SlideShare a Scribd company logo

Amministratore di sistema - Principali reati informatici Ver.2013

Download as PPS, PDF
Pasquale Lopriore
Pasquale Lopriore

Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei principali reati informatici

Technology
1 of 28
Amministratore di Sistema AdS Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei principali reati informatici Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Argomenti • Definizione di AdS • Compiti e funzioni degli AdS • Adempimenti da eseguire • Registrazione degli accessi • Principali reati informatici Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Definizione di AdS Codice per la protezione dei dati personali definisce: Titolare, Responsabile, Incaricato Manca l'Amministratore di Sistema Viene definito nel provvedimento del 27/11/2008. L’intento del Garante è quello di ricomprendere tutti i soggetti che hanno un'effettiva capacità di azione sulle informazioni Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Definizione di AdS Figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati: •amministratori di basi di dati; •amministratori di reti e di apparati di sicurezza; •amministratori di sistemi software. Devono essere ricompresi anche soggetti che non sono preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo. Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software. (FAQ n.1) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Definizione di AdS Attività tecniche che comportano il trattamento dei dati personali: •Salvataggio dei dati (backup/recovery); •Organizzazione dei flussi di rete; •Gestione dei supporti di memorizzazione; •Manutenzione hardware. In molti casi un'effettiva capacità di azione su informazioni va considerata a tutti gli effetti alla stregua di un trattamento di dati personali. Anche quando l'amministratore non consulti "in chiaro" le informazioni medesime. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Valutazione del titolare dei dati Valutazione delle attribuzioni di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Responsabilità del titolare dei dati In caso di incauta o inidonea designazione degli AdS, abbiamo delle responsabilità di ordine penale e civile (artt. 15 e 169 del Codice). Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Adempimenti da adottare 1. Valutazione delle caratteristiche soggettive 2. Designazioni individuali 3. Elenco degli amministratori di sistema 4. Verifica delle attività 5. Registrazione degli accessi Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
1. Valutazione delle caratteristiche soggettive - Conoscenza della normativa vigente - Conoscenza delle best practices di riferimento in materia di gestione “sicura” dei sistemi informatici - Consapevolezza relativamente ai rischi di sicurezza derivanti da errori/violazioni nell’ambito della gestione dei sistemi Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Applicazione dell’art. 2104 c.c. «Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall'interesse dell'impresa e da quello superiore della produzione nazionale. Deve inoltre osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende.» La violazione dell'obbligo di diligenza e dell'obbligo di osservanza comporta l'applicazione di misure disciplinari art. 2106 c.c. e l'obbligo di risarcire i danni subordinato all'esistenza della colpa lieve art. 1229 c.c., e può dar luogo, in casi estremi, al licenziamento (es.: se il lavoratore costantemente, violando istruzioni impartitegli, reca danno all'attività produttiva). Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
2. Designazioni individuali - Specifico atto di per ogni AdS - Elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato Separazione della gestione IT in ambiti di operatività Definizione di profili di autorizzazione Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
3. Elenco degli amministratori di sistema Redazione di un documento interno: - Determinazione dei sistemi che trattano dati dei lavoratori - Aggiornamento dell’elenco degli amministratori -“Conoscibilità” degli amministratori che operano su sistemi che trattano dati dei lavoratori Servizi in outsourcing Acquisizione degli identificativi degli AdS che operano nell’ambito di servizi affidati in outsourcing Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
