Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on gennaio 8, 2017

Diritto del lavoro

(No comments)

Dal primo gennaio in Francia è in vigore la legge sul “diritto di disconnessione” che punta a bandire le email di lavoro al di fuori dell’orario lavorativo.

Ideata per contrastare la diffusione dello stress correlato al controllo compulsivo delle email, la nuova norma impone a tutte le aziende con più di 50 dipendenti di dare il via a negoziazioni per definire le modalità con cui i garantire ai lavoratori il diritto di ignorare i loro smartphone.

Come è noto, infatti, l’attività di  risposta alle email al di fuori dell’orario lavorativo solitamente non viene considerata lavoro straordinario e pertanto non è retribuita. Inoltre, la disponibilità fuori orario è oggi considerata “un dovere” da molti datori di lavoro. Per questo la legge obbliga le aziende a stabilire un accordo con i dipendenti nel quale siano espressamente indicati gli orari entro i quali sono tenuti a rispondere alle comunicazioni provenienti dall’ufficio. Le nuove regole puntano a tutelare anche le professioni digitali che lavorano in remoto e che quindi sono più esposte a chiamate fuor orario.

La norma è stata introdotta dal Ministro del Lavoro francese dopo un’indagine sull’impatto sulla salute del flusso ininterrotto di informazioni digitali legati all’ambiente di lavoro. L’utilizzo eccessivo di dispositivi digitali grazie ai quali gli impiegati sono reperibili a qualunque ora è considerato responsabile di diversi disturbi tra cui “burnout” , insonnia e problemi relazionali.

Alcune multinazionali con sede in Francia hanno già reso noto che stanno già applicando soluzioni innovative quali il “coprifuoco” sulle comunicazioni serali” o sistemi di cancellazione automatica delle email inviate a colleghi in ferie o non operativi.

Forum PASi riporta qui l’articolo di Giusella Finocchiaro apparso sul magazine di Forum PA il 1 febbraio 2016.

Il Consiglio dei Ministri del 20 gennaio 2016 ha approvato, in esame preliminare, il decreto legislativo di modifica e integrazione del Codice dell’Amministrazione digitale (di seguito, per brevità “CAD”). Sperando di fornire un contributo costruttivo, esprimo alcune perplessità sulla nuova sistematizzazione della disciplina del documento informatico e delle firme elettroniche quale emerge dalla lettura della bozza.

Gli articoli rilevanti sul valore giuridico del documento informatico e sulla sua efficacia probatoria sono tre:

-l’art. 20 sul documento informatico senza firma;
-l’art. 21 sul documento informatico con firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale;
-l’art. 23 quater sulle riproduzioni informatiche.

Nel CAD vigente l’art. 20, comma 1-bis dispone che:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall’articolo 21”.

Nel nuovo CAD l’art. 20, comma 1-bis suonerebbe:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.

Dunque su questo punto non si verificherebbero particolari cambiamenti. L’art. 21, invece, sarebbe radicalmente rivisto.

Di seguito il nuovo articolo 21

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

“2-bis Salvo il caso di sottoscrizione autenticata le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, redatte su documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale.

(omissis)”

Non va poi dimenticato l’art. 23-quater sulle riproduzioni informatiche il quale dispone che “All’articolo 2712 del codice civile dopo le parole: ‘riproduzioni fotografiche’ è inserita la seguente: ‘informatiche’” che rimarrebbe invariato.

Sul commento dell’art. 23-quater non posso intrattenermi qui per ragioni di necessaria brevità, ma ricordo la contraddizione fra questa norma e l’art. 20 nell’ormai ampia interpretazione giurisprudenziale.

Dunque il sistema che emergerebbe sarebbe il seguente:

- il documento informatico senza firma sarebbe valutabile in giudizio dal giudice, sotto ogni profilo;
- il documento informatico con firma elettronica soddisferebbe il requisito della forma scritta (ad substantiam, cioè per la validità dell’atto?) e avrebbe l’efficacia prevista dall’articolo 2702 del codice civile cioè quella della scrittura privata;
- il documento informatico con firma elettronica qualificata o digitale si suppone avrebbe l’efficacia probatoria della scrittura privata ma ciò non è espressamente disposto;
- al documento informatico con firma elettronica qualificata o digitale sarebbe applicabile la nota presunzione di utilizzo del dispositivo da parte del titolare dello stesso;
- il documento informatico con firma elettronica qualificata o digitale soddisferebbe tout court il requisito della forma scritta ad substantiam;
- il documento informatico con firma elettronica avanzata soddisferebbe il requisito della forma scritta ad substantiam soltanto nei casi indicati dall’art. 1350, primo comma, n. 13 del codice civile cioè per gli atti non aventi ad oggetto beni immobili.

