Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ARGOMENTI:
•documento informatico
•firme
•copie e duplicati
•trasmissione dei documenti informatici (pec, serc, sercq)
•domicilio digitale
•privacy
•hash
•contratti telematici
•documentazione
•reati informatici
•prove
•captatore
Lez 1
DOCUMENTO INFORMATICO
Il documento informatico è definito oggi dal codice dell’amministrazione digitale (CAD) (d.lgs.
82/2005), art 1, comma 1, lett. P: documento elettronico che contiene la rappresentazione
informatica di atti, fatti o dati giuridicamente rilevanti.
Questo codice va messo in relazione con il regolamento eidas n. 910/2014
(Regolamento europeo per l'identificazione elettronica e servizi fiduciari per le transazioni
elettroniche nel mercato interno) perché il regolamento eidas è un regolamento comunitario
dunque prevale sulla normativa interna› tutto ciò che non è allineato nella norma interna rispetto al
regolamento eidas deve essere disapplicato e dovrà prevalere la normativa europea. Il
regolamento eidas è stato elaborato per disciplinare in maniera unitaria su tutto il territorio
europeo, la materia dell’identificazione elettronica, dei servizi fiduciari per le transazioni
elettroniche nel mercato interno. In sintesi: disciplina l’identità elettronica e i servizi fiduciari
qualificati.
La definizione che vi ho dato di documento informatico risente del regolamento eidas infatti il
codice dell’amministrazione digitale (CAD) è stato aggiornato per renderlo allineato al regolamento
eidas. Nello specifico, nel regolamento eidas non troverete la definizione di documento informatico
ma troverete la definizione di documento elettronico. Ecco perché il nostro legislatore dice che il
documento informatico è un documento elettronico recante atti, fatti o dati giuridicamente rilevanti,
per rapportare la definizione italiana al contesto europeo.
Cerchiamo di capire effettivamente cos’è.
È un documento elettronico che contiene rappresentazione informatica di atti fatti o dati
giuridicamente rilevanti.
Voi i documenti informatici li vedete solo sul vostro computer? No. Il messaggio whatsapp, l’e-mail,
il pdf, la foto, l’excel ecc sono documenti informatici (perché rispondono alla definizione suddetta).
Un file audio è un documento informatico? Si. Infatti, se leggiamo la definizione del regolamento
eidas vediamo che il documento elettronico è qualsiasi contenuto conservato in forma elettronica
in particolare testo o registrazione sonora, visiva o audiovisiva. Quindi è amplissimo il concetto di
documento elettronico e quindi il concetto di documento informatico.
Nel nostro ordinamento dovete essere bravi a cogliere la dicotomia che c’è tra l’efficacia probatoria
del documento informatico rispetto all’idoneità del documento informatico di soddisfare il requisito
della forma scritta. Che significa dire qual è il valore probatorio di un documento? E cosa significa
dire che il documento informatico è idoneo a soddisfare il requisito della forma scritta? Sono la
stessa cosa?
Partiamo da un concetto fondamentale. Nel nostro ordinamento vige il principio della libertà delle
forme.
Art 1325 CC - indicazione dei requisiti
I requisiti del contratto sono: l’accordo delle parti, la causa, l’oggetto, la forma quando risulta che è
prescritta dalla legge sotto pena di nullità.
La forma non è requisito essenziale del contratto salvo nelle ipotesi in cui sia la legge a richiederla.
Se la forma è richiesta ad substantiam, la mancanza della forma mi determina la nullità del
contratto (nell’ipotesi in cui facciamo riferimento al contratto);
se la forma è richiesta ad probationem, voi potete avere un contratto che è giuridicamente valido
pur in assenza di forma, ma se dovesse nascere una contestazione rispetto a quello specifico atto,
non potreste provarlo con altri mezzi perché è richiesta la forma scritta ad probationem (salvo
eccezioni). Esempio tipico contratto di assicurazione.
Ripetiamo
Siamo di fronte a degli interrogativi, cioè dobbiamo rispondere a quelle domande: qual è il valore
probatorio del documento informatico e quando il documento informatico soddisfa il requisito della
forma scritta. La risposta dipende dalla modalità con cui il documento informatico viene
sottoscritto. Ci sono 4 tipologie di firme:
•firma elettronica semplice
•firma elettronica avanzata
•firma elettronica qualificata
NB non confondete strumenti di firma e strumenti di identificazione che possono basarsi sulla
stessa tecnologia ma che svolgono una funzione giuridicamente diversa -› se accedete alla vostra
email o al vostro profilo Facebook inserite un nome utente e una password. Quella password è una
firma? Non è una firma, è semplicemente uno strumento di identificazione, vi identifica in un
sistema e questo deriva anche dal fatto che non c’è un collegamento diretto tra quella password e
tutti gli altri dati perché, se ragionassimo a contrario, dovremmo dire che tutti i file che caricate su
Facebook o tutte le e-mail devono essere considerati documenti sottoscritti con una firma
elettronica debole. Falso. Quindi, in alcuni casi la tecnologia viene utilizzata per identificare un
determinato soggetto, in altri casi viene identificata come strumento per firmare elettronicamente
un documento. Esempio se io entro in una banca e per essere identificato uso l’impronta digitale,
quella tecnologia, che è una tecnologia biometrica, viene utilizzata per identificare un determinato
soggetto. Ma quella stessa tecnologia biometrica io la posso utilizzare per firmare, posso usare la
mia impronta digitale per firmare elettronicamente un documento. In quel caso mi troverò nella
seconda tipologia di firma.
Quando pensate alle firme dovete immaginare le matrioske: la matrioska più grande è la firma
elettronica, la aprite e trovate la firma elettronica avanzata, aprite e trovate la firma elettronica
qualificata, aprite e trovate la firma digitale.
Quindi possiamo dire che le firme elettroniche sono collegate tra di loro in rapporto di species a
genus. Il genus è la firma elettronica, la species è la firma elettronica avanzata che a sua volta ha
una species che è la firma elettronica qualificata che a sua volta ha una species che è la firma
digitale.
Abbiamo detto che è una firma elettronica che deve rispettare i requisiti dell’art 26.
L’art 26 del CAD: la firma elettronica avanzata soddisfa i seguenti requisiti:
a) è connessa univocamente al firmatario -› non ci devono essere dubbi sul fatto che la firma l’ho
apposta io
b) è idonea ad identificare il firmatario -› mi deve consentire di capire chi ha firmato quel
documento, leggendo quel documento informatico devo capire chi l’ha firmato
c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un
elevato livello di sicurezza, utilizzare sotto il suo esclusivo controllo -› soltanto io devo essere in
grado di utilizzare quello strumento per apporre una firma
d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica
di tali dati -› se io ho un documento lo firmo e lo mando a carmine, carmine deve poter sapere che
quella firma è riconducibile a me e solo a me, deve essere in grado di identificarmi come firmatario,
deve essere sicuro che quella firma l’ho potuta usare ragionevolmente solo io e deve essere in
grado di verificare se quel documento firmato è stato successivamente alterato.
Esempio di firma elettronica avanzata e soprattutto andiamo ad incastrare nella firma elettronica
avanzata tutti questi requisiti così scoprirete che la firma che apponete quando viene il postino a
portare il pacco ecc è una firma elettronica avanzata e si basa su una tecnologia grafometrica.
Quando apponete la firma sul tablet, non viene acquista solo l’immagine che avete riprodotto, ma
vengono acquisiti dei dati vostri biometrici che sono riconducibili a voi e solo a voi ad esempio la
pressione, la velocità, l’inclinazione che date alla penna. Ciò tutti dati che consentono di dire che
quella firma è riconducibile solo al soggetto che l’ha apposta.
Sulla scorta di questo esempio andiamo a vedere il documento che Anna e Giulia hanno firmato,
hanno utilizzato il tablet alla posta, è connessa univocamente al firmatario.. quale elemento ci
consente di dire che quella firma è di giulia o di anna di connessione univoca al firmatario? Ce lo
consente di dire il dato biometrico cioè la velocità con cui hanno firmato, l’inclinazione ecc cioè un
dato tecnologico che mi consente di tenere assolto il primo requisito che è la connessione univoca
al firmatario. Questo elemento mi consente di identificare, insieme al simbolo grafico, insieme a
quest’altro dato, anche chi ha firmato quel determinato documento, quindi di identificare il
firmatario.
‘È creata mediate dati per la creazione di una firma elettronica che il firmatario può, con un elevato
livello di sicurezza, utilizzare sotto il suo esclusivo controllo’.
Secondo voi Anna Giulia o carmine che hanno firmato possono prestare il loro braccio ad un’altra
persona? No. Se scrivo anna giulia o carmine sto facendo una firma falsa e si rileverà dal fatto che
quel dato mio biometrico non potrà corrispondere al dato biometrico di giulia o di anna.
La firma elettronica avanzata produce effetti giuridici soltanto nei rapporti tra le parti. Che
significa? Peresempio ha effetto nel rapporto tra me e la banca quindi vale nei rapporti interni tra i
soggetti, non assume una rilevanza esterna rispetto a quello specifico rapporto. Cioè è una
tecnologia che viene adottata da uno specifico soggetto e che ha valore nei confronti di quello
specifico soggetto.
Qual è l’altra implicazione giuridica importante che deriva dal fatto che io ho acquisito un dato
biometrico di anna o giulia? La privacy, è un problema di trattamento di dato. È un dato personale
di natura sensibile, oggi riconducibile al novero dei dati di cui all’art 9 del regolamento privacy
679/2016.
In Italia esiste la firma digitale rispetto al quale il legislatore ha detto che è una firma elettronica
qualificata, ma ha anche detto che indica qual è la tecnologia che devi utilizzare ed ha fissato
questa tecnologia nella cd crittografia a chiavi asimmetriche (chiave pubblica e chiave privata).
Precisazione
Differenza con crittografia simmetrica che è quella che si trova alla base della firma elettronica
semplice ad esempio la password. Simmetrica significa che io utilizzo la stessa password sia per
cifrare che per decifrare un determinato documento. Se io proteggo il documento word e metto
come password michelino, la chiave michelino è una password che genererà un sistema di
crittografia simmetrica.
Gli egizi e poi Giulio cesare hanno utilizzato questa crittografia.
La crittografia simmetrica si basa sull’utilizzo della stessa chiave sia per criptare che per
decriptare un documento. Non è sicura perché se voglio mandare a pietro un documento con
firma digitale, gli devo mandare anche la password, quella password può rubarla anna e sapere
cosa ho mandato a pietro, ma soprattutto una volta che Pietro avrà quella password, potrà
modificare quel documento privandolo dell’esigenza giuridica di cui stiamo parlando.
NB Io posso avere una firma una firma elettronica avanzata basata sulla crittografia asimmetrica
ma non perché ho una firma elettronica avanzata basata su crittografia asimmetrica potrò dire che
mi trovo di fronte alla firma digitale. Perché? cosa manca? Manca il certificato qualificato.
Domanda: qual è la differenza tra la firma elettronica avanzata e la firma digitale?
NON DIRE che la differenza è che la firma digitale si basa sulla crittografia a chiave asimmetrica.
Risposta sbagliata.
Crittografia asimmetrica
Come funziona la crittografia asimmetrica? Chiave pubblica e chiave privata.
Partiamo da un presupposto. Quando si parla di firma digitale non è necessario che sia il soggetto
che sottoscrive che il soggetto che riceve il documento siano in possesso di una firma digitale.
Esempio: allo statino di esame si appone una firma digitale, se io voglio mandare a carmine il suo
statino non è necessario che carmine sia in possesso di una firma digitale per leggere quello che
io ho firmato, né è necessario che lui sia in possesso di una firma digitale per verificare la mia
firma digitale. L’unica cosa che carmine deve avere è un software che gli consenta di leggere il
formato proprietario della firma digitale. Che significa? Se avete un file pdf per aprirlo dovete
installare ad esempio acrobate (sistema di lettura del pdf), in caso contrario non potrete leggere il
pdf. La stessa cosa accade per la firma digitale. Se io ho un file sottoscritto digitalmente, devo
avere un software gratuito, ad esempio aruba, cioè qualcosa che consenta di leggere il formato
proprietario della firma digitale.
In sintesi: non è necessario che chi riceve un documento con firma digitale debba avere una firma
digitale, ma è sufficiente che abbia un lettore per leggerla.
Qual è il formato proprietario della firma digitale? Quando si firma digitalmente un documento si
può scegliere un duplice formato: o il formato cades o il formato pades.
Il formato cades genera un output del file di questo tipo: emilio.pdf.p7m, cioè il formato proprietario
della firma digitale in cades è il p7m.
Se uso un formato pades sarà sufficiente, per verificare che quel documento è stato sottoscritto
digitalmente, utilizzare un lettore acrobate dc cioè quelli di ultima generazione, mi consentirà di
leggere il documento sottoscritto in formato pades.
Come funziona la firma digitale? Come funziona la crittografia asimmetrica? Come fate a verificare
se un documento è stato sottoscritto da me?
Se io emilio ho una firma digitale, avrò una chiave pubblica (la conoscono tutti) e una chiave
privata (la conosco solo io). Ciò che cifro con la chiave privata, decifro con la chiave pubblica.
Se uso per cifrare la chiave pubblica, posso decifrare quel contenuto solo con la chiave
privata corrispondente.
Esempio
Io predispongo un documento word, lo firmo con la mia firma digitale e quindi appongo sul quel
documento la mia chiave privata, così quel documento sarà crittografato, cioè non sarà più in
chiaro. Per essere più corretti (ma questo lo preciseremo più avanti): io non vado a crittografare
quel documento perché per crittografare un documento pesante ci vorrebbe molto tempo, ma vado
a crittografare un riassunto di quel documento, il message digest di quel documento, un elemento
che identifica in maniera univoca quel documento.
Quindi io appongo la mia chiave privata su quel documento e lo vado a crittografare, poi lo mando
a carmine. Carmine per leggere quel documento deve apporre a quel documento la mia chiave
pubblica, se c’è corrispondenza tra la chiave pubblica e la chiave privata il documento si aprirà.
Dove la prende carmine la mia chiave pubblica? Non la deve cercare, tutti i gestori espongono le
chiavi pubbliche relative ai certificati di firma che rilasciano. Ma la verifica la farà in automatico il
software. Questo mi garantisce che se nel frattempo giovanni viene in possesso dello stesso
documento che io ho inviato a carmine, giovanni lo potrà leggere perché per leggere il documento
che io ho crittografato è sufficiente la mia chiave pubblica. Però, nel momento in cui giovanni
Rispondiamo alla domanda del valore del documento informatico sottoscritto .. quanto vale il
documento informatico sottoscritto con firma digitale, firma elettronica avanzata, firma elettronica
qualificata sia sotto il profilo probatorio sia se è idoneo a soddisfare il requisito della forma
scritta.
La risposta la trovate nell’art 20 c1 bis d.lgs. 82/2005 (CAD): il documento informatico soddisfa il
requisito della forma scritta ed ha l’efficacia prevista dall’art 2702 C.C. quando vi è apposta
una firma digitale, un altro tipo di firma elettronica qualificata o una firma elettronica avanzata (…).
Quindi significa che se il documento informatico è sottoscritto con firma digitale, firma elettronica
avanzata o firma elettronica qualificata, sotto il profilo probatorio avrà l’efficacia del 2702 c.c.
Qui scatta la domanda all’esame: qual è l’efficacia probatoria prevista dal 2702 c.c.? L’efficacia
prevista per la scrittura privata cioè fa piena prova, fino a querela di falso, della provenienza delle
dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la
sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.
Lez 2
Iniziamo a rispondere alle domande che ci siamo posti: valore del documento informatico sotto il
profilo probatorio e sotto il profilo della sua idoneità a soddisfare il requisito della forma scritta.
Perché ci preoccupa la questione dell’idoneità del documento informatico a soddisfare il requisito
della forma scritta? La volta scorsa abbiamo parlato della forma, abbiamo detto che nel nostro
Andiamo a verificare il 21 comma 2 bis CAD. L’art 21 è importante perché il comma 2 bis ci dice
(ricordate sempre il principio della libertà delle forme):
Salvo il caso di sottoscrizione autenticata, le scritture private di cui all’articolo 1350, primo comma,
numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di
nullità, con firma elettronica qualificata o con firma digitale.
1350 c.c. disciplina gli atti che devono farsi per iscritto -› disciplina le ipotesi in cui la forma scritta è
richiesta ad substantiam. Il 1350 è rubricato “atti che devono farsi per iscritto”: devono farsi per
iscritto, per atto pubblico o scrittura privata, sotto pena di nullità (…)
Questa norma dice che tutti gli atti dal n.1 al n.12 del 1350, se formati con il documento
informatico, devono essere necessariamente sottoscritti o con una firma digitale o con una firma
elettronica qualificata a pena di nullità. Se questo è vero, per questi atti non si può utilizzare la
firma elettronica avanzata.
La regola generale è che quando io utilizzo o la firma elettronica qualificata o la firma digitale o la
firma elettronica avanzata, il requisito della forma scritta è soddisfatto. Però, dice il legislatore:
bada bene che se parliamo della forma scritta che è richiesta dal 1350 n.1 al n. 12, devi utilizzare
necessariamente la firma digitale o la firma elettronica qualificata, non potrebbe fare a meno di dire
firma elettronica qualificata perché abbiamo detto che la firma la firma digitale è un prodotto solo
italiano, abbiamo detto che è una species della firma elettronica qualificata e abbiamo detto anche
che l’Italia andrebbe a violare quello che è il cd principio di neutralità tecnologica.
Il 1350 ha anche un n.13. Gli atti di cui all’articolo 1350, numero 13), del codice civile redatti su
documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di
nullità, con firma elettronica avanzata, qualificata o digitale ovvero sono formati con le ulteriori
modalità di cui all’articolo 20, comma 1-bis, primo periodo.
Ciò significa che si ritorna a dare completa attuazione al comma 1 bis dell’art 20.
Per non sbagliare potete semplicemente dire che: per tutti gli atti del 1350 da n.1 a n.12 si deve
usare necessariamente o la firma qualificata o la firma digitale; in tutte le altre ipotesi
quando deve essere soddisfatto il requisito della forma scritta, può essere utilizzata anche
una firma elettronica avanzata.
Perché? Perché la firma digitale e la firma elettronica qualificata producono effetti erga omnes,
quindi, siccome si tratta di atti che producono effetti erga omnes.. se andata a vedere il 1350 n.1
disciplina i contratti che trasferiscono la proprietà di immobili; il n.2 i contratti che trasferiscono il
diritto di usufrutto di immobili ecc. Quindi vedete che si tratta di atti di particolare rilevanza e che
Abbiamo risposto a 3 domande di quelle che ci eravamo posti: qual è il valore probatorio del
documento informatico sottoscritto con firma digitale, qualificata e avanzata e dobbiamo rispondere
alle domande parallele considerando gli stessi tipi di sottoscrizione cioè quando è soddisfatto il
requisito della forma scritta.
Manca una domanda: qual è il valore del documento informatico non sottoscritto (sempre
ammesso che abbia un valore)? Il documento informatico privo di sottoscrizione ha valore
giuridico? Si. Che valore? Lo dice il 2712 c.c. come novallato dal CAD: le riproduzioni fotografiche,
informatiche, cinematografiche e in genere ogni altra rappresentazione meccanica di fatti o di cosa
formano piena prova dei fatti e delle cose rappresentate se colui contro il quale sono prodotte non
ne disconosce la conformità ai fatti o alle cose medesime. Fa piena prova dei fatti e delle cose
rappresentate fino a quando quei fatti e quelle cose non sono disconosciute.
Nel caso della scrittura privata si disconosce la sottoscrizione. In questo caso si disconoscono i
fatti e le cose rappresentate nel documento.
Il documento informatico senza sottoscrizione è diverso da una fotocopia? qual è il valore di una
fotocopia?
Esempio. Io ho un contratto firmato da giulia, faccio una fotocopia del contratto; questa fotocopia
che valore ha? Lo stesso valore del contratto originale? Ha il valore di una fotocopia cioè fa piena
prova dei fatti e delle cose rappresentate fino all’eventuale disconoscimento di quei fatti. Che
accade se disconosco quei fatti? Sarà il giudice, eventualmente, a dover verificare, anche
attraverso ulteriori elementi, se quei fatti possano essere realmente considerati reali e quindi
possano essere realmente poste alle base di una valutazione, di una decisione.
Andiamo avanti dopo aver fatto il documento informatico e le firme. Ora dobbiamo capire che cosa
sono, come funzionano e che valore hanno i seguenti elementi: copia informatica di un documento
analogico, copia informatica per immagine di un documento analogico, copia informatica di un
documento informatico e duplicato informatico.
[Questo capitolo del libro (quinto) l’ho scritto io quando troverete la stessa spiegazione]
COPIA INFORMATICA DI UN DOCUMENTO ANALOGICO (Art 1 comma 1 bis)
Definizione: è il documento informatico avente contenuto identico a quello del documento
analogico da cui è tratto. Significa che se io ho un contratto sottoscritto in maniera autografa e
copio quel contenuto ma lo riscrivo al pc, non faccio la scansione perché se faccio la scansione ho
una copia per immagine, semplicemente riproduco il contenuto del documento analogico in un
documento informatico. Se avete un file word, lo stampate e lo firmate, avrete un analogico
sottoscritto e poi avrete una copia informatica di quell’analogico che avete sottoscritto.
COPIA INFORMATICA PER IMMAGINE DI UN DOCUMENTO ANALOGICO (Art 1 comma 1 ter)
È il documento informatico avente contenuto e forma identici a quelli del documento analogico da
cui sono tratti.
COPIA INFORMATICA DI UN DOCUMENTO INFORMATICO
È il documento informatico avente contenuto identico a quello del documento da cui è tratto su
supporto informatico con diversa sequenza di valori binari.
Esempio quando trasformo un documento word in pdf: avrò 2 documenti che hanno il medesimo
contenuto ma una forma diversa perché sono formati da un numero di bit differenti.
Immaginate che ho un file firmato digitalmente, lo stampo in pdf, avrò una copia informatica di un
documento informatico e il valore della copia sarà diversa dal valore dell’originale che era firmato
digitalmente.
Se copio e incollo una cartella sul mio pc non ho creato una copia ma un duplicato informatico
perché non c’è nessun elemento che vi consente di distinguere l’originale dalla copia (anche se il
pc mi dice ‘copia’).
Abbiamo analizzato le ipotesi di dematerializzazione, però abbiamo detto che esistono ancora,
nonostante il principio del digital first, delle situazioni in cui è necessario procedere alla
materializzazione di un documento che nasce digitale attraverso la stampa.
Precisazione. Sul libro c’è tutta una parte dove si fa riferimento alla legge 93 relativa alla cd firma
stampa che non dovete mai confondere con la firma digitale (poi ne parleremo).
Dobbiamo verificare ora la questione della materializzazione partendo da un documento analogico
e capire come avviene affinché la stampa del documento nato digitale abbia lo stesso valore del
documento digitale da cui è estratto. Quindi andiamo all’art 23 CAD.
Art. 23. Copie analogiche di documenti informatici
1. Le copie su supporto analogico di documento informatico, anche sottoscritto con firma
elettronica avanzata, qualificata o digitale, hanno la stessa efficacia probatoria dell’originale da
cui sono tratte se la loro conformità all’originale in tutte le sue componenti è attestata da un
pubblico ufficiale a ciò autorizzato.
Quindi è un procedimento inverso a quello visto in precedenza dove si passava dalla carta al
digitale nella copia per immagine, in questo caso andiamo dal digitale alla carta ed è necessario un
pubblico ufficiale che attesta la conformità della copia analogica all’originale digitale. Questo
significa che se mi arriva una pec e io la stampo, affinché quella pec stampata abbia lo stesso
valore della pec che ho sul mio pc, è necessario che ci sia un pubblico ufficiale che ne attesti la
conformità altrimenti io avrò una copia analogica che avrà il mero valore della fotocopia quindi del
2710, farà piena prova fino al suo eventuale disconoscimento.
Il secondo comma ci riporta al valore delle copie analogiche dei documenti informatici.
2. Le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti
regole tecniche, hanno la stessa efficacia probatoria dell’originale se la loro conformità non è
espressamente disconosciuta. Resta fermo, ove previsto l’obbligo di conservazione
dell’originale informatico.
Quando si applica il comma 1 e quando il comma 2?
Il comma 1 si applica quando c’è un pubblico ufficiale che mi può attestare la conformità
all’originale della copia analogica.
Il comma 2 si applica nelle ipotesi in cui non c’è un pubblico ufficiale che può attestare questa
conformità, quindi la copia farà piena prova dei fatti e delle cose rappresentate fino all’eventuale
disconoscimento.
Veniamo al 2 bis. Se andate sul sito della GU vedrete che può essere scaricata anche in formato
pdf, se stampate vedete che vi sono 4 quadratini neri che servono a produrre l’effetto del 2bis.
