















































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
il documento può essere utile a studiare il procedimento penale informatizzato
Tipologia: Appunti
1 / 55
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!
















































I primi approcci informatici nel mondo del diritto nascono nella cultura anglosassone e si sono affermati anche in Europa negli anni 60 portando attenzione su ulteriori aspetti dell’informatica giuridica che vanno a dettagliare più specificatamente l’evoluzione che c’è stata nel tempo. Dagli anni 60 ad oggi dunque l’informatica è notevolmente avanzata e ci sono tecniche molto sofisticate e macchine che lavorano una quantità di dati sempre maggiori e soprattutto, dall’altra parte ci sono delle evoluzioni dottrinali e filosofiche che portano il giurista a comprendere la norma giuridica in maniera più dettagliata. Profilo tecnologico e funzionale dell’informatica giuridica. Distinguiamo ora due profili dell’info giuridica che si è sviluppata in Europa durante gli anni 60. Come dicevamo in precedenza si è sempre di più dettagliata la funzione dell’info cercando di trovare degli aspetti di approfondimento che possiamo racchiudere in due profili, quello tecnologico e quello funzionale.
La legge speciale 22 aprile 1941, n. 633 istituisce la tutela delle opere dell’ingegno di carattere creativo, che appartengano alla letteratura, alla musica, alle arti figurative, all’architettura, al teatro, al cinema. La tutela consiste in una serie di diritti esclusivi di utilizzazione economica dell'opera (diritti patrimoniali dell'autore) e di diritti morali a tutela della personalità dell'autore, che nel loro complesso costituiscono il "diritto d'autore". Il diritto d'autore si acquista originariamente con la creazione dell'opera (tranne i casi specifici in cui questa creazione sia avvenuta nell'ambito di un contratto di prestazione d'opera), quindi l'opera appartiene, come primo titolare, a chi ne è l'autore (art. 2576 c.c.). Praticamente tutto ciò significa che questo diritto d'autore è il diritto che viene riconosciuto ad un autore per quanto riguarda la paternità sulle proprie opere e creazioni. La legge 248/00, modificando la legge 633/41, sempre attuale in materia di diritto d'autore, ha introdotto ulteriori ipotesi al fine di combattere la pirateria e la contraffazione, anche quella che si realizza via Internet. Come per le altre opere dell'ingegno anche la produzione di software e codici informatici è tutelata dal diritto d'autore. Spesso, in questi casi più che in altri, la titolarità dell'opera appartiene ad un soggetto diverso da chi ha materialmente steso i codici. Successivamente con il D. Lgs 68/2003 è stata data attuazione alla Direttiva 2001/29/CE sui programmi per elaboratore. L’art. 102 quater stabilisce che per misure tecnologiche di protezione si intendono tutte le tecnologie, i dispositivi o i componenti che impediscono o limitano gli atti non autorizzati. L art. 102 quinquies riguarda le informazioni elettroniche che possono essere inserite dai titolari (del Diritto d’autore) all’interno delle opere. Ogni opera dell'ingegno, quindi, presente su Internet appartiene al proprio autore e non è possibile copiarla o beneficiarne in alcun modo senza il consenso esplicito dello stesso autore, che ne autorizzi l'utilizzo. L'indicazione del copyright che si trova in molti sitii rafforza e rende esplicita la protezione dell'opera, ma anche in mancanza, copiare o riprodurre parti delle opere che si trovano sulla rete rimane punibile dalla Legge. Il File sharing: il fenomeno per la condivisione di massa di file, dall’inizio principalmente per condividere musica e poi anche per filmati, software, ecc. i file possono essere tranquillamente scambiati tra gli utenti che decidono di aderire a questo sistema. LA NASCITA DEL DIRITTO PENALE DELL’INFORMATICA. Il Legislatore italiano con la ratifica della Convenzione di Budapest non ha ritenuto di far nascere uno speciale settore del diritto penale destinato alla criminalità informatica, ritenendo che le fattispecie di reato dirette a contrastare il fenomeno dei cyber's crimes andassero alcune inserite in testi di legge non collegati fra loro ed altre dislocate nel codice penale e non dovessero essere raccolte in un corpus normativo unitario. Anche se non possiamo parlare di un diritto penale dell'informatica è evidente che nello studio di reati informatici, sia che s'intenda tale espressione in senso ampio, cioè come illeciti caratterizzati dal mezzo di aggressione rappresentato dall'utilizzo di materiale informatico (tipico esempio di tale categoria sono, ad esempio, le fattispecie in tema di pedofilia), sia che si faccia riferimento a condotte criminose fisicamente dirette nei confronti del sistema informatico (come, ad esempio, le fattispecie in tema di accesso abusivo o di danneggiamento del sistema informatico), è opportuno dedicare una trattazione unitaria ad alcuni elementi che accomunano tutte queste fattispecie: si pensi, ad esempio, al sistema informatico, all'individuazione dei soggetti attivi, alla possibile definizione unitaria dei beni giuridici. Proprio per