Breve analisi delle modifiche dell’art.34 del D.Lgs.196-2003


1. Premessa

2. Descrizione del modus operandi

3. Alcune precisazioni preliminari

4. Analisi generale della situazione

5. Possibili rischi

6. Conclusioni

In questa sintesi verrà analizzata, in via sintetica, la reale portata delle modifiche recentemente introdotte all’art.34 del D.Lgs. n.196/2003, anche alla luce delle varie notizie riportate dai media.

La questione fondamentale è quella della applicabilità della modifica non solamente ai soggetti organizzati in maniera semplice e di dimensioni piccole e medio piccole, ma – se del caso – anche a soggetti di dimensioni maggiori e comunque più articolati da un punto di vista organizzativo.

L’ analisi si baserà fondamentalmente sul dettato della normativa

Fermo restando quanto in precedenza scritto, la posizione assunta è, in linea di massima, quella del consulente che, in “scienza e coscienza”, debba consigliare ad un proprio Cliente, se adottare o meno la dichiarazione sostitutiva prevista dalla normativa così come modificata, ovvero continuare ad agire come se la modifica non fosse avvenuta.

Ovviamente una cosa è valutare il rapporto costi/benefici, nel senso che nel prosieguo verrà meglio spiegato (rapporto tra omissioni / risparmio organizzativo / costo delle sanzioni pecuniare / costo delle sanzioni non pecuniarie / danni di immagine indiretti).

Per una completa comprensione del presente documento si presuppone la conoscenza dei concetti di base collegati alla applicazione dell’art.34 del D.Lgs. n.196/2003, alle responsabilità connesse alla mancata adozione delle regole da esso poste, sia in sede civile, sia in sede penale, sia in sede “amministrativa”, intendendo in questo caso le responsabilità amministrative nei confronti del Garante.

Per comodità di lettura, riporto qui di seguito il testo degli articoli ai quali fa riferimento la norma in esame:

D.Lgs. n.196/2003 Art. 34 Trattamenti con strumenti elettronici

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

«1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e’ sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonche’ a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1».

D.Lgs. n.196/2003 – Punto 19 dell’allegato B

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l’elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;

19.3. l’analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

D.P.R. 445/2000 – Articolo 47 (R) Dichiarazioni sostitutive dell’atto di notorietà

1. L’atto di notorietà concernente stati, qualità personali o fatti che siano a diretta conoscenza dell’interessato è sostituito da dichiarazione resa e sottoscritta dal medesimo con la osservanza delle modalità di cui all’articolo 38. (R)

2. La dichiarazione resa nell’interesse proprio del dichiarante può riguardare anche stati, qualità personali e fatti relativi ad altri soggetti di cui egli abbia diretta conoscenza. (R)

3. Fatte salve le eccezioni espressamente previste per legge, nei rapporti con la pubblica amministrazione e con i concessionari di pubblici servizi, tutti gli stati, le qualità personali e i fatti non espressamente indicati nell’articolo 46 sono comprovati dall’interessato mediante la dichiarazione sostitutiva di atto di notorietà. (R)

4. Salvo il caso in cui la legge preveda espressamente che la denuncia all’Autorità di Polizia Giudiziaria è presupposto necessario per attivare il procedimento amministrativo di rilascio del duplicato di documenti di riconoscimento o comunque attestanti stati e qualità personali dell’interessato, lo smarrimento dei documenti medesimi è comprovato da chi ne richiede il duplicato mediante dichiarazione sostitutiva. (R)

D.P.R. 445/2000 – Articolo 76 (L) Norme penali

1. Chiunque rilascia dichiarazioni mendaci, forma atti falsi o ne fa uso nei casi previsti dal presente testo unico è punito ai sensi del codice penale e delle leggi speciali in materia.

2. L’esibizione di un atto contenente dati non più rispondenti a verità equivale ad uso di atto falso.

3. Le dichiarazioni sostitutive rese ai sensi degli articoli 46 e 47 e le dichiarazioni rese per conto delle persone indicate nell’articolo 4, comma 2, sono considerate come fatte a pubblico ufficiale.

4. Se i reati indicati nei commi 1, 2 e 3 sono commessi per ottenere la nomina ad un pubblico ufficio o l’autorizzazione all’esercizio di una professione o arte, il giudice, nei casi più gravi, può applicare l’interdizione temporanea dai pubblici uffici o dalla professione e arte.

D.Lgs. n.196/2003 Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante

1. Chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

D.Lgs. n.196/2003 Art. 169. Misure di sicurezza

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro.

2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

In linea di principio, il combinato disposto degli articoli appena riportati può essere sinteticamente letto nel seguente modo “Se il titolare tratta soltanto dati personali non sensibili e l’unico dato sensibile e’ costituito dallo stato di salute o malattia dei propri dipendenti o collaboratori senza indicazione della relativa diagnosi, può non redigere il documento programmatico della sicurezza e sostituire tale redazione con una autodichiarazione effettuata ai sensi dell’art.47 del DPR 445/2000”.

Il discorso relativo alle possibili future semplificazioni per i soli trattamenti appena menzionati e per trattamenti comunque effettuati “per correnti finalità amministrative e contabili” verrà effettuato brevemente alla fine del presente documento.

Pertanto, dovranno ricorrere contemporaneamente e contestualmente le seguenti condizioni affinché la norma possa essere applicabile:

a. Il titolare, direttamente ovvero attraverso i responsabili del trattamento, deve trattare esclusivamente dati non sensibili (ma non “non giudiziari”);

b. l’unico dato sensibile e’ costituito dallo stato di salute o malattia dei propri dipendenti o collaboratori senza indicazione della relativa diagnosi

Si tratta ora di analizzare quali potrebbero essere le categorie dei soggetti che possano usufruire della “semplificazione”, mentre nel prosieguo si effettueranno dei cenni alle conseguenze di una errata analisi della propria situazione; l’analisi e le relative esemplificazioni si baseranno oltre che sui dati comunemente reperibili anche sulla personale esperienza del sottoscritto.

