Aspetti normativi e giuridici negli Stati Uniti e in Italia della sicurezza informatica e problematiche connesse Di Giancarlo Scola Corso di Sistemi di Elaborazione dellinformazione:sicurezza a.a
Sistemi Giuridici b Italia Il civil law o famiglia romano germanica Il civil law o famiglia romano germanica b Stati Uniti Il common law o famiglia anglo americanaIl common law o famiglia anglo americana
Caratteristiche dei sistemi giuridici b Civil law Certezza del diritto (conoscenza comune e preventiva delle norme)Certezza del diritto (conoscenza comune e preventiva delle norme) Norme precostituite, generali e astratteNorme precostituite, generali e astratte Uniformità del dirittoUniformità del diritto b Common law Equità (esclusivo riferimento alla situazione in oggetto) Mancanza di un complesso di norme precostituite Vincoli di sentenze precedenti
Problematiche connesse b Definizione formale di reato informatico b Giurisdizione b Anonimato sulla rete b Adeguamento normativo
Definizione formale del reato - 1 Donn Parker - Stanford Research Institute: …un reato informatico è un reato che, per essere commesso con successo, necessita della conoscenza del funzionamento del computer, mentre in un reato connesso all'informatica il computer è usato solo come mezzo od obiettivo di reato, indipendentemente dalla conoscenza che si ha sul funzionamento della macchina …
Definizione formale del reato - 2 b Manuale delle Nazioni Unite per la prevenzione e il controllo dei reati connessi allinformatica ( ): FrodeFrode FalsoFalso Sabotaggio di computerSabotaggio di computer Accesso non autorizzato a servizi o sistemiAccesso non autorizzato a servizi o sistemi Copia non autorizzata di software proprietarioCopia non autorizzata di software proprietario Persecuzione tramite computerPersecuzione tramite computer
Definizione formale del reato - 3 Frode b Fanno parte di questa categoria i reati commessi in relazione al furto di numeri di carte di credito, informazioni personali e finanziarie atte ad eseguire truffe, alla vendita di tali informazioni o all'offerta di falsi finanziamenti attraverso la rete.
Definizione formale del reato - 4 Falso b Il falso informatico riguarda l'alterazione o la contraffazione di documenti in forma digitale. Copie e alterazioni sono rese permanenti e non distinguibili dall'originale anche da un esperto, per la natura stessa del supporto su cui sono memorizzate.
Definizione formale del reato - 5 Sabotaggio di Computer b L'uso della rete per inficiare il normale funzionamento di un sistema attraverso l'uso di worms, virus, bombe logiche,messo in atto per avere vantaggio economico su un concorrente, per promuovere attività illegali di terrorismo, per il furto di dati o programmi ai fini di estorsione.
Definizione formale del reato - 6 Accesso non autorizzato a Servizi o Sistemi b La messa in atto di tecniche informatiche al fine di sottrarre risorse quali potenza di calcolo, spazio fisico su supporti magnetici, connessioni protette, password o altro servizio a fini di sabotaggio ricadono in questa categoria.
Definizione formale del reato - 7 Copia non autorizzata di Software b Arrecare danno economico a una società distribuendo software proprietario, funzionante e non distinguibile dall'originale.
Definizione formale del reato - 8 Persecuzione tramite computer b In questa categoria ricadono le persecuzioni tramite , siano esse di minaccia, ricatto, molestie o il mail bombing atto ad arrecare danni oggettivi all'utente bersaglio di tale pratica o al sistema di cui l'utente fa parte.
Giurisdizione - 1 Definizione b b Competenza legale (e, di conseguenza, delle autorità autorizzate legalmente ad investigare sul caso) su reati che possono essere commessi anche a grande distanza.
Giurisdizione - 2 Problema b La rete può essere vista come multi- giurisdizionale poiché a ogni sistema o macchina si può accedere da qualsiasi parte del mondo b La rete può anche essere vista come a- giurisdizionale, perché i confini di stato (e quindi le norme vigenti su quel territorio) sono assolutamente trasparenti all'utente.
Giurisdizione - 3 Soluzione b Ciò che si fa in rete, si fa ovunque. b Usando la rete, quindi, un utente si trova, indipendentemente dalla sua volontà, soggetto alla giurisdizione di tutte le nazioni.
Anonimato sulla rete b Il computer fornisce un alto grado di (pseudo) anonimato. b Mancanza di comportamenti etici coerenti. b Uso della legge per forzare un certo codice di condotta.
Adeguamento normativo b Scorrere l'intero codice cercando di identificare e ampliare ogni articolo potenzialmente inerente al problema. b Concentrare l'attenzione su un solo articolo, scrivendolo ex-novo o ampliandone uno che più di altri si presta allo scopo di affrontare il problema.
Legislazione statunitense e italiana - 1 b Stati Uniti Computer Fraud And Abuse Act (1994,1996)Computer Fraud And Abuse Act (1994,1996) b Italia Legge 23 dicembre 1993, n. 547Legge 23 dicembre 1993, n. 547
Legislazione statunitense e italiana - 2 b Sostanziale conformità alla definizione di reato proposta dalle Nazioni Unite. b Differente approccio filosofico al problema. b Differente computazione delle pene (intrinseco ai due sistemi giuridici) b Differente approccio alladeguamento normativo
Legislazione statunitense e italiana - 3 b Frode negli stati Uniti Paragrafo (a) (4) CFAA.Paragrafo (a) (4) CFAA. b Frode in Italia Articolo 640 ter C.P.Articolo 640 ter C.P.
