Antivirus, non aggiornare è reato

di V. Frediani (Consulentelegaleinformatico.it) - Notificato un avviso di garanzia per il responsabile dei servizi informatici del Comune di Milano. Potrebbe essere condannato per non aver aggiornato le misure di sicurezza

Roma – Qualche anno fa il virus Kamasutra aveva mandato in tilt i PC del Comune di Milano: la questione si era conclusa con una pessima figura del Comune, una multa emanata dall’Autorità Garante in materia di protezione dati personali per omissione di misure di sicurezza (circa 70.000 euro di sanzioni amministrative) ed un termine imposto sempre dal Garante, per effettuare il cosiddetto “ravvedimento”: provvedere alla regolarizzazione degli antivirus entro i tempi imposti dall’Autorità.

Oggi la questione sembra riaprirsi, anzi si riaprono in questo caso le porte del Tribunale Penale di Milano, in quanto un PM piuttosto attento alla materia ha notificato un avviso di garanzia al Responsabile dei sistemi informatici dell’epoca, contestando ben due reati: quello di omissione di controllo delle misure di sicurezza dei sistemi informativi, l’altro consistente in false attestazioni rese al Garante in relazione all’adeguamento alle misure trascorso il termine prescritto dal medesimo Garante per la messa a norma.

Di quali reati stiamo parlando? Stiamo parlando di due reati procedibili di ufficio, presenti nel decreto legislativo 196/2003 (cosiddetto Codice in materia di protezione dati personali) i quali prevedono non poche conseguenze negative in caso di accertamento della responsabilità dei soggetti indagati.

Il reato inerente le misure di sicurezza è citato all’art. 169 del suddetto Codice, il quale prevede espressamente che:
1 – Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro;
2 – All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato.

Ebbene, all’epoca del primo controllo fu impartito al Comune il termine di prescrizione per l’adeguamento, difatti il Responsabile dei sistemi informativi rilasciò poi successivamente al Garante la dichiarazione inerente l’adeguamento avvenuto, evento che evidentemente avrebbe generato la presunta violazione lamentata dal PM ovvero la resa di false attestazioni all’Autorità Garante. Il problema è sorto quando a fine anno passato, proprio l’Autorità ha promosso una verifica presso il Comune, considerata la precedente gravità dei fatti: dall’accertamento è emersa la presenza di antivirus su 7000 e passa client, rispetto ai 10.500 client presenti realmente presso gli uffici del Comune.

È ovvio che ad oggi sotto il profilo penale si sta esclusivamente parlando di una potenziale responsabilità, è pur vero che gli aspetti relativi alla responsabilità penale nell’ambito privacy, vengono fin troppo sottovalutati.

Spesso titolari e responsabili dei trattamenti sono scettici circa i controlli e la concretezza delle responsabilità derivanti in materia di privacy, ritenendo con troppa leggerezza che le misure di sicurezza non a norma oggi, verranno “sistemate” nel tempo. Il tempo è già arrivato, il Codice in materia di protezione dati personali è in vigore dal primo gennaio 2004, le misure di sicurezza, anche se non fossero imposte dal legislatore, dovrebbero essere applicate solo alla luce dell’importanza che i dati rivestono all’interno del settore pubblico o privato: antivirus, password, back-up non dovrebbero trovare imposizione nel Codice privacy, dovrebbero essere una premura dei titolari del trattamento, adottando semplicemente una diligenza media.

E soprattutto in caso di outsourcing nella gestione delle misure di sicurezza, sarebbe opportuno effettuare controlli ed avere riscontri circa la veridicità delle misure adottate. Resta inteso che realtà estese come possono essere quelle dei Comuni o altri enti che contano più di 10.000 client, avrebbero dovuto “spalmare” l’impegno economico ed organizzativo della messa a norma negli anni subito successivi all’entrata in vigore del Codice. Oggi questo ancora in molte strutture non avviene, ma non c’è più nessuna scusante… O è privacy o non è privacy!