La premessa indispensabile è che il titolare che decida di accedere alla procedura di semplificazione sia ben a conoscenza dei dati trattati dalla propria organizzazione.

A. PROFESSIONI LIBERALI:

a. Medici ed assimilabili: esclusi per definizione in relazione all’attività svolta

b. Ingegneri / Architetti / Geometri: potrebbero usufruire della semplificazione a patto di rispettare pienamente il disposto della norma (in sostanza, solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione])

c. Commercialisti / Consulenti del Lavoro / ecc.: potrebbero usufruire della semplificazione solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione]. Ovviamente potranno, in proprio, accedere alla semplificazione solamente dopo aver accertato che anche le tipologie di dati trattati per conto dei terzi (i propri clienti) siano totalmente e pienamente contenuti nella previsione normativa

d. Avvocati: esclusi per definizione in relazione all’attività svolta

e. Consulenti in generale: potrebbero usufruire della semplificazione a patto di rispettare pienamente il disposto della norma (in sostanza, solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione])

B. IMPRESE:

a. Artigiane: potrebbero usufruire della semplificazione a patto di rispettare pienamente il disposto della norma (in sostanza, solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione])

b. Piccole imprese (sino a 15 dipendenti): potrebbero usufruire della semplificazione a patto di rispettare pienamente il disposto della norma (in sostanza, solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione])

c. Medie imprese: a causa della complessità organizzativa ben difficilmente potranno ricadere nell’ipotesi prevista per le piccole imprese;

d. Grandi imprese: a causa della complessità organizzativa ben difficilmente potranno ricadere nell’ipotesi prevista per le piccole imprese;

e. Imprese emanazione di soggetti giuridici non italiani: esclusi per definizione in relazione all’attività svolta

C. ASSOCIAZIONI:

a. Onlus ed assimilabili: in linea di massima escluse per definizione (potrebbero usufruire della semplificazione a patto di rispettare pienamente il disposto della norma in sostanza, solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione])

b. Associazioni ex art.36 C.C.: in linea di massima escluse per definizione (potrebbero usufruire della semplificazione a patto di rispettare pienamente il disposto della norma in sostanza, solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione])

c. Partiti politici: in linea di massima esclusi per definizione (potrebbero usufruire della semplificazione a patto di rispettare pienamente il disposto della norma in sostanza, solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione])

d. Altre tipologie di associazioni: in linea di massima escluse per definizione (potrebbero usufruire della semplificazione a patto di rispettare pienamente il disposto della norma in sostanza, solamente per i propri dipendenti e purché, per esempio, non trattino anche dati giudiziari [esclusi dalla semplificazione])

Il punto sul quale occorre riflettere molto bene è l’esatta definizione e conseguentemente l’esatta portata della norma in esame; in effetti, nella vita di tutti i giorni, è ben difficile che un titolare tratti solamente dati non sensibili (in sostanza solamente dati “normali”, non sensibili e non giudiziari); è sufficiente avere una foto di un soggetto perché la possibilità di usufruire della semplificazione sia posta nel nulla.

Inoltre, l’unico dato sensibile del proprio dipendente deve essere necessariamente (e solamente) quello relativo “allo stato di salute o malattia dei propri dipendenti o collboratori senza indicazione della relativa diagnosi”; conseguentemente, solamente i certificati inviati per le assenze dal lavoro (anche se materialmente detenuti dal commercialista, dal consulente del lavoro o soggetto ad essi assimilabille).

Pertanto, appare abbastanza evidente come le ipotesi di applicazione della norma in esame siano marginali o, più esattamente, limitate solamente ai soggetti con organizzazione e strutturazione estremamente semplice e con un numero comunque limitato di dipendenti.

Per quanto concerne le possibili future semplificazioni che il Garante potrà emanare – a prescindere dalla legittimità della rimessione ad una Autorità Amministrativa della possibilità di decidere quali siano i casi di esenzione dal rispetto di normative statali – occorrerà ovviamente attendere che il Garante medesimo si pronunci, ed occorrerà soprattutto “controllare” che le tanto annunciate semplificazioni siano, alla resa dei conti, veramente tali.

Un discorso a parte merita l’analisi delle conseguenze di una eventuale errata interpretazione della propria situazione al fine di usufruire della procedura semplificata.

Come è noto, il D.P.S. è solamente uno degli obblighi relativi alla sicurezza, e la mancata o pesantemente incompleta redazione del medesimo integra, con ogni probabilità, il reato previsto dall’art. 169 del D.Lgs. n.196/2003 (Omessa adozione di misure di sicurezza), reato che, per la formulazione e per la connessione sistematica con i principi generali del diritto penale, ben a ragione può non essere limitato al solo titolare ma anche a tutti i soggetti che, materialmente, abbiano concorso nella mancata adozione delle prescritte misure [minime] di sicurezza.

Orbene, la dichiarazione effettuata ai sensi del comma 1-bis del novellato articolo 34 del D.Lgs. n.196/2003, se scientemente effettuata, quanto meno integra i reati previsti dall’art.76 del D.P.R. 445/2000 (a causa del richiamo espresso dell’art.47 del medesimo D.P.R.) e contemporaneamente costituisce – comunque – una omessa adozione delle misure [minime] di sicurezza, con le conseguenze in precedenza evidenziate.

In effetti, laddove fosse accertabile (e/o accertata) la volontà di effettuare delle dichiarazioni, per così dire “non vere”, potrebbe agevolemnte scattare anche il reato (probabilmente specifico rispetto a quello generale previsto dal D.P.R. 445/2000) previsto dall’art.168 del D.Lgs. n.196/2003.

In ambedue i casi saremmo nell’ipotesi di concorso di reati (con possibile concorso di più persone nella commissione di tali reati); ritengo che la conclusione sia talmente chiara che non meriti ulteriore approfondimento.

Ovviamente non è detto che le ipotesi di reato si debbano poi necessariamente “convertire” in condanne, dipende anche dall’insieme di quello che potrebbe emergere a seguito di una denuncia, una indagine, un esposto, ma è un elemento di rischio che deve necessariamente essere adeguatamente valutato.

