Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il recente d.l. 14 agosto 2013, n. 93 recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere (c.d. decreto sul femminicidio) di cui abbiamo già trattato prevede all’art. 1 comma 3 un’aggravante per gli atti persecutori (reato previsto dall’art. 612-bis del codice penale) commessi con strumenti informatici o telematici.

In sintesi, reiterato invio di sms, offese su social network, upload di contenuti illeciti o offensivi, tutto ciò che può configurarsi come “atto persecutorio” si configura come reato aggravato se commesso con strumenti informatici o telematici.

La nostra giurisprudenza aveva già qualificato questi fatti come reati: ora divengono reati aggravati.

Di fondamentale importanza è che la querela diviene irrevocabile: in termini molto semplici, la denuncia non può essere ritirata.

posted by Giusella Finocchiaro on agosto 29, 2013

Computer Crimes

(No comments)

Il recente d.l. 14 agosto 2013, n. 93 recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere (c.d. decreto sul femminicidio) di cui abbiamo già trattato reca sempre all’art. 9, comma 2 una disposizione sull’identità digitale.

Al reato di frode informatica, già previsto nel nostro codice penale all’art. 640 ter, si aggiunge un’aggravante, per il caso in cui “il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti”. La pena prevista è quella da due a sei anni di reclusione e da 600 euro a 3000 euro di multa.

Ancora, viene estesa la responsabilità amministrativa da reato di società e associazioni al reato di frode informatica: la società è responsabile del reato di frode informatica aggravato da sostituzione dell’identità digitale commesso a suo vantaggio o nel suo interesse da amministratori, dipendenti o collaboratori.

Lo scopo della norma è quello, anche secondo la relazione della Corte di Cassazione, di punire le frodi realizzate mediante furto d’identità soprattutto nel credito al consumo.

Il recente d.l. 14 agosto 2013, n. 93 recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere (c.d. decreto sul femminicidio) reca all’art. 9, comma 2 una disposizione molto tecnica sul trattamento illecito dei dati personali.

In sintesi, si estende la responsabilità amministrativa da reato delle società e delle associazioni anche ai delitti previsti dal Codice per la protezione dei dati personali.

Il nuovo articolo 24-bis prevede, infatti, la responsabilità amministrativa da reato anche per i delitti di trattamento illecito dei dati personali (art. 167 del Codice privacy), di falsità nelle dichiarazioni e notificazioni al Garante (art. 168 del Codice privacy) e di inosservanza dei provvedimenti del Garante (art. 170 del Codice privacy).

Diviene potenzialmente amplissima la responsabilità dell’ente, chiamato a rispondere anche per i reati in materia di privacy commessi, nell’interesse o a vantaggio dell’ente, da rappresentanti, amministratori, dirigenti o soggetti sottoposti alla loro direzione o vigilanza. E quale società o associazione non tratta dati personali?

Oltre alla sanzione pecuniaria, sono previste sanzioni interdittive, costituite dall’interdizione dall’esercizio dell’attività; dalla sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; dal divieto di pubblicizzare beni o servizi.

Le società e le associazioni dovranno adeguare i modelli organizzativi ai sensi del d.lgs. 231/2001 alla prevenzione di questi delitti.

Prima della modifica ferragostana, ricordiamo, il trattamento illecito dei dati era soltanto menzionato nella rubrica dell’articolo, ma le fattispecie non erano poi disciplinate nel testo. Dunque, in realtà, la responsabilità amministrativa da reato non era prevista per i delitti ora menzionati.

L’applicazione del Codice per la protezione dei dati personali è sempre più affidata alle aule dei Tribunali.

Una casa discografica australiana ha presentato una richiesta di rimozione per violazione del diritto d’autore a causa di un brano utilizzato in una presentazione accademica pubblicata su YouTube. Il relatore della presentazione? Lawrence Lessig.

Professore di diritto ad Harvard, co-fondatore di Creative Commons e autore di numerose pubblicazioni di diritto e tecnologia, Lawrence Lessig è considerato uno degli attori fondamentali del dibattito sul dirittto d’autore nell’era digitale.

