Adozione delle Misure di Sicurezza nel Trattamento dei Dati Personali

Transcript

1 30027 San Donà di Piave (Venezia) - Via N. Sauro, 11 - Tel. 0421/ Fax 0421/ segreteria.onor@libero.it; Cod. scuola VEIC Cod. Fisc DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Adozione delle Misure di Sicurezza nel Trattamento dei Dati Personali LINEE GUIDA GENERALI PER LA SICUREZZA E RIASSUNTO DELLE FONTI NORMATIVE IN MATERIA DI SICUREZZA E DI PROTEZIONE DEI DATI ALLEGATO "Linee Guida Destinatari: Tutto il Personale Pagina 1 di 42

2 SOMMARIO ALLEGATO "Linee Guida... 1 I sistemi informatici... 4 Comportamenti da evitare... 4 I supporti magnetici... 4 La rete dell Ente... 6 Navigazione in Internet... 6 La Posta Elettronica... 6 Naming Authority... 7 Regole di netiquette... 7 Regole di buon senso... 9 Come segnalare le violazioni Linee guida e informazioni generali (fonte AIPA) Fattori di incremento del rischio e comportamenti da evitare Norme basilari di comportamento Regole operative Caratteristiche di base del software antivirus Normativa Legge 23 dicembre 1993 n D.Lvo 30 Giugno 2003 n Codice in materia di protezione dei dati personali Art. 1 (Diritto alla protezione dei dati personali) Art. 2 (Finalità) Art. 3 (Principio di necessità nel trattamento dei dati) Art. 4 (Definizioni) Art. 7 (Diritto di accesso ai dati personali ed altri diritti) Art. 9 (Modalità di esercizio) Art. 10 (Riscontro all interessato) Art. 11 (Modalità del trattamento e requisiti dei dati) Art. 13 (Informativa) Art. 15 (Danni cagionati per effetto del trattamento) Art. 16 (Cessazione del trattamento) Art. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici) Art. 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari) Art. 20 (Principi applicabili al trattamento di dati sensibili) Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari) Art. 23 (Consenso) Pagina 2 di 42

3 Art. 24 (Casi nei quali può essere effettuato il trattamento senza consenso) Art. 26 (Garanzie per i dati sensibili) Art (Titolare del trattamento) Art (Responsabile del trattamento) Art. 30 (Incaricati del trattamento) Art. 31 (Obblighi di sicurezza) Art. 32 (Particolari titolari) Art. 33 (Misure minime) Art. 34 (Trattamenti con strumenti elettronici) Art (Trattamenti senza l ausilio di strumenti elettronici) Art. 36 (Adeguamento) Art. 37 (Notificazione del trattamento) Art. 38 (Modalità di notificazione) Art. 39 (Obblighi di comunicazione) Art. 58 (Disposizioni applicabili) Art. 59 (Accesso a documenti amministrativi) Art. 60 (Dati idonei a rivelare lo stato di salute e la vita sessuale) Art. 63 (Consultazione di atti) Art. 84 (Comunicazione di dati all interessato) Art. 161 (Omessa o inidonea informativa all interessato) Art. 162 (Altre fattispecie) Art. 167 (Trattamento illecito di dati) Art. 169 (Misure di sicurezza) Pagina 3 di 42

4 L utilizzo delle risorse informatiche deve essere ispirato al principio di diligenza e correttezza. Questi atteggiamenti sorreggono ogni atto o comportamenti posti in essere nell ambito del rapporto di lavoro. I sistemi informatici Il Personal Computer ed i relativi programmi e/o applicazioni affidati al dipendente sono strumenti di lavoro e si devono seguire le seguenti indicazioni: 1. gli strumenti vanno custoditi in modo appropriato 2. gli strumenti possono essere utilizzati solo per fini professionali ed in relazione, alle mansioni assegnate 3. debbono essere prontamente segnalati all Ente il furto, il danneggiamento o smarrimento Comportamenti da evitare Utilizzo del Personal Computer 1. Onde evitare il pericolo di introduzione dei virus informatici è consentito installare programmi provenienti dall esterno, solo se espressamente autorizzati 2. Non è consentito l uso di programmi non distribuiti ufficialmente dall azienda distributrice 3. Non è consentito utilizzare strumenti software e/o hardware atti a intercettare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici 4. Non è consentito modificare le configurazioni impostate sulla propria postazione di lavoro 5. Non è consentita l installazione sulla propria postazione di lavoro di mezzi di comunicazione personali 6. Non è consentito in genere l uso delle periferiche della postazione di lavoro se non ai fini prettamente lavorativi I supporti magnetici 1. Non è consentito scaricare file contenuti in supporti magnetici/ottici non aventi alcuna attinenza con la propria prestazione lavorativa Pagina 4 di 42