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • punto informatic o scrive:
    http://punto-informatico.it/captcha.aspx
    http://punto-informatico.it/captcha.aspx?2e377c8e-0da9-4c00-98d9-0543f2229940
  • jimmy3dita scrive:
    Mercato Mobile
    Con una tastiera davanti e' inutile o quasi, ma con un cellulare si fa molto prima a ruotare un'immagine!-----------------------------------------------------------Modificato dall' autore il 21 aprile 2009 15.45-----------------------------------------------------------
  • djechelon scrive:
    Ruotare in maniera naturale...?
    Ho un dubbio: Raccolta Foto Windows Live ha un algoritmo che ruota le foto per "raddrizzarle" automaticamente in modo da compensare l'errore introdotto da una fotografia non fatta con cavalletto e livella.Non è che si tratta di una validissima misura anti-CAPTCHA?
  • Federico scrive:
    L'ennesima fesseria
    Le captcha normali non si leggono e sono inutilizzabili per alcuni ipovedenti. Quand'anche si leggano, spesso è difficile distinguere la o dallo 0 e la I dalla l, per non parlare delle lettere che potrebbero essere g ma anche q, j ma anche 1 o i o 2 o chissà che altro. Anzi è perfino difficile scrivere "captcha".Le captcha leggibili ma ruotate mi sembrano un'idiozia. La sicurezza non c'è: qualsiasi sistema decente di riconoscimento ottico legge senza il minimo problema un testo ruotato. In più saranno comunque difficili da leggere.Se proprio uno vuole usare le misure antispam (che nel 99.999% dei casi non sono necessarie, ma capisco che vanno di moda, un po' come l'emo) può sempre farle testuali:"Quanto fa uno + 100?"Sono aggirabili anche così, qualora dovessero diffondersi, ma ci vuole meno tempo a rispondere a una domanda del genere che a copiare una captcha. Inoltre questa idea (non mia, già usata per esempio da indymedia) consente mille possibili variazioni che rendono difficile l'aggiramento, forse quasi quanto aggirare una captcha.
    • scorpioprise scrive:
      Re: L'ennesima fesseria
      - Scritto da: Federico

      Le captcha leggibili ma ruotate mi sembrano
      un'idiozia. La sicurezza non c'è: qualsiasi
      sistema decente di riconoscimento ottico legge
      senza il minimo problema un testo ruotato. In più
      saranno comunque difficili da
      leggere.
      quello che vogliono far loro è prendere un'immagine e fartela ruotare fintanto che non è dritta (leggi il pdf in uno dei link dell'articolo). Il computer può non capire com'è dritta, ma un umano "tendenzialmente" si :-D
      • Nicola scrive:
        Re: L'ennesima fesseria

        Il computer può non capire com'è dritta, ma un umano "tendenzialmente" Quindi c'è un umano a Google che verifica che tu abbia ruotato correttamente l'immagine.. :-)
    • macno scrive:
      Re: L'ennesima fesseria
      Se uno prima di mettere mano ai tasti leggesse con attenzione: non viene ruotato un testo ma una figura.scarica il pdf
    • imki scrive:
      Re: L'ennesima fesseria
      L'ennesimo fesso...
    • Furaglia scrive:
      Re: L'ennesima fesseria
      - Scritto da: Federico
      Le captcha leggibili ma ruotate mi sembrano
      un'idiozia. La sicurezza non c'è: qualsiasi
      sistema decente di riconoscimento ottico legge
      senza il minimo problema un testo ruotato. chi XXXXX ha parlato di TESTO ruotato?e poi leggilo l'articolo: dice che ciò che è facilmente riconoscibile dallo STATO DELL'ARTE DEI RICONOSCITORI è stato SCARTATOIn più
      saranno comunque difficili da
      leggere.vanno VISTI, non letti leggi il testo linkato nell'articolo, non sparare a zero
      Inoltre questa idea (non mia, già usata
      per esempio da indymedia) consente mille
      possibili variazioni che rendono difficile
      l'aggiramento, forse quasi quanto aggirare una
      captcha.leggiquelloche scrivel'articoloe i link
  • Fuksia scrive:
    Grande G
    Se BigG faceva schifo, "La Grande G" è perfino ridicolo.Ma chiamarla "Google" è troppo poco trendy?
  • barra78 scrive:
    Mitico
    Bel titolo :D
Chiudi i commenti