questo motivo dobbiamo riflettere sulla delicata possibilità di ritenere che le varie figure criminose rientranti nella cosiddetta criminalità informatica presentino o meno un medesimo bene giuridico. Alcuni autori hanno risposto a tale quesito in senso affermativo sostenendo che <<l'introduzione dei sistemi di trattamento e di trasmissione a distanza delle informazioni, che consentono di memorizzare, elaborare e diffondere i dati con l'impiego di linguaggio elettronico, ha creato un nuovo bene giuridico, che può essere definito bene giuridico informatico>> (Cuomo – Razzante). Secondo questa prospettiva, dunque, sarebbe <<ontologicamente percepibile una dimensione unitaria del fenomeno come prodotto della tecnologia informatica, telematica, cibernetica>> (Fulvi) e tale dimensione potrebbe essere colta unificando il diritto penale dell'informatica intorno ad un unico oggetto di tutela da individuarsi nella <<affidabilità e sicurezza del ricorso alla tecnologia informatica, telematica, cibernetica>> (Fulvi). Tali tesi, anche se sostenute dall'ammirevole intento di fornire una sistemazione adeguata organica ed ordinata alle varie previsioni in tema di criminalità informatica, non riescono a superare l'ostacolo
delladoppia incriminazione ed inoltre per consentire l'applicazione dei principi dettati dalla Convenzione non solo nei confronti dei computer's crimes, ma anche a tutte le fattispecie connesse mediante un sistema informatico; in secondo luogo viene individuata è suggerita nell'atto pattizio la definizione di un sistema adeguato di collaborazione fra gli organismi nazionali e sopranazionali. La Convenzione, proprio per realizzare questi obiettivi, ha effettuato una serie di definizioni terminologiche, per armonizzare le nozioni di sistemi informatici, dati informatici, fornitori di servizi e i dati relativi al traffico, disciplinati dall’art. 1 della Convenzione. In particolare, per sistema informatico si intende qualsiasi apparecchiatura o un gruppo di apparecchi interconnessi o collegati, uno o più dei quali svolge un trattamento automatico dei dati sulla base di indicazioni fornite dal programma di software; per dati informatici si intende qualsiasi rappresentazione di fatti, informazioni o concetti idonei ad essere oggetto di trattamento ed elaborazione da parte di un programma o di un sistema informatico; per prestatore di servizi si intende qualsiasi soggetto pubblico o privato che fornisce agli utenti del suo servizio la capacità di comunicare per mezzo di un sistema informatico, nonché qualunque altro soggetto che, per conto di un primo prestatore di servizi, provvede alla memorizzazione dei dati inerenti le suddette comunicazioni; con l'espressione dati relativi al traffico si fa riferimento ai dati, inerenti l'origine, la destinazione, il percorso, l'ora, la data, la dimensione, la durata ed il tipo di servizi, relativi ad una comunicazione realizzata per mezzo di un sistema informatico e generata dallo stesso sistema informatico(AMORE-STANCA-STARO). La Convenzione una volta che ha fornito tali indicazioni di carattere generale, ha suggerito, attraverso gli articoli 2 – 10, l'introduzione di misure legislative atte a sanzionare alcune condotte tipiche di aggressione ai sistemi informatici, come la fattispecie di accesso abusivo, di intercettazione illegale, di attentato all'integrità dei dati e dei sistemi, di abuso di apparecchiature, di falsificazione informatica, di pornografia infantile e di violazione della proprietà intellettuale. La Convenzione, ai sensi dell'articolo 13, suggerisce che tali condotte siano sanzionate con pene effettive, proporzionali e dissuasive, ricomprendenti anche la privazione della libertà personale. Infine, ai sensi dell'articolo 12 della Convenzione, viene prevista anche la responsabilità delle persone giuridiche allorquando i delitti informatici siano commessi da persone fisiche nell'intento di soddisfare un interesse o far perseguire un vantaggio all'ente collettivo cui appartengono o di cui sono dipendenti. La Convenzione di Budapest, poi, fornisce ulteriori indicazioni sulle indagini necessarie per una effettiva repressione dei cybercrimes, richiedendo che gli Stati membri, una volta acquisita la prova della commissione degli illeciti, provvedano ad assumere misure idonee a garantire la conservazione dei dati informatici facilmente modificabili ed al mantenimento dell'integrità delle informazioni per il tempo necessario all'individuazione dei colpevoli ed all'accertamento processuale della loro responsabilità. La Convenzione negli articoli 19, 20 e 21, richiede che vengano introdotte regole uniformi in tema di perquisizione, sequestro ed accesso a sistemi, dati e supporti informatici, nonché per la raccolta e la registrazione in tempo reale dei dati relativi al traffico, intercettazione e registrazione di comunicazioni telematiche. Particolare importanza all'interno della Convenzione riveste la disciplina dettata dall'articolo 22 in materia di giurisdizione: infatti ,<<per limitare l'area delle fattispecie non punibili a causa dell'ontologica delocalizzazione del crimine informatico>> (CUOMO – RAZZANTE), il citato articolo prevede che per i reati indicati dalla