ATTENZIONE ULTIMO AGGIORNAMENTO 04 Marzo 2013: PREGO UTILIZZARE IL NUOVOSITO
Dipartimento di Fisica "G. Galilei" Università degli Studi di Padova
Italiano

Legislazioni sulla Sicurezza Informatica

Panorama giuridico-legislativo sui temi della Sicurezza Informatica

La progressiva diffusione degli strumenti informatici e telematici all'interno dei moderni complessi aziendali, espone l'azienda e coloro che ne hanno la responsabilità, ai rischi di un coinvolgimento sia patrimoniale che penale, in relazione all'uso o all'abuso degli strumenti stessi. L'obiettivo di eliminare, o quantomeno limitare, tali rischi impone pertanto all'imprenditore, l'individuazione e l'adozione di contromisure adeguate, sia sul piano organizzativo che tecnico.

Dopo aver preliminarmente operato una breve ricognizione delle fonti normative in vigore in Italia, nonché delle possibili linee di sviluppo della legislazione nel settore della "sicurezza informatica", questo articolo cercherà di individuare gli effettivi fattori di rischio e le aree di intervento per la loro prevenzione.

E' doveroso segnalare che non costituisce oggetto di questa nota la tematica relativa ad eventuali abusi degli strumenti informatici da parte dei dipendenti dell'azienda, i cui effetti incidano solo su aspetti interni all'organizzazione aziendale e non comportino responsabilità verso l'esterno. Ci si riferisce, a titolo di esempio, all'uso dei mezzi informatici per scopi diversi da quelli professionali (computer game, svolgimento di attività privata in ore di ufficio, danneggiamento o distruzione di dati aziendali che non abbiano rilevanza in termini di responsabilità esterna). Trattasi sicuramente di aspetti non trascurabili, ma che esulano dall'analisi dei profili di responsabilità penale e civile dell'azienda e del suo management, e che possono essere affrontati a livello organizzativo e tecnico.

 

1 - Normativa

1.1 Legislazione vigente

<dir>

a) Decreto Legislativo 29 dicembre 1992 n. 518.

"Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore".

b) Legge 23 dicembre 1993 n. 547.

"Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica".

c) Direttiva UE 95/46/CE del 24 ottobre 1995.

La direttiva è "relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati"

L'art. 32 della Direttiva ne prevede il recepimento da parte degli Stati membri "al più tardi alla scadenza del terzo anno successivo alla sua adozione" (23 ottobre 1998).

d) Legge 31 dicembre 1996 n. 675.

"Tutela delle persone e di altri soggetti rispetto al trattamento di dati personali".

</dir>

 

2 - Profili penali

2.1 Protezione dei sistemi informatici da attacchi esterni (criminalità informatica)

La legge 547/93, emendando le disposizioni del codice penale, ha introdotto nel nostro sistema una serie di "crimini informatici", che comportano a carico del reo, l'irrogazione di pene variabili fino ad un massimo di cinque anni di reclusione, e che, per mera informazione, si vanno ad elencare:

<dir>

- Attentato a impianti informatici di pubblica utilità (art. 420);

- Falsificazione di documenti informatici (art. 491bis);

- Accesso abusivo ad un sistema informatico o telematico (art. 615ter)

- Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615quater)

- Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615quinquies);

- Violazione di corrispondenza telematica (artt. 616-617sexies);

- Intercettazione di e-mail (art. 617quater)

- Danneggiamento di sistemi informatici e telematici (art. 635bis);

- Frode informatica (alterazione dell'integrità di dati allo scopo di procurarsi un ingiusto profitto) (art. 640ter).

</dir>

L' introduzione nel nostro ordinamento delle figure di reato sopra elencate, impone al giurista di impresa una riflessione sulle "conseguenze aziendali" di tali comportamenti penalmente rilevanti, tenuti da dipendenti dell'azienda o da terzi.