4. Verifica delle attività - Audit Almeno cadenza annuale i titolari o i responsabili del trattamento devono verificare le attività degli AdS. La rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Non deve essere un controllo sulle attività professionali vietato dall’art. 4 L. n. 300/1970 Adempimenti: Redazione di un verbale di controllo. Redazione di regole di condotta (Linee guida del Garante per posta elettronica e internet Del. n. 13 del 1° marzo 2007) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
5. Registrazione degli accessi Adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche: •Completezza; •Inalterabilità; •Possibilità di verifica della loro integrità. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
5. Registrazione degli accessi Faq del Garante pubblicate il 25 Maggio del 2010, in merito all’applicazione pratica delle misure da adottare, chiarendo in particolare che: • Non è necessario tracciare tutto quello che fa l’amministratore, ma solo gli eventi di Logon, Logoff e tentativi di accesso. (FAQN° 22) • Bisogna tenere traccia degli accessi sui server, sui client (FAQ N° 4 ) ed anche sui Database (FAQ N°19) • Non è necessario tracciare gli accessi degli amministratori agli applicativi (FAQ N°22) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Reati penali Accesso abusivo a sistema informatico o telematico (art. 615 ter) Frode informatica (art. 640 ter) Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) Danneggiamento di sistemi informatici e telematici (artt. 635 quatere quinques) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Art. 615-ter Accesso abusivo ad un sistema informatico o telematico. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a 3 anni. Elemento fondamentale è l’impiego di misure di sicurezza. Anche con l’adozione di una protezione semplice costituita da una parola chiave. Reato di pericolo Il pericolo è rappresentato dal rischio che chi accede abusivamente al sistema possa impadronirsi o comunque visionare quanto custodito al suo interno. Si consuma con il semplice accesso al sistema e non con l’utilizzo delle informazioni o disturbando il regolare funzionamento del sistema Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Domicilio informatico Bene tutelato Riservatezza delle comunicazioni o delle informazioni trasmesse tramite sistemi informatici. Domicilio informatico Non può considerarsi una mera specificazione del domicilio tutelato dall’art. 614 c.p., ma deve essere inteso quale proiezione spaziale della persona indicante un nuovo bene protetto. “Riservatezza informatica” Indisturbata fruizione del sistema informatico o telematico. (Tribunale di Rovereto sent. 9 gennaio 2004) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Giurisprudenza Il reato di accesso abusivo ad un sistema informatico sussiste ogni volta che vengono sorpassati gli ostacoli che presiedono l’accesso al sistema. Non presupponendo necessariamente che il reo sia in grado di poter richiamare e disporre dei dati e dei programmi contenuti nel computer violato. (Tribunale di Bologna Sent. 22/12/2005) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Giurisprudenza Ai fini della configurabilità del reato la violazione dei dispositivi di sicurezza non rileva di per sè, ma solo come manifestazione di una volontà contraria a quella di chi dispone del sistema. Ne consegue che commette il delitto di cui all'art. 615 ter c.p. anche colui che, autorizzato all'accesso per una finalità (controllo della funzionalità del programma informatico), utilizzi il titolo di legittimazione per copiare i dati gestiti da detto programma. (Cass. Pen. sez. V, 14 ottobre 2003, n. 44362) Non costituisce accesso abusivo ai sensi dell’art. 615 ter c.p. la condotta del dipendente, autorizzato all’uso del sistema informatico, che consulta dati relativi ad un settore diverso da quello di sua competenza in assenza di un divieto espresso di accedere a quel determinato settore e in assenza di finalità personale o di terzi estranee all’ente di appartenenza. (Tribunale di Viterbo, sent. del 5 luglio 2005) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Fattispecie del reato 2 orientamenti giurisprudenziali: Accesso lecito del soggetto abilitato effettuato per finalità diverse a quelle dell'ufficio e perfino illecite. Accesso illecito anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Fattispecie del reato Nuovo orientamento giurisprudenziale Valutazione non delle finalità ma del dato oggettivo (Cass. S.U. n. 