Dunque, in estrema sintesi, non cambierebbe la disciplina sul documento informatico con firma elettronica avanzata, qualificata e digitale (anche se il testo novellato presenta già segnalati problemi di drafting); cambierebbe invece quella concernente il documento con firma elettronica.

Qui, dalla valutazione caso per caso del giudice, si passerebbe all’affermazione del soddisfacimento del requisito della forma scritta e dell’efficacia della scrittura privata.

Sia detto a margine, occorrerebbe chiarire se la forma scritta di cui si parla in relazione al documento informatico con firma elettronica è quella ad substantiam. Ma soprattutto occorre sottolineare che fino ad oggi il documento informatico con firma elettronica era valutabile caso per caso dal giudice, dal momento che a priori non si conosce quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, con un conseguente livello di sicurezza assai variabile.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore del documento cui essa è associata.

Nel nuovo CAD, invece, si affermerebbe che il documento con firma elettronica soddisfa comunque il requisito della forma scritta ed è scrittura privata. Dunque ad un documento con una firma non definita a priori si associano il valore giuridico e l’efficacia probatoria della scrittura privata. Il che non è richiesto affatto dalla normativa europea (né da quella attualmente vigente, né dal regolamento EIDAS che entrerà in vigore il prossimo 1° luglio), la quale anzi prevede soltanto il principio della non discriminazione del documento informatico: cioè che ad un documento informatico non può essere negato valore giuridico soltanto per la sua forma elettronica.

Con la formulazione del nuovo art. 21 pare volersi andare oltre, disponendo che un documento informatico ha l’efficacia della scrittura privata e dunque soddisfa il requisito della forma scritta ad substantiam.

Il giudice dovrebbe peraltro valutare il documento informatico con firma elettronica alla luce di regole tecniche il cui contenuto appare assai difficile da immaginare, dal momento che esse potrebbero oscillare fra i due estremi della casistica analitica (con i rischi connessi ad un’elencazione inevitabilmente incompleta e necessariamente sottoposta ad un continuo aggiornamento) e i principi generali già statuiti in precedenza per il documento informatico e per lo stesso documento informatico con firma elettronica (sicurezza, qualità, immodificabilità, integrità).

Se lo scopo è quello di evitare la consulenza tecnica d’ufficio o di dare più certezza giuridica al documento informatico con firma elettronica, difficilmente esso sarà raggiunto, perché comunque le regole tecniche (ardue da immaginare) dovranno sempre presentare ampli spazi di adattamento alla tecnologia e quindi di interpretazione. E non è affatto improbabile che il giudice comunque ricorra alla CTU.

In compenso ci si sarà allontanati dalla normativa europea per creare nuova confusione.

Il punto è che si sta cercando di rendere quadrato ciò che è nato tondo: cioè di rendere “non neutra” la firma elettronica, che come tutti sanno è tecnologicamente neutra. E questa operazione sarebbe portata a termine attraverso le redigende regole tecniche le quali dovrebbero modificare la natura della firma elettronica. Il regolamento europeo non va in questa direzione e neppure i testi internazionali (come la Convenzione Uncitral sulle comunicazioni elettroniche e il Model Law in materia di firme elettroniche).

Se si vogliono evitare i rischi della neutralità tecnologica, si può utilizzare la firma digitale.

Se si vogliono i vantaggi della neutralità tecnologica, si può utilizzare la firma elettronica.

Se si confondono i due approcci sistematici, dopo almeno vent’anni di elaborazione giuridica su questi temi, quando finalmente il mercato si è assestato, non si crea certezza giuridica, ma al contrario, incertezza. E il mercato, che ormai ha assorbito queste tematiche, non ha certo bisogno di nuovi dubbi né di attendere ulteriori improbabili regole tecniche.

posted by admin on aprile 27, 2015

Computer Crimes, data breach

(No comments)

Documenti non riservati della Casa Bianca sarebbero stati raggiunti da una azione di hackeraggio.

