Cosa rischierebbe nel nostro paese un soggetto che si sia procurato - secondo le notizie che girano in rete - il materiale che sembra fosse riservato?

Ci si devono porre alcune domande preliminari.

Seconda domanda: come ci si è procurati tale materiale? Entrando abusivamente in qualche sito governativo? Intercettando la corrispondenza di qualche funzionario? Sfruttando l'ingenuità di qualche funzionario?

In ogni caso, ammettendo che sia corretta sia la prima ipotesi (diffusione di materiale segretato e/o riservato) sia la seconda (acquisizione mediante accesso a "siti" governativi), la situazione nel nostro paese sarebbe regolato dai seguenti articoli del codice penale (come minimo).

"Lazio: Facebook vietato ai dipendenti regionali".

Queste sono le notizie che in genere scatenano direi automaticamente due opposte fazioni, ossia da una parte quella che ritiene che l'odioso "padrone" stia in qualche modo  restringendo quello che, a torto o a ragione, viene ormai considerato come un diritto del dipendente, e dall'altra quella che ritiene che "finalmente" il datore di lavoro si sia deciso a non permettere più che i propri collaboratori si distraggano attraverso l'utilizzazione di strumenti non propriamente professionali.

Come spesso capita, un atteggiamento prudente in casi simili è altamente consigliabile, anche perché sia la modalità di raccolta delle informazioni poste alla base del provvedimento da parte della Regione Lazio sia la modalità stessa di emanazione del provvedimento possono portare a delle conseguenze non indifferenti.

Nelle notizie reperibili on line si parla di "circolari", e se effettivamente questo fosse lo strumento utilizzato ci si dovrebbe domandare se sia quello corretto; infatti da tempo le c.d. "circolari" della Pubblica Amministrazione non hanno più valore cogente, nemmeno nei confronti dei soggetti sottoposti al soggetto emanante tale circolare (rammento una sentenza della Corte di Cassazione in materia fiscale).

Probabilmente lo strumento più adatto sarebbe stato il c.d. "ordine di servizio", ovvero un vero e proprio "comando", immediatamente applicativo nell'ambito dell'attività lavorativa ed espressione della potestà di direzione dell'attività da parte de datore di lavoro (ente pubblico, si rammenta)

Altro discorso molto delicato concerne le modalità di acquisizione delle "informazioni", dei "dati", posti alla base del provvedimento; infatti si deve sempre rammentare che tutto quello che concerne le attività svolte da un lavoratore subordinato incontra sia gli ostacoli posti sia dall'art.4 sia dall'art.8 della Legge n.300/1970 (Statuto dei Lavoratori) sia, ovviamente, quelli posti dal D.Lgs. n.196/2003 (legge "privacy").

Dalla Banca Dati Sole 24 Ore:

Anche a questa sentenza è stato in linea di massima dato un risalto che probabilmente non meritava... vediamo perché.

Torno su un vecchio discorso... visto che recentemente mi è stato di nuovo chiesto se si possa parlare di "hacking etico".

Spesso si legge che qualche presunto “hacker etico” si intrufoli da qualche parte… Ma il suo scopo è nobile: dimostrare quanto siano vulnerabili i meccanismi di sicurezza che dovrebbero proteggere la "rete delle reti", lanciando una campagna volta ad alzare gli standard di sicurezza.

Le norme del D.Lgs. n.196/2003:

TITOLO II - TRATTAMENTI DA PARTE DI FORZE DI POLIZIA

CAPO I - PROFILI GENERALI
Art. 53   Ambito applicativo e titolari dei trattamenti
Art. 54   Modalità di trattamento e flussi di dati
Art. 55   Particolari tecnologie
Art. 56   Tutela dell’interessato
Art. 57   Disposizioni di attuazione

Nello specifico:

Art. 53. Ambito applicativo e titolari dei trattamenti?

1.  Al  trattamento  di dati personali effettuato dal Centro elaborazione  dati  del Dipartimento di pubblica sicurezza o da  forze di polizia sui dati destinati a confluirvi in base alla  legge,  ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalità di tutela dell’ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei  reati,  effettuati  in base ad espressa disposizione di legge  che  preveda specificamente  il  trattamento, non si applicano le seguenti disposizioni del codice:
a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a 151.
[...omissis...]

Ora, NON E’ escluso l’art.15 del D.Lgs. n.196/2003. Ne  dovrebbe  conseguire  che in caso di palese “errore”  o incompetenza dello specifico organo il medesimo risponda civilisticamente ex  art.2050.

Un esempio: pensiamo solamente a cosa potrebbe succedere se, in sede di indagini informatico-telematiche, l’orologio del soggetto investigatore non fosse correttamente settato?

In questa breve analisi cercherò di porre in evidenza le connessioni tra le violazioni di una normativa di origine contrattuale (lo standard PCI DSS, appunto) e le possibili e conseguenti violazioni delle norme di legge indicate nel titolo dell’articolo.

Come è possibile rilevare dall’analisi del sito dedicato al PCI – DSS si tratta di uno standard messo a punto dai principali attori dei pagamenti on line, al fine di ridurre quanto più possibile quelle che comunemente vengono indicate come “frodi”, anche se giuridicamente non sempre rientrano nel concetto di “truffa” ex art.640 c.p. oppure di “frode informatica” ex art.640-ter c.p.