Antivirus, non aggiornare è reato

di V. Frediani (Consulentelegaleinformatico.it) - Notificato un avviso di garanzia per il responsabile dei servizi informatici del Comune di Milano. Potrebbe essere condannato per non aver aggiornato le misure di sicurezza

Roma - Qualche anno fa il virus Kamasutra aveva mandato in tilt i PC del Comune di Milano: la questione si era conclusa con una pessima figura del Comune, una multa emanata dall'Autorità Garante in materia di protezione dati personali per omissione di misure di sicurezza (circa 70.000 euro di sanzioni amministrative) ed un termine imposto sempre dal Garante, per effettuare il cosiddetto "ravvedimento": provvedere alla regolarizzazione degli antivirus entro i tempi imposti dall'Autorità.

Oggi la questione sembra riaprirsi, anzi si riaprono in questo caso le porte del Tribunale Penale di Milano, in quanto un PM piuttosto attento alla materia ha notificato un avviso di garanzia al Responsabile dei sistemi informatici dell'epoca, contestando ben due reati: quello di omissione di controllo delle misure di sicurezza dei sistemi informativi, l'altro consistente in false attestazioni rese al Garante in relazione all'adeguamento alle misure trascorso il termine prescritto dal medesimo Garante per la messa a norma.

Di quali reati stiamo parlando? Stiamo parlando di due reati procedibili di ufficio, presenti nel decreto legislativo 196/2003 (cosiddetto Codice in materia di protezione dati personali) i quali prevedono non poche conseguenze negative in caso di accertamento della responsabilità dei soggetti indagati.
Il reato inerente le misure di sicurezza è citato all'art. 169 del suddetto Codice, il quale prevede espressamente che:
1 - Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro;
2 - All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.

Ebbene, all'epoca del primo controllo fu impartito al Comune il termine di prescrizione per l'adeguamento, difatti il Responsabile dei sistemi informativi rilasciò poi successivamente al Garante la dichiarazione inerente l'adeguamento avvenuto, evento che evidentemente avrebbe generato la presunta violazione lamentata dal PM ovvero la resa di false attestazioni all'Autorità Garante. Il problema è sorto quando a fine anno passato, proprio l'Autorità ha promosso una verifica presso il Comune, considerata la precedente gravità dei fatti: dall'accertamento è emersa la presenza di antivirus su 7000 e passa client, rispetto ai 10.500 client presenti realmente presso gli uffici del Comune.

È ovvio che ad oggi sotto il profilo penale si sta esclusivamente parlando di una potenziale responsabilità, è pur vero che gli aspetti relativi alla responsabilità penale nell'ambito privacy, vengono fin troppo sottovalutati.

Spesso titolari e responsabili dei trattamenti sono scettici circa i controlli e la concretezza delle responsabilità derivanti in materia di privacy, ritenendo con troppa leggerezza che le misure di sicurezza non a norma oggi, verranno "sistemate" nel tempo. Il tempo è già arrivato, il Codice in materia di protezione dati personali è in vigore dal primo gennaio 2004, le misure di sicurezza, anche se non fossero imposte dal legislatore, dovrebbero essere applicate solo alla luce dell'importanza che i dati rivestono all'interno del settore pubblico o privato: antivirus, password, back-up non dovrebbero trovare imposizione nel Codice privacy, dovrebbero essere una premura dei titolari del trattamento, adottando semplicemente una diligenza media.

E soprattutto in caso di outsourcing nella gestione delle misure di sicurezza, sarebbe opportuno effettuare controlli ed avere riscontri circa la veridicità delle misure adottate. Resta inteso che realtà estese come possono essere quelle dei Comuni o altri enti che contano più di 10.000 client, avrebbero dovuto "spalmare" l'impegno economico ed organizzativo della messa a norma negli anni subito successivi all'entrata in vigore del Codice. Oggi questo ancora in molte strutture non avviene, ma non c'è più nessuna scusante... O è privacy o non è privacy!

