Fondamenti Diritto

Riassunto volume
"Fondamenti di diritto della

comunicazione elettronica" di
E. Bassoli
Diritto
Università degli Studi di Genova
50 pag.
Document shared on www.docsity.com

Downloaded by: AleGiorgia10 (giorgialucarelli22@gmail.com)
Riassunto del volume “Fondamenti di diritto
della comunicazione elettronica” di Elena
Bassoli
LA GOVERNANCE MONDIALE DI INTERNET
La governance, governo della rete, è un coordinamento di soggetti pubblici e

privati, coinvolti nella gestione degli aspetti della rete, che hanno bisogno di regole.
Ad occuparsi della governance, si trovano:

- il WGIG (Working Group on Internet Governance), costituito nel 2004.
La governance si basa su:

- autoregolamentazione (netiquette, etica, codici deontologici…)
- regole imposte dall’esterno (leggi circa copyright, privacy, accessibilità e censura).
Soggetti coinvolti nella governance:
- l’ICANN (Internet Corporation for Assignet Named) è una società privata americana,
controllata dal governo di Washington, che, a livello mondiale, assegna e gestisce, ma
non registra direttamente domain name e indirizzi IP. (1998)
- l’ISOC (Internet Society) è una società no profit - costituita da 80 organizzazioni, con

26.000 membri di 180 Paesi - che si occupa di aiutare ad espandere l’utilizzo della rete,
luogo di creatività e innovazione, seguendo sempre il principio secondo cui Internet
debba essere per tutti. (1992).

I NOMI A DOMINIO IN ITALIA
Il nome a dominio (Domain Name) è una stringa di numeri e lettere, che

identifica inequivocabilmente un server o un host, nella rete.
Il nome a dominio è uno strumento molto utile, per la ricerca di dati e informazioni
in Internet.
Esso si compone di diverse parti:
- il Top Level Domain (TLD), ovvero la sigla, costituita da lettere e numeri, situata
nell’ultima parte del nome a dominio, dopo il punto, più a destra dell’URL. Esso può
essere costituito dal dominio tematico (abbreviazione del settore o dell’argomento di
cui si occupa il server), o dal dominio geografico (abbreviazione dello Stato in cui
lavora l’elaboratore).
- il Second Level Domain, ovvero un’espressione - scelta liberamente dall’utente,
purché non riservata, o da gruppi di lettere separati da punti o barre (sub-domains) -
situata alla sinistra del TLD.
Il proprietario di un nome a dominio è registrato e, perciò, rintracciabile, in un database

chiamato WHOIS.
N.B. un WHOIS base in molti casi è gestito dall’ICANN.
Registrare un nome a dominio
Per registrare un dominio tematico, bisogna rivolgersi a uno degli enti di registrazione
(società accreditate), presso l’ICANN, che non assegnano nomi già utilizzati.
Il sistema però, non evita di registrare domain name con similitudini o leggere
modifiche, rispetto a marchi originali registrati: la RA (Registration Authority), ente
amministrativo, che si occupa di controllare l’operato nella fase di registrazione di un
nuovo nome a dominio, si limita a segnalare casi di possibile ambiguità. Nel caso in cui,
però, il richiedente registrazione non ritiri o modifichi la domanda, il nome a dominio
presentato viene registrato comunque.
In principio, ad occuparsi del sistema di registrazione di un nome a dominio vi erano:

- la Naming Authority (NA), organismo, che si impegna nella redazione delle regole di
naming (codici e regole di condotta, riguardanti l’assegnazione di nomi a
dominio[1999]).
- la Registration Authority (RA), organismo con la funzione di controllo e gestione
della fase registrazione di un nome a dominio.

Dal 2004, invece, in Italia, questi organismi sono stati assorbiti dal Registro, ente costituito
da 5 unità, presiedute dalla Direzione Generale:
- l’Unità Operazioni, che si occupa di definire le procedure tecniche di registrazione,

di compiere le funzioni specifiche del Registro, di gestire le lettere di assunzione di
responsabilità, di registrare i nomi a dominio e correggere gli archivi (database).
- l’Unità Sistemi, che svolge funzioni sistemistiche del Registro (dall’assistenza tecnica
allo sviluppo di applicazioni).
- l’Unità Relazioni Esterne e Personale, che gestisce la relazione con chi si approccia al
Registro, tramite mail, carta ecc.
- l’Unità Contenziosi ed Aspetti Legali, che segue le attività che conseguono alle
contestazioni ricevute dal Registro circa un nome a dominio.
- l’Unità Relazioni Internazionali, che gestisce le relazioni internazionali.
La funzione che, prima del 2004, era propria della Naming Authority - redigere regole di
naming - ora, è svolta dalla Commissione per le regole, che, a sua volta, deve essere
controllata dal Direttore, il quale approva o respinge le nuove regole formulate.
N:B. Il Registro non si occupa di registrare direttamente i nuovi domain name: questa
funzione è eseguita da società che prendono il nome di Registrar. Il Registrar, inoltre,
offre, in completa autonomia, servizi quali realizzazione siti web, fornitura connettività
Internet ed altro.
La registrazione di un domain name può avvenire in due modi:
- sincrono (il Registrar registra direttamente il nome a dominio)
- asincrono (il registrante inoltra una richiesta cartacea al Registro, tramite mail: la
procedura risulta essere di maggiore durata).
N.B. I domain name vengono registrati per la durata di un anno, per poi essere rinnovati
automaticamente, se rispettano il regolamento.
Nel momento in cui, si dovesse registrare un nome a dominio già utilizzato, coincidente o
simile, ad esempio, con il domain name di un marchio illustre, si incorre in problemi
giuridici:
- cybersquatting, quando si registra un nome a dominio già esistente (marchio,
personaggio famoso…), con un fine speculativo.
- domain grabbing, nel momento in cui, si registra un nome a dominio riservato, con
un fine parassitario, non lucrativo (capita non di rado che, data la grandezza di

Internet, qualcuno possa registrarsi con nome uguale ad un altro – vedi nome
cognome.it - )
- typosquatting, quando, al fine di ottenere maggior visibilità, si utilizzino meta-tag, o
altre parole nascoste, che generano un collegamento indesiderato ad un altro sito.
Oggigiorno, la regolamentazione riguardo questi comportamenti scorretti viene data dal

codice della proprietà industriale, risalente al 2005; in passato, invece, in presenza del
medesimo problema, le dottrine giuridiche in ambiente virtuale coincidevano con quelle
fisiche (diritto d’autore, art. 7 Codice Civile; normativa dei marchi e dei segni distintivi -
vedi principio di unitarietà dei segni distintivi - artt. 2569-2574 Codice Civile [i marchi
registrati, anche se di differente settore professionale vengono tutelati; i nomi a dominio di
tipo geografico, invece, non vengono tutelati]).
Oggigiorno, il codice della proprietà industriale, con il suo art. 22, assicura una tutela
formale ai domain names, tramite l’equiparazione di altri segni distintivi.
L’articolo vieta di adottare come ditta, ragione sociale, denominazione e nome a dominio
un segno o marchio uguale o simile ad uno già esistente, che sia di medesimo settore o
meno.
Nel caso tale irregolarità dovesse accadere, l’art. 133 prevede che il nome a dominio del
soggetto, che ha utilizzato marchio/segno di un altro soggetto, venga modificato
provvisoriamente, dall’autorità giudiziaria.
Inoltre, l’art. 3 del D. lgs. n. 168/2003, stabilisce che le sanzioni specializzate, in materia di
proprietà industriale e intellettuale, si riferiscono a marchi nazionali, internazionali, a
brevetti d’invenzione, a disegni, modelli, ai diritti d’autore e a tutti quegli accorgimenti
sleali che risultano interferire con la tutela della proprietà industriale e intellettuale.
Dal 2012, l’ICANN ha ideato una novità, per quanto riguarda i nomi a dominio. Essa
consiste nella possibilità dell’inserimento di nuovi TLD, ovvero Top Level Domain
(.com,.it…), dove, a seguire il punto si trovano marchi o tematiche differenti, come .apple,
.ferrari, .shop, .music, ecc.
Per registrare questo particolare tipo di nome a dominio è necessario completare un

questionario dettagliato (capacità tecniche, organizzative, finanziarie), per garantire
sicurezza al sistema e una propria stabilità in Internet.
Per possedere un nome a dominio personale, occorre una cifra considerevole (185.000
dollari vengono richiesti solamente per il pagamento della tassa ufficiale per presentare la
domanda).
*L’indirizzo IP (Internet Protocol Address) è un numero che identifica un dispositivo nella

rete.

*Il DNS (Domain Name System) è il servizio Internet, che si occupa di tradurre un nome a
dominio in un indirizzo IP.

AGCOM – AUTORITA’ PER LE GARANZIE NELLE
COMUNICAZIONI
L’AGCOM (Autorità per le Garanzie nelle COMunicazioni) è un organismo, nato

ufficialmente il 31 luglio del 1997 (legge n. 249) con la funzione di vigilare e
regolamentare il settore dell’informazione (televisione, radio, editoria…).
Negli anni ’80, invece, per svolgere medesime funzioni, era nata una figura indipendente:
il Garante per l’editoria, una vera e propria autorità che garantiva e vigilava sui vari
settori dell’informazione, in modo da controllare ogni possibile illecito.
Negli anni ’90, poi, con la legge Mammì, viene introdotto il garante per la radiodiffusione
e l’editoria.
Organi che costituiscono l’AGCOM:
- Commissione per le infrastrutture e le reti, che formula i Piani per assegnare

frequenze televisive e radiofoniche,
- Commissione per i servizi e i prodotti, che controlla le disposizioni su pubblicità,
minori, fiction audiovisiva, tutela delle minoranze, diritto di rettifica e propaganda
elettorale messe in atto.
- Consiglio, che propone al Ministero le discipline per rilasciare concessioni e
autorizzazioni radiotelevisive, e accerta l’esistenza di posizioni dominanti.
Le competenze in ambito comunicativo (editoria, Internet, telefonia, audiovisione…) sono
numerose; tra esse si trovano:
- Gestire le radiofrequenze,
- Assegnare, trasferire o sospendere i diritti d’uso,
- Cooperare a livello internazionale in ambito di numerazione,
- Assegnare nomi a dominio,
- Indirizzare servizi e reti,
- Controllare costi per assicurare servizi universali,
- …
N.B. Tali competenze vengono presiedute da due organismi, che cooperano:

- AGCOM, addetto a funzioni di regolamentazione.
- Ministero, con funzioni di natura amministrativa.
A far parte delle due Commissioni, si trovano otto commissari, eletti dalla Camera dei
Deputati (50%) e dal Senato (50%) e il Presidente viene designato dal Presidente del
Consiglio.
In Europa, il garante delle comunicazioni, invece, è costituito da una solo organo,
caratteristica che rende il sistema più rapido e immediato.

Agcom e diritto d’autore
Uno degli obiettivi dell’AGCOM è quello di tutelare i diritti d’autore nei vari ambiti
comunicativi.
Essa prevede sanzioni, nel caso vengano violate le regolamentazioni esistenti circa il
diritto d’autore, con finalità di lucro.
Ma vengono anche messe in atto misure per arginare l’ormai piaga comune della pirateria
di massa: l’Autorità (decreto legislativo n. 70 del 2003) ha il potere di rimuovere o
disabilitare l’accesso ai contenuti ritenuti illegali.
L’AGCOM inoltre, mette a disposizione di tutti (nel web), attività e informazioni per
diffondere condotte positive: attività e aggiornamenti circa l’autorità, educazione all’uso
legale di Internet, promozione dell’offerta legale (licenze gratuite e condivise).
Segnalazione e violazione Copyright
Nel caso in cui, ci si trovi di fronte ad una possibile violazione di copyright, si deve
segnalare l’AGCOM, la quale mette in moto le indagini per condannare o meno la
presunta attività illecita.
Se la violazione è effettiva, l’autorità chiede al titolare di eliminare la pagina scorretta, ma,
se questo non obbedisce, l’AGCOM chiede la rimozione della stessa.
Se, invece, l’illegalità viene commessa in territorio internazionale, lo stesso garante
richiede ai provider internet italiani di impossibilitare l’accesso al sito o alla pagina agli
utenti italiani, ma non può richiederne l’universale rimozione (all’esterno), poiché tale
condotta viene considerata una censura.
Co. re. com.
L’AGCOM è un organismo con sede centrale a Roma, che presenta diverse succursali,
situate in ogni regione italiana.
Questi organi prendono il nome di Co.re.com, ovvero Comitati regionali per le
comunicazioni.
Nel 2003 e nel 2008, sono stati approvati e sottoscritti l’accordo-quadro (25 giugno 2003) e
il suo seguente (4 dicembre 2008), che hanno stabilito i principi generali per l’esercizio
delle funzioni delegate in tema comunicativo.
Tra le funzioni svolte dai Co.re.com. si trovano:
- Tutelare i minori in ambito radiotelevisivo,

- Controllare che i contributi tv locali vengano pagati,

- Controllare che, durante le campagne elettorali e referendarie, vengano rispettate le
regole di par condicio,
- Vigilare che le emittenti televisive locali rispettino le normative,
- Gestire controversie tra utente, gestori/operatori (prima di avviare una vera e
propria causa giudiziaria, qualora si verificassero problemi concernenti diritti e
interessi, viene attuato un tentativo di conciliazione dinanzi al Co.re.com., attraverso
il Formulario UG, gratuito e con valore immediatamente esecutivo. Nella fase di
conciliazione però, non può essere chiesto alcun risarcimento, ma solamente degli
eventuali indennizzi, previsti dal contratto [dopo 30 gg dal deposito della domanda
di conciliazione, l’utente può aprire un’azione giudiziaria, con, in allegato agli atti
relativi, la ricevuta, dotata di estremi]),
- Garantire trasparenza e permettere la tutela del pluralismo informativo, il rispetto
dei limiti previsti per le partecipazioni di società estere (Registro degli Operatori di
Comunicazione)
- Consentire il diritto di rettifica, ovvero la possibilità da parte dei soggetti, di poter
richiedere al concessionario privato o pubblico la diffusione di personali dichiarazioni
di replica in caso siano state pubblicate immagini, pensieri o altro, falsi.
- Vigilare la pubblicazione e la diffusione di sondaggi sui mezzi di comunicazione di
massa, in ambito locale.

IL SISTEMA RADIOTELEVISIVO: DALL’ANALOGICO AL
DIGITALE
In Italia, la disciplina giuridica del settore radiotelevisivo rimane pressoché inalterata

dagli anni ’50 fino agli anni ’80.
La legge n. 103 del 1975 (riforma televisiva) è stata la legislazione più importante:
prevedeva:
- il principio di monopolio statale delle trasmissioni nazionali, ma apriva uno spazio al
mercato concorrenziale,
- il controllo della radiotelevisione dal governo al parlamento: viene istituita una
commissione parlamentare che vigila sui servizi radiotelevisivi,
- indipendenza, completezza e obiettività dell’informazione.
Negli anni ’80 poi, sorge un nuovo polo radiotelevisivo, questa volta non pubblico, ma
privato (gruppo Fininvest), e viene introdotta la legge n. 10 del 1985, che ne afferma la sua
legittimità.
Negli anni ’90, vengono introdotte nuove normative in materia televisiva (Legge Mammì
(1990) e Legge Maccanico (1997) e la sentenza 102/1990.
Nel 2004-2005 viene approvata la Legge Gasparri (limiti al cumulo di programmi ed alla
raccolta di risorse economiche, definizione SIC “Sistema Integrato delle Comunicazioni”
passaggio da analogico a digitale) e il Testo Unico della radiotelevisione (distinzione
emettenti informative e commerciali).
La rivoluzione portata dal digitale terrestre, ha spinto l’UE a regolamentare tale servizio,
nel 2002 (diritto alla convergenza).
Il Testo Unico invece, stabilisce una disciplina per le reti televisive con l’introduzione del
principio di specialità di questa disciplina e la sua prevalenza su quella prevista dal
Codice delle comunicazioni elettroniche, in applicazione delle direttive europee.
Servizio pubblico radiotelevisivo
Il servizio pubblico radiotelevisivo è un servizio di trasmissioni radiotelevisive, che sono

prodotte dallo Stato, mediante un ente o un organizzazione pubblica, o da imprese
concessionarie, che garantiscano la completezza e l’imparzialità dell’informazione.
La radiodiffusione ha come obiettivo il conseguimento della qualità dell’audience,

mediante la trasmissione di programmi culturali ed educativi.

LA COMUNICAZIONE PUBBLICA ELETTRONICA TRA PRIVACY
E ACCESSO ALLA DOCUMENTAZIONE
Con l’e-government si è giunti alla digitalizzazione della Pubblica Amministrazione, con

molti vantaggi, tra cui la deburocratizzazione, ma è anche vero che, con l’inserimento di
sempre più nuove reti informatiche, esistano maggiori problemi riguardo la sicurezza
(riservatezza, lotta alla criminalità, tutela sicurezza cittadini) e la privacy in Internet.
Gli ordinamenti riguardo la tutela dei dati personali sono state elaborate nel:
- 1990 (legge n. 241) “Nuove norme in materia di procedimento amministrativo e
diritto di accesso ai documenti amministrativi”;
- 1996 (legge n. 675) “Tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personali”;
- 2005 (legge n. 82) “Codice dell’amministrazione digitale”.
Nel 2000, con l’art. 11 del DPCM (31 ottobre) è stato istituito l’IPA, l’Indice delle
Pubbliche Amministrazioni, al fine di rendere maggiormente efficace e rapido il sistema
di trasmissione di documenti informatici.
Per quanto riguarda la procedura di iscrizione, i passi non sono del tutto veloci e semplici:
- La PA chiede al Gestore dell’IPA l’accreditamento all’Indice, tramite l’invio del
modulo disponibile sul sito web, per mezzo di un fax;
- Il Gestore e il Responsabile dell’IPA verificano che la PA sia in possesso dei requisiti
necessari per l’accreditamento, stabiliscono un codice identificativo per la stessa e
reperiscono i dati per l’accreditamento;
- Il Gestore dell’IPA comunica per mezzo mail l’avvenuto accreditamento al Referente,
fornendo il codice assegnato all’amministrazione da utilizzare nella segnatura di
protocollo, con le credenziali per l’accesso all’aria privata del sito web dell’IPA.
Il sistema perciò, non è così rapido e semplice, senza contare che, la procedura di
accreditamento ha la durata di qualche giorno e che i processi per la comunicazione di
varie informazioni (dati personali…) risultano essere troppo articolati.
Documento amministrativo
Il documento amministrativo è un documento con una diretta rilevanza sul contenuto del
provvedimento finale amministrativo.
Esso raccoglie tutti gli atti relativi a uno specifico procedimento di interesse pubblico,
detenuto dalle amministrazioni pubbliche.

Per quanto riguarda l’accessibilità, nel momento in cui l’amministrazione possiede la
disponibilità di un dato in via occasionale, non concretamente utilizzato in ambito
amministrativo, viene esclusa l’accessibilità di tali dati a terzi.
Di più, l’art. 22 comma 4, della Legge 241 del 1990 afferma che le informazioni in possesso
di una pubblica amministrazione, ma che non hanno forma di documento amministrativo,
non sono accessibili.
Circa la tutela del diritto di accesso ai dati personali e di altri diritti sanciti dal TU privacy,
è l’autorità giudiziaria ordinaria a occuparsene.
A stabilire le regole di garanzia per quanto riguarda la tutela dei dati personali è il codice
dell’amministrazione digitale del 2005.
Esso prevede che i certificatori siano tenuti ad adottare tutte le misure organizzative e
tecniche necessarie a evitare danni a terzi. Il certificatore inoltre, raccoglie i dati personali
solamente direttamente dalla persona cui si riferiscono, con esplicito consenso; deve
assicurare data e ora di rilascio, revoca o sospensione dei certificati elettronici.
Dal 2006, con l’art. 18 del Decreto legislativo correttivo, viene introdotto il fascicolo
informatico, che raccoglie dati, documenti, atti – consultabili da parte di tutte le
amministrazioni coinvolte - che gestiscono, conservano, trasmettono le regole che
presiedono alla gestione delle varie fasi procedurali del documento amministrativo
informatico.
Protocollo informatico
Per Protocollo informatico si intende un insieme di risorse di calcolo, di apparati, di reti di

comunicazione e di procedure informatiche, utilizzate dalle amministrazioni per gestire
documenti sia cartacei che elettronici, al fine di migliorare i servizi, la trasparenza
dell’azione amministrativa e contenere i costi.
Dal 2004, tramite una direttiva rivolta a ogni amministrazione pubblica, si stabilisce
l’obbligo di dotarsi di sistemi informatici per gestire i documenti in formato elettronico.
Con il Decreto del Presidente della Repubblica (D.P.R.) n. 428 del 1998, vengono stabilite,
per la prima volta, a livello normativo, le regole e i criteri generali per la gestione dei
documenti informatici (modalità operative per la registrazione degli atti, gestione flussi
documentali e archivistici, requisiti di sistema, attività di accesso alle informazioni per
P.A. e privati…).
Nel 2004 poi, vengono inserite le documentazioni amministrative che disciplinano le

disposizioni per quanto riguarda la produzione, la trasmissione, la gestione e la
conservazione di atti e documenti.

In seguito, vengono introdotte altre direttive e circolari che aiutano i vari uffici ad attuare
le procedure per il protocollo informatico.
Nel 2010, con il decreto legislativo n. 235, viene ordinato che il sistema di conservazione
digitale della P.A. deve essere gestito da un responsabile che lavori a stretto contatto con il
responsabile del trattamento dei dati personali, e, se presente, anche con il responsabile
del servizio di protocollo informatico, di gestione dei documenti e degli archivi.
Carta d’Identità Elettronica, Carta Nazionale dei Servizi e passaporto

elettronico
Strumenti di innovazione tecnologica sono:

- la Carta d’Identità Elettronica (CIE) è una smart card composta da una banda ottica e
un microprocessore, che contiene, in formato digitale e fisico, foto e informazioni
identificative.
- la Carta Nazionale dei Servizi (CNS) è una smart card provvista di un microchip, che
permette di accedere solamente ai servizi della P.A. in rete.
- il passaporto elettronico è un nuovo strumento di e-government, dotato di microchip
e caratteristiche di stampa anti contraffazione, che consente di registrare dati e
certificati circa il titolare e l’Autorità che lo ha rilasciato (ultimamente si sta pensando
di introdurre impronte digitali).
Le Carte elettroniche rappresentano un valido strumento innovativo, ma, allo stesso

tempo, presentano il problema della privacy.
Proprio per questo, ogni soggetto, prima di entrare in possesso di tali carte, deve essere
informato sui propri dati personali, sulle modalità di trattamento, sui responsabili e sui
soggetti che entrano in contatto con tali dati personali.
Inoltre, il titolare può richiedere se inserire o meno, nella carta d’identità elettronica, le
personali informazioni sanitarie e sensibili.
Dal 2005 inoltre, il Garante per la protezione dei dati personali ha il compito di ribadire il
valore dell’organizzazione delle P.A. finalizzata alla tutela dei dati personali e la necessità
di rendere trasparenti le informazioni raccolte e il loro utilizzo (essenziale, non eccessivo),
al diretto interessato.

Aspetti tecnici della firma digitale:
la crittografia
La crittografia è un sistema segreto in cifra o codice, che rappresenta, oggigiorno, una

scienza matematica in grado di costruire un sistema per cifrare un testo, in modo da
rendere il contenuto privato, leggibile solamente da mittente e destinatario, ovvero dai
diretti interessati.
La crittografia si compone di due processi:
- la cifratura, che si occupa di ogni lettera di un alfabeto;

- la codifica, che opera sulla semantica.
I sistemi di cifratura sono in grado di lavorare anche per trasposizione, ovvero sulla
mescolanza di caratteri di un messaggio, e per sostituzione, ovvero tramite la sostituzione
di un carattere con un altro, seguendo una logica precisa e per combinazione.
Il sistema di cifratura inoltre, per maggiore sicurezza, può utilizzare sia la tecnica di
trasposizione che quella di sostituzione, dando vita alla cosiddetta “cifratura composta”.
Elementi fondamentali nel sistema di cifratura sono l’algoritmo - per la codifica e la

decodifica -, una serie di istruzioni che consente di raggiungere un risultato prefissato in
un numero finito di passi, e la chiave, che fornisce le informazioni per decodificare il testo
criptato.
L’analisi del testo cifrato, che ha l’obiettivo di decodificare il messaggio, pur non
possedendo la chiave, viene definita criptoanalisi.
Lo scopo del criptoanalista perciò, è quello di riuscire a ottenere la chiave con ogni metodo
possibile.
Nei sistemi di crittografia più sicuri, utilizzati oggi, quelli a chiave pubblica, le chiavi sono
due: una per codificare, l’altra per decodificare; esse sono generate da un programma e
sono univoche, non utilizzabili per scopo inverso, ed è praticamente impossibile ottenerne
una quando si ha già l’altra.
Questo sistema prevede la trasmissione delle chiavi via mail.
Da questo metodo sicuro e rapido è nato PGP, un programma di crittografia in grado di

generare una coppia di chiavi, in congiunzione biunivoca tra loro, e di rendere pubblica
una chiave, trattenendo a sé l’altra.
Il PGP è un sistema segreto di scrittura in cifra, che utilizza una o due chiavi , a seconda
del sistema di crittografia, che può essere simmetrico o asimmetrico.