Come sempre, diffidare dalle soluzioni semplici ed affidarsi a soggetti di provata capacità ed esperienza e, soprattutto, con elevate capacità di visione complessiva del problema; si tratta di una materia nella quale non è assolutamente possibile inventare alcunché, ma occorre avere solide basi e soprattutto conoscenze approfondite ed interdisciplinari.

(Avv. Luca-M. de Grazia)


Ricordiamo sempre la definizione di dato sensibile: d) “dati sensibili”, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Che, si rammenta, sono da considerarsi come “misure minime di sicurezza”, e nulla hanno a che vedere con quelle previste dall’art.15 del medesimo D.Lgs. n.196/2003

Breve disamina aspetti giuridici del c.d. fishing

1.          Introduzione.

2.          La definizione dell’attività.

3.          Riflessi penalistici sui c.d. “reati informatici”

4.          Riflessi penalistici con riferimento al trattamento di dati personali

5.          Riflessi civilistici

6.          Conclusioni

1.      Introduzione

Cercherò di chiarire alcuni degli aspetti giuridici dell’attività conosciuta come “fishing”, anche al fine di evidenziare quali siano le risposte “legali” e legate ai reati c.d. “informatici”, che possano essere messe in atto da chi subisca un “attacco” di tal genere. Al termine di questa breve disamina cercherò anche di evidenziare le eventuali corresponsabilità dei soggetti che eroghino un servizio soggetto a tali “attacchi” nei confronti della propria clientela.

2.      La definizione dell’attività

Quella che segue è la definizione di http://www.webopedia.org:

fish´ing) (n.)

The act of sending an e-mail to a user falsely claiming to be an established legitimate enterprise in an attempt to scam the user into surrendering private information that will be used for identity theft. The e-mail directs the user to visit a Web site where they are asked to update personal information, such as passwords and credit card, social security, and bank account numbers, that the legitimate organization already has. The Web site, however, is bogus and set up only to steal the user’s information. For example, 2003 saw the proliferation of a phishing scam in which users received e-mails supposedly from eBay claiming that the user’s account was about to be suspended unless he clicked on the provided link and updated the credit card information that the genuine eBay already had. Because it is relatively simple to make a Web site look like a legitimate organizations site by mimicking the HTML code, the scam counted on people being tricked into thinking they were actually being contacted by eBay and were subsequently going to eBay’s site to update their account information. By spamming large groups of people, the “phisher” counted on the e-mail being read by a percentage of people who actually had listed credit card numbers with eBay legitimately.

Phishing, also referred to as brand spoofing or carding, is a variation on “fishing,” the idea being that bait is thrown out with the hopes that while most will ignore the bait, some will be tempted into biting.

3.      Riflessi penalistici sui c.d. “reati informatici”

Vediamo come viene definito il reato tentato nel codice penale:

Art. 56         Delitto tentato.

[I]. Chi compie atti idonei, diretti in modo non equivoco a commettere un delitto, risponde di delitto tentato, se l’azione non si compie o l’evento non si verifica.

[II]. Il colpevole del delitto tentato è punito: con la reclusione non inferiore a dodici anni, se la pena stabilita è l’ergastolo; e, negli altri casi, con la pena stabilita per il delitto, diminuita da un terzo a due terzi.

[III]. Se il colpevole volontariamente desiste dall’azione, soggiace soltanto alla pena per gli atti compiuti, qualora questi costituiscano per sè un reato diverso.

[IV]. Se volontariamente impedisce l’evento, soggiace alla pena stabilita per il delitto tentato, diminuita da un terzo alla metà.

Per il diritto italiano, in particolare per il diritto penale, sono pertanto ipotizzabili (quanto meno a livello di tentativo che, ricordo, è punito in maniera più blanda rispetto al reato consumato, ma costituisce pur sempre attività criminale in senso stretto) attività che potrebbero essere ricondotte ai seguenti reati:

  • Se l’acquisizione di informazioni è finalizzata solamente ad un successivo accesso abusivo a sistema informatico, il riferimento sarà l’art.615-ter C.P.
  • Se l’acquisizione di informazioni è finalizzata ad una successiva truffa nei confronti del soggetto che incautamente fornisca le informazioni richieste, il riferimento sarà l’art.640 c.p. (Truffa)

[I]. Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sè o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a 1.032 euro

  • Se l’acquisizione di informazioni è finalizzata ad un successivo trattamento illecito di dati personali, il riferimento sarà l’art.167 del D.Lgs.n.196/2003

Con ogni probabilità non potrebbe essere contestata né l’art.617-quater c.p. (intercettazione)

“Art. 617-quater. – (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche). –

Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.

Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo d’informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

Tuttavia si procede d’ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:

1) in danno di un sistema informatico o telematico utilizzato dallo stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;

2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri e con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;

3) da chi esercita anche abusivamente la professione di un investigatore privato.

in quanto non si tratta propriamente di “conoscenza fraudolenta del contenuto di comunicazioni tra sistemi informatici” ma piuttosto di “induzione alla comunicazione di informazioni in maniera fraudolenta”.

Nello stesso senso non dovrebbe poter essere applicabile l’art.617-sexies c.p. (che generalmente sanziona le varie attività riconducibili al c.d. “spoofing”:

Art. 617 sexies. – (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche). –

Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro armi.

La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma del l’art. 617-quater”.

in quanto non viene formato falsamente, né alterato, né soppresso, alcun contenuto di comunicazione.

Come si vedrà nell’esempio che segue, il condizionale è obbligatorio anche in questo caso, in quanto si potrebbe sempre argomentare che, nell’attività successiva alla “induzione a false comunicazioni”, il soggetto che effettui il fishing sopprime il contenuto di una comunicazione, sempre tenendo presente quale era il destinatario, per così dire “istituzionale”, della comunicazione medesima (ovvero il sito che il cliente “crede” di raggiungere).