La lettura incriminata, presentata anche in una video-conferenza TED già proposta sul nostro blog, verteva sul concetto di fair use come dottrina necessaria per l’armonico sviluppo culturale della società, ed in particolare sulla necessità di proteggere giuridicamente la condivisione gratuita senza scopo di lucro e la libertà di creare contenuti nuovi remixando i prodotti culturali. In quest’ottica, durante la presentazione venivano a più riprese utilizzati i primi secondi del brano “Lizstomania” della band francese Phoenix per mostrare come gruppi di giovani in diverse parti del mondo avevano creato una rielaborazione personale del video.

Il palese intento didattico ed accademico della presentazione non è stato sufficiente per fermare la casa discografica dal richiedere a YouTube la rimozione della lettura del Prof.Lessig in quanto in violazione del copyright del brano della band francese.

La vicenda, che a buon diritto si può definire paradossale, si è poi sviluppata così:  il professore ha risposto alla richiesta presentando a YouTube un controricorso in cui spiegava che l’utilizzo del brano, essendo parte di una presentazione a scopo educativo, è compatibile con il fair use previsto dal Digital Millennium Copyright Act.

Successivamente, dopo aver ricevuto pressioni da parte della casa discografica che minacciava una querela, ha acconsentito alla rimozione del video come avrebbe fatto qualunque utente meno agguerrito.

Naturalmente, tuttavia, Lerry Lessig non si è lasciato sfuggire l’occasione di combattere per vie legali il concetto distintivo della sua battaglia accademica: la difesa del fair use, il legale utilizzo di opere dell’ingegno altrui per scopi culturali non commerciali.

Con la collaborazione dell’Electronic Frontier Foundation Lessig ha infatti presentato un’istanza ad un giudice federale del Massachusetts chiedendo di stabilire che il video rientra nella dottrina del fair use e presentando una richiesta di danni alla casa di produzione musicale.

“L’aumento di tattiche estreme per l’osservanza delle leggi  fa sì che per i creatori di contenuti sia sempre più difficile godere delle libertà che la legge garantisce loro”, ha dichiarato Lessig, “con l’aiuto dell’EFF ho l’opportunità di combattere contro questo particolare attacco. Spero che questo stabilirà un precedente che possa impedire ad altri di essere coinvolti in questo genere di battaglie”.

Il ricorso del Prof. Lessig è consultabile QUI, mentre di seguito vi riproponiamo la lettura come proposta nella TED conference del 2010:

Pubblicato il rapporto ENISA 2012 sugli incidenti in materia di sicurezza nelle reti di telecomunicazione. Secondo i risultati, oltre il 40% degli incidenti ha inciso sulla possibilità di chiamare il numero di emergenza 112.

L’ENISA (European Union Agency for Network and Information Security) ha recentemente pubblicato il suo rapporto annuale sugli incidenti più gravi avvenuti in Europa nel settore delle comunicazioni elettroniche. Il rapporto tiene conto di tutte le segnalazioni riportate all’Enisa in ottemperanza dell’Articolo 13 della Direttiva 140/2009/CE.

Il documento fornisce un’analisi di 79 gravi incidenti segnalati da 18 paesi, soffermandosi sull’impatto che hanno avuto sulla popolazione e sulle cause che li hanno determinati.

Coerentemente con il sempre maggiore utilizzo di smartphone, tablet e chiavette, la maggioranza degli incidenti ha coinvolto le telefonia mobile o il traffico di dati in mobilità provocando malfunzionamenti che hanno interessato l’attività quotidiana in media di 1,8 milioni di utenti per ogni incidente.

Per quanto riguarda la sola telefonia, il 37% degli incidenti ha avuto la grave conseguenza di rendere irraggiungibile il numero di emergenza 112.

Tanto nei servizi di connettività mobile, quanto nella reti fisse, la causa della maggioranza degli incidenti è catalogata sotto la voce“System failures” (75% degli incidenti). Tra gli errori di sistema, i problemi legati all’aspetto hardware hanno prevalso sui bug dei software.

Per quanto riguarda le cause di incidenti provenienti da terze parti, la maggioranza hanno coinvolto reti di fornitura di energia, con un impatto su una media di 2,8 milioni di connessioni. Il sovraccarico delle connessioni di rete ha causato disagi in media per 9,4 connessioni.

Il primato sulla durata dei malfunzionamenti o dei disservizi viene attribuito ad fenomeni naturali, come tempeste di neve o violenti temporali. La media si assesta sulle 36 ore per incidente.  

Contrariamente a quanto ci si poteva aspettare, l’incidenza dei cyber-attacchi riguarda solo il 6 per cento dei disservizi analizzati, con una media di 1,8 milioni di persone coinvolte.

Il rapporto dell’Enisa punta a fornire alle Autorità Regolatorie nazionali degli stati membri valutazioni utili a prevenire incidenti.  Una trattazione più dettagliata degli incidenti all’interno dell’Article 13a Expert Group.

Una corte distrettuale americana ha stabilito che aggirare il blocco di un indirizzo IP per raggiungere un sito da cui si è stati “bannati” costituisce una violazione punibile dalla legge statunitense.

La sentenza accoglie la richiesta dei legali del portale di annunci Craigslist che si erano rivolti al giudice affinché stabilisse l’illiceità dell’accesso al sito da parte degli operatori di 3Taps, un aggregatore di contenuti che ripropone senza autorizzazione  gli annunci di Craigslist.

Questi i fatti antecedenti: dopo aver inviato senza successo una diffida formale che invitava 3Taps a cessare la sua attività di ripubblicazione degli annunci, la direzione di Craigslist ha deciso di bloccare gli indirizzi IP del concorrente, che per tutta risposta ha continuato a copiare il materiale aggirando il blocco tecnologico.

Craigslist si è dunque rivolto alla Corte distrettuale invocando il Computer Fraud and Abuse Act, una norma la cui applicazione è oggetto di contestazioni da parte di attivisti ed esperti. Pur essendo stata infatti istituita nel 1984 per contrastare l’attività degli hacker, il CFAA è oggi spesso applicato per sanzionare violazioni che nulla hanno a che fare con l’hacking, come le violazioni dei termini di servizio dei siti web.

3Taps ha risposto alle accuse chiedendo alla Corte di stabilire che l’operatore di un sito web pubblico non ha il diritto di vietare l’accesso ad un singolo utente, ma il giudice non ha trovato precedenti giudiziari o appigli legislativi per avvallare questa giustificazione, e ha, al contrario, accolto le regioni di Craigslist.

Secondo il giudice, infatti, la diffida accompagnata al blocco dell’IP va considerata come un divieto di accesso e la violazione della “barriera tecnologica” come un tentativo di intrusione non autorizzato.

Nonostante la sentenza della Corte distrettuale abbia riproposto l’applicazione del CFAA per un’attività che non si può considerare  ”da hacker” (per aggirare un blocco IP è infatti sufficiente cambiare una postazione di accesso ad Internet), alcuni dei commentatori che chiedono una riforma della norma hanno espresso soddisfazione per un’applicazione orientata a sanzionare un accesso non autorizzato piuttosto che una violazione dei termini d’uso.

Viene comunque richiesta da più parti una revisione della legge.

L’identità digitale è tema affrontato dal “decreto del fare” in due disposizioni apparentemente scorrelate.

Una è quella sulla cosiddetta liberalizzazione del wi-fi, che ha conquistato molti titoli di giornali. Si conferma il quadro normativo in vigore già dopo l’abrogazione del decreto Pisanu.

