Docsity Sbobinature Complete Del Corso Di Informatica Del Diritto Testo Di Riferimento Informatica Per Il Giurista

Sbobinature del corso di
INFORMATICA DEL DIRITTO

prof. TUCCI. Testo di
riferimento: informatica per il
giurista. VOTO ESAME 30L
Informatica Giuridica
Università degli Studi della Campania Luigi Vanvitelli
68 pag.
Document shared on www.docsity.com

Downloaded by: valentina-fabbozzi (vale95f@gmail.com)
Sbobinature complete del corso di INFORMATICA DEL DIRITTO comprese le DOMANDE
D’ESAME per ogni argomento.
ARGOMENTI:
•documento informatico
•firme
•copie e duplicati
•trasmissione dei documenti informatici (pec, serc, sercq)
•domicilio digitale
•privacy
•hash
•contratti telematici
•documentazione
•reati informatici
•prove
•captatore
Lez 1
DOCUMENTO INFORMATICO
Il documento informatico è definito oggi dal codice dell’amministrazione digitale (CAD) (d.lgs.
82/2005), art 1, comma 1, lett. P: documento elettronico che contiene la rappresentazione
informatica di atti, fatti o dati giuridicamente rilevanti.
Questo codice va messo in relazione con il regolamento eidas n. 910/2014
(Regolamento europeo per l'identificazione elettronica e servizi fiduciari per le transazioni
elettroniche nel mercato interno) perché il regolamento eidas è un regolamento comunitario
dunque prevale sulla normativa interna› tutto ciò che non è allineato nella norma interna rispetto al
regolamento eidas deve essere disapplicato e dovrà prevalere la normativa europea. Il
regolamento eidas è stato elaborato per disciplinare in maniera unitaria su tutto il territorio
europeo, la materia dell’identificazione elettronica, dei servizi fiduciari per le transazioni
elettroniche nel mercato interno. In sintesi: disciplina l’identità elettronica e i servizi fiduciari
qualificati.
La definizione che vi ho dato di documento informatico risente del regolamento eidas infatti il
codice dell’amministrazione digitale (CAD) è stato aggiornato per renderlo allineato al regolamento
eidas. Nello specifico, nel regolamento eidas non troverete la definizione di documento informatico
ma troverete la definizione di documento elettronico. Ecco perché il nostro legislatore dice che il
documento informatico è un documento elettronico recante atti, fatti o dati giuridicamente rilevanti,
per rapportare la definizione italiana al contesto europeo.
Cerchiamo di capire effettivamente cos’è.
È un documento elettronico che contiene rappresentazione informatica di atti fatti o dati
giuridicamente rilevanti.
Voi i documenti informatici li vedete solo sul vostro computer? No. Il messaggio whatsapp, l’e-mail,
il pdf, la foto, l’excel ecc sono documenti informatici (perché rispondono alla definizione suddetta).
Un file audio è un documento informatico? Si. Infatti, se leggiamo la definizione del regolamento
eidas vediamo che il documento elettronico è qualsiasi contenuto conservato in forma elettronica
in particolare testo o registrazione sonora, visiva o audiovisiva. Quindi è amplissimo il concetto di
documento elettronico e quindi il concetto di documento informatico.
Passiamo al valore giuridico.

Il documento informatico word ha lo stesso valore del PDF? Il documento pdf ha lo stesso valore
del documento pdf che ottenete effettuando una scansione di un documento analogico? Vi ho fatto
esempi di documenti informatici che hanno lo stesso valore giuridico.
NB quello che stiamo dicendo perché lo chiedo sempre all’esame.
Il documento informatico assume un valore giuridico diverso a seconda del modo in cui il
documento è sottoscritto.
Dimentichiamoci per un attimo i documenti informatici e pensiamo al documento cartaceo.
Se su un pezzo di carta scrivete ‘lascio tutti i miei beni al prof tucci’ e non lo firmate, quel
documento ha un valore? No.

Se lo firmate (documento con firma autografa)? Si. Che valenza? Scrittura privata.
Se quel documento lo sottoscrivo davanti ad un notaio? Scrittura privata autenticata.
Se quel documento lo sottoscrive il notaio? Atto pubblico.
Questo è il contesto cartaceo in cui ci muoviamo.
Poi abbiamo un contesto diverso che è quello digitale. Abbiamo detto che il documento informatico
muta valore a seconda della modalità con cui è sottoscritto.
Alla fine di questo corso dovete essere in grado di rispondere a delle domande:
Qual è il valore giuridico del documento informatico non sottoscritto?
Qual è il valore giuridico del documento informatico sottoscritto con una firma elettronica semplice?
Qual è il valore giuridico del documento informatico sottoscritto con una firma elettronica
avanzata?
Qual è il valore giuridico del documento informatico sottoscritto con una firma elettronica
qualificata?
Qual è il valore giuridico del documento informatico sottoscritto con una firma digitale?
Vedete che per capire il valore giuridico del documento dovete conoscere le firme, se non
conoscete le firme non potete capire qual è il valore giuridico del documento.
Nel nostro ordinamento dovete essere bravi a cogliere la dicotomia che c’è tra l’efficacia probatoria
del documento informatico rispetto all’idoneità del documento informatico di soddisfare il requisito
della forma scritta. Che significa dire qual è il valore probatorio di un documento? E cosa significa
dire che il documento informatico è idoneo a soddisfare il requisito della forma scritta? Sono la
stessa cosa?
Partiamo da un concetto fondamentale. Nel nostro ordinamento vige il principio della libertà delle
forme.
Art 1325 CC - indicazione dei requisiti
I requisiti del contratto sono: l’accordo delle parti, la causa, l’oggetto, la forma quando risulta che è
prescritta dalla legge sotto pena di nullità.
La forma non è requisito essenziale del contratto salvo nelle ipotesi in cui sia la legge a richiederla.
Se la forma è richiesta ad substantiam, la mancanza della forma mi determina la nullità del
contratto (nell’ipotesi in cui facciamo riferimento al contratto);
se la forma è richiesta ad probationem, voi potete avere un contratto che è giuridicamente valido
pur in assenza di forma, ma se dovesse nascere una contestazione rispetto a quello specifico atto,
non potreste provarlo con altri mezzi perché è richiesta la forma scritta ad probationem (salvo
eccezioni). Esempio tipico contratto di assicurazione.
Qual è la funzione della firma? L’apposizione della sottoscrizione garantisce provenienza,

paternità e integrità del documento. Quindi, se io utilizzo la firma tradizionale (non quella
elettronica), sto dicendo che quel documento che quel documento l’ho formato io, quindi proviene
da me, e sto dicendo anche che quel documento è integro tant’è vero che .. vi è mai capitato di
sottoscrivere un contratto e la cosa che vi fanno fare è non sottoscrivere solo l’ultima pagina ma
sottoscrivete tutte le pagine del contratto, questo avviene perché con quella sottoscrizione voi state
garantendo l’autenticità di quel contratto che sottoscrivete, la provenienza di quel documento e
l’integrità di quel documento.
Come funzionano le firme? Come si riconoscono (se non la riconosciamo non possiamo
rispondere a quelle domande)? Avete mai visto una firma elettronica?
(NB Se firmate un foglio bianco e la fotografate e la allegate ad una mail non avete firmato -> è un
documento informatico privo di sottoscrizione).
Ripetiamo
Siamo di fronte a degli interrogativi, cioè dobbiamo rispondere a quelle domande: qual è il valore
probatorio del documento informatico e quando il documento informatico soddisfa il requisito della
forma scritta. La risposta dipende dalla modalità con cui il documento informatico viene
sottoscritto. Ci sono 4 tipologie di firme:
•firma elettronica semplice
•firma elettronica avanzata
•firma elettronica qualificata

•firma digitale
Dobbiamo capire le caratteristiche delle firme per capire come muta il valore del documento.
FIRMA ELETTRONICA SEMPLICE (O DEBOLE)

La definizione si trova nel regolamento eidas all’Art 3 n10: la firma elettronica è l’insieme di dati in
forma elettronica acclusi o connessi tramite associazione logica ad altri dati elettronici e utilizzati
dal firmatario per firmare.
Esempio tipico password. Se avete un documento word e lo proteggete con una password,
possiamo dire che quel documento word è stato firmato con una firma elettronica semplice.
La firma elettronica è l’insieme di dati in forma elettronica acclusi o connessi tramite associazione
logica ad altri dati elettronici
Quali sono i dati in forma elettronica? I dati di cui si compone la password che sono connessi ad
altri dati elettronici cioè quelli di cui si compone il documento informatico.
Poi ci deve essere un’associazione logica tra il dato che serve per firmare e i dati che vengono
firmati e utilizzati dal firmatario per firmare.
NB non confondete strumenti di firma e strumenti di identificazione che possono basarsi sulla
stessa tecnologia ma che svolgono una funzione giuridicamente diversa -› se accedete alla vostra
email o al vostro profilo Facebook inserite un nome utente e una password. Quella password è una
firma? Non è una firma, è semplicemente uno strumento di identificazione, vi identifica in un
sistema e questo deriva anche dal fatto che non c’è un collegamento diretto tra quella password e
tutti gli altri dati perché, se ragionassimo a contrario, dovremmo dire che tutti i file che caricate su
Facebook o tutte le e-mail devono essere considerati documenti sottoscritti con una firma
elettronica debole. Falso. Quindi, in alcuni casi la tecnologia viene utilizzata per identificare un
determinato soggetto, in altri casi viene identificata come strumento per firmare elettronicamente
un documento. Esempio se io entro in una banca e per essere identificato uso l’impronta digitale,
quella tecnologia, che è una tecnologia biometrica, viene utilizzata per identificare un determinato
soggetto. Ma quella stessa tecnologia biometrica io la posso utilizzare per firmare, posso usare la
mia impronta digitale per firmare elettronicamente un documento. In quel caso mi troverò nella
seconda tipologia di firma.
FIRMA ELETTRONICA AVANZATA (quella che metti al corriere)

Art 3 n11 regolamento eidas: la firma elettronica avanzata è una firma elettronica che soddisfa i
requisiti di cui all’art26.
In primis è una firma elettronica quindi ha le stesse caratteristiche che abbiamo detto prima (la
firma elettronica è l’insieme di dati in forma elettronica acclusi o connessi tramite associazione
logica ad altri dati elettronici e utilizzati dal firmatario per firmare).
Quando pensate alle firme dovete immaginare le matrioske: la matrioska più grande è la firma
elettronica, la aprite e trovate la firma elettronica avanzata, aprite e trovate la firma elettronica
qualificata, aprite e trovate la firma digitale.
Quindi possiamo dire che le firme elettroniche sono collegate tra di loro in rapporto di species a
genus. Il genus è la firma elettronica, la species è la firma elettronica avanzata che a sua volta ha
una species che è la firma elettronica qualificata che a sua volta ha una species che è la firma
digitale.
Torniamo alla firma elettronica semplice. Se ho un documento word e lo firmo elettronicamente

proteggendolo con una password e lo mando a Teresa, Teresa per aprire il documento ha bisogno
della password. Qualcuno deve dare questa password a teresa, dovrò dargliela io. Nel momento in
cui do la password a teresa, lei potrà leggere ma anche modificare il documento. Questo fa
perdere la funzione propria della firma cioè imputare in maniera univoca quel documento ad un
soggetto. Poi si pone anche un profilo di sicurezza perché mandando il documento a teresa e
mandandole la password.. se nel mandarle la password c’è Carlotta che ruba la password, carlotta
può utilizzare la password anche per modificare il documento, quindi viene meno la sicurezza del
documento.

Il legislatore ha detto che così non va bene, dobbiamo trovare un sistema che elettronicamente
riesca a garantire gli stessi requisiti della firma non si sente e autografa.
Andiamo a vedere se la firma elettronica avanzata può fare al caso nostro.
Abbiamo detto che è una firma elettronica che deve rispettare i requisiti dell’art 26.
L’art 26 del CAD: la firma elettronica avanzata soddisfa i seguenti requisiti:
a) è connessa univocamente al firmatario -› non ci devono essere dubbi sul fatto che la firma l’ho
apposta io
b) è idonea ad identificare il firmatario -› mi deve consentire di capire chi ha firmato quel
documento, leggendo quel documento informatico devo capire chi l’ha firmato
c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un
elevato livello di sicurezza, utilizzare sotto il suo esclusivo controllo -› soltanto io devo essere in
grado di utilizzare quello strumento per apporre una firma
d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica
di tali dati -› se io ho un documento lo firmo e lo mando a carmine, carmine deve poter sapere che
quella firma è riconducibile a me e solo a me, deve essere in grado di identificarmi come firmatario,
deve essere sicuro che quella firma l’ho potuta usare ragionevolmente solo io e deve essere in
grado di verificare se quel documento firmato è stato successivamente alterato.
Esempio di firma elettronica avanzata e soprattutto andiamo ad incastrare nella firma elettronica
avanzata tutti questi requisiti così scoprirete che la firma che apponete quando viene il postino a
portare il pacco ecc è una firma elettronica avanzata e si basa su una tecnologia grafometrica.
Quando apponete la firma sul tablet, non viene acquista solo l’immagine che avete riprodotto, ma
vengono acquisiti dei dati vostri biometrici che sono riconducibili a voi e solo a voi ad esempio la
pressione, la velocità, l’inclinazione che date alla penna. Ciò tutti dati che consentono di dire che
quella firma è riconducibile solo al soggetto che l’ha apposta.
Sulla scorta di questo esempio andiamo a vedere il documento che Anna e Giulia hanno firmato,
hanno utilizzato il tablet alla posta, è connessa univocamente al firmatario.. quale elemento ci
consente di dire che quella firma è di giulia o di anna di connessione univoca al firmatario? Ce lo
consente di dire il dato biometrico cioè la velocità con cui hanno firmato, l’inclinazione ecc cioè un
dato tecnologico che mi consente di tenere assolto il primo requisito che è la connessione univoca
al firmatario. Questo elemento mi consente di identificare, insieme al simbolo grafico, insieme a
quest’altro dato, anche chi ha firmato quel determinato documento, quindi di identificare il
firmatario.
‘È creata mediate dati per la creazione di una firma elettronica che il firmatario può, con un elevato
livello di sicurezza, utilizzare sotto il suo esclusivo controllo’.
Secondo voi Anna Giulia o carmine che hanno firmato possono prestare il loro braccio ad un’altra
persona? No. Se scrivo anna giulia o carmine sto facendo una firma falsa e si rileverà dal fatto che
quel dato mio biometrico non potrà corrispondere al dato biometrico di giulia o di anna.
La firma elettronica avanzata produce effetti giuridici soltanto nei rapporti tra le parti. Che
significa? Peresempio ha effetto nel rapporto tra me e la banca quindi vale nei rapporti interni tra i
soggetti, non assume una rilevanza esterna rispetto a quello specifico rapporto. Cioè è una
tecnologia che viene adottata da uno specifico soggetto e che ha valore nei confronti di quello
specifico soggetto.
Qual è l’altra implicazione giuridica importante che deriva dal fatto che io ho acquisito un dato
biometrico di anna o giulia? La privacy, è un problema di trattamento di dato. È un dato personale
di natura sensibile, oggi riconducibile al novero dei dati di cui all’art 9 del regolamento privacy
679/2016.
FIRMA ELETTRONICA QUALIFICATA

Art 3 n.12 regolamento eidas: è una firma elettronica avanzata [meccanismo di matrioska] creata
da un dispositivo per la creazione della firma elettronica qualificata e basata sul certificato
qualificato per le firme. Qual è il quid pluris rispetto alla firma elettronica avanzata? Il certificato
qualificato. Chi lo rilascia? Che efficacia ha?

Mentre nella firma elettronica avanzata non c’è nessun soggetto che ha riconosciuto e garantito
nei confronti dei terzi l’identità del soggetto a cui è attribuita la firma. Nel caso del certificato
qualificato, invece, c’è un soggetto che certifica l’identità della persona alla quale quella firma è
stata attribuita. Quindi se io voglio una firma digitale che è una species della firma elettronica
qualificata, da chi vado? Dalla posta o da Aruba che sono due soggetti certificatori. Io posso
chiedere ad aruba la firma digitale, aruba mi darà la firma digitale ma solo dopo avermi identificato.
Quindi, quando io utilizzerò la mia firma digitale e la apporrò sotto il documento che invio a
carmine, carmine come farà a sapere che quel documento l’ho firmato io? Andrà ad effettuare la
verifica della firma, attraverso la verifica della firma avrà la possibilità di capire che l’ho sottoscritto
io. Dove lo andrà a verificare? Sul sito del certificatole. È una verifica che avviene in automatico
attraverso un sistema informatico.
FIRMA DIGITALE
È un prodotto tutto italiano, la definizione si trova all’art 1 lett s del CAD la firma digitale è un
particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una
privata, correlate tra loro, che consente al titolare della firma elettronica, tramite la chiave privata e
ad un soggetto terzo tramite la chiave pubblica rispettivamente di rendere manifesta e di verificare
la provenienza e l’integrità del documento informatico.
Le prime 3 tipologie di firme si basano su un concetto europeo che si chiama concetto di

neutralità tecnologica che pervade tutto il regolamento eidas ma anche il CAD. Concetto di
neutralità tecnologica significa che il legislatore europeo non ha prescritto la tecnologia da
utilizzare, ma ha fissato gli obiettivi che quella tecnologia deve raggiungere.
In altre parole: il legislatore europeo ha detto che non gli interessa che tecnologia utilizzi, ma gli
interessa che tu raggiungi questi obiettivi. Quando abbiamo detto che la firma elettronica avanzata
deve rispondere ai requisiti di cui all’art 26 del regolamento eidas, abbiamo detto che quella firma
deve essere ricondotta univocamente a Pietro, al legislatore non interessa come la riconduci
tecnologicamente a pietro, gli interessa che la riconduci al soggetto che ha firmato (quindi ogni
paese provvede da sé).
In Italia esiste la firma digitale rispetto al quale il legislatore ha detto che è una firma elettronica
qualificata, ma ha anche detto che indica qual è la tecnologia che devi utilizzare ed ha fissato
questa tecnologia nella cd crittografia a chiavi asimmetriche (chiave pubblica e chiave privata).
Che significare crittografare un messaggio? Significa non rendere immediatamente intellegibile a

tutti quel messaggio, solo chi ha la possibilità di decriptare quel messaggio può conoscere il
contenuto di quel messaggio stesso.
Precisazione
Differenza con crittografia simmetrica che è quella che si trova alla base della firma elettronica
semplice ad esempio la password. Simmetrica significa che io utilizzo la stessa password sia per
cifrare che per decifrare un determinato documento. Se io proteggo il documento word e metto
come password michelino, la chiave michelino è una password che genererà un sistema di
crittografia simmetrica.
Gli egizi e poi Giulio cesare hanno utilizzato questa crittografia.
La crittografia simmetrica si basa sull’utilizzo della stessa chiave sia per criptare che per
decriptare un documento. Non è sicura perché se voglio mandare a pietro un documento con
firma digitale, gli devo mandare anche la password, quella password può rubarla anna e sapere
cosa ho mandato a pietro, ma soprattutto una volta che Pietro avrà quella password, potrà
modificare quel documento privandolo dell’esigenza giuridica di cui stiamo parlando.
NB Io posso avere una firma una firma elettronica avanzata basata sulla crittografia asimmetrica
ma non perché ho una firma elettronica avanzata basata su crittografia asimmetrica potrò dire che
mi trovo di fronte alla firma digitale. Perché? cosa manca? Manca il certificato qualificato.
Domanda: qual è la differenza tra la firma elettronica avanzata e la firma digitale?
NON DIRE che la differenza è che la firma digitale si basa sulla crittografia a chiave asimmetrica.
Risposta sbagliata.

La differenza è che la firma digitale prevede il certificato qualificato, la firma elettronica avanzata
non prevede un certificato qualificato.
In altri termini: la firma elettronica qualificata è una firma elettronica avanzata che ha un qualcosa
in più, cioè il certificato qualificato. La firma digitale è una firma elettronica qualificata che però si
basa necessariamente sulla crittografia asimmetrica. Però posso avere una firma elettronica
avanzata che si basa sulla crittografia asimmetrica ma che non posso definire firma digitale perché
non c’è il certificato qualificato.
Se ho sia il certificato che la crittografia asimmetrica -› firma digitale
Se ho il certificato qualificato senza la crittografia asimmetrica -› firma elettronica qualificata
Se ho solo la crittografia asimmetrica senza certificato -› firma elettronica avanzata
Crittografia asimmetrica
Come funziona la crittografia asimmetrica? Chiave pubblica e chiave privata.
Partiamo da un presupposto. Quando si parla di firma digitale non è necessario che sia il soggetto
che sottoscrive che il soggetto che riceve il documento siano in possesso di una firma digitale.
Esempio: allo statino di esame si appone una firma digitale, se io voglio mandare a carmine il suo
statino non è necessario che carmine sia in possesso di una firma digitale per leggere quello che
io ho firmato, né è necessario che lui sia in possesso di una firma digitale per verificare la mia
firma digitale. L’unica cosa che carmine deve avere è un software che gli consenta di leggere il
formato proprietario della firma digitale. Che significa? Se avete un file pdf per aprirlo dovete
installare ad esempio acrobate (sistema di lettura del pdf), in caso contrario non potrete leggere il
pdf. La stessa cosa accade per la firma digitale. Se io ho un file sottoscritto digitalmente, devo
avere un software gratuito, ad esempio aruba, cioè qualcosa che consenta di leggere il formato
proprietario della firma digitale.
In sintesi: non è necessario che chi riceve un documento con firma digitale debba avere una firma
digitale, ma è sufficiente che abbia un lettore per leggerla.
Qual è il formato proprietario della firma digitale? Quando si firma digitalmente un documento si
può scegliere un duplice formato: o il formato cades o il formato pades.
Il formato cades genera un output del file di questo tipo: emilio.pdf.p7m, cioè il formato proprietario
della firma digitale in cades è il p7m.
Se uso un formato pades sarà sufficiente, per verificare che quel documento è stato sottoscritto
digitalmente, utilizzare un lettore acrobate dc cioè quelli di ultima generazione, mi consentirà di
leggere il documento sottoscritto in formato pades.
Come funziona la firma digitale? Come funziona la crittografia asimmetrica? Come fate a verificare
se un documento è stato sottoscritto da me?
Se io emilio ho una firma digitale, avrò una chiave pubblica (la conoscono tutti) e una chiave
privata (la conosco solo io). Ciò che cifro con la chiave privata, decifro con la chiave pubblica.
Se uso per cifrare la chiave pubblica, posso decifrare quel contenuto solo con la chiave
privata corrispondente.
Esempio
Io predispongo un documento word, lo firmo con la mia firma digitale e quindi appongo sul quel
documento la mia chiave privata, così quel documento sarà crittografato, cioè non sarà più in
chiaro. Per essere più corretti (ma questo lo preciseremo più avanti): io non vado a crittografare
quel documento perché per crittografare un documento pesante ci vorrebbe molto tempo, ma vado
a crittografare un riassunto di quel documento, il message digest di quel documento, un elemento
che identifica in maniera univoca quel documento.
Quindi io appongo la mia chiave privata su quel documento e lo vado a crittografare, poi lo mando
a carmine. Carmine per leggere quel documento deve apporre a quel documento la mia chiave
pubblica, se c’è corrispondenza tra la chiave pubblica e la chiave privata il documento si aprirà.
Dove la prende carmine la mia chiave pubblica? Non la deve cercare, tutti i gestori espongono le
chiavi pubbliche relative ai certificati di firma che rilasciano. Ma la verifica la farà in automatico il
software. Questo mi garantisce che se nel frattempo giovanni viene in possesso dello stesso
documento che io ho inviato a carmine, giovanni lo potrà leggere perché per leggere il documento
che io ho crittografato è sufficiente la mia chiave pubblica. Però, nel momento in cui giovanni

modifica quel documento e lo manda a carmine, carmine rileverà che quel documento è stato
alterato perché alla verifica della firma non ci sarà corrispondenza.
Questo è quello che accade normalmente.
Ma la crittografia asimmetrica consente di fare anche un’altra cosa importante, consente di
garantire la segretezza di un documento. Però, mentre per firmare il documento e quindi per
attribuire al documento la paternità, per garantire la sicurezza e l’integrità del documento è
sufficiente che il soggetto firmatario sia in possesso di una firma digitale, per garantire anche la
segretezza del documento è necessario che sia il soggetto che lo sottoscrive, che il soggetto che
lo riceve, siano in possesso di una firma digitale.
Come faccio a garantire la segretezza di un documento informatico?
Io voglio mandare a carmine una scrittura privata (perché voglio garantire l’imputabilità a me di
quel determinato documento) ma voglio che rimanga segreta. In teoria potrei anche inviare a
carmine un file segreto senza imputarmene la paternità, posso farlo con crittografia asimmetrica.
Come? Abbiamo detto che sia il mittente che il destinatario devono essere in possesso di una
firma digitale. Come procederò? Dopo che ho scritto il documento gli devo attribuire la paternità e
quindi lo firmerò con la mia firma digitale, in particolare apporrò la mia chiave privata (se giovanni
se viene in possesso lo legge). Però, se io lo voglio rendere segreto, dopo aver apposto la mia
chiave privata apporrò la chiave pubblica di carmine perché la chiave pubblica di carmine può
essere decifrata soltanto dalla sua chiave privata. Quindi carmine quando riceverà il documento lo
andrà a verificare con la mia chiave pubblica e lo andrà a decifrare con la sua chiave privata, così
se giovanni prende quel documento non sarà in grado di leggerlo.
Esempio di crittografia asimmetrica su whatsapp.

Io ho il numero di carmine e carmine ha il mio. Se io voglio mandare un messaggio a carmine, quel
messaggio in whatsapp in fase di partenza come sarà crittato? E in particolare, sul mio telefono
che cosa ci sarà oltre al numero di telefono di carmine? Ci sarà la chiave pubblica di carmine
perché la sua chiave pubblica può essere decifrata dalla chiave privata di carmine che si trova sul
telefono di carmine. Quindi, quando mando un whataspp a carmine, nel momento in cui lo invio,
quel messaggio viene crittografato con la sua chiave pubblica, quando arriverà sul telefono di
carmine sarà decrittato dalla sua chiave privata, chiavi che ci vengono attribuite in automatico da
whatsapp.
Qual è il momento in cui il messaggio è realmente crittografato e non può essere letto? Nel
momento in cui viaggia. Ma quando è sul mio telefono e su quello di carmine è in chiaro. Quindi,
se utilizzo uno strumento di captazione informatica o accedo con un sistema di acquisizione
forense dei dati presenti sul telefono di carmine, troverò in chiaro tutti i messaggi che io e carmine
ci siamo scambiati. La segretezza si verifica solo nel momento del passaggio.
Rispondiamo alla domanda del valore del documento informatico sottoscritto .. quanto vale il
documento informatico sottoscritto con firma digitale, firma elettronica avanzata, firma elettronica
qualificata sia sotto il profilo probatorio sia se è idoneo a soddisfare il requisito della forma
scritta.
La risposta la trovate nell’art 20 c1 bis d.lgs. 82/2005 (CAD): il documento informatico soddisfa il
requisito della forma scritta ed ha l’efficacia prevista dall’art 2702 C.C. quando vi è apposta
una firma digitale, un altro tipo di firma elettronica qualificata o una firma elettronica avanzata (…).
Quindi significa che se il documento informatico è sottoscritto con firma digitale, firma elettronica
avanzata o firma elettronica qualificata, sotto il profilo probatorio avrà l’efficacia del 2702 c.c.
Qui scatta la domanda all’esame: qual è l’efficacia probatoria prevista dal 2702 c.c.? L’efficacia
prevista per la scrittura privata cioè fa piena prova, fino a querela di falso, della provenienza delle
dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la
sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.
Lez 2
Iniziamo a rispondere alle domande che ci siamo posti: valore del documento informatico sotto il
profilo probatorio e sotto il profilo della sua idoneità a soddisfare il requisito della forma scritta.
Perché ci preoccupa la questione dell’idoneità del documento informatico a soddisfare il requisito
della forma scritta? La volta scorsa abbiamo parlato della forma, abbiamo detto che nel nostro

ordinamento vige il principio della libertà delle forme, ma esistono determinati casi in cui la forma è
richiesta ad substantiam e quindi quella forma è necessaria ai fini della validità dell’atto.
Per rispondere a queste domande dobbiamo mettere insieme il documento con le diverse tipologie
di firme. L’altra volta avevamo introdotto la questione analizzando l’art 20 comma 1 bis CAD: il
documento informatico soddisfa il requisito della forma scritta ed ha l’efficacia prevista dall’art
2702 c.c. quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una
firma elettronica avanzata. La seconda parte della norma la vediamo dopo.
Possiamo dire che, rispetto a quelle domande che ci siamo posti, non c’è dubbio che il documento
informatico se è sottoscritto o con una firma digitale o con una firma elettronica qualificata o con
una firma elettronica avanzata, soddisfa sia il requisito della forma scritta quando è richiesto dalla
legge, sia l’efficacia probatoria del 2702 c.c. cioè il valore probatorio della scrittura privata quindi
ha lo stesso valore probatorio della scrittura privata. Art 2702 la scrittura privata fa piena prova,
fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro
il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente
considerata come riconosciuta. L’art 2702 sottende due processi che nel digitale si modificano: il
processo del disconoscimento della firma ed il giudizio di verificazione rispetto alla sottoscrizione
autografa. Nel mondo digitale si potrà disconoscere la firma digitale? Si potrà procedere con un
giudizio di verificazione?
Prima dobbiamo aver chiaro cosa accade nel mondo tradizionale.

Immaginiamo che beatrice scrive un documento: ‘la sottoscritta beatrice dichiara che deve 100
euro a tucci.’ Firmato beatrice. Questa è una scrittura privata, alla data prevista nel documento
beatrice non mi paga. Vado da lei e le faccio presente che mi deve pagare. Normalmente
dovrebbe pagare. Però potrebbe essere che quella sottoscrizione non è di beatrice perché è stata
apposta da qualcun altro, è una sottoscrizione apocrifa, non è stata apposta direttamente da lei.
Beatrice può disconoscere la sottoscrizione apposta a quel documento.
Che cosa prova la scrittura privata? (leggete il 2702) La provenienza cioè la paternità del
documento che è uno dei requisiti fondamentali che si riesce a soddisfare attraverso la
sottoscrizione ad un documento. La scrittura privata prova la provenienza, prova che qual
documento proviene da chi l’ha sottoscritto (prova che proviene da beatrice). Lo prova sempre? Lo
prova se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione.
Viceversa, se lei si rende conto che la firma non è sua, dovrà disconoscere la sottoscrizione -› il
documento non fa piena prova. E se io sono convito che quel documento proviene da lei e lo
voglio utilizzare nel giudizio? Potrò dar corso al giudizio di verificazione, cioè il soggetto che si
vuole avvalere del documento disconosciuto dalla parte che l’ha prodotto può chiedere
l’instaurazione del giudizio di verificazione. A che serve? A verificare se quella sottoscrizione è
realmente riferibile o meno a beatrice. Come si fa? Tradizionalmente si fa attraverso la perizia
calligrafica, attraverso le cd scritture di comparazione cioè verifico attraverso altre scritture se
quella firma è realmente riconducibile a beatrice.
Ricapitolando
Se la sottoscrizione non è disconosciuta, il documento fa piena prova fino a querela di falso.
Se la sottoscrizione è disconosciuta, il documento per avere valore probatorio dovrà essere
sottoposto ad un vaglio cioè al giudizio di verificazione.
Cosa accade se beatrice non disconosce la sua sottoscrizione? Fa piena prova fino a querela di
falso. Dobbiamo distinguere l’ipotesi in cui la sottoscrizione non è riferibile a beatrice (l’abbiamo
già fatto) dall’ipotesi in cui, pur essendo riconducibile a beatrice, si va a contestare la falsità di quel
documento cioè il falso materiale o il falso ideologico.
Falso materiale: si verifica se il documento è alterato esempio c’era scritto 100 qualcuno l’ha
modificato ed ha scritto 1000.
Falso ideologico: si ha quando in quel documento viene attestato qualcosa che in realtà non è
accaduto.
La querela di falso attiene al processo civile ma rileva anche ai fini penalistici.
Il 2702 continua dicendo ovvero se questa è legalmente considerata come riconosciuta
È l’ipotesi della sottoscrizione autenticata cioè io sottoscrivo una scrittura privata alla presenza di
un pubblico ufficiale.

Quindi se io ho una scrittura privata autenticata (in formato cartaceo o digitale) ha il valore
probatorio del 2702 cioè farà piena prova fino a querela di falso.
Quando diciamo che il documento informatico ha lo stesso valore del 2702 sappiamo qual è il
valore.
Facciamo ancora esempi sul cartaceo per poi andare al digitale.
Immaginate che anna sottoscrive un foglio in bianco e le mette nel suo cassetto, poi giulia prende
questo foglio bianco e scrive ‘intendo donare 2000 euro a giulia’.
Anna può disconoscere la sottoscrizione? No perché anna ha sottoscritto davvero quel
documento, ciò che non ha fatto è l’espressione di volontà.
Immaginate che sottoscrivo un foglio bianco e indico ad anna come lo deve riempire e lei si
discosta dalle mie indicazioni. Anche in questo caso non posso disconoscere la firma perché è mia
ma il contenuto è difforme rispetto alla mia volontà. Questo è il fenomeno del biancosegno o
dell’abuso riempimento.
Che può fare anna nella prima ipotesi? Deve proporre una querela di falso (falso ideologico).
Nel caso dell’abusivo riempimento si dovrà far valere la disciplina dell’errore perché di base c’è la
volontà ma viene rappresentata erroneamente.
Riportiamo tutto al documento informatico.

