Videosorveglianza nei condomini

La crescente sensazione di insicurezza percepita dai cittadini, unita alla continua riduzione dei prezzi dei prodotti elettronici, ha portato una quantità sempre maggiore di soggetti privati a fare ricorso a sistemi di videosorveglianza per tutelare il proprio ambito personale e patrimoniale.
Se, inizialmente, il frequente ricorso alle telecamere era appannaggio dei proprietari di villette e case isolate, da diversi anni, ormai, anche sui pianerottoli dei palazzi hanno fatto la loro comparsa gli “occhi elettronici”, ampliando il già nutrito numero di controversie di natura condominiale.
Che il condominio non sia il posto migliore per rilassarsi è ormai noto.
Ma che potesse, proprio in tale ambito, verificarsi un consistente contenzioso causato da un sostanziale vuoto normativo ancora da colmare, sicuramente nessuno poteva aspettarselo.
Occorre, quindi, quantomeno, esaminare gli aspetti essenziali della materia per cercare di trovare una soluzione temporanea, in attesa del sospirato intervento legislativo. Che, si spera, non proceda a confondere maggiormente gli interessati…

Rispettare le regole del Garante
Chi intende installare una telecamera di videosorveglianza per proteggere dalle aggressioni il proprio patrimonio o i propri cari, dovrebbe teoricamente rispettare alcune regole, dettate dal Garante con le proprie linee guida, ed essere formalmente a posto con la legge.
Tra le principali, occorre ricordare che:
a) l’angolo di ripresa non deve eccedere il trattamento necessario a tutelare un legittimo interesse
b) il trattamento deve essere finalizzato alla sicurezza patrimoniale e personale
c) deve essere data idonea informativa agli interessati prima che entrino nel raggio di azione delle telecamere
d) la conservazione deve essere limitata nel tempo a un massimo di 24 ore
e) l’adozione di idonee misure di sicurezza.
E i contrasti non sorgono solo tra i condomini, ma, evidentemente, anche tra gli operatori del diritto.
Lo specifico tema della sorveglianza delle aree comuni negli edifici è già stato oggetto di una duplice segnalazione, da parte del Garante Privacy, al Parlamento e al Governo, da ultimo con le linee guida sulla videosorveglianza datate 8 aprile 2010, affinché, stante l’assoluta carenza di regolamentazione in materia, provvedessero a sanare la situazione con un intervento normativo.
Infatti, in tale materia sorge, innanzitutto, la difficoltà nell’individuare il titolare del trattamento, potendosi verificare la duplice situazione dell’impianto installato dal singolo condomino e di quello installato dal condominio su deliberazione dell’assemblea.

Inadeguatezza del corpus normativo sul condominio
L’attuale corpus normativo sul condominio non consente di individuare con certezza neppure i soggetti titolari del diritto di voto in assemblea, potendo, teoricamente, essere interessati all’installazione di un impianto condominiale tanto i proprietari quanto gli inquilini – e per motivi diversi tra loro.
Così come ciascuno di essi può essere controinteressato, in qualità di soggetto passivo del trattamento, e, quindi, avere diritto di opporsi all’installazione.
Analogamente, potrebbe vantare il diritto di opporsi al trattamento chiunque frequenti abitualmente l’edificio per vincoli familiari o per ragioni di lavoro.
Occorrerebbe, infine, stabilire, da parte dell’assemblea, che tipo di deliberazione risulterebbe necessario adottare, nelle distinte ipotesi di installazione di un impianto condominiale o di autorizzazione/nulla osta rilasciata a un impianto privato: se a maggioranza, eventualmente qualificata, ovvero all’unanimità.
Le modalità di installazione potrebbero, perfino, integrare il delitto di interferenza illecita nella vita privata ex art. 615 bis cod. pen., qualora la zona sottoposta a controllo risultasse, anche solo in parte, uno spazio di pertinenza di un altro soggetto (ad esempio, un giardino o cortile interno).
Nell’esaminare le singole situazioni che possono manifestarsi, è, poi, necessario procedere alla valutazione degli interessi contrapposti: da un lato, l’esigenza di preservare la sicurezza di persone e la tutela di beni privati o comuni; dall’altro, il timore di poter essere controllati e analizzati proprio all’interno del condominio, ove si svolge con maggiore frequenza la vita privata di un soggetto.
Una consapevolezza che potrebbe incidere su abitudini e stili di vita individuali e familiari, venendo a mancare, per gli interessati, la libertà di movimento e di iniziativa, sia in relazione al loro domicilio che agli spazi condominiali.
Sarebbe, infatti, agevole, per chi avesse la possibilità di accedere ai dati registrati dal sistema, conoscere gli orari di entrata e uscita dei singoli condomini, gli sport e gli hobby che praticano, le persone cui si accompagnano, i vestiti che indossano più frequentemente, gli acquisti che fanno e così via.
Una situazione, quindi, oltremodo delicata da affrontare, che potrebbe vertere sull’opportunità di sottoporre a sorveglianza anche il pianerottolo su cui affaccia il singolo appartamento, piuttosto che l’androne nel quale abitualmente vengono riposte le biciclette dei condomini.