2-bis. Sulle copie analogiche di documenti informatici può essere apposto a stampa un
contrassegno, sulla base dei criteri definiti con le regole tecniche di cui all’articolo 71, tramite il
quale è possibile accedere al documento informatico, ovvero verificare la corrispondenza allo
stesso della copia analogica.
Significa che se io, con un apposito lettore leggo quel ‘codice’, questo mi riporterà al documento
informatico originale e mi consentirà di verificare se quel documento analogico è conforme al
documento informatico che è presente online.
Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la
sottoscrizione autografa del pubblico ufficiale e non può essere richiesta la produzione di altra
copia analogica con sottoscrizione autografa del medesimo documento informatico.
Cioè se tu hai stampato un documento che reca quel contrassegno, sostituisce qualsiasi firma sul
documento analogico apposto dal soggetto che ha rilasciato quella determinata copia, o meglio,
che ha firmato l’originale di quel documento da cui ho estratto quella copia analogica.
NB questa previsione è da tenere distinta dalla previsione di cui alla legge del ’93 sulla
sottoscrizione a mezzo stampa, la trovate espressamente dettagliata nel testo. Qual è la
differenza? Quella norma prevede che nel caso in cui vengano redatti atti automatizzati che non
necessitano di un’attività discrezionale da parte di una pubblica amministrazione, la sottoscrizione
autografa può essere sostituita dall’indicazione ‘firmato a mezzo stampa’. Attenzione però perché
Ora iniziamo a verificare come questi documenti circolano, quindi come viene effettuata la
TRASMISSIONE DEI DOCUMENTI DIGITALI che propedeutico al domicilio digitale del cittadino,
dei professionisti e delle imprese, delle PPAA.. questi elementi consentono di applicare il concetto
del digital first i cui risultati sono:
1 rendere più semplice l’attività della PA nel rapporto tra PA e cittadino,
2 economicizzare la gestione della PA e quindi gravare anche meno sul cittadino,
3 garantire maggiormente la trasparenza e la tracciabilità delle attività che vengono fatte al fine di
garantire la trasparenza avverso eventuali reati commessi nell’ambito della gestione dell’attività
amministrativa.
Tutti questi strumenti non si applicano solo nei rapporti con la PA, ma si applicano anche nei
rapporti tra privati.
Come si trasmettono i documenti? Quali sono gli strumenti di trasmissione?
NB Gli strumenti di trasmissione non devono essere confusi con gli strumenti di sottoscrizione.
Gli strumenti di trasmissione sono pec, posta elettronica .. cosa cambia se invio un’e-mail o una
pec? Limiti della pec: non abbiamo la certezza del mittente, io posso usare la pec di carmine,
nessuno sa se è riconducibile a me o a carmine. Con la pec, però, posso opporre l’avvenuto invio
e l’avvenuta ricezione del documento. Il presupposto è che sia mittente che destinatario abbiano la
pec (lavorano in ecosistema pec). Se io mando una pec ad un soggetto che sta in Francia, non
avrò l’effetto giuridico che mi voglio garantire utilizzando la pec a meno che il soggetto che sta in
Francia non è dotato di una pec italiana. Quindi la pec è uno strumento tutto italiano che funziona
solo in un ecosistema pec.
A livello europeo sono stati creati i cd servizi elettronici di recapito certificato qualificato che,
non solo funzionano in tutto il territorio dell’unione producendo gli effetti di opporre al terzo
l’avvenuto invio e l’avvenuta ricezione del messaggio, ma soprattutto consentono anche la
certezza di opporre al terzo il fatto o di ricondurre ad un determinato soggetto con certezza
quell’indirizzo, l’identificazione certa del mittente e del destinatario (che nella pec è un po' carente).
NB Differenza tra PEC e sottoscrizione: se io mando un documento tramite pec privo di
sottoscrizione, quel documento sarà sempre un documento informatico non sottoscritto ed ha
sempre tale valore, non è che perché l’ho mandato con pec gli ho attribuito chissà quale valore.
La pec è strumento idoneo a sostituire la sottoscrizione solo in determinati casi specificamente
individuati dalla legge e soprattutto nei rapporti tra cittadino e P.A.
Se io voglio partecipare ad un concorso e devo compilare la domanda di partecipazione, non
posso usare solo la pec (salvo che non sia uno specifico tipo di pec che si chiamava pec-id o salvo
che non rientro in specifici casi previsti dall’art 65), ai fini della validità della presentazione della
domanda dovrò allegare alla pec un documento sottoscritto digitalmente o, in via alternativa, potrò
allegare alla pec la scansione di un documento sottoscritto analogicamente unitamente alla
fotocopia di un documento d’identità. Ma questo solo nei rapporti tra cittadini e PA perché si
applica l’art 65 che prevede espressamente questa possibilità in applicazione di ciò che è sempre
stato previsto dal DPM 445/2000 in materia di documentazione amministrativa.
Sapete come funziona una pec? Quali sono i soggetti/protagonisti della pec? C’è un soggetto che
si chiama gestore della pec (esempio aruba).
Esistono 2 dinamiche:
1 emilio e carmine hanno entrambi lo stesso gestore
2 emilio e filomena hanno due gestori diversi
Però voi fruitori del sistema non ve ne rendete conto perché il sistema funziona sempre allo stesso
modo.
Quando io mando una pec a carmine, il mio messaggio viene inserito nella cd busta di trasporto.
Di che colore è? Non ha colore perché è un documento informatico! Dovete immaginarlo come un
documento informatico che ha dentro un altro documento informatico. Quella busta di trasporto, a
garanzia della sicurezza e della inalterabilità del contenuto, sarà o no firmata? Si. La busta di
trasporto viene firmata dal soggetto gestore (avviene tutto in automatico).
Io spedisco il messaggio, il mio gestore mi restituisce una ricevuta di accettazione che prova il fatto
che avete spedito una pec in un determinato giorno ad una determinata ora ma non prova la
consegna di quella pec perché sarà necessaria la ricevuta di avvenuta consegna che viene
rilasciata dal mio gestore (se abbiamo lo stesso gestore) o dal gestore del destinatario (se è
diverso). Quella di accettazione prova è il messaggio è stato spedito, quella di consegna prova che
il messaggio è stato ricevuto.
In quale momento si producono gli effetti dell’invio e della ricezione del messaggio? Il messaggio si
considera consegnato quando giulia lo legge o quando viene messo a sua disposizione nella
casella di pec? Nel momento in cui viene messo a disposizione e ciò in virtù del principio sancito
dall’art 1335 c.c. - Presunzione di conoscenza
La proposta, l'accettazione, la loro revoca e ogni altra dichiarazione diretta a una
determinata persona si reputano conosciute nel momento in cui giungono all'indirizzo del
destinatario, se questi non prova di essere stato, senza sua colpa, nell'impossibilita' di averne
notizia.
L’onore probatorio è inverito, è il soggetto che riceve il documento che deve dimostrare di non
averlo ricevuto senza sua colpa.
Questo concetto del 1335 è stato trasfuso nel CAD all’articolo 6 (utilizzo del domicilio digitale) al
comma 1 secondo periodo.
Questo è importante perché se non leggo i messaggi pec, gli effetti giuridici collegati a quella
casella pec si producono a prescindere dal fatto che ho aperto o no la casella pec.
Se mi viene notificata una sanzione per violazione del codice della strada, i 60 gg per l’opposizione
decorrono da quando il messaggio è nella mia disponibilità, non da quando lo leggo.
Lez 3
PEC
La pec funziona solo in ecosistema pec, quindi produce gli effetti solo se invio da una pec ad una
pec; se da una pec invio ad un’e-mail semplice o viceversa non ho prodotto gli effetti giuridici che
la pec mi garantisce. Quali sono questi effetti? La possibilità di opporre al terzo l’avvenuto invio e
l’avvenuta ricezione del documento. Perché è importante slegare il momento dell’invio dal
momento della ricezione? Perché sotto il profilo degli effetti si deve sdoppiare nel senso che
l’effetto notificatorio per il soggetto che spedisce inizia a decorrere dal momento in cui invia, per il
soggetto che riceve dal momento indicato nella ricevuta di avvenuta consegna. Quali sono gli
strumenti per opporre al terzo questo? Le ricevute di accettazione e di consegna. Oltre a queste
due c’è la ricevuta di anomalia e la ricevuta di presa in carico. Quella con cui voi vi confrontate se
siete utenti pec sono la ricevuta di accettazione, di consegna e di anomalia; mentre la ricevuta di
Le ricevute, a garanzia della loro sicurezza e della loro integrità, recano anche la sottoscrizione
digitale del gestore. Cioè il gestore che rende la ricevuta la firma per garantire che sia integra,
autentica e che non sia alterata o alterabile, questo risultato si può essere raggiunto utilizzando il
meccanismo delle firme digitali.
Per la validità della firma si guarda sempre al momento in cui è stata apposta, questa verifica è
automatica ed avviene attraverso i registri che vengono messi a disposizione dai gestori della pec.
DOMICILIO DIGITALE
Cos’è il domicilio digitale?
Art 1 comma 1 CAD
n-ter) domicilio digitale: un indirizzo elettronico eletto presso un servizio di posta elettronica
certificata o un servizio elettronico di recapito certificato qualificato
Quindi è un indirizzo elettronico che deve essere appoggiato o ad una pec o ad un s.e.r.c.q.
Il domicilio è fondamentale ed è al centro di una rivoluzione anche nel rapporto tra il cittadino e la
PA perché si potrà comunicare facilmente con il cittadino attraverso il domicilio digitale.
Art 3 bis CAD
1. I soggetti di cui all’articolo 2, comma 2 [cioè la PA], i professionisti tenuti all’iscrizione in albi ed
elenchi e i soggetti tenuti all’iscrizione nel registro delle imprese hanno l’obbligo di dotarsi di un
domicilio digitale iscritto nell’elenco di cui agli articoli 6-bis o 6-ter.
Questo comma è importante perché ci dice quali sono i domicili digitali obbligatori.
Se vi chiedo: esistono in Italia domicili digitali obbligatori? Si. Quali sono? Sono il domicilio delle
PPAA, il domicilio di professionisti iscritti in albi ed elenchi, per esempio il medico (i professionisti
non iscritti negli albi no, per esempio l’amministratore di condominio) e i soggetti iscritti nel registro
delle imprese.
1-bis. Fermo restando quanto previsto al comma 1, chiunque ha facoltà di eleggere il proprio
domicilio digitale da iscrivere nell’elenco di cui all’articolo 6-quater.
L’art 6 quater disciplina l’indice nazionale dei domicili digitali e delle persone fisiche e degli altri enti
di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese. Ad
esempio un’associazione.
Devo tener conto anche del cd divario digitale perché Davide ha 20 anni ma ci può essere il nonno
che è più anziano e non ha dimestichezza con la tecnologia e deve essere messo in grado di poter
comunque continuare a ricevere le comunicazioni del caso.
i documenti possono essere consegnati a coloro che non sono in grado di accedere direttamente a
un domicilio digitale. Questo si deve fare per superare il divario digitale.
Il comma 3 bis è relativo ad un’attività che deve essere ancora fatta, non è stata compiuta questa
attività, non c’è ancora questo decreto di switch off ma ci sarà.
4. A decorrere dal 1° gennaio 2013, salvo i casi in cui è prevista dalla normativa vigente una
diversa modalità di comunicazione o di pubblicazione in via telematica [deve esserci un’eccezione
altrimenti la regola è questa] le amministrazioni pubbliche e i gestori o esercenti di pubblici servizi
comunicano con il cittadino esclusivamente tramite il domicilio digitale dallo stesso
dichiarato, anche ai sensi dell’articolo 21-bis della legge 7 agosto 1990, n. 241, senza oneri di
spedizione a suo carico.
Spesso questa norma viene disapplicata (sono previste sanzioni) soprattutto per la mancata
conoscenza dei cittadini di questa norma.
Ogni altra forma di comunicazione non può produrre effetti pregiudizievoli per il destinatario.
L’utilizzo di differenti modalità di comunicazione rientra tra i parametri di valutazione della
L’art 3 bis descrive la struttura, i passaggi che si devono fare, come funziona da un punto di vista
di validità.
DOMANDE D’ESAME
-documento informatico
-firma ed efficacia probatoria di ciascuna di essa
-firma digitale
-differenza firma elettronica avanzata e digitale
-differenza firma digitale e elettronica qualificata
-valore documento informatico con firma digitale
-valore probatorio del documento informatico
-riferimento temporale associato alla firma
-copia analogica di un documento informatico
-differenza tra copia informatica di un documento informatico e duplicato
informatico
-copia informatica di un documento analogico
-domicilio digitale + professionisti obbligati ad iscrizione
-domicilio speciale
-pec a che serve e limiti
-ricevute pec
-serc e sercq
-identificazione forte e debole pec, serc, sercq?
Lez 4
PRIVACY
Oggi inizieremo a parlare di privacy. Sono tanti i temi collegati alla privacy, dobbiamo fare una
selezione. Partiamo dalla norma di riferimento: regolamento europeo 679 del 2016. Tale norma,
come abbiamo visto in ambito di documenti, firme, etc., per quanto riguarda il famoso regolamento
EIDAS, ha previsto un quadro unitario in materia di protezione delle persone fisiche, con riguardo
al trattamento dei dati personali, nonché anche con specifico riferimento alla libera circolazione dei
dati nell’ambito di tutto il territorio europeo. Questo è un primo punto di partenza fondamentale.
Non dobbiamo però dimenticare che, allo stesso modo di quanto accaduto con il CAD e il
regolamento EIDAS, anche con riferimento al trattamento dei dati personali, noi abbiamo la norma
europea, quindi il regolamento che ha portata precettiva su tutto il territorio dell’Unione ed è
direttamente applicabile. Ma poi è rimasto in vigore, seppur profondamente modificato, il famoso
d.lgs. n.196 del 2003, anche noto come ‘codice della privacy’. Molti articoli di tale decreto sono
Prima di soffermarci però sui soggetti, dobbiamo chiarire cosa si intende per ‘trattamento’.
Titolare, responsabile e incaricato sono i soggetti che trattano il dato personale dell’interessato. Poi
abbiamo il responsabile della protezione dei dati personali, detto anche DPO che svolge un’altra
determinata funzione. Ma dove troviamo la definizione di ‘trattamento del dato personale’?
Sempre nell’art.4 -> ci dice che il trattamento è qualsiasi operazione o insieme di operazioni,
compiute con o senza l’ausilio di processi automatizzati applicati a dati personali o insiemi di dati
personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione,
l’adattamento, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante
trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto,
l’interconnessione, la limitazione, la cancellazione e la distruzione -> è un’ampissima definizione.
Quando si parla di trattamento dei dati personali si fa riferimento a una qualsiasi delle attività che vi
ho appena descritto. Se raccolgo un dato sto effettuando trattamento, se registro un dato sto
effettuando trattamento. Ma posso registrare un dato che non ho raccolto? Certo perché l’ha
raccolto qualcun altro che me l’ha poi dato. Posso organizzare, conservare dati…? Certo, tutte
queste sono attività di trattamento dei dati personali.
Il titolare del trattamento è colui che ha la responsabilità del trattamento dei dati. Lo fa direttamente
o avvalendosi del responsabile del trattamento. Il titolare del trattamento è sempre una persona
fisica?
Es. trenitalia -> comprate un biglietto su trenitalia. I vostri dati da chi sono trattati? Chi è il titolare
del trattamento? Trenitalia.. e come fa a trattarli? Attraverso un responsabile… insomma è sempre
una persona fisica, oppure può essere una persona giuridica che opera però per il tramite del suo
legale rappresentante, che è una persona fisica.
Es. 2: università. Chi è il titolare del trattamento? L’università, in persona del rettore. E chi sono il
direttore del dipartimento, o i singoli docenti? Il direttore del dipartimento è il responsabile del
trattamento, mentre i singoli docenti/personale di segreteria (tutti coloro che trattano i nostri dati)
sono gli incaricati del trattamento. Qual è l’elemento discriminante? Il titolare e il responsabile
sono coloro che individuano le misure, le modalità, per ottenere un corretto trattamento dei dati
personali.
Chi è l’incaricato? L’incaricato sostanzialmente non ha potere di incidere su quelle norme o quelle
disposizioni di organizzazione stabilite dal titolare e dal responsabile, ma esegue le indicazioni che
da questi gli sono state impartite, ai fini di dar vita a un corretto trattamento dei dati personali.
Avete sentito quello che è successo all’INPS per la questione dei rimborsi per il sostegno a
lavoratori, famiglie etc… c’è stato un problema in relazione ai dati personali degli utenti. In quel
caso, chi è il titolare del trattamento? L’INPS in persona del suo presidente, insieme a tutti i
responsabili del trattamento.. quindi se dobbiamo individuare le responsabilità, sotto un profilo
giuridico di responsabilità, si andranno ad analizzare sul piano dei ruoli determinanti
nell’organizzazione, nella sicurezza e nella tenuta di quei dati.
Detto ciò, vediamo l’ambito di operatività del GDPR (il regolamento europeo di cui stiamo
parlando). Il GDPR ha apportato un’innovazione rilevante rispetto alla disciplina previgente.
Quest’ultima, ossia il d.lgs. 196 era un d.lgs. che dava attuazione alla direttiva 95 della comunità
Qua possiamo aprire un ulteriore tema d’approfondimento. I nostri dati personali costituiscono un
valore fondamentale per ciascuno di noi. Valore fondamentale che rappresenta anche il prezzo dei
servizi che noi utilizziamo. Non è vero che i servizi che utilizziamo sono gratuiti, perché se è vero
che google, fb etc. sono tra i più grandi colossi mondiali, non lo sono certamente diventati offrendo
gratuitamente i loro servizi. Lo sono diventati perché? Google vende pubblicità ad inserzionisti,
aziende, che vogliono veicolare il loro messaggio pubblicitario tramite quella specifica piattaforma.
Come fa a vendere questa pubblicità? Utilizzando i dati di tutti quanti noi, e non vende i dati, ma
vede profili, gruppi di dati.. in che senso? A voi perché arriva la pubblicità mirata di un volo areo,
piuttosto che di un ristorante etc? Perché venite profilati, vengono profilate le vostre preferenze,
tanto su google quanto su fb. Quindi se io produco borse e ho bisogno di fare pubblicità delle mie
borse, come faccio? Google ha una grande capacità di contrattazione determinata dal gran
numero di utenti profilati che ha, quindi la mia pubblicità di borse a Carmine non arriverà, ma
Siamo partiti da una norma che dice ‘indipendentemente dall’obbligatorietà del pagamento
dell’interessato’-> queste 4 parole sono fondamentali perché la maggior parte dei servizi che
utilizziamo sul web ci vengono fatti passare come servizi gratuiti, ma in realtà non lo sono per
niente perché sfruttano i nostri dati.
Continuando con la norma:
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all'interno dell'Unione. -> significa profilazione. Io posso avere la fornitura del servizio a
prescindere dal fatto che ti profilo, ma posso avere anche la fornitura del servizio collegato alla
profilazione, o anche una profilazione che non dipenda strettamente dal servizio. Quindi se alla
base c’è un’attività di profilazione, questa fa scattare automaticamente il criterio della territorialità
collegata al luogo in cui si trova l’interessato.
La norma è fondamentale perché si è evitato che, attraverso meccanismi elusivi, si potesse
aggirare la disciplina europea di protezione dei dati personali.
Prima si diceva: si applica la disciplina se il soggetto che tratta i dati è stabilito nel territorio
europeo o se all’interno del territorio europeo ha i suoi server, o comunque strumenti per il
trattamento dei dati personali.
Altra premessa: noi stiamo parlando di privacy. Lo faremo con specifico riferimento alla privacy
digitale, ma le questioni che stiamo affrontando non sono relative solo alla privacy digitale, sono
relative al trattamento del dato a 360 gradi. Sono regole che si applicano anche al trattamento dei
dati tradizionali. Quando andate da pittarosso e vi fanno la carta fedeltà, questa serve a profilare
gli utenti. Ogni volta che la passate loro sanno precisamente cosa avete comprato, quindi hanno il
profilo del determinato utente.. e su quel determinato profilo vengono anche effettuate le
promozioni, tarati i messaggi pubblicitari etc.
Vediamo ora quali sono i principi applicabili al trattamento dei dati personali.
Art.5 del regolamento 679 del 2016:
“1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza
e trasparenza»);
-> i principi di liceità, correttezza e trasparenza sono fondamentali. Come si declinano questi
principi? Il dato deve essere trattato in modo lecito. Quand’è trattato in modo lecito? -> artt. 6 e 9.
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non
sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione
nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente
all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della
finalità»);
-> io devo trattare il dato quando è nota la finalità per cui lo vado a trattare. Quindi devono essere
esplicite e legittime. Esempio. Se io voglio trattare i dati di tutti i soggetti positivi al covid, quale
potrebbe essere la finalità del trattamento? Contenere la diffusione del covid, quindi tutelare la
salute pubblica. Ma se io fisso una determinata finalità devo trattare quei dati in base a
quell’esplicita finalità. Se io raccolgo quel dato per quella finalità, devo usarlo per quella finalità. Se
io acquisisco il vostro nome, cognome e matricola, al fine della verbalizzazione dell’esame, non
Riassumendo i principi:
a)liceità, correttezza, trasparenza
b)finalità determinate, esplicite e legittime
c)dati adeguati, pertinenti e limitati.
Bisogna analizzare i singoli casi e le singole fattispecie, perché potremmo avere un trattamento
lecito, ma in violazione del principio della pertinenza. Sarebbe lecito perché avverrebbe nel rispetto
di una determinata base giuridica. Posso utilizzare l’app per fare il contact tracing? Posso perché o
c’è un consenso o una norma che lo dice (poi vedremo). Ma se io nel farlo vado a violare gli altri
principi, automaticamente si determina un’illiceità del trattamento.
Immaginate una scala di valori, che concorrono parallelamente tra loro.
Ci siamo quindi soffermati sui principi applicabili al trattamento dei dati personali, procediamo ora
con l’art.6: “Liceità del trattamento” -> questo art. si applica al trattamento dei dati personali,
perché, per ciò che concerne i dati sensibili, la norma di riferimento è l’art.9. Quando io tratto un
dato, posso farlo solo se posso ricondurre la mia attività di trattamento a una di queste condizioni:
“1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più
specifiche finalità; ->quando ci occuperemo delle modalità di prestazione del consenso, laddove
presto il consenso al trattamento per più finalità, ogni finalità deve essere indicata in maniera
distinta affinchè l’utente le distingua e abbia una maggiore chiarezza nell’ambito del trattamento
degli specifici dati.
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o
all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; -> fondamentale.
Ricordate che deve ricorrere almeno una di queste condizioni, quindi non tutte.
Pertanto o il trattamento si basa sul consenso (a), o sul trattamento finalizzato a concludere un
contratto e a eseguire uno specifico contratto. Se voi andate su amazon e acquistate un libro, è
necessario il consenso se quei dati sono finalizzati a concludere il contratto e a eseguire il
contratto? No.. quindi, se voi decidete di metter su un’attività di e-commerce e i dati nell’ambito del
vostro e-commerce vi servono esclusivamente per concludere il contratto ed eseguirlo, dovete
chiedere il consenso al soggetto interessato? No, perché quel dato è trattato per eseguire il
contratto. Ciò che però dovrete fare è informare il soggetto del perché quel dato è trattato e quali
sono le modalità del trattamento. Quindi i dati sono trattati legittimamente perché sono necessari
all’esecuzione di un contratto.
Se poi vado su amazon, faccio la stessa trafila e poi amazon mi dice anche che vuole utilizzare il
mio dato per mandarmi pubblicità, questo ulteriore elemento non rientra più nella condizione
dell’esecuzione del contratto -> è un qualcosa di ulteriore. Quindi sarà necessario il consenso
perché in assenza di consenso il trattamento del dato avverrà in maniera illecita. Quindi è molto
semplice: se quel dato mi serve per concludere o eseguire un contratto, il consenso non è
necessario. Se invece stiamo trattando dati che con l’esecuzione del contratto non c’entrano, allora
il consenso è necessario.
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del
trattamento; -> abbiamo fatto l’esempio quando abbiamo parlato della durata del trattamento. Se
voi acquistate il libro non è che il trattamento deve cessare nel momento in cui il libro vi è stato
consegnato, perché quel dato è stato raccolto con quella finalità. Il trattamento cesserà nel
momento in cui la finalità verrà meno. Se il fornitore del servizio è tenuto per legge a trattare quei
dati a fini fiscali, quel trattamento sarà lecito a prescindere dal vostro consenso perché è
rispondente alla necessità cha ha il titolare del trattamento di rispondere a un obbligo di legge.
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra
persona fisica; -> arrivo in ospedale, devono farmi una trasfusione, devono quindi trattare il mio
gruppo sanguigno (dato attinente alla salute). Possono mai chiedere il consenso? No perché è
ovvio che si tratta di un trattamento necessario a salvaguardare l’interesse vitale dell’interessato o
di un’altra persona fisica. Quale potrebbe essere l’interesse di un’altra persona fisica? Immaginate
che una persona fisica è legata ad un’altra per un motivo genetico.