Il New York Times ha recentemente riferito di un attacco informatico, presumibilmente operato da hacker russi, eseguito a danno degli account del presidente degli Stati Uniti. L’azione, che sarebbe stata compiuta l’anno scorso, è stata individuata e bloccata dal Joint Worldwide Intelligence Communications System (Jwics), il sistema di difesa governativo per le informazioni classificate della Casa Bianca.

Stando a quanto riferito al quotidiano da un rappresentate dell’amministrazione, non esiste prova di intrusione nell’account che il presidente Obama usa abitualmente tramite il suo BlackBerry, i cui server sono protetti. Ad essere colpito sarebbe stato un indirizzo di posta elettronica utilizzato dallo staff del presidente per la comunicazione con l’esterno, riguardante informazioni non riservate, e perciò non coperto dal sofisticato sistema di sicurezza della Casa Bianca. Attraverso questo account, gli hacker avrebbero avuto accesso a mail inviate e ricevute da persone che si relazionano quotidianamente con Obama.

I contenuti violati comprendono “appuntamenti, scambi di mail con ambasciatori e diplomatici, discussioni riguardo strategie” che coinvolgono inevitabilmente l’attività politica del presidente. Il NYT sottolinea come l’attacco appaia “più invasivo e preoccupante di quanto pubblicamente dichiarato”. Non è al momento noto il numero e il contenuto delle mail a cui gli hacker hanno avuto accesso.

All’inizio di aprile, l’amministrazione Obama aveva diffuso la notizia di un attacco informatico che aveva coinvolto i sistemi del Dipartimento di Stato nel corso del 2014, senza però specificarne l’obiettivo e senza offrire notizie più dettagliate degli autori.

Negli Stati uniti la notizia ha riaperto il dibattito sulla sicurezza nazionale: già nel dicembre 2014 l’FBI aveva indicato la Corea del Nord responsabile dell’azione che a novembre aveva interessato la casa di produzione Sony Pictures, mentre nel 2008 era stata la stessa campagna elettorale di Obama ad essere colpita da hacker cinesi.

Il NYT riferisce di una inchiesta in corso che riconduce ad hacker “presumibilmente legati al governo russo, se non addirittura suoi dipendenti”. In proposito, il portavoce della Casa Bianca Josh Earnest, ha espresso l’intenzione degli investigatori di non voler precisare l’identità degli hacker.

Il caso, verificatosi in un momento di tensione diplomatica con il governo russo, rappresenta un ulteriore elemento critico nei rapporti fra i due paesi.

posted by admin on aprile 18, 2014

Portfolio

(No comments)

Tra gli articoli di rilievo sul tema Diritto & Internet comparsi nel corso della settimana si segnalano..

La Cassazione riconosce come reato di diffamazione un insulto su Facebook anche se privo del nome dell’offeso:

  • “Facebook, linea dura della Cassazione “Insulti anonimi sono diffamazione – Annullata l’assoluzione di un finanziere che aveva offeso un collega senza nominarlo: la reputazione è lesa se la vittima è riconoscibile anche da pochi”. [articolo su La Stampa]

Allarme Heartbleed:

  • “Il bug Heartbleed è in gran parte stato sanato, ma ci sono ancora più di 20.000 siti vulnerabili“. [articolo in inglese su Business Insider]
  • “In manette il primo cracker di Heartbleed”. [articolo su Il Sole 24 Ore]

Notizie dal Datagate:

  • Il botta e risposta tra Snowden e Putin. L’ex dipendente della Nsa ha partecipato a un dibattito televisivo russo, chiedendo esplicitamente a Putin se la Russia eseguisse operazioni di sorveglianza di massa”. [articolo su Wired]
  • “Nsa smentisce, non sapevamo del bug Heartbleed. Secondo alcune fonti lo avrebbe sfruttato per due anni”. [Articolo su ANSA]

L’attività di Google, è nuovamente motivo di preoccupazione in rete:

  • “Le email di Gmail verranno analizzate per favorire annunci pubblicitari mirati. Il 14 aprile Google ha aggiornato i suoi termini di servizio, informando gli utenti che tutte le loro email verranno analizzate automaticamente da un software per creare degli annunci pubblicitari mirati”.  [articolo su Internazionale]
  • “Axel Springer contro Google: «E’ un estorsore» - In una lettera aperta il ceo del gruppo editoriale tedesco, Mathias Doepfner: «Mountain View ci fa paura. Le big company troppo potenti». Ma presto la situazione si ribalterà: «La storia insegna che i monopoli non durano mai troppo a lungo»”. [articolo su Corriere delle Comunicazioni]

Il Consiglio d’Europa pubblica un documento che elenca i diritti degli utenti della rete:

  • “Quali sono i diritti dei navigatori? Ecco la guida online. A firma del Consiglio d’Europa il vademecum per orientarsi fra questioni spinose quali privacy, libertà d’espressione, contrattualistica”. [articolo su Corriere delle Comunicazioni]

Buona lettura e buone festività pasquali!

Il Garante per la protezione dei dati personali è intervenuto sul recente caso dell’illecita diffusione in rete delle email personali di alcuni deputati del Movimento 5 Stelle, disponendo un provvedimento che vieta di divulgare e trattare ulteriormente il contenuto delle email. Il divieto è rivolto alle testate giornalistiche, ai siti web e a chiunque attualmente sia in possesso di copie delle comunicazioni elettroniche.

“L’attività compiuta a danno dei deputati” spiega il Garante nel comunicato dedicato al provvedimento “configura una grave violazione di un diritto fondamentale sancito dalla Costituzione, quello alla segretezza della corrispondenza e delle comunicazioni di ogni cittadino, aggravato in questo caso dal fatto che ad essere stata violata è la corrispondenza di membri del Parlamento, tutelati da specifiche disposizioni costituzionali. L’attività posta in essere dagli hacker, oltre che una responsabilità di natura penale (art. 616 e seguenti del codice penale) – il cui accertamento è già al vaglio dell’autorità giudiziaria – ha comportato una violazione del Codice privacy per quanto attiene a tutte le informazioni contenute nella corrispondenza che sono state diffuse all’insaputa e contro la volontà degli interessati, violando il principio generale in base al quale i dati personali dei cittadini devono essere trattati in modo lecito, secondo correttezza e raccolti e utilizzati per scopi legittimi.”

Il Garante ha inoltre rilevato che la violazione ha determinato la lesione del diritto alla riservatezza non solo dei parlamentari titolari delle caselle email, ma anche di tutti coloro che sono entrati in contatto con essi tramite attraverso la posta elettronica, nonché eventualmente di terzi citati nelle comunicazioni.

La violazione compiuta nell’acquisire il contenuto delle caselle email e nel diffonderlo in rete, ha sottolineato l’Autorità, estende i suoi effetti anche ai successivi trattamenti di dati, rendendo illecita ogni altra successiva operazione di raccolta, conservazione e ulteriore utilizzo delle informazioni. Pertanto, il Garante ha disposto il divieto di “ogni eventuale ulteriore trattamento” delle email dei deputati M5S e ha imposto l’obbligo per chi le detiene di provvedere alla loro cancellazione, anche dagli archivi privati.

Sebbene sia vietato controllare la casella di posta elettronica dei dipendenti, in alcune occasioni il datore di lavoro è legittimato ad effettuare verifiche sulle email, come in caso di emersione di elementi di fatto “tali da raccomandare l’avvio di una indagine retrospettiva”.

È quanto stabilito dalla Corte di Cassazione che, con sentenza 2722/2012, ha respinto il ricorso di un ex funzionario della banca Bipop-Carire, confermando le sentenze di primo e secondo grado.

Il dipendente bancario era stato licenziato “per giusta causa” nel 2004 per aver divulgato via email notizie riservate a soggetti esterni all’azienda allo scopo di permettere “operazioni finanziarie da cui aveva tratto un vantaggio personale”.

La Corte di appello, confermando la sentenza di primo grado, aveva rilevato una serie di violazioni a carico dell’ex bancario, quali la violazione dell’obbligo di riservatezza e correttezza , la violazione del regolamento interno aziendale e la violazione del codice deontologico.

Il dipendente era dunque ricorso alla Corte di Cassazione sostenendo la violazione da parte del datore di lavoro delle garanzie sui limiti nei controlli a distanza dei dipendenti stabilite dall’art.4 dello Statuto dei lavoratori.