Le sentenze recenti
Il Tribunale di Salerno ha affrontato la problematica nel dicembre del 2010 incentrando l’attenzione soprattutto sul profilo attivo del trattamento, ossia sull’esatta individuazione del soggetto che potesse correttamente qualificarsi “titolare del medesimo” La questione posta all’attenzione del collegio verteva sulla possibilità di individuare come titolare l’assemblea condominiale, trattandosi dell’organo teoricamente deputato a decidere sull’eventuale installazione di un sistema di videoregistrazione.
Secondo il giudice campano, la decisione non rientra tra i compiti dell’assemblea, poiché “lo scopo della tutela dell’incolumità delle persone e delle cose dei condomini, cui tende l’impianto di videosorveglianza, esula dalle attribuzioni dell’organo assembleare”.
Analogamente, la Cassazione aveva ritenuto, il 20 aprile 1993, con Sentenza n. 4631, che la delibera istitutiva di un servizio di vigilanza armata, per la tutela dell’incolumità dei partecipanti, perseguisse finalità estranee alla conservazione e gestione delle cose comuni e dovesse, pertanto, essere annullata.
Il Tribunale di Salerno ha, quindi, evidenziato come l’assemblea di condominio non possa in alcun modo essere individuata come legittimo titolare del trattamento dei dati personali, non essendo altro che un organo di amministrazione del condominio, attraverso il quale i proprietari delle singole unità immobiliari disciplinano l’utilizzo e la conservazione delle parti comuni.
Non potrebbe, quindi, essere, in nessun caso, titolare del trattamento dei dati personali degli interessati che dovessero entrare nel raggio di azione delle telecamere, poiché le sue competenze sono limitate dai poteri conferiti dal codice civile e non possono invadere la sfera dei diritti individuali dei singoli condomini o di qualsiasi altro soggetto controinteressato. Interpretazione discutibile.
Una possibile soluzione potrebbe trovarsi nell’adozione di una delibera all’unanimità, che, tuttavia, risolverebbe solo l’eventuale conflitto in seno all’assemblea, mentre resterebbe precluso ai conduttori degli immobili, ad esempio, il potere di incidere sulla decisione. Secondo altra pronuncia giurisprudenziale relativamente recente (Trib. Varese, 16 giugno 2011, n. 1273), neppure il privato avrebbe la facoltà di installare un sistema di videoregistrazione in ambito condominiale, al fine di riprendere gli spazi comuni. Contrariamente a quanto evidenziato dal Tribunale di Salerno, secondo il Tribunale di Varese potrebbe, tuttavia, procedere il condominio, nell’ipotesi di consenso all’unanimità dell’assemblea, potendosi rilevare, in tal caso, il perfezionamento di “un consenso comune atto a fondare effetti tipici di un negozio dispositivo dei diritti coinvolti”.
Anche tale soluzione, tuttavia, non convince appieno, pur potendosi considerare la più valida per evitare conseguenze di natura civile e penale.
Sono, infatti, esclusi dalla decisione tutti quei soggetti che sono ugualmente – e forse anche maggiormente – interessati all’utilizzo degli spazi comuni e dovrebbero essere coinvolti nell’adozione di una simile decisione.
Almeno in sede penale, la questione sembra risolta positivamente, dato che la Corte di Cassazione, con Sentenza n. 44156 del 26.11.2008, ha affermato che “non commette il reato di cui all’articolo 615-bis del codice penale (interferenze illecite nella vita privata) il condomino che installi per motivi di sicurezza, allo scopo di tutelarsi dall’intrusione di soggetti estranei, alcune telecamere per visionare le aree comuni dell’edificio (come un vialetto e l’ingresso comune dell’edificio), anche se tali riprese sono effettuate contro la volontà dei condomini, specie se i condomini stessi siano a conoscenza dell’esistenza delle telecamere e possano visionarne in ogni momento le riprese”.
Da ultimo, il Tribunale di Monza, con la Sentenza n. 1087/2012, sembra confermare l’impostazione data alla materia dalle precedenti pronunce di merito, nel senso di escludere la titolarità del trattamento in capo all’assemblea condominiale, affermando, anzi, che la stessa non avrebbe neppure quello di vietare a un singolo condominio l’installazione di telecamere di videosorveglianza.

La soluzione della Corte di Cassazione: pro e contro
La soluzione preferibile appare, quindi, quella delineata dalla Corte di Cassazione: il condomino ha pieno diritto di agire in assoluta autonomia, senza dover acquisire alcuna autorizzazione assembleare, attenendosi alle disposizioni del Codice della Privacy.
Dovrà, pertanto, dare ampia informazione dell’installazione agli altri condomini, eventualmente avvisando della stessa proprio l’assemblea e ottenendo una sorta di “nulla osta” da quest’ultima.
Dovrà apporre i cartelli necessari ad allertare gli interessati che stanno entrando nel raggio di azione della telecamera, avendo cura di renderli visibili anche nelle ore notturne e di impostare l’angolo di ripresa in modo tale che non vada a incidere su parti private, evitando l’installazione di telecamere motorizzate, dotate di brandeggio e zoom, ove non indispensabili, poiché potrebbero consentire un utilizzo illecito delle stesse.
Dovrà, infine, utilizzare, in caso di videoregistrazione, un impianto dotato di sovrascrittura automatica delle informazioni alla scadenza delle 24 ore dalla ripresa, ovvero motivare le ragioni per le quali ritiene di dover adottare un termine di conservazione dei dati maggiore.Il problema, dunque, sembrerebbe risolto nel senso di lasciar spazio all’iniziativa del singolo, negandola all’assemblea, ma, a ben vedere, la soluzione appare incompleta e irragionevole: se il singolo condomino può installare un sistema di videosorveglianza senza che l’assemblea possa opporsi a tale decisione, a maggior ragione il condominio, riunito in assemblea, dovrebbe poter dare mandato all’Amministratore al fine di provvedere all’installazione di un sistema di videosorveglianza volto a tutelare le parti comuni e i condomini stessi dall’azione di eventuali malintenzionati.
La circostanza che l’assemblea sia l’organo di gestione delle parti comuni, oltre a essere riduttiva (perché sarebbe più corretto parlare di tutela degli interessi comuni), non esclude che nell’ambito della gestione delle parti comuni rientri anche l’installazione di un sistema di videosorveglianza delle stesse, rispetto al quale titolare del trattamento sarebbe il condominio, nella persona del suo legale rappresentante.

Fonte: Sicurezza magazine

Videosorveglianza nei luoghi di lavoro: il consenso esclude l’illecito

Con la Sentenza n. 22611 dell’11 giugno 2012, la Corte Suprema di Cassazione, Sezione III Penale, ha scritto i titoli di coda di un procedimento iniziato diversi anni prima, conclusosi in primo grado con la condanna di un’azienda, ritenuta responsabile di avere installato un sistema video che inquadrava i dipendenti senza averne concordato le modalità con la rappresentanza sindacale aziendale o con la commissione interna. E senza averne comunque dato comunicazione, in assenza di detti accordi, alla locale Direzione Provinciale del Lavoro.

Quello pervenuto all’attenzione della Corte di Cassazione è un fenomeno relativamente diffuso, che spesso ha avuto semplicemente l’esito di veder rimuovere alcune telecamere – se non l’intero impianto – su sollecitazione delle rappresentanze sindacali o di veder sanzionare l’azienda in sede amministrativa, per la mancata sottoscrizione dell’accordo o la mancata comunicazione al competente Ufficio del Lavoro.
Occorre, invero, ricordare che, all’inizio degli anni ’70, gli impianti di videosorveglianza venivano installati solo dalle aziende di maggiori dimensioni, a supporto della sorveglianza fissa o itinerante, per evitare che la semplice osservazione dei turni delle ronde potesse favorire eventuali malintenzionati nell’aggressione al patrimonio aziendale.
Si trattava di impianti analogici, con riprese in bassa risoluzione e solitamente in bianco e nero, oltremodo costosi per essere alla portata di commercianti, professionisti e piccole imprese.
Con l’abbattimento dei costi derivante dall’avvento del digitale, in pochi anni si è passati – al contrario – a un tipo di installazione “modaiola”, in cui si è persa di vista l’esigenza della tutela del patrimonio aziendale, per dare spazio a un confronto a distanza tra imprenditori che ricordava la corsa all’acquisto delle autovetture di grossa cilindrata o allo yacht aziendale.
Solo alla fine degli anni ’90 – con la presa di coscienza dei rischi legati alla digitalizzazione e alla diffusione dei dati video e, soprattutto, alla crescente possibilità di acquisire immagini a colori, in alta risoluzione, e di procedere al controllo remoto delle apparecchiature – l’art. 4 dello Statuto dei Lavoratori ha mostrato tutta la sua lungimiranza e sono iniziati i contenziosi, sfociati anche in procedimenti penali come quello in esame.