Anche nell’ipotesi del 617-quater c.p. il condizionale è d’obbligo, in quanto si potrebbe anche sostenere che, rispetto alla comunicazione che il soggetto passivo del reato (ovvero il soggetto che artatamente sia indotto a fornire informazioni al potenziale criminale [perché di questo si tratta da un punto di vista legale]) “crede” di operare, il terzo si porrebbe come “intercettatore” o, quanto meno, come “soggetto che interrompe la comunicazione”, qualora si consideri che la comunicazione sarebbe dovuta avvenire tra l’utente ed il sito web che – legalmente e correttamente – avrebbe formulato la richiesta di acquisizione di dati, di qualunque genere essi siano.

In questo senso esiste una sentenza della Corte di Cassazione che potrebbe applicarsi anche al caso in esame, la cui massima così recita:

Nella condotta del titolare di esercizio commerciale il quale, d’intesa con il possessore di una carta di credito contraffatta, utilizza tale documento mediante il terminale Pos in dotazione, sono ravvisabili sia il reato di cui all’art. 615 ter (accesso abusivo ad un sistema informatico o telematico) sia quello di cui all’art. 617 quater c.p, (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche): il primo perché l’uso di una chiave contraffatta rende abusivo l’accesso al Pos; il secondo perché, con l’uso di una carta di credito contraffatta, si genera un flusso di informazioni relativo alla posizione del vero titolare di essa diretto all’addebito sul suo conto della spesa fittiziamente effettuata, per cui vi è fraudolenta intercettazione di comunicazioni.

Cassazione penale, sez. V, 14 ottobre 2003, n. 44362 in Riv. pen. 2004, 416

4.      Riflessi penalistici con riferimento al trattamento di dati personali

In relazione al reato di trattamento illecito di dati personali, per i quali recentemente la giurisprudenza della Cassazione ha ribadito come occorra necessariamente il c.d. “nocumento”, ovvero un danno quantificabile, perché possa configurarsi il reato, probabilmente non si è in presenza solamente di un tentativo, ma anche del reato compiuto.

Infatti l’articolo 167 recita:

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

Uno degli articoli citati concerne la mancanza del consenso e pare sufficientemente chiaro che nell’ipotesi in esame tale consenso non possa esistere, in quanto – per definizione – è stato “estorto”. Il problema rimane quello di individuare il c.d. “nocumento”, ma poiché il Codice sui dati personali definisce come risarcibile anche il danno morale, non dovrebbe essere troppo difficile individuare come esistente tale tipologia di danno e, conseguentemente, ritenere punibile il reo.

In ogni caso sarebbe possibile agire con un giudizio civile per il risarcimento del danno causato, ma sicuramente a questo potrebbe essere di ostacolo la “cittadinanza” del “pescatore”…

Se a questo punto cerchiamo di inquadrare brevemente l’eventuale corresponsabilità, soprattutto nel campo del diritto civile, del “fornitore di servizi” nei confronti del proprio Cliente, probabilmente – come si suole dire – ne potremmo “vedere delle belle”.

5.      Riflessi civilistici

Infatti, a prescindere da qualunque riferimento alle ipotesi penali sopra descritte, con ogni probabilità – qualora tale responsabilità non fosse stata preventivamente esclusa attraverso la sottoscrizione di apposite e chiare clausole contrattuali – si può individuare una responsabilità da parte del “fornitore di servizio” qualora questi non abbia adottato, anche ai sensi dell’art.2050 richiamato dall’art.15 del D.Lgs n.196/2003, tutte le cautele possibili affinché il danno non avvenisse.

In sostanza, di fatto esiste un obbligo nel fare in modo che siano utilizzati tutti gli strumenti messi a disposizione dalla tecnica (e quindi, nel caso specifico di erogazione di servizi a mezzo della rete internet) affinché l’utente – sia esso consumatore o utente professionale,  a questo punto la differenza non è sensibile – sia messo in grado di essere “sicuro” che il soggetto che eroghi un servizio sia veramente chi afferma di essere.

Infatti, come è sotto gli occhi di tutti, se adesso quando si paga con una carta di credito l’esercente esige un documento di riconoscimento (in realtà lo richiede perché il soggetto che eroga il servizio P.O.S. non si fa carico di “errori” dovuti alla sbadataggine dell’esercente), non si vede per quale motivo quando la medesima cosa accade per un servizio fornito attraverso internet non debba accadere la medesima cosa.

Conseguenza di ciò è la “necessità” di adottare sistemi di trasmissione cifrati (https), certificati digitali (rilasciati da soggetti che svolgano tale attività per legge, non certamente “fabbricati in casa”) che consentano di controllare che il titolare del sito al quale ci colleghiamo sia veramente chi afferma di essere, conferma incrociata delle informazioni visualizzate, e così via.

In caso contrario, stante anche l’inversione dell’onere della prova sancito dall’art.2050 c.c., vedo come ben difficile da sostenere la difesa di chi eroghi un servizio con modalità difformi da quelle appena individuate.

6.      Conclusioni

In conclusione, ancora una volta possiamo vedere come sia possibile tutelare la propria posizione attraverso il ricorso alla legge, in particolare anche a quella penale (il che vuol dire che si può far agire lo Stato invece che agire direttamente) ma è anche altrettanto vero che, mai come in questi casi, sarebbe molto meglio prevenire piuttosto che reprimere, per cui una sana prudenza nelle attività in rete, un preventivo controllo sulla effettiva identità di chi ci richiede delle informazioni (ovvero, certificato digitale del sito e quant’altro sia necessario per “confermare” che il sito sia quello che pretende di essere) potrebbe evitare tante inutili complicazioni.

Pubblicato su Penale. Leave a Comment »

Alcune riflessioni sull’evento del 13.11.2008

Milano, 13 novembre 2008

Presso la sede dell’Assolombarda si è tenuto l’evento indicato qui di fianco a sinistra [EVENTI PASSATI].

