Embed Size (px)
Citation preview
Aspetti normativi e giuridiciAspetti normativi e giuridici negli Stati negli Stati Uniti e in Italia della sicurezza Uniti e in Italia della sicurezza
informatica e problematiche connesseinformatica e problematiche connesse
DiDi
Giancarlo ScolaGiancarlo Scola
Corso di Sistemi di Elaborazione Corso di Sistemi di Elaborazione dell’informazione:sicurezzadell’informazione:sicurezza
a.a. 2000-2001a.a. 2000-2001
Sistemi GiuridiciSistemi Giuridici
Italia Italia • Il Il civil lawcivil law o famiglia romano o famiglia romano
germanicagermanica
Stati UnitiStati Uniti• Il Il common law common law o famiglia anglo o famiglia anglo
americanaamericana
Caratteristiche dei sistemi Caratteristiche dei sistemi giuridicigiuridici
Civil lawCivil law
• Certezza del diritto Certezza del diritto (conoscenza comune (conoscenza comune e preventiva delle e preventiva delle norme)norme)
• Norme precostituite, Norme precostituite, generali e astrattegenerali e astratte
• Uniformità del dirittoUniformità del diritto
Common lawCommon law
• Equità (esclusivo Equità (esclusivo riferimento alla riferimento alla situazione in oggetto) situazione in oggetto)
• Mancanza di un Mancanza di un complesso di norme complesso di norme precostituiteprecostituite
• Vincoli di sentenze Vincoli di sentenze precedentiprecedenti
Problematiche connesseProblematiche connesse
Definizione formale di reato Definizione formale di reato informaticoinformatico
GiurisdizioneGiurisdizione
Anonimato sulla reteAnonimato sulla rete
Adeguamento normativoAdeguamento normativo
Definizione formale del Definizione formale del reato - 1reato - 1
Donn Parker - Stanford Research Institute:Donn Parker - Stanford Research Institute:
……un reato informatico è un reato che, per un reato informatico è un reato che, per essere commesso con successo, necessita essere commesso con successo, necessita della conoscenza del funzionamento del della conoscenza del funzionamento del computer, mentre in un reato connesso computer, mentre in un reato connesso all'informatica il computer è usato solo all'informatica il computer è usato solo come mezzo od obiettivo di reato, come mezzo od obiettivo di reato, indipendentemente dalla conoscenza che si indipendentemente dalla conoscenza che si ha sul funzionamento della macchina …ha sul funzionamento della macchina …
Definizione formale del Definizione formale del reato - 2reato - 2
Manuale delle Nazioni Unite per la prevenzione Manuale delle Nazioni Unite per la prevenzione e il controllo dei reati connessi all’informatica e il controllo dei reati connessi all’informatica (1994-1997):(1994-1997):
• FrodeFrode• FalsoFalso• Sabotaggio di computerSabotaggio di computer• Accesso non autorizzato a servizi o sistemiAccesso non autorizzato a servizi o sistemi• Copia non autorizzata di software Copia non autorizzata di software
proprietarioproprietario• Persecuzione tramite computerPersecuzione tramite computer
Definizione formale del Definizione formale del reato - 3reato - 3
FrodeFrode Fanno parte di questa categoria i Fanno parte di questa categoria i
reati commessi in relazione al furto reati commessi in relazione al furto di numeri di carte di credito, di numeri di carte di credito, informazioni personali e finanziarie informazioni personali e finanziarie atte ad eseguire truffe, alla vendita atte ad eseguire truffe, alla vendita di tali informazioni o all'offerta di di tali informazioni o all'offerta di falsi finanziamenti attraverso la rete.falsi finanziamenti attraverso la rete.
Definizione formale del Definizione formale del reato - 4reato - 4
FalsoFalso Il falso informatico riguarda Il falso informatico riguarda
l'alterazione o la contraffazione di l'alterazione o la contraffazione di documenti in forma digitale. Copie e documenti in forma digitale. Copie e alterazioni sono rese permanenti e alterazioni sono rese permanenti e non distinguibili dall'originale anche non distinguibili dall'originale anche da un esperto, per la natura stessa da un esperto, per la natura stessa del supporto su cui sono del supporto su cui sono memorizzate.memorizzate.
Definizione formale del Definizione formale del reato - 5reato - 5
Sabotaggio di ComputerSabotaggio di Computer L'uso della rete per inficiare il normale L'uso della rete per inficiare il normale
funzionamento di un sistema funzionamento di un sistema attraverso l'uso di worms, virus, bombe attraverso l'uso di worms, virus, bombe logiche,messo in atto per avere logiche,messo in atto per avere vantaggio economico su un vantaggio economico su un concorrente, per promuovere attività concorrente, per promuovere attività illegali di terrorismo, per il furto di dati illegali di terrorismo, per il furto di dati o programmi ai fini di estorsione.o programmi ai fini di estorsione.