Condotta illecita se  l’impianto non viene dichiarato
Per tornare al caso pervenuto all’attenzione della Corte di Cassazione, secondo l’accusa, l’impianto consentiva al datore di lavoro, almeno potenzialmente, di controllare a distanza l’operato dei suoi dipendenti, in chiara violazione dell’art. 4 dello Statuto dei Lavoratori (L. 300/1970), che prevede il divieto di installare impianti di videosorveglianza, dai quali possa derivare il controllo a distanza dei lavoratori, senza il preventivo consenso delle rappresentanze sindacali o della commissione interna.
La tesi del difensore muoveva, invece, le basi da un documento, sottoscritto da tutti i dipendenti, con il quale il titolare li aveva portati a conoscenza dell’esistenza dell’impianto di videosorveglianza e della collocazione delle telecamere.
Trattandosi di installazione alla quale tutti i dipendenti avevano prestato assenso – puntualmente segnalata con i cartelli che indicavano la presenza delle telecamere – risultava quantomeno difficile ipotizzare che il datore di lavoro, dolosamente, intendesse controllare da remoto i propri dipendenti.
Ferme restando le possibili censure in sede amministrativa sulla collocazione delle telecamere e sulle modalità operative dell’impianto, dal punto di vista penale occorre rilevare se vi fosse l’elemento psicologico dell’aver agito con coscienza e volontà di ledere la dignità del dipendente, effettuandone il controllo a distanza.
Analizzando l’art. 4 citato, si rileva la necessità della coesistenza di due distinti elementi, per poter concretizzare l’illiceità della condotta del datore di lavoro: la possibilità che l’impianto possa essere utilizzato per il controllo a distanza dei lavoratori; la mancanza di informazione ai lavoratori.
Quanto al primo elemento, è opportuno rilevare come – secondo la Corte – occorra una possibilità, anche solo potenziale, di adibire l’impianto al controllo a distanza dei dipendenti.
Sarebbero, quindi, da evitare soluzioni che prevedano l’utilizzo di videoregistratori consultabili da remoto, privi di credenziali di accesso al sistema, per l’evidente difficoltà di operare un qualsiasi controllo sull’eventuale accesso non autorizzato, o comunque illecito, ai dati contenuti nel DVR, da parte del datore di lavoro come di ogni altro soggetto (dirigenti, capi reparto, ecc.) che potrebbe essere interessato a farlo per censurare la condotta di un dipendente.
Nel contempo, tuttavia, per schedare una condotta come illecita, è anche necessario che l’impianto non sia stato dichiarato, ovvero che i dipendenti (o le loro rappresentanze) non siano stati portati a conoscenza della sua esistenza.
Questo è il passaggio messo in rilievo dalla Suprema Corte, che ha negato la rilevanza penale del solo potenziale lesivo dell’installazione, dovendosi comunque ritenere illecita solo la condotta chiaramente preordinata al trattamento dei dati, in assenza di qualsiasi comunicazione o informazione ai diretti interessati.

Acquisizione del consenso di tutti i dipendenti
Durante l’esame del fascicolo processuale è emerso che, pur in assenza di una formale autorizzazione della rappresentanza sindacale o della commissione interna, vi fosse agli atti un documento, sottoscritto da tutti i dipendenti, con il quale gli stessi venivano informati dell’esistenza dell’impianto e del collocamento delle telecamere, al quale prestavano assenso.
Telecamere collegate a un impianto che, peraltro, risultava anche conforme al provvedimento generale sul trattamento dei dati tramite sistemi di videosorveglianza reso dal Garante Privacy e diffusamente segnalato all’interno dell’azienda con i cartelli adeguati al modello indicato dall’Autorità.
Il punto cruciale della decisione della Corte di Cassazione è risultato essere l’acquisizione del consenso di tutti i dipendenti che, secondo il Supremo Collegio, rende inutile la pronuncia di un organo rappresentativo, dato che il consenso di quest’ultimo sarebbe comunque di minore rilevanza rispetto all’assenso dato dalla totalità dei lavoratori.
Del resto – evidenzia la Corte – non essendovi disposizioni di alcun tipo che disciplinino l’acquisizione del consenso, un diverso opinare, in un caso come quello in esame, avrebbe un taglio di formalismo estremo, tale da contrastare con la logica.
Del resto, dalla lettura del testo normativo, appare evidente come le forme di controllo che l’art. 4, L. 300/70, intende prevenire e reprimere siano quelle occulte o subdole, che minano il rapporto di fiducia tra azienda e lavoratore e che, soprattutto, si sostanziano in una lesione della dignità dello stesso, ridotto a mera espressione di mercificazione del lavoro.

Telecamere utili al dipendente, non solo al datore di lavoro
Violare la dignità del dipendente significa privarlo di quella minima discrezionalità in ambito lavorativo che consente ragionevoli pause di lavoro o temporanei allontanamenti dalla postazione, quand’anche scambio di chiacchiere tra colleghi o momenti di semplice rilassamento o rallentamento dell’attività, che non incidono sul rendimento e sul rapporto di fiducia con l’azienda.
Un controllo a distanza che consentisse di censurare anche il dipendente che si reca in bagno o che scambia due chiacchiere con un collega, renderebbe la vita in azienda impossibile.
Più in generale, è da considerare illecito qualsiasi tipo di controllo a distanza che induca nel lavoratore la sindrome del pesce rosso, perché intrinsecamente disumano.
Ma occorre non confondere la tecnologia con l’intento lesivo del datore di lavoro che è animato da intenzioni vessatorie.
L’impianto di videosorveglianza non ha necessariamente una funzione di controllo a distanza, che – anzi – può essere addirittura esclusa con una regolamentazione dell’accesso ai dati che escluda a priori il datore di lavoro dalla visione delle immagini, delegandola, ad esempio, a terzi.
Al contrario, un’installazione che abbia lo scopo di tutelare il patrimonio aziendale e la sicurezza del lavoratore, dev’essere non solo tollerata ma finanche incentivata, poiché garantisce il bene aziendale e quindi gli interessi di entrambi, lavoratore e datore di lavoro.
Semmai, occorre interrogarsi sulle forme di controllo reciproco che potrebbero essere implementate, affinché il datore di lavoro non possa abusare dello strumento tecnologico e il lavoratore non possa strumentalizzare l’esistenza dell’impianto per rivendicazioni che non hanno senso.
Una telecamera in grado di rilevare situazioni anomale su postazioni a rischio, o la presenza di calore eccessivo negli ambienti di lavoro, o l’esistenza di fiamma viva, o la presenza di un corpo a terra in caso di edificio invaso dal fumo, è senz’altro più utile al lavoratore di quanto possa esserlo al datore di lavoro.
E’ quindi corretto, e anzi auspicabile – e questo è il senso della pronuncia della Corte di Cassazione – che il datore di lavoro dia la massima pubblicità in azienda alla volontà di installare un sistema di videosorveglianza, concordandone le modalità di installazione e di operatività con metodi democratici e coinvolgendo i dipendenti nella collocazione stessa delle telecamere.
Da un lato, per ottenere il miglior risultato dal punto di vista operativo, dall’altro per creare un clima di fiducia – e non di rassegnazione – nei confronti di uno strumento che tutela anche il lavoratore da incidenti e aggressioni.