Il documento informatico firmato con firma digitale può essere riempito successivamente?
No. Abbiamo detto la volta scorsa che se firmo un documento informatico, questo non può più
essere alterato perché l’eventuale alterazione potrà essere rilevata. Quindi vedete che l’utilizzo
congiunto del documento informatico e della firma digitale escludono la possibilità che si
verifichi il fenomeno del biancosegno.
Però digitalmente si può verificare qualcosa che non si può verificare tradizionalmente. In termini
analogici io posso delegare la mia firma a dalila? No, perché se io andassi a delegare la mia firma,
dalila apporrebbe una firma apocrifa che potrebbe essere contestata in qualsiasi momento.
Digitalmente io posso delegare la mia firma ad anna? Tecnicamente si perché è sufficiente che
io dia ad anna il mio dispositivo, le dico qual è il sistema di controllo del mio dispositivo e lei potrà
apporre per me una firma digitale. In questo caso è necessario che ci sia uno specifico mandato a
firmare in cui sia indicata chiaramente che cosa io delego anna a firmare, cioè per cosa la
autorizzo ad utilizzare il mio dispositivo perché esiste una norma nel CAD che ribalta il concetto del
disconoscimento. Nell’esempio che vi ho fatto, se beatrice disconosce la sua sottoscrizione, chi
può proporre la verificazione? Colui che si vuole avvalere di quel documento, quindi nel caso di
specie io. Beatrice disconosce la sottoscrizione, io mi voglio comunque avvalere di quel
documento così propongo il giudizio di verificazione.
Nel CAD, invece, il comma 1 ter dice l’utilizzo del dispositivo di firma elettronica qualificata o
digitale si presume riconducibile al titolare di firma elettronica salvo che questi dia prova contraria.
Questo è importantissimo.
C’è l’inversione dell’onore della prova perché tradizionalmente il soggetto che vuol far valere quel
determinato documento è colui che subisce il disconoscimento cioè beatrice disconosce e io che
me ne voglio avvalere devo proporre il giudizio di verificazione. Questo è quello che accade nel
tradizionale.
Nelle ipotesi del digitale, ai sensi dell’1 ter, l’utilizzo del dispositivo di firma digitale o elettronica
qualificata si presume riconducibile al titolare della firma quindi si presume che quel documento sia
stato firmato da beatrice. Se lei vuole evidenziare che non l’ha firmato, dovrà essere lei a dare la
prova contraria.
Ripeto
Nel caso del digitale abbiamo un’inversione dell’onore probatorio perché la firma digitale o
elettronica qualificata si presume riconducibile al soggetto che l’ha apposta. Sarà questo
soggetto, eventualmente, a dover fornire prova contraria del fatto che quella firma è a lui
riconducile e che è stato lui ad apporre quella sottoscrizione.
Se carmine ha una firma digitale e sottoscrive un documento informatico (esempio un pdf) io dirò
che quella firma l’ha messa carmine, che quel documento è riconducibile a carmine.
Se carmine va a roma e lascia la firma digitale sul tavolo e il padre firma con la firma digitale di
carmine senza che carmine lo sappia, quella firma sarà sempre riconducibile a carmine. Dovrà

essere carmine, eventualmente, a fornire la prova contraria cioè che quella firma non è a lui
riconducibile.
Di conseguenza, se ho un dispositivo di firma e lo perdo dovrò fare immediatamente denuncia
perché altrimenti è tutto riconducibile a chi firma.
Alla luce di questa previsione e alla luce del fatto che digitalmente è possibile delegare la firma,
ecco che è fondamentale il mandato a firmare.
I commerciali spesso hanno nella loro disponibilità le firme digitali delle società che seguono per
fare, ad esempio, depositi dei bilanci. Quell’utilizzo a monte deve avere uno specifico mandato:
autorizzo tizio a utilizzare la mia firma digitale per il bilancio da depositare.
Viceversa, se io lascio un dispositivo di firma nelle mani di un soggetto, quel soggetto lo può
utilizzare per qualunque attività facendo ricondurre gli effetti giuridici della sottoscrizione su di me
che sono il titolare reale di quel dispositivo di firma. Questo è un meccanismo fondamentale.
Di conseguenza, vi chiedo, ma la verificazione nel caso di utilizzo di firma digitale ci sarà? Ci potrà
essere? Ci può essere un disconoscimento di quella firma ma sarà la stessa persona che
disconosce la firma a dover fornire la prova del fatto che quella firma non è riconducibile a lui.
Se irene mette la firma digitale e poi disconosce quella firma, non dovrò essere io a promuovere il
giudizio di verificazione per ricondurre quella firma a irene perché a me sarà sufficiente dire che
quella firma digitale dal certificato di firma è riconducibile a irene, stop. Sarà eventualmente lei a
dover dimostrare che quella firma non può essere a lei ricondotta perché ad esempio le era stata
trafugata ed è stata utilizzata da qualcuno. Rispetto al terzo, Irene non potrà opporre il fatto che
quella firma è stata utilizzata dal padre o dal fratello e che lei non aveva autorizzato la firma perché
il dispositivo di firma è nella sua diretta disponibilità quindi è lei che ha il controllo e che deve
cautelarsi rispetto all’utilizzo che, eventualmente, delega attraverso uno specifico mandato perché
è quello specifico mandato che la tutela anche nei confronti dei terzi.
Se irene fa un mandato per una firma in un determinato documento, la firma potrà essere apposta
solo a quel documento; se viene apposta ad altri documenti potrà essere contestata.
Siccome la prova della trafugazione della firma è una probatio diabolica, è sempre necessario che
ci sia una denuncia perché viene comunicata al soggetto gestore della firma.
Rispetto alla firma c’è un’altra cosa fondamentale.

La firma apposta con certificato sospeso, revocato o scaduto, equivale a mancata sottoscrizione.
Dobbiamo parlare del riferimento temporale.
Le firme digitali hanno una validità limitata nel tempo, il certificato di firma è soggetto a scadenza,
dura 3 o 5 anni.
Immaginiamo che io ho un dispositivo di firma ed ho anche un certificato di firma. Il certificato
scade il 27 marzo 2020. Se io firmo oggi (26 marzo) il documento e lo mando a raffaele, quel
documento è valido o no? È valido se raffaele lo vede stasera. Se lo vede all’1 di notte il
documento è valido o no? La validità della firma si verifica al momento della sua apposizione.
Era valida quando è stata apposta? Si, allora è valido il documento anche se lo vedo tra 5 anni.
Questo è fondamentale altrimenti immaginate cosa potrebbe accadere a tutti i documenti che sono
mandati in conservazione: passata la scadenza tutti i documenti sarebbero da considerare privi di
sottoscrizione.
Affinché si possa verificare il momento in cui la sottoscrizione è stata apposta, abbiamo bisogno di
un riferimento temporale. Da dove si ricava? Sicuramente non dal documento perché se scrivo
sul documento ‘caserta 26 novembre 2020’ e lo firmo digitalmente, quella data che scrivo nel
documento non è opponibile al terzo. Ai fini dell’opponibilità della data e l’ora del documento
bisogna considerare quello che dice l’art 20 ultimo periodo: la data e l’ora di formazione del
documento informatico, sono opponibili ai terzi se apposte in conformità alle linee guida.
Come si potrà fare? Io dovrò utilizzare una firma e una marca temporale. La marca temporale mi
consentirà di opporre sempre la data in cui io ho firmato quel documento. Potrò, ad esempio,
opporre al terzo la data di formazione del documento se lo trasmetto con una PEC.
Questa possibilità di opporre al terzo mi garantirà anche la validità futura del documento
sottoscritto digitalmente.
L’art 20 continua. Rileggiamolo tutto.

1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista
dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma
elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa
identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID
ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del
documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.
Questa ulteriore modalità per attribuire al documento informatico il valore probatorio del 2702 e
per garantire al documento informatico l’idoneità a soddisfare il requisito della forma scritta, è
ricondotta a criteri fissati dall’AGID. Questi criteri devono aver ben presente quelli che sono i
parametri tipici di una sottoscrizione con firma digitale cioè a garantire la sicurezza, l’integrità e
l’immodificabilità del documento e soprattutto la riconducibilità di quel documento all’autore.
Sapete agid quale meccanismo ha previsto per dare attuazione a questa previsione? Ha emanato
delle linee guida sulla cd firma speed quindi utilizzando il dispositivo, lo speed, il sistema pubblico
di identità digitale, è possibile anche attribuire al documento informatico lo specifico valore previsto
dall’art 20 comma 1 bis.
Ricordatevi sempre che, con riferimento alla firma elettronica avanzata, il documento ha valore
nell’ambito di un rapporto interno tra il soggetto che adotta quella specifica tecnologia di firma
elettronica avanzata e il soggetto che lo utilizza. Esempio tipico che abbiamo fatto è il rapporto con
la banca: la banca mi dota di una firma elettronica avanzata di natura grafometrica che è idonea a
regolare il rapporto tra voi e la banca e produrre gli effetti del 20 comma 1 bis tra voi e la banca. Se
mandate all’esterno della banca un documento sottoscritto con una firma grafometrica della banca,
quel documento informatico non potrà produrre nei confronti dei terzi quel valore di cui all’art 20
comma 2 bis.
Andiamo a verificare il 21 comma 2 bis CAD. L’art 21 è importante perché il comma 2 bis ci dice
(ricordate sempre il principio della libertà delle forme):
Salvo il caso di sottoscrizione autenticata, le scritture private di cui all’articolo 1350, primo comma,
numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di
nullità, con firma elettronica qualificata o con firma digitale.
1350 c.c. disciplina gli atti che devono farsi per iscritto -› disciplina le ipotesi in cui la forma scritta è
richiesta ad substantiam. Il 1350 è rubricato “atti che devono farsi per iscritto”: devono farsi per
iscritto, per atto pubblico o scrittura privata, sotto pena di nullità (…)
Questa norma dice che tutti gli atti dal n.1 al n.12 del 1350, se formati con il documento
informatico, devono essere necessariamente sottoscritti o con una firma digitale o con una firma
elettronica qualificata a pena di nullità. Se questo è vero, per questi atti non si può utilizzare la
firma elettronica avanzata.
La regola generale è che quando io utilizzo o la firma elettronica qualificata o la firma digitale o la
firma elettronica avanzata, il requisito della forma scritta è soddisfatto. Però, dice il legislatore:
bada bene che se parliamo della forma scritta che è richiesta dal 1350 n.1 al n. 12, devi utilizzare
necessariamente la firma digitale o la firma elettronica qualificata, non potrebbe fare a meno di dire
firma elettronica qualificata perché abbiamo detto che la firma la firma digitale è un prodotto solo
italiano, abbiamo detto che è una species della firma elettronica qualificata e abbiamo detto anche
che l’Italia andrebbe a violare quello che è il cd principio di neutralità tecnologica.
Il 1350 ha anche un n.13. Gli atti di cui all’articolo 1350, numero 13), del codice civile redatti su
documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di
nullità, con firma elettronica avanzata, qualificata o digitale ovvero sono formati con le ulteriori
modalità di cui all’articolo 20, comma 1-bis, primo periodo.
Ciò significa che si ritorna a dare completa attuazione al comma 1 bis dell’art 20.
Per non sbagliare potete semplicemente dire che: per tutti gli atti del 1350 da n.1 a n.12 si deve
usare necessariamente o la firma qualificata o la firma digitale; in tutte le altre ipotesi
quando deve essere soddisfatto il requisito della forma scritta, può essere utilizzata anche
una firma elettronica avanzata.
Perché? Perché la firma digitale e la firma elettronica qualificata producono effetti erga omnes,
quindi, siccome si tratta di atti che producono effetti erga omnes.. se andata a vedere il 1350 n.1
disciplina i contratti che trasferiscono la proprietà di immobili; il n.2 i contratti che trasferiscono il
diritto di usufrutto di immobili ecc. Quindi vedete che si tratta di atti di particolare rilevanza e che

sono anche soggetti ad una particolare pubblicità, quindi è necessario garantire la forma con degli
strumenti che possano essere poi opposti nei confronti dei terzi.
La firma elettronica avanzata ha una rilevanza nei rapporti interni e quindi, appunto, dice la norma:
nei casi espressamente previsti dalla legge perché la legge quando va a disciplinare una
determinata fattispecie fa una valutazione di merito e dice posso andare semplificare o garantire
l’utilizzo di una tecnologia che comunque garantisce quei risultati ma che è riconducibile ad uno
specifico rapporto.
Abbiamo risposto a 3 domande di quelle che ci eravamo posti: qual è il valore probatorio del
documento informatico sottoscritto con firma digitale, qualificata e avanzata e dobbiamo rispondere
alle domande parallele considerando gli stessi tipi di sottoscrizione cioè quando è soddisfatto il
requisito della forma scritta.
Manca una domanda: qual è il valore del documento informatico non sottoscritto (sempre
ammesso che abbia un valore)? Il documento informatico privo di sottoscrizione ha valore
giuridico? Si. Che valore? Lo dice il 2712 c.c. come novallato dal CAD: le riproduzioni fotografiche,
informatiche, cinematografiche e in genere ogni altra rappresentazione meccanica di fatti o di cosa
formano piena prova dei fatti e delle cose rappresentate se colui contro il quale sono prodotte non
ne disconosce la conformità ai fatti o alle cose medesime. Fa piena prova dei fatti e delle cose
rappresentate fino a quando quei fatti e quelle cose non sono disconosciute.
Nel caso della scrittura privata si disconosce la sottoscrizione. In questo caso si disconoscono i
fatti e le cose rappresentate nel documento.
Il documento informatico senza sottoscrizione è diverso da una fotocopia? qual è il valore di una
fotocopia?
Esempio. Io ho un contratto firmato da giulia, faccio una fotocopia del contratto; questa fotocopia
che valore ha? Lo stesso valore del contratto originale? Ha il valore di una fotocopia cioè fa piena
prova dei fatti e delle cose rappresentate fino all’eventuale disconoscimento di quei fatti. Che
accade se disconosco quei fatti? Sarà il giudice, eventualmente, a dover verificare, anche
attraverso ulteriori elementi, se quei fatti possano essere realmente considerati reali e quindi
possano essere realmente poste alle base di una valutazione, di una decisione.
Andiamo avanti dopo aver fatto il documento informatico e le firme. Ora dobbiamo capire che cosa
sono, come funzionano e che valore hanno i seguenti elementi: copia informatica di un documento
analogico, copia informatica per immagine di un documento analogico, copia informatica di un
documento informatico e duplicato informatico.
[Questo capitolo del libro (quinto) l’ho scritto io quando troverete la stessa spiegazione]
COPIA INFORMATICA DI UN DOCUMENTO ANALOGICO (Art 1 comma 1 bis)
Definizione: è il documento informatico avente contenuto identico a quello del documento
analogico da cui è tratto. Significa che se io ho un contratto sottoscritto in maniera autografa e
copio quel contenuto ma lo riscrivo al pc, non faccio la scansione perché se faccio la scansione ho
una copia per immagine, semplicemente riproduco il contenuto del documento analogico in un
documento informatico. Se avete un file word, lo stampate e lo firmate, avrete un analogico
sottoscritto e poi avrete una copia informatica di quell’analogico che avete sottoscritto.
COPIA INFORMATICA PER IMMAGINE DI UN DOCUMENTO ANALOGICO (Art 1 comma 1 ter)
È il documento informatico avente contenuto e forma identici a quelli del documento analogico da
cui sono tratti.
COPIA INFORMATICA DI UN DOCUMENTO INFORMATICO
È il documento informatico avente contenuto identico a quello del documento da cui è tratto su
supporto informatico con diversa sequenza di valori binari.
Esempio quando trasformo un documento word in pdf: avrò 2 documenti che hanno il medesimo
contenuto ma una forma diversa perché sono formati da un numero di bit differenti.
Immaginate che ho un file firmato digitalmente, lo stampo in pdf, avrò una copia informatica di un
documento informatico e il valore della copia sarà diversa dal valore dell’originale che era firmato
digitalmente.
Se copio e incollo una cartella sul mio pc non ho creato una copia ma un duplicato informatico
perché non c’è nessun elemento che vi consente di distinguere l’originale dalla copia (anche se il
pc mi dice ‘copia’).

DUPLICATO INFORMATICO
È il documento informatico ottenuto mediante la memorizzazione sullo stesso dispositivo o su
dispositivi diversi della medesima sequenza di valori binari del documento originario.
Se io faccio copia e incolla, copio dal desktop e incollo sulla pendrive, sul desktop e sulla pendrive
avrò due documenti uguali che sono caratterizzati dallo stesso numero di valori binari di bit, ho un
duplicato.
Posso avere anche 100 file tutti tra di loro duplicati che avranno sempre il medesimo valore. Cioè
se io firmo digitalmente un file e lo mando a 200 persone, avranno tutti un documento informatico
che avrà lo stesso valore di quello che si trova sul mio pc (contenuto e forma identici).
Adesso andiamo a vedere il valore di questi elementi.

Queste sono tutte ipotesi di dematerializzazione perché dall’analogico siamo passati al digitale o
nell’ambito dello stesso digitale abbiamo parlato di copie e di duplicati. Però ci sono ancora ipotesi
in cui si parla di materializzazione di un documento informatico cioè se io vi mando una pec e voi
la stampate, voi avete una copia analogica di un documento informatico. La copia analogica di un
documento informatico non avrà lo stesso valore del documento informatico salvo che non si
pongano in essere determinate attività. Esempio: un comune riceve una pec la stampa, la
protocolla e poi cancella la pec, ha distrutto un documento originale perché quella copia cartacea
che ha prodotto non ha lo stesso valore del documento originale che aveva ricevuto a mezzo pec.
L’art 22 CAD è rubricato ‘copie informatiche di documenti analogici’.

Dovete fare attenzione perché in quest’articolo oltre a parlare delle copie informatiche di documenti
analogici, sono disciplinate anche le copie per immagine di documenti analogici. Quindi non fatevi
trarre in inganno dalla rubrica dell’articolo.
C1 i documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere,
compresi gli atti e i documenti amministrativi di ogni tipo formati in origine su supporto analogico
spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai
sensi degli articoli 2714 e 2715 del codice civile, se sono formati ai sensi dell’articolo 20, comma
1-bis, primo periodo. La loro esibizione e produzione sostituisce quella dell’originale.
A quale tipologia ci stiamo riferendo? Alle copie informatiche di un documento analogico, quindi
stiamo analizzando le ipotesi in cui abbiamo lo stesso contenuto ma non la stessa forma. Qual
è il valore di questi documenti? Lo stesso previsto dal 2714 e 2715 c.c. che disciplinano le copie di
atti pubblici. 2714: la copia di atti pubblici spedita nelle forme prescritte dai depositari pubblici
autorizzati fanno fede come l’originale, la stessa fede fanno le copie di copie di atti pubblici originali
spedite dai depositari pubblici ecc.., dunque ci dice che la copia ha lo stesso valore dell’originale;
2715 disciplina le copie di scritture private originali depositate: le copie delle scritture private
depositate presso pubblici uffici e spedite dai pubblici depositari autorizzati, hanno la stessa
efficacia della scrittura originale da cui sono estratte.
Perché questo accada, è necessario che queste copie siano formate ai sensi dell’art 20 comma 1
bis primo periodo, cioè la copia del documento analogico che io ho effettuato riproducendo il testo
di quel documento analogico, per avere la stessa efficacia del documento analogico da cui l’ho
estratta, dovrà essere o firmata digitalmente o con una firma elettronica qualificata o con una firma
elettronica avanzata o con la modalità previste dall’agid nelle linee guida. Quindi, la copia
informatica di un documento analogico varrà quanto l’originale analogico se è formata ai
sensi dell’art 20; viceversa che cosa avremo se non è formata ai sensi dell’art 20? Avremo un
documento informatico privo di sottoscrizione e quindi il valore sarà il valore tipico dei documenti
informatici privi di sottoscrizione.
Il comma successivo si occupa della copia per immagine (cioè la scansione).
C1-bis. La copia per immagine su supporto informatico di un documento analogico è prodotta
mediante processi e strumenti che assicurano che il documento informatico abbia contenuto e
forma identici a quelli del documento analogico da cui è tratto, previo raffronto dei documenti o
attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la
corrispondenza della forma e del contenuto dell’originale e della copia.
Questo comma ci dice le modalità, il comma 2 ci fornisce delle informazioni sotto il profilo
probatorio di questi documenti.

C2. Le copie per immagine su supporto informatico di documenti originali formati in origine su
supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la
loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, secondo
le regole tecniche stabilite ai sensi dell’articolo 71.
Quindi ci dice che la scansione di un documento analogico e quindi la copia per immagine di un
documento analogico ha lo stesso valore dell’originale da cui è estratta se c’è un’attestazione di
conformità apposta da un notaio o da un pubblico ufficiale autorizzato.
C3. Le copie per immagine su supporto informatico di documenti originali formati in origine su
supporto analogico nel rispetto delle regole tecniche di cui all’articolo 71 hanno la stessa efficacia
probatoria degli originali da cui sono tratte [fin qui sembra una copia del comma 2] se la loro
conformità all’originale non è espressamente disconosciuta.
Ma allora quale si applica? Il comma 2 o 3? Nell’ipotesi del comma 2 c’è un pubblico ufficiale che
attesta la conformità all’originale, nell’ipotesi del comma 3 no.
Quindi ci sono casi in cui si applica il comma 2 e casi in cui si applica il comma 3.
Ad esempio, se io a casa mia dematerializzo un contratto, la dematerializzazione di quel contratto
determina che avrò una copia per immagine di un documento analogico che farà piena prova dei
fatti e delle cose rappresentate fino al suo eventuale disconoscimento perché io non sono un
pubblico ufficiale.
Se, viceversa, i contratti vengono dematerializzati e il pubblico ufficiale ne attesta la conformità
all’originale, quei contratti avranno una validità rafforzata e quindi non potrà essere disconosciuta,
al massimo si può procedere ad una querela di falso rispetto all’attestazione del pubblico ufficiale.
Dunque, il comma 2 presuppone la presenza di un pubblico ufficiale, il comma 3 no, autorizza
anche il privato ad effettuare la dematerializzazione ma l’effetto della dematerializzazione
effettuata dal privato è limitata al fatto che non ci sia un disconoscimento di quel determinato
documento.
4. Le copie formate ai sensi dei commi 1, 1-bis, 2 e 3 sostituiscono ad ogni effetto di legge gli
originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di
conservazione previsti dalla legge, salvo quanto stabilito dal comma 5.
5. Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari
tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura
pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di
conservazione sostitutiva, la loro conformità all’originale deve essere autenticata da un notaio o da
altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed
allegata al documento informatico.
Il comma 5 riguarda una questione particolare e di dettaglio. Non si può procedere alla
dematerializzazione ma devono essere conservati gli originali. Poi ci sono altri atti per cui è
possibile procedere a dematerializzazione ma è necessaria l’attestazione di conformità del
pubblico ufficiale.
Questa norma è fondamentale perché è quella che va a disciplinare, insieme alle linee guida di
agid, le attività di dematerializzazione del documento e quindi di conservazione sostitutiva del
documento.
Qual è la differenza tra conservazione di un documento e la conservazione sostitutiva di un
documento? Si presuppone un passaggio dall’analogico al digitale nella conservazione sostitutiva,
mentre nella conservazione sic et simpliciter si considera la conservazione di documenti digitali
che nascono digitali e muoiono digitali.
Il CAD, a seguito della riforma del 2017, anche in virtù del cd piano triennale di attuazione del
CAD, introduce il concetto di digital first cioè il digitale prima di tutto cioè tutte le attività devono
essere realizzate in digitale salvo poche ipotesi in cui non è possibile ottemperare a questi obblighi
previsti dal CAD. In un prossimo futuro, con una piena dematerializzazione dell’attività
amministrativa, i documenti devono nascere in digitale, devono circolare in digitale, devono essere
gestiti in digitale e devono essere conservati.
Dovete imparare a differenziare l’ipotesi della gestione documentale rispetto all’ipotesi della
conservazione documentale. Una cosa è gestire un documento nell’ambito di un (work law ?)
lavorativo e una cosa è conservare il documento quindi riportare il documento. Per intenderci, la
gestione documentale .. immaginate un archivio cartaceo in cui avete tanti faldoni al cui interno ci
sono tante cartelline che finiscono lì dentro quando avete completato il lavoro su quella specifica

pratica, quindi quando lavorate su quella specifica pratica ponete in essere un’attività di gestione
documentale, quando avrete terminato la pratica, la andate ad inserire nel faldone che poi mettete
nell’archivio e quella corrisponde alla cd attività di conservazione.
Abbiamo analizzato le ipotesi di dematerializzazione, però abbiamo detto che esistono ancora,
nonostante il principio del digital first, delle situazioni in cui è necessario procedere alla
materializzazione di un documento che nasce digitale attraverso la stampa.
Precisazione. Sul libro c’è tutta una parte dove si fa riferimento alla legge 93 relativa alla cd firma
stampa che non dovete mai confondere con la firma digitale (poi ne parleremo).
Dobbiamo verificare ora la questione della materializzazione partendo da un documento analogico
e capire come avviene affinché la stampa del documento nato digitale abbia lo stesso valore del
documento digitale da cui è estratto. Quindi andiamo all’art 23 CAD.
Art. 23. Copie analogiche di documenti informatici
1. Le copie su supporto analogico di documento informatico, anche sottoscritto con firma
elettronica avanzata, qualificata o digitale, hanno la stessa efficacia probatoria dell’originale da
cui sono tratte se la loro conformità all’originale in tutte le sue componenti è attestata da un
pubblico ufficiale a ciò autorizzato.
Quindi è un procedimento inverso a quello visto in precedenza dove si passava dalla carta al
digitale nella copia per immagine, in questo caso andiamo dal digitale alla carta ed è necessario un
pubblico ufficiale che attesta la conformità della copia analogica all’originale digitale. Questo
significa che se mi arriva una pec e io la stampo, affinché quella pec stampata abbia lo stesso
valore della pec che ho sul mio pc, è necessario che ci sia un pubblico ufficiale che ne attesti la
conformità altrimenti io avrò una copia analogica che avrà il mero valore della fotocopia quindi del
2710, farà piena prova fino al suo eventuale disconoscimento.
Il secondo comma ci riporta al valore delle copie analogiche dei documenti informatici.
2. Le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti
regole tecniche, hanno la stessa efficacia probatoria dell’originale se la loro conformità non è
espressamente disconosciuta. Resta fermo, ove previsto l’obbligo di conservazione
dell’originale informatico.
Quando si applica il comma 1 e quando il comma 2?
Il comma 1 si applica quando c’è un pubblico ufficiale che mi può attestare la conformità
all’originale della copia analogica.
Il comma 2 si applica nelle ipotesi in cui non c’è un pubblico ufficiale che può attestare questa
conformità, quindi la copia farà piena prova dei fatti e delle cose rappresentate fino all’eventuale
disconoscimento.
Veniamo al 2 bis. Se andate sul sito della GU vedrete che può essere scaricata anche in formato
pdf, se stampate vedete che vi sono 4 quadratini neri che servono a produrre l’effetto del 2bis.
2-bis. Sulle copie analogiche di documenti informatici può essere apposto a stampa un
contrassegno, sulla base dei criteri definiti con le regole tecniche di cui all’articolo 71, tramite il
quale è possibile accedere al documento informatico, ovvero verificare la corrispondenza allo
stesso della copia analogica.
Significa che se io, con un apposito lettore leggo quel ‘codice’, questo mi riporterà al documento
informatico originale e mi consentirà di verificare se quel documento analogico è conforme al
documento informatico che è presente online.
Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la
sottoscrizione autografa del pubblico ufficiale e non può essere richiesta la produzione di altra
copia analogica con sottoscrizione autografa del medesimo documento informatico.
Cioè se tu hai stampato un documento che reca quel contrassegno, sostituisce qualsiasi firma sul
documento analogico apposto dal soggetto che ha rilasciato quella determinata copia, o meglio,
che ha firmato l’originale di quel documento da cui ho estratto quella copia analogica.
NB questa previsione è da tenere distinta dalla previsione di cui alla legge del ’93 sulla
sottoscrizione a mezzo stampa, la trovate espressamente dettagliata nel testo. Qual è la
differenza? Quella norma prevede che nel caso in cui vengano redatti atti automatizzati che non
necessitano di un’attività discrezionale da parte di una pubblica amministrazione, la sottoscrizione
autografa può essere sostituita dall’indicazione ‘firmato a mezzo stampa’. Attenzione però perché

questa dicitura voi la verificherete tanto se si tratta di un documento che nasce digitale e poi lo
stampate, quindi non troverete mai .. ad esempio sul certificato anagrafico troverete scritto firmato
ai sensi dell’art 3 legge 93, emilio tucci. Significa che la firma può essere proprio omessa. Quindi
non si appone proprio la firma a quel documento che viene prodotto. In questo caso, invece, c’è un
documento che originariamente è stato sottoscritto in maniera digitale. Questa è la differenza
sostanziale: in quel caso non c’è proprio la sottoscrizione perché si tratta di determinati atti
automatizzati che sono privi di una valutazione discrezionale da parte del pubblico ufficiale e quindi
si scrive ‘firmata a mezzo stampa ai sensi del..’. In questo caso, invece, a monte di quel glifo, di
quel contrassegno a stampa, c’è un documento informatico che è stato sottoscritto digitalmente.
I soggetti che procedono all’apposizione del contrassegno rendono disponibili gratuitamente sul
proprio sito Internet istituzionale idonee soluzioni per la verifica del contrassegno medesimo.
Quindi ci deve essere un’applicazione software messa a disposizione di coloro che poi leggono
quel contrassegno per verificare la riconducibilità di quel documento all’originale.
Ad esempio, quando leggete il QRcode sul vostro cellulare, questo potrebbe essere un valido
contrassegno a stampa perché avrebbe la possibilità di ricondurvi al documento informatico firmato
digitalmente.
Ora iniziamo a verificare come questi documenti circolano, quindi come viene effettuata la
TRASMISSIONE DEI DOCUMENTI DIGITALI che propedeutico al domicilio digitale del cittadino,
dei professionisti e delle imprese, delle PPAA.. questi elementi consentono di applicare il concetto
del digital first i cui risultati sono:
1 rendere più semplice l’attività della PA nel rapporto tra PA e cittadino,
2 economicizzare la gestione della PA e quindi gravare anche meno sul cittadino,
3 garantire maggiormente la trasparenza e la tracciabilità delle attività che vengono fatte al fine di
garantire la trasparenza avverso eventuali reati commessi nell’ambito della gestione dell’attività
amministrativa.
Tutti questi strumenti non si applicano solo nei rapporti con la PA, ma si applicano anche nei
rapporti tra privati.
Come si trasmettono i documenti? Quali sono gli strumenti di trasmissione?
NB Gli strumenti di trasmissione non devono essere confusi con gli strumenti di sottoscrizione.
Gli strumenti di trasmissione sono pec, posta elettronica .. cosa cambia se invio un’e-mail o una
pec? Limiti della pec: non abbiamo la certezza del mittente, io posso usare la pec di carmine,
nessuno sa se è riconducibile a me o a carmine. Con la pec, però, posso opporre l’avvenuto invio
e l’avvenuta ricezione del documento. Il presupposto è che sia mittente che destinatario abbiano la
pec (lavorano in ecosistema pec). Se io mando una pec ad un soggetto che sta in Francia, non
avrò l’effetto giuridico che mi voglio garantire utilizzando la pec a meno che il soggetto che sta in
Francia non è dotato di una pec italiana. Quindi la pec è uno strumento tutto italiano che funziona
solo in un ecosistema pec.
A livello europeo sono stati creati i cd servizi elettronici di recapito certificato qualificato che,
non solo funzionano in tutto il territorio dell’unione producendo gli effetti di opporre al terzo
l’avvenuto invio e l’avvenuta ricezione del messaggio, ma soprattutto consentono anche la
certezza di opporre al terzo il fatto o di ricondurre ad un determinato soggetto con certezza
quell’indirizzo, l’identificazione certa del mittente e del destinatario (che nella pec è un po' carente).
NB Differenza tra PEC e sottoscrizione: se io mando un documento tramite pec privo di
sottoscrizione, quel documento sarà sempre un documento informatico non sottoscritto ed ha
sempre tale valore, non è che perché l’ho mandato con pec gli ho attribuito chissà quale valore.
La pec è strumento idoneo a sostituire la sottoscrizione solo in determinati casi specificamente
individuati dalla legge e soprattutto nei rapporti tra cittadino e P.A.
Se io voglio partecipare ad un concorso e devo compilare la domanda di partecipazione, non
posso usare solo la pec (salvo che non sia uno specifico tipo di pec che si chiamava pec-id o salvo
che non rientro in specifici casi previsti dall’art 65), ai fini della validità della presentazione della
domanda dovrò allegare alla pec un documento sottoscritto digitalmente o, in via alternativa, potrò
allegare alla pec la scansione di un documento sottoscritto analogicamente unitamente alla
fotocopia di un documento d’identità. Ma questo solo nei rapporti tra cittadini e PA perché si
applica l’art 65 che prevede espressamente questa possibilità in applicazione di ciò che è sempre
stato previsto dal DPM 445/2000 in materia di documentazione amministrativa.

Sapete cos’è l’indirizzo e-mail istituzionale? È una pec? Può essere anche una pec. L’indirizzo
elettronico istituzionale è l’indirizzo che consente di identificare un soggetto in quanto appartenente
ad una determinata organizzazione: emilio.tucci@unina2.it è un indirizzo istituzionale perché mi
identifica come soggetto appartenente ad un’organizzazione istituzionale.
Emilio.tucci@avvocati.smcv.it è una pec appartenente agli ordini degli avvocati di smcv-› identifica
un soggetto in relazione ad una determinata organizzazione (ordine degli avvocati), non è un’e-
mail semplice ma una pec.
Sapete come funziona una pec? Quali sono i soggetti/protagonisti della pec? C’è un soggetto che
si chiama gestore della pec (esempio aruba).
Esistono 2 dinamiche:
1 emilio e carmine hanno entrambi lo stesso gestore
2 emilio e filomena hanno due gestori diversi
Però voi fruitori del sistema non ve ne rendete conto perché il sistema funziona sempre allo stesso
modo.
Quando io mando una pec a carmine, il mio messaggio viene inserito nella cd busta di trasporto.
Di che colore è? Non ha colore perché è un documento informatico! Dovete immaginarlo come un
documento informatico che ha dentro un altro documento informatico. Quella busta di trasporto, a
garanzia della sicurezza e della inalterabilità del contenuto, sarà o no firmata? Si. La busta di
trasporto viene firmata dal soggetto gestore (avviene tutto in automatico).
Io spedisco il messaggio, il mio gestore mi restituisce una ricevuta di accettazione che prova il fatto
che avete spedito una pec in un determinato giorno ad una determinata ora ma non prova la
consegna di quella pec perché sarà necessaria la ricevuta di avvenuta consegna che viene
rilasciata dal mio gestore (se abbiamo lo stesso gestore) o dal gestore del destinatario (se è
diverso). Quella di accettazione prova è il messaggio è stato spedito, quella di consegna prova che
il messaggio è stato ricevuto.
In quale momento si producono gli effetti dell’invio e della ricezione del messaggio? Il messaggio si
considera consegnato quando giulia lo legge o quando viene messo a sua disposizione nella
casella di pec? Nel momento in cui viene messo a disposizione e ciò in virtù del principio sancito
dall’art 1335 c.c. - Presunzione di conoscenza
La proposta, l'accettazione, la loro revoca e ogni altra dichiarazione diretta a una
determinata persona si reputano conosciute nel momento in cui giungono all'indirizzo del
destinatario, se questi non prova di essere stato, senza sua colpa, nell'impossibilita' di averne
notizia.
L’onore probatorio è inverito, è il soggetto che riceve il documento che deve dimostrare di non
averlo ricevuto senza sua colpa.
Questo concetto del 1335 è stato trasfuso nel CAD all’articolo 6 (utilizzo del domicilio digitale) al
comma 1 secondo periodo.
Questo è importante perché se non leggo i messaggi pec, gli effetti giuridici collegati a quella
casella pec si producono a prescindere dal fatto che ho aperto o no la casella pec.
Se mi viene notificata una sanzione per violazione del codice della strada, i 60 gg per l’opposizione
decorrono da quando il messaggio è nella mia disponibilità, non da quando lo leggo.
Lez 3
PEC
La pec funziona solo in ecosistema pec, quindi produce gli effetti solo se invio da una pec ad una
pec; se da una pec invio ad un’e-mail semplice o viceversa non ho prodotto gli effetti giuridici che
la pec mi garantisce. Quali sono questi effetti? La possibilità di opporre al terzo l’avvenuto invio e
l’avvenuta ricezione del documento. Perché è importante slegare il momento dell’invio dal
momento della ricezione? Perché sotto il profilo degli effetti si deve sdoppiare nel senso che
l’effetto notificatorio per il soggetto che spedisce inizia a decorrere dal momento in cui invia, per il
soggetto che riceve dal momento indicato nella ricevuta di avvenuta consegna. Quali sono gli
strumenti per opporre al terzo questo? Le ricevute di accettazione e di consegna. Oltre a queste
due c’è la ricevuta di anomalia e la ricevuta di presa in carico. Quella con cui voi vi confrontate se
siete utenti pec sono la ricevuta di accettazione, di consegna e di anomalia; mentre la ricevuta di

presa in carico è una ricevuta con cui si confrontano i gestori pec quando mittente e destinatario
non hanno lo stesso gestore.
Vediamo il modello
Immaginiamo che io e mena abbiamo lo stesso gestore aruba. A me la ricevuta di accettazione e
di consegna la farà pervenire aruba.
Se io e mena abbiamo due gestori diversi, io avrò una ricevuta di accettazione che mi sarà resa
dal mio gestore, sarà firmata dal mio gestore. La ricevuta di consegna mi perverrà tramite aruba
ma sarà rilasciata dal gestore di mena.
La RICEVUTA DI ACCETTAZIONE consente di opporre al terzo che quel messaggio è stato
spedito.
Immaginate che dovete partecipare ad un concorso, la domanda deve pervenire entro il giorno 3
aprile. Si guarda la ricevuta di accettazione o di consegna? La ricevuta di consegna. Si applica la
presunzione di conoscenza cioè a prescindere dal fatto che il destinatario legge quel contenuto, il
messaggio è considerato consegnato -› l’effetto della consegna si produce per il semplice fatto che
io ho spedito la pec a quel soggetto e che è stata messa a sua disposizione nella casella.
La RICEVUTA DI AVVENUTA CONSEGNA può essere breve (o sintetica) oppure completa.
La ricevuta breve contiene solo i dati di certificazione.
Ci sarà scritto che il giorno x dalla casella di emilio è stata inviato un messaggio alla casella di
mena e che quella e-mail è stata consegnata alla casella di destinazione, in più ci sarà una stringa
alfanumerica che consentirà di individuare in maniera univoca quella ricevuta. La ricevuta breve
corrisponde alla ricevuta che ricevete quando inviate una raccomandata con ricevuta di ritorno.
La ricevuta completa contiene i dati di certificazione e l’intero contenuto del messaggio spedito.
Questa è necessaria quando si compiono determinate attività ad esempio la notifica dell’atto
giudiziario.
Solo con la ricevuta completa potrò dire a mena che le ho spedito la pec in tot giorno e questa è la
ricevuta. Con la semplice ricevuta potrò provare che ha ricevuto proprio quella specifica
comunicazione.
È il soggetto mittente che, nelle proprie impostazioni di posta elettronica, decide quale delle due
ricevute vuole. Solitamente l’impostazione di default è la ricevuta completa.
Ma perché si può scegliere tra le due? Perché non dare solo la possibilità di ricevuta completa?
Perché avendo anche tutto il messaggio, comporta un file di ritorno molto pesante (ricevuta di
accettazione).
Le ricevute, a garanzia della loro sicurezza e della loro integrità, recano anche la sottoscrizione
digitale del gestore. Cioè il gestore che rende la ricevuta la firma per garantire che sia integra,
autentica e che non sia alterata o alterabile, questo risultato si può essere raggiunto utilizzando il
meccanismo delle firme digitali.
Per la validità della firma si guarda sempre al momento in cui è stata apposta, questa verifica è
automatica ed avviene attraverso i registri che vengono messi a disposizione dai gestori della pec.
La pec è importante ma ha quel limite che abbiamo detto.

Il legislatore europeo ha introdotto nel regolamento eidas un sistema che si chiama SERVIZIO
ELETTRONICO DI RECAPITO CERTIFICATO E SERVIZIO ELETTRONICO DI RECAPITO
CERTIFICATO QUALIFICATO.
Qual è la differenza? (poi dovremmo ricondurre la pec ad uno di questi 2 sistemi)
Art 3 del regolamento eidas paragrafo (cioè comma) 1 n. 36 e 37 li definiscono.
36) «servizio elettronico di recapito certificato», un servizio che consente la trasmissione di
dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui
prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio
di perdita, furto, danni o di modifiche non autorizzate;
La definizione è perfettamente calzante con quella di pec.
37) «servizio elettronico di recapito qualificato certificato», un servizio elettronico di recapito
certificato che soddisfa i requisiti di cui all’articolo 44;
Art 44 – requisiti per i servizi elettronici di recapito certificato qualificato
Devono essere forniti da uno o più prestatori dei servizi fiduciari qualificati [che sono dei soggetti
che devono avere specifici requisiti previsti dall’art 24 del regolamento eidas].

Devono garantire con un elevato livello di sicurezza l’identificazione del mittente.
Devono garantire l’identificazione del destinatario prima della trasmissione dei dati.
C’è una diversa forza rispetto all’identificazione del mittente e del destinatario.
L’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo
elettronico avanzato di un prestatore di servizi in modo da escludere la possibilità di modifiche non
rilevabili dei dati.
Qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente
e al destinatario.
La data e l’ora di invio e ricezione e qualsiasi modifica dei dati sono indicate da una validazione
temporale elettronica qualificata.
Secondo voi la pec qual è? Servizio elettronico di recapito certificato. Perché? Cosa manca alla
pec? Quello che manca alla pec è l’identificazione certa del mittente e del destinatario. Oggi
possiamo sicuramente ritenere che la pec rientra nel novero del s.e.r.c. ma che non può essere
considerato un s.e.r.c.q.
La pec deve crescere cioè deve diventare qualificata, perché? Quali sono gli effetti che dobbiamo
considerare? In primo luogo, dobbiamo considerare l’effetto giuridico che il legislatore europeo ha
attribuito al s.e.r.c. che è diverso da quello del s.e.r.c.q. Gli effetti li ritroviamo nell’art 43 del
regolamento eidas: ai dati inviati e ricevuti mediante un servizio elettronico di recapito certificato
non sono negati gli effetti giuridici di ammissibilità come prova nei procedimenti giudiziari per il
solo motivo della loro forma elettronica o perché non soddisfano i requisiti del servizio elettronico
di recapito certificato qualificato.
Significa che è validamente utilizzabile in giudizio, ma la valutazione dell’efficacia probatorio la farà
il giudice che tratterà il documento come un documento informatico con qualsiasi altro documento
informatico. In questo caso può esserci contestazione.
Per quanto riguarda il s.e.r.c.q., l’effetto è previsto dal comma 2: i dati inviati e ricevuti godono
della presunzione di integrità dei dati, dell’invio di tali dati da parte del mittente identificato o della
loro ricezione da parte del destinatario, dell’accuratezza della data e dell’ora.
Significa che se io con la pec devo essere pronto in un momento in cui c’è una contestazione a
dimostrare l’integrità dei dati, nell’ipotesi in cui questo servizio cresce e diventa qualificato, io non
dovrò provare niente, potrò godere di una presunzione di conoscenza. Il legislatore prevede una
presunzione legale (che si potrà vincere dicendo, ad esempio, che non si aveva disposizione della
casella ma con l’inversione dell’onore probatorio).
DOMICILIO DIGITALE
Cos’è il domicilio digitale?
Art 1 comma 1 CAD
n-ter) domicilio digitale: un indirizzo elettronico eletto presso un servizio di posta elettronica
certificata o un servizio elettronico di recapito certificato qualificato
Quindi è un indirizzo elettronico che deve essere appoggiato o ad una pec o ad un s.e.r.c.q.
Il domicilio è fondamentale ed è al centro di una rivoluzione anche nel rapporto tra il cittadino e la
PA perché si potrà comunicare facilmente con il cittadino attraverso il domicilio digitale.
Art 3 bis CAD
1. I soggetti di cui all’articolo 2, comma 2 [cioè la PA], i professionisti tenuti all’iscrizione in albi ed
elenchi e i soggetti tenuti all’iscrizione nel registro delle imprese hanno l’obbligo di dotarsi di un
domicilio digitale iscritto nell’elenco di cui agli articoli 6-bis o 6-ter.
Questo comma è importante perché ci dice quali sono i domicili digitali obbligatori.
Se vi chiedo: esistono in Italia domicili digitali obbligatori? Si. Quali sono? Sono il domicilio delle
PPAA, il domicilio di professionisti iscritti in albi ed elenchi, per esempio il medico (i professionisti
non iscritti negli albi no, per esempio l’amministratore di condominio) e i soggetti iscritti nel registro
delle imprese.
1-bis. Fermo restando quanto previsto al comma 1, chiunque ha facoltà di eleggere il proprio
domicilio digitale da iscrivere nell’elenco di cui all’articolo 6-quater.
L’art 6 quater disciplina l’indice nazionale dei domicili digitali e delle persone fisiche e degli altri enti
di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese. Ad
esempio un’associazione.

NB questo non significa che se emilio persona fisica vuole l’indirizzo pec non lo può avere perché
se lo vuole può comprarlo. Ma non è detto che emilio iscrive la pec nell’indice del domicilio digitale,
nel momento in cui lo iscrive, quell’indirizzo può essere utilizzato da tutti. Quando lo utilizza
rispetto ad un singolo rapporto, quell’indirizzo costituirà domicilio speciale in relazione a quello
specifico rapporto, domicilio speciale previsto dall’art 47 c.c.
Se eleggo un domicilio digitale facoltativo tutte le comunicazioni vanno fatte in questo modo?
La PA ha l’obbligo di utilizzare quel domicilio e non potrà addebitare costi diversi nel caso in cui
dovesse scegliere uno strumento alternativo per la comunicazione (digital first).
Fatto salvo quanto previsto al comma 3-bis, chiunque ha la facoltà di richiedere la
cancellazione del proprio domicilio digitale dall’elenco di cui all’articolo 6-quater.
Siccome è facoltativo, se lo eleggo posso anche chiedere la cancellazione.
1-ter. I domicili digitali di cui ai commi 1 e 1-bis sono eletti secondo le modalità stabilite con le
Linee guida. Le persone fisiche possono altresì eleggere il domicilio digitale avvalendosi del
servizio di cui all’articolo 64-bis.
1-quater. I soggetti di cui ai commi 1 e 1-bis hanno l’obbligo di fare un uso diligente del proprio
domicilio digitale e di comunicare ogni modifica o variazione del medesimo secondo le modalità
fissate nelle Linee guida.
Le linee guida che vengono predisposte dall’agid devono indicare anche le modalità con cui si
possono aggiornare i dati relativi al domicilio digitale perché, ad esempio, potrei cambiare gestore
e quindi l’indirizzo. Sarà mio dovere, nonché interesse, aggiornarlo perché fin quando non modifico
la pec nell’indice dei domicili, continuerà ad essere attivo il domicilio digitale precedentemente
comunicato.
3-bis. Con decreto del presidente del consiglio è stabilita la data a decorrere dalla quale le
comunicazioni tra i soggetti di cui all’articolo 2, comma 2 [PA], e coloro che non hanno provveduto
a eleggere un domicilio digitale ai sensi del comma 1-bis, avvengono esclusivamente in forma
elettronica.
Fino ad oggi c’è la facoltà, si può scegliere di avere il domicilio: se il soggetto sceglie di averlo, le
comunicazioni devono arrivargli elettronicamente; se sceglie di non averlo, l’amministrazione può
utilizzare il cartaceo. Ma ci sarà un momento in cui si darà vita al cd switch off cioè tutte le
comunicazioni avverranno elettronicamente.
Come avverranno se un soggetto non ha eletto domicilio? La norma dice:
Con lo stesso decreto sono determinate le modalità con le quali ai predetti soggetti è messo a
disposizione un domicilio digitale e sono individuate altre modalità con le quali, per superare il
divario digitale
Significa che se un soggetto non ha eletto il domicilio, io spengo tutte le altre possibilità e
attribuisco automaticamente al soggetto un domicilio che varrà per tutte le comunicazioni aventi
efficacia legale nei confronti della PA.
Devo tener conto anche del cd divario digitale perché Davide ha 20 anni ma ci può essere il nonno
che è più anziano e non ha dimestichezza con la tecnologia e deve essere messo in grado di poter
comunque continuare a ricevere le comunicazioni del caso.
i documenti possono essere consegnati a coloro che non sono in grado di accedere direttamente a
un domicilio digitale. Questo si deve fare per superare il divario digitale.
Il comma 3 bis è relativo ad un’attività che deve essere ancora fatta, non è stata compiuta questa
attività, non c’è ancora questo decreto di switch off ma ci sarà.
4. A decorrere dal 1° gennaio 2013, salvo i casi in cui è prevista dalla normativa vigente una
diversa modalità di comunicazione o di pubblicazione in via telematica [deve esserci un’eccezione
altrimenti la regola è questa] le amministrazioni pubbliche e i gestori o esercenti di pubblici servizi
comunicano con il cittadino esclusivamente tramite il domicilio digitale dallo stesso
dichiarato, anche ai sensi dell’articolo 21-bis della legge 7 agosto 1990, n. 241, senza oneri di
spedizione a suo carico.
Spesso questa norma viene disapplicata (sono previste sanzioni) soprattutto per la mancata
conoscenza dei cittadini di questa norma.
Ogni altra forma di comunicazione non può produrre effetti pregiudizievoli per il destinatario.
L’utilizzo di differenti modalità di comunicazione rientra tra i parametri di valutazione della

performance dirigenziale ai sensi dell’articolo 11, comma 9, del decreto legislativo 27 ottobre 2009,
n. 150.
Se vado a valutare questa performance, ti vado a toccare il portafogli perché non ti riconosco
quelle premiliatà che sono previste per quella percentuale di emolumenti variabili che compongono
lo stipendio di chi esercita l’attività (?).
4-bis. In assenza del domicilio digitale e fino alla data fissata nel decreto di cui al comma 3-bis [sta
disciplinando il momento transitorio, cioè questo momento: il decreto di switch off non esiste
ancora, quindi ci sono casi in cui i cittadini non hanno ancora eletto il domicilio digitale] i soggetti di
cui all’articolo 2, comma 2, possono predisporre le comunicazioni ai soggetti che non hanno eletto
un domicilio digitale ai sensi del comma 1-bis come documenti informatici sottoscritti con firma
digitale o firma elettronica qualificata o avanzata, da conservare nei propri archivi, [siccome si
applica il principio del digital first, il documento va comunque formato come documento nativo
digitale, dopodiché se deve essere spedito a chi non ha domicilio digitale, si può spedire a questo
soggetto con posta ordinaria o posta raccomandata con avviso di ricevimento] ed inviare agli
stessi, per posta ordinaria o raccomandata con avviso di ricevimento, copia analogica di tali
documenti sottoscritti con firma autografa sostituita a mezzo stampa predisposta secondo le
disposizioni di cui all’articolo 3 del decreto legislativo 12 dicembre 1993, n. 39 [si stampa, non devi
firmarla, puoi semplicemente dire ‘emilio tucci con firma stampa ai sensi del 39’]
4-ter. Le disposizioni di cui al comma 4-bis soddisfano a tutti gli effetti di legge gli obblighi di
conservazione e di esibizione dei documenti previsti dalla legislazione vigente laddove la copia
analogica inviata al cittadino contenga una dicitura che specifichi che il documento informatico,
da cui la copia è tratta, è stato predisposto ed è disponibile presso l’amministrazione in conformità
alle regole tecniche di cui all’articolo 71.
4-quater. Le modalità di predisposizione della copia analogica di cui ai commi 4-bis e 4-ter
soddisfano le condizioni di cui all’articolo 23, comma 2-bis, salvo i casi in cui il documento
rappresenti, per propria natura, una certificazione rilasciata dall’amministrazione da utilizzarsi nei
rapporti tra privati.
Qui richiama la disciplina sulla formazione della copia (23 comma 2 CAD).
4-quinquies. Il domicilio speciale di cui all’articolo 47 del Codice civile può essere eletto anche
presso un domicilio digitale diverso da quello di cui al comma 1-ter. In tal caso, ferma restando la
validità ai fini delle comunicazioni elettroniche aventi valore legale, colui che lo ha eletto non può
opporre eccezioni relative alla forma e alla data della spedizione e del ricevimento delle
comunicazioni o notificazioni ivi indirizzate.
Se davide iscrive nell’indice il suo indirizzo pec ma poi partecipa ad un concorso e dice che vuole
ricevere le comunicazioni di quel concorso su un altro indirizzo, esclusivamente per quella
procedura concorsuale l’amministrazione dovrà far pervenire tutte le comunicazioni su quella pec.
È un po' che quello già accade quando vi viene chiesto di indicare un indirizzo pec per partecipare
a quel concorso, l’indicazione di quell’indirizzo pec la state facendo eleggendo il domicilio speciale
ai sensi dell’art 47 c.c. Domicilio speciale significa che quell’indirizzo può essere usato solo per gli
specifici affari che vengono indicati.
L’art 3 bis descrive la struttura, i passaggi che si devono fare, come funziona da un punto di vista
di validità.
Art. 6. Utilizzo del domicilio digitale

1. Le comunicazioni tramite i domicili digitali sono effettuate agli indirizzi inseriti negli elenchi di cui
agli articoli 6-bis [indice domicili digitale dei professionisti e delle imprese], 6-ter [indice delle
PPAA] e 6-quater [indice dei domicili digitali delle persone fisiche e degli altri enti di diritto privato
non soggetti a registrazione nel registro delle imprese], o a quello eletto come domicilio speciale
per determinati atti o affari ai sensi dell’articolo 3-bis, comma 4-quinquies [quindi, tutte le
comunicazioni tra domicili digitali sono fatte tra questi indirizzi; da un domicilio digitale si scrive ad
un altro domicilio digitale].
Le comunicazioni elettroniche trasmesse ad uno dei domicili digitali di cui all’articolo 3-bis [tutti, sia
obbligatori che facoltativi] producono, quanto al momento della spedizione e del ricevimento, gli
stessi effetti giuridici delle comunicazioni a mezzo raccomandata con ricevuta di ritorno ed
equivalgono alla notificazione per mezzo della posta salvo che la legge disponga diversamente.

[Quindi c’è l’espressa equiparazione dell’utilizzo del domicilio digitale alla raccomandata con
ricevuta di ritorno]
Le suddette comunicazioni si intendono spedite dal mittente se inviate al proprio gestore e si
intendono consegnate se rese disponibili al domicilio digitale del destinatario, salva la prova che
la mancata consegna sia dovuta a fatto non imputabile al destinatario medesimo.
[viene esplicitato il concetto della presunzione di conoscenza (così come segnalata anche dall’art
1335 c.c.) con riferimento al domicilio digitale]
La data e l’ora di trasmissione e ricezione del documento informatico sono opponibili ai terzi se
apposte in conformità alle Linee guida. [Questa precisazione è forse anche eccessiva perché se è
vero che il domicilio digitale è formato o da una pec o da un s.e.r.c.q., e se è vero che il s.e.r.c.q. è
un servizio eidas, tra le caratteristiche del servizio eidas c’è anche quella relativa all’opponibilità
della data e dell’ora. Quindi è una ripetizione di qualcosa che è già previsto a livello sovranazionale
da parte di eidas. Le linee guida a cui si fa riferimento qui sono un appesantimento di un qualcosa
che già è previsto da una sovranazionale a diretta applicazione nel territorio].
1-ter. L’elenco dei domicili digitali delle imprese e dei professionisti è l’Indice nazionale dei domicili
digitali (INI-PEC) delle imprese e dei professionisti di cui all’articolo 6-bis. L’elenco dei domicili
digitali dei soggetti di cui all’articolo 2, comma 2, lettere a) e b), è l’Indice degli indirizzi della
pubblica amministrazione e dei gestori di pubblici servizi, di cui all’articolo 6-ter. L’elenco dei
domicili digitali delle persone fisiche e degli altri enti di diritto privato diversi da quelli di cui al primo
e al secondo periodo è l’Indice degli indirizzi delle persone fisiche e degli altri enti di diritto privato
di cui all’articolo 6-quater. Qui è fatta una semplice elencazione
1-quater. I soggetti di cui all’articolo 2, comma 2 [PPAA], notificano direttamente presso i domicili
digitali di cui all’articolo 3-bis i propri atti, compresi i verbali relativi alle sanzioni amministrative, gli
atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all’articolo 2 del regio decreto
14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario.
Questo significa che, se in ambito tributario ci sono delle specifiche disposizioni in relazione alla
notifica di determinati atti, prevarranno quelle disposizioni, fermo restando che per tutti gli altri atti
si potrà utilizzare la modalità semplice del domicilio digitale.
La conformità della copia informatica del documento notificato all’originale è attestata dal
responsabile del procedimento in conformità a quanto disposto agli articoli 22 e 23-bis.
Ancora una volta si fa riferimento alle norme sulla dematerializzazione.
Art. 6-quater. Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto
privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese
1. È istituito il pubblico elenco dei domicili digitali delle persone fisiche e degli altri enti di diritto
privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese, nel quale sono
indicati i domicili eletti ai sensi dell’articolo 3-bis, comma 1-bis. La realizzazione e la gestione
dell’Indice sono affidate all’AgID, che vi provvede avvalendosi delle strutture informatiche delle
Camere di commercio già deputate alla gestione dell’elenco di cui all’articolo 6-bis.
Dice da chi è istituito e come è tenuto, non ci interessa.
2. Per i professionisti iscritti in albi ed elenchi il domicilio digitale è l’indirizzo inserito nell’elenco di
cui all’articolo 6-bis [il mio domicilio digitale come avvocato è anche il mio domicilio digitale come
cittadino], fermo restando il diritto di eleggerne uno diverso ai sensi dell’articolo 3-bis, comma 1-bis
[se voglio avere un domicilio come cittadino e uno come professionista, ho la possibilità di farlo]. Ai
fini dell’inserimento dei domicili dei professionisti nel predetto elenco il Ministero dello sviluppo
economico rende disponibili all’AgID, tramite servizi informatici individuati nelle Linee guida, i
relativi indirizzi già contenuti nell’elenco di cui all’articolo 6-bis [cioè c’è la possibilità di effettuare
questa ulteriore indicazione per il professionista].
Art. 6-quinquies. Consultazione e accesso

La cosa più importante da sapere è che a questi albi (tutti quelli di cui abbiamo parlato) si può
accedere liberamente, non c’è un accesso riservato. Se non c’è una preventiva autorizzazione del
titolare dell’indirizzo, quell’indirizzo può essere utilizzato solo per comunicazioni che hanno un
valore legale o per comunicazioni relativa alla finalità istituzionale delle PPAA. Con questa
precisazione si è voluto evitare che quegli albi possano essere saccheggiati per inviare poi, ad
esempio, materiale pubblicitario (spamming). Posso usare quell’indirizzo estratto dal domicilio

digitale solo per mandare la disdetta ad esempio del contratto di locazione, una diffida ad
adempiere ecc., non possono essere utilizzati per materiali pubblicitari.
1. La consultazione on-line degli elenchi di cui agli articoli 6-bis, 6-ter e 6-quater è consentita a
chiunque senza necessità di autenticazione. Gli elenchi sono realizzati in formato aperto.
2. L’estrazione dei domicili digitali dagli elenchi, di cui agli articoli 6-bis, 6-ter e 6-quater, è
effettuata secondo le modalità fissate da AgID nelle Linee guida.
3. In assenza di preventiva autorizzazione del titolare dell’indirizzo, è vietato l’utilizzo dei domicili
digitali di cui al presente articolo per finalità diverse dall’invio di comunicazioni aventi valore legale
o comunque connesse al conseguimento di finalità istituzionali dei soggetti di cui all’articolo 2,
comma 2.
4. Gli elenchi di cui agli articoli 6-bis, 6-ter e 6-quater contengono le informazioni relative alla
elezione, modifica o cessazione del domicilio digitale.
Cioè ci sarà traccia di tutto ciò che accade rispetto ad un domicilio digitale sempre al fine di poter
opporre validamente a terzi gli effetti che si producono attraverso l’invio ad un domicilio digitale
piuttosto che ad un altro. Mi spiego meglio. Se io oggi ho il domicilio digitale del cittadino che
abbiamo detto essere facoltativo e abbiamo anche che oggi c’è la possibilità di cancellare quel
domicilio, io domani devo poter dimostrare che la pec mi ha inviato il comune di Caserta oggi è
regolarmente valida anche se poi fra un anno io non risulto più nell’indice dei domicili digitali
perché a quella data la mia pec era attiva ed era funzionante.
DOMANDE D’ESAME
-documento informatico
-firma ed efficacia probatoria di ciascuna di essa
-firma digitale
-differenza firma elettronica avanzata e digitale
-differenza firma digitale e elettronica qualificata
-valore documento informatico con firma digitale
-valore probatorio del documento informatico
-riferimento temporale associato alla firma
-copia analogica di un documento informatico
-differenza tra copia informatica di un documento informatico e duplicato
informatico
-copia informatica di un documento analogico
-domicilio digitale + professionisti obbligati ad iscrizione
-domicilio speciale
-pec a che serve e limiti
-ricevute pec
-serc e sercq
-identificazione forte e debole pec, serc, sercq?
Lez 4
PRIVACY
Oggi inizieremo a parlare di privacy. Sono tanti i temi collegati alla privacy, dobbiamo fare una
selezione. Partiamo dalla norma di riferimento: regolamento europeo 679 del 2016. Tale norma,
come abbiamo visto in ambito di documenti, firme, etc., per quanto riguarda il famoso regolamento
EIDAS, ha previsto un quadro unitario in materia di protezione delle persone fisiche, con riguardo
al trattamento dei dati personali, nonché anche con specifico riferimento alla libera circolazione dei
dati nell’ambito di tutto il territorio europeo. Questo è un primo punto di partenza fondamentale.
Non dobbiamo però dimenticare che, allo stesso modo di quanto accaduto con il CAD e il
regolamento EIDAS, anche con riferimento al trattamento dei dati personali, noi abbiamo la norma
europea, quindi il regolamento che ha portata precettiva su tutto il territorio dell’Unione ed è
direttamente applicabile. Ma poi è rimasto in vigore, seppur profondamente modificato, il famoso
d.lgs. n.196 del 2003, anche noto come ‘codice della privacy’. Molti articoli di tale decreto sono

stati abrogati, altri sono rimasti in vigore perché vanno a riempire quegli spazi che il regolamento
europeo ha lasciato al legislatore nazionale.
Quando si parla di privacy, a cosa si fa riferimento? Qual è la finalità del regolamento in materia di
trattamento dei dati personali? Si mira a tutelare, a proteggere le persone fisiche, con specifico
riferimento al trattamento dei dati personali, nonché con specifico riferimento alla circolazione di
questi dati nel territorio europeo. Sono dati che riguardano una persona fisica. Il diritto alla privacy
è un diritto costituzionalmente garantito, dato dall’art. 2 Cost.
Oggi, quando si parla di dato personale, a cosa si fa riferimento?
Esempio concreto: nell’applicazione di ‘contact tracing’, qual è il dato da tutelare, dove si pone il
problema della privacy?
Il dato personale è qualsiasi dato che consente di individuare una persona direttamente o
indirettamente. Se ti chiedo quanto porti di piede e mi dici 39, stiamo parlando di un dato
personale? No, perché il 39 può averlo anche un’altra persona. Se io chiedo il numero di telefono,
quello è un dato personale perché consente indirettamente di individuare la persona. L’indirizzo IP
anche è un dato personale, perché mi consente di risalire indirettamente all’utenza da cui è partita
quella determinata connessione. Se scatto una foto a una persona per strada e poi la pubblico su
fb, sto violando sicuramente il diritto all’immagine, e contestualmente anche la privacy di quella
persona. Da qui derivano una serie di conseguenze importanti in relazione alla gestione anche dei
social media. Potete scattare una foto al prof nel corridoio dell’uni e pubblicarla su fb? La potete
pubblicare solo se alla base c’è il diverso meccanismo del consenso. Se invece il prof è a un
convegno, potete scattare la foto e pubblicarla su fb? Sì, perché c’è un bilanciamento tra diritti
contrapposti. Siccome si tratta di un evento pubblico, c’è la libera manifestazione del pensiero,
eventualmente estrinsecata nell’ambito del diritto di cronaca, e quindi c’è la possibilità di pubblicare
quell’immagine.
Prima venivano distinti i dati personali, da quelli sensibili e da quelli giudiziari.
Oggi quelli che prima erano chiamati dati sensibili, sono inseriti nella categoria chiamata ‘particolari
categorie di dati personali’, disciplinata dall’art.9 del regolamento privacy. In maniera atecnica oggi
si continuano a chiamare ‘dati sensibili’. Queste ‘particolari categorie di dati personali’ sono
sempre dati personali, che attengono a una sfera più intima e riservata di un individuo, ad es. la
confessione religiosa, o l’origine razziale o etnica, l’orientamento sessuale, o il dato attinente allo
stato di salute (molto attuale). Se mi scattate oggi una foto va bene, io oggi sto bene.. ma se più in
là io avrò il braccio ingessato e mi scatterete la foto, da quella foto si rileva il mio stato di salute-> il
dato muta, e al mutare della tipologia del dato mutano le cautele che devono essere adottate per
trattare quel determinato dato. Se posso sapere che tizio è positivo al covid, io non solo so un dato
personale, ma so un dato personale che attiene ad un’area più riservata, è un dato relativo alla
salute, che quindi prevede un enforcement sotto il profilo della tutela.
La definizione di ‘dato personale’ la ritrovate nell’art.4 del regolamento europeo: “Il dato
personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile”
ricorda che quando si parla di privacy lo si fa sempre con riferimento alle persone fisiche. Non ci
preoccupiamo di privacy relativa ad aziende, società etc. -> il nome mediaset non è un problema.
Devo pormi il problema se vado a trattare il dato del legale rappresentante di mediaset, persona
fisica.
Come si chiama la persona fisica i cui dati vado a trattare? Si chiama ‘interessato al
trattamento’. Nell’ambito di un rapporto universitario, rispetto all’università e al docente siete gli
interessati al trattamento, perché ogni qualvolta io tratto un vostro dato voi avete interesse che
quel dato sia trattato in un determinato modo.
Continuando l’articolo: “Si considera identificabile la persona fisica che può essere identificata
direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un
numero di identificazione, i dati relativi all’ubicazione, un identificativo online, o a uno o più
elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale
o sociale”
Art 9 comma 1 del regolamento europeo: “E’ vietato trattare dati personali che rilevino l’origine
razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza
sindacale, nonché trattare dati genetici, biometrici, intesi a identificare in modo univoco una
persona fisica, dati relativi alla salute o alla vita sessuale, all’orientamento sessuale della persona.”

Dobbiamo rilevare la circolarità di tutti i temi di cui ci stiamo occupando. Io ho fatto riferimento
nell’art.9 al dato biometrico. Mettetelo in relazione con il dato biometrico di cui abbiamo parlato con
specifico riferimento alla firma elettronica avanzata (quando abbiamo detto che questa può essere
anche basata su tecnologia biometrica). Quindi quando ci si preoccupa di disciplinare la firma
elettronica avanzata ci si deve porre anche dei problemi di tutela della privacy.
Il giurista che affronta un determinato tema, lo deve guardare a 360 gradi -> perciò all’esame
mentre parliamo di firma elettronica avanzata, potrei chiedervi la privacy… si tratta di circolarità!
Abbiamo visto quali sono i dati. Ma quali sono i soggetti della privacy? Uno già lo conoscete,
cioè l’interessato al trattamento. Poi abbiamo:
- il titolare
- il responsabile del trattamento
- il DPO (introdotto da poco)
- (vecchio) incaricato del trattamento.
Chi è il titolare del trattamento? E’ colui che raccoglie e tratta i vostri dati.
Prima di soffermarci però sui soggetti, dobbiamo chiarire cosa si intende per ‘trattamento’.
Titolare, responsabile e incaricato sono i soggetti che trattano il dato personale dell’interessato. Poi
abbiamo il responsabile della protezione dei dati personali, detto anche DPO che svolge un’altra
determinata funzione. Ma dove troviamo la definizione di ‘trattamento del dato personale’?
Sempre nell’art.4 -> ci dice che il trattamento è qualsiasi operazione o insieme di operazioni,
compiute con o senza l’ausilio di processi automatizzati applicati a dati personali o insiemi di dati
personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione,
l’adattamento, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante
trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto,
l’interconnessione, la limitazione, la cancellazione e la distruzione -> è un’ampissima definizione.
Quando si parla di trattamento dei dati personali si fa riferimento a una qualsiasi delle attività che vi
ho appena descritto. Se raccolgo un dato sto effettuando trattamento, se registro un dato sto
effettuando trattamento. Ma posso registrare un dato che non ho raccolto? Certo perché l’ha
raccolto qualcun altro che me l’ha poi dato. Posso organizzare, conservare dati…? Certo, tutte
queste sono attività di trattamento dei dati personali.
Il titolare del trattamento è colui che ha la responsabilità del trattamento dei dati. Lo fa direttamente
o avvalendosi del responsabile del trattamento. Il titolare del trattamento è sempre una persona
fisica?
Es. trenitalia -> comprate un biglietto su trenitalia. I vostri dati da chi sono trattati? Chi è il titolare
del trattamento? Trenitalia.. e come fa a trattarli? Attraverso un responsabile… insomma è sempre
una persona fisica, oppure può essere una persona giuridica che opera però per il tramite del suo
legale rappresentante, che è una persona fisica.
Es. 2: università. Chi è il titolare del trattamento? L’università, in persona del rettore. E chi sono il
direttore del dipartimento, o i singoli docenti? Il direttore del dipartimento è il responsabile del
trattamento, mentre i singoli docenti/personale di segreteria (tutti coloro che trattano i nostri dati)
sono gli incaricati del trattamento. Qual è l’elemento discriminante? Il titolare e il responsabile
sono coloro che individuano le misure, le modalità, per ottenere un corretto trattamento dei dati
personali.
Chi è l’incaricato? L’incaricato sostanzialmente non ha potere di incidere su quelle norme o quelle
disposizioni di organizzazione stabilite dal titolare e dal responsabile, ma esegue le indicazioni che
da questi gli sono state impartite, ai fini di dar vita a un corretto trattamento dei dati personali.
Avete sentito quello che è successo all’INPS per la questione dei rimborsi per il sostegno a
lavoratori, famiglie etc… c’è stato un problema in relazione ai dati personali degli utenti. In quel
caso, chi è il titolare del trattamento? L’INPS in persona del suo presidente, insieme a tutti i
responsabili del trattamento.. quindi se dobbiamo individuare le responsabilità, sotto un profilo
giuridico di responsabilità, si andranno ad analizzare sul piano dei ruoli determinanti
nell’organizzazione, nella sicurezza e nella tenuta di quei dati.
Detto ciò, vediamo l’ambito di operatività del GDPR (il regolamento europeo di cui stiamo
parlando). Il GDPR ha apportato un’innovazione rilevante rispetto alla disciplina previgente.
Quest’ultima, ossia il d.lgs. 196 era un d.lgs. che dava attuazione alla direttiva 95 della comunità

europea, direttiva in materia di protezione dei dati personali su tutto il territorio dell’Unione. Si
trattava però di una direttiva, che doveva essere quindi recepita in ogni singolo ordinamento
nazionale. Ciò ha comportato che, nonostante un profilo generale unitario, ogni stato poi ha
adottato quella direttiva nella maniera che riteneva più opportuna -> ciò ha privato di una concreta
norma unitaria su tutto il territorio unionale. Il regolamento ha avuto l’obiettivo di superare questo
gap. Ha introdotto un’importante novità, perché la norma trova applicazione per tutti quei
trattamenti che, non solo sono effettuati nel territorio nazionale o comunque europeo, ma anche
per tutti quei trattamenti che anche dal di fuori del territorio europeo, hanno ad oggetto i dati di un
cittadino europeo -> mentre prima per sfuggire all’applicazione della disciplina europea era
sufficiente posizionare i server per territorio europeo, perché si aveva un trattamento extraUe e
non si riteneva applicabile perché la norma non prevedeva che fosse applicabile la disposizione
unitaria a maggior garanzia dei cittadini dell’Unione, con il regolamento si è arrivati a una
conclusione differente: a prescindere da dove si trova il server, se tu rivolgi servizi a cittadini
europei devi rispettare le regole che sono state imposte dall’Unione. Si rinviene appunto all’art.3
del regolamento.
Art.3:
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle
attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del
trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno
nell'Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano
nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non
è stabilito nell'Unione (-> quindi l’interessato si deve trovare nell’Unione, e il titolare o il
responsabile che trattano questi dati possono anche non essere stabiliti nell’Unione) quando le
attività di trattamento riguardano:
a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente
dall'obbligatorietà di un pagamento dell'interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all'interno dell'Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del
trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro
in virtù del diritto internazionale pubblico.
Quindi, principio della territorialità -> il regolamento si applica quando io tratto il dato di un
interessato stabilito nell’Unione, che si trova nell’Unione. Questo accade quando le attività di
trattamento riguardano l’offerta di beni, la prestazione di servizi ai suddetti interessati dell’Unione..
quindi facciamo un esempio concreto: se voi sottoscrivete un contratto con Fb per un servizio di
Cloud ce ne freghiamo del fatto che Fb ha i suoi server in California, perché sta fornendo un
servizio a interessati che si trovano in Italia. La norma dice ‘indipendentemente dall’obbligatorietà
di un pagamento dell’interessato’ -> questo è fondamentale: il regolamento si applica anche se
quell’offerta di beni o servizi non è direttamente legata a un pagamento. Pensate a fb. Voi pagate?
No. Ma questa precisazione vi dice, a scanso di qualsiasi equivoco, che anche se non c’è
l’obbligatorietà di un pagamento dell’interessato, comunque si applica la disciplina prevista dal
regolamento europeo (GDPR).
Qua possiamo aprire un ulteriore tema d’approfondimento. I nostri dati personali costituiscono un
valore fondamentale per ciascuno di noi. Valore fondamentale che rappresenta anche il prezzo dei
servizi che noi utilizziamo. Non è vero che i servizi che utilizziamo sono gratuiti, perché se è vero
che google, fb etc. sono tra i più grandi colossi mondiali, non lo sono certamente diventati offrendo
gratuitamente i loro servizi. Lo sono diventati perché? Google vende pubblicità ad inserzionisti,
aziende, che vogliono veicolare il loro messaggio pubblicitario tramite quella specifica piattaforma.
Come fa a vendere questa pubblicità? Utilizzando i dati di tutti quanti noi, e non vende i dati, ma
vede profili, gruppi di dati.. in che senso? A voi perché arriva la pubblicità mirata di un volo areo,
piuttosto che di un ristorante etc? Perché venite profilati, vengono profilate le vostre preferenze,
tanto su google quanto su fb. Quindi se io produco borse e ho bisogno di fare pubblicità delle mie
borse, come faccio? Google ha una grande capacità di contrattazione determinata dal gran
numero di utenti profilati che ha, quindi la mia pubblicità di borse a Carmine non arriverà, ma