5 2. Tutti i file di provenienza incerta o esterna, ancorchè attinenti la propria attività lavorativa, devono essere sottoposti al controllo e relativa autorizzazione all utilizzo Pagina 5 di 42

6 La rete dell Ente Le unità di rete sono aree di condivisione di informazioni strettamente professionali e non possono, in alcun modo, essere utilizzate per scopi diversi. Pertanto, qualunque file che non sia legato all attività lavorativa, non può essere dislocato, nemmeno per brevi periodi in queste unità. Navigazione in Internet 1. Non è consentito navigare in siti non attinenti lo svolgimento delle mansioni assegnate soprattutto in quelli che possono rivelare le opinioni politiche, religiose o sindacali del dipendente 2. Non è consentita l effettuazione di ogni genere di transazione finanziaria, comprese le operazioni di remote banking, acquisti on line e simili, salvo i casi direttamente autorizzati e con il rispetto delle normali procedure di acquisto 3. Non è consentito lo scarico di software gratuiti (freeware) e shareware prelevato da siti Internet, se non espressamente autorizzato 4. E vietata ogni forma di registrazione a siti i cui contenuti non siano legati all attività lavorativa né è permessa la partecipazione per motivi non professionali a Forum, l utilizzo di Chat Line, di Bacheche Elettroniche e le registrazioni in guest book (anche utilizzando pseudonimi o nicknames) 5. Non è consentita la memorizzazione di documenti informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica La Posta Elettronica 1. Non è consentito utilizzare la posta elettronica (interna ed esterna) per motivi non attinenti allo svolgimento delle mansioni assegnate 2. Non è consentito inviare, memorizzare messaggi (interni ed esterni) di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica 3. La posta elettronica diretta all esterno della rete informatica aziendale può essere intercettata da estranei e, dunque, non deve essere usata per inviare documenti di lavoro strettamente riservati 4. Ogni comunicazione (interna ed esterna), inviata o ricevuta, che abbia contenuti rilevanti o contenga impegni deve essere visionata od autorizzata Pagina 6 di 42

7 5. Non è consentito l utilizzo dell indirizzo di posta elettronica aziendale per la partecipazione a dibattiti, Forum o Mail-List, salvo diversa ed esplicita autorizzazione Naming Authority La Naming Authority, l organismo che detta le procedure in base alle quali vengono assegnati i nomi di dominio terminanti con il suffisso (.it) ha stilato un decalogo per l uso della rete. Le regole non sono legge dello stato ma una regolamentazione caratterizzata da particolare autorevolezza. Sono un sunto della serie di tradizioni e principi di buon comportamento che vanno sotto il nome di netiquette. Regole di netiquette Approfondire Quando si arriva in un newsgroup nuovo o in una lista distribuzione via posta elettronica, è bene leggere i messaggi che vi circolano per almeno due settimane prima di inviare propri messaggi in giro per il mondo: in tale modo ci si rende conto dell argomento e del metodo con cui esso viene trattato dalla specifica comunità. Questa regola di prudenza raggiunge due obiettivi rispettivamente di colui che entra e dei precedenti partecipanti. Il primo evita rapporti non corrispondenti ai propri interessi e i secondi evitano contatti con chi non ha gli stessi interessi. Questa è una regola che impone il non fare. Messaggi Brevi I messaggi mandati è bene che siano sintetici e scritti in modo chiaro e che sia descritto in modo diretto il problema. Specificare sempre, in modo breve e significativo l oggetto (campo subject) del testo incluso nella mail. L obiettivo è sia di trasparenza che tecnico. Internet per sua caratteristica impone trasmissioni brevi. Non andare fuori tema La terza regola della netiquette suggerisce di non divagare rispetto all argomento del newsgroup o della lista di distribuzione via posta elettronica. Selezionare la mailing list Vanno evitati broadcast del proprio messaggio verso molte mailing list. Anche qui l obiettivo è tecnico: evitare utilizzi inutili della rete. L obiettivo è anche inoltre il rispetto della sfera di azione degli altri. Non ha senso mandare messaggi a soggetti cui l argomento non interessa. Pagina 7 di 42