In primo luogo l'azienda dovrà adottare tutti i dispositivi di sicurezza necessari (parole-chiave, codici logici ecc.), per difendere i propri sistemi informatici da attacchi esterni simili a quelli descritti e previsti dal nostro legislatore. Ciò non solo per opportuna prevenzione ma anche per consentire, nella malaugurata ipotesi che simili intrusioni si verificassero, l'incriminazione del soggetto attivo, con la conseguente richiesta di danni in sede civile.

In secondo luogo, e per quanto più interessa ai fini di questo articolo, dovranno essere posti in atto tutti gli interventi necessari a ridurre i rischi di coinvolgimento dell'azienda, nell'ipotesi che i reati sopra elencati siano commessi dai propri dipendenti che, utilizzando gli strumenti aziendali, si introducano abusivamente nei sistemi informatici di terzi.

Ferma la responsabilità dell'autore del comportamento illecito, il nostro ordinamento penale prevede infatti la categoria dei cosiddetti "reati omissivi impropri" (art. 40 cpv c.p.) che si concretizzano nella violazione di un generico obbligo giuridico di impedire determinati eventi dannosi. Per giurisprudenza e dottrina unanimi, tra le fonti di tale obbligo rientra sicuramente la posizione di controllo connaturata ad un rapporto di lavoro subordinato.

Nel caso dei "reati informatici" sopra elencati e per quanto, nelle fattispecie di reato esaminate, la condotta criminosa sia caratterizzata da note descrittive necessariamente attinenti ad un comportamento positivo da parte dell'autore, un coinvolgimento penale anche del datore di lavoro, a titolo di concorso nel reato commesso da un proprio dipendente, non può essere pertanto aprioristicamente escluso, nella misura in cui le circostanze concrete dimostrino, che il comportamento criminoso del dipendente sia stato agevolato dalla mancata adozione, da parte del datore di lavoro, di idonee misure di prevenzione e controllo.

2.2 Tutela giuridica del software

Considerazioni del tutto analoghe, valgono in relazione a possibili coinvolgimenti penali del datore di lavoro, in relazione a comportamenti dei propri dipendenti che integrino la fattispecie di reato prevista dall'art. 171bis della legge 22 aprile 1941 n. 633, come modificata dal decreto legislativo 29 dicembre 1992 n. 518, in materia di abusiva duplicazione e/o commercializzazione di programmi per elaboratore.

2.3 "Obblighi di controllo" del datore di lavoro

Abbiamo visto che per potersi configurare la responsabilità del datore di lavoro, occorre che venga accertata una violazione degli obblighi di controllo che derivano dalla sua posizione imprenditoriale. Pur in mancanza di una significativa elaborazione giurisprudenziale nel settore di nostro interesse, si possono tuttavia individuare, in linea di principio, delle cautele minime la cui adozione potrebbe fortemente limitare i rischi di un simile coinvolgimento penale:

a) Responsabilizzazione degli utilizzatori finali, attraverso la diffusione dell'informazione circa i rischi penali connessi all'uso indebito del mezzo informatico o alla riproduzione non autorizzata di software. Ciò potrebbe realizzarsi con la diffusione di una sorta di "Codice di comportamento informatico", i cui principi, vista la diffusione ormai capillare del mezzo informatico all'interno dell'azienda, potrebbero addirittura essere inseriti a livello di contratto di lavoro.

b) Formazione degli utilizzatori finali, attraverso corsi di introduzione e di aggiornamento, non solo mirati all'aspetto tecnico-applicativo, ma anche alla tematica della sicurezza informatica, in relazione sia al profilo interno della protezione dei dati aziendali, sia a quello esterno, relativo ai rischi connessi all'accesso a sistemi informatici di terzi. Va infatti segnalato come, uno dei profili principali di responsabilità penali del datore di lavoro, è da sempre visto dalla giurisprudenza nella cosiddetta culpa in eligendo, in altre parole nell'aver adibito a determinate funzioni soggetti non idonei, per carenza di formazione, alle funzioni stesse.

c) Limitazione degli accessi a sistemi informatici esterni solo agli utilizzatori che ne abbiano effettiva necessità per ragioni di servizio; un'altra tipica censura del comportamento del datore di lavoro consiste infatti, nella cosiddetta culpa in vigilando, che si estrinseca nel non aver adottato le misure idonee per vigilare su comportamenti potenzialmente dannosi del dipendente.

d) Meccanismi di controllo dei vari personal computer per verificare l'esistenza di software non autorizzato.

