Che materia stai cercando?

Anteprima

ESTRATTO DOCUMENTO

Qualsiasi titolare particolare che dovesse subire un buco nella sicurezza di certo non ne darebbe

pubblicità per non subire una pubblicità negativa con perdita di clienti.

Da questo nasce l’esigenza di OBBLIGARE i particolari titolari ad informare i clienti

Art. 33 e 34

Sicurezza informatica (definizione)

• Integrità: i dati devono essere difficilmente alterabili

• Riservatezza: un valido sistema di sicurezza deve garantire l’accesso ai soli soggetti aventi

diritto

• Disponibilità: gli aventi diritto devono avere accesso ai dati in qualsiasi momento

• Autenticazione: deve essere garantita l’identificazione univoca dell’avente diritto

• Verificabilità: deve essere riconoscibile e collocabile temporalmente il trattamento avvenuto 32

sui dati

• Reattività:deve essere in grado di rispondere ad atti o fatti potenzialmente dannosi

L’art 4 del codice della privacy fornisce definizioni in tema di misure di sicurezza

Fase di autenticazione Fase di

autorizzazione

Autenticazione informatica Profilo di autorizzazione

Credenziali di autenticazione: username e password Sistema di

autorizzazione

Chi è l’amministratore di sistema? Il soggetto che di fatto gestisce la banca dati e gode di privilegi

di accesso. Deve essere IDENTIFICATO, deve avere un incarico scritto e tutti gli accessi devono

essere registrati.

Domanda d’esame

D:Perché è prevista una specifica aggravante per l’amministratore di sistema?

R:Perché ha molta più facilità ad accedere e quindi ha molta più facilità nel poter accedere a dati.

Nel futuro sistemi biometrici o smart card

Alla fase di autenticazione segue una fase di autorizzazione del soggetto che si autentica. Con il

profilo di autorizzazione andiamo ad identificare quali sono le opzioni attuabili con il profilo

autenticato. Si ha notizia di operatori che si sono autenticati legittimamente ma hanno ecceduto il

profilo di autorizzazione andando a divulgare dati che non potevano essere rivelati. Bisogna

collegare questa fase di autorizzazione con quello di cui si diceva prima riguardo l’esempio del cc

in banca e quindi dell’incaricato.

Qualifiche soggettive in materia di Privacy

Responsabile (facoltativo) Titolare - Incaricato

Domanda d’esame

D:Chi è il Titolare del trattamento dati?

R: Il "Titolare", è: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi

altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le

decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti

utilizzati, ivi compreso i profili della sicurezza;

Domanda d’esame

D:Chi è l’Incaricato del trattamento dati?

R: Gli "incaricati", sono le persone fisiche autorizzate a compiere operazioni di trattamento dal

titolare o dal responsabile;

Domanda d’esame

D:Chi è l’interessato del trattamento dati?

R: l’"interessato", è: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i

dati personali;

Domanda d’esame

D:Chi è il Responsabile del trattamento dati?

R: Il "responsabile", è: la persona fisica, la persona giuridica, la pubblica amministrazione e

;

qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali

Un obbligo che non è più tale era la redazione del documento programmatico della sicurezza, ora

sostituito con una autocertificazione. Era la fotografia delle banche dati presenti in un determinato 32

ente e di tutti i soggetti che ne avevano accesso e con i rispettivi livelli di accesso, l’identificazione

dei soggetti, e la sostituzione delle password. Al suo posto il garante il 01/03/2007 ha emanato un

provvedimento generale con il quale ha emesso una serie di linee guida per l’utilizzo degli

strumenti informatici da parte dei dipendenti.

Esempi di misure minime di sicurezza: principio di tassatività e tipizzazione

Es. password almeno di 8 caratteri, sostituite ogni 6 mesi o 3 mesi se dati sensibili giudiziari,

utilizzo dello screen saver dopo un certo lasso di tempo per assenza della postazione con

password per il rientro, la lista degli incaricati deve essere cambiata almeno una volta l’anno, la

password è personale e non cedibile a terzi, aggiornamento contro i virus, esecuzione del backup

con cadenza settimanale, ecc.ecc.

Domanda d’esame

D:Mi dica qualche misura di sicurezza prevista dal disciplinare.

R:Password almeno di 8 caratteri, sostituite ogni 6 mesi o 3 mesi se trattasi di dati sensibili

giudiziari, utilizzo dello screen saver dopo un certo lasso di tempo per assenza della postazione

con password per il rientro, la lista degli incaricati deve essere cambiata almeno una volta l’anno,

la password è personale e non cedibile a terzi, aggiornamento contro i virus, esecuzione del

backup con cadenza settimanale, ecc. ecc.

D:Ma è sicuro che Tizio che rispetta le misure minime di sicurezza, non subirà le conseguenze da

un punto di vista civilistico?

R:No, perché se le misure minime di sicurezza (tipizzate) non sono anche idonee (non tipizzate) vi

è una responsabilità.

Introduzione all’e-commerce

ISP non ha l’obbligo di controllo preventivo sui contenuti che i content provider caricano, però non

vi è la totale irresponsabilità. Quindi se vi sono dei contenuti sui quali nascono contenziosi, in

seguito ad informativa FORMALE i contenuti vanno immediatamente rimossi. Viene definito

NOTICE AND TAKE DOWN, senza porsi il problema. La Notice deve provenire da una autorità

amministrativa o giudiziaria. Lezione del 14/11/2014

La lezione ricomincia con la rievocazione del caso Costeja

Il Commercio Elettronico (in particolare la responsabilità dell’ISP D.Lgs. 70 del 09/04/2003-

Commercio elettronico)

Cos’è l’E-commerce?

Il commercio elettronico comprende diversi ambiti:

• Stipulazione di contratti a distanza

• Pagamento di tributi

• Fruizione di servizi

La tutela: è molto articolata, c’è sovrapposizione di diverse discipline (Codice del consumo), ed è

difficile capire quale normativa applicare.

Il D.Lgs 70 del 09/04/2003 (Commercio elettronico) trae origine dalla direttiva 2000/31/CE

Art. 1

Finalità: “promuovere la libera circolazione dei servizi della società dell’informazione, fra i quali il

commercio”

Norma fondamentale è prevista all’art. 17 che prevede:

Assenza dell'obbligo generale di sorveglianza 32

(nessun obbligo di controllo preventivo ma obbligo di intervento a posteriori)

1. Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, il prestatore non e' assoggettato ad

un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, ne' ad un

obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attivita'

illecite.

2. Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore e' comunque tenuto:

a) ad informare senza indugio l'autorita' giudiziaria o quella amministrativa avente funzioni di

vigilanza, qualora sia a conoscenza di presunte attivita' o informazioni illecite riguardanti un suo

destinatario del servizio della societa' dell'informazione;

b) a fornire senza indugio, a richiesta delle autorita' competenti, le informazioni in suo possesso

che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di

memorizzazione dei dati, al fine di individuare e prevenire attivita' illecite.

3. Il prestatore e' civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto

dall'autorita' giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per

impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o

pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha

provveduto ad informarne l'autorita' competente.

Art. 14

(Responsabilita' nell'attivita' di semplice trasporto - Mere conduit-)

1. Nella prestazione di un servizio della societa' dell'informazione consistente nel trasmettere, su

una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un

accesso alla rete di comunicazione, il prestatore non e' responsabile delle informazioni trasmesse

a condizione che:

a) non dia origine alla trasmissione;

b) non selezioni il destinatario della trasmissione;

c) non selezioni ne' modifichi le informazioni trasmesse.

2. Le attivita' di trasmissione e di fornitura di accesso di cui al comma 1 includono la

memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione

che questa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non

ecceda il tempo ragionevolmente necessario a tale scopo.

3. L'autorita' giudiziaria o quella amministrativa, avente funzioni di vigilanza, puo' esigere, anche

in via d'urgenza, che il prestatore, nell'esercizio delle attivita' di cui al comma 2, impedisca o ponga

fine alle violazioni commesse. Art. 15

(Responsabilita' nell'attivita' di memorizzazione temporanea - caching)

1. Nella prestazione di un servizio della societa' dell'informazione, consistente nel trasmettere,

su una rete di comunicazione, informazioni fornite da un destinatario del servizio, il prestatore non

e' responsabile della memorizzazione automatica, intermedia e temporanea di tali informazioni

effettuata al solo scopo di rendere piu' efficace il successivo inoltro ad altri destinatari a loro

richiesta, a condizione che:

a) non modifichi le informazioni;

b) si conformi alle condizioni di accesso alle informazioni;

c) si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente

riconosciuto e utilizzato dalle imprese del settore;

d) non interferisca con l'uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per

ottenere dati sull'impiego delle informazioni;

e) agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare

l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state

rimosse dal luogo dove si trovavano inizialmente sulla rete o che l'accesso alle informazioni e'

stato disabilitato oppure che un organo giurisdizionale o un'autorita' amministrativa ne ha disposto

la rimozione o la disabilitazione.

2. L'autorita' giudiziaria o quella amministrativa aventi funzioni di vigilanza puo' esigere, anche in

via d'urgenza, che il prestatore, nell'esercizio delle attivita' di cui al comma 1, impedisca o ponga

fine alle violazioni commesse. 32

Art. 16

(Responsabilita' nell'attivita' di memorizzazione di informazioni - hosting-)

1. Nella prestazione di un servizio della societa' dell'informazione, consistente nella

memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non e'

responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a

condizione che detto prestatore:

a) non sia effettivamente a conoscenza del fatto che l'attivita' o l'informazione e' illecita e, per

quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono

manifesta l'illiceita' dell'attivita' o dell'informazione;

b) non appena a conoscenza di tali fatti, su comunicazione delle autorita' competenti, agisca

mediatamente per rimuovere le informazioni o per disabilitarne l'accesso.