arriverà probabilmente a Mena. Tutto questo si basa sul massimo profitto nell’utilizzo dei vostri
dati. I vostri dati rappresentano un valore economico fondamentale. Considerate che ogni casella
email a google costa circa 10 dollari all’anno, per ogni utente… e non lo fa di certo gratis. Sono
quindi servizi che noi paghiamo con i nostri dati. Ma non dobbiamo immaginare che qualcuno
faccia qualcosa a nostra insaputa, perché se questo succede è solo perché voi non prestate
attenzione alle indicazioni date. Quando viene data la cd. informativa, questa dice per filo e per
segno come i vostri dati vengono trattati, a chi vengono dati e cosa possono farci. Molto spesso
accade che vengono trattati lecitamente sulla base delle specifiche autorizzazioni che avete
prestato. Il dato deve essere tutelato con assoluta attenzione. Possono fare tutte le norme migliori
possibili e immaginabili, ma se una delle basi giuridiche è il consenso e voi prestate il consenso
perché non leggete nulla.. è inutile.
Siamo partiti da una norma che dice ‘indipendentemente dall’obbligatorietà del pagamento
dell’interessato’-> queste 4 parole sono fondamentali perché la maggior parte dei servizi che
utilizziamo sul web ci vengono fatti passare come servizi gratuiti, ma in realtà non lo sono per
niente perché sfruttano i nostri dati.
Continuando con la norma:
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all'interno dell'Unione. -> significa profilazione. Io posso avere la fornitura del servizio a
prescindere dal fatto che ti profilo, ma posso avere anche la fornitura del servizio collegato alla
profilazione, o anche una profilazione che non dipenda strettamente dal servizio. Quindi se alla
base c’è un’attività di profilazione, questa fa scattare automaticamente il criterio della territorialità
collegata al luogo in cui si trova l’interessato.
La norma è fondamentale perché si è evitato che, attraverso meccanismi elusivi, si potesse
aggirare la disciplina europea di protezione dei dati personali.
Prima si diceva: si applica la disciplina se il soggetto che tratta i dati è stabilito nel territorio
europeo o se all’interno del territorio europeo ha i suoi server, o comunque strumenti per il
trattamento dei dati personali.
Altra premessa: noi stiamo parlando di privacy. Lo faremo con specifico riferimento alla privacy
digitale, ma le questioni che stiamo affrontando non sono relative solo alla privacy digitale, sono
relative al trattamento del dato a 360 gradi. Sono regole che si applicano anche al trattamento dei
dati tradizionali. Quando andate da pittarosso e vi fanno la carta fedeltà, questa serve a profilare
gli utenti. Ogni volta che la passate loro sanno precisamente cosa avete comprato, quindi hanno il
profilo del determinato utente.. e su quel determinato profilo vengono anche effettuate le
promozioni, tarati i messaggi pubblicitari etc.
Vediamo ora quali sono i principi applicabili al trattamento dei dati personali.
Art.5 del regolamento 679 del 2016:
“1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza
e trasparenza»);
-> i principi di liceità, correttezza e trasparenza sono fondamentali. Come si declinano questi
principi? Il dato deve essere trattato in modo lecito. Quand’è trattato in modo lecito? -> artt. 6 e 9.
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non
sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione
nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente
all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della
finalità»);
-> io devo trattare il dato quando è nota la finalità per cui lo vado a trattare. Quindi devono essere
esplicite e legittime. Esempio. Se io voglio trattare i dati di tutti i soggetti positivi al covid, quale
potrebbe essere la finalità del trattamento? Contenere la diffusione del covid, quindi tutelare la
salute pubblica. Ma se io fisso una determinata finalità devo trattare quei dati in base a
quell’esplicita finalità. Se io raccolgo quel dato per quella finalità, devo usarlo per quella finalità. Se
io acquisisco il vostro nome, cognome e matricola, al fine della verbalizzazione dell’esame, non

posso poi prendere questi dati e cederli al soggetto x che fa analisi sull’andamento del percorso
universitario.. perché quella non è una finalità esplicita rispetto all’informativa che vi è stata data.
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
(«minimizzazione dei dati»);
-> principio di pertinenza. Esempio. Se io dico a Carmine ‘come ti chiami, cognome, data di
nascita, matricola’, sto trattando dei dati pertinenti rispetto all’attività che io sto ponendo in essere.
Se io però gli chiedo il numero di telefono, sto cercando di trattare un dato che non è affatto
pertinente con la verbalizzazione dell’esame. Ma attenzione, se invece il sistema dell’università
fosse impostato in modo tale in cui il voto arriva dopo l’inserimento del numero di telefono dello
studente su cui arriva il messaggio che deve essere confermato, la richiesta del numero di telefono
sarebbe pertinente.
Questo per dire che in ogni singolo caso deve essere effettuata una valutazione.
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per
cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati
(«esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non
superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere
conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di
archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate
richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione
della conservazione»);
-> se io ho raccolto i dati di tutte le persone che entrano in contatto tra loro, al fine di poter avvisare
le persone eventualmente entrate in contatto con un positivo nel periodo dell’emergenza covid..
quando finirà l’emergenza quei dati dovranno essere cancellati perché è venuta meno la finalità
per la quale erano stati raccolti. Quindi non devono essere conservati per un periodo superiore al
conseguimento delle finalità per le quali sono stati trattati.
Su questo c’è una postilla importante relativa un altro diritto costituzionalmente garantito: diritto di
cronaca e della libera manifestazione del pensiero, quando dice che i dati possono essere
conservati per periodi più lunghi di quelli necessari al conseguimento delle finalità ‘a condizione
che…….” -> è importante questo perché consente di conservare determinati dati per una finalità
archivistica, di interesse pubblico (nel rispetto delle conformità di cui all’art.89).
Esempio. Se io acquisto su amazon un libro e inserisco nome, cognome, residenza, secondo voi
per quanto tempo dovrebbe conservare questi dati? Il diritto di amazon di trattare il vostro dato non
finisce con il momento della consegna del libro, perché sicuramente amazon deve adempiere
obblighi di fatturazione e gestione contabile.. quindi quel dato potrà essere trattato da amazon per
la finalità contabile, finchè sarà necessario, secondo le norme che regolano quelle specifiche
scritture. Magari la fattura deve essere conservata per 5 anni.. e quindi il vostro dato sarà
conservato 5 anni.
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione,
mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla
perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo
(«responsabilizzazione»).
Riassumendo i principi:
a)liceità, correttezza, trasparenza
b)finalità determinate, esplicite e legittime
c)dati adeguati, pertinenti e limitati.
Bisogna analizzare i singoli casi e le singole fattispecie, perché potremmo avere un trattamento
lecito, ma in violazione del principio della pertinenza. Sarebbe lecito perché avverrebbe nel rispetto
di una determinata base giuridica. Posso utilizzare l’app per fare il contact tracing? Posso perché o
c’è un consenso o una norma che lo dice (poi vedremo). Ma se io nel farlo vado a violare gli altri
principi, automaticamente si determina un’illiceità del trattamento.
Immaginate una scala di valori, che concorrono parallelamente tra loro.

Innanzitutto: liceità. Se il trattamento è autorizzato allora vado a vedere nel trattamento autorizzato
una serie di altri fattori, ossia i principi di cui all’art.5.
d)dati esatti e se necessario, aggiornati. I dati possono essere inesatti sempre rispetto alle finalità
per le quali sono trattati. Criterio di esattezza. Se io tratto il dato di Carmine ed è scorretto, devo
mettere a disposizione di Carmine strumenti idonei a cancellare o modificare i dati inesatti, affinchè
ci sia il corretto trattamento dei dati.
Ci siamo quindi soffermati sui principi applicabili al trattamento dei dati personali, procediamo ora
con l’art.6: “Liceità del trattamento” -> questo art. si applica al trattamento dei dati personali,
perché, per ciò che concerne i dati sensibili, la norma di riferimento è l’art.9. Quando io tratto un
dato, posso farlo solo se posso ricondurre la mia attività di trattamento a una di queste condizioni:
“1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più
specifiche finalità; ->quando ci occuperemo delle modalità di prestazione del consenso, laddove
presto il consenso al trattamento per più finalità, ogni finalità deve essere indicata in maniera
distinta affinchè l’utente le distingua e abbia una maggiore chiarezza nell’ambito del trattamento
degli specifici dati.
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o
all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; -> fondamentale.
Ricordate che deve ricorrere almeno una di queste condizioni, quindi non tutte.
Pertanto o il trattamento si basa sul consenso (a), o sul trattamento finalizzato a concludere un
contratto e a eseguire uno specifico contratto. Se voi andate su amazon e acquistate un libro, è
necessario il consenso se quei dati sono finalizzati a concludere il contratto e a eseguire il
contratto? No.. quindi, se voi decidete di metter su un’attività di e-commerce e i dati nell’ambito del
vostro e-commerce vi servono esclusivamente per concludere il contratto ed eseguirlo, dovete
chiedere il consenso al soggetto interessato? No, perché quel dato è trattato per eseguire il
contratto. Ciò che però dovrete fare è informare il soggetto del perché quel dato è trattato e quali
sono le modalità del trattamento. Quindi i dati sono trattati legittimamente perché sono necessari
all’esecuzione di un contratto.
Se poi vado su amazon, faccio la stessa trafila e poi amazon mi dice anche che vuole utilizzare il
mio dato per mandarmi pubblicità, questo ulteriore elemento non rientra più nella condizione
dell’esecuzione del contratto -> è un qualcosa di ulteriore. Quindi sarà necessario il consenso
perché in assenza di consenso il trattamento del dato avverrà in maniera illecita. Quindi è molto
semplice: se quel dato mi serve per concludere o eseguire un contratto, il consenso non è
necessario. Se invece stiamo trattando dati che con l’esecuzione del contratto non c’entrano, allora
il consenso è necessario.
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del
trattamento; -> abbiamo fatto l’esempio quando abbiamo parlato della durata del trattamento. Se
voi acquistate il libro non è che il trattamento deve cessare nel momento in cui il libro vi è stato
consegnato, perché quel dato è stato raccolto con quella finalità. Il trattamento cesserà nel
momento in cui la finalità verrà meno. Se il fornitore del servizio è tenuto per legge a trattare quei
dati a fini fiscali, quel trattamento sarà lecito a prescindere dal vostro consenso perché è
rispondente alla necessità cha ha il titolare del trattamento di rispondere a un obbligo di legge.
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra
persona fisica; -> arrivo in ospedale, devono farmi una trasfusione, devono quindi trattare il mio
gruppo sanguigno (dato attinente alla salute). Possono mai chiedere il consenso? No perché è
ovvio che si tratta di un trattamento necessario a salvaguardare l’interesse vitale dell’interessato o
di un’altra persona fisica. Quale potrebbe essere l’interesse di un’altra persona fisica? Immaginate
che una persona fisica è legata ad un’altra per un motivo genetico.
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; -> risponde o no a un
interesse pubblico il dato di tutti coloro che vengono eventualmente tracciati perché bisogna
tutelare l’interesse pubblico della salute? Sì. È necessario o no il consenso? Potrebbe non essere
necessario ma dovremmo prendere in considerazione altri elementi. Io tratto quel dato e lo tratto
perché è mi è necessario a tutelare un interesse pubblico.

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del
trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà
fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se
l'interessato è un minore. -> es. se io tratto dei dati per far valere un mio diritto in giudizio, li posso
trattare oppure devo chiedere all’interessato al trattamento ‘scusa, siccome non mi hai pagato e ti
devo fare causa, posso trattare i tuoi dati per farti causa?’ … ovviamente no, arriveremmo al
paradosso! Quindi non è necessario il consenso ma ci troviamo nell’ambito di una condizione
legittimante del trattamento dei dati personali.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche
nell'esecuzione dei loro compiti.
2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare
l'applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del
paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il
trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre
specifiche situazioni di trattamento di cui al capo IX.
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere
stabilita:
a) dal diritto dell'Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. -> significa che è vero
che io posso legittimamente trattare un dato quando ricorrono quelle condizioni ma sarà sempre
necessaria, alla base di queste previsioni, una norma dell’Unione o dei singoli diritti nazionali, che
mi dice quando quel trattamento risponde ad un pubblico interesse.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento
di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico
interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale
base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme
del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte
del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui
possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della
finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure
atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di
trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di
interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito. -> la base giuridica deve
indicare anche la finalità. La finalità è una dei principi applicabili al trattamento dei dati personali.
Ricordate che l’illecito trattamento determina sanzioni di natura civile, penale e amministrativa
(sanzioni anche molto elevate, calcolate spesso sulla base del fatturato di ciascuno).
Art.7 “Condizioni per il consenso” -> stiamo parlando dell’attuazione di una modalità che consente
di ritenere lecito il trattamento del dato personale. L’art.7 ci dice quali sono le condizioni per
trattare un dato sulla base del consenso:
1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di
dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali
-> la dimostrazione. Se andate sulle pagine di internet e vedete la famosa cookie policy, e non
inseriscono nel sito un meccanismo idoneo a dimostrare che avete utilizzato l’utilizzo del
consenso, laddove dovesse insorgere una controversia col titolare di quel sito, il titolare del sito
non potrà provare il fatto che avete espresso correttamente quel consenso. Il passaggio è ‘devi
dimostrare’. Come? Ci sono tecniche informatiche per tracciare il fatto che quel giorno, a quell’ora
etc è stato prestato quello specifico consenso. Quei banner cookie che non bloccano la
navigazione in assenza della prestazione esplicita del consenso, non tutelano il titolare del sito.
2. Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda
anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle
altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e
chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente
regolamento è vincolante. -> deve essere quindi distinto da un testo più generale. Es. ti faccio
l’informativa, ti racconto le ragioni per cui tratto i tuoi dati.. quando ti chiedo l’autorizzazione devo

distinguere visivamente e graficamente il corpo relativo al consenso, dal corpo generale. Il
consenso te lo devo chiedere in maniera semplice, facilmente comprensibile.
3. L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del
consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima
di prestare il proprio consenso, l'interessato è informato di ciò. Il consenso è revocato con la
stessa facilità con cui è accordato. -> posso revocare il consenso che ti ho prestato. Questo
meccanismo si chiama “opt out”. Se ti ho autorizzato in maniera semplice, non posso negare la
revoca del consenso a una modalità più complicata. Lo stesso meccanismo che utilizzo per
prestare il consenso deve essere utilizzato per revocarlo.
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima
considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione
di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non
necessario all'esecuzione di tale contratto. -> se io dico ‘vuoi questa casella email? Se si, devi
necessariamente autorizzare a leggere le tue mail’. In questo caso si verifica che sto chiedendo di
trattare dei dati che non sono necessari all’esecuzione del contratto. Quindi quando si va a
effettuare la valutazione se il consenso è stato liberamente prestato o meno, si potrà utilizzare
questo dato come elemento di valutazione.
Lez 5
Torniamo al discorso che stavamo facendo sulle basi giuridiche. Vorrei in particolare soffermarmi
sul trattamento di particolari categorie dei dati personali. Abbiamo detto che le particolari categorie
di dati personali sono i vecchi ‘dati sensibili’. L’ex dato sensibile è comunque un dato personale,
che però attiene alla sfera più intima di un soggetto. Quali sono le condizioni di liceità del
trattamento del dato personale semplice? Il consenso innanzitutto (non sempre).. le abbiamo viste
ieri.
A cosa corrispondono queste condizioni di liceità del trattamento? A quelle che sono i principi
applicabili al trattamento dei dati personali.
Se ci fermiamo al primo paragrafo dell’art.9 GDPR sembrerebbe che quei dati non possono mai
essere trattati. Ma dobbiamo approfondire e vedere il paragrafo 2.
(1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati
biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita
sessuale o all'orientamento sessuale della persona.) -> paragrafo 1
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una
o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che
l'interessato non possa revocare il divieto di cui al paragrafo 1; -> anche in questo caso il consenso
è elemento fondamentale per il trattamento di un dato sensibile. Se confrontate l’art.9 con il 6,
notate che in questo caso (9) si fa riferimento a un consenso esplicito, deve essere chiara la
finalità cioè di quello specifico trattamento. Si incrociano due dei principi applicabili al trattamento
dei dati personali: criterio della liceità e criterio della finalità, rafforzato perché il consenso deve
essere esplicito.
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del
trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione
sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un
contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i
diritti fondamentali e gli interessi dell'interessato; -> significa che se io sono il datore di lavoro di
Giovanni, io sono autorizzato a trattare i dati sanitari di Giovanni, quando ad es. mi manda il
certificato di malattia perché deve mettersi in malattia. È un dato sanitario quindi di natura
sensibile. Quando vedremo l’informativa e ci sarà scritto che è necessario indicare nell’informativa
la base giuridica del trattamento del dato, stiamo praticamente rinviando a queste disposizioni.
Quando io scrivo l’informativa, scrivo che tratto il dato di Giovanni in virtù di quanto previsto
dall’art.9 paragrafo 2, lettera b. Questa è la base giuridica. Tuttavia l’art.9 paragrafo 2 lettera b,
dice che può essere trattata quella specifica tipologia di dato, se autorizzato dal diritto dell’Unione
o in alcuni casi dai contratti collettivi. Quindi può darsi che affinchè io vada a trattare quel dato ci
dovrà essere un contratto collettivo che mi autorizza a trattarlo.

c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona
fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; ->
è l’esempio fatto ieri dell’ospedale. Se vado all’ospedale e in quel momento non sono in grado di
prestare il consenso, il trattamento dovrà essere eseguito e ci sarà quella specifica base giuridica.
e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato; -> se io sono
interessato al trattamento, me ne frego della privacy e pubblico un mio determinato dato,
automaticamente è come se stessi autorizzando soggetti terzi a trattare quel dato. Questa norma è
pericolosa perché se voi ad es. andate sul sito di giurisprudenza, trovate dei dati personali del prof.
Tucci? Sì, uno tra tutti è il suo indirizzo email. Il fatto che ci sia questa email su quella pagina non è
dimostrazione del fatto che io ho autorizzato il trattamento del dato per farmi mandare ad es. la
pubblicità. Quell’indirizzo è pubblicato sulla pagina per le comunicazioni istituzionali. Questi
concetti si riflettono nel momento in cui noi andiamo ad applicarli alla vita reale. Immaginate fb. Se
pubblicate una foto su fb e io sono un vostro amico, posso prenderla e condividerla? È comunque
un dato personale… posso condividerla e non sto commettendo alcuna attività illecita, perché il
fatto che abbiate aderito a quella piattaforma e accettato le condizioni di utilizzo di quella
piattaforma, autorizza quella specifica operazione di condivisione. Questo però non autorizza a
prendere la foto e a farla circolare su whatsapp, perché starei utilizzando quell’immagine al di fuori
di quella specifica piattaforma. Così come non posso prendere quell’immagine, ripubblicarla sul
gruppo del corso e prendere in giro il soggetto della foto. In questo caso non starei determinando
una violazione della disciplina in materia di privacy, ma potrei andare a incorrere in fattispecie
penalmente rilevanti come la diffamazione. Ma questa è un’altra questione..
Ricordate che se io mando una foto su whatsapp a qualcuno, quel qualcuno non può condividerla
con un altro su whatsapp, perché la conversazione su whatsapp è una cosa privata ed è diversa
dalla condivisione dell’immagine sulla home di fb.
Caso Revenge-Porn. Il revenge porn è un reato introdotto da poco, che mira a punire colui che
diffonde immagini a carattere sessualmente esplicito di un soggetto terzo. È una misura che si è
resa necessaria dato che il triste fenomeno del sexting si è diffuso sempre di più. Il sexting è il
reato che punisce chi diffonde contenuti sessualmente espliciti di una persona che non ha
manifestato il proprio consenso. Il revenge porn è punito con la reclusione fino a 6 anni. È a tutti
noto il fenomeno delle fotografie di Diletta Leotta, Belen… si applica la stessa disciplina. Se
Giovanni riceve il video di Belen e lo manda a Marco, Giovanni sta ponendo in essere il reato di
revenge porn, perché il presupposto è l’assenza del consenso di Belen. Se invece Giovanni
prende un video da youporn e lo diffonde, non incorre in questo reato, salvo che su quella
piattaforma non siano stati caricati video di cui non ci sia stato consenso. Questa norma
sicuramente non stronca la diffusione di queste pratiche perverse, ma rappresenta comunque un
ostacolo importante. Immaginate quanto hanno girato i video di Diletta Leotta, Belen etc..
incidendo su diritti fondamentali dell’individuo. La fattispecie di revenge porn punisce chi riprende e
diffonde ma anche chi diffonde soltanto.
Torniamo a quello che stavamo dicendo…
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto
dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare
l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per
tutelare i diritti fondamentali e gli interessi dell'interessato; -> ci fa pensare alla base giuridica per
l’utilizzo ad es. dell’app ‘immuni’, per il contenimento del covid. Qui dice ‘sulla base del diritto
dell’Unione o degli Stati membri’, quindi ci deve essere la norma unionale, o la norma dello Stato
membro, ma, come si farà in Italia, si costruisce una norma che costituisce la base giuridica per
quel trattamento, che supera anche il consenso. Decido di geolocalizzare tutti, lo posso fare? In
teoria no, se non ci fosse l’interesse pubblico.. l’interesse pubblico è evidente in questa situazione,
quindi costruire una norma che determinava la geolocalizzazione di tutti sarebbe stato sufficiente,
perché quella geolocalizzazione era tesa a risolvere un problema di interesse pubblico,
determinato dalla diffusione della pandemia.
Se prendete l’art.23 del regolamento, gli stati nazionali, laddove ricorrano certi presupposti,
possono anche limitare i diritti sanciti dal regolamento stesso. Vedete il doppio binario..
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali
la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri
elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla

base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per
tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale; -> anche questa
norma sembra essere stata scritta per una situazione che è quella in cui ci troviamo oggi
purtroppo.
Art.11 GDPR:
Trattamento che non richiede l'identificazione
“1. Se le finalità per cui un titolare del trattamento tratta i dati personali non richiedono o non
richiedono più l'identificazione dell'interessato, il titolare del trattamento non è obbligato a
conservare, acquisire o trattare ulteriori informazioni per identificare l'interessato al solo fine di
rispettare il presente regolamento.
2. Qualora, nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento possa
dimostrare di non essere in grado di identificare l'interessato, ne informa l'interessato, se possibile.
In tali casi, gli articoli da 15 a 20 non si applicano tranne quando l'interessato, al fine di esercitare i
diritti di cui ai suddetti articoli, fornisce ulteriori informazioni che ne consentano l'identificazione.”
-> stiamo parlando di dati aggregati e anonimizzati al 100%. Il dato aggregato anonimo non
necessita di alcun consenso al trattamento. Deve essere anonimo nel verso senso della parola,
perché se indirettamente mi consente di risalire a un individuo, si tratta sempre di un dato
personale.
Proviamo ora ad applicare quello che abbiamo detto a quello che accade sul web.
Raccolta visibile e invisibile dei dati personali. La raccolta invisibile è quella che viene effettuata
tramite cookie o tramite log. Oggi c’è la cookie law, e ci sono i banner che dicono che su un
determinato sito ci sono i cookie. Se quei banner non ci fossero sareste in grado di capire se
stanno acquisendo i vostri dati o no? No, quindi la raccolta sarebbe palesemente invisibile. La
raccolta invisibile si fa tradizionalmente o utilizzando dei cookie o dei log. La raccolta visibile
invece si fa quando andate a compilare un modulo o un formulario su internet. È visibile quando è
chiaro che stai conferendo dei dati. La raccolta dei dati personali poi può essere ‘direttamente
presso l’interessato’ o ‘non direttamente presso l’interessato’. Es. quando vi prenotate a un esame,
questi dati chi li raccoglie? L’ateneo tramite il responsabile etc.. ma quando a me trasmettono quei
dati, io li ho presi aliunde, non ho fatto una raccolta diretta, quindi è quello che accade quando io
chiedo a fb, o a coloro che mi vendono i dati, a prendere un pacchetto… es: quando vado sul sito
dove mi fanno scegliere la polizza assicurativa più economica e fanno i confronti tra le polizze
assicurative, che ci guadagna quello che si è inventato quella piattaforma? Ci guadagna dati. Voi
quando vi iscrivete per fare quel controllo, nemmeno leggete quello che lui vi dice. Lui vi dice ‘ci
autorizzi a cederli (i dati) a soggetti terzi per finalità etc..?’.. voi dite di sì, e quel soggetto
acquisisce pacchetti di persone interessate alle polizze delle moto etc, compara i prezzi etc ->
questo per dire che in quel caso se io sono quel soggetto che deve vendere un bene e deve fare
pubblicità, acquisisco i dati emessi non direttamente dall’interessato…
Ora, poste queste precisazioni su dati raccolti direttamente e non direttamente, il ragionamento
ulteriore da fare è: quando è lecita la raccolta visibile? (domanda esame) -> la risposta è: se è
necessaria l’esecuzione della conclusione del contratto. Quindi consenso o necessità ai fini
dell’esecuzione della conclusione del contratto. Se vado sul sito di amazon e acquisto un libro,
inserisco i miei dati. Quei dati servono ad amazon per farmi arrivare il libro, per la conclusione del
contratto e per farmi pagare. Il consenso non serve. Nell’informativa che amazon mi darà ci sarà
scritto che i miei dati li utilizza solo ai fini dell’esecuzione della conclusione del contratto. Se però
amazon utilizza l’email che gli ho lasciato, non per dirmi che il mio pacco è stato spedito, ma per
informarmi di una bellissima offerta con cui posso risparmiare 10 euro, sta effettuando un
trattamento illecito. Se invece nell’informativa c’era scritto che poteva utilizzare i miei dati anche
per mandarmi pubblicità e io autorizzavo, bene.. altrimenti potevo anche rifiutare quest’ipotesi della
pubblicità e permettere solo l’esecuzione del contratto.
Raccolta invisibile -> può essere effettuata o attraverso cookie o attraverso log.
Cos’è internet? Un’infrastruttura che consente collegamenti tra soggetti posti in ogni capo del
mondo. Se vi chiedo qual è la struttura tipica di internet, dovreste rispondermi che è basata sul
meccanismo ‘client server’. Cosa significa? Il client in questo momento sono tutti i computer delle
209 persone collegate, che prendono informazioni su un server di Microsoft su cui ci sono servizi
cloud che consentono di far funzionare la piattaforma ‘Microsoft Teams’. Detto in modo più
semplice: se io vado sul sito dell’università perché voglio sapere quando ci sono gli appelli, sto

andando con il mio client sul server dove ci sono tutti i contenuti a me fruibili. Quindi quando dico
internet, non dico che i dati sono nell’aria e che li vado a prendere con il retino delle farfalle, i dati
hanno comunque bisogno di una materialità. Quando abbiamo definito il documento informatico
come la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.. dove stanno
questi dati? Hanno bisogno di una materialità rappresentata dagli hardware su cui si risiedono. Voi
giustamente dite ‘oggi c’è il cloud, la nuvoletta, icloud, dropbox etc’… ma dove stanno? Su server
che un fornitore di servizi mette a vostra disposizione. È come se voi aveste un hard disk che
anziché averlo nel vostro computer, ce l’avete remotizzato e ci accedete utilizzando la rete di
internet. Questo è il meccanismo client server. Come funziona invece il meccanismo ‘peer to
peer’? E’ quel meccanismo in virtù del quale ogni computer è sia client che server. Sulla base di
questo meccanismo io oggi sto utilizzando il computer per prendere informazioni dalla rete, quindi
sono un client, ma quando metto informazioni sulla rete, divento server. I software di peer to peer
tipo torrent, emule etc per funzionare si basano sul meccanismo che tu scarichi dalla rete se tu fai
scaricare agli altri. Se non siete attenti e non avete un po’ di dimestichezza nell’andare a chiudere
le porte agli altri, mettete in condivisione senza neanche saperlo, tutto ciò che avete nell’hard disk.
Se non siete attenti quindi aprite il computer a tutti e tutti possono prendere quei dati. A Diletta
Leotta e Belen come hanno preso quelle foto? Sfruttando le criticità del cloud dovute alla cattiva
gestione della sicurezza che loro ne hanno fatto. Se voi utilizzate il sistema a doppio passaggio per
proteggere il vostro cloud, è molto più difficile rispetto all’ipotesi in cui scrivete il nome utente e la
vostra email e come passw mettete la vostra data di nascita. Come andate voi sui internet?
Cos’è la connessione? Se volete andare da Napoli a Roma, andate con l’autostrada. Per entrare in
autostrada, prima di pagare il casello, prendiamo il biglietto. Internet funziona più o meno così. Il
casello su internet è rappresentato dai vostri gestori telefonici. Il biglietto è l’indirizzo IP che
identifica il collegamento. È il biglietto che vi dà l’operatore telefonico quando accedete ad internet.
Sono cose fondamentali per i giuristi. Un paio di anni fa abbiamo salvato, con una consulenza, un
ragazzino messo sotto processo dal tribunale dei minorenni di Sassari, perché gli erano stati
addebitati una serie di reati molto gravi come la truffa informatica. La polizia giudiziaria quando ha
fatto l’indagine non ha saputo leggere i riscontri forniti dall’operatore, non conoscendo
tecnologicamente la modalità con cui veniva effettuato il riconoscimento dell’utente sulla rete.
Siccome gli indirizzi IP non sono infiniti, accade che l’operatore fa uscire una quantità determinata
di soggetti sulla rete pubblica, tutti con lo stesso indirizzo. La parte privata nel rapporto operatore-
utente, consente di ricondurre quell’indirizzo a uno specifico utente. Quindi quando hanno messo
sotto indagine quel ragazzino, in realtà analizzando i tabulati, si è verificato che in quel giorno, a
quell’ora, non era collegato solo lui, ma erano collegati più di 20 utenti. La sua sfiga è stata che era
entrato su internet nell’ora in cui era stata posta in essere quella condotta illecita che avevano
quindi attribuito a lui. Restringendo poi il cerchio si è capita la verità.
Detto ciò, completiamo con cookie e log.
Dicevamo, il browser è un software che ci consente di navigare su internet, e anche la tutela
giuridica del software è importantissima. E cosa sono i cookie? Sono piccoli programmini che
vengono inviati sul vostro computer, con una finalità duplice -> cookie tecnici, che consentono di
facilitare la navigazione, rendendola più veloce e cookie di profilazione, che raccolgono i dati
relativi alle determinate attività che fate. Questi cookie si trovano nel vostro computer. Se andate
sul browser, nella parte relativa alla privacy, c’è la possibilità di cancellare tutti i cookie. Il cookie è
quel meccanismo pericolosissimo che vi consente di accedere ad es. fb senza dover sempre
digitare la password. È pericolosissimo perché se io sono un malintenzionato che riesce ad
effettuare un attacco dall’esterno sul vostro pc, avendo voi lasciato aperta la porta, io tramite il
vostro computer entro nel vostro account.
Il log effettua la stessa operazione, ma non è installato sul vostro computer. Si trova sui server su
cui passate. Quindi cambia solo il luogo su cui si trovano questi strumenti.
Lez 6
Abbiamo detto che la raccolta dei dati è visibile quando c’è il consenso o un dato è necessario alla
conclusione o esecuzione di un determinato contratto. La raccolta invisibile dei dati c’è invece nel
caso dei cookie e dei log. Sono strumenti per la raccolta invisibile. I cookie sono installati sul vostro
computer, a differenza dei log che si trovano sui server. La raccolta invisibile è lecita o illecita?
Dipende non solo dai fini, ma dal rispetto delle condizioni di liceità. Una delle modalità di liceità è
rappresentata dal consenso. Facendo mente locale, c’è o no secondo voi un consenso quando

vengono utilizzati strumenti come i cookie? Il meccanismo di accettazione dei cookie quando
accedete a una pagina rientra in una specifica previsione, chiamata ‘cookie law’. Come funziona?
La cookie law sono quelle particolari previsioni che disciplinano il meccanismo e il funzionamento
dei cookie. Come funziona? Cosa è fondamentale perché l’utilizzo dei cookie sia lecito?
In primo luogo dobbiamo ricordare la differenza tra cookie tecnici e cookie di profilazione. I primi
sono quelli che servono esclusivamente a raccogliere dati tecnici per facilitare la navigazione, gli
altri mirano invece a raccogliere indicazioni sui siti che visitate, le specifiche pagine che andate a
vedere e così via. L’utilizzo di questi cookie deve essere evidente. L’evidenza di questo utilizzo è
rappresentata da quello specifico banner che voi rinvenite quando effettuate la navigazione. Il
banner deve essere posto in una pagina in cui i cookie non operano ancora. Se già operassero in
quella pagina l’informativa sarebbe inutile. Solo a seguito dell’informativa e della prestazione del
consenso da parte vostra il cookie può iniziare ad operare. Viceversa, laddove il cookie operasse
già nella pagina in cui viene data l’informativa, ci sarebbe un tracciamento non lecito.
Come viene data quest’informativa? Può essere data in maniera semplificata. Ecco perché vi
appare quel banner. In quel banner viene detto sostanzialmente solo che su quella determinata
pagina web ci sono dei cookie, che hanno una determinata finalità (perché vi viene detto se sono
cookie tecnici o di profilazione). Dopodichè vi viene detto che se volete saperne di più dovete
cliccare sul link di seguito in cui ci sono tutte le informazioni relative soprattutto ai vostri dati che
vengono raccolti e che sono oggetto di trattamento. Quel meccanismo dà anche, in alcuni casi, la
possibilità di disabilitare il funzionamento dei cookie di profilazione. Rispetto al cookie tecnico non
è necessaria la prestazione del consenso, perché il cookie tecnico è un cookie che non raccoglie i
vostri dati personali, serve solo a far funzionare meglio la navigazione e l’attività che ponete in
essere. Rispetto invece al cookie di profilazione il consenso è necessario. Questo consenso può
essere espresso attraverso l’utilizzo di un tasto, attraverso il meccanismo del ‘point and click’,
accetto-proseguo, che però a seguito appunto dell’introduzione del GDPR deve consentire di
acquisire e trovare poi in un secondo momento la prestazione di quello specifico consenso. Questo
ce lo dice l’art.7, comma 1 ->c’è un onere di dimostrazione che quel consenso è stato prestato.
Meccanismi quali lo scrollo automatico o semplicemente il proseguire la navigazione pongono poi
delle difficoltà in una fase successiva, laddove dovesse esserci una contestazione sulla
prestazione del consenso. Di conseguenza, molti siti inseriscono questo banner in una posizione
bloccante rispetto alla navigazione dei contenuti Internet, cioè solo dopo che avete prestato il
consenso, cliccando su un tasto, effettuate poi l’accesso reale alle pagine, che diversamente
vedreste solo in sottofondo. L’ipotesi in cui invece avete dei siti che vi consentono di navigare
nonostante quel banner in sovraimpressione, ci sono dei dubbi sulla concreta applicazione della
cookie law -> perché se c’è un banner ma a prescindere dal fatto che prestiate o no il consenso,
comunque continuate a navigare, quella navigazione potrebbe essere oggetto di una profilazione
indipendentemente dal fatto che abbiate prestato il consenso. Quindi possiamo dire che come per
la raccolta visibile, anche per quella invisibile, non è che cambiano le modalità che legittimano o
rendono lecito il trattamento, sono le medesime, solo che di base si tratta di un trattamento e di
una raccolta che avviene in forma invisibile e per l’utente è più difficile capire se quel dato è o no,
rilevato.
Vi siete mai chiesti quelle funzionalità che i browser vi offrono come incidono su questa disciplina?
Faccio riferimento alle funzionalità della navigazione in forma anonima. Il browser è un software
che permette la navigazione ad internet, ad es. chrome (non ‘google chrome’, perché è ‘chrome’ il
browser che ha sviluppato google), firefox etc. I browser hanno una funzionalità che consente di
effettuare la navigazione anonima. Di che si tratta? Si tratta di uno strumento utile ad impedire, ad
utilizzatori di un computer, di ottenere informazioni sulla tua attività online. Questo significa che
l’anonimato è solo relativo a due momenti: al momento afferente il vostro pc, cioè se utilizzate la
navigazione anonima, quando uscite da questa, io entro sul pc per vedere che siti ciascuno di voi
ha guardato, non troverò niente perché avete utilizzato la navigazione anonima, quindi c’è una
cancellazione automatica della cronologia, ma un’ulteriore funzionalità importante è che la
navigazione anonima vi consente di navigare fregandovene dei cookie di profilazione -> cioè
quando navigate con un browser in navigazione anonima, i cookie di profilazione non profilano. Ma
rispetto ad internet e ai servizi c’è sempre la possibilità di identificare il soggetto che sta
effettuando determinate attività. Non pensate quindi che la navigazione anonima vi metta a riparo
da rischi. Se avete notato, la biblioteca dell’università ha messo a disposizione delle banche dati

