Appunti di Informatica giuridica

PQM

ricorso del maresciallo è rigettato e la condanna c’è.

Il

Lezione informatica giuridica 03/11/2023

SEMINARIO AVVOCATO COLOMBA CYBERSECURITY E RISK ASSESSMENT

è

Un argomento che estraneo tradizionalmente nelle aule di giurisprudenza ma sempre più richiesto

“cyber-security

nel mondo del lavoro, è non solo e risk assessment” ma più in generale si affronta il

“compliance”.

concetto di

Cos’è la compliance? deriva dall’inglese “conformità” ed è un

Il termine compliance vuol dire termine che fa venire in

all’interno di un ambito aziendale, ad

mente uno standard imposto: si intende la conformità,

uno standard legale, normativo riconosciuto a livello nazionale, europeo, internazionale o la

conformità alle best practices o codici deontologici.

A cosa serve essere compliant?

− Per rispettare uno standard condiviso;

− Per garantire un servizio ottimale;

− Per prevenire danni e/o reati;

− Per ridurre le sanzioni e creare fiducia B2B (business to business) e B2C (business to

consumer).

che opera sul mercato e che cerca di

Un’azienda concludere contratti con un soggetto ancora più

grande di lui per potersi imporre, ci deve essere alla base un rapporto di fiducia tra le parti, dove la

parte contrattuale nella scelta tra una controparte dotata delle specifiche certificazioni ed una

controparte non dotata, si orienterà verso la prima.

Esistono più sistemi di compliance:

• GDPR: regolamento circa la tutela e protezione dei dati personali (regolamento

dell’UE del 2016 che ha riformato completamente tale disciplina); se n’è fatto un gran

parlare anche all’esterno dell’ambito accademico;

• D. LGS. n 231/2001: strumento di compliance, strumentale ad impedire il verificarsi

di reati all’interno di un ente collettivo (nello specifico di una società o comunque di un ente

“compliant” è

che non sia ente pubblico); per essere in tema 231, necessario aderire al

modello normativo di quel decreto legislativo in parola→ linee guida emesse circa la

responsabilità degli enti derivanti da reato;

• “norma”

Norme UNI EN ISO: si chiama ma non ha quel potere astratto e giuridico a cui

noi siamo abituati. è “norma”

La norma, e attenzione non una norma, regolamento o consuetudine ma per si

intende la specifica tecnica approvata da un organismo riconosciuto a svolgere attività

normativa per applicazione ripetuta o continua, la cui osservanza non sia obbligatoria.

Come vedete ci da anche degli elementi estranei rispetto al concetto di norma a cui siamo

“non

abituati noi giuristi, a partire dal fatto stesso che si dica che sia obbligatoria”.

E ancora parla di ‘’specifica tecnica’’: quindi si fa riferimento a questione di natura

tecnica;

• “UNI” a livello nazionale: è quella specifica norma tecnica, per quanto non obbligatoria, ha

effettiva portata solo sul territorio nazionale italiano.

è la sigla dell’Ente

UNI Nazionale Italiano di Unificazione.

Si tratta di un’associazione di carattere privato che elabora ancora una volta norme

tecniche e per tutti i settori industriali, commerciali e del terziario.

Quindi, quando incontriamo una ‘’norma UNI’’ ci troviamo sempre davanti ad una norma di

carattere nazionale.

• “EN” livello europeo: identifica le norme elaborate dal CEN.

Devono essere obbligatoriamente recepite nei paesi membri e la loro sigla di riferimento

diviene nel caso dell’Italia “EN”.

Notate che possono esistere norme UNI che non sono EN, ma non possono esistere norme

l’Italia fa parte dell’UE e siamo dinanzi ad uno standard

EN che non sono UNI; perché

condiviso;

• “ISO” livello internazionale: la sigla ISO (International Organization for Standardization)

indica le normative elaborate dall’ISO e sono strumenti applicabili in tutto il mondo. Ogni

Paese può decidere se rafforzare o meno il ruolo dato alle loro norme nazionali e la norma

diventa ‘’UNI ISO’’ oppure ‘’UNI EN ISO’’ se è stata adottata anche a livello europeo.

Esistono diverse norme di standard tecnici (vedere slide n.7) è

Perché uno standard dovrebbe essere differenziato? Lo standard differenziato in

funzione di quanto quella norma tecnica sia condivisa a livello geografico.

Essere compliant rispetto a delle norme tecniche internazionali mette al riparo da eventuali danni

la società?

No, perché avere uno standard significa conformarsi rispetto ad un modello (appunto lo standard)

ma non ci mette al sicuro dal verificarsi di determinati sinistri, quindi una realtà che comunque può

essere sempre migliorata a seconda delle esigenze che emergono nella vita societaria.

1.8 LE CERTIFICAZIONI quindi l’essere compliant

Essere compliant equivale ad uno sforzo che deve essere certificato,

secondo lo standard tecnico condiviso avviene solo ed unicamente tramite il rilascio di

certificazioni da un organismo di certificazioni.

