| |
|
|
|
|
|
|
NEWS
Rubrica di informatica e diritto a cura della dott.ssa Loredana NARDUCCI
|
|
|
|
È stato pubblicato sulla Gazzetta Ufficiale del 28 gennaio 2009 n. 22 il Decreto Legge 29 novembre 2008 n. 185, convertito nella Legge 28 gennaio 2009 n. 2, che rende obbligatoria la PEC (Posta Elettronica Certificata).
Ai sensi dell’art. 16, co. 6 del dettato normativo, le imprese costituite in forma societaria sono tenute ad indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese ed entro tre anni dalla data di entrata in vigore del decreto, tutte le imprese saranno tenute a comunicare al registro delle imprese il proprio indirizzo di posta elettronica certificata. L’iscrizione dell’indirizzo di posta elettronica certificata nel registro delle imprese e le sue successive eventuali variazioni sono esenti dall’imposta di bollo e dai diritti di segreteria.
Il termine per adeguarsi è invece di un anno per i professionisti iscritti in albi ed elenchi istituiti con legge dello Stato, che ai sensi del co. 7 del medesimo articolo, debbono comunicare ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata entro un anno dalla data di entrata in vigore del presente decreto; prevede invece il co. 8 che le amministrazioni pubbliche istituiscono una casella di posta certificata per ciascun registro di protocollo (senza che venga stabilito un termine) e ne danno comunicazione al Centro nazionale per l’informatica nella pubblica amministrazione, che provvede alla pubblicazione di tali caselle in un elenco consultabile per via telematica.
Le comunicazioni tra i soggetti di cui ai commi 6, 7 e 8 del presente articolo, che abbiano provveduto agli adempimenti ivi previsti, possono essere inviate attraverso la posta elettronica certificata senza che il destinatario debba dichiarare la propria disponibilità ad accettarne l’utilizzo.
|
|
|
|
Il provvedimento del Garante Privacy del 27 novembre 2008 ha introdotto modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali.
Già con l’art. 29 del decreto legge 25 giugno 2008 come modificato dalla legge di conversione 6 agosto 2008, n. 133, erano state approvate alcune semplificazioni relative ai trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale. Per questi casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. Due le ragioni dello scarso successo della misura di semplificazione: da un lato la platea ristrettissima di soggetti potenzialmente beneficiari, dall’altro l'alto livello di responsabilità anche penale connessa alla dichiarazione sostitutiva di assolvimento degli obblighi di sicurezza, anche considerato che per i non esperti del settore è difficile essere sicuri della regolarità dei trattamenti.
In relazione ai trattamenti sopra menzionati per i quali è stata introdotta l’autocertificazione, ma anche per quelli effettuati da chiunque per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante ha individuato con il provvedimento in discussione nuove modalità volte a semplificare incisivamente l'applicazione di varie regole contenute nell'Allegato B) al Codice Privacy.
Queste le principali novità introdotte.
Fermo restando che come detto sopra per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza, è stata introdotta la possibilità di redigere prima dell'inizio del trattamento un documento programmatico sulla sicurezza dal contenuto semplificato e che deve essere aggiornato entro il 31 marzo di ogni anno solo nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti: le coordinate identificative del titolare del trattamento, e se designati, dei responsabili e degli incaricati del trattamento. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili e degli incaricati designati, potranno essere indicate le modalità attraverso le quali è possibile individuarne l'elenco aggiornato; una descrizione generale del trattamento o dei trattamenti realizzati, le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Tra le maggiori semplificazioni previste per i trattamenti effettuati tramite strumenti elettronici vi è anche la previsione che le istruzioni in materia di misure minime di sicurezza previste dall'Allegato B) possono essere impartite agli incaricati del trattamento oralmente (non è più necessaria la forma scritta), con indicazioni di semplice e chiara formulazione; inoltre, per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (username), associato a una parola chiave (password), in cui l'username venga disattivato quando l'incaricato non ha più titolo per accedere ai dati (trasferimento, cessazione dal servizio). Non si prevede più espressamente l’automatica scadenza dell’username per non uso semestrale, l'obbligo di almeno otto caratteri per la password e l'obbligo di modifica della password con cadenza trimestrale (per i dati sensibili) o semestrale (per i dati comuni). Termini più lunghi sono inoltre previsti per il backup dei dati che non è più obbligatorio settimanalmente ma solo mensilmente e per l’aggiornamento dei programmi di sicurezza che diventa annuale.
Infine, per i trattamenti realizzati senza l'ausilio di strumenti elettronici il provvedimento in materia di semplificazioni dispone che quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione, in modo che a essi non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate; le istruzioni agli incaricati, finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali sono impartite anche solo oralmente.
Se da un lato la semplificazione di alcuni adempimenti appariva opportuna, dall’altro questo nuovo provvedimento del Garante rischia di creare ulteriore confusione, in particolare sui destinatari delle agevolazioni e di svuotare la normativa in materia di protezione dei dati personali. Pertanto è fondamentale che ciascuna organizzazione aziendale e professionale, nell’individuare le misure di sicurezza da adottare, non consideri la normativa in materia di privacy soltanto come un obbligo cui adempiere per il pericolo delle sanzioni, ma si concentri sulle effettive esigenze della propria realtà aziendale con il fine della protezione dei dati personali ed in particolare sensibili.
|
|
|
|
Dal 1° luglio 2008 la fatturazione dettagliata del traffico telefonico conterrà, in assenza di esplicita richiesta di oscuramento con 'asterischi' da parte dell'abbonato, anche l'indicazione delle ultime 3 cifre in chiaro di ciascun numero telefonico chiamato. E' quanto prevede il Provvedimento 13 marzo 2008 (pubblicato in Gazzetta Ufficiale 3 aprile 2008, n. 79) con il quale il Garante della Privacy ha reso più trasparente il rapporto tra gestori telefonici ed abbonati, i quali potranno più facilmente controllare l'esattezza delle chiamate addebitate.
Spetterà alle compagnie telefoniche avvertire i propri clienti attraverso un'idonea informativa da inserire all'interno di almeno due fatture e nel proprio sito web, specificando che tutti gli abbonati che abbiano chiesto o chiederanno la fatturazione dettagliata la riceveranno in chiaro", salvo che non richiedano il mascheramento delle ultime tre cifre.
|
|
|
|
L’art. 616 comma 1 c.p. punisce la condotta di “chiunque prenda cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime”.
Ciò posto, è indiscussa l’estensione della tutela anche alla corrispondenza informatica o telematica (art. 616 comma 4 c.p.); deve tuttavia ritenersi che tale corrispondenza possa essere qualificata come “chiusa” solo nei confronti dei soggetti che non siano legittimati all’accesso ai sistemi informatici di invio o di ricezione dei singoli messaggi. Infatti, diversamente da quanto avviene per la corrispondenza cartacea, di regola accessibile solo al destinatario, è appunto la legittimazione all’uso del sistema informatico o telematico che abilita alla conoscenza delle informazioni in esso custodite. Sicché tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano l’uso degli impianti. E quando in particolare il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongano della chiave informatica di accesso. Anche quando la legittimazione all’accesso sia condizionata, l’eventuale violazione di tali condizioni può rilevare sotto altri profili, ma non può valere a qualificare la corrispondenza come “chiusa” anche nei confronti di chi sin dall’origine abbia un ordinario titolo di accesso.
Nel caso in esame è indiscusso, e ne dà atto lo stesso ricorrente, che le password poste a protezione dei computer e della corrispondenza di ciascun dipendente dovevano essere a conoscenza anche dell’organizzazione aziendale, essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, legittimato a utilizzarla per accedere al computer anche per la mera assenza dell’utilizzatore abituale. Ne consegue che del tutto lecitamente il superiore gerarchio prese cognizione della corrispondenza informatica aziendale della sua dipendente, utilizzando la chiave di accesso di cui legittimamente disponeva. Infatti, secondo le prescrizioni del provvedimento del Garante per la protezione dei dati personali n. 13 dell’1 marzo 2007, i dirigenti dell’azienda accedono legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione.
|
|
|
|
L’evoluzione delle tecniche informatiche e telematiche comporta un incremento continuo di condotte criminose che configurano il delitto di frode informatica previsto all’art. 640 ter del Codice Penale.
Il phishing è un’attività che consiste nell'utilizzo di comunicazioni elettroniche, soprattutto messaggi di posta elettronica o messaggi istantanei, per ottenere l'accesso a informazioni personali o riservate con la finalità del furto d’identità: Lo scopo è quello di carpire informazioni personali riguardanti l’account, le passwords di accesso a servizi di home-banking oppure acquisire fraudolentemente informazioni riguardanti la carta di credito.
Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:
1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio la scadenza dell'account).
3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
4. il link fornito, tuttavia, non porta al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i dati della carta di credito, è quello di visualizzare l'icona a forma di lucchetto in tutti i browser, che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL); la pagina di autenticazione è facilmente imitabile, copiando il relativo codice HTML, mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet. Esistono anche programmi specifici come la barra anti-phishing di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook/Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un'e-mail.
|
|
|
|
|
|
|
|
