i) Regolamento per l'utilizzo dei sistemi informatici dell Associazione Forte di Bard



Documenti analoghi
PARTE SPECIALE Sezione II. Reati informatici

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001

LIBRO SECONDO. Dei delitti in particolare TITOLO III. Dei delitti contro l'amministrazione della giustizia CAPO III

Parte speciale Reati informatici

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Circolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA

TECNOLOGIE DIESEL E SISTEMI FRENANTI S.P.A. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N.

LEGGE 23 dicembre 1993 n. 547

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Istruzioni operative per gli Incaricati del trattamento dei dati personali

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

REV. 2015/00 Pag. 1 di 5

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012

ACAM Ambiente S.p.A.

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

Richiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

Approvato dal Consiglio di Amministrazione del 25 maggio 2012

PARTE SPECIALE DELITTI INFORMATICI E DI TRATTAMENTO ILLECITO DI DATI I DELITTI INFORMATICI E DI TRATTAMENTO ILLECITO DI DATI

PARTE SPECIALE SEZIONE II I REATI INFORMATICI

COMUNE DI RENATE Provincia di Monza e Brianza

REGOLAMENTO PER LA DISCIPLINA

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ONLINE

NOTE LEGALI E PRIVACY

EUROCONSULTANCY-RE. Privacy Policy

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

PRIVACY POLICY DI LattinaDesign S.r.l.s

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

- PARTE SPECIALE B- DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Il controllo nell utilizzo delle strumentazioni informatiche e telematiche aziendali da parte dei collaboratori Avv.

PRIVACY POLICY DEL SITO WEB

FAMIGLIA DI REATI REATI INFORMATICI NORMATIVA CHE LI HA INTRODOTTI

Posta elettronica, Internet e controlli sui dipendenti Relatore Avv. Giampiero Falasca

REGOLAMENTO PER UTILIZZO DELLA RETE INTERNET TRAMITE TECNOLOGIA WI FI NELLA BIBLIOTECA COMUNALE GIUSEPPE ABBIATI

PRIVACY POLICY SITO INTERNET

INFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

La responsabilità amministrativa degli enti si estende ai delitti in materia di trattamento dei dati personali. Novità introdotte dal D.l. n. 93/2013.

Regolamento attuativo delle linee guida del Garante in tema di utilizzo e controllo degli strumenti elettronici

Provincia di Napoli REGOLAMENTO PER LA GESTIONE E L'UTILIZZO DELLA POSTA ELETTRONICA

INFORMATIVA SULLA PRIVACY. In questa pagina si descrivono le modalità di gestione del sito in riferimento al

Politica per la Sicurezza

Il quadro normativo sulla sicurezza informatica

Privacy Policy di

LA FORMAZIONE CONTINUA: NON SOLO UN OBBLIGO MA UNA OPPORTUNITA

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

Linux e la sicurezza Computer crimes e tutela della privacy

REGOLAMENTO PER LA DISCIPLINA DELL ASSEGNAZIONE E DELL USO DEGLI INDIRIZZI MAIL

!!!!!!!!!!!!!!!!!!!!!!! REGOLAMENTO* Wi-Fi* !!! !!!

All. 3 Termini per l utilizzo del servizio web e Allegato Tecnico per l accesso al Mercato Elettronico e suo utilizzo

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

L amministratore di sistema. di Michele Iaselli

Allegato 3 Sistema per l interscambio dei dati (SID)

Allegato A: Regole tecniche per la gestione dell identità.

