La sicurezza informatica Competenze Sviluppare applicazioni informatiche per reti locali o servizi a distanza. Gestire progetti secondo le procedure e gli standard previsti dai sistemi aziendali di gestione della qualità e della sicurezza. Conoscenze Normative di settore nazionale e comunitaria sulla sicurezza. Problematiche sulla sicurezza informatica. La crittografia. Abilità Applicare le normative di settore sulla sicurezza. Salvaguardare un sistema dai virus. Prerequisiti Realizzare applicazioni in rete. Saper progettare e realizzare sistemi informativi. Accertamento dei prerequisiti 1 Che differenza c’è tra dato e informazione? 2 ICT vuol dire: a Informatica & Computer Tecnologici b Information & Communication Tecnologies c Information, & Computer Transmission d Information & Communication Transmission 3 Indica in quali situazioni è più efficiente un computer (C) e in quali l’uomo (U). a Attività ripetitive b Scrivere una poesia c Calcolare la distanza dalla terra alla luna d Controllare i biglietti di ingresso a un museo e Progettare una casa 4 Nei sistemi peer-to-peer... a vi può essere un solo server 251-272_U14.indd 251 b vi è un client e più server c ogni nodo è sia client sia server d vi può essere un solo client 5 Quali di questi è un indirizzo errato? a www.brown.uk b www.setup.pip c www.comune.torino.it d comp.scuola.it 6 Quale di questi non è protocollo di Internet? a HTTP b PTHP c SMTP d HTML 7 Quali sono le parti di cui si compone una pagina HTML? 10/02/12 19.50 14 UNITÀ lezione 1 Dal problema al programma. La sicurezza Come programmare ● Gestione rischi Uno dei principali problemi dei sistemi informatici è la sicurezza nel tempo delle apparecchiature hardware, dei programmi e dei dati. Uno degli aspetti più controversi è quello della stima della probabilità del verificarsi di un pericolo, del costo della sua prevenzione e del costo dei danni che potrebbe procurare (esposizione). Dal punto di vista economico bisogna riuscire a formulare un piano che riduca il costo e il rischio di esposizione. È importante quindi classificare i tipi di rischi a cui i sistemi possono essere soggetti. Le misure da adottare si possono classificare in due categorie: • riguardanti la sicurezza fisica del sistema basata sul controllo dell’ambiente; • riguardanti la sicurezza dei dati e dei programmi. ● figura 1 Controllo impronte digitali ● Sicurezza fisica I primi tipi di rischio sono quelli accidentali. Rientrano in questa casistica tutti i problemi che possono capitare al sistema per eventi non prevedibili come per esempio gli incendi, le alluvioni, i terremoti ecc. Tra questi il rischio di incendio è sicuramente il più diffuso e quindi tutti gli ambienti devono essere dotati di sistemi per la rilevazione degli incendi e di sistemi antincendio molto sofisticati. Più complesso il problema delle manomissioni e dei sabotaggi. In questo caso l’unico modo è controllare l’accesso alle aree con porte chiuse e apribili solo con particolari sistemi, meglio ancora se l’accesso è unico e sorvegliato. I sistemi più diffusi sono quelli con porte dotate di badge, semplici ed economici, ma che garantiscono una sicurezza relativa (il badge può essere rubato e utilizzato da altri). Più sicuri sono i sistemi con accesso tramite controllo delle impronte digitali che richiedono meccanismi più sofisticati (figura 1). Sicurezza dati e programmi Anche per quanto riguarda la sicurezza dei dati si può fare una suddivisione tra danni accidentali e danni dolosi. Tra i primi, oltre a quelli dovuti a problemi sugli ambienti già visti prima, vi sono i problemi dovuti a danni alle apparecchiature, con particolare riferimento ai dischi in cui sono memorizzati dati e programmi. Tra questi il problema più frequente è la cosiddetta “aratura” del disco, cioè il fatto che la testina tocchi il disco creando un solco sullo stesso rendendo così illeggibili i dati. In questi casi anche se parte del disco risulta ancora utilizzabile (sempre che la testina sia ancora buona) è meglio cambiare completamente il disco ripristinando il contenuto dello stesso con un sistema di backup/restore. Un altro problema frequente è la caduta di tensione della corrente dovuta al malfunzionamento dell’alimentazione (fulmini, blackout). In questo caso ciò che viene danneggiata è la transazione applicativa che non può concludersi, e quindi i dati non risultano consistenti. Un primo tipo di soluzione è quella di dotare questi sistemi di gruppi di continuità, cioè particolari apparecchiature che permettono di fornire corrente all’elaboratore per un certo 2 251-272_U14.indd 252 La sicurezza © Mondadori Education 10/02/12 19.50 periodo di tempo anche a fronte di un blackout (figura 2). In questo modo la transazione può terminare regolarmente e possono essere effettuate tutte le operazioni di chiusura previste in questi casi. Se mancano queste apparecchiature vi è una soluzione a posteriori, cioè quella di creare dei file di LOG in grado di contenere tutte le operazioni fatte sino a quel momento. Il sistema è così in condizione di riportare la situazione dati a uno stato consistente. Per evitare l’uso fraudolento dei dati bisogna invece provvedere a fornire il sistema di protezioni all’accesso. Anche in questo caso possiamo avere sistemi di controllo più o meno sofisticati a seconda del livello di sicurezza che si vuole raggiungere. Poiché questi metodi possono risultare particolarmente costosi (soprattutto per elaboratori personali), si possono utilizzare metodi semplici, come la digitazione di un codice identificativo e di una password oppure si possono dotare i personal computer di lettori di badge o di riconoscitori di firma. ● figura 2 Gruppi di continuità Backup e restore I rischi di perdita dei dati sui dischi magnetici possono, in parte, essere prevenuti attraverso una corretta manutenzione degli stessi. Per risolvere questo problema sono nati sistemi appositi, che si articolano in due componenti: la funzione di backup e quella di restore. L’operazione di backup permette di copiare il contenuto dei dischi magnetici su supporti rimovibili (floppy, nastri magnetici, dischi magneto/ottici ecc.) che possono essere archiviati in luogo sicuro. Nelle grosse organizzazioni questi vengono messi in apposite casseforti a prova di acqua e di fuoco. Il restore è l’operazione inversa, quella cioè che permette di ricostruire, se necessario, il contenuto dei dischi magnetici dai supporti rimovibili preventivamente prodotti. I dati inseriti nel sistema tra un backup e l’altro verranno però perduti. ! Poiché il backup dei dischi dei grossi calcolatori può essere anche molto lungo (decine di ore), in genere si effettua quello completo solo periodicamente (per esempio nel fine settimana o ogni 15 giorni) e tutte le sere si realizza un backup incrementale, salvando cioè solo i file che sono stati modificati rispetto al backup precedente. In questo modo l’attività di salvataggio è più veloce, anche se l’eventuale ripristino risulterà più complesso e più lento. È comunque da considerare che quest’ultima operazione andrà fatta solo in casi eccezionali. Nei sistemi in cui la perdita non può essere accettata neanche a livello giornaliero (banche, aziende di produzione ecc.), si utilizzano in appoggio anche i sistemi di journaling, cioè la creazione di file (detti di LOG) in grado di registrare tutte le operazioni fatte nella giornata, così da permettere di ricostruire la situazione del sistema fino all’attimo prima del problema. Ovviamente questo file sarà registrato su un disco diverso da quello cui fa riferimento. I sistemi più moderni sono basati sul mirroring. Questi sistemi provvedono al controllo di consistenza e qualità dei dati su disco e sono in grado di spostare i dati da zone del disco che stanno gradualmente diventando inaffidabili verso zone più sicure, o su altri dischi. Avere gli stessi dati memorizzati su due dischi può risultare più costoso, ma permette a un sistema di ripartire immediatamente dopo una perdita su disco, senza aspettare il restore: basta sostituire il disco originale con il disco copia. Il controllo degli accessi La protezione contro gli accessi non autorizzati ai dati deve tenere conto della diversificazione degli utenti interessati alle informazioni. La telematica ha reso insufficiente la protezione garantita dalle barriere fisiche adottate nei sistemi tradizionali, in cui il calcolatore viene posto in una stanza chiusa, di cui solo le © Mondadori Education 251-272_U14.indd 253 Lezione 1 La sicurezza 3 Esempio di password non sicura: Giovanni 17-5-1982 AAAA Esempio di password sicura: xyK!2L3; QuR1-/kzl B!2cVz!5k persone autorizzate hanno la chiave, all’interno di un edificio controllato da rigorosi sistemi di sicurezza. Oltre a questi mezzi, che comunque vanno adottati per salvaguardare fisicamente i server, è necessario prevedere delle barriere logiche, cioè delle procedure di controllo dell’accesso ai dati e di identificazione dell’utente, in particolare di fronte alla sempre più diffusa necessità di permettere accessi remoti. ● La password è una parola d’ordine elettronica necessaria per attivare il sistema di elaborazione o consentire l’accesso a dati e applicazioni. È una delle più semplici e diffuse barriere logiche. Purtroppo è anche un sistema di controllo molto vulnerabile, perché a essa si può arrivare attraverso una serie di congetture: molti, per ricordarsi più facilmente le proprie password, le costruiscono in base alla data di nascita, al nome di un familiare o ad altre informazioni che possono essere indovinate o scoperte con relativa facilità. Se invece si è scelta una password più complessa (magari perché obbligati dai superiori o dall’azienda), spesso per paura di dimenticarla la si annota da qualche parte (su un’agenda, in qualche file del computer, o su foglietti), risultando quindi facilmente reperibile anche da altri. Va infatti ricordato che, nella maggior parte dei casi, gli accessi indesiderati avvengono dall’interno di un’azienda o di un’organizzazione: un dipendente ha molte più possibilità di procurarsi la password di un altro, a volte venendone informati direttamente da lui (anche se involontariamente) magari osservandolo mentre la digita o leggendola da qualche parte. Nel seguito forniamo alcune indicazioni che normalmente si danno su come andrebbe creata una password. • Usare almeno 8 caratteri. • Usare lettere maiuscole, minuscole, cifre numeriche e segni di interpunzione (?,!) nella stessa password. • Per ricordarla, combinare a qualche numero o carattere speciale le lettere iniziali o finali di qualche frase celebre o pensiero ricorrente; per esempio: “Quel ramo del lago di Como” potrebbe diventare 6QrDLdC3. ● Internet figura 3 Firewall 4 251-272_U14.indd 254 Password Firewall Il firewall (letteralmente “paratia tagliafuoco”) è un’altra linea di difesa contro gli intrusi di rete e consiste in particolari dispositivi che funzionano come sentinella alla porta di collegamento del computer con una rete pubblica come Internet. La sicurezza di tutta una rete aziendale connessa a Internet viene ricondotta Firewall quindi alla sicurezza di un ristrettissimo numero di nodi, molto spesso uno. Solo il nodo in questione, il firewall appunto, risulta essere direttamente colleLAN gato a Internet e particolari software di quel nodo effettuano le operazioni di controllo e verifica degli accessi (figura 3). La sicurezza © Mondadori Education 10/02/12 19.51 Così, all’esterno del firewall, l’azienda può anche disporre di una rete locale accessibile a tutti (la “zona demilitarizzata”), consentendo ai clienti di inviare posta elettronica all’azienda, navigare all’interno del sito aziendale in Internet o conoscere informazioni sui prodotti dell’impresa, ma per poter accedere a dati aziendali riservati o personali dovrà passare attraverso il firewall (figura 4). Una grande azienda può aver bisogno di più di un firewall: quando la rete aziendale cresce, può essere necessario aggiungerne altri per proteggere i computer di importanti dipartimenti aziendali, come la direzione finanziaria. In questo modo si impedirà l’accesso ai dati non solo da accessi indesiderati esterni all’azienda, ma anche da quelli interni, differenziando i dipendenti a seconda che appartengano a un dipartimento aziendale piuttosto che a un altro. Rete aziendale Internet Firewall Zona demilitarizzata Rete aziendale protetta figura 4 Protezione della rete aziendale verifica le tue conoscenze 1 Quali sono le principali cause di rischio fisico per i sistemi? 2 A che cosa servono i file di LOG? 5 Quali sono le regole che definiscono una buonaVerifica password? 3 Come funziona il backup incrementale? 6 In che ambito si usa il firewall? © Mondadori Education 251-272_U14.indd 255 4 Quando si usa il restore? Lezione 1 La sicurezza 5 10/02/12 19.51 Crittografia ● figura 1 Macchina Enigma Crittografare messaggi e documenti Con lo sviluppo del commercio elettronico, l’aumento dello scambio di dati in formato telematico e la necessità di effettuare pagamenti in formato elettronico, il problema della sicurezza nella circolazione delle informazioni in rete è diventato di notevole importanza. Infatti, con le misure di controllo all’accesso dei dati quali password e firewall, viene garantita la sicurezza dei dati e delle applicazioni a livello locale, ma non vi sono garanzie di ciò che può succedere ai nostri dati una volta che circolano sulla rete. Questo problema ha trovato soluzione nella crittografia, che consiste nell’applicazione di particolari tecniche che permettono di trasformare il messaggio da trasmettere in un testo cifrato, che risulti incomprensibile a chiunque, eccettuato il legittimo destinatario. La crittografia è una scienza molto antica perché le problematiche legate all’esigenza di inviare messaggi riservati era ancora più sentita in tempo di guerra (dai tempi degli antichi romani fino alla più recente Guerra Fredda). La necessità di inviare messaggi sicuri per l’impiego militare ha sviluppato sofisticati algoritmi matematici per eseguire una trasformazione crittografica intelligente dei messaggi. In figura 1 l’invenzione della macchina Enigma usata dai tedeschi durante la seonda guerra mondiale. Ma se inizialmente le tecniche crittografiche erano appannaggio dei militari, con lo sviluppo di Internet e del commercio elettronico e le conseguenti necessità di pagamenti elettronici, nelle università e nei centri di ricerca dell’industria si formò una vivace comunità “crittografica” che pubblicò un numero via via crescente di articoli, costruendo di fatto una nuova disciplina scientifica. Esaminiamo dunque le principali regole della crittografia, tenendo presente che il processo di trasformazione del testo in chiaro in un testo cifrato viene chiamato criptazione, il processo inverso decriptazione (o decifrazione) ed entrambi i processi si basano su un codice particolare, detto chiave. ● Chiave privata La crittografia a chiave privata è chiamata anche crittografia tradizionale, perché risale addirittura ai tempi di Giulio Cesare, quando ogni lettera del messaggio da cifrare veniva sostituita con quella che la precede o la segue di un certo numero (x) di posizioni. Questo sistema crittografico, chiamato anche simmetrico, utilizza dunque una sola chiave (il valore di x, eventualmente con segno), tanto nella fase di codifica quanto in quella di decodifica. Così, il mittente del messaggio lo cripterà con la propria chiave privata, lo invierà al destinatario che già conosce quella chiave, e che, quindi, potrà decifrarlo. Questo modello di crittografia presenta però alcuni notevoli inconvenienti: • sia chi invia, sia chi riceve conosce la chiave questa quindi diventa fissa e facilmente individuabile riducendo di molto la sicurezza; • la chiave potrebbe cambiare da messaggio a messaggio ed essere inviata al destinatario, però è necessario che la trasmissione della chiave crittografica avvenga preliminarmente all’invio del messaggio e soprattutto attraverso un canale sicuro; avendo a disposizione un canale sicuro, si potrebbe utilizzarlo per inviare il messaggio evitando di crittografarlo. La chiave però ha una dimensione inferiore e quindi ha costi di trasferimento inferiori, rispetto al messaggio; • si presenta la necessità di generare un numero molto elevato di chiavi quando il numero dei possibili trasmettitori di messaggi aumenta, come nel caso di Internet. Infatti, dato un sistema di N utenti, sono necessarie N(N–1)/2 chiavi per permettere il dialogo cifrato bidirezionale tra tutti i soggetti del sistema. 6 251-272_U14.indd 256 Crittografia © Mondadori Education 10/02/12 19.51 esempio Algoritmo: “scalare di x posizioni”, dove x rappresenta la chiave di soluzione A B C D E F G H .... . X 4, E F G H I L M N .... . ● CRIPTAZIONE DECRIPTAZIONE CIAO + chiave = GOES GOES + chiave = CIAO perché bisognerà scalare di 4 posizioni in avanti per scrivere il messaggio criptato, e 4 posizioni indietro per decifrarlo Chiave pubblica La crittografia a chiave pubblica permette di comunicare senza dover ricercare percorsi segreti per trasmettere le chiavi. In questo tipo di crittografia a ogni utente vengono assegnate due chiavi, diverse ma complementari: una chiave pubblica e una privata. Ogni chiave mette in chiaro il messaggio che l’altra chiave ha codificato, ma il processo non è reversibile: la chiave usata per cifrare un messaggio non può essere utilizzata per decriptarlo (ecco perché questo sistema si chiama asimmetrico). In questo modo, una delle chiavi complementari (quella pubblica) può essere disseminata ovunque ed è disponibile all’interno di un apposito archivio online, mentre l’altra (la privata) è conservata solo dal suo proprietario (figura 2). Così, per spedire un messaggio a un determinato soggetto, è necessario procurarsi la sua chiave pubblica e criptare il messaggio con essa; il destinatario, e solo lui, potrà decifrare il messaggio con la propria chiave privata. In questo modo viene meno il problema della comunicazione della chiave e il numero delle chiavi necessarie nel sistema diminuisce notevolmente: con n utenti, basteranno 2*n chiavi. Testo in chiaro Testo in chiaro Crittografia Decriptazione Chiave pubblica del destinatario Testo crittografato MITTENTE Testo crittografato Chiave privata del destinatario DESTINATARIO figura 2 Crittografia a chiave pubblica © Mondadori Education 251-272_U14.indd 257 Lezione 2 Crittografia 7 10/02/12 19.51 Gli algoritmi matematici su cui si basano questi sistemi sono facili da calcolare in un senso (la fase di criptazione), ma lenti e complicati da risolvere nel senso inverso. Per migliorare la sicurezza è possibile applicare un meccanismo di doppia criptazione per garantire sia la riservatezza sia la sicurezza del mittente (figura 3). Con questo sistema, non solo il messaggio cifrato è molto più sicuro, ma è anche possibile autenticare i propri messaggi. Il destinatario può dunque verificare l’identità del mittente poiché il mittente sarà quello la cui chiave pubblica renderà leggibile il messaggio cifrato. Nell’esempio illustrato di seguito, solo se il Rag. Bianchi potrà capire il messaggio sarà sicuro che il mittente è il Dott. Rossi. Testo in chiaro Testo in chiaro Crittografia Chiave privata del mittente (autocertificazione) Testo crittografato (A) Chiave pubblica del mittente Decriptazione Testo crittografato (A) Decriptazione Crittografia Testo crittografato (B) Chiave pubblica del ricevente (riservatezza) MITTENTE Testo crittografato (B) RICEVENTE Chiave privata del ricevente figura 3 Mittente e ricevente esempio Vediamo dunque come funziona lo scambio di messaggi con la crittografia a chiave pubblica: se il Dott. Rossi vuole mandare un messaggio al Rag. Bianchi, dapprima lo cripterà usando la propria chiave privata, quindi ricripterà il messaggio con la chiave pubblica del Rag. Bianchi, e glielo invierà. Nel passaggio, il messaggio non è decifrabile da nessuno, perché anche se qualcuno ipotizzasse o sapesse che il messaggio proviene dal Dott. Rossi e provasse a decriptarlo con la chiave pubblica del Dott. Rossi, il risultato saebbe ancora in forma cifrata per la criptazione con la chiave del Rag. Bianchi. Solo il Rag. Bianchi, appunto, potrà decriptarlo, oltre che con la chiave pubblica del Dott. Rossi, anche con la propria chiave privata e, quindi, leggere il messaggio. ● Tecnica mista Anche la crittografia a chiave pubblica ha i suoi inconvenienti: • la relativa lentezza delle elaborazioni matematiche nelle operazioni di criptazione/decriptazione rende poco pratica la codifica di messaggi di grandi dimensioni; • il possibile vuoto nella cifrazione di alcune strutture dei messaggi rende più facile risalire al testo in chiaro. Per queste ragioni esistono alcune varianti della crittografia a chiave pubblica che permettono di utilizzarla soltanto per la funzione ridotta, ma essenziale, dello scambio della 8 251-272_U14.indd 258 Crittografia © Mondadori Education 10/02/12 19.51 chiave simmetrica. In pratica, si tratta di cifrare il messaggio con una chiave simmetrica, come nel sistema della crittografia a chiave privata, quindi, avendo la necessità di inviare al destinatario la propria chiave simmetrica, la si codifica con il sistema della chiave pubblica asimmetrica, così che il Rag. Bianchi dell’esempio precedente dovrà decriptare dapprima la chiave e poi il messaggio con la chiave simmetrica decifrata. ● Certificazione digitale Un ultimo aspetto legato all’utilizzo di chiavi pubbliche riguarda la certificazione delle chiavi stesse: in effetti, un intruso potrebbe creare una propria copia di chiavi e inviare quella pubblica al Rag. Bianchi, dicendogli che appartiene al Dott. Rossi. Il solo metodo per prevenire questo tipo di attacchi è di avere in qualche maniera la conferma che la chiave pubblica usata da un utente sia veramente la sua. Questo è ancora più importante se si tratta di effettuare dei pagamenti e l’oggetto della transazione è, per esempio, il numero della carta di credito. Una soluzione è quella di conferire a una terza parte affidabile il compito di verificare e certificare le chiavi: si parla dunque di certificazione digitale. Un certificato digitale di sicurezza è l’equivalente di un libretto di circolazione o di un passaporto: è un marchio numerico di riconoscimento rilasciato da un ente di certificazione affidabile (organizzazioni internazionali, banche, organizzazioni di categoria ecc.), che assicura che una chiave pubblica appartiene a una certa persona o azienda. Quindi, per poter utilizzare il meccanismo della chiave pubblica, occorre: • la registrazione dell’utente presso un’autorità di certificazione; • la generazione di una coppia di chiavi (una pubblica e una privata); • la certificazione della chiave pubblica; • la registrazione della chiave pubblica. ● Molto spesso la firma digitale viene confusa con l’impronta digitale. La firma digitale è un’ulteriore informazione che viene aggiunta a un documento informatico al fine di certificarne l’integrità e la provenienza. Firma digitale Nell’art. 1 del D.P.R. 28.12.2000, n. 445 (disposizioni legislative e regolamentari in materia di documentazione amministrativa, anche denominato Testo Unico in materia di Documentazione Amministrativa) è contenuta la definizione legislativa di firma digitale: “firma digitale è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici” In base alla normativa italiana, che ha recepito le disposizioni in materia di firma elettronica emanate a livello europeo, solo se ricorrono alcuni requisiti, la firma digitale può avere lo stesso valore di quella autografa e quindi rendere legali i documenti. I requisiti necessari sono i seguenti: a. essere connessa in maniera unica al firmatario; b. essere idonea a identificare il firmatario; c. essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; d. essere collegata ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati. Affinché sussistano tali requisiti, la firma digitale deve passare attraverso la validazione di un Ente certificatore esterno, che operi secondo procedure rigorose e a loro volta “certificate” verificabili ricorrendo ad un elenco pubblico, e a ciò espressamente preposto (ad es. le Camere di Commercio), e deve rispondere a tutta una serie di certezze di carattere tecnico e materiale (ad es. che il firmatario, sia il solo a conoscere la chiave privata che attiva la procedura di firma). © Mondadori Education 251-272_U14.indd 259 Lezione 2 Crittografia 9 10/02/12 19.51 Crimini informatici ● Il reato informatico Il reato informatico ingloba svariate tipologie di attività illegali, accomunate dal fatto di avere a che fare con le nuove tecnologie dell’informazione e della comunicazione e in particolare con il mondo di Internet. Nella comunicazione COM (890) 2000 del 26 gennaio 2001, fornita dall’apposita commissione al Consiglio europeo, il reato informatico viene definito “reato connesso ai sistemi informatici”, “reato tramite la tecnologia”, “reato telematico”. Una prima suddivisione è tra reati informatici specifici e convenzionali. I primi nascono da “nuove idee criminali” e impongono la modifica e l’aggiornamento dei codici già esistenti, poiché ci si trova di fronte a nuove attività illegali non ancora previste dalla normativa vigente. Nel secondo caso siamo di fronte all’utilizzo dei nuovi mezzi tecnologici per effettuare attività illegali già note e generalmente già previste dalla normativa. Con la legge n. 347 del 23 dicembre 1993, vengono apportate numerose modifiche e integrazioni al codice di procedura in tema di criminalità informatica. In particolare: • viene esteso il concetto di violenza sulle cose e attentato a impianti di pubblica utilità, in modo che venga punito anche chi danneggia programmi e sistemi informativi (art. 392 e 420 c.p.); • nel concetto di documento viene considerato anche quello informatico per quanto riguarda la falsità (art. 491 bis c.p.) e la segretezza (art. 621 c.p.); • vengono introdotti come reati l’accesso abusivo a un sistema informatico (art. 615 ter c.p.), la detenzione e diffusione abusiva di codici di accesso (art. 615 quater c.p.) e la diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615 quinquies c.p.); • viene esteso il concetto di “corrispondenza” alle comunicazioni informatiche e telematiche sia per quanto riguarda la violazione, intercettazione, interruzione e falsificazione (artt. 616, 617 quater, 617 quinquies, 617 sexies c.p.); • viene esteso il concetto di “trasmissione a distanza di dati” (art. 623 bis c.p.) comprendendo qualunque tipo di dato; • vengono introdotte norme che riguardano il “danneggiamento di sistemi informatici o telematici” (art. 635 bis c.p.) e la “frode informatica” (art. 640 ter c.p.). ● I virus informatici Un virus informatico è un programma (cioè una serie di istruzioni scritte da un programmatore ed eseguibili da un computer) scritto per inserirsi all’interno di istruzioni di altri programmi modificandoli. Il virus inizia la propria attività quando il programma che gli fa da portatore viene eseguito. Tra le istruzioni del virus che vengono eseguite ve ne sono alcune che provvedono a copiare il virus stesso su altri programmi. È normale che il virus prima di portare a termine il compito per cui è stato scritto provveda a replicarsi. Normalmente dopo la fase di replicazione, il virus comincia a compiere l’azione per cui è stato scritto, che può consistere, per esempio, nel distruggere dati e/o programmi presenti su di un supporto magnetico o, semplicemente, nel far comparire a video un messaggio. 10 251-272_U14.indd 260 Crimini informatici © Mondadori Education 10/02/12 19.51 I virus informatici (virus in latino significa veleno) hanno mutuato il loro nome dal campo medico-biologico, per una vaga somiglianza con alcune caratteristiche dei virus nella microbiologia: come questi ultimi, per riprodursi, devono penetrare in una cellula ospite e assumere il controllo dei suoi processi metabolici, così i virus informatici devono penetrare nel programma ospite modificandolo, sia per riprodursi sia, in seguito, per danneggiare dati e/o programmi presenti su supporti registrabili. Come nella biologia i virus sono organismi relativamente semplici e molto piccoli rispetto all’organismo che invadono, così anche i virus informatici sono dei programmi costituiti da poche centinaia di istruzioni, al massimo un migliaio; ciò consente loro di portare a termine il compito per cui sono stati scritti senza, in genere, far notare la loro presenza all’utente del computer. Le tipologie di virus che possono infettare un sistema informatico sono diverse, ma hanno in comune lo schema della figura 1: • il virus arriva sul computer (tramite penna USB, posta elettronica, collegamento in rete); • il virus viene fatto eseguire (involontariamente) e si replica nella macchina; • il virus si diffonde altrove (infettando altri dispositivi USB, attaccandosi ad allegati e spedendo e-mail, duplicandosi su altre macchine tramite collegamenti in rete). 2 VIRUS 1 Computer A 3 Computer B figura 1 Virus Con la diffusione di Internet i pirati informatici utilizzano pesantemente la posta elettronica per trasmettere i virus. Oggi, infatti, la posta elettronica è uno dei maggiori veicoli di trasmissione dei virus. In alcuni casi, se viene abilitata la funzione anteprima sul client di posta, l’esecuzione del virus può essere avviata anche solo posizionandosi su un allegato, senza aprirlo esplicitamente. Internet sta diventando, come qualsiasi mezzo di trasmissione, una fonte di diffusione di virus informatici. In particolare la possibilità di scaricare programmi da tutto il mondo può consentire una rapida diffusione di qualsiasi virus, anche appena creato. ● Tipi di virus Esistono molte classificazioni dei virus; in genere sono basate su come si comportano dal punto di vista informatico o sui tipi di danni che fanno. Un virus informatico può essere distruttivo oppure solamente invasivo. La prima tipologia caratterizza tutti quei virus che sono in grado di infettare uno o più file e che determinano sempre effetti negativi sul sistema. La seconda tipologia riguarda virus che hanno solo scopo didattico e, pur attaccando uno o più file, non hanno conseguenze distruttive. La stragrande maggioranza dei virus, comunque, appartiene alla prima categoria. Diamo alcune definizioni di tipi di virus: • boot-virus: sono quei visus che infettano il settore di avvio o la tabella delle partizioni di un disco. I sistemi informatici vengono in genere infettati da questi virus se avviati con dischi floppy infetti, sempre più rari per la graduale scomparsa dei floppy; • worm: è un programma (o un insieme di programmi) autonomo in grado di diffondere copie funzionanti di se stesso o di suoi segmenti su altri sistemi informatici. La propagazione avviene normalmente attraverso le connessioni di rete o gli allegati e-mail; • cavallo di Troia: è una tecnica che consente di alterare l’esecuzione dei programmi, modificando o aggiungendo istruzioni nei programmi stessi; la particolarità di questo © Mondadori Education 251-272_U14.indd 261 Lezione 3 Crimini informatici 11 10/02/12 19.51 software è che in apparenza svolge compiti inoffensivi mentre lavora minuziosamente per danneggiare l’integrità o la sicurezza dei dati presenti nel sistema; bomba logica: è un programma