Convenzioni tipografiche
Nel testo vengono adottate le seguenti convenzioni tipografiche:
il corpo del testo usa il tipo di carattere Times New Roman con stile Normale (questa frase)l
i titoli usano il tipo di carattere Arial con stile diverso a seconda del livello del titolo (il titolo di questo paragrafo)l
i termini in lingua inglese usano il tipo di carattere Times New Roman con stile Corsivo (firewall)l
i frammenti di codice, i nomi dei programmi, gli esempi di interazione usano il tipo di carattere Courier New con
stile Normale (traceroute)
l
le definizioni usano il tipo di carattere Arial con stile Normale (sicurezza informatica)l
le citazioni usano il tipo di carattere Arial con stile Corsivo (art. 15 comma 1)l
Faenzi Francesco - La sicurezza in ambienti Internet ed Intranet: uno studio di fattiblit per la rete
D.I.S.I. - Tesi di Laurea - Anno Accademico 1997/1998
Introduzione e scopo dello studio
http://members.xoom.com/_XMCM/Faenzi/tesi/html/introduzione_e_scopo_dello_studio.htm (2 di 2) [09/03/2000 15.20.50]
Introduzione
Precedente
Introduzione
Titolo
Successivo
Organizzazione del documento
Questo studio prende l avvio con un introduzione ai fondamenti legali della sicurezza informatica.
L argomento seguente Ł la criminalit informatica, strettamente legata agli aspetti peculiari della sicurezza informatica
nell’era di Internet.
La sezione sugli aspetti gestionali della sicurezza informatica tratta le tecniche e le questioni che devono essere affrontate
dalla dirigenza e dai responsabili della sicurezza nell’ambito di un programma di sicurezza delle reti e dei computer
dell’organizzazione. In particolare, questa sezione Ł focalizzata sulla politica di sicurezza, sulla gestione del programma di
sicurezza e sulla gestione del rischio all’interno dell’organizzazione. Vengono anche presentate le istanze relative alla
sicurezza nel ciclo di vita dei sistemi informatici e i problemi dell affidabilit , della certificazione e dell accreditamento.
Nelle sezioni sulla politica e sul programma di sicurezza, vengono stabiliti i fondamenti cui fare riferimento, cioŁ in
sostanza i principi di sicurezza generalmente accettati e le pratiche comuni per rendere sicuri i sistemi informatici.
La sezione sulla gestione del rischio descrive il processo relativo e come sia possibile usarlo per pianificare e incrementare
un appropriata sicurezza delle strutture informatiche.
Nell ambito della gestione del rischio vengono presentate tecniche e classificazioni che permettono l identificazione delle
minacce e delle vulnerabilit e la selezione delle misure difensive.
Sempre tra gli aspetti gestionali della sicurezza, trova posto il capitolo sull’approccio sicurezza, che spiega le assunzioni
sottostanti la sicurezza informatica usate in questo studio e la definizione della sicurezza informatica. Particolare
importanza viene data al concetto di fiducia (trust). Vengono presentate una discussione sull approccio di outsourcing
della gestione della sicurezza informatica, sui ruoli e sulle responsabilit inerenti la sicurezza dei sistemi informatici.
La sezione sugli attacchi e gli incidenti alla sicurezza informatica, inizia con una tassonomia degli attacchi e degli
incidenti. Lo sviluppo di una tassonomia nel campo della sicurezza delle reti e dei computer Ł un problema difficile, ma
anche un requisito fondamentale per uno studio sistematico degli attacchi e degli incidenti alle reti e ai computer.
La tassonomia sviluppata per questa ricerca cerca di classificare gli attacchi. Insieme ad altre misure di gravit , questa
tassonomia viene usata per classificare gli incidenti. La tassonomia fornisce un riferimento organizzato dei vari metodi
operativi dei pirati informatici e delle azioni collettive dei responsabili della sicurezza.
Segue un ampia sezione sugli aspetti tecnici degli attacchi e degli incidenti relativi ai sistemi operativi, ai protocolli di
comunicazione, alle applicazioni e ai servizi di rete, ed ai dispositivi di comunicazione e di controllo del traffico sulle reti
informatiche.
La sezione sugli aspetti operazionali della sicurezza informatica tratta i rapporti e le relazioni tra l implementazione delle
misure di sicurezza e le persone. Questi misure di protezione spesso richiedono esperienza specializzata. I problemi
presentati qui sono: i problemi relativi agli utenti ed al personale, la pianificazione delle emergenze, la gestione degli
incidenti, l istruzione e l addestramento del personale, il supporto alle attivit informatiche, la sicurezza fisica e
ambientale.
Vengono anche presentate una strategia e una serie di raccomandazioni per un approccio operativo alla sicurezza
informatica.