Convenzione ogni ordinamento debba perseguire penalmente le condotte comprese nel territorio di ciascuno Stato aderenti alla Convenzione medesima, anche quando siano state poste in essere da un cittadino straniero, se l'infrazione è penalmente punibile laddove è stata commessa o se l'infrazione non rientra nella competenza territoriale dello Stato è inoltre creato uno spazio giudiziario comune in base al quale quanto più Stati rivendicano la propria competenza, le diverse autorità statuali provvederanno ad una consultazione al fine di stabilire il modo più appropriato per esercitare l'azione penale. Per ciò che attiene alla collaborazione fra gli Stati per lo svolgimento delle indagini in materia di crimini informatici, è previsto che le autorità statuali cooperino fra loro nella misura più ampia possibile nello svolgimento delle relative investigazioni. Inoltre l'art 23 della Convenzione, per rendere più celere lo svolgimento di tali indagini, stabilisce che la richiesta di mutua assistenza può essere formulata, in casi di urgenza, anche mediante mezzi di comunicazione come fax e posta elettronica, purché siano assicurate appropriate garanzie di sicurezza e segua poi la conferma ufficiale se lo Stato richiesto la ritiene necessaria; sono poi contemplate una vasta gamma di misure provvisorie finalizzate alla celere esecuzione di tutte le attività di indagine, come l'archiviazione rapida di dati informatici, la divulgazione tempestiva dei dati di traffico, la perquisizione o l'accesso a sistemi informatici, il sequestro e la conservazione in tempo reale dei dati telematici, nonché le intercettazioni del contenuto di comunicazioni trasmesse attraverso l'uso di elaboratori elettronici.
La legge 15 febbraio 2012, n.12, ha disciplinato le nuove misure per il contrasto ai fenomeni di criminalità informatica. Con l’art. 1 si è introdotto un’importante modifica dell’art. 240 del c.p., introducendo la confisca dei beni e degli strumenti informatici o telematici che risultino essere stati in tutto o in parte utilizzati per la commissione dei reati, introdotti con le leggi n.547/1993 e legge n. 48/2008. L’art. 2 ha, invece, introdotto l’art. 86 bis del d.lgs. n. 271/1989, stabilendo che i beni e gli strumenti informatici o telematici oggetto di sequestro che, a seguito di analisi tecnica forense, risultino essere stati in tutto o in parte utilizzati per la commissione dei reati di cui agli artt. 473, 474, 615-ter, 615-quater, 615- quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 635- quinquies, 640-ter, e 640-quinquies del codice penale, siano affidati all’autorità giudiziaria in custodia giudiziale con facoltà d’uso, salvo che vi ostino esigenze processuali, agli organi di polizia che ne facciano richiesta per l’impiego in attività di contrasto ai crimini informatici ovvero ad altri organi dello Stato per finalità di giustizia. La legge prevede, inoltre, che gli stessi beni e strumenti acquisiti dallo Stato a seguito di procedimento definitivo di confisca possano essere assegnati alle amministrazioni che ne facciano e che ne abbiano avuto l’uso ovvero, qualora non vi sia stato un precedente affidamento in custodia giudiziale, agli organi di polizia che ne facciano richiesta per l’impiego in attività di contrasto ai crimini informatici o ad altri organi dello Stato per finalità di giustizia. Ne consegue che per i reati indicati sopra, oltre alle sanzioni previste dalle specifiche disposizioni normative che li riguardano specificatamente, si aggiunge come pena accessoria la confisca degli stessi beni che collegati all’esecuzione di fatti criminosi potrebbero essere nuovamente utilizzati per compiere ulteriori reati informatici. Tale pena accessoria ha come finalità quella di impedire che la disponibilità di materiale funzionale o conseguente al reato possa indurre il reo a delinquere nuovamente.
Con il nome data mailing s’intende l’applicazione di una o più tecniche che consentono l’esplorazione di grandi quantità di dati con l’obiettivo d’individuare le informazioni più significative e renderle disponibili e utilizzabili nell’ambito del decision making. Con il data mailing noi possiamo utilizzare e gestire un materiale molto prezioso e cioè quello della conoscenza, ovvero informazioni nuove o originali su determinati fenomeni estratti da grandi quantità di dati. Questo è qualcosa di più del risultato di semplici analisi statistiche in quanto dovrebbe evidenziare non solo la frequenza di certi fenomeni, ma i modi in cui vengono a concatenarsi circostanze o fattori. Data la grande quantità di dati si tratta d’individuare combinazioni di dati, o attribuzioni di valori, che si ripetono con continuità per stabilire dipendenze o connessioni. In informatica si parla a tal riguardo di acquisizione semiautomatica di conoscenza da grandi masse di dati. La metodologia del data mailing può essere applicata sotto due fattispecie. La prima è quella d’individuare indirizzi giurisprudenziali su temi specifici; essa consiste nel fatto che gli indirizzi giurisprudenziali indicano la tendenza ad uniformare le decisioni di un certo settore a una certa linea. La seconda è quella di verificare l’aderenza di provvedimenti a una certa linea.
