Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Processo penale informatica giuridica, Appunti di Informatica Giuridica

il documento può essere utile a studiare il procedimento penale informatizzato

Tipologia: Appunti

2019/2020

Caricato il 13/10/2020

ylenia-fornari
ylenia-fornari 🇮🇹

5

(2)

1 documento

1 / 55

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
I SISTEMI INFORMATICI.
I primi approcci informatici nel mondo del diritto nascono nella cultura anglosassone e si sono affermati
anche in Europa negli anni 60 portando attenzione su ulteriori aspetti dell’informatica giuridica che vanno a
dettagliare più specificatamente l’evoluzione che c’è stata nel tempo. Dagli anni 60 ad oggi dunque
l’informatica è notevolmente avanzata e ci sono tecniche molto sofisticate e macchine che lavorano una
quantità di dati sempre maggiori e soprattutto, dall’altra parte ci sono delle evoluzioni dottrinali e
filosofiche che portano il giurista a comprendere la norma giuridica in maniera più dettagliata.
Profilo tecnologico e funzionale dell’informatica giuridica.
Distinguiamo ora due profili dell’info giuridica che si è sviluppata in Europa durante gli anni 60. Come
dicevamo in precedenza si è sempre di più dettagliata la funzione dell’info cercando di trovare degli aspetti
di approfondimento che possiamo racchiudere in due profili, quello tecnologico e quello funzionale.
1) - Dal punto di vista tecnologico: si ha un’attività d’informatica che si sviluppa su reti locali o integrata su
reti mondiali.
L’aspetto tecnologico riguarda quindi l’attività informatica giuridica dal punto di vista della tecnica
telematica che viene utilizzata o nelle reti locali di una struttura che può essere università, tribunale ecc.,
che è diversa dalle reti mondiale e quindi dalle comunicazioni telematiche mondiali.
2) - Per quanto riguarda invece l’aspetto funzionale, la dottrina individua più ambiti dell’informatica
giuridica che possono essere informativo, conoscitivo, redazionale, gestionale e didattico. Dal punto di vista
informativo vediamo dunque che ci sono le banche dati, le strutture data base che portano il giurista al
recupero di un’informazione; dal punto di vista conoscitivo s’intende un approfondimento di quelle che
sono le informazioni e capirle. Ad es. Redazionale attiene alla struttura di un elaborato e alla redazione di
un atto giuridico.
La parte gestionale invece attiene a tutta la parte dei programmi/elaboratori che servono allo studio legale
ad organizzare le attività di studio. Didattico è invece l’ambito che attiene alla funzione dell’università
deputata all’insegnamento delle materie specifiche e specialistiche.
A questi profili corrispondono altrettanti sistemi informatici.
Ci soffermiamo ora sul profilo conoscitivo.
Ci sono tante informazioni in ambito giuridico e di rete che possono portare a un eccesso d’informazioni e
quindi a una forma di “rumore” che equivale ad assenza d’informazioni. Questa eccessiva presenza
d’informazioni crea disturbo e non consente di arrivare a una conclusione; questo problema in rete è molto
più sentito poiché il punto cruciale è quello di trovare o raccogliere un documento o un’informazione che ci
interessa quanto piuttosto quello di individuare e distinguere in modo mirato le informazioni di maggior
rilievo da quelle di minor rilievo. Spesso le informazioni a disposizione in rete sono disordinate, confuse,
non strutturate e poco attendibili.
Un grande aiuto in questo contesto può essere fornito dall’intelligenza artificiale che consiste in una
disciplina che porta lo studioso a individuare quell’algoritmo che consenta alla macchina, a un PC, di
mostrare un’abilità o un’attività intelligente.
Quello che fa l’intelligenza artificiale è molto simile all’evoluzione dell’informatica stessa; è il modello con
cui il PC è portato a realizzare un ragionamento.
Estrazione di conoscenza: è una tecnica che consente di filtrare solo le informazioni pertinenti a un dato
settore d’interesse.
Gli strumenti si basano su due paradigmi d’intelligenza artificiale:
-I nuclei concettuali = con essi vengono descritti gli elementi della materia d’interesse mediante tutte le
possibili espressioni e forme linguistiche segnalando quali caratteristiche ci si aspetta dai dati ricercati
(notizie finanziarie ecc.).
-I passer del linguaggio naturale = con essi si filtrano le stringhe di parole in modo da rintracciare all’interno
le parole che ci interessano (parole chiave).
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37

Anteprima parziale del testo

Scarica Processo penale informatica giuridica e più Appunti in PDF di Informatica Giuridica solo su Docsity!

I SISTEMI INFORMATICI.

I primi approcci informatici nel mondo del diritto nascono nella cultura anglosassone e si sono affermati anche in Europa negli anni 60 portando attenzione su ulteriori aspetti dell’informatica giuridica che vanno a dettagliare più specificatamente l’evoluzione che c’è stata nel tempo. Dagli anni 60 ad oggi dunque l’informatica è notevolmente avanzata e ci sono tecniche molto sofisticate e macchine che lavorano una quantità di dati sempre maggiori e soprattutto, dall’altra parte ci sono delle evoluzioni dottrinali e filosofiche che portano il giurista a comprendere la norma giuridica in maniera più dettagliata. Profilo tecnologico e funzionale dell’informatica giuridica. Distinguiamo ora due profili dell’info giuridica che si è sviluppata in Europa durante gli anni 60. Come dicevamo in precedenza si è sempre di più dettagliata la funzione dell’info cercando di trovare degli aspetti di approfondimento che possiamo racchiudere in due profili, quello tecnologico e quello funzionale.

    • Dal punto di vista tecnologico: si ha un’attività d’informatica che si sviluppa su reti locali o integrata su reti mondiali. L’aspetto tecnologico riguarda quindi l’attività informatica giuridica dal punto di vista della tecnica telematica che viene utilizzata o nelle reti locali di una struttura che può essere università, tribunale ecc., che è diversa dalle reti mondiale e quindi dalle comunicazioni telematiche mondiali.
    • Per quanto riguarda invece l’aspetto funzionale, la dottrina individua più ambiti dell’informatica giuridica che possono essere informativo, conoscitivo, redazionale, gestionale e didattico. Dal punto di vista informativo vediamo dunque che ci sono le banche dati, le strutture data base che portano il giurista al recupero di un’informazione; dal punto di vista conoscitivo s’intende un approfondimento di quelle che sono le informazioni e capirle. Ad es. Redazionale attiene alla struttura di un elaborato e alla redazione di un atto giuridico. La parte gestionale invece attiene a tutta la parte dei programmi/elaboratori che servono allo studio legale ad organizzare le attività di studio. Didattico è invece l’ambito che attiene alla funzione dell’università deputata all’insegnamento delle materie specifiche e specialistiche. A questi profili corrispondono altrettanti sistemi informatici. Ci soffermiamo ora sul profilo conoscitivo. Ci sono tante informazioni in ambito giuridico e di rete che possono portare a un eccesso d’informazioni e quindi a una forma di “rumore” che equivale ad assenza d’informazioni. Questa eccessiva presenza d’informazioni crea disturbo e non consente di arrivare a una conclusione; questo problema in rete è molto più sentito poiché il punto cruciale è quello di trovare o raccogliere un documento o un’informazione che ci interessa quanto piuttosto quello di individuare e distinguere in modo mirato le informazioni di maggior rilievo da quelle di minor rilievo. Spesso le informazioni a disposizione in rete sono disordinate, confuse, non strutturate e poco attendibili. Un grande aiuto in questo contesto può essere fornito dall’intelligenza artificiale che consiste in una disciplina che porta lo studioso a individuare quell’algoritmo che consenta alla macchina, a un PC, di mostrare un’abilità o un’attività intelligente. Quello che fa l’intelligenza artificiale è molto simile all’evoluzione dell’informatica stessa; è il modello con cui il PC è portato a realizzare un ragionamento. Estrazione di conoscenza: è una tecnica che consente di filtrare solo le informazioni pertinenti a un dato settore d’interesse. Gli strumenti si basano su due paradigmi d’intelligenza artificiale: -I nuclei concettuali = con essi vengono descritti gli elementi della materia d’interesse mediante tutte le possibili espressioni e forme linguistiche segnalando quali caratteristiche ci si aspetta dai dati ricercati (notizie finanziarie ecc.). -I passer del linguaggio naturale = con essi si filtrano le stringhe di parole in modo da rintracciare all’interno le parole che ci interessano (parole chiave).