Per quanto riguarda l’ordinamento giuridico italiano, il legislatore ha deciso di applicare
la crittografia asimmetrica, che si avvale di una coppia di chiavi correlate o
complementari, una pubblica – conoscibile solamente dal titolare - e l‘altra privata,
utilizzabile da ogni soggetto interessato.
La complementarietà permette ad ogni chiave di sbloccare il codice apposto all’altra e non
l’ altro, per questo, se una chiave viene utilizzata per la cifratura di un documento, l’altra
dovrà essere impiegata per decifrare lo stesso, e viceversa.
Funzione di hash
La tecnica di hashing (impronta) è una tecnica, in grado di produrre l’impronta digitale

di un documento, e permette di realizzare la firma digitale, per mezzo della creazione di
una complessa stringa di messaggio con dimensioni fisse e una lunghezza minore rispetto
la chiave di cifratura.
L’hash code ha le seguenti caratteristiche:
- unidirezionalità, che consente all’hash di non riuscire a risalire al documento

originale;
- resistenza alle collisioni, che non consente di determinare una coppia di documenti
con lo stesso valore di hash.
La funzione di hash si attua per mezzo dell’applicazione della chiave privata solo al
message digest (stringa di dimensioni variabili che identifica in modo univoco un
documento) e non all’intero documento, in modo che la cifratura sia più veloce e sicura.
Apporre la firma digitale da parte del mittente produce un documento chiaro, leggibile,
associato a un insieme incomprensibile di caratteri, grazie alla funzione di hash.
La firma digitale assicura garanzia, autenticità e integrità di un messaggio, ma non
segretezza, poiché chiunque può accedere alla chiave pubblica del documento.
Al riguardo si può incorrere nella problematica dell’effettiva coincidenza del mittente con
l’autore del documento, per questo è fondamentale l’intervento dell’Autorità di
certificazione, ovvero di soggetti giuridici, privati o pubblici, che hanno il compito di
garantire la corrispondenza tra le chiavi e l’identità del titolare.
Le chiavi pubbliche vengono inserite nella Key Repository, l’archivio elettronico,
consultabile in rete.
Riguardo la privacy, il regolamento tecnico sui documenti informatici prevede che le

informazioni personali possono essere relazionate ad uno pseudonimo (dati anagrafici),
solo se è stato esplicitamente richiesto nel certificato.

La firma digitale è definita come l’output della procedura informatica, fondata su un
sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che permette al
sottoscrittore, per mezzo della chiave privata e al soggetto destinatario, tramite la chiave
pubblica, di verificare la provenienza e l’integrità di uno o più documenti informatici.
Il sistema prevede inoltre, l’utilizzo di un dispositivo di firma, definito come un apparato
elettronico programmabile solo all’origine, che conservi le chiavi private e generi firme
digitali. Questo dispositivo si realizza tramite smart card o chiavetta Usb, contente la chiave
privata del sottoscrittore, che può apporre la propria firma digitale sul documento
informatico.
Time stamping
Al fine di garantire la certezza dell’avvenuta trasmissione di un documento informatico,

in modo che esso sia opponibile a terzi, è stata introdotta l’autorità di certificazione TSA
(Time Stamping Authority), l’organizzazione che rilascia marche temporali1 sincronizzate
(validazione temporale) con il segnale emesso dall’Istituto accreditato.
Il destinatario perciò, per rendere certo il momento di trasmissione, deve appicarae il

procedimento di verifica della firma digitale dell’ente preposto al servizio di controllo
temporale.
Key escrow e key recovery
Al fine di rendere possibile la decodifica dei messaggi di un cittadino, in caso di necessità,

è stata elaborata la key escrow, dopo che il cittadino abbia consegnato presso un ente
governativo la chiave privata.
La key recovery, invece, è una chiave che permette, nonostante il cittadino non abbia
depositato la chiave privata presso la PA, di decifrare un qualsiasi documento formato
precedentemente.
Oggigiorno esiste anche un altro tipo di chiave: la chiave biometrica, costituita da una
sequenza di codici informatici che utilizzano metodi di verifica del’identità personale,
fondati su alcune caratteristiche fisiche dell’utente: impronta digitale o retina.
1
Le marche temporali, similmente alle firme digitali, sono realizzate mediante un procedimento che prevede
l’identificazione dell’emittente, il numero di serie della marca temporale, il numero di certificato circa la
chiave di verifica della marca, l’algoritmo di sottoscrizione della marca, l’identificazione dell’algoritmo di
hash e il valore del digest.

La firma digitale
Oggigiorno, esistono diverse tipologie di firme elettroniche, ma tutte hanno la funzione di

rendere una persona identificabile in ambiente elettronico.
La firma elettronica, innanzitutto, è costituita da dati in formato elettronico, che

possono essere allegati o connessi ad altri dati elettronici, mediante associazione
logica (sensi dell’art. 1 co. 1 lett, q), del Codice dell’amministrazione digitale,
modificato dal D. Lgs. 159/2006).
Esiste una singolare tipologia di firma elettronica avanzata: la firma elettronica

qualificata, certificata, realizzata tramite un sistema elettronico sicuro, che si occupa della
creazioni delle firme.
In un secondo luogo, è stato introdotto un nuovo tipo di firma elettronica avanzata e

certificata, dal 2010: la firma digitale, dotata di un certificato qualificato e di un sistema
di chiavi crittografate (privata e pubblica) che permette al titolare e al destinatario di
manifestare e di verificare provenienza e integrità del documento in formato elettronico.
L’autenticazione della firma digitale si rifà all’attestazione: la firma deve essere apposta
dal titolare, in presenza del pubblico ufficiale, a condizione che sia stata accertata, in
precedenza, l’identità personale, la validità del certificato elettronico e sia stato assicurata
la conformità del documento con l’ordinamento giuridico.
La firma elettronica avanzata è una firma elettronica particolare, introdotta nel 2010,
costituita da un insieme di dati in forma elettronica, allegati o connessi ad un documento
informatico, al fine di assicurare la garanzia di una connessione univoca e di permettere
al firmatario di essere identificato.
È bene sapere che, al momento, al pari della firma digitale e delle altre firme elettroniche
qualificate, la firma elettronica avanzata dona ai documenti firmati il medesimo valore
probatorio riconosciuto alle scritture private.
La firma elettronica avanzata però, non può essere utilizzata per la sottoscrizione di atti,
che hanno a oggetto beni immobili: viene richiesta obbligatoriamente la firma elettronica
qualificata o la firma digitale, in tale caso.
Le riforme relative le copie informatiche dei documenti e le firme elettroniche avanzate

hanno avuto, nel corso del tempo, diverse riforme.
Il valore probatorio del documento in formato elettronico, sottoscritto con firma

elettronica “semplice” risulta essere liberamente valutabile in giudizio, senza trascurare

qualità, sicurezza, integrità e immodificabilità del documento, mentre il richiamo alle
regole tecniche stabilite dall’articolo 71 viene allargato alle firme elettroniche avanzate.
La firma elettronica qualificata o digitale viene ricondotta al titolare, a meno che non
venga data prova contraria (21 comma 2).
È stata introdotta una nuova disciplina: essa prevede che la scrittura privata informatica
può essere disconosciuta dal sottoscrittore tramite la produzione da parte di questi della
prova che egli non abbia utilizzato il dispositivo di firma.
La persona contro il quale viene presentata in giudizio una falsa scrittura cartacea può
limitarsi a disconoscere la propria firma, muovendo la procedura di verificazione. La parte
processuale presentata contro la falsa scrittura, in formato elettronico, disconosce la
propria firma e fornisce le prove della sua falsità, con un inversione dell’onere probatorio
che sembra ingiustificato.
Il documento elettronico, con apposta la firma digitale, si pone a metà strada tra la
scrittura privata e l’atto pubblico, avendo in giudizio la medesima efficacia probatoria di
una scrittura privata con sottoscrizione riconosciuta a livello legale.
Può accedere che si verifichi una qualche violazione, abuso, o utilizzo scorretto della firma
digitale.
È bene sapere che il legislatore ha posto un onere di correttezza nell’uso del dispositivo
di firma in nome del titolare, prevedendo che il soggetto titolare della firma deve
assicurare la custodia del dispositivo e adottare tutte le dovute precauzioni al fine di
evitare danni ad altri e, cosa fondamentale, utilizzare personalmente il dispositivo di
firma, e non cederlo ad altri: nel caso in cui, un titolare dovesse donare temporaneamente
la firma, ad una segretaria per svolgere un atto a suo nome, egli stesso è responsabile del
dispositivo, non può per ciò ricevere alcun risarcimento in caso si verificassero errori.
Se invece, la firma elettronica venisse posta con chiave non valida, essa viene considerata
come non apposta.
Un’altra problematica considerevole riguarda l’indicazione del momento in cui decorrono

gli effetti della revoca o della sospensione della chiave della firma.
La revoca e la sospensione coincidono, nella maggioranza dei casi, con la pubblicazione di
un atto in questione da parte del certificatore nelle rispettive liste. Nei casi eccezionali,
dovuti dalla circostanza, per cui il revocante, o soggetto che dispone della sospensione,
non sia in grado di dimostrare che essa fosse a conoscenza di tutte le parti interessate
all’operazione, non si esclude che l’efficacia della revoca o della sospensione decorra anche
da un momento diverso, se non arreca danno a terzi.
Se, invece, il titolare non ha richiesto tempestivamente la revoca della chiave smarrita,
utilizzata fraudolentemente da altri, tali operazioni risultano impiegate con chiavi valide

agli occhi del destinatario, con la conseguenza che la responsabilità per il danno arrecato,
dovrà ricadere sul titolare negligente.
Ancora, se il certificatore pubblica tardivamente la revoca della chiave smarrita, è egli

stesso a essere responsabile (nell’ipotesi in cui siano state avanzate operazioni che abbiano
arrecato recato danno nel lasso di tempo tra la richiesta del titolare e l’avvenuta
pubblicazione della relativa decisione.

Pec
Ruolo certificatori
Il certificatore2 deve generare un certificato relativo alla nuova chiave pubblica sottoscritto
con la chiave privata della vecchia copia e uno relativo alla vecchia chiave pubblica
sottoscritto con la chiave privata della nuova copia.
Il dispositivo utilizzato per la creazione della firma digitale sicura si presenta come una
smart card, una carta dotata di microchip, o una chiavetta USB, conosciuta come token usb.
La smart card, allo stesso modo, il token, si collegano al computer e generano una coppia di
chiavi, una pubblica e l’altra privata, indispensabili per la creazione della firma digitale.
Dai certificatori, poi, nei dispositivi di firma, vengono inseriti i certificati qualificati quali
l’indicizzazione che il certificato elettronico rilasciato sia certificato, il nome e il codice
fiscale del titolare del certificato, i dati per la verifica della firma digitale, l’indicizzazione
della chiave pubblica, il periodo di validità del certificato e la firma digitale del
certificatore.
In passato, la legge prevedeva che per svolgere l’attività di certificatore era necessario
essere un’impresa Spa, con un capitale sociale pari a quello richiesto per l’esercizio
dell’attività bancaria.
Attualmente, invece, il Codice dell’amministrazione digitale stabilisce che l’attività
dell’autorità di certificazione sia libera, priva di alcuna preventiva autorizzazione, ma si
ha l’aggiunta del requisito di onorabilità, ovvero direzione e controllo presso le banche,
come accade per i soggetti che svolgono funzioni amministrative.
Per quanto riguarda invece, i certificatori qualificati, ovvero gli enti che aspirano ad un
rango elevato, rispetto ai semplici certificatori, devono rispettare altri requisiti:
- dimostrazione di affidabilità a svolgere le operazioni di certificazione;
- la presenta di personale dotato di conoscenze specifiche in ambito informatico e di
sicurezza;
- l’utilizzo di procedure e metodi di gestione conformi a tecniche consolidate;
- l’uso di sistemi affidabili di firma;
- l’adozione di misure efficaci per prevenire contraffazioni.
2
Nel 2013, i certificatori contano un numero di 12. Essi sono: Arubapec, Monte dei Paschi di Siena, Intesa, Intesa San
Paolo, Telecom, Namirial, Postecom…

