Legge e bit: per l’Italia serve un approccio strutturato

SicurezzaSoluzioni per la sicurezza

Qualche indicazione e qualche problema ancora aperto nei complessi rapporti tra legislazione, giurisprudenza e tecnologia per la protezione, la privacy e la sicurezza informatica

Uno degli aspetti trascurati della sicurezza IT è quello del rispetto delle normative. Al di là dei problemi inerenti alla responsabilità civile o penale , spesso seguendo le esigenze normative gli utenti vengono messi in grado di realizzare un sistema di difesa più efficiente dell’infrastruttura informatica.

Su questi temi Trend Micro, e in particolare Rodolfo Falcone, country manager di Trend Micro Italy, stanno facendo un’opera di sensibilizzazione, coinvolgendo anche Gabriele Faggioli, avvocato esperto in reati informatici. eWeek Europe ha chiesto a Falcone di proporcene le motivazioni e a Faggioli i più recenti dettami legali.

eWeek Europe: In fatto di sicurezza IT , tecnologie e normative trovano un intreccio importante. Che ne pensa, anche come portavoce italiano di Trend Micro?

Falcone: Di recente, i Trend Labs – laboratori di ricerca di Trend Micro – hanno evidenziato un’escalation degli attacchi informatici ben precisa: tramontata l’epoca del singolo punto di attacco (tipicamente, un messaggio di posta elettronica contenente un codice maligno quale un worm), ora i malware trovano terreno fertile su più fronti, comportando minacce sempre più diversificate. Siti web che diventano involontari distributori di exploit, social network che propongono l’installazione di falsi codec per visualizzare contenuti o falsi antivirus non sono che la punta dell’iceberg. Mentre altri rischi quali il phishing sono ormai parte della vita quotidiana del navigatore medio, il rapporto tra informatica e normativa giuridica diventa – giocoforza – sempre più stretto. La sicurezza informatica è un problema di crescente attualità e portata: non è una semplice scelta nei confronti delle tecnologie più idonee a conseguirla e preservarla, implicando per contro forti risvolti legali. Che, peraltro, sono ancor più pressanti da quando si parla di convergenza fisica e logica sul fronte security, nonché di standard per la tutela dei dati e delle informazioni: diciamo, da quando Iso 27001 ha preso il posto di Bs 7799. Il nocciolo della questione è come gli strumenti a disposizione possono e devono essere utilizzati nel rispetto delle normative esistenti in materia, per evitare di incorrere in profili di responsabilità indesiderati o derogare alle conformità imposte dalle normative vigenti.

eWeek Europe: Cosa è cambiato e quali sono gli attuali punti fermi giuridici e normativi?

Faggioli: Negli ultimi sedici anni si è assistito a una vera e propria rivoluzione nel settore del diritto legato alle nuove tecnologie: l’evoluzione tecnologica ha determinato la creazione di nuovi concetti giuridici, nuovi beni tutelati, nuove fattispecie incriminatrici e nuove forme contrattuali . Ad oggi, gli assi portanti della normativa italiana sono quattro: il più noto è, probabilmente, il D.lgs. 196/03, il Codice in materia di protezione dei dati personali che sostituisce l’ormai vetusta legge 675/96. Ma non di sola legge sulla privacy si vive: la l. 547/93 e le normative collegate definiscono il domicilio informatico e disciplinano la frode informatica, l’uso di codici maligni e la riproduzione di software coperto da diritti d’autore, nonché la comunicazione a mezzo posta elettronica, mentre il D.lgs. 231/01 introduce il principio base dell’ordinamento italiano secondo cui, per determinate fattispecie criminose, non sia punito solamente il soggetto autore materiale del reato ma anche l’ente nel cui interesse ed a vantaggio del quale il reato è stato commesso. La cosiddetta legge sui crimini informatici è stata poi estesa e aggiornata dalla legge 48/08, che – tra l’altro – ha definito nuove fattispecie: quest’ultima è servita anche a disciplinare le modalità di acquisizione delle prove informatiche nell’ambito del processo penale.

eWeek Europe: Allora è tutto chiaro ? E la privacy e l’uso di Internet in azienda?

Faggioli : In azienda la conoscenza della normativa esistente potrebbe non bastare: nella disciplina italiana, infatti, vi sono alcune zone d’ombra. Oggi non esiste una normativa specifica che regoli la possibilità o meno di navigare in Internet da parte del dipendente, né che fissi in maniera chiara i poteri di controllo e repressione da parte del datore del lavoro dei comportamenti illeciti”. Da una parte vi sono il già citato D.lgs. 196/03 a disciplina del trattamento dei dati, e dunque i diritti di riservatezza dei lavoratori, e la legge 300/70 (lo Statuto dei Lavoratori) che, all’articolo 4, vieta l’uso indiscriminato di impianti audiovisivi e altre apparecchiature per il controllo remoto dell’attività dei lavoratori stessi. Con l’avvento della tecnologia informatica, il problema si è acuito, proiettandosi sui cosiddetti controlli difensivi – tesi alla protezione di beni garantiti dalla Costituzione, quali salute e proprietà: diviene infatti possibile il controllo indiretto della prestazione lavorativa attraverso il mezzo tecnico.

Su questo punto Falcone e Faggioli suggeriscono che la via da seguire sembra essere quella della prevenzione e del dialogo. Il Garante per la protezione dei dati personali ha emanato nel 2007 le linee guida sul controllo da parte del datore di lavoro in tema di navigazione sul Web e di uso della posta elettronica. Ed è al datore di lavoro che spetta l’onere di indicare in modo chiaro e particolareggiato le modalità di utilizzo ritenute corrette dei mezzi messi a disposizione e la modalità dei controlli effettuati. Il gioco – che in realtà tale non è, in fin dei conti – va fatto a carte scoperte, da entrambe le parti. Anche perché il Garante, se da un lato esclude sistemi hardware e software riconducibili a un controllo a distanza, dall’altro permette programmi che consentono controlli “indiretti”, a patto che eventuali sistemi per la raccolta e l’utilizzo dei dati siano noti a lavoratori e sindacati.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore