amministratore di sistema - principali reati informatici ver.2013

Amministratore di Sistema AdS

Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei principali reati informatici

Pasquale Lopriore Responsabile del Sistema di protezione dei

dati personali

Argomenti •Definizione di AdS

•Compiti e funzioni degli AdS

•Adempimenti da eseguire

•Registrazione degli accessi

•Principali reati informaticiPasquale Lopriore

Responsabile del Sistema di protezione dei dati personali

Definizione di AdSCodice per la protezione dei dati personali definisce:

Titolare, Responsabile, Incaricato

Manca l'Amministratore di Sistema

Viene definito nel provvedimento del 27/11/2008. L’intento del Garante è quello di ricomprendere tutti i soggetti che hanno un'effettiva capacità di azione sulle informazioni


dati personali

Definizione di AdSFigure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.Altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati:•amministratori di basi di dati;•amministratori di reti e di apparati di sicurezza;•amministratori di sistemi software.Devono essere ricompresi anche soggetti che non sono preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo.Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software. (FAQ n.1)


dati personali

Definizione di AdSAttività tecniche che comportano il trattamento dei dati personali:•Salvataggio dei dati (backup/recovery);•Organizzazione dei flussi di rete;•Gestione dei supporti di memorizzazione;•Manutenzione hardware.In molti casi un'effettiva capacità di azione su informazioni va considerata a tutti gli effetti alla stregua di un trattamento di dati personali. Anche quando l'amministratore non consulti "in chiaro" le informazioni medesime.


dati personali

Valutazione del titolare dei datiValutazione delle attribuzioni di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali.

Responsabilità del titolare dei datiIn caso di incauta o inidonea designazione degli AdS, abbiamo delle responsabilità di ordine penale e civile (artt. 15 e 169 del Codice).


dati personali

Adempimenti da adottare1. Valutazione delle caratteristiche soggettive

2. Designazioni individuali

3. Elenco degli amministratori di sistema

4. Verifica delle attività

5. Registrazione degli accessi


dati personali

1. Valutazione delle caratteristiche soggettive- Conoscenza della normativa vigente

- Conoscenza delle best practices di riferimento in materia di gestione “sicura” dei sistemi informatici

- Consapevolezza relativamente ai rischi di sicurezza derivanti da errori/violazioni nell’ambito della gestione dei sistemi


dati personali

Applicazione dell’art. 2104 c.c.«Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall'interesse dell'impresa e da quello superiore della produzione nazionale. Deve inoltre osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende.»

La violazione dell'obbligo di diligenza e dell'obbligo di osservanza comporta l'applicazione di misure disciplinari art. 2106 c.c. e l'obbligo di risarcire i danni subordinato all'esistenza della colpa lieve art. 1229 c.c., e può dar luogo, in casi estremi, al licenziamento (es.: se il lavoratore costantemente, violando istruzioni impartitegli, reca danno all'attività produttiva).


dati personali

2. Designazioni individuali- Specifico atto di per ogni AdS

- Elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato

Separazione della gestione IT in ambiti di operatività

Definizione di profili di autorizzazione


dati personali

3. Elenco degli amministratori di sistema

Redazione di un documento interno:

- Determinazione dei sistemi che trattano dati dei lavoratori

- Aggiornamento dell’elenco degli amministratori

-“Conoscibilità” degli amministratori che operano su sistemi che trattano dati dei lavoratori

Servizi in outsourcing

Acquisizione degli identificativi degli AdS che operano nell’ambito di servizi affidati in outsourcing


dati personali

4. Verifica delle attività - Audit

Almeno cadenza annuale i titolari o i responsabili del trattamento devono verificare le attività degli AdS.

La rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.Non deve essere un controllo sulle attività professionali vietato dall’art. 4 L. n. 300/1970

Adempimenti:

Redazione di un verbale di controllo.Redazione di regole di condotta (Linee guida del Garante per posta elettronica e internet Del. n. 13 del 1° marzo 2007)


dati personali

5. Registrazione degli accessiAdozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

Le registrazioni (access log) devono avere caratteristiche:•Completezza;•Inalterabilità;•Possibilità di verifica della loro integrità.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.


dati personali

5. Registrazione degli accessiFaq del Garante pubblicate il 25 Maggio del 2010, in merito all’applicazione pratica delle misure da adottare, chiarendo in particolare che: • Non è necessario tracciare tutto quello che fa l’amministratore, ma solo gli eventi di Logon, Logoff e tentativi di accesso. (FAQN° 22)

• Bisogna tenere traccia degli accessi sui server, sui client (FAQ N° 4 ) ed anche sui Database (FAQ N°19)

• Non è necessario tracciare gli accessi degli amministratori agli applicativi (FAQ N°22)


dati personali

Reati penaliAccesso abusivo a sistema informatico o telematico (art. 615 ter)

Frode informatica (art. 640 ter)

Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter)

Danneggiamento di sistemi informatici e telematici (artt. 635 quatere quinques)


dati personali

Art. 615-ter Accesso abusivo ad un sistema informatico o telematico.Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a 3 anni.Elemento fondamentale è l’impiego di misure di sicurezza. Anche con l’adozione di una protezione semplice costituita da una parola chiave.

Reato di pericoloIl pericolo è rappresentato dal rischio che chi accede abusivamente al sistema possa impadronirsi o comunque visionare quanto custodito al suo interno.

Si consuma con il semplice accesso al sistema e non con l’utilizzo delle informazioni o disturbando il regolare funzionamento del sistema


dati personali

Domicilio informaticoBene tutelato

Riservatezza delle comunicazioni o delle informazioni trasmesse tramite sistemi informatici.

Domicilio informaticoNon può considerarsi una mera specificazione del domicilio tutelato dall’art. 614 c.p., ma deve essere inteso quale proiezione spaziale della persona indicante un nuovo bene protetto.

“Riservatezza informatica”Indisturbata fruizione del sistema informatico o telematico.

(Tribunale di Rovereto sent. 9 gennaio 2004)


dati personali

GiurisprudenzaIl reato di accesso abusivo ad un sistema informatico sussiste ogni volta che vengono sorpassati gli ostacoli che presiedono l’accesso al sistema.

Non presupponendo necessariamente che il reo sia in grado di poter richiamare e disporre dei dati e dei programmi contenuti nel computer violato.

(Tribunale di Bologna Sent. 22/12/2005)


dati personali

GiurisprudenzaAi fini della configurabilità del reato la violazione dei dispositivi di sicurezza non rileva di per sè, ma solo come manifestazione di una volontà contraria a quella di chi dispone del sistema. Ne consegue che commette il delitto di cui all'art. 615 ter c.p. anche colui che, autorizzato all'accesso per una finalità (controllo della funzionalità del programma informatico), utilizzi il titolo di legittimazione per copiare i dati gestiti da detto programma.(Cass. Pen. sez. V, 14 ottobre 2003, n. 44362)

Non costituisce accesso abusivo ai sensi dell’art. 615 ter c.p. la condotta del dipendente, autorizzato all’uso del sistema informatico, che consulta dati relativi ad un settore diverso da quello di sua competenza in assenza di un divieto espresso di accedere a quel determinato settore e in assenza di finalità personale o di terzi estranee all’ente di appartenenza.(Tribunale di Viterbo, sent. del 5 luglio 2005)


dati personali

Fattispecie del reato 2 orientamenti giurisprudenziali:

Accesso lecito del soggetto abilitato effettuato per finalità diverse a quelle dell'ufficio e perfino illecite.

Accesso illecito anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa.


dati personali

Fattispecie del reatoNuovo orientamento giurisprudenziale

Valutazione non delle finalità ma del dato oggettivo (Cass. S.U. n. 4694/12 del 27 ottobre 2011)

La questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico.


dati personali

Fattispecie del reatoNuovo orientamento giurisprudenziale

Profilo oggettivo dell'accesso e del trattenimento nel sistema informatico si riscontra:• sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare

del sistema;

• sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui è incaricato ed in relazione alle quali l'accesso era consentito.