Esistono anche altri certificatori, chiamati certificatori accreditati: essi devono possedere
altri requisiti superiori rispetto ad altri certificatori più semplici.
Tra questi si trovano: la dimostrazione di possedere personale responsabile della
generazione di dati utili per la creazione e gestione della firma digitale, dell’emissione dei
certificati, della gestione del registro dei certificati e dell’impiego delle regole tecniche
necessarie.
In definitiva perciò, i certificatori semplici hanno la funzione di emettere certificati

semplici, con firme non tanto sicure, mentre i certificatori qualificati possono emettere sia
certificati semplici che qualificati, però più sicuri.
Obblighi certificatori
Uno dei tanti compiti che deve eseguire il certificatore è l’accertare l’identità del
richiedente certificazione: il certificatore per questo motivo, è responsabile
dell’identificazione del soggetto che richiede il certificato qualificato di firma, nonostante
l’attività sia delegata a terzi.
Gli atri obblighi riguardano:
- l’adozione delle misure tecniche e organizzative necessarie per evitare danno ad altri;
- l’esclusione dell’attività di deposito di dati per la creazione della firma del titolare;
- la tempestività di pubblicare revoca o sospensione del certificato elettronico;
- la determinazione di data e ora di rilascio, revoca o sospensione certificati;
- l’assicurazione di non copiare o conservare le chiavi private di firma del soggetto
interessato;
- l’utilizzo di sistemi affidabili per gestire il registro dei certificati.
Revoca e sospensione certificato
Una funzione piuttosto importante per i certificatori, consiste nella sospensione o nella
revoca del certificato (art. 36 CAD).
La revoca è un’operazione con la quale si annulla la validità del certificato da un certo

momento e non è retroattivo (hanno effetto dal momento della pubblicazione). Può
avvenire nell’istante in cui si verifichi un evento che incide sulla titolarità della chiave e
per questo motivo si desidera renderlo conoscibile, per evitare che terzi possano affidarsi
ad una chiave revocata.
La sospensione di un certificato invece, è un’operazione con cui il certificatore sospende la
validità di un certificato provvisoriamente. Essa può essere richiesta da un terzo, dal
titolare e dal certificatore.

È bene sapere che sia la sospensione che la revoca dei certificati vengono annotati
automaticamente sul giornale di controllo, con data e ora di esecuzione dell’operazione.
Responsabilità attività di certificazione
Il certificatore è una figura piuttosto importante: senza la sua presenza, il cittadino non
può in alcun modo firmare un documento elettronico con l’efficacia probatoria di legge.
Per questo motivo, egli è responsabile dell’esattezza e completezza delle informazioni
contenute nel certificato rilasciato, è responsabile della garanzia della corrispondenza
tra dati utilizzati per la creazione e la verifica delle firme ed è responsabile nei confronti
di terzi che fanno affidamento sul certificato, a meno che egli non provi di aver agito
senza colpa o dolo.
Il certificatore però, non è responsabile di danni derivanti dall’utilizzo di un certificato che
ecceda i limiti posti dallo stesso o derivanti dal superamento del valore limite.
Per quanto riguarda invece, la responsabilità penale, la normativa applicabile è ancora
piuttosto discussa.
Ruolo e compiti DigitPA
La DigitPA, in passato aveva il nome di A.I.P.A. (Autorità per l’Informatica nella PA) ed
era un organo collegiale dotato di autonomia tecnica-funzionale e di una certa
indipendenza che si è maggiormente consolidata nel tempo, con l’introduzione di nuovi
decreti.
La A.I.P.A. era costituita dal presidente e da quattro membri, scelti tra persone dotate di
alta e riconosciuta competenza, professionalità, moralità e indipendenza. La loro durata in
carica inoltre, era fissata in quattro anni, senza che però, potessero essere confermati una
seconda volta.
L’organismo poi, ha convertito il suo nome in CNIPA (Centro Nazionale per l’Informatica
nella PA) e svolgeva le attività che ora vengono eseguite dalla DigitPa.
Esse sono:
- lo sviluppo di infrastrutture di rete e di diffusione e-government;
- la coordinazione del processo di pianificazione e sviluppo di interventi per
progettare, realizzare e gestire i sistemi informatici delle amministrazioni;
- la definizione della politica di Governo e del Ministro per l’innovazione e le
tecnologie, oltre a fornire la consulenza per la valutazione di progetti di legge nel
settore informatico;
- il controllo che gli obiettivi e i risultati dei progetti siano coerenti con la strategia
governativa;
- la cura della formazione dei dipendenti pubblici nel settore informatico.
La DigitPa, come l’AIPA, è un organo collegiale costituito dai medesimi membri interni.

Computer crimes
Nell’ambito dei computer crimes, è bene conoscere la distinzione tra sistema informatico
e sistema telematico.
Innanzitutto, il sistema è un complesso di attrezzature e macchinari che hanno la capacità
di interagire tra di loro.
Il sistema informatico è un insieme completo di apparecchiature hardware e software, che
hanno la funzione di calcolare, elaborare, connettere e svolgere procedure, al fine di
trattare informazioni.
Il sistema telematico invece, è un insieme combinato di apparecchiature per la
trasmissione a distanza di dati e informazioni, tramite tecnologie dedicate alle
telecomunicazioni.
Per quanto riguarda la criminalità informatica, nel 1993 sono state introdotte modifiche e
integrazioni alle norme del codice penale e del codice di procedura penale.
Con la legge 23 dicembre 1993, sono state inserite nuove forme criminose e modificate
alcune preesistenti. Con l’avvento e lo sviluppo di sempre nuove tecnologie informatiche,
sono sorte nuovi illeciti, tra questi si trovano:
- accesso abusivo a sistema informatico e diffusione codici di accesso (aggressioni al

patrimonio tramite strumenti informatici);
- delitto di frode informatica (condotte lesive nei confronti di interessi personali,
culturali scientifici).
La legge 48 del 2008 ha introdotto una nuova punizione nei confronti di coloro che
rilasciano false dichiarazioni o false attestazioni al certificatore di firma elettronica,
riguardo identità, dati personali e altro. Si tratta di reati comuni che vengono commessi
da chiunque e con problemi di non poco conto in ambito giuridico.
Un altro particolare reato ha come oggetto l’accesso abusivo ad un sistema informatico,

in modo illegittimo: a punire tale reato sono stati inseriti nuovi articoli introdotti dalla
legge 547 del 1993.
Gli articoli 615-ter e 615-quater puniscono il reato di accesso abusivo ad un sistema
informatico o telematico (o la divulgazione dei suoi codici di accesso), protetto da misure
di sicurezza.
Sono state inserite e modificate anche norme riguardanti i virus, programmi che
danneggiano o alterano dispositivi altrui. Per prevenire o punire questo genere di reato in
sede informatica è sorto l’articolo 615-quinquies, introdotto dalla legge 547 del 1993
(codice penale): esso si occupa di punire colui che distribuisce un qualsiasi tipo di
malware.

Nel 2008 però, la norma ha subito caratteri più aspri, prevedendo punizioni che si
estendono al produttore del virus. Nel complesso perciò, oggi vengono sanzionati tutti
quei soggetti che producono, importano, diffondono e consegnano virus.
L’articolo 5 della legge 547 del 1993 si occupa dei delitti contro l’inviolabilità dei segreti,
prevedendo in modo esplicito che per corrispondenza si intende una qualsiasi forma di
comunicazione a distanza, che sia epistolare, telegrafica, telefonica, informatica o
telematica.
È stata introdotta una trilogia di norme riguardanti i reati di intercettazione o

interruzione illecita di comunicazioni telematiche o informatiche, di installazione di
apparecchiature con lo scopo di intercettare, impedire o interrompere comunicazioni
informatiche o telematiche, e il reato di falsificazione, alterazione o soppressione del
contenuto di comunicazioni informatiche o telematiche:
- Una forma di inviolabilità di segreti si riferisce alle intercettazioni. L’art. 617-quater

del codice penale sanziona ogni comportamento criminoso che ha l’obiettivo di
intercettare comunicazioni tra sistemi.
- Il solo possedere apparecchiature specializzate nell’effettuare intercettazioni, con

fine illecito, viene considerato reato di pericolo, secondo l’art. 617-quinquies.
- Modifiche, alterazioni, falsificazioni e soppressioni di un contenuto in formato

digitale comporta sanzioni, secondo l’art. 617-sexies.
Sono state inserite anche disposizioni utilizzabili nei casi di sabotaggio informatico, che
agiscono nel momento in cui vengano predisposte emergenze terroristiche.
Il reato di attentato, ad esempio, è considerato tra quelli a consumazione anticipata, che
anticipa la soglia di punibilità a fatti non ancora lesivi.
Tali irregolarità vengono ritenute dannose dalla pubblica utilità, ovvero da tutte quelle
operazioni dedicate allo svolgimento regolare della vita sociale.
Di fondamentale importanza è l’articolo 621 del codice penale, che estende protezione e
diritti in materia giuridica anche ai documenti in formato digitale, oltre che cartacei.
Nel 2008 sono state apportate delle modifiche in materia di reati e frode informatica
(Convenzione di Budapest).
Esse sono:

- Eliminazione diversità nella definizione di “documento informatico”, tra il diritto
civile e penale;
- Modifica articolo 615-quinquies (disposizioni apparecchiature per danneggiare o
interrompere sistemi informatici o telematici) in tema di virus, con
l’implementazione delle condotte, oltre ai software, anche alle apparecchiature
utilizzati al fine di danneggiare illecitamente un sistema informatico o telematico;
- Rivisitazione del danneggiamento di dati, informazioni e sistemi, anche di pubblica
utilità, con l’inserimento della punibilità a querela dei danneggiamenti di dati
privati;
- Introduzione di una nuova tipologia di frode informatica, commessa dal soggetto
che offre servizi di certificazione di firma elettronica;
- Estensione ai reati informatici della responsabilità amministrativa degli enti;
- Modifica delle procedure di acquisizione dell’evidenza informatica, tramite
l’adozione di misure tecniche che assicurano la conservazione e l’immodificabilità
di dati originali;
- Introduzione della procedura di congelamento dei dati per ragioni urgenti,
sottoposta a convalida da parte del Pubblico Ministero;
- Affidamento delle indagini in tema di reati informatici e di pedo-pornografia agli
uffici del pubblico ministero, presso il tribunale de capoluogo del distretto di corte
d’appello.

Gli illeciti in rete
Anche il semplice navigare in Internet nasconde insidie e atti che possono conoscere i dati
e le preferenze di un utente.
Esistono infatti, degli applicativi chiamati Applet Java e controlli Active X che hanno la
possibilità di raccogliere alcune informazioni sul computer collegato, dai siti visitati
giornalmente, al sistema operativo, al numero di plug-in installati in un browser, fino ad
arrivare ad aprire file sul proprio hard disk e inviarli dove si desidera.
Tutti questi applicativi che vengono utilizzati per tracciare o rilevare informazioni sugli
utenti vengono denominati “web bug”.
Cookies
Anche i cosiddetti cookies possono essere dannosi. Innanzitutto, essi consistono di un

piccolo file, che contiene tutti gli indirizzi dei siti che vengono più spesso visitati da un
dispositivo, li salva e li aggiorna sull’ hard disk. Questo sistema permette una sorta di
personalizzazione dell’offerta messa a disposizione nella rete, nel senso che permette
all’utente una rapida fruizione dei siti maggiormente visitati, evitando di digitare ogni
volta per esteso il sito cui si desidera collegarsi.
Spesso, questo sistema viene utilizzato a scopo pubblicitario, in quanto i cookies offrono la
possibilità di personalizzare la presentazione di pagine web, con l’inserimento di servizi e
consigli pubblicitari più consoni al gusto personale dell’utente. È bene sapere però, che i
cookies non trattengono le informazioni di un singolo utente, ma di un dispositivo: infatti,
ad essere raccolto è l’indirizzo IP.
Nel caso in cui l’utente fornisse i propri dati personali, compilando un guestbook, per
accedere ad un servizio, si mette in atto la cosiddetta normativa sulla privacy e tutela dei
dati personali. Ogni soggetto che intende trattare dati personali altrui, infatti, ha l’obbligo
di informare l’utente in maniera dettagliata sul trattamento dei dati e chiederne consenso.
In tale materia, è possibile venire a contatto con il “bad coking”, il fenomeno per cui più
siti contengano collegamenti o immagini provenienti da uno specifico sito.
Per questo, sono state inserite, in particolar modo nel 2012, modifiche legislative circa
l’utilizzo dei cookies: la direttiva 2009/136/CE3 (Cooking Law), infatti, prevede il consenso
esplicito da parte degli utenti all’installazione di cookies sul proprio dispositivo.
3 Tale direttiva è stata introdotta dal Parlamento europeo, in materia di comunicazione elettronica.

