Il documento discute le responsabilità e conseguenze legate agli attacchi informatici e presenta l'agenda digitale dell'UE del 2010, che mira a creare un mercato unico digitale. Viene evidenziato come le PMI siano vulnerabili a vari tipi di cyber attacchi e misconcezioni comuni sulla sicurezza informatica. Infine, si analizzano le leggi italiane riguardanti i crimini informatici e la tutela dei beni intangibili.

1. Responsabilità e conseguenze di un attacco
informatico [ estratto ]
Convegno CONFAPINDUSTRIA Piacenza
«Gli attacchi informatici: quale prevenzione e protezione?»
Piacenza, 27 ottobre 2016
Avv. Andrea Maggipinto
www.maggipinto.eu

2. Agenda
 Scenario (in evoluzione)
 Patrimonio informativo e PMI
 Cyber crime
 Livelli di protezione e controllo

3. (fonte: QMEE.COM)

4. Agenda digitale per l'Europa
L’Agenda Digitale per l'Europa, presentata dalla Commissione europea nel
maggio 2010, è la prima di sette iniziative della strategia «Europa 2020».
L’Agenda Digitale si articola su 7 aree prioritarie e 101 azioni, ognuna delle quali
ha dato o darà luogo a una specifica misura (legislativa o non legislativa) volta a
sfruttare al meglio il potenziale delle tecnologie attraverso la creazione di un
“mercato unico digitale” che favorisca l’innovazione e la crescita economica.
1. Creare un nuovo e stabile quadro normativo per quanto riguarda la banda
larga
2. Nuove infrastrutture per i servizi pubblici digitali attraverso prestiti per
collegare l'Europa
3. Avviare una grande coalizione per le competenze digitali e per
l'occupazione
4. Aggiornare il framework normativo dell'UE sul copyright
5. Accelerare il cloud computing attraverso il potere d'acquisto del settore
pubblico
6. Lancio di una nuova strategia industriale sull'elettronica
7. Proporre una strategia per la sicurezza digitale dell'UE

5. The Global Risks Report 2016 (11th Edition)

6. The Global Risks Report 2016 (11th Edition)

7. Consapevolezza
Ricerca condotta da Cyber Aware (già “Cyber Streetwise”) nel 2015:
«SMEs are putting a third (32%) of their revenue at risk because they
are falling for some of the common misconceptions around cyber
security, leaving them vulnerable to losing valuable data and suffering
both financial and reputational damage».
 26% wrongly believed that “only companies that take payments are
online are at risk of cyber crime”
 22% wrongly believed that small companies “aren’t a target for
hackers”
 66% of SMEs wrongly believed that their businesses is not
vulnerable to attack

8. Cyber crimes e PMI
Tipi di minacce
• Frodi
• Furto d’identità
• Furto di dati sensibili e di proprietà
intellettuale
• Spionaggio
• Sabotaggio
• Attacchi dimostrativi
• Estorsione
Tipi di attacco
• Hacking
• Spam
• Phishing
• Spear phishing
• Pharming
• Defacement
• DoS - DDoS
• Botnet
• Malware
• Social engineering
Tipi di attaccanti
• Crimine organizzato
• Insider
• Spie industriali
• Hacktivist
• Wannabe lamer
• Script kiddie

9. Reati informatici
Sistematica:
 contro il patrimonio (frode informatica, danneggiamento
informatico)
 contro la fede pubblica (falsità di documenti informatici)
 contro la riservatezza e la sicurezza informatiche
(accesso abusivo ad un sistema informatico, detenzione
e circolazione abusiva di password e codici di accesso,
diffusione di virus, intercettazione di comunicazioni
telematiche, violazioni della corrispondenza informatica,
ecc.)