2. Le disposizioni di cui al comma 1 non si applicano se il destinatario del servizio agisce sotto

l'autorita' o il controllo del prestatore.

3. L'autorita' giudiziaria o quella amministrativa competente puo' esigere, anche in via d'urgenza,

che il prestatore, nell'esercizio delle attivita' di cui al comma 1, impedisca o ponga fine alle

violazioni commesse.

Quando l’ISP non può più nascondersi dietro all’art. 17 (Assenza dell'obbligo generale di

sorveglianza)?

Quindi quando manca l’obbligo di intervenire e quando corre l’obbligo di intervenire?

Data la regola di irresponsabilità, sono previste delle eccezione che devono essere tipizzate. Il

passaggio dalla mancanza di obbligo alla sussistenza di obbligo, quindi di responsabilità sta

nell’intervento dell’autorità giudiziaria o amministrativa avente funzioni di vigilanza che notifichi

all’ISP che si è verificato un comportamento illecito si chiede un intervento con un comportamento

positivo (disabilitazione dell’utente, ecc.ecc.) il NOTICE AND TAKE DOWN.

La ratio di questa normativa: evitare forme di responsabilità oggettiva dalle quali sarebbe molto

difficile liberarsi data la difficoltà probatoria della prova.

Come abbiamo detto abbiamo 3 categoria di provider:

• Service provider (fornitore di servizi come ad es. la connessione alla rete, caselle mail,

chat, ecc.ecc.)

• Host provider ( è un service provider e fornisce spazio fisico su disco rigido agli utenti

che hanno funzione di service o content)

• Content provider ( è colui che inserisce i contenuti e può coincidere con l’host o il service

provider)

Responsabilità del provider

Configurabile come responsabilità di tipo soggettivo (non più oggettivo, com’era prima del D.

Lgs. 70/2003).

Due ipotesi:

colposa: quando il fornitore del servizio, consapevole della presenza sul sito del materiale

sospetto, si astenga dall’accertarne l’illiceità e dal rimuoverlo

dolosa: quando il fornitore del servizio sia consapevole dell’antigiuridicità della condotta

dell’utente e ometta di intervenire.

Che tipo di responsabilità? Responsabilità civile extracontrattuale art. 2043 c.c. ma anche

responsabilità penale in base all’art. 40 c.p.

Il caso Costeja dà lo spunto per analizzare il diritto all’oblio.

Domanda d’esame

D:Che cos’è il diritto all’oblio?

R: Dopo un certo periodo di tempo, (dato il fatto che le informazioni sono vere, il trattamento è

lecito, e sussiste un diritto all’oblio,) esaurita la finalità che rendeva legittimo il trattamento 32

dell’informazione, l’informazione và rimossa.

(Ricordarsi i sacri principi fondamentali della privacy, di finalità e necessità)

Onere della prova

Il punto è individuare la condotta rimproverabile, la sola sanzionabile.

In caso contrario si rischia di ricadere nella responsabilità oggettiva, vanificando lo scopo che il

D. Lgs. n. 70/2003 si è posto di perseguire.

Come si distribuisce?

Il provider dovrà provare di aver ottemperato al proprio dovere di agire prontamente in presenza

di una condotta illecita. Chi agisce in giudizio dovrà dimostrare che il provider conosceva

l’illiceità delle informazioni.

Responsabilità dell’hosting e del service provider

Anche qui si è posto il problema dell’onere della prova, così risolto:

1. Il prestatore dovrà dare la prova di essersi prontamente attivato per la rimozione delle

informazioni.

2. Chi agisce in giudizio per far valere la responsabilità del prestatore deve, invece,

provare, in alternativa:

che il prestatore era a conoscenza dell’illiceità;

che vi erano circostanze tali da rendere manifesta l’illiceità.

Responsabilità del content provider

Come visto, ha una condotta attiva, a differenza del service provider e dell’host provider;

Per tale ragione, i livelli di responsabilità sono diversificati: da una condotta attiva discende una

responsabilità maggiore.

Caso giurisprudenziale

nei confronti del sig. Alex Broek, titolare del sito internet www.viagra-cialis-levitra.it

condotta censurata: scorrettezza della pratica commerciale consistente nel vendere on line

farmaci per la cura di disfunzioni erettili c.d. etici (ossia, che possono essere acquistati solo sulla

base di una prescrizione medica)

Contestazione: in Italia è vietata la vendita on-line di qualsiasi farmaco, sia cd. etico che cd. da

banco, poiché la legge impone che vi sia sempre l’interposizione di un farmacista

La condotta è stata giudicata particolarmente grave per due ragioni:

1) Si rassicuravano gli utenti sulla legalità dell’acquisto dei farmaci on-line;

2) Si invogliava l’acquisto facendo leva sulla maggiore riservatezza garantita dall’acquisto via

internet, data la particolarità dei farmaci in oggetto.