Definizione formale del Definizione formale del reato - 6reato - 6
Accesso non autorizzato a Servizi o Accesso non autorizzato a Servizi o SistemiSistemi
La messa in atto di tecniche La messa in atto di tecniche informatiche al fine di sottrarre risorse informatiche al fine di sottrarre risorse quali potenza di calcolo, spazio fisico quali potenza di calcolo, spazio fisico su supporti magnetici, connessioni su supporti magnetici, connessioni protette, password o altro servizio a protette, password o altro servizio a fini di sabotaggio ricadono in questa fini di sabotaggio ricadono in questa categoria.categoria.
Definizione formale del Definizione formale del reato - 7reato - 7
Copia non autorizzata di SoftwareCopia non autorizzata di Software Arrecare danno economico a una Arrecare danno economico a una
società distribuendo software società distribuendo software proprietario, funzionante e non proprietario, funzionante e non distinguibile dall'originale.distinguibile dall'originale.
Definizione formale del Definizione formale del reato - 8reato - 8
Persecuzione tramite computerPersecuzione tramite computer In questa categoria ricadono le In questa categoria ricadono le
persecuzioni tramite e-mail, siano persecuzioni tramite e-mail, siano esse di minaccia, ricatto, molestie esse di minaccia, ricatto, molestie o il o il mail bombingmail bombing atto ad arrecare atto ad arrecare danni oggettivi all'utente bersaglio danni oggettivi all'utente bersaglio di tale pratica o al sistema di cui di tale pratica o al sistema di cui l'utente fa parte.l'utente fa parte.
Giurisdizione - 1Giurisdizione - 1
Definizione
Competenza legale (e, di conseguenza, delle autorità autorizzate legalmente ad investigare sul caso) su reati che possono essere commessi anche a grande distanza.
Giurisdizione - 2Giurisdizione - 2
ProblemaProblema La rete può essere vista come La rete può essere vista come multi-multi-
giurisdizionalegiurisdizionale poiché a ogni sistema o poiché a ogni sistema o macchina si può accedere da qualsiasi macchina si può accedere da qualsiasi parte del mondoparte del mondo
La rete può anche essere vista come La rete può anche essere vista come a-a-giurisdizionalegiurisdizionale, perché i confini di stato (e , perché i confini di stato (e quindi le norme vigenti su quel territorio) quindi le norme vigenti su quel territorio) sono assolutamente trasparenti all'utente. sono assolutamente trasparenti all'utente.
Giurisdizione - 3Giurisdizione - 3
SoluzioneSoluzione Ciò che si fa in rete, si fa ovunque. Ciò che si fa in rete, si fa ovunque.
Usando la rete, quindi, un utente si Usando la rete, quindi, un utente si trova, indipendentemente dalla trova, indipendentemente dalla sua volontà, soggetto alla sua volontà, soggetto alla giurisdizione di tutte le nazioni. giurisdizione di tutte le nazioni.
Anonimato sulla reteAnonimato sulla rete
Il computer fornisce un alto grado di Il computer fornisce un alto grado di (pseudo) anonimato.(pseudo) anonimato.
Mancanza di comportamenti etici Mancanza di comportamenti etici coerenti.coerenti.
Uso della legge per forzare un certo Uso della legge per forzare un certo codice di condotta.codice di condotta.
Adeguamento normativoAdeguamento normativo
Scorrere l'intero codice cercando di Scorrere l'intero codice cercando di identificare e ampliare ogni articolo identificare e ampliare ogni articolo potenzialmente inerente al problema.potenzialmente inerente al problema.
Concentrare l'attenzione su un solo Concentrare l'attenzione su un solo articolo, scrivendolo articolo, scrivendolo ex-novoex-novo o o ampliandone uno che più di altri si ampliandone uno che più di altri si presta allo scopo di affrontare il presta allo scopo di affrontare il problema.problema.
Legislazione statunitense Legislazione statunitense e italiana - 1e italiana - 1
Stati UnitiStati Uniti• Computer Fraud And Abuse Act - Computer Fraud And Abuse Act -
1986 (1994,1996)1986 (1994,1996)
ItaliaItalia• Legge 23 dicembre 1993, n. 547Legge 23 dicembre 1993, n. 547
Legislazione statunitense Legislazione statunitense e italiana - 2e italiana - 2
Sostanziale conformità alla definizione Sostanziale conformità alla definizione di reato proposta dalle Nazioni Unite.di reato proposta dalle Nazioni Unite.