La sezione sugli aspetti tecnici della sicurezza informatica Ł focalizzata sulle relazioni tra i controlli di sicurezza ed i
sistemi informatici. Questi controlli dipendono dal funzionamento appropriato del sistema per la loro efficacia. Tuttavia
l’implementazione dei controlli tecnici richiede sempre considerazioni operazionali e deve essere consistente con la
gestione della sicurezza all’interno dell’organizzazione. I problemi presentati sono: identificazione e autenticazione,
controllo dell accesso, revisioni e verifiche (audit), crittografia, monitoraggio e registrazione degli eventi (logging).
Organizzazione del documento
http://members.xoom.com/_XMCM/Faenzi/tesi/html/organizzazione_del_documento.htm (1 di 2) [09/03/2000 15.21.14]
La sezione sugli aspetti architetturali e di sistema della sicurezza informatica tratta gli aspetti formali e i principi
fondamentali della protezione delle reti e dei computer.
Segue una dettagliata sezione sugli aspetti strettamente architetturali, che tratta la sicurezza nei sistemi operativi, nei
protocolli di comunicazione, nelle applicazioni e nei servizi di rete, e nei dispositivi di comunicazione e di controllo del
traffico sulle reti.
Viene quindi affrontato lo studio di fattibilit per la rete del D.I.S.I. (Dipartimento di Informatica e Scienze
dell Informazione) dell Universit degli studi di Genova, alla luce degli argomenti esposti e seguendo le linee guida per
uno studio di fattibilit suggerite dall A.I.P.A. (Autorit per l Informatica nella Pubblica Amministrazione).
Faenzi Francesco - La sicurezza in ambienti Internet ed Intranet: uno studio di fattiblit per la rete
D.I.S.I. - Tesi di Laurea - Anno Accademico 1997/1998
Organizzazione del documento
http://members.xoom.com/_XMCM/Faenzi/tesi/html/organizzazione_del_documento.htm (2 di 2) [09/03/2000 15.21.14]
Introduzione
Introduzione
Precedente
Introduzione
Titolo
Successivo
Il fenomeno di Internet
Gli utenti Internet nel mondo
Sono disponibili parecchie stime sul numero di utenti di Internet. In questo capitolo sede ne viene riportata una
particolarmente valida. Nua, un istituto irlandese, ha fornito recentemente una stima pari a 147 milioni di utenti: le stime
sul numero totale di utenti di Internet sono spesso discutibili, ma Nua gode di ampia credibilit .
Secondo le rilevazioni di Network Wizards gli Internet Host (sono cos definiti i domini che hanno un indirizzo IP
registrato associato, in altre parole ogni sistema di computer collegato ad Internet con connessione full-time o part-time,
diretta o dial-up) nel luglio 98 toccavano quota 36.739.000, con un tasso di incremento semestrale del 24%.
Al primo posto tra i tipi di Host si posizionano quelli commerciali (.com, il 28% del totale) seguiti da quelli relativi a reti
(.net, 19,2%) e dagli enti d’istruzione (.edu, 12%).
Per quanto riguarda le statistiche relative agli utenti ed all’uso di Internet, una delle ricerche piø aggiornate e con il
maggior numero di intervistati Ł quella realizzata ogni sei mesi dal Graphic Visualization & Usability Center (GVU) del
Georgia Institute of Technology di Atlanta.
L’ultima rilevazione Ł stata condotta tra il 10 aprile e il 15 maggio del ’98, su un campione di circa 10.000 utenti, di cui
l’84,4% statunitensi, e il 5,8% europei. Il campionamento Ł comunque non probabilistico e dunque i dati sono da
considerarsi validi soprattutto per quanto riguarda le linee di tendenza demografiche e relative alle modalit d’uso della
Rete piuttosto che per le stime puntuali.
Dopo una prima analisi dei dati si pu formulare subito una prima conclusione: il profilo dell’utenza di Internet si avvicina
sempre piø al profilo della popolazione generale dei paesi a maggior tasso di collegamento. In particolare, l’utenza
femminile ha guadagnato nel tempo quote sempre maggiori.
Il fenomeno di Internet
http://members.xoom.com/_XMCM/Faenzi/tesi/html/il_fenomeno_di_internet.htm (1 di 6) [09/03/2000 15.22.41]
Composizione Utenza Internet - Genere
La presenza di utenti donna sale al 38,7% del totale rispetto al 33,9% di un anno fa, l’et media raggiunge i 35,1 anni per
l’intero campione e i 28,8 per l’Europa (dati non direttamente comparabili con i precedenti per via della modifica delle
classi di risposta, ma tendenzialmente in leggera crescita), l’87,4% degli utenti Ł di razza bianca mentre cresce leggermente
la quota dei rispondenti asiatici (dal 2,6% di ottobre ’97 al 3,1%).
La tavola seguente riassume alcuni concetti interessanti. Il livello di istruzione Ł abbastanza elevato: il 50,1% degli utenti
possiede almeno un titolo accademico; questo dato Ł globalmente maggiore fra gli utenti europei, anche se possiamo
riscontrare una tendenza decrescente.