Sanzione:

Condanna al pagamento di una sanzione amministrativa pecuniaria pari a 200 mila euro

Sospensione immediata dell’attività commerciale censurata

Lezione del 19/11/2014

Computer crimes

Crimini informatici

Cosa sono i computer crimes?

I computer crimes (o reati informatici) sono una categoria di reati vasta ed eterogenea

A titolo esemplificativo:

1. Appropriazione/sottrazione/divulgazione di dati contenuti in sistemi informatici

2. Introduzione/sabotaggio/danneggiamento di sistemi informatici

Tutela

La materia dei computer crimes è di recente creazione, i reati informatici sono un “effetto 32

collaterale” dello

sviluppo tecnologico. Il sistema di tutela precedente non era adeguato ad occuparsi della

protezione di beni “dematerializzati”, privi di fisicità. Era quindi impossibile applicare, ad es., la

normativa sul furto o sul danneggiamento.Il rischio era creare dei vuoti di tutela. Per tutte queste

ragioni, si è reso necessario dare delle definizioni:

Reato informatico:

Definizione: Fatto previsto e punito da una norma penale (anche extra codicistica) e/o nelle

leggi speciali. Fatto nel quale un sistema informatico o telematico rappresenti un elemento

determinante ai fini della qualificazione del fatto di reato.

Si distinguono reati informatici:

In senso lato

In senso stretto

Computer crimes in senso lato

Definizione: Rappresenta una ipotesi dove non c’e’ stata una nuova fattispecie penale ma la

precedente fattispecie penale senza una interpretazione analogica che sarebbe vietata, consente

la punizione anche del reato informatico senza che siano presenti vuoti di tutela.

Vi rientrano tutti i reati a forma libera astrattamente consumabili attraverso lo strumento

informatico.

Es. da fare:

Diffamazione via internet, (art. 595 c.p.), (Chiunque, fuori dei casi indicati nell'articolo precedente,

comunicando con più persone, offende l'altrui reputazione, è punito [c.p. 598] con la reclusione fino

a un anno o con la multa fino a euro 1.032 (1) (2). Se l'offesa è recata col mezzo della stampa o

con qualsiasi altro mezzo di pubblicità): Non necessita di variazioni a come è scritta in quanto non

sono presenti vuoti di tutela.

Ingiuria via e-mail, (art. 594 c.p.), (Chiunque offende l'onore o il decoro di una persona [c.p. 278,

297, 298, 341, 342, 343] presente è punito [c.p. 598] con la reclusione fino a sei mesi o con la

multa fino a euro 516 (1).)

Associazione a delinquere, (art. 416 c.p.), finalizzata alla commissione di reati informatici

Estorsione (art. 629 c.p.) realizzata mediante minaccia telematica

Computer crimes in senso stretto (riguardano esclusivamente condotte che ricadono su beni

informatici)

Definizione: Prevede espressamente ed esplicitamente la tutela del sistema informatico, o del

sistema telematico o dei contenuti

Introduzione di fattispecie penali aventi come tratto caratterizzante il coinvolgimento dei sistemi

informatici. Nascono dal principio di tassatività e dal divieto di analogia in malam partem. In diritto

penale è consentita solo l’analogia in bonam partem. E’ sorta l’esigenza di punire alcune

situazione gravi che colpivano sistemi informatici quindi nasce una normativa ad hoc o aggiunge

una modifica della fattispecie per ricomprendere anche l’ipotesi di reato informatico.

L. 23 dicembre 1993, n. 547: Modificazioni ed integrazioni alle norme del codice penale e del

codice di procedura penale in tema di criminalità informatica

L. 18 marzo 2008, n. 48: Ratifica ed esecuzione della Convenzione di Budapest sulla criminalità

informatica a modifiche all’art. 51 c.p.p. e all’art. 132 D. Lgs. 196/2003 in tema di prova elettronica

Nel Codice Penale

Art. 392, co. 3: esercizio arbitrario delle proprie ragioni con violenza su un bene informatico (es. il

programmatore che non viene pagato per il sito web avendo accesso con le proprie credenziali lo

sabota)

Art. 491bis: falsità in documenti informatici (es. uso di photo shop per alterare documenti

importanti che traggono in errore il cliente)

Art. 600ter: pornografia minorile 32

Art. 600quater: detenzione di materiale pornografico

Art. 615ter: accesso abusivo a sistema informatico o telematico (anche di chi ne ha le credenziali

ma lo usa in modo improprio)

