2. SICUREZZA INFORMATICA
● Non esiste una vera e propria definizione di
"Sicurezza Informatica". Possiamo comunque
delinearla come la scienza che studia come
proteggere le informazioni elaborate o
trasferite elettronicamente da atti indesiderabili
che possono avvenire accidentalmente, o
essere frutto di azioni colpose o dolose. (Perri
2003)
3. SICUREZZA INFORMATICA
● Non esiste un sistema sicuro al 100%; Il mito del
sistema inattaccabile è analogo al mito della nave
inaffondabile. (V. Titanic)
● Gnu/Linux e MacOS sono veramente immuni ai
virus?
● Il livello sicurezza di un sistema è dato dal tempo
necessario per violare il sistema, dall'investimento
necessario e dalla probabilità di successo.
4. SICUREZZA INFORMATICA
● Un sistema più è complesso più è insicuro.
● Le entità che compongono un sistema sono
necessariamente tre: hardware, software ed
humanware.
5. SICUREZZA INFORMATICA
●La conoscenza degli strumenti di sicurezza, dei
problemi e delle vulnerabilità che sorgono
progressivamente devono essere patrimonio culturale
di tutti gli utenti.
●A tal proposito si parla di full disclosure contrapposta
alla closed disclosure.
6. SICUREZZA GIURIDICA
● Perché i giuristi parlano di sicurezza
informatica?
● Il diritto, volente o nolente, ha dovuto
“mutuare” per certi versi la disciplina
informatica della sicurezza, integrandola nei
testi di legge.
7. SICUREZZA GIURIDICA
● Secondo la norma UNI/EN ISO 104559 “La
sicurezza è studio, sviluppo ed attuazione
delle strategie, delle politiche e dei piani
operativi volti a prevenire, fronteggiare e
superare eventi in prevalenza di natura dolosa
e/o colposa, che possono danneggiare le
risorse materiali, immateriali ed umane di cui
l'azienda dispone e necessita per garantirsi
un'adeguata capacità concorrenziale nel breve,
medio e lungo periodo”.
8. SICUREZZA GIURIDICA
● Art. 17 Dir. 95/46/CE comma 1 “Gli Stati membri dispongono
che il responsabile del trattamento deve attuare misure tecniche
ed organizzative appropriate al fine di garantire la protezione
dei dati personali dalla distruzione accidentale o illecita, dalla
perdita accidentale o dall'alterazione, dalla diffusione o
dall'accesso non autorizzati, segnatamente quando il trattamento
comporta trasmissioni di dati all'interno di una rete, o da
qualsiasi altra forma illecita di trattamento dei dati personali. Tali
misure devono garantire, tenuto conto delle attuali conoscenze
in materia e dei costi dell'applicazione, un livello di sicurezza
appropriato rispetto ai rischi presentati dal trattamento e alla
naturadei dati da proteggere”.
9. DIRITTO DELLA SICUREZZA
INFORMATICA
● La Comuntà Europea [...] è impegnata nel
promuovere un vero e proprio diritto della sicurezza
informatica (Cfr. Buttarelli, Verso un diritto della
sicurezza informatica in Sicurezza Informatica.1995)
● “Nella tematica della sicurezza, l'approccio giuridico
non è quello prevalente, ma, nel tempo, la disciplina
tecnica si è dovuta coniugare con un insieme di
regole simbolicamente contrassegnate come diritto
della sicurezza informatica” (Buttarelli 1997)
10. LA NOZIONE DI SICUREZZA
● Il diritto della sicurezza informatica ha ad oggetto lo
studio delle norme tramite le quali è possibile
assicurare l'integrità, la riservatezza e la
disponibilità del dato trattato. (Bonavita 2009)
11. IL DATO
● “Il concetto di 'dato' esprime una
registrazione elementare nella memoria di
un computer, pur non avendo una sua
dimensione numerica prestabilita, che possa
farlo ritenere una precisa unità di misurazione:
nel linguaggio comune il termine dati ha
invece una accezione più ampia, significando
spesso l'insieme dei contenuti registrati nella
memoria di un computer [...]” (Pica 1999)
12. RISERVATEZZA
● L’informazione deve essere accessibile solo a chi è
autorizzato a conoscerla. Le informazioni riservate
devono essere protette sia durante la trasmissione
che durante la memorizzazione. I dati memorizzati
devono essere protetti mediante crittografia o
utilizzando un controllo d’accesso, mentre per le
informazioni riservate trasmesse è necessaria la
crittografia.
13. INTEGRITA'
● Le informazioni devono essere trattate in modo che
siano difese da manomissioni e modifiche non
autorizzate. Solo il personale autorizzato può
modificare la configurazione di un sistema o
l’informazione trasmessa su una rete. Per garantire
l’integrità dei dati è necessario che il sistema sia
preparato ad individuare eventuali modifiche
apportate ai dati durante la trasmissione, sia
intenzionalmente in seguito ad un attacco, sia
involontariamente in seguito ad un errore di
trasmissione.