Composizione Utenza Internet - Genere
Campione Tutti 35.10 %
Genere
Maschi 34.42 %
Femmine 35.53 %
Paese
USA 36.04 %
Europa 28.81 %
Altro 30.91 %
Et (anni)
11-20 17.20 %
21-25 23.00 %
26-50 36.66 %
>50 58.11 %
Il fenomeno di Internet
http://members.xoom.com/_XMCM/Faenzi/tesi/html/il_fenomeno_di_internet.htm (2 di 6) [09/03/2000 15.22.41]
Da quanti anni su
Internet
<1 36.90 %
1-3 35.04 %
>4 34.27 %
Fonte: GVU’s 9th WWW User Survey
Si riscontra un decremento anche per quanto riguarda il livello di reddito degli utenti, espresso in dollari USA nel grafico
che segue.
Composizione Utenza Internet - Fasce di reddito
Relativamente agli ambiti professionali, la quota maggiore Ł quella relativa all’educazione (26,2%), seguita dall’ICT
(22,3%) e dai liberi professionisti (21,7%). In Europa, i settori dell’ICT (35,4%) e dell’educazione(31,5%) sono quelli
maggiormente rappresentati. Nel grafico seguente sono evidenziate le quote dei settori di attivit , dati a livello globale e
per l’Europa.
Il fenomeno di Internet
http://members.xoom.com/_XMCM/Faenzi/tesi/html/il_fenomeno_di_internet.htm (3 di 6) [09/03/2000 15.22.41]
Composizione Utenza Internet - Settori Professionali
Gli utenti Internet in Italia
Anche per quanto riguarda il mercato italiano di Internet si propone la problematica relativa all’attendibilit delle ricerche
divulgate. Va dunque ancora una volta posto l’accento sul dato tendenziale, che mette in evidenza come oramai anche nel
nostro paese Internet rappresenti una realt . Negli anni precedenti, nonostante una certa arretratezza, dovuta a fattori quali
le difficolt causate dalla lingua e dalle scelte di politica infrastrutturale, il tasso di crescita della Rete Ł stato comunque
notevolmente elevato.
Il calcolo assoluto degli host presenti in Europa, realizzato da Network Wizards, pone l’Italia al settimo posto con 320.725
host contro i 1.190.663 dell’Inghilterra e i 1.154.340 della Germania, rispettivamente prima e seconda nell’elenco dei paesi
europei. L’Italia peraltro Ł quarta, con un tasso di crescita del 32% nel numero di host attivati tra il gennaio 1998 e il luglio
1998. Il tasso di crescita piø alto Ł quello della Svizzera, del 79%, anche se con un numero assoluto di host non molto
elevato, pari a 205.593 unit . E’ possibile notare come siano proprio i paesi col numero di host piø basso, segnatamente
Svizzera e Spagna, a spuntare i tassi di crescita piø elevati, mentre Regno Unito e Germania, le prime nella graduatoria,
presentino tassi di crescita relativamente piø contenuti: ci segnala la tendenza verso la convergenza a livello Europeo
delle dotazioni Internet all’interno dei singoli paesi, trend che non pu che essere giudicato positivamente.
Il fenomeno di Internet
http://members.xoom.com/_XMCM/Faenzi/tesi/html/il_fenomeno_di_internet.htm (4 di 6) [09/03/2000 15.22.41]
Numero di Host - Europa
Tassi di crescita degli Host - Europa
Un’indagine presentata nel marzo 1998 ed effettuata dall’Osservatorio Alchera, stima una popolazione italiana di 2.508.000
Il fenomeno di Internet
http://members.xoom.com/_XMCM/Faenzi/tesi/html/il_fenomeno_di_internet.htm (5 di 6) [09/03/2000 15.22.41]
utenti, pari al 4,4% dell’intera popolazione italiana, dato davvero rilevante se confrontato con quello stimato solo un anno
prima (1.069.000, l’1,9% della popolazione). Le stime di Alchera, inoltre, sono da considerarsi particolarmente valide, in
quanto poggiano su criteri statistici che, pur non essendo esenti da imperfezioni, forniscono garanzia di un sufficiente
livello di attendibilit .
Un’ulteriore stima Ł quella fornita dall’Osservatorio Internet Italia all’interno dell’universit Bocconi. L’osservatorio stima
gli utenti ultimo mese in 2.629.640, e arriva ad ipotizzare un potenziale accesso di 7.336.161 persone.
Al di l delle stime sui numeri, Ł interessante l’analisi dei dati sugli utenti. Secondo l’osservatorio, la maggior parte sono
uomini (73% contro il 27% di donne) e la classe di et predominante Ł quella compresa tra i 25 e i 34 anni (37%). Dalla
stessa ricerca, presentata nel giugno 1998, risultava inoltre che gli utenti Internet italiani si collegano per lo piø dal lavoro
(35%) e da casa (26%).
