Qualità e sicurezza. Anomalie

Транскрипт

1 Qualità e sicurezza I requisiti di qualità e sicurezza sono contigui: i primi determinano l efficacia dei processi in condizioni di esercizio ordinario i secondi assicurano il raggiungimento dei risultati anche allorché si verificano situazioni anomale. Anomalie Casi anomali non previsti Casi anomali previsti Processo normale Specifiche funzionali Specifiche di qualità Specifiche di sicurezza

2 Anomalie La parte interna del riquadro riguarda la gestione del processo normale. Buona parte del contratto deve essere rivolta a fissare gli elementi che determinano le caratteristiche del processo normale, mentre i requisiti che incidono sull efficienza ed efficacia di tale processo devono essere inclusi nelle clausole relative alla qualità (livelli di servizio, prestazioni, certificazioni di qualità, ecc.). Anomalie La zona intermedia comprende la gestione dei casi anomali, ossia di situazioni diverse da quelle di esercizio ordinario. Di norma tale gestione avviene attraverso opportune contromisure che sono finalizzate a prevenire il verificarsi di un insieme predeterminato di incidenti o a limitarne gli effetti negativi. L appartenenza di un evento alla classe di situazioni ordinarie o anomale può dipendere dalle specifiche di progetto: se il processo è stato progettato per gestire una determinata situazione, la sua corretta gestione rientra nei requisiti di qualità, altrimenti ricade nei requisiti di sicurezza. E opportuno formulare il contratto in modo che non lasci margini di interpretazione circa l attribuzione di eventi ad attività ordinarie o a casi anomali, soprattutto al fine di evitare contenziosi in merito all assolvimento degli obblighi contrattuali. Si consideri, a titolo di esempio, il caso di un sistema di comunicazione; se le specifiche prevedono che sia reso disponibile un canale trasmissivo isolato e dedicato al cliente, le caratteristiche di qualità della fornitura dovranno assicurare che tale canale sia realmente isolato e dunque nessun altro utente possa intercettare o modificare i flussi informativi che lo attraversano; nel caso invece si tratti di una rete condivisa, la protezione nei confronti di intercettazioni o modifiche dei dati trasmessi può essere oggetto di specifici requisiti di sicurezza.

3 Anomalie La zona esterna comprende tutte le casistiche che non è possibile prevedere o per le quali non si sono stabilite specifiche contromisure. Anche se si tratta di eventi imprevedibili, di regola è possibile ridurre o annullare gli effetti negativi di tali incidenti programmando opportune procedure di contrasto e di recupero. Anomalie Quindi, seppure con modalità e pesi diversi in relazione all oggetto della prestazione ed al contesto, ciascun contratto dovrebbe: riportare le clausole inerenti le caratteristiche di qualità di beni e servizi nell ambito di processi ordinari; determinare con chiarezza gli obblighi e le responsabilità dei contraenti nella gestione di un insieme predeterminato di casi anomali (misure di sicurezza); chiarire le modalità con cui dovranno essere gestiti eventi anomali imprevisti, nonché i ruoli e gli obblighi che le controparti dovranno assumere in tale evenienza.

4 Anomalie A titolo di esempio si consideri un contratto di fornitura di un sistema elaborativo (hardware e software) in configurazione di alta affidabilità. Secondo quanto enunciato il contratto dovrebbe contenere: le clausole relative alle caratteristiche di qualità del sistema in condizioni di esercizio ordinario come, ad esempio, la disponibilità, il tempo di intervento ed il tempo di ripristino a fronte di problemi hardware; gli eventi anomali che il fornitore si impegna a fronteggiare come, ad esempio, la presenza accidentale di software malevolo, l accesso indebito ai sistemi da parte del personale addetto alla manutenzione o l assenza di alimentazione elettrica; le procedure per la gestione di eventi imprevisti (ad esempio la modalità con cui il fornitore dovrà fornire aggiornamenti per eliminare vulnerabilità del software o le clausole per la fornitura di assistenza a seguito di problemi imprevisti non addebitabili al fornitore). I prodotti Nel caso di prodotti informatici, i requisiti di sicurezza riguardano principalmente il processo produttivo che dovrebbe assicurare la rispondenza del prodotto alle specifiche. (ad es. la presenza di funzioni di autenticazione, la cifratura di alcuni dati, l assenza di radiazioni elettromagnetiche che potrebbero essere intercettate, ecc) La rispondenza del prodotto alle specifiche può essere attestata con la certificazione di tipo Common Criteria. Tuttavia oggi sono pochi i prodotti generici certificati con tale standard (sistemi operativi e data base) Per quanto concerne il software è difficile trovare sul mercato prodotti che non presentino problemi o vulnerabilità inaspettate Una soluzione potrebbe consistere nell accesso al codice sorgente, in modo da poter verificare la correttezza del software e l assenza di trappole o altre vulnerabilità In generale questa possibilità non è di ausilio sotto l aspetto della sicurezza in quanto è praticamente impossibile verificare la copiosa quantità di codice con cui è realizzato un prodotto software

5 Esempi di clausole per prodotti Si riporta di seguito un esempio, non esaustivo, di clausole che dovrebbero essere inserite nel contratto: clausola di non diffusione delle informazioni di cui il fornitore viene a conoscenza; clausole relative alla distruzione o restituzione dei dispositivi contenenti dati, rimossi o sostituiti per attività di manutenzione; eventuali regole o restrizioni relative alla possibilità di eseguire attività di manutenzione da postazioni di lavoro remote; indicazioni sulle procedure cui il fornitore dovrà attenersi per le attività di manutenzione e sulle politiche di sicurezza che dovranno essere seguite I servizi Sempre più spesso si tende a limitare la realizzazione in casa dei processi e ad utilizzare servizi esterni. Il ricorso ai servizi può variare dalla semplice acquisizione di assistenza specialistica all esternalizzazione dell intera gestione di un sistema informatico (outsourcing). Uno dei vantaggi del ricorso ai servizi è la possibilità di prescindere dalla specifica soluzione tecnica fissando contrattualmente i requisiti del servizio in termini funzionali, di qualità e di sicurezza.

6 Esempi di clausole per servizi Nel caso ad es. un servizio di archiviazione ottica, gli eventi indesiderati che possono verificarsi sono: l accesso alle informazioni memorizzate da parte di soggetti non autorizzati, il danneggiamento dei supporti e la perdita o compromissione delle relative informazioni, la perdita dei supporti per eventi calamitosi (incendi, allagamenti, ecc.). Per ciascuna di queste eventualità il contratto dovrebbe specificare gli obblighi e le responsabilità del fornitore. Ad esempio: il fornitore deve garantire con opportune misure di sicurezza che le informazioni memorizzate sui supporti possano essere accedute solo dal personale autorizzato dall amministrazione, a tal fine il sistema informatico per l accesso remoto ai supporti dovrà essere in grado di verificare la titolarità dei soggetti ad accedere alle informazioni e dovrà assicurare la riservatezza delle informazioni gestite, l amministrazione dal canto suo comunicherà il nominativo di un referente che si farà carico di mantenere un elenco aggiornato degli identificativi relativi ai soggetti autorizzati e di comunicarlo al fornitore; il fornitore deve intraprendere i necessari accorgimenti tecnici ed organizzativi per garantire la leggibilità delle informazioni anche a seguito di problemi di lettura dei supporti di memorizzazione; a titolo indicativo, si osserva che il contratto potrebbe prevedere il pagamento di una penale o la possibilità di rescindere il contratto in danno a seguito della mancata ottemperanza a questa prescrizione. il fornitore deve predisporre un sistema di recovery che dovrà consentire il recupero delle informazioni memorizzate anche nel caso di disastri o altri eventi imprevisti che rendano inagibile il sito di memorizzazione; in tale evenienza il servizio potrà essere sospeso per un periodo non superiore a cinque giorni lavorativi. Obbligazione di risultato Con questa modalità di definizione dei requisiti, la responsabilità dell attuazione della politica di sicurezza è totalmente a carico del fornitore che è tenuto ad adottare le migliori soluzioni tecniche ed organizzative per il raggiungimento degli obiettivi fissati nel contratto. In questo caso il contratto si configura come una obbligazione di risultato, ossia una obbligazione avente per oggetto il risultato dell'attività posta in essere dal soggetto cui è richiesta. Di conseguenza l esatta esecuzione della prestazione dovuta coincide con il raggiungimento dell obiettivo di sicurezza perseguito dal soggetto che ha diritto alla prestazione.