2.4 "Datore di lavoro" e delega di funzioni

In riferimento a possibili coinvolgimenti penali si è finora volutamente fatto riferimento al termine generico di "datore di lavoro", inteso come colui o coloro che hanno la responsabilità dell'impresa (nel caso di una società, gli amministratori).

Costituisce però un principio ormai acquisito in giurisprudenza che, nelle imprese di grandi dimensioni, coloro che hanno la responsabilità dell'impresa possano delegare alcune funzioni amministrative ed esecutive, soprattutto in settori di particolare complessità, e che, a certe condizioni, la delega esenti il delegante da responsabilità penale.

In tal modo si riconosce di fatto la possibilità di circoscrivere gli eventuali coinvolgimenti penali, a livelli più bassi nella gerarchia aziendale, in capo a quei soggetti che abbiano un effettivo controllo sui "beni" tutelati dalla norma penale violata.

Nel nostro caso, le eventuali responsabilità penali derivanti dalla commissione dei "reati informatici" sopra descritti, potrebbero essere assunte da un "Delegato alla sicurezza informatica" purché:

(i) la delega risulti da atto scritto e sia accettata dal delegato;

(ii) il delegato sia soggetto tecnicamente competente, qualificato e idoneo allo svolgimento dei compiti assegnatigli;

(iii) la delega sia effettiva e non solo "sulla carta". Il delegato dovrebbe perciò, nel proprio settore di attività, avere una piena autonomia decisionale e organizzativa ed essere dotato delle risorse necessarie per adempiere alle funzioni delegate;

(iv) il delegante si astenga dall'interferire nell'esecuzione delle funzioni delegate.

Solo a queste condizioni infatti si ritiene che la delega possa avere efficacia esimente. In caso contrario, il rischio di una "risalita" delle eventuali responsabilità penali verso il vertice aziendale, non può essere ragionevolmente escluso.

2.5 Sanzioni penali

Si ritiene opportuno dar conto delle disposizioni sanzionatorie previste dalla legge 31/12/96 n. 675, sul trattamento dei dati personali.

Nella legge sono previste alcune figure di reato, connesse al mancato rispetto degli obblighi di notifica all'istituito "Garante per la tutela delle persone e di altri soggetti rispetto al trattamento di dati personali" o alla mancata osservanza dei provvedimenti adottati da quest'ultimo, che prevederebbero una pena massima fino a due anni di reclusione. Un'altra ipotesi di reato, sanzionato con pene della stessa entità, è il cosiddetto "trattamento illecito dei dati personali", che si estrinseca nell'uso dei dati personali per scopi diversi da quelli consentiti dalla legge e allo scopo di trarne profitto; se da tali fatti deriva nocumento la reclusione è da uno a tre anni.

L'ipotesi di reato più interessante e innovativa è rappresentata dall'"Omessa adozione di misure necessarie alla sicurezza dei dati": "Chiunque, essendovi tenuto, omette di adottare le misure necessarie ad assicurare la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti [...], è punito con la reclusione fino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni". Trattasi di un trattamento sanzionatorio molto severo a carico del responsabile della sicurezza, se si considera che è prevista la punibilità anche del comportamento semplicemente colposo, per negligenza, imperizia o imprudenza.