8 Risposte senza messaggio Quando si risponde ad un messaggio, è opportuno riportare le parti rilevanti del messaggio originario in modo da facilitare la comprensione della risposta stessa. Quando è necessario, riportare l intero messaggio. Contradditorio Un altro dei comandamenti della Naming Autorithy obbliga a non condurre guerre di opinione sulla rete a colpi di messaggi e contromessaggi. Le diatribe personali si risolvono in altre sedi. La newsgroup serve per allargare il dialogo e monopolizzare il gruppo significa togliere spazi agli altri interlocutori. Riservatezza della Mail Non pubblicare mai senza esplicito consenso dell autore contenuti di messaggi di posta elettronica. Questo punto ha anche rilevanza giuridica. Chi viola il precetto citato, ha compiuto una violazione di una disciplina mediante comportamento colposo ai sensi dell art. 43 del codice penale. Non dimenticare inoltre la violazione di norme della legge 675/96. Inoltre l interessato può revocare in qualsiasi momento il suo assenso impedendo o interrompendo l azione di pubblicazione e comunicazione della sue . Nessuna intolleranza Non si deve essere intolleranti con chi commette errori sintattici o grammaticali. Chi scrive, è comunque tenuto a migliorare il proprio linguaggio in modo da risultare comprensibile alla collettività. Non si deve dimenticare che secondo i più Internet è lo strumento democratico per il progresso generalizzato. Evitare domande già fatte Non pubblicare messaggi stupidi. Leggere le FAQ (Frequently asked questions) relative all argomento trattato prima di inviare nuove domande. La pubblicazione del messaggio stupido può essere fonte di lesione al decoro e alla reputazione e quindi potrebbe comportare addirittura il concorso nella responsabilità civile nei confronti del danneggiato. Pagina 8 di 42

9 Stop allo spamming Chi osserva le presenti regole, si impegna a non inviare tramite posta elettronica messaggi pubblicitari o comunicazioni che non siano state sollecitate in modo esplicito. Così si anticipa anche il contenuto della futura legislazione italiana sul marketing elettronico, con una chiara indicazione a favore per il sistema dell optingin. La regola in esame prevede un sollecito del messaggio commerciale e questo sollecito non può che essere preventivo rispetto all invio. La raccolta del sollecito, o si può dire del consenso, deve precedere il messaggio pubblicitario. Regole di buon senso Al decalogo la Naming Autorithy aggiunge altri cinque criteri di buon senso. Il buon senso è considerato giuridicamente come buona fede e pertanto regola di comportamento del buon navigatore. In rete si lavora La rete è utilizzata come strumento di lavoro da molti degli utenti. Nessuno di questi ha tempo per leggere messaggi inutili o frivoli o di carattere personale, e dunque non di interesse generale. Gli ingorghi sul Web Qualunque attività che appesantisca il traffico o i servizi sulla rete, quali per esempio il trasferimento di archivi voluminosi o l invio di messaggi di posta elettronica contenenti grossi allegati ad un gran numero di destinatari, sostiene la seconda regola, deteriora il rendimento complessivo della rete. La raccomandazione pertanto è quella di effettuare queste operazioni in modo da ridurre il più possibile l impatto sulla rete. In particolare si raccomanda di: - effettuare i trasferimenti di archivi in orari diversi da quelli di massima operatività (per esempio di notte), tenendo presenti le eventuali differenze di fuso orario; - non inviare per posta elettronica grosse moli di dati; indicare se possibile la locazione (URL) dei dati nel messaggio, rendendoli piuttosto disponibili per un eventuale prelievo o per la consultazione in rete. Usare siti server Vi sono nella rete una serie di siti server (file server) che contengono in copia aggiornata, documentazione, software e altri oggetti disponibili sulla rete. Il buon senso dice di informarsi preventivamente su quale sia il nodo server più accessibile. Se un file è disponibile su di esso o localmente, non vi è alcuna ragione per prenderlo dalla rete, impegnando inutilmente le linea e impiegando sicuramente un tempo maggiore. Pagina 9 di 42