Differente approccio “filosofico” al Differente approccio “filosofico” al problema.problema.
Differente computazione delle pene Differente computazione delle pene (intrinseco ai due sistemi giuridici)(intrinseco ai due sistemi giuridici)
Differente approccio all’adeguamento Differente approccio all’adeguamento normativonormativo
Legislazione statunitense Legislazione statunitense e italiana - 3e italiana - 3
Frode negli stati UnitiFrode negli stati Uniti• Paragrafo (a) (4) CFAA.Paragrafo (a) (4) CFAA.
Frode in ItaliaFrode in Italia• Articolo 640 ter C.P.Articolo 640 ter C.P.
Legislazione statunitense Legislazione statunitense e italiana - 4 e italiana - 4
Falso negli Stati UnitiFalso negli Stati Uniti• nullanulla
Falso in ItaliaFalso in Italia• Articolo 491 C.P. Articolo 491 C.P. • Articolo 617 sexies C.P.Articolo 617 sexies C.P.
Legislazione statunitense Legislazione statunitense e italiana - 5e italiana - 5
Sabotaggio di computer negli Stati Sabotaggio di computer negli Stati UnitiUniti• Paragrafo (a)(5) CFAA.Paragrafo (a)(5) CFAA.• Paragrafo (a)(6) CFAA.Paragrafo (a)(6) CFAA.
Sabotaggio di computer in ItaliaSabotaggio di computer in Italia• Articolo 615 quater C.P.Articolo 615 quater C.P.• Articolo 615 quinquies C.P.Articolo 615 quinquies C.P.
Legislazione statunitense Legislazione statunitense e italiana - 6e italiana - 6
Accesso non autorizzato a servizi o Accesso non autorizzato a servizi o sistemi negli Stati Unitisistemi negli Stati Uniti• Paragrafo (a)(1) CFAA.Paragrafo (a)(1) CFAA.• Paragrafo (a)(2) CFAA.Paragrafo (a)(2) CFAA.
Accesso non autorizzato a servizi o Accesso non autorizzato a servizi o sistemi in Italiasistemi in Italia• Articolo 420 C.P.Articolo 420 C.P.• Articolo 615 ter C.P.Articolo 615 ter C.P.
Legislazione statunitense Legislazione statunitense e italiana - 7e italiana - 7
Persecuzione tramite computer Persecuzione tramite computer negli Stati Unitinegli Stati Uniti• Paragrafo (a)(7) CFAAParagrafo (a)(7) CFAA
Persecuzione tramite computer in Persecuzione tramite computer in ItaliaItalia• Articolo 616 (quarto comma) C.P.Articolo 616 (quarto comma) C.P.• Articolo 617 quater C.P.Articolo 617 quater C.P.• Articolo 617 quinquies C.P.Articolo 617 quinquies C.P.
Legislazione statunitense Legislazione statunitense e italiana - 8e italiana - 8
Approccio “filosofico”Approccio “filosofico” Stati Uniti: maggiore attenzione Stati Uniti: maggiore attenzione
alla sicurezza nazionale e al alla sicurezza nazionale e al commercio interno ed estero.commercio interno ed estero.
Italia: maggior risalto alla Italia: maggior risalto alla sicurezza pubblica e alla libertà del sicurezza pubblica e alla libertà del singolo cittadino.singolo cittadino.
Legislazione statunitense Legislazione statunitense e italiana - 9e italiana - 9
Computazione della penaComputazione della pena
Stati Uniti: U.S. Sentencing Stati Uniti: U.S. Sentencing Guidelines, rispetto dell’equità.Guidelines, rispetto dell’equità.
Italia: Art. 132 e 133 C.P., vincoli del Italia: Art. 132 e 133 C.P., vincoli del giudice nella computazione della giudice nella computazione della pena.pena.
Legislazione statunitense Legislazione statunitense e italiana - 10e italiana - 10
Adeguamento giuridicoAdeguamento giuridico Stati Uniti: unico articolo, Stati Uniti: unico articolo,
concentrazione delle norme nel concentrazione delle norme nel Titolo 18, §1030 dello U.S. Code Titolo 18, §1030 dello U.S. Code (Computer Fraud and Abuse Act)(Computer Fraud and Abuse Act)
Italia: riesame delle norme esistenti, Italia: riesame delle norme esistenti, ampliamento del Codice Penale e ampliamento del Codice Penale e del Codice di Procedura Penale.del Codice di Procedura Penale.