Fonte: Sicurezza magazine

Il Tar Piemonte annulla il Regolamento anti slot

Il Tar Piemonte (Sez. II), con sentenza n. 513 del 2011 pubblicata il 20 maggio 2011 (che non mancherà di far discutere, per gli aspetti morali della vicenda), ha annullato il regolamento approvato dal Comune di Verbania con delibera del Consiglio Comunale 30 maggio 2005, n. 86, evidenziando, sostanzialmente, che il Comune non ha competenza in materia di sicurezza e ordine pubblico, riservata invece allo Stato.

In realtà, la situazione è leggermente più complessa di come liquidata dal Collegio Piemontese, dato che la fattispecie sanzionata dall’art. 110 Tulps ha natura plurioffensiva, e tutela anche il bene giuridico della sanità pubblica, inteso come interesse del Comune (Autorità di Pubblica Sicurezza in materia sanitaria) a tenere sotto controllo il fenomeno delle ludopatie o sindromi connesse alla dipendenza da gioco.

Non a caso, l’art. 86 Tulps prevede che sia il Comune a procedere al rilascio della licenza per l’installazione degli apparecchi da intrattenimento negli esercizi commerciali, e l’art. 110 Tulps pone incapo al Comune l’onere di sospendere / revocare la licenza in caso di condanna per le violazioni ivi previste.

Probabilmente il provvedimento del Comune ha prestato il fianco alla pesante censura del Tribunale Amministrativo per un’errata impostazione della parte motiva, che ha incentrato l’attenzione sul problema dell’ordine pubblico e non su quello della tutela sanitaria. Il risarcimento consegue all’accoglimento del ricorso, poiché con il nuovo processo amministrativo il Tar procede autonomamente al ristoro del danno da lesione di interessi legittimi. Evidentemente la Società ricorrente ha ben documentato il pregiudizio subito.

Fonte: Leggi Oggi

Microsoft e Skype

La notizia, per gli addetti ai lavori, non è sconvolgente per il prezzo stratosferico che l’azienda di Redmond è disposta a pagare per quello che viene considerato uno dei migliori programmi al mondo per il Voice over IP e la videoconferenza a basso costo (8,5 miliardi di dollari), ma per le conseguenze che potrebbe avere sulla riservatezza delle comunicazioni.

Fino ad oggi, il team di Skype aveva sempre rifiutato di cedere alle pressioni dei vari governi, che chiedevano la consegna del codice sorgente dell’applicativo per consentire le intercettazioni da parte delle Forze dell’Ordine e dei Servizi Segreti, paventando un possibile uso per finalità criminali e terroristiche del sistema di comunicazione interpersonale.

Chi ricorda la polemica di una decina di anni fa, scatenata dalla scoperta di una presunta backdoor all’interno di Windows, che avrebbe consentito alla NSA di accedere a qualsiasi elaboratore dotato del sistema operativo Microsoft, indipendentemente dalle misure di protezione adottate, comprenderà che il rischio di una compromissione del codice di Skype, da parte del colosso di Redmond, è tutt’altro che peregrina, trattandosi di azienda certamente più sensibile, rispetto agli attuali proprietari di Skype, alle esigenze del Governo e delle Agenzie che garantiscono la sicurezza dei cittadini statunitensi.

Il controllo a distanza, del resto, venne ipotizzato dalla NSA già alla fine degli anni 80, con il famigerato clipper chip, che avrebbe dovuto consentire la decodifica di qualsiasi trasmissione protetta, da parte del Governo degli Stati Uniti, grazie ad un chip decodificatore da installare su qualsiasi apparato di comunicazione. Il progetto fu abbandonato nel 1996 per gli elevatissimi costi di realizzazione e per l’inutilità dell’implementazione, poiché i vecchi apparati sarebbero stati comunque sicuri e dato che, nel frattempo, si stava affermando la comunicazione per via telematica.

La questione ripropone, in realtà, l’antico dilemma del bilanciamento di interessi tra la tutela della riservatezza delle comunicazioni e le pur legittime esigenze di prevenzione dei crimini e del terrorismo, ed è comprensibile, in considerazione della primaria importanza della tutela della sicurezza nazionale, che un’azienda come Microsoft collabori con il Governo Statunitense per simili finalità. Resta tuttavia il rischio di un abuso del sistema di intercettazione implementato nel software da parte degli addetti ai lavori, che, come accaduto – in tempi neppure troppo remoti – con un noto operatore delle comunicazioni italiano, potrebbero utilizzare per finalità illecite le conversazioni acquisite con il procedimento di decodifica delle trasmissioni – finora sicure – di Skype.

Ed è un problema che si ripropone ogni qualvolta un software dedicato alla sicurezza dei dati e delle comunicazioni, gestito da un team di esperti indipendenti, viene acquistato da una società commerciale.

In definitiva, in attesa di conoscere l’esito delle analisi alle quali, i soliti esperti indipendenti, certamente sottoporranno le nuove versioni di Skype, è preferibile attendere prima di aggiornare la versione attualmente installata.

Fonte: Leggi Oggi

Cassazione: tavoli da poker leciti

169/2011: il numero di una Sentenza della Corte Suprema di Cassazione che farà discutere, perchè in evidente contrasto con la nota circolare dell’Amministrazione Autonoma dei Monopoli di Stato (1325/Strategie del 3.5.2010) che, interpretando le norme in materia di giochi leciti, aveva sostanzialmente impedito – improvvisamente – di installare tavoli elettronici da poker nei locali pubblici; business sul quale in molti avevano puntato ed investito somme ingenti.

La Corte, sostanzialmente, annulla un provvedimento del Tribunale di Treviso che aveva confermato il sequestro di un tavolo da poker in un esercizio commerciale, rilevando che la presunzione di liceità derivante dall’aver utilizzato un gioco autorizzato dallo Stato non può essere superata da una semplice ipotesi investigativa, ma deve essere supportata da concreti elementi di prova, che nel caso di specie sembrano mancare.