online. Come accedete a queste banche dati? Attraverso una semplice navigazione a internet? No,
vi accedete con un proxy. È una sorta di triangolazione, quindi se voi dovete andare a leggere la
banca dati che si trova sul computer A.. immaginate uno schema con A e B-> A è la risorsa dove
voi dovete prendere l’informazione, B è il vostro computer. Tradizionalmente nello schema client
server, il vostro computer che è un client, si collega alla rete internet e prende le informazioni dal
server, quindi B si collega ad A, prende le informazioni e voi tramite B riuscite ad acquisire quelle
determinate informazioni. Il proxy invece presuppone l’esistenza di un altro soggetto che fa da
intermediario, un soggetto C che viene riconosciuto dal soggetto A. Ciò significa che mentre, se
provo ad accedere al computer A con il mio computer, A non lo riconosce perché non ha le
credenziali di accesso su B, A non riconosce B, ma riconosce C. Quindi per arrivare ad A dovete
passare per C. Comunicate con C, che a sua volta comunicherà con A. A manderà informazioni a
C, e C le manderà a voi (B). Questo è il meccanismo del sistema proxy. Si pensa che il proxy
possa essere un valido strumento per garantire l’anonimato della navigazione in rete, perché non
navigo direttamente ma navigo in proxy: chi mi chiama, non è il computer B ma C. In realtà tramite
proxy è solo più difficile identificare il soggetto che si è collegato, ma non è impossibile.
Su questo possiamo costruire tutte le questioni relative al DEEP WEB. Questo si basa sul
meccanismo peer to peer, quindi c’è un meccanismo di anonimato maggiore -> e questa è la
ragione per cui sul deep web si sono diffusi moltissimi servizi illegali. Sul deep web si possono
trovare armi, droga, o ci sono addirittura le cd. dark room. Nelle dark room soggetti perversi,
malati, pagano per assistere a violenze e addirittura eterodirigono queste violenze, pagando per
guardare in diretta determinate violenze. Il pagamento viene effettuato tramite una moneta, la
criptovaluta, quindi attraverso il bitcoin.
Quello che ora rileva è che, se è vero che è più facile ottenere l’anonimato sul dark web, è
altrettanto vero che determinate condotte possono essere puniti come reati associativi. Es. c’erano
dei ragazzi di S.M.C.V. che avevano messo su un sistema di commercio di sostanze stupefacenti,
utilizzando il deep web, attraverso una triangolazione che sfruttava anche la logistica dei corrieri
tradizionali. Loro compravano la sostanza stupefacente sul dark web, la pagavano con bitcoin. Il
soggetto da cui acquistavano questa sostanza la spediva dai corrieri indicati dagli stessi soggetti
agli acquirenti di turno, cioè ai soggetti a cui questi ragazzi poi a loro volta rivendevano la droga
acquistata sul dark web. Erano convinti che operando in un sistema ritenuto di grande anonimato
non sarebbero stati individuati. In realtà nel dark web ci sono non solo meccanismi per individuare
chi opera sul dark web, ma anche moltissimi soggetti infiltrati, in incognito, per porre in essere
attività di contrasto a queste attività illecite. In quel caso, la partecipazione ad un gruppo anche alla
sola finalità di vedere che cosa accade… ad es. sono iscritto ad un gruppo di pervertiti in una dark
room dove ci sono violenze sessuali. Il solo fatto di essere in quel gruppo può far scattare il reato
associativo (associazione a delinquere), anche perché per entrare in quei gruppi possono essere
poste in essere delle attività di fidelizzazione -> un soggetto entra in quel gruppo solo se viene
fidelizzato attraverso una determinata modalità, dal quel gruppo individuata.
Tutto questo rientra in quel concetto di anonimato o presunto anonimato di cui abbiamo parlato a
proposito di raccolta visibile e invisibile dei dati. Non dovete però confondere la raccolta dei dati
con l’anonimato che viene ricercato dal soggetto che utilizza questi sistemi. Il deep web non è di
per sé illegale, è illegale a seconda delle condotte che si pongono in essere. Un’ulteriore
distinzione da fare è tra ‘deep web’ e ‘dark web’. Il deep web è tutto ciò che è nascosto o non
facilmente reperibile. Anche la vostra email è nel deep web perchè per accedervi non è facilmente
reperibile utilizzando la normale navigazione. Oppure se voi caricate dei contenuti nel vostro cloud,
sul dropbox, questi contenuti sono su una rete pubblica, ma sono ovviamente invisibili. Io per
arrivare al vostro contenuto nel vostro cloud, ho necessità di avere un link specifico che mi porta a
quel contenuto che voi avete deciso di condividere. Quindi anche quel contenuto, non essendo
direttamente a disposizione, è nel deep web. Il dark web invece si basa sul modello peer to peer,
che necessita di un particolare browser per entrare. Avete mai sentito parlare di ‘tor’? Tor è un
browser per effettuare un accesso a questo mondo del dark web che è strutturato sulla base di una
rete peer to peer. In questo caso è sinonimo di illiceità? No, anzi, in molti casi è utile per dar
attuazione a diritti costituzionalmente garantiti o fondamentali, che viceversa potrebbero essere
repressi. Considerate che grazie a questi strumenti, spesso, in paesi in cui ci sono regimi totalitari,
si riesce a far uscire notizie e quindi a comunicare col mondo esterno, superando le barriere
tecnologiche. Anche una tutela della privacy può essere garantita tramite questi strumenti.

Ricordate quindi che il deep web è costituito da una serie di contenuti che non sono direttamente
indicizzati o indicizzabili dai motori di ricerca, per una serie di motivazioni legittime e legali.
VPN sta per ‘virtual private network’ -> crea dei canali di navigazione privata sfruttando la rete
internet che tutti noi utilizziamo. Conoscete la rete Lan (local area network)? La Lan prima era
molto diffusa. In un ufficio si metteva la Lan per creare un collegamento tra tutti i computer che
c’erano in quella realtà aziendale. Quindi io e te che stavamo nello stesso ufficio ci scambiavamo
file, condividevamo cartelle… oggi in un ufficio si può fare anche a meno della lan, grazie al cloud
che dà la possibilità di condividere contenuti utilizzando servizi decentralizzati. La VPN crea una
rete di comunicazione riservata a cui possono accedere solo i soggetti che appartengono a una
determinata organizzazione. Con la VPN circoscrivi la tua navigazione a una rete privata, quella
col soggetto con cui stai comunicando. Se vuoi andare su una rete pubblica devi comunque uscire
dalla VPN e andare nella rete pubblica.
Alla base c’è la rete internet. È grazie a questa rete che si possono strutturare questi diversi
modelli.
Il dark web a differenza del deep web è caratterizzato dal fatto che è una parte ancora più
profonda della rete. Mentre il deep web è costituito da una serie di contenuti che non sono
direttamente indicizzati dai motori di ricerca, ma che sono appunto visualizzati senza particolari
difficoltà tecniche attraverso un normale browser, quello che utilizziamo per navigare, nel caso
invece del dark web è necessario utilizzare appositi programmi che sono in grado di sfruttare la
struttura e le regole proprie di quella determinata infrastruttura di navigazione, caratterizzata da un
proprio protocollo di connessione. È una sorta di rete parallela che è molto difficile, ma non
impossibile, tracciare.
Es. di deep web: anche i programmi di messaggistica che utilizzate, anche la vostra email.
Es. di VPN: un ufficio che consente ai suoi dipendenti di connettersi a casa, tramite un client VPN,
per poter lavorare da casa come fossero in ufficio, per vedere le stesse cartelle e gli stessi file che
hanno in ufficio.
Altro es. di VPN: un italiano che vive in Australia vuole vedere la Rai in streaming. Si connette a un
server VPN in Italia e in questo modo risulterà come se si trovasse in Italia anziché in Australia.
Sapete che Netflix Italia non ha gli stessi contenuti di Netflix America. Voi utenti di netflix Italia
potete accedere con una VPN e vedere i contenuti di netflix America? Questo è un problema
giuridico..
Immaginate una frontiera fisica. Quando ci arrivo mi buttano indietro perché c’è una limitazione.
Decido così di fare un passaggio più lungo per un altro posto, facendo una triangolazione.
L’informativa rientra nei diritti fondamentali dell’interessato al trattamento. L’interessato al
trattamento deve saper qual è la finalità di quel trattamento, anche perché deve essere in grado di
prestare il proprio consenso, laddove la base giuridica di quel trattamento sia rappresentata dal
consenso. Quest’informativa può essere relativa alle informazioni che devono essere fornite
quando i dati raccolti direttamente presso l’interessato oppure informazioni che devono essere
fornite quando i dati non sono stati ottenuti direttamente presso l’interessato e quindi sono stati
raccolti presso terzi.
Partiamo dall’art.12:
Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato
1. Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni
di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al
trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio
semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le
informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se
richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata
con altri mezzi l'identità dell'interessato.
-> l’informativa deve essere data in forma concisa. Quindi già quando vedete 10 pagine di
informativa, è contraria al GDPR. Deve essere poi chiara, scritta in maniera semplice e
facilmente comprensibile dagli utenti, tanto più se è rivolta a un minore d’età.
Art.13
Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato
1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento
fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo
rappresentante; -> quindi dovete subito sapere chi è il titolare del trattamento e se eventualmente
si avvale di un responsabile
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del
trattamento; -> finalità e base giuridica. Vi ricorda tutti gli elementi, le condizioni necessarie per il
corretto trattamento dei dati. Io devo sapere se questo trattamento viene fatto sulla base del
consenso o se perché è necessario alla conclusione o esecuzione del contratto. Di conseguenza,
se io acquisto il libro su amazon, e mi chiedono i dati personali, nell’informativa io potrò trovare
scritto o che quel dato è finalizzato alla conclusione, esecuzione del contratto (e non sarà
necessario il consenso) o magari che ci sono anche finalità pubblicitarie, nel qual caso ci sarà
bisogno del consenso. La finalità quindi mi fa capire anche la base giuridica che giustifica quello
specifico trattamento.
d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti
dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
-> io tratto i dati personali e li posso comunicare? Sapete che esiste una differenza tra
comunicazione e diffusione dei dati personali. La comunicazione è tra soggetti determinati, la
diffusione invece tra soggetti indeterminati. Se io ho un profilo fb aperto, senza restrizioni, prendo i
dati di Giovanni Fusco e li metto sul mio profilo, che sto facendo? Li sto diffondendo. Se io ho un
profilo fb chiuso, prendo i suoi dati e li inserisco sul mio profilo, cosa sto facendo? Li sto
comunicando, perché è una cerchia determinata di persone. Anche se su questo la giurisprudenza
ha a lungo dibattuto.
f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese
terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di
adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo
49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per
ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.
-> problema del trasferimento dei dati personali. Posso prendere i dati personali vostri e trasferirli
sul mio cloud che si trova in Francia? Il consenso da prestare non è collegato al fatto che
trasferisco i dati in Francia, perché sono nell’UE e il regolamento disciplina la libera circolazione
dei dati su tutto il territorio dell’Unione. Il consenso eventualmente dovete darmelo se è necessario
per lo specifico trattamento che sto facendo. Se io sto trattando i vostri dati, in virtù della necessità
giuridica di eseguire o concludere un contratto, quel consenso non mi serve. Devo solo informarvi
che i vostri dati saranno trattati in un determinato modo su un cloud che sta in Francia. Ma non c’è
il consenso. Viceversa, il consenso è necessario quando il trattamento è extraUnione. Devo
informare sul periodo di conservazione dei dati personali, oppure se non è possibile stabilirlo, devo
fornire in qualche modo i criteri per determinare questo tempo. Potrei dire ‘tratterò i dati di Giovanni
fin quando sarà mio cliente’, sempre però che ci sia rispondenza tra trattamento e finalità.
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono
ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni
necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per
determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati
personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati
personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
-> potete chiedere a chiunque tratti i vostri dati di accedere ai dati che questo sta trattando. Potete
opporvi al trattamento, richiedere la modifica del dato, magari perché è stato raccolto in maniera
sbagliata o perché è modificato nel tempo.
c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9,
paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza
pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
-> io devo dire a tutti gli interessati che loro hanno il diritto di revocare in qualsiasi momento, senza
pregiudicare la liceità del trattamento basata sul consenso prima della revoca, possono revocare il
consenso (quando magari non sono più interessato alle pubblicità che mi arrivano -> la

cancellazione da una mailing list non è altro che l’esercizio della revoca del consenso), questo è il
meccanismo dell’‘opt out’.
Vediamo come funziona il meccanismo dell’opt in e dell’opt out.
In Italia vale il meccanismo dell’opt in, cioè io prima di trattare il dato devo avere un consenso.
Posso mandare a una serie di soggetti informazioni ad es. commerciali, con la scusa che la loro
email l’ho trovata su internet? No, per mandare l’informazione commerciale io devo prima acquisire
il consenso a che ciò avvenga. Io acquisisco il consenso di Giovanni. Giovanni dopo un po’ si
scoccia ed esercita il suo diritto attraverso l’opt out. In Italia vi è il principio dell’opt in, ad eccezione
di un caso -> quando rispondiamo alle telefonate dei gestori telefonici. Questo è l’unico caso in cui
si applica il principio opposto, dell’opt out, ma sempre che la chiamata provenga da un operatore in
carne ed ossa. Se dall’altro lato non c’è un operatore in carne ed ossa, ma c’è un disco, o un
risponditore automatico etc, il consenso deve essere preventivo. Come si fa ad esercitare l’opt out
rispetto alle sollecitazioni commerciali non desiderate attraverso l’uso del telefono? Con uno
strumento chiamato ‘registro delle opposizioni’. Inserisco il mio numero all’interno di questo
registro e nessun operatore mi potrà più chiamare. Se lo fa sta ponendo in essere un illecito
trattamento dei dati personali.
d) il diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito
necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati
personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
-> quindi io devo dire che lui deve darmi i suoi dati sulla base di un obbligo legale. La base
giuridica sarà un obbligo legale, oppure un obbligo contrattuale (se i dati sono necessari alla
conclusione o esecuzione di un contratto). Se c’è l’obbligo di fornire i dati gli devo anche dire quali
sono le conseguenze del fatto che i dati non mi sono conferiti. Non mi dai il tuo indirizzo, non
posso consegnarti il libro. Potrebbe essere anche un obbligo contrattuale scollegato dall’assenza
di consenso. Google potrebbe dire ‘se non mi dai il consenso a trattare determinati dati non ti
faccio usare il mio servizio’? Si potrebbe..
Quando voi vi muovete su internet stipulate molti contratti, pur senza rendervene conto (es.
quando vi fate la casella gmail).
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo
22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché
l'importanza e le conseguenze previste di tale trattamento per l'interessato.
-> io devo dire se i dati che sto raccogliendo, direttamente o indirettamente, anche attraverso una
profilazione, sono dati su cui posso poi basare decisioni automatizzate. Quando un domani
andrete in banca a chiedere un prestito, è probabile che la valutazione del rischio non sia fatta più
sulla base di una valutazione che fa un impiegato o un funzionario della banca, ma è probabile che
sarà fatta sulla base di una decisione automatizzata sull’utilizzo ad es. dell’intelligenza artificiale. Io
devo anche dirti qual è la logica sottesa alla decisione automatizzata del sistema.
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità
diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce
all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente
di cui al paragrafo 2.
-> significa che se io sono amazon e in prima battuta ho raccolto dati solo per concludere o
eseguire un contratto, ma a un certo momento quei dati li voglio utilizzare per mandare pubblicità,
prima di mandare pubblicità devo fare un upgrade.
Per quale motivo secondo voi nel maggio 2018 vi sono iniziate ad arrivare una serie di mail in cui
vi dicevano che doveva essere aggiornata la privacy? Perché il GDPR ha mutato una serie di
indicazioni che dovevano essere date nell’informativa e soprattutto ha posto quel principio relativo
alla manifestazione del consenso che in precedenza non tutti avevano implementato -> art.7, la
possibilità di dimostrare la prestazione del consenso.
Le stesse disposizioni sono previste nel caso in cui la raccolta dei dati personali viene effettuata
presso un terzo, quindi non direttamente presso l’interessato -> l’ipotesi in cui io tratto un dato che
raccolgo da un’altra fonte -> es. se io vado su un sito per fare il preventivo dell’assicurazione più
bassa, chi gestisce quel sito raccoglie i miei dati, e lo fa sulla base di un’informativa che mi dà e
che io mai mi sono interessato di leggere. Secondo voi le persone che vanno su questi siti come
guadagnano? Il profilo di business mi può derivare o dalla pubblicità diretta che ho, perché il mio

sito viene consultato da moltissime persone e avrò degli inserzionisti che vorranno inserire i loro
messaggi pubblicitari, oppure perché magari consentendo a Giovanni di selezionare
l’assicurazione più vantaggiosa sul mio sito e di acquistarla tramite il mio sito, posso guadagnare
un (sembra che dica) ‘fi’, che mi sarà riconosciuto dal soggetto che me lo cede. Quindi i
meccanismi economici sono i più vari. Ma facciamo l’esempio del sito che raccoglie le mie
informazioni e poi le cede a soggetti terzi, sulla base di un consenso che ho prestato, senza
neanche saperlo (perché non ho realmente letto). Io che ho un’assicurazione mi rivolgo a Vittorio e
gli dico che devo fare della pubblicità, gli chiedo se abbia dati di soggetti che sono interessati a
polizze sulla vita. Vittorio dalla sua applicazione si rende conto di averli e glieli vende. In quel
momento io sto acquisendo il dato di Giovanni che aveva effettuato la ricerca, da un soggetto
terzo. E sto trattando il dato di Giovanni da un soggetto terzo. Dovrò quindi informare Giovanni che
ho raccolto quel dato in quel determinato modo. Giovanni a quel punto potrà esercitare il suo diritto
di opt out.
Secondo voi perché sulla vostra bacheca appare un contenuto piuttosto che un altro? Se vi appare
una persona che potreste conoscere è perchè l’algoritmo sa che avete interessi in comune, vedete
le stesse pagine, avete amici in comune, l’uno ha guardato il profilo dell’altro o viceversa.
Tornando al discorso di prima, deve essere indicata la fonte da cui hanno origine i dati personali
raccolti presso terzi, o se del caso l’eventualità che i dati provengano da fonti accessibili al
pubblico. Io posso averlo preso da una fonte come l’archivio pubblico e così via.
Il GDPR si applica al trattamento dei dati personali che voi fate? Cioè se voi trattate i dati di un
vostro amico siete tenuti a rispettare il GDPR? Il GDPR non si applica al trattamento dei dati
personali effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente
personale o domestico. Nel momento in cui voi utilizzate su fb un mio dato il GDPR si applica,
perché siete fuori dall’ambito di applicazione del carattere personale o domestico. E il trattamento
dovrà essere effettuato con le tutele adeguate. (art.2 paragrafo 2)
Se voi trattate i dati personali che avete raccolto presso un terzo, quando dovete dare
l’informativa? Lo dice l’art.14 paragrafo 3.:
3. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:
a) entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese,
in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
b) nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al
momento della prima comunicazione all'interessato; oppure
c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione
dei dati personali.
-> se io acquisisco dalla banca dati di un terzo i dati di Anna, e li utilizzo per mandarle una
comunicazione pubblicitaria, autorizzata in virtù del consenso che Anna aveva prestato al soggetto
che aveva raccolto il dato, nella prima comunicazione non solo devo fornirle informazioni sulla
provenienza di quel dato (cioè da dove ho raccolto quel dato), ma anche tutte le informazioni
relative al trattamento dei dati personali di cui abbiamo parlato. Laddove io raccolgo i dati da una
banca dati ma voglio farne un utilizzo diverso rispetto a quello preventivato da Anna, dovrò
informarla e chiedere una specifica autorizzazione a quell’ulteriore trattamento.
Le disposizioni relative alla raccolta dei dati presso terzi non si applicano quando comunicare le
informazioni risulta impossibile o implica uno sforzo sproporzionato, in particolare per il trattamento
ai fini di archiviazione del pubblico interesse, di ricerca scientifica, a fini statistici etc… o nella
misura in cui l’obbligo di cui al paragrafo 1 rischi di rendere impossibile o pregiudicare gravemente
il conseguimento delle finalità di tale trattamento, il titolare del trattamento adotta misure
appropriate per tutelare diritti e libertà legittime degli interessati al trattamento, anche rendendo
pubblica informazione. (paragrafo 5 lettera b, art.14) -> tutto questo che significa? Facciamo un
esempio. Se viene da me Giovanni e mi dice che deve promuovere una causa nei confronti di
Mena e mi dà i dati di Mena, io sto trattando i dati personali di Mena. La norma vorrebbe che io
informassi Mena, ma è ovvio che in una situazione in cui devo fare causa a Mena, questa
comunicazione inciderebbe sul conseguimento delle finalità per le quali sto trattando il dato
(informo Mena che le sto facendo causa prima ancora di farle causa). Io, avvocato, sono il terzo
che ha raccolto, da Giovanni, i dati di Mena. In questo caso io sono legittimato a trattare il dato
senza dare l’informativa a Mena, purchè io tratti i dati di Mena nel rispetto delle regole della privacy
e in particolare in vista del conseguimento delle specifiche finalità previste -> io tratto i dati di Mena

per farle causa e non per mandarle pubblicità, o per venderli a una compagnia telefonica che le
manderà pubblicità su una promozione telefonica.
Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione.
Secondo me la concreta applicazione di questa norma può costituire un importante strumento per
ottenere la tutela del minore, evitando fenomeni di cyberbullismo.
Art.8, paragrafo 1:
“Qualora si applichi l'articolo 6, paragrafo 1, lettera a), per quanto riguarda l'offerta diretta di servizi
della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il
minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è
lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della
responsabilità genitoriale.” -> significa che il minore può prestare il consenso a che i suoi dati siano
trattati se ha compiuto almeno 16 anni.
I minori possono accedere a fb? Bisogna avere almeno 14 anni. Tutti quelli al di sotto di questa età
che si iscrivono a fb fanno un’attività scorretta, sotto un duplice profilo. Il minore fingerà un’età che
non ha, andando a incidere sulla validità del contratto quindi producendo effetti sulla disciplina
contrattuale. C’è la dichiarazione di una falsa identità da parte del minore. Questo per dire che ogni
servizio decide a quale fascia d’età rivolgersi. La norma invece di cui ci stiamo occupando dice che
il minore può in autonomia autorizzare il trattamento dei suoi dati per un servizio della rete se ha
compiuto almeno 16 anni. Che succede se il minore ha meno di 16 anni? “Ove il minore abbia
un’età inferiore ai 16 anni……” Stando a quello che abbiamo detto di fb, che non accetta minori di
14 anni, il consenso a quel trattamento chi lo dovrà prestare? Un genitore… ma il minore presta il
consenso al posto del genitore. Questa è la realtà dei fatti che determina rischi perché spesso i
genitori non sono consapevoli di quello che fanno i figli
E allora, paragrafo 2: Il titolare del trattamento si adopera in ogni modo ragionevole per verificare
in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul
minore, in considerazione delle tecnologie disponibili. -> significa che in virtù di questa norma non
è sufficiente dire ‘il consenso è prestato dal tuo genitore’, perché le tecnologie disponibili
consentono di rilevare se la persona che sta prestando il consenso è maggiorenne o meno, ad es.
attraverso il riconoscimento facciale (del presunto genitore che presta il consenso). Quindi
l’impiego della tecnologia è strumento idoneo a garantire che realmente il consenso sia prestato da
un soggetto maggiorenne, esercente la responsabilità genitoriale sul minore, che se presta il
consenso quanto meno acquisisce la consapevolezza dello strumento che il minore stesso sta
andando ad utilizzare, evitando l’utilizzo da parte del minore di strumenti pericolosissimi, spesso
all’insaputa del genitore.
Considerate quanti bambini utilizzano servizi che non potrebbero utilizzare, di cui i genitori non
sanno nulla. Io so che mio figlio si è scaricato snapchat. Se per utilizzare snapchat c’è la barriera
di un consenso prestato da un maggiorenne, è più difficile che poi il bambino lo utilizzi per fare
sexting.. perché quanto meno il genitore se gli ha dato il consenso per l’installazione, e sa che il
figlio utilizza quell’applicazione, dovrebbe saper quell’applicazione cosa fa e quindi alzare il livello
di attenzione. Questa è la ragione per la quale insieme alla legge per il cyberbullismo si potrebbe
incidere in maniera rilevante.
DOMANDE D’ESAME
-GDPR
-ambito territoriale di applicazione del gdpr
-DPO
-differenza dati personali ed ex dati sensibili
-principi applicabili al trattamento dei dati personali
-cookie (o cookie policy) e log
-raccolta visibile e invisibile e rapporto con la privacy
-informativa e consenso
-consenso minore

HASH
La funzione è un argomento che riguarda la sicurezza informatica e si usa quando si parla di copia
e duplicato informatico e nei capitoli dei reati informatici e del captatore informatico quando si parla
dell’acquisizione dell’evidenza digitale.
La funzione è sostanzialmente una relazione che associa gli elementi appartenenti ad un
determinato insieme (dominio) agli elementi di un altro insieme (codominio). Cioè ad un elemento
ne viene associato un altro.
In buona sostanza la funzione di hash è un codice alfanumerico che viene assegnato ad un
determinato file. La particolarità di questa funzione è che non è invertibile, cioè data una
determinata stringa alfanumerica, quella stringa potrà appartenere sempre e solo ad un singolo
file. Quindi anche se voi in un documento modificate una virgola, quando andate a calcolare l’hash,
questo risulterà modificato. Allo stesso modo non è possibile.. se voi prendete un documento che
voi riusciate in maniera fraudolenta a ricavarvi l’hash.. quindi perché questo è molto importante?
Perché nel campo delle copie (stesso contenuto ma può avere diverso contenitore) e duplicati
(stesso contenuto, stesso contenitore).. quindi la copia di un file avrà un hash differente perché
potete fare la copia di un file word in file pdf. Invece, il duplicato, dovendo essere un file
completamente identico, ha la medesima funzione di hash e quindi verificando questa potete
verificare la corrispondenza di quel duplicato all’originale e attribuire il giusto valore probatorio.
L’hash ha una particolare importanza anche per quanto riguarda l’acquisizione delle evidenze
probatorie questo perché .. quando si parla di acquisire delle prove su un dispositivo informatico
quello che deve essere principalmente garantito è l’integrità. Come sapete è facile modificare un
file che sta su un pc. Soprattutto l’informatico forense che opera a servizio dell’accusa quello che
deve andare a garantire è che il contenuto che viene esaminato e viene portato in giudizio sia
esattamente quello che sta sul dispositivo nel momento in cui il dispositivo viene sequestrato e
questo come può essere verificato? Semplicemente facendo l’hash di tutti i file e documentando
tutte le operazioni nel momento in cui si va a sequestrare il pc e poi rifacendolo ad esempio
quando si produce quel dispositivo in giudizio o durante la fase di analisi in modo tale da poter
dimostrare che i file sono esattamente gli stessi e non sono stati modificati perché, ripeto, la
particolarità dell’hash è che voi anche se andate a modificare una singola virgola di quel file.. ad
esempio avete un file word in cui c’è scritto ‘io mi chiamo tizio’ e calcolate l’hash, poi modificate il
file in ‘io, mi chiamo tizio’ vedrete che i due codici saranno diversi, questa è la principale garanzia
di immodificabilità che la funzione di hash offre.
Perché l’hash è importante sotto il duplice profilo dell’utilizzo della firma e in termini investigativi e
di accertamento di determinati fatti? (in termini investigativi già l’abbiamo visto)
Perché l’hash rispetto alla firma è importante? Perché quando utilizziamo la crittografia, che è a
chiavi asimmetriche nel caso della firma digitale, noi cosa abbiamo? Immaginate il documento
word, quando firmiamo un documento word quel documento non viene crittografato per intero, ma
il sistema genera un hash di quel documento cioè genera la cd impronta del documento ed è
quella impronta che poi firmata, crittografata con la firma digitale che poi garantisce tutti i requisiti
di sicurezza, integrità e inalterabilità che abbiamo studiato.
Perché questo è importante? Quando si va a crittografare un documento, l’operazione che viene
fatta è complessa, appesantisce il pc e genera anche un file molto pesante. Invece io creo l’hash
cioè l’impronta del documento e poi vado a cristallizzare l’impronta del documento attraverso una
firma e ottengo un risultato perfetto.
Ogni file che andate ad utilizzare ha un suo hash, a prescindere dal sistema della firma. Questo è
importante perché nel momento in cui andate a valutare un documento sotto il profilo dell’hash
siete anche in grado di capire se vi trovate di fronte ad una copia o un duplicato. (questo l’abbiamo
già detto prima)
Facendo un ulteriore passaggio importante.. Nel momento in cui inserite in una rete un file, a quel
file viene associato l’hash. Mi spiego meglio. Se voi scaricate da internet, andate su emule e
scaricate qualcosa dalla rete, quel file nel momento in cui viene messo nella rete peer-to-peer
acquisisce un hash che consente di identificarlo in maniera univoca in un determinato ambiente
digitale.

Questo perché è fondamentale anche sotto il profilo delle indagini? Ad esempio è notizia di oggi
che sono stati sequestrati dei canali telegram utilizzati per porre in essere il reato di revenge porn.
In quel caso come si fa a sapere con certezza che i file che circolavano attraverso quel
determinato canale erano realmente dei file aventi ad oggetto quei contenuti sessualmente espliciti
di persone che non avevano dato il consenso? Non si guarda al nome del file perché questo
potrebbe trarre in inganno, io potrei chiamare un file paperino ma in realtà metto il filmato della mia
ex ragazza e che ho inoltrato nel gruppo per danneggiarla. Non è il nome ‘di battesimo’ del file che
caratterizza quello specifico file, ma è l’hash che quel file ha. Quell’hash sarà univoco anche se io
modifico il nome del file. Lo posso chiamare paparino, vittorio, francesco.. a prescindere dal nome
che gli attribuisco, quel file avrà quello specifico hash. Quindi chi fa indagini e deve cercare
qualcosa, non cerca i nomi dei file (paperino, francesco ecc) ma cercherà il codice hash di quel file
perché così avrà la certezza, laddove lo individua, che il file avrà contenuto illecito. Questo vale
per il revenge porn, per la pedopornografia ecc.
DOMANDA D’ESAME
-hash e le sue applicazioni
CONTRATTI TELEMATICI
Facciamo una panoramica generale degli aspetti più importanti dei contratti telematici e poi
parliamo del contratto cibernetico.
Qual è la differenza tra contratto telematico e cibernetico?
Quando vado a concludere un contratto cibernetico, dall’altra parte c’è una macchina che mi
risponde; quando vado a concludere un contratto telematico, vado ad interagire non con una
macchina ma con un soggetto, fermo restando che la tecnologia che io utilizzo per andare a
concludere quello specifico contratto è una tecnologia informatica.
I contratti telematici come possono essere?
E soprattutto cosa posso avere ad oggetto? Beni o servizi.
Quando si parla di contratto telematico è difficile non fare un accenno anche all’e-commerce cioè
il commercio elettronico che può essere:
B2B -› Business-to-Business
B2C -› Business-to-Consumer
C2C -› Consumer-to-Consumer
Quando utilizziamo questi acronimi stiamo andando ad individuare chi sono i soggetti che vengono
ad essere in relazione tra di loro.
B2C -› un professionista e un consumatore ad esempio Amazon
B2B -› due professionisti
C2C -› due consumatori ad esempio subito.it
Drop shipping
È un meccanismo che si basa sulla triangolazione e consente di risparmiare tantissimi costi in
attività di magazzino.
Esempio. La triangolazione viene utilizzata tra emilio (soggetto che ha un sito di e-commerce),
vittorio (produttore di lampade) e giovanni (consumatore finale).
Emilio sulla vetrina del suo sito propone in vendita a giovanni delle lampade. A giovanni piacciono
e decide di acquistarne una. Nel momento in cui parte l’ordine, io quelle lampade non le ho a terra
in magazzino, questo significa che non ho dovuto effettuare un’anticipazione di denaro per
acquistare quelle lampade da vittorio né ho dovuto impegnare un magazzino e quindi disporre di
un locale. Nel momento in cui ricevo l’ordine da giovanni, automaticamente triangolerò l’ordine su
vittorio e la cosa più ‘figa’ è che quel bene non lo spedirò io a giovanni, io riceverò il denaro da
giovanni, ma quel bene a giovanni lo spedirà direttamente vittorio come se quel bene fosse spedito
da me.
C’è una triangolazione perfettamente lecita che mi consente di abbattere costi di magazzino e
anticipazioni economiche. Il gioco si regge sulla mia bravura di contrattare con vittorio e riuscire a
strappargli dei prezzi che mi consentono di lucrare sulla differenza tra quanto dovrò riconoscere a
vittorio e quanto giovanni mi pagherà.

Un meccanismo di questo genere presuppone rapporti B2C (tra me e giovanni) ma anche rapporti
B2B (che sono i rapporti tra me e vittorio).
Talvolta è stato usato nel dark web o nel deep web. Qualcuno ha pensato di usare questo sistema
per attività illecite. Dei ragazzi di SMCV hanno pensato che le sostanze stupefacenti potevano
essere facilmente smerciate senza essere individuate e hanno creato quest’attività sul dark web
attraverso una triangolazione tra lo spacciatore, loro che li pagavano in bitcoin .. Ma nel darkweb
non c’è un anonimato totale. Questo è uno degli aspetti che si comprende quando si fa attività di
investigazione e di ingegneria sociale perché per queste attività non basta l’attività di
investigazione ma si deve saper fare anche ingegneria sociale sulle reti del dark web. Non
dimenticate mai che nel dark web oltre ad esserci delinquenti ci sono persone che lo usano per
finalità lecite ma ci sono anche soggetti infiltrati e in molti casi l’agente provocatore. Non è
possibile provocare un soggetto e istigarlo a commettere un reato per poi perseguirlo, salvo che ..
L’agente provocatore può essere utilizzato per i reati di droga ma anche per il reato di
pedopornografia. Quindi ci sono soggetti che chiedono di scambiare determinati file in determinati
contesti proprio per arrivare ad accertare l’esistenza di associazione o di scambi ecc.
Tornando alle tematiche di cui stavamo parlando.

