NEWS
Rubrica di informatica e diritto a cura della dott.ssa Loredana NARDUCCI
lunedì 6 novembre 2006
Accordo MICROSOFT-NOVELL su LINUX.
MICROSOFT e NOVELL hanno raggiunto un accordo per rendere più facile l'utilizzo congiunto di WINDOWS e di SuSE LINUX, il sistema operativo offerto da NOVELL. Dopo anni di battaglie Microsoft fornirà agli utilizzatori di Linux, sistema operativo open source che non fa pagare licenze, la possibilità di lavorare su Windows. D'ora in poi coloro che utilizzano sia Windows che SuSE non dovranno temere denunce per violazione dei brevetti da parte di Microsoft.
venerdì 3 novembre 2006
“Craccato” il software Itunes
Superate le protezioni del software Itunes della Apple; i contenuti acquisiti con Itunes potranno, conseguentemente, essere usati non solo con l’Ipod ma anche con altri lettori.
A “craccare” Itunes è stato John Lech Johansen, l’hacker norvegese che in passato era riuscito a superare il sistema anticopia dei DVD.
venerdì 13 ottobre 2006
Divieto di diffusione a società di marketing delle liste elettorali (Circolare Prefettura di Avellino del 06/10/2006).
La prefettura di Avellino ha diramato una circolare che chiarisce la utilizzabilità delle liste elettorali disponibili presso i comuni per i soli fini previsti dalla legge, così come delineati dall’art. 177 co.5 del d.lgs. 196/03 (scopi elettorali, statistici e di studio).
Illegittimi risultano quindi l’utilizzo estremamente diffuso delle liste elettorali per scopi commerciali e pubblicitari e le numerose richieste in tal senso pervenute ai comuni di tutta Italia da parte di alcune società di marketing che, appellandosi alla finalità di ricerca statistica, avrebbero disposto di tali liste.
La prefettura di Avellino ha onerato i richiedenti ad indicare in modo espresso e dettagliato il fine della richiesta avanzata all’ente comunale, demandando a quest’ultimo l’accertamento sulla rispondenza delle finalità alle disposizioni del codice privacy. In caso di dubbio il comune è tenuto a chiedere informazioni in ordine alle finalità perseguite e può anche chiedere di verificare l’atto costitutivo e lo statuto del richiedente per accertare la rispondenza tra l’attività svolta e le finalità perseguite.
martedì 29 agosto 2006
Sicurezza dei bagagli negli aeroporti: sì all’uso delle impronte digitali dei lavoratori ma con precise garanzie (Garante Privacy – newsletter n. 280 del 3 agosto 2006)
Il Garante per la protezione dei dati personali ha autorizzato l’installazione di un sistema biometrico, da parte di una società che svolge attività di movimentazione a terra di merci e passeggeri presso l’aeroporto di Milano-Malpensa, che prevede l’uso delle impronte digitali per l’accesso dei dipendenti in determinate aree del magazzino dove sono depositati beni di particolare valore. Scopo del progetto sottoposto alla verifica preliminare del Garante è quello di garantire la sicurezza dei bagagli e porre fine al perpetrarsi di furti.
L’Autorità garante ha precisato che le impronte digitali potranno essere usate solo per identificare in maniera certa i dipendenti abilitati all’accesso nelle aree riservate e non per la rilevazione delle loro presenze e che è esclusa la creazione di una banca dati centralizzata delle impronte digitali, essendo ammessa la sola lettura dell’impronta memorizzata, sotto forma di codice cifrato, su un badge nell’esclusiva disponibilià del lavoratore. I dati memorizzati, potranno essere conservati per un tempo massimo di sette giorni, trascorsi i quali dovranno essere cancellati automaticamente.
In ogni caso, il trattamento dei dati biometrici è ammesso solo previo consenso del lavoratore e deve essere garantito a chi non aderisce alla rilevazione dell’impronta un sistema alternativo di identificazione
martedì 22 agosto 2006
Qualita' e carte dei servizi di accesso a Internet da postazione fissa (Autorità per la garanzie nelle comunicazioni - Deliberazione n. 131/06)
Considerato che l'art. 1, comma 6, lettera b), n. 2, della legge 31 luglio 1997, n. 249, prevede che l'Autorita' per le garanzie nelle comunicazioni emani direttive concernenti i livelli generali di qualità dei servizi e per l'adozione, da parte di ciascun gestore, di una carta del servizio recante l'indicazione di standard minimi per ogni comparto di attività, è stata approvata dal Garante delle comunicazioni, la direttiva in materia di qualita' e carte dei servizi di accesso a Internet da postazione fissa. La presente direttiva stabilisce le disposizioni ed i criteri specifici relativi alla qualita' ed alle carte dei servizi di accesso a Internet da postazione fissa che le imprese fornitrici di servizi di comunicazione elettronica accessibili al pubblico sono tenute a rispettare, anche al fine di garantire che gli utenti finali abbiano accesso a informazioni complete, comparabili e di facile consultazione. A tal fine, si prevede che l'Autorita' pubblichi nel proprio sito web tabelle comparative di risultati semestrali ed annuali di qualita' di servizio raggiunti dalle imprese fornitrici di servizi di accesso a Internet da postazione fissa e tabelle comparative di prestazioni di base, connesse al servizio di accesso a Internet da postazione fissa, offerte dagli operatori agli utenti finali, comunicati ai sensi della presente direttiva.
venerdì 28 luglio 2006
Firma digitale: in Italia emesse 2,6 milioni di smart-card
In Italia sono state emesse oltre 2,6 milioni di smart-card, il più alto quantitativo a livello europeo e solo nel corso del 2005, sono stati più di 35 milioni i documenti firmati e trasmessi in modo digitale. E’ il risultato del monitoraggio del Cnipa, il Centro Nazionale per l’Informatica nella Pubblica Amministrazione, sui 18 certificatori accreditati.
Il nostro Paese, con la piena applicazione della direttiva UE del 1999, arricchita dall'utilizzo di precise regole e standard stabiliti a livello interno, dimostra che è possibile raggiungere l'interoperabilità ed il conseguente libero scambio dei documenti informatici. Per questo in ambito UE è stata espressa l’intenzione di utilizzare l’esperienza italiana per aggiornare e adeguare la direttiva del 1999 al fine di rilanciare l’uso di questo strumento tecnologico a livello comunitario.
venerdì 21 luglio 2006
Decreto Bersani e liberalizzazione delle professioni (Decreto legge n. 223 del 4.07.2006)
Con decreto legge n. 223 del 4.07.2006 il Governo ha varato la manovra bis dando il via libera alle liberalizzazioni nei settori bancario, assicurativo, ordini professionali, pubblici esercizi, taxi. In particolare, tra le principali misure del provvedimento c'è l'abolizione della tariffa minima per i professionisti, attribuendo al cliente il potere di negoziare la parcella e l'introduzione della possibilità per i liberi professionisti - ad eccezione dei medici nell'esercizio della professione reso nell'ambito del servizio sanitario nazionale o in rapporto convenzionale con lo stesso - di pubblicizzare la propria attività.
giovedì 20 luglio 2006
Tribunale di Chieti: modalità di acquisizione dei file di log da parte della PG (sentenza n. 175 del 30.05.2006)
Il Tribunale di Chieti con la sentenza in epigrafe si è pronunciato sulle modalità di acquisizione dei file di log da parte della polizia giudiziaria. Nel caso di specie, l'imputato è stato assolto dal reato contestato (essersi procurato e aver detenuto abusivamente i codici di accesso al sistema informatico di una società), in quanto la sua responsabilità non era stata pienamente accertata. Il Giudice ha ritenuto le prove acquisite alquanto equivoche, essendosi la Polzia Postale limitata ad acquisire i file direttamente dal provider (che era anche parte offesa), senza alcuna verifica circa le modalità di conservazione degli stessi allo scopo di assicurarne la genuinità e l'attendibilità nel tempo. Considerato che questi dati provenivano dalla stessa persona offesa e che trattasi di dati tecnici di particolare delicatezza e manipolabilità il giudicante ha ritenuto il dato acquisito minimo e del tutto insufficiente a fondare qualsivoglia affermazione di responsabilità al di là del ragionevole dubbio con la conseguenza che il prevenuto è stato assolto con la già annunciata formula.
mercoledì 19 luglio 2006
Obbligo di indicare la partita iva sul sito web (Agenzia delle Entrate, Risoluzione 16.05.2006)
L’Agenzia delle Entrate con risoluzione n. 60/2006, ha precisato che tutti i soggetti titolari di partita iva che possiedono un sto web relativo all’attività esercitata, hanno l’obbligo di indicare sul sito stesso, anche se non utilizzato per il commercio elettronico, la propria partita iva.
mercoledì 19 luglio 2006
Vietato inviare e-mail pubblicitarie senza il preventivo consenso (Garante Privacy, provvedimento del 20.04.2006)
Con provvedimento del 20 aprile 2006, l’Autorità Garante per la protezione dei dati personali ha ribadito, accogliendo il ricorso proposto da una persona infastidita dal ricevimento di posta elettronica non sollecitata da parte di una società che intendeva pubblicizzare la propria attività che, ai sensi dell'art. 130 del Codice Privacy (d.lgs. 196/03), anche un'unica comunicazione effettuata mediante posta elettronica per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale necessita comunque del preventivo consenso dell'interessato e che l'eventuale reperibilità di un indirizzo di posta elettronica sulla rete Internet non lo rende per ciò stesso liberamente disponibile anche per l'invio di comunicazioni elettroniche non sollecitate.
Pagine di Risultato >>
1
2
3
|
|
|
|
|
|
NEWS
Rubrica di informatica e diritto a cura della dott.ssa Loredana NARDUCCI
|
|
|
|
È stato pubblicato sulla Gazzetta Ufficiale del 28 gennaio 2009 n. 22 il Decreto Legge 29 novembre 2008 n. 185, convertito nella Legge 28 gennaio 2009 n. 2, che rende obbligatoria la PEC (Posta Elettronica Certificata).
Ai sensi dell’art. 16, co. 6 del dettato normativo, le imprese costituite in forma societaria sono tenute ad indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese ed entro tre anni dalla data di entrata in vigore del decreto, tutte le imprese saranno tenute a comunicare al registro delle imprese il proprio indirizzo di posta elettronica certificata. L’iscrizione dell’indirizzo di posta elettronica certificata nel registro delle imprese e le sue successive eventuali variazioni sono esenti dall’imposta di bollo e dai diritti di segreteria.
Il termine per adeguarsi è invece di un anno per i professionisti iscritti in albi ed elenchi istituiti con legge dello Stato, che ai sensi del co. 7 del medesimo articolo, debbono comunicare ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata entro un anno dalla data di entrata in vigore del presente decreto; prevede invece il co. 8 che le amministrazioni pubbliche istituiscono una casella di posta certificata per ciascun registro di protocollo (senza che venga stabilito un termine) e ne danno comunicazione al Centro nazionale per l’informatica nella pubblica amministrazione, che provvede alla pubblicazione di tali caselle in un elenco consultabile per via telematica.
Le comunicazioni tra i soggetti di cui ai commi 6, 7 e 8 del presente articolo, che abbiano provveduto agli adempimenti ivi previsti, possono essere inviate attraverso la posta elettronica certificata senza che il destinatario debba dichiarare la propria disponibilità ad accettarne l’utilizzo.
|
|
|
|
Il provvedimento del Garante Privacy del 27 novembre 2008 ha introdotto modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali.
Già con l’art. 29 del decreto legge 25 giugno 2008 come modificato dalla legge di conversione 6 agosto 2008, n. 133, erano state approvate alcune semplificazioni relative ai trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale. Per questi casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. Due le ragioni dello scarso successo della misura di semplificazione: da un lato la platea ristrettissima di soggetti potenzialmente beneficiari, dall’altro l'alto livello di responsabilità anche penale connessa alla dichiarazione sostitutiva di assolvimento degli obblighi di sicurezza, anche considerato che per i non esperti del settore è difficile essere sicuri della regolarità dei trattamenti.
In relazione ai trattamenti sopra menzionati per i quali è stata introdotta l’autocertificazione, ma anche per quelli effettuati da chiunque per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante ha individuato con il provvedimento in discussione nuove modalità volte a semplificare incisivamente l'applicazione di varie regole contenute nell'Allegato B) al Codice Privacy.
Queste le principali novità introdotte.
Fermo restando che come detto sopra per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza, è stata introdotta la possibilità di redigere prima dell'inizio del trattamento un documento programmatico sulla sicurezza dal contenuto semplificato e che deve essere aggiornato entro il 31 marzo di ogni anno solo nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti: le coordinate identificative del titolare del trattamento, e se designati, dei responsabili e degli incaricati del trattamento. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili e degli incaricati designati, potranno essere indicate le modalità attraverso le quali è possibile individuarne l'elenco aggiornato; una descrizione generale del trattamento o dei trattamenti realizzati, le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Tra le maggiori semplificazioni previste per i trattamenti effettuati tramite strumenti elettronici vi è anche la previsione che le istruzioni in materia di misure minime di sicurezza previste dall'Allegato B) possono essere impartite agli incaricati del trattamento oralmente (non è più necessaria la forma scritta), con indicazioni di semplice e chiara formulazione; inoltre, per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (username), associato a una parola chiave (password), in cui l'username venga disattivato quando l'incaricato non ha più titolo per accedere ai dati (trasferimento, cessazione dal servizio). Non si prevede più espressamente l’automatica scadenza dell’username per non uso semestrale, l'obbligo di almeno otto caratteri per la password e l'obbligo di modifica della password con cadenza trimestrale (per i dati sensibili) o semestrale (per i dati comuni). Termini più lunghi sono inoltre previsti per il backup dei dati che non è più obbligatorio settimanalmente ma solo mensilmente e per l’aggiornamento dei programmi di sicurezza che diventa annuale.
Infine, per i trattamenti realizzati senza l'ausilio di strumenti elettronici il provvedimento in materia di semplificazioni dispone che quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione, in modo che a essi non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate; le istruzioni agli incaricati, finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali sono impartite anche solo oralmente.
Se da un lato la semplificazione di alcuni adempimenti appariva opportuna, dall’altro questo nuovo provvedimento del Garante rischia di creare ulteriore confusione, in particolare sui destinatari delle agevolazioni e di svuotare la normativa in materia di protezione dei dati personali. Pertanto è fondamentale che ciascuna organizzazione aziendale e professionale, nell’individuare le misure di sicurezza da adottare, non consideri la normativa in materia di privacy soltanto come un obbligo cui adempiere per il pericolo delle sanzioni, ma si concentri sulle effettive esigenze della propria realtà aziendale con il fine della protezione dei dati personali ed in particolare sensibili.
|
|
|
|
Dal 1° luglio 2008 la fatturazione dettagliata del traffico telefonico conterrà, in assenza di esplicita richiesta di oscuramento con 'asterischi' da parte dell'abbonato, anche l'indicazione delle ultime 3 cifre in chiaro di ciascun numero telefonico chiamato. E' quanto prevede il Provvedimento 13 marzo 2008 (pubblicato in Gazzetta Ufficiale 3 aprile 2008, n. 79) con il quale il Garante della Privacy ha reso più trasparente il rapporto tra gestori telefonici ed abbonati, i quali potranno più facilmente controllare l'esattezza delle chiamate addebitate.
Spetterà alle compagnie telefoniche avvertire i propri clienti attraverso un'idonea informativa da inserire all'interno di almeno due fatture e nel proprio sito web, specificando che tutti gli abbonati che abbiano chiesto o chiederanno la fatturazione dettagliata la riceveranno in chiaro", salvo che non richiedano il mascheramento delle ultime tre cifre.
|
|
|
|
L’art. 616 comma 1 c.p. punisce la condotta di “chiunque prenda cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime”.
Ciò posto, è indiscussa l’estensione della tutela anche alla corrispondenza informatica o telematica (art. 616 comma 4 c.p.); deve tuttavia ritenersi che tale corrispondenza possa essere qualificata come “chiusa” solo nei confronti dei soggetti che non siano legittimati all’accesso ai sistemi informatici di invio o di ricezione dei singoli messaggi. Infatti, diversamente da quanto avviene per la corrispondenza cartacea, di regola accessibile solo al destinatario, è appunto la legittimazione all’uso del sistema informatico o telematico che abilita alla conoscenza delle informazioni in esso custodite. Sicché tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano l’uso degli impianti. E quando in particolare il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongano della chiave informatica di accesso. Anche quando la legittimazione all’accesso sia condizionata, l’eventuale violazione di tali condizioni può rilevare sotto altri profili, ma non può valere a qualificare la corrispondenza come “chiusa” anche nei confronti di chi sin dall’origine abbia un ordinario titolo di accesso.
Nel caso in esame è indiscusso, e ne dà atto lo stesso ricorrente, che le password poste a protezione dei computer e della corrispondenza di ciascun dipendente dovevano essere a conoscenza anche dell’organizzazione aziendale, essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, legittimato a utilizzarla per accedere al computer anche per la mera assenza dell’utilizzatore abituale. Ne consegue che del tutto lecitamente il superiore gerarchio prese cognizione della corrispondenza informatica aziendale della sua dipendente, utilizzando la chiave di accesso di cui legittimamente disponeva. Infatti, secondo le prescrizioni del provvedimento del Garante per la protezione dei dati personali n. 13 dell’1 marzo 2007, i dirigenti dell’azienda accedono legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione.
|
|
|
|
L’evoluzione delle tecniche informatiche e telematiche comporta un incremento continuo di condotte criminose che configurano il delitto di frode informatica previsto all’art. 640 ter del Codice Penale.
Il phishing è un’attività che consiste nell'utilizzo di comunicazioni elettroniche, soprattutto messaggi di posta elettronica o messaggi istantanei, per ottenere l'accesso a informazioni personali o riservate con la finalità del furto d’identità: Lo scopo è quello di carpire informazioni personali riguardanti l’account, le passwords di accesso a servizi di home-banking oppure acquisire fraudolentemente informazioni riguardanti la carta di credito.
Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:
1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio la scadenza dell'account).
3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
4. il link fornito, tuttavia, non porta al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i dati della carta di credito, è quello di visualizzare l'icona a forma di lucchetto in tutti i browser, che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL); la pagina di autenticazione è facilmente imitabile, copiando il relativo codice HTML, mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet. Esistono anche programmi specifici come la barra anti-phishing di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook/Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un'e-mail.
|
|
|
|
|
|
La nostra
proposta per adeguare la tua attività alla nuova normativa.
Scopri
dove siamo e come contattarci.
