Computer crimes: responsabilità penali in internet METODI E TECNOLOGIE PER LA PROTEZIONE DIGITALE DELLE INFORMAZIONI AZIENDALI Vicenza, 20 maggio 2004 - Avv. RELATORE: AVV. LUCA SANDRI Luca Sandri Le “conoscenze” dell’azienda costituiscono l’asset più prezioso dell’organizzazione aziendale ….. la minaccia ai dati e alle informazioni aziendali presenti in rete rappresenta, dunque, un pericolo per la produttività e l’efficienza dell’organizzazione. Attacchi INTERNI (sogg. che possono ESTERNI (sogg. esterni al sist.) operare sul sistema) - soci; - dipendenti; - consulenti. - hacker; - cracker. Tipologie di attacchi ai sistemi infor./telem. 1) Saturazione di risorse informatiche e di telecomunicazione (spamming, attacco al provider Yahoo! - denial of service); 2) Accesso non autorizzato ai servizi di telecomunicazione; 3) Furto di apparati informatici contenenti dati; 4) Uso non autorizzato di elaboratori e delle loro applicazioni; 5) Accesso non autorizzato alle informazioni; 6) Modifiche non autorizzate ai dati ed alle postazioni di lavoro (sist. applicativi e informazioni contenute). Crimini Informatici L. 23 dicembre 1993 n. 547 "crimini informatici" Art. 635 bis c.p " Danneggiamento a sistemi informatici o telematici" Art. 615 ter c. p. "Accesso abusivo ad un sistema informatico o telematico" Art. 615 quinquies c.p. "Diff. di progr. diretti a dannegg. /interr un sist infor / telemat". Art. 640 ter c.p. "Frode informatica" Art. 615 quater c.p "Det. e diffus abusiva di codici di accesso a sistemi informatici /telematici" Art. 615 ter c.p. • Condotta: - accesso abusivo ad un S. informatico / telematico protetto da misure di sicurezza; ovvero, - trattenimento contro la volontà expr. / tacita di colui che ha diritto di escluderne (recte autorizzare) l’accesso. • Modalità dell’accesso: - virtuale: tramite la rete; - reale: accesso fisico (in tal caso il reato conc. con violaz. domicilio). • “Misure di sicurezza”: non sono richieste misure particolari. Sufficiente anche la mera adozione di password da cui emerga lo jus excludendi alios. L’accesso ad un sistema non protetto da alcuna misura di sicurezza, quale può essere anche la mera password di accesso, è PENALMENTE LECITO In tal caso, sarà solo possibile agire ex art. 2043 cod. civ. - in sede civile - per il risarcimento dei danni subiti. Art. 615 quater c.p. • Condotta: abusivamente si procura, riproduce, diffonde, comunica o consegna codici o parole chiavi, ovvero altri mezzi idonei ad accedere ad un Sist. informatico o telematico protetto da misure di sicurezza, ovvero fornisce indicazioni o istruzione per accedervi, con il fine di procurare a sé o ad altri un profitto o ad arrecare ad altri un danno. • Scopo del reato: punire e reprimere tutti quei comportamenti che hanno lo scopo di far carpire tali informazioni con modalità fraudolenti. • Definizioni: per chiavi si devono intendere le chiavi meccaniche ed elettroniche di accesso; per parole chiavi, le password o i codici Pin (es. bancomat). • Caso: “dipendente infedele” che senza fornire direttamente i codici di accesso fornisca informazioni utili da aggirare i sistemi di protezione; detenz. o diff. di smart card abusive per pay TV. Art. 615 quinquies c.p. • Condotta: diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, ovvero dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento. • Definizioni delle condotte: - diffusione: comunicazione ad un numero indeterminato di persone (es. diffusione a mezzo della rete); - comunicazione: contatto specifico tra soggetti conferenti o riceventi; - consegna: consegna materiale del supporto con il programma. Art. 635 bis c.p. • Condotta: distrugge, deteriora o rende, in tutto o in parte, inservibili S. informatici/telematici altrui o programmi, informazioni o dati altrui (“bene tutelato”). • Definizioni delle condotte: - distruzione: eliminazione fisica del bene tutelato; - deterioramento: attacco alla fisicità / funzionalità del bene tutelato che ne compromette l’aspetto o contenuto; - inservibile: eliminazione funzionalità o operatività del bene tutelato. • Caso: invio di virus tramite la rete (come allegati ad una e-mail) tesi a danneggiare o disturbare il corretto funzionamento del sistema o dei programmi del computer. Il virus è un programma che si riproduce automaticamente. Art. 640 ter c.p. • Condotta: chiunque, alterando, in qualsiasi modo, il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi in esso contenuto o a questo pertinenti, crea un ingiusto profitto a sé o ad altri con danno altrui. • Aggravante: se il fatto è commesso da un operatore del sistema. • Definizione di profitto: effettivo accrescimento di ricchezza economica a favore dell’agente, così come la sua mancata diminuzione. In generale, l’applicazione del predetto articolo prescinde dall’accertamento del controllo e della diligenza esercitata dalla persona /entità offesa e dall’adozione di misure di sicurezza. Si pone anche un problema di privacy (d.Lgs n. 196/2003), come per esempio nel caso di: A) spamming; B) cookies; C) e-mail aziendali; D) videosorveglianza. SPAMMING può rallentare o congestionare il servizio di posta elettronica (bloccare il sistema) Art. 660 cod. pen “ ….per petulanza o altro biasimevole motivo, con il mezzo del telefono (incl. e-mail), reca molestia o disturbo ad un soggetto….”. SPAMMING il D.lgs n. 196/03 vieta l’invio smodato di e.mail, soprattutto quando non vi sia il consenso anticipato del destinatario all’invio stesso. COOKIES porzioni di informazioni inviate da un web server ad un web client, che le mantiene per un successivo utilizzo. E’ necessaria L’AUTORIZZAZIONE al trattamento dei dati personali. Per ulteriori informazioni: Avv. Luca Sandri Studio tributario e legale P.zza Castello, 21 20121 Milano e.mail: [email protected] sito: www.lucasandri.it GRAZIE DELL’ASCOLTO