14. DIRITTO DELLA SICUREZZA
INFORMATICA
● “In Italia la cultura della sicurezza ha tardato ad
affermarsi. Per molto tempo, le misure di protezione
sono state considerate come una spesa a fondo
perduto o come un lusso, incompatibile con le
esigenze di economicità” (Buttarelli 1997)
15. DISPONIBILITA'
● L’informazione deve essere sempre disponibile
alle persone autorizzate quando necessario. Una
varietà di attacchi possono comportare la perdita o
la riduzione parziale della disponibilità di un sistema
informatico; alcuni di questi attacchi sono evitabili
tramite contromisure automatizzate come
l’autenticazione e la crittografia, mentre altri
richiedono speciali azioni fisiche per prevenire o
ridurre la perdita di dati o di risorse in un sistema
distribuito.
16. DIRITTO DELLA SICUREZZA
INFORMATICA
● D.P.C.M.15 FEBBRAIO 1989 Coordinamento
delle iniziative e pianificazioni degli investimenti in
materia di automazione nelle amministrazioni
pubbliche, Art. 4. “Le amministrazioni pubbliche
garantiscono l'applicazione delle misure per la
sicurezza dei centri elaborazione dati, la
segretezza e la riservatezza dei dati contenuti
negli archivi automatizzati, il numero delle copie
dei programmi dei dati memorizzati da conservare, le
modalità per la loro conservazione e custodia”.
17. LE FONTI
● La legge 23 dicembre 1993 n. 547 “Modificazioni ed
integrazioni alle norme del codice penale e del codice di
procedura penale in tema di criminalità informatica”;
● · la legge 3 agosto 1998, n. 269 “Norme contro lo
sfruttamento della prostituzione, della pornografia, del
turismo sessuale in danno di minori, quali nuove forme di
riduzione in schiavitù”;
● la legge 18 agosto 2000, n. 248 “Nuove norme di tutela del
diritto d'autore” volta a reprimere i comportamenti illeciti
di pirateria informatica;
18. LE FONTI
● Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina
della responsabilità amministrativa delle persone giuridiche,
delle società e delle associazioni anche prive di personalità
giuridica, a norma dell'articolo 11 della legge 29 settembre
2000, n. 300”
● In particolare il d.lgsl. 231/01 viene periodicamente
aggiornato con l’inclusione di nuovi reati; nel 2008 è stato
aggiornato per tener conto della legge n.48/2008, nel luglio
2009 per tener conto di nuovi delitti in relazione alla
violazione del diritto d’autore.
19. LE FONTI
● E’ tuttavia nella legge in materia di trattamento dei dati
personali che la sicurezza informatica ha trovato il suo
luogo di elezione.
20. Codice Privacy art. 31.
● I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da ridurre
al minimo, mediante l'adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della
raccolta.
21. Codice Privacy art. 34
● Trattamenti con strumenti elettronici. Il trattamento
di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti
dal disciplinare tecnico contenuto nell’allegato B), le
seguenti misure minime:
22. Codice Privacy art. 34 & 31
● Quale è la differenza tra misure minime e misure
idonee?
23. Codice Privacy art. 15 & 167
● Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento
ai sensi dell'articolo 2050 del codice civile.
● Chiunque, essendovi tenuto, omette di adottare le
misure minime previste dall'articolo 33 è punito con
l'arresto sino a due anni.
24. Codice Privacy art. 34
● a) autenticazione informatica;
● b) adozione di procedure di gestione delle credenziali di
autenticazione;
● c) utilizzazione di un sistema di autorizzazione;
● d) aggiornamento periodico dell’individuazione dell’ambito
del trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici;
● e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici;
25. Codice Privacy art. 34
● f) adozione di procedure per la custodia di copie di sicurezza,
il ripristino della disponibilità dei dati e dei sistemi;
● g) tenuta di un aggiornato documento programmatico sulla
sicurezza;
● h) adozione di tecniche di cifratura o di codici identificativi
per determinati trattamenti di dati idonei a rivelare lo stato di
salute o la vita sessuale effettuati da organismi sanitari.
26. Codice Privacy art. 34
Ulteriori misure in caso di trattamento di dati sensibili o
giudiziari
● I dati sensibili o giudiziari sono protetti contro l'accesso
abusivo, di cui all'art. 615-ter del codice penale, mediante
l'utilizzo di idonei strumenti elettronici.
● Sono impartite istruzioni organizzative e tecniche per la
custodia e l'uso dei supporti rimovibili su cui sono
memorizzati i dati al fine di evitare accessi non autorizzati e
trattamenti non consentiti.