 

 

3 - Profili di responsabilità civile

3.1 Conseguenze civili dei comportamenti penalmente rilevanti; gestione dati personali

Un primo profilo di responsabilità a carico dell'azienda, deriva dai risvolti risarcitori connessi alla commissione dei reati elencati in precedenza ai punti 2.1 e 2.2 e di ulteriori fatti illeciti dei dipendenti dell'azienda non aventi rilevanza penale. Non si può escludere infatti, che il terzo danneggiato da tali comportamenti, possa chiedere il risarcimento dei danni subiti, non solo a colui che ha commesso materialmente il fatto (il dipendente), ma anche al datore di lavoro, indipendentemente dal possibile coinvolgimento penale di quest'ultimo, di cui si è dato conto al punto 2.3.

Nell'intento di individuare la fonte di tale responsabilità civile da parte dell'azienda, va in primo luogo segnalato come nel nostro ordinamento, l'art. 2049 del codice civile preveda che: "I padroni e i committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell'esercizio delle incombenze a cui sono adibiti".

Trattasi di un principio molto rigido, che pone a carico del datore di lavoro una forma di responsabilità oggettiva in relazione ai comportamenti illeciti dei propri dipendenti, da questi ultimi tenuti nello svolgimento degli incarichi attribuiti. L'esimente dell'"esercizio delle incombenze" è stato peraltro interpretato con molta elasticità dalla giurisprudenza, che ha riconosciuto la responsabilità del datore di lavoro anche nel caso in cui l'evento dannoso sia stato semplicemente agevolato dall'adempimento dell'incarico, e anche ove il preposto abbia agito oltre i limiti delle sue mansioni, o addirittura in trasgressione degli ordini ricevuti.

Una responsabilità del "committente"-azienda, ex art. 2049, è pertanto configurabile in tutti quei casi in cui, i danni subiti dal terzo, siano stati provocati da un comportamento illecito imputabile ad un proprio dipendente e che quest'ultimo lo abbia tenuto nell'esercizio delle proprie "incombenze".

Per quanto direttamente concerne il settore di nostro interesse, un possibile intervento di prevenzione da parte dell'organizzazione aziendale, potrebbe essere individuato nella chiara definizione delle mansioni di coloro che hanno accesso a reti informatiche, nell'intento di limitare, seppur con le oscillazioni interpretative segnalate, il rischio della propria responsabilità, ex art. 2049, alle ipotesi di effettiva sussistenza di rapporto causale tra evento dannoso causato dal dipendente e "incombenze" alle quali lo stesso è adibito.

Un secondo aspetto è connesso alla gestione, piuttosto frequente soprattutto nelle aziende di grandi dimensioni, di banche-dati o elenchi (basti pensare alle liste-fornitori) contenenti dati personali di soggetti terzi.

E' infatti tutt'altro che teorica la possibilità che tali soggetti possano affermare la responsabilità dell'azienda, gestore di dati personali ad essi riferentisi, per i danni subiti a seguito della diffusione per cause accidentali, o anche per fatti commessi da altri terzi, che siano acceduti ai sistemi informatici aziendali, di tali dati.

In assenza di una normativa specifica, occorre fare riferimento all'art. 2043 del codice civile che costituisce una sorta di "clausola generale" del nostro ordinamento in materia di responsabilità civile: "Qualunque fatto doloso o colposo che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il danno a risarcire il danno".

Nel nostro caso, l'omessa adozione di misure di protezione del sistema informatico potrebbe sicuramente integrare l'estremo di condotta colpevole ex art. 2043, ove e per quanto non siano state adottate le cautele minime che chiunque, dotato di un livello di diligenza medio in relazione alle circostanze e alla competenza professionale, avrebbe adottato.

La giurisprudenza potrebbe però individuare, già nell'attuale situazione normativa, la fonte della responsabilità del gestore di dati personali, nell'art. 2050 del codice civile, in materia di esercizio di "attività pericolose", anziché nella disposizione generale dell'art. 2043.

