Home Legale Sicurezza Informatica Breve analisi delle relazioni tra lo standard PCI DSS e l’applicazione del D.Lgs n.231/2001 e del D.Lgs. n.196/2003

In evidenza

I riflettori della Fiera del Levante si accendono su SMAU Bari 2012

I riflettori della Fiera del Levante si accendono su SMAU Bari 2012

Dal 15 al 16 febbraio nel Nuovo Padiglione della Fiera del Levante, la quarta edizione di Smau sarà dedicata ...
Leggi tutto...
TecnoWorkshop Lucca2011

TecnoWorkshop Lucca2011

Finalmente, e dopo un po' di peripezie siamo riusciti ad organizzare il primo TecnoWorkshop del nostro...
Leggi tutto...
Società Italiana dei Professionisti delle Scienze dell'Informazione

Società Italiana dei Professionisti delle Scienze dell'Informazione

La Società Italiana dei Professionisti delle Scienze dell'Informazione (acronimo SIPSI) è una associazione...
Leggi tutto...
Testata Giornalistica

Testata Giornalistica

Il portale Professionisti e Consulenti ICT - Italia è ora una testata giornalistica a tutti gli effetti...
Leggi tutto...

Bandi di Concorso

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

Istruttore informatico L.68/1999 al Comune di Potenza

Concorso pubblico, per esami, per la copertura di n. 2 posti di Istruttore Informatico, categoria C, posizione economica C1, a tempo pieno e indeterminato, con riserva assoluta alle categorie dilavoratori di cui all'art. 1 della legge n. 68/1999 (norme per...

21 Gen 2012 - Letture:71

Senior Business Consultant presso Lombardia Informatica

Selezione per figura Senior Business Consultant presso Lombardia Informatica. Il collaboratore dovrà fornire consulenza strategica e di business sulle tematiche verticali della Socio-Sanità. Requisiti di ammissione: Laurea in Ingegneria, Economia e Commercio o Scienze dell’Informazione; Percorsi di formazione professionale in ambito sanitario e socio-sanitario, su...

11 Gen 2012 - Letture:130

Bando progetto TAG (Toscana Area Giovani) per giovani talenti digitali

UPI Toscana ha indetto un avviso pubblico per la selezione di 20 giovani (2 per ciascuna delle 10 province della Toscana), da impiegare come formatori all'interno del Progetto TAG (Toscana Area Giovani). Il bando è finalizzato a valorizzare al meglio i...

03 Gen 2012 - Letture:136

Avviso pubblico per giovani dottori di ricerca per Uffici di Gabinetto

Avviso pubblico per il conferimento di n. 6 incarichi presso gli Uffici di diretta collaborazione del Ministro dell'istruzione dell'università e della ricerca, per soggetti estranei alla pubblica amministrazione. Ambiti di esperienza e Aree di competenza: Nuovi Media: nuove forma di comunicazione tra...

02 Gen 2012 - Letture:96

Database Administrator in the Information Technology (IT) Department at CERN

E' aperta una posizione nel gruppo di lavoro che fornisce servizi Database e Middleware al CERN, un'organizzazione internazionale che fa fisica delle particelle di stanza a Ginevra, Svizzera. Direttamente dal sito del bando si legge: as Database Administrator in the Database...

12 Dic 2011 - Letture:145

Posto per collaboratore tecnico CROB a Rionero in Vulture (PZ)

Indetto pubblico concorso, per titoli ed esami, per la copertura di un posto di collaboratore tecnico professionale esperto - Ingegnere - Cat. DS presso il centro di riferimento oncologico della Basilicata in Rionero in Vulture (PZ).

22 Nov 2011 - Letture:239

Concorso per operatore tecnico-amministrativo presso l'Autorità Portuale di Cata…

Indetta una pubblica selezione concorsuale per titoli a  n. 1 posto per l'accesso, a tempo indeterminato, nella  Pianta Organica dell'Autorità Portuale di Catania di Operatore esecutivo polifunzionale di settore tecnico/amministrativo, con  inquadramento livello 5° del CCNL dei Lavoratori dei Porti.