Con il D.P.C.M. del 16 Febbraio 2016 n.40 sono state introdotte le regole e le specifiche tecniche per l’attuazione del processo amministrativo telematico. L’entrata in vigore del D.P.C.M. è stata il 5 Aprile 2016 ma, lo stesso articolo 21 al primo comma stabilisce che la maggior parte delle disposizioni in esso contenute saranno applicate dal 1 Luglio 2016. Con il presente articolo, vediamo quali sono le peculiarità del processo amministrativo telematico:
e motivate ragioni tecniche, ordinare o autorizzare il deposito di copia cartacea o su supporto informatico ovvero si diverso supporto di singoli atti e documenti. In questo caso viene fatta menzione del deposito in copia cartacea nell’indice del fascicolo;
Oltre alla tutela dell’identità digitale durante la vita del soggetto titolare, è opportuno interrogarci sulla sorte dei dati, in particolare dei beni e dati digitali, dopo la morte del soggetto. Tale tematica oggi assume una grande rilevanza poiché i soggetti hanno una o più identità digitali ma, soprattutto, detengono beni che possono essere oggetto di eredità. Tale questione si pone nel diritto delle successioni a causa di morte e ed è caratterizzata, però, da una dissociazione tra l’esistenza biologica dell’individuo e la sua “persona elettronica”. Quest’ultima non si dissolve con la morte del soggetto ma resta nella rete. È interessante notare come ogni minuto muoiono in media tre utenti facebook e che il 5% degli utenti facebook sono costituiti da “zombie digitali”. Questo è solo uno dei profili che attiene alla tutela dei dati digitali dopo la morte in quanto, i quesiti da porsi sono molteplici: qual è la sorte della corrispondenza elettronica del defunto? Di chi sono i dati personali lasciati in cloud da un defunto? Se un utente possiede monete virtuali, a chi ed in che misura spettano agli eredi? La tutela dei dati personali, assume una rilevanza anche dopo la morte del soggetto, in quanto è necessario analizzare il problema del controllo postumo sui dati personali che risultano dispersi in una molteplicità di luoghi virtuali. Secondo l’art. 9 comma 3 del d.lgs 193/2003, “ i diritti di cui all’art. 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezioni”. Tale norma è significativa in quanto si contempla da un lato i soggetti che hanno un interesse proprio, come un legittimario pretermesso, dall’altro coloro i quali operano come “fiduciari del defunto” o che agiscono per la tutela del nucleo familiare. La possibilità di esercitare i diritti contemplati dall’art. 7, acquista una grande rilevanza nel campo dei rapporti telematici. In particolare, le controversie concernenti agli account personali del defunto, potrebbero trovare una piena soluzione nel contesto normativo italiano. L’analisi del patrimonio digitale del de cuius, comporta notevoli difficoltà, volte ad analizzare la normava applicabile al caso di specie, ed i tipi di interventi volti ad ottenere l’accesso a tali dati ed informazioni. È importante capire chi e secondo quali regole è chiamato a succedere nei beni digitali del defunto. Tale interrogativo non è privo di difficoltà, in quanto i beni digitali possono avere natura eterogenea. Pensiamo alla creazione di profili su social network come Facebook, la creazione di indirizzi di posta elettronica, le banche dati, i file di testo, le immagini, la musica, gli account aperti su siti commerciali. Ognuna di queste attività fa parte del “patrimonio digitale del debitore” che può essere oggetto di successione.
1. I diritti incorporati su supporti fisici. L’utilizzo di pen drive comporta che i dati in esso contenuti possono entrare in successione. Se assumessimo l’esistenza di un diritto reale sul supporto fisico, ne consegue che i dati in esso contenuti (file di testo, file musicali, immagini ecc) cadranno in successione seguendo le regole ordinarie. La questione diviene più complessa se i contenuti hanno veste personale, come ad esempio i ricordi di famiglia o corrispondenza elettronica a carattere intimo e personale. In tal caso non è facile capire se tali
beni entrino o meno in successione. Se seguissimo la tesi utilizzata nel contesto dei rapporti offline [1] si dovrebbero escludere dall’asse ereditario tali categorie di beni. Infine, più incisiva è la tesi per cui la natura degli interessi coinvolti, come la preservazione della memoria familiare, impone l’applicazione di un meccanismo di vocazione anomala a favore dei prossimi congiunti, indipendentemente dalla loro posizione di eredi, come disposto dall’art. 93 della legge sul diritto d’autore.