Spamming
Un altro problema che assilla gli utenti del web è la cosiddetta “posta spazzatura”, il
ricevimento e l’accumulo di messaggi pubblicitari indesiderati su una propria casella di
posta elettronica, fenomeno che prende il nome di “spamming”.
Oltre essere una pratica piuttosto fastidiosa per l’utente, lo spamming è in grado di creare
problemi ai provider, poiché disturba la banda di trasmissione.
A causa di questo fenomeno in crescita, sono sorti diversi articoli:

- Art. 10 del decreto legislativo 185 del 1999, afferma che i contratti a distanza, conclusi
dai consumatori, devono ottenere il consenso preventivo dell’operatore, per fornire
messaggi via posta elettronica o via telefono.
- Art. 7 della direttiva 2000/31/CE prevede che gli Stati membri che consentono le
comunicazioni commerciali non sollecitate per posta elettronica, debbano essere
identificabili come tali.
- Art. 6 della direttiva circa le comunicazioni commerciali in generale afferma che la
persona fisica o giuridica, per conto della quale viene effettuata la comunicazione
commerciale è obbligata ad essere chiaramente identificabile. Gli Stati membri,
inoltre, devono adottare provvedimenti per fare in modo che coloro che inviano per
posta elettronica pubblicità non sollecitata, consultino regolarmente e rispettino i
registri negativi in cui possono iscriversi le persone che non vogliono ricevere tali
comunicazioni commerciali.
In Italia poi, come ormai in molti altri Stati, è stata introdotta la regola secondo cui le
comunicazioni online commerciali o pubblicitarie richiedono il consenso preventivo del
destinatario, invece che la successiva opposizione ad altri invii (opt out).
Di fondamentale importanza è la condotta che devono rispettare coloro che inviano posta
a scopo pubblicitario: essi sono obbligati a rispettare tutte le regole di deontologia
professionale, in quanto l’attività sia esercitata come operazione professionale, perciò
regolamentata.
A schierarsi contro lo spamming sono sorte anche alcune iniziative, che agiscono come
anti-spamming, software che sono in grado di respingere i messaggi ritenuti indesiderati.
Ad occuparsi delle segnalazioni di spamming si trovano la Registration Authority e il

Garante.

Phishing
Il phishing è una particolare tipologia di reato informatico che è orientato

all’acquisizione illecita di tutte quelle caratteristiche personali, che sono alla base
dell’identità di un utente: codice carta di credito, password e altre informazioni relative ad
un account.
Questa forma di frode viene messa in atto dai cosiddetti “phishers”, che inviano all’utente
false mail, che sembrano provenire da siti web noti o fidati (siti web “spoofed4”) – il sito
ufficiale di una banca, ad esempio – chiedendo informazioni personali.
È bene sapere che, nonostante i casi di phishing siano numerosi, l’Italia non ha ancora
introdotto una normativa specifica di tale frode informatica. Il reato, ora, viene trattato
come violazione della privacy, che sfocia nell’illecito civile o addirittura penale.
Sniffing
Lo sniffing è una frode informatica piuttosto dannosa: essa consiste nell’intercettare le

comunicazioni - possono essere resi noti codici di carte di credito, password e altre
informazioni personali - attraverso un programma sniffer5.
Per mezzo di questo sistema fraudolento, si può leggere la posta elettronica, visionare i siti
visitati e leggere codici vari di accesso di un dato utente.
Questo genere di attività viene considerato un vero e proprio reato, che viene punito
secondo l’articolo 617-quater del codice penale, specifico nel trattamento del reato di
intercettazione, impedimento o interruzione illecita di comunicazioni informatiche.
Vengono non solo punite le azioni illegali commesse, ma anche semplicemente
l’installare apparecchiature che hanno la funzione di intercettare comunicazioni
informatiche (art. 617-quinquies).
Wardriving e piggybacking
Il wardriving è il fenomeno molto comune, per cui un dispositivo portatile o un software

ricerca reti wireless in un ambiente non proprio, ad esempio in una strada, in un’azienda
o altro. Esso non può essere considerato a tutti gli effetti un comportamento illecito, dato
che, in alcuni casi, la ricerca viene fatta in automatico da un tablet, uno smarphone, un
notebook.
4 Lo spoofing è una tecnica di attacco, consistente nel simulare di essere qualcun altro, sostituendo
informazioni con altre, di un sito web o di un utente ad esempio.
5
Uno sniffer è uno strumento software o hardware, in grado di raccogliere le informazioni che viaggiano
attraverso una rete.

Un fenomeno invece, che può essere sanzionato è il piggybacking, l’utilizzazione di una
connessione internet altrui, attraverso l’accesso ad una rete wireless, senza il permesso
del proprietario.
Tale condotta però, non sempre ha caratteristiche illecite: se la rete internet senza fili fosse
aperta, ovvero non protetta da password, quindi utilizzabile da chiunque, l’accesso
eseguito da altri non viene considerato abusivo.
Alcuni casi che incorrono in sanzioni sono:

- L’accedere abusivamente a sistema informatico o telematico (art. 615-ter c.p.)
- L’intercettare comunicazioni informatiche o telematiche (art. 617-quater c.p.)
- Il compiere frode informatica (art. 640-ter c.p.)
- Il danneggiare dati o informazioni, tramite sistema informatico (art. 635-bis c.p.)
- Il sostituire la persona (art. 494 c.p.).
Data diddling
Il data diddling è un altro problema informatico, riguardante i dati o i documenti

personali; esso consiste nella manipolazione, modifica di informazioni, attraverso la
trasformazione, falsificazione o contraffazione di dati grezzi, prima che questi vengano
inseriti nella memoria e vengano processati.
Tale fenomeno è piuttosto unico e controverso, in quanto risulta essere difficile da rilevare
e poiché è eseguibile da una qualsiasi persona che abbia più o meno dimestichezza con i
sistemi informatici, non da un vero esperto.
Trojan House
Il trojan house, chiamato anche semplicemente trojan, un particolare tipo di malware, che
si nasconde (come il suo nome suggerisce) all’interno di programmi utili. Tale malware
perciò, viene installato inconsapevolmente dall’utente nel proprio pc, eseguendo un dato
programma.
La particolarità del trojan è il fatto di non essere diffondibile automaticamente come

accade per i classici virus: per danneggiare un altro pc, il trojan deve essere installato
direttamente in un singolo dispositivo.

Salami Techniques
Il salami techniques è una tecnica piuttosto subdola, consistente nel prelevare

illecitamente una piccola somma di denaro da vari conti, molto spesso bancari, di diversi
utenti. Il danno, di frequente, per la sua natura quasi irrilevante (vengono prelevate
somme molto piccole di denaro) non viene scoperto dagli utenti.
Spoofing
Lo spoofing, come già accennato, è una tecnica fraudolenta, che ha la funzione di

usurpare l’identità di un soggetto o di una macchina. Tale sistema si occupa di falsificare
l’indirizzo IP di un dispositivo, al fine di farlo apparire diversa, e di conseguenza renderla
meno protetta.
Superzapping
Il superzapping è una tecnica che si occupa di aggirare le caratteristiche di sicurezza di un

dispositivo per accedere al sistema e perciò ai dati di un utente. Esso si serve di un
programma di emergenza, che ha la capacità di superare tutti controlli, al fine di
modificare e acquisire ogni possibile informazione all’interno del dispositivo elettronico.
Trap dors
Il trap dors è un fenomeno che utilizza gli strumenti detti di “rottura”, usati comunemente
dai programmatori, per apportare modifiche all’interno di un programma.
Questo sistema, primariamente innocente, se utilizzata a fine dannoso, viene ritenuto trap
dors, un’attività illecita e perciò punibile.
Logic Bomb
La logic bomb - bomba logica - è un programma che viene inserito all’interno del sistema
di un pc, in seguito all’installazione di un trojan. Tale programma viene chiamato
bomba, in quanto possieda la capacità di danneggiare seriamente e quasi del tutto un
dispositivo, a causa dell’invio di messaggi completamente illogici e contrastanti con le
istruzioni di un certo programma istallato.
Asyncronous Attacks
L’attacco asincrono si serve del funzionamento asincrono di un sistema che lavora,

lasciando degli intervalli. Attraverso questi intervalli, un hacker può entrare all’intero del
sistema e intervenire illecitamente con modifiche.

Scavenging
Lo scavenging è un fenomeno per cui si riescono ad ottenere tutte le informazioni che

vengono salvate temporaneamente sul sistema di un pc, dopo l’esecuzione di una data
attività.
Data Leakage
Il data leakage è un metodo che si occupa di rimuovere dati o informazioni, per mezzo di
strumenti tecnici specifici, nascosti all’interno del sistema di un pc.
Simulation and Modeling
Questo genere di condotta fraudolenta viene commessa quando un dispositivo viene

utilizzato per pianificare e simulare un reato complesso, ad esempio, in occasione
dell’attacco terroristico alle Torri Gemelle, i terroristi, per simulare la collisione degli
aeroplani con i grattacieli, operarono per questo genere di condotta.
Denial of Service (DoS)
Il denial of service consiste nell’utilizzo di tecniche particolari per bloccare o solamente

rallentare un sistema, in modo da evitare o rendere ad un utente lenta la fruizione del
proprio dispositivo.
Tramite queste tecniche, è possibile anche ledere la sicurezza del sistema, e controllarlo da
remoto, con l’installazione di virus o malware.
La responsabilità degli illeciti in Internet
Al fine di individuare e punire il responsabile di un illecito compiuto in rete, è nata la

figura del provider, una struttura commerciale o un’organizzazione, che offre all’utente
servizi circa Internet (accesso ad internet, posta elettronica…).
A questa figura vengono attribuite le responsabilità in caso di violazioni di norme
specifiche in ambito digitale (diffusione, invio e scambio di informazioni tramite
Internet) ma non ha l’obbligo di sorvegliare le informazioni che trasmette o memorizza e
non è obbligato a ricercare fatti o circostanze indicatori di un illecito.
Il provider (ISP) è tenuto ad informare l’autorità giudiziaria o amministrativa di
presunte attività illecite, che riguardano un destinatario, al fine di identificarlo e punirlo.
Da quanto si desume perciò, il provider non è obbligato a svolgere una funzione di

controllo preventivo dei contenuti caricati in rete, ma è responsabile di particolari
tipologie di eventuali condotte illecite.

Ovviamente, bisogna considerare che dare la completa responsabilità al provider è
piuttosto riduttivo: ogni forma di limitazione pensabile in rete non può essere esaustiva, in
quanto risulta essere impossibile ritenere Internet come uno strumento censurabile.
Gli atti compiuti in rete, considerati punibili, in quanto illeciti sono:
- Violazione norme circa il diritto d’autore,

- Diffamazione,
- Violazione norme contro lo sfruttamento sessuale minorile,
- Violazione norme sull’ordine pubblico (pubblicazione materiale di impronta
terroristica),
- Violazione diritto tutela dati personali,
- Concorrenza sleale (pubblicazione informazioni false o diffamatorie),
- Violazione norme protezione marchi o nomi a dominio,
- Sostituzione persona.
Da considerare è il fatto che sia praticamente impossibile monitorare ogni attività che si
svolge in rete e operare tramite censura o ferreo controllo – condotta ritenuta
incompatibile con le garanzie della libertà di manifestare il proprio pensiero (art. 21
Costituzione), e perciò attribuire al provider responsabilità in caso di illeciti commessi in
Internet.
A causa di tali problematiche, sono state determinate tre categorie di operatori telematici:
- I connection provider, che si occupano di fornire agli utenti l’accesso alla rete,
- I server provider, che hanno la funzione di rendere disponibile uno spazio di
memoria sui siti Internet,
- I content provider, che mettono a disposizione la documentazione elettronica caricata
su un sito, in modo che essa possa essere visualizzata.
Fin quanto detto, e data la complessità del sistema informatico, le responsabilità degli
illeciti compiuti in Internet, non è del tutto imputabile al provider.
Una condotta che invece, viene severamente punita è prevista dall’articolo 16, che si
occupa di disciplinare l’attività di memorizzazione permanente. Tale articolo punisce il
provider in caso esso venisse a conoscenza di attività ritenute illecite, e non agisse
immediatamente per rimuoverle.
Le violazioni compiute in rete, in Italia, vengono disciplinate in base alla tipologia e alla
gravità di un illecito.