10. Accesso abusivo (art.615 ter cp)
• Principio del Domicilio Elettronico, ovvero di uno spazio non
limitato dalla fisicità ma in qualche modo riconducibile ad un sistema
informatico o telematico
• L’accesso abusivo si produce in caso di accesso non autorizzato in
un sistema protetto da misure di sicurezza. Se ne deduce che non
vi sia violazione se l’accesso avviene in un sistema non
adeguatamente protetto
• L’accesso è abusivo se viola la volontà espressa o tacita di negarlo,
per cui anche in caso di mancanza di rilevanti protezioni, se si evince
l’intenzione di non rendere pubblico l’ingresso, l’intrusione può
essere punibile
• Non può essere condivisa la tesi secondo cui il reato si consuma nel
luogo in cui è collocato il server che controlla le credenziali di
autenticazione, in quanto, in ambito informatico, deve attribuirsi
rilevanza al luogo da cui parte il dialogo elettronico (Cassazione
penale, SS.UU., sentenza 24/04/2015 n° 17325)

11. Furto di identità
Fenomeno multiforme. Tipicamente tramite phishing (in questo caso
la più corretta qualificazione giuridica deve essere quella di cui all’art.
494 e 640-ter c.p.).
Art. 494 c.p. (Sostituzione di persona)
Cassazione, Sentenza nr. 12479 del 3 aprile 2012 «commette il reato di
sostituzione di persona chi apre e registra un account di posta
elettronica a nome di un’altra persona, ignara e realmente esistente»
Tribunale di Milano: il reato si perfeziona anche nel caso si finga di
essere una persona.. “immaginaria”
Art. 640 ter c.p. (Frode informatica)
Art. 640 c.p.: “artifizio o raggiro” (Truffa)

12. Danneggiamento informatico (art. 635 bis)
• Art. 635 bis c.p.: «Salvo che il fatto costituisca più grave
reato, chiunque distrugge, deteriora, cancella, altera o
sopprime informazioni, dati o programmi informatici altrui
è punito, a querela della persona offesa, con la
reclusione da sei mesi a tre anni. Se il fatto è commesso
con violenza alla persona o con minaccia ovvero con
abuso della qualità di operatore del sistema, la pena è
della reclusione da uno a quattro anni».
Del tutto irrilevante, ai fini della sussistenza del reato, il fatto
che i file cancellati possano essere recuperati ex post
attraverso una specifica procedura tecnico-informatica
(Cass., Sez. V, 18 novembre 2011, n. 8555).

13. Falsificazione di documenti informatici (art.491bis)
 Documento informatico (art. 1,lett. p, CAD): «rappresentazione
informatica di atti, fatti o dati giuridicamente rilevanti».
 L’introduzione dell’art. 491 bis risponde alla necessità di assicurare una
sanzione penale alle diverse forme di falso informatico che non erano
riconducibili alle norme sui falsi documentali. Alla nozione “tradizionale”
di documento, infatti, il documento informatico risultava essenzialmente
estraneo.
 L'archivio informatico dev'essere considerato alla stregua di un registro
(costituito da materiale non cartaceo) tenuto da un soggetto, pubblico o
privato. Nel caso un Pubblico Ufficiale, nell'esercizio delle sue funzioni
e facendo uso dei supporti tecnici della P.A., confezioni un falso atto
informatico destinato a rimanere nella memoria dell'elaboratore, integra
una falsità in atto pubblico, ininfluente restando la circostanza che non
sia stato stampato alcun documento cartaceo.

14. Reati rilevanti anche per la «231»
Art. 24bis - “Delitti informatici e trattamento illecito di dati”
Art.615-ter c.p.: Accesso abusivo ad un sistema informatico o telematico
Art.615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o
telematici
Art.615-quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informativo o telematico
Art.617-quater: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche
o telematiche
Art.617-quinquies: Installazione di apparecchiature atte ad intercettare, impedire od
interrompere comunicazioni informatiche o telematiche
Art.635-bis: Danneggiamento di informazioni, dati e programmi informatici
Art.635-ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o
da altro ente pubblico o comunque di pubblica utilità
Art.635-quater: Danneggiamento di sistemi informatici o telematici
Art.635-quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità
(Art.640-ter: Frode informatica)
Art.640-quinquies: Frode informatica del soggetto che presta servizi di certificazione di firma
elettronica
Art.491-bis: Falsità di documenti informatici

15. Idoneità del “Modello 231”
Il requisito dell’idoneità è soddisfatto quando il modello
organizzativo contiene tutti gli elementi minimi essenziali
previsti dagli artt. 6 e 7 del D.Lgs. 231/2001:
 Identificazione aree e attività “a rischio”
 Predisposizione di protocolli e procedure per la formazione
e l’attuazione delle decisioni
 Modalità di gestione delle risorse finanziarie
 Obblighi di informazione e reporting all’O.d.V.
 Verifica periodica ed eventuale modifica
 Codice etico e sistema disciplinare sanzionatorio