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it
127 Commenti alla Notizia Antivirus, non aggiornare è reato
Ordina
  • Al di là dei fatti concreti e di come si sono svolte le circostanze, ( e prescindendo dalla solita diatriba win/linux)questa sentenza pone dei principi abbastanza discutibili e cioè che il SYSADMIN è sempre responsabile incluso le C....e che i vari dipendenti fuori dal suo controllo delle amm.ni, possono fare pregiudicando la sicurezza in essere.
    In tutto ciò come al solito prevale un senso d'ingiustizia e la constatazione che quando sia a che fare con i burocrati è meglio starne fuori....
    Sul fatto che ci siano sysadmin bravi e meno bravi siamo d'accordo, ma allora sulla base di qs. principio ( e tra l'altro spesso chi dà maggiori garanzie è anche più costoso e le P.A. spesso hanno i soldi contati) bisognerebbe punire qualsiasi avv. che non sia in grado di difendere al meglio il proprio assistito.
    La questione della responsabilità nelle libere professioni è cosa assai complessa che non può essere lasciata al politico e/o legislatore di turno che niente sanno della materia e che legiferano senza considerare le implicazioni che sono in gioco.
    Dubito cmq che una sentenza del genere troverà concreta applicazione... visto che per vari elementi a carico ve ne sono altrettanti a discarico tali probabilmente da disinnescare simili teoremi.
    Senza considerare le implicazioni pratiche: chi se la sentirebbe alla luce di ciò di fare consulenze informatiche per la P.A.?
    Che se li installino loro gli antivirus, i firewall, tanto sono tutti una manica di incompetenti incapaci di apoprendere e comprendere, che alla base di nuon lavoro è sempre necessaria l'interazione della controparte.
    non+autenticato
  • ...eddai e smettiamola! Sarebbe ora che i comuni si adattassero ad altre piattaforme più sicure,performati e senza problemi di virus/malware.Sarebbe tempo che passassero tutti quanti a LINUX .Anche perchè di software per i comuni,utilizzando Linux, ne hanno a iosa!I documenti , se non sono scritti/letti con microzzozzo woed, si possono leggere/scrivere con Open Office Org..il quale ha fatto passi da gigante!NOn aggiungo altro!
    non+autenticato
  • Come da oggetto, ho Windows e non ho problemi di virus.


    Sarà perché ho un sistema senza software crakkato e che posso quindi aggiornarlo correttamente...
    non+autenticato
  • - Scritto da: giyf
    > Come da oggetto, ho Windows e non ho problemi di
    > virus.

    > Sarà perché ho un sistema senza software crakkato
    > e che posso quindi aggiornarlo
    > correttamente...

    O semplicemente che sei stato fortunato...
    krane
    22544
  • Io ho Windows, sempre aggiornato e in più:
    -Un firewall che funzioan bene ed è come se non ci fosse
    -Un antivirus sempre aggiornato
    -ADAware sempre aggiornato
    -Spybot sempre aggiornato
    -Non vado in siti pericolosi, e se comunque decidessi di andarci ci andrei con un OS caricato su una macchina virtuale; poi alla fine butti l'acqua con il bambino.
    Mai avuto problemi, e spero di continuare.
    Poi è notorio che ci sono certi sw molto popolari e craccati che sono una collezione di virus (i craccati, ovvio).
    non+autenticato
  • - Scritto da: rover
    > Io ho Windows, sempre aggiornato e in più:
    > -Un firewall che funzioan bene ed è come se non
    > ci fosse
    > -Un antivirus sempre aggiornato
    > -ADAware sempre aggiornato
    > -Spybot sempre aggiornato

    Ottimo, io su linux no, tutte risorse risparmiate, senza contare il tempo di tenere aggiornato ogni singolo "anti".

    > -Non vado in siti pericolosi, e se comunque
    > decidessi di andarci ci andrei con un OS caricato
    > su una macchina virtuale; poi alla fine butti
    > l'acqua con il bambino.

    Io non ho di questi problemi e vado in siti pericolosi, pensa quanto tempo risparmio.

    > Mai avuto problemi, e spero di continuare.
    > Poi è notorio che ci sono certi sw molto popolari
    > e craccati che sono una collezione di virus (i
    > craccati, ovvio).

    Non sai cercare i crack, probabilmente perche' hai paura di girare troppi siti potenzialmente pericolosi.
    krane
    22544
  • - Scritto da: rover
    > Io ho Windows, sempre aggiornato e in più:
    > -Un firewall che funzioan bene ed è come se non
    > ci fosse
    > -Un antivirus sempre aggiornato

    E questo è il minimo, e tutti grosso modo lo fanno

    > -ADAware sempre aggiornato
    > -Spybot sempre aggiornato

    E qui ci devi stare anche un po' dietro

    > -Non vado in siti pericolosi

    Ok, è una precauzione utile a cui abituarsi, tuttavia ci sono ormai problemi di malware anche su siti comuni,
    gli infettano le pagine e poi infettano te

    > e se comunque
    > decidessi di andarci ci andrei con un OS caricato
    > su una macchina virtuale; poi alla fine butti
    > l'acqua con il bambino

    Non proprio alla portata di tutti viaggiare con una macchina virtuale. Insomma, è nell'insieme un bell'impegno
    non+autenticato
  • secondo me è un problema di ignoranza.
    alla quarta volta che paghi qualcuno per farti tornare tutto ok, smetti di fare lo sprovveduto.
    con calma e pazienza si impara ad usare quei 4 programmi che ti permettono di diminuire drasticamente i casini.
  • Sarà che il virus è windows?
    Prova questo sito

    speedtest.ch

    e segnati a quanto scarichi

    torna in internet con un live cd di linux

    mandriva spring 2008.1 ad esempio così se hai problemi con hardware proprietario (scheda wireless o modem adsl usb) usi i driver di windows già presenti sull'hard disk

    riconnettiti al sito di cui sopra e poi vienimi a dire che non c'è differenza!

