Cesare Gallotti, consulenza in sicurezza delle informazioni, sicurezza informatica, qualità, IT Service Management, Business Continuity, Privacy

Cesare Gallotti, Lead Auditor 27001, Lead Auditor 20000, Lead Auditor 9001

Cesare Gallotti Home
Cesare Gallotti
Questa sezione contiene un'antologia di normativa "informatica" in vigore. Tranne quando specificato con ulteriori link, le versioni aggiornate sono scaricabili da:

Indice

Computer Crime
  • Legge 547 del 1993, sul computer crime.
  • Legge 48 del 2008, di ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, firmata a Budapest il 23 novembre 2001. La Convenzione costituisce il primo accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche. La Convenzione estende la portata del reato informatico includendo tutti i reati in qualunque modo commessi mediante un sistema informatico, anche nel caso in cui la prova del reato sia sotto forma elettronica.
  • Dlgs 373 del 2000, sulla tutela dei servizi ad accesso controllato.
  • Sentenza 4 del 21 aprile 2000 (file 2000_sentenza_RAI.pdf), che assolve l'imputato per accesso non autorizzato al sistema informatico del GR1 della RAI perché il sistema non è stato valutato "sufficientemente protetto".
  • Legge 281 del 2006, di conversione del Decreto Legge 259/2006, sulle intercettazioni telefoniche illegali.
  • Sentenza 175 del 2006 del Tribunale di Chieti (file 2006_Sentenza_175_Tribunale_Chieti.pdf), che fa chiarezza sulla controversa questione dell’acquisizione delle "prove informatiche": si devono rispettare le norme del codice di procedura penale che disciplinano la formazione della prova.
  • Legge 269 del 1998, modificata dalla Legge 38 del 2006, sulla pornografia. I requisiti tecnici che dovranno essere adottati dagli ISP sono descritti dal Decreto Interministeriale del 8 gennaio 2007 (file 2007-01-29-Req-tecnici-pedopornografia.pdf).
Responsabilità amministrativa delle imprese
  • Decreto Legislativo 231 del 2001, più volte modificato. Introduce la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito. Precedentemente gli amministratori e le società non pativano conseguenze per reati commessi dal personale. Con questo Decreto Legislativo gli organi dirigenti non incorrono nelle sanzioni se applicano modelli organizzativi atti a prevenire taluni reati.
  • Decreto 201 del 2003 del Ministero della Giustizia. Reca il regolamento previsto dall'articolo 85 del Decreto Legislativo 231 del 2001. Specifica le modalità di formazione e tenuta dei fascicoli degli uffici giudiziari; i compiti ed il funzionamento dell'Anagrafe nazionale e soprattutto le modalità di presentazione, di esame, di valutazione dell'efficacia dei codici di comportamento previsti per mitigare le sanzioni a carico degli enti.
Normativa Privacy
Per consultare la normativa in materia di protezione dei dati personali (o "privacy"), si segnala il sito del Garante italiano (http://www.garanteprivacy.it).
Diritto d'Autore
  • Legge 633 del 1941, governa il Diritto d'autore in Italia ed è stata modificata parecchie volte nel corso degli anni. Qui di seguito sono proposte le disposizioni  più significative dal punto di vista dell'informatica:
    • Dlgs 518/1992 di attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore.
    • Dlgs 169/1999, di attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati.
    • Dlgs 68/2003, di attuazione della direttiva 2001/29/CE.
    • DL "Urbani" 72/2004 convertito in legge dalla L. 128/2004.
    • Legge 43/2005, che converte il Decreto Legge 7 del 2005.
    • Decreto Legislativo 118/2006 di attuazione della direttiva 2001/84/CE.
    • Decreto Legislativo Dlgs 140/2006 attuazione della direttiva 2004/48/CE.
    • Legge 2 del 2008, che prevede la possibilità di pubblicare senza oneri su Internet materiale a uso didattico o scientifico.
  • Dlgs 373 del 2000, sulla tutela dei servizi ad accesso controllato.
  • Dlgs 30 del 2005, Codice della proprietà industriale.
  • Regolamento di attuazione del Codice della proprietà industriale, emesso con il Decreto 33 del 13 gennaio 2010 del Ministero dello Sviluppo Economico.
  • DPCM 31 del 2009, tratta del "bollino" SIAE da apporre sui supporti come cd dvd ecc.
Normativa sulla Firma digitale e Gestione documentale
  • D.Lgs. 82 del 2005 o "Codice dell'Amministrazione Digitale" (più volte modificato, più recentemente dal Dlgs 235 del 2010), norma di riferimento per quanto riguarda la firma digitale. Attua quanto previsto dall'articolo 15, comma 2 della legge del 15 marzo 1997, n. 59 e rappresenta l'adeguamento italiano alla Direttiva Europea 1999/93/CE. Questo Decreto Legislativo, inoltre, regolamenta il Sistema Pubblico di Connettività (SPC).
  • DPR 445/2000, il precedente riferimento per la firma digitale, ora ridotto alle sole parti concernenti la gestione di atti e documenti nell'ambito della Pubblica Amministrazione;
  • Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno: questo abroga la direttiva 1999/93/CE e quindi parte del D.Lgs. 82, secondo modalità non ancora stabilite.
Da un punto di vista tecnico, sono in vigore i seguenti provvedimenti, eventualmente richiesti da norme abrogate ma tuttora validi:
  • Norme sulla dematerializzazione della documentazione:
    • DPCM del 22 febbraio 2013: Regole tecniche in materia di generazione, apposizione e verifi ca delle fi rme elettroniche avanzate, qualificate e digitali (di cui all'articolo 71 del D.Lgs.82); sostituisce i precedenti DPCM del 13 gennaio 2004 e del 30 marzo 2009.
    • Deliberazione CNIPA n. 45 del 2009 (scaricabile nella versione consolidata con le modifiche del 2010 da www.digitpa.gov.it): regole per il riconoscimento e la verifica del documento informatico a cui attenersi a norma del DPCM del 30 marzo 2009; sostituisce la precedente deliberazione CNIPA 4/2005.
    • DPCM del 30 ottobre 2003 (file 2003_DPCM_30_ottobre_schema_cert_sic.pdf): schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione.
    • Deliberazione CNIPA 11/2004 e note esplicative (scaricabile da www.digitpa.gov.it): regole tecniche per la riproduzione e conservazione di documenti su supporto ottico.
  • Norme applicabili alla Pubblica Amministrazione:
    • D.P.C.M. 31 ottobre 2000: regole tecniche per il protocollo informatico della Pubblica Amministrazione.
    • Delibera AIPA n. 51 del 2000 (file 2000_delibera_AIPA_51_PA.pdf): regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni (apparentemente, questa delibera non è più in uso e quindi, forse, implicitamente abrogata).
    • DPCM del 1 aprile 2009 sulle regole di sicurezza della SPC