10 Attenzione ai brevetti L argomento è molto delicato. Non è vero che tutto quello che si trova sulla rete è utilizzabile senza problemi. Il software reperibile sulla rete può essere coperto da brevetti e/o vincoli di utilizzo di varia natura. Quindi è buona norma leggere sempre molto attentamente la documentazione di accompagnamento prima di utilizzarlo, modificarlo o redistribuirlo in qualunque modo e sotto qualunque forma. Il rispetto della legge Il buon senso dice di rispettare la legge, anziché violarla. E pertanto per questo che vengono sinteticamente riportati i comportamenti in violazione della legge che si devono evitare. Sono comportamenti scorretti: - violare la sicurezza di archivi e computer della rete; - violare la privacy di altri utenti della rete, leggendo o intercettando la posta elettronica loro destinata; - compromettere il funzionamento della rete e degli apparecchi che la costituiscono con programmi (virus, trojan horses, etc) costruiti appositamente. Questi comportamenti costituiscono dei veri e propri crimini elettronici e come tali sono punibiti dalla legge sia civilmente che penalmente. Come segnalare le violazioni Le violazioni vanno segnalate alla naming Autorithy italiana e alla registration Autorithy italiana tramite posta elettronica all indirizzo ABUSE@NA.nic e in copia all indirizzo info@nic.it. Non va incluso il testo completo del messaggio. L invio alla lista citata implica il consenso alla pubblicazione della segnalazione. Pagina 10 di 42

11 Linee guida e informazioni generali (fonte AIPA) Fattori di incremento del rischio e comportamenti da evitare 1. I seguenti comportamenti, comportano un incremento dei livelli di rischio informatico a) riutilizzo di dischetti già adoperati in precedenza b) uso di software gratuito (o shareware) prelevato da siti internet o in allegato a riviste o libri c) collegamento in rete, nel quale il client avvia solo applicazioni residenti nel proprio disco rigido d) collegamento in rete, nel quale il client avvia anche applicazioni residenti sul disco rigido del server e) uso di modem per la posta elettronica e prelievo di file da BBS o da servizi commerciali in linea o da banche dati f) ricezione di applicazioni e dati dall'esterno, Amministrazioni, fornitori, ecc. g) utilizzo dello stesso computer da parte di più persone h) collegamento in Internet con download di file eseguibili o documenti di testo da siti WEB o da siti FTP l) collegamento in Internet e attivazione degli applets di Java o altri contenuti attivi m) file attached di posta elettronica Norme basilari di comportamento Al fine di evitare problemi correlati ad infezioni informatiche, dovranno essere rispettate almeno le seguenti prescrizioni: a) i floppy disk, sia quando vengono forniti sia quando vengono ricevuti, devono essere sottoposti a scansione da parte del programma antivirus b) è obbligatorio sottoporre a controllo tutti i floppy disk di provenienza incerta prima di eseguire o caricare uno qualsiasi dei files in esso contenuti. c) non si deve utilizzare il proprio "disco sistema" su di un altro computer se non in condizione di "protezione in scrittura". d) proteggere in "scrittura" tutti i propri floppy disk di sistema o contenenti programmi eseguibili. e) se si utilizza un computer che necessita di un "bootstrap" da floppy, usare un floppy disk protetto in scrittura. f) non attivare mai da floppy un sistema basato su hard disk a meno di utilizzare un disco di sistema, protetto in scrittura e sicuramente non infetto. g) limitare la trasmissione di files eseguibili (.COM,.EXE,.OVL,.OVR) e di sistema (.SYS) tra computers in rete. h) non utilizzare i server di rete come stazioni di lavoro. i) non aggiungere mai dati o files ai floppy disk contenenti programmi originali. Pagina 11 di 42