2. La tutela dei diritti oggetto di proprietà intellettuale. Più agevole è rinvenire il tipo di disciplina applicabile per la tutela di beni sui quali insistono diritti di privativa. La creazione di siti web, o la realizzazione di video o fotografie, trovano tutela nel diritto d’autore. Pertanto, qualora dovesse determinarsi l’esistenza di un diritto patrimoniale su di un bene immateriale, si dovrà concludere per la caduta in successione ed in particolare per la trasmissibilità agli eredi o ai legatari, seguendo le regole previste per ciascuno dei diritti di privativa su menzionati. 3. La successione delle posizioni contrattuali. Nel mondo digitale, la maggior parte dei beni assumono consistenza giuridica in quanto sono inseriti nella rete dei rapporti contrattuali. Immaginiamo la creazione di un profilo facebook o l’utilizzo di avatar sulla piattaforma Second Life. La successione di questi beni digitali, deve rispondere al quesito circa la trasmissibilità della posizione contrattuale coinvolta. Nel nostro ordinamento, la successione per causa di morte determina di regola il trasferimento delle posizioni contrattuali del defunto agli eredi. Tale principio è oggetto di deroghe a seconda dei casi che si prospettano. Nel campo della successione digitale, risultano confermati sia il principio che le deroghe. La regola generale che si deve seguire è quella secondo la quale gli eredi succedono a tutti i rapporti negoziali in atto, assumendo i medesimi diritti ed i medesimi obblighi che sussistevano in capo al de cuius. Secondo tale impostazione, si possono ritenere trasmissibili tanto la posizione di parte in un contratto di accesso ad internet stipulato con un operatore telefonico, tanto quella relativa all’utilizzo di una banca dati online. Analizzando, invece, la piattaforma SecondLife, le sue condizioni generali di contratto sanciscono l’ammissibilità di una disposizione testamentaria volta a garantire il trasferimento dell’account all’erede o al legatario. In tutti questi casi, il subentro degli eredi nella posizione contrattuale, determina non solo la trasmissione delle pretese relative agli obblighi, come la fruizione dei servizi di hosting [4], ma anche quelle relative agli obblighi di natura accessoria, come la comunicazione agli eredi di credenziali di accesso o la duplicazione dell’account. Non sempre, però, il diritto degli eredi segue questa strada. In molti casi, infatti, le condizioni generali di contratto sottoscritte dall’utente stabiliscono univocamente che, in caso di decesso, il rapporto sarà estinto ed intrasmissibile a terzi. Tale attività si rinviene in Yahoo! che impone l’accettazione di una clausola secondo cui l’account non è trasmissibile ed i diritti del soggetto cessano con la sua morte. Facebook, ad esempio, sottolinea a chiare lettere l’impossibilità del trasferimento di account a terzi, ivi comprese le pagine ove il soggetto è amministratore, senza il preventivo consenso del provider. Inoltre le sue condizioni generali di contratto non contemplano l’ipotesi di un’automatica cancellazione dei contenuti, ma dettano un’apposita disciplina per rendere il profilo “commemorativo”. 4. La trasmissione degli account di posta elettronica. La larga diffusione degli indirizzi di posta elettronica, ha determinato numerosi interrogativi volti a tutelare la successione del rapporto contrattuale che si instaura nel momento in cui viene realizzato l’indirizzo di posta elettronica ed il regime dei suoi contenuti, oggetto di informazioni e dati personali. La dottrina ha, al riguardo, elaborato tre distinte tesi: a) La prima tesi, ritiene che la disciplina deve diversificarsi a seconda della natura dell’account oggetto di successione. Ove si tratti di posta elettronica avente carattere professionale e patrimoniale, essa sarà oggetto di successione e pertanto chiamati a succedere sono gli eredi; ove si tratti di posta elettronica avente contenuto personale, la legittimazione si concentrerebbe in capo ai prossimi congiunti. Tale tesi si scontra con la difficoltà di individuare se l’indirizzo di posta elettronica sia di natura professionale o personale. Molto spesso il soggetto invia messaggi privati dall’indirizzo di posta elettronica professionale e viceversa potrebbe inviare comunicazioni professionali dall’indirizzo personale. Infine il soggetto potrebbe avere un solo indirizzo di posta elettronica che svolge entrambe le attività.
falso stato ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica con la reclusione fino ad un anno”. Altra attività attraverso la quale si procede al furto dell’identità digitale è rappresentato dal fenomeno del Phishing. Con tale attività, un soggetto cerca di appropriarsi di informazioni quali numeri di carte di credito, informazioni relative ad account, password o altre informazioni di natura personale, convincendo l’utente a fornirle mediante falsi pretesti, come ad esempio l’invio di posta che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. Tale condotta integra, in primo luogo, il reato di trattamento illecito di dati personali di cui all’art. 167 del codice della privacy che punisce “ chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento dei dati personali…. è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi”. In secondo luogo, tale fattispecie è punibile ai sensi dell’art. 630-ter c.p. comma 3 che, per la prima volta ha inserito nel codice penale il concetto di identità digitale. In particolare, il Legislatore per il reato di “ frode informatica commessa con sostituzione di identità digitale” ha previsto la pena della reclusione da due a sei anni e la multa da 600,00 euro a 3.000,00 euro nel caso in cui il fatto sia commesso mediante furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti; per tale delitto è prevista la querela della persona offesa salvo che ricorra l'ipotesi di cui al 2° o 3° comma dell'art. 640-ter ovvero altra circostanza aggravante.