IL DIRITTO D’AUTORE.

La legge speciale 22 aprile 1941, n. 633 istituisce la tutela delle opere dell’ingegno di carattere creativo, che appartengano alla letteratura, alla musica, alle arti figurative, all’architettura, al teatro, al cinema. La tutela consiste in una serie di diritti esclusivi di utilizzazione economica dell'opera (diritti patrimoniali dell'autore) e di diritti morali a tutela della personalità dell'autore, che nel loro complesso costituiscono il "diritto d'autore". Il diritto d'autore si acquista originariamente con la creazione dell'opera (tranne i casi specifici in cui questa creazione sia avvenuta nell'ambito di un contratto di prestazione d'opera), quindi l'opera appartiene, come primo titolare, a chi ne è l'autore (art. 2576 c.c.). Praticamente tutto ciò significa che questo diritto d'autore è il diritto che viene riconosciuto ad un autore per quanto riguarda la paternità sulle proprie opere e creazioni. La legge 248/00, modificando la legge 633/41, sempre attuale in materia di diritto d'autore, ha introdotto ulteriori ipotesi al fine di combattere la pirateria e la contraffazione, anche quella che si realizza via Internet. Come per le altre opere dell'ingegno anche la produzione di software e codici informatici è tutelata dal diritto d'autore. Spesso, in questi casi più che in altri, la titolarità dell'opera appartiene ad un soggetto diverso da chi ha materialmente steso i codici. Successivamente con il D. Lgs 68/2003 è stata data attuazione alla Direttiva 2001/29/CE sui programmi per elaboratore. L’art. 102 quater stabilisce che per misure tecnologiche di protezione si intendono tutte le tecnologie, i dispositivi o i componenti che impediscono o limitano gli atti non autorizzati. L art. 102 quinquies riguarda le informazioni elettroniche che possono essere inserite dai titolari (del Diritto d’autore) all’interno delle opere. Ogni opera dell'ingegno, quindi, presente su Internet appartiene al proprio autore e non è possibile copiarla o beneficiarne in alcun modo senza il consenso esplicito dello stesso autore, che ne autorizzi l'utilizzo. L'indicazione del copyright che si trova in molti sitii rafforza e rende esplicita la protezione dell'opera, ma anche in mancanza, copiare o riprodurre parti delle opere che si trovano sulla rete rimane punibile dalla Legge. Il File sharing: il fenomeno per la condivisione di massa di file, dall’inizio principalmente per condividere musica e poi anche per filmati, software, ecc. i file possono essere tranquillamente scambiati tra gli utenti che decidono di aderire a questo sistema. LA NASCITA DEL DIRITTO PENALE DELL’INFORMATICA. Il Legislatore italiano con la ratifica della Convenzione di Budapest non ha ritenuto di far nascere uno speciale settore del diritto penale destinato alla criminalità informatica, ritenendo che le fattispecie di reato dirette a contrastare il fenomeno dei cyber's crimes andassero alcune inserite in testi di legge non collegati fra loro ed altre dislocate nel codice penale e non dovessero essere raccolte in un corpus normativo unitario. Anche se non possiamo parlare di un diritto penale dell'informatica è evidente che nello studio di reati informatici, sia che s'intenda tale espressione in senso ampio, cioè come illeciti caratterizzati dal mezzo di aggressione rappresentato dall'utilizzo di materiale informatico (tipico esempio di tale categoria sono, ad esempio, le fattispecie in tema di pedofilia), sia che si faccia riferimento a condotte criminose fisicamente dirette nei confronti del sistema informatico (come, ad esempio, le fattispecie in tema di accesso abusivo o di danneggiamento del sistema informatico), è opportuno dedicare una trattazione unitaria ad alcuni elementi che accomunano tutte queste fattispecie: si pensi, ad esempio, al sistema informatico, all'individuazione dei soggetti attivi, alla possibile definizione unitaria dei beni giuridici. Proprio per questo motivo dobbiamo riflettere sulla delicata possibilità di ritenere che le varie figure criminose rientranti nella cosiddetta criminalità informatica presentino o meno un medesimo bene giuridico. Alcuni autori hanno risposto a tale quesito in senso affermativo sostenendo che <<l'introduzione dei sistemi di trattamento e di trasmissione a distanza delle informazioni, che consentono di memorizzare, elaborare e diffondere i dati con l'impiego di linguaggio elettronico, ha creato un nuovo bene giuridico, che può essere definito bene giuridico informatico>> (Cuomo – Razzante). Secondo questa prospettiva, dunque, sarebbe <<ontologicamente percepibile una dimensione unitaria del fenomeno come prodotto della tecnologia informatica, telematica, cibernetica>> (Fulvi) e tale dimensione potrebbe essere colta unificando il diritto penale dell'informatica intorno ad un unico oggetto di tutela da individuarsi nella <<affidabilità e sicurezza del ricorso alla tecnologia informatica, telematica, cibernetica>> (Fulvi). Tali tesi, anche se sostenute dall'ammirevole intento di fornire una sistemazione adeguata organica ed ordinata alle varie previsioni in tema di criminalità informatica, non riescono a superare l'ostacolo

delladoppia incriminazione ed inoltre per consentire l'applicazione dei principi dettati dalla Convenzione non solo nei confronti dei computer's crimes, ma anche a tutte le fattispecie connesse mediante un sistema informatico; in secondo luogo viene individuata è suggerita nell'atto pattizio la definizione di un sistema adeguato di collaborazione fra gli organismi nazionali e sopranazionali. La Convenzione, proprio per realizzare questi obiettivi, ha effettuato una serie di definizioni terminologiche, per armonizzare le nozioni di sistemi informatici, dati informatici, fornitori di servizi e i dati relativi al traffico, disciplinati dall’art. 1 della Convenzione. In particolare, per sistema informatico si intende qualsiasi apparecchiatura o un gruppo di apparecchi interconnessi o collegati, uno o più dei quali svolge un trattamento automatico dei dati sulla base di indicazioni fornite dal programma di software; per dati informatici si intende qualsiasi rappresentazione di fatti, informazioni o concetti idonei ad essere oggetto di trattamento ed elaborazione da parte di un programma o di un sistema informatico; per prestatore di servizi si intende qualsiasi soggetto pubblico o privato che fornisce agli utenti del suo servizio la capacità di comunicare per mezzo di un sistema informatico, nonché qualunque altro soggetto che, per conto di un primo prestatore di servizi, provvede alla memorizzazione dei dati inerenti le suddette comunicazioni; con l'espressione dati relativi al traffico si fa riferimento ai dati, inerenti l'origine, la destinazione, il percorso, l'ora, la data, la dimensione, la durata ed il tipo di servizi, relativi ad una comunicazione realizzata per mezzo di un sistema informatico e generata dallo stesso sistema informatico(AMORE-STANCA-STARO). La Convenzione una volta che ha fornito tali indicazioni di carattere generale, ha suggerito, attraverso gli articoli 2 – 10, l'introduzione di misure legislative atte a sanzionare alcune condotte tipiche di aggressione ai sistemi informatici, come la fattispecie di accesso abusivo, di intercettazione illegale, di attentato all'integrità dei dati e dei sistemi, di abuso di apparecchiature, di falsificazione informatica, di pornografia infantile e di violazione della proprietà intellettuale. La Convenzione, ai sensi dell'articolo 13, suggerisce che tali condotte siano sanzionate con pene effettive, proporzionali e dissuasive, ricomprendenti anche la privazione della libertà personale. Infine, ai sensi dell'articolo 12 della Convenzione, viene prevista anche la responsabilità delle persone giuridiche allorquando i delitti informatici siano commessi da persone fisiche nell'intento di soddisfare un interesse o far perseguire un vantaggio all'ente collettivo cui appartengono o di cui sono dipendenti. La Convenzione di Budapest, poi, fornisce ulteriori indicazioni sulle indagini necessarie per una effettiva repressione dei cybercrimes, richiedendo che gli Stati membri, una volta acquisita la prova della commissione degli illeciti, provvedano ad assumere misure idonee a garantire la conservazione dei dati informatici facilmente modificabili ed al mantenimento dell'integrità delle informazioni per il tempo necessario all'individuazione dei colpevoli ed all'accertamento processuale della loro responsabilità. La Convenzione negli articoli 19, 20 e 21, richiede che vengano introdotte regole uniformi in tema di perquisizione, sequestro ed accesso a sistemi, dati e supporti informatici, nonché per la raccolta e la registrazione in tempo reale dei dati relativi al traffico, intercettazione e registrazione di comunicazioni telematiche. Particolare importanza all'interno della Convenzione riveste la disciplina dettata dall'articolo 22 in materia di giurisdizione: infatti ,<<per limitare l'area delle fattispecie non punibili a causa dell'ontologica delocalizzazione del crimine informatico>> (CUOMO – RAZZANTE), il citato articolo prevede che per i reati indicati dalla Convenzione ogni ordinamento debba perseguire penalmente le condotte comprese nel territorio di ciascuno Stato aderenti alla Convenzione medesima, anche quando siano state poste in essere da un cittadino straniero, se l'infrazione è penalmente punibile laddove è stata commessa o se l'infrazione non rientra nella competenza territoriale dello Stato è inoltre creato uno spazio giudiziario comune in base al quale quanto più Stati rivendicano la propria competenza, le diverse autorità statuali provvederanno ad una consultazione al fine di stabilire il modo più appropriato per esercitare l'azione penale. Per ciò che attiene alla collaborazione fra gli Stati per lo svolgimento delle indagini in materia di crimini informatici, è previsto che le autorità statuali cooperino fra loro nella misura più ampia possibile nello svolgimento delle relative investigazioni. Inoltre l'art 23 della Convenzione, per rendere più celere lo svolgimento di tali indagini, stabilisce che la richiesta di mutua assistenza può essere formulata, in casi di urgenza, anche mediante mezzi di comunicazione come fax e posta elettronica, purché siano assicurate appropriate garanzie di sicurezza e segua poi la conferma ufficiale se lo Stato richiesto la ritiene necessaria; sono poi contemplate una vasta gamma di misure provvisorie finalizzate alla celere esecuzione di tutte le attività di indagine, come l'archiviazione rapida di dati informatici, la divulgazione tempestiva dei dati di traffico, la perquisizione o l'accesso a sistemi informatici, il sequestro e la conservazione in tempo reale dei dati telematici, nonché le intercettazioni del contenuto di comunicazioni trasmesse attraverso l'uso di elaboratori elettronici.

