Ciberspazio e Diritto

Internet e le Professioni Giuridiche

Rivista Trimestrale

Cyberspace and Law

Internet and Legal Practice
Quar terly Journal

Vol. 12 - No. 3 - 2011

Mucchi Editore

In questo numero - In this issue

Politica dellinnovazione, democrazia elettronica e informatica giuridica 233 Profili civili e penali del cloud computing nellordinamento giuridico nazionale: alla ricerca di un equilibrio tra diritti dellutente e doveri del fornitore Guglielmo Troiano Privacy, sicurezza, data retention e sorveglianza globale 267 Analisi dello stato di protezione delle infrastrutture critiche attraverso il modello CHELPT e futuri sviluppi David Ward - Alessandro Lazari Criminalit informatica e investigazioni digitali 289 Whistleblowing 2.0. Le soffiate tra opportunit di community etiche e problematiche giuridiche Alessandro Rodolfi Diritti di libert e dissidenza digitale 307 Tecniche di censura dei contenuti e diritti di libert in Australia e Nuova Zelanda Diego Dimalta 321 Internet e diritti umani in Russia: il quadro politico e tecnologico Stefano Rossetti 331 Internet e diritti umani in Cina, Birmania e Iran: firewall di Stato, repressioni e resistenza digitale Silvia Scalzaretto

Politica dellinnovazione, democrazia elettronica e informatica giuridica

Ciberspazio e diritto 2011, Vol. 12, n. 3, pp. 233-263

Profili civili e penali del cloud computing nellordinamento giuridico nazionale: alla ricerca di un equilibrio tra diritti dellutente e doveri del fornitore Guglielmo Troiano1
Sommario: 1. Premesse. 2. Ambiti contrattualistici, lex contractus e giurisdizione competente. 3. Standard proprietari e vendor lock-in. 4. Diritti dautore, licensing e libert dellutente. 5. I reati informatici. 6. Lillecito trattamento di dati. 7. Le misure di sicurezza. 8. Il trasferimento dei dati extra UE. 9. Conclusioni.

1. Premesse Il cloud computing2 il risultato di un percorso circolare nella storia

1 Guglielmo Troiano membro di Array, gruppo informale di avvocati indipendenti specializzati in nuove tecnologie. Prima di conseguire la laurea in giurisprudenza presso lUniversit degli Studi di Milano ed il Master in Diritto della Rete presso lUniversit degli Studi di Padova, stato per diversi anni analista di sistemi informativi. Collabora con le cattedre di Informatica Giuridica e Informatica Giuridica Avanzata dellUniversit degli Studi di Milano ed fellow dellIstituto Italiano Privacy. 2 Non esite una definizione univoca di cloud computing. Il termine cloud, con ogni probabilit, deriva dalla rappresentazione grafica che in informatica si utilizza per indicare la rete Internet, una nuvola appunto. Il termine computing, invece, attiene alla progettazione e realizzazione di hardware e software per la gestione dei dati. Il NIST (National Institute of Standard and Technology) dello U.S. Department of Commerce ha fornito una definizione che risulta spesso adottata (http://csrc.nist.gov/publications/drafts/800-145/DraftSP-800-145_cloud-definition.pdf). In buona sostanza, il termine cloud computing utilizzato oggi per indicare le risorse informatiche (di un computer) collocate in pi luoghi della rete Internet e tramite la stessa utilizzabili (per le varie tipologie di cloud computing vedi in seguito). Nel presente Articolo si utilizzeranno i termini Cloud Computing, Cloud e CC per indicare il fenomeno nel suo complesso. Lanalisi pi completa ed esaustiva sullargomento risulta essere The Future of Cloud Computing coordinata dalla Direzione Generale Societ dellinformazione e mezzi di comunicazione (DG Information Society) della Commissione europea. Inoltre, si segnalano Cloud computing e tutela dei dati personali in Italia: una sfida desempio per lEuropa, in Diritto, Economia e Tecnologie della Privacy, Istituto Italiano Privacy, ottobre 2011 e gli atti della conferenza Cloud Computing e Privacy, E-Privacy 2011 in http://e-privacy.winstonsmith.org/interventi.html.