  • Norme sulla posta elettronica certificata (PEC):
    • DPR 68 del 2005: regolamento per l'utilizzo della posta elettronica certificata (PEC).
    • Decreto del novembre 2005 della Presidenza del Consiglio dei Ministri e relativo Allegato: regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata.
    • Legge "anti-crisi" 2/2009 (di conversione del DL 185/2008): modifica il DPR 68 del 2005 e rende obbligatorio l'uso della PEC ad alcuni soggetti dal novembre 2011.
    • ulteriori regolamenti sul sito www.digitpa.gov.it
  • Norme relative alle firme elettroniche (un elenco più esaustivo e aggiornato è mantenuto da AgID sul proprio sito, alla voce Home - Agenda Digitale - Infrastrutture e architetture - Firme elettroniche):
    • Deliberazione CNIPA n. 45 del 2009 (scaricabile nella versione aggiornata da www.digitpa.gov.it): specifiche tecniche per garantire l'interoperabilità tra i diversi certificatori.
    • Circolare CNIPA 48 del 2005 (scaricabile da www.digitpa.gov.it): modalità per presentare la domanda di iscrizione nell'elenco pubblico dei certificatori.
  • Norme applicabili alla fatturazione elettronica:
    • Decreto Legislativo 52 del 2004: modalità di fatturazione elettronica (richiama la circolare AIPA 42 sostituita dalla Deliberazione CNIPA 11/2004).
    • Decreto del Ministero dell'Economica e delle Finanze del 23 gennaio 2004 (file 2004_decr_min_eco_23_gennaio_fiscali_doc_informatici.pdf.
  • Norme sulla Carta Nazionale dei Servizi:
    • D.P.R. 117 del 2004: regolamento sulla carta nazionale dei servizi.
    • Decreto interministeriale del 9 dicembre 2004 (file 2004_decreto_9_dicembre.pdf: regole tecniche relative alla carta nazionale dei servizi.