Le conseguenze di una simile interpretazione sarebbero tutt'altro che marginali. Nel caso dell'art. 2043 infatti, le cautele la cui adozione comporterebbe l'esclusione della responsabilità, sarebbero solo quelle imposte da comuni norme di diligenza. L'esclusione da responsabilità ex art. 2050 richiederebbe invece la prova di un grado molto più elevato di diligenza consistente nell'aver adottato "tutte le misure idonee ad evitare il danno". Inoltre, mentre nel caso dell'art. 2043 sarebbe il danneggiato a dover provare l'omessa adozione delle misure di sicurezza, nell'ipotesi di applicazione dell'art. 2050 si verificherebbe un'inversione dell'onere della prova e spetterebbe al danneggiante (nella fattispecie il gestore del sistema informatico) dimostrare che le cautele adottate risultavano idonee, in relazione questa volta, non ad un livello medio di diligenza, bensì alle migliori tecniche messe a disposizione dallo sviluppo tecnologico del settore.

Se si considera infine che, l'applicazione della responsabilità ex art. 2050 è in linea con quanto previsto dalla legge 31/12/96 n. 675, la qualificazione dell'attività di trattamento informatico di dati personali come "attività pericolosa" e la conseguente applicabilità della responsabilità oggettiva di cui all'art. 2050 appaiono, anche sulla base della normativa già in vigore, tutt'altro che ipotetiche.

3.2 Misure di sicurezza

Abbiamo finora parlato genericamente di "misure di sicurezza". Sarebbe però opportuno, in conclusione di questo articolo, dare brevemente conto di quali possano essere in concreto le misure ritenute sufficienti ad escludere, o quantomeno ad attenuare, la responsabilità del gestore di dati personali.

Constatiamo innanzitutto l'assenza di precedenti giurisprudenziali sull'argomento, e della benché minima indicazione legislativa al riguardo.

Dobbiamo perciò ricorrere al testo della legge 31/12/96 n. 675, in materia di sicurezza dei dati. L'art. 15 della legge prevede che: "I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentiti o non conforme alle finalità della raccolta". La legge prevede l'individuazione delle "misure minime" con apposito regolamento.

Nel frattempo però si può per lo meno tentare di individuare dei principi di massima ai quali ispirare una politica aziendale di sicurezza informatica:

- Rispetto dei requisiti di "diligenza professionale", richiesti dall'articolo 2050 del codice civile;

- Adeguamento preventivo ai contenuti espressi dall'art. 15 della legge 31/12/96 n. 675;

- Allineamento a standard riconosciuti a livello comunitario o internazionale;

Quanto a quest'ultimo aspetto, l'adozione dei criteri ITSEC sembra, allo stato, adeguata, anche in relazione alle indicazioni emerse in sede comunitaria. Nella raccomandazione 95/144/CE del 7 aprile 1995, il Consiglio dell'UE raccomandava infatti agli stati membri "che siano applicati, per un periodo iniziale di due anni, i criteri per la valutazione della sicurezza delle tecnologie dell'informazione (ITSEC) nell'ambito delle procedure di valutazione e certificazione, allo scopo di sopperire alle necessità immediate di valutazione e certificazione, legate alla commercializzazione e all'utilizzo di prodotti, servizi e sistemi in materia di tecnologia dell'informazione". Sulla base di tale raccomandazione è infatti prevedibile che le misure minime, che saranno individuate dal legislatore italiano, non possano non fare riferimento ai criteri ITSEC.

La breve analisi che precede, evidenzia come la sicurezza informatica sia tutt'altro che un semplice problema tecnico. Le conseguenze di ordine legale, in termini di possibile esposizione dell'azienda e dei suoi vertici, suggeriscono un approccio globale al problema, non limitato all'adozione di precauzioni operative, ma attento anche ai risvolti di ordine organizzativo nel più ampio contesto del risk management aziendale.


A cura del Centro di Documentazione di Securteam.
Copyright di Securteam S.r.l.