233

Profili civili e penali del cloud computing nellordinamento giuridico nazionale

Abstract The article deals with legal and technological issues related to cloud computing. The first part presents the main technical issues, placing the phenomenon of cloud computing in the daily technological framework. The central part of the study, on the other hand, deals with legal issues both from the point of view of the user of the service and from the point of view of the operator/provider. A part also investigates the issues of copyright and the discipline of contents, computer crimes, illegal treatment of data and the legislative regulation of the European Union.

263

Privacy, sicurezza, data retention e sorveglianza globale

Ciberspazio e diritto 2011, Vol. 12, n. 3, pp. 267-286

Analisi dello stato di protezione delle infrastrutture critiche attraverso il modello CHELPT e futuri sviluppi David Ward - Alessandro Lazari1
Sommario: 1. Introduzione allo studio. 2. La genesi del modello CHELPT ed il contesto del progetto ERNCIP. 3. Una premessa: le definizioni di infrastruttura critica. 4. Il ciclo di vita delle infrastrutture critiche ed il relativo stato di protezione. 5. Analisi SWOT e ciclo di vita. 6. Il Modello CHELPT e lo stato di protezione delle infrastrutture critiche. 7. Conclusioni.

1. Introduzione allo studio La protezione delle infrastrutture, soprattutto di quelle critiche (Critical Infrastructure Protection - CIP), spesso si riflette o si riduce alle attivit di preparazione in previsione di un eventuale evento dannoso (es. attacco terroristico, disastro naturale ecc.) oppure a quelle che si occupano delleventuale ripristino delloperativit dellinfrastruttura dopo levento (es. il terremoto dellAquila). In questo modo, le azioni risultanti tendono a confluire in una nozione temporale che tenta di pianificare il futuro della protezione delle Infrastrutture Critiche sulla base di quello che il loro stato attuale. Gli eventi dannosi legati al malfunzionamento, attacco o distruzione di uninfrastruttura critica, nellera moderna, non solo si verificano con maggiore frequenza, arrecando danni maggiori allinfrastruttura e alla societ (colpita dalleventuale effetto domino), ma sono caratterizzati da una sempre crescente frequenza di eventi che originano dal ciberspazio. Tale approccio, offre lindiscusso vantaggio della praticit, ma lascia senza risposta una serie di interrogativi quali, ad esempio, per quale moti1 David Ward, JRC-Ispra, IPSC, Security Technology Assessment Unit; Alessandro Lazari, Dottorando di Ricerca, Facolt di Ingegneria - Univerist degli Studi di Firenze, Dipartimento Sistemi e Telecomunicazioni.

267

David Ward - Alessandro Lazari

Abstract The state of play of infrastructure protection, especially that of critical infrastructures (CIs), is often a snapshot of the status of protection or the readiness towards an event and/or subsequent recovery. Often the resulting actions taken attempt to blend a temporal notion of forwardness with what is known today. Events are not only becoming more frequent and costly but also include events derived from the cyberspace. While this is a very practical approach it lends itself to several blind spots concerning critical infrastructure protection (CIP) such as, why are we in the state we are?, at what stage of CIP are we and maybe should be?, what are the overall levers needed to fully address CIP?, what are the forces behind the state of play?, and how can we compare ourselves to others with the same CIP state of play and/or issues? To this end a tool (denominated the CHELPT model) is proposed that, at the current stage of development, identifies six dimensions or forces that forge CIP and relative regulamentation, safety/security and policies. With a strong link to the concept of life cycle, organization assessment (SWOT analysis), decision making (PEST analysis) and strategy, the CHELPT model or tool provides a platform or framework to address the past, present and future of the protection of infrastructures. The model attempts to weave the state of play into a contextualized framework based on modern management tools with the intent to fully contextualize the current state of play of CIP at any level (from single infrastructure to system of systems or assets). The model also affords a practical CIP evaluation tool based on a cognitive approach which should aid protection workers in developing and deploying protection strategies-measures against cyber or real attacks or events. Discussion concerning the future development and validation of the CHELPT model is also provided.