  • Sentenza della Corte di Cassazione del 19 febbraio 2008: conferma la validità di una comunicazione via e-mail. Anche se con riferimenti a dispositivi ormai abrogati, risulta essere un precedente interessante (il file).
Normativa sugli Internet Service Provider
  • Decreto Legislativo 259 del 2003 (noto come Legge Gasparri o Codice delle comunicazioni elettroniche), di regolamento, tra gli altri, delle reti e dei servizi di comunicazione elettronica ad uso pubblico.
  • Decreto "Urbani" 72/2004, impone agli Internet Service Provider alcune pesanti responsabilità per ciò che concerne il diritto d'autore.
  • Legge 269 del 1998, sulla pornografia, che richiede agli ISP attività di controllo e segnalazione con requisiti tecnici stabiliti dal Decreto Interministeriale del 8 gennaio 2007 (file 2007-01-29-Req-tecnici-pedopornografia.pdf).
  • Per quanto riguarda la "data retention", ossia la conservazione dei dati di traffico telefonico e telematico, sono applicabili:
    • Decreto-legge 27 luglio 2005, n. 144, convertito in legge con modificazioni dalla Legge 155 del 2005, detto "Decreto Pisanu" e successivamente modificato dal DL 225/2010 convertito in Legge 10 del 2011.
    • Decreto Legislativo 109 di recepimento della Direttiva 2006/24/CE.
    • Legge 48 del 2008, di ratifica della Convenzione di Budapest sulla criminalità informatica.
  • Sul sito della Cassazione http://www.cortedicassazione.it è stato pubblicato un interessante Studio recante una disamina dei più recenti contributi giurisprudenziali e dottrinali in tema di intercettazioni, che pone in evidenza i contrasti ancora aperti.
  • Regolamenti tecnici determinati da delibere dell'AGCOM (www.agicom.it) che richiedono, in particolare, la redazione e pubblicazione di documenti sulla qualità dei servizi e la Carta dei Servizi per: telefonia vocale fissa (Delibere n. 254/04/CSP e n. 79/09/CSP), comunicazioni mobili e personali (Delibere n. 104/05/CSP e n. 79/09/CSP), televisione a pagamento (Delibera n. 278/04/CSP), accesso a Internet da postazione fissa (Delibere n. 131/06/CSP e n. 244/08/CSP).
Normativa sulla sicurezza delle reti (Direttiva NIS e infrastrutture critiche)
  • Decreto legislativo 61/2011, "Attuazione della Direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione"; questo D. Lgs. non è mai stato realmente applicato anche in vista del recepimento della Direttiva NIS.
  • Decreto legislativo 65/2018, "Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione."; questo D. Lgs. è il recepimento della cosiddetta Direttiva NIS (network and information security).
Normativa sull'e-commerce
La normativa di base sull'e-commerce è composta dai seguenti:
  • Decreto legislativo 70/2003, regolamentazione del commercio elettronico e, più in generale, dei servizi della società dell'informazione.
  • Codice del Consumo (Dlgs 206/2005), affronta il tema della pubblicità ingannevole e comparativa e dei contratti a distanza.
Sono stati pubblicati nel tempo ulteriori dispositivi normativi specialistici, tra cui:
  • Dlgs 190/2005, sulla commercializzazione a distanza di servizi finanziari.
  • i regolamenti sui giochi on-line decreti dell’AAMS, reperibili presso www.aams.gov.it
Normativa sulle infrastrutture critiche
  • Dlgs 61 del 2011, per il quale ogni azienda “critica” dovrà avere un responsabile della sicurezza unico e un “Piano della Sicurezza dell’Operatore”. Attualmente, le infrastrutture ICT non sono comprese nella normativa vigente, ma potrebbero esserlo in future revisioni.
Normativa sul Segreto di Stato
Il tema è di interesse anche per chi si occupa di sicurezza delle informazioni solo nell'ambito delle imprese private:
  • Legge 124 del 2007 sulla disciplina del Segreto di Stato
  • DPCM 7 del 12 giugno 2009 "Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonché dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica" (comprende a classificazione delle informazioni)
  • DPCM 4 del 22 luglio 2011 "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate" (riporta le misure di sicurezza)
  • Legge 241 del 1990 "Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi"
  • DPR 184 del 2006 "Regolamento recante disciplina in materia di accesso ai documenti amministrativi." (riporta ulteriori specifiche rispetto a quelle già indicate dalla Legge 241/1990)
  • DPCM 11 aprile 2002 sulla certificazione dei prodotti e sistemi IT coinvolti nel Segreto di Stato
Normativa sull'accessibilità (Legge Stanca)
  • Legge 4/2004 (nota come Legge Stanca) per l'accessibilità dei soggetti disabili agli strumenti informatici; ad essa dovranno seguire dei decreti attuativi.
  • DPR 75 del 2005, regolamento di attuazione di cui all'articolo 10 della Legge Stanca.
  • Decreto 8 luglio 2005 del Ministero per l’Innovazione e le Tecnologie: Requisiti tecnici e i diversi livelli per l'accessibilità agli strumenti informatici.
Il sito di riferimento è quello della DigitPA (anche se si riscontrano alcune carenze), all'indirizzo http://www.digitpa.gov.it.

Torna all'indice



Cesare Gallotti - Ripa di Porta Ticinese 75 - 20143 Milano - P. IVA 06342760961