Lezione “Normativa”
Corso di “Sicurezza dei sistemi informatici in Internet” 2021/22, prof.
Massimo Carnevali, Università degli Studi di Ferrara
Codice penale 1
Normative per gli amministratori di sistema 2
Misure e accorgimenti per l’amministratore di sistema (in riferimento al GDPR) 2
Diritto d’autore italiano 3
Software open source 3
Creative Common (CC) 3
Vantaggi e svantaggi 4
Altri tipi di CC 5
GDPR 5
Titolare del trattamento dei dati (Data controller) 6
Responsabile del trattamento dei dati (Data Processor) 6
Violazione dei dati (Data breach) 7
Codice penale
In riferimento al codice penale italiano, sono importanti in ambito informatico gli articoli:
● 615 ter: accesso abusivo, ossia si entra in un sistema informatico protetto oppure si
resta dentro al sistema senza averne il diritto. Condanna da 1 a 3 anni. La denuncia
parte in automatico in caso di attacco verso enti pubblici (PA, banche, sanità, gestori
telefonici...), altrimenti richiede querela di parte entro 3 mesi da quanto ce ne
accorge: un attacco verso un privato richiede di esporre denuncia.
● 615 quater: possesso e uso di credenziali per uso di attacco. La sola detenzione non
autorizzata non basta, serve l'intento di usarle prima o poi.
● 615 quinques: creazione e diffusione di malware a scopo di danno o profitto (Es.
attacco DoS: fare danni in modo che la macchina non possa lavorare).
Nel caso venga ceduta una password a qualcuno che poi le usa si parla di
favoreggiamento: per essere accusati di favoreggiamento non serve che ci sia il
danneggiamento, ma basta l'atto di cercare di farlo (anche se si è stati bloccati durante
l'attacco, si è punibili perché ci si ha provato).
Nel caso chi commetta il reato sia un amministratore di sistema si ha anche un'aggravante,
con la pena che passa alla reclusione da 1 a 5 anni o addirittura da 3 a 8 anni.
Normative per gli amministratori di
sistema
● Identificazione e nomina degli amministratori di sistema: persone a cui il datore
di lavoro cede le password di admin e root.
● Valutazione delle caratteristiche personali: si ritiene che sia una persona adatta e
adeguata.
● Diverso profilo giuridico: dopo la nomina, si ha un'aggravante in caso di reato.
● Tenuta dei log delle operazioni svolte (inalterabile): tutte le azioni eseguite
dall'admin dovrebbero essere registrate e incancellabili.
● Accesso nominale e non generico: NO root, admin ecc., bisogna sapere
esattamente chi accede al sistema.
● Problema in caso di servizi in outsourcing, insourcing, cloud ecc: in caso di
servizi esterni non è possibile sapere bene chi sono gli admin. In caso di insourcing,
il server è all'interno dell'azienda ma viene un admin dall'esterno che lo gestisce.
Misure e accorgimenti per l’amministratore di sistema
(in riferimento al GDPR)
Gli “amministratori di sistema" sono coloro che svolgono mansioni in rapporto a sistemi di
elaborazione e banche di dati e hanno rilevanza rispetto ai trattamenti di dati personali.
Ritenuta la necessità di promuovere l’adozione di specifiche cautele nello svolgimento delle
mansioni svolte dagli amministratori di sistema, i titolari sono tenuti ad adottare misure di
sicurezza "idonee e preventive" in relazione ai trattamenti svolti, dalla cui mancata o non
idonea predisposizione possono derivare responsabilità anche di ordine penale e civile.
L’individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema
riveste una notevole importanza e costituisce una delle scelte fondamentali che
contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò
curata in modo particolare evitando incauti affidamenti.
Con la definizione di "amministratore di sist
-
Appunti diritto processuale penale
-
Diritto penale - Appunti lezioni
-
Diritto Penale I - Appunti
-
Appunti Diritto penale commerciale