Home Area Legale Sicurezza Informatica Breve analisi delle relazioni tra lo standard PCI DSS e l’applicazione del D.Lgs n.231/2001 e del D.Lgs. n.196/2003

Donazioni

Ti è piaciuto questo articolo? Fai una donazione di all'autore affinché ne scriva altri!
[suggerimento: offri 1€ o 2€ - PayPal trattiene circa 0.40€]

Servizi

Elenco dei Professionisti e Consulenti ICT
L'avvocato risponde
Libri Consigliati
Cerco e Offro Lavoro ICT

Sponsor

GALLACCI.COM

I più attivi

Dati e punteggi dell'ultimo anno

Rodolfo Giometti Rodolfo Giometti
122 articoli
32.139 punti totali
Calogero Bonasia Calogero Bonasia
86 articoli
12.977 punti totali
Giovanna Casamassima Giovanna Casamassima
15 articoli
0.722 punti totali
Nanni Bassetti Nanni Bassetti
15 articoli
0.498 punti totali
Luigi Carbone Luigi Carbone
7 articoli
0.196 punti totali

I più votati

  1. Rodolfo Giometti
    - 100%
  2. Calogero Bonasia
    - 100%
  3. Luigi Carbone
    - 100%
  4. Nanni Bassetti
    - 100%

Web Partner

CFI - Computer Forensics Italy
Better Software 2010
Area Networking
ILIT match 2010
TechnologyBIZ
WorkCity
spiare.com

Ci hanno visitato

Oggi:409
Ieri:1060
Totali (14/04/09):186667

I nostri numeri

Articoli pubblicati: 333
Iscritti al portale: 256
Iscritti all'Elenco: 124
Iscritti ML Discussioni: 221
Iscritti ML Articoli: 15
Iscritti ML Lavoro: 105
Breve analisi delle relazioni tra lo standard PCI DSS e l’applicazione del D.Lgs n.231/2001 e del D.Lgs. n.196/2003 Stampa E-mail
(2 voti, media 5.00 di 5)
Area Legale - Sicurezza Informatica
Scritto da Luca-Maria de Grazia   
Tags:

In questa breve analisi cercherò di porre in evidenza le connessioni tra le violazioni di una normativa di origine contrattuale (lo standard PCI DSS, appunto) e le possibili e conseguenti violazioni delle norme di legge indicate nel titolo dell’articolo.

Come è possibile rilevare dall’analisi del sito dedicato al PCI – DSS si tratta di uno standard messo a punto dai principali attori dei pagamenti on line, al fine di ridurre quanto più possibile quelle che comunemente vengono indicate come “frodi”, anche se giuridicamente non sempre rientrano nel concetto di “truffa” ex art.640 c.p. oppure di “frode informatica” ex art.640-ter c.p.

A questo punto probabilmente giova ricordare le strette interrelazioni tra l’applicazione del D.Lgs n.231/2001 (responsabilità amministrativa della persone giuridiche) e del D.Lgs. n.196/2003 (trattamento dei dati personali), troppo spesso dimenticata nella applicazione pratica delle citate normative.

Infatti, prima di tutto, occorre comprendere come il D.Lgs n.231/2001 ed i conseguenti “modelli organizzativi” siano espressamente creati per rispettare SOLAMENTE quanto disposto dal D.Lgs n.231/2001; pertanto, ovviamente, non appare adeguato per essere adottato senza modifiche per quanto concerne il rispetto di quanto disposto dal D.Lgs.196/2003.

Giova in questo senso rammentare che i controlli imposti dal D.Lgs n.231/2001 sono – sostanzialmente – controlli di “processo”, mentre, purtroppo, i controlli previsti dal D.Lgs n.196/2003, avendo come unità di base il “dato personale”, non possono limitarsi al rispetto del solo processo, ma devono, per così dire, scendere molto più in profondità.

Occorre rilevare come la normativa in materia di trattamento dei dati personali (la c.d. “privacy” è infatti solamente un aspetto riflesso della più ampia accezione di trattamento dei dati personali) sia estremamente invasiva e trasversale ad ogni attività compiuta da qualunque soggetto, il che porta come conseguenza sia sul piano logico sia su quello strettamente giuridico che tutto ciò che concerne il trattamento dei dati personali debba costituire lo “strato” omogeneizzante tutti i processi aziendali, che poi troveranno nel rispetto e nel coordinamento con le altre normative specifiche la soluzione ideale affinché il soggetto possa raggiungere, sostanzialmente, i seguenti obiettivi:

  1. Pieno rispetto delle normative esistenti in materia di trattamento dei dati personali (D.Lgs 196/2003).
  2. Pieno rispetto delle normative esistenti in materia di “diligenza dovuta” (D.Lgs n.231/2001).
  3. Pieno rispetto delle normative esistenti in materia di prevenzione e repressione dei reati c.d. “informatici” (da art. 615-ter ad art.615-quinquies c.p., da art. 617-quater ad art. 617-sexies c.p., art.640-ter c.p, art.420 c.p., art.616 c.p.), ora tutti rientrati espressamente nell’ambito di applicazione del D.Lgs n.231/2001.
  4. Pieno rispetto delle normative esistenti in materia giuslavoristica.

Ora, spesso si lamenta da parte delle aziende la mancanza di un canovaccio, di un brogliaccio sul quale lavorare (spesso per pigrizia mentale) e ci si limita a cercare di seguire pedissequamente alcuni modelli e/o fac-simili proposti anche dalle Autorità competenti.

In questo senso gli standard relativi alla sicurezza informatica, nelle varie sfaccettature esistenti, possono essere di valido aiuto per il rispetto della normativa esistente; in pratica, a mio sommesso parere, per esempio, l’applicazione della normativa ISO:27001-2005 sulla sicurezza informatica (ex BS-7799) non solo non è un “plus” rispetto alla esatta applicazione del D.Lgs. n.196/2003, ma dovrebbe costituire lo “schema portante” per la progettazione ed il controllo delle normative in materia (previo adattamento di alcune peculiarità della normativa, nata in ambiente di “common law”, alla struttura giuridica dei paesi di “civil law” come il nostro).

Seguendo il medesimo criterio, lo standard PCI DSS potrebbe essere un valido aiuto per la corretta applicazione del D.Lgs n.231/2001 – che, per inciso, attualmente vede la propria applicazione più di ottanta ipotesi di reato, suddivise nelle seguenti categorie:

  1. Truffa, Peculato, Malversazione, Ecc. (reati Contro Stato).
  2. Falsificazione Monete, Bolli, Ecc.
  3. Reati Societari: False Comunicazioni, Aggiottaggio, Ecc.
  4. Terrorismo.
  5. Mutilazioni, Schiavitù.
  6. Pedo-pornografia, Ecc.
  7. Abuso Informazioni Previlegiate, Manipolazione Mercato, Ecc.
  8. Omicidio Colposo, Lesioni Personali Colpose (sicurezza Sul Lavoro).
  9. Ricettazione, Riciclaggio.
  10. Reati Transnazionali: Ricettazione, Riciclaggio, Ecc. Ecc.
  11. Reati associativi di matrice mafiosa.
  12. Reati Informatici.
  13. Violazioni del diritto d’autore.
  14. Violazioni in materia di marchi, segni distintivi.
  15. Violazioni in materia turbativa dell’industria e del commercio: turbata libertà dell'industria o del commercio, Illecita concorrenza con minaccia o violenza, Frodi contro le industrie nazionali, Frode nell'esercizio del commercio, Vendita di sostanze alimentari non genuine come genuine, Vendita di prodotti industriali con segni mendaci, Fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale, Contraffazione di indicazioni geografiche o denominazioni di origine dei prodotti agro alimentari.

Infatti, applicando i questionari di autovalutazione proposti dallo Standard in questione, da una parte ci si può accorgere dell’eventuale “GAP” tra quella che sarebbe la situazione ottimale (dovuta per legge) e quella che può essere riscontrata (e conseguentemente operare per eliminare tale “gap”), ed applicando i medesimi concetti ai flussi di informazioni propri del D.Lgs n.231/2001, si potrebbe:

  1. Fotografare la situazione esistente.
  2. Evidenziare i gap esistenti.
  3. Procedere per eliminare tali gap.
  4. Analizzare nel tempo i progressi effettuati (raffrontando le diverse “snapshot” della situazione).

Troppo spesso, infatti, ci si dimentica che la c.d. “sicurezza informatica” prima di tutto è forte tanto quanto è forte l’anello più debole della catena, per cui:

  • da un punto di vista sia concettuale, sia legale, è molto meglio operare per “aumentare” la sicurezza complessiva della catena piuttosto che avere una situazione di sicurezza a “macchia di leopardo”, ovvero con zone iper sicure ed altre molto al di sotto di standard minimi e riconosciuti;
  • la “sicurezza informatica” coinvolge numerosi “attori” del processo, non tutti sotto il diretto controllo dell’impresa, per cui occorre porre molta attenzione anche alla parte contrattuale, per la quale attraverso una serie di S.L.A. si dovrà pervenire da una parte ad un controllo / garanzia vicino alla perfezione del processo di trattamento dei dati e delle informazioni (ecco qui che ritorna il D.Lgs. n.196/2003) e dall’altra parte occorrerà non ingessare il procedimento nel complesso, onde evitare di inserire anche nei rapporti tra privati quella “burocrazia” della quale tanto ci si lamenta nei confronti dei soggetti pubblici.

E’ appena il caso di notare come la circostanza che siano stati inseriti praticamente tutti i reati informatici previsti dal Codice Penale nell’ambito della responsabilità amministrativa, in unione con quanto previsto dall’art.8 del D.Lgs n.231/2001 (ove non venga individuato il materiale esecutore del reato rimane responsabile l’impresa), a quanto previsto dal D.Lgs. n.196/2003, e non ultimo a quanto comunque prevede la Legge n.300/1970 (il c.d. Statuto dei Lavoratori), non possa portare che ad una soluzione: la materia deve essere esaminata e compresa nel complesso, non può essere affidata a più soggetti, perché solamente con una applicazione coordinata e corretta delle normative appena menzionate si potranno raggiungere gli obiettivi in precedenza indicati, ovvero contemporanea “compliance” con gli standard ai quali si è aderito e, soprattutto direi, prevenzione delle pesanti conseguenze connesse alla non corretta applicazione delle normative appena menzionate.

< Prec.
 

Aggiungi commento


Codice di sicurezza
Aggiorna

  

PageRank Checking Icon

«
<
Settembre 2010
>
»
D L M M G V S
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 1 2

Tag più usati

Sondaggi

busyCaricamento Sondaggio...

Ultime FAQ legali

Ultimi Commenti

Ultime modifiche