Una pronuncia che conferma l’orientamento dottrinale secondo il quale la Legge, attualmente, non vieta l’uso dei tavoli da poker on line nei locali pubblici, ma l’utilizzo di apparecchiature telematiche ai concessionari che non sono autorizzati alla raccolta on line.

Come spesso accade, dopo la pubblicazione della suddetta circolare, erano iniziati sequestri a macchia di leopardo su tutto il territorio nazionale, da parte della Guardia di Finanza, per la presunta violazione della Legge 401/1989, che avevano ovviamente colpito soprattutto i concessionari autorizzati alla raccolta di gioco on line.

Molte erano state, immediatamente, le perplessità degli addetti ai lavori, soprattutto in riferimento al bene giuridico da tutelare.

L’installazione dei tavoli elettronici da poker, all’interno dei locali pubblici, non sembrava in contrasto con le norme del settore, considerando che le piattaforme di gioco per il poker on line sono certificate all’origine da Sogei, la Società Generale d’Informatica che supporta l’Amministrazione dei Monopoli di Stato nella scelta dei giochi leciti. A ciò si aggiunge la circostanza che il poker, in modalità torneo (sia dal vivo che on line), non è considerato un gioco d’azzardo, ma un gioco di abilità, e che i concessionari hanno investito nel settore ritenendo il mercato libero e non contingentato, mentre con una simile preclusione probabilmente avrebbero valutato diversamente l’iniziativa.

Inoltre, abbastanza discutibile appariva la scelta di tutelare il cittadino vietando l’uso dei tavoli nei locali pubblici, dove il controllo da parte delle Forze dell’Ordine è certamente più incisivo che, ad esempio, a casa o negli Internet Point, dove anche l’esercente non ha alcun titolo per controllare l’attività svolta in Rete dal cliente.

Una sentenza che chiarisce i dubbi degli operatori e costringe l’Amministrazione dei Monopoli ad una riflessione sul mondo dei giochi.

Fonte: Leggi Oggi

Diffusione di foto private su Internet

Recentemente ho seguito un caso di diffusione di foto private su Internet, che mi ha fatto riflettere non poco sull’esigenza di trovare una nuova dimensione alla disciplina della riservatezza dei dati personali; non perchè il D.Lgs. 196/2003 non sia sufficientemente articolato, ma in quanto praticamente sconosciuto alla Magistratura.

Con una querela, la Signora Maria (il nome è ovviamente di fantasia) chiedeva all’Autorità Giudiziaria di perseguire e punire il proprio ex fidanzato, ritenuto responsabile di aver immesso su Internet alcune foto che la ritraevano durante l’intimità, scattate, pur con il consenso della vittima, durante i loro rapporti.

Al termine della relazione, anzichè provvedere alla loro cancellazione, Mario (anche qui un nome di fantasia) li memorizzava su un cd, che successivamente smarriva, ma del quale non denunciava la scomparsa (queste, almeno, le sue dichiarazioni durante il dibattimento).

Le indagini non consentivano di accertare la fonte dell’immissione in rete del materiale fotografico, e la Procura decideva comunque di procedere nei confronti di Mario, ritenuto l’unico soggetto sospettabile.

Maria si sarebbe aspettata una condanna, che invece non c’è stata, per un’errata impostazione del capo di imputazione da parte del Pubblico Ministero.

L’aver contestato il solo reato di interferenze illecite nella vita privata non ha permesso di pervenire ad una condanna nei confronti di Mario, sostanzialmente per due motivi: il primo, a causa del metodo di diffusione delle foto, tramite un circuito di file sharing, che non consente di risalire ali autori della prima condivisione; il secondo, per il consenso di Maria alla realizzazione delle foto.

Se la Procura avesse correttamente impostato il processo sul trattamento illecito di dati personali, certamente il processo si sarebbe concluso con la dichiarazione della penale responsabilità di Mario, perchè la violazione della norma sarebbe stata parte integrante della condotta di aver conservato le foto senza custodirle adeguatamente.

La legge sulla privacy, infatti, pur non essendo applicabile all’uso esclusivamente personale dei dati, fa salva l’eccezione della comunicazione e diffusione, nel qual caso il titolare del trattamento (Mario, in questo caso) ha comunque l’obbligo di osservare le misure di sicurezza prescritte dal Codice.

Per sua stessa ammissione, Mario aveva smarrito il cd contenente le foto di Maria, e non l’aveva cifrato (la cifratura è obbligatoria per i dati sensibili, come quelli attinenti la sfera sessuale della persona).

Era quindi responsabile dell’omessa adozione delle misure di sicurezza previste dal Codice a prescindere da una sua responsabilità per la materiale diffusione delle foto. La sola circostanza che la diffusione fosse avvenuta comportava la sua responsabilità.

Per motivi che non è dato conoscere, nonostante le insistenze della difesa, il Pubblico Ministero (di fresca nomina e troppo presuntuoso per accettare consigli) ha tratto a giudizio Mario solo per le interferenze illecite nella vita privata, con il bel risultato di non soddisfare la legittima richiesta di Maria, rimasta sola con i suoi problemi e la sua vergogna.

Casi analoghi accadono quotidianamente su Facebook, su MySpace, su YouTube, su eMule e su altri sistemi di condivisione delle informazioni; ma ad essere impreparata, sempre più spesso, non è la legge, anzi, fin troppo articolata, bensì gli operatori del diritto che dovrebbero applicarla.

Viene spontaneo chiedersi se non sarebbe ora, tra le tante riforme preannunciate, di pensare ad una specializzazione dei Tribunali per sezioni, onde evitare che sul tavolo dello stesso Giudice, nella stessa giornata, arrivino fascicoli relativi al pascolo abusivo, alle frodi informatiche, alla rapina e alla violazione urbanistica.

Fonte: Leggi Oggi

Regole certe per l’acquisizione delle prove di natura informatica

La sentenza del tribunale di Chieti n. 175 del 2006, porta nuovamente alla ribalta i problemi connessi all’acquisizione probatoria nel settore informatico. Problemi che non sono, come potrebbe apparire ad una prima e superficiale analisi, dettati da norma incomplete o inadeguate, bensì dalla scarsa dimestichezza degli operatori del diritto con le tecnologie vecchie e nuove, problema che non riguarda solo le forze dell’ordine e la magistratura ma anche buona parte del mondo forense.