Come fa l’organismo a dire che quell’azienda è

Come si svolge la certificazione? compliant rispetto

ad un certo modello? L’azienda viene di fatto sottoposta ad un esame.

L’esame a cui è sottoposta un’azienda si chiama “AUDIT”: l’attività di

per audit si considera

verifica finalizzata ad accertare il possesso dei requisiti per l’ottenimento della certificazione o per

il mantenimento della stessa.

Gli standard 27001 in realtà descrivono degli standard di comportamento quindi delle linee

operative applicabili ad ogni società.

che si occupa di social network, Instagram, e dall’altra parte un laboratorio

Esempio: una società

analisi che gestisce dati personali dei pazienti. Entrambi vogliono essere compliant rispetto allo

standard 27001, quindi circa la sicurezza dei dati dei soggetti a disposizione della società: le due,

devono avere dei comportamenti identici o meno? Le società possono avere le medesime regole

operative? No, perché le regole si devono conformare a quelle che sono le differenti esigenze.

che fattura 50 milioni l’anno, occupando dieci dipendenti; poi ho

Altro esempio: ho una società

un’altra società che fattura parimenti 50 milioni, ma con mille dipendenti: le due società possono

“processi”?

avere regole di condotta identiche? Possono avere gli stessi Se io ho mille dipendenti

vuol dire che devo regolare chi può accedere, chi può far cosa, nessuno che può svolgere la stessa

dell’altro; se ne ho solo dieci non posso pretendere di avere un ufficio di segreteria

attività

composto da cinque persone, dove tutti fanno tutto. è

Non possono avere medesimi processi, anche perché la stessa struttura essenzialmente diversa.

Gli standard ISO (come tutte le norme compliant) dettano dei PRINCIPI e non delle regole di

condotta.

Se andassero a dettare delle regole di condotta, cioè strumentali oggettivamente a finalizzare

l’attività societaria, l’ente emette normative tecniche si sostituirebbe all’amministratore del

che

sistema-società e questo non sarebbe possibile.

Le norme descrivono degli standard: ad un esempio, un processo deve essere sottoposto al

principio di separazione delle funzioni (quindi non regole di condotte specificatamente applicabili),

le macchine devono essere sottoposte a revisione al momento di scadenza delle certificazioni ecc…

si struttura, si rivolge ad un organismo di certificazione che svolge un’attività

Quindi una società di

AUDIT.

Dopo che l’organismo di certificazione ha certificato l’essere compliant rispetto ad uno standard,

l’ente viene immesso su “ACCREDIA” l’ente designato dal governo italiano come

ossia, ente di

competenza, l’indipendenza e l’imparzialità

accreditamento, il quale ha il compito di attestare la

degli organismi di certificazione: mette a disposizione una banca dati e nel momento in cui un

soggetto decida di entrare in contatto con la società, può verificare che quella società abbia quel

certificato nel rispetto degli standard e delle normative tecniche.

→

Quindi Le norme UNI-EN-ISO sono degli standard tecnici strumentali a rispettare gli standard

di produzione, donando in generale fiducia sul mercato; nel momento in cui la società voglia

ottenere la certificazione adotta e adegua la propria vita societaria ad uno standard, dopodichè si

(Accredia) che svolge l’attività

rivolge ad un organismo di certificazione accreditato di audit e

rilascia il certificato. Detto certificato sarà poi messo a disposizione di Accredia che, sulla propria

è

banca dati, andrà ad indicare che la società Alfa dotata di quella specifica certificazione, motivo

per cui rispetta quello specifico standard.

I SISTEMI DI GESTIONE INTEGRATA all’interno di

È presuntuoso pensare che in una società esista un solo modello di gestione e quindi

una medesima realtà aziendale possono coesistere più modelli di gestione.

Essi si devono integrare tra loro, al fine di non adottare protocolli e procedure ridondanti e ripetitivi,

non ingessare la società e non creare contraddizioni.

modelli di gestione all’interno della medesima società,

Quindi nel momento in cui esistono più gli

stessi devono parlare tra loro, affinchè la medesima regola di condotta, ove astrattamente

applicabile a più modelli di gestione, sia utilizzata da tutti i modelli di gestione di tale società per

non ingessarla.

Esempio:

ISO 20071: ha la funzione di tutelare la sicurezza delle informazioni di una società e quindi

impedire l’eccessiva disponibilità di informazione, nel senso che ciascun dipendente può avere a

disposizione solo l’accesso alle informazioni strumentali per lo svolgimento del proprio lavoro (il

dipendente che lavora alla sezione marketing non deve avere accesso alla sezione buste paghe).

ART.24 BIS D.LGS 231/2001: sanziona i delitti informatici e trattamento illecito di dati tra cui

l’accesso abusivo a sistema informatico.

due eventi tendenzialmente si avvicinano moltissimo; una parte vuole impedire l’eccessiva

I dell’informazione nei confronti di soggetti coinvolti nel processo produttivo, e

disponibilità

dall’altra vuole impedire che si ponga in essere un reato di accesso abusivo ad un sistema

informatico.

La società può andare ad adottare, per la mede