LE MISURE PER CONTRASTARE IL FENOMENO DELLA CRIMINALITÀ INFORMATICA – L.N. 12/

La legge 15 febbraio 2012, n.12, ha disciplinato le nuove misure per il contrasto ai fenomeni di criminalità informatica. Con l’art. 1 si è introdotto un’importante modifica dell’art. 240 del c.p., introducendo la confisca dei beni e degli strumenti informatici o telematici che risultino essere stati in tutto o in parte utilizzati per la commissione dei reati, introdotti con le leggi n.547/1993 e legge n. 48/2008. L’art. 2 ha, invece, introdotto l’art. 86 bis del d.lgs. n. 271/1989, stabilendo che i beni e gli strumenti informatici o telematici oggetto di sequestro che, a seguito di analisi tecnica forense, risultino essere stati in tutto o in parte utilizzati per la commissione dei reati di cui agli artt. 473, 474, 615-ter, 615-quater, 615- quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 635- quinquies, 640-ter, e 640-quinquies del codice penale, siano affidati all’autorità giudiziaria in custodia giudiziale con facoltà d’uso, salvo che vi ostino esigenze processuali, agli organi di polizia che ne facciano richiesta per l’impiego in attività di contrasto ai crimini informatici ovvero ad altri organi dello Stato per finalità di giustizia. La legge prevede, inoltre, che gli stessi beni e strumenti acquisiti dallo Stato a seguito di procedimento definitivo di confisca possano essere assegnati alle amministrazioni che ne facciano e che ne abbiano avuto l’uso ovvero, qualora non vi sia stato un precedente affidamento in custodia giudiziale, agli organi di polizia che ne facciano richiesta per l’impiego in attività di contrasto ai crimini informatici o ad altri organi dello Stato per finalità di giustizia. Ne consegue che per i reati indicati sopra, oltre alle sanzioni previste dalle specifiche disposizioni normative che li riguardano specificatamente, si aggiunge come pena accessoria la confisca degli stessi beni che collegati all’esecuzione di fatti criminosi potrebbero essere nuovamente utilizzati per compiere ulteriori reati informatici. Tale pena accessoria ha come finalità quella di impedire che la disponibilità di materiale funzionale o conseguente al reato possa indurre il reo a delinquere nuovamente.

IL DATA MAILING.

Con il nome data mailing s’intende l’applicazione di una o più tecniche che consentono l’esplorazione di grandi quantità di dati con l’obiettivo d’individuare le informazioni più significative e renderle disponibili e utilizzabili nell’ambito del decision making. Con il data mailing noi possiamo utilizzare e gestire un materiale molto prezioso e cioè quello della conoscenza, ovvero informazioni nuove o originali su determinati fenomeni estratti da grandi quantità di dati. Questo è qualcosa di più del risultato di semplici analisi statistiche in quanto dovrebbe evidenziare non solo la frequenza di certi fenomeni, ma i modi in cui vengono a concatenarsi circostanze o fattori. Data la grande quantità di dati si tratta d’individuare combinazioni di dati, o attribuzioni di valori, che si ripetono con continuità per stabilire dipendenze o connessioni. In informatica si parla a tal riguardo di acquisizione semiautomatica di conoscenza da grandi masse di dati. La metodologia del data mailing può essere applicata sotto due fattispecie. La prima è quella d’individuare indirizzi giurisprudenziali su temi specifici; essa consiste nel fatto che gli indirizzi giurisprudenziali indicano la tendenza ad uniformare le decisioni di un certo settore a una certa linea. La seconda è quella di verificare l’aderenza di provvedimenti a una certa linea.

IL PROCESSO AMMINISTRATIVO TELEMATICO: regole e specifiche tecniche.

Con il D.P.C.M. del 16 Febbraio 2016 n.40 sono state introdotte le regole e le specifiche tecniche per l’attuazione del processo amministrativo telematico. L’entrata in vigore del D.P.C.M. è stata il 5 Aprile 2016 ma, lo stesso articolo 21 al primo comma stabilisce che la maggior parte delle disposizioni in esso contenute saranno applicate dal 1 Luglio 2016. Con il presente articolo, vediamo quali sono le peculiarità del processo amministrativo telematico:

e motivate ragioni tecniche, ordinare o autorizzare il deposito di copia cartacea o su supporto informatico ovvero si diverso supporto di singoli atti e documenti. In questo caso viene fatta menzione del deposito in copia cartacea nell’indice del fascicolo;

  1. Previsione del deposito tempestivo: nel processo amministrativo telematico si considera tempestivo il deposito effettuato entro le ore 24 del giorno di scadenza, alla generazione della ricevuta di accettazione , diversamente da quanto stabilito nel PCT ove si considera tempestivo il deposito effettuato con la ricezione della ricevuta di consegna. Precisazione importate da fare è che il deposito è considerato tempestivo se risulti essere andato a buon fine, secondo le specifiche tecniche di cui all’art. 19, quando il S.I.G.A. invierà all’avvocato, entro le ore 24 del giorno successivo alla ricezione della PEC di avvenuta consegna, un messaggio PEC denominato registrazione di deposito, nel quale sarà indicato il numero progressivo di protocollo assegnato e l’elenco di tutti gli atti e documenti trasmessi con il ModuloDepositoRicorso o il ModuloDepositoAtto. Qualora il mittente dovesse ricevere il messaggio di mancata consegna della PEC di deposito, l’attività di deposito deve essere ripetuta con il medesimo contenuto e, ai fini della rimessione in termini da parte del Giudice, ove la mancata consegna dipenda da cause non imputabili al mittente, deve essere allegato il messaggio di mancata consegna, unitamente alla ricevuta di accettazione generata tempestivamente.

LA TUTELA DEI DATI DIGITALI DOPO LA MORTE: L’eredità digitale.

Oltre alla tutela dell’identità digitale durante la vita del soggetto titolare, è opportuno interrogarci sulla sorte dei dati, in particolare dei beni e dati digitali, dopo la morte del soggetto. Tale tematica oggi assume una grande rilevanza poiché i soggetti hanno una o più identità digitali ma, soprattutto, detengono beni che possono essere oggetto di eredità. Tale questione si pone nel diritto delle successioni a causa di morte e ed è caratterizzata, però, da una dissociazione tra l’esistenza biologica dell’individuo e la sua “persona elettronica”. Quest’ultima non si dissolve con la morte del soggetto ma resta nella rete. È interessante notare come ogni minuto muoiono in media tre utenti facebook e che il 5% degli utenti facebook sono costituiti da “zombie digitali”. Questo è solo uno dei profili che attiene alla tutela dei dati digitali dopo la morte in quanto, i quesiti da porsi sono molteplici: qual è la sorte della corrispondenza elettronica del defunto? Di chi sono i dati personali lasciati in cloud da un defunto? Se un utente possiede monete virtuali, a chi ed in che misura spettano agli eredi? La tutela dei dati personali, assume una rilevanza anche dopo la morte del soggetto, in quanto è necessario analizzare il problema del controllo postumo sui dati personali che risultano dispersi in una molteplicità di luoghi virtuali. Secondo l’art. 9 comma 3 del d.lgs 193/2003, “ i diritti di cui all’art. 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezioni”. Tale norma è significativa in quanto si contempla da un lato i soggetti che hanno un interesse proprio, come un legittimario pretermesso, dall’altro coloro i quali operano come “fiduciari del defunto” o che agiscono per la tutela del nucleo familiare. La possibilità di esercitare i diritti contemplati dall’art. 7, acquista una grande rilevanza nel campo dei rapporti telematici. In particolare, le controversie concernenti agli account personali del defunto, potrebbero trovare una piena soluzione nel contesto normativo italiano. L’analisi del patrimonio digitale del de cuius, comporta notevoli difficoltà, volte ad analizzare la normava applicabile al caso di specie, ed i tipi di interventi volti ad ottenere l’accesso a tali dati ed informazioni. È importante capire chi e secondo quali regole è chiamato a succedere nei beni digitali del defunto. Tale interrogativo non è privo di difficoltà, in quanto i beni digitali possono avere natura eterogenea. Pensiamo alla creazione di profili su social network come Facebook, la creazione di indirizzi di posta elettronica, le banche dati, i file di testo, le immagini, la musica, gli account aperti su siti commerciali. Ognuna di queste attività fa parte del “patrimonio digitale del debitore” che può essere oggetto di successione.

1. I diritti incorporati su supporti fisici. L’utilizzo di pen drive comporta che i dati in esso contenuti possono entrare in successione. Se assumessimo l’esistenza di un diritto reale sul supporto fisico, ne consegue che i dati in esso contenuti (file di testo, file musicali, immagini ecc) cadranno in successione seguendo le regole ordinarie. La questione diviene più complessa se i contenuti hanno veste personale, come ad esempio i ricordi di famiglia o corrispondenza elettronica a carattere intimo e personale. In tal caso non è facile capire se tali

beni entrino o meno in successione. Se seguissimo la tesi utilizzata nel contesto dei rapporti offline [1] si dovrebbero escludere dall’asse ereditario tali categorie di beni. Infine, più incisiva è la tesi per cui la natura degli interessi coinvolti, come la preservazione della memoria familiare, impone l’applicazione di un meccanismo di vocazione anomala a favore dei prossimi congiunti, indipendentemente dalla loro posizione di eredi, come disposto dall’art. 93 della legge sul diritto d’autore.

2. La tutela dei diritti oggetto di proprietà intellettuale. Più agevole è rinvenire il tipo di disciplina applicabile per la tutela di beni sui quali insistono diritti di privativa. La creazione di siti web, o la realizzazione di video o fotografie, trovano tutela nel diritto d’autore. Pertanto, qualora dovesse determinarsi l’esistenza di un diritto patrimoniale su di un bene immateriale, si dovrà concludere per la caduta in successione ed in particolare per la trasmissibilità agli eredi o ai legatari, seguendo le regole previste per ciascuno dei diritti di privativa su menzionati. 3. La successione delle posizioni contrattuali. Nel mondo digitale, la maggior parte dei beni assumono consistenza giuridica in quanto sono inseriti nella rete dei rapporti contrattuali. Immaginiamo la creazione di un profilo facebook o l’utilizzo di avatar sulla piattaforma Second Life. La successione di questi beni digitali, deve rispondere al quesito circa la trasmissibilità della posizione contrattuale coinvolta. Nel nostro ordinamento, la successione per causa di morte determina di regola il trasferimento delle posizioni contrattuali del defunto agli eredi. Tale principio è oggetto di deroghe a seconda dei casi che si prospettano. Nel campo della successione digitale, risultano confermati sia il principio che le deroghe. La regola generale che si deve seguire è quella secondo la quale gli eredi succedono a tutti i rapporti negoziali in atto, assumendo i medesimi diritti ed i medesimi obblighi che sussistevano in capo al de cuius. Secondo tale impostazione, si possono ritenere trasmissibili tanto la posizione di parte in un contratto di accesso ad internet stipulato con un operatore telefonico, tanto quella relativa all’utilizzo di una banca dati online. Analizzando, invece, la piattaforma SecondLife, le sue condizioni generali di contratto sanciscono l’ammissibilità di una disposizione testamentaria volta a garantire il trasferimento dell’account all’erede o al legatario. In tutti questi casi, il subentro degli eredi nella posizione contrattuale, determina non solo la trasmissione delle pretese relative agli obblighi, come la fruizione dei servizi di hosting [4], ma anche quelle relative agli obblighi di natura accessoria, come la comunicazione agli eredi di credenziali di accesso o la duplicazione dell’account. Non sempre, però, il diritto degli eredi segue questa strada. In molti casi, infatti, le condizioni generali di contratto sottoscritte dall’utente stabiliscono univocamente che, in caso di decesso, il rapporto sarà estinto ed intrasmissibile a terzi. Tale attività si rinviene in Yahoo! che impone l’accettazione di una clausola secondo cui l’account non è trasmissibile ed i diritti del soggetto cessano con la sua morte. Facebook, ad esempio, sottolinea a chiare lettere l’impossibilità del trasferimento di account a terzi, ivi comprese le pagine ove il soggetto è amministratore, senza il preventivo consenso del provider. Inoltre le sue condizioni generali di contratto non contemplano l’ipotesi di un’automatica cancellazione dei contenuti, ma dettano un’apposita disciplina per rendere il profilo “commemorativo”. 4. La trasmissione degli account di posta elettronica. La larga diffusione degli indirizzi di posta elettronica, ha determinato numerosi interrogativi volti a tutelare la successione del rapporto contrattuale che si instaura nel momento in cui viene realizzato l’indirizzo di posta elettronica ed il regime dei suoi contenuti, oggetto di informazioni e dati personali. La dottrina ha, al riguardo, elaborato tre distinte tesi: a) La prima tesi, ritiene che la disciplina deve diversificarsi a seconda della natura dell’account oggetto di successione. Ove si tratti di posta elettronica avente carattere professionale e patrimoniale, essa sarà oggetto di successione e pertanto chiamati a succedere sono gli eredi; ove si tratti di posta elettronica avente contenuto personale, la legittimazione si concentrerebbe in capo ai prossimi congiunti. Tale tesi si scontra con la difficoltà di individuare se l’indirizzo di posta elettronica sia di natura professionale o personale. Molto spesso il soggetto invia messaggi privati dall’indirizzo di posta elettronica professionale e viceversa potrebbe inviare comunicazioni professionali dall’indirizzo personale. Infine il soggetto potrebbe avere un solo indirizzo di posta elettronica che svolge entrambe le attività.

falso stato ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica con la reclusione fino ad un anno”. Altra attività attraverso la quale si procede al furto dell’identità digitale è rappresentato dal fenomeno del Phishing. Con tale attività, un soggetto cerca di appropriarsi di informazioni quali numeri di carte di credito, informazioni relative ad account, password o altre informazioni di natura personale, convincendo l’utente a fornirle mediante falsi pretesti, come ad esempio l’invio di posta che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. Tale condotta integra, in primo luogo, il reato di trattamento illecito di dati personali di cui all’art. 167 del codice della privacy che punisce “ chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento dei dati personali…. è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi”. In secondo luogo, tale fattispecie è punibile ai sensi dell’art. 630-ter c.p. comma 3 che, per la prima volta ha inserito nel codice penale il concetto di identità digitale. In particolare, il Legislatore per il reato di “ frode informatica commessa con sostituzione di identità digitale” ha previsto la pena della reclusione da due a sei anni e la multa da 600,00 euro a 3.000,00 euro nel caso in cui il fatto sia commesso mediante furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti; per tale delitto è prevista la querela della persona offesa salvo che ricorra l'ipotesi di cui al 2° o 3° comma dell'art. 640-ter ovvero altra circostanza aggravante.

HACKING-BANK: le nuove tecniche dei ladri informatici.

L’avvento delle nuove tecnologie ed il proliferare di nuovi strumenti informatici, ha sicuramente recato benessere nei confronti della collettività. Adesso è possibile con uno smartphone collegarsi alla propria casella di posta elettronica, controllare impegni in agenda, prenotare viaggi, visionare il proprio conto corrente bancario. L’uomo è circondato dalle nuove tecnologie e se questo semplifica la propria vita personale e lavorativa, allo stesso tempo lo espone maggiormente ad attacchi da parte di ladri informatici. Parlo di ladri informatici, poiché resto ancorato ad una definizione di Hacker data dagli studiosi Baird e Ranauro, secondo cui il termine hacker nella sua accezione originaria (dall’inglese “to hack” che letteralmente significa “fare a pezzi” o “tagliare”), indica una persona per la quale la programmazione informatica costituisce una vera e propria passione, con l’obiettivo di dominare le macchine, di smontare i sistemi, di osservare come sono costruiti e come funzionano per scoprirne peculiarità nascoste e debolezze, o per innovare ed implementare le applicazioni. Secondo la “cultura-hacker” i sistemi di elaborazione potevano essere violati per elevare il livello delle conoscenze scientifiche e per verificare l’efficacia delle protezioni contro le intrusioni, anche se non era consentito danneggiare i programmi e le informazioni. Purtroppo non tutti gli Hacker seguono tale cultura e, per questo, si è resa necessaria una nuova classificazione che tenesse conto del comportamento utilizzato. Lo studioso Carlo Sarzana di S. Ippolito, proponeva la seguente classificazione: a) esperti veri e propri : essi violano i sistemi mediante indagini sistematiche ed il loro obiettivo è quello di infrangere i sistemi di sicurezza e curiosare negli schedari, soddisfatti di aver rag giunto il loro scopo; b) swappers: essi, almeno nel Regno Unito, rappresentano la grande maggioranza degli hackers. Sono dediti piuttosto allo scambio di informazioni ed all'uso dei sistemi a scopo ludico ai quali accedono attraverso informazioni ricevute, piuttosto che in base ad indagini tecniche sistematiche: si limitano per lo più a curiosare; c) vandali elettronici: rappresentano una minoranza nel campo degli hackers e spesso sono osteggiati dalla maggioranza degli “hackers buoni”. Essi sono specializzati nel penetrare nei sistemi lasciandovi messaggi osceni o cancellando gli schedari o alterando il sistema di passwords. Sono particolarmente vendicativi e molto inclini alle ritorsioni, anche gravi. Ancor più recente è la suddivisione fatta dal criminologo Marco Strano che ha costruito una nuova figura dell’Hacker, suddivisa in sei categorie:

  1. Hacker Tradizionale: il quale agisce mosso dal gusto per la sfida;
  1. Hacker Distruttivo Vandalico: che sparge virus per esprimere la sua rabbia contro il sistema;
  2. Hacker Distruttivo Professionista: spinto da una logica lucrativa;
  3. Hacker Spia: specializzato in furti di informazione su commissione;
  4. Hacker Antagonista: che agisce contro la strumentalizzazione commerciale o la politica delle informazioni;
  5. Hacker Terrorista: il quale usa le tecniche dell’hacking per attaccare il circuito della comunicazione istituzionale. È sempre più difficile, quindi, navigare in sicurezza soprattutto quando ad essere attaccate sono società che investono ingenti capitali sulla sicurezza informatica. Di pochi giorni fa è la notizia di un furto senza precedenti nei confronti di banche di tutto il mondo. La società di sicurezza informatica Kaspersky, ha stimato un furto, iniziato nel 2013 ed attivo ancora adesso, di circa un miliardo di dollari in danno di istituti di credito bancario, presenti in circa 30 paesi, tra cui Russia, Usa, Canada, Germania, Cina ed Ucraina. Il direttore della sezione crimini informatici dell’Interpol, Sanjay Virmani, ha spiegato che gli attacchi avvengono sfruttando la vulnerabilità di ogni sistema informatico. La società Kaspersky ha spiegato che tale sistema rappresenta un nuovo capitolo nella storia dei furti informatici, poiché il denaro viene rubato direttamente alle banche, evitando di colpire i clienti. Tale gang, soprannominata da Kaspersky Carbanak, utilizza virus per infettare le reti delle banche che sono in grado di registrare tutto ciò che compare sullo schermo dei computer dei dipendenti. Con tale sistema, i ladri informatici sono stati in grado di trasferire il denaro dalle banche ai propri conti, oppure programmare l’erogazione di denaro ai bancomat ad orari determinati. Nel caso Carbanak, il danno è avvenuto direttamente alle banche, evitando di colpire i conti dei clienti. Appare necessario chiedersi, a parere di chi scrive, se i correntisti sono tutelati in caso di furto avvenuto sul proprio conto corrente bancario ad opera di ladri informatici. Una sentenza del Tribunale di Palermo, la n° 2904/2011, ha stabilito che, nel caso di sottrazione fraudolenta di denaro da un conto corrente bancario, realizzata da terzi mediante sistemi informatici, la banca può essere responsabile se non ha predisposto le misure idonee atte a ridurre il rischio di accesso non autorizzato. Nel caso analizzato dal Tribunale, il correntista aveva subito un accesso abusivo sul proprio conto ad opera di ignoti. Questi ultimi, inserendo online le sue credenziali bancarie, avevano prelevato illecitamente la somma di € 5.500 ed effettuato un contestuale bonifico a favore di un’altra società. Da qui la richiesta di risarcimento avanzata dal derubato. Il giudice ha condannato la banca a versare integralmente al cliente la somma “scomparsa”, con gli interessi legali, poiché l’istituto di credito non avrebbe predisposto idonee misure di sicurezza informatiche a tutela del cliente stesso. Dal giudizio è emerso che il sistema di protezione adottato dalla banca non risultava adeguato al progresso e alla moderna tecnologia informatica. Difatti il PIN fornito dalla banca al cliente era di sole quattro cifre mentre l’username, assegnatagli sempre dalla banca, coincideva con il suo indirizzo email. La diligenza contrattuale richiesta all’istituto di credito, necessaria per tutelare i clienti da operazioni illegittime, è stata valutata dal Tribunale con particolare severità, trattandosi di prestazione svolta nell’esercizio di un’attività professionale. La decisione richiama l’art. 15 Codice della Privacy. In esso è stabilito che chiunque cagiona un danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del c.c. Nel caso in esame, la banca ha causato un danno al proprio risparmiatore, non impedendo a terzi di introdursi illecitamente nell’online banking. In modo analogo si è comportato l’Arbitrato Bancario e Finanziario, organismo indipendente che ha la funzione di dirimere le controversie tra i clienti, le banche e gli altri intermediari finanziari. Nella decisione n° 1910/2012, il correntista, nell’effettuare la regolare operazione di controllo del proprio conto, mediante il servizio di Internet Banking, si era accorto di un ammanco di € 4.072, inviati in Portogallo tramite bonifico bancario estero mai effettuato dal correntista. Rifiutandosi la banca di restituire la somma rubata, il correntista si è rivolto all’ ABF la quale, sulla scorta del ricorso presentato, rilevava che “ qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato

Qualora il Cloud provider abbia avuto la titolarità dei dati ricevuti dall’utilizzatore ed abbia stabilimento in Italia, sarà tenuto anche al rispetto delle misure di sicurezza di cui al d.lgs. 196/2003. Il rapporto diviene più complesso qualora il Cloud provider e l’utilizzatore si trovano in luoghi e nazioni diverse. In primo luogo si deve vedere se c’è l’autorizzazione dell’utente a spostare e frammentare i dati anche al di fuori dell’ordinamento originario. In secondo luogo se, pur avendo l’autorizzazione, i dati possono essere effettivamente trasferiti. L’adozione da parte del fornitore del servizio di tecnologie proprie può, in taluni casi, rendere complessa per l’utente la transizione di dati e documenti da un sistema Cloud all’altro o lo scambio di informazioni con soggetti che utilizzino servizi Cloud di fornitori differenti, ponendone quindi a rischio la portabilità e l’interoperabilità dei dati. Il servizio virtuale potrebbe, inoltre, in assenza di adeguate garanzie in merito alla qualità della connettività di rete, risultare degradato in presenza di elevati picchi di traffico o addirittura indisponibile laddove si verifichino eventi anomali quali, ad esempio, guasti, impedendo l’accessibilità temporanea ai dati in esso conservati. Inoltre gli obblighi di conservazione non riguardano tutti i dati conferiti per la memorizzazione, ma esclusivamente i dati classificati come “dati personali”. A tal fine, i dati che possono essere gestiti tramite Privacy policy e consenso al trattamento sono dei dati che consentono di identificare il rispettivo titolare o altri individui. Il sistema di autorizzazioni e consensi, seppur necessario per legge, non è sufficiente ad autorizzare il Cloud provider alla complessiva e completa gestione di una universalità di dati depositati in Cloud in assenza di ulteriori previsioni contrattuali. Obblighi del Cloud provider alla sicurezza dei dati. Il fornitore del servizio di Cloud assume, pertanto, la responsabilità di preservare la riservatezza, l’integrità e la disponibilità dei dati. Tali obblighi sono, però, commisurati al tipo di servizio offerto ed al regime contrattuale adottato. In particolare la scheda di documentazione del garante Privacy, stabilisce che: “ i trattamenti di dati personali richiedono, infatti, una ponderazione dei rischi legati alla sicurezza ed alla fruibilità delle informazioni. Pertanto, vanno tenute in debito conto le particolari caratteristiche delle nuove tecnologie, allo scopo di governare i potenziali pericoli che possono derivare da utilizzi scarsamente consapevoli e da modelli innovativi adottati con metodi, prassi e processi non ancora sufficientemente consolidati e in grado di mitigare le eventuali criticità. È quindi opportuno, anche nei casi di Cloud computing, razionalizzarne le peculiarità al fine di individuare i potenziali rischi insiti in tali servizi e quindi poter adottare efficaci e specifiche misure di prevenzione. Nel caso del Cloud computing, il trasferimento dei dati dai computer locali, nella fisica disponibilità e nel diretto controllo esercitabile dal titolare, verso sistemi remoti di proprietà di un terzo fornitore del servizio, presenta, accanto a potenziali utilità, anche i seguenti aspetti che necessitano di specifica attenzione […]”. Il Garante, tra gli aspetti critici legati alla sicurezza dei dati personali, individua quelli che necessitano di specifica attenzione. In particolare, l’utente affida i dati ai sistemi di un fornitore remoto, perdendone il controllo diretto ed esclusivo, affidando la riservatezza e la disponibilità delle informazioni allocate sulla nuvola ai meccanismi di sicurezza adottati dal service provider. I dati personali potrebbero, inoltre, passare per una catena di trasformazione dei servizi acquisiti presso altri service provider, diversi dal fornitore con cui l’utente ha stipulato il contratto, col rischio di non sapere quale dei gestori intermedi possa accedere ai dati. In particolare, si ricorda che l’art. 31 Codice Privacy prevede espressamente che “ i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ”. L’utilizzo delle misure minime è obbligatorio nel Cloud poiché il trattamento dei dati personali avviene con sistema telematico. Per questo motivo, il Codice Privacy, all’art. 34, individua alcune misure minime la cui adozione è obbligatoria e presidiata da apposite sanzioni:

  • autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Sono, inoltre, previsti una serie di obblighi in capo al Cloud Provider per quanto riguarda il materiale allocato sulla nuvola e per tutti gli utilizzi del servizio quanto alla responsabilità civile e penale per eventuali danni o illeciti e ciò sulla base sia delle ordinarie norme civilistiche che delle norme del d.lgs. 70/2003 di attuazione della Direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione. Infine è bene ricordare che la migliore sicurezza deriva dallo stesso fruitore del sistema. Sarebbe buona prassi, infatti, pretendere da coloro che accedono ai dati tramite il Cloud, di utilizzare password più lunghe e complesse di quelle minime previste dal Codice della Privacy. L’allegato B del codice, al punto 5, stabilisce che “ le password devono essere composte da almeno 8 caratteri ”. Tali requisiti minimi, non appaiono al passo coi tempi, poiché i calcolatori attuali sarebbero in grado di forzare in poco tempo una password con tali caratteristiche, vista la loro potente capacità di calcolo.

LA PEC E LA SUA RILEVANZA GIURIDICA.

La Posta Elettronica Certificata trova la sua prima ed organica disciplina nel D.P.R. n. 68 del 11 febbraio 2005 (Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'art. 27 l. 16 gennaio 2003 n. 3). Successivamente, con l’emanazione del Decreto del Ministero per l’Innovazione e le Tecnologie del 2 novembre 2005, si sono dettate le “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata". In pratica tutti i requisiti tecnico- funzionali che devono essere rispettati dalle piattaforme utilizzate per erogare il servizio. Anche il Codice dell‘Amministrazione Digitale (d.lgs. n. 82/2005) fa esplicito riferimento alla posta elettronica certificata agli artt. 6 e 48 con rinvio al D.P.R. 68/2005 per la disciplina specifica, anche se il Consiglio di Stato avrebbe gradito (v. parere n° 11995 dell'Adunanza del 7.2. 2005) l’assorbimento dell’intero Decreto nell’ambito del CAD così come è avvenuto con il Sistema Pubblico di Connettività. L’ art. 6 sancisce al primo comma che per le comunicazioni di cui all'articolo 48, comma 1, con i soggetti che hanno preventivamente dichiarato il proprio indirizzo ai sensi della vigente normativa tecnica, le pubbliche amministrazioni utilizzano la posta elettronica certificata. La dichiarazione dell'indirizzo vincola solo il dichiarante e rappresenta espressa accettazione dell'invio, tramite posta elettronica certificata, da parte delle pubbliche amministrazioni, degli atti e dei provvedimenti che lo riguardano. L’ art. 48 prevede al primo comma che la trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, o mediante altre soluzioni tecnologiche individuate con decreto del Presidente del Consiglio dei Ministri, sentito DigitPA. Al secondo comma viene sancito che la trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta. Al terzo comma si precisa che la data e l'ora di trasmissione e di ricezione di un documento informatico trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche. La normativa summenzionata disciplina, quindi, le modalità di utilizzo della Posta Elettronica Certificata (PEC) non solo nei rapporti con la P.A., ma anche tra privati cittadini. In questo modo, quindi, si conferisce valore giuridico alla trasmissione di documenti prodotti ed inviati per via informatica.

Ricevute : Accettazione (attesta l’invio con i dati di certificazione); Avvenuta consegna (attesta la consegna con i dati di certificazione e, su richiesta il messaggio originario – completa, breve, sintetica); Presa in carico (attesta il passaggio di responsabilità al gestore del destinatario). Buste : Trasporto (contiene il messaggio originario, i dati di certificazione e la firma del gestore); Anomalia (contiene il messaggio errato/esterno e la firma del gestore). Avvisi : Non accettazione (errori formali o virus); Mancata consegna (superamento tempo massimo o virus); Virus (rilevamento virus). I nodi di tracciamento del sistema svolgono, quindi, funzioni di: Accesso : riconoscimento utente, controlli formali, emissione ricevuta di accettazione, imbustamento del messaggio. Ricezione : controllo provenienza e correttezza, emissione ricevuta di presa in carico, imbustamento messaggi errati. Consegna : consegna nella casella (indirizzo elettronico) del destinatario, emissione di ricevute di consegna, di errore di consegna ovvero imbustamento di sicurezza. Riguardo il delicato aspetto della sicurezza è importante rilevare che nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte deve essere conservata per trenta mesi (originariamente i mesi erano 24) in un apposito registro informatico custodito dai gestori, con lo stesso valore giuridico delle ricevute. Il registro informatico (log) dovrà contenere: il codice identificativo univoco del messaggio originale (Message- ID); la data e l’ora dell’evento; il mittente del messaggio originale; l’oggetto del messaggio originale; il tipo di evento (accettazione, ricezione, consegna, emissione ricevute, errore, ecc.); il codice identificativo dei messaggi generati (ricevute, errori, ecc.); il gestore mittente; l’indirizzo telematico del destinatario/i. In merito alla problematica dei virus i gestori dei mittenti e dei destinatari vengono particolarmente responsabilizzati e sono tenuti a verificare l'eventuale presenza di virus nelle e-mail ed informare in caso positivo il mittente, bloccandone la trasmissione (art. 12). Le ricevute rilasciate dai gestori di posta sono inoltre da essi sottoscritte mediante una firma elettronica avanzata generata in automatico dal sistema di posta e basata su chiavi asimmetriche a coppia, una pubblica e l'altra privata, assicurando così la provenienza, l'integrità e l'autenticità del messaggio di posta elettronica certificata. Quindi alla luce di quanto detto sopra i gestori di posta elettronica certificata sono tenuti a garantire la riservatezza, la sicurezza (anche da virus informatici) e l'integrità nel tempo delle informazioni contenute nella cosiddetta "busta di trasporto" conservandole per trenta mesi (art. 11 del decreto).

L’INTERNET of THINGS FRA SICUREZZA INFORMATICA E MISURE DI PREVENZIONE.

Con il termine Internet of Things (IoT), si fa riferimento ad infrastrutture che sono in grado, attraverso la presenza di numerosi sensori, di registrare, processare, immagazzinare dati localmente o tramite l’interazione tra loro sia nel medio raggio, mediante l’utilizzo di tecnologie a radio frequenza, sia tramite una rete di comunicazione elettronica. Dispositivi di tal specie, non sono solo i tradizionali computer o gli smartphone, ma oggetti che sono integrati nella nostra vita quotidiana; pensiamo alle smart tv, gli smart watch, o gli strumenti di automazione domestica e di georeferenziazione e navigazione assistita. Tali oggetti, sono in grado di connettersi alla rete o di scambiarsi informazioni. Diventano “vivi e pensanti”, potendo interagire con l’ambiente circostante ed aiutando le persone nella loro vita quotidiana e lavorativa. Tecnologie così invasive della nostra vita privata e lavorativa, possono ritorcersi contro e determinare forti violazioni in tema di privacy e sicurezza informatica. Interessante, a tal proposito, è un progetto realizzato dal gruppo non-profit Consumers Reports, il quale ha realizzato un sistema di recensioni per poter valutare i sistemi di sicurezza degli oggetti IoT.

L’idea è partita da un sondaggio, ove si affermava che il 65% degli americani, dichiarava di essere poco o per nulla sicuri che i loro dati personali fossero privati e non venissero distribuiti a loro insaputa. Il progetto parte da questo sondaggio e mira ad analizzare gli oggetti per determinare il grado di sicurezza degli stessi. L’obiettivo che si prefigge è quello di aiutare i consumatori a capire il prodotto digitale ed individuare gli strumenti che può utilizzare per proteggere la propria privacy ed avere il miglior controllo sui propri dati personali. Consumers Reports, per garantire metri di valutazione uniformi, utilizza degli standard per determinare la sicurezza del prodotto che si sta utilizzando. In particolare:

  1. Analisi delle username e password: è importante che tali strumenti richiedano per il loro funzionamento username e password uniche durante la loro installazione. La password, in particolare, deve essere alfanumerica e con l’utilizzo di segni speciali. Per garantire un livello più elevato di sicurezza, sarebbe preferibile procedere alla modifica della password con cadenza regolare;
  2. Eliminazione dati di consumo alle aziende: il nuovo standard realizzato, invita le aziende ad eliminare i dati di consumo dai soli server, su richiesta del consumatore, per proteggere i dati personali degli utenti che utilizzano tali tecnologie. Il consumatore deve conoscere quali sono i dati che vengono raccolti ed avere un ragionevole controllo sugli stessi. (tale punto assume una grande rilevanza, in quanto un sondaggio di Consumer Reports del 2015, ha rilevato che le smart tv raccoglievano informazioni sui loro proprietari, mentre loro vedevano programmi televisivi). Con l’utilizzo di questo standard, realizzato con la collaborazione di diverse società specializzate in soluzioni per la sicurezza informatica, si testano i dispositivi analizzando le protezioni utilizzate per difendersi dalle diverse tipologie di malware attualmente presenti in rete. Un’altra interessante analisi è stata condotta nel 12° “Worldwide Infrastructure Security Report” di Arbor Networks. Nel documento stilato, vi sono le osservazioni di esperti di reti e sicurezza che operano presso le maggiori organizzazioni aziendali e principali provider di servizi di telecomunicazione, cloud e hosting, che evidenziano come la capacità di innovazione dei criminali informatici e lo sfruttamento di dispositivi IoT, riescano ad alimentare lo scenario di attacchi DDoS. Il Report del 2016 evidenza come la tipologia delle minacce informatiche sia cambiata con l’introduzione delle botnet IoT. La proliferazione dei dispositivi IoT su tutte le reti, apporta indubbiamente vantaggi per le aziende ed i consumatori, ma offre una nuova arma ai criminali informatici che riescono a sfruttare le debolezze intrinseche di questi dispositivi sul fronte della sicurezza. Secondo il Report: “Il maggiore attacco DDoS (Distributed Denial of Service) registrato nell’anno 2016 ha raggiunto gli 800 Gbps, con un aumento del 60% rispetto all’attacco più grande del 2015 che fu pari a 500 Gbps. Oltre alle dimensioni, sono aumentate anche la frequenza e la complessità degli attacchi DDoS. La maggiore gamma e l’elevata complessità degli attacchi hanno spinto un crescente numero di aziende a dotarsi di soluzioni specifiche di protezione DDoS, implementare sistemi di difesa ibridi basati sulle best practice e dedicare più tempo alle simulazioni di risposta agli incidenti informatici”. Infine è opportuno segnalare l’analisi condotta da Gartner, la quale ha stimato che i dispositivi IoT connessi sono all’incirca 6,4 miliardi. Infatti, a partire dal 2015, si sono registrate nuove modalità di attacco a dispositivi appena collegati. Uno delle iniziative più interessanti dell’IoT, secondo Gartner, è l’auto connessa. Nel 2015, due ricercatori in ambito security, hanno condotto un esperimento per vedere se riuscivano ad accedere in remoto ad un SUV che viaggiava a più di 100 km/h. I due ricercatori, sono riusciti a prendere il controllo dell’aria condizionata della vettura, dello stereo, dell’impianto di trasmissione e dei freni. Mentre l’Internet on Things diventa un fenomeno dilagante nella vita di tutti i giorni, gli attacchi alle imprese tramite IoT rischiano di aumentare in modo significativo. Gartner stima che entro il 2020 oltre il 25% degli attacchi alle imprese coinvolgerà l’Internet of Things. L’interrogativo che a questo punto è importante porsi è il seguente: come poter limitare le nuove minacce? Nell’IoT, i dati sono in costante movimento, in quanto viaggiano attraverso reti multiple e diversi data center. È opportuno, quindi, proteggere il dato non solo quando raggiungono il dispositivo, ma anche quando sono in viaggio. I dispositivi mobili si spostano da rete a rete: è importante avere un’interfaccia sicura per mantenere i dati quanto più protetti possibili. Altra tecnica che potrebbe diffondersi è l’apprendimento della macchina. Questo sistema aiuterebbe a prevedere le minacce di sicurezza, persino superando la prevenzione come metodo migliore per mantenere gli attacchi al minimo. La possibilità di

Pertanto, è da escludere un preventivo ed indefinito monitoraggio del sistema predetto in attesa dell'eventuale e futura comparsa del dato da acquisire a base delle indagini: si verrebbe altrimenti ad integrare un nuovo ed anomalo strumento di ricerca della prova, con finalità nettamente esplorative, di mera investigazione (paragonabile alle intercettazioni), che nulla ha a che fare con la perquisizione. La Suprema Corte di Cassazione, nel medesimo provvedimento, ha ritenuto che, correttamente, il Tribunale ha escluso la fondatezza dell'interpretazione offerta dalla Pubblica Accusa del nuovo testo dell'articolo 248 c.p.p., comma 2, a giustificazione del provvedimento censurato. Infatti, la locuzione contenuta nell'articolo 248 c.p.p., comma 2 (anch'esso novellato dalla Legge n. 48 del

  1. laddove richiama le "banche" non può che riferirsi, come in precedenza previsto, solo agli istituti di credito, in relazione ai quali è stata estesa la possibilità di esaminare, presso di essi, oltre che "atti, documenti e corrispondenza" anche "dati, informazioni e programmi informatici". Nulla consente di dilatare estensivamente l'accezione di "banche" fino a comprendere le "banche-dati" presenti, per giunta in continuo aggiornamento automatico, presso qualsiasi altro ente o struttura privata o pubblica, tanto più che, come acutamente rilevato dall'ordinanza impugnata, il termine banca-dati, omologo della corrispondente espressione inglese "data-base", non risulta mai adoperato dall'ordinamento giuridico italiano il quale, laddove ha inteso riferirsi ad un centro di raccolta ed gestione di dati informatici, ha impiegato la diversa specifica dizione di "sistema informatico o telematico" (come nel soprarichiamato articolo 247 c.p.p., comma 2 al pari degli articoli 617 quater, 617 quinquies, 617 sexies, 635 bis, 635 ter, 635 quinquies e 640 ter c.p.). La decisione assunta dalla Suprema Corte di Cassazione, ha affrontato il difficile ed allo stesso tempo delicato tema relativo al bilanciamento tra la tutela dei dati personali dei soggetti che viaggiano in aereo, contenuti nel c.d. PNR, e la lotta contro i reati gravi e di terrorismo. Dalla pronuncia della Suprema Corte di Cassazione, sono stati numerosi i tentativi di intervento di Legislatori Nazionali ed Europei per garantire un corretto bilanciamento tra i diritti sopra citati. Per PNR, Passenger Name Record, indichiamo il registro dei dati forniti dai passeggeri raccolti e conservati nei sistemi di prenotazione e di controllo delle partenze dei vettori aerei a fini commerciali. L’uso di questi dati è al centro del dibattito europeo sulle azioni da attivare in risposta alla minaccia rappresentata dai reati gravi e dal reato di terrorismo. La proposta di direttiva IP/11/120, presentata nel 2011 dalla Commissione Europea ed all’esame del Parlamento UE, prevede l’obbligo a carico dei vettori aerei di fornire agli stati membri dell’UE i dati dei passeggeri che entrano o lasciano il territorio dell’Unione, garantendo al tempo stesso un alto livello di tutela della privacy e dei dati personali. La commissione propone:
  1. che i vettori trasferiscano , in un'unità dedicata nello Stato membro di arrivo o di partenza, i dati relativi ai passeggeri dei voli internazionali figuranti nei rispettivi sistemi di prenotazione. Gli Stati membri analizzeranno e conserveranno i dati a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati gravi e del terrorismo;
  2. una forte protezione della vita privata e dei dati personali. I dati PNR potranno essere utilizzati esclusivamente ai fini della lotta contro i reati gravi e i reati di terrorismo (rigorosa limitazione delle finalità). Un mese dopo il volo le autorità di contrasto degli Stati membri dovranno rendere anonimi i dati, che non potranno essere conservati, complessivamente, per più di cinque anni (periodo di conservazione breve). I vettori non potranno in nessun caso trasferire, né gli Stati membri potranno in nessun modo usare, i dati sensibili che rivelino l'origine razziale o etnica, le opinioni politiche o le convinzioni religiose. Gli Stati membri non potranno avere accesso alle banche dati dei vettori: i dati andranno richiesti ai vettori, che provvederanno a inviarli agli Stati membri ("metodo push"). Gli Stati membri dovranno creare unità dedicate al trattamento dei dati, e garantirne la sicurezza e la sorveglianza di un'autorità di controllo indipendente (autorità preposta alla protezione dei dati). La proposta introduce altresì chiare norme relative al diritto dei passeggeri di avere informazioni accurate in merito alla raccolta dei dati PNR, così come norme che

riconoscono ai passeggeri il diritto di accesso, di rettifica e di cancellazione dei loro dati, il diritto a compensazione e il diritto di ricorso;

  1. chiare disposizioni sulle modalità di trasferimento dei dati : ad esempio quante volte i vettori possono trasferire i dati agli Stati membri e la sicurezza dei trasferimenti, allo scopo di limitare l'impatto sulla vita privata e di ridurre al minimo i costi per i vettori. A seguito dell’abolizione dei controlli alle frontiere interne per effetto della convenzione Schengen, le autorità europee hanno disposto misure per la raccolta e lo scambio di dati personali. Tali misure però si incentrano sui dati riguardanti persone già sospette, ossia già “note” alle autorità di contrasto, come nel caso del sistema d'informazione Schengen (SIS). Con la direttiva sul PNR, invece, le autorità potrebbero anzitutto identificare persone “non note” , ossia mai sospettate prima di reati gravi o di terrorismo, ma il cui probabile coinvolgimento è rilevato da un'analisi dei dati per cui è opportuno che le autorità competenti procedano ad ulteriori verifiche. L'identificazione di tali persone aiuterebbe, si legge nella proposta di direttiva, le autorità di contrasto a prevenire ed individuare reati gravi, tra cui il terrorismo. Inoltre, i dati PNR aiutano le autorità dopo che è stato commesso un reato a prevenire, accertare, indagare e perseguire altri reati gravi. Infine, l'uso di questi dati prima dell'arrivo del volo permette alle autorità di contrasto di effettuare valutazioni e sottoporre a controlli approfonditi solo le persone che, in base a criteri di valutazione obiettivi e all'esperienza, è più probabile che costituiscano una minaccia per la sicurezza, agevolando così il viaggio di tutti gli altri passeggeri e riducendo il rischio che, entrando nell'UE, siano sottoposti a controlli basati su criteri illegittimi, quali la cittadinanza o il colore della pelle, che le autorità di contrasto, comprese le autorità doganali e le guardie di frontiera, potrebbero erroneamente associare a rischi di sicurezza. Nel Consiglio degli Affari esteri dell'Unione, tenutosi il 19 gennaio 2015, i ministri hanno sollecitato lo sblocco della direttiva sul “Passenger Name Record”, ferma al Parlamento europeo, osservando che essa "non provoca un attentato mortale alla nostra privacy ma è fondamentale per l'individuazione della minaccia terroristica". Infine il 15 Luglio 2015 la commissione LIBE del Parlamento Europeo ha adottato una proposta di direttiva, la Passenger Name Record. Tale proposta:
  • obbliga gli Stati membri a trattare i dati PNR solo per scopi limitati, come l’individuazione di passeggeri che possono essere coinvolti in reati di terrorismo o gravi reati di natura transnazionale;
  • obbligo di nominare un responsabile della protezione dei dati PNR dei passeggeri;
  • obbligo di registrare e documentare qualsiasi trattamento di dati PNR;
  • obbligo per i passeggeri di essere informati sulle modalità di trattamento dei propri dati personali;
  • attuazione di protocolli più severi per il trasferimento dei dati PNR dei passeggeri verso paesi terzi;
  • conservazione dei dati PNR per un periodo massimo di 30 giorni. Successivamente i dati dovranno essere resi anonimi e potranno essere conservati al massimo per 5 anni.

INTERNET E LA TUTELA DEI DATI PERSONALI.

L’avvento di Internet, e soprattutto la sua evoluzione a Web 2.0, ha mutato il volto dell’informatica moderna ed ha sollevato nuovi problemi con riferimento alla Privacy. Nel 1999 il Garante si è occupato di valutare il delicato rapporto tra dati presenti in Internet e diritto alla Privacy. In primis il Garante, nella Newsletter 14-20 giugno 1999, ha notato come la legge sulla Privacy regoli la diffusione dei dati personali in maniera uniforme, a prescindere dal mezzo utilizzato, e preveda un’analoga disciplina sia per la diffusione di un elenco di dati personali attraverso una pubblicazione, sia per la messa a disposizione dell'elenco su Internet mediante una pagina Web consultabile da chiunque si colleghi in rete. Le norme sulla tutela dei dati personali si applicano, infatti, a tutte le operazioni di trattamento effettuate, con o senza ausilio di mezzi elettronici. La questione era stata sollevata da un quesito posto dalla Federazione nazionale delle imprese di spedizione che aveva domandato all'Autorità se la diffusione via Internet dell'annuario dei propri associati, prima divulgato attraverso la pubblicazione di un apposito volume, fosse contraria ai principi della allora vigente Legge n. 675 del 1996. Il Garante ha sottolineato che, ai fini dell'applicazione della legge sulla Privacy, non è rilevante la modalità attraverso cui le informazioni vengono diffuse (pubblicazione cartacea o