Fugando ogni dubbio, si chiarisce che ”l’offerta di accesso alla rete internet al pubblico tramite tecnologia wi-fi non richiede l’identificazione personale degli utilizzatori”. Oltre a ciò, si chiarisce che “quando l’offerta di accesso non costituisce l’attività commerciale prevalente del gestore del servizio, non trovano applicazione l’articolo 25 del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1o agosto 2003, n. 259, e successive modificazioni, e l’articolo 7 del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, e successive modificazioni”, cioè gli obblighi di richiesta di autorizzazione al Ministero delle comunicazioni e di licenza al questore.

Scomparso nella versione definitiva del decreto l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address) e scomparsa la problematica previsione che la registrazione della traccia delle sessioni, ove non associata all’identità dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici.

In questo modo, come già segnalato, l’Italia si allinea agli altri Paesi occidentali.

Tuttavia, lo stesso decreto del fare prevede all’art. 17-ter, con una modifica al Codice dell’amministrazione digitale, l’istituzione del Sistema pubblico per la gestione dell’identità digitale (SPID) di cittadini e imprese.

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, secondo modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, direttamente su richiesta dei soggetti interessati.

Si prevede che con l’istituzione del sistema SPID, le pubbliche amministrazioni possano consentire l’accesso in rete ai propri servizi mediante la carta d’identità elettronica, la carta nazionale dei servizi o mediante strumenti gestiti dal sistema stesso.

Rimane comunque fermo quanto disposto dal primo periodo del comma 2 dell’art. 64: le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete che richiedono l’identificazione informatica anche se questa è effettuata con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l’individuazione del soggetto che richiede il servizio.

Dunque la scelta sulle modalità di identificazione rimane in capo alle pubbliche amministrazioni.

Il decreto ulteriormente precisa che ai fini dell’erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti.

In modo ambiguo e pleonastico l’articolo conclude che l’adesione al sistema SPID per l’accesso ai propri servizi esonera l’impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70.

Ma l’esonero dall’obbligo di sorveglianza vi è comunque, con o senza l’adesione al sistema SPID, conformemente alla direttiva europea sul commercio elettronico. Dunque qual è lo scopo di questa precisazione? Forzare all’utilizzo dello SPID creando ambiguità? Di poca chiarezza normativa certo non c’è bisogno.

googleHa fatto il giro del mondo la dichiarazione dei legali di Google secondo cui chi usa Gmail non può avere “ragionevoli aspettative” sulla propria privacy.

La dichiarazione, considerata da molti come una rivelazione scioccante, fa parte del ricorso che gli avvocati di Mountain View hanno presentato per convincere una Corte Federale californiana a rigettare una class action in cui la compagnia veniva accusata di una massiva violazione della privacy attuata attraverso la scansione automatica delle email indirizzate a utenti di Gmail, ma inviate con altri provider di posta elettronica.

Nella difesa presentata al giudice, i legali di Google hanno dichiarato che si stava tentando di criminalizzare una pratica di “ordinaria amministrazione” che da sempre fa parte dell’attività di Gmail. “Tutti gli utenti di servizi di posta elettronica devono necessariamente aspettarsi che le loro email siano sottoposte ad un processo automatizzato”, ha dichiarato Google.

I legali hanno presentato alla Corte un’analogia a loro parere utile a comprendere meglio l’attività di Gmail. Secondo i difensori di Google, così come quando ci si scambiava lettere per lavoro non ci si poteva sorprendere se una missiva veniva aperta e letta da un assistente del collega destinatario, ugualmente oggi non ha senso lamentarsi, in quanto il ruolo di assistente è stato sostituito dal provider del servizio di posta elettronica che scansiona la mail per offrire i suoi servizi. Google ha infatti sottolineato che la scansione delle e-mail è utile non solo ad orientare l’advertising che compare sulla casella di posta, ma anche a permettere servizi quali la ricerca di parole chiave presenti nella casella.

L’analogia è stata ampiamente criticata in rete da quanti sostengono che il ruolo del provider di posta elettronica dovrebbe essere paragonato a quello di un ufficio postale, e non a quello di un’assistente. In quest’ottica non sarebbe affatto ragionevole aspettarsi che l’ufficio postale controlli il contenuto delle missive che recapita.