Il magistrato, sostanzialmente, manda assolto l’imputato per il mancato raggiungimento della prova in ordine alla sua colpevolezza, rilevando che l’acquisizione dei file di log fatta mediante semplice richiesta della polizia giudiziaria al provider che detiene tale elemento di natura informatica (il quale, peraltro, era parte offesa) non sia compatibile con il codice di rito.
Le norme procedurali di riferimento sono quelle che normalmente impegnano gli addetti ai lavori, e le operazioni che concretamente occorre effettuare delimitano la scelta alle ipotesi dell’accertamento tecnico ripetibile o irripetibile, con la non secondaria facoltà, in tal ultimo caso, di richiedere l’incidente probatorio, ove una delle parti abbia interesse.

p style=”text-align: justify;”>L’acquisizione di un file di log ha obiettivamente le caratteristiche di un accertamento tecnico non ripetibile, giacché l’elemento è per sua natura soggetto a continua mutazione (viene aggiornato in continuazione dal sistema) ed impone quindi il ricorso ai criteri di cui all’art 360 c.p.p., soprattutto in tale situazione, ove anche un’acquisizione legittimamente eseguita lascerebbe permanere comunque dubbi sulla genuinità degli elementi raccolti, essendo questi ultimi nella materiale disponibilità della parte offesa.
E infatti è appena il caso di evidenziare che, se vi sono regole che stabiliscono i tempi di conservazione di alcuni tipi di dati, nessuna norma detta regole tecniche per detta conservazione, che garantiscano l’immodificabilità dei dati ad opera dell’amministratore di sistema e la possibilità di ricostruire l’attività svolta su tali elementi.

p style=”text-align: justify;”>In assenza di regole di storage che diano certezza dell’integrità del file rispetto alle sue condizioni originali, la ricostruzione di quanto effettivamente accaduto su un sistema informatico in un dato momento appare quantomeno inattendibile, giacché anche la parte offesa potrebbe costruire ad arte le prove e sottoporle alla polizia giudiziaria, indipendentemente dalla presenza del difensore.
Se a ciò si aggiunge che l’atto è comunque irripetibile, per i motivi già esposti, e che in dibattimento giungerebbe, in ogni caso, solo una copia meccanica dell’elemento originale, senza garanzie di integrità, appare evidente come, in fase di acquisizione, si debba quantomeno far ricorso ai criteri di cui all’art. 360 e ad un procedimento di firma elettronica del file oggetto di sequestro, che garantisca i diritti e le facoltà delle parti.

p style=”text-align: justify;”>E’ quindi sacrosanto il principio sancito dal magistrato di Chieti, che non ha fatto altro che applicare norme processuali che, stranamente, vengono messe in discussione solo quando si opera nel settore informatico, proprio a causa della scarsa conoscenza dell’elemento tecnico.

Fonte: Interlex

Email e aziende

Con ordinanza del 15 maggio 2002, il Giudice per le Indagini Preliminari del Tribunale di Milano ha rigettato l’opposizione all’archiviazione promossa da una dipendente licenziata dal proprio datore di lavoro, a seguito di controlli operati sulla mailbox aziendale assegnatale per l’espletamento delle proprie mansioni, poiché da tali controlli era emerso che la stessa seguiva, per proprio conto, altri progetti, probabilmente in concorrenza con quelli dell’azienda da cui dipendeva.

L’interessata aveva proposto formale denuncia-querela ritenendo che la condotta dell’azienda fosse riconducibile alla violazione dell’art. 616 c.p., e sostenendo che la corrispondenza contenuta nella mailbox è sostanzialmente equiparabile a quella epistolare, telegrafica, telefonica ovvero effettuata con ogni altra forma di comunicazione, la cui segretezza è garantita dall’art. 15 della Costituzione.

Aveva eccepito, inoltre, l’insussistenza della scriminante dell’esercizio di un diritto o dell’adempimento di un dovere di cui all’art. 51 c.p., non essendovi alcuna ragione, a parere della stessa, per accedere alla predetta mailbox, durante il periodo feriale estivo.

L’azienda, al contrario, aveva basato la propria giustificazione sulla necessità di verificare che nella mailbox non fossero pervenute e-mail urgenti, la cui mancata consultazione avrebbe potuto in qualche modo pregiudicare gli interessi dei clienti affidati alla dipendente o quelli dell’azienda stessa.

In data 21.1.02 il P.M., accogliendo le difese della Società, aveva quindi richiesto l’archiviazione del procedimento ritenendo le caselle di posta elettronica “…strumenti di lavoro della società, soltanto in uso ai singoli dipendenti per lo svolgimento dell’attività aziendale ad essi demandata…” e considerando, pertanto, che la titolarità di detti spazi potesse inequivocabilmente essere riconducibile alla predetta società. Contro detta richiesta di archiviazione la dipendente aveva proposto opposizione.

Nel corso dell’esame della fattispecie, il GIP di Milano ha posto l’accento su diverse argomentazioni degne di nota, che risultano pienamente condivisibili.

A parere del magistrato, benché non possa dubitarsi del fatto che l’indirizzo di posta elettronica affidato in uso al lavoratore, di solito accompagnato da un qualche identificativo più o meno esplicito, abbia carattere personale – nel senso cioè che lo stesso viene attribuito al singolo lavoratore per lo svolgimento delle proprie mansioni – appare altrettanto evidente che “personalità” dell’indirizzo non significa necessariamente “privatezza” del medesimo, dal momento che, ad eccezione di ipotesi particolari, la e-mail concessa al dipendente per lo svolgimento delle proprie mansioni (nomedipendente@azienda.it) resta comunque un bene aziendale, come tale accessibile ai soggetti autorizzati e al datore di lavoro.

Del resto, si giungerebbe a conclusioni irragionevoli qualora si accogliesse la tesi della riservatezza della mailbox assegnata alla dipendente, poiché, in caso di assenza di quest’ultima (per malattia, gravidanza, puerperio, formazione, dimissioni, ecc.), l’azienda dovrebbe rassegnarsi a perdere la corrispondenza ivi pervenuta, con conseguenze certamente negative per l’attività svolta.

Secondo il magistrato, dovendosi assicurare continuità all’attività aziendale, così come non è configurabile un diritto del lavoratore ad accedere in via esclusiva al computer aziendale, allo stesso modo non è ipotizzabile un diritto all’utilizzo esclusivo di una casella di posta elettronica aziendale.

Pertanto, il lavoratore che utilizza per fini propri la casella di posta elettronica aziendale accetta implicitamente il rischio che anche altri lavoratori della medesima azienda possano visionare la sua posta elettronica.

Il concetto non appare irragionevole. L’utilizzo di un computer aziendale è assimilabile all’uso di qualsiasi altro mezzo, come il telefono cellulare o l’autovettura di servizio.

Così come tali beni non possono essere utilizzati dal dipendente per fini propri (ad es.: per chiamare la fidanzata o per accompagnare i figli a scuola), allo stesso modo la mailbox aziendale non dovrebbe essere utilizzata per la corrispondenza personale.

Diverso è il discorso qualora, attraverso l’utilizzo di log di sistema, il datore di lavoro ricostruisca UserId e Password di una mailbox privata del dipendente (nome.cognome@hotmail.com) ed acceda a quest’ultima. In tal caso sarebbe certamente censurabile il comportamento adottato dal datore di lavoro, in sede civile e penale, trattandosi di casella di posta elettronica non aziendale e quindi assolutamente assimilabile alla buca delle lettere in cui si trova la corrispondenza privata.