7 Obbligazione di risultato Tuttavia questo metodo di definizione dei requisiti di sicurezza può presentare alcuni problemi. Innanzitutto la flessibilità nella scelta delle soluzioni tecniche ed organizzative può comportare che il fornitore operi le scelte più vantaggiose sotto il mero aspetto economico, attuando una gestione della sicurezza di livello inferiore a quello atteso. Inoltre il rispetto delle specifiche contrattuali è difficilmente verificabile in fase di collaudo perché una non sicurezza può manifestare i suoi effetti a seguito di situazioni che non è facile simulare durante i test. [1] Questi problemi possono essere mitigati prevedendo opportune penali che rappresentino per il fornitore un disincentivo ad attuare una gestione della sicurezza poco efficace. Occorre tuttavia considerare che la responsabilità del fornitore sarà comunque limitata alla corretta gestione dei casi anomali nella misura in cui tali obblighi sono esplicitati nel contratto. [1] Alcune violazioni alla sicurezza (attacchi passivi) possono addirittura arrecare danni senza mai manifestarsi. Si consideri l esempio dell archiviazione ottica: la riservatezza delle informazioni potrebbe essere garantita con un sistema poco efficace per cui, in fase di esercizio, altri clienti potrebbero accedere alle informazioni di proprietà dell amministrazione. Una vulnerabilità di questo tipo, che chiaramente contrasta con i requisiti contrattuali, difficilmente emergerebbe durante il collaudo. Obbligazione di mezzo Un diverso approccio, che in parte risolve i problemi descritti, consiste nell esprimere i requisiti di sicurezza in termini di misure tecniche ed organizzative che il fornitore dovrà mettere in atto. In questo caso il contratto si configura come una obbligazione di mezzo, in cui l esatta esecuzione della prestazione consiste nel comportamento diligente da parte del fornitore, il quale si impegna a rispettare i requisiti di sicurezza espressi in contratto.

8 Esempi di specifiche di sicurezza Riprendendo il precedente esempio, le specifiche di sicurezza relative al servizio di archiviazione ottica potrebbero essere così formulate: il fornitore dovrà proteggere i locali contenenti i supporti ottici con sistemi di controllo degli ingressi basati su badge magnetici che impediscano l accesso ai locali medesimi a soggetti diversi dal personale autorizzato, il sistema informatico per l accesso remoto ai supporti dovrà consentire la lettura delle informazioni solo previa autenticazione con user-id e password, i prodotti utilizzati dovranno cifrare le informazioni durante il transito in rete in modo da garantirne la riservatezza e l integrità, inoltre i server responsabili dell erogazione del servizio dovranno discriminare l accesso alle informazioni mediante un sistema di controllo accessi basato sul profilo degli utenti, l amministrazione dal canto suo comunicherà il nominativo di un referente che si farà carico di mantenere un elenco aggiornato degli identificativi relativi ai soggetti autorizzati e di comunicarlo al fornitore; il fornitore dovrà effettuare, dopo ogni scrittura sui supporti di memorizzazione, la lettura dei medesimi per verificarle la leggibilità e la copia su un supporto di back-up inoltre, al fine di garantire la leggibilità dei dati nel tempo, dovranno essere effettuati riversamenti su nuovi supporti perlomeno ogni cinque anni; il fornitore dovrà essere dotato di un sistema di business continuity che preveda la duplicazione dei dati su un sito di backup remoto ed assicuri la riattivazione del servizio, anche a seguito di indisponibilità prolungata del sito primario, entro un periodo massimo di cinque giorni lavorativi; il sito di backup dovrà essere protetto con misure di sicurezza fisiche e logiche analoghe a quelle del sito primario. Controindicazioni Anche questo approccio presenta però delle controindicazioni. Il fornitore è infatti tenuto solo alla messa in atto delle misure di sicurezza prescritte e non ha la responsabilità della loro efficacia (o perlomeno ha una responsabilità limitata) in quanto il contratto obbliga solo in merito alle modalità di attuazione della prestazione. Inoltre, poiché è più semplice fornire indicazioni di carattere tecnico che organizzativo, si tende ad attuare una sicurezza di tipo tecnologico dando poca enfasi agli aspetti organizzativi. Infine, se le soluzioni individuate si dimostrano inefficaci, per approntare soluzioni diverse occorre una modifica contrattuale.