Il commercio elettronico può dare corso a transazioni sincrone e asincrone, possono essere
transazioni totalmente telematiche e quindi totalmente dematerializzate e transazioni miste.
Quando si verifica una e quando si verifica l’altra?
Io posso concludere un contratto telematicamente ed eseguirlo telematicamente o posso
concludere un contratto telematicamente ma eseguirlo tradizionalmente.
Se io acquisito un e-book concludo il contratto online e l’esecuzione del contratto avviene online
perché pago e ricevo il file.
Se acquisito un libro cartaceo io concludo il contratto ed eseguo la mia prestazione online ma la
consegna viene fatta tradizionalmente.
Ma quando si conclude un contratto telematico?
Quando si conclude un contratto nel tradizionale?
1326 CC – conclusione del contratto
Il contratto e' concluso nel momento in cui chi ha fatto la proposta ha conoscenza
dell'accettazione dell'altra parte.
Se io e vittorio vogliamo concludere il contratto, quando sarà concluso? Quando l’accettazione
giunge all’indirizzo del proponente. Questa è l’ipotesi standard.
L'accettazione deve giungere al proponente nel termine da lui stabilito o in
quello ordinariamente necessario secondo la natura dell'affare o secondo gli usi.
Cioè se io dico che sono disposto a vendere questa penna a 10 euro entro domani mattina alle 10,
l’accettazione di quel contratto deve avvenire entro le 10, se avviene alle 11 il contratto non è
concluso.
Quali sono i modelli che voi utilizzate quando concludete un contratto su internet?
La conclusione del contratto può avvenire con lo schema/modello dell’offerta al pubblico, dell’invito
ad offrire (raro su internet) o esecuzione prima della risposta dell’accettante.
Offerta al pubblico (1336 CC)
Cos’è? Quello che troviamo in vetrina. Quando è concluso il contratto in questo caso? Entro nel
negozio, prendo il bene, pago e me ne vado (senza proferire parole). Si parla di offerta al pubblico
quando contiene gli estremi del contratto alla cui conclusione è diretta, e quando contiene questi
estremi vale come proposta, quindi torniamo nello schema del 1326 CC Il contratto e' concluso
nel momento in cui chi ha fatto la proposta ha conoscenza dell'accettazione dell'altra parte
che, nel caso dell’offerta, si ha anche attraverso un comportamento concludente.
Su internet questo comportamento concludente è rappresentato dal cd tasto negoziale (click) infatti
di dice anche conclusione del contratto attraverso il meccanismo del point and click che è quel
meccanismo che ci porta a concludere il contratto con la pressione del tasto negoziale.
NB domanda a trabocchetto che faccio all’esame: l’acquisto del biglietto di un treno su internet è
concluso attraverso il modello negoziale dell’offerta al pubblico? O invece si utilizza un altro
schema e quindi il momento conclusivo di quel contratto è un altro? È l’esecuzione prima
dell’accettazione, esecuzione prima della risposta dell’accettante art 1327 cc perché sto
pagando prima ancora di avere la risposta. 1327 cc: qualora su richiesta del proponente o per la

natura dell’affare o secondo gli usi, la prestazione debba eseguirsi senza una preventiva risposta,
il contratto è concluso nel tempo e nel luogo in cui ha avuto inizio l’esecuzione. Il contratto è
concluso nel luogo e nel tempo in cui ha avuto inizio l’esecuzione, esecuzione che rispetto alla mia
obbligazione (acquistare un biglietto del treno) è rappresentata dal pagamento del prezzo. Fino a
quando non pagate quel contratto non è concluso.
Su internet dovete fare attenzione anche al tipo di modello perché cliccare su un tasto potrebbe
determinare la conclusione di un contratto da cui poi deriva l’obbligo.
È più o meno il meccanismo che usavano per le truffe telefoniche. Uscivano quei banner ‘ti sei
abbonato a 5 euro a settimana per …’. Loro dicevano che avevi concluso perché avevi cliccato sul
tasto.
L’accettante deve dare prontamente avviso all’altra parte dell’iniziata esecuzione e, in mancanza,
è tenuto al risarcimento del danno. (1327)
Quando voi all’università andate ai distributori automatici e comprate il caffè, cosa state facendo?
State concludendo un contratto, modello: offerta al pubblico.
Questo ve lo dico perché il distributore è il primo esempio di quelli che oggi vengono chiamati
smart contract (contratti intelligenti) che non sono modalità di conclusione del contratto, con lo
smart contract il contratto deve essere già stato concluso o con la modalità telematica o con la
modalità tradizionale. Lo smart contract è un modo di esecuzione automatica del contratto, io
utilizzo lo smart contract per eseguire automaticamente un contratto.
Esempio stipulo un contratto di noleggio per una moto con fabiana, fabiana mi noleggia la moto e
io mi impegno a pagare ogni mese x euro.
Nel modello tradizionale che accade se non la pago? Si innesta il meccanismo necessario alla
riscossione delle somme ecc.
Se a questo modello vado a legare il modello dello smart contract, automaticamente, essendo
legato a determinate condizioni impostate nel momento in cui andiamo a stipulare il contratto,
quando non pagherò più fabiana la moto non partirà più, quindi esecuzione automatica del
contratto, in assenza della prestazione non c’è più la controprestazione.
Altro esempio di smart contract. Prenoto un biglietto aereo, pago, mi imbarco, arrivo con 3 ore di
ritardo a destinazione o viene cancellato il volo. Se applico al contratto uno smart contract,
automaticamente, attraverso la verifica da un soggetto esterno (che si chiama oracolo) del fatto
che l’aereo è arrivato in ritardo o che non è proprio partito, anche attraverso strumenti di
assicurazione (quindi vedete quanti soggetti entrano in un determinato rapporto), il consumatore
potrà essere ristorato in automatico senza dover dar corso a tutta una serie di azioni giudiziali,
richieste ecc.
Quindi vedete che c’è una semplificazione tecnologica estrema in determinati rapporti che devono
essere, però, rapporti basati su variabili che possono diventare degli algoritmi, perché se io devo
andare a considerare delle variabili che non posso ridurre ad una formula matematica e quindi ad
un algoritmo, dovrò necessariamente procedere secondo i criteri standard.
Invito ad offrire
Qui c’è un ribaltamento. Quando si conclude un contratto? Quando chi ha fatto la proposta è a
conoscenza dell’accettazione dell’altra parte (1326).
Immaginate un meccanismo di invito ad offrire. Esempio. Se andate su ebay voi siete invitati ad
offrire qualcosa (lì c’è un meccanismo dell’asta che ha un funzionamento diverso ma immaginate
questo meccanismo) io metto in vendita la penna ma non fornisco tutti gli elementi necessari per
concludere il contratto, non dico qual è il prezzo (altrimenti avrei formulato l’offerta al pubblico) e
invito ad offrire tutti voi. Fabiana mi offre 50 centesimi, lory 1 euro. Quindi c’è un ribaltamento: io
faccio l’invito ad offrire ma il proponente nel rapporto chi è? Lory! Che dovrà avere la mia
accettazione.
Questo è un meccanismo importante che è stato previsto dal d.lgs 70/2003, l’art 13 (se non erro)
che fa riferimento ad una ricevuta. Ora, si è interrogata la dottrina sul ruolo di quella ricevuta che
deve essere rilasciata a seguito della conclusione di una transazione automatica che è più o meno
quella ricevuta che vi arriva nella mail quando concludete una determinata transazione su internet.
Ora, si è interrogata la dottrina, quella ricevuta equivale a determinare il momento conclusivo del
contratto o è semplicemente un obbligo post negoziale?

Se è un momento conclusivo del contratto, vuol dire che fino a quando quella ricevuta non mi
arriva, il contratto non è concluso. Se è un obbligo post negoziale, il contratto è concluso ma la
controparte ha l’obbligo di inviarmi quella ricevuta.
Qual è dei due? Non c’è una risposta unitaria perché dipende dallo schema che avete utilizzato.
Se avete utilizzato lo schema dell’offerta al pubblico, sarà un obbligo post negoziale perché il
contratto si è concluso nel momento in cui voi cliccate sul tasto accetta. Se invece avete usato lo
schema dell’invito ad offrire, si evincerà da quella ricevuta il momento conclusivo del contratto. Se
avete utilizzato lo schema dell’esecuzione prima della risposta dell’accettante, anche in quel caso
sarà un obbligo post negoziale.
Quindi cambia al mutare dello schema utilizzato per concludere un determinato contratto.
Su tutto questo poi si pongono delle tematiche che vi accenno ma di cui dopo che sono relative
alla tutela delle parti contrattuali.
Cosa accade se nel contratto che concludete telematicamente c’è una clausola vessatoria? Qual è
che la disciplina delle clausole vessatorie? Esiste una disciplina codicistica (1341, 1342) ma esiste
anche e soprattutto il codice del consumo quando l’altra parte è un consumatore.
Questo lo scoprirete.
CONTRATTO CIBERNETICO
Il contratto cibernetico è quello dove, non solo gli strumenti digitali costituiscono il mezzo
attraverso cui viene trasmessa la volontà contrattuale, ma una delle due parti è costituita da un
software. Questa circostanza ha portato una serie di dubbi in dottrina principalmente con riguardo
a due profili.
Il primo è: come può una macchina, un sistema non umano, rappresentare una volontà? Cioè,
com’è possibile che uno strumento tecnologico abbia una propria volontà, come si forma la volontà
del contraente rappresentato dallo strumento digitale nell’ambito di quel contratto? La risposta è
semplice. Dal punto di vista pratico c’è un programmatore che programma quel determinato
software a stipulare un contratto a determinate condizioni. Cioè sarà un programmatore che
elaborerà un programma al quale verrà detto la merce x devi venderla a 50 euro, in quel caso devi
stipulare il contratto altrimenti no.
La cosa importante è ‘ci sarà un programmatore’ ma quel programmatore è sempre un

programmatore nel senso che dovrà riprodurre in linguaggio informatico qualcosa che è stato
stabilito aliunde e da qualcun altro.
NB differenza tra smart contract e contratto cibernetico è che lo smart contract prevede, nella
quasi totalità dei casi, la conclusione già avvenuta, è un modello di esecuzione; il contratto
cibernetico invece è un modello che porta alla conclusione e alla successiva esecuzione.
Il meccanismo è lo stesso solo che lo smart contract opera ex post rispetto allo scambio della
volontà, invece il contratto cibernetico opera ex ante rispetto al momento conclusivo del contratto,
cioè rispetto allo scambio della volontà.
Ciò chiarito la problematica si è spostata su come giuridicamente dovesse inquadrarsi questo

fenomeno. Cioè qual è la base giuridica. Qual è la base giuridica per cui la volontà dell’essere
umano (l’imprenditore) tramite l’opera del programmatore viene trasferita a quello specifico
software? Vi ometto le varie ricostruzioni (che sono sul libro), soluzione finale: mandato con
rappresentanza cioè mandato con procura perché quel software agisce in nome e per conto
dell’imprenditore (non è che il software vende un prodotto per conto suo e quindi ci sarà il mandato
con rappresentanza). Questa scelta è importante perché delinea anche il profilo della
responsabilità, dell’inadempimento in capo all’imprenditore.
Il nodo problematico principale è quello della volontà e quindi un ulteriore fattore di criticità è: ma
quali possono essere i vizi della volontà?
Perché i vizi della volontà sono importanti? Quali sono i vizi della volontà? Errore, violenza e dolo.
Cosa determinano? L’annullabilità del contratto.
Secondo voi come si può fare violenza su un software? Si può fare violenza su un software?
Per violenza si deve intendere coercizione fisica, c’è qualcuno che minaccia il programmatore e
dice: ‘tu il programma devi impostarlo in questo modo’ oppure può esserci un hackeraggio.
La violenza può essere posta in essere su un applicativo informatico in due modi:

1 coercizione fisica sul programmatore
2 hackeraggio in modo che il contratto venga stipulato a condizioni diverse da quelle per cui era
stato impostato.
Come si può indurre in errore un applicativo in programma?
Rappresentando delle false qualità al programma stesso oppure adoperando una serie di
strumenti informatici (diversi dall’hackeraggio altrimenti si avrebbe la violenza) affinché quel
programma sia indotto a stipulare un contratto a condizioni diverse da quelle per cui era stato
programmato.
Per dolo si intendono tutti quegli artifizi e raggiri che vengono posti in essere affinché quel
programma stipuli un contratto a condizioni diverse. Ma devono artifizi e raggiri perché bisogna
specificare che non si concretizzino in una effrazione del programma e che non tendano a indurlo
in errore. Devono essere semplicemente degli artifizi e raggiri che portino il programma a stipulare
un contratto a condizioni diverse da quelle che erano state pattuito.
Questa è una tematica complessa sia in ordine all’accertamento di tali fattispecie, sia anche .. una
volta che ci si rende conto che è stata viziata la volontà di un elaboratore di un programma volto
alla stipula di contratti cibernetici .. a capire quale vizio della volontà si sia concretizzato cioè se vi
sia stato hackeraggio (violenza), se è stato indotto in errore o se la parte umana (non cibernetica)
abbia adoperato artifizi e raggiri (dolo).
Il contratto è annullabile se una delle parti era legalmente incapace di contrarre e quando ricorrono
le condizioni stabilite dall’art 428 contratto stipulato da persona incapace di intendere e di volere.
Questa è la disciplina generale. A noi interessa nello specifico (anche in relazione al trattamento
dei dati personali del minore, il minore che fornisce dati falsi..) il 1426 CC.
1426 – raggiri usati dal minore
Il contratto non è annullabile se il minore ha, con raggiri, occultato la sua minore età, ma la
semplice dichiarazione da lui fatta di essere maggiorenne non è di ostacolo all’impugnazione del
contratto.
Questa previsione normativa è molto importante perché è su questo che poi si regge la possibilità
di impugnare un eventuale contratto che il minore ha concluso su internet. Mio figlio ha acquistato
su internet beni per 1000 euro utilizzando la mia carta di credito. In quel caso ci sono alte
probabilità che il contratto non sia annullabile perché il minore ha, con raggiri, occultato la sua
minore età. Se io nascondo la mia minore età, dico che sono maggiorenne, utilizzo una carta di
credito di mio padre, ho raggirato il sistema perché ho ricondotto la disponibilità di una carta di
credito al fatto che sono un soggetto maggiorenne. In quel caso non si può procedere
all’annullabilità del contratto, il contratto sarà valido e dell’obbligazione che ne discende
risponderanno i genitori del minore.
Ipotesi facebook. Laddove si volesse impugnare il contratto stipulato con la piattaforma.. secondo
voi si potrebbe o no impugnare? Fino a quando facebook non si allineerà anche alle previsioni
tecnologiche che sono state previste dal regolamento privacy del 2016, diciamo che
tendenzialmente è possibile perché dice la norma ‘la semplice dichiarazione da lui fatta di essere
maggiorenne non è di ostacolo all’impugnazione del contratto’. Se al minore viene chiesto solo
nome ed età e lui dichiara un’età diversa da quella reale, è una semplice dichiarazione che gli
viene chiesta, non ci sono ulteriori livelli di controllo e questo determinerebbe la possibilità di
invocare l’annullabilità del contratto.
Clausole
Se le clausole in un contratto sono vessatorie che succede?
Articoli di riferimento nel CC: 1341 e 1342
Art. 1341. (Condizioni generali di contratto).
Le condizioni generali di contratto predisposte da uno dei contraenti sono efficaci nei confronti
dell'altro, se al momento della conclusione del contratto questi le ha conosciute o avrebbe
dovuto conoscerle usando l'ordinaria diligenza. -› Conoscenza delle condizioni contrattuali.
Nel momento in cui la transazione avviene online le condizioni del contratto mi devono essere
messe a disposizione e devo essere anche in grado di leggere perché se accetto tutto poi devo
stare zitto perché ho accettato delle condizioni contrattuali che probabilmente sono anche inique.

Quando venite all’esame vi genero confusione perché voglio che vi sia chiara la differenza che lo
stesso documento che è sottoposto al vostro point and click può contenere condizioni contrattuali,
informativa privacy, disciplina del consenso.. vi chiederò: il consenso dove deve stare rispetto ad
un documento così formato? Voi dovete dire: il consenso deve essere messo in una parte
chiaramente visibile e dovranno essere indicate le singole attività per le quali io presto il consenso
al trattamento. Questo perché ve lo dice il regolamento. Poi mi dovrete dire altre cose sulla
conclusione. (circolarità degli argomenti)
In ogni caso non hanno effetto, se non sono specificamente approvate per iscritto,
le condizioni che stabiliscono, a favore di colui che le ha predisposte, limitazioni di responsabilita',
facolta' di recedere dal contratto o di sospenderne l'esecuzione, ovvero sanciscono a carico
dell'altro contraente decadenze, limitazioni alla facolta' di opporre eccezioni, restrizioni alla liberta'
contrattuale nei rapporti coi terzi, tacita proroga o rinnovazione del contratto, clausole
compromissorie o deroghe alla competenza dell'autorita' giudiziaria.
Il legislatore per queste ipotesi richiede uno dei requisiti previsti dal 1325 c.c., il requisito della
forma: devono essere approvate per iscritto, è necessaria la forma scritta ad substantiam. Di cosa
necessito per validare una clausola di questo tipo eventualmente presente nel contratto
telematico? Ho bisogno di quale tipo di firma? In questo caso il contratto dovrà essere sottoscritto
con la modalità prevista dall’art 20 c1 bis d.lgs 82/2005 ovvero utilizzando o la firma digitale o la
firma elettronica qualificata o una firma elettronica avanzata ovvero ancora la nuova modalità
prevista dalle linee guida di agid che si chiama firma con spid che consente con un unico
strumento (gratuito) non solo di accedere ai servizi della PA ma anche di accedere ai servizi di
fornitori privati che decidono di identificarvi tramite spid con un doppio beneficio sia per voi che per
il venditore perché il venditore avrà la certezza che chi accede è realmente quella persona e quindi
abbatte i fenomeni di sostituzione di persona e le frodi informatiche connesse.
Per garantire la validità di queste clausole vessatorie, i contratti potrebbero essere conclusi per
relationem cioè al tasto negoziale seguirà la trasmissione del contratto sottoscritto in maniera
autografa. Esempio sottoscrivete un contratto per un servizio telefonico su internet e poi vi viene
chiesto di firmare e spedire quel contratto. Lo chiedono perché in quei contratti spesso ci sono
delle clausole tendenti alla vessatorietà di cui al 1341 che devono essere sanate.
Poi c’è il codice del consumo in cui vi è una lista di clausole vessatorie, alcune delle quali
determinano la nullità relativa di quel contratto e quindi non possono essere sanate neanche
attraverso la doppia sottoscrizione.
Art. 1342. (Contratto concluso mediante moduli o formulari).

Nei contratti conclusi mediante la sottoscrizione di moduli o formulari, predisposti per disciplinare
in maniera uniforme determinati rapporti contrattuali, le clausole aggiunte al modulo o al formulario
prevalgono su quelle del modulo o del formulario qualora siano incompatibili con esse, anche se
queste ultime non sono state cancellate.
Si osserva inoltre la disposizione del secondo comma dell'articolo precedente.
Le clausole aggiunte su internet rappresentano un vero problema anche di tutela per il
consumatore perché se oggi leggete un contratto, domani quel contratto potrà essere modificato e
voi non ve rendete conto perché non è facile rilevare l’alterazione nel documento informatico.
Quindi le eventuali aggiunte al modulo o formulario, presuppongono la sottoscrizione e la forma
scritta, di conseguenza necessiterà di uno di quei meccanismi di firma che laddove apposti
garantiscano l’inalterabilità e quindi la cristallizzazione di quel dato a vostra assoluta garanzia.
Cioè le clausole aggiunte devono essere oggetto di una specifica sottoscrizione e prevalgono su
quello che c’è scritto nel modulo o nel formulario. Questa cosa sotto un profilo informatico non si
può verificare ma l’eventuale aggiunta si potrà rilevare perché avete firmato quel contratto con uno
strumento telematico.
Quello a cui dovete fare attenzione quando andate a sottoscrivere un contratto online è sempre di
acquisire e conservare il contratto telematico perché è facile che accettate oggi un contratto
telematico (che magari trovate anche sul sito), ma un tra un anno cambiano le opzioni, quel
contratto non lo trovate più e non siete in grado di vedere quali erano le condizioni applicate al
vostro servizio. Quindi dovete sempre acquisire e conservare le condizioni contrattuali a vostra
tutela.

Secondo voi ci può essere contemporaneamente un contratto cibernetico ed uno smart contract?
Si. Come dovrebbe avvenire la fase della stipulazione e la fase dell’esecuzione? Stipulazione con
contratto cibernetico; per quanto riguarda l’applicazione dello smart contract magari la scelta di
un’opzione che mi rinnova il contratto mensilmente o che se io non pago me lo blocca (che è
quello che fa netflix, se non paghi ti bloccano il servizio).
DOMANDE D’ESAME
-conclusione contratto telematico
-conclusione contratto con point and click
-offerta al pubblico
-ricevuta art 13
-contratto cibernetico a qualche schema contrattuale può essere ricondotto?
-differenza contratto cibernetico e telematico
Lez 8
Documentazione.
Voi avreste dovuto fare un esercizio sulla banca dati del foro italiano. Prendiamo questo foro di
riferimento perché è una delle riviste giuridiche più antiche che esiste in Italia. Soprattutto è
costruita su una logica ripresa anche da documenti ufficiali. In primo luogo dobbiamo imparare a
distinguere le pubblicazioni, perché quando parliamo di foro italiano noi abbiamo il “Foro italiano”,
rivista giuridica, e poi il “Repertorio del foro italiano” che invece è una raccolta di bibliografia,
legislazione e giurisprudenza. Ci soffermeremo ora su questi tre concetti. La cosa fondamentale è
che la banca dati, con cui vi sareste dovuti esercitare, è una versione demo del foro italiano,
rispetto alla versione full, consultabile in biblioteca, che vi consente di effettuare delle ricerche.. (si
interrompe).
La banca dati del foro italiano è importante perché raccoglie legislazione, bibliografia e
giurisprudenza, ma non dovete confonderla con la rivista. Quando parliamo di legislazione,
bibliografia e giurisprudenza, a cosa facciamo riferimento, calandola nel contesto del foro italiano?
La legislazione contiene articoli e titoli di legge. La bibliografia contiene titoli di dottrina e di note
a sentenze. La giurisprudenza contiene massime… chiaramente calando queste categorie
nell’ambito del foro italiano. Ma qual è la particolarità? Che la legislazione, la bibliografia e la
giurisprudenza sono classificate al di sotto di voci aperte di riferimento, quindi ogni voce aperta,
ogni annata, che viene presa e considerata nel repertorio del foro italiano, raccoglie e classifica
legislazione, bibliografia e giurisprudenza. Si procede andando a riportare tutta la documentazione
sotto delle voci aperte di riferimento. Nel repertorio del foro italiano esistono due tipologie di voci:
aperte e chiuse.
Le aperte sono tali proprio perché contengono legislazione, bibliografia e giurisprudenza.
Le chiuse invece sono chiuse e rinviano ad altre voci aperte, quindi sono mere voci di rinvio ad
altre voci aperte.
Es. Nel foro italiano esiste una voce aperta che si chiama ‘Informatica giuridica, diritto
dell’informatica e telematica’. Secondo voi in questa voce aperta cosa ci sarà?
Ci sarà tutta la legislazione, bibliografia e giurisprudenza relative a quel determinato argomento,
raccolte nel corso di un anno. Quindi nel corso di un anno la redazione del foro italiano raccoglie
tutto ciò che viene pubblicato dalle riviste giuridiche italiane, tutte le più importanti sentenze della
Corte di cassazione, tutti i più importanti provvedimenti dei giudici di merito, li classifica e li riporta
al di sotto delle voci aperte di riferimento.
Se io vi assegnassi una tesi sul contratto telematico, potreste andare nel repertorio del foro italiano
e fare una ricerca sul contratto telematico -> ricerca relativa non soltanto alla legislazione che
disciplina il contratto telematico, ma relativa a tutti i provvedimenti che in un anno (e nella rivista
avete la possibilità di analizzare non solo un anno, ma un arco temporale molto ampio) sono stati
presi. La particolarità è che sul repertorio voi potete reperire sia provvedimenti che riguardano il
tema generico dell’informatica giuridica, ma nello specifico, utilizzando un indice analitico, potrete
reperire specifici provvedimenti che hanno ad oggetto questioni determinate e individuate
nell’indice analitico. Quindi è molto penetrante la possibilità di ricerca.
Il bravo giurista è in grado di restringere la ricerca. Quanto più riesco a restringerla tanto più riesco
ad eliminare i rumors. Es. quando voi andate su Google e fate la famosa ricerca ‘dove colgo,

colgo’, mettete la parola in Google, date l’ok e siete sommersi da migliaia di risultati, molto spesso
classificati non sulla base della loro rilevanza, ma sulla base dei parametri di ricerca che hai
inserito.
Es. Devo fare un ricorso per impugnare una sanzione comminata a una nuotatrice per il mancato
rispetto della disciplina relativa alle regole dell’entrata in acqua. Non ne so nulla e faccio una
ricerca su Google. Faccio una ricerca dove colgo, colgo, e sarò travolto da miliardi di risultati.
Questi risultati non mi vengono presentati solo in base alla loro rilevanza rispetto ai parametri di
ricerca che io ho impostato, ma mi vengono presentati anche rispetto a eventuali sponsorizzazioni
che sono state fatte dai soggetti che vogliono avere una posizione predominante nei risultati di
ricerca. Se io vendo borse non mi interessa avere un sito internet che si classifica al 50esimo
posto nelle pagine di ricerca di Google, perché è scientificamente provato che le persone che
effettuano una ricerca soffermano la loro attenzione sulla prima/seconda pagina. Quindi se io
vendo borse ho tutto l’interesse di posizionare i risultati delle mie ricerche ad un posto più rilevante
rispetto agli altri miei concorrenti. Quest’attività si fa attraverso l’indicazione di chiave di ricerca e la
sponsorizzazione. Cioè se io vendo borse utilizzerò una serie di parametri di ricerca che ogni
qualvolta sono digitati mi riporteranno a quella specifica pagina. Questo genera e ha generato
anche problemi giuridici importanti a cui voi probabilmente non avete mai pensato.
Pensate se io vendo borse, ma non borse Gucci. Quando vado a costruire il mio sito e lo
sponsorizzo, potrei inserire tra i parametri di ricerca la parola “Gucci”, perché ovviamente è una
parola che viene ricercata molto sul web -> così ogni volta che si digita “Gucci” esce il mio sito,
anche se nel mio sito quella parola non c’è perché non tratto quello specifico prodotto. Questo
comportamento è errato e giuridicamente vietato. Io sto sfruttando il marchio di un altro soggetto
per fare una pubblicità tra l’altro ingannevole. Rientriamo nell’ambito della disciplina dei marchi e
dei brevetti.
Facciamo l’ipotesi di una persona che utilizza un determinato prodotto, ad es. dell’abbigliamento,
che reca un determinato marchio.. e quest’abbigliamento lo utilizza nell’ambito di una sua attività
professionale.
Se io utilizzo quest’abbigliamento, utilizzo quel marchio per pubblicizzare il fatto che magari vado a
una palestra, e faccio apparire quel marchio come strettamente correlato alla mia attività
professionale, posso incorrere in una violazione della legge marchi, perché lo sfruttamento di quel
marchio potrebbe essere considerato uno strumento di illecito accaparramento di clientela. Ci sono
numerosi provvedimenti di fb che sospendono le pagine fb, perché i titolari del marchio mandano
delle segnalazioni di utilizzo illecito di determinati specifici marchi.
Altro es. Io ho più macchine e vendo giri in circuito di queste macchine. Posso pubblicizzare
quest’attività su fb? Certo, ma se io sfrutto quel marchio per la mia attività, il titolare del marchio
può diffidarmi dall’utilizzo e chiedere anche il risarcimento del danno per il mancato pagamento
delle loyalty di riferimento.
Ma se io ho acquistato un’Audi posso dire che i giri li faccio fare sull’Audi? Sì, posso dirlo. Quello
che non posso fare è enfatizzare l’utilizzo del marchio e legarlo alla mia specifica attività -> tant’è
vero che anche la vendita di determinati prodotti in alcuni casi può avvenire solo se si è rivenditori
ufficiali di quel determinato marchio. La pubblicità di determinati prodotti può avvenire se si è
rivenditori di quel determinato marchio.. ma queste sono situazioni che vengono definite sulla base
di accordi commerciali. Io posso avere un negozio multimarca, ma posso essere anche rivenditore
ufficiale di una determinata marca. In questo secondo caso avrò diritto a una serie di benefici che
mi devono porre in una situazione più vantaggiosa rispetto a chi non è rivenditore ufficiale, ma qui
andiamo nell’ambito di rapporto contrattuali che vengono definiti mediante accordi tra le parti.
Ritornando al discorso precedente, se io faccio una ricerca su Google dove colgo, colgo, non è
detto che i primi risultati sono coerenti con ciò che sto cercando. Allora dovrò essere bravo a
utilizzare su Google, ma anche nelle banche dati, degli operatori di ricerca che mi consentono di
restringere il campo della ricerca.
Ad esempio sul repertorio del foro italiano io posso utilizzare un determinato operatore denominato
in un certo modo, il che significa che se io scrivo ad es. “normale tollerabilità” e premo invio, il
motore di ricerca interno al software mi troverà in tutta la banca dati, le parole ‘normale’ e
‘tollerabilità’, sia quando sono compresenti, sia quando non lo sono, sia quando c’è solo l’uno, sia
quando c’è solo l’altro. Se io scrivo ‘normale.s tollerabilità’ avrò già ristretto il campo della ricerca,

richiedendo solo i documenti in cui le due parole sono compresenti. Utilizzando elementi incrociati
di ricerca potrò stringere ulteriormente il mio settore di analisi.
‘Operatore.e’ (nome di un operatore) e continuando ‘..normale e tollerabilità’, significa che mi va a
trovare le due parole che devono essere compresenti almeno nell’ambito del foro italiano,
nell’ambito di 5 parole, quindi ci deve essere una vicinanza di max 5 parole. “Or” (nome di un
operatore), trovami la parola ‘normale’ o ‘tollerabilità’, “Not” trovami la parola ‘normale’ ma non la
parola ‘tollerabilità’, quindi se ci sono insieme, escludimelo perchè non mi interessa (voglio solo la
parola ‘normale’ e non la parola ‘tollerabilità’) e così via.
Questo è il concetto dell’operatore. Quindi il repertorio del foro italiano che nasce come strumento
cartaceo di ricerca, nel corso degli anni si è evoluta, ed è diventata una banca dati elettronica, un
database. Un database contiene una serie di dati, di schedine. In ogni schedina ci sono tante
righe, che noi chiamiamo ‘fields’ o ‘campi’. Questi campi corrispondono ai parametri con cui
andiamo a popolare il database. Tutti campi formano una schedina, tante schedine formano un
database. All’interno di questo database trovate dati, che sono organizzati secondo una
determinata logica, e la possibilità di muoversi all’interno di questo database ci viene data
attraverso l’utilizzo di questi parametri di ricerca. Quello che dovete imparare a fare da giuristi è
razionalizzare l’utilizzo dei parametri di ricerca.
Reati informatici.
Ci soffermiamo in particolare sul concetto di giurisdizione e competenza nel cyberspazio.
Internet si caratterizza per la sua aspazialità, superando la tradizionale territorialità degli
ordinamenti giuridici. Tale territorialità serve ad individuare lo spazio su cui gli stessi ordinamenti
esercitano la loro sovranità esclusiva, sfruttando anche previsioni collegate alla natura del reato, al
soggetto attivo e al soggetto passivo di questo reato.
Cosa determina il carattere sovranazionale della rete? Qual è il rischio? È che ci si possa dover
confrontare con un accavallamento di giurisdizioni differenti. C’è questo rischio perché se
internet si caratterizza per la sua aspazialità, è ovvio che ci può essere un accavallamento di
giurisdizioni se io in Italia commetto un reato telematico, che colpisce un soggetto che si trova
negli Stati Uniti. Quale dei due paesi mi punisce? Potrebbe esserci un accavallamento perché mi
vogliono punire entrambi. Ci sono delle regole giuridiche per capire quale strada seguire.
Dobbiamo prendere in considerazione l’art.22 della Convenzione di Budapest del 23 novembre
2011. Questa è stata recepita in Italia con la legge 48 del 2008. Questa legge ha modificato il
concetto di ‘documento informatico’ previsto dal codice penale, slegando il concetto di ‘documento
informatico’ dal concetto di ‘supporto’.
La convezione di Budapest è quella con cui si è provato a introdurre una disciplina unitaria per
determinate fattispecie relative al cyber crime. É emersa nel contesto internazionale, la rilevanza
internazionale del cyber crime, e quindi la necessità di trovare una disciplina unitaria. Il legislatore
italiano, in accoglimento di una raccomandazione del Consiglio d’Europa, ha elaborato già nel ’93
una disciplina penale per gli illeciti informatici. Questa disciplina del ‘93 è stata inadeguata perchè
aveva una visione territoriale. Il Consiglio d’Europa, consapevole della rilevanza transnazionale
della criminalità informatica e della conseguente necessità di adottare un processo di integrazione
di diversi ordinamenti, ha varato nel 2001 la Convenzione di Budapest sulla criminalità informatica.
Questa Convenzione è stata ratificata dall’Italia nel 2008.
Art.22 comma 1:
“1.Ogni Parte deve adottare le misure legislative e di altra natura che dovessero essere
necessarie per stabilire la propria competenza per tutti i reati previsti in conformità agli articoli da 2
a 11 della presente Convenzione, quando i reati siano commessi:
a. nel proprio territorio;
b. a bordo di una nave battente bandiera della Parte;
c. a bordo di un aeromobile immatricolato presso quella Parte;
d. da un proprio cittadino, se l’infrazione è penalmente punibile la dove è stata commessa o se
l’infrazione non rientra nella competenza territoriale di alcuno Stato.
Comma 4: “La presente Convenzione non esclude alcuna competenza penale esercitata dalle
Parti in base al loro diritto interno.”
-> quindi la Convenzione ha applicato ancora una volta il criterio della territorialità, o in
alternativa, il criterio della personalità attiva, cioè infrazione commessa da un proprio cittadino,

quindi quando il reato è punibile nel luogo in cui è stato commesso ovvero se l’infrazione non
rientra nella competenza di un altro Stato.
Le regole dettate dalla Convenzione di Budapest in realtà non risolvono il rischio di una
sovrapposizione tra giurisdizione, perché è chiaro che il criterio della commissione del reato nel
proprio territorio non è sempre utilizzabile attraverso i rati commessi sulla rete, a causa della
difficoltà di individuare in maniera univoca il luogo in cui questi reati sono commessi. Tra l’altro
l’ipotesi dell’art.22 del criterio della commissione del reato da parte di un proprio cittadino non
esclude la possibilità che l’esercizio dell’azione penale venga effettuato sulla base del diritto
interno dell’altro Paese, cioè che sulla scorta di quell’azione sia azionato anche un secondo
procedimento nello Stato in cui è posta in essere quella determinata azione.
Le regole fissate dal nostro codice penale sono allineate alle regole individuate dalla Convenzione
di Budapest, quindi la loro applicazione determina la stessa criticità.
Art.9 comma 1 C.P.P:
“Se la competenza non può essere determinata a norma dell'articolo 8, è competente il giudice
dell'ultimo luogo in cui è avvenuta una parte dell'azione o dell'omissione.” -> siamo passati all’art.9,
rubricato ‘Regole suppletive’, perché scatta in tutti i casi in cui vi è l’impossibilità di determinare in
modo univoco il luogo della consumazione del reato. Se io so dove si è consumato il reato
applicherò le regole generali previste dall’art.8 del C.P.P.; se non posso determinarlo con certezza
applicherò le regole suppletive. Queste ultime non risolvono di molto il problema, data la peculiarità
dei reati informatici… peculiarità che nella maggior parte dei casi determina la difficoltà di
individuare il luogo in cui è avvenuta l’ultima parte della condotta illecita.
Comma 2: “Se non è noto il luogo indicato nel comma 1, la competenza appartiene
successivamente al giudice della residenza, della dimora o del domicilio dell'imputato.” -> ma se io
sapessi qual è il domicilio dell’imputato, per i reati informatici, avrei già fatto un passo avanti
importante. Siccome è molto probabile che neanche questa regola suppletiva mi consenta di
individuare il giudice territorialmente competente, dovrò fare un ulteriore passaggio. Nella maggior
parte dei casi in termini di reati informatici si ragiona ai sensi dell’art.9 comma 3.
Comma 3: “Se nemmeno in tale modo è possibile determinare la competenza, questa appartiene
al giudice del luogo in cui ha sede l'ufficio del pubblico ministero che ha provveduto per primo a
iscrivere la notizia di reato nel registro previsto dall'articolo 335.” -> se io vengo diffamato da un
soggetto di cui non conosco l’identità.. non so il reato dove è stato compiuto, inizio ad applicare le
regole suppletive, non sono in grado di sapere l’ultima parte di questo reato dove è stata compiuta,
non sono in grado di sapere qual è il luogo di domicilio o la residenza dell’imputato, quale sarà il
giudice competente?? Sarà il giudice che riceverà la mia denuncia/querela, e che provvederà ad
iscrivere nel registro degli indagati, almeno inizierà a procedere contro soggetti ignoti, al fine di
effettuare le attività di indagine necessarie ad individuare il responsabile di quello specifico reato.
Tali regole suppletive, pur essendo utili a radicare la competenza all’interno del territorio italiano,
non escludono la sovrapposizione tra giurisdizione e procedimenti, attesa la possibilità, anche per
gli altri Stati, di adottare soluzioni analoghe a quelle determinate dalla giurisdizione italiana.
Significa che potrebbe anche esserci un accavallamento di giurisdizioni, perché anche gli altri Stati
potrebbero disciplinare internamente il processo di determinazione della competenza così come
accade in Italia.
Vediamo se la Convenzione può darci una mano.. e lo vediamo sempre con riferimento all’art.22
comma 5 -> quindi il percorso logico è:
Il 22.1 ci definisce le regole generali che sono in ogni caso costruite sulla base delle regole
previste dal C.P.P. Sulla base delle regole del C.P.P. siamo arrivati ad affermare che in moltissimi
casi di reati informatici, si applicheranno le regole suppletive.. e nello specifico la regola suppletiva
dsell’art.9 comma 3 C.P.P. Questo perché è difficile individuare i primi due elementi che richiedono
i primi due commi dell’art.9 e perché l’art.9 comma 3 radica la competenza presso l’ufficio del
giudice che per primo ha iscritto la notizia di reato -> quindi presumibilmente il luogo dove la
persona offesa ha depositato la sua querela.
Il 22.2 può essere utile per regolare possibili conflitti di giurisdizione. Prevede che quando una
parte rivendica la propria competenza per una presunta infrazione prevista dalla Convenzione, le
parti coinvolte si consultano, laddove sia opportuno a tal fine stabilire la competenza più
appropriata per esercitare l’azione penale. Quando la Convenzione parla di ‘parte’ sta parlando
della parte Stato che ha sottoscritto quella Convenzione, quindi se c’è un conflitto tra giurisdizioni,

perché ci sono due parti, due stati che ritengono di poter applicare la propria giurisdizione per
andare a conoscere quella determinata vicenda, si può applicare il 22.5 che dice:
“Quando più di una Parte rivendica la propria competenza per una presunta infrazione
prevista dalla presente Convenzione, le Parti coinvolte si consultano, laddove sia opportuno, al
fine di stabilire la competenza più appropriata per esercitare l’azione penale.”
Su questo c’è una precisazione da fare: io ritengo, a differenza di quanto hanno sostenuto altri
autori, che il principio di cooperazione, anche se non è stato recepito direttamente dalla legge 48
del 2008, può trovare applicazione nel nostro ordinamento, in coerenza con la previsione
dell’art.696 del C.P.P, secondo cui le norme convenzionali in vigore sono soggette a diretta
applicazione. Cosa significa? Ci sono stati professori che hanno ritenuto tale Convenzione inutile,
non risolutiva, perché non in grado di risolvere l’ipotesi in cui si accavallano delle giurisdizioni. E a
chi ha proposto il 22.5 come strumento risolutivo loro hanno risposto che non può essere tale per
l’Italia, perché in fase di recepimento della Convenzione di Budapest la legge 48 del 2008 non ha
recepito anche il 22.5.
Io ed altri giuristi, migliori di me, riteniamo che in realtà si possa applicare il 22.5. L’elemento su cui
basiamo questa applicazione, anche se non è stato direttamente recepito, è l’applicazione del 696
C.P.P., secondo cui le norme convenzionali sono soggette a diretta applicazione, cioè non
necessitano di un recepimento.
Soffermiamoci ora su un altro importante tema, quello della ‘competenza funzionale’. L’art. di
riferimento è il 51 C.P.P. È stato modificato con l’aggiunta del comma 3 quinques, introdotto dalla
legge48 del 2008. Si parla di competenza funzionale del p.m., con l’obiettivo di facilitare il
coordinamento delle indagini e la formazione di gruppi di lavoro specializzati.
Occorre però fare una precisazione -> individuare la distinzione tra ‘reati informatici’ e ‘reati
eventualmente informatici’. I reati ‘eventualmente informatici’ sono quelli che si caratterizzano
per essere realizzati anche attraverso strumenti informatici o telematici. Invece, i reati
‘informatici’ sono quelli che hanno un oggetto tecnologico, informatico.
Es. di reato eventualmente informatico: la pornografia minorile. Quando questa viene sul web si
chiama ‘pedopornografia online’. O ancora, gli atti persecutori, lo stalking. Esiste lo stalking
tradizionale e quello che avete imparato a conoscere come ‘cyber stalking’. Anche la violazione del
diritto d’autore è un reato eventualmente informatico.
Sappiamo che stanno chiudendo i canali di telegram dove vengono diffusi i quotidiani illegalmente,
in violazione della legge sul diritto d’autore. In questa circostanza è evidente che stiamo parlando
di reati ‘eventualmente informatici’.
Questa premessa con cui abbiamo distinto i due tipi di reato era importante ai fini della
competenza funzionale, perché la competenza funzionale (art.51 C.P.P. , con il comma 3
quinques) è relativa esclusivamente ai reati informatici, e non anche a quelli eventualmente
informatici.
È stato previsto che presso la procura distrettuale sia creato un apposito team di magistrati che
devono conoscere le fattispecie di reato informatico.
Se io a Caserta sono vittima di un accesso abusivo al sistema informatico, sarà competente a
svolgere l’attività di indagine e quindi esercitare l’azione penale, la procura della Repubblica
presso il Tribunale di SMCV, la procura della Repubblica presso il tribunale di Salerno, la procura
della Repubblica presso il Tribunale di Napoli??
Trattandosi di un reato informatico, la competenza spetterà alla procura distrettuale e quindi alla
procura di Napoli.
Se io compio una frode informatica chi è competente, la procura di SMCV o la procura
distrettuale? Siccome la frode informatica è un reato informatico, sarà competente la procura
distrettuale.
Attenzione: se io compio una truffa online, utilizzo la carta postepay di Vittorio per raggirare
qualcuno, chi sarà competente, la procura distrettuale o la procura di SMCV? La procura di SMCV
perché la truffa è un reato eventualmente informatico. Se io pongo in essere gli artifizi e i raggiri
online, sto ponendo in essere una truffa online, sto compiendo un reato eventualmente informatico,
e la competenza spetterà al giudice naturale -> la procura competente sarà quella del Tribunale di
SMCV.

Potrei complicare le cose. Se io commetto il reato di accesso abusivo a un sistema informatico,
trattandosi di un reato informatico, la competenza è della procura distrettuale. Il giudice che sarà
chiamato a decidere chi sarà? Il giudice del Tribunale di Napoli o di SMCV? Il giudice del luogo in
cui il reato è stato commesso. La valutazione della condotta spetterà al giudice del Tribunale di
SMCV, ma l’azione penale, l’attività di indagine, spetterà alla procura distrettuale di Napoli.
Parliamo del giudice del dibattimento, non di quello delle indagini preliminari. Se in virtù
dell’accesso abusivo al sistema informatico la procura della Repubblica chiede l’adozione di una
misura cautelare, questa misura cautelare sarà vagliata dal giudice delle indagini preliminari del
luogo dove è stato commesso il reato. Il giudice delle indagini preliminari è quello atto a
convalidare la misura richiesta dal p.m. Esiste in Costituzione il principio del giudice naturale
precostituito per legge, che è quello deputato a condannare una persona, dinanzi a cui si deve
svolgere il dibattimento, ed è territorialmente competente. Tendenzialmente quando il legislatore
cambia le competenze del p.m., cambia anche l’articolo sulle competenze del giudice delle indagini
preliminari e attribuisce la competenza anche al giudice delle indagini preliminari presso il
Tribunale capoluogo. Questo sia per far sì che ci sia un giudice delle indagini preliminari anche lui
specializzato, sia per evitare che si perda tempo….
Quindi chi farà l’eventuale riesame? La competenza sulla misura è del Tribunale di Napoli,
rispetto invece al dibattimento la competenza è del giudice di SMCV.
Ricordate che l’art.51 C.P.P, comma 3 quinques, ha previsto una competenza funzionale
esclusivamente per i reati informatici.
Reato dell’accesso abusivo al sistema informatico.

La norma di riferimento è il 615 ter del C.P., che punisce, a querela della persona offesa (cioè
l’esercizio dell’azione penale presuppone la querela, altrimenti non è esercitabile d’ufficio, quindi è
condizione di procedibilità), con la reclusione fino a tre anni, chiunque abusivamente si introduce
in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro
la volontà espressa o tacita di chi ha il diritto di escluderlo.
Si procede d’ufficio negli altri casi previsti dalla norma. -> cioè ci sono casi in cui la querela non è
condizione di procedibilità ma si può procedere d’ufficio. Quando si procede d’ufficio?
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con
abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita
anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore
del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è
palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o
parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle
informazioni o dei programmi in esso contenuti.
Alla luce di questo, avete mai commesso secondo voi anche solo un innocuo accesso abusivo a
un sistema informatico?
L’accesso al cellulare o alla mail o a fb della fidanzata costituisce tale tipo di reato.
Se il fidanzato vi lascia il suo computer e mentre state scrivendo su word, si apre improvvisamente
una notifica e la leggete, in quel caso non si tratta di accesso abusivo al sistema informatico.
L’equivoco in cui cadete spesso all’esame è che istintivamente associate la condotta di accesso
abusivo al sistema informatico a quella di hackeraggio. In realtà non è necessario che ci sia una
password, un codice.. per ‘misura di sicurezza’ si intende anche solo un blocca schermo o il fatto
che un computer sia spento (e questa è una precisazione della Cassazione). Se un vostro amico vi
lascia il suo computer per vedere degli appunti, e andate a sbirciare tutti i fatti suoi, le foto, quello è
un accesso abusivo al sistema informatico.
Se voi siete un dipendente pubblico, autorizzato ad accedere a una determinata banca dati, ho
quell’autorizzazione esclusivamente per le finalità istituzionali e professionali. Ma se mi chiama un
amico e mi dice ‘hai l’accesso al casellario giudiziario, mi dai il certificato del casellario giudiziario
di Tizio?’ Se lo faccio sto commettendo un accesso abusivo al sistema informatico. In questo caso
poiché sono un dipendente pubblico non è nemmeno necessaria la querela.

L’art.615 punisce anche la permanenza nel sistema, contro la volontà espressa o tacita del titolare
del diritto di esclusione. Si tratta dell’ipotesi in cui si superano i limiti posti all’originario accesso
lecito. I limiti posti all’originario accesso lecito sono le ragioni d’ufficio o quello che vi ha detto la
persona quando vi ha consentito l’accesso, quindi le attribuzioni. Se apri involontariamente il file A
anzicchè B è chiaro che non c’è intenzionalità e quindi non si viene penalizzati. Quindi si tratta
sempre, nel diritto, di applicare la fattispecie astratta al caso concreto e valutare.
Differenza tra ‘frode informatica’ e ‘truffa informatica’.

La truffa informatica è un reato eventualmente informatico. Punisce il soggetto attivo, che
commette il reato. La truffa è punita dal 640 C.P. e si caratterizza per gli artifizi e i raggiri con cui
l’agente, inducendo la vittima in errore, procura a sé o ad altri, un ingiusto profitto con l’altrui
danno. Se io compio in essere questa condotta online sto compiendo una truffa informatica.
La frode informatica, pur essendo finalizzata all’ottenimento di un ingiusto profitto con altrui danno,
si differenzia dalla truffa, perché le condotte fraudolente sono specificamente indicate dal 640 ter.
Tali condotte investono attraverso la manipolazione il sistema informatico o il sistema telematico, e
non, a differenza della truffa, un soggetto passivo.
La truffa colpisce un soggetto passivo, cioè la vittima che viene indotta in errore. La frode
informatica si caratterizza per condotte che investono, attraverso la manipolazione, un sistema
informatico o telematico, e non sicuramente un determinato soggetto passivo.
Art. 640 ter. Frode informatica:

“Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o
intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un
sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto
con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro
1.032.
La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a
millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del
secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di
operatore del sistema.”
In passato ci si è posti il problema di persone che alteravano dei dati di un database determinando
situazioni tali da evitare la partenza per il servizio militare.
Con lo smishing potrebbe configurarsi una frode informatica.

Lez 9
Completiamo prima i reati informatici e poi passiamo ai reati eventualmente informatici.
In realtà, già ve l’ho anticipato io, mi interessa soffermarmi sull’articolo 495bis del codice penale è
rubricato “Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità
o su qualità personali proprie o di altri”. Questo è importante perché stiamo analizzando una
fattispecie di reato inserita nel codice penale per punire chi ha effettuato dichiarazioni mendaci al
soggetto che rilascia un dispositivo di firma: quindi vedete che serve ancora una volta a
rafforzare la tutela che il legislatore voluto riconoscere all’utilizzo della firma elettronica.
La norma dice che: “Chiunque dichiara o attesta falsamente al soggetto che presta servizi di
certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui
persona è punito con la reclusione fino ad un anno.” La norma si caratterizza per il fatto che il
soggetto a cui deve essere resa la falsa dichiarazione è un soggetto che rilascia la firma
elettronica e si differenzia dall’art. 495 del codice penale perché punisce la falsa dichiarazione o
attestazione effettuata ad un pubblico ufficiale. Perché ho voluto prendere in considerazione
questa norma? Perché prevede una pena di un anno per chiunque dichiara o attesti falsamente
l’identità a chi rilascia la firma digitale ma, nel codice penale, c’è un’altra norma, il 496 del codice
penale che disciplina “False dichiarazioni sulla identità o su qualità personali proprie o di altri”,
sono solito mettere in relazione queste due disposizioni, dal momento che nel 495bis è stata
utilizzata la fattispecie relativa al soggetto che effettua attività di certificazione della firma digitale e
la pena è di un anno di reclusione; mentre il 496, come facilmente si verifica leggendo il codice,
dice che : “Chiunque, fuori dei casi indicati negli articoli precedenti, interrogato sulla identità, sullo

stato o su altre qualità della propria o dell'altrui persona, fa mendaci dichiarazioni a un pubblico
ufficiale [357] o a persona incaricata di un pubblico servizio [358], nell'esercizio delle funzioni o del
servizio, è punito con la reclusione da uno a cinque anni”. Quindi vedete che la sanzione edittale di
questa norma è molto più alta (5 anni); vi evidenzio questa fattispecie e dicotomia perché,
nell’ambito del digitale, esiste una fattispecie che, pur non essendo tipizzata, può essere
ricondotta al 496 del codice penale: la fattispecie è quella dell’identity provider che rilascia un
servizio di identificazione digitale, il famoso SPID (Sistema Pubblico per l’Identità Digitale)
disciplinato dall’art. 64 del CAD. Lo SPID ci consente di accedere, ai sensi del 64, a tutti i servizi
che la PA mette a disposizione dei cittadini; quindi SPID rappresenta l’identità digitale che
ciascuno di noi può avere. Se io vi rilascio delle dichiarazioni ex 496 mendaci (es. identità diversa
di quella che ho) si applicherà questa norma, perché il soggetto che rilascia SPID, a differenza del
soggetto che rilascia la firma elettronica qualificata, è individuato come un gestore di pubblico
servizio, questo ai sensi di quanto previsto dal DPCM del 24 ottobre del 2014 che dà attuazione
alle modalità di rilascio di SPID in virtù di quanto stabilito dallo stesso articolo 64 del CAD.
Quindi, mentre il 495bis del codice penale ha tipizzato la fattispecie della falsa dichiarazione resa
all’ente certificatore di una firma elettronica, il 496 che è norma di chiusura del sistema (dato che
dice “al di fuori delle fattispecie elencate…”), quando si dichiara falsamente la propria generalità al
pubblico ufficiale o all’incaricato di pubblico servizio, quella determinata condotta è inquadrabile
nella previsione appena citata e la sanzione può arrivare fino a 5 anni. Quindi, attenzione su
questa differenza tra il soggetto che rilascia firma digitale che possiede una specifica norma
(495bis) con specifica sanzione, mentre chi rilascia SPID utilizza il 496 in funzione del ruolo che
è riconosciuto all’identity provider riconosciuto dall’art. 1 comma 1 lett. l) del DPCM del 24
ottobre 2014.
Andiamo avanti e andiamo a vedere cosa ci dice l’Art. 416 del codice penale e perché può
diventare importante per noi. Il 416 cp è rubricato “Violazione, sottrazione e soppressione di
corrispondenza”, disponendo che “Chiunque prende cognizione del contenuto di una
corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da
altri prender cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in
parte, la distrugge o sopprime, è punito, se il fatto non è preveduto come reato da altra
disposizione di legge, con la reclusione fino a un anno o con la multa da euro 30 a euro 516”
Ora, secondo voi, perché vi sto evidenziando questa fattispecie? Tenendo in considerazione il
contenuto dell’articolo appena letto, in primo luogo bisogna dire che la legge 547/93, che forse a
voi non dice niente in questo momento, ma di cui abbiamo parlato la scorsa volta scorsa che è il
primo provvedimento con cui si è intervenuto nel codice penale nel riconoscere la rilevanza delle
condotte relative ai reati informatici. Questa legge ha modificato il comma 4 dell’articolo 616,
allargando per tutti i delitti contro l’inviolabilità dei segreti, la nozione di corrispondenza che non
comprende solo quella epistolare e telegrafica, ma comprende anche quella informatica e
telematica. L’ampliamento del concetto di corrispondenza ci consente di ragionare su un
fenomeno molto diffuso, e cioè affermare che i messaggi che circolano tramite le nuove forme di
comunicazione si devono presumere riservati e confidenziali, anche quando condivise in un
gruppo di persone. Sto pensando, ad esempio, ai messaggi che vengono inviati in una mailing list
o in gruppi WhatsApp: in assenza del consenso dell’autore e del destinatario della corrispondenza
non potrà mai essere portato ai soggetti terzi, al di fuori dei casi previsti dalla legge,
significando che se io scrivo a Vittorio e prende il messaggio che io gli scrivo, fa uno screenshot e
lo manda a Giovanni, questa condotta può integrare il reato di cui stiamo parlando. Sul punto è
interessante una sentenza che è citata nel vostro testo del 2018 secondo cui, appunto, la
Cassazione ha ribadito che l’esigenza di riservatezza delle comunicazioni si impone, leggo
testualmente, anche riguardo ai messaggi di posta elettronica scambiati tramite mailing list,
riservati agli appartenenti ad un determinato gruppo di persone, alle news group o alle chat
private, con accesso condizionato al possesso di una password in possesso di soggetti
determinati; tali messaggi, infatti… Attenzione ragazzi, questo è importante, ritorniamoci.
E’ importante perché lo dobbiamo ricollegare ad un altro strumento tecnologico molto diffuso: dice
la Cassazione, che questa tutela della riservatezza e della segretezza della comunicazione si
impone anche riguardo ai messaggi di posta elettronica … Quindi, se io vi dico “Ma quello che
scrivo su un canale Telegram, lo posso pubblicare? O vado ad incorrere nella possibile

contestazione della violazione del 616?” Diciamo che non possiamo dare una risposta secca,
perché dobbiamo andare a vedere se quel canale telegram è un canale privato, quindi ad accesso
condizionato, o se è un canale pubblico, non riservato e, quindi, può essere tranquillamente
divulgato quello che è scritto in quello specifico canale. Secondo voi, se Vittorio scrive qualcosa
scrive qualcosa nella pagina di Teams, nello specifico nella pagina relativa al corso che stiamo
facendo, quella comunicazione può rientrare nel concetto di segretezza di cui stiamo parlando o
invece è una comunicazione che è avulsa da tale concetto? Il punto è che: se io faccio un canale
con quattro persone posso darlo anche solo a quelle quattro, ciò che viene pubblicato su quel
canale rientrerebbe nelle fattispecie di non divulgazione e riservatezza; nel caso di specie,
canale Teams delle lezioni, non rientra nel diritto di riservatezza, ma non per l’analisi dello
strumento in quanto tale, ma per il semplice fatto che la password del gruppo è stata resa
pubblica sul sito del dipartimento, dando una pubblicità a quel determinato strumento.
Detto questo, mi farebbe piacere parlare del reato di pedopornografia o pornografia minorile; la
pornografia in quanto tale non è reato, quindi ognuno è libero secondo i suoi gusti e la sua
coscienza di accedere o meno a contenuti pornografici; i contenuti, invece, perdopornografici sono
quelli che hanno ad oggetto atti sessuali in cui sono protagonisti i minori; la norma di riferimento è
il 600ter del codice penale; nello specifico, la pedopornografia online si trova all’interno dell’Art.
600ter del codice penale, rubricato come “Pornografia minorile”, disponendo che:
“È punito con la reclusione da sei a dodici anni e con la multa da euro 24.000 a euro 240.000
chiunque:
1) utilizzando minori di anni diciotto, realizza esibizioni o spettacoli pornografici ovvero produce
materiale pornografico;
2) recluta o induce minori di anni diciotto a partecipare a esibizioni o spettacoli pornografici ovvero
dai suddetti spettacoli trae altrimenti profitto”
Secondo voi questa condotta può diventare un reato eventualmente informatico? Assolutamente
si. Lo spettacolo lo posso produrre o lo posso registrare; la condotta tipica per andare a
configurare quel reato è individuabile o nella produzione oppure nell’utilizzo di minori di anni 18 per
realizzare esibizioni o spettacoli pornografici ovvero produrre materiali; quindi la differenza è:
un’esibizione dal vivo o registrata che poi può essere utilizzata in futuro.
Al punto 2) del comma 1 c’è la punizione all’induzione alla partecipazione a queste determinate
attività.
Al comma 2 “Alla stessa pena soggiace chi fa commercio del materiale pornografico di cui al primo
comma”, quindi se Vittorio non lo produce questo materiale, ma lo vende è comunque soggetto
alla medesima sanzione.
Il comma 3 ci dice che “Chiunque, al di fuori delle ipotesi di cui al primo e al secondo comma, con
qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale
pornografico di cui al primo comma, ovvero distribuisce o divulga notizie o informazioni finalizzate
all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto, è punito con la
reclusione da uno a cinque anni e con la multa da euro 2.582 a euro 51.645.” (da questo comma si
comincia ad arrivare al concetto di pedopornografia minorile). La condotta tipica è la
distribuzione, divulgazione, diffusione, la pubblicizzazione di materiale pedopornografico. In
questa condotta, in realtà, ci si può incappare molto facilmente: un sacco di persone sono
incappate, pur non essendo pedofili, nella difesa contro questo odioso reato.
Se conoscete il sistema di file sharing è molto diffusa la possibilità di confrontarsi con il fenomeno
del FAKE, cioè io sono convinto di scaricare un determinato contenuto, ma dopo averlo scaricato
mi trovo dinanzi ad un contenuto diverso. Quanti di voi, violando le disposizioni in materia di diritto
di autore, hanno provato a scaricare un film e poi si sono trovati un film pornografico? Tantissime.
Però diciamo che questa determinata fattispecie non genera un problema dal punto di vista
penalistico sul contenuto del film, lo genera perché ho provato a violare il diritto di autore ..
Stavamo dicendo…: allora, fino a quando vi trovate dinanzi ad un film pornografico, non andate ad
impattare con la norma che punisce la pedopornografia. Ma immaginate cosa accade nel momento
in cui quel contenuto che voi involontariamente avete scaricato perché cercavate altro sul web, ha
un contenuto pedopornografico: la condotta può essere contestata ex Art. 600ter cp; questi
sistemi di file sharing sono preimpostati sul meccanismo della condivisione del file tra utenti,
quindi nel momento in cui si va a gestire un sistema che di default è misto significa che nel

momento in cui state scaricando quel file, anche se in maniera involontaria ed ha un contenuto
pedopornografico, quel file non soltanto si scarica, ma si sta mettendo in condivisione con altri
soggetti, scattando l’ipotesi del 600ter comma 3. Inoltre, bisogna fare attenzione, dal momento che
questo specifico reato, rispetto alle altre fattispecie penali, è possibile utilizzare il c.d. agente
provocatore: ci sono nel web, nel deep web o comunque nel file sharing, agenti che lavorano
come provocatori per individuare soggetti che scambiano materiale vietato e, soprattutto, questi
soggetti hanno la certezza, a differenza vostra che cercavate il cartone animato per vostro nipote
(tipo Aladdin), ma all’interno di questo un contenuto pedopornografico… mentre voi scaricate e
condividete involontariamente il materiale pedopornografico vietato, l’agente sa perfettamente che
quel file, a prescindere dal nome di battesimo che gli è stato dato, ha un contenuto di una
determinata specie. E come lo sa? Lo sa esattamente in base al codice HASH. Chi cerca questi
contenuti per reprimere determinate condotte non fa ricerca a caso, ma sulla base di dati che
hanno già verificato, cioè sanno che il file “Aladdin” che ha un determinato HASH ha un contenuto
pedopornografico. In realtà in rete, potete trovare anche cento file che hanno lo stesso nome ma
con contenuti tutti diversi.
Il terzo comma (del 600ter) ci va a circoscrivere la condotta della diffusione del materiale
pedopornografico.
Il quarto comma ci dice che “Chiunque, al di fuori delle ipotesi di cui ai commi primo, secondo e
terzo, offre o cede ad altri, anche a titolo gratuito, il materiale pornografico di cui al primo comma,
è punito con la reclusione fino a tre anni e con la multa da euro 1.549 a euro 5.164.”.
Quindi chi “offre” o “cede ad altri”; la differenza sostanziale è che nel comma 3, vi è distribuzione,
divulgazione, diffusione, la pubblicizzazione; nel comma 4, invece, io offro o cedo ad altri, ma
vedete che non c’è necessariamente la via telematica; perché il comma 2 si riferisce a chi fa
“commercio” del materiale pedopornografico, ma in questo comma precisa che vi è punibilità
anche se lo scambio avviene a TITOLO GRATUITO.
Il quinto comma, vi dice che nei casi previsti dal terzo e quarto comma, la pena può essere
aumentata ove il materiale sia di ingente quantità.
Affinché il reato possa essere contestato vi deve essere l’elemento soggettivo, quindi tutte le
persone dicono “ma se io non ho responsabilità perché c’è il dolo nell’attività che io ho posto in
essere, non vi può essere contestata questa specifica fattispecie di reato.”.
Questo è vero; però, purtroppo, a questa valutazione si giunge dopo una serie di attività che
vengono svolte nell’ambito di un procedimento penale che è sicuramente bruttissimo, essere
indagati per una fattispecie del genere è estremamente brutto; perché vi dico questo, ci si arriva
soltanto dopo perché non è che si possono fidare della “vostra parola”: sarà necessario fare degli
accertamenti sugli hard disk e verificare una serie di elementi informatici che magari saranno già
stati pre-acquisiti dal soggetto che ha svolto l’attività di soggetto provocatore… insomma la
soluzione si otterrà all’esito di un processo complicato. Ma non è finita qui.
Il 600quater che si va poi adesso a collegare tra due fattispecie differenti, dal momento che il
600quater punisce la detenzione di “materiale pornografico”, ovviamente anche se la rubrica
tradisce, dicendo “materiale pornografico”, bisogna fare riferimento a materiale
pedopornografico, dice l’articolo : “Chiunque, al di fuori delle ipotesi previste nell'articolo 600ter,
consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli
anni diciotto è punito con la reclusione fino a tre anni o con la multa non inferiore a euro 1.549.” –
si badi bene, la norma dice “si procura o si tiene”, questa fattispecie è molto importante
sottolinearla dal momento che posso non scaricare materiale pedopornografico dal web, ma
detenere su un hard disk materiale relativo a minori. Non so se vi ricordate il caso di Chiara
Poggi, non solo per gli errori compiuti nell’investigazione informatica, ma anche perché all’esito
delle indagini fu anche contestato il reato di detenzione di materiale pedopornografico.
Questo, però, è solo un aspetto, ma vi mostrerò come questo reato diventa ancora più pericolo e
soprattutto quante persone possono trovarsi contestate questo reato, perché non hanno la
consapevolezza dell’utilizzo che fanno di questa tecnologia: immaginate i minorenni, voi sapete
che è molto diffuso il fenomeno del sexting che consiste in messaggi che hanno ad oggetto dei
“selfie” a carattere sessualmente esplicito, es. fidanzato e fidanzata che si scambiano immagini
sessualmente esplicite. Questo fenomeno assume il nome di “sexting”; laddove avviene tra

soggetti maggiorenni decidono quest’ultimi che cosa fare, anche se qui si apre l’altra questione del
revenge porn, che sono due fattispecie diverse, al limite.
Allora. “Maggiorenne – Maggiorenne” si scambiano un selfie sessulamente esplicito, si corre il
rischio di contestazione di revenge porn; immaginate se quell’attività di sexting, come accade
spesso, viene scambiato tra minorenni a scuola, che cosa accade? Accade che il minorenne che
riceve sul proprio cellulare la fotografia di un altro compagno minorenne, scarica materialmente
un’immagine pedopornografica, dal momento che anche il compagno è minorenne. Anche la
nudità può configurare la pedopornografia; quella detenzione del materiale su un cellulare può
determinare la contestazione del reato di pedopornografia minorile; immaginate il rischio che corre
un minorenne; e se quel minorenne prende la foto e si pavoneggia con i suoi amici, continuando a
preservarlo sul tuo telefono si realizzano tre condotte: preservazione di materiale pornografico,
diffusione di materiale pornografico e, forse, anche revenge porn.
La condotta del revenge porn va a punire l’assenza di volontà da parte del soggetto che è
ripreso in quel contenuto, rispetto non alla ripresa o al contenuto stesso, ma alla diffusione del
contenuto. Ben potrebbe accadere che la fidanzata di Tizio manda un selfie sessualmente
esplicito? Beh, non accade nulla se Tizio prende quel selfie lo conserva sul suo cellulare o lo
distrugge; il problema è se vi è poi l’attività di diffusione senza consenso.
L’elemento soggettivo qui è la consapevolezza del fatto che sto detenendo o che mi sto
procurando nel senso che: supponendo che Tizia invii a Tizio, senza alcuna richiesta, materiale
pedopornografico (es. sue foto) e questo le cancella immediatamente non avendo alcuna
intenzione o volontà nel caso, se successivamente dall’esame del dispositivo emerge il fatto, si
potrà sempre eccepire la mancanza di consapevolezza e di intenzione, dimostrando quindi il
repentino refuso del materiale.
Sul tema, è importante una sentenza della Corte di Cassazione che ha precisato che il reato di
pornografia minorile sussiste anche quando la divulgazione del materiale pedopornografico ha una
dimensione familiare, dal momento che l’illecito sanziona la condotta che prescinde dall’identità
del destinatario sia dall’utilità da perseguire che può essere anche una finalità di natura non
economica.
Ma se un genitore mette la foto del figlio al mare nudo (bambini piccoli) costituisce diffusione di
materiale pedopornografico? Ovviamente no, fermo restando che, per quanto mi riguarda, una
condotta di tal genere giustificherebbe anche la revisione della capacità genitoriale della persona
che si comporta in questo modo.
Esiste anche la pedopornografia virtuale, prevista dall’art. 640quater 1, ma cos’è? Ad esempio
un fumetto pedopornografico, infatti la norma dice: “Per immagini virtuali si intendono immagini
realizzate con tecniche di elaborazione grafica non associate in tutto o in parte a situazioni reali, la
cui qualità di rappresentazione fa apparire come vere situazioni non reali”. Ma il virtuale potrebbe
essere determinato anche da un fotomontaggio (il prof non legge il comma 1 che dice “Le
disposizioni di cui agli articoli 600 ter e 600 quater si applicano anche quando il materiale
pornografico rappresenta immagini virtuali realizzate utilizzando immagini di minori degli anni
diciotto o parti di esse, ma la pena è diminuita di un terzo.”).
Ora parliamo del 612bis del codice penale, si parla di “atti persecutori”, ma molto più spesso si
sente parlare di “stalking”, mentre gli atti persecutori compiuti tramite strumenti informatici
vengono individuati come “cyberstalking”. Il 612bis può essere messo molto in relazione con la
Legge 17/2017 in materia di cyberbullismo, perché anche in questo caso vi è una condotta che in
un certo qual modo diviene una condotta persecutoria nei confronti d un minori. Andiamo ad
analizzare nello specifico che il 612bis che dispone: “Salvo che il fatto costituisca più grave reato,
è punito con la reclusione da un anno a sei anni e sei mesi chiunque, con condotte reiterate,
minaccia o molesta taluno in modo da cagionare un perdurante e grave stato di ansia o di paura
ovvero da ingenerare un fondato timore per l'incolumità propria o di un prossimo congiunto o di
persona al medesimo legata da relazione affettiva ovvero da costringere lo stesso ad alterare le
proprie abitudini di vita”: allora, l’autore del reato può essere chiunque ponga in essere queste
specifiche condotte, con l’aggravante qualora venga utilizzato lo strumento telematico –
informatico, o viene posta in essere da un soggetto che ha un particolare vincolo con la
persona che viene perseguita. Una cosa su cui mi fa piacere soffermarmi: “La pena è aumentata
se il fatto è commesso dal coniuge, anche separato o divorziato, o da persona che è o è stata

legata da relazione affettiva alla persona offesa ovvero se il fatto è commesso attraverso strumenti
informatici o telematici” (comma 2).
Altra fattispecie che sicuramente ci interessa tra i reati informatici, sono quelli connessi alla legge
633 del 1941, recante “protezione del diritto d’autore e diritti connessi al suo esercizio”, una
prima cosa: ma voi sapete cosa è il diritto d’autore? Il diritto d’autore è una posizione giuridica che
nasce al momento della creazione dell’opera ed ha sia un versante morale che economico, il
primo riguardante la tutela della paternità dell’opera e, quindi, del suo autore (diritto d’inedito),
l’altro versante riguarda il diritto di sfruttamento economico esclusivo della creazione (c.d. diritto di
privativa) che, a differenza del diritto d’autore morale, può anche essere ceduto a terzi. Cosa
significa dire che il diritto d’autore tutela l’espressione dell’idea mentre il diritto brevettuale
“l’idea” ? E qual è il riflesso giuridico? E perché ce ne stiamo interessando? Ci interessa capire,
ad esempio, il software com’è tutelato. Il software è tutelato dal diritto d’autore e, menomale,
perché il diritto d’autore tutela l’espressione dell’idea: se abbiamo Word e OpenOffice, due
software che fanno la stessa cosa, lo abbiamo al fatto che il diritto d’autore tutela l’espressione
dell’idea, cioè la modalità di videoscrittura è creata in modo diversa da autori diversi. Il brevetto,
invece, tutela l’idea ed una delle caratteristiche sta nel fatto che quell’idea è riprodotta
industrialmente, ma si ha l’esclusiva su quell’idea, solo tizio ha il brevetto dell’invenzione (es.
lampadina) e Caio dovrà pagare delle royalties se vorrà utilizzarla, la c.d. “privativa industriale”; se
io ho inventato una componente particolare da inserire in un cellulare io sono una delle persone
più ricche del mondo ed ho il brevetto su quella componente e chi la vuole deve pagare quella
componente. Quindi, “idea” ed “espressione dell’idea” sono delle cose diverse.
Tornando alla questione del diritto d’autore: abbiamo il diritto morale e diritto economico
d’autore; il primo è un diritto intrasmissibile, inalienabile, riconoscendola all’autore per il semplice
fatto che l’ha realizzata, senza necessità di registrazione; il diritto allo sfruttamento economico,
invece, può essere ceduto (ad es. alla casa discografica), vedete quanti passaggi ci sono? Per
questo molti giovani musicisti si trovano in difficoltà dal momento che cedono a case discografiche
la possibilità di ottenere grandissimi guadagni laddove questi soggetti hanno successo.
Esistono delle ipotesi nelle quali i software possono essere brevettati, quando questo è
necessario al funzionamento di uno specifico hardware: es. dispositivo TAC che funziona con un
software in modo ancillare.
Da tutta questa storia ne discende dobbiamo interessarci di quei reati che violano il diritto d’autore;
ad esempio esistono anche il diritto d’autore sul calcio e sui fornitori dei servizi Pay-TV che
soffrono per il fenomeno IPTV; tutti quei furboni che dicono, tipo, su “telegram” ho tutti i giornali e
riviste gratuitamente, visto che hanno chiuso ben 28 canali di materiale protetto da diritto d’autore
e stanno cercando coloro che distribuivano quei contenuti, violando le leggi sul diritto d’autore, ma
non previste dal codice penale, ma previste dalla 633/1941, fermo restando che la violazione del
diritto d’autore comporta sanzioni penali, civili e amministrative (molto spesso più grave,
moltiplicata per il numero delle violazioni poste in essere).
Ai sensi della L. 633/1941, all’Art. 171 comma 1 “Chiunque, senza averne diritto a qualsiasi scopo
ed in qualsiasi forma, mette a disposizione del pubblico immettendo in un sistema di reti
telematiche, mediante connessione di qualsiasi genere, un’opera dell’ingegno o parte di essa” : la
condotta da punire è la messa a disposizione del pubblico un’opera di ingegno, ad esempio
ponendo in essere un upload di materiale protetto dal diritto d’autore (immettendolo in una rete
telematica). Invece, il 171bis, norma quasi in disuso perché lo strumento non è tanto utilizzato
punisce “Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai
medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o
concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana
degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della
multa da euro 2.582 a euro 15.493. La stessa pena si applica se il fatto concerne qualsiasi mezzo
inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di
dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel
minimo a due anni di reclusione e la multa a euro 15.493 se il fatto è di rilevante gravità.” La
seconda parte, si riferisce che la pena si applica anche a coloro che rimuovono quelle protezioni
che impediscono la riproduzione di un CD, ad esempio su un determinato strumento hardware.
Visto che manca poco tempo, ritengo che sia importante, l’Art. 171octies è utilizzato per reprimere
il diffuso fenomeno del card sharing o dell’IPTV: io vedo sul mio cellulare tutti i canali delle Pay

TV e, per questo, potevo essere punito. Prima c’era il fenomeno del card sharing con il quale,
similmente all’IPTV, si eludevano gli abbonamenti alle Pay TV.
Questi sistemi, però, di per sé non sono illeciti: se uso una IPTV per vedere Rai o Mediaset, non
realizzo alcun reato. Non è lo strumento di per sé che integra gli estremi del reato, ma è il suo
utilizzo.
L’art. 171octies punisce: “Qualora il fatto non costituisca più grave reato, è punito con la reclusione
da sei mesi a tre anni e con la multa da euro 2.582 a euro 25.822 chiunque a fini fraudolenti
produce, pone in vendita, importa, promuove, installa, modifica, utilizza per uso pubblico e privato
apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso
condizionato effettuate via etere, via satellite, via cavo, in forma sia analogica sia digitale.” – Vi
dico anche che una recente Cassazione che “integra questo reato l’utilizzo di un apparato atto alla
decodificazione ad uso privato di trasmissioni audiovisive via satellite ad accesso condizionato
[…], con la finalità fraudolenta di sottrarsi al pagamento del canone dovuto per l’accesso ai
programmi”.
CAPTATORE INFORMATICO
Premessa
Nella fase delle indagini preliminari vi è il bilanciamento tra due interessi:
-da un lato rendere effettivo il potere investigativo del pubblico ministero
-dall’altro salvaguardare i diritti fondamentali dei cittadini rispetto al potere investigativo
dell'accusa.
Con il dato digitale si ha un’infinita disponibilità di elementi che possono essere potenzialmente utili
per le indagini ma, al tempo stesso, c'è una grande difficoltà di accedervi sia per ragioni legate alla
giurisdizione (ad esempio molti dei servizi di posta elettronica o di messaggistica istantanea più
utilizzati non hanno sede in Italia e quindi è complesso per l'accusa ottenere il dato digitale perché
spesso la procedura non è compatibile con i tempi di indagine) sia per la possibilità dell'indagato di
cifrare i propri dati o di rendersi anonimo in rete.
Il paradosso di avere un’infinita disponibilità di potenziali prove digitali non accessibile all’autorità
giudiziaria, ha spinto alcuni PM italiani ad utilizzare il captatore informatico che costituisce uno
strumento di indagine tanto efficace quanto invasivo per i destinatari dell'indagine penale.
Definizione del captatore informatico
Il captatore informatico è un particolare tipo di software in grado di controllare da remoto ogni tipo
di device (computer, tablet, smartphone). L'operazione avviene attraverso l'installazione di un
trojan (una particolare tipologia di malware) nel dispositivo del soggetto indagato.
Il malware può essere inoculato:
-fisicamente attraverso l'inserimento di un supporto removibile ad esempio una pen drive USB,
questa installazione è più economica ed efficace ma non è praticabile qualora non si conosca il
luogo dove si trova il device, tuttavia permette maggiore accuratezza nella scelta del bersaglio
evitando il rischio di attaccare altri device eventualmente connessi in rete;
-virtualmente attraverso l'invio telematico del codice infetto ad esempio attraverso un download di
file presenti negli allegati di una e-mail o all'interno di un presunto aggiornamento di un software.
Una volta attivato, il trojan infetta il device rimanendo nascosto. Inizia quindi la seconda fase,
quella del software spia .
[il captatore è un software che consente di prendere il controllo di un dispositivo elettronico, si
divide in una parte che è un trojan cioè un cavallo di troia che penetra nel software e una seconda
parte che è lo spyware cioè un software spia che fa la spia dei dati del dispositivo]
Il device infettato invia al server, che ora lo controlla da remoto, schermate, chat, email ,contatti,
elenco delle chiamate, registrazioni ambientali attraverso l'attivazione del microfono o della
telecamera integrata, può ottenere le credenziali di accesso alle caselle di posta elettronica e
social network , può installare software che permettono di monitorare ogni attività dell'utente
compresi i singoli tasti digitati sulla tastiera o attivare la funzione di localizzazione GPS del
dispositivo.
Le modalità con le quali avvengono le operazioni di intercettazione attiva non prevedono, di solito,
un'attivazione permanente e continuativa perché determinerebbe un esaurimento della batteria del
telefono monitorato e un consumo di traffico dati e ciò aumenta la possibilità di disvelare l'attività di
indagine.

Il trojan, di per sé, non è una novità ma l'utilizzo indiscriminato di questo strumento da parte
dell’autorità giudiziaria provoca delle preoccupazioni per la sua capacità di captare ogni tipo di
informazione anche potenzialmente estranea alle indagini e in grado di violare la riservatezza dei
soggetti terzi all'attività investigativa.
Per quali reati è utilizzabile il captatore informatico?

Il captatore è utilizzabile come strumento d'indagine per tutti reati però c’è un limite in relazione
alle modalità per cui può essere utilizzato: il captatore informatico può essere utilizzato per i reati
dell'articolo 51 comma 3-bis e 3-quater che sono i reati di associazione a delinquere di stampo
mafioso e atti terroristici per le quali il decreto autorizzativo del gip non necessita di essere
specificato per quanto riguarda il luogo e la data per cui debba attivarsi il captatore in ragione della
peculiarità dei reati per cui si procede che consentono un più ampio spettro di indagini. Qui per il
captatore informatico inoculato all'interno del dispositivo elettronico non c'è bisogno che il giudice
dica lo puoi attivare in questo luogo o quest’ora. Quindi si può attivare quando si vuole.
Mentre per tutti gli altri reati il decreto autorizzativo che autorizza l'indagine tramite captatore
deve contenere gli estremi dei luoghi e degli orari che rappresentano i momenti in cui può attivare
il captatore, ad esempio si sta procedendo per un determinato reato che è escluso da terrorismo o
reati di mafia, il giudice deve scrivere ‘autorizzo il captatore informatico ad essere utilizzato dalle
ore 15:00 alle ore 18:00 che sono i momenti in cui l’indagato si trova sul luogo di lavoro’.
Quindi può essere utilizzato per tutti i reati, la differenza sta nel decreto di autorizzazione.
E nei luoghi di privata dimora come funziona?
Alle sezioni unite della Cassazione fu posto il seguente quesito:
è possibile l’intercettazione tra presenti mediante l'istallazione di un captatore informatico in
dispositivi elettronici portatili (smartphone, tablet, laptop) anche nei luoghi di privata dimora, pur
non singolarmente individuati e anche se all'interno delle stesse non viene commesso alcune
attività criminosa?
Risposta delle sezioni unite: è possibile tale facoltà ove il reato sia di particolare gravità e rientra
nel concetto dei delitti di criminalità organizzata anche terroristica ex articolo 51 comma tre bis e
tre quater, quindi quasi ogni tipo di associazione a delinquere e non solo quelle di stampo mafioso.
Per i reati di associazione a delinquere e terroristici si può utilizzare sempre nei luoghi di privata
dimora proprio perché, in virtù di quanto abbiamo detto prima, non ci sono limiti.
Mentre nei casi di tutti gli altri reati, non solo c'è la questione del decreto autorizzativo, ma il
captatore non può essere utilizzato per intercettare nei luoghi di privata dimora a meno che in quel
luogo di privata dimora ci sia il sospetto che si stia consumando una parte del reato o comunque
uno dei profitti, insomma ci sia il sospetto che si sia consumando qualcosa relativo al reato oppure
se il decreto autorizzativo dice che si può intercettare in quel luogo da quell'ora a quell'ora.
Ripetendo: nei luoghi di privata dimora nel caso di reati di mafia e terrorismo non ci sono limiti,
mentre per tutti gli altri reati non si può intercettare nel luogo di privata dimora a meno che o in
quel luogo c'è un sospetto molto forte che si stia consumando qualcosa relativo al reato oppure il
decreto autorizzativo specifica l'utilizzo anche in quel luogo cioè il decreto autorizzativo che dice
quello che puoi fare o che non puoi fare nel caso di reati
Cosa si può intercettare con il captatore informatico?

La disciplina italiana deriva dalla giurisprudenza della corte di Cassazione cioè prevede che il
captatore informatico possa essere utilizzato come strumento per fare delle indagini e rientra nel
novero delle intercettazioni ambientali cioè il captatore informatico è un modo per fare
intercettazioni ambientale NB è un intercettazione ambientale (ad esempio inoculi sul telefono di
tizio il captatore ed accendi il microfono mentre sto parlando con Caio) e non un intercettazione
normale (ad esempio telefonica).
Il captatore informatico in Italia, in base alla legge, può essere utilizzato per fare
intercettazione ambientale. Qual è il problema? Il captatore informatico è un software molto
potente che ti permetterebbe di ottenere tutto da un dispositivo elettronico, tutti i dati delle
chiamate, le foto, tutti i file scaricati, gli account, le conversazioni private eccetera oltre a poter
attivare fotocamera e il microfono. In Italia il captatore informatico non può essere utilizzato per
altri scopi.

‘ma se io ho inoculato un captatore informatico nel telefono del mafioso posso prendere i file PDF
o le sue foto?’ No perché il captatore informatico può essere utilizzato solo per fare intercettazioni
ambientali.
In sintesi: il captatore è uno strumento potentissimo che ti consente di prendere il controllo di un
dispositivo elettronico e si possono ottenere tutti i dati contenuti in quel dispositivo perché una
volta che il software attacca non può essere più cancellato e si rischia di ottenere dati non
pertinenti all’indagine. In altre parole il captatore, una volta installato, non può essere rimosso
dall’attaccante e quindi resta all'interno del dispositivo, questo crea dei problemi perché può
consentire un’attività di captazione anche in un momento successivo ai limiti temporali imposti dal
provvedimento autorizzativo.
Inizialmente non c'era in Italia una legge sul captatore informatico quindi la giurisprudenza è
intervenuta, all'inizio pensava che non fosse un’intercettazione e che non fosse necessaria
l'autorizzazione del giudice poi alla fine evolvendosi, le sezioni unite hanno riconosciuto che il
captatore può essere un mezzo utilizzato per le intercettazioni ambientali e che le stesse devono
avvenire in luoghi circoscritti individuati ab origine e non in qualunque luogo si trova il soggetto e
su quella base hanno fatto l'attuale normativa del 2017 cioè il captatore può essere utilizzato come
strumento di intercettazione ambientale.
Per i reati di cui al comma tre bis e quater, quindi mafia e terrorismo, può essere utilizzato per
intercettare in maniera ambientale in qualsiasi luogo senza che il decreto autorizzativo debba dare
delle specificazioni cioè dei limiti cioè se mi trovo in luoghi di privata di moda dimora posso attivare
il microfono del cellulare quando voglio, per tutti gli altri reati il decreto autorizzativo specifica luogo
e orario in cui posso utilizzare il captatore e in particolare nel caso dei luoghi di privata dimora non
si potrebbe utilizzare a meno che non c'è il sospetto che in quel luogo non si stia consumando una
parte, un qualcosa relativo al reato.
È necessario in ogni caso rispettare dei principi fondamentali

1 immodificabilità del dispositivo: è consigliabile un sistema in grado di registrare tutte le operazioni
compiute dal trojan fin dal momento della sua inoculazione ed è necessario allegare tale risultato
al verbale nella polizia giudiziaria in cui vengono descritte le attività compiute sul dispositivo
2 conformità dei dati acquisiti con gli originali: è consigliabile l'utilizzo della funzione di hash e
garantisce la conformità dei dati acquisiti con quelli originali
3 Corretta conservazione dei dati acquisiti: è fondamentale in questo senso la catena di custodia in
quanto l’autorità indica in un apposito verbale le modalità di conservazione della prova digitale ma
soprattutto le operazioni compiute dalla polizia giudiziaria.
La sicurezza deve essere garantita anche sul versante della riservatezza e dell’integrità dei dati
captati, per cui il sistema informatico deve essere predisposto in modo da prevenire indebite
intrusioni durante le attività acquisitive e quindi garantire che gli strumenti di comando del
captatore siano accessibili esclusivamente agli operatori autorizzati.
La perplessità principale è data dalla locuzione ‘dispositivo elettronico portatile’ che si presta ad
ambigue interpretazioni e chiude le porte a qualsiasi tipo di attività captativa su dispositivi che
portatili non sono.
Hacking team è una società italiana che si occupa di sicurezza informatica la cui attività principale
è la commercializzazione del software RCS galileo che è in grado di infettare ogni tipo di device
attraverso un trojan.
Un giorno ha pubblicato il codice sorgente (cioè è come se avesse pubblicato un prodotto nudo
senza protezioni su internet) dicendo che loro non avevo nulla da nascondere che è stato scaricato
dai cybe criminali di tutto il mondo per utilizzi illeciti.
Cos'è successo? Questo codice essendo libero su internet, l’hanno preso parecchie persone ed
era un codice con il quale si poteva entrare in qualsiasi dispositivo elettronico e prenderne il
controllo. Questo era il problema. Quel software si chiama RCS galileo e controlla tutti i dispositivi
elettronici. Quali sono le conclusioni?

Primo problema: si sono creati dei casi gravi tipo il fatto che pubblicarono una falsa applicazione
su Google Play Store di notizie quando in realtà conteneva questo RCS galileo che ti controlla il
telefono.
Seconda cosa, i risvolti legali: la dottrina e la giurisprudenza si sono interrogate su questo cioè su
come debbano essere tenuti questi strumenti informatici che di fatto sono armi informatiche,
praticamente sulla responsabilità di queste società; la conclusione è stata che questa società
utilizzava addirittura dei sistemi di sicurezza blandi quando loro avrebbero dovuto mantenere un
atteggiamento di riserbo, quindi, in conclusione, bisogna fare attenzione perché questi sistemi
sono pericolosi ci deve essere un bilanciamento tra l'utilizzo perché sono utili in sede di indagini
eccetera ma anche sulla tutela ad esempio dei soggetti che poi sono i destinatari di queste indagini
e perché poi deve evitare di rubarti i dati e tante altre cose che hanno a che fare anche con la
privacy.
LA PROVA DIGITALE IN SEDE PENALE
Le prove digitali si caratterizzano per la loro immaterialità, per meglio dire si caratterizzano per
una materialità diversa, necessitando queste di elementi fisici su cui essere impressi.
L’evidenza digitale, per sua natura, è soggetta a volatilità e modificabilità, è necessario, quindi,
garantirne l’autenticità con specifiche procedure nel rispetto degli obblighi di legge.
La L. 48/2008 ha modificato il codice di procedura penale adeguandolo alle esigenze della prova
informatica. In linea di massima, la prova nel processo penale è informata dal principio del
contraddittorio tra le parti ex. Art. 111 della Cost. ; il codice di procedura penale all’art. 187
comma 1 stabilisce che possono essere oggetto di prova tutti i fatti che si riferiscono
all’imputazione, alla punibilità ed alla determinazione della pena o della misura di sicurezza,
inoltre il Giudice, quando è richiesto, può anche assumere prove atipiche, cioè prove che nono
sono disciplinate dalla legge stessa (Art. 189 cpp), se idonee ad accertare i fatti senza
pregiudicare la libertà morale della persona.
Il processo penale è basato sul principio dispositivo, è onere delle parti chiedere l’ammissione
della prova, nonostante vi siano delle eccezioni sulla base delle quali la prova viene assunta di
ufficio. Il mancato rispetto delle norme in tema di acquisizione delle prove ha come conseguenza la
sanzione dell’inutilizzabilità, rilevabile d’ufficio in ogni stato e grado del procedimento. Il giudice
valuterà gli elementi probatori sulla base del suo libero convincimento, dando conto del suo
ragionamento ermeneutico all’interno della motivazione, ove esplicherà i risultati raggiunti ed i
criteri adottati (Art. 192 cpp).
Ebbene, avendo chiarito che nel processo penale ha valore tanto la prova tipica che quella
atipica, in questa sede assuma particolare rilevanza la prova documentale, nel cui novero rientra
il documento informatico. Ai sensi dell’Art. 234 comma 1 cpp, “[…] è consentita l’acquisizione di
scritti o di altri documenti che rappresentano fatti, persone o cose mediante la fotografia, la
cinematografia, la fonografia o qualsiasi altro mezzo […]”
Su questo punto, la giurisprudenza di legittimità afferma che i dati contenuti nel computer “[…]
costituiscono prova documentale ai sensi dell’articolo 234 cpp, comma 1, trattandosi della
rappresentazione di cose, termine cui deve attribuirsi la più ampia estensione, effettuata
mediante mezzi diversi da quelli tradizionali, così come previsto dalla norma”. Il valore della prova
documentale è stato riconosciuto anche ai fotogrammi scaricati da Google Earth in quanto
rappresentativi di fatti, persone o cose (Cass. Pen., sez. III, 48178/2017), nonché ai messaggi
WhatsApp e SMS rinvenuti in un dispositivo sottoposto a sequestro per i quali, secondo la
Cassazione, DEVE ESCLUDERSI l’applicabilità, tanto della disciplina dettata per il sequestro di
corrispondenza, quanto di quella prevista per l’attività di intercettazione. I messaggi presenti su di
un dispositivo non rientrano né nel concetto di corrispondenza che un “flusso di comunicazioni
in corso”; i giudici di legittimità hanno precisato che il valore delle trascrizioni delle conversazioni
di WhatsApp, pur essendo utilizzabili, sono condizionate “all’acquisizione del supporto telematico o
figurativo contenente la menzionata registrazione, svolgendo la relativa trascrizione una funzione

meramente riproduttiva del contenuto della principale prova documentale”, in modo tale da
accertare la genuinità della prova.
I MEZZI DI RICERCA DELLA PROVA ALLA LUCE DELLA L. N. 48/2008
Il Pubblico Ministero dispone dei mezzi di ricerca della prova che sono gli strumenti di indagine
con i quali si acquisiscono elementi idonei a riscostruire e provare i fatti contestati al fine
dell’esercizio dell’azione penale. La l. 48/2008, ratificando la Convenzione di Budapest, ha
apportato significative modifiche alla disciplina delle ispezioni, perquisizioni e sequestri, in modo
tale che questi strumenti possano essere utilizzati anche in relazioni a sistemi informatici o
telematici, pur se protetti da misure di sicurezza, garantendo, però, l’adozione di misure tecniche
idonee ad assicurare la conservazione dei dati informatici originali pertinenti al reato ed
impedire l’alterazione degli stessi.
L’ispezione (Art. 244 cpp) è disposta con decreto motivato per accertare le tracce e gli altri
effetti materiali del reato (attività di osservazione); Secondo l’art. 244 cpp, così come novellato
dalla 48/2008, l’autorità giudiziaria può disporre di rilievi segnaletici, descrittivi o fotografici o
comunque di qualsiasi altra operazione tecnica a, anche in relazione a sistemi informatici o
telematici, adottando le misure idonee alla conservazione dei dati originali e ad impedire
l’alterazione.
La perquisizione (Art. 247 cpp) è disposta, di solito, con decreto motivato del PM che può
eseguirla personalmente o delegarla agli ufficiali di polizia giudiziaria. Nel caso di flagranza o
evasione, la polizia giudiziaria può procedere di sua iniziativa : più specificamente, in relazione
alle modifiche della L. 48/2008, nel caso in cui vi sia fondato motivo di ritenere che nei sistemi
informatici o telematici, anche se protetti da misure di sicurezza, si trovano occultati dati,
informazioni, programmi o tracce pertinenti al reato di qualsiasi tipo che rischiano di essere
cancellati o dispersi, la polizia giudiziaria procede autonomamente alla perquisizione adottando le
misure idonee alla conservazione dei dati originali e ad impedire l’alterazione. Si ricordi che
l’attività di perquisizione autonoma della polizia giudiziaria incide sulle libertà costituzionali ex. Art.
13 Cost., pertanto l’attività deve essere convalidata dal PM entro le 48 ore successive o sarà
priva di valore.
Anche gli accertamenti urgenti della polizia giudiziaria sui luoghi, sulle cose e sulle persone
sono state influenzate dalla regolamentazione prevista dalla L. 48/2008. Sul tema della prova
digitale, se il PM non può intervenire tempestivamente e vi è pericolo di perdita o alterazione
delle tracce del reato, gli ufficiali di polizia giudiziari compiono l’attività di accertamento
necessaria, non solo sullo stato dei luoghi e delle cose, ma, per quanto riguarda dati,
informazioni e ai programmi informatici, adottano i dovuti accertamenti con le misure tecniche
adeguate alla conservazione, all’impedimento dell’alterazione, all’accesso e, se possibile, alla
loro immediata duplicazione su adeguati supporti sulla base di una procedura che assicuri la
conformità della copia all’originale e la sua immodificabilità.
Il sequestro (Art. 253 comma 1 cpp) è disposto sempre con decreto motivato ed il mezzo con il
quale l’autorità giudiziaria acquisisce il corpo del reato o le cose pertinenti ad esso necessarie
per l’accertamento dei fatti. Costituiscono corpo del reato le cose sulle quali o mediante le quali il
reato è stato commesso o ne costituiscono il prodotto, il profitto o il prezzo.
Questa misura può essere eseguita direttamente dall’autorità giudiziaria o dagli ufficiali di polizia
giudiziaria ed, anche in questo caso, la legge 48/2008 ha novellato la disciplina. Infatti, per quanto
riguarda i documenti o le cose sequestrate ex Art. 260 cpp, prevede la possibilità di assicurare le
cose sequestrate anche attraverso strumenti di carattere elettronico o informatico idonei ad
indicare il vincolo imposto ai fini di giustizia. Infatti, l’autorità giudiziaria fa estrarre copia dei
documenti e fa eseguire fotografie o altre riproduzioni delle cose sequestrate che possono
alterarsi o che sono di difficile custodia, le unisce agli atti e fa custodire in cancelleria o
segreteria gli originali dei documenti : quando si tratta di dati, informazioni o di programmi

informatici, la copia deve essere realizzata su adeguati supporti mediante una procedura che
assicuri la conformità della copia all’originale e la sua immodificabilità.
L’autorità giudiziaria, sulla base dell’Art. 254 cpp, ha la possibilità di sequestrare lettere, pieghi,
pacchi, valori, telegrammi ed altri oggetti di corrispondenza, anche se inoltrati per via
telematica quando vi è fondato motivo di ritenere che la corrispondenza spedita dall’imputato o a
lui diretta possa avere una relazione con il reato per cui si procede. L’ufficiale di polizia giudiziaria
che procede al sequestro deve consegnare all’autorità giudiziaria la corrispondenza sequestrata
senza aprila o alterarla e senza prendere, in altro modo, conoscenza del contenuto. In caso di
urgenza, anche gli stessi ufficiali possono procedere al sequestro per lo stesso oggetto di
corrispondenza descritto anche nella loro forma telematica, rispettando la usuale convalida del PM
entro le 48 ore. Se l’ufficiale di polizia giudiziaria ha fondato motivo di ritenere che la
corrispondenza raccolta potrebbe essere dispersa o che comunque contenga informazioni
rilevanti e urgenti ai fini dell’assicurazione di elementi probatori, può chiedere al PM
l’autorizzazione all’apertura e alla lettura dei plichi.
Avallando l’orientamento della giurisprudenza di legittimità sugli Artt. 254 e 353 cpp saranno
applicabili alla corrispondenza elettronica SOLO quando la stessa si trova conservata presso
il fornitore del servizio anche sulla base dell’Art. 45 comma 2 D.lgs. 82/2005, secondo cui “il
documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al
proprio gestore, e si intende consegnato al destinatario se reso disponibile all’indirizzo elettronico
da questi dichiarato, nella casella di posta elettronica del destinatario messa disposizione dal
gestore”. Se invece l’autorità giudiziaria rinviene su un dispositivo hardware (oggetto di ispezione
o sequestro) messaggi elettronici (es. email, whats app, sms) pertinenti all’indagine , sarà possibile
prendere visione ed estrarne copia. In questo caso, si tratterà di prova documentale, ai sensi
dell’Art. 234 cpp, che potranno essere acquisiti liberamente al pari di qualsiasi altro
documento informatico.
Il sequestro di dati informatici presso fornitori di servizi informatici, disponendo l’autorità
giudiziaria il sequestro dei dati anche di traffico e di ubicazione detenuti dagli stessi fornitori, può
stabilire che la relativa acquisizione avvenga mediante copia su adeguato supporto, con una
procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.
L’autorità giudiziaria ordina contestualmente al fornitore di servizi di conservare e proteggere
adeguatamente i dati originali.
In conclusione, le modifiche apportate al codice di procedura penale dalla L. 48/2008 ticipicizzano

l’attività di ricerca della prova digitale, ispirandosi al principio di neutralità tecnologica, nel
senso che non vengono indicate tassativamente le procedure da seguire per l’acquisizione
dell’evidenza digitale ma, piuttosto, ha indicato gli obiettivi a cui le stesse devono mirare.
(conservazione dei dati originari ed impedire l’alterazione, anche per la ripetibilità
dell’accertamento)
L’ACQUISIZIONE DELLA PROVA DIGITALE: PROFILI GIURIDICI E TECNOLOGICI
L’acquisizione probatoria di un dato informatico può riguardare un dato informatico di per sé o il

sistema informatico che lo contiene. A seconda delle necessità è possibile procedere : 1)
estrazione di specifici contenuti informatici; 2) acquisizione di una copia immagine dell’intero
supporto di memorizzazione (come accade, ad esempio, quando è necessario recuperare file
cancellati dall’ hard disk). Si procede con le stesse modalità anche quando è disposto il
sequestro di un intero supporto di memorizzazione, in ragione della possibile alterabilità dei
supporti e dei dati in essi contenuti, dovendo assicurare la conformità della copia all’originale e
la sua immodificabilità.
La prescritta integrità della prova informatica può essere garantita adottando una serie di misure
tecniche anche in applicazione dello standard internazionale ISO1/27037 recante “Linee guida
per l’identificazione, la raccolta, l’acquisizione, la conservazione, il trasporto di evidenze digitali”.
1
L’ISO è l’Organizzazione Internazione per la Normazione che è la più importante organizzazione
internazionale per la definizione di norme tecniche.

Tale ISO è nata proprio con l’obiettivo di garantire l’integrità e l’utilizzabilità della prova informatica
consentendo di verificare ex post le metodologie eseguite e gli esiti del processo di
acquisizione ed analisi. Secondo la ISO/27037, l’evidenza digitale è costituita da “informazioni o
dati memorizzati o trasmessi in forma digitale, su cui si può fare affidamento come evidenza”.
Trattasi, insomma, di un documento informatico di cui è necessario acquisire il duplicato
informatico preservando i metadati relativi, soprattutto, alla data di creazione e di ultima
modifica del file. Così come previsto dalla legge, la creazione di un duplicato informatico
comporta l’adozione di processi e strumenti in grado di assicurare che il documento informatico
ottenuto sullo stesso sistema di memorizzazione, o su di un sistema diverso, contenga la stessa
sequenza di bit del documento informatico di origine. Solo in questo modo si potrà conferire il
medesimo valore del documento informatico originale al duplicato, così come previsto dall’Art.
23bis CAD.
Una volta individuati i contenuti informatici di interesse, questi dovranno essere inclusi in un
archivio compresso (es. .zip), consentendo di preservare i metadati dei singoli file, per poi
procedere al trasferimento dello stesso su diversi supporti informatici realizzando una duplice
copia, fatta salva la possibilità di copia ulteriore per la parte. La prima copia sarà conservata con
opportune cautele agli atti del procedimento; la seconda sarà utilizzata per le attività di analisi e di
indagine.
Se ritenuto necessario, è possibile procedere anche alla stampa di documenti informatici

ritenuti di particolare interesse : in questo caso si parla di copia analogica di un documento
informatico da ricondurre alla previsione dell’Art. 23 CAD che prescrive la sottoscrizione della
copia analogica da coloro che procedono alla relativa acquisizione, ma anche dalla parte che ha
la titolarità e la disponibilità dell’originale informatico. In tal senso, il Comando Generale della
Guardia di Finanza con circolare 1/2018 ha indicato la corretta modalità di ricerca ed estrazione
dei documenti informatici, sottolineando che : 1) Quando strettamente necessario, i dati ritenuti
più interessanti vengono stampati e sottoscritti da verificatori e contribuenti; 2) Durante la ricerca
dei dati dei supporti informatici, successivamente la disposizione delle cautele ad impedire
alterazione o distruzione, devono richiedere la presenza di personale certificato (ad es.
dell’azienda sotto esame) o di una persona di fiducia al fine di farsi assistere nell’operazione di
estrazione.
Oltre all’acquisizione mirata dei singoli file, è possibile procedere all’acquisizione di una copia
immagine dell’intero supporto di memorizzazione (Es. hard disk, USB…). In questo caso, sarà
necessario realizzare la c.d. “copia forense” utilizzando dispositivi e software specifici in grado di
garantire l’integrità dell’evidenza acquisita : inoltre, per evitare che le attività di indagine sulla
copia forense possano comprometterla, si procede alla doppia copia forense, conservando la
prima con opportune cautele e la seconda sottoposta ad attività di indagine.
Tra gli strumenti adatti a questa operazione, vi è la distribuzione live di “Caine” che permette il
funzionamento di PC senza sistema operativo, ma soprattutto consente di escludere qualsiasi
operazione automatica e/o involontaria di scrittura sulle memorie di massa collegate al PC. Uno
dei formati più appropriati per realizzare la copia forense è l Expert Witness Format (EWF) che
consente di acquisire oltre ai bit presente sui supporti di memoria anche numerose informazioni
utili a validare e certificare l’operazione di copia stessa. I file generati in EWF potranno essere
esaminati con l’ausilio di numerosi tool gratis o a pagamento.
Gli standard internazionali relativi all’acquisizione delle evidenze attribuiscono molta importanza
alla c.d. “catena di custodia”. La catena di custodia è un documento dove vengono riportate
cronologicamente ed analiticamente tutte le operazioni svolte, l’elenco delle evidenze digitali
acquisite, la loro tipologia ed, eventualmente, i passaggi per la loro acquisizione. Nella catena di
custodia può anche essere inserito l’hash dei singoli documenti acquisiti o dell’insieme di essi
unitamente all’indicazione del relativo algoritmo.
La generazione delle “impronte” (hash) costituisce un altro metodo preferito dagli standard
internazionali per la conservazione dei dati originali : il calcolo dell’hash, in ogni caso, viene
generato sulla base del solo contenuto dei documenti informatici prescindendo,
completamente, dai relativi metadati. Sarà sempre necessario, inoltre, indicare la funzione di
calcolo utilizzata per consentire la successiva – eventuale – verifica.

In conclusione, si ribadisce che le operazioni di acquisizione di un’evidenza digitale devono essere
verificabili e valutabili ex post anche da terze parti; vale sempre il principio teso ad assicurare la
conservazione del dato originale e la sua immodificabilità, obiettivo che deve essere raggiunto sia
nel duplicato dei documenti informatici e delle copie forensi, sia nel caso di copia analogica.
La mancanza di rispetto di questi principi normativi produrrebbe copie e duplicati avulsi
dall’originale, non garantendo la genuinità e lo stesso valore probatorio.
DOMANDE D’ESAME
-competenza e giurisdizione nel cyberspazio
-competenza funzionale
-competenza territoriale
-reati informatici ed eventualmente informatici e come cambia la competenza
-differenza tra truffa e frode informatica
-Accesso abusivo al sistema informatico
-reato di pedopornografia
-detenzione di materiale pornografico
-differenza tra pedopornografia e pedopornografia informatica
-reati informatici in danno del diritto d’autore
-violazione corrispondenza
-prova/acquisizione prova digitale
-mezzi di ricerca della prova
-circolare della guardia di finanza
-captatore in particolare per quali reati può essere inoculato + quali dati
possono essere acquisiti + Nei luoghi di privata dimora?


Docsity Sbobinature Complete Del Corso Di Informatica Del Diritto Testo Di Riferimento Informatica Per Il Giurista

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Docsity Sbobinature Complete Del Corso Di Informatica Del Diritto Testo Di Riferimento Informatica Per Il Giurista

Caricato da

Copyright:

Formati disponibili

Sbobinature del corso di

INFORMATICA DEL DIRITTO

Document shared on www.docsity.com

Passiamo al valore giuridico.

Document shared on www.docsity.com

Qual è la funzione della firma? L’apposizione della sottoscrizione garantisce provenienza,

Document shared on www.docsity.com

FIRMA ELETTRONICA SEMPLICE (O DEBOLE)

FIRMA ELETTRONICA AVANZATA (quella che metti al corriere)

Torniamo alla firma elettronica semplice. Se ho un documento word e lo firmo elettronicamente

Document shared on www.docsity.com

FIRMA ELETTRONICA QUALIFICATA

Document shared on www.docsity.com

Le prime 3 tipologie di firme si basano su un concetto europeo che si chiama concetto di

Che significare crittografare un messaggio? Significa non rendere immediatamente intellegibile a

Document shared on www.docsity.com

Document shared on www.docsity.com

Esempio di crittografia asimmetrica su whatsapp.

Document shared on www.docsity.com

Prima dobbiamo aver chiaro cosa accade nel mondo tradizionale.

Document shared on www.docsity.com

Riportiamo tutto al documento informatico.

Document shared on www.docsity.com

Rispetto alla firma c’è un’altra cosa fondamentale.

L’art 20 continua. Rileggiamolo tutto.

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Adesso andiamo a vedere il valore di questi elementi.

L’art 22 CAD è rubricato ‘copie informatiche di documenti analogici’.

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

La pec è importante ma ha quel limite che abbiamo detto.

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Art. 6. Utilizzo del domicilio digitale

Document shared on www.docsity.com

Art. 6-quinquies. Consultazione e accesso

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com

Document shared on www.docsity.com