Cesare Gallotti, consulenza in sicurezza delle informazioni, sicurezza informatica, qualità, IT Service Management, Business Continuity, Privacy

Cesare Gallotti, Lead Auditor 27001, Lead Auditor 20000, Lead Auditor 9001

Cesare Gallotti Home
Cesare Gallotti
Questa sezione contiene un'antologia di normativa "informatica" in vigore. Tranne quando specificato con ulteriori link, le versioni aggiornate sono scaricabili da:

Indice

Computer Crime

  • Legge 547 del 1993, sul computer crime.
  • Legge 48 del 2008, di ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, firmata a Budapest il 23 novembre 2001. La Convenzione costituisce il primo accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche. La Convenzione estende la portata del reato informatico includendo tutti i reati in qualunque modo commessi mediante un sistema informatico, anche nel caso in cui la prova del reato sia sotto forma elettronica.
  • Dlgs 373 del 2000, sulla tutela dei servizi ad accesso controllato.
  • Sentenza 4 del 21 aprile 2000 (file 2000_sentenza_RAI.pdf), che assolve l'imputato per accesso non autorizzato al sistema informatico del GR1 della RAI perché il sistema non è stato valutato "sufficientemente protetto".
  • Legge 281 del 2006, di conversione del Decreto Legge 259/2006, sulle intercettazioni telefoniche illegali.
  • Sentenza 175 del 2006 del Tribunale di Chieti (file 2006_Sentenza_175_Tribunale_Chieti.pdf), che fa chiarezza sulla controversa questione dell’acquisizione delle "prove informatiche": si devono rispettare le norme del codice di procedura penale che disciplinano la formazione della prova.
  • Legge 269 del 1998, modificata dalla Legge 38 del 2006, sulla pornografia. I requisiti tecnici che dovranno essere adottati dagli ISP sono descritti dal Decreto Interministeriale del 8 gennaio 2007 (file 2007-01-29-Req-tecnici-pedopornografia.pdf).
Responsabilità amministrativa delle imprese

  • Decreto Legislativo 231 del 2001, più volte modificato. Introduce la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito. Precedentemente gli amministratori e le società non pativano conseguenze per reati commessi dal personale. Con questo Decreto Legislativo gli organi dirigenti non incorrono nelle sanzioni se applicano modelli organizzativi atti a prevenire taluni reati.
  • Decreto 201 del 2003 del Ministero della Giustizia. Reca il regolamento previsto dall'articolo 85 del Decreto Legislativo 231 del 2001. Specifica le modalità di formazione e tenuta dei fascicoli degli uffici giudiziari; i compiti ed il funzionamento dell'Anagrafe nazionale e soprattutto le modalità di presentazione, di esame, di valutazione dell'efficacia dei codici di comportamento previsti per mitigare le sanzioni a carico degli enti.
Normativa Privacy