che viene eseguito al verificarsi di condizioni prestabilite e che, a sua volta, determina condizioni che facilitano l’attuazione di un atto non autorizzato; spesso la bomba logica è la condizione scatenante sulla quale è in attesa un troiano; rabbit: è un programma che, riproducendosi velocemente nel sistema, tende a saturare le risorse e la capacità di elaborazione della CPU; non si riproduce nei programmi ed è specificatamente diretto all’intasamento degli organi della macchina; virus nelle Macro: può essere contenuto generalmente in un documento di Microsoft Word, Microsoft Excel o Microsoft PowerPoint, e consiste in una Macro; può diffondersi a tutti i documenti che vengono aperti con quella particolare applicazione. Questo tipo di virus può essere trasmesso da una piattaforma all’altra, limitatamente a quelle su cui gira MS Office, a causa dello scambio di file; retrovirus: virus che si annida nei programmi antivirus e li mette fuori uso. Il nome deriva dai retrovirus biologici, in grado di attaccare il sistema immunitario (come agisce, per esempio, l’HIV). • • • • ● Prevenzione Per prevenire i problemi legati ai virus è importante seguire alcune norme sia a livello strutturale sia comportamentale. Antivirus Esistono molti programmi antivirus gratuiti. Forniscono protezione a livello base, ma per i computer a livello domestico o di piccoli uffici vanno benissimo. Se invece si hanno neccessità di protezione maggiori, gli stessi software offrono delle versioni a pagamento più complete. 12 251-272_U14.indd 262 Per anticipare e prevenire le più comuni infezioni da virus è opportuno: • nel caso di elaboratori aziendali, dotare ciascuna macchina di una password che impedisca l’accesso al personale non autorizzato; evitare che vengano installati programmi senza licenza e che ci sia un frequente scambio di dischetti tra casa e ufficio; • qualora si lavori in rete è opportuno gestire il file server esclusivamente come elaboratore dedicato, evitando di utilizzarlo come postazione di lavoro (è necessario ricordare che se un virus contagia direttamente un server, viene trasferito più velocemente a tutta la rete da lui dipendente ed, eventualmente, ad altre reti connesse tramite router o bridge); anche per le operazioni di posta elettronica è opportuno utilizzare un elaboratore dedicato esclusivamente a tale funzione; • eliminare le e-mail che hanno come allegati dei file eseguibili (.EXE, .COM, .BAT ecc.). • impostare un’elevata protezione da Macro eventualmente prevedendo l’attivazione solo su richiesta; • non installare mai sul proprio computer programmi passati da amici e conoscenti specialmente su floppy disk: potrebbero contenere virus; • disabilitare dal BIOS del proprio computer il BOOT da floppy; i virus da BOOT SECTOR (è il settore o record di avviamento del Sistema Operativo) sono tra i più diffusi; • effettuare sempre il salvataggio dei dati (backup) con cadenza almeno settimanale; con i dati salvati e i dischi programmi intatti, anche in caso di disastro non imputabile a virus (se si rompe l’hard disk): si sarà in grado di ripristinare il contenuto del computer; • effettuare una copia del settore di avviamento (boot record) e della tabella delle partizioni (partition table) del proprio hard disk usando uno dei programmi di utilità in commercio; questa copia potrebbe scongiurare necessità di riformattare l’hard disk. I programmi antivirus I programmi antivirus sono programmi che cercano di individuare i virus informatici presenti sul computer e di provvedere, poi, alla loro eliminazione. Per individuarli analizzano il contenuto del disco e verificano la presenza del virus in base a un “pattern” o stringa di riconoscimento. Per funzionare in maniera corretta questi programmi devono essere aggiornati di frequente per riconoscere anche i virus di nuova produzione. Per ovviare a questo problema oramai tutti i produttori di antivirus offrono l’aggiornamento via Internet. Crimini informatici © Mondadori Education 10/02/12 19.51 Nel caso, poi, che il programma antivirus rilevi la presenza di un virus spesso è anche in grado di rimuoverlo (in automatico o su richiesta). A volte, però, la rimozione automatica non è possibile perché il virus è troppo recente e quindi viene messo in quarantena in attesa che venga trovato un metodo per rimuoverlo. ● Hacker e cracker Un hacker è una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte. Il termine è applicato a ogni aspetto della vita e si esplicita prevalentemente in ambito informatico ed elettronico. Il termine hacker viene in genere associato ai criminali informatici, ma l’intenzione dell’hacker è generalmente l’esplorazione, il divertimento, l’apprendimento, senza creare reali danni. Il cracker è invece colui che si ingegna per eludere blocchi imposti da qualsiasi software, in genere con scopi distruttivi. Il cracking può essere usato per diversi scopi secondari, una volta guadagnato l’accesso di root nel sistema desiderato o dopo aver rimosso le limitazioni di un qualsiasi programma. I cracker possono essere spinti da varie motivazioni che vanno dal guadagno economico (tipicamente coinvolti in operazioni di spionaggio industriale o in frodi) all’approvazione all’interno di un gruppo di cracker. Vediamo alcune delle tecniche che spesso utilizzano per superare le barriere logiche dei sistemi: • collegarsi direttamente con un calcolatore della rete interna che dispone di un accesso autonomo, aggirando così il filtro del firewall; • passare attraverso una “porta di servizio” (back door), una porta virtuale che può essere stata lasciata nel sistema per facilitare, per esempio, interventi di manutenzione; • fare spoofing, cioè sfruttare il meccanismo delle comunicazioni basate sul protocollo Internet a livello di rete (IP), per assumere un’altra identità e infiltrarsi in una intranet. ● Programmatori di virus Gli autori dei virus informatici rientrano nella più ampia cerchia di coloro che commettono crimini mediante l’uso del mezzo informatico; questi ultimi presentano delle caratteristiche proprie. Le indagini sinora condotte indicano concordemente che si tratta, nella maggior parte dei casi, di soggetti giovani, dall’età media compresa fra i 24 ed i 33 anni, ben preparati in informatica, di indole audace e, quasi sempre, di sesso maschile. In particolare coloro che realizzano virus informatici hanno studiato per anni il funzionamento dei computer e dei diversi sistemi operativi, conoscono il linguaggio assembler e il linguaggio C e ne sanno sfruttare tutte le più recondite caratteristiche; il virus rappresenta spesso un vero e proprio capolavoro di programmazione. In genere i computer criminal e, in particolare, quasi tutti gli autori di virus informatici, sono soggetti senza precedenti penali, ma esistono sintomi che lasciano intuire il modificarsi di questa realtà. La stessa criminalità organizzata si va orientando verso reati la cui complessità di preparazione e di attuazione è tale da richiedere o, addirittura, rendere indispensabile l’uso del computer. verifica le tue conoscenze 1 Che cos’è un reato informatico? 