Una delle responsabilità imputabili al provider si riferisce ai reati commessi a mezzo
stampa (articolo 57 codice penale): il provider, infatti, deve paragonare il gestore di un sito
Internet ad un responsabile editoriale e attribuirgli l’obbligo di controllare la legittimità di
tutto il materiale pubblicato sul proprio server, compreso quello inviato da terzi.
Medesimi obblighi spettano all’editore di una testata giornalistica al gestore di una radio
o di una televisione (articolo 30 c.p.).
Il provider ha responsabilità, in tal caso, in quanto sia corresponsabile di un illecito del
terzo utente, a causa di un mancato adempimento dell’obbligo di monitorare il materiale
inviato su un dato server (articolo 57 e 30 della Legge 223/90).
È stato sancito inoltre che, gli Stati membri debbano servirsi di meccanismo
giurisdizionale che impediscano il verificarsi di una nuova violazione, nel momento in cui
il provider debba effettuare controlli sulle informazioni che veicola.

La tutela del diritto d’autore in rete
Condividere file (musica, film, video…) a scopo di lucro, ovvero al fine di ricavare dal
materiale pubblicato - protetto da diritto d’autore - un vantaggio economico, viene
ritenuto, in Italia, come attività illecita.
Ciò che è permesso, invece, è l’utilizzo di file multimediali per uso personale (articolo
171-ter legge 633 del 1941.
A operare in materia di diritto d’autore è l’Agcom6, l’autorità che svolge una funzione di
garante nel settore audiovisivo (radiodiffusione, editoria…).
Con gli articoli 182-bis e 182-ter della legge 22 aprile 1941, l’Agcom e la SIAE7 sono tenute
a vigilare sulle attività di riproduzione, duplicazione, diffusione, vendita, noleggio e
utilizzo di qualsiasi supporto audiovisivo, e, in caso di registrassero anomalie, tali organi
devono compilare un processo verbale, che deve essere trasmesso immediatamente agli
organi di polizia giudiziaria, secondo l’articolo 347 e seguenti del codice penale.
Nel caso in cui si verifichi una qualche irregolarità riguardo le norme sul diritto d’autore,
la procedura prevede:
- La richiesta di rimozione del contenuto al gestore del sito o a colui che fornisce il
servizio audiovisivo;
- Se, entro quattro giorni, il soggetto che ha segnato la presunta violazione del diritto
d’autore dovesse constatare che il contenuto sia ancora fruibile, egli può chiedere
l’intervento dell’Agcom;
- L’opposizione dell’uploader che si è visto rimuovere un contenuto che però, è stato
caricato da terzi e, perciò, ingiustificatamente rimosso;
- Se l’opposizione risulta essere fondata, il contenuto rimosso deve essere ripristinato
entro quattro giorni;
- Se la rimozione di un contenuto non viene eseguita entro sette giorni dalla scadenza
del termine dei quattro giorni necessari per la rimozione del contenuto, il soggetto
legittimato può inviare una segnalazione all’Autorità;
- Nel momento in cui venga ricevuta una segnalazione, la competenza passa alla
Direzione Contenuti Audiovisivi e Multimediali, che verifica la completezza della
segnalazione. Se i requisiti vengono riconosciuti, la Direzione controlla che non
vengano soddisfatte le eccezioni riguardanti l’uso didattico e scientifico, l’esercizio
del diritto di cronaca, critica e commento a scopo informativo, l’assenza dello scopo di
6
L’Agcom ha ereditato le funzioni che, in precedenza, erano proprie dal Garante per la Radiodiffusione e
l’Editoria (Legge Mammì 1990).
7
SIAE (Società Italiana degli Autori e degli Editori) è un ente pubblico che lavora in associazione, che ha la
funzione di proteggere i diritti d’autore.

lucro, l’occasionalità della diffusione, la quantità e la qualità del contenuto trasmesso.
Se il caso non rientra in alcun caso sopradescritto, la Direzione comunica l’avvio del
procedimento a colui che ha trasmesso il contenuto illegale.
Entro sette giorni dall’avvio della procedimento, la Direzione è tenuta a trasmettere
al destinatario della comunicazione di avvio del procedimento le risultanze
istruttorie tramite mail, dove viene specificata la possibilità di procedere
all’adeguamento spontaneo entro quarantotto ore dalla notifica.
Se viene messo in atto l’adeguamento spontaneo, la Direzione si serve
dell’archiviazione del caso, mentre, se l’adeguamento non venisse svolto, la
Direzione trasmette la condotta negativa all’organo collegiale, che deve disporre di
un provvedimento entro venti giorni.
Di conseguenza, l’organo collegiale agisce secondo gli articoli 13 e 14 del
Regolamento. Se il luogo di trasmissione del contenuto illegale si trovasse in
territorio italiano, viene attuata la rimozione selettiva del contenuto, mentre se il
soggetto è localizzato fuori Italia, vengono richiamati i gestori del sito.
Secondo la normativa vigente (articolo 182-bis Legge diritto d’autore, comma 1 e 3),
l’Agcom ha compiti di vigilanza e di ispezione: l’Autorità, infatti, oltre a vigilare al fine
di scoprire possibili irregolarità, può accedere ai locali, salvo possieda l’autorizzazione
dell’autorità giudiziaria.
N.B. L’Agcom non ha la possibilità di esercitare i poteri autonomamente: i poteri inibitori

o di rimozione selettiva devono fare capo ad un giudice penale.
Nel 2009, invece, in Francia è stata emanata una legge anti-pirateria, che prevede
l’istituzione di una agenzia di Stato chiamata Hanopi, avente la funzione di controllo dei
cosiddetti pirati informatici. La disciplina francese prevede addirittura la disconnessione
forzata da Internet, in caso il soggetto che ha compiuto irregolarità, non rimuovesse il
contenuto illegale.
La legge ha fatto piuttosto discutere, poiché secondo molti, va contro la libertà di
comunicazione e di espressione, la base della democrazia.
Nel 2007, tramite il coinvolgimento di quaranta nazioni8 e numerose associazioni e

multinazionali (MPPA, RIAA, Google Inc., eBay, Intel e Sony) è nato un accordo
commerciale plurilaterale, che ha come fondamento il proteggere la proprietà
intellettuale in ogni sua forma.
Tale accordo prende il nome di ACTA (Anti Counterfeiting Trade Agreement) e ha
l’obiettivo di fissare nuove ed efficaci norme a livello globale per evitare ogni possibile
forma di violazione di diritto d’autore.
8
Nel 2011, le Nazioni che hanno firmato l’accordo sono: USA, Australia, Giappone, cnada, Nuova Zelanda,
Marocco, Singapore e Sud Corea.

Digital forensics
In ambito giuridico, soprattutto investigativo, sono ritenute di fondamentale importanza

le Digital Forensics9, l’insieme delle procedure che si occupano di presentare,
identificare, studiare e fornire documentazioni digitali.
In generale il termine forensics viene utilizzato per indicare tutte quelle procedure
scientifiche, che si occupano di raccogliere, analizzare prove in tribunale (impronte
digitali, tracce di DNA…).
Le digital forensics operano tramite lo studio di apparecchiature informatiche quali hard

disk, memorie USB, navigatori satellitari, ma anche tastiere, mouse, in modo da reperire
tracce organiche o prove contro o a valore dell’autore del presunto reato.
Oggigiorno, a livello internazionale, non sono state ancora stabilite le cosiddette best
practices, metodi investigativi efficaci standardizzati, provenienti dal mondo
anglosassone.
Attualmente, gli investigatori informatici si servono di modelli d’indagine che
consentono di condividere conoscenze, terminologie, applicazioni di metodologie su
nuove tecnologie che potrebbero dare un gran contributo a risolvere casi investigativi.
Non vengono solamente svolte attività di repertazione, ma anche di targeting d’indagine
– stabilire l’obiettivo che l’indagine si prefigge – di profiling – individuare l’identikit
psicologico e comportamentale dell’indagato -.
Esistono diversi metodi investigativi, in riferimento alle digital forensics, ma quello più
importante e utilizzato è sicuramente il O’Ciardhuain.
Esso stabilisce:
- la consapevolezza, ovvero la necessarietà dell’investigazione;
- l’autorizzazione necessaria per avviare le indagini;
- la pianificazione;
- la notifica, ovvero l’informare coloro che sono coinvolti nelle indagini;
- la ricerca e l’identificazione delle evidenze (apparecchiature presenti utili
all’indagine);
- la raccolta delle evidenze, che consiste nel preservare e analizzare ciò che risulta utile
all’investigazione (case, computer…);
- il trasporto – fisico, telematico - delle evidenze;
- la memorizzazione delle evidenze10;
9
Tra le Digital forensics si trovano: Computer forensics, Network forensics, Digital Equipment Forensics,
Mobile forensics, Cloud forensics, Facebook forensics…

- l’analisi delle evidenze;
- l’ipotesi derivanti dalle evidenze;
- la presentazione delle ipotesi a chi ha la titolarità delle decisioni nelle fasi
investigative (PM);
- la prova o discussione delle ipotesi;
- la divulgazione delle informazioni.
Durante le fasi di investigazioni, è fondamentale conservare nel modo migliore le

evidenze digitali, in modo da renderle fruibili, non modificabili e mantenerle. Per questo
motivo, vengono effettuate delle copie complete e certificate. Nel caso dei file di log11,
invece, questi vengono annotati.
A tale riguardo, esistono diversi articoli:
- l’articolo 354-bis c.p.p. stabilisce che gli ufficiali di polizia giudiziaria sono tenuti a
impartire tutte le prescrizioni necessarie ad assicurare la conservazione delle
evidenze digitali, a impedirne l’alterazione, l’accesso e a provvedere
immediatamente alla duplicazione delle informazioni.
- L’articolo 259 c.p.p dichiara che, per quanto riguarda la custodia dei dati, il custode è
obbligato a impedire l’accesso e l’alterazione da parte di terzi della
documentazione.
- L’articolo 260 c.p.p. stabilisce che, le copie delle informazioni devono esser effettuate
tramite supporti adeguati, che assicurino la conformità della copia all’originale.
Write blocker e hash
Per copiare e analizzare informazioni contenute in una memoria di massa, sono

fondamentali il write blocker e il codice hash.
Il Write blocker è un insieme di dispositivi in grado di acquisire e analizzare il

contenuto di una memoria di massa. Esso viene utilizzato per assicurare che, durante la
copia, la memoria di massa sorgente non venga in alcun modo modificata.
Inoltre, per proteggere i contenuti, è necessario utilizzare algoritmi di hash crittografici,

che donano alle informazioni un sorta di impronta digitale, in modo che, se esso dovesse
essere modificato in minima parte, la sua impronta (stringa) non sarebbe più identica a
quella originaria.
10
Le fasi di trasporto, memorizzazione e analisi delle evidenze costituiscono la catena di custodia, un
documento che contiene numeri di accessi, attività svolte sulle evidenze digitali, materiale significativo da
presentare in tribunale.
11
I file di log sono file che registrano ogni operazione compiuta da un dispositivo elettronico, durante il
funzionamento.

L’analisi dei dati è piuttosto importante, per acquisire elementi probatori favorevoli o
sfavorevoli. Tale analisi avviene attraverso particolari tool, ovvero applicativi che
permettono di svolgere funzioni specifiche di ricerca, recupero e analisi informazioni,
ovvero tutte quelle operazioni che devono essere svolte dal forenser.
Tra le attività che il forenser svolge si ritrovano:
- L’analisi del file system, che consente di estrarre ogni traccia informatica, salvata o
cancellata, prodotta da un sistema;
- L’analisi del sistema operativo, in grado di estrapolare tutte le informazioni che sono
state prodotte dal sistema operativo (tracciare l’uso del computer da parte di un
utente preciso, file aperti o chiusi, salvati o cancellati, stampati…);
- L’analisi delle applicazioni, che permette di avere una panoramica sulle operazioni
svolte in date applicazioni( browser: siti visitati, etc.).
N.B. Nel caso in cui, si verificasse l’inosservanza di alcuni accorgimenti elementari, da

aperte della polizia giudiziaria, nelle attività di acquisizione di informazioni, gli stessi
elementi trovati, che possono offrire prove informatiche, possono essere escluse dal
materiale delle indagini.