  • Decreto Legislativo 196 del 2003 ("Codice in materia di protezione dei dati personali"), modificato in più punti da altri dispositivi di legge: è il testo base in materia di Privacy. Recepisce la direttiva 95/46/CE (file 1995_46_CE.pdf) e sostituisce la Legge 675 del 1996.
  • Il Codice è stato "semplificato" soprattutto nel 2011, con il DL 214, limitando la sua applicabilità ai soli dati relativi a persone fisiche e nel 2012, con il DL 5, eliminando l'obbligo del DPS.
  • Il Dlgs 196 del 2003 e’ accompagnato da diversi dispositivi:
    • Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B del Dlgs 196/2003).
    • Codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica (Allegato A.1 del Dlgs 196/2003).
    • Codice di deontologia e di buona condotta per il trattamento di dati personali per scopi storici (Allegato A.2 del Dlgs 196/2003).
    • Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema Statistico Nazionale (Allegato A.3 del Dlgs 196/2003).
  • Ulteriori Codici di deontologia sono stati emessi dopo la pubblicazione del Decreto Legislativo e sono reperibili presso il sito del Garante Privacy (http://www.garanteprivacy.it, nella sezione dedicata alla normativa italiana):
    • Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (aggiunto a fine 2004 e relativo alle cosiddette centrali rischi del credito).
    • Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (aggiunto a maggio 2004).
  • Decreto Legge 354 del 2003 (convertito in Legge dalla Legge 26 del 2004): ha modificato il Codice Privacy per allungare i tempi di conservazione dei dati sul traffico telefonico, a seguito dell’emergenza terrorismo del 2001.
  • Provvedimento del Garante del 17 gennaio 2008 sulle modalità di gestione di tali log (reperibile presso il sito del Garante Privacy (http://www.garanteprivacy.it)
  • Decreto Ronchi, Decreto Legge 135 del 2009 e convertito con Legge 166 del 2009: riduce le tutele sui cittadini e istituisce il diritto di opposizione rispetto all'invio di materiale pubblicitario o alla vendita diretta o al compimento di ricerche di mercato o alle comunicazioni commerciali
  • DPR 178 del 2010 per lìistituzione del Registro delle Opposizioni
  • Il Garante Privacy ha emesso negli anni molti Provvedimenti con carattere prescrittivo. Di seguito, alcuni dei più importanti e applicabili a tutte le imprese, tutti reperibili presso il sito del Garante Privacy (http://www.garanteprivacy.it:
    • Prescrizioni del Garante del 19 giugno 2008 per le semplificazioni (doc. web n. 1526724) e Provvedimento del 27 novembre 2008 su "Semplificazione delle misure di sicurezza" (doc. web n. 1571218): da valutare se ancora attuabili dopo gli aggiornamenti al Codice introdotti dal DL 70 del 2011 convertito dalla Legge 106 del 2011.
    • Provvedimento del 8 aprile 2010 sulla videosorveglianza (doc. web. n. 1712680, che ha sostituito quello del 29 aprile 2004).
    • Deliberazione numero 53 del 23 novembre 2006 con le "Linee guida in materia di trattamento di dati personali di lavoratori" (doc web n. 1364099).
    • Delibera numero 13 del 1 marzo 2007 con le linee guida per posta elettronica e internet in uso ai lavoratori (doc. web n. 1387522).
    • Provvedimento del 13 ottobre 2008 (doc. web n. 1571514) e istruzioni pratiche (doc. web n. 1574080) per lo smaltimento di pc e la cancellazione sicura dei dati.
    • Provvedimento del 27 novembre 2008 sugli Amministratori di Sistema, modificato dal Provvedimento del 25 giugno 2009 e accompagnato da FAQ (doc. web n. 1577499).
    • Autorizzazioni generali al trattamento dei dati sensibili (rinnovate e ripubblicate di anno in anno)
  • Il Garante Privacy ha anche emesso molti Provvedimenti specifici, tutti reperibili presso il sito del Garante Privacy (http://www.garanteprivacy.it:
    • Provvedimento sulle Carte Fedeltà (24 febbraio 2005)
    • Provvedimento “Strutture sanitarie: rispetto della dignità” (9 novembre 2005)
    • Provvedimento “Trattamento dei dati personali nell'ambito dei servizi telefonici non richiesti” (16 febbraio 2006)
    • 15 giugno 2011: sentenza sul ruolo degli agenti (responsabili e non titolari)
    • 12 maggio 2011: Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie
    • 5 maggio 2011: Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario
    • 2 marzo 2011: Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web
  • Legge 300 del 1970, Statuto dei Lavoratori: limita le possibilità di controllo a distanza dei lavoratori da parte del datore di lavoro
  • Sentenza del 20 giugno 2006 del Tribunale Ordinario di Torino, Sezione distaccata di Chivasso relativa alla possibilità, da parte del datore di lavoro di accedere alla casella personalizzata del dipendente (file 2006_06_20-sentenza-mailbox-aziendale.pdf>.
Diritto d'Autore

  • Legge 633 del 1941, governa il Diritto d'autore in Italia ed è stata modificata parecchie volte nel corso degli anni. Qui di seguito sono proposte le disposizioni  più significative dal punto di vista dell'informatica:
    • Dlgs 518/1992 di attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore.
    • Dlgs 169/1999, di attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati.
    • Dlgs 68/2003, di attuazione della direttiva 2001/29/CE.
    • DL "Urbani" 72/2004 convertito in legge dalla L. 128/2004.
    • Legge 43/2005, che converte il Decreto Legge 7 del 2005.
    • Decreto Legislativo 118/2006 di attuazione della direttiva 2001/84/CE.
    • Decreto Legislativo Dlgs 140/2006 attuazione della direttiva 2004/48/CE.
    • Legge 2 del 2008, che prevede la possibilità di pubblicare senza oneri su Internet materiale a uso didattico o scientifico.
  • Dlgs 373 del 2000, sulla tutela dei servizi ad accesso controllato.
  • Dlgs 30 del 2005, Codice della proprietà industriale.
  • Regolamento di attuazione del Codice della proprietà industriale, emesso con il Decreto 33 del 13 gennaio 2010 del Ministero dello Sviluppo Economico.
  • DPCM 31 del 2009, tratta del "bollino" SIAE da apporre sui supporti come cd dvd ecc.
Normativa sulla Firma digitale e Gestione documentale