12 Regole operative 1. Tutti i computer devono essere dotati e sottoposti a controllo antivirus 2. L Amministrazione deve assicurarsi che i computer delle società esterne, qualora interagiscano con proprio sistema informatico, siano dotati di adeguate misure di protezione antivirus 3. Il personale delle ditte addette alla manutenzione dei supporti informatici devono usare solo dischetti preventivamente controllati e certificati singolarmente ogni volta 4. I dischetti provenienti dall' esterno devono essere sottoposti a verifica da attuare con un P.C. non collegato in rete (macchina da quarantena), ed inoltre devono essere individuate le aree dell'amministrazione che, in relazione alla loro particolare attività, sono da considerare a più alto rischio nei riguardi dell'infezione da virus. 5. All'atto della individuazione di una infezione il virus deve essere immediatamente rimosso. 6. Tutti gli utenti del sistema informatico devono sapere a chi rivolgersi per la disinfezione e l'informazione dell'infezione deve essere mantenuta riservata. 7. Il personale deve essere a conoscenza che la diffusione dei virus è punita dall'art. 615 quinquies del Codice Penale. 8. Il software acquisito deve essere sempre controllato contro i virus e verificato perchè sia di uso sicuro prima che sia installato. Caratteristiche di base del software antivirus 1. Il software antivirus deve essere sottoposto a costante e frequente aggiornamento ed in particolare a) gli aggiornamenti devono essere resi disponibili non solo per posta ma anche tramite BBS o Internet b) deve essere particolarmente efficace contro i virus della nostra area geografica c) deve poter effettuare automaticamente una scansione ogni volta che viene avviato un programma d) deve poter effettuare una scansione automatica del floppy disk e) deve accorgersi del tentativo di modificare le aree di sistema f) deve essere in grado di effettuare scansioni a intervalli regolari e programmati g) deve essere in grado di effettuare la scansione all interno dei file compressi h) deve mantenere il livello di protezione in tempo-reale Pagina 12 di 42

13 i) deve eseguire la scansione in tempo-reale l) deve poter eseguire la rimozione del codice virale in automatico m) in caso di impossibilità di rimozione i file non pulibili devono essere spostati una subdirectory predefinita, n) deve essere attivo nella protezione per Applet di ActiveX e Java contenenti codice malizioso o) deve essere in grado di effettuare la rilevazione/pulizia dei virus da Macro sconosciuti p) deve essere in condizione di rilevare e rimuovere i virus da macro senza file pattern con un grado di riconoscimento superiore al 97 % q) deve essere in grado di riconoscere i codici virali anche in file compattati utilizzando qualsiasi programma di compressione e in qualsiasi ambiente operativo Considerato che in sistemi basati su reti locali o su reti geografiche, aumenta il pericolo di diffusione dei virus, ove possibile il sistema antivirus deve essere centralizzato e predisposto a svolgere almeno le funzioni di: 1. distribuzione degli aggiornamenti sia dei motori di scansione che degli eventuali file pattern 2. controllo e monitoraggio degli eventi virali 3. automatico spostamento in directory di quarantena di virus informatici risultati non pulibili 4. avviso all amministratore di sistema di rilevazione di virus e indicazione del file infetto Pagina 13 di 42