Disciplina generale tutela dati personali
Innanzitutto, bisogna chiarire che, secondo la legge, ognuno ha il diritto alla protezione
dei propri dati personali.
A tale scopo bisogna menzionare:

- La legge 675 del 1996;
- La direttiva 58 CE del 2002 del Parlamento europeo e del Consiglio di luglio 2002,
“Relativa al trattamento dei dati personali e alla tutela della vita privata nel settore
delle comunicazioni elettroniche”;
- Il decreto legislativo n. 196 del 30 giugno 2003, “Codice in materia di dati personali”.
Per comprende bene la trattazione riguardo la protezione dei dati personali, bisogna fare
chiarezza sulle espressioni utilizzate per la maggiore:
- Per “trattamento” di dati personali si intende una qualsiasi operazione che, effettuata
anche senza l’uso di strumenti elettronici, si occupa della registrazione, della raccolta,
della consultazione, della diffusione, della modifica di dati, anche se non registrati in
una banca dati.
- Il “dato personale” viene definito come una qualsiasi informazione relativa ad una
persona fisica, identificata o identificabile – anche indirettamente – tramite riferimenti
ad altre informazioni.
- Per “dato sensibile” si intende tutti quei dati personali che rivelano origine etnica,
convinzioni religiose, opinioni politiche, condizioni di salute e vita sessuale.
- Il “dato anonimo” è un dato che non può essere associato ad alcuna persona
identificata o identificabile.
- I “dati giudiziari” sono costituiti da una serie di elementi che delineano l’anagrafe
penalistica dell’interessato, sia in itinere che in via definitiva.
Soggetti coinvolti nel trattamento dei dati personali
I soggetti fondamentali che si occupano del trattamento di dati personali, in ordine di

importanza e di titolarità, sono:
- Il titolare, definito come persona fisica, giuridica, PA, o altro ente, che ha la funzione
di prendere decisioni circa finalità e modalità di trattamento dei dati personali;
- Il responsabile, anch’egli persona fisica, giuridica, Pa, o altro ente, preposto dal
titolare al trattamento dei dati personali;
- L’incaricato, persona fisica autorizzata dal titolare e dal responsabile a eseguire
operazioni di trattamento di dati personali.

I compiti degli incarichi dei suddetti soggetti sono definiti dal codice all’articolo 30.
L’incaricato viene considerato un subdelegato al trattamento, che agisce sotto la diretta
autorità del titolare e del responsabile, attenendosi alle istruzioni impartite. Bisogna sapere
che, la designazione necessita di una forma scritta e individua meticolosamente l’ambito
del trattamento consentito.
Modalità di trattamento dei dati
L’articolo 11 del Codice prevede, nonostante riproponga le medesime regole stabilite

dall’articolo 9 della legge 675 del 1996, alcune regole generali che devono essere rispettate
durante il trattamento di dati personali:
- I dati personali, trattati in violazione della disciplina rilevante in capo al trattamento
dei dati personali, non possono essere utilizzati;
- Le modalità di trattamento dei dati devono essere compiute lecitamente e
correttamente, nel rispetto delle finalità, dell’esattezza e dell’aggiornamento;
- I dati personali devono essere conservati in una forma tale da permettere
l’identificazione dell’interessato per un periodo di tempo non superiore a quello
necessario.
L’interessato e i suoi diritti
Per “interessato” si intende la persona fisica cui si riferiscono i dati personali.
L’interessato, secondo l’ordinamento giuridico, ha il diritto12 di ottenere la conferma

dell’esistenza dei propri dati personali, anche nel caso in cui non fossero stati ancora
registrati, e la loro comunicazione in forma intelligibile13.
Egli deve essere a conoscenza, in particolar modo, dei determinati profili e dei caratteri
del trattamento previsti dalla legge:
- origine dei dati;

- finalità e modalità del trattamento;
- logica applicata nel caso in cui i dati fossero utilizzati con strumenti elettronici;
- estremi identificativi titolare, responsabile, incaricati;
- estremi identificativi di coloro ai quali sono destinati i dati.
12
Diritti conoscitivi.
13
Per forma intelligibile si intende la disponibilità della lettura di una comunicazione, nel suo aspetto
grafico e linguistico.

L’interessato deve essere a conoscenza di aggiornamenti, rettificazioni14 e integrazioni
circa i propri dati personali e delle operazioni che sono state portate a conoscenza di
coloro ai quali erano destinati i dati.
L’interessato ancora, deve essere informato nel caso in cui venissero tenute condotte
illecite nel trattamento dei propri dati personali, e deve ottenere la cancellazione, la
trasformazioni di essi o il blocco, in caso non fosse d’accordo.
L’interessato infine, in capo al trattamento dei propri dati, ha il diritto di opporsi nel
momento in cui venga inviato materiale pubblicitario.
14
Per rettificazione si intende la correzione di un dato che in origine era inesatto.

Gli adempimenti del titolare nei confronti del
garante
Per disciplinare gli adempimenti che devono essere eseguiti dal titolare, dai responsabili e
dagli incaricati del trattamento, è stato introdotto il decreto legislativo 196 del 2003.
Secondo tale decreto, per quanto riguarda le misure di sicurezza dei dati personali,
esistono tre adempimenti nei confronti del Garante, due nei confronti dell’interessato e
uno nei confronti del titolare stesso.
Con gli articoli 37 e 38, sono state apportate alcune modifiche nel sistema delle
notificazioni: dal 2004 infatti, non si prevede più l’obbligo per tutti i titolari di effettuare
notificazioni, solamente alcuni titolari che eseguono determinati trattamenti, specificati
nel Codice, sono tenuti a svolgere notificazione. Il titolare che non è obbligato a
effettuare notificazioni, deve però, fornire le informazioni contenute nel modello di
notificazione a chi ne faccia richiesta - esercizio diritto di accesso e di altri diritti
riconosciuti dall’interessato – eccetto che il trattamento riguardi pubblici registri,
elenchi, atti o documenti conoscibili da chiunque.
N.B. Una notificazione è una dichiarazione con la quale un soggetto pubblico o privato
rende nota al Garante per la protezione dei dati personali, l’esistenza di un’attività di
raccolta e di riutilizzo di dati personali, eseguita quale autonomo titolare del
trattamento.
Essa viene trasmessa dal titolare del trattamento al Garante, tramite il sito
www.garanteprivacy.it e utilizzando la procedura secondo istruzioni. Tale notificazione
viene considerata come denuncia di inizio attività, e ha l’obiettivo di permettere un
controllo di conformità alla legge delle operazioni del trattamento.
L’obbligo di notificazione all’Autorità garante è previsto anche dalla direttiva comunitaria

95/46 (articoli 18 e 19). Tali normative sono state pensate per rendere chiara e conoscibile
l’esistenza del trattamento dei dati personali, per permetterne il controllo da parte
dell’interessato e dell’autorità.
Bisogna inoltre, sapere che, secondo la normativa 675 del 1996, i dati sono liberamente
trattabili da chiunque, solo nel caso in cui però, ne abbiano data comunicazione ad
un’autorità.
Tempi notificazione
La notificazione deve essere effettuata una sola volta, indipendentemente da durata, tipo
e numero operazioni di trattamento.

Una nuova notificazione è richiesta solo nel caso in cui cessi definitivamente l’attività di
trattamento, o prima che si apportino al trattamento alcune modifiche agli elementi da
indicare nella notificazione, e ognuna deve essere accompagnata dal pagamento di 150
euro.
Nel momento in cui, i dati personali vengano inviati all’estero, l’informazione deve essere
indicata.
La notificazione, salvo siano state eseguite tutte le operazioni quali inserimento dei dati,
pagamento dei diritti di segreteria, apposizione della firma digitale, e trasmissione in via
telematica, viene inviato dal Garante con indicazione di data e ora.
Quando la nuova notificazione viene inviata, l’intermediario rilascia la ricevuta,
controfirmata anche dal notificante, di avvenuto invio della notificazione; consegna poi
una copia a stampa della notificazione. Infine, l’intermediario deve cancellare dal proprio
sistema il file della notificazione.
Trattamenti soggetti a notificazione
I trattamenti soggetti a notificazione si riferiscono ad ambiti particolarmente delicati:

- dati genetici, biometrici, ubicazione di persone o oggetti;
- dati idonei a rivelare lo stato di salute e la vita sessuale;
- dati sensibili registrati in banche dati o in sondaggi di opinione.
Registro trattamenti
Tutte le notificazioni – prive di indicazioni personali dei soggetti - eseguite vengono

inserite in un apposito registro pubblico, consultabile da chiunque e gratuitamente in
rete. Questa scelta è stata pensata al fine di permettere al cittadino di conoscere
l’applicazione della disciplina in materia di dati personali.
Sanzioni
Sono previste anche delle sanzioni, nel caso di omissione, ritardo, o incompletezza della
notificazione: il titolare infatti viene punito con una sanzione pecuniaria – da 10.000 euro
a 60.000 – o con una pena accessoria.
In caso di falsa dichiarazione, invece, la punizione risulta essere più grave, con la
reclusione da sei mesi a tre anni e più.
Autorizzazioni generali

Il titolare, in primis, deve verificare i requisiti per rientrare sotto la copertura delle
autorizzazioni generali.
Grazie alle nove autorizzazioni annuali, il Garante consente il trattamento dei dati sensibili
o giudiziari a determinate condizioni, per finalità e categorie specifiche.
Se l’attività di trattamento non rientra nella categoria (articolo 4015), il Garante è tenuto a
rivolgersi all’Autorizzazione.
Per quanto riguarda alcune categorie come giornalisti, investigatori privati ecc.
l’autorizzazione non è richiesta, ma è lo stesso Garante a emanare automaticamente, di
anno in anno, le autorizzazioni.
Le autorizzazioni si rifanno ai seguenti elementi strutturali:
- ambito di applicazione,
- interessi ai quali i dati si riferiscono,
- finalità trattamento,
- modalità trattamento,
- conservazione,
- comunicazione e diffusione dati.
Verifica preliminare
Il titolare è tenuto a sottoporre al Garante la verifica preliminare.

Il Garante per la protezione dei dati personali, su richiesta del titolare o dell’ufficio,
infatti, deve effettuare una verifica preliminare all’inizio del trattamento, in modo da
prescrivere misure particolari a tutela dell’interessato.
Le misure di trattamento aggiuntive perciò, permettono di tutelare maggiormente il
soggetto interessato, nel caso in cui i propri dati vengano comunicati ad altri.
15
Dati sensibili che rivelano origine razziale ed etnica, convinzioni religiose, opinioni politiche, adesione a
partiti od organizzazioni, stato di salute o vita sessuale.

Gli obblighi del titolare nei confronti dell’interessato
L’articolo 13 del Codice sancisce l’obbligatorietà di informare, oralmente16 o per iscritto,

l’interessato o il terzo, presso il quale i dati vengono raccolti, in ordine alle modalità e alle
finalità del trattamento.
Inoltre, tramite un’informativa molto dettagliata, si espongono la natura facoltativa od
obbligatoria del conferimento, le conseguenze in caso in cui si rifiutasse di rispondere, i
soggetti a cui possono essere comunicati i propri dati personali.
L’informativa è una dichiarazione che il titolare o il responsabile del trattamento

dei dati personali devono mandare all’interessato. L’ informativa perciò, è un
obbligo legislativamente imposto, pensato per consentire all’interessato di
conoscere finalità, modalità, conseguenze di un consenso, i soggetti esterni cui i
dati vengono comunicati o diffusi, i diritti dell’interessato, il nome del
responsabile del trattamento17.
Un altro obbligo fondamentale si rifà all’articolo 23 del Codice. Esso stabilisce che il
trattamento dei dati personali, da parte di enti pubblici o privati, è ammesso solamente
dopo che l’interessato abbia espresso, in forma scritta, il proprio libero e specifico
consenso.
N.B. L’informativa non sempre viene rilasciata al diretto interessato, ma in alcuni casi, può
essere inviata al soggetto presso il quale i dati personali sono raccolti.
Chiarezza dell’informativa
Non sempre le informative sono chiare e semplici; molte presentano solamente alcune
informazioni, errori, inesattezze o altro.
In questi casi, la figura del Garante è piuttosto importante, perché si occupa di inviare a
enti pubblici o privati, segnalazioni riguardo le informative ritenute non del tutto
corrette o chiare.
Per quanto riguarda il consenso, il Garante, se constata che il modello non è conforme a
quanto previsto dalla legge, invita (ad esempio, una Società) a riformulare il modello in
base alle finalità del trattamento, che devono essere specificate in modo più chiaro.
16
È possibile informare l’interessato dell’informativa anche oralmente. Per accertare l’avvenuta
comunicazione, il titolare o il responsabile possono tutelarsi registrando la comunicazione.
17
Il titolare del trattamento – dal 2002 – ha l’obbligo di informare l’interessato circa il nominativo di
responsabile e rappresentante e di inserire l’indirizzo del proprio sito web, nel caso in cui lo stesso titolare
operasse ordinariamente fuori dal territorio dello Stato.

Informative abbreviate e semplificate
Esistono due altri tipi di informative: l’informativa abbreviata e quella semplificata.