9 Obbligazione di risultato o di mezzo Obbligazione di risultato Lascia al fornitore la totale responsabilità nella gestione della sicurezza La sicurezza è descritta in termini di eventi da contrastare L ottemperanza ai requisiti è difficilmente verificabile in fase di collaudo Devono essere previsti valori di soglia e penali Obbligazione di mezzo La responsabilità circa i problemi di sicurezza è condivisa tra ente appaltante e fornitore La sicurezza è descritta in termini di protezioni L ottemperanza ai requisiti è facilmente verificabile in fase di collaudo Il contratto deve fissare con chiarezza i compiti e gli ambiti di responsabilità del fornitore Clausole relative alla tutela dei dati personali Il Decreto legislativo 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali) disciplina i diritti e le tutele dei soggetti relativamente al trattamento dei dati personali. La generica clausola contrattuale relativa all obbligo di rispettare quanto prescritto dal D. Lgs 196/2003, non rappresenta una soluzione al problema in quanto non determina in modo chiaro le obbligazioni del fornitore in tema di sicurezza Il citato decreto attribuisce infatti al titolare del trattamento la responsabilità della corretta gestione e tutela dei dati personali di soggetti terzi. Un soggetto esterno che accede a dati di natura personale in esecuzione di un contratto, è tenuto a seguire le indicazioni del titolare circa il trattamento dei dati, secondo le modalità stabilite nel contratto stesso. E dunque opportuno che il contratto riporti in modo chiaro le regole inerenti il rispetto del Codice e le responsabilità nell ambito dei trattamenti. In particolare dovranno essere chiariti i compiti e le responsabilità circa l approntamento delle idonee misure di sicurezza. Anche in questo caso è possibile seguire due diversi approcci: prevedere che il committente definisca, anche in momenti successivi alla stipula del contratto, le regole di sicurezza che dovranno essere seguite dal fornitore (in tale caso il contratto dovrà sancire l obbligo di attenersi a tali regole); trasferire al fornitore la responsabilità della corretta messa in atto delle misure di sicurezza necessarie per il rispetto del Codice sulla tutela dei dati personali, o di una parte di esse.

10 Clausole e trattamento del dato personale In ogni caso è opportuno che il contratto contenga delle clausole che obbligano il fornitore a collaborare nell attuazione del piano generale di sicurezza. In particolare tali clausole dovranno riguardare: l impegno ad attenersi a quanto stabilito nel Documento programmatico della sicurezza; la disponibilità a collaborare nelle attività di analisi del rischio, fornendo le informazioni di propria competenza sulle vulnerabilità e sulle potenziali minacce; l impegno a comunicare tempestivamente il verificarsi di eventi che possano richiedere la revisione della politica generale di sicurezza; la disponibilità a sottoporsi a verifiche circa la corretta attuazione delle misure di sicurezza. Outsourcing Il contratto di outsourcing è un particolare tipo di contratto di servizio in cui la responsabilità della gestione dei processi informatici è demandata ad un altra organizzazione. I contratti di outsourcing sono particolarmente delicati sotto l aspetto della sicurezza perché, se formulati senza opportuni accorgimenti, possono comportare la perdita del controllo della sicurezza dei processi da parte del committente. E allora opportuno che il contratto contenga elementi sufficienti per garantire che la gestione della sicurezza sia conforme alle esigenze del committente anche al variare delle situazioni al contorno. Poiché, in genere, nell arco di un contratto avvengono diversi cambiamenti tecnologici e di contesto, è opportuno che gli aspetti di sicurezza possano essere modificati in momenti successivi alla stipula. La filosofia da seguire è quella di prevedere tutto il prevedibile, ma stabilire dei canoni di comportamento per negoziare le modifiche in corso d opera