14 Normativa Legge 23 dicembre 1993 n 547 ART. 1. Modificazioni ed integrazioni delle norme del codice penale e del codice di procedura penale in tema di criminalità; informatica. 1. All'articolo 392 del codice penale, dopo il secondo comma è; aggiunto il seguente: "Si ha, altresì;, violenza sulle cose, allorché; un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento da un sistema informatico o telematico". 1 1 esercizio arbitrario delle proprie ragioni con violenza sulle cose. Agli effetti della legge penale si ha violenza sulle cose allorchè la cosa viene danneggiata o trasformata o ne è mutata la destinazione. Se un programmatore interno od esterno all'amministrazione inserisce nel codice del programma una "bomba logica" una backdoor, o più in generale una qualsiasi routine che nel corso del tempo modifichi il normale funzionamento del programma stesso, al fine di far valere le proprie ragioni, si può applicare l'art 392. Tutto il software sviluppato all'interno dell'amministrazione prima dell'installazione deve essere collaudato e la documentazione consegnata dovrà corrispondere in tutto e per tutto al programma originale. Gli sviluppatori esterni dovranno garantire che il software consegnato è esente da routine atte al danneggiamento, alla trasformazione o al mutamento di destinazione. Pagina 14 di 42

15 ART ART L'articolo 420 del codice penale è; sostituto dal seguente: "Art (Attentato a impianti di pubblica utilità;). - Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è; punito, salvo che il fatto costituisca più; grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o di pubblica utilità;, ovvero dati, informazioni o programmi in essi contenuti o ad esso pertinenti. Se dal fatto deriva la distruzione o il danneggiamento dell'impianto o del sistema, dei dati, delle informazioni o dei programmi, ovvero l'interruzione anche parziale del funzionamento dell'impianto o del sistema, la pena è; della reclusione da tre a otto anni". 1. Dopo l'articolo 491 del codice penale è; inserito il seguente: "Art. 491-bis - (Documenti informatici) - Se alcuna delle falsità; previste dal presente capo riguarda un documento informatico pubblico o privato, si 2 Danneggiamento e distruzione di sistemi informatici e di pubblica utilità Questa norma mira a punire tutti gli atti DIRETTI a produrre l'evento dannoso e non il loro risultato. Da notare che la norma per essere applicata deve riguardare impianti di pubblica utilità che abbiano rilevanza tale che un eventuale "attentato" sia fonte di immediato pericolo per l'ordine pubblico. Il reato inteso dall'art. 420 è a forma libera, nel senso che il danno può essere provocato anche con l'attivazione di virus informatici o "bombe logiche" Le P.A. devono predisporre una classificazione dei beni informatici ( intesi come dati e come strutture) e soprattutto definire un piano di disaster recovery 3 Falsità in documenti informatici Da notare che per documento informatico non si intende l'output di un elaborazione di dati ma il supporto informatico, qualunque esso sia. Pagina 15 di 42

16 ART applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli". Pagina 16 di 42 4 La tutela del domicilio informatico I sistemi informatici e telematici non sono più considerati mezzi o strumenti tramite i quali esercitare la propria attività professionale o individuale ma diventano luoghi nei quali esercitare l'attività. Nota : per l'applicazione di questo articolo il sistema informatico deve essere protetto da misure di sicurezza L'acceso abusivo cui fa riferimento l'art. 615 ter è quello elettronico o informatico. Per misure di sicurezza potremmo intendere: Accorgimenti tecnici atti ad impedire l'accesso e l'utilizzo del sistema informatico da parte di persone non autorizzate. In sostanza per poter tutelare il diritto all'applicazione della norma in questione il soggetto (P.A. o Ente) deve dimostrare di avere predisposto le misure di protezione Detenzione e diffusione abusiva di codici di accesso a sistemi informatici Anche in questo caso, per l'applicazione della norma occorre che il sistema sia protetto, anche se, parlando di codici d'accesso implicitamente si suppone che il sistema abbia già misure di sicurezza. Da notare che la norma usa l'espressione "parola chiave" che nel lessico "informatico" si usa per indicare la chiave di ricerca documentale, ovviamente la parola chiave cui fa riferimento il legislatore è la chiave logica. Ulteriore nota all'art. 615 quater è la nozione di "procurare" cioè l'azione di chi si adopera per entrare in possesso di codici ecc. In questa definizione rientra, ampiamente, la ricerca per tentativi, effettuata dagli hacker

