza che configurano il livello minimo diprotezione richiesto in relazione ai rischi previsti nellarticolo 31;
  26. 26. Cass. Sez. Un. Sent. 4694/12Integra la fattispecie criminosa di accesso abusivo ad un sistemainformatico o telematico protetto, prevista dall’art. 615-ter cod. pen., lacondotta di accesso o di mantenimento nel sistema posta in essere dalsoggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultatidal complesso delle prescrizioni impartite dal titolare del sistema perdelimitare oggettivamente l’accesso. Non hanno rilievo, invece, per laconfigurazione del reato, gli scopi e le finalità che soggettivamente hannomotivato l’ingresso al sistema.
  27. 27. … almeno il minimo … il trattamento con strumenti elettronici è consentito solo se sonoadottate, nei modi previsti le seguenti misure minime: a) autenticazioneinformatica; b) adozione di procedure di gestione delle credenziali diautenticazione; c) utilizzazione di un sistema di autorizzazione; d)aggiornamento periodico dellindividuazione dellambito del trattamentoconsentito ai singoli incaricati e addetti alla gestione o alla manutenzionedegli strumenti elettronici; e) protezione degli strumenti elettronici e deidati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e adeterminati programmi informatici; f) adozione di procedure per lacustodia di copie di sicurezza, il ripristino della disponibilità dei dati edei sistemi;
  28. 28. … user name ..Art. 4. – Codice Privacy: autenticazione: linsiemedegli strumenti elettronici e delle procedure per laverifica anche indiretta dellidentità;
  29. 29. …. responsabilità civile.. Danni cagionati per effetto del trattamento Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dellarticolo 2050 del codice civile..Art. 15
  30. 30. …. responsabilità penale & C.. Art. 169 Misure di sicurezzaChiunque, essendovi tenuto, omette di adottare le misureminime previste dallarticolo 33 è punito con larresto sino adue anni o con lammenda da diecimila euro a cinquantamilaeuro.
  31. 31. … attenzione ai dettagli …- Linee guida del Garante per posta elettronica e internet - 10 marzo2007.- Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati construmenti elettronici relativamente alle attribuzioni delle funzioni diamministratore di sistema - 27 novembre 2008.
  32. 32. .. e internet e la posta elettronica??a) lindividuazione di categorie di siti considerati correlati o non correlaticon la prestazione lavorativa;b) la configurazione di sistemi o lutilizzo di filtri che prevenganodeterminate operazioni;c) il trattamento di dati in forma anonima o tale da precludere limmediataidentificazione degli utenti mediante opportune aggregazioni; d) leventuale conservazione di dati per il tempo strettamente limitato alperseguimento di finalità organizzative, produttive e di sicurezza;f) la graduazione dei controlli;
  33. 33. .. e poi ..vieta ai datori, di effettuare trattamenti di dati personali mediante sistemihardware e software che mirano al controllo a distanza di lavoratori, svoltiin particolare mediante:(a) la lettura e la registrazione sistematica dei messaggi di posta elettronicaovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessarioper svolgere il servizio e-mail;(b) la riproduzione e leventuale memorizzazione sistematica dellepagine web visualizzate dal lavoratore;(c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera oanalogo dispositivo;(d) lanalisi occulta di computer portatili affidati in uso;
  34. 34. … principio di necessità...i sistemi informativi e i programmi informatici sono configuratiriducendo al minimo lutilizzazione di dati personali e di datiidentificativi, in modo da escluderne il trattamento quando le finalitàperseguite nei singoli casi possono essere realizzate mediante,rispettivamente, dati anonimi od opportune modalità che permettano diidentificare linteressato solo in caso di necessità (art. 3).
  35. 35. si ma ... tanto cè il sys-admin...(a). - Valutazione delle caratteristiche soggettive;(b). - Designazioni individuali;(c). - Elenco degli amministratori di sistema;(d). - Servizi in outsourcing;(e). - Verifica delle attività;(f). - Registrazione degli accessi.

×