16. Tutela legale dei beni intangibili
La conoscenza è valore
Segreto industriale: informazioni che devono rimanere
riservate
Know-How: conoscenze pratiche e saperi
Banche dati: insieme di dati/archivi collegati secondo un
modello logico
Invenzioni: conoscenza di nuovi rapporti causali per
l’ottenimento di un certo risultato riproducibile
Brevetto: il trovato o il processo innovativo suscettibile di
applicazione industriale

17. «Informazioni segrete»
Art. 98 CPI (Oggetto della tutela)
1. Costituiscono oggetto di tutelale informazioni aziendali e le
esperienze tecnico-industriali, comprese quelle commerciali,
soggette al legittimo controllo del detentore, ovetali informazioni:
a) siano segrete, nel senso che non siano nel loro insieme o
nella precisa configurazione e combinazione dei loro elementi
generalmente note o facilmente accessibili agli esperti ed agli
operatori del settore;
b) abbiano valore economico in quanto segrete;
c) siano sottoposte, da parte delle persone al cui legittimo
controllo sono soggette, a misure da ritenersi ragionevolmente
adeguate a mantenerle segrete […]

18. Condizione di accesso alla tutela
Onere di adottare misure “ragionevolmente adeguate” da parte
del soggetto al cui legittimo controllo le informazioni sono
soggette (titolare dell'impresa).
Valutare in concreto per graduare la scelta:
 condizioni di conservazione/detenzione delle informazioni
 modalità di utilizzo
 soggetti che possono accedere alle informazioni
 progresso/adeguamento tecnologico
 altre misure di natura organizzativa o tecnologica già adottate
(misure di sicurezza privacy, policiesaziendali, ecc.)
 misure di natura contrattuale

19. Misure preventive
 Patto di non concorrenza e non sollicitation (art. 2125 Cod. Civ.)
[«key people»]
 Patto di riservatezza / accordo di non divulgazione / non-disclosure
agreement
 definizione di “informazioni riservate”
 durata
 penali (i.e. sanzioni)
 garanzia anche per fatto e obbligazione di terzo(art. 1381 c.c.)
 giudice competente e legge applicabile
 Policy aziendale
 Misure di sicurezza (privacy)

20. Azioni a difesa
In sede civile:
• Ordinaria: inibitoria / risarcimento del danno /
pubblicazione della sentenza / retroversione degli utili
• Cautelare: descrizione / inibitoria / sequestro
In sede penale:
• Sanzioni penali (art. 513 e art. 622 Cod. Pen.)
• Altri reati informatici (tipicamente, accesso abusivo a
sistema informatico)

21. Caso d’uso
L’INSIDER
• Impresa editoriale
• Settore «peculiare»
• Sottrazione del patrimonio aziendale

22. Strumento di tutela
La c.d. «Descrizione giudiziale»
• Ai sensi degli artt. 161 della legge 633/1941 (LDA) e 129 del
D.Lgs.30/2005 (CPI), il titolare dei diritti può chiedere la descrizione
degli "oggetti costituenti violazione di tale diritto, nonché dei mezzi
adibiti alla produzione dei medesimi e degli elementi di prova
concernenti la denunciata violazione e la sua entità" (art. 129 CPI).
• finalità: acquisire la prova dell’illecito ed evitare che in futuro si possa
sostenere di non avere estratto e/o duplicato e/o riprodotto e/o rivelato
e/o acquisito e/o detenuto e/o comunque utilizzato le informazioni, il
know-how e le banche dati
Onere probatorio (da assolvere) riguardo:
• Segretezza
• Valore economico
• Idonee misure di “segregazione”

23. La “nuova” privacy
Nuovo Regolamento Generale 2016/679
- Privacy by Design
- Accountability (approccio sostanziale, non formalistico)
- Minimizzazione dei dati
- Conservare documenti sul “modello organizzativo e di sicurezza
privacy”
- Diritto all’oblio
- Diritto dell’interessato alla "portabilità del dato"
- Maggiori poteri, anche sanzionatori, alle Autorità Garanti
- Notifica delle violazioni all’Autorità nazionale
- Data Protection Officer
- A fianco del risk based approach, viene introdotto il c.d. privacy
impact assessment (valutazione dell’impatto-privacy)

24. avvocato@maggipinto.eu www.maggipinto.eu