4694/12 del 27 ottobre 2011) La questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Fattispecie del reato Nuovo orientamento giurisprudenziale Profilo oggettivo dell'accesso e del trattenimento nel sistema informatico si riscontra: • sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema; • sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui è incaricato ed in relazione alle quali l'accesso era consentito. Il dissenso del dominus ioci viene desunto dalla oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema. ((Cassazione Pen. n° 15054 del 18.04.2012) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Frode informatica (art. 640 ter c.p.) “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle circostanze previste dal n.1 del secondo comma dell’art. 640 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. […] Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Frode informatica (art. 640 ter c.p.) - Fattispecie del reato La norma individua due precise condotte criminose (Cass. Pen. 24 febbraio 2011, n. 9891): 1.Alterazione (sia hardware che software) del funzionamento di un sistema informatico/telematico; 2.L’intervento senza diritto in qualunque modo su dati, informazioni o programmi contenuti in un sistema informatico/telematico , procura a sé o ad altri un ingiusto profitto con danno altrui. Tali condotte devono procurare a se o ad altri un ingiusto profitto con danno altri (a differenza dei Delitti di danneggiamento informatico (artt. 635 bis - ter quater - quinquies c.p.) Il reato si consuma nel momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui (Cass. pen. 3065/1999) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Frode informatica (art. 640 ter c.p.) - Modalità operative Le modalità operative della condotta in esame possono essere differenti interventi criminosi: •intervento sui dati inseriti nel computer. I dati potrebbero essere manipolati dal soggetto attivo (alterazione o immissione abusiva). In questo caso esiste concorso di reato con l’art. 491bis (delitto di falso informatico); •intervento sul programma operativo del sistema. Il <<software>> viene alterato affinché il computer (o il sistema) operi in modo differente da come è stata progettata al fine di compiere illeciti (frodi); •intervento sulle informazioni, ovvero sulla correlazioni fra i dati contenuti in un elaboratore o in un sistema. La detenzione delle password, che consente l'accesso al sistema informatico senza manometterlo, non determinano "il diritto" di modificare i dati presenti (es. la posizione contributiva dei contribuenti effettuando degli sgravi non dovuti e non giustificati dalle evidenze in possesso dell'Agenzia delle Entrate) (Cass. Pen. n° 13475 del 22.03.2013) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) Chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. (Art. 635 BIS) Se utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. (Art. 635 TER) Si prevede come aggravante se il fatto è commesso con abuso della qualità di operatore del sistema. Il delitto di danneggiamento tutela il diritto all’integrità delle cose mobili e immobili altrui, nella struttura o nella loro utilizzabilità, dalle aggressioni che ne determinano la distruzione, la dispersione, il deterioramento o l’inservibilità. Nell’intento di reprimere la violenza informatica sono state, altresì, introdotte quattro peculiari fattispecie criminose che puniscono le condotte di danneggiamento lesive di informazioni, dati e programmi informatici, nonché di sistemi informatici o telematici. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Giurisprudenza Sussiste il reato di danneggiamento informatico anche quando i file cancellati possono essere recuperati. La locuzione 'cancellazione' deve essere interpretata - dice la Cassazione nella accezione informatica e non semantica del termine, ossia come la "rimozione da un certo ambiente di determinati dati, in via provvisoria attraverso il loro spostamento nell'apposito cestino o in via 'definitiva' mediante il successivo svuotamento dello stesso". Del tutto irrilevante, ai fini della sussistenza del reato, il fatto che i files cancellati possano essere recuperati ex post attraverso una specifica procedura tecnico-informatica. Cass., Sez. V, 18 novembre 2011 Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
Grazie per l’attenzione Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali

Recommended

Understanding TNB Bil - Maximum Demand - Tariffs.pptx
Understanding TNB Bil - Maximum Demand - Tariffs.pptxUnderstanding TNB Bil - Maximum Demand - Tariffs.pptx
Understanding TNB Bil - Maximum Demand - Tariffs.pptxIbright Great Resources Sdn Bhd
 
Feohromocitoma
FeohromocitomaFeohromocitoma
FeohromocitomaRīgas Stradiņa universitāte
 
Ārējā fiksācija ortopēdijā
Ārējā fiksācija ortopēdijāĀrējā fiksācija ortopēdijā
Ārējā fiksācija ortopēdijātraumortoppulcins
 
Skeleta ekstenzija
Skeleta ekstenzijaSkeleta ekstenzija
Skeleta ekstenzijamedicalstudent888
 
Gp pencegahan rasuah kkm
Gp pencegahan rasuah kkmGp pencegahan rasuah kkm
Gp pencegahan rasuah kkmLee Oi Wah
 
Hematuria
HematuriaHematuria
HematuriaSalwa Ibrahim
 
Investigation and forensic audit in a computerized work environment
Investigation and forensic audit in a computerized work environmentInvestigation and forensic audit in a computerized work environment
Investigation and forensic audit in a computerized work environmentGodwin Emmanuel Oyedokun MBA MSc ACA ACIB FCTI FCFIP CFE
 
Management of renal vein thrombosis by Sunil Kumar Daha
Management of renal vein thrombosis by Sunil Kumar DahaManagement of renal vein thrombosis by Sunil Kumar Daha
Management of renal vein thrombosis by Sunil Kumar Dahasunil kumar daha
 

Recommended

Understanding TNB Bil - Maximum Demand - Tariffs.pptx
Understanding TNB Bil - Maximum Demand - Tariffs.pptxUnderstanding TNB Bil - Maximum Demand - Tariffs.pptx
Understanding TNB Bil - Maximum Demand - Tariffs.pptxIbright Great Resources Sdn Bhd
 
Feohromocitoma
FeohromocitomaFeohromocitoma
FeohromocitomaRīgas Stradiņa universitāte
 
Ārējā fiksācija ortopēdijā
Ārējā fiksācija ortopēdijāĀrējā fiksācija ortopēdijā
Ārējā fiksācija ortopēdijātraumortoppulcins
 
Skeleta ekstenzija
Skeleta ekstenzijaSkeleta ekstenzija
Skeleta ekstenzijamedicalstudent888
 
Gp pencegahan rasuah kkm
Gp pencegahan rasuah kkmGp pencegahan rasuah kkm
Gp pencegahan rasuah kkmLee Oi Wah
 
Hematuria
HematuriaHematuria
HematuriaSalwa Ibrahim
 
Investigation and forensic audit in a computerized work environment
Investigation and forensic audit in a computerized work environmentInvestigation and forensic audit in a computerized work environment
Investigation and forensic audit in a computerized work environmentGodwin Emmanuel Oyedokun MBA MSc ACA ACIB FCTI FCFIP CFE
 
Management of renal vein thrombosis by Sunil Kumar Daha
Management of renal vein thrombosis by Sunil Kumar DahaManagement of renal vein thrombosis by Sunil Kumar Daha
Management of renal vein thrombosis by Sunil Kumar Dahasunil kumar daha
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
Misure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaMisure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaRoberto Mozzillo
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
amministratori di sistema - alovisio
amministratori di sistema - alovisioamministratori di sistema - alovisio
amministratori di sistema - alovisioMarco Baldassari
 
Smau Torino 2015 - Guglielmo Troiano
Smau Torino 2015 - Guglielmo TroianoSmau Torino 2015 - Guglielmo Troiano
Smau Torino 2015 - Guglielmo TroianoSMAU
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Con04 ads
Con04 adsCon04 ads
Con04 adsMichele Canalini
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...Barbieri & Associati Dottori Commercialisti - Bologna
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemGiuseppe Torre
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Un server aziendale conforme alla normativa sulla privacy con Linux e Samba
Un server aziendale conforme alla normativa sulla privacy con Linux e SambaUn server aziendale conforme alla normativa sulla privacy con Linux e Samba
Un server aziendale conforme alla normativa sulla privacy con Linux e SambaTruelite
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
 
Seminario Anci_2019.pptx
Seminario Anci_2019.pptxSeminario Anci_2019.pptx
Seminario Anci_2019.pptxPasquale Lopriore
 
Internet Governance Forum 2020_lopriore.pptx
Internet Governance Forum 2020_lopriore.pptxInternet Governance Forum 2020_lopriore.pptx
Internet Governance Forum 2020_lopriore.pptxPasquale Lopriore
 

More Related Content

Similar to Amministratore di sistema - Principali reati informatici Ver.2013

Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
Misure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaMisure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaRoberto Mozzillo
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
amministratori di sistema - alovisio
amministratori di sistema - alovisioamministratori di sistema - alovisio
amministratori di sistema - alovisioMarco Baldassari
 