La penetrazione di Internet sul territorio italiano Ł diversa a seconda delle zone, come si nota dal grafico seguente.
Penetrazione Internet in Italia [Dati percentuali]
E’ interessante dare uno sguardo alla penetrazione per titolo di studio. Il 30% dei laureati si Ł collegato ad Internet
nell’ultimo mese, contro il 15% dei diplomati.
Faenzi Francesco - La sicurezza in ambienti Internet ed Intranet: uno studio di fattiblit per la rete
D.I.S.I. - Tesi di Laurea - Anno Accademico 1997/1998
Il fenomeno di Internet
http://members.xoom.com/_XMCM/Faenzi/tesi/html/il_fenomeno_di_internet.htm (6 di 6) [09/03/2000 15.22.41]
Introduzione
I fondamenti legali della sicurezza informatica
Precedente
Introduzione
Titolo
Successivo
Introduzione
La progressiva diffusione degli strumenti informatici e telematici all interno delle organizzazioni, espone le organizzazioni
stesse e coloro che ne hanno la responsabilit ai rischi di un coinvolgimento sia patrimoniale che penale, in relazione
all uso o all abuso degli strumenti. L obiettivo di eliminare, o quantomeno limitare, tali rischi impone pertanto ai dirigenti
l individuazione e l adozione di contromisure adeguate sul piano organizzativo e tecnico.
E doveroso segnalare che gli abusi degli strumenti informatici da parte del personale dell’organizzazione, i cui effetti
incidano solo su aspetti interni all organizzazione e non comportino responsabilit verso l esterno, ad esempio l uso dei
mezzi informatici per scopi diversi da quelli lavorativi (computer game, svolgimento di attivit privata in ore lavorative,
danneggiamento o distruzione di dati aziendali che non abbiano rilevanza in termini di responsabilit esterna), sono
sicuramente non trascurabili, ma esulano dall analisi dei profili di responsabilit penale e civile dell organizzazione e della
sua dirigenza. Tali problemi possono essere affrontati a livello organizzativo e tecnico.
La legislazione vigente Ł costituita da:
Decreto Legislativo 29 dicembre 1992 n. 518. Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica
dei programmi per elaboratore
l
Legge 23 dicembre 1993 n. 547. Modificazioni ed integrazioni alle norme del codice penale e del codice di
procedura penale in tema di criminalit informatica
l
Direttiva UE 95/46/CE del 24 ottobre 1995. La direttiva Ł relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
L art. 32 della Direttiva ne prevede il recepimento da parte degli Stati membri al più tardi alla scadenza del
terzo anno successivo alla sua adozione (23 ottobre 1998)
l
Legge 31 dicembre 1996 n. 675. Tutela delle persone e di altri soggetti rispetto al trattamento di dati personali.l
[Da: Sicurezza informatica: panorama giuridico-legislativo]
Faenzi Francesco - La sicurezza in ambienti Internet ed Intranet: uno studio di fattiblit per la rete
D.I.S.I. - Tesi di Laurea - Anno Accademico 1997/1998
Introduzione
http://members.xoom.com/_XMCM/Faenzi/tesi/html/i_fonda..._legali_della_sicurezza_informatica_-_introduzione.htm [09/03/2000 15.22.58]
Introduzione
I fondamenti legali della sicurezza informatica
Precedente
Introduzione
Titolo
Successivo
Diritti e doveri degli utenti di un sistema
informatico
Le responsabilit degli utenti riguardano:
l’uso e l abuso delle risorsel
la condivisione e la segretezza dei dati personali, in particolare delle informazioni di autenticazionel
l integrit e la disponibilit dei dati personali, in particolare il regolare svolgimento dei backupl
la rivelazione non autorizzata di informazioni riservatel
lo scambio di posta elettronica con forum o gruppi di discussione controversil
le regole di buona condotta e l atteggiamento consapevole nell uso della posta elettronical
la navigazione in Internet di siti controversil
I diritti degli utenti dei sistemi informatici essenzialmente rigurdano:
la riservatezza dei dati personalil
la riservatezza della posta elettronical
Per garantire tali diritti, la sicurezza informatica deve prendere in considerazione i seguenti punti:
la conformit alla legge e ai doveri verso terze partil
i conflitti senza evidente necessit con l’interesse degli utenti, dell’organizzazione o di terze partil
l applicabilit l
la concertazione delle misure di sicurezza tra le varie parti, cioŁ la sicurezza informatica deve essere chiarita e
concordata dalle varie parti
l
[Da: Security policy handbook - draft ietf ssph handbook 00]
Faenzi Francesco - La sicurezza in ambienti Internet ed Intranet: uno studio di fattiblit per la rete
D.I.S.I. - Tesi di Laurea - Anno Accademico 1997/1998
Diritti e doveri degli utenti di un sistema informatico
http://members.xoom.com/_XMCM/Faenzi/tesi/html/diritti_e_doveri_degli_utenti_di_un_sistema_informatico.htm [09/03/2000 15.23.20]
Introduzione
I fondamenti legali della sicurezza informatica
Precedente
Introduzione
Titolo
Successivo
Diritti e doveri del gestore di un sistema
informatico
Introduzione
Si consideri un possibile scenario. Durante il loro impiego, tutti computer sulla rete cruciale per un’organizzazione si
arrestano. L’attivit lavorativa viene ritardata con un grande costo per l’organizzazione. Dopo opportune indagini si scopre
che Ł stato diffuso un virus sulla rete attraverso un particolare account. Interrogando il proprietario dell’account, egli nega
di avere distribuito virus, ma ammette di avere condiviso con altri la sua password. ¨ responsabile civilmente e
penalmente dei danni dell’organizzazione? ¨ responsabile in tutto o in parte? Se Ł responsabile in parte, allora per quanto?