21 Nov 2011 - Letture:157

I più attivi

Dati e punteggi dell'ultimo anno

Giovanna Casamassima Giovanna Casamassima
46 articoli
11,974 punti totali
Rodolfo Giometti Rodolfo Giometti
47 articoli
7,548 punti totali
Vittorio D'Aversa Vittorio D'Aversa
33 articoli
2,872 punti totali
Fabio Bronzini Fabio Bronzini
13 articoli
0,654 punti totali
Fulvio Lucchetti Fulvio Lucchetti
11 articoli
0,539 punti totali

Ci hanno visitato

Oggi:1692
Ieri:2464
Totali (14/04/09):911102

I nostri numeri

Articoli pubblicati: 518
Iscritti al portale: 667
Iscritti all'Elenco: 175
Iscritti ML Discussioni: 331
Iscritti ML Articoli: 28
Iscritti ML Lavoro: 165
 

Raw2Fs e Scripts4CF scripts and tools...

Raw2FS, acronimo che serve ad indicare lo scopo di questo mio nuovo bash scrip...

In principio era libero (Parte I)

Secondo un popolare “fattoide”, in ogni popolazione esiste circa l'1% delle pe...

In arrivo la nuova norma per l'installazione di impianti e terminali di telecomunicazioni

Dopo un breve iter iniziato a Luglio 20101 il 26 Ottobre dello stesso anno il D....

Il titolare si è mai domandato se è veramente in «regola»?

Molto molto spesso, durante la mia esperienza professionale sia di consulente si...

Problematiche di accertamento giudiziale dei reati informatici

Le nuove manifestazioni di condotte giuridicamente rilevanti, connesse alla diff...

L'articolo 57 c.p. e il direttore di testata telematica (Nota a Corte di Cassazione n. 3551/2010)

La Corte di Cassazione, sezione V penale, con sentenza n. 3551/2010, ha posto un...

Territorialità ed Internet: alcune riflessioni

In questo breve articolo esaminerò brevemente uno degli aspetti spesso più sotto...

Utilizzare il telefono aziendale per scopi personali non è peculato

  Qualche breve annotazione, la sentenza è riportata per esteso qui di seguito....

P.E.C.: certezza del mittente e riservatezza della comunicazione sono cose diverse

Parto dal presupposto che in linea di massima i lettori conoscano cosa sia la P....

L'ascolto o la registrazione di conversazioni alle quali si è presenti NON è reato!

Di recente è intervenuta una sentenza la Cassazione (Cass. penale 08/03/2...

In principio era libero (Parte III)

Come si afferma nella parte II di questo articolo, quanto descritto somiglia v...

Art. 15 D.Lgs. n.196/2003: applicabilità ai trattamenti effettuati in sede di indagini investigative

Le norme del D.Lgs. n.196/2003: TITOLO II - TRATTAMENTI DA PARTE DI FORZE DI PO...

Serve una regolamentazione del ruolo di informatico?

E’ sotto l’occhio di tutti quanto l’innovazione tecnologica abbia profondamente...

Sprint finale per il wi-fi libero in Italia?

Come spesso accade, da un estremo all’altro... Si parla di abolire totalmen...

Il Webmaster: chi era costui?

Partendo proprio dal titolo, volutamente provocatorio, io ritengo che prima di t...

Adeguamento normative Garante della Privacy

Si avvicina il termine di adeguamento alle normative del Garante della Privacy f...

In Italia non può esistere un hacker "buono"

Torno su un vecchio discorso... visto che recentemente mi è stato di nuovo chies...

Disastro ICT: possiamo rimediare?

Chi è il professionista ICT? Cosa fa? Come si forma? Come si può definire? Ecc...

Sofware senza licenza e professionisti

Con sentenza del dicembre dello scorso anno (n. 49385) la Cassazione ha stabilit...

Il professionista ICT

La comune idea ed accezione di professionista ICT è alquanto vasta ed elastica ...

Si può veramente parlare di irresponsabilità dei motori di ricerca?