11 Outsourcing Si riporta di seguito un elenco non esaustivo di clausole che può essere opportuno inserire nei contratti di ousourcing: le modalità con cui il fornitore dovrà attenersi alle strategie di sicurezza stabilite dal committente; le clausole di riservatezza e di non divulgazione delle informazioni riservate[1]; l obbligo del fornitore in merito alla produzione di report periodici sui problemi di sicurezza rilevati; le procedure che il fornitore dovrà seguire nel caso di gravi problemi di sicurezza; le procedure per le revisioni periodiche delle misure di sicurezza; il diritto del committente a verificare il rispetto delle clausole di sicurezza con sopralluoghi (audit) condotti dal committente stesso o da terze parti; il diritto del committente ad effettuare prove di accesso indebito (penetration test) sui sistemi gestiti dal fornitore, eventualmente avvalendosi dei servizi di terzi. [1] Sarebbe opportuno che il contratto definisse anche il criterio di classificazione in base al quale il fornitore deve ottemperare alle clausole di riservatezza indicando, ad esempio, le aree riservate o le procedure che trattano informazioni riservate. Collaudo e verifiche Risulta difficile condurre in una fase preliminare il collaudo della sicurezza per il fatto che è difficile riprodurre in un ambiente di prova il complesso di problemi che il sistema di sicurezza dovrebbe essere in grado di gestire. Per questo motivo è opportuno che i contratti prevedano la possibilità di eseguire verifiche anche dopo eseguita la fornitura. Ad esempio è possibile prevedere che il collaudo si prolunghi oltre l inizio della fase di esercizio e che il collaudo positivo sia condizionato all assenza di manifeste vulnerabilità. Un altro aspetto che è importante disciplinare contrattualmente è la possibilità di eseguire test o verifiche a seguito di particolari condizioni (ad esempio sospetto di compromissione del sistema di sicurezza) o periodicamente. In generale è consigliabile introdurre comunque nel contratto la possibilità di verifiche, anche se questa opzione probabilmente non verrà esercitata. In questo caso il contratto dovrà anche chiarire quale parte debba sostenere i costi della verifica, compresi i costi che il fornitore dovrà sostenere per soddisfare le relative richieste. Questa clausola potrebbe non essere accettata da alcuni fornitori, adducendo motivazioni di riservatezza.

12 Responsabilità La definizione stessa di sicurezza (gestione di un sottoinsieme dei casi anomali possibili) comporta che nessun fornitore possa essere in grado di assicurare che la propria prestazione sia esente da problemi nel 100% dei casi. Ogni impegno inerente la sicurezza comporta dei costi per il fornitore che si riverberano sui costi della fornitura o del servizio. Occorre pertanto bilanciare attentamente l esigenza di "sentirsi sicuri" con l obiettivo di contenimento dei costi. Un possibile criterio guida è l attribuzione al fornitore delle responsabilità circa la prevenzione e la gestione delle anomalie in situazioni di esercizio ordinario (cosiddetta sicurezza operativa). Il fornitore dovrà eseguire diligentemente la prestazione evitando possibili errori o distrazioni (culpa in vigilando). i contratti di fornitura del software per prassi non prevedono responsabilità circa la sicurezza del prodotto fornito. In questi casi, se sussiste l esigenza di copertura nei confronti di possibili danni dovuti a difetto di sicurezza, è possibile richiedere nel contratto che il fornitore stipuli un assicurazione a copertura degli eventuali danni. Clausola Penale e. Anche per quanto concerne le penali, la prassi non ne prevede l applicazione nel caso di problemi di sicurezza. In effetti, per i motivi esposti, è difficile prevedere l applicazione di penali nel caso di non sicurezza, è possibile tuttavia prevederle per casi particolari in cui il fornitore ha palesemente violato le specifiche contrattuali. Ad esempio si possono prevedere penali nel caso di comportamenti diversi da quelli previsti contrattualmente riguardanti l uso non corretto delle password, il carente rispetto delle regole inerenti la sicurezza nelle attività di manutenzione, il mancato aggiornamento dell antivirus ecc.

13 Codice Penale Art. 615-ter. Accesso abusivo ad un sistema informatico o telematico. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio Codice Penale Art. 615-quater. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici. Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. La pena è della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell art. 617-quater

14 Codice Penale Art. 615-quinquies. Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico. Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni Codice Penale Art. 617-quater. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche. Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato

15 Codice Penale Art. 617-quinquies. Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche. Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell art. 617-quater Codice Penale Art. 617-sexies. Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche. Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell art. 617-quater

16 GRAZIE PER L ATTENZIONE [email protected]