Queste sono alcune delle domande cui deve rispondere una normativa sulla sicurezza dei computer.
Per rispondere a tali quesiti, gli strumenti messi a disposizione dalla tecnologia per la sicurezza informatica devono
permettere di:
recuperare o ripristinare i beni sottratti o danneggiati nel caso di perdita o di compromissione subiti a causa di un
attacco interno o esterno
l
identificare il responsabile dell’attaccol
identificare i metodi utilizzati dall’intruso per rompere la sicurezza in modo da prevenire che l’attacco si verifichi
una seconda volta
l
revisionare la documentazione e la registrazione di tutte le attivit per trovare le prove e le tracce di un attaccol
Occorre stabilire un compromesso tra i diritti degli utenti, in particolare il dirritto alla riservatezza e la necessit che ha un
amministratore il sistema di raccogliere informazione sufficiente per diagnosticare i problemi. La politica ed i regolamenti
di un’organizzazione e il quadro normativo nel cui ambito questi sono definiti dovrebbero specificare in quale dettaglio gli
amministratori di sistema possono esaminare le informazioni personali degli utenti e quali sono i diritti degli utenti. Alcune
delle domande cui bisogna rispondere sono:
gli amministratori possono monitorare i file degli utenti per una qualsiasi ragione?l
quali sono gli obblighi e le responsabilit degli amministratori?l
gli amministratori hanno il diritto di esaminare il traffico di rete?l
La legge 675/96 e gli obblighi dell'amministratore di
sistema
La Gazzetta Ufficiale ha pubblicato l’8 gennaio 1997 con il n.675 il testo della legge sulla tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali.
L’approvazione del controverso provvedimento di legge Ł il frutto di oltre dieci anni di appassionato dibattito e segna un
decisivo passo in avanti a favore della tutela della privacy delle persone.
Alla legge si accompagna la delega al Governo per la disciplina dei servizi telematici e della connettivit Internet.
Diritti e doveri del gestore di un sistema informatico
http://members.xoom.com/_XMCM/Faenzi/tesi/html/dir...e_doveri_del_gestore_di_un_sistema_informatico.htm (1 di 6) [09/03/2000 15.24.10]
Si tratta, in sostanza, di due provvedimenti dovuti, per colmare il vuoto legislativo esistente tra l’Italia e gli altri Paesi
dell’Unione Europea sulla base della Convenzione di Strasburgo del 1981 e dell’accordo di Schengen sulla libera
circolazione delle persone.
Si tratta, peraltro, di una normativa destinata ad incidere profondamente sulle materie relative alla responsabilit dei
gestori di sistemi informatici, degli addetti alla sicurezza dei centri di Electronic Data Processing (EDP) e dei fornitori di
connettivit e di servizi Internet.
L’evoluzione tecnologica del settore dell’Information Technology (IT) verso sistemi di elaborazione sempre piø potenti e
sempre piø a basso costo ha segnato, in particolare negli ultimi dieci anni, il passaggio dalla informatica tradizionalmente
intesa come automazione dei processi, in cui alle macchine veniva affidato il compito di eseguire attivit meramente
ripetitive, lasciando all’uomo funzioni di controllo, alla informatica intesa come trattamento dei dati al fine di estrarne un
valore aggiunto. stato cos possibile concentrare raccolte di dati eterogenei e aggregare e disaggregare le informazioni
sino ad estrarne previsioni per l’adozione di ogni sorta di decisioni, che spaziano dalle scienze mediche all’andamento delle
economie e dei mercati finanziari.
Appare, dunque, evidente il pericolo che si cela dietro il possesso e l’uso indiscriminato delle banche di dati personali.
