L’evoluzione tecnologica del settore IT verso sistemi di elaborazione sempre più potenti e sempre più a basso costo ha segnato, in particolare negli ultimi dieci anni, il passaggio dalla informatica tradizionalmente intesa come “automazione dei processi”, in cui alle macchine veniva affidato il compito di eseguire attività meramente ripetitive, lasciando all’uomo funzioni di controllo, alla informatica intesa come trattamento dei dati al fine di estrarne un “valore aggiunto”. La legge sulla privacy, vieta l’utilizzazione di un archivio informatizzato per scopi diversi da quelli per cui è stato creato e provvede a munire di sanzione penale le ipotesi di omessa protezione dei dati e di diffusione indebita di informazioni custodite in archivi informatizzati).
L’ipotesi di reato prevista dall’articolo 36 della legge sulla privacy (omessa adozione di misure di sicurezza) è strettamente connessa col divieto di diffusione di informazioni relative ai dati personali raccolti: la mancata adozione delle misure di sicurezza si risolve, infatti nella colposa agevolazione della commissione del delitto di “esportazione” non autorizzata d’informazioni riservate. L’articolo 15 della legge (sicurezza dei dati) dispone, dunque, che “I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. La sicurezza dei dati informatici è un attributo di tali informazioni: una banca di dati può funzionare soltanto se i dati in essa custoditi sono “sicuri” (cioè disponibili, riservati e integri) poiché il dato informatico o è sicuro o non è sicuro. Gli articoli 615-ter e 615-quater del codice fanno espresso riferimento ad un “sistema informatico o telematico protetto da misure di sicurezza”, al fine di sanzionare con la pena della reclusione il reato di accesso abusivo ad un sistema informatico o telematico o la divulgazione dei suoi codici di accesso. Il reato sussiste, dunque, nei soli casi in cui il sistema informatico colpito dall’azione criminale sia stato adeguatamente protetto. Con il DPCM 24 gennaio 2013 recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” il nostro paese definisce e regolamenta un’architettura di sicurezza cibernetica nazionale e di protezione delle infrastrutture critiche. Il provvedimento pone le basi per un sistema organico, all’interno del quale, sotto la guida del Presidente del Consiglio, le diverse strutture preposte possono esercitare in sinergia le loro competenze. La sicurezza nell’informatica equivale ad attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonché eventuali usi illeciti, dalla divulgazione, modifica e distruzione dei dati .Questi problemi di sicurezza sono stati presenti sin dall’inizio della storia dell’informatica, ma hanno assunto dimensione e complessità crescenti in relazione alla diffusione e agli sviluppi tecnici più recenti dell’elaborazione dati; in particolare per quanto riguarda i data base, la trasmissione dati e la elaborazione a distanza
Dott.Alessandro Sigismondi