286

Criminalit informatica e investigazioni digitali

Ciberspazio e diritto 2011, Vol. 12, n. 3, pp. 289-303

Whistleblowing 2.0. Le soffiate tra opportunit di community etiche e problematiche giuridiche. Alessandro Rodolfi1
Io volevo uscirne fuori. Cristo, erano tutti contro di me! E cos uno tira avanti a meno che uno non torna a mettersi luniforme e ricomincia a soffiare nel fischietto2

Il poliziotto esattore Sarno a Serpico

Sommario: 1. Premessa. 2. Whistleblowing e doveri di controllo societari: limportanza dei flussi informativi. 3. GlobaLeaks, un framework libero e aperto per la gestione dei flussi informativi nel mondo del whistleblowing. 4. Whistleblowing e problematiche privacy nellordinamento giuridico italiano. 5. Conclusioni

1. Premessa La storia di Frank Serpico, il poliziotto che denunci la corruzione dei colleghi del New York Police Department finendo per sgretolarne lomertoso Blue Wall3, fece rapidamente il giro del mondo nei primi anni 70. Leco mediatica scaturita da uninchiesta ufficiale senza precedenti4 si trasform successivamente in un best seller che vendette 3 milioni di
1 Alessandro Rodolfi, dottore in Giurisprudenza e perfezionato in computer forensics e investigazioni digitali, collabora con le cattedre di Informatica Giuridica e Informatica Giuridica dellUniversit degli Studi di Milano. 2 Cfr. Serpico, film del 1973 tratto da una storia vera e diretto da Sidney Lumet. Il dialogo si svolge approssimativamente al minuto 1:03:35 del film: Sarno interpretato da Ted Beniades, Serpico da Al Pacino. 3 C.d. Muro Blu in riferimento al colore delle divise dei poliziotti. 4 Linvestigazione fu condotta da una commissione speciale, la Knapp Commission, capeggiata nellaprile del 1970 dal Maggiore Lindsay.

289

Whistleblowing 2.0. Le soffiate tra opportunit di community etiche

Abstract The key factor that, especially in the last year, has given an impetus to indirect whistleblowing is certainly the WikiLeaks phenomenon, regardless of the fact that the organization headed by Julian Assange deals with the publication of confidential information (i.e. Public Disclusure, something very different especially from the legal point of view from whistleblowing), and it has received numerous criticisms. The article deals with whistleblowing both from the point of view of legal regulation and with reference to the new project Globaleaks, a free and open framework for the management of the flow of information. GlobaLeaks is the first Open Source Whistleblowing Framework. It empowers anyone to easily setup and maintain their own Whistleblowing platform. It is also a collection of what are the best practices for people receiveiving and submitting material. GlobaLeaks works in all environments: media, activism, corporations, public agencies.

303

Diritti di libert e dissidenza digitale

Ciberspazio e diritto 2011, Vol. 12, n. 3, pp. 307-319

Tecniche di censura dei contenuti e diritti di libert in Australia e Nuova Zelanda Diego Dimalta1
Sommario: 1. Lo scenario socio-politico. 2. Brevi cenni sulla normativa in vigore. 2.1. La normativa australiana. 2.2. La normativa neozelandese. 3. Le attivit di filtraggio della rete.