Gravi violazioni dei diritti inalienabili dell’individuo sono configurabili, ad esempio, di fronte al rifiuto di stipulare polizze
assicurative opposto da talune compagnie assicurative rispetto a soggetti assolutamente sani (che tuttavia presentano, nella
storia genetica della loro famiglia, casi di malattie trasmissibili geneticamente). In altri casi l’uso abusivo di informazioni
personali pu spingersi sino alla discriminazione per ragioni ideologiche o religiose. Si pensi, ad esempio, al monitoraggio
che normalmente viene effettuato, per ragioni di sicurezza, sugli accessi ai siti Internet. Ogni Internet Provider si trova a
gestire un tabulato che, opportunamente interpretato, rappresenta un vero diario personale degli utenti del servizio, dove
vengono annotate le preferenze commerciali, i gusti, le opinioni politiche e religiose di ogni persona. La disponibilit di
questo archivio pu costituire, nella migliore delle ipotesi, un grande vantaggio commerciale per le imprese che effettuano
la vendita a domicilio o per le societ che effettuano indagini di mercato.
La legge sulla privacy affronta il problema dei possibili abusi e delle violazioni del diritto alla riservatezza degli individui
sotto un duplice profilo:
impedire che un archivio informatizzato venga utilizzato per scopi diversi da quelli per cui Ł stato creato1.
sanzionare severamente in sede penale il furto e la diffusione indebita di informazioni custodite in archivi
informatizzati.
2.
Si tratta di un profondo mutamento di prospettiva rispetto alla tradizionale tutela approntata dall’ordinamento giuridico per
questi beni. Questa rivoluzione, che prevede il trattamento dei dati intimamente connesso al consenso espresso
dell’interessato, si collega, per la parte che qui interessa, al concetto tradizionale di sicurezza informatica.
Sino ad oggi, infatti, il compito del cosiddetto titolare del trattamento dei dati poteva limitarsi, nella maggior parte dei casi,
alla valutazione della affidabilit tecnica del sistema; oggi, invece, il concetto di sicurezza si estende sino a comprendere
l’integrit dei dati e la correttezza del loro utilizzo.
Sino a qualche anno fa, dunque, l’esigenza di aggiornare i sistemi secondo criteri di economicit poteva significare, nei
casi piø comuni, il semplice passaggio dal mainframe, ben protetto nel bunker nel centro EDP, ad un sistema
dipartimentale distribuito, fondato su architetture multipiattaforma e multi-LAN, ove ogni workstation locale pu
virtualmente favorire l’accesso indesiderato ad informazioni riservate o altri attentati alla sicurezza dell’impresa.
Da oggi, si pu ben dire, muta l’approccio culturale al problema della sicurezza informatica. necessario infatti:
garantire la genuinit dei dati impedendo alterazioni che ne possono mutare il significato originalel
impedire l’esportazione non autorizzata d’informazioni riservatel
impedire, in genere, l’utilizzo delle risorse del sistema per scopi diversi (comunemente illeciti) da quelli per i quali
esso Ł stato progettato.
l
Il profondo mutamento di prospettiva segue, peraltro, l’evoluzione del fenomeno della criminalit informatica, che Ł pur
sempre riconducibile alle esigenze di tutela della privacy. I primi crimini informatici furono commessi da dipendenti
dell’impresa o dell’ente che alteravano le registrazioni dei dati o, abusando della qualit di operatori addetti al sistema, si
impossessavano (a scopo di lucro, o anche per semplice gusto della sfida tecnologica e nella certezza dell’impunit ) di
informazioni riservate. I primi sistemi di sicurezza furono progettati, dunque, per prevenire attacchi al sistema provenienti
dall’interno. Lo sviluppo successivo delle reti locali e la diffusione dei modem per i collegamenti su linea telefonica hanno
introdotto, solo di recente, nel dibattito tecnico giuridico sulla materia, l’argomento della prevenzione di possibili, letali
attacchi al sistema provenienti dall’esterno (ad opera degli hacker o per causa dei virus informatici).
L’art. 15 della legge (sicurezza dei dati) dispone, dunque, che:
Diritti e doveri del gestore di un sistema informatico
http://members.xoom.com/_XMCM/Faenzi/tesi/html/dir...e_doveri_del_gestore_di_un_sistema_informatico.htm (2 di 6) [09/03/2000 15.24.10]
i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi, di
accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della
raccolta.
La legge introduce, per la prima volta nel nostro ordinamento, una ipotesi di reato per la omessa adozione delle misure
necessarie a garantire la sicurezza dei dati (art.36). PoichØ
tale norma si applica al trattamento dei dati personali da chiunque effettuato nell'ambito del territorio
dello Stato
e considerato che
per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica o
ente, identificati o identificabili anche indirettamente
si tratta, evidentemente, di una disciplina destinata a trovare pratica applicazione nell’ambito di tutti (o quasi) i sistemi
informativi automatizzati che contengano un elenco di nominativi. Chiunque, essendovi tenuto, omette di adottare le
misure necessarie ad assicurare la sicurezza dei dati Ł punibile, secondo il testo della legge, con la reclusione sino ad un
anno, se dal fatto non Ł derivato alcun danno, o con la reclusione da due mesi a due anni se si Ł verificato un nocumento.
