Normativa

Queste informazioni sono state estratte da varie fonti, fra le quali:

Sono riportate solo informazioni rilevanti per amministratori di sistema e per utenti della Sezione INFN di Bologna.

  1. Legislazione vigente
  2. Reati penali
  3. Illeciti civili
  4. Sanzioni amministrative (un esempio)

1 - Legislazione vigente

Decreto del Presidente del Consiglio dei Ministri 7 Dicembre 2000, Proroga del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999.

Legge 3 Novembre 2000, n. 325, Disposizioni inerenti all'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall'articolo 15 della legge 31 dicembre 1996, n. 675.

Acceptable use policy della rete GARR, versione definitiva del 24 Novembre 2000.

Provvedimento del Garante per la protezione dei dati personali sulle misure minime di sicurezza del 29 febbraio 2000.

Decreto del Presidente della Repubblica 28 luglio 1999, n. 318 - Regolamento recante norme per l'individuazione delle misure di sicurezza minime per il trattamento dei dati personali a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675.

Decreto legislativo 22 maggio 1999, n. 185 - Attuazione della direttiva 97/7/CE relativa alla protezione dei consumatori in materia di contratti a distanza.

Decreto legislativo 11 maggio 1999, n. 135 - Disposizioni integrative della legge 31 dicembre 1996, n. 675, sul trattamento di dati sensibili da parte di soggetti pubblici.

Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 - Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513.

Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 - "Regolamento contenente i criteri e le modalità di applicazione dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici".

Legge 31 dicembre 1996 n. 675 - "Tutela delle persone e di altri soggetti rispetto al trattamento di dati personali" (testo vigente).

Direttiva UE 95/46/CE del 24 ottobre 1995 - "Sulla protezione dei dati personali".

Decreto del Presidente del Consiglio dei Ministri 3 gennaio 1994, n. 244 - "Regolamento concernente il registro pubblico speciale per i programmi per elaboratore".

Legge 23 dicembre 1993 n. 547 - "Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica".

Decreto Legislativo 29 dicembre 1992 n. 518 - "Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore".

2 - Reati penali

In questa breve sintesi sono elencate alcune figure di reato previste dal Codice Penale (legge 547/93, pene variabili fino ad un massimo di cinque anni di reclusione):

Protezione dei sistemi informatici da attacchi esterni

Le aziende (DPR 318/1999, Legge 675/96) dovranno adottare tutti i dispositivi di sicurezza necessari (parole-chiave, codici logici ecc.), per difendere i propri sistemi informatici da attacchi esterni. Ciò non solo per opportuna prevenzione ma anche per consentire l'eventuale incriminazione del soggetto attivo, con la conseguente richiesta di danni in sede civile.

Dovranno anche essere posti in atto tutti gli interventi necessari a ridurre i rischi di coinvolgimento dell'azienda, nell'ipotesi che i reati sopra elencati siano commessi dai propri dipendenti che, utilizzando gli strumenti aziendali, si introducano abusivamente nei sistemi informatici di terzi.

Ferma la responsabilità dell'autore del comportamento illecito, il nostro ordinamento penale prevede infatti la categoria dei cosiddetti "reati omissivi impropri" (art. 40 cpv c.p.) che si concretizzano nella violazione di un generico obbligo giuridico di impedire determinati eventi dannosi.

E' previsto anche il coinvolgimento penale del datore di lavoro, a titolo di concorso nel reato commesso da un proprio dipendente, nella misura in cui le circostanze concrete dimostrino che il comportamento criminoso del dipendente sia stato agevolato dalla mancata adozione, da parte del datore di lavoro, di idonee misure di prevenzione e controllo (anche in materia di abusiva duplicazione e/o commercializzazione di programmi per elaboratore).

"Obblighi di controllo" del datore di lavoro

Il Garante per la protezione dei dati personali ha emesso, il 29/2/2000, un provvedimento, allo scopo di richiamare l'attenzione dei soggetti pubblici e privati tenuti al rispetto del DPR 318/99 (obbligo di predisporre misure minime per la sicurezza) sulle prescrizioni in esso contenute e sulle connesse sanzioni, nonché sulla scadenza del 29/3/2000 prevista per l'applicazione delle misure minime di sicurezza. Nell'ottobre 1999 anche l'AIPA (Autorità per l'Informatica nella Pubblica Amministrazione) ha pubblicato le "Linee guida per la definizione di un piano per la sicurezza".

Cautele minime la cui adozione potrebbe fortemente limitare i rischi di un coinvolgimento penale del datore di lavoro:

"Datore di lavoro" e delega di funzioni

Le eventuali responsabilità penali derivanti dalla commissione dei "reati informatici" potrebbero essere assunte da un "Delegato alla sicurezza informatica" purché la delega risulti da atto scritto e sia accettata dal delegato, soggetto tecnicamente competente, qualificato e idoneo allo svolgimento dei compiti assegnatigli.

L'ipotesi di reato a carico del responsabile della sicurezza è "Omessa adozione di misure necessarie alla sicurezza dei dati" (art. 36 L. 675/96): "Chiunque, essendovi tenuto, omette di adottare le misure necessarie ad assicurare la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti [...], è punito con la reclusione fino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni".


3 - Illeciti civili

Devono essere adottate le cautele minime che chiunque, dotato di un livello di diligenza media in relazione alle circostanze e alla competenza professionale, avrebbe adottato, tenuto conto delle migliori tecniche messe a disposizione dallo sviluppo tecnologico del settore.

Misure di sicurezza

Principi di massima ai quali ispirare una politica aziendale di sicurezza informatica:


4 - Sanzioni amministrative (un esempio)

Attenzione a non diffondere messaggi di posta elettronica di tipo "catena di S. Antonio" o contenente messaggi pubblicitari indesiderati!

In base all'Articolo 10 del DLgs 185/99 l'invio di messaggi di posta elettronica non sollecitati costituisce una violazione punibile con sanzione amministrativa pecuniaria da lire un milione a lire dieci milioni.



Autore O. Pinazza
Last updated on 09-Jan-2001