La Cassazione, ha tuttavia rilevato che l’attività di controllo da parte della banca “prescindeva dalla pura e semplice sorveglianza sull’esecuzione della prestazione”, perché “diretta ad accertare la perpetrazione di eventuali comportamenti illeciti (poi effettivamente riscontrati)”. Un controllo ex post lecito perché attuato in seguito alla scoperta di fatti tali da richiedere un’indagine retrospettiva e destinato ad “accertare un comportamento che poneva in pericolo la stessa immagine dell’istituto presso terzi”.

È stata pubblicata (Foro It., 2011, XI, I, c. 3198) la decisione del Tribunale di Prato del 15 aprile 2011, della quale il blog aveva già dato un’anticipazione.

La sentenza, valutando la rilevanza probatoria di una email prodotta in un giudizio di opposizione a decreto ingiuntivo a dimostrazione della tempestiva contestazione dei vizi di un macchinario, si è soffermata sulla qualificazione giuridica di tale tipo di documento.

Secondo il Tribunale di Prato, l’email inviata in assenza di un meccanismo di posta elettronica certificata non consente di identificare in maniera univoca il mittente, né di provare la ricezione del messaggio da parte del destinatario.

Tuttavia, è indubbio che l’email possa essere qualificata come documento dotato di firma elettronica “dato che lo username e la password usati per l’accesso alla casella di posta elettronica integrano comunque un insieme di dati utilizzati come metodi di identificazione informatica ai sensi dell’art. 1, lett. q)” del CAD.

Conseguentemente, l’efficacia probatoria dell’email è liberamente valutabile in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità e – aggiunge la sentenza – anche delle ulteriori risultanze processuali, in primo luogo il mancato disconoscimento e la tempestiva contestazione dei fatti ivi rappresentati.

Nel caso di specie, il destinatario aveva sin da subito disconosciuto le vicende fatte valere a mezzo dell’email in questione e tale rilievo, mancando ulteriori elementi idonei a confermarne il contenuto, ha comportato una valutazione negativa sul piano probatorio. Le pretese dell’opponente sono state, dunque, rigettate.

La decisione è comunque di grande rilevanza perché riafferma che l’email è un documento dotato di firma elettronica.

La email è un documento informatico con firma elettronica, dal momento che lo username e la password integrano la definizione di firma elettronica di cui all’art. 1 lett.q, del CAD.

È quanto correttamente afferma il Tribunale di Prato nella decisione del 15 aprile 2011.

Quindi, l’efficacia probatoria dell’email è liberamente valutabile in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

Nel caso di specie, il giudice ha ritenuto la email inidonea a costituire prova.

E’ stato pubblicato in Gazzetta Ufficiale il G.U. n. 152 del 3 luglio 2009) il D.P.C.M. 6 maggio 2009 recante “Individuazione delle regole tecniche per le modalità di presentazione della comunicazione unica e per l’immediato trasferimento dei dati tra le Amministrazioni interessate, in attuazione dell’articolo 9, comma 7, del decreto- legge 31 gennaio 2007, n.7″

All’interno del provvedimento sono contenute indicazioni rilevanti per quanto concerne il possesso e l’impiego della Posta Elettronica Certificata (PEC) da parte delle imprese. In particolare all’articolo 8, intitolato “Indirizzo elettronico dell’impresa” si scrive:

1 . Nel modello di Comunicazione unica, è indicata la casella PEC corrispondente alla casella dell’impresa, ai fini dell’invio degli esiti delle domande e delle iscrizioni e di ogni altra comunicazione o provvedimento relativo al procedimento. Qualora l’impresa non disponga di una casella PEC lo dichiara nella comunicazione unica, indicando le modalità per la ricezione della comunicazione circa l’assegnazione di una casella ai sensi del comma 2.
2.
Nel caso l’impresa non sia provvista di casella PEC, le camere di commercio provvedono immediatamente ad assegnare una casella PEC ai fini del procedimento senza costi per l’impresa, ai sensi dell’art. 9, comma 6, del decreto-legge n. 7 del 2007. Le istruzioni operative sono pubblicate in opportuna sezione del sito, dandone comunicazione ai sensi del comma 1.
3. La casella dell’impresa è iscritta al registro delle imprese ai sensi dell’art. 4, comma 4, del decreto del Presidente della Repubblica n. 68 del 2005.