HOME PRIVILEGIA NE
IRROGANTO
di Mauro
Novelli Documenti
d’interesse
Inserito 30-12-2006
Da
il Sole 24 Ore 30 dicembre 2006
Sicurezza
informatica, una questione anche legale di Gianni Rusconi
Le minacce per la sicurezza dei dati aziendali
sono una priorità assoluta per i responsabili dei sistemi informativi. A
maggior ragione perché le stesse non arrivano solo dal Web, ma anche da
comportamenti incauti, abusivi e talvolta anche volutamente scorretti dei
dipendenti. Esiste quindi un modello perfetto per tutelarsi da appropriazioni
indebite di bit salvaguardando nel contempo i diritti dei lavoratori? Ribadito
il concetto, e lo affermano tutti report delle
principali società del settore, che gli attacchi informatici perpetuati
attraverso la Rete sono oggi finalizzati a catturare informazioni a scopo di
lucro o di estorsione, non va dimenticato che la problematica della security si allarga anche alla sfera normativa, alle
implicazioni legali che l’adozione o meno di particolari policy
aziendali possono generare. Vi sono, per essere concreti,
limiti o divieti circa il controllo dell’utilizzo di Internet e della posta
elettronica da parte dei lavoratori? L’ordinamento italiano regolarizza
l’adozione di soluzioni o apparati dediti alla protezione dei sistemi
informativi aziendali da attacchi informatici o da altre violazioni? Domande a cui può rispondere solo un esperto di diritto
informatico e per questo il Sole24ore.com ha chiesto lumi in materia a Gabriele
Fagioli, avvocato di Milano, nonché docente al Mip –
Politecnico di Milano e presidente dell’Angap
(Associazione Nazionale Garanzia della Privacy), che con lo specialista Websense ha prodotto un dettagliato “white
paper” inerente le implicazioni legali della Web security.
In Italia abbiamo una legislazione ad hoc dedicata alla sicurezza
informatica?
Dal 1993, quando furono introdotte le prime normative in materia di crimini
informatici (L. 547/93, ndr), a oggi è
avvenuta una vera e propria rivoluzione nel settore del diritto delle nuove
tecnologie. Nel corso degli anni l’evoluzione tecnologica ha determinato
l’introduzione di nuovi concetti giuridici e relativi nuovi
articoli del codice penale dedicati a frode informatica, virus, posta
elettronica, nuove forme di licenza del software.
L’ordinamento giuridico italiano è, secondo lei, adeguato rispetto
alla complessità del problema?
Premesso che tecnologie e mercati si evolvono molto più velocemente del
diritto e che i possibili danni derivanti da problematiche legate all’It sono difficilmente quantificabili con criteri certi,
ritengo che la legge del 1993, con tutti gli interventi di modifica
apportati, sia attuale. Qualcosa da rivisitare c’è
ma di fatto si è raggiunta la quadratura del cerchio e siamo
anche in linea con il quadro normativo internazionale, a sua volta evolutosi
con le direttive in materia di Information Technology emanate dal
Per un’azienda è un fattore prioritario conoscere i risvolti legali
legati all’adozione di soluzioni di sicurezza?
Innanzitutto è vitale che comprendano i comportamenti informatici dei
propri addetti e che individuino le eventuali falle del sistema. Al momento di
implementare una policy di sicurezza è bene
che conoscano anche le sfumature di legge.
Quali sono le maggiori difficoltà che incontrano le aziende italiane
circa gli aspetti legali della security?
Sono varie e variegate. Dalla scarsa conoscenza delle norme applicabili
all’esistenza di errate prassi consolidate, dalla limitata attenzione verso
alcune previsioni contrattuali alla mera paura delle sanzioni penali, dalla
scarsa percezione del rischio di infezioni alla carenza di
gestione strutturata da parte dei fornitori di soluzioni It
e di servizi di telecomunicazione.
Cosa dice la legge in fatto di misure minime di sicurezza da adottare?
La normativa in materia di dati personali impone ai titolari del trattamento
degli stessi l’adozione di misure idonee a ridurre al
minimo i rischi di distruzione o perdita anche parziale dei dati. È
prescritto l’utilizzo di sistemi di autenticazione, di autorizzazione, di
soluzioni antivirus e di protezione da intrusioni maligne e anche di soluzioni
di sicurezza volte a evitare o prevenire la commissione di reati da parte dei
dipendenti, come il download di file a contenuto pedopornografico o lo scambio di file audio e video
protetti da diritto d’autore. In linea generale si può affermare che
un’azienda può controllare il pc di un
dipendente per prevenirne gli abusi ma non può
fare di questa attività un utilizzo distorto e finalizzato al
monitoraggio della prestazione lavorativa.
I comportamenti dei dipendenti chiamano in causa il fattore privacy: la
normativa abbraccia tutti i possibili aspetti della questione?
Il decreto legislativo 196/2003, denominato anche Codice della privacy,
disciplina in dettaglio le misure minime e idonee di sicurezza a protezione dei
dati personali trattati con sistemi informatici, la responsabilità
civile in capo all’azienda quale persona giuridica, le sanzioni penali e
amministrative, le procedure di controllo dei lavoratori. Va detto in aggiunta
che la casistica penale è ancora limitata e che la generalizzata scarsa
competenza nell’utilizzo del computer è spesso fonte di violazioni
involontarie. Entrano in gioco quindi valutazioni e interpretazioni differenti
circa le lesività o meno di alcuni
comportamenti, il fatto che siano dolosi, la soglia etica dell’accesso a
Internet, le dinamiche di utilizzo di gruppo degli
strumenti informatici.
Potrebbe sintetizzare l’atteggiamento ideale che le aziende dovrebbero avere
verso il problema nel suo complesso?
Il legislatore e il garante fissano diritti e doveri per lavoratori e aziende.
Ciò che è auspicabile e opportuno è una linea di condotta
equilibrata fra corretta interpretazione delle norme e utilizzo delle risorse e
funzionalità tecnologiche.
Come potrebbe cambiare il quadro normativo esistente fra tre/cinque anni?
In futuro è lecito pensare che vi saranno
ancora più restrizioni a livello di misure di sicurezza da adottare ma
difficilmente le nuove norme fisseranno nuove previsioni penali. Occorrerà garantire sempre e comunque massima
corrispondenza fra i parametri regolatori e i dettami che regolano i diritti
del lavoratore.