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; -> risponde o no a un
interesse pubblico il dato di tutti coloro che vengono eventualmente tracciati perché bisogna
tutelare l’interesse pubblico della salute? Sì. È necessario o no il consenso? Potrebbe non essere
necessario ma dovremmo prendere in considerazione altri elementi. Io tratto quel dato e lo tratto
perché è mi è necessario a tutelare un interesse pubblico.
Art.7 “Condizioni per il consenso” -> stiamo parlando dell’attuazione di una modalità che consente
di ritenere lecito il trattamento del dato personale. L’art.7 ci dice quali sono le condizioni per
trattare un dato sulla base del consenso:
1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di
dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali
-> la dimostrazione. Se andate sulle pagine di internet e vedete la famosa cookie policy, e non
inseriscono nel sito un meccanismo idoneo a dimostrare che avete utilizzato l’utilizzo del
consenso, laddove dovesse insorgere una controversia col titolare di quel sito, il titolare del sito
non potrà provare il fatto che avete espresso correttamente quel consenso. Il passaggio è ‘devi
dimostrare’. Come? Ci sono tecniche informatiche per tracciare il fatto che quel giorno, a quell’ora
etc è stato prestato quello specifico consenso. Quei banner cookie che non bloccano la
navigazione in assenza della prestazione esplicita del consenso, non tutelano il titolare del sito.
2. Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda
anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle
altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e
chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente
regolamento è vincolante. -> deve essere quindi distinto da un testo più generale. Es. ti faccio
l’informativa, ti racconto le ragioni per cui tratto i tuoi dati.. quando ti chiedo l’autorizzazione devo
DOMANDE D’ESAME
-GDPR
-ambito territoriale di applicazione del gdpr
-DPO
-differenza dati personali ed ex dati sensibili
-principi applicabili al trattamento dei dati personali
-cookie (o cookie policy) e log
-raccolta visibile e invisibile e rapporto con la privacy
-informativa e consenso
-consenso minore
Perché l’hash è importante sotto il duplice profilo dell’utilizzo della firma e in termini investigativi e
di accertamento di determinati fatti? (in termini investigativi già l’abbiamo visto)
Perché l’hash rispetto alla firma è importante? Perché quando utilizziamo la crittografia, che è a
chiavi asimmetriche nel caso della firma digitale, noi cosa abbiamo? Immaginate il documento
word, quando firmiamo un documento word quel documento non viene crittografato per intero, ma
il sistema genera un hash di quel documento cioè genera la cd impronta del documento ed è
quella impronta che poi firmata, crittografata con la firma digitale che poi garantisce tutti i requisiti
di sicurezza, integrità e inalterabilità che abbiamo studiato.
Perché questo è importante? Quando si va a crittografare un documento, l’operazione che viene
fatta è complessa, appesantisce il pc e genera anche un file molto pesante. Invece io creo l’hash
cioè l’impronta del documento e poi vado a cristallizzare l’impronta del documento attraverso una
firma e ottengo un risultato perfetto.
Ogni file che andate ad utilizzare ha un suo hash, a prescindere dal sistema della firma. Questo è
importante perché nel momento in cui andate a valutare un documento sotto il profilo dell’hash
siete anche in grado di capire se vi trovate di fronte ad una copia o un duplicato. (questo l’abbiamo
già detto prima)
Facendo un ulteriore passaggio importante.. Nel momento in cui inserite in una rete un file, a quel
file viene associato l’hash. Mi spiego meglio. Se voi scaricate da internet, andate su emule e
scaricate qualcosa dalla rete, quel file nel momento in cui viene messo nella rete peer-to-peer
acquisisce un hash che consente di identificarlo in maniera univoca in un determinato ambiente
digitale.
DOMANDA D’ESAME
-hash e le sue applicazioni
CONTRATTI TELEMATICI
Facciamo una panoramica generale degli aspetti più importanti dei contratti telematici e poi
parliamo del contratto cibernetico.
Qual è la differenza tra contratto telematico e cibernetico?
Quando vado a concludere un contratto cibernetico, dall’altra parte c’è una macchina che mi
risponde; quando vado a concludere un contratto telematico, vado ad interagire non con una
macchina ma con un soggetto, fermo restando che la tecnologia che io utilizzo per andare a
concludere quello specifico contratto è una tecnologia informatica.
I contratti telematici come possono essere?
E soprattutto cosa posso avere ad oggetto? Beni o servizi.
Quando si parla di contratto telematico è difficile non fare un accenno anche all’e-commerce cioè
il commercio elettronico che può essere:
B2B -› Business-to-Business
B2C -› Business-to-Consumer
C2C -› Consumer-to-Consumer
Quando utilizziamo questi acronimi stiamo andando ad individuare chi sono i soggetti che vengono
ad essere in relazione tra di loro.
B2C -› un professionista e un consumatore ad esempio Amazon
B2B -› due professionisti
C2C -› due consumatori ad esempio subito.it
Drop shipping
È un meccanismo che si basa sulla triangolazione e consente di risparmiare tantissimi costi in
attività di magazzino.
Esempio. La triangolazione viene utilizzata tra emilio (soggetto che ha un sito di e-commerce),
vittorio (produttore di lampade) e giovanni (consumatore finale).
Emilio sulla vetrina del suo sito propone in vendita a giovanni delle lampade. A giovanni piacciono
e decide di acquistarne una. Nel momento in cui parte l’ordine, io quelle lampade non le ho a terra
in magazzino, questo significa che non ho dovuto effettuare un’anticipazione di denaro per
acquistare quelle lampade da vittorio né ho dovuto impegnare un magazzino e quindi disporre di
un locale. Nel momento in cui ricevo l’ordine da giovanni, automaticamente triangolerò l’ordine su
vittorio e la cosa più ‘figa’ è che quel bene non lo spedirò io a giovanni, io riceverò il denaro da
giovanni, ma quel bene a giovanni lo spedirà direttamente vittorio come se quel bene fosse spedito
da me.
C’è una triangolazione perfettamente lecita che mi consente di abbattere costi di magazzino e
anticipazioni economiche. Il gioco si regge sulla mia bravura di contrattare con vittorio e riuscire a
strappargli dei prezzi che mi consentono di lucrare sulla differenza tra quanto dovrò riconoscere a
vittorio e quanto giovanni mi pagherà.
Quando voi all’università andate ai distributori automatici e comprate il caffè, cosa state facendo?
State concludendo un contratto, modello: offerta al pubblico.
Questo ve lo dico perché il distributore è il primo esempio di quelli che oggi vengono chiamati
smart contract (contratti intelligenti) che non sono modalità di conclusione del contratto, con lo
smart contract il contratto deve essere già stato concluso o con la modalità telematica o con la
modalità tradizionale. Lo smart contract è un modo di esecuzione automatica del contratto, io
utilizzo lo smart contract per eseguire automaticamente un contratto.
Esempio stipulo un contratto di noleggio per una moto con fabiana, fabiana mi noleggia la moto e
io mi impegno a pagare ogni mese x euro.
Nel modello tradizionale che accade se non la pago? Si innesta il meccanismo necessario alla
riscossione delle somme ecc.
Se a questo modello vado a legare il modello dello smart contract, automaticamente, essendo
legato a determinate condizioni impostate nel momento in cui andiamo a stipulare il contratto,
quando non pagherò più fabiana la moto non partirà più, quindi esecuzione automatica del
contratto, in assenza della prestazione non c’è più la controprestazione.
Altro esempio di smart contract. Prenoto un biglietto aereo, pago, mi imbarco, arrivo con 3 ore di
ritardo a destinazione o viene cancellato il volo. Se applico al contratto uno smart contract,
automaticamente, attraverso la verifica da un soggetto esterno (che si chiama oracolo) del fatto
che l’aereo è arrivato in ritardo o che non è proprio partito, anche attraverso strumenti di
assicurazione (quindi vedete quanti soggetti entrano in un determinato rapporto), il consumatore
potrà essere ristorato in automatico senza dover dar corso a tutta una serie di azioni giudiziali,
richieste ecc.
Quindi vedete che c’è una semplificazione tecnologica estrema in determinati rapporti che devono
essere, però, rapporti basati su variabili che possono diventare degli algoritmi, perché se io devo
andare a considerare delle variabili che non posso ridurre ad una formula matematica e quindi ad
un algoritmo, dovrò necessariamente procedere secondo i criteri standard.
Invito ad offrire
Qui c’è un ribaltamento. Quando si conclude un contratto? Quando chi ha fatto la proposta è a
conoscenza dell’accettazione dell’altra parte (1326).
Immaginate un meccanismo di invito ad offrire. Esempio. Se andate su ebay voi siete invitati ad
offrire qualcosa (lì c’è un meccanismo dell’asta che ha un funzionamento diverso ma immaginate
questo meccanismo) io metto in vendita la penna ma non fornisco tutti gli elementi necessari per
concludere il contratto, non dico qual è il prezzo (altrimenti avrei formulato l’offerta al pubblico) e
invito ad offrire tutti voi. Fabiana mi offre 50 centesimi, lory 1 euro. Quindi c’è un ribaltamento: io
faccio l’invito ad offrire ma il proponente nel rapporto chi è? Lory! Che dovrà avere la mia
accettazione.
Questo è un meccanismo importante che è stato previsto dal d.lgs 70/2003, l’art 13 (se non erro)
che fa riferimento ad una ricevuta. Ora, si è interrogata la dottrina sul ruolo di quella ricevuta che
deve essere rilasciata a seguito della conclusione di una transazione automatica che è più o meno
quella ricevuta che vi arriva nella mail quando concludete una determinata transazione su internet.
Ora, si è interrogata la dottrina, quella ricevuta equivale a determinare il momento conclusivo del
contratto o è semplicemente un obbligo post negoziale?
CONTRATTO CIBERNETICO
Il contratto cibernetico è quello dove, non solo gli strumenti digitali costituiscono il mezzo
attraverso cui viene trasmessa la volontà contrattuale, ma una delle due parti è costituita da un
software. Questa circostanza ha portato una serie di dubbi in dottrina principalmente con riguardo
a due profili.
Il primo è: come può una macchina, un sistema non umano, rappresentare una volontà? Cioè,
com’è possibile che uno strumento tecnologico abbia una propria volontà, come si forma la volontà
del contraente rappresentato dallo strumento digitale nell’ambito di quel contratto? La risposta è
semplice. Dal punto di vista pratico c’è un programmatore che programma quel determinato
software a stipulare un contratto a determinate condizioni. Cioè sarà un programmatore che
elaborerà un programma al quale verrà detto la merce x devi venderla a 50 euro, in quel caso devi
stipulare il contratto altrimenti no.
Il contratto è annullabile se una delle parti era legalmente incapace di contrarre e quando ricorrono
le condizioni stabilite dall’art 428 contratto stipulato da persona incapace di intendere e di volere.
Questa è la disciplina generale. A noi interessa nello specifico (anche in relazione al trattamento
dei dati personali del minore, il minore che fornisce dati falsi..) il 1426 CC.
1426 – raggiri usati dal minore
Il contratto non è annullabile se il minore ha, con raggiri, occultato la sua minore età, ma la
semplice dichiarazione da lui fatta di essere maggiorenne non è di ostacolo all’impugnazione del
contratto.
Questa previsione normativa è molto importante perché è su questo che poi si regge la possibilità
di impugnare un eventuale contratto che il minore ha concluso su internet. Mio figlio ha acquistato
su internet beni per 1000 euro utilizzando la mia carta di credito. In quel caso ci sono alte
probabilità che il contratto non sia annullabile perché il minore ha, con raggiri, occultato la sua
minore età. Se io nascondo la mia minore età, dico che sono maggiorenne, utilizzo una carta di
credito di mio padre, ho raggirato il sistema perché ho ricondotto la disponibilità di una carta di
credito al fatto che sono un soggetto maggiorenne. In quel caso non si può procedere
all’annullabilità del contratto, il contratto sarà valido e dell’obbligazione che ne discende
risponderanno i genitori del minore.
Ipotesi facebook. Laddove si volesse impugnare il contratto stipulato con la piattaforma.. secondo
voi si potrebbe o no impugnare? Fino a quando facebook non si allineerà anche alle previsioni
tecnologiche che sono state previste dal regolamento privacy del 2016, diciamo che
tendenzialmente è possibile perché dice la norma ‘la semplice dichiarazione da lui fatta di essere
maggiorenne non è di ostacolo all’impugnazione del contratto’. Se al minore viene chiesto solo
nome ed età e lui dichiara un’età diversa da quella reale, è una semplice dichiarazione che gli
viene chiesta, non ci sono ulteriori livelli di controllo e questo determinerebbe la possibilità di
invocare l’annullabilità del contratto.