  • D.Lgs. 82 del 2005 o "Codice dell'Amministrazione Digitale" (più volte modificato, più recentemente dal Dlgs 235 del 2010), norma di riferimento per quanto riguarda la firma digitale. Attua quanto previsto dall'articolo 15, comma 2 della legge del 15 marzo 1997, n. 59 e rappresenta l'adeguamento italiano alla Direttiva Europea 1999/93/CE. Questo Decreto Legislativo, inoltre, regolamenta il Sistema Pubblico di Connettività (SPC).
  • DPR 445/2000, il precedente riferimento per la firma digitale, ora ridotto alle sole parti concernenti la gestione di atti e documenti nell'ambito della Pubblica Amministrazione;
  • Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno: questo abroga la direttiva 1999/93/CE e quindi parte del D.Lgs. 82, secondo modalità non ancora stabilite.
Da un punto di vista tecnico, sono in vigore i seguenti provvedimenti, eventualmente richiesti da norme abrogate ma tuttora validi:
  • Norme sulla dematerializzazione della documentazione:
    • DPCM del 22 febbraio 2013: Regole tecniche in materia di generazione, apposizione e verifi ca delle fi rme elettroniche avanzate, qualificate e digitali (di cui all'articolo 71 del D.Lgs.82); sostituisce i precedenti DPCM del 13 gennaio 2004 e del 30 marzo 2009.
    • Deliberazione CNIPA n. 45 del 2009 (scaricabile nella versione consolidata con le modifiche del 2010 da www.digitpa.gov.it): regole per il riconoscimento e la verifica del documento informatico a cui attenersi a norma del DPCM del 30 marzo 2009; sostituisce la precedente deliberazione CNIPA 4/2005.
    • DPCM del 30 ottobre 2003 (file 2003_DPCM_30_ottobre_schema_cert_sic.pdf): schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione.
    • Deliberazione CNIPA 11/2004 e note esplicative (scaricabile da www.digitpa.gov.it): regole tecniche per la riproduzione e conservazione di documenti su supporto ottico.
  • Norme applicabili alla Pubblica Amministrazione:
    • D.P.C.M. 31 ottobre 2000: regole tecniche per il protocollo informatico della Pubblica Amministrazione.
    • Delibera AIPA n. 51 del 2000 (file 2000_delibera_AIPA_51_PA.pdf): regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni (apparentemente, questa delibera non è più in uso e quindi, forse, implicitamente abrogata).
    • DPCM del 1 aprile 2009 sulle regole di sicurezza della SPC

  • Norme sulla posta elettronica certificata (PEC):
    • DPR 68 del 2005: regolamento per l'utilizzo della posta elettronica certificata (PEC).
    • Decreto del novembre 2005 della Presidenza del Consiglio dei Ministri e relativo Allegato: regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata.
    • Legge "anti-crisi" 2/2009 (di conversione del DL 185/2008): modifica il DPR 68 del 2005 e rende obbligatorio l'uso della PEC ad alcuni soggetti dal novembre 2011.
    • ulteriori regolamenti sul sito www.digitpa.gov.it
  • Norme relative alle firme elettroniche (un elenco più esaustivo e aggiornato è mantenuto da AgID sul proprio sito, alla voce Home - Agenda Digitale - Infrastrutture e architetture - Firme elettroniche):
    • Deliberazione CNIPA n. 45 del 2009 (scaricabile nella versione aggiornata da www.digitpa.gov.it): specifiche tecniche per garantire l'interoperabilità tra i diversi certificatori.
    • Circolare CNIPA 48 del 2005 (scaricabile da www.digitpa.gov.it): modalità per presentare la domanda di iscrizione nell'elenco pubblico dei certificatori.
  • Norme applicabili alla fatturazione elettronica:
    • Decreto Legislativo 52 del 2004: modalità di fatturazione elettronica (richiama la circolare AIPA 42 sostituita dalla Deliberazione CNIPA 11/2004).
    • Decreto del Ministero dell'Economica e delle Finanze del 23 gennaio 2004 (file 2004_decr_min_eco_23_gennaio_fiscali_doc_informatici.pdf.
  • Norme sulla Carta Nazionale dei Servizi:
    • D.P.R. 117 del 2004: regolamento sulla carta nazionale dei servizi.
    • Decreto interministeriale del 9 dicembre 2004 (file 2004_decreto_9_dicembre.pdf: regole tecniche relative alla carta nazionale dei servizi.