Art. 615quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o

telematici

Art. 615quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a

danneggiare o interrompere un sistema informatico

Art. 617quater: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o

telematiche

Art. 617quinquies: Installazione di apparecchiature atte a intercettare, impedire o interrompere

comunicazioni informatiche o telematiche

Art. 635bis e ss.: danneggiamento di sistema informatico o telematico

Art. 640ter: frode informatica

Nelle leggi speciali

Art. 167 Codice Privacy: trattamento illecito di dati

Art. 168 Codice Privacy: falsità nelle dichiarazioni e notificazioni al Garante

Art. 169 Codice Privacy: misure di sicurezza

Legge sul Diritto d’Autore (L. 22 aprile 1941, n. 633, come modificata dal D. Lgs. n. 518 del

1992):duplicazione abusiva e commercializzazione di software contraffatto

Art. 171 ( viene sanzionata per qualsiasi finalità il FILE SHARING. E’ penale l’upload,

amministrativo il download, ed è previsto il meccanismo PARAOBLATIVO), 171bis ( viene

sanzionata la finalità di PROFITTO), 171ter ( viene sanzionata la finalità di LUCRO)

E’ previsto il meccanismo PARAOBLATIVO

Caso giurisprudenziale

Cass. SS.UU. 27 ottobre 2011, n. 4694

La cassazione ha funzione NOMOFILATTICA, cioè non è giudice del merito ma è giudice

delle leggi (dell’uso adeguato delle leggi) cioè è garante dell’applicazione uniforme delle

norme. Quando sorge un contrasto tra sezioni della C. di Cassazione abbiamo un problema.

Quindi la sezione che si renda conto che vi è tale contrasto rimette la questione alle sezioni

unite, che si dovrebbe pronunciare con una versione definitiva.

Questione: integra la fattispecie criminosa di accesso abusivo ad un sistema informatico telematico

protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto abilitato

ma per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli è stata attribuita? Si.

615ter c.p.:

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da

misure di sicurezza ovvero ivi si mantiene contro la volontà espressa o tacita di chi ha il

diritto di escluderlo è punito con la reclusione fino a tre anni.

Fatto

Il maresciallo S. era stato autorizzato ad accedere al sistema informatico interforze e a consultare

lo stesso soltanto per ragioni «di tutela dell'ordine e della sicurezza pubblica e di prevenzione e

repressione dei reati», con espresso divieto dì stampare il risultato delle interrogazioni «se non nei

casi di effettiva necessità e comunque previa autorizzazione da parte del comandante diretto».

Trattasi di prescrizioni disciplinanti l'accesso ed il mantenimento all'interno del sistema che, in

quanto non osservate dall'imputato, hanno reso abusiva l'attività di consultazione esercitata in

concreto. 32

La condotta è stata posta in essere con la consapevolezza della contrarietà alle disposizioni

ricevute e, quindi, del carattere invito domino dell'accesso e della permanenza fisica nel sistema.

Ciò integra ad evidenza il dolo generico richiesto dalla norma,che non prevede alcuna finalità

speciale né io scopo di trarre

profitto, per sé o per altri, ovvero di cagionare ad altri un danno ingiusto.

Principio di diritto

«Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico

protetto, prevista dall'art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema

posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal

complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente

l'accesso. Non hanno rilievo, invece, per la

configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso al

sistema». Lezione del 21/11/2014

Digital forensic

E’ quella scienza che si occupa di acquisizione della prova: conservare identificare acquisire

documentare interpretare i dati presenti in un computer.

Si tratta di individuare le modalità migliori per acquisire le prove senza ALTERARE il supporto

informatico dove si trova la prova.

Le prove devono essere replicate in aula e quindi si forma all’interno del dibattimento.

Le fonti della digital forensic

Il codice in materia di protezione dei dati personali - il d.lgs. N. 196/2003

Il codice dell’amministrazione digitale - il d.lgs. N. 82/2005

Il codice di procedura penale (nel quale sono inserite le norme della convenzione di Budapest)

La digital evidence = prova digitale

Una qualsiasi informazione con valore probatorio, che sia o meno memorizzata o trasmessa in

maniera digitale.

Classificazione della digital evidence, 3 tipi:

creata dall’uomo:

human to human (mail)

human to pc (doc word)

creata autonomamente dal pc:

registro automatico: file di log

creata sia dall’uomo che dal computer:

file di excell

Le caratteristiche della digital evidence:

Anonima e immateriale: non sempre è possibile risalire al soggetto che ha generato un dato

informatico

Rumorosa: è difficile filtrare la mole incredibile di dati digitali da analizzare

Alterabile: è molto facile contaminare una prova digitale

L’algoritmo di Hash: l’algoritmo di Hash è una funzione univoca operante in un solo senso

attraverso la quale viene trasformato un documento di lunghezza arbitraria in una stringa di

lunghezza fissa, IMPRONTA DIGITALE. Se venisse alterata anche in minimissima parte

cambierebbe di conseguenza anche l’impronta. L’algoritmo di hash garantisce la copia perfetta. Si

effettua la Bit Stream Image (copia bit to bit). 32

Definizioni legislative

Il documento informatico: D.lgs 82/2005 «qualsiasi rappresentazione informatica di atti o fatti

giuridicamente vincolanti»

La prova: Cosa cambia? Metodo di rappresentazione, Metodo di incorporamento

• Digitale

• Analogico

Le indagini forensi si svolgono in 4 fasi:

1. individuazione e repertamento del dispositivo

2. acquisizione del dato digitale (il dispositivo viene copiato e sulla copia si lavora)

3. conservazione

4. effettuazione analisi

Individuazione: Prova digitale da individuare in rete:

FILE DI LOG: log di sistema, log di base dati e log di applicazione.