Un esempio praticoUn esempio pratico
Prendiamo in considerazione il reato di Prendiamo in considerazione il reato di danneggiamento di computer e sistemi danneggiamento di computer e sistemi tramite diffusione di programmi virus.tramite diffusione di programmi virus.
Esamineremo quindi le norme dei due Esamineremo quindi le norme dei due paesi a tal proposito e le pene che si paesi a tal proposito e le pene che si rischiano.rischiano.
Un esempio praticoUn esempio pratico
Paragrafo (a)(5) CFAA:Paragrafo (a)(5) CFAA:
Chiunque accedendoChiunque accedendo senza autorizzazione o senza autorizzazione o eccedendo gli accessi consentiti […] causieccedendo gli accessi consentiti […] causi• (A) attraverso la trasmissione di programmi, (A) attraverso la trasmissione di programmi,
informazioni, codici o comandi, danni non informazioni, codici o comandi, danni non autorizzati a un computer protettoautorizzati a un computer protetto
• (B) (B) dannidanni a un computer per a un computer per comportamento incautocomportamento incauto
• (C) (C) dannodanno
[. . .][. . .]
Un esempio praticoUn esempio pratico
Pene per la violazione del paragrafo (a)Pene per la violazione del paragrafo (a)(5)(5)• [. . .] una ammenda prevista per questo [. . .] una ammenda prevista per questo
titolo o la detenzione per non più di 1 anno, titolo o la detenzione per non più di 1 anno, o entrambe nel caso di reati relativi al o entrambe nel caso di reati relativi al paragrafo [..](a)(5)(C) [. . .]paragrafo [..](a)(5)(C) [. . .]
• [. . .] una ammenda prevista per questo [. . .] una ammenda prevista per questo titolo o la detenzione per non più di 5 anni, titolo o la detenzione per non più di 5 anni, o entrambe nel caso di reati relativi al o entrambe nel caso di reati relativi al paragrafo [. . .] (a)(5)(A), (a)(5)(B) [. . .]paragrafo [. . .] (a)(5)(A), (a)(5)(B) [. . .]
Un esempio praticoUn esempio pratico
Art. 615-quinquies. - (Diffusione di programmi diretti a Art. 615-quinquies. - (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). danneggiare o interrompere un sistema informatico).
• Chiunque diffonde, comunica o consegna un Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni".due anni e con la multa sino a lire 20 milioni".
Un esempio praticoUn esempio pratico
Pena negli Stati UnitiPena negli Stati Uniti U.S. Sentencing Guidelines U.S. Sentencing Guidelines
• Valutazione oggettiva del livello di reato Valutazione oggettiva del livello di reato (livello base 6).(livello base 6).
• Valutazione oggettiva della “Storia Valutazione oggettiva della “Storia Criminale” del reo.Criminale” del reo.
• Tabella delle sentenze.Tabella delle sentenze.• Condanna da 0 a 60 mesi (5 anni) + Condanna da 0 a 60 mesi (5 anni) +
ammenda.ammenda.
Un esempio praticoUn esempio pratico
Pena in ItaliaPena in Italia Obbligo a procedere all’azione penale.Obbligo a procedere all’azione penale. Art. 132 e 133 del Codice Penale.Art. 132 e 133 del Codice Penale.
• Valutazione soggettiva del comportamento Valutazione soggettiva del comportamento del reo.del reo.
• Valutazione soggettiva del danno Valutazione soggettiva del danno procurato.procurato.
• Condanna da 0 a 24 mesi (2 anni) + Condanna da 0 a 24 mesi (2 anni) + ammenda.ammenda.
Conclusioni - 1Conclusioni - 1
Perché nuove leggiPerché nuove leggi Sicurezza Informatica - Nuovo Sicurezza Informatica - Nuovo
problema socialmente rilevante.problema socialmente rilevante. Necessità di protezione dei dati Necessità di protezione dei dati
digitali:digitali:• disponibilitàdisponibilità• integritàintegrità• riservatezzariservatezza
Conclusioni - 2Conclusioni - 2
““Effetti collaterali”Effetti collaterali” Diritto Uniforme - globalizzazione Diritto Uniforme - globalizzazione
della legge.della legge. Possibilità degli inquirenti di non Possibilità degli inquirenti di non
essere soggetti a tali leggi.essere soggetti a tali leggi. Possibile intervento di poteri forti Possibile intervento di poteri forti
per influenzare la legge.per influenzare la legge.
![Programme scola[1]](https://img.pdfslide.tips/doc/110x75/58d12fe11a28abe3298b5b61/programme-scola1.jpg)