Le pene, diminuite, si applicano anche al caso di condotta semplicemente colposa, cioŁ in caso di omissione dovuta a
negligenza, imperizia o imprudenza del responsabile (art. 36 comma secondo).
¨ interessante notare come le misure di sicurezza siano state qui descritte come misure di protezione idonee a prevenire il
rischio di una perdita o distruzione dei dati anche solo accidentale , di un accesso non autorizzato o di un trattamento
non consentito o non conforme alle finalità della raccolta, confermando la definizione di sicurezza verso la quale
sembrano orientate le legislazioni di tutti i Paesi che si sono gi occupati del problema.
Le misure minime di protezione obbligatorie devono essere fissate con una norma regolamentare, un Decreto del
Presidente della Repubblica (DPR) da emanare ogni due anni ai sensi dell’art. 15 della legge. All’entrata in vigore del DPR,
peraltro, le norme transitorie (art. 41) prevedono che i dati siano custoditi in maniera tale da evitare un incremento dei
rischi di cui al all'art. 15 comma 1 e cioŁ in modo da ridurre al minimo in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento i rischi di perdita
anche accidentale dei dati o di intrusione non autorizzata nel sistema informativo automatizzato. Questo significa che un
obbligo preciso di adottare misure di sicurezza adeguate alla protezione dei dati sussiste in capo al responsabile del centro
di elaborazione sin dal momento di emanazione del regolamento.
A livello comunitario, del resto, la Posizione Comune, adottata nella riunione del Consiglio 20 febbraio 1995 in vista della
adozione della direttiva sul trattamento dei dati personali prevedeva che gli Stati membri disponessero, nelle rispettive
legislazioni, per un diritto al risarcimento del danno per chiunque subisca nocumento da un trattamento illecito di
dati personali o dalla violazione delle norme che disciplinano le banche-dati , oltre a misure appropriate per
garantire la piena applicazione della legge.
La legge 675 ha scelto, a questo proposito, la piø grave delle sanzioni, quella penale e una disciplina sanzionatoria che, nel
complesso, si presta a non poche critiche. Innanzitutto, l’articolo 18 della legge prevede che chiunque cagiona un danno
ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del
codice civile. Ci significa che la legge presume la colpa del gestore della banca di dati e, invertendo l’onere della prova,
pone a suo carico ogni possibile conseguenza dei danni cagionati a terzi, se egli non prova di avere adottato tutte le misure
idonee ad evitare il danno . Si tenga presente, tanto per fare un esempio, che presumere la colpa del gestore Ł qualcosa di
diverso dalla semplice inversione dell’onere della prova. Il gestore della banca di dati, infatti, per liberarsi dalla
presunzione di colpa deve dimostrare che il danno Ł conseguenza (nella maggior parte dei casi) di un caso fortuito o di
forza maggiore. Ben diversa, invece, sarebbe stata la previsione di una semplice inversione dell’onere della prova. In
questo caso la norma avrebbe previsto che, in caso di danno, il gestore del sistema avrebbe dovuto risarcire il danno se non
avesse dimostrato di essere senza colpa e cioŁ di avere adottato le misure di sicurezza previste e di avere agito, nel
complesso con la ordinaria diligenza, prudenza e perizia.
Va anche detto della discutibile scelta costituita dal richiamo, a proposito delle banche dati personali, delle norme in
materia di responsabilit per l’esercizio di attivit pericolose. L’equiparazione, ai fini della responsabilit civile, del gestore
di un sistema EDP o di un sito telematico ad un gestore di un deposito di carburanti o di materiale esplodente evoca, nella
coscienza collettiva, quantomeno la concezione antica di un’informatica pericolosa in sŁ, patrimonio incontrollabile di una
Diritti e doveri del gestore di un sistema informatico
http://members.xoom.com/_XMCM/Faenzi/tesi/html/dir...e_doveri_del_gestore_di_un_sistema_informatico.htm (3 di 6) [09/03/2000 15.24.10]
stretta cerchia di tecnici specializzati.
di fondamentale importanza, allora, che vengano stabilite con chiarezza le norme di sicurezza minime e preventive cui fa
riferimento l’articolo 15 della legge.