3 Come si possono classificare i virus? 2 Come ci si difende dai virus? 4 Che differenza c’è tra un hacker e un cracker? © Mondadori Education 251-272_U14.indd 263 Lezione 3 Crimini informatici 13 10/02/12 19.51 Privacy e diritto d’autore ● Privacy e dati personali Con la diffusione dei sistemi informatici sono nati molti problemi di tipo giuridico connessi alle problematiche della privacy. Ricordiamo a questo proposito che la legge n. 675 del 31 dicembre 1996 sulla salvaguardia dei dati personali è stata promulgata allo scopo di: • migliorare la protezione dei dati personali; • tener conto della tutela giuridica e della riservatezza individuale nella stesura e nella conservazione dei documenti contenenti dati personali; • proteggere i dati personali da utilizzi esterni non autorizzati; • garantire i diritti dei soggetti a cui si riferiscono i dati personali; • definire le responsabilità dei detentori di dati personali altrui e imporre loro obblighi di prevenzione; • proteggere i dati personali, tenendo conto della sicurezza nazionale. Chiunque detenga e gestisca dati personali altrui deve: • avere ottenuto autorizzazione scritta dal soggetto a cui i dati si riferiscono; • comunicare all’interessato le finalità dell’utilizzo di tali dati; • essere disponibile a verifiche su richiesta dell’interessato; • attuare procedure di protezione dei dati gestiti. ● Diritto d’autore La norma di riferimento sul diritto d’autore è la legge . 633 del 22 aprile 1941. A questa sono state apportate nel tempo molte modifiche. Le più significative riguardo all’informatica sono quelle contenute nel decreto legislativo n. 518 del 29 dicembre 1992 che attua la direttiva europea 91/250/CEE relativa alla tutela giuridica dei programmi per l’elaboratore. Il decreto legislativo n. 68 del 09 aprile 2003 modifica la precedente legge sul diritto d’autore n. 633/1941. Si tratta del completamento di un processo di adeguamento delle leggi alle mutate condizioni, durato alcuni anni, in cui vengono date ai magistrati maggiori possibilità di applicare la normativa anche a casi completamente nuovi, a seguito della diffusione sempre maggiore di banche dati e Internet. In particolare viene chiarito con maggior precisione il concetto di “diffusione”, “distribuzione” e “riproduzione”, in modo da prevedere il concetto di download di file. Altre importanti modifiche sono quelle riportate nella legge del 18 agosto 2000 n. 248 su “Nuove norme di tutela del diritto d’autore” che ha previsto particolari ipotesi di reato per i casi di contraffazione e pirateria informatica relativi anche ai programmi per computer, nonché norme più severe in caso di contravvenzione delle leggi. Nel seguito si riportano alcuni degli articoli più significativi del decreto 518/92. Art. 1 1. All’art. 1 della legge n. 633 del 22 aprile 1941, è aggiunto il seguente comma: “Sono altresì protetti i programmi per l’elaboratore come opere letterarie ai sensi della Convenzione di Berna sulla protezione delle opere letterarie e artistiche ratificata e resa esecutiva con legge 20 giugno 1978, n. 309”. Art. 2 1. Dopo il n. 7 dell’art. 2 della legge n. 633 del 22 aprile 1941, è aggiunto il seguente numero: “8) i programmi per l’elaboratore in qualsiasi forma espressi purché originali quali risultato di creazione intellettuale dell’autore. Restano inclusi dalla tutela accordata dalla presente 14 251-272_U14.indd 264 Privacy e diritto d’autore © Mondadori Education 10/02/12 19.51 legge le idee e i principi che stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue interfacce. Il termine programma comprende anche il materiale preparatorio per la progettazione del programma stesso”. Art. 3 1. Dopo l’art. 12 della legge n. 633 del 22 aprile 1941, è inserito il seguente: “Art. 12 bis – Salvo patto contrario, qualora un programma per l’elaboratore sia creato dal lavoratore dipendente nell’esecuzione delle sue mansioni o su istruzioni impartite dal suo datore di lavoro, questi è titolare dei diritti esclusivi di utilizzazione economica del programma creato”. Art. 4 1. Dopo l’art. 27 della legge n. 633 del 22 aprile 1941, è inserito il seguente: “Art. 27 bis – La durata dei diritti di utilizzazione economica del programma per elaboratore prevista dalle disposizioni della presente Sezione si computa, nei rispettivi casi, a decorrere dal 1 gennaio dell’anno successivo a quello in cui si verifica l’evento considerato dalla norma”. Art. 5 1. Dopo la Sezione V del Capo IV del Titolo I della legge n. 633 del 22 aprile 1941, è inserita la seguente Sezione IV – Programmi per elaboratori. Art. 64 bis 1. Fatte salve le disposizioni dei successivi articoli 64 ter e 64 quater, i diritti esclusivi conferiti dalla seguente legge sui programmi per elaboratore comprendono il diritto di effettuare o autorizzare: a) la riproduzione, permanente o temporanea, totale o parziale, del programma per elaboratore con qualsiasi mezzo o in qualsiasi forma. Nella misura in cui operazioni quali il caricamento, la visualizzazione, l’esecuzione, la trasmissione o la memorizzazione del programma per elaboratore richiedano una riproduzione, anche tali operazioni sono soggette all’autorizzazione del titolare dei diritti; b) la traduzione, l’adattamento, la trasformazione e ogni altra modificazione del programma per elaboratore, nonché la riproduzione dell’opera che ne risulti, senza pregiudizio dei diritti di chi modifica il programma; c) qualsiasi forma di distribuzione al pubblico, compresa la locazione, del programma per elaboratore originale o di copia dello stesso. La prima vendita di una copia del programma della Comunità Economica Europea da parte del titolare dei diritti, o con il suo consenso, esaurisce il diritto di distribuzione di detta copia all’interno della Comunità, a eccezione del diritto di controllare l’ulteriore locazione del programma o di una copia dello stesso. Art. 64 ter 1. Salvo patto contrario, non sono soggette all’autorizzazione del titolare dei diritti le attività indicate nell’art. 64 bis, lettere a) e b), allorché tali attività sono necessarie per l’uso del programma per elaboratore conformemente alla sua destinazione da parte del legittimo acquirente, inclusa la correzione degli errori. 