L’avvento delle nuove tecnologie ed il proliferare di nuovi strumenti informatici, ha sicuramente recato benessere nei confronti della collettività. Adesso è possibile con uno smartphone collegarsi alla propria casella di posta elettronica, controllare impegni in agenda, prenotare viaggi, visionare il proprio conto corrente bancario. L’uomo è circondato dalle nuove tecnologie e se questo semplifica la propria vita personale e lavorativa, allo stesso tempo lo espone maggiormente ad attacchi da parte di ladri informatici. Parlo di ladri informatici, poiché resto ancorato ad una definizione di Hacker data dagli studiosi Baird e Ranauro, secondo cui il termine hacker nella sua accezione originaria (dall’inglese “to hack” che letteralmente significa “fare a pezzi” o “tagliare”), indica una persona per la quale la programmazione informatica costituisce una vera e propria passione, con l’obiettivo di dominare le macchine, di smontare i sistemi, di osservare come sono costruiti e come funzionano per scoprirne peculiarità nascoste e debolezze, o per innovare ed implementare le applicazioni. Secondo la “cultura-hacker” i sistemi di elaborazione potevano essere violati per elevare il livello delle conoscenze scientifiche e per verificare l’efficacia delle protezioni contro le intrusioni, anche se non era consentito danneggiare i programmi e le informazioni. Purtroppo non tutti gli Hacker seguono tale cultura e, per questo, si è resa necessaria una nuova classificazione che tenesse conto del comportamento utilizzato. Lo studioso Carlo Sarzana di S. Ippolito, proponeva la seguente classificazione: a) esperti veri e propri : essi violano i sistemi mediante indagini sistematiche ed il loro obiettivo è quello di infrangere i sistemi di sicurezza e curiosare negli schedari, soddisfatti di aver rag giunto il loro scopo; b) swappers: essi, almeno nel Regno Unito, rappresentano la grande maggioranza degli hackers. Sono dediti piuttosto allo scambio di informazioni ed all'uso dei sistemi a scopo ludico ai quali accedono attraverso informazioni ricevute, piuttosto che in base ad indagini tecniche sistematiche: si limitano per lo più a curiosare; c) vandali elettronici: rappresentano una minoranza nel campo degli hackers e spesso sono osteggiati dalla maggioranza degli “hackers buoni”. Essi sono specializzati nel penetrare nei sistemi lasciandovi messaggi osceni o cancellando gli schedari o alterando il sistema di passwords. Sono particolarmente vendicativi e molto inclini alle ritorsioni, anche gravi. Ancor più recente è la suddivisione fatta dal criminologo Marco Strano che ha costruito una nuova figura dell’Hacker, suddivisa in sei categorie:
Qualora il Cloud provider abbia avuto la titolarità dei dati ricevuti dall’utilizzatore ed abbia stabilimento in Italia, sarà tenuto anche al rispetto delle misure di sicurezza di cui al d.lgs. 196/2003. Il rapporto diviene più complesso qualora il Cloud provider e l’utilizzatore si trovano in luoghi e nazioni diverse. In primo luogo si deve vedere se c’è l’autorizzazione dell’utente a spostare e frammentare i dati anche al di fuori dell’ordinamento originario. In secondo luogo se, pur avendo l’autorizzazione, i dati possono essere effettivamente trasferiti. L’adozione da parte del fornitore del servizio di tecnologie proprie può, in taluni casi, rendere complessa per l’utente la transizione di dati e documenti da un sistema Cloud all’altro o lo scambio di informazioni con soggetti che utilizzino servizi Cloud di fornitori differenti, ponendone quindi a rischio la portabilità e l’interoperabilità dei dati. Il servizio virtuale potrebbe, inoltre, in assenza di adeguate garanzie in merito alla qualità della connettività di rete, risultare degradato in presenza di elevati picchi di traffico o addirittura indisponibile laddove si verifichino eventi anomali quali, ad esempio, guasti, impedendo l’accessibilità temporanea ai dati in esso conservati. Inoltre gli obblighi di conservazione non riguardano tutti i dati conferiti per la memorizzazione, ma esclusivamente i dati classificati come “dati personali”. A tal fine, i dati che possono essere gestiti tramite Privacy policy e consenso al trattamento sono dei dati che consentono di identificare il rispettivo titolare o altri individui. Il sistema di autorizzazioni e consensi, seppur necessario per legge, non è sufficiente ad autorizzare il Cloud provider alla complessiva e completa gestione di una universalità di dati depositati in Cloud in assenza di ulteriori previsioni contrattuali. Obblighi del Cloud provider alla sicurezza dei dati. Il fornitore del servizio di Cloud assume, pertanto, la responsabilità di preservare la riservatezza, l’integrità e la disponibilità dei dati. Tali obblighi sono, però, commisurati al tipo di servizio offerto ed al regime contrattuale adottato. In particolare la scheda di documentazione del garante Privacy, stabilisce che: “ i trattamenti di dati personali richiedono, infatti, una ponderazione dei rischi legati alla sicurezza ed alla fruibilità delle informazioni. Pertanto, vanno tenute in debito conto le particolari caratteristiche delle nuove tecnologie, allo scopo di governare i potenziali pericoli che possono derivare da utilizzi scarsamente consapevoli e da modelli innovativi adottati con metodi, prassi e processi non ancora sufficientemente consolidati e in grado di mitigare le eventuali criticità. È quindi opportuno, anche nei casi di Cloud computing, razionalizzarne le peculiarità al fine di individuare i potenziali rischi insiti in tali servizi e quindi poter adottare efficaci e specifiche misure di prevenzione. Nel caso del Cloud computing, il trasferimento dei dati dai computer locali, nella fisica disponibilità e nel diretto controllo esercitabile dal titolare, verso sistemi remoti di proprietà di un terzo fornitore del servizio, presenta, accanto a potenziali utilità, anche i seguenti aspetti che necessitano di specifica attenzione […]”. Il Garante, tra gli aspetti critici legati alla sicurezza dei dati