MINISTERO DELL INTERNO ISTITUTO PER LA VIGILANZA Dipartimento della Pubblica Sicurezza CONVENZIONE

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

MANUALE DELLA QUALITÀ Pag. 1 di 6

Il monitoraggio fiscale

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

Comune di Viadana (Provincia di Mantova) DISCIPLINARE SULL UTILIZZO DEL SERVIZIO INTERNET E DEL SERVIZIO DI POSTA ELETTRONICA

Sezione Reati ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita

COMUNE DI PARMA REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA AI FINI DELLA SICUREZZA URBANA

Avv. Carlo Autru Ryolo

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

Presidenza del Consiglio dei Ministri

Documento informatico e firme elettroniche

REGOLAMENTO ALBO ON LINE Allegato n. 4

Reati informatici. Elementi generali. Sentenza. Violenza sulle cose. Normativa di riferimento. Accesso abusivo a un sistema informatico 1/3

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON LINE

Guardie Giurate. Art. 2 Statuto dei lavoratori.

CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA

REGOLAMENTO INTERNO PER LA GESTIONE E LA COMUNICAZIONE ALL ESTERNO DI INFORMAZIONI RISERVATE E PRIVILEGIATE

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

ll sito Internet è di proprietà di: Nesocell Srl via Livorno n.60 I Torino - Italia P. IVA

COMUNE DI CARASCO (Provincia di Genova)

Una rivoluzione importante. Sottoscrizione e trasporto di un documento digitale

INFORMATIVA SULLA PRIVACY

LA REVISIONE LEGALE DEI CONTI

Informativa ex art. 13 D.lgs. 196/2003

REGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA

e-government La Posta Elettronica Certificata

LA PRIVACY DI QUESTO SITO

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON LINE

DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI

Roma, ottobre Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore

- PARTE SPECIALE D- I REATI DI RICETTAZIONE, RICICLAGGIO E IMPIEGO DI DENARO, BENI O UTILITA DI PROVENIENZA ILLECITA

1) PREMESSE 2) OGGETTO DEL CONTRATTO

COMUNE di ARTEGNA Provincia di Udine R E G O L A M E N T O DEL SERVIZIO INTERNET NELLA BIBLIOTECA COMUNALE DI ARTEGNA

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

COMUNE DI CIVITAVECCHIA Provincia di Roma REGOLAMENTO PER IL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA E LA FIRMA DIGITALE

Rubrica legale - ICT Security Giugno 2004 Autore: Daniela Rocca (SG&A) SEPARAZIONE E CRIPTAZIONE DEI DATI IN AMBITO SANITARIO

Transcript:

Modello di organizzazione, gestione e controllo ex D.Lgs. 231/01. PARTE SPECIALE D : I DELITTI INFORMATICI E DI TRATTAMENTO ILLECITO DI DATI. La presente Parte Speciale, dedicata alla prevenzione dei reati delitti informatici e di trattamento illecito di dati e alla disciplina dei comportamenti ed attività che potrebbero astrattamente configurarli, è strutturata nelle seguenti parti: 1) illustrazione delle fattispecie di reato ascrivibili alla famiglia dei delitti informatici e di trattamento illecito di dati contro la Pubblica Amministrazione, astrattamente configurabili nella realtà dell Associazione Forte di Bard; 2) identificazione dei processi ed attività aziendali dell Associazione Forte di Bard a rischio di potenziale commissione dei suddetti reati e derivanti dalle attività di risk assessment condotte e delineazione dei principi di comportamento e regole di condotta applicabili nella realizzazione delle attività a rischio, ad integrazione del sistema etico. Costituiscono parte integrante della seguente Parte Speciale, anche i seguenti documenti qui allegati: i) Regolamento per l'utilizzo dei sistemi informatici dell Associazione Forte di Bard ii) Documento descrittivo dell organizzazione e gestione della rete informatica dell Associazione Forte di Bard. La presente Parte Speciale verrà ulteriormente dettagliata attraverso la redazione di un documento volto ad ulteriormente precisare le modalità di gestione della struttura informatica dell Associazione Forte di Bard con riferimento all area museale, all Hotel Cavour et des Officiers e all area ITC e ad eventualmente implementare le misure volte a minimizzare il rischio di commissione dei reati informatici. I) LE FATTISPECIE DI REATO: Tra i reati informatici, si riportano di seguito quelli astrattamente configurabili nell ambito delle attività svolte dall Associazione Forte di Bard: *Delitti informatici e trattamento illecito di dati (art. 24 bis del D.lgs. 231/2001) Tali ipotesi di reato rappresentano varie forme di aggressione a sistemi informatici o dati informatici e possono essere distinti in due gruppi: - reati informatici in senso stretto, che sono la quasi totalità;