Mentre si attende un responso dal giudice californiano, diverse  associazioni di consumatori hanno minacciato di intraprendere azioni legali contro Google.

posted by admin on agosto 12, 2013

Miscellanee

(No comments)

bitcoinNell’ambito di un caso di truffa basato sulla moneta virtuale BitCoin, una sentenza di un giudice americano ha convalidato la cripto-valuta come forma di pagamento riconosciuta dalla legge degli Stati Uniti.

Il caso su cui il giudice si è pronunciato verteva su una supposta truffa da parte del fondo speculativo Bitcoin Savings and Trust (BTCST), basato su investimenti in valuta virtuale BitCoin. Il suo fondatore, Trendon Shavers, era stato accusato di truffa dalla Securities and Exchange Commission (SEC) – l’ente federale statunitense preposto alla vigilanza della borsa valori – per aver messo in atto un cosiddetto schema Ponzi, ovvero un sistema economico piramidale illegale basato sul reclutamento di nuovi investitori.

Il fondatore dell’hedge fund dei BitCoin si era quindi rivolto al giudice contestando all’ente regolatore di non avere alcun potere giurisdizionale sulle speculazioni in moneta virtuale in quanto le transazioni regolate dalla SEC  prevedono “investimenti in denaro”, mentre il BitCoin non può essere considerato convenzionalmente “denaro”.

Il giudice ha tuttavia respinto questa interpretazione sostenendo che, dal momento che viene impiegato per comprare beni e servizi, il Bitcoin è di fatto utilizzato come denaro. Inoltre, è stato ricordato nella sentenza, il Bitcoin può essere convertito in monete a corso legale come i dollari Statunitensi, l’Euro, lo Yen e lo Yuan e pertanto “Bitcoin è una valuta o una forma di denaro”.

Secondo la SEC, Shevers ha raccolto “almeno 700.000 bitcoins in investimenti BTCST, che ammontano ad oltre 4,5 milioni di dollari,  secondo il prezzo medio dei bitcoins nel 2011 e nel 2012 quando sono stati venduti i fondi.”

La sentenza è considerata particolarmente significativa perché definisce ulteriormente lo status legale del BitCoin, dopo che all’inizio di quest’anno un’agenzia federale statunitense, la Financial Crimes Enforcement Network, ha pubblicato una serie di linee guida che stabiliscono che gli affari relativi al sistema Bitcoin devono essere considerati come Money Service Business, secondo la legge degli Stati Uniti.

posted by admin on agosto 8, 2013

PA telematica

(No comments)

Pubblicate le specifiche operative per l’identificazione degli uffici pubblici preposti al ricevimento delle fatture elettroniche.

Diamo notizia di un nuovo passo avanti nel processo di semplificazione delle procedure amministrative, che riguarda gli adempimenti per l’adozione della fatturazione elettronica nella Pubblica Amministrazione.
Il Decreto Ministeriale n. 55 del 3 aprile 2013, entrato in vigore il 6 giugno 2013, ha infatti introdotto l’obbligo della fatturazione elettronica nei rapporti economici tra pubblica amministrazione e fornitori, in un’ottica di trasparenza, monitoraggio e rendicontazione della spesa pubblica.
Dal punto di vista operativo il decreto dispone che le amministrazioni identifichino gli uffici per la ricezione delle fatture elettroniche attraverso l’Indice delle Pubbliche Amministrazioni (IPA) che assegna all’ufficio competente il codice identificativo univoco necessario in fase di trasmissione e ricezione della fattura elettronica.
L’Agenzia per l’Italia Digitale ha recentemente diffuso le specifiche operative previste dal Decreto Ministeriale. Obiettivo delle specifiche è favorire l’attuazione delle regole fornendo una descrizione dettagliata delle modalità di inserimento, aggiornamento e pubblicazione delle informazioni necessarie in sede di trasmissione e ricezione della fattura elettronica.
Le Specifiche operative sono disponibili QUI.