In attesa di scrivere un vero e proprio articolo sugli argomenti trattati, mi sembra opportuno precisare alcune cose:

  1. ritengo assolutamente fondamentale nella materia trattata nel corso dell’evento non lasciarsi andare a facili senzazionalismi, le semplificazioni dei concetti posso essere utili per chiarirli, ma da un punto di vista professionale si deve fare sempre riferimento ad una corretta e puntuale esegesi della norma, e non cercare di forgiare la norma a nostro piacimento sulla base di quello che sarebbe lo spirito della norma medesima.
  2. vanno valutati tanti aspetti, logistici, organizzativi, legali, tecnici, il costo dei medesimi, il costo del rischio di una scelta sbagliata, e solamente dopo aver analizzato tutti questi punti il soggetto al quale competono le scelte potrà essere posto in grado di operare scientemente, e dovrà necessariamente prenderersi le proprie responsabilità.
  3. è estremamente importante conoscere la propria situazione, sapere molto bene come si è organizzati, una corretta ed approfondita analisi è alla base di ogni buona soluzione.
  4. come affermo sempre, diffidare dalle soluzioni semplici ed affidarsi a soggetti di provata capacità ed esperienza e, soprattutto, con elevate capacità di visione complessiva del problema; si tratta di una materia nella quale non è assolutamente possibile inventare alcunché, ma occorre avere solide basi e soprattutto conoscenze approfondite ed interdisciplinari.</

Registrazione degli accessi ed Amministratori di sistema

Registrazione degli accessi ed Amministratori di sistema

La premessa ….[...omissis...]


4.5 Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.


[...omissis...]

TUTTO CIÒ PREMESSO IL GARANTE:

Il provvedimento vero e proprio ….[...omissis...]


f. Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

L’esegesi letterale della norma sembrerebbe portare alle seguenti considerazioni (fermo restando che – come ho già evidenziato in altro scritto – sicuramente si poteva fare di meglio quanto a chiarezza del provvedimento):

Quello che deve essere adottato (laddove non già presente) è:
1. un sistema idoneo alla registrazione degli accessi logici intesi come autenticazione informatica ai sistemi di elaborazione
2. un sistema idoneo alla registrazione degli accessi logici agli archivi elettronici
a. in ambedue i casi quando uno degli accessi appena citati venga effettuato da un amministratore di sistema (d’ora in avanti AdS)

I log degli accessi appena menzionati devono essere, praticamente, “forensic ready” e la locuzione “…adeguate al raggiungimento dello scopo per cui sono richieste…” sta a significare che a posteriori si dovrà poter ricostruire quello che è accaduto; se non si raggiunge tale scopo, l’apparato che sarà stato messo in piedi non sarà servito a nulla.

Altra domanda: quali sono esattamente gli AdS?

Posto che nella parte preliminare del provvedimento l’Autorità non solo volutamente non ha voluto effettuare una elencazione delle funzioni che ricadano in tale ambito, ma espressamente ha fatto riferimento anche ad altre normative, non ultima la Legge 547/93 che all’epoca introdusse i reati informatici nell’ordinamento italiano, e che prevede espressamente come ipotesi aggravata l’atto compiuto dal c.d. “operatore di sistema”, soggetto che la giurisprudenza in materia ha individuato in un soggetto che sicuramente ha molti meno “poteri” di quello che viene considerato dalla letteratura tecnica un AdS, mi sembra che la soluzione – come spesso è consuetudine nel diritto – non possa essere totalmente univoca, ma debba essere sempre e comunque contestualizzata.

In pratica (rinvio ad un altro mio articolo più approfondito sull’intero provvedimento sugli AdS) occorrerà effettuare una bella ricognizione delle figure esistenti, e conseguentemente operare.

Ma non è sicuramente finita qui….

(Avv. Luca-M. de Grazia)

Breve analisi del provvedimento 27-11-2008 sulla figura dell’Amministratore di Sistema

BREVE ANALISI DEL PROVVEDIMENTO 27-11-2008 SULLA FIGURA DELL’AMMINISTRATORE DI SISTEMA.DOC

1.
Premessa 1
2.
Alcune precisazioni preliminari 1
3.
Analisi generale della situazione 2
4.
Analisi particolare del provvedimento 3
5.
Possibili conclusioni 6
6.
Il testo del provvedimento 8

1. Premessa

In questa sintesi verrà analizzata, in via sintetica, la portata del Provvedimento del Garante per la Protezione dei dati personali del 27.11.2008, pubblicato nella G.U. del 24.12.2008 (reperibile, tra l’altro, alla url:
<http://www.privacy.it/garanteprovv200811272.html&gt;

recentemente introdotte all’art.34 del D.Lgs. n.196/2003, anche alla luce delle varie notizie riportate.
L’analisi si baserà fondamentalmente sul dettato della normativa

2. Alcune precisazioni preliminari

Il provvedimento segue altri provvedimenti di (apparente) semplificazione delle misure (minime) di sicurezza, alcuni effettuati con provvedimento legislativo, altri effettuati con provvedimenti del Garante, e segue anche le modifiche al D.Lgs. n.196/2003 introdotte dall’art. 44 del decreto legge 207/2008 (G.U. 31/12/2008), modifiche che hanno inasprito in maniera significativa le sanzioni previste dalla normativa citata.
Il commento al provvedimento verrà effettuato in pieno stile da mailing list, ovvero riportando la parte di provvedimento con il commento immediatamente sottostante.
Come riferimento ad un corretto sistema di gestione delle informazioni si fa espresso riferimento a quanto previsto dalla normativa ISO 27001:2005, che a parere del sottoscritto costituisce – pur nascendo in ambiti normativi differenti dal nostro – un ottimo sistema per applicare correttamente ed in maniera organica il disposto del D.Lgs. n.196/2003.
Da ultimo verranno effettuati alcuni cenni alla relazione tra il provvedimento citato e l’applicazione del D.Lgs n.231/2001, in particolare per quanto concerne la repressione dei reati informatici introdotti con l’ultima modifica alla normativa appena specificata.