INDIRIZZO IP

La disciplina:

Art 256 c.p.p. Ordine di esibizione

Art. 132 Codice Privacy

La cd Data Retention

E in Europa??

E i grandi ISP Americani?

La cd Data preservation

La Prova digitale non in rete:

Ispezione – Copia bit stream del device

La polizia giudiziaria, dopo aver trovato le tracce informatiche del reato commesso, ha la possibilità

non solo di redigere il verbale di ispezione, ma anche di acquisire, attraverso una copia bitstream

del supporto di memorizzazione, i dati utili alla prosecuzione dell’indagine.

La copia bitstream è un particolare tipo di duplicazione in cui il contenuto dell’unità fisica viene letto

sequenzialmente caricando la minima quantità di memoria di volta in volta indirizzabile, per poi

registrarla nella stessa sequenza su di un comune file binario generando un file di immagine fisico

del supporto originale che risulta di più facile gestione, rispetto ad altre forme di duplicazione

Perquisizione informatica

Durante una perquisizione locale che abbia ad oggetto supporti informatici, sono necessarie tre

operazioni preliminari:

1. Corretta descrizione dell’ambiente

a. Documentazione fotografica

b. Riprese video

2. Individuazione dei soggetti utilizzatori di tali supporti

a. Verbale di sommarie informazioni di persone informate sui fatti

b. Spontanee dichiarazioni indagato

3. Valutazione del grado di competenze tecniche dell’indagato

a. Elementi accessori ai supporti informatici utili per dimostrare il livello di conoscenze informatiche

dell’indagato

Acquisizione – Sequestro

Rende indisponibile l’oggetto

Il codice di procedura penale prevede tre forme di sequestro:

Preventivo Probatorio

Conservativo 32

Si applica quando vi è Assicura le prove Assicura

pericolo che la libera necessarie l’adempimento

disponibilità di una cosa Per l’accertamento del reato delle obbligazioni

pertinente al reato possa assumendo nell’ambito relative

aggravare o protrarre le della fase investigativa alle pene pecuniarie, alle

conseguenze del reato, una notevole importanza spese processuali ed alle

o (art. 253 c.p.p.) obbligazioni civili

agevolare la derivanti

commissione di altri reati dal reato (art. 316 c.p.p.)

(art. 321 c.p.p.)

Le complessità della digital evidence (Caso Julie Amero)

Una prima caratteristica è data dalla complessità della digital evidence. Il caso Amero ne è una

dimostrazione.

Julie Amero è una supplente della Kelly School di Norwich del Connecticut che venne condannata

per aver mostrato a ragazzi minori di 16 anni immagini pornografiche.

Vedere slide scansione temporale caso Amero

Il caso Amero: Mousetrapping and Pagejacking

Il Mousetrapping e il Pagejacking sono particolare tecniche in forza della quale alcuni siti web

trattengono i

propri visitatori lanciando un’infinita serie di pop-up.

Il processo è stato revisionato, in quanto:

Julie è stata vittima di un mousetrapping, probabilmente generato dall’utilizzo improprio del PC da

parte del docente titolare.

Non è stata rispettata alcuna procedura di digital forensics da parte degli investigatori (nessuna

copia bit

stream e l’attività di analisi effettuata tra il 20 e il 26 ottobre non è stata documentata).

L’avvocato di Julie Amero non riuscì a far acquisire la consulenza tecnica della difesa effettuata sul

computer

L’alibi informatico (Caso Garlasco)

Un’ulteriore, ma fondamentale elemento della digital evidence è l’alterabilità e la capacità di

contenere un innumerevole numero diinformazioni. Il caso di “Garlasco” ne è un chiaro esempio.

Vedere slide scansione temporale caso di Garlasco

L’intercettazione telematica

Le forze di polizia si pongono in un certo punto tra due dispositivi elettronici diciamo tra due

computer e durante la comunicazione riescono ad ottenere la copia del messaggio qualunque

essa sia. Per fare una intercettazione di questo tipo bisogna posizionarsi in un punto della rete

(gateway, router, ecc. ecc.) con autorizzazione del magistrato.