Clausole
Se le clausole in un contratto sono vessatorie che succede?
Articoli di riferimento nel CC: 1341 e 1342
Art. 1341. (Condizioni generali di contratto).
Le condizioni generali di contratto predisposte da uno dei contraenti sono efficaci nei confronti
dell'altro, se al momento della conclusione del contratto questi le ha conosciute o avrebbe
dovuto conoscerle usando l'ordinaria diligenza. -› Conoscenza delle condizioni contrattuali.
Nel momento in cui la transazione avviene online le condizioni del contratto mi devono essere
messe a disposizione e devo essere anche in grado di leggere perché se accetto tutto poi devo
stare zitto perché ho accettato delle condizioni contrattuali che probabilmente sono anche inique.
DOMANDE D’ESAME
-conclusione contratto telematico
-conclusione contratto con point and click
-offerta al pubblico
-ricevuta art 13
-contratto cibernetico a qualche schema contrattuale può essere ricondotto?
-differenza contratto cibernetico e telematico
Lez 8
Documentazione.
Voi avreste dovuto fare un esercizio sulla banca dati del foro italiano. Prendiamo questo foro di
riferimento perché è una delle riviste giuridiche più antiche che esiste in Italia. Soprattutto è
costruita su una logica ripresa anche da documenti ufficiali. In primo luogo dobbiamo imparare a
distinguere le pubblicazioni, perché quando parliamo di foro italiano noi abbiamo il “Foro italiano”,
rivista giuridica, e poi il “Repertorio del foro italiano” che invece è una raccolta di bibliografia,
legislazione e giurisprudenza. Ci soffermeremo ora su questi tre concetti. La cosa fondamentale è
che la banca dati, con cui vi sareste dovuti esercitare, è una versione demo del foro italiano,
rispetto alla versione full, consultabile in biblioteca, che vi consente di effettuare delle ricerche.. (si
interrompe).
La banca dati del foro italiano è importante perché raccoglie legislazione, bibliografia e
giurisprudenza, ma non dovete confonderla con la rivista. Quando parliamo di legislazione,
bibliografia e giurisprudenza, a cosa facciamo riferimento, calandola nel contesto del foro italiano?
La legislazione contiene articoli e titoli di legge. La bibliografia contiene titoli di dottrina e di note
a sentenze. La giurisprudenza contiene massime… chiaramente calando queste categorie
nell’ambito del foro italiano. Ma qual è la particolarità? Che la legislazione, la bibliografia e la
giurisprudenza sono classificate al di sotto di voci aperte di riferimento, quindi ogni voce aperta,
ogni annata, che viene presa e considerata nel repertorio del foro italiano, raccoglie e classifica
legislazione, bibliografia e giurisprudenza. Si procede andando a riportare tutta la documentazione
sotto delle voci aperte di riferimento. Nel repertorio del foro italiano esistono due tipologie di voci:
aperte e chiuse.
Le aperte sono tali proprio perché contengono legislazione, bibliografia e giurisprudenza.
Le chiuse invece sono chiuse e rinviano ad altre voci aperte, quindi sono mere voci di rinvio ad
altre voci aperte.
Es. Nel foro italiano esiste una voce aperta che si chiama ‘Informatica giuridica, diritto
dell’informatica e telematica’. Secondo voi in questa voce aperta cosa ci sarà?
Ci sarà tutta la legislazione, bibliografia e giurisprudenza relative a quel determinato argomento,
raccolte nel corso di un anno. Quindi nel corso di un anno la redazione del foro italiano raccoglie
tutto ciò che viene pubblicato dalle riviste giuridiche italiane, tutte le più importanti sentenze della
Corte di cassazione, tutti i più importanti provvedimenti dei giudici di merito, li classifica e li riporta
al di sotto delle voci aperte di riferimento.
Se io vi assegnassi una tesi sul contratto telematico, potreste andare nel repertorio del foro italiano
e fare una ricerca sul contratto telematico -> ricerca relativa non soltanto alla legislazione che
disciplina il contratto telematico, ma relativa a tutti i provvedimenti che in un anno (e nella rivista
avete la possibilità di analizzare non solo un anno, ma un arco temporale molto ampio) sono stati
presi. La particolarità è che sul repertorio voi potete reperire sia provvedimenti che riguardano il
tema generico dell’informatica giuridica, ma nello specifico, utilizzando un indice analitico, potrete
reperire specifici provvedimenti che hanno ad oggetto questioni determinate e individuate
nell’indice analitico. Quindi è molto penetrante la possibilità di ricerca.
Il bravo giurista è in grado di restringere la ricerca. Quanto più riesco a restringerla tanto più riesco
ad eliminare i rumors. Es. quando voi andate su Google e fate la famosa ricerca ‘dove colgo,
Reati informatici.
Ci soffermiamo in particolare sul concetto di giurisdizione e competenza nel cyberspazio.
Internet si caratterizza per la sua aspazialità, superando la tradizionale territorialità degli
ordinamenti giuridici. Tale territorialità serve ad individuare lo spazio su cui gli stessi ordinamenti
esercitano la loro sovranità esclusiva, sfruttando anche previsioni collegate alla natura del reato, al
soggetto attivo e al soggetto passivo di questo reato.
Cosa determina il carattere sovranazionale della rete? Qual è il rischio? È che ci si possa dover
confrontare con un accavallamento di giurisdizioni differenti. C’è questo rischio perché se
internet si caratterizza per la sua aspazialità, è ovvio che ci può essere un accavallamento di
giurisdizioni se io in Italia commetto un reato telematico, che colpisce un soggetto che si trova
negli Stati Uniti. Quale dei due paesi mi punisce? Potrebbe esserci un accavallamento perché mi
vogliono punire entrambi. Ci sono delle regole giuridiche per capire quale strada seguire.
Dobbiamo prendere in considerazione l’art.22 della Convenzione di Budapest del 23 novembre
2011. Questa è stata recepita in Italia con la legge 48 del 2008. Questa legge ha modificato il
concetto di ‘documento informatico’ previsto dal codice penale, slegando il concetto di ‘documento
informatico’ dal concetto di ‘supporto’.
La convezione di Budapest è quella con cui si è provato a introdurre una disciplina unitaria per
determinate fattispecie relative al cyber crime. É emersa nel contesto internazionale, la rilevanza
internazionale del cyber crime, e quindi la necessità di trovare una disciplina unitaria. Il legislatore
italiano, in accoglimento di una raccomandazione del Consiglio d’Europa, ha elaborato già nel ’93
una disciplina penale per gli illeciti informatici. Questa disciplina del ‘93 è stata inadeguata perchè
aveva una visione territoriale. Il Consiglio d’Europa, consapevole della rilevanza transnazionale
della criminalità informatica e della conseguente necessità di adottare un processo di integrazione
di diversi ordinamenti, ha varato nel 2001 la Convenzione di Budapest sulla criminalità informatica.
Questa Convenzione è stata ratificata dall’Italia nel 2008.
Art.22 comma 1:
“1.Ogni Parte deve adottare le misure legislative e di altra natura che dovessero essere
necessarie per stabilire la propria competenza per tutti i reati previsti in conformità agli articoli da 2
a 11 della presente Convenzione, quando i reati siano commessi:
a. nel proprio territorio;
b. a bordo di una nave battente bandiera della Parte;
c. a bordo di un aeromobile immatricolato presso quella Parte;
d. da un proprio cittadino, se l’infrazione è penalmente punibile la dove è stata commessa o se
l’infrazione non rientra nella competenza territoriale di alcuno Stato.
Comma 4: “La presente Convenzione non esclude alcuna competenza penale esercitata dalle
Parti in base al loro diritto interno.”
-> quindi la Convenzione ha applicato ancora una volta il criterio della territorialità, o in
alternativa, il criterio della personalità attiva, cioè infrazione commessa da un proprio cittadino,
Su questo c’è una precisazione da fare: io ritengo, a differenza di quanto hanno sostenuto altri
autori, che il principio di cooperazione, anche se non è stato recepito direttamente dalla legge 48
del 2008, può trovare applicazione nel nostro ordinamento, in coerenza con la previsione
dell’art.696 del C.P.P, secondo cui le norme convenzionali in vigore sono soggette a diretta
applicazione. Cosa significa? Ci sono stati professori che hanno ritenuto tale Convenzione inutile,
non risolutiva, perché non in grado di risolvere l’ipotesi in cui si accavallano delle giurisdizioni. E a
chi ha proposto il 22.5 come strumento risolutivo loro hanno risposto che non può essere tale per
l’Italia, perché in fase di recepimento della Convenzione di Budapest la legge 48 del 2008 non ha
recepito anche il 22.5.
Io ed altri giuristi, migliori di me, riteniamo che in realtà si possa applicare il 22.5. L’elemento su cui
basiamo questa applicazione, anche se non è stato direttamente recepito, è l’applicazione del 696
C.P.P., secondo cui le norme convenzionali sono soggette a diretta applicazione, cioè non
necessitano di un recepimento.
Soffermiamoci ora su un altro importante tema, quello della ‘competenza funzionale’. L’art. di
riferimento è il 51 C.P.P. È stato modificato con l’aggiunta del comma 3 quinques, introdotto dalla
legge48 del 2008. Si parla di competenza funzionale del p.m., con l’obiettivo di facilitare il
coordinamento delle indagini e la formazione di gruppi di lavoro specializzati.
Occorre però fare una precisazione -> individuare la distinzione tra ‘reati informatici’ e ‘reati
eventualmente informatici’. I reati ‘eventualmente informatici’ sono quelli che si caratterizzano
per essere realizzati anche attraverso strumenti informatici o telematici. Invece, i reati
‘informatici’ sono quelli che hanno un oggetto tecnologico, informatico.
Es. di reato eventualmente informatico: la pornografia minorile. Quando questa viene sul web si
chiama ‘pedopornografia online’. O ancora, gli atti persecutori, lo stalking. Esiste lo stalking
tradizionale e quello che avete imparato a conoscere come ‘cyber stalking’. Anche la violazione del
diritto d’autore è un reato eventualmente informatico.
Sappiamo che stanno chiudendo i canali di telegram dove vengono diffusi i quotidiani illegalmente,
in violazione della legge sul diritto d’autore. In questa circostanza è evidente che stiamo parlando
di reati ‘eventualmente informatici’.
Questa premessa con cui abbiamo distinto i due tipi di reato era importante ai fini della
competenza funzionale, perché la competenza funzionale (art.51 C.P.P. , con il comma 3
quinques) è relativa esclusivamente ai reati informatici, e non anche a quelli eventualmente
informatici.
È stato previsto che presso la procura distrettuale sia creato un apposito team di magistrati che
devono conoscere le fattispecie di reato informatico.
Se io a Caserta sono vittima di un accesso abusivo al sistema informatico, sarà competente a
svolgere l’attività di indagine e quindi esercitare l’azione penale, la procura della Repubblica
presso il Tribunale di SMCV, la procura della Repubblica presso il tribunale di Salerno, la procura
della Repubblica presso il Tribunale di Napoli??
Trattandosi di un reato informatico, la competenza spetterà alla procura distrettuale e quindi alla
procura di Napoli.
Se io compio una frode informatica chi è competente, la procura di SMCV o la procura
distrettuale? Siccome la frode informatica è un reato informatico, sarà competente la procura
distrettuale.
Attenzione: se io compio una truffa online, utilizzo la carta postepay di Vittorio per raggirare
qualcuno, chi sarà competente, la procura distrettuale o la procura di SMCV? La procura di SMCV
perché la truffa è un reato eventualmente informatico. Se io pongo in essere gli artifizi e i raggiri
online, sto ponendo in essere una truffa online, sto compiendo un reato eventualmente informatico,
e la competenza spetterà al giudice naturale -> la procura competente sarà quella del Tribunale di
SMCV.
In passato ci si è posti il problema di persone che alteravano dei dati di un database determinando
situazioni tali da evitare la partenza per il servizio militare.