3. Analisi generale della situazione

Il provvedimento, sia nella parte introduttiva sia nella parte della premessa, richiama espressamente quanto la giurisprudenza ha chiarito in merito alla figura del c.d. “amministratore di sistema” (previsto per la prima volta nelle modifiche al C.P. operate del DPR 513/97, in particolare come aggravante per alcuni reati introdotti da quel DPR).
Inoltre non fa altro che prendere atto della “normale” complessità di gestione di qualsivoglia attività organizzata di una certa dimensione, laddove – per esigenze organizzative – il “titolare del trattamento” decide di gestire i propri sistemi informativi, le proprie infrastrutture, il proprio sistema informatico e telematico non solamente in maniera diretta (il che vuole dire attraverso contratti di lavoro che prevedano il controllo diretto dell’imprenditore sull’operato dei lavoratori – incaricati) ma anche attraverso le varie forme di collaborazione esterna, usualmente denominate “outsourcing”, laddove per lo più si tratta di:
a. Contratti di appalto di servizi
b. Contratti d’opera intellettuale se più propriamente consulenza
c. Contratti d’opera (in qualche caso sporadico)
d. Contratti che colleghino le figure innanzi indicate
Inoltre, oserei dire finalmente, l’Autorità prende atto della circostanza che lo “skill” professionale e “morale” (o, quanto meno, “etico”) delle persone preposte a determinate attività “dovrebbe” comprendere una analisi a tutto tondo, rifuggendo quindi da persone che abbiano un passato non propriamente limpido.
Si tratta di pratiche che le imprese serie già da tempo mettono in atto ma, in questo senso, la circostanza che un provvedimento di un’Autorità Indipendente precisi tali punti non può che essere produttivo per una vera cultura della sicurezza.

4. Analisi particolare del provvedimento


4.1. Valutazione delle caratteristiche soggettive.
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29
.


Viene riferita anche alla figura dell’A.d.S. la pre – analisi dei requisiti previsti dalla normativa per la scelta del responsabile del trattamento. Il secondo periodo non vuol significare altro che la scelta del soggetto persona fisica che svolga materialmente le funzioni di A.d.S. – e quindi abbia un determinato profilo come incaricato del trattamento – debba tenere conto di quanto previsto dall’art.29.

4.2. Designazioni individuali.
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato
.

A parere del sottoscritto anche in questo caso la locuzione “individuale” non vada intesa come “ad personam” ma riferita ad un (corretto) organigramma funzionale / operativo, che alla luce delle modifiche normative dovrà (se necessario) essere integrato con “…l’elencazione analitica degli ambiti di operatività…”.
E’ appena il caso di notare come questo modo di inquadrare i soggetti operanti nell’ambito di serie organizzazioni complesse sia già da tempo operante; nello specifico si tratterà di effettuare un ulteriore controllo dei profili utente (già previsti sin dall’inizio dall’allegato B) ed eventualmente apportare qualche modifica specifica.
In sostanza, non occorre una elencazione di nominativi (si utilizza appunto la locuzione individuale, non personale e/o nominativa), ma una corretta gestione delle entità logico – organizzative, con annesso elenco delle persone che ricoprano pro-tempore la funzione.
In pratica, non il contenuto della variabile (A), ma una corretta individuazione delle funzioni spettanti alla variabile (A); per inciso, mi sembra ovvio che qualora la persona fisica che ricopra un certo ruolo venga magari trasferito ad altro lavoro, ed al suo posto venga inserita persona con caratteristiche simili, il riferimento continui ad essere alla funzione, non alla persona.

4.3. Elenco degli amministratori di sistema.
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non é tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Norma totalmente inutile per quanto concerne l’inserimento nel DPS; sarebbe stato sufficiente applicare a tutti i casi la necessità di un documento interno. Ricordiamo comunque che il DPS dovrebbe essere classificato come documento riservato, non accessibile a tutti, e che non necessariamente il DPS debba avere la forma monolitica di un romanzo di appendice, ben potendo ricorrere agli allegati.


Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione é prevista dal provvedimento del Garante n. 13 del
1° marzo 2007 <http://www.privacy.it/garanteprovv20070301.html&gt; (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini).

Precisazione anche in questo caso inutile, in quanto deriva direttamente dalla applicazione della normativa; nel momento in cui l’Autorità da rilievo specifico ad una figura che prima non aveva rilievo normativo (ma che magari già esisteva nella organizzazione aziendale) ne consegue la necessità di aggiornare tutti i documenti che in qualche modo facciano riferimento a tale figura.
Forse anche in questo caso è opportuno precisare che laddove si sia svolto un corretto e paziente lavoro di inquadramento delle figure professionali esistenti, sia siano correttamente parametrati gli organigrammi funzionali con quanto previsto dal D.Lgs. n.196/2003, probabilmente sarà necessario solamente un “link” tra le figure esistenti [ivi compresa ovviamente una dettagliata descrizione dei poteri / doveri ad esse attribuiti] e la “nuova” figura normativamente qualificata.


Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un’eventuale disposizione di legge che disciplini in modo difforme uno specifico settore.
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

A stretto tenore letterale della norma, nel caso in cui venga svolto in outsourcing SOLAMENTE il servizio di A.d.S. (ed aggiungo configurando il rapporto come titolare – responsabile) il Titolare dovrà pretendere dal Responsabile l’elenco dei soggetti preposti a tali funzioni.
In realtà occorrerà controllare ancora una volta quali funzioni siano affidate all’outsourcer e conseguementente gli atti di individuazione dovranno subire un “upgrade” (dovuto per legge).


4.4. Verifica delle attività.
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Si tratta semplicemente di inserire un’altra attività da monitorare in previsione della redazione del DPS.
A mio giudizio un termine trimestrale o al massimo quadrimestrale di aggiornamento della situazione, anche per rispettare quanto previsto dal D.Lgs n.231/2001, non potrà che essere utile per il rispetto delle normative citate, anche se la normativa parla di termine annuale.