2. Non può essere impedito per contratto, a chi ha diritto di usare una copia del programma per elaboratore, di effettuare una copia di riserva del programma, qualora tale copia sia necessaria per l’uso. 3. Chi ha diritto di usare una copia del programma per elaboratore può, senza l’autorizzazione del titolare dei diritti, osservare, studiare o sottoporre a prova di funzionamento del programma, allo scopo di determinare le idee e i principi su cui è basato ogni elemento del programma stesso, qualora egli compia tali atti durante operazioni di caricamento, visualizzazione, esecuzione, trasmissione o memorizzazione del programma che egli ha il diritto di eseguire. Gli accordi contrattuali conclusi in violazione del presente comma sono nulli. Art. 64 quater 1. L’autorizzazione del titolare dei diritti non è richiesta qualora la riproduzione del codice del programma di elaboratore e la traduzione della sua forma ai sensi dell’art. 64 bis, lettere a) e b), compiute al fine di modificare la forma del codice, siano indispensabili per ottenere le informazioni necessarie per conseguire l’interoperabilità, con altri programmi, di un programma per elaboratore creato autonomamente purché siano soddisfatte le seguenti condizioni: a)le predette attività siano eseguite dal licenziatario o da altri che abbiano il diritto di usare una copia del programma oppure, per loro conto, da chi è autorizzato a tal fine; b)le informazioni necessarie per conseguire l’interoperabilità non siano già facilmente e rapidamente accessibili ai soggetti indicati alla lettera a); © Mondadori Education 251-272_U14.indd 265 Lezione 4 Privacy e diritto d’autore 15 10/02/12 19.51 c) le predette attività siano limitate alle parti del programma originale necessarie per conseguire l’interoperabilità. 2. Le disposizioni di cui al comma 1 non consentono che le informazioni ottenute in virtù della loro applicazione: a) siano utilizzate a fini diversi dal conseguimento dell’interoperabilità del programma creato autonomamente; b) siano comunicate a terzi, fatta salva la necessità di consentire l’interoperabilità del programma creato autonomamente; c) siano utilizzate per lo sviluppo, la produzione o la commercializzazione di un programma per elaboratore sostanzialmente simile nella sua forma espressiva, o per ogni altra attività che violi il diritto d’autore. 3. Gli accordi contrattuali conclusi in violazione dei commi 1 e 2 sono nulli. 4. Conformemente alla Convenzione di Berna sulla tutela delle opere letterarie e artistiche ratificata e resa esecutiva con legge 20 giugno 1978, n. 399, le disposizioni del presente articolo non possono essere interpretate in modo da consentire che la loro applicazione arrechi indebitamente pregiudizio agli interessi legittimi del titolare dei diritti o sia in conflitto con il normale sfruttamento del programma. Art. 8 1. All’art. 161 della legge n. 633 del 22 aprile 1941, è aggiunto, infine, il seguente comma: “Le disposizioni di questa Sezione si applicano anche a chi mette in circolazione in qualsiasi modo, o detiene per scopi commerciali copie non autorizzate di programmi e qualsiasi mezzo inteso unicamente a consentire e facilitare la rimozione arbitraria o l’esecuzione funzionale dei dispositivi applicati a protezione di un programma per elaboratore”. Art. 10 1. Dopo l’art. 171 della legge n. 633 del 22 aprile 1941, è inserito il seguente: “Art. 171 bis – 1. Chiunque abusivamente duplica a fini di lucro programmi per elaboratore, o, ai medesimi fini e sapendo o avendo motivo di sapere che si tratta di copie non autorizzate, importa, distribuisce, vende, detiene a scopo commerciale, o concede in locazione i medesimi programmi, è soggetto alla pena della reclusione da tre mesi a tre anni e della multa da L. 500.000 a L. 6.000.000. Si applica la stessa pena se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l’elusione funzionale dei dispositivi applicati a protezione di un programma per elaboratore. La pena non è inferiore nel minimo a sei mesi di reclusione e la multa a L. 1.000.000 se il fatto è di rilevante gravità ovvero se il programma oggetto dell’abusiva duplicazione, importazione, distribuzione, vendita, detenzione a scopo commerciale o locazione sia stato precedentemente distribuito, venduto o concesso in locazione su supporti contrassegnati dalla Società italiana degli autori ed editori ai sensi della presente legge e del relativo regolamento di esecuzione approvato con regio decreto 18 maggio 1942, n. 1369. 2. La condanna per i reati previsti dal comma 1 comporta la pubblicazione della sentenza in uno o più quotidiani e in uno o più periodici specializzati”. Art. 11 1. Dopo l’art. 199 della legge n. 633 del 22 aprile 1941, è inserito il seguente: “Art. 199 bis – 1. Le disposizioni della presente legge si applicano anche ai programmi creati prima della sua entrata in vigore, fatti salvi gli eventuali atti conclusivi e i diritti acquisiti anteriormente a tale data”. I sistemi peer-to-peer per scambio file ● Il peer-to-peer (scritto abbreviato come p2p) è una tecnologia che consente ai computer di essere collegati tra loro senza passare da un server centrale, permettendo la condivisione diretta di file (anche di file musicali) tra tutti gli utenti Web. Tutto ciò installando semplici software gratuiti sul proprio pc. L’assenza di un server centrale ha di fatto reso il “file sharing”, ovvero lo scambio di file con programmi peer-to-peer, un’opportunità per costruire un’