Prima di parlare dell'aspetto strettamente giuridico, ritengo opportuno riportar...

Gli aspetti legali del WEB 3.0

Ho appena terminato di leggere un articolo scritto da una persona che ho avuto m...

Come produciamo in giudizio un documento informatico?

La domanda nasce come al solito da varie discussioni, e forse è davvero il caso ...

Foremost ed i suoi segreti...

Molti di voi sapranno cos'è Foremost, il più famoso "carver" nell'ambito del r...

Il giurista ed internet

Esporrò qui di seguito alcune considerazioni sul ruolo e sulle interconnessioni ...

Installare da soli un router sarà illegale?

Un chiaro modo di scrivere con i piedi le norme... DECRETO LEGISLATIVO: Attuazio...

Nuove regole e un giusto riconoscimento alla progettualità!

Palermo: giornata di studio sugli scenari professionali degli Ingegneri dell’Inf...

In principio era libero (Parte II)

Ci sono ormai decine di migliaia di articoli (e molti meno libri) su come Rich...

Scandalo: Amazon vende "La guida del pedofilo all'amore e al piacere"

Come molti avranno letto, è bufera su Amazon che offre a 4,79 dollari "La guida ...

Internet? Un diritto fondamentale. Lo stabilisce il Codice

In questi giorni si fa un gran parlare delle varie prese di posizione di persona...

DDL intercettazioni. Blog salvi e bavaglio alle testate telematiche. Perché?

Il Sole 24 Ore di oggi: DIALOGO IN SALITA - Carcere da sei mesi a tre anni per ...

Breve analisi delle relazioni tra lo standard PCI DSS e l’applicazione del D.Lgs n.231/2001 e del D.…

In questa breve analisi cercherò di porre in evidenza le connessioni tra le viol...

PEC e sicurezza

Da poco è scaduto il termine entro il quale i professionisti iscritti in albi (a...

I portali: come si configurano da un punto di vista giuridico?

Questa volta mi piacerebbe accennare ad alcuni punti fondamentali delle termin...

ICT e sicurezza della persona: è necessario regolamentare le figure professionali ICT

Lo sviluppo delle tecnologie dell’informazione ha consentito la produzione di be...

Nuova firma digitale dal Ministero della Giustizia

E' stato pubblicato pochi giorni fa il decreto del Ministero della Giustizia n.4...

Ottenere soldi dagli spammer???

Solamente qualche riflessione... Probabilmente la notizia è già stata pubblicat...

Posta elettronica certificata:una realtà anche per il cittadino?

La Posta elettronica certificata diventa una realtà anche per il cittadino. Il 2...

Attenzione al video hot di Belen Rodriguez!

Oramai il dvd con il video hot è su tutte le bancarelle d'Italia e non solo a ...

Cenni di aspetti sostanziali del diritto delle nuove tecnologie

La diffusione dell'informatica e della telematica ha posto lo studioso del dirit...

Il contratto di comodato hardware gratuito

Il comodato è ex art. 1803 del c.c. “il contratto con il quale una parte (comoda...

Facebook vietato alla Regione Lazio... ma la circolare non è lo strumento adatto

"Lazio: Facebook vietato ai dipendenti regionali". Queste sono le notizie che i...

Il nuovo servizio invent with Nokia: luci ed ombre

Da poco è stato lanciato il nuovo servizio invent with Nokia che apre a tutti no...

Facebook e clausole contrattuali

Premetto che le mie osservazioni saranno basate esclusivamente sugli aspetti giu...

Selective File Dumper - tool Made in Italy

Tratto d Wikipedia: http://it.wikipedia.org/wiki/Sfdumper Selective File Dumper...

Commento alla sentenza della Cassazione sulla responsabilità penale del direttore responsabile di pe…

Con sentenza n. 44126 del 28 ottobre 2011 (depositata il 29 novembre 2011) la Co...

Visionare materiale pedopornografico è reato?

Un dibattito che si svolge spesso nelle aule di Tribunale e suscita interesse fr...