4.5. Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

Nulla di nuovo, lo prevedeva già l’Allegato B

Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Finalmente si fa riferimento alla necessità – peraltro da tempo affermata dalla letteratura “tecnica” – di inalterabilità dei log; i riscontri ed i riferimenti alla c.d. “forensic” mi sembrano del tutto chiari.
Come sempre – e correttamente – l’Autorità non “dice” cosa utilizzare, anche perché – ormai – il panorama tecnico – legislativo italiano è sufficientemente esteso per fornire soluzioni “per tutti i gusti e tutte le tasche”.
Si va dalla firma elettronica avanzata alla firma digitale, alla marca temporale, alla conservazione sostitutiva dei documenti, ovvero ad un insieme di tali tecniche / servizi esistenti.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Corretta la necessità di inserimento dei riferimenti temporali, senza i quali sarebbe praticamente impossibile ricostruire a posteriori cosa esattamente sia accaduto.
Qui – però – siamo in completa contro tendenza con quanto in genere previsto dall’Autorità (il tempo di conservazione dei trattamenti deve in linea di massima essere il minimo necessario) ma, oggettivamente, mi trova perfettamente concorde il periodo di “almeno sei mesi”
Ritengo che ormai i tempi siano maturi per comprendere che non è “cancellando i dati” che si protegge l’individuo (e non solo, l’interessato per il D.Lgs. n.196/2003 non è solamente la persona fisica) ma, anzi, magari si sottrae al soggetto leso la possibilità di ricostruire cosa sia successo, specialmente in caso di reati e/o abusi perpetrati attraverso il mezzo internet.
E’ necessario sanzionare velocemente e pesantemente l’abuso (del trattamento) dei dati, non l’esistenza dei medesimi.

5. Tempi di adozione delle misure e degli accorgimenti.
Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti di cui al punto 4 dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che é congruo stabilire, in centoventi giorni dalla medesima data.

Molto semplicemente i Titolari del trattamento dovranno, entro aprile 2009, adeguare le proprie organizzazioni a quanto stabilito dal provvedimento.
Una piccola notazione: il termine di scadenza è successivo a quello di redazione del DPS per cui, per l’anno 2008, quanto previsto dal punto 4.3 non potrà avere sanzione, in quanto il termine massimo di scadenza per l’adozione di queste “nuove” misure di sicurezza è successivo a quello di scadenza per la redazione del DPS.


5. Possibili conclusioni


Provvedimento sostanzialmente corretto nella sostanza, con le solite complicazioni burocratiche che discendono – purtroppo ed ancora – dalla mancata conoscenza da parte dell’Autorità della realtà organizzativa delle imprese italiane, molto tardivo (in realtà poteva costituire una parte dell’Allegato B), ma che forse, alla fine, per alcuni principi introdotti, potrà contribuire ad una corretta applicazione della cultura della sicurezza (informatica)
Va da sé che l’ulteriore layer di codificazione (ora anche necessariamente normativa) della figura analizzata non potrà che essere d’aiuto anche nella corretta applicazione del D.Lgs n.231/2001, tenendo presente che ambedue le normative citate dovrebbero “prevenire” certi accadimenti.

(Avv. Luca-M. de Grazia)

6. Il testo del provvedimento


PROVVEDIMENTO DEL 27 NOVEMBRE 2008
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PROVVEDIMENTO 27 novembre 2008
MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA.
(Pubblicato sulla G.U. n. 300 del 24-12-2008 )

IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI


Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare, gli articoli 31 ss. e 154, comma 1, lettera c) e h), nonché il disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B <http://www.privacy.it/codiceprivacy.html&gt; al medesimo Codice;
Visti gli atti d’ufficio relativi alla protezione dei dati trattati con sistemi informatici e alla sicurezza dei medesimi dati e sistemi;
Rilevata l’esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei c.d. «amministratori di sistema», nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella «Società dell’informazione» e dei rischi a esse associati;
Considerata l’esigenza di consentire più agevolmente, nei dovuti casi, la conoscibilità dell’esistenza di tali figure o di ruoli analoghi svolti in relazione a talune fasi del trattamento all’interno di enti e organizzazioni;
Ritenuta la necessità di promuovere l’adozione di specifiche cautele nello svolgimento delle mansioni svolte dagli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche e organizzative, volti ad agevolare l’esercizio dei doveri di controllo da parte del titolare (due diligence);
Constatato che lo svolgimento delle mansioni di un amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si é legittimati ad accedere rispetto ai profili di autorizzazione attribuiti;
Rilevata la necessità di richiamare l’attenzione su tale rischio del pubblico, nonché di persone giuridiche, pubbliche amministrazioni e di altri enti [di seguito sinteticamente individuati con l'espressione «titolari del trattamento»: art. 4, comma 1, lettera f) del Codice] che impiegano, in riferimento alla gestione di banche dati o reti informatiche, sistemi di elaborazione utilizzati da una molteplicità di incaricati con diverse funzioni, applicative o sistemistiche;
Rilevato che i titolari sono tenuti, ai sensi dell’art. 31 del Codice, ad adottare misure di sicurezza «idonee e preventive» in relazione ai trattamenti svolti, dalla cui mancata o non idonea predisposizione possono derivare responsabilità anche di ordine penale e civile (articoli 15 e 169 del Codice);
Constatato che l’individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò curata in modo particolare evitando incauti affidamenti;
Considerato inoltre che, qualora ritenga facoltativamente di designare uno o più responsabili del trattamento, il titolare é tenuto a individuare solo soggetti che «per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza» (art. 29, comma 2, del Codice);
Ritenuto che i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 2
7 novembre 2008 <http://www.privacy.it/garanteprovv200811271.html&gt;), debbano essere allo stato esclusi dall’ambito applicativo del presente provvedimento;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Premesso:

1. Considerazioni preliminari.
Con la definizione di «amministratore di sistema» si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente «responsabili» di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.
Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti «in chiaro» le informazioni medesime.
La rilevanza, la specificità e la particolare criticità del ruolo dell’amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante.
Ci si riferisce, in particolare, all’abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615-ter) e di frode informatica (art. 640-ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (articoli 635-bis e ter) e di danneggiamento di sistemi informatici e telematici (articoli 635-quater e quinques) di recente modifica (vedi nota 1).
La disciplina di protezione dei dati previgente al Codice del 2003 definiva l’amministratore di sistema, individuandolo quale «soggetto al quale é conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione» [art. 1, comma 1, lettera c) decreto del Presidente della Repubblica n. 318/1999].
Il Codice non ha invece incluso questa figura tra le proprie definizioni normative. Tuttavia, le funzioni tipiche dell’amministrazione di un sistema sono richiamate nel menzionato allegato B <http://www.privacy.it/codiceprivacy.html&gt;, nella parte in cui prevede l’obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nel medesimo allegato B spettano tipicamente all’amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.
Nel loro complesso, le norme predette mettono in rilievo la particolare capacità di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento é previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati della «Società dell’informazione» (vedi nota 2).
Nel corso delle attività ispettive disposte negli ultimi anni dal Garante é stato possibile rilevare quale importanza annettano ai ruoli di system administrator (e di network administrator o database administrator) la gran parte di aziende e di grandi organizzazioni pubbliche e private, al di là delle definizioni giuridiche, individuando tali figure nell’ambito di piani di sicurezza o di documenti programmatici e designandoli a volte quali responsabili.
In altri casi, non soltanto in organizzazioni di piccole dimensioni, si é invece riscontrata, anche a elevati livelli di responsabilità, una carente consapevolezza delle criticità insite nello svolgimento delle predette mansioni, con preoccupante sottovalutazione dei rischi derivanti dall’azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico.
Con il presente provvedimento il Garante intende pertanto richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi e alle criticità implicite nell’affidamento degli incarichi di amministratore di sistema.
L’Autorità ravvisa inoltre l’esigenza di individuare in questa sede alcune prime misure di carattere organizzativo che favoriscano una più agevole conoscenza, nell’ambito di organizzazioni ed enti pubblici e privati, dell’esistenza di determinati ruoli tecnici, delle responsabilità connesse a tali mansioni e, in taluni casi, dell’identità dei soggetti che operano quali amministratori di sistema in relazione ai diversi servizi e banche di dati.
2. Quadro di riferimento normativo.
Nell’ambito del Codice il presente provvedimento si richiama, in particolare, all’art. 154, comma 1, lettera h), rientrando tra i compiti dell’Autorità quello di promuovere la «conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati».
La lettera c) del medesimo comma 1 prevede poi la possibilità, da parte del Garante, di prescrivere misure e accorgimenti, specifici o di carattere generale, che i titolari di trattamento sono tenuti ad adottare.
3. Segnalazione ai titolari di trattamenti, relativa alle funzioni di amministratore di sistema.
Ai sensi del menzionato art. 154, comma 1, lettera h) il Garante, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l’attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; richiama inoltre l’attenzione sull’esigenza di valutare con particolare cura l’attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l’opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l’incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato, da vagliare anche in considerazione delle responsabilità, specie di ordine penale e civile (articoli 15 e 169 del Codice), che possono derivare in caso di incauta o inidonea designazione.
4. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici.
Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell’a
rt. 154, comma 1, lettera c) del Codice <http://www.privacy.it/codiceprivacy.html&gt;, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29 decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 27 novembre 2008 <http://www.privacy.it/garanteprovv200811271.html&gt;).
I seguenti accorgimenti e misure lasciano impregiudicata l’adozione di altre specifiche cautele imposte da discipline di settore per particolari trattamenti o che verranno eventualmente prescritte dal Garante ai sensi dell’art. 17 del Codice.
Per effetto del presente provvedimento:
4.1. Valutazione delle caratteristiche soggettive.
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.
4.2. Designazioni individuali.
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
4.3. Elenco degli amministratori di sistema.
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non é tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione é prevista dal provvedimento del Garante n. 13 del 1
° marzo 2007 <http://www.privacy.it/garanteprovv20070301.html&gt; (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini).
Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un’eventuale disposizione di legge che disciplini in modo difforme uno specifico settore.
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
4.4. Verifica delle attività.
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
4.5. Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
5. Tempi di adozione delle misure e degli accorgimenti.
Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti di cui al punto 4 dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che é congruo stabilire, in centoventi giorni dalla medesima data.
Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all’inizio del trattamento dei dati.
Tutto ciò premesso il Garante:

1. Ai sensi dell’a
rt. 154, comma 1, lettera h) del Codice <http://www.privacy.it/codiceprivacy.html&gt;, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l’attenzione dei medesimi titolari sull’esigenza di valutare con particolare attenzione l’attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l’opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l’incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato.
2. Ai sensi dell’art. 154, comma 1, lettera c) del Codice prescrive l’adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (articoli 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29, decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 2
7 novembre 2008 <http://www.privacy.it/garanteprovv200811271.html&gt;):
a) Valutazione delle caratteristiche soggettive.
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29;
b) Designazioni individuali.
La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
c) Elenco degli amministratori di sistema.
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non é tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.
Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1
° marzo 2007 <http://www.privacy.it/garanteprovv20070301.html&gt; (in Gazzetta Ufficiale 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore;
d) Servizi in outsourcing.
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;
e) Verifica delle attività.
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
f) Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
3. Dispone che le misure e gli accorgimenti di cui al punto 2 del presente dispositivo siano introdotti, per tutti i trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al più presto e comunque entro, e non oltre, il termine che é congruo stabilire in centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all’inizio del trattamento dei dati.
4. Dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia – Ufficio pubblicazione leggi e decreti per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 27 novembre 2008
Il presidente e relatorePizzetti
Il segretario generaleButtarelli


(1
) V., ad es., l’art. 5 legge 18 marzo 2008, n. 48, che prevede, oltre a una maggiore pena, la procedibilità d’uffico nel caso in cui il reato sia commesso con «abuso della qualità di operatore del sistema».
(2) Per altro verso il legislatore, nell’intervenire in tema di «Società dell’informazione», ha previsto che i certificatori di firma elettronica, i quali sono preposti al trattamento dei dati connessi al rilascio del certificato di firma, debbano possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche, oltre ai requisiti tecnici necessari per lo svolgimento della loro attività (articoli 26, 27 e 29 del decreto legislativo 7 marzo 2005, n. 82).

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.