Il 4 novembre si terrà a Bologna, presso il CIRSFID, un incontro organizzato dall’ANDIG (Associazione Nazionale Docenti di Informatica Giuridica e Diritto dell’informatica), dedicato alla “Sicurezza informatica: aspetti giuridici,organizzativi, economici e tecnici”.
Sarà questa l’occasione per fare il punto sull’evoluzione del concetto di sicurezza informatica nel nostro Paese e per svolgere considerazioni in ordine a ciò che ancora deve essere fatto anche sul piano legislativo.
Anticipando il contenuto della mia relazione, riferita specificatamente alla sicurezza informatica nel diritto penale, rileva come negli anni il tema della sicurezza si è arricchito di contenuti anche per quanto concerne l’ambito strettamente penalistico.
Pur esistendo da sempre uno stretto rapporto tra i reati perpetrati attraverso le tecnologie dell’informazione e le forme di contrasto tecniche, considerato che per prevenire reati di questo tipo occorre innanzitutto predisporre un adeguato sistema di difesa tecnologico, la sicurezza informatica è stata vista fino a pochi anni fa come un problema non giuridico, rimanendo distinte e distanti le figure dell’IT security expert e del penalista.
Oggi non può essere più così per un diverso ordine di fattori.
In primo luogo perché molte norme gravitanti nell’orbita dell’ordinamento penale si riferiscono espressamente alla sicurezza, imponendo così un interpretazione delle stesse che tenga conto sia delle conoscenze tecniche, che giuridiche. Si pensi a tal riguardo all’importanza di una interpretazione univoca su cosa debba intendersi per “misure di sicurezza” rispetto all’art.615 ter c.p., accesso abusivo in un sistema informatico e telematico, considerato che la norma non protegge tutti i sistemi, ma esclusivamente quelli protetti da misure di sicurezza. Stesso discorso per quanto attiene all’interpretazione delle norme processuali che dettano regole in materia di sequestro, ispezione e perquisizione informatica, atteso che la legge 48 del 2008, che le ha introdotte, non specifica come vada ricercata la prova, limitandosi ad affermare la necessità di misure tecniche che assicurino la conservazione dei dati originali e l’adozione di procedure che non alterino i dati stessi.
L’interpretazione giuridica alla luce di conoscenze di carattere tecnico si rende necessaria anche per altre disposizioni quali, ad esempio: l’art.14 quater l.38/ 2006 in materia di sfruttamento sessuale dei minori e pedopornografia, che prevede per i fornitori di connettività l’obbligo di utilizzare strumenti di filtraggio per impedire l’accesso ai siti che diffondono materiale pedopornografico; il comma 4 ter dell’art.132 del Codice della privacy, introdotto dalla legge 48 del 2008, che prevede la possibilità di ordinare ai fornitori e operatori dei servizi informatici e telematici di conservare e proteggere per un periodo non superiore ai 90 giorni i dati relativi al traffico telematico; l’art. 2 comma 3 del Decreto legge n.7 del 2015 (convertito con la legge n.43 del 2015), che prevede che i fornitori di connettività, su richiesta dell’autorità procedente, debbano inibire l’accesso ai siti riconducibili ad attività terroristiche.
In secondo luogo perché oggi in specifici contesti la pianificazione di un piano di sicurezza ha importanti ripercussioni sul piano giuridico.
A tal riguardo basta ricordare come il d.lgs 231 del 2001(in virtù dell’art.24 bis, introdotto dalla l.48 del 2008) estende la responsabilità amministrativa dell’ente per quasi tutti i reati informatici commessi dai vertici e dipendenti, qualora i delitti siano commessi nell’interesse dell’azienda o nel caso che la stessa ne abbia, comunque, trattato un vantaggio.
Ne discende allora che l’esonero da responsabilità, previsto dall’art. 6 del d.lgs 231, possa essere sussistente solo laddove il modello di organizzazione richiesto sia dotato anche di un piano di sicurezza idoneo a dimostrare che è stato fatto di tutto per evitare che il reato venisse commesso .
Tali brevi considerazioni portano a ritenere che l’IT security expert non possa più fare a meno del dialogo con il giurista nello svolgimento della sua attività, così come il giurista non può fare a meno dell’esperto della sicurezza all’atto di interpretare le norme o di pianificare una strategia giuridica in materia di reati commessi attraverso le tecnologie dell’informazione.
Il tema vero allora non è tanto quello relativo al sensibile ed inevitabile avvicinamento tra due mondi, quello informatico e quello giuridico, quanto trovare soluzioni che rendano possibile un efficace collaborazione tra soggetti, per entroterra culturale, estremamente diversi.
Per quanto riguarda la posizione che il giurista deve assumere in questo settore basta seguire l’insegnamento del fondatore dell’Informatica giuridica in Italia, Vittorio Frosini, per il quale il cultore del diritto non deve diventare un informatico, ma soltanto un soggetto in grado di interpretare le norme, e il contesto in cui le stesse vanno applicate, semplicemente adeguandosi ai cambiamenti della società in cui vive.
Basta quindi “ semplicemente” che il giurista faccia il giurista.