«Furto di documento informatico» oppure «Violazione delle norme sul Diritto d'Autore»?

Fattispecie in ordine all'acquisizione di un intero sito web da parte di sogg...

Mediazione Civile: l'assistente di parte

E' di queste settimane l'entrata in vigore della figura del Mediatore Civile e C...

Il pedinamento via GPS? Non è un'intercettazione

Dalla Banca Dati Sole 24 Ore: Anche a questa sentenza è stato in linea di mas...

Google indagata per Street View?

Secondo quanto è possibile apprendere in rete, la società americana sarebbe inda...

I link ai siti: non esageriamo ma… non tutto è vietato!

Partiamo da un principio:  seppur possa essere auspicabile una sorta di net...

In principio era libero (Appendici)

Esiste una pletora di licenze, ma in questa sede distinguerò solo fra quelle f...

BSFE.sh (Bash Script Forensic Environment)

Recentemente mi è capitato di lavorare su un’attività nella quale non veniva ric...

Wikileaks e diritto italiano

Cosa rischierebbe nel nostro paese un soggetto che si sia procurato - secondo le...

La PEC in tribunale: ecco come

La PEC ha valore di raccomandata RR, ma come si procede quando la si d...

Social network e spamming?

Una domanda che ritengo pochi si saranno posti... Se si è iscritti ad un social...

The Sleuthkit: mini guida veloce

Spesso accade di dimenticare tutte le potenzialità ed i tools di Sleuthkit, quin...

Nuova tassa SIAE o Equo Compenso ?

Ebbene si, ci siamo arrivati prima o poi. A dire il vero ce lo aspettavamo. Nel ...
Breve analisi delle relazioni tra lo standard PCI DSS e l’applicazione del D.Lgs n.231/2001 e del D.Lgs. n.196/2003 Stampa E-mail
(2 voti, media 5.00 di 5)
Area Legale - Sicurezza Informatica
Scritto da Luca-Maria de Grazia   
Mercoledì 17 Febbraio 2010 18:23
Articolo letto 1161 volte
Tag:

In questa breve analisi cercherò di porre in evidenza le connessioni tra le violazioni di una normativa di origine contrattuale (lo standard PCI DSS, appunto) e le possibili e conseguenti violazioni delle norme di legge indicate nel titolo dell’articolo.

Come è possibile rilevare dall’analisi del sito dedicato al PCI – DSS si tratta di uno standard messo a punto dai principali attori dei pagamenti on line, al fine di ridurre quanto più possibile quelle che comunemente vengono indicate come “frodi”, anche se giuridicamente non sempre rientrano nel concetto di “truffa” ex art.640 c.p. oppure di “frode informatica” ex art.640-ter c.p.

A questo punto probabilmente giova ricordare le strette interrelazioni tra l’applicazione del D.Lgs n.231/2001 (responsabilità amministrativa della persone giuridiche) e del D.Lgs. n.196/2003 (trattamento dei dati personali), troppo spesso dimenticata nella applicazione pratica delle citate normative.

Infatti, prima di tutto, occorre comprendere come il D.Lgs n.231/2001 ed i conseguenti “modelli organizzativi” siano espressamente creati per rispettare SOLAMENTE quanto disposto dal D.Lgs n.231/2001; pertanto, ovviamente, non appare adeguato per essere adottato senza modifiche per quanto concerne il rispetto di quanto disposto dal D.Lgs.196/2003.

Giova in questo senso rammentare che i controlli imposti dal D.Lgs n.231/2001 sono – sostanzialmente – controlli di “processo”, mentre, purtroppo, i controlli previsti dal D.Lgs n.196/2003, avendo come unità di base il “dato personale”, non possono limitarsi al rispetto del solo processo, ma devono, per così dire, scendere molto più in profondità.