Queste misure idonee sono innanzitutto quelle previste da norme e regolamenti, e in primo luogo quelle approvate con
Decreto del Presidente della Repubblica entro sei mesi dall’approvazione della legge dalla commissione interministeriale
prevista dall’art. 15, ma non queste soltanto. La legge impone che in ogni caso vengano adottate misure che riducano al
minimo i pericoli di perdita o distruzione dei dati di illecita intromissione nei sistemi da parte di soggetti non autorizzati e
fa riferimento alle conoscenze acquisite in base al progresso tecnico per la prevenzione di tali rischi. Nel sistema
tradizionale, il danneggiato dalla condotta del titolare del sistema di trattamento dei dati avrebbe dovuto dimostrare, per
vedersi riconoscere il diritto al risarcimento, che il danno subito fosse direttamente riconducibile alla omissione di cautele
considerate doverose secondo i normali criteri di prudenza, di competenza professionale e di attenzione, da parte del
responsabile EDP. L’articolo 18 della legge sul trattamento dei dati, invece, presume questa responsabilit a carico del
titolare della banca di dati sino alla dimostrazione, che spetta al gestore del sistema e non al danneggiato, della sicurezza
del sistema rispetto agli eventi dannosi prevedibili. Viene dunque in considerazione quel criterio di prevedibilit
dell’evento che Ł sempre decisivo per la delimitazione dei confini della responsabilit degli addetti.
Il quadro normativo che si va delineando Ł dunque il seguente:
il gestore del sistema informativo ha il dovere di ridurre al minimo i rischi di distruzione o perdita accidentale dei
dati
l
il gestore deve prevenire accessi non autorizzati al sistema informativol
per far ci il gestore deve adottare misure di sicurezza adeguate all’importanza dei dati custoditi negli archivi e in
linea con le conoscenze acquisite in base al progresso tecnologico.
l
Tra i casi di condotta colposa debbono farsi rientrare tutti i fatti contrari alla legge in cui il danno sia riconducibile
direttamente alla omissione di cure e cautele che chiunque sarebbe tenuto ad adottare nelle medesime cicostanze, come
l’omissione di una attivit che il responsabile aveva il dovere di compiere. Anche l’inosservanza di regole tecniche o norme
di condotta costituisce una colposa negligenza, sicchŁ anche quando venga a mancare una specifica norma di legge che
faccia obbligo di osservare una particolare linea di condotta, l’imprudenza, la negligenza o l’imperizia possono costituire
elementi della colpa.
A ben riflettere, comunque, norme di condotta esistono e si possono ricostruire dal quadro normativo sopra delineato. Per
ciascuno dei fatti illeciti previsti dalla legislazione penale Ł necessario, infatti, che vengano adottate e accuratamente
praticate delle contromisure proporzionate. Una politica minima della sicurezza dei sistemi informativi deve prevedere, in
sostanza, un sistema di identificazione degli utenti, una politica degli accessi associata a meccanismi logici e meccanici di
protezione della integrit dei dati e misure normative ed organizzative adeguate: non ha senso, infatti, investire cospicue
risorse economiche per installare un sistema di protezione, se gli operatori, non adeguatamente sensibilizzati o addestrati,
trascrivono la password sul cabinet del loro PC o dimenticano di estrarre il badge quando si assentano temporaneamente
dal posto di lavoro col terminale acceso. Allo stesso modo deve ritenersi che qualora l’intrusione nel sistema informativo o
il suo danneggiamento siano riconducibili alla scarsa diligenza del responsabile di sistema, questi potr essere chiamato a
risarcire il danno nei confronti dell’azienda e nei confronti dell’eventuale terzo danneggiato.
Il concetto giuridico di sicurezza informatica Ł dunque collegato a quel complesso di accorgimenti tecnici ed organizzativi
che mirano a tutelare i beni giuridici della confidenzialit o riservatezza, della integrit e della disponibilit delle
informazioni registrate.
Per comprendere correttamente il significato di queste espressioni si deve aver riguardo, secondo un riconosciuto criterio
interpretativo dei concetti giuridici, agli interessi che appaiono meritevoli di tutela.
Si definisce sicuro un sistema informativo in cui le informazioni in esso contenute vengono garantite, attraverso i sistemi
di sicurezza all’uopo predisposti, contro il pericolo di accessi o sottrazioni ad opera di persone non autorizzate e contro il
pericolo di manipolazioni, alterazioni o cancellazioni involontarie o dolose (a scopo di danneggiamento o di frode).
Rendere le informazioni riservate non disponibili da parte di chi non Ł autorizzato significa parimenti, e sotto altro profilo,
rendere tali informazioni disponibili nella loro integrit originaria a chi ne ha diritto (criterio della disponibilit del dato).
In altre parole, non ha senso porsi un problema di tutela della riservatezza dell’individuo se prima non viene assicurata la
integrit dei dati personali, poichŁ il dato informatico esiste in quanto Ł sicuro, in quanto di esso qualcuno ne garantisce
l’integrit e la affidabilit .
Diritti e doveri del gestore di un sistema informatico
http://members.xoom.com/_XMCM/Faenzi/tesi/html/dir...e_doveri_del_gestore_di_un_sistema_informatico.htm (4 di 6) [09/03/2000 15.24.10]
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