- reati commessi attraverso l uso di un sistema informatico, che sono quelli di falsità connesse a documenti informatici (art.491-bis c.p.) e di frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.). Prendendo le mosse dai reati informatici in senso stretto, di cui al primo punto che precede, gli stessi sono posti a presidio di beni giuridici diversi, quali l inviolabilità del domicilio, l inviolabilità dei segreti, l integrità di dati o sistemi. Per quanto riguarda le condotte di accesso abusivo, il più delle volte propedeutiche alla commissione degli altri illeciti, vengono in rilievo i comportamenti dei cosiddetti hacker o cracker, i quali, seppure con finalità parzialmente diverse, forzano sistemi di protezione o alterano parte del codice d accesso. In particolare, sebbene le due figure siano equiparate, l hacker forzerebbe il sistema al solo scopo di mostrarne la vulnerabilità, mentre il cracker sarebbe mosso dal fine di danneggiarne il contenuto. L ipotesi di accesso abusivo ricorre: - sia nei casi in cui abbia ad oggetto un sistema che è interconnesso a una rete (ad es, internet) per cui non si possiede alcun tipo di autorizzazione, nella quale ipotesi l autore del reato effettua connessioni triangolate su server esteri in modo da complicare la ricostruzione del percorso d accesso; - sia quando lo si effettui ai danni di un sistema rispetto al quale si dispone di credenziali, ma per una funzione differente da quella per cui avviene l accesso. Tale condotta appare facilmente integrabile in relazione a una rete aziendale, ove i dipendenti accedano ad un area del server aziendale, senza esservi autorizzati. Il caso potrebbe verificarsi ove il dipendente sottraesse le credenziali di un collega onde accedere ad ambiti allo stesso vietati. Come anticipato, l accesso abusivo è punito a prescindere dalla finalità per cui venga posto in essere e dal danneggiamento dello stesso: tuttavia, premesso che nella generalità dei casi i sistemi informatici o telematici sono protetti da misure di sicurezza, appare assai improbabile che l accesso prescinda da rimozioni di sicurezze, alterazione di password o altre forzature del sistema, tali da integrare forme di danneggiamento. Con riguardo alle ipotesi di danneggiamento appena menzionate, deve farsi riferimento alle modifiche che intervengano sulla componente hardware o software, in modo da impedirne, anche parzialmente, il funzionamento.