Occorre rilevare come la normativa in materia di trattamento dei dati personali (la c.d. “privacy” è infatti solamente un aspetto riflesso della più ampia accezione di trattamento dei dati personali) sia estremamente invasiva e trasversale ad ogni attività compiuta da qualunque soggetto, il che porta come conseguenza sia sul piano logico sia su quello strettamente giuridico che tutto ciò che concerne il trattamento dei dati personali debba costituire lo “strato” omogeneizzante tutti i processi aziendali, che poi troveranno nel rispetto e nel coordinamento con le altre normative specifiche la soluzione ideale affinché il soggetto possa raggiungere, sostanzialmente, i seguenti obiettivi:

  1. Pieno rispetto delle normative esistenti in materia di trattamento dei dati personali (D.Lgs 196/2003).
  2. Pieno rispetto delle normative esistenti in materia di “diligenza dovuta” (D.Lgs n.231/2001).
  3. Pieno rispetto delle normative esistenti in materia di prevenzione e repressione dei reati c.d. “informatici” (da art. 615-ter ad art.615-quinquies c.p., da art. 617-quater ad art. 617-sexies c.p., art.640-ter c.p, art.420 c.p., art.616 c.p.), ora tutti rientrati espressamente nell’ambito di applicazione del D.Lgs n.231/2001.
  4. Pieno rispetto delle normative esistenti in materia giuslavoristica.

Ora, spesso si lamenta da parte delle aziende la mancanza di un canovaccio, di un brogliaccio sul quale lavorare (spesso per pigrizia mentale) e ci si limita a cercare di seguire pedissequamente alcuni modelli e/o fac-simili proposti anche dalle Autorità competenti.

In questo senso gli standard relativi alla sicurezza informatica, nelle varie sfaccettature esistenti, possono essere di valido aiuto per il rispetto della normativa esistente; in pratica, a mio sommesso parere, per esempio, l’applicazione della normativa ISO:27001-2005 sulla sicurezza informatica (ex BS-7799) non solo non è un “plus” rispetto alla esatta applicazione del D.Lgs. n.196/2003, ma dovrebbe costituire lo “schema portante” per la progettazione ed il controllo delle normative in materia (previo adattamento di alcune peculiarità della normativa, nata in ambiente di “common law”, alla struttura giuridica dei paesi di “civil law” come il nostro).

Seguendo il medesimo criterio, lo standard PCI DSS potrebbe essere un valido aiuto per la corretta applicazione del D.Lgs n.231/2001 – che, per inciso, attualmente vede la propria applicazione più di ottanta ipotesi di reato, suddivise nelle seguenti categorie:

  1. Truffa, Peculato, Malversazione, Ecc. (reati Contro Stato).
  2. Falsificazione Monete, Bolli, Ecc.
  3. Reati Societari: False Comunicazioni, Aggiottaggio, Ecc.
  4. Terrorismo.
  5. Mutilazioni, Schiavitù.
  6. Pedo-pornografia, Ecc.
  7. Abuso Informazioni Previlegiate, Manipolazione Mercato, Ecc.
  8. Omicidio Colposo, Lesioni Personali Colpose (sicurezza Sul Lavoro).
  9. Ricettazione, Riciclaggio.
  10. Reati Transnazionali: Ricettazione, Riciclaggio, Ecc. Ecc.
  11. Reati associativi di matrice mafiosa.
  12. Reati Informatici.
  13. Violazioni del diritto d’autore.
  14. Violazioni in materia di marchi, segni distintivi.
  15. Violazioni in materia turbativa dell’industria e del commercio: turbata libertà dell'industria o del commercio, Illecita concorrenza con minaccia o violenza, Frodi contro le industrie nazionali, Frode nell'esercizio del commercio, Vendita di sostanze alimentari non genuine come genuine, Vendita di prodotti industriali con segni mendaci, Fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale, Contraffazione di indicazioni geografiche o denominazioni di origine dei prodotti agro alimentari.

Infatti, applicando i questionari di autovalutazione proposti dallo Standard in questione, da una parte ci si può accorgere dell’eventuale “GAP” tra quella che sarebbe la situazione ottimale (dovuta per legge) e quella che può essere riscontrata (e conseguentemente operare per eliminare tale “gap”), ed applicando i medesimi concetti ai flussi di informazioni propri del D.Lgs n.231/2001, si potrebbe:

  1. Fotografare la situazione esistente.
  2. Evidenziare i gap esistenti.
  3. Procedere per eliminare tali gap.
  4. Analizzare nel tempo i progressi effettuati (raffrontando le diverse “snapshot” della situazione).