personali, individua quelli che necessitano di specifica attenzione. In particolare, l’utente affida i dati ai sistemi di un fornitore remoto, perdendone il controllo diretto ed esclusivo, affidando la riservatezza e la disponibilità delle informazioni allocate sulla nuvola ai meccanismi di sicurezza adottati dal service provider. I dati personali potrebbero, inoltre, passare per una catena di trasformazione dei servizi acquisiti presso altri service provider, diversi dal fornitore con cui l’utente ha stipulato il contratto, col rischio di non sapere quale dei gestori intermedi possa accedere ai dati. In particolare, si ricorda che l’art. 31 Codice Privacy prevede espressamente che “ i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ”. L’utilizzo delle misure minime è obbligatorio nel Cloud poiché il trattamento dei dati personali avviene con sistema telematico. Per questo motivo, il Codice Privacy, all’art. 34, individua alcune misure minime la cui adozione è obbligatoria e presidiata da apposite sanzioni:
La Posta Elettronica Certificata trova la sua prima ed organica disciplina nel D.P.R. n. 68 del 11 febbraio 2005 (Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'art. 27 l. 16 gennaio 2003 n. 3). Successivamente, con l’emanazione del Decreto del Ministero per l’Innovazione e le Tecnologie del 2 novembre 2005, si sono dettate le “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata". In pratica tutti i requisiti tecnico- funzionali che devono essere rispettati dalle piattaforme utilizzate per erogare il servizio. Anche il Codice dell‘Amministrazione Digitale (d.lgs. n. 82/2005) fa esplicito riferimento alla posta elettronica certificata agli artt. 6 e 48 con rinvio al D.P.R. 68/2005 per la disciplina specifica, anche se il Consiglio di Stato avrebbe gradito (v. parere n° 11995 dell'Adunanza del 7.2. 2005) l’assorbimento dell’intero Decreto nell’ambito del CAD così come è avvenuto con il Sistema Pubblico di Connettività. L’ art. 6 sancisce al primo comma che per le comunicazioni di cui all'articolo 48, comma 1, con i soggetti che hanno preventivamente dichiarato il proprio indirizzo ai sensi della vigente normativa tecnica, le pubbliche amministrazioni utilizzano la posta elettronica certificata. La dichiarazione dell'indirizzo vincola solo il dichiarante e rappresenta espressa accettazione dell'invio, tramite posta elettronica certificata, da parte delle pubbliche amministrazioni, degli atti e dei provvedimenti che lo riguardano. L’ art. 48 prevede al primo comma che la trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, o mediante altre soluzioni tecnologiche individuate con decreto del Presidente del Consiglio dei Ministri, sentito DigitPA. Al secondo comma viene sancito che la trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta. Al terzo comma si precisa che la data e l'ora di trasmissione e di ricezione di un documento informatico trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche. La normativa summenzionata disciplina, quindi, le modalità di utilizzo della Posta Elettronica Certificata (PEC) non solo nei rapporti con la P.A., ma anche tra privati cittadini. In questo modo, quindi, si conferisce valore giuridico alla trasmissione di documenti prodotti ed inviati per via informatica.
Ricevute : Accettazione (attesta l’invio con i dati di certificazione); Avvenuta consegna (attesta la consegna con i dati di certificazione e, su richiesta il messaggio originario – completa, breve, sintetica); Presa in carico (attesta il passaggio di responsabilità al gestore del destinatario). Buste : Trasporto (contiene il messaggio originario, i dati di certificazione e la firma del gestore); Anomalia (contiene il messaggio errato/esterno e la firma del gestore). Avvisi : Non accettazione (errori formali o virus); Mancata consegna (superamento tempo massimo o virus); Virus (rilevamento virus). I nodi di tracciamento del sistema svolgono, quindi, funzioni di: Accesso : riconoscimento utente, controlli formali, emissione ricevuta di accettazione, imbustamento del messaggio. Ricezione : controllo provenienza e correttezza, emissione ricevuta di presa in carico, imbustamento messaggi errati. Consegna : consegna nella casella (indirizzo elettronico) del destinatario, emissione di ricevute di consegna, di errore di consegna ovvero imbustamento di sicurezza. Riguardo il delicato aspetto della sicurezza è importante rilevare che nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte deve essere conservata per trenta mesi (originariamente i mesi erano 24) in un apposito registro informatico custodito dai gestori, con lo stesso valore giuridico delle ricevute. Il registro informatico (log) dovrà contenere: il codice identificativo univoco del messaggio originale (Message- ID); la data e l’ora dell’evento; il mittente del messaggio originale; l’oggetto del messaggio originale; il tipo di evento (accettazione, ricezione, consegna, emissione ricevute, errore, ecc.); il codice identificativo dei messaggi generati (ricevute, errori, ecc.); il gestore mittente; l’indirizzo telematico del destinatario/i. In merito alla problematica dei virus i gestori dei mittenti e dei destinatari vengono particolarmente responsabilizzati e sono tenuti a verificare l'eventuale presenza di virus nelle e-mail ed informare in caso positivo il mittente, bloccandone la trasmissione (art. 12). Le ricevute rilasciate dai gestori di posta sono inoltre da essi sottoscritte mediante una firma elettronica avanzata generata in automatico dal sistema di posta e basata su chiavi asimmetriche a coppia, una pubblica e l'altra privata, assicurando così la provenienza, l'integrità e l'autenticità del messaggio di posta elettronica certificata. Quindi alla luce di quanto detto sopra i gestori di posta elettronica certificata sono tenuti a garantire la riservatezza, la sicurezza (anche da virus informatici) e l'integrità nel tempo delle informazioni contenute nella cosiddetta "busta di trasporto" conservandole per trenta mesi (art. 11 del decreto).