1. Lo scenario socio-politico Nuova Zelanda ed Australia sono i due stati pi occidentalizzati della zona asiatica-pacifica. Entrambi, stando a quanto riportato dallassociazione Freedom House2 nel report del 2011 relativo alla libert di stampa3, sono considerati stati liberi, dove la libert di stampa, nonch la libert di espressione in rete, vengono riconosciute e tutelate, anche se in modalit differenti. Per meglio comprendere lo stato di fatto della normativa vigente in tali paesi occorre dapprima osservare la struttura costituzionale degli stessi. La Nuova Zelanda una democrazia parlamentare, indipendente dalla Gran Bretagna dal 1947, ma comunque appartenente al Commonwealth. Lordinamento si basa su atti parlamentari sia neozelandesi sia britannici, mentre la Costituzione (redatta nel 1986) non stata ancora ratificata. I principi fondamentali dellordinamento vanno quindi ricercati nei diversi atti legislativi ordinari4. Il potere esecutivo affidato ad un Primo Ministro dal Governatore Generale5 il quale, come accade in
Diego Dimalta, dottore in Giurisprudenza, collabora con le cattedre di Informatica Giuridica dellUniversit degli Studi di Milano. 2 Sito ufficiale http://www.freedomhouse.org/template.cfm?page=1. 3 Avalable at: http://www.freedomhouse.org/uploads/fop11/FOTP2011Booklet. pdf. 4 Per un approfondimento: http://gg.govt.nz/role/constofnz.htm. 5 Sito istituzionale: http://gg.govt.nz/role/functions.htm.
1

307

Tecniche di censura dei contenuti e diritti di libert in Australia e Nuova Zelanda

Abstract The article describes the legal framework, in Australia and New Zealand, concerning the content-filtering systems. This analysis takes into consideration both the private filtering systems and those suggested or imposed by the State. Part of the Article analyses a detailed plan for cyber-security and the rules that impose the Internet Service Provider (ISP) to filter the content considered prohibited on the basis of black lists. It is also carried out a comparison between the judicial system of the United States and Australia and New Zealand, with particular reference to freedom of expression principles.

319

Ciberspazio e diritto 2011, Vol. 12, n. 3, pp. 321-330

Internet e diritti umani in Russia: il quadro politico e tecnologico Stefano Rossetti1

Sommario: 1. Rilievi generali. 2. Internet in Russia. 3. Profili normativi. 4. Eventi rilevanti: ossia, people who dont like censorship. 5. Conclusioni.

1. Rilievi generali Con una estensione che tocca ben due continenti e una popolazione di quasi 143 milioni di abitanti, la Russia, resasi formalmente indipendente nel 1991 con la fine dellUrss e la nascita del Commonwealth of Indipendent States (CIS) , senza alcun dubbio, il Paese di maggiore spessore geopolitico dellarea in analisi. Tale centralit, unita alla considerevole dotazione di risorse energetiche, rendono la Russia, oltre che membro del club BRIC, un interessante oggetto di osservazione rispetto alla tematica delle libert digitali e della democrazia in genere. Il Paese si dotato di una nuova Costituzione dal 1993 ma, per quanto apparentemente significativo, questo evento non rappresenta un vero e proprio segno di discontinuit rispetto al passato; gli analisti sono infatti concordi nel rilevare un certo qual tipo di concordanza nella concezione del potere2, specificamente nei suoi spesso problematici rapporti con le libert individuali, e ci, a prescindere dai tempi e dalle Costitu1 Stefano Rossetti, dottore in Giurisprudenza, collabora con le cattedre di Informatica Giuridica dellUniversit degli Studi di Milano. 2 Cos, M. Ganino, Russia, in Si governano cos, Il Mulino, 2010: Pur nelle trasformazioni epocali si concordi nel rilevare una consistente continuit con il passato, che si tratti di quello pi vicino della transizione condotta da Michail Gorbacev alla fine degli anni ottanta, dei decenni del periodo sovietico durato circa 75 anni, o ancora del passato pi lontano del periodo zarista, sino a tornare alle pi remote origini dello Stato russo. Una permanente e finalizzata concezione del potere non solo aveva plasmato sino agli inizi del Novecento lordinamento statale, ma si era trasmessa al successivo ordine socialista grazie alla funzione

321

Stefano Rossetti

Abstract Russia, together with the other CIS countries, has recently changed its approach to the issue of digital freedom: the massive control imposed on operators of Internet sites and the heavy consequences, in both civil and criminal, arising from the publication of material inappropriate or defamatory, led to the emergence of worrying cases of self-censorship. The article describes the social and political situation of the State, and focuses on all the episodes of censorship, control of the contents and filtering that characterize the technological panorama.

330

Ciberspazio e diritto 2011, Vol. 12, n. 3, pp. 331-360

Internet e diritti umani in Cina, Birmania e Iran: firewall di Stato, repressioni e resistenza digitale. Silvia Scalzaretto1
Sommario: 1. Internet e i diritti umani. 2. Cina: un quadro di Internet tra censura e controllo. 2.1. Riferimenti normativi. 2.2. La responsabilit delle societ estere nella censura cinese. Il caso Google. 2.3. Resistenza elettronica e dissidenti digitali in Cina. 3. Internet in Birmania. 3.1. Riferimenti normativi. 3.2. Il ruolo della tecnologia nella Saffron Revolution. 4. Internet in Iran. 4.1. Controllo e censura. 4.2. Repressione. 4.3. Riferimenti normativi. 4.4. Il ruolo di Internet nella mobilitazione sociale per la democrazia e i diritti umani. 5. Conclusioni.

1. Internet e i diritti umani Reporters Without Borders ha pubblicato nel marzo del corrente anno un paper intitolato Internet Enemies2, in cui stila la lista nera dei 10 Paesi nemici di Internet3 e identifica 16 Paesi ritenuti sotto sorveglianza4, esaminando la situazione delle libert digitali in detti Stati e riferendo del ruolo che la tecnologia ha avuto negli ultimi anni nella mobilitazione sociale per il rispetto dei diritti umani, nonch dei corrispondenti tentativi dei relativi Governi di limitarne laccesso e luso. Di poco successivo il Report on the promotion and protection of the right to freedom of opinion and expression5, dello Special RapSilvia Scalzaretto, laureata in Giurisprudenza, collabora con le cattedre di Informatica Giuridica e di Informatica Giuridica Avanzata dellUniversit degli Studi di Milano. 2 Disponibile allURL http://12mars.rsf.org/i/Internet_Enemies.pdf. 3 Birmania, Cina, Cuba, Iran, Corea del Nord, Arabia Sudita, Siria, Turkmenistan, Uzbekistan e Vietnam. 4 Australia, Bahrain, Bielorussia, Egitto, Eritrea, Francia, Libia, Malesia, Russia, Corea del Sud, Sri Lanka, Tailandia, Tunisia, Turchia, Emirati Arabi Uniti e Venezuela. 5 Disponibile allURL http://www2.ohchr.org/english/bodies/hrcouncil/docs/ 17session/A.HRC.17.27_en.pdf.
1

331

Silvia Scalzaretto

Abstract It is not a case that in the list of the ten enemies of the Internet appear countries sadly known to the international community for the incessate violations of human rights of their citizens: China, Burma and Iran are the most significative examples. Through the control of the Internet, these States are trying to restrict the movement of information deemed harmful to the alleged principles of unity or national security, in fact repressing political content or religious and implementing heavy discrimination on the basis of sex, religion and political belief. In this Article will be discussed the legislative regulation of the Internet by the governments of China, Burma and Iran, a strenuous attempt to submit to State control every content that differs from political-ethical-religious views of the regime, and how the characteristics of the network allow today to activists and ordinary citizens to overcome the barriers and fight for their rights.

360

Ciberspazio e Diritto - Cyberspace and Law

COMITATO SCIENTIFICO Direttore: Prof. Avv. Giovanni Ziccardi (Facolt di Giurisprudenza, Universit degli Studi di Milano) Vice Direttore: Avv. Pierluigi Perri (Foro di Milano)
Comitato Scientifico: Prof. Tom W. Bell (Chapman University, School of Law, Stati Uniti) :: Prof. Michael Blakeney (Murdoch University, School of Law, Australia) :: Prof. Andrew Christie (University of Melbourne, Faculty of Law, Center for Media, Communications and Information Technology Law, Australia) :: Prof. Pasquale Costanzo (Universit di Genova) :: Prof. Kim Dayton (University of Kansas, School of Law, Stati Uniti) :: Prof. Jos Dumortier (Katholieke Universiteit Leuven, Belgio) :: Prof. David Farber (University of Pennsylvania, Stati Uniti) :: Prof. Michael Froomkin, University of Miami, School of Law, Stati Uniti) :: Prof. Michael Geist (University of Ottawa, Law School, Stati Uniti) :: Prof. Cheng Hsu (Rensselaer Polytechnic Institute, Decision Science and Engineering Systems, Troy, Stati Uniti) :: Prof. Makoto Ibusuki (Kagoshima University, Faculty of Law, Giappone) :: Prof. Massimo Jasonni (Universit di Modena) :: Prof. Ethan Katsh (University of Massachussets at Amherst, United States) :: Prof. Jane Kaufman Winn (Southern Methodist University, School of Law, Stati Uniti) :: Prof. David D. King (University of Louisville, Stati Uniti) :: Prof. Lawrence Lessig (University of Harvard, Stati Uniti) :: Prof. Peter Ludlow (State University of New York, Stati Uniti) :: Prof. Fiona Macmillan (Murdoch University, School of Law, Australia) :: Prof. Andrew Mowbray (University of technology of Sidney, Faculty of Law, Australia) :: Prof. Giovanni Pascuzzi (Universit di Trento) :: Prof. Lorenzo Picotti (Universit di Trento) :: Prof. David Post (Temple University Law School, Cyberspace Law Institute, Stati Uniti) :: Prof. Margaret Jane Radin (Stanford Law School, Stati Uniti) :: Prof. Joel Reidenberg (Fordham University, School of Law, Stati Uniti) :: Prof. Megan Richardson (University of Melbourne, Faculty of Law, Australia) :: Prof. Marc Rotenberg (Georgetown University Law Center, Stati Uniti) :: Prof. Michael L. Rustad (Suffolk University Law School, Stati Uniti) :: Prof. Giovanni Sartor (Universit di Bologna Istituto Europeo Firenze) :: Prof. Ulrich Sieber (University of Wurzburg, Germania) :: Prof. Giancarlo Taddei Elmi (IDG/CNR Firenze) :: Prof. Pierre Trudel (University of Montreal, Faculty of Law, Research Center in Public Law, Canada) :: Prof. Patrick Wiseman (Georgia State University, College of Law, Stati Uniti) :: Redattori: Dott.ssa Claudia Aquila; Avv. Stefano Aterno; Avv. Marcello Bergonzi Perrone; Dott. Marco Bettoni; Avv. Silvia Bisi; Dott. Simone Bonavita; Avv. Fabio Bravo; Cons. Dott. Francesco Cajani; Avv. Barbara Coccagna; Avv. Eleonora Colombo; Avv. Claudia Del Re; Dott.ssa Anna Demartini; Dott. Fabio Di Resta; Dott.ssa Elena Falletti; Dott. Roberto Flor; Avv. Mario Ianulardo; Avv. Matteo Giacomo Jori; Avv. Luigi Leone; Avv. Michele Martoni; Giulia M. Mentasti; Dott.ssa Daniela Quetti; Dott. Alessandro Rodolfi; Sig. Tommaso Satta Puliga; Avv. Giorgio Spedicato; Dott. Guglielmo Troiano; Dott. Valentin Vitkov.