I comma 2 e 3 prevedono che un’informativa possa essere abbreviata, ovvero non
contenere tutte le informazioni che sono già note alla persona che fornisce i dati. Stessa
informativa viene utilizzata quando i soggetti pubblici hanno il potere di raccogliere
alcune informazioni, senza l’obbligatorietà di informare l’interessato (funzioni ispettive e
di controllo per la sicurezza o la difesa dello Stato, prevenzione e repressione reati).
Inoltre, è prevista una forma semplificata di informativa, nel caso in cui l’informativa
debba essere espressa tramite call-center.
Esclusione informativa
Ci sono casi in cui non si è obbligati a mandare l’informativa all’interessato; si verifica

quando i dati personali non vengono raccolti presso l’interessato, ma presso terzi.
Tramite questa modalità, il soggetto interessato non verrà a conoscenza del fatto che i
propri dati siano conoscibili ad altri, senza il suo espresso consenso.
Casi in cui il trattamento può essere effettuato senza consenso
L’articolo 24 stabilisce quali disposizioni autorizzano il trattamento dei dati personali

anche in assenza di consenso.
Il trattamento è consentito quando vi sono:

- la necessità di adempiere a un obbligo previsto dalla legge, tramite regolamento o
normativa comunitaria;
- la necessità di adempiere, prima della conclusione del contratto, a richieste
specifiche dell’interessato;
- dati provenienti da pubblici registri, atti, elenchi o documenti conoscibili da
chiunque;
- dati relativi lo svolgimento di attività economiche, trattati nel rispetto della
normativa in ambito aziendale e industriale;
- l’esigenza di salvaguardare la vita o l’incolumità di un terzo o dell’interessato
stesso;
- la necessità di svolgere investigazioni difensive;
- la necessità di perseguire un obiettivo lecito da parte del titolare o di un terzo
destinatario dei dati, nel caso in cui non sussistano diritti e libertà fondamentali,
dignità e legittimo interessare dell’interessato;
- la necessità di trattare dati anche comuni, in riferimento ad un organizzazione no-
profit;

- la necessità di compiere ricerche scientifiche o statistiche, nel rispetto delle norme
deontologiche.

Le misure di sicurezza minime, idonee e preventive
Fondamentale per quanto concerne i dati personali è la questione sulla sicurezza.

L’articolo 31 del Codice infatti, stabilisce che il titolare, per custodire e controllare i dati
personali raccolti, deve adottare misure di sicurezza idonee e preventive adeguate alle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo tale da evitare o ridurre al minimo possibili rischi.
L’articolo 33 più nello specifico, prescrive quali misure minime18 di sicurezza devono
essere attuate per assicurare un livello minimo di protezione dei dati personali.
L’articolo 35 inoltre, impone l’obbligo da parte del titolare di servirsi delle misure minime
stabilite dal Codice e nel Disciplinare tecnico, di adottare le misure di sicurezza più generali
che riducano al minimo rischi di perdita o distruzione, di accesso e di non autorizzazione
di dati personali.
Tipologie minacce alla sicurezza
Le maggiori minacce informatiche che si possono incontrare riguardano il

danneggiamento, la distruzione o l’accesso abusivo ad un archivio cartaceo o
informatico.
Tali minacce alla sicurezza possono avere cause naturali quanto umane: il primo caso si
verifica per calamità naturali, mentre il secondo per volere o meno di una o più persone.
Tra le minacce, a carattere umano, si trovano virus, worm (codice dannoso che si propaga
da un pc ad un altro), trojan, ma anche azioni illecite da parte di hacker o cracker come
trafugamento di informazioni o di password, di spoofing (sistema per cui alla rete si
presenta l’identità di un altro) o altro ancora.
“Misure idonee e preventive” e “misure minime” di sicurezza
Per assicurare protezione e sicurezza, vengono attuate delle misure di sicurezza minime,
che assicurino un livello minimo di protezione dei dati personali. Esse devono essere
attuate da ogni titolare, prima di eseguire qualsiasi operazione di trattamento dati.
Le misure di sicurezza minime si dividono in tre categorie:
18
Da tener presente che le misure minime, non sono propriamente minime, anzi, incidono
considerevolmente sull’organizzazione e sui metodi di raccolti dell’informativa, con l’introduzione di
prescrizioni vincolanti.

- misure fisiche (installazione di sistemi fisici nei locali adibiti al trattamento dei dati
personali, quali allarmi e altre apparecchiature che assicurino protezione);
- misure logiche (istallazione di sistemi informatici per assicurare protezione, come
antivirus, firewall19, procedure di verifica periodiche);
- misure organizzative (istituzione di modalità di svolgimento del trattamento che
assicurino protezione e sicurezza).
Le misure idonee e preventive, che devono essere messe in atto dal titolare o da persone
incaricate, si rifanno a tutti quei mezzi concreti messi a disposizione dalla tecnologia del
momento.
Per questo motivo, non esiste una vera e propria lista di regole da attuare, bisogna
solamente tenersi aggiornati sulle continue e sempre nuove tecnologie per la protezione
dei dati personali.
La responsabilità viene attribuita al titolare o al responsabile o all’incaricato, a tutti i

soggetti che devono attuare le misure previste.
Nel caso in cui si verifichino problematiche riguardo il mancato rispetto della normativa,
chiunque tratti dati personali deve dimostrare di avere adottato ogni misura idonea a
conferire adeguata sicurezza al trattamento.
Dal 2008, è stata rivisitata la normativa riguardante la privacy.
Con il decreto legislativo n. 112, sono stati semplificati alcuni adempimenti:

- il DPS20 (Documento Programmatico sulla Sicurezza) non è più obbligatorio, poiché
esso può essere sostituito dal rilascio di autocertificazione;
- il Garante è tenuto a individuare e aggiornare periodicamente le modalità
semplificate di applicazione del Disciplinare tecnico circa l’adozione delle misure
minime di sicurezza.
N.B Tutte le imprese, che non superano la soglia di 250 occupati e un fatturato da 50
milioni di euro, rientrano nella categoria delle imprese che devono adottare le misure
semplificate sulla privacy.
19
I firewall sono sistemi hardware o software che controllano la rete e il traffico al suo interno.
20
Il DPS era un documento che doveva raccogliere l’elenco delle misure adottate dal titolare nella sua attività
di trattamento dati.

Responsabilità e sanzioni in materia di privacy
Innanzitutto, la responsabilità nell’attività di trattamento di dati personali non ricade

solamente sul titolare della banca dati, ma su tutti i soggetti coinvolti, che operano
assieme in tale attività.
Secondo il Codice infatti, l’omissione di misure idonee da parte di chiunque cagiona
danno ad altri fa sorgere un obbligo risarcitorio.
Secondo il regolamento, il titolare o qualsiasi altro soggetto, presumibilmente colpevole,

devono dimostrare di aver attuato tutte le misure minime necessarie, a prescindere dal
costo e dalla perfezionabilità, per evitare danneggiamento, distruzioni o violazioni nel
trattamento dei dati personali.
L’articolo 15 infatti, stabilisce il risarcimento del danno in sede civile, per chiunque
cagioni danno ad altri per effetto del trattamento di dati personali – anche in caso di
condotta colposa dovuta a negligenza, imprudenza, dovuta a inosservanza dell’ordine
legislativo e regolamentativo.
In caso di mancata o parziale adozione di standard minimi di sicurezza, si fa

riferimento a responsabilità di tipo oltre che civile, anche amministrativo, e
penale.
Gli articoli 161- 162,163,164, 164 bis, 169 e la novella del 2009, in particolare, hanno
introdotto nuove norme specifiche, con l’obiettivo di sanzionare diverse condotte illecite.
Tali condotte fanno riferimento a:

- omissione adozione delle misure minime di sicurezza, previste dall’articolo 33
(punizione arresto fino a 2 anni) [art.169];
- omissione o inidonea informativa all’interessato (sanzione da 6.000 a 36.000
euro)[art.161];
- cessione dati in violazione a quanto previsto dalla legge (sanzione da 10.000 a
60.000 euro) [art.162];
- violazione relativa ai dati personali idonei a rilevare lo stato di salute (sanzione da
1.000 a 6.000 euro) [art.162];
- violazione sulla tenuta dei dati di traffico da parte dei gestori (sanzione da 10.000 a
50.000 euro) [art.162-bis].
Le responsabilità penali si verificano solo quando la condotta negativa procura

una concreta lesione all’interessato, tanto da essere considerata come reato.

Le pene aggravate si rifanno alle condotte poste in essere in violazione delle norme che
disciplinano:
- il trattamento di dati diversi da quelli sensibili e giudiziari che presentano veri e
propri rischi riguardo diritti e libertà fondamentali (art.17);
- il trattamento di dati sensibili e giudiziari effettuati da soggetti pubblici (artt. 20,
21, 22);
- il divieto di comunicazione e diffusine dati (art.25)
- il trattamento di dati sensibili e giudiziari, effettuati da soggetti privati (artt.26, 27);
- il trasferimento di dati all’estero (art.45).
N.B. Salvo non costituiscano reati più grave, le tipologie di condotte sopra descritte
richiamano i reati di abuso d’ufficio (art. 323 c.p.) e di rivelazione del segreto d’ufficio
(326 c.p.).


Fondamenti Diritto

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Fondamenti Diritto

Caricato da

Copyright:

Formati disponibili

Riassunto volume

"Fondamenti di diritto della

Document shared on www.docsity.com

LA GOVERNANCE MONDIALE DI INTERNET

La governance, governo della rete, è un coordinamento di soggetti pubblici e

Ad occuparsi della governance, si trovano:

La governance si basa su:

Soggetti coinvolti nella governance:

- l’ISOC (Internet Society) è una società no profit - costituita da 80 organizzazioni, con

Document shared on www.docsity.com

Il nome a dominio (Domain Name) è una stringa di numeri e lettere, che

Esso si compone di diverse parti:

Il proprietario di un nome a dominio è registrato e, perciò, rintracciabile, in un database

Registrare un nome a dominio

In principio, ad occuparsi del sistema di registrazione di un nome a dominio vi erano:

Document shared on www.docsity.com

- l’Unità Operazioni, che si occupa di definire le procedure tecniche di registrazione,

- l’Unità Relazioni Internazionali, che gestisce le relazioni internazionali.

Document shared on www.docsity.com

Oggigiorno, la regolamentazione riguardo questi comportamenti scorretti viene data dal

Per registrare questo particolare tipo di nome a dominio è necessario completare un

*L’indirizzo IP (Internet Protocol Address) è un numero che identifica un dispositivo nella

Document shared on www.docsity.com

Document shared on www.docsity.com

L’AGCOM (Autorità per le Garanzie nelle COMunicazioni) è un organismo, nato

Organi che costituiscono l’AGCOM:

- Commissione per le infrastrutture e le reti, che formula i Piani per assegnare

N.B. Tali competenze vengono presiedute da due organismi, che cooperano:

Document shared on www.docsity.com

Segnalazione e violazione Copyright

Co. re. com.

Tra le funzioni svolte dai Co.re.com. si trovano:

- Tutelare i minori in ambito radiotelevisivo,

Document shared on www.docsity.com

Document shared on www.docsity.com

In Italia, la disciplina giuridica del settore radiotelevisivo rimane pressoché inalterata

Servizio pubblico radiotelevisivo

Il servizio pubblico radiotelevisivo è un servizio di trasmissioni radiotelevisive, che sono

La radiodiffusione ha come obiettivo il conseguimento della qualità dell’audience,

Document shared on www.docsity.com

Con l’e-government si è giunti alla digitalizzazione della Pubblica Amministrazione, con

Document shared on www.docsity.com

Per Protocollo informatico si intende un insieme di risorse di calcolo, di apparati, di reti di

Nel 2004 poi, vengono inserite le documentazioni amministrative che disciplinano le

Document shared on www.docsity.com

Carta d’Identità Elettronica, Carta Nazionale dei Servizi e passaporto

Strumenti di innovazione tecnologica sono:

Le Carte elettroniche rappresentano un valido strumento innovativo, ma, allo stesso

Document shared on www.docsity.com

La crittografia è un sistema segreto in cifra o codice, che rappresenta, oggigiorno, una

La crittografia si compone di due processi:

- la cifratura, che si occupa di ogni lettera di un alfabeto;

Elementi fondamentali nel sistema di cifratura sono l’algoritmo - per la codifica e la

Da questo metodo sicuro e rapido è nato PGP, un programma di crittografia in grado di

Document shared on www.docsity.com

La tecnica di hashing (impronta) è una tecnica, in grado di produrre l’impronta digitale

L’hash code ha le seguenti caratteristiche:

- unidirezionalità, che consente all’hash di non riuscire a risalire al documento

Riguardo la privacy, il regolamento tecnico sui documenti informatici prevede che le

Document shared on www.docsity.com

Al fine di garantire la certezza dell’avvenuta trasmissione di un documento informatico,

Il destinatario perciò, per rendere certo il momento di trasmissione, deve appicarae il

Key escrow e key recovery

Al fine di rendere possibile la decodifica dei messaggi di un cittadino, in caso di necessità,