    Ho fatto questa prova su una alice a 7 mega

    2 mega con windows

    4 mega con linux

    sullo stesso pc e con la stessa identica linea.

    Pclinux

    web pclinux(dot)euFan Linux
    non+autenticato
  • - Scritto da: pclinux
    > Sarà che il virus è windows?
    > Prova questo sito
    >
    > speedtest.ch
    >
    > e segnati a quanto scarichi
    >
    > torna in internet con un live cd di linux
    >
    > mandriva spring 2008.1 ad esempio così se hai
    > problemi con hardware proprietario (scheda
    > wireless o modem adsl usb) usi i driver di
    > windows già presenti sull'hard
    > disk
    >
    > riconnettiti al sito di cui sopra e poi vienimi a
    > dire che non c'è
    > differenza!
    >
    > Ho fatto questa prova su una alice a 7 mega
    >
    > 2 mega con windows
    >
    > 4 mega con linux
    >
    > sullo stesso pc e con la stessa identica linea.
    >
    > Pclinux
    >
    > web pclinux(dot)euFan Linux

    Eddai non postare certe cose, sennò chi si compra più Winzozz?
    non+autenticato
  • del comune! E' responsabile anche se non ci sono i fondi per acquistare un antivirus? Che cosa doveva fare? Sborsare i soldi di tasca propria?

    Chiedo per ignoranza...
  • Fossi in lui avrei cercato di pararmi il **** informando i miei superiori per iscritto della necessità di acquistare gli antivirus.

    A quel punto, se mancavano i fondi per gli AV, la colpa non era certo sua che aveva fatto notare il problema.......
    non+autenticato
  • - Scritto da: giyf
    > Fossi in lui avrei cercato di pararmi il ****
    > informando i miei superiori per iscritto della
    > necessità di acquistare gli antivirus.

    L'avrei fatto pure io: raccomandata al comune in cui descrivevo la situazione e dicevo che non ero responsabile di eventuali casini che sarebbero successi in futuro.

    > A quel punto, se mancavano i fondi per gli AV, la
    > colpa non era certo sua che aveva fatto notare il
    > problema.......

    Sono d'accordo: è stato un co****ne bello e buono.
  • A maggior ragione se era dipendente del Comune dovrebbe essere tenuto indenne da responsabilità....e condannare invece l'approssimazione di quei capi P.A. che gli hanno affidato l'incarico, magari distogliendolo dalle mansioni di cui abitualmente opera.
    Se è come dici tu il dipendente è un sottoposto e non ha nessuna libertà d'iniziativa, e certamente non può metterci Lui i soldi per gli antivirus aggiuntivi.
    Ma allo stesso modo se fosse una società informatica o cmq dei Consulenti esterni non è che questi possono risponderne perchè il comune non ha i soldi e non ha intenzione di sborsarne altri...
    Nella maggior parte dei casi questa gente opera con un budget rigido e definito, oltre il quale non è possibile aggiungere nulla , a meno di fare lunghe richieste spesso disattese.... e nel frattempo cosa succede? che metà dei client rimangono senza antivirus, questo è quello che succede normalmente il resto sono assurdi tentativi di trovare capri espiatori verso chi probabilmente ha soltanto delle mimime o colpe nulle.
    non+autenticato
  • a) Quindi anche i "windows updates" hanno lo stesso obbligo di essere applicati che ha l'antivirus ? (sono citati dal DLGS 196/2003 allegato B, punto 17).

    b) Dall'anno prossimo Microsoft dovrebbe smettere di produrre aggiornamenti di sicurezza per Windows 2000 ed Exchange Server 2000. Cosa succederà quindi ? Che Windows 2000 sarà illegale oppure che tale sistema operativo diventerà miracolosamente legale anche se tenuto senza aggiornamenti di sicurezza, visto che gli aggiornamenti non esistono ?
  • - Scritto da: entromezzanotte
    > a) Quindi anche i "windows updates" hanno lo
    > stesso obbligo di essere applicati che ha
    > l'antivirus ? (sono citati dal DLGS 196/2003
    > allegato B, punto
    > 17).
    >
    > b) Dall'anno prossimo Microsoft dovrebbe smettere
    > di produrre aggiornamenti di sicurezza per
    > Windows 2000 ed Exchange Server 2000. Cosa
    > succederà quindi ? Che Windows 2000 sarà illegale
    > oppure che tale sistema operativo diventerà
    > miracolosamente legale anche se tenuto senza
    > aggiornamenti di sicurezza, visto che gli
    > aggiornamenti non esistono
    > ?

    non sono un Giurista ma credo che si tratti delle c.d "misure minime" e "misure idonee".
    non+autenticato
  • - Scritto da: entromezzanotte
    >
    > b) Dall'anno prossimo Microsoft dovrebbe smettere
    > di produrre aggiornamenti di sicurezza per
    > Windows 2000 ed Exchange Server 2000. Cosa
    > succederà quindi ?

    Ovvio: passeranno tutti prima a Vista, e poi a Windows Seven...

    Bye by SixaM 8-]
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)