Sue ultime raccomandazioni:

• ricordarsi caratteristiche prova analogica

• ricordarsi differenza tra prova analogica e prova digitale (Metodo di rappresentazione,

Metodo di incorporamento)

• ricordarsi le varie fasi operative

• le due sentenze Lezione del 26/11/2014

Parte legata alla privacy

Trattamento dei dati personali con finalità di marketing: in generale ci sono principi fondamentali:

necessità o limitazione, protezione, trasparenza e legittimazione

Il principio di finalità è quello fondamentale insieme al principio di informativa art 13 T.U. 32

La prima parte del TU è la parte generale. Per completare la normativa di riferimento è il D.Lgs

206/2005, unitamente al, D.Lgs. 196/2003 (codice privacy)e al DLgs. 70/2003 (commercio

elettronico).

Art. 13. Informativa

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente

informati oralmente o per iscritto circa:

a) le finalita' e le modalita' del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che

possono venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei

dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai

sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato piu' responsabili e' indicato

almeno uno di essi, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e'

conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un

responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, e'

indicato tale responsabile.

2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni

del presente codice e puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o

la cui conoscenza puo' ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di

funzioni ispettive o di controllo svolte per finalita' di difesa o sicurezza dello Stato oppure di

prevenzione, accertamento o repressione di reati.

3. Il Garante puo' individuare con proprio provvedimento modalita’ semplificate per l'informativa

fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.

4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1,

comprensiva delle categorie di dati trattati, e' data al medesimo interessato all'atto della

registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima

comunicazione.

5. La disposizione di cui al comma 4 non si applica quando:

a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla

normativa comunitaria;

b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7

dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria,

sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente

necessario al loro perseguimento;

c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali

misure appropriate. Dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si

riveli,

a giudizio del Garante, impossibile.

Art. 23 Consenso

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici e' ammesso solo

con il consenso espresso dell'interessato.

2. Il consenso puo' riguardare l'intero trattamento ovvero una o piu' operazioni dello stesso.

3. Il consenso e' validamente prestato solo se e' espresso liberamente e specificamente in

riferimento ad un trattamento chiaramente individuato, se e' documentato per iscritto, e se sono

state rese all'interessato le informazioni di cui all'articolo 13.

4. Il consenso e' manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Il legislatore ha distinto il marketing, per fini commerciali, il quale viene estrinsecato

sostanzialmente attraverso questi mezzi:

il Telemarketing

il Direct marketing

L’E-mail marketing 32

Tutti quanti gli altri mezzi che possono essere utilizzati (sms, mms, ecc. ecc.)

Art. 130 Codice Privacy

1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70,

( commercio elettronico ) l'uso di sistemi automatizzati di chiamata o di comunicazione di

chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta

o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il

consenso del contraente o utente. (1)

2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate

per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia

Messaging Service) o Sms (Short Message Service) o di altro tipo.

3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi

commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite SOLO ai sensi degli articoli

23 e 24 nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo. (2)

3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129,

comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui all'articolo 7,

comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione,

con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della

quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1, in un registro

pubblico delle opposizioni. (3) (opt-in o opt-out)

3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da

adottare ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa

deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle

Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla

richiesta, nonchè, per i relativi profili di competenza, il parere dell'Autorità per le garanzie nelle

comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e princìpi

generali:

a) attribuzione dell'istituzione e della gestione del registro ad un ente o organismo pubblico titolare

di competenze inerenti alla materia;

b) previsione che l'ente o organismo deputato all'istituzione e alla gestione del registro vi provveda

con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a

terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di

servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al

decreto legislativo 12 aprile 2006, n. 163. I soggetti che si avvalgono del registro per effettuare le

comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di

manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali

tariffe;

c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di

chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate

ed anche in via telematica o telefonica;

d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante

interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso,

prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli

accessi;

e) disciplina delle tempistiche e delle modalità dell'iscrizione al registro, senza distinzione di settore

di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo

massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l'iscrizione

abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo

e gratuitamente;

f) obbligo per i soggetti che effettuano trattamenti di dati per le finalita� di cui all'articolo 7, comma

4, lettera b), di garantire la presentazione dell'identificazione della linea chiamante e di fornire

all'utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel

registro per opporsi a futuri contatti;

g) previsione che l'iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e

trattati nel rispetto degli articoli 23 e 24. (4)

3-quater. La vigilanza e il controllo sull'organizzazione e il funzionamento del registro di cui al 32

comma 3-bis esul trattamento dei dati sono attribuiti al Garante. (4)

4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita

diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel

contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso

dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato,

adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive

comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni

comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di

opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

5. É vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a

scopo

promozionale, effettuato camuffando o celando l'identità del mittente o in violazione dell'articolo 8

del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale

l'interessato

possa esercitare i diritti di cui all'articolo 7, oppure esortando i destinatari a visitare siti web che

violino il

predetto articolo 8 del decreto legislativo n. 70 del 2003. (5)

6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può,

provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi

di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili

relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.