Andiamo avanti e andiamo a vedere cosa ci dice l’Art. 416 del codice penale e perché può
diventare importante per noi. Il 416 cp è rubricato “Violazione, sottrazione e soppressione di
corrispondenza”, disponendo che “Chiunque prende cognizione del contenuto di una
corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da
altri prender cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in
parte, la distrugge o sopprime, è punito, se il fatto non è preveduto come reato da altra
disposizione di legge, con la reclusione fino a un anno o con la multa da euro 30 a euro 516”
Ora, secondo voi, perché vi sto evidenziando questa fattispecie? Tenendo in considerazione il
contenuto dell’articolo appena letto, in primo luogo bisogna dire che la legge 547/93, che forse a
voi non dice niente in questo momento, ma di cui abbiamo parlato la scorsa volta scorsa che è il
primo provvedimento con cui si è intervenuto nel codice penale nel riconoscere la rilevanza delle
condotte relative ai reati informatici. Questa legge ha modificato il comma 4 dell’articolo 616,
allargando per tutti i delitti contro l’inviolabilità dei segreti, la nozione di corrispondenza che non
comprende solo quella epistolare e telegrafica, ma comprende anche quella informatica e
telematica. L’ampliamento del concetto di corrispondenza ci consente di ragionare su un
fenomeno molto diffuso, e cioè affermare che i messaggi che circolano tramite le nuove forme di
comunicazione si devono presumere riservati e confidenziali, anche quando condivise in un
gruppo di persone. Sto pensando, ad esempio, ai messaggi che vengono inviati in una mailing list
o in gruppi WhatsApp: in assenza del consenso dell’autore e del destinatario della corrispondenza
non potrà mai essere portato ai soggetti terzi, al di fuori dei casi previsti dalla legge,
significando che se io scrivo a Vittorio e prende il messaggio che io gli scrivo, fa uno screenshot e
lo manda a Giovanni, questa condotta può integrare il reato di cui stiamo parlando. Sul punto è
interessante una sentenza che è citata nel vostro testo del 2018 secondo cui, appunto, la
Cassazione ha ribadito che l’esigenza di riservatezza delle comunicazioni si impone, leggo
testualmente, anche riguardo ai messaggi di posta elettronica scambiati tramite mailing list,
riservati agli appartenenti ad un determinato gruppo di persone, alle news group o alle chat
private, con accesso condizionato al possesso di una password in possesso di soggetti
determinati; tali messaggi, infatti… Attenzione ragazzi, questo è importante, ritorniamoci.
E’ importante perché lo dobbiamo ricollegare ad un altro strumento tecnologico molto diffuso: dice
la Cassazione, che questa tutela della riservatezza e della segretezza della comunicazione si
impone anche riguardo ai messaggi di posta elettronica … Quindi, se io vi dico “Ma quello che
scrivo su un canale Telegram, lo posso pubblicare? O vado ad incorrere nella possibile
Detto questo, mi farebbe piacere parlare del reato di pedopornografia o pornografia minorile; la
pornografia in quanto tale non è reato, quindi ognuno è libero secondo i suoi gusti e la sua
coscienza di accedere o meno a contenuti pornografici; i contenuti, invece, perdopornografici sono
quelli che hanno ad oggetto atti sessuali in cui sono protagonisti i minori; la norma di riferimento è
il 600ter del codice penale; nello specifico, la pedopornografia online si trova all’interno dell’Art.
600ter del codice penale, rubricato come “Pornografia minorile”, disponendo che:
“È punito con la reclusione da sei a dodici anni e con la multa da euro 24.000 a euro 240.000
chiunque:
1) utilizzando minori di anni diciotto, realizza esibizioni o spettacoli pornografici ovvero produce
materiale pornografico;
2) recluta o induce minori di anni diciotto a partecipare a esibizioni o spettacoli pornografici ovvero
dai suddetti spettacoli trae altrimenti profitto”
Secondo voi questa condotta può diventare un reato eventualmente informatico? Assolutamente
si. Lo spettacolo lo posso produrre o lo posso registrare; la condotta tipica per andare a
configurare quel reato è individuabile o nella produzione oppure nell’utilizzo di minori di anni 18 per
realizzare esibizioni o spettacoli pornografici ovvero produrre materiali; quindi la differenza è:
un’esibizione dal vivo o registrata che poi può essere utilizzata in futuro.
Al punto 2) del comma 1 c’è la punizione all’induzione alla partecipazione a queste determinate
attività.
Al comma 2 “Alla stessa pena soggiace chi fa commercio del materiale pornografico di cui al primo
comma”, quindi se Vittorio non lo produce questo materiale, ma lo vende è comunque soggetto
alla medesima sanzione.
Il comma 3 ci dice che “Chiunque, al di fuori delle ipotesi di cui al primo e al secondo comma, con
qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale
pornografico di cui al primo comma, ovvero distribuisce o divulga notizie o informazioni finalizzate
all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto, è punito con la
reclusione da uno a cinque anni e con la multa da euro 2.582 a euro 51.645.” (da questo comma si
comincia ad arrivare al concetto di pedopornografia minorile). La condotta tipica è la
distribuzione, divulgazione, diffusione, la pubblicizzazione di materiale pedopornografico. In
questa condotta, in realtà, ci si può incappare molto facilmente: un sacco di persone sono
incappate, pur non essendo pedofili, nella difesa contro questo odioso reato.
Se conoscete il sistema di file sharing è molto diffusa la possibilità di confrontarsi con il fenomeno
del FAKE, cioè io sono convinto di scaricare un determinato contenuto, ma dopo averlo scaricato
mi trovo dinanzi ad un contenuto diverso. Quanti di voi, violando le disposizioni in materia di diritto
di autore, hanno provato a scaricare un film e poi si sono trovati un film pornografico? Tantissime.
Però diciamo che questa determinata fattispecie non genera un problema dal punto di vista
penalistico sul contenuto del film, lo genera perché ho provato a violare il diritto di autore ..
Stavamo dicendo…: allora, fino a quando vi trovate dinanzi ad un film pornografico, non andate ad
impattare con la norma che punisce la pedopornografia. Ma immaginate cosa accade nel momento
in cui quel contenuto che voi involontariamente avete scaricato perché cercavate altro sul web, ha
un contenuto pedopornografico: la condotta può essere contestata ex Art. 600ter cp; questi
sistemi di file sharing sono preimpostati sul meccanismo della condivisione del file tra utenti,
quindi nel momento in cui si va a gestire un sistema che di default è misto significa che nel
Il 600quater che si va poi adesso a collegare tra due fattispecie differenti, dal momento che il
600quater punisce la detenzione di “materiale pornografico”, ovviamente anche se la rubrica
tradisce, dicendo “materiale pornografico”, bisogna fare riferimento a materiale
pedopornografico, dice l’articolo : “Chiunque, al di fuori delle ipotesi previste nell'articolo 600ter,
consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli
anni diciotto è punito con la reclusione fino a tre anni o con la multa non inferiore a euro 1.549.” –
si badi bene, la norma dice “si procura o si tiene”, questa fattispecie è molto importante
sottolinearla dal momento che posso non scaricare materiale pedopornografico dal web, ma
detenere su un hard disk materiale relativo a minori. Non so se vi ricordate il caso di Chiara
Poggi, non solo per gli errori compiuti nell’investigazione informatica, ma anche perché all’esito
delle indagini fu anche contestato il reato di detenzione di materiale pedopornografico.
Questo, però, è solo un aspetto, ma vi mostrerò come questo reato diventa ancora più pericolo e
soprattutto quante persone possono trovarsi contestate questo reato, perché non hanno la
consapevolezza dell’utilizzo che fanno di questa tecnologia: immaginate i minorenni, voi sapete
che è molto diffuso il fenomeno del sexting che consiste in messaggi che hanno ad oggetto dei
“selfie” a carattere sessualmente esplicito, es. fidanzato e fidanzata che si scambiano immagini
sessualmente esplicite. Questo fenomeno assume il nome di “sexting”; laddove avviene tra
Ora parliamo del 612bis del codice penale, si parla di “atti persecutori”, ma molto più spesso si
sente parlare di “stalking”, mentre gli atti persecutori compiuti tramite strumenti informatici
vengono individuati come “cyberstalking”. Il 612bis può essere messo molto in relazione con la
Legge 17/2017 in materia di cyberbullismo, perché anche in questo caso vi è una condotta che in
un certo qual modo diviene una condotta persecutoria nei confronti d un minori. Andiamo ad
analizzare nello specifico che il 612bis che dispone: “Salvo che il fatto costituisca più grave reato,
è punito con la reclusione da un anno a sei anni e sei mesi chiunque, con condotte reiterate,
minaccia o molesta taluno in modo da cagionare un perdurante e grave stato di ansia o di paura
ovvero da ingenerare un fondato timore per l'incolumità propria o di un prossimo congiunto o di
persona al medesimo legata da relazione affettiva ovvero da costringere lo stesso ad alterare le
proprie abitudini di vita”: allora, l’autore del reato può essere chiunque ponga in essere queste
specifiche condotte, con l’aggravante qualora venga utilizzato lo strumento telematico –
informatico, o viene posta in essere da un soggetto che ha un particolare vincolo con la
persona che viene perseguita. Una cosa su cui mi fa piacere soffermarmi: “La pena è aumentata
se il fatto è commesso dal coniuge, anche separato o divorziato, o da persona che è o è stata
CAPTATORE INFORMATICO
Premessa
Nella fase delle indagini preliminari vi è il bilanciamento tra due interessi:
-da un lato rendere effettivo il potere investigativo del pubblico ministero
-dall’altro salvaguardare i diritti fondamentali dei cittadini rispetto al potere investigativo
dell'accusa.
Con il dato digitale si ha un’infinita disponibilità di elementi che possono essere potenzialmente utili
per le indagini ma, al tempo stesso, c'è una grande difficoltà di accedervi sia per ragioni legate alla
giurisdizione (ad esempio molti dei servizi di posta elettronica o di messaggistica istantanea più
utilizzati non hanno sede in Italia e quindi è complesso per l'accusa ottenere il dato digitale perché
spesso la procedura non è compatibile con i tempi di indagine) sia per la possibilità dell'indagato di
cifrare i propri dati o di rendersi anonimo in rete.
Il paradosso di avere un’infinita disponibilità di potenziali prove digitali non accessibile all’autorità
giudiziaria, ha spinto alcuni PM italiani ad utilizzare il captatore informatico che costituisce uno
strumento di indagine tanto efficace quanto invasivo per i destinatari dell'indagine penale.
Definizione del captatore informatico
Il captatore informatico è un particolare tipo di software in grado di controllare da remoto ogni tipo
di device (computer, tablet, smartphone). L'operazione avviene attraverso l'installazione di un
trojan (una particolare tipologia di malware) nel dispositivo del soggetto indagato.
Il malware può essere inoculato:
-fisicamente attraverso l'inserimento di un supporto removibile ad esempio una pen drive USB,
questa installazione è più economica ed efficace ma non è praticabile qualora non si conosca il
luogo dove si trova il device, tuttavia permette maggiore accuratezza nella scelta del bersaglio
evitando il rischio di attaccare altri device eventualmente connessi in rete;
-virtualmente attraverso l'invio telematico del codice infetto ad esempio attraverso un download di
file presenti negli allegati di una e-mail o all'interno di un presunto aggiornamento di un software.
Una volta attivato, il trojan infetta il device rimanendo nascosto. Inizia quindi la seconda fase,
quella del software spia .
[il captatore è un software che consente di prendere il controllo di un dispositivo elettronico, si
divide in una parte che è un trojan cioè un cavallo di troia che penetra nel software e una seconda
parte che è lo spyware cioè un software spia che fa la spia dei dati del dispositivo]
Il device infettato invia al server, che ora lo controlla da remoto, schermate, chat, email ,contatti,
elenco delle chiamate, registrazioni ambientali attraverso l'attivazione del microfono o della
telecamera integrata, può ottenere le credenziali di accesso alle caselle di posta elettronica e
social network , può installare software che permettono di monitorare ogni attività dell'utente
compresi i singoli tasti digitati sulla tastiera o attivare la funzione di localizzazione GPS del
dispositivo.
Le modalità con le quali avvengono le operazioni di intercettazione attiva non prevedono, di solito,
un'attivazione permanente e continuativa perché determinerebbe un esaurimento della batteria del
telefono monitorato e un consumo di traffico dati e ciò aumenta la possibilità di disvelare l'attività di
indagine.
La sicurezza deve essere garantita anche sul versante della riservatezza e dell’integrità dei dati
captati, per cui il sistema informatico deve essere predisposto in modo da prevenire indebite
intrusioni durante le attività acquisitive e quindi garantire che gli strumenti di comando del
captatore siano accessibili esclusivamente agli operatori autorizzati.
La perplessità principale è data dalla locuzione ‘dispositivo elettronico portatile’ che si presta ad
ambigue interpretazioni e chiude le porte a qualsiasi tipo di attività captativa su dispositivi che
portatili non sono.
Hacking team è una società italiana che si occupa di sicurezza informatica la cui attività principale
è la commercializzazione del software RCS galileo che è in grado di infettare ogni tipo di device
attraverso un trojan.