Nel caso di specie, l’indirizzo della dipendente risultava essere “nomedipendente@azienda.it”, come tale chiaramente individuabile nella sua natura di bene aziendale, per il quale, come giustamente osservato dal GIP di Milano, l’uso di UserId e Password per proteggere la mailbox non sono finalizzati a tutelarne al riservatezza, bensì ad impedire l’accesso a persone non autorizzate, in applicazione dei principi della 675/96 e del DPR 318/99, che impongono tali accorgimenti tecnici a tutela della riservatezza dei clienti e di ogni altro soggetto di cui l’azienda tratti i dati (non certo della corrispondenza dei dipendenti che usano, anzi abusano, della mailbox).

Che non sia necessario informare il dipendente del divieto di utilizzare la mailbox aziendale per la propria corrispondenza elettronica è abbastanza evidente, giacché si potrebbe semmai contestare al dipendente un uso illecito del bene aziendale e procedere nei suoi confronti in sede disciplinare, al pari dell’uso della connessione Internet per visitare siti porno o consultare le quotazioni dei propri titoli di borsa, o dell’uso dell’auto aziendale per portare i figli a scuola.

Ciò che stupisce, del clamore suscitato dalla suddetta ordinanza, anche tra gli operatori del diritto, è che improvvisamente, regole di normale e pacifica applicazione nel mondo materiale, divengono di difficile interpretazione se riferite alle nuove tecnologie (occorre peraltro stabilire quando una tecnologia possa dirsi “nuova”, visto che il primo messaggio di posta elettronica ha viaggiato in rete nel 1959).

L’uso (o, meglio, l’abuso) di risorse tecnologiche aziendali, al pari di altri mezzi più “obsoleti” come vetture e telefoni, è da sempre tollerato dal datore di lavoro, anche per quieto vivere, ma ciò non consente al lavoratore di accampare diritti su un comportamento comunque illecito. Gli stessi comportamenti, peraltro, nella pubblica amministrazione costituiscono una specifica condotta delittuosa (art. 314 c.p. – Peculato), qualificata come reato proprio, in quanto sussistente se attuata da un pubblico ufficiale o da un incaricato di pubblico servizio.

L’e-mail, in sostanza, costituisce un semplice strumento aziendale messo a disposizione dell’utente-lavoratore al solo fine di consentirgli lo svolgimento delle proprie mansioni. Pertanto, come ogni altro strumento di lavoro fornito dal titolare, rimane nella completa e totale disponibilità del medesimo, senza alcuna limitazione, e solo ragioni di discrezione ed educazione imporrebbero al datore di lavoro o a suoi delegati di astenersi da ogni forma di controllo.

Impropri i riferimenti alla Legge 675/96, poiché è evidente che non può esservi trattamento di dati personali del dipendente se in precedenza non v’è stato un utilizzo illecito della mailbox aziendale da parte del dipendente, circostanza che esclude la tutela del relativo diritto da parte di quest’ultimo.

Più delicato, invece, il problema connesso all’art. 4 dello Statuto dei Lavoratori, che impedisce qualsiasi forma di controllo a distanza dell’operato del dipendente, poiché, a ben vedere, dal controllo dei messaggi della mailbox si potrebbe effettivamente procedere al controllo, seppure indiretto, dell’operato del dipendente sul luogo di lavoro. Ma, in tal caso, sarebbero ben diverse le finalità e le modalità di attuazione del controllo, per cui il riferimento non è comunque pertinente al caso in esame, in cui il controllo dei messaggi era avvenuto, in assenza della dipendente, al preciso scopo di assicurare continuità all’attività dell’azienda.

Fonte: Italia Oggi

FBI-CSI: rapporto sicurezza 2002

Il 7 aprile 2002, il Computer Security Institute di S. Francisco ha annunciato i risultati del settimo rilevamento annuale di dati sulla criminalità informatica.
Come ogni anno, l’Istituto, in collaborazione con la Computer Intrusion Squad del FBI, ha inviato circa 3000 questionari anonimi ad altrettante aziende, al fine di monitorare la situazione dei crimini informatici e della sicurezza dei sistemi.
Lo studio è basato sulle risposte di 503 affiliati, prevalentemente istituzioni pubbliche, università ed aziende, e conferma la tendenza degli anni precedenti alla classificazione dei reati informatici come condotte delittuose di natura essenzialmente economica.
Il 90% delle aziende consultate riferisce di aver rilevato problemi di sicurezza negli ultimi dodici mesi e di aver subito, per tali motivi, perdite finanziarie stimabili in circa 500 milioni di dollari.
Tra i problemi più rilevanti la sottrazione di informazioni riservate e le frodi finanziarie, tipologie di reati che confermano le finalità essenzialmente economiche della criminalità informatica. Circostanza, questa, che contrasta in modo evidente con le notizie spesso diffuse dai mass-media tradizionali, secondo i quali i problemi più rilevanti per aziende ed istituzioni deriverebbero dall’attività degli hackers.
In realtà, il rilevamento eseguito dal Computer Security Institute rende palese come il fenomeno della criminalità informatica sia più correttamente riconducibile alla tipologia del white collar crime (crimine dal colletto bianco), in cui soggetti dotati di capacità informatiche comuni (al contrario degli hackers) utilizzano le proprie conoscenze o la propria posizione in azienda per porre in essere condotte delittuose dalle quali trarre un ingiusto profitto con altrui danno.
In sostanza, al vecchio impiegato che in passato fuggiva con la cassa dell’azienda si è oggi sostituito un colletto bianco che cede informazioni riservate ad aziende concorrenti o sottrae fondi alla propria azienda grazie a trasferimenti telematici.
Non è da sottovalutare neppure l’attività della criminalità organizzata, che, potendo contare su risorse tecnologiche e finanziarie di notevole entità, non ha difficoltà a procedere al reclutamento di informatici di alto livello che possano utilizzare le intrinseche debolezze di molti sistemi operativi e programmi applicativi per perpetrare reati di varia natura (spionaggio industriale, danneggiamento dei sistemi informatici di aziende concorrenti, sottrazione di informazioni riservate, ecc.), senza necessariamente dover ricorrere al dipendente corrotto che agevoli tali condotte dall’interno.
In tal senso è interessante rilevare che, per il quinto anno consecutivo, il sondaggio del CSI ha permesso di constatare che molte aziende (circa il 75%) citano la connessione ad Internet come fonte di problemi di varia natura.
La maggior parte dei problemi riguarda tentativi di intrusione e attacchi del tipo denial of service (assalti finalizzati a rendere temporaneamente inutilizzabile il sistema) ma, ancora una volta, viene riscontrato un elevato abuso di risorse tecnologiche aziendali da parte dei dipendenti e l’inosservanza delle misure di sicurezza poste a protezione dei sistemi.
Il 78% delle aziende consultate, lamenta infatti l’uso di Internet, da parte dei propri impiegati, per il download di materiale pornografico o di software illegale, e l’uso della mailbox aziendale per fini personali.
A ciò si aggiungono i problemi derivanti dalla scarsa attenzione prestata alle policy aziendali in materia di sicurezza informatica e riservatezza dei dati e dall’installazione di programmi non autorizzati dall’amministratore di sistema, che spesso si rivelano i principali mezzi di propagazione dei virus informatici.
Anche la situazione dei siti web, per le aziende che esercitano il commercio elettronico non è rosea. Spesso, infatti, viene rilevato l’accesso non autorizzato alle risorse disponibili o un cattivo uso delle stesse da parte degli utenti accreditati.
Molti gli attacchi subiti dai siti durante l’anno appena trascorso: il 25% delle aziende ha riscontrato da uno a cinque aggressioni, mentre il 39% dichiara di aver subito oltre dieci assalti.
In crescita i danneggiamenti (70% contro il 60% del 2000) e le frodi finanziarie (6% contro il 3% del 2000), mentre sono sorprendentemente in diminuzione gli attacchi di tipo denial of service (55% contro il 60% del 2000).
Dall’esame del rilevamento, nel suo complesso, e dalle note ad esso allegate, redatte dal Direttore del Computer Security Institute, Patrice Rapalus, e dall’Agente Speciale Bruce Gebhardt, che ha il compito di formare gli specialisti del FBI che si occupano di criminalità informatica, si trae, sostanzialmente, la conclusione che l’adozione di risorse tecnologiche, per quanto evolute e complesse, non è sufficiente a garantire un livello di sicurezza accettabile.
E’ necessaria una costante opera di formazione e controllo del personale, ed è auspicabile una concreta collaborazione tra le istituzioni e le aziende, per l’individuazione delle aree e delle attività maggiormente a rischio, in cui incrementare l’attività di monitoraggio e repressione della criminalità informatica da parte delle forze dell’ordine.
Del resto, con il passare degli anni, i paesi civilizzati, Stati Uniti in testa, hanno incrementato esponenzialmente la dipendenza dalle tecnologie informatiche, anche in settori nevralgici e strategici.
Da ciò è derivata, ovviamente, una maggiore sicurezza rispetto agli attacchi portati a termine dalla criminalità tradizionale, ma, inevitabilmente, anche una maggiore sensibilità ai problemi derivanti dall’uso non corretto o deliberatamente criminoso delle nuove tecnologie.