Con il termine Internet of Things (IoT), si fa riferimento ad infrastrutture che sono in grado, attraverso la presenza di numerosi sensori, di registrare, processare, immagazzinare dati localmente o tramite l’interazione tra loro sia nel medio raggio, mediante l’utilizzo di tecnologie a radio frequenza, sia tramite una rete di comunicazione elettronica. Dispositivi di tal specie, non sono solo i tradizionali computer o gli smartphone, ma oggetti che sono integrati nella nostra vita quotidiana; pensiamo alle smart tv, gli smart watch, o gli strumenti di automazione domestica e di georeferenziazione e navigazione assistita. Tali oggetti, sono in grado di connettersi alla rete o di scambiarsi informazioni. Diventano “vivi e pensanti”, potendo interagire con l’ambiente circostante ed aiutando le persone nella loro vita quotidiana e lavorativa. Tecnologie così invasive della nostra vita privata e lavorativa, possono ritorcersi contro e determinare forti violazioni in tema di privacy e sicurezza informatica. Interessante, a tal proposito, è un progetto realizzato dal gruppo non-profit Consumers Reports, il quale ha realizzato un sistema di recensioni per poter valutare i sistemi di sicurezza degli oggetti IoT.
L’idea è partita da un sondaggio, ove si affermava che il 65% degli americani, dichiarava di essere poco o per nulla sicuri che i loro dati personali fossero privati e non venissero distribuiti a loro insaputa. Il progetto parte da questo sondaggio e mira ad analizzare gli oggetti per determinare il grado di sicurezza degli stessi. L’obiettivo che si prefigge è quello di aiutare i consumatori a capire il prodotto digitale ed individuare gli strumenti che può utilizzare per proteggere la propria privacy ed avere il miglior controllo sui propri dati personali. Consumers Reports, per garantire metri di valutazione uniformi, utilizza degli standard per determinare la sicurezza del prodotto che si sta utilizzando. In particolare:
Pertanto, è da escludere un preventivo ed indefinito monitoraggio del sistema predetto in attesa dell'eventuale e futura comparsa del dato da acquisire a base delle indagini: si verrebbe altrimenti ad integrare un nuovo ed anomalo strumento di ricerca della prova, con finalità nettamente esplorative, di mera investigazione (paragonabile alle intercettazioni), che nulla ha a che fare con la perquisizione. La Suprema Corte di Cassazione, nel medesimo provvedimento, ha ritenuto che, correttamente, il Tribunale ha escluso la fondatezza dell'interpretazione offerta dalla Pubblica Accusa del nuovo testo dell'articolo 248 c.p.p., comma 2, a giustificazione del provvedimento censurato. Infatti, la locuzione contenuta nell'articolo 248 c.p.p., comma 2 (anch'esso novellato dalla Legge n. 48 del
riconoscono ai passeggeri il diritto di accesso, di rettifica e di cancellazione dei loro dati, il diritto a compensazione e il diritto di ricorso;
L’avvento di Internet, e soprattutto la sua evoluzione a Web 2.0, ha mutato il volto dell’informatica moderna ed ha sollevato nuovi problemi con riferimento alla Privacy. Nel 1999 il Garante si è occupato di valutare il delicato rapporto tra dati presenti in Internet e diritto alla Privacy. In primis il Garante, nella Newsletter 14-20 giugno 1999, ha notato come la legge sulla Privacy regoli la diffusione dei dati personali in maniera uniforme, a prescindere dal mezzo utilizzato, e preveda un’analoga disciplina sia per la diffusione di un elenco di dati personali attraverso una pubblicazione, sia per la messa a disposizione dell'elenco su Internet mediante una pagina Web consultabile da chiunque si colleghi in rete. Le norme sulla tutela dei dati personali si applicano, infatti, a tutte le operazioni di trattamento effettuate, con o senza ausilio di mezzi elettronici. La questione era stata sollevata da un quesito posto dalla Federazione nazionale delle imprese di spedizione che aveva domandato all'Autorità se la diffusione via Internet dell'annuario dei propri associati, prima divulgato attraverso la pubblicazione di un apposito volume, fosse contraria ai principi della allora vigente Legge n. 675 del 1996. Il Garante ha sottolineato che, ai fini dell'applicazione della legge sulla Privacy, non è rilevante la modalità attraverso cui le informazioni vengono diffuse (pubblicazione cartacea o