Smau Torino 2015 - Guglielmo Troiano
Smau Torino 2015 - Guglielmo TroianoSmau Torino 2015 - Guglielmo Troiano
Smau Torino 2015 - Guglielmo TroianoSMAU
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemGiuseppe Torre
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
Un server aziendale conforme alla normativa sulla privacy con Linux e Samba
Un server aziendale conforme alla normativa sulla privacy con Linux e SambaUn server aziendale conforme alla normativa sulla privacy con Linux e Samba
Un server aziendale conforme alla normativa sulla privacy con Linux e SambaTruelite
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
 

Similar to Amministratore di sistema - Principali reati informatici Ver.2013 (20)

Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
Misure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaMisure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di Sistema
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
amministratori di sistema - alovisio
amministratori di sistema - alovisioamministratori di sistema - alovisio
amministratori di sistema - alovisio
 
Smau Torino 2015 - Guglielmo Troiano
Smau Torino 2015 - Guglielmo TroianoSmau Torino 2015 - Guglielmo Troiano
Smau Torino 2015 - Guglielmo Troiano
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Con04 ads
Con04 adsCon04 ads
Con04 ads
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystem
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
Un server aziendale conforme alla normativa sulla privacy con Linux e Samba
Un server aziendale conforme alla normativa sulla privacy con Linux e SambaUn server aziendale conforme alla normativa sulla privacy con Linux e Samba
Un server aziendale conforme alla normativa sulla privacy con Linux e Samba
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
 

More from Pasquale Lopriore

Internet Governance Forum 2020_lopriore.pptx
Internet Governance Forum 2020_lopriore.pptxInternet Governance Forum 2020_lopriore.pptx
Internet Governance Forum 2020_lopriore.pptxPasquale Lopriore
 
Convegno LUM_2021_lopriore.pptx
Convegno LUM_2021_lopriore.pptxConvegno LUM_2021_lopriore.pptx
Convegno LUM_2021_lopriore.pptxPasquale Lopriore
 
Il RUP negli acquisti telematici sottosoglia
Il RUP negli acquisti telematici sottosogliaIl RUP negli acquisti telematici sottosoglia
Il RUP negli acquisti telematici sottosogliaPasquale Lopriore
 
Internet governance forum 2020 lopriore
Internet governance forum 2020 loprioreInternet governance forum 2020 lopriore
Internet governance forum 2020 lopriorePasquale Lopriore
 
L’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarieL’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitariePasquale Lopriore
 
Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Pasquale Lopriore
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010Pasquale Lopriore
 
Presentazione firma elettronica 2010
Presentazione firma elettronica 2010Presentazione firma elettronica 2010
Presentazione firma elettronica 2010Pasquale Lopriore
 
Istanze informatiche alla PA: PEC e procedure on line
Istanze informatiche alla PA: PEC e procedure on lineIstanze informatiche alla PA: PEC e procedure on line
Istanze informatiche alla PA: PEC e procedure on linePasquale Lopriore
 
Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...
Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...
Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...Pasquale Lopriore
 

More from Pasquale Lopriore (12)

Seminario Anci_2019.pptx
Seminario Anci_2019.pptxSeminario Anci_2019.pptx
Seminario Anci_2019.pptx
 
Internet Governance Forum 2020_lopriore.pptx
Internet Governance Forum 2020_lopriore.pptxInternet Governance Forum 2020_lopriore.pptx
Internet Governance Forum 2020_lopriore.pptx
 
Convegno LUM_2021_lopriore.pptx
Convegno LUM_2021_lopriore.pptxConvegno LUM_2021_lopriore.pptx
Convegno LUM_2021_lopriore.pptx
 
Il RUP negli acquisti telematici sottosoglia
Il RUP negli acquisti telematici sottosogliaIl RUP negli acquisti telematici sottosoglia
Il RUP negli acquisti telematici sottosoglia
 
Internet governance forum 2020 lopriore
Internet governance forum 2020 loprioreInternet governance forum 2020 lopriore
Internet governance forum 2020 lopriore
 
L’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarieL’implementazione del regolamento GDPR nelle aziende sanitarie
L’implementazione del regolamento GDPR nelle aziende sanitarie
 
Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010
 
Reati informatici 2010
Reati informatici 2010Reati informatici 2010
Reati informatici 2010
 
Presentazione firma elettronica 2010
Presentazione firma elettronica 2010Presentazione firma elettronica 2010
Presentazione firma elettronica 2010
 
Istanze informatiche alla PA: PEC e procedure on line
Istanze informatiche alla PA: PEC e procedure on lineIstanze informatiche alla PA: PEC e procedure on line
Istanze informatiche alla PA: PEC e procedure on line
 
Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...
Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...
Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...
 

Amministratore di sistema - Principali reati informatici Ver.2013

  • 1. Amministratore di Sistema AdS Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei principali reati informatici Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 2. Argomenti • Definizione di AdS • Compiti e funzioni degli AdS • Adempimenti da eseguire • Registrazione degli accessi • Principali reati informatici Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 3. Definizione di AdS Codice per la protezione dei dati personali definisce: Titolare, Responsabile, Incaricato Manca l'Amministratore di Sistema Viene definito nel provvedimento del 27/11/2008. L’intento del Garante è quello di ricomprendere tutti i soggetti che hanno un'effettiva capacità di azione sulle informazioni Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 4. Definizione di AdS Figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati: •amministratori di basi di dati; •amministratori di reti e di apparati di sicurezza; •amministratori di sistemi software. Devono essere ricompresi anche soggetti che non sono preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo. Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software. (FAQ n.1) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 5. Definizione di AdS Attività tecniche che comportano il trattamento dei dati personali: •Salvataggio dei dati (backup/recovery); •Organizzazione dei flussi di rete; •Gestione dei supporti di memorizzazione; •Manutenzione hardware. In molti casi un'effettiva capacità di azione su informazioni va considerata a tutti gli effetti alla stregua di un trattamento di dati personali. Anche quando l'amministratore non consulti "in chiaro" le informazioni medesime. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 6. Valutazione del titolare dei dati Valutazione delle attribuzioni di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Responsabilità del titolare dei dati In caso di incauta o inidonea designazione degli AdS, abbiamo delle responsabilità di ordine penale e civile (artt. 15 e 169 del Codice). Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 7. Adempimenti da adottare 1. Valutazione delle caratteristiche soggettive 2. Designazioni individuali 3. Elenco degli amministratori di sistema 4. Verifica delle attività 5. Registrazione degli accessi Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 8. 1. Valutazione delle caratteristiche soggettive - Conoscenza della normativa vigente - Conoscenza delle best practices di riferimento in materia di gestione “sicura” dei sistemi informatici - Consapevolezza relativamente ai rischi di sicurezza derivanti da errori/violazioni nell’ambito della gestione dei sistemi Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 9. Applicazione dell’art. 2104 c.c. «Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall'interesse dell'impresa e da quello superiore della produzione nazionale. Deve inoltre osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende.» La violazione dell'obbligo di diligenza e dell'obbligo di osservanza comporta l'applicazione di misure disciplinari art. 2106 c.c. e l'obbligo di risarcire i danni subordinato all'esistenza della colpa lieve art. 1229 c.c., e può dar luogo, in casi estremi, al licenziamento (es.: se il lavoratore costantemente, violando istruzioni impartitegli, reca danno all'attività produttiva). Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 10. 2. Designazioni individuali - Specifico atto di per ogni AdS - Elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato Separazione della gestione IT in ambiti di operatività Definizione di profili di autorizzazione Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 11. 