  • Sentenza della Corte di Cassazione del 19 febbraio 2008: conferma la validità di una comunicazione via e-mail. Anche se con riferimenti a dispositivi ormai abrogati, risulta essere un precedente interessante (il file).
Normativa sugli Internet Service Provider

  • Decreto Legislativo 259 del 2003 (noto come Legge Gasparri o Codice delle comunicazioni elettroniche), di regolamento, tra gli altri, delle reti e dei servizi di comunicazione elettronica ad uso pubblico.
  • Decreto "Urbani" 72/2004, impone agli Internet Service Provider alcune pesanti responsabilità per ciò che concerne il diritto d'autore.
  • Legge 269 del 1998, sulla pornografia, che richiede agli ISP attività di controllo e segnalazione con requisiti tecnici stabiliti dal Decreto Interministeriale del 8 gennaio 2007 (file 2007-01-29-Req-tecnici-pedopornografia.pdf).
  • Per quanto riguarda la "data retention", ossia la conservazione dei dati di traffico telefonico e telematico, sono applicabili:
    • Decreto-legge 27 luglio 2005, n. 144, convertito in legge con modificazioni dalla Legge 155 del 2005, detto "Decreto Pisanu" e successivamente modificato dal DL 225/2010 convertito in Legge 10 del 2011.
    • Decreto Legislativo 109 di recepimento della Direttiva 2006/24/CE.
    • Legge 48 del 2008, di ratifica della Convenzione di Budapest sulla criminalità informatica.
  • Sul sito della Cassazione http://www.cortedicassazione.it è stato pubblicato un interessante Studio recante una disamina dei più recenti contributi giurisprudenziali e dottrinali in tema di intercettazioni, che pone in evidenza i contrasti ancora aperti.
  • Regolamenti tecnici determinati da delibere dell'AGCOM (www.agicom.it) che richiedono, in particolare, la redazione e pubblicazione di documenti sulla qualità dei servizi e la Carta dei Servizi per: telefonia vocale fissa (Delibere n. 254/04/CSP e n. 79/09/CSP), comunicazioni mobili e personali (Delibere n. 104/05/CSP e n. 79/09/CSP), televisione a pagamento (Delibera n. 278/04/CSP), accesso a Internet da postazione fissa (Delibere n. 131/06/CSP e n. 244/08/CSP).
Normativa sull'e-commerce

La normativa di base sull'e-commerce è composta dai seguenti:
  • Decreto legislativo 70/2003, regolamentazione del commercio elettronico e, più in generale, dei servizi della società dell'informazione.
  • Codice del Consumo (Dlgs 206/2005), affronta il tema della pubblicità ingannevole e comparativa e dei contratti a distanza.
Sono stati pubblicati nel tempo ulteriori dispositivi normativi specialistici, tra cui:
  • Dlgs 190/2005, sulla commercializzazione a distanza di servizi finanziari.
  • i regolamenti sui giochi on-line decreti dell’AAMS, reperibili presso www.aams.gov.it
Normativa sulle infrastrutture critiche

  • Dlgs 61 del 2011, per il quale ogni azienda “critica” dovrà avere un responsabile della sicurezza unico e un “Piano della Sicurezza dell’Operatore”. Attualmente, le infrastrutture ICT non sono comprese nella normativa vigente, ma potrebbero esserlo in future revisioni.
Normativa sul Segreto di Stato

Il tema è di interesse anche per chi si occupa di sicurezza delle informazioni solo nell'ambito delle imprese private:
  • Legge 124 del 2007 sulla disciplina del Segreto di Stato
  • DPCM 7 del 12 giugno 2009 "Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonché dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica" (comprende a classificazione delle informazioni)
  • DPCM 4 del 22 luglio 2011 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate" (riporta le misure di sicurezza)
  • Legge 241 del 1990 "Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi"
  • DPR 184 del 2006 "Regolamento recante disciplina in materia di accesso ai documenti amministrativi." (riporta ulteriori specifiche rispetto a quelle già indicate dalla Legge 241/1990)
  • DPCM 11 aprile 2002 sulla certificazione dei prodotti e sistemi IT coinvolti nel Segreto di Stato
Normativa sull'accessibilità (Legge Stanca)

  • Legge 4/2004 (nota come Legge Stanca) per l'accessibilità dei soggetti disabili agli strumenti informatici; ad essa dovranno seguire dei decreti attuativi.
  • DPR 75 del 2005, regolamento di attuazione di cui all'articolo 10 della Legge Stanca.
  • Decreto 8 luglio 2005 del Ministero per l’Innovazione e le Tecnologie: Requisiti tecnici e i diversi livelli per l'accessibilità agli strumenti informatici.
Il sito di riferimento è quello della DigitPA (anche se si riscontrano alcune carenze), all'indirizzo http://www.digitpa.gov.it.

Torna all'indice



Cesare Gallotti - Ripa di Porta Ticinese 75 - 20143 Milano - P. IVA 06342760961