Qualità e sicurezza
I requisiti di qualità e sicurezza sono contigui:

i primi determinano l’efficacia dei processi in condizioni di
esercizio ordinario

i secondi assicurano il raggiungimento dei risultati anche allorché
si verificano situazioni anomale.
Avv. Stefano Venanzi
Anomalie
Casi anomali non previsti
Casi anomali previsti
Processo normale
Specifiche funzionali
Specifiche di qualità
Avv. Stefano Venanzi
Specifiche di sicurezza
Anomalie
La parte interna del riquadro riguarda la gestione del processo
normale.
Buona parte del contratto deve essere rivolta a fissare gli elementi
che determinano le caratteristiche del processo normale, mentre
i requisiti che incidono sull’efficienza ed efficacia di tale processo
devono essere inclusi nelle clausole relative alla qualità (livelli di
servizio, prestazioni, certificazioni di qualità, ecc.).
Avv. Stefano Venanzi
Anomalie
La zona intermedia comprende la gestione dei casi anomali, ossia di situazioni diverse da quelle di
esercizio ordinario. Di norma tale gestione avviene attraverso opportune contromisure che sono
finalizzate a prevenire il verificarsi di un insieme predeterminato di “incidenti” o a limitarne gli
effetti negativi.
L’appartenenza di un evento alla classe di situazioni ordinarie o anomale può dipendere dalle
specifiche di progetto: se il processo è stato progettato per gestire una determinata situazione, la
sua corretta gestione rientra nei requisiti di qualità, altrimenti ricade nei requisiti di sicurezza.
E’ opportuno formulare il contratto in modo che non lasci margini di interpretazione circa
l’attribuzione di eventi ad attività ordinarie o a casi anomali, soprattutto al fine di evitare
contenziosi in merito all’assolvimento degli obblighi contrattuali.
Si consideri, a titolo di esempio, il caso di un sistema di comunicazione; se le specifiche prevedono
che sia reso disponibile un canale trasmissivo isolato e dedicato al cliente, le caratteristiche di
qualità della fornitura dovranno assicurare che tale canale sia realmente isolato e dunque nessun
altro utente possa intercettare o modificare i flussi informativi che lo attraversano; nel caso
invece si tratti di una rete condivisa, la protezione nei confronti di intercettazioni o modifiche dei
dati trasmessi può essere oggetto di specifici requisiti di sicurezza.
Avv. Stefano Venanzi
Anomalie
La zona esterna comprende tutte le casistiche che non è possibile
prevedere o per le quali non si sono stabilite specifiche
contromisure. Anche se si tratta di eventi imprevedibili, di regola
è possibile ridurre o annullare gli effetti negativi di tali incidenti
programmando opportune procedure di contrasto e di recupero.
Avv. Stefano Venanzi
Anomalie
Quindi, seppure con modalità e pesi diversi in relazione all’oggetto
della prestazione ed al contesto, ciascun contratto dovrebbe:

riportare le clausole inerenti le caratteristiche di qualità di beni e
servizi nell’ambito di processi ordinari;

determinare con chiarezza gli obblighi e le responsabilità dei
contraenti nella gestione di un insieme predeterminato di casi
anomali (misure di sicurezza);

chiarire le modalità con cui dovranno essere gestiti eventi
anomali imprevisti, nonché i ruoli e gli obblighi che le controparti
dovranno assumere in tale evenienza.
Avv. Stefano Venanzi
Anomalie
A titolo di esempio si consideri un contratto di fornitura di un sistema
elaborativo (hardware e software) in configurazione di alta affidabilità.
Secondo quanto enunciato il contratto dovrebbe contenere:



le clausole relative alle caratteristiche di qualità del sistema in condizioni
di esercizio ordinario come, ad esempio, la disponibilità, il tempo di
intervento ed il tempo di ripristino a fronte di problemi hardware;
gli eventi anomali che il fornitore si impegna a fronteggiare come, ad
esempio, la presenza accidentale di software malevolo, l’accesso indebito
ai sistemi da parte del personale addetto alla manutenzione o l’assenza
di alimentazione elettrica;
le procedure per la gestione di eventi imprevisti (ad esempio la modalità
con cui il fornitore dovrà fornire aggiornamenti per eliminare
vulnerabilità del software o le clausole per la fornitura di assistenza a
seguito di problemi imprevisti non addebitabili al fornitore).
Avv. Stefano Venanzi
I prodotti
Nel caso di prodotti informatici, i requisiti di sicurezza riguardano principalmente il processo
produttivo che dovrebbe assicurare la rispondenza del prodotto alle specifiche.
(ad es. la presenza di funzioni di autenticazione, la cifratura di alcuni dati, l’assenza di radiazioni
elettromagnetiche che potrebbero essere intercettate, ecc)
La rispondenza del prodotto alle specifiche può essere attestata con la certificazione di tipo Common
Criteria.
Tuttavia oggi sono pochi i prodotti generici certificati con tale standard (sistemi operativi e data base)
Per quanto concerne il software è difficile trovare sul mercato prodotti che non presentino problemi o
vulnerabilità inaspettate
Una soluzione potrebbe consistere nell’accesso al codice sorgente, in modo da poter verificare la
correttezza del software e l’assenza di “trappole” o altre vulnerabilità
In generale questa possibilità non è di ausilio sotto l’aspetto della sicurezza in quanto è praticamente
impossibile verificare la copiosa quantità di codice con cui è realizzato un prodotto software
Avv. Stefano Venanzi
Esempi di clausole per prodotti
Si riporta di seguito un esempio, non esaustivo, di clausole che
dovrebbero essere inserite nel contratto:

clausola di non diffusione delle informazioni di cui il fornitore
viene a conoscenza;

clausole relative alla distruzione o restituzione dei dispositivi
contenenti dati, rimossi o sostituiti per attività di manutenzione;

eventuali regole o restrizioni relative alla possibilità di eseguire
attività di manutenzione da postazioni di lavoro remote;

indicazioni sulle procedure cui il fornitore dovrà attenersi per le
attività di manutenzione e sulle politiche di sicurezza che
dovranno essere seguite
Avv. Stefano Venanzi
I servizi
Sempre più spesso si tende a limitare la realizzazione “in
casa” dei processi e ad utilizzare servizi esterni. Il ricorso
ai servizi può variare dalla semplice acquisizione di
assistenza specialistica all’esternalizzazione dell’intera
gestione di un sistema informatico (outsourcing).
Uno dei vantaggi del ricorso ai servizi è la possibilità di
prescindere dalla specifica soluzione tecnica fissando
contrattualmente i requisiti del servizio in termini
funzionali, di qualità e di sicurezza.
Avv. Stefano Venanzi
Esempi di clausole per servizi
Nel caso ad es. un servizio di archiviazione ottica, gli eventi indesiderati che possono verificarsi sono:
l’accesso alle informazioni memorizzate da parte di soggetti non autorizzati, il danneggiamento
dei supporti e la perdita o compromissione delle relative informazioni, la perdita dei supporti per
eventi calamitosi (incendi, allagamenti, ecc.).
Per ciascuna di queste eventualità il contratto dovrebbe specificare gli obblighi e le responsabilità del
fornitore. Ad esempio:

il fornitore deve garantire con opportune misure di sicurezza che le informazioni memorizzate sui
supporti possano essere accedute solo dal personale autorizzato dall’amministrazione, a tal fine il
sistema informatico per l’accesso remoto ai supporti dovrà essere in grado di verificare la
titolarità dei soggetti ad accedere alle informazioni e dovrà assicurare la riservatezza delle
informazioni gestite, l’amministrazione dal canto suo comunicherà il nominativo di un referente
che si farà carico di mantenere un elenco aggiornato degli identificativi relativi ai soggetti
autorizzati e di comunicarlo al fornitore;

il fornitore deve intraprendere i necessari accorgimenti tecnici ed organizzativi per garantire la
leggibilità delle informazioni anche a seguito di problemi di lettura dei supporti di
memorizzazione; a titolo indicativo, si osserva che il contratto potrebbe prevedere il pagamento
di una penale o la possibilità di rescindere il contratto in danno a seguito della mancata
ottemperanza a questa prescrizione.

il fornitore deve predisporre un sistema di recovery che dovrà consentire il recupero delle
informazioni memorizzate anche nel caso di disastri o altri eventi imprevisti che rendano inagibile
il sito di memorizzazione; in tale evenienza il servizio potrà essere sospeso per un periodo non
superiore a cinque giorni lavorativi.
Avv. Stefano Venanzi
Obbligazione di risultato
Con questa modalità di definizione dei requisiti, la responsabilità
dell’attuazione della politica di sicurezza è totalmente a carico
del fornitore che è tenuto ad adottare le migliori soluzioni
tecniche ed organizzative per il raggiungimento degli obiettivi
fissati nel contratto.
In questo caso il contratto si configura come una obbligazione di
risultato, ossia una obbligazione avente per oggetto il risultato
dell'attività posta in essere dal soggetto cui è richiesta. Di
conseguenza l’esatta esecuzione della prestazione dovuta
coincide con il raggiungimento dell’obiettivo di sicurezza
perseguito dal soggetto che ha diritto alla prestazione.
Avv. Stefano Venanzi
Obbligazione di risultato
Tuttavia questo metodo di definizione dei requisiti di sicurezza può presentare alcuni problemi.
Innanzitutto la flessibilità nella scelta delle soluzioni tecniche ed organizzative può comportare che il
fornitore operi le scelte più vantaggiose sotto il mero aspetto economico, attuando una gestione
della sicurezza di livello inferiore a quello atteso.
Inoltre il rispetto delle specifiche contrattuali è difficilmente verificabile in fase di collaudo perché una
“non sicurezza” può manifestare i suoi effetti a seguito di situazioni che non è facile simulare
durante i test. [1]
Questi problemi possono essere mitigati prevedendo opportune penali che rappresentino per il
fornitore un disincentivo ad attuare una gestione della sicurezza poco efficace. Occorre tuttavia
considerare che la responsabilità del fornitore sarà comunque limitata alla corretta gestione dei
casi anomali nella misura in cui tali obblighi sono esplicitati nel contratto.
[1] Alcune violazioni alla sicurezza (attacchi passivi) possono addirittura arrecare danni senza mai
manifestarsi. Si consideri l’esempio dell’archiviazione ottica: la riservatezza delle informazioni
potrebbe essere garantita con un sistema poco efficace per cui, in fase di esercizio, altri clienti
potrebbero accedere alle informazioni di proprietà dell’amministrazione. Una vulnerabilità di
questo tipo, che chiaramente contrasta con i requisiti contrattuali, difficilmente emergerebbe
durante il collaudo.
Avv. Stefano Venanzi
Obbligazione di mezzo
Un diverso approccio, che in parte risolve i problemi descritti,
consiste nell’esprimere i requisiti di sicurezza in termini di
misure tecniche ed organizzative che il fornitore dovrà mettere
in atto.
In questo caso il contratto si configura come una obbligazione di
mezzo, in cui l’esatta esecuzione della prestazione consiste nel
comportamento diligente da parte del fornitore, il quale si
impegna a rispettare i requisiti di sicurezza espressi in contratto.
Avv. Stefano Venanzi
Esempi di specifiche di sicurezza
Riprendendo il precedente esempio, le specifiche di sicurezza relative al servizio di archiviazione ottica
potrebbero essere così formulate:

il fornitore dovrà proteggere i locali contenenti i supporti ottici con sistemi di controllo degli
ingressi basati su badge magnetici che impediscano l’accesso ai locali medesimi a soggetti diversi
dal personale autorizzato, il sistema informatico per l’accesso remoto ai supporti dovrà consentire
la lettura delle informazioni solo previa autenticazione con user-id e password, i prodotti utilizzati
dovranno cifrare le informazioni durante il transito in rete in modo da garantirne la riservatezza e
l’integrità, inoltre i server responsabili dell’erogazione del servizio dovranno discriminare l’accesso
alle informazioni mediante un sistema di controllo accessi basato sul profilo degli utenti,
l’amministrazione dal canto suo comunicherà il nominativo di un referente che si farà carico di
mantenere un elenco aggiornato degli identificativi relativi ai soggetti autorizzati e di comunicarlo
al fornitore;

il fornitore dovrà effettuare, dopo ogni scrittura sui supporti di memorizzazione, la lettura dei
medesimi per verificarle la leggibilità e la copia su un supporto di back-up inoltre, al fine di
garantire la leggibilità dei dati nel tempo, dovranno essere effettuati riversamenti su nuovi
supporti perlomeno ogni cinque anni;

il fornitore dovrà essere dotato di un sistema di business continuity che preveda la duplicazione
dei dati su un sito di backup remoto ed assicuri la riattivazione del servizio, anche a seguito di
indisponibilità prolungata del sito primario, entro un periodo massimo di cinque giorni lavorativi;
il sito di backup dovrà essere protetto con misure di sicurezza fisiche e logiche analoghe a quelle
del sito primario.
Avv. Stefano Venanzi
Controindicazioni
Anche questo approccio presenta però delle controindicazioni.
Il fornitore è infatti tenuto solo alla messa in atto delle misure di
sicurezza prescritte e non ha la responsabilità della loro efficacia
(o perlomeno ha una responsabilità limitata) in quanto il
contratto obbliga solo in merito alle modalità di attuazione della
prestazione.
Inoltre, poiché è più semplice fornire indicazioni di carattere tecnico
che organizzativo, si tende ad attuare una sicurezza di tipo
tecnologico dando poca enfasi agli aspetti organizzativi.
Infine, se le soluzioni individuate si dimostrano inefficaci, per
approntare soluzioni diverse occorre una modifica contrattuale.
Avv. Stefano Venanzi
Obbligazione di risultato o di mezzo
Obbligazione di risultato




Lascia al fornitore la totale
responsabilità nella gestione
della sicurezza
La sicurezza è descritta in
termini di eventi da
contrastare
L’ottemperanza ai requisiti è
difficilmente verificabile in
fase di collaudo
Devono essere previsti valori
di soglia e penali
Avv. Stefano Venanzi
Obbligazione di mezzo
 La responsabilità circa i
problemi di sicurezza è
condivisa tra ente
appaltante e fornitore
 La sicurezza è descritta in
termini di protezioni
 L’ottemperanza ai requisiti
è facilmente verificabile in
fase di collaudo
 Il contratto deve fissare
con chiarezza i compiti e
gli ambiti di responsabilità
del fornitore
Clausole relative alla tutela dei dati personali
Il Decreto legislativo 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali)
disciplina i diritti e le tutele dei soggetti relativamente al trattamento dei dati personali.
La generica clausola contrattuale relativa all’obbligo di rispettare quanto prescritto dal D. Lgs
196/2003, non rappresenta una soluzione al problema in quanto non determina in modo chiaro
le obbligazioni del fornitore in tema di sicurezza
Il citato decreto attribuisce infatti al titolare del trattamento la responsabilità della corretta gestione e
tutela dei dati personali di soggetti terzi. Un soggetto esterno che accede a dati di natura
personale in esecuzione di un contratto, è tenuto a seguire le indicazioni del titolare circa il
trattamento dei dati, secondo le modalità stabilite nel contratto stesso.
E’ dunque opportuno che il contratto riporti in modo chiaro le regole inerenti il rispetto del Codice e le
responsabilità nell’ambito dei trattamenti.
In particolare dovranno essere chiariti i compiti e le responsabilità circa l’approntamento delle
“idonee” misure di sicurezza. Anche in questo caso è possibile seguire due diversi approcci:

prevedere che il committente definisca, anche in momenti successivi alla stipula del contratto,
le regole di sicurezza che dovranno essere seguite dal fornitore (in tale caso il contratto dovrà
sancire l’obbligo di attenersi a tali regole);

trasferire al fornitore la responsabilità della corretta messa in atto delle misure di sicurezza
necessarie per il rispetto del Codice sulla tutela dei dati personali, o di una parte di esse.
Avv. Stefano Venanzi
Clausole e trattamento del dato personale
In ogni caso è opportuno che il contratto contenga delle clausole
che obbligano il fornitore a collaborare nell’attuazione del piano
generale di sicurezza. In particolare tali clausole dovranno
riguardare:
 l’impegno ad attenersi a quanto stabilito nel Documento
programmatico della sicurezza;
 la disponibilità a collaborare nelle attività di analisi del rischio,
fornendo le informazioni di propria competenza sulle
vulnerabilità e sulle potenziali minacce;
 l’impegno a comunicare tempestivamente il verificarsi di eventi
che possano richiedere la revisione della politica generale di
sicurezza;
 la disponibilità a sottoporsi a verifiche circa la corretta attuazione
delle misure di sicurezza.
Avv. Stefano Venanzi
Outsourcing
Il contratto di outsourcing è un particolare tipo di contratto di servizio in cui
la responsabilità della gestione dei processi informatici è demandata ad
un’altra organizzazione.
I contratti di outsourcing sono particolarmente delicati sotto l’aspetto della
sicurezza perché, se formulati senza opportuni accorgimenti, possono
comportare la perdita del controllo della sicurezza dei processi da parte
del committente.
E’ allora opportuno che il contratto contenga elementi sufficienti per
garantire che la gestione della sicurezza sia conforme alle esigenze del
committente anche al variare delle situazioni al contorno. Poiché, in
genere, nell’arco di un contratto avvengono diversi cambiamenti
tecnologici e di contesto, è opportuno che gli aspetti di sicurezza possano
essere modificati in momenti successivi alla stipula.
La filosofia da seguire è quella di prevedere tutto il prevedibile, ma stabilire
dei canoni di comportamento per negoziare le modifiche in corso
d’opera
Avv. Stefano Venanzi
Outsourcing
Si riporta di seguito un elenco non esaustivo di clausole che può essere opportuno inserire nei
contratti di ousourcing:

le modalità con cui il fornitore dovrà attenersi alle strategie di sicurezza stabilite dal
committente;

le clausole di riservatezza e di non divulgazione delle informazioni riservate[1];

l’obbligo del fornitore in merito alla produzione di report periodici sui problemi di
sicurezza rilevati;

le procedure che il fornitore dovrà seguire nel caso di gravi problemi di sicurezza;

le procedure per le revisioni periodiche delle misure di sicurezza;

il diritto del committente a verificare il rispetto delle clausole di sicurezza con sopralluoghi
(audit) condotti dal committente stesso o da terze parti;

il diritto del committente ad effettuare prove di accesso indebito (penetration test) sui
sistemi gestiti dal fornitore, eventualmente avvalendosi dei servizi di terzi.
[1] Sarebbe opportuno che il contratto definisse anche il criterio di classificazione in base al quale il fornitore deve
ottemperare alle clausole di riservatezza indicando, ad esempio, le aree riservate o le procedure che trattano
informazioni riservate.
Avv. Stefano Venanzi
Collaudo e verifiche
Risulta difficile condurre in una fase preliminare il “collaudo della sicurezza” per il fatto che è difficile
riprodurre in un ambiente di prova il complesso di problemi che il sistema di sicurezza dovrebbe
essere in grado di gestire.
Per questo motivo è opportuno che i contratti prevedano la possibilità di eseguire verifiche anche
dopo eseguita la fornitura.
Ad esempio è possibile prevedere che il collaudo si prolunghi oltre l’inizio della fase di esercizio e che
il collaudo positivo sia condizionato all’assenza di manifeste vulnerabilità.
Un altro aspetto che è importante disciplinare contrattualmente è la possibilità di eseguire test o
verifiche a seguito di particolari condizioni (ad esempio sospetto di compromissione del sistema
di sicurezza) o periodicamente.
In generale è consigliabile introdurre comunque nel contratto la possibilità di verifiche, anche se
questa opzione probabilmente non verrà esercitata. In questo caso il contratto dovrà anche
chiarire quale parte debba sostenere i costi della verifica, compresi i costi che il fornitore dovrà
sostenere per soddisfare le relative richieste.
Questa clausola potrebbe non essere accettata da alcuni fornitori, adducendo motivazioni di
riservatezza.
Avv. Stefano Venanzi
Responsabilità
La definizione stessa di sicurezza (gestione di un sottoinsieme dei casi anomali
possibili) comporta che nessun fornitore possa essere in grado di assicurare che la
propria prestazione sia esente da problemi nel 100% dei casi.
Ogni impegno inerente la sicurezza comporta dei costi per il fornitore che si riverberano
sui costi della fornitura o del servizio. Occorre pertanto bilanciare attentamente
l’esigenza di "sentirsi sicuri" con l’obiettivo di contenimento dei costi.
Un possibile criterio guida è l’attribuzione al fornitore delle responsabilità circa la
prevenzione e la gestione delle anomalie in situazioni di esercizio ordinario
(cosiddetta sicurezza operativa). Il fornitore dovrà eseguire diligentemente la
prestazione evitando possibili errori o distrazioni (culpa in vigilando).
i contratti di fornitura del software per prassi non prevedono responsabilità circa la
sicurezza del prodotto fornito.
In questi casi, se sussiste l’esigenza di copertura nei confronti di possibili danni dovuti
a difetto di sicurezza, è possibile richiedere nel contratto che il fornitore stipuli
un’assicurazione a copertura degli eventuali danni.
Avv. Stefano Venanzi
Clausola Penale e ….
Anche per quanto concerne le penali, la prassi non ne prevede
l’applicazione nel caso di problemi di sicurezza.
In effetti, per i motivi esposti, è difficile prevedere l’applicazione di
penali nel caso di “non sicurezza”, è possibile tuttavia prevederle
per casi particolari in cui il fornitore ha palesemente violato le
specifiche contrattuali.
Ad esempio si possono prevedere penali nel caso di comportamenti
diversi da quelli previsti contrattualmente riguardanti l’uso non
corretto delle password, il carente rispetto delle regole inerenti
la sicurezza nelle attività di manutenzione, il mancato
aggiornamento dell’antivirus ecc.
Avv. Stefano Venanzi
… Codice Penale
Art. 615-ter. Accesso abusivo ad un sistema informatico o telematico.
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di
sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo,
è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con
abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita
anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore
del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è
palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o
parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle
informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di
interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla
protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da
uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri
casi si procede d'ufficio
Avv. Stefano Venanzi
… Codice Penale
Art. 615-quater. Detenzione e diffusione abusiva di codici
di accesso a sistemi informatici o telematici.
Chiunque, al fine di procurare a sé o ad altri un profitto o di
arrecare ad altri un danno, abusivamente si procura,
riproduce, diffonde, comunica o consegna codici, parole
chiave o altri mezzi idonei all'accesso ad un sistema
informatico o telematico, protetto da misure di sicurezza,
o comunque fornisce indicazioni o istruzioni idonee al
predetto scopo, è punito con la reclusione sino ad un anno
e con la multa sino a lire dieci milioni.
La pena è della reclusione da uno a due anni e della multa da
lire dieci milioni a venti milioni se ricorre taluna delle
circostanze di cui ai numeri 1) e 2) del quarto comma
dell’art. 617-quater
Avv. Stefano Venanzi
… Codice Penale
Art. 615-quinquies. Diffusione di programmi diretti a
danneggiare o interrompere un sistema informatico.
Chiunque diffonde, comunica o consegna un programma
informatico da lui stesso o da altri redatto, avente per
scopo o per effetto il danneggiamento di un sistema
informatico o telematico, dei dati o dei programmi in esso
contenuti o ad esso pertinenti, ovvero l'interruzione, totale
o parziale, o l'alterazione del suo funzionamento, è punito
con la reclusione sino a due anni e con la multa sino a lire
venti milioni
Avv. Stefano Venanzi
… Codice Penale
Art. 617-quater. Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche.
Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico
o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è
punito con la reclusione da sei mesi a quattro anni.
Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela,
mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il
contenuto delle comunicazioni di cui al primo comma.
I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.
Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto
è commesso:
 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro
ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei
poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con
abuso della qualità di operatore del sistema;
 3) da chi esercita anche abusivamente la professione di investigatore privato
Avv. Stefano Venanzi
… Codice Penale
Art. 617-quinquies. Installazione di apparecchiature atte
ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche.
Chiunque, fuori dai casi consentiti dalla legge, installa
apparecchiature atte ad intercettare, impedire o
interrompere comunicazioni relative ad un sistema
informatico o telematico ovvero intercorrenti tra più
sistemi, è punito con la reclusione da uno a quattro anni.
La pena è della reclusione da uno a cinque anni nei casi
previsti dal quarto comma dell’art. 617-quater
Avv. Stefano Venanzi
… Codice Penale
Art. 617-sexies. Falsificazione, alterazione o soppressione
del contenuto di comunicazioni informatiche o
telematiche.
Chiunque, al fine di procurare a sé o ad altri un vantaggio o
di arrecare ad altri un danno, forma falsamente ovvero
altera o sopprime, in tutto o in parte, il contenuto, anche
occasionalmente intercettato, di taluna delle
comunicazioni relative ad un sistema informatico o
telematico o intercorrenti tra più sistemi, è punito, qualora
ne faccia uso o lasci che altri ne facciano uso, con la
reclusione da uno a quattro anni.
La pena è della reclusione da uno a cinque anni nei casi
previsti dal quarto comma dell’art. 617-quater
Avv. Stefano Venanzi
GRAZIE PER L’ATTENZIONE
[email protected]
www.cnipa.gov.it
Avv. Stefano Venanzi