Opt-in = consenso preventivo all’invio di materiale

Opt-out = opzione di dis-iscrizione da (a volte presunte e pretestuose) liste di soggetti che

avevano prestato il consenso all’invio di materiale

Telemarketing (telefono)

Regime

Opt-out

Il sistema di opt-out con registro delle opposizioni liberalizza il telemarketing quasi solo

formalmente: per

poter procedere con le chiamate, infatti, l’operatore è comunque sottoposto al riscontro con il

registro delle opposizioni tenuto dalla fondazione Ugo Bordoni con cadenza bisettimanale.

A seguito della modifica dell’art. 4 CdP da parte del D.L.201/2011 la disciplina del Codice non si

applica più ai dati delle persone giuridiche. Questione controversa. Si consideri infatti che

attualmente la disciplina in materia fa riferimento non al concetto di “interessato” – che non

ricomprende più le persone giuridiche - ma al concetto di “contraente”, che ricomprende, ai

sensi dell’art. 4 CdP, anche le persone giuridiche.

Riferimenti normativi

L. n. 166/09; DPR 178/10 che istituisce il registro delle Opposizioni;

Provv. Garante della Privacy n. 474 del 6 dicembre 2011;

Provv. Garante della Privacy n. 357 del 29 settembre 201;

Provv. Garante della Privacy n. 16 del 19 gennaio 2011;

Direct marketing (posta)

Regime

Opt-out

Con il decreto sviluppo (d.l. 70/11 convertito con l. 12 luglio 2011, n. 106) il regime previsto per il

telemarketing è stato esteso anche alle comunicazioni postali. Per quanto consti, tuttavia, non è

ancora intervenuto l’aggiornamento a livello di regolamento sul registro delle opposizioni. A seguito

della modifica dell’art. 4 CdP da parte del D.L. 201/2011 la disciplina del Codice non si applica più

ai dati delle persone giuridiche. Questione controversa.

Riferimenti normativi

Art. 130, comma 3-bis Codice Privacy; estende l’opt-out anche per la posta cartacea.

Art. 130, comma 3 bis Codice Privacy

3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, 32

comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui all'articolo 7,

comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione,

con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della

quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1, in un registro

pubblico delle opposizioni.

Email marketing

Regime

Opt-in temperato

Per la comunicazione pubblicitaria tramite email è necessario ottenere il consenso da parte del

destinatario. Il Garante, nel Provv. 29 maggio 2003, incoraggia la prassi dell’invio di una mail

esplorativa in cui si dà conto del consenso ricevuto e si preannuncia l’invio.

Riferimenti normativi

Artt. 13, 23, 130 Codice Privacy;

Parere Garante 29 maggio 2003;

provv. Garante 31 gennaio 2008;

provv. Garante 23 settembre 2010;

provv. Garante 5 maggio 2011;

provv. Garante 19 maggio 2011 (email);

Fax Marketing

Regime

Opt-in

Riferimenti Normativi:

Provv. Garante Privacy 3 febbraio 2011;

Provv. Garante Privacy 2 marzo 2011;

SMS e MMS Marketing

Regime

Opt-in

Per quanto attiene i telefoni cellulari, è richiesto il consenso espresso. Il gestore telefonico può

inoltrare sms solo previo consenso dell’utente: ciò vale tanto per le comunicazioni inerenti propri

prodotti che per quelli di terzi. La medesima disciplina si applica anche nei confronti di terzi. In tale

secondo caso, il consenso deve essere specifico per ciascuna comunicazione. È vietata, inoltre, la

generazione casuale dei numeri telefonici. A seguito della modifica dell’art. 4 CdP da parte del D.L.

201/2011 la disciplina del Codice non si applica più ai dati delle persone giuridiche. Si consideri

però che attualmente la disciplina in materia

fa riferimento al concetto di contraente, concetto che ricomprende, ai sensi dell’art. 4 CdP, anche

le persone giuridiche.

Riferimenti Normativi:

Provv. Garante 12 marzo 2003 (obiter dictum);

Provv. Garante 10 giugno 2003;


ACQUISTATO

1 volte

PAGINE

33

PESO

208.50 KB

PUBBLICATO

+1 anno fa


DETTAGLI
Corso di laurea: Corso di laurea in giurisprudenza (COMO - VARESE) (ordinamento U.E. - a ciclo unico)
SSD:
A.A.: 2015-2016

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher lello1966 di informazioni apprese con la frequenza delle lezioni di Informatica giuridica e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Insubria Como Varese - Uninsubria o del prof Ricci Stefano.

Acquista con carta o conto PayPal

Scarica il file tutte le volte che vuoi

Paga con un conto PayPal per usufruire della garanzia Soddisfatto o rimborsato

Recensioni
Ti è piaciuto questo appunto? Valutalo!