Un giorno ha pubblicato il codice sorgente (cioè è come se avesse pubblicato un prodotto nudo
senza protezioni su internet) dicendo che loro non avevo nulla da nascondere che è stato scaricato
dai cybe criminali di tutto il mondo per utilizzi illeciti.
Cos'è successo? Questo codice essendo libero su internet, l’hanno preso parecchie persone ed
era un codice con il quale si poteva entrare in qualsiasi dispositivo elettronico e prenderne il
controllo. Questo era il problema. Quel software si chiama RCS galileo e controlla tutti i dispositivi
elettronici. Quali sono le conclusioni?
Le prove digitali si caratterizzano per la loro immaterialità, per meglio dire si caratterizzano per
una materialità diversa, necessitando queste di elementi fisici su cui essere impressi.
L’evidenza digitale, per sua natura, è soggetta a volatilità e modificabilità, è necessario, quindi,
garantirne l’autenticità con specifiche procedure nel rispetto degli obblighi di legge.
La L. 48/2008 ha modificato il codice di procedura penale adeguandolo alle esigenze della prova
informatica. In linea di massima, la prova nel processo penale è informata dal principio del
contraddittorio tra le parti ex. Art. 111 della Cost. ; il codice di procedura penale all’art. 187
comma 1 stabilisce che possono essere oggetto di prova tutti i fatti che si riferiscono
all’imputazione, alla punibilità ed alla determinazione della pena o della misura di sicurezza,
inoltre il Giudice, quando è richiesto, può anche assumere prove atipiche, cioè prove che nono
sono disciplinate dalla legge stessa (Art. 189 cpp), se idonee ad accertare i fatti senza
pregiudicare la libertà morale della persona.
Il processo penale è basato sul principio dispositivo, è onere delle parti chiedere l’ammissione
della prova, nonostante vi siano delle eccezioni sulla base delle quali la prova viene assunta di
ufficio. Il mancato rispetto delle norme in tema di acquisizione delle prove ha come conseguenza la
sanzione dell’inutilizzabilità, rilevabile d’ufficio in ogni stato e grado del procedimento. Il giudice
valuterà gli elementi probatori sulla base del suo libero convincimento, dando conto del suo
ragionamento ermeneutico all’interno della motivazione, ove esplicherà i risultati raggiunti ed i
criteri adottati (Art. 192 cpp).
Ebbene, avendo chiarito che nel processo penale ha valore tanto la prova tipica che quella
atipica, in questa sede assuma particolare rilevanza la prova documentale, nel cui novero rientra
il documento informatico. Ai sensi dell’Art. 234 comma 1 cpp, “[…] è consentita l’acquisizione di
scritti o di altri documenti che rappresentano fatti, persone o cose mediante la fotografia, la
cinematografia, la fonografia o qualsiasi altro mezzo […]”
Su questo punto, la giurisprudenza di legittimità afferma che i dati contenuti nel computer “[…]
costituiscono prova documentale ai sensi dell’articolo 234 cpp, comma 1, trattandosi della
rappresentazione di cose, termine cui deve attribuirsi la più ampia estensione, effettuata
mediante mezzi diversi da quelli tradizionali, così come previsto dalla norma”. Il valore della prova
documentale è stato riconosciuto anche ai fotogrammi scaricati da Google Earth in quanto
rappresentativi di fatti, persone o cose (Cass. Pen., sez. III, 48178/2017), nonché ai messaggi
WhatsApp e SMS rinvenuti in un dispositivo sottoposto a sequestro per i quali, secondo la
Cassazione, DEVE ESCLUDERSI l’applicabilità, tanto della disciplina dettata per il sequestro di
corrispondenza, quanto di quella prevista per l’attività di intercettazione. I messaggi presenti su di
un dispositivo non rientrano né nel concetto di corrispondenza che un “flusso di comunicazioni
in corso”; i giudici di legittimità hanno precisato che il valore delle trascrizioni delle conversazioni
di WhatsApp, pur essendo utilizzabili, sono condizionate “all’acquisizione del supporto telematico o
figurativo contenente la menzionata registrazione, svolgendo la relativa trascrizione una funzione
Il Pubblico Ministero dispone dei mezzi di ricerca della prova che sono gli strumenti di indagine
con i quali si acquisiscono elementi idonei a riscostruire e provare i fatti contestati al fine
dell’esercizio dell’azione penale. La l. 48/2008, ratificando la Convenzione di Budapest, ha
apportato significative modifiche alla disciplina delle ispezioni, perquisizioni e sequestri, in modo
tale che questi strumenti possano essere utilizzati anche in relazioni a sistemi informatici o
telematici, pur se protetti da misure di sicurezza, garantendo, però, l’adozione di misure tecniche
idonee ad assicurare la conservazione dei dati informatici originali pertinenti al reato ed
impedire l’alterazione degli stessi.
L’ispezione (Art. 244 cpp) è disposta con decreto motivato per accertare le tracce e gli altri
effetti materiali del reato (attività di osservazione); Secondo l’art. 244 cpp, così come novellato
dalla 48/2008, l’autorità giudiziaria può disporre di rilievi segnaletici, descrittivi o fotografici o
comunque di qualsiasi altra operazione tecnica a, anche in relazione a sistemi informatici o
telematici, adottando le misure idonee alla conservazione dei dati originali e ad impedire
l’alterazione.
La perquisizione (Art. 247 cpp) è disposta, di solito, con decreto motivato del PM che può
eseguirla personalmente o delegarla agli ufficiali di polizia giudiziaria. Nel caso di flagranza o
evasione, la polizia giudiziaria può procedere di sua iniziativa : più specificamente, in relazione
alle modifiche della L. 48/2008, nel caso in cui vi sia fondato motivo di ritenere che nei sistemi
informatici o telematici, anche se protetti da misure di sicurezza, si trovano occultati dati,
informazioni, programmi o tracce pertinenti al reato di qualsiasi tipo che rischiano di essere
cancellati o dispersi, la polizia giudiziaria procede autonomamente alla perquisizione adottando le
misure idonee alla conservazione dei dati originali e ad impedire l’alterazione. Si ricordi che
l’attività di perquisizione autonoma della polizia giudiziaria incide sulle libertà costituzionali ex. Art.
13 Cost., pertanto l’attività deve essere convalidata dal PM entro le 48 ore successive o sarà
priva di valore.
Anche gli accertamenti urgenti della polizia giudiziaria sui luoghi, sulle cose e sulle persone
sono state influenzate dalla regolamentazione prevista dalla L. 48/2008. Sul tema della prova
digitale, se il PM non può intervenire tempestivamente e vi è pericolo di perdita o alterazione
delle tracce del reato, gli ufficiali di polizia giudiziari compiono l’attività di accertamento
necessaria, non solo sullo stato dei luoghi e delle cose, ma, per quanto riguarda dati,
informazioni e ai programmi informatici, adottano i dovuti accertamenti con le misure tecniche
adeguate alla conservazione, all’impedimento dell’alterazione, all’accesso e, se possibile, alla
loro immediata duplicazione su adeguati supporti sulla base di una procedura che assicuri la
conformità della copia all’originale e la sua immodificabilità.
Il sequestro (Art. 253 comma 1 cpp) è disposto sempre con decreto motivato ed il mezzo con il
quale l’autorità giudiziaria acquisisce il corpo del reato o le cose pertinenti ad esso necessarie
per l’accertamento dei fatti. Costituiscono corpo del reato le cose sulle quali o mediante le quali il
reato è stato commesso o ne costituiscono il prodotto, il profitto o il prezzo.
Questa misura può essere eseguita direttamente dall’autorità giudiziaria o dagli ufficiali di polizia
giudiziaria ed, anche in questo caso, la legge 48/2008 ha novellato la disciplina. Infatti, per quanto
riguarda i documenti o le cose sequestrate ex Art. 260 cpp, prevede la possibilità di assicurare le
cose sequestrate anche attraverso strumenti di carattere elettronico o informatico idonei ad
indicare il vincolo imposto ai fini di giustizia. Infatti, l’autorità giudiziaria fa estrarre copia dei
documenti e fa eseguire fotografie o altre riproduzioni delle cose sequestrate che possono
alterarsi o che sono di difficile custodia, le unisce agli atti e fa custodire in cancelleria o
segreteria gli originali dei documenti : quando si tratta di dati, informazioni o di programmi
Avallando l’orientamento della giurisprudenza di legittimità sugli Artt. 254 e 353 cpp saranno
applicabili alla corrispondenza elettronica SOLO quando la stessa si trova conservata presso
il fornitore del servizio anche sulla base dell’Art. 45 comma 2 D.lgs. 82/2005, secondo cui “il
documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al
proprio gestore, e si intende consegnato al destinatario se reso disponibile all’indirizzo elettronico
da questi dichiarato, nella casella di posta elettronica del destinatario messa disposizione dal
gestore”. Se invece l’autorità giudiziaria rinviene su un dispositivo hardware (oggetto di ispezione
o sequestro) messaggi elettronici (es. email, whats app, sms) pertinenti all’indagine , sarà possibile
prendere visione ed estrarne copia. In questo caso, si tratterà di prova documentale, ai sensi
dell’Art. 234 cpp, che potranno essere acquisiti liberamente al pari di qualsiasi altro
documento informatico.
Il sequestro di dati informatici presso fornitori di servizi informatici, disponendo l’autorità
giudiziaria il sequestro dei dati anche di traffico e di ubicazione detenuti dagli stessi fornitori, può
stabilire che la relativa acquisizione avvenga mediante copia su adeguato supporto, con una
procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.
L’autorità giudiziaria ordina contestualmente al fornitore di servizi di conservare e proteggere
adeguatamente i dati originali.
1
L’ISO è l’Organizzazione Internazione per la Normazione che è la più importante organizzazione
internazionale per la definizione di norme tecniche.
Oltre all’acquisizione mirata dei singoli file, è possibile procedere all’acquisizione di una copia
immagine dell’intero supporto di memorizzazione (Es. hard disk, USB…). In questo caso, sarà
necessario realizzare la c.d. “copia forense” utilizzando dispositivi e software specifici in grado di
garantire l’integrità dell’evidenza acquisita : inoltre, per evitare che le attività di indagine sulla
copia forense possano comprometterla, si procede alla doppia copia forense, conservando la
prima con opportune cautele e la seconda sottoposta ad attività di indagine.
Tra gli strumenti adatti a questa operazione, vi è la distribuzione live di “Caine” che permette il
funzionamento di PC senza sistema operativo, ma soprattutto consente di escludere qualsiasi
operazione automatica e/o involontaria di scrittura sulle memorie di massa collegate al PC. Uno
dei formati più appropriati per realizzare la copia forense è l Expert Witness Format (EWF) che
consente di acquisire oltre ai bit presente sui supporti di memoria anche numerose informazioni
utili a validare e certificare l’operazione di copia stessa. I file generati in EWF potranno essere
esaminati con l’ausilio di numerosi tool gratis o a pagamento.
Gli standard internazionali relativi all’acquisizione delle evidenze attribuiscono molta importanza
alla c.d. “catena di custodia”. La catena di custodia è un documento dove vengono riportate
cronologicamente ed analiticamente tutte le operazioni svolte, l’elenco delle evidenze digitali
acquisite, la loro tipologia ed, eventualmente, i passaggi per la loro acquisizione. Nella catena di
custodia può anche essere inserito l’hash dei singoli documenti acquisiti o dell’insieme di essi
unitamente all’indicazione del relativo algoritmo.
La generazione delle “impronte” (hash) costituisce un altro metodo preferito dagli standard
internazionali per la conservazione dei dati originali : il calcolo dell’hash, in ogni caso, viene
generato sulla base del solo contenuto dei documenti informatici prescindendo,
completamente, dai relativi metadati. Sarà sempre necessario, inoltre, indicare la funzione di
calcolo utilizzata per consentire la successiva – eventuale – verifica.
DOMANDE D’ESAME
-competenza e giurisdizione nel cyberspazio
-competenza funzionale
-competenza territoriale
-reati informatici ed eventualmente informatici e come cambia la competenza
-differenza tra truffa e frode informatica
-Accesso abusivo al sistema informatico
-reato di pedopornografia
-detenzione di materiale pornografico
-differenza tra pedopornografia e pedopornografia informatica
-reati informatici in danno del diritto d’autore
-violazione corrispondenza
-prova/acquisizione prova digitale
-mezzi di ricerca della prova
-circolare della guardia di finanza
-captatore in particolare per quali reati può essere inoculato + quali dati
possono essere acquisiti + Nei luoghi di privata dimora?