Fonte: Italia Oggi

Allarme CERT 2001

Il CERT Statunitense avverte che negli ultimi mesi gli attacchi provenienti da Internet in danno di Istituzioni ed aziende sono praticamente raddoppiati rispetto allo stesso periodo dell’anno 2000 ed invita a curare maggiormente il problema sicurezza informatica.

Nei giorni scorsi il Computer Emergency Reponse Team della Carnegie Mellon University (www.cert.org) ha pubblicato il rapporto sicurezza relativo all’anno 2001, fermo, ovviamente al terzo trimestre, dal quale sono emersi dati sconcertanti per la sicurezza dei sistemi informatici collegati ad Internet, che lasciano presumere un anno 2002 davvero difficile per istituzioni ed aziende.
In particolare, il confronto con i dati degli anni precedenti evidenzia la crescita esponenziale degli attacchi portati a termine contro sistemi informatici pubblici e privati; cifre che, se nel 1990 ammontavano a circa 252 casi per l’intero anno, sono cresciute fino a raggiungere i circa 10.000 eventi del 1999, gli oltre 21.000 del 2000 e i circa 35.000 del corrente anno (in cui, è bene ribadirlo, la rilevazione è aggiornata al 30 settembre).
Una crescita preoccupante, quindi, in parte certamente condizionata dall’ingresso su Internet di migliaia di aziende ed istituzioni in tutto il mondo, insieme a milioni di nuovi utenti (tra i quali, ovviamente, anche nuovi criminali informatici), che tuttavia deve far riflettere i titolari e i responsabili di sistemi informatici collegati alla Rete sull’opportunità di curare adeguatamente la sicurezza informatica.
Spesso, infatti, come è emerso anche dai dati pubblicati nel mese di marzo 2001 dal Computer Security Institute di S. Francisco (www.gocsi.gov), gli attacchi e i problemi ad essi connessi sono agevolati dal comportamento irresponsabile e negligente degli stessi utilizzatori dei sistemi aggrediti, che curano superficialmente gli aggiornamenti dei sistemi operativi e dei software antivirus e che spesso non hanno neppure idea di come debba essere condotta l’attività di penetration testing destinata ad individuare eventuali debolezze del sistema al fine di procedere con l’adozione delle necessarie contromisure.
Appare inutile evidenziare che, per quanto testato approfonditamente, un sistema informatico sicuro e impenetrabile non esisterà mai (salvo tenerlo spento), ma di certo un’adeguata analisi dei rischi, abbinata ad un costante monitoraggio e ad un periodico aggiornamento possono consentire di dormire sonni relativamente tranquilli.
In Italia l’esigenza è ulteriormente avvertita a causa della responsabilità penale connessa alla mancata adozione delle misure di sicurezza minime previste dalla Legge 31.12.1996, n. 675, e dal relativo regolamento, D.P.R. 28 luglio 1999, n. 318, qualora il sistema contenga database di dati personali.
Altrettanto importante sembra essere la formazione del personale dipendente, e non solo di quello addetto al settore informatico. Spesso, infatti, secondo quanto emerge dalle rilevazioni dei due importanti istituti statunitensi, sono i comportamenti più banali a mettere a repentaglio la sicurezza della rete aziendale e del server che ospita le pagine web. Ad esempio, l’utilizzo di modem personali, che aprono porte di accesso alla rete aziendale che l’amministratore di sistema non può aver previsto né protetto in modo adeguato, o l’utilizzo di programmi scaricati da siti non affidabili, che potrebbero contenere backdoor o virus troiani.
Situazioni che si verificano spesso all’interno di aziende anche grandi, per la cronica mancanza di un’adeguata formazione e della più elementare regolamentazione dell’uso delle risorse tecnologiche, e che favoriscono, in modo spesso determinante, gli attacchi e le intrusioni, con le relative conseguenze.
E’ opportuno sottolineare che le statistiche del Cert non fanno distinzione tra gli attacchi tentati e quelli andati a buon fine, per cui l’incremento degli assalti potrebbe non corrispondere ad un proporzionale aumento delle intrusioni.
Non è il caso, ad ogni modo, di abbassare la guardia ed è anzi opportuno prestare a questa particolare materia sempre maggiore attenzione.

Fonte: Italia Oggi