Computer crimes:
responsabilità penali in
internet
METODI
E TECNOLOGIE
PER LA PROTEZIONE DIGITALE
DELLE INFORMAZIONI AZIENDALI
Vicenza, 20 maggio 2004 - Avv.
RELATORE: AVV. LUCA SANDRI
Luca Sandri
Le “conoscenze” dell’azienda
costituiscono l’asset più prezioso
dell’organizzazione aziendale
….. la minaccia ai dati e alle
informazioni aziendali presenti in rete
rappresenta, dunque, un pericolo per la
produttività e l’efficienza
dell’organizzazione.
Attacchi
INTERNI
(sogg. che possono
ESTERNI
(sogg. esterni al sist.)
operare sul sistema)
- soci;
- dipendenti;
- consulenti.
- hacker;
- cracker.
Tipologie di
attacchi ai sistemi
infor./telem.
1) Saturazione di risorse informatiche e di telecomunicazione
(spamming, attacco al provider Yahoo! - denial of service);
2) Accesso non autorizzato ai servizi di telecomunicazione;
3) Furto di apparati informatici contenenti dati;
4) Uso non autorizzato di elaboratori e delle loro applicazioni;
5) Accesso non autorizzato alle informazioni;
6) Modifiche non autorizzate ai dati ed alle postazioni di lavoro
(sist. applicativi e informazioni contenute).
Crimini Informatici
L. 23 dicembre 1993 n. 547
"crimini informatici"
Art. 635 bis c.p
" Danneggiamento
a sistemi
informatici o telematici"
Art. 615 ter c. p.
"Accesso abusivo
ad un sistema
informatico o telematico"
Art. 615 quinquies c.p.
"Diff. di progr. diretti
a dannegg. /interr
un sist infor / telemat".
Art. 640 ter c.p.
"Frode informatica"
Art. 615 quater c.p
"Det. e diffus abusiva di
codici di accesso a
sistemi informatici /telematici"
Art. 615 ter c.p.
• Condotta:
- accesso abusivo ad un S. informatico / telematico protetto
da misure di sicurezza; ovvero,
- trattenimento contro la volontà expr. / tacita di colui che
ha diritto di escluderne (recte autorizzare) l’accesso.
• Modalità dell’accesso:
- virtuale: tramite la rete;
- reale: accesso fisico (in tal caso il reato conc. con violaz.
domicilio).
• “Misure di sicurezza”:
non sono richieste misure particolari. Sufficiente anche la
mera adozione di password da cui emerga lo jus excludendi alios.
L’accesso ad un sistema non protetto da alcuna
misura di sicurezza, quale può essere anche la
mera password di accesso, è
PENALMENTE LECITO
In tal caso, sarà solo possibile agire ex art. 2043
cod. civ. - in sede civile - per il risarcimento dei danni subiti.
Art. 615 quater c.p.
• Condotta:
abusivamente si procura, riproduce, diffonde, comunica o consegna
codici o parole chiavi, ovvero altri mezzi idonei ad accedere ad un
Sist. informatico o telematico protetto da misure di sicurezza, ovvero
fornisce indicazioni o istruzione per accedervi, con il fine di
procurare a sé o ad altri un profitto o ad arrecare ad altri un danno.
• Scopo del reato:
punire e reprimere tutti quei comportamenti che hanno lo
scopo di far carpire tali informazioni con modalità fraudolenti.
• Definizioni:
per chiavi si devono intendere le chiavi meccaniche ed
elettroniche di accesso; per parole chiavi, le password o i codici
Pin (es. bancomat).
• Caso:
“dipendente infedele” che senza fornire direttamente i codici di
accesso fornisca informazioni utili da aggirare i sistemi di
protezione; detenz. o diff. di smart card abusive per pay TV.
Art. 615 quinquies c.p.
• Condotta:
diffonde, comunica o consegna un programma informatico da
lui stesso o da altri redatto, avente per scopo o per effetto il
danneggiamento di un sistema informatico o telematico,
ovvero dei dati o dei programmi in esso contenuti o ad esso
pertinenti, ovvero l’interruzione, totale o parziale, o
l’alterazione del suo funzionamento.
• Definizioni delle condotte:
- diffusione: comunicazione ad un numero indeterminato di
persone (es. diffusione a mezzo della rete);
- comunicazione: contatto specifico tra soggetti conferenti o
riceventi;
- consegna: consegna materiale del supporto con il programma.
Art. 635 bis c.p.
• Condotta:
distrugge, deteriora o rende, in tutto o in parte, inservibili
S. informatici/telematici altrui o programmi, informazioni o
dati altrui (“bene tutelato”).
• Definizioni delle condotte:
- distruzione: eliminazione fisica del bene tutelato;
- deterioramento: attacco alla fisicità / funzionalità del
bene tutelato che ne compromette l’aspetto o contenuto;
- inservibile: eliminazione funzionalità o operatività del
bene tutelato.
• Caso:
invio di virus tramite la rete (come allegati ad una e-mail)
tesi a danneggiare o disturbare il corretto funzionamento
del sistema o dei programmi del computer. Il virus è un
programma che si riproduce automaticamente.
Art. 640 ter c.p.
• Condotta:
chiunque, alterando, in qualsiasi modo, il funzionamento di
un sistema informatico o telematico o intervenendo senza
diritto con qualsiasi modalità su dati, informazioni o
programmi in esso contenuto o a questo pertinenti, crea un
ingiusto profitto a sé o ad altri con danno altrui.
• Aggravante: se il fatto è commesso da un operatore del
sistema.
• Definizione di profitto: effettivo accrescimento di
ricchezza economica a favore dell’agente, così come la sua
mancata diminuzione.
In generale, l’applicazione del predetto articolo prescinde
dall’accertamento del controllo e della diligenza esercitata
dalla persona /entità offesa e dall’adozione di misure di
sicurezza.
Si pone anche un problema di privacy (d.Lgs n.
196/2003), come per esempio nel caso di:
A) spamming;
B) cookies;
C) e-mail aziendali;
D) videosorveglianza.
SPAMMING
può rallentare o congestionare
il servizio di posta elettronica (bloccare il sistema)
Art. 660 cod. pen
“ ….per petulanza o altro biasimevole motivo, con
il mezzo del telefono (incl. e-mail), reca molestia
o disturbo ad un soggetto….”.
SPAMMING
il D.lgs n. 196/03 vieta l’invio
smodato di e.mail, soprattutto quando non vi sia il
consenso anticipato del destinatario all’invio stesso.
COOKIES
porzioni di informazioni inviate
da un web server ad un web client, che le mantiene
per un successivo utilizzo.
E’ necessaria
L’AUTORIZZAZIONE
al trattamento dei dati personali.
Per ulteriori informazioni:
Avv. Luca Sandri
Studio tributario e legale
P.zza Castello, 21
20121 Milano
e.mail: [email protected]
sito: www.lucasandri.it
GRAZIE
DELL’ASCOLTO