17 1. Dopo l'articolo 615-bis del codice penale sono inseriti i seguenti: "Art. 615-ter. - (Accesso abusivo ad un sistema informatico o telematico). - Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà; espressa o tacita di chi ha il diritto di escluderlo, è; punito con la reclusione fino a tre anni. e pertanto i sistemi informatici dovranno essere in grado di rilevare e successivamente monitorare i tentativi di accesso. Da notare che da questa norma, inoltre, si può estrapolare anche la nozione del reato di ricettazione in quanto il possesso di password di terze persone può far pensare al loro utilizzo per trarne profitto Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico o telematico Da notare che progettare, realizzare o produrre programmi con le caratteristiche indicate nella norma NON costituisce reato. Anche se la norma, nel panorama internazionale, è innovativa, occorre sottolineare che programmi aventi le caratteristiche descritte dall'art. 615 quater sono insiti anche nei software di gestione dei vari sistemi operativi. Rientra, ad esempio, la fattispecie di reato se un utente di un sistema informatico innavvertitamente o volutamente utilizzando il comando "cancella" distrugge documenti informatici? Il comando "cancella" che nei diversi S.O. può essere erase, delete, kill ecc. è in realtà una funzione o un comando interno del s.o. stesso. In questo caso è perseguibile la software house che ha distribuito il sistema operativo? Naturalmente il legislatore intendeva dare una definizione atta ad identificare i programmi cosidetti "virus". E necessario, nella preparazione delle linee guida fornire una definizione più precisa dei programmi "virus". Da tenere presente, e non è cosa di poco conto, che nell'articolo in questione si parla di diffusione e comunicazione e non di produzione, quindi considerando la natura stessa dei programmi "virus" ( replica di se stessi) questi si diffondono anche ad insaputa dell'utente che li ha attivati e in questo caso l'utente stesso è sanzionabile. Pagina 17 di 42

18 La pena è; della reclusione da uno a cinque anni: 1) se il fatto è; commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità; di operatore del sistema; 2) se il colpevole, per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è; palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità; o alla protezione civile o comunque di interesse pubblico, la pena è; rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è; punibile a querela della persona offesa; negli altri casi si procede d'ufficio. Art. 615-quater.- (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici). - Chiunque, al fine di procurare a se; o ad altri un profitto, o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce istruzioni idonee al predetto scopo, è; punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. La pena è; della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617-quater. Pagina 18 di 42

19 ART Art 615-quinquies. - (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è; punito con la reclusione sino a due anni e con la multa sino a lire venti milioni". 1. Nell'articolo 616 del codice penale, il quarto comma è; sostituito dal seguente: 5 Violazione della corrispondenza Testo integrale dell'art. 616 c.p. " Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero in tutto o in parte la distrugge o sopprime, è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino ad un anno o con la multa da lire sessantamila a un milione. Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino s tre anni. Il delitto è punibile a querela della persona offesa. Agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza" Oltre alle azioni e al reato previste dalla norma è possibile ravvisare la fattispecie di altri reati nell'utilizzo della posta elettronica: Invio di messaggi contenenti insulti - reato di ingiuria Invio di messaggi contenenti frasi diffamatorie nei confronti di un terzo - Reato di diffamazione Invio di messaggi contenenti frasi di minaccia Invio di messaggi contenenti frasi denigratorie verso prodotti commerciali - concorrenza sleale Pagina 19 di 42

20 ART "Agli effetti delle disposizioni di questa sezione, per ;corrispondenza; si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza". 1. Dopo l'art. 617-ter del codice penale sono inseriti i seguenti: "Art. 617-quater. - (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche). Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico, o intercorrenti tra più; sistemi, ovvero le impedisce o le interrompe, è; punito con la reclusone da sei mesi a quattro anni. Salvo che il fatto costituisca più; grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. 6 Le comunicazioni Informatiche o Telematiche I tre articoli introdotti con l'art. 6 sono indirizzati alla protezione e alla sicurezza del sistema informatico. Da notare che per tutti gli articoli in esame le aggravanti della pena sono applicate se il reato è commesso da un pubblico ufficiale o da un incaricato di un pubblico esercizio o dall'abuso delle funzioni di SysOp Pagina 20 di 42