Il dissenso del dominus ioci viene desunto dalla oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema.

((Cassazione Pen. n° 15054 del 18.04.2012)


dati personali

Frode informatica (art. 640 ter c.p.)

“chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o

intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un

sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con

altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La

pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle

circostanze previste dal n.1 del secondo comma dell’art. 640 ovvero se il fatto è commesso con abuso

della qualità di operatore del sistema. […]


dati personali

Frode informatica (art. 640 ter c.p.) - Fattispecie del reato

La norma individua due precise condotte criminose (Cass. Pen. 24 febbraio 2011, n. 9891):

1.Alterazione (sia hardware che software) del funzionamento di un sistema informatico/telematico;

2.L’intervento senza diritto in qualunque modo su dati, informazioni o programmi contenuti in un sistema informatico/telematico , procura a sé o ad altri un ingiusto profitto con danno altrui.

Tali condotte devono procurare a se o ad altri un ingiusto profitto con danno altri (a differenza dei Delitti di danneggiamento informatico (artt. 635 bis - ter - quater - quinquies c.p.)

Il reato si consuma nel momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui (Cass. pen. 3065/1999)


dati personali

Frode informatica (art. 640 ter c.p.) - Modalità operative

Le modalità operative della condotta in esame possono essere differenti interventi criminosi:

•intervento sui dati inseriti nel computer. I dati potrebbero essere manipolati dal soggetto attivo (alterazione o immissione abusiva). In questo caso esiste concorso di reato con l’art. 491bis (delitto di falso informatico);•intervento sul programma operativo del sistema.Il <<software>> viene alterato affinché il computer (o il sistema) operi in modo differente da come è stata progettata al fine di compiere illeciti (frodi);•intervento sulle informazioni, ovvero sulla correlazioni fra i dati contenuti in un elaboratore o in un sistema.

La detenzione delle password, che consente l'accesso al sistema informatico senza manometterlo, non determinano "il diritto" di modificare i dati presenti (es. la posizione contributiva dei contribuenti effettuando degli sgravi non dovuti e non giustificati dalle evidenze in possesso dell'Agenzia delle Entrate) (Cass. Pen. n° 13475 del 22.03.2013)


dati personali

Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter)

Chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. (Art. 635 BIS)Se utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. (Art. 635 TER)Si prevede come aggravante se il fatto è commesso con abuso della qualità di operatore del sistema.

Il delitto di danneggiamento tutela il diritto all’integrità delle cose mobili e immobili altrui, nella struttura o nella loro utilizzabilità, dalle aggressioni che ne determinano la distruzione, la dispersione, il deterioramento o l’inservibilità.Nell’intento di reprimere la violenza informatica sono state, altresì, introdotte quattro peculiari fattispecie criminose che puniscono le condotte di danneggiamento lesive di informazioni, dati e programmi informatici, nonché di sistemi informatici o telematici.


dati personali

GiurisprudenzaSussiste il reato di danneggiamento informatico anche quando i file cancellati possono essere recuperati.La locuzione 'cancellazione' deve essere interpretata - dice la Cassazione - nella accezione informatica e non semantica del termine, ossia come la "rimozione da un certo ambiente di determinati dati, in via provvisoria attraverso il loro spostamento nell'apposito cestino o in via 'definitiva' mediante il successivo svuotamento dello stesso".Del tutto irrilevante, ai fini della sussistenza del reato, il fatto che i files cancellati possano essere recuperati ex post attraverso una specifica procedura tecnico-informatica.Cass., Sez. V, 18 novembre 2011


dati personali

Grazie per l’attenzione


dati personali

amministratore di sistema - principali reati informatici ver.2013

Technology