Il Legislatore punisce altresì il danneggiamento di dati e programmi informatici, che può essere posto in essere tramite la diffusione di virus o, più semplicemente, attraverso i normali comandi del sistema o i programmi di cui dispone. L art.24-bis individua tra le fattispecie delittuose in esame anche la detenzione o diffusione abusiva di codici di accesso a sistemi informatici o telematici: di conseguenza, devono essere scongiurati in ambito aziendale comportamenti sostanziantisi nell uso di password troppo semplici o mnemoniche o di abitudini errate nella gestione dei dati. Per quanto riguarda l intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, si tratta di ipotesi di frequente verificazione in relazione alla rete internet e ai server di posta elettronica (in questa ultima ipotesi, l interruzione del servizio può essere provata mediante l invio di milioni di messaggi in modo ripetitivo e massivo verso un server). La condotta assume rilevanza penale anche nei casi in cui si provochi un rallentamento (il cd «impedimento») e non solo la vera e propria interruzione del servizio. L ipotesi potrebbe ricorrere anche in relazione a una rete informatica aziendale, ove l utente, ad esempio mediante l installazione di un software volto alla trasmissione di dati che esulano dallo scopo del sistema informatico, dovesse cagionare un rallentamento o il vero e proprio blocco della rete informatica. Con riferimento all intercettazione di dati, questa può avvenire mediante l accesso fisico alla struttura tecnologica, per la necessità di collegamento della sonda alla centrale telefonica o agli altri apparati che gestiscono le comunicazioni della rete, ovvero attraverso l impiego di software, chiamati spyware. Tali programmi sono ad esempio in grado di acquisire i dati digitati su una tastiera, consentendo in questo modo di acquisire password o informazioni nel momento in cui le stesse vengono digitate, ovvero di verificare i siti web visitati, le email inviate, le informazioni memorizzate sulle memorie di massa. Venendo ai delitti che si consumano attraverso l uso di sistemi informatici, devono essere menzionate le falsità aventi ad oggetto documenti informatici, in considerazione dell equiparazione operata dall art.491-bis c.p. Assume infine rilevanza la frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.), in qualche modo assimilata alla falsificazione di firme olografe. Tale ipotesi delittuosa non assume particolare rilevanza nel presente ambito aziendale, posto che l Associazione Forte di Bard non pone in essere attività certificativa del tipo menzionato.

Ai fini di eventuali responsabilità degli Enti ai sensi del D.Lgs.231/2001, i reati informatici in esame si caratterizzano per l aggressione verso sistemi di terzi: in tale locuzione rientrano tanto i dati di dipendenti che operano all interno dell Ente, quanto quelli di soggetti, anche collettivi, esterni alla Azienda (pubblici o privati). È tuttavia innegabile come il requisito dell interesse o del vantaggio appaia più facilmente integrabile quando l atto delittuoso si indirizzi verso l esterno, potendo venire a colpire entità rispetto alle quali potrebbe essere vantaggiosa l acquisizione di informazioni o l interferenza sul funzionamento del sistema. In ottica prudenziale, l Associazione adotta misure volte a tutelare i propri sistemi e dati e detta principi idonei a scongiurare condotte illecite nei confronti di terzi. II) I PROCESSI SENSIBILI. I processi identificati come a rischio di commissione dei Reati ai sensi del Decreto ed emersi dall analisi di risk assessment svolto sono: a. Gestione del sito internet e della rete intranet dell Associazione Forte di Bard; b. Gestione dell'hardware e del software aziendale; c. Sviluppo, manutenzione e gestione modifiche dei software applicativi; d. Ogni altra attività svolta con l'utilizzo di strumenti di lavoro informatici e telematici. Nell'ambito della gestione di tali attività, ad esempio, le risorse interne dell Associazione potrebbero: a. accedere abusivamente ai sistemi informatici protetti da misure di sicurezza, eventualmente manipolarne i dati al fine di ottenere un vantaggio in ordine agli adempimenti contabili e di bilancio; b. con riferimento alla gestione delle emergenze, distruggere o danneggiare sistemi informatici i cui dati possano provare il mancato adempimento di un obbligo in capo all Associazione; c. distruggere o danneggiare il sistema informatico di rilevazione accessi al fine di impedire la consultazione dei dati e la rilevazione di eventuali carenze nella gestione delle emergenze. III) I PRINCIPI DI COMPORTAMENTO. E fatto espresso divieto a carico dei Destinatari del presente Modello - di porre in essere comportamenti da integrare le fattispecie di reato sopra considerate. In particolare, è fatto divieto di porre in essere i seguenti comportamenti:

- introdursi senza autorizzazione in un sistema informatico o telematico interno o esterno all Associazione Forte di Bard protetto da misure di sicurezza ovvero mantenervisi contro la volontà altrui; - procurare, riprodurre, diffondere, comunicare o consegnare abusivamente codici, parole chiave o altri mezzi idonei all accesso ad un sistema informatico o telematico, protetto da misure di sicurezza o comunque fornire indicazioni o istruzioni idonee al predetto scopo, al fine di procurare a sé o ad altri un profitto o arrecare ad altri un danno; - diffondere, comunicare o consegnare un programma informatico anche da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l interruzione, totale o parziale, o l alterazione del suo funzionamento; - falsificare o utilizzare documenti informatici falsi o commettere una delle condotte previste dal Capo Terzo del Libro secondo del codice penale su documenti informatici; - intercettare fraudolentemente ogni tipo di comunicazione proveniente dall esterno o dall interno dell Associazione Forte di Bard, relativa ad un sistema informatico o telematico o intercorrente tra più sistemi, ovvero impedirla, interromperla, o infine rivelarne, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto; - installare, fuori dai casi previsti dalla legge, apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi; - distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici altrui; ovvero commettere fatti diretti a commettere tali condotte su informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità; ovvero ancora distruggendo, deteriorando, cancellando, alterando o sopprimendo informazioni, dati o programmi informatici altrui, ovvero attraverso l introduzione o la trasmissione di dati, informazioni o programmi, distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ostacolarne gravemente il funzionamento; queste ultime condotte sono anche vietate allorché siano dirette a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento. I divieti sopramenzionati devono considerarsi operanti anche nelle ipotesi di svolgimento di attività da parte dei dipendenti, attraverso l utilizzo di postazioni o di strumenti informatici collocati al di fuori delle sedi sociali, altresì nei casi in cui le attività vietate possano risolversi in un apparente vantaggio per l Associazione Forte di Bard.

IV) PROCEDURE SPECIFICHE. Al fine di scongiurare la commissione dei reati sopra richiamati, l Associazione Forte di Bard adotta le seguenti misure precauzionali. Strumenti e tecnologie Le misure che seguono: - assicurano un adeguata protezione dei sistemi informativi aziendali; - garantiscono la tracciabilità degli accessi e l individuazione, nel caso di episodi violativi delle prescrizioni date, di eventuali responsabilità. In questa ottica: - l accesso ai sistemi viene realizzato tramite postazioni di lavoro (PC) aziendali, fornite dall Associazione Forte di Bard; - l Associazione, per il tramite del proprio Amministratore di Sistema, ha predisposto un inventario recante l individuazione dei singoli dispositivi elettronici consegnati a ciascun dipendente; - sono richieste all utilizzatore le credenziali nominative (username e password) per mezzo delle quali il sistema è in grado di riconoscerne e validarne l identità; - le password hanno un periodo di validità temporale di sei mesi ed un livello di accesso ai sistemi che può essere limitato o ampliato in funzione della mansione assegnata alla risorsa; - sui sistemi informatici vengono periodicamente effettuati aggiornamenti di software, volti a migliorare i livelli di sicurezza, con lo scopo di aumentare le contromisure a protezione dei sistemi aziendali; - trova piena applicazione il Documento Programmatico della Sicurezza, che, seppure ad altre finalità, contiene misure a presidio della integrità e sicurezza dei dati; - l Associazione Forte di Bard garantisce la sicurezza degli impianti rispetto ad accessi abusivi di terzi, sia fisici che informatici, assicurando un continuo monitoraggio sugli edifici e sulla rete; Gestione dei sistemi informatici Al fine di scongiurare la commissione di abusi connessi all utilizzo dei sistemi informatici, è necessario che l Associazione Forte di Bard detti una serie di norme di condotta, che individuino tra i dati che devono essere salvaguardati, anche quelli aventi natura informatica (sistemi informativi, sistemi informatici, trasmissione di dati, nastri, dischetti), che necessitano una tutela nel senso della riservatezza, dell integrità, della disponibilità dell informazione e della tracciabilità delle operazioni effettuate. L Associazione Forte di Bard deve dettare specifiche norme per l utilizzo della postazione di lavoro e dei sistemi informatici aziendali, specificando le cautele che devono essere assunte e le modalità con cui connettersi alla rete internet.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back