3. Elenco degli amministratori di sistema Redazione di un documento interno: - Determinazione dei sistemi che trattano dati dei lavoratori - Aggiornamento dell’elenco degli amministratori -“Conoscibilità” degli amministratori che operano su sistemi che trattano dati dei lavoratori Servizi in outsourcing Acquisizione degli identificativi degli AdS che operano nell’ambito di servizi affidati in outsourcing Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 12. 4. Verifica delle attività - Audit Almeno cadenza annuale i titolari o i responsabili del trattamento devono verificare le attività degli AdS. La rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Non deve essere un controllo sulle attività professionali vietato dall’art. 4 L. n. 300/1970 Adempimenti: Redazione di un verbale di controllo. Redazione di regole di condotta (Linee guida del Garante per posta elettronica e internet Del. n. 13 del 1° marzo 2007) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 13. 5. Registrazione degli accessi Adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche: •Completezza; •Inalterabilità; •Possibilità di verifica della loro integrità. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 14. 5. Registrazione degli accessi Faq del Garante pubblicate il 25 Maggio del 2010, in merito all’applicazione pratica delle misure da adottare, chiarendo in particolare che: • Non è necessario tracciare tutto quello che fa l’amministratore, ma solo gli eventi di Logon, Logoff e tentativi di accesso. (FAQN° 22) • Bisogna tenere traccia degli accessi sui server, sui client (FAQ N° 4 ) ed anche sui Database (FAQ N°19) • Non è necessario tracciare gli accessi degli amministratori agli applicativi (FAQ N°22) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 15. Reati penali Accesso abusivo a sistema informatico o telematico (art. 615 ter) Frode informatica (art. 640 ter) Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) Danneggiamento di sistemi informatici e telematici (artt. 635 quatere quinques) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 16. Art. 615-ter Accesso abusivo ad un sistema informatico o telematico. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a 3 anni. Elemento fondamentale è l’impiego di misure di sicurezza. Anche con l’adozione di una protezione semplice costituita da una parola chiave. Reato di pericolo Il pericolo è rappresentato dal rischio che chi accede abusivamente al sistema possa impadronirsi o comunque visionare quanto custodito al suo interno. Si consuma con il semplice accesso al sistema e non con l’utilizzo delle informazioni o disturbando il regolare funzionamento del sistema Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 17. Domicilio informatico Bene tutelato Riservatezza delle comunicazioni o delle informazioni trasmesse tramite sistemi informatici. Domicilio informatico Non può considerarsi una mera specificazione del domicilio tutelato dall’art. 614 c.p., ma deve essere inteso quale proiezione spaziale della persona indicante un nuovo bene protetto. “Riservatezza informatica” Indisturbata fruizione del sistema informatico o telematico. (Tribunale di Rovereto sent. 9 gennaio 2004) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 18. Giurisprudenza Il reato di accesso abusivo ad un sistema informatico sussiste ogni volta che vengono sorpassati gli ostacoli che presiedono l’accesso al sistema. Non presupponendo necessariamente che il reo sia in grado di poter richiamare e disporre dei dati e dei programmi contenuti nel computer violato. (Tribunale di Bologna Sent. 22/12/2005) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 19. Giurisprudenza Ai fini della configurabilità del reato la violazione dei dispositivi di sicurezza non rileva di per sè, ma solo come manifestazione di una volontà contraria a quella di chi dispone del sistema. Ne consegue che commette il delitto di cui all'art. 615 ter c.p. anche colui che, autorizzato all'accesso per una finalità (controllo della funzionalità del programma informatico), utilizzi il titolo di legittimazione per copiare i dati gestiti da detto programma. (Cass. Pen. sez. V, 14 ottobre 2003, n. 44362) Non costituisce accesso abusivo ai sensi dell’art. 615 ter c.p. la condotta del dipendente, autorizzato all’uso del sistema informatico, che consulta dati relativi ad un settore diverso da quello di sua competenza in assenza di un divieto espresso di accedere a quel determinato settore e in assenza di finalità personale o di terzi estranee all’ente di appartenenza. (Tribunale di Viterbo, sent. del 5 luglio 2005) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 20. Fattispecie del reato 2 orientamenti giurisprudenziali: Accesso lecito del soggetto abilitato effettuato per finalità diverse a quelle dell'ufficio e perfino illecite. Accesso illecito anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 21. Fattispecie del reato Nuovo orientamento giurisprudenziale Valutazione non delle finalità ma del dato oggettivo (Cass. S.U. n. 4694/12 del 27 ottobre 2011) La questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 22. Fattispecie del reato Nuovo orientamento giurisprudenziale Profilo oggettivo dell'accesso e del trattenimento nel sistema informatico si riscontra: • sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema; • sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui è incaricato ed in relazione alle quali l'accesso era consentito. Il dissenso del dominus ioci viene desunto dalla oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema. ((Cassazione Pen. n° 15054 del 18.04.2012) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 23. Frode informatica (art. 640 ter c.p.) “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle circostanze previste dal n.1 del secondo comma dell’art. 640 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. […] Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 24. Frode informatica (art. 640 ter c.p.) - Fattispecie del reato La norma individua due precise condotte criminose (Cass. Pen. 24 febbraio 2011, n. 9891): 1.Alterazione (sia hardware che software) del funzionamento di un sistema informatico/telematico; 2.L’intervento senza diritto in qualunque modo su dati, informazioni o programmi contenuti in un sistema informatico/telematico , procura a sé o ad altri un ingiusto profitto con danno altrui. Tali condotte devono procurare a se o ad altri un ingiusto profitto con danno altri (a differenza dei Delitti di danneggiamento informatico (artt. 635 bis - ter quater - quinquies c.p.) Il reato si consuma nel momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui (Cass. pen. 3065/1999) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 25. Frode informatica (art. 640 ter c.p.) - Modalità operative Le modalità operative della condotta in esame possono essere differenti interventi criminosi: •intervento sui dati inseriti nel computer. I dati potrebbero essere manipolati dal soggetto attivo (alterazione o immissione abusiva). In questo caso esiste concorso di reato con l’art. 491bis (delitto di falso informatico); •intervento sul programma operativo del sistema. Il <<software>> viene alterato affinché il computer (o il sistema) operi in modo differente da come è stata progettata al fine di compiere illeciti (frodi); •intervento sulle informazioni, ovvero sulla correlazioni fra i dati contenuti in un elaboratore o in un sistema. La detenzione delle password, che consente l'accesso al sistema informatico senza manometterlo, non determinano "il diritto" di modificare i dati presenti (es. la posizione contributiva dei contribuenti effettuando degli sgravi non dovuti e non giustificati dalle evidenze in possesso dell'Agenzia delle Entrate) (Cass. Pen. n° 13475 del 22.03.2013) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 26. Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) Chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. (Art. 635 BIS) Se utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. (Art. 635 TER) Si prevede come aggravante se il fatto è commesso con abuso della qualità di operatore del sistema. Il delitto di danneggiamento tutela il diritto all’integrità delle cose mobili e immobili altrui, nella struttura o nella loro utilizzabilità, dalle aggressioni che ne determinano la distruzione, la dispersione, il deterioramento o l’inservibilità. Nell’intento di reprimere la violenza informatica sono state, altresì, introdotte quattro peculiari fattispecie criminose che puniscono le condotte di danneggiamento lesive di informazioni, dati e programmi informatici, nonché di sistemi informatici o telematici. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 27. Giurisprudenza Sussiste il reato di danneggiamento informatico anche quando i file cancellati possono essere recuperati. La locuzione 'cancellazione' deve essere interpretata - dice la Cassazione nella accezione informatica e non semantica del termine, ossia come la "rimozione da un certo ambiente di determinati dati, in via provvisoria attraverso il loro spostamento nell'apposito cestino o in via 'definitiva' mediante il successivo svuotamento dello stesso". Del tutto irrilevante, ai fini della sussistenza del reato, il fatto che i files cancellati possano essere recuperati ex post attraverso una specifica procedura tecnico-informatica. Cass., Sez. V, 18 novembre 2011 Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 28. Grazie per l’attenzione Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali