01. Il quadro normativo

La normativa relativa all'Information Tecnology (IT) non è organica e i provvedimenti sono spesso contraddittori.

Schematicamente i provvedimenti normativi possono essere classificati in:

• • Disciplina sulle frodi e crimini informatici;

  • Tutela della riservatezza;

  • Disciplina della sicurezza per la Pubblica Amministrazione;

  • Tutela del diritto d'autore.

Frodi informatiche

La frode informatica è definita da un apposito articolo di legge del codice penale (art. 640 ter) nei seguenti termini:

chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032.

Tra le varie fattispecie di reato informatico sono contemplate le seguenti tipologie:

• • Numerazione a valore aggiunto: si ha quando, dalla postazione di un utente e a sua insaputa, sono generate connessioni tramite numerazioni a pagamento.

  • Furto di identità: si ha quando si acquisiscono abusivamente le altrui credenziali di accesso ad un servizio informatico. Tra le pratiche più utilizzate si cita il phishing, che consiste nell'indurre l'utente a consegnare informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

  • Violazione del profilo: consistente nell'utilizzare abusivamente il profilo di una piattaforma informatica appartenente ad un differente utente. Esempi di violazione si possono avere su Social Network, su siti di commercio elettronico ecc..

  • Impedimento o interruzione illecita di servizi informatici: in questi casi speciali programmi appositamente scritti per stressare un sistema informatico sono introdotti illecitamente in sistemi vulnerabili allo scopo di rallentare o bloccare alcuni servizi resi dal sistema. Questo tipo di violazione è detta DoS (Denial of Service). Anche l'abuso dello SPAM configura questo reato perché rende di fatto inutilizzabile il servizio, ad esempio di posta elettronica.

  • Danneggiamento di sistemi informatici: questi reati vengono attuati tramite speciali programmi di classe malware, ed hanno lo scopo di creare danni di varia natura al sistema informatico che li ospita. I malware includono i virus (che hanno la caratteristica di diffondersi velocemente inserendosi in programmi o documenti), gli spyware (in grado di raccogliere e diffondere dati riservati), i trojan (che danno accesso, da remoto, al sistema che li ospita) ecc..

Privacy

La riservatezza dei dati personali è argomento del decreto legislativo n. 196/2003, denominato Codice in materia di protezione dei dati personali. Esso sancisce: chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Successivamente, il 4 maggio 2016 è stato pubblicato sulla Gazzetta ufficiale dell'Unione Europea il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679), che è in vigore a partire dal 25 maggio 2018.

Infine il codice della privacy n. 196/2003 è stato aggiornato per recepire le nuove direttive del GDPR. Il testo coordinato è scaricabile al seguente link.

Il codice definisce i termini su cui operare al fine di garantire la privacy degli utenti, fornendo una serie di indicazioni tecniche e operative indirizzate alle organizzazioni pubbliche e private.

E-government

Una importante applicazione di questioni legate alla sicurezza informatica riguarda le attività digitali della Pubblica Amministrazione (PA), attività note con la locuzione e-government.

Con e-government o amministrazione digitale si intende l’utilizzo delle tecnologie dell’informazione e della comunicazione (ICT) nei processi amministrativi attraverso cui la PA si propone di rendere più efficiente l’azione della pubblica amministrazione. L'obiettivo è di migliorare la qualità dei servizi pubblici erogati ai cittadini e diminuire i costi per la collettività.

L'ente preposto a queste funzioni è l'Agenzia per l'Italia Digitale (AgID).

Gli aspetti fondamentali che un sistema di e-government deve normare includono:

• • Valore giuridico dei documenti informatici: stabilire i criteri tecnici secondo i quali la forma digitale di un documento sia garantita originale e di equivalente valore giuridico dell'omologo cartaceo;

  • Valore giuridico delle comunicazioni elettroniche: stabilire i criteri secondo i quali la comunicazione in rete tra PA e cittadino sia considerata giuridicamente valida;

  • Garanzia dell'accesso ai documenti e alla trasparenza degli atti amministrativi: stabilire i criteri di autenticazione informatica affinché sia possibile l'accesso sicuro alla documentazione digitale della PA;

  • Dematerializzazione progressiva dei documenti amministrativi: con questa locuzione si vuole indicare il progressivo incremento della gestione documentale informatizzata all'interno della Pubblica Amministrazione e la sostituzione dei supporti tradizionali della documentazione amministrativa in favore del documento informatico.

Nel 2014 è stato introdotto il Regolamento Europeo eIDAS (electronic IDentification Authentication and Signature) con l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri. Il regolamento è in vigore dal 2016.

In questo ambito un ruolo rilevante svolge la firma elettronica che rappresenta una evoluzione in ambito digitale di quella che storicamente è la firma autografa.

La firma autografa apposta su un documento ha lo scopo di attestarne la provenienza fino a querela di falso, cioè fino quando non se ne accerti la falsità con un procedimento processuale civilistico. Naturalmente l'aver accertato la provenienza di un documento tramite la firma nulla ha a che fare con le genuinità del contenuto.

In ambito digitale la firma elettronica non coincide con la trasposizione grafica della firma autografa su un documento digitale. L'eventuale presenza di questo tratto grafico su un documento digitale può costituire un riscontro visivo utile ma non ha alcun significato da un punto di vista probatorio.

Da un punto di vista normativo si distinguono tre differenti tipologie di firme elettroniche, che hanno differente valenza in sede di giudizio.

• • Firma elettronica semplice: è definita dal nostro ordinamento come quell’insieme di dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e usati dal firmatario per firmare.

Esempi di documenti digitali firmati con questa modalità possono essere i messaggi di posta elettronica o i moduli "strutturati" presenti sui portali web accessibili dopo autenticazione con username password.

Questa tipo di firma è la più debole in ambito informatico, in quanto non prevede di per sé meccanismi di autenticazione del firmatario né di verifica di integrità del dato firmato. L'efficacia di questo mezzo di firma è valutata dal giudice in sede di giudizio caso per caso.

• Firma elettronica avanzata: è definita come l'insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

Esempi di firma elettronica avanzata sono:

• la firma grafometrica, che si appone con un pennino su un apposito dispositivo (tipo tablet), in grado di rilevare alcuni tratti qualificanti e distintivi come la velocità di esecuzione e la pressione;

• la posta certificata.

La firma elettronica avanzata ha la stessa efficacia di una scrittura privata sottoscritta con firma autografa.

• Firma elettronica qualificata: ha tutte le caratteristiche della firma elettronica avanzata, è creata su un dispositivo qualificato ed è basata su un certificato elettronico qualificato.

La firma elettronica qualificata ha effetto giuridico equivalente a quello di una firma autografa.

La firma digitale è una particolare firma qualificata che si basa sulla crittografia asimmetrica ed è quella in uso in Italia.

Nei rapporti del cittadino con la Pubblica Amministrazione veste un ruolo fondamentale l'identificazione certa dell'utente. A tale scopo in Italia è stato implementato SPID (Sistema Pubblico di Identità Digitale), in coerenza con quanto previsto dal Regolamento Europeo eIDAS. Questo sistema consente un riconoscimento unificato a livello europeo da parte di soggetti pubblici e privati che aderiscono al sistema.

L'identità SPID si ottiene facendone richiesta a uno degli Identity Provider (gestori di identità digitale), che è possibile scegliere liberamente fra quelli autorizzati dall'AgID.

L'autenticazione con SPID si declina in tre livelli di sicurezza delle credenziali, a seconda della tipologia di servizio:

• Primo livello: il riconoscimento avviene attraverso un nome utente e una password scelti dall'utente;

• Secondo livello: il riconoscimento richiede l'accesso con nome utente e password più un codice temporaneo di accesso (one-time password), fornito tramite SMS o app (autenticazione a due fattori o forte);

• Terzo livello: oltre al nome utente e la password, richiede un supporto fisico per l'identificazione, ad esempio una smart card.

In ossequio al principio di neutralità tecnologica l'identità digitale del cittadino può essere verificata con altri due meccanismi alternativi a SPID, noti come CIE e CNS.

CIE si riferisce alla Carta di Identità Elettronica che prevede l'accoppiamento con l'app CieID su smartphone, tramite il PIN e PUK della carta.

CNS si riferisce invece alla Carta Nazionale dei Servizi rilasciata dalla Camera di Commercio tramite un dispositivo fisico consistente in una PenDrive o una smartcard. Essa è integrata nelle Tessere Sanitarie dotate di microchip.

CNS include un certificato che consente di implementare la firma digitale. Per l'uso è indispensabile disporre di un apposito lettore e richiede l'abilitazione del servizio tramite un PIN e un PUK da richiedere.

Diritto d'autore

Sul diritto d'autore in rete la giurisprudenza è complessa e va oltre gli obiettivi di queste pagine che si interessano in modo particolare della sicurezza.

Si segnala, tuttavia, che sull'argomento si è espressa l'AGCOM (Autorità per le Garanzie nelle Comunicazioni) nel dicembre 2013.

Il regolamento AGCOM dà a chiunque la possibilità di rivendicare la paternità di un contenuto pubblicato da qualcun altro. A ricevere la segnalazione sono i funzionari dell’Ufficio diritti digitali dell'AGCOM: a loro il compito, nel caso in cui ritengano plausibile la violazione, di inviare al gestore della pagina che ospita il contenuto incriminato, alla piattaforma o all'utente, definito uploader, che lo ha caricato una richiesta di rimozione spontanea del contenuto. Per farlo ci sono 5 giorni di tempo, stesso periodo a disposizione per rispondere all'AGCOM difendendo le proprie ragioni. Se questo non avviene, parte l'istruttoria al termine della quale, se viene verificata l’effettiva colpevolezza da parte dell'Autorità garante, scatta l’ordine di rimozione selettiva del contenuto o la richiesta di oscuramento della pagina.

Sito: 7ecnologie

Sezione: 14. Sicurezza informatica

Capitolo: 01. Il quadro normativo

Indice dei capitoli: 00. Risorse - 01. Il quadro normativo - 02. Crittografia - 03. Protocolli per la sicurezza - 04. Applicazioni e Servizi - 98. Esercizi