27. Codice Privacy art. 34
● I supporti rimovibili contenenti dati sensibili o giudiziari se
non utilizzati sono distrutti o resi inutilizzabili, ovvero
possono essere riutilizzati da altri incaricati, non autorizzati
al trattamento degli stessi dati, se le informazioni
precedentemente in essi contenute non sono intelligibili e
tecnicamente in alcun modo ricostruibili.
● Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o
degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.
28. Codice Privacy art. 34
● I supporti rimovibili contenenti dati sensibili o giudiziari se
non utilizzati sono distrutti o resi inutilizzabili, ovvero
possono essere riutilizzati da altri incaricati, non autorizzati
al trattamento degli stessi dati, se le informazioni
precedentemente in essi contenute non sono intelligibili e
tecnicamente in alcun modo ricostruibili.
● Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o
degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.
29. Codice Privacy art. 34
● Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei a rivelare lo stato di
salute e la vita sessuale contenuti in elenchi, registri o
banche di dati con le modalità di cui all'articolo 22, comma
6, del codice, anche al fine di consentire il trattamento
disgiunto dei medesimi dati dagli altri dati personali che
permettono di identificare direttamente gli interessati. I dati
relativi all'identità genetica sono trattati esclusivamente
all'interno di locali protetti accessibili ai soli incaricati dei
trattamenti ed ai soggetti specificatamente autorizzati ad
accedervi; il trasporto dei dati all'esterno dei locali riservati
al loro trattamento deve avvenire in contenitori muniti di
serratura o dispositivi equipollenti; il trasferimento dei dati
in formato elettronico è cifrato.
30. Il DPS
● Entro il 31 marzo di ogni anno, il titolare di un
trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato,
un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo:
31. Il DPS
● l'elenco dei trattamenti di dati personali;
● la distribuzione dei compiti e delle responsabilità nell'ambito
delle strutture preposte al trattamento dei dati;
● l'analisi dei rischi che incombono sui dati;
● le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonchè la protezione delle aree e dei
locali, rilevanti ai fini della loro custodia e accessibilità;
● la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento;
la previsione di interventi formativi degli incaricati;
32. Il DPS
● La descrizione dei criteri da adottare per garantire l'adozione
delle misure minime di sicurezza in caso di trattamenti di
dati personali affidati, in conformità al codice, all'esterno
della struttura del titolare;
● per i dati personali idonei a rivelare lo stato di salute e la
vita sessuale, l'individuazione dei criteri da adottare per la
cifratura o per la separazione di tali dati dagli altri dati
personali dell'interessato.
34. PROVVEDIMENTI DEL
GARANTE
● Semplificazione delle misure di sicurezza contenute nel
disciplinare tecnico di cui all'Allegato B) al Codice in
materia di protezione dei dati personali -27 novembre 2008
● Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle
attribuzioni delle funzioni di amministratore di sistema -
7 novembre 2008
● Semplificazione al modello per la notificazione al
Garante- 22 ottobre 2008
● Rifiuti di apparecchiature elettriche ed elettroniche
(Raae) e misure di sicurezza dei dati personali - 13 ottobre
2008
35. PROVVEDIMENTI DEL
GARANTE
● Semplificazioni di taluni adempimenti in ambito pubblico
e privato rispetto a trattamenti per finalità amministrative e
contabilI - 19 giugno 2008
● Riconoscimento vocale e gestione di sistemi informatici -
28 febbraio 2008
● Trattamento di dati biometrici con finalità di verifica
della presenza dei dipendenti e di accesso a particolari aree
produttive (mulino) -15 giugno 2006
● Dati bancari: accesso non autorizzato e misure di
sicurezza -23 luglio 2009
36. D.lgs 231/01
● Legge 18 marzo 2008, n. 48 “Ratifica ed esecuzione della
Convenzione del Consiglio d' Europa sulla criminalità
informatica”
●Si prevede l'estensione della responsabilità
amministrativa delle le aziende, (D.lgs 231/01) ai reati
informatici commessi da un vertice o da un dipendente
dell’azienda allorquando ciò avvenga nel suo interesse o
abbia apportato alla stessa un vantaggio, salvo che queste
siano dotate di un piano di gestione degli incidenti
informatici.
37. D.lgs 231/01
• Il decreto legislativo 231 del 2001, prevede
l’esonero di responsabilità dell’ente allorquando lo
stesso dimostri di aver predisposto modelli di
organizzazione e di gestione idonei a prevenire
reati della specie di quello verificatosi
38. LE FONTI USA
● Digital Millennium Copyright Act (DMCA) - 1998
● Computer Fraud and Abuse Act (CFAA) -1984
● Electronic Communications Privacy Act -1986