Legislazione statunitense e italiana - 4 b Falso negli Stati Uniti nullanulla b Falso in Italia Articolo 491 C.P.Articolo 491 C.P. Articolo 617 sexies C.P.Articolo 617 sexies C.P.
Legislazione statunitense e italiana - 5 b Sabotaggio di computer negli Stati Uniti Paragrafo (a)(5) CFAA.Paragrafo (a)(5) CFAA. Paragrafo (a)(6) CFAA.Paragrafo (a)(6) CFAA. b Sabotaggio di computer in Italia Articolo 615 quater C.P.Articolo 615 quater C.P. Articolo 615 quinquies C.P.Articolo 615 quinquies C.P.
Legislazione statunitense e italiana - 6 b Accesso non autorizzato a servizi o sistemi negli Stati Uniti Paragrafo (a)(1) CFAA.Paragrafo (a)(1) CFAA. Paragrafo (a)(2) CFAA.Paragrafo (a)(2) CFAA. b Accesso non autorizzato a servizi o sistemi in Italia Articolo 420 C.P.Articolo 420 C.P. Articolo 615 ter C.P.Articolo 615 ter C.P.
Legislazione statunitense e italiana - 7 b Persecuzione tramite computer negli Stati Uniti Paragrafo (a)(7) CFAAParagrafo (a)(7) CFAA b Persecuzione tramite computer in Italia Articolo 616 (quarto comma) C.P.Articolo 616 (quarto comma) C.P. Articolo 617 quater C.P.Articolo 617 quater C.P. Articolo 617 quinquies C.P.Articolo 617 quinquies C.P.
Legislazione statunitense e italiana - 8 Approccio filosofico b Stati Uniti: maggiore attenzione alla sicurezza nazionale e al commercio interno ed estero. b Italia: maggior risalto alla sicurezza pubblica e alla libertà del singolo cittadino.
Legislazione statunitense e italiana - 9 Computazione della pena b Stati Uniti: U.S. Sentencing Guidelines, rispetto dellequità. b Italia: Art. 132 e 133 C.P., vincoli del giudice nella computazione della pena.
Legislazione statunitense e italiana - 10 Adeguamento giuridico b Stati Uniti: unico articolo, concentrazione delle norme nel Titolo 18, §1030 dello U.S. Code (Computer Fraud and Abuse Act) b Italia: riesame delle norme esistenti, ampliamento del Codice Penale e del Codice di Procedura Penale.
Un esempio pratico b Prendiamo in considerazione il reato di danneggiamento di computer e sistemi tramite diffusione di programmi virus. b Esamineremo quindi le norme dei due paesi a tal proposito e le pene che si rischiano.
Un esempio pratico b Paragrafo (a)(5) CFAA: Chiunque accedendo senza autorizzazione o eccedendo gli accessi consentiti […] causi (A) attraverso la trasmissione di programmi, informazioni, codici o comandi, danni non autorizzati a un computer protetto(A) attraverso la trasmissione di programmi, informazioni, codici o comandi, danni non autorizzati a un computer protetto (B) danni a un computer per comportamento incauto(B) danni a un computer per comportamento incauto (C) danno(C) danno [...]
Un esempio pratico b Pene per la violazione del paragrafo (a)(5) [...] una ammenda prevista per questo titolo o la detenzione per non più di 1 anno, o entrambe nel caso di reati relativi al paragrafo [..](a)(5)(C) [...][...] una ammenda prevista per questo titolo o la detenzione per non più di 1 anno, o entrambe nel caso di reati relativi al paragrafo [..](a)(5)(C) [...] [...] una ammenda prevista per questo titolo o la detenzione per non più di 5 anni, o entrambe nel caso di reati relativi al paragrafo [...] (a)(5)(A), (a)(5)(B) [...][...] una ammenda prevista per questo titolo o la detenzione per non più di 5 anni, o entrambe nel caso di reati relativi al paragrafo [...] (a)(5)(A), (a)(5)(B) [...]
Un esempio pratico b Art. 615-quinquies. - (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni".Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni".
Un esempio pratico Pena negli Stati Uniti b U.S. Sentencing Guidelines Valutazione oggettiva del livello di reato (livello base 6).Valutazione oggettiva del livello di reato (livello base 6). Valutazione oggettiva della Storia Criminale del reo.Valutazione oggettiva della Storia Criminale del reo. Tabella delle sentenze.Tabella delle sentenze. Condanna da 0 a 60 mesi (5 anni) + ammenda.Condanna da 0 a 60 mesi (5 anni) + ammenda.
Un esempio pratico Pena in Italia b Obbligo a procedere allazione penale. b Art. 132 e 133 del Codice Penale. Valutazione soggettiva del comportamento del reo.Valutazione soggettiva del comportamento del reo. Valutazione soggettiva del danno procurato.Valutazione soggettiva del danno procurato. Condanna da 0 a 24 mesi (2 anni) + ammenda.Condanna da 0 a 24 mesi (2 anni) + ammenda.
Conclusioni - 1 Perché nuove leggi b Sicurezza Informatica - Nuovo problema socialmente rilevante. b Necessità di protezione dei dati digitali: disponibilitàdisponibilità integritàintegrità riservatezzariservatezza
Conclusioni - 2 Effetti collaterali b Diritto Uniforme - globalizzazione della legge. b Possibilità degli inquirenti di non essere soggetti a tali leggi. b Possibile intervento di poteri forti per influenzare la legge.