Troppo spesso, infatti, ci si dimentica che la c.d. “sicurezza informatica” prima di tutto è forte tanto quanto è forte l’anello più debole della catena, per cui:

  • da un punto di vista sia concettuale, sia legale, è molto meglio operare per “aumentare” la sicurezza complessiva della catena piuttosto che avere una situazione di sicurezza a “macchia di leopardo”, ovvero con zone iper sicure ed altre molto al di sotto di standard minimi e riconosciuti;
  • la “sicurezza informatica” coinvolge numerosi “attori” del processo, non tutti sotto il diretto controllo dell’impresa, per cui occorre porre molta attenzione anche alla parte contrattuale, per la quale attraverso una serie di S.L.A. si dovrà pervenire da una parte ad un controllo / garanzia vicino alla perfezione del processo di trattamento dei dati e delle informazioni (ecco qui che ritorna il D.Lgs. n.196/2003) e dall’altra parte occorrerà non ingessare il procedimento nel complesso, onde evitare di inserire anche nei rapporti tra privati quella “burocrazia” della quale tanto ci si lamenta nei confronti dei soggetti pubblici.

E’ appena il caso di notare come la circostanza che siano stati inseriti praticamente tutti i reati informatici previsti dal Codice Penale nell’ambito della responsabilità amministrativa, in unione con quanto previsto dall’art.8 del D.Lgs n.231/2001 (ove non venga individuato il materiale esecutore del reato rimane responsabile l’impresa), a quanto previsto dal D.Lgs. n.196/2003, e non ultimo a quanto comunque prevede la Legge n.300/1970 (il c.d. Statuto dei Lavoratori), non possa portare che ad una soluzione: la materia deve essere esaminata e compresa nel complesso, non può essere affidata a più soggetti, perché solamente con una applicazione coordinata e corretta delle normative appena menzionate si potranno raggiungere gli obiettivi in precedenza indicati, ovvero contemporanea “compliance” con gli standard ai quali si è aderito e, soprattutto direi, prevenzione delle pesanti conseguenze connesse alla non corretta applicazione delle normative appena menzionate.

Articoli correlati

< Prec.
 

Aggiungi commento

Prima di pubblicare un tuo commento assicurati che:

  • sia in tema e contribuisca alla discussione in corso.

  • non abbia contenuto razzista o sessista.

  • non sia offensivo, calunnioso o diffamante.


La redazione con i controlli a campione si riserva di cancellare qualsiasi contenuto ingiurioso, volgare o illegale.


Nota bene: se non sei registrato il tuo commento verrà moderato e quindi non pubblicato immediatamente. Se, invece, sei registrato al portale e hai fatto login verrà visualizzato subito.


Codice di sicurezza
Aggiorna

  

In primo piano

Simons Voss: un mondo senza chiavi

Simons Voss: un mondo senza chiavi

Il sistema di gestione e di controllo degli accessi 3060 si presenta come un’alternativa con enormi vantaggi...
Leggi tutto...
Pubblicità mirata dei prodotti

Pubblicità mirata dei prodotti

Hai un prodotto o un servizio da pubblicizzare? Fallo su consulenti-ict.it! Pubblicizzare un prodotto...
Leggi tutto...
Recensioni sul Portale

Recensioni sul Portale

Hai un prodotto hardware/software o un libro riguardante uno dei temi dell'ICT? Vuoi farlo conoscere...
Leggi tutto...

Ultime dal Forum

Visualizza Topic »

Eventi

Non ci sono eventi in programma
«
<
Febbraio 2012
>
»
D L M M G V S
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 1 2 3
«
<
Marzo 2012
>
»
D L M M G V S
26 27 28 29 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

Sondaggi

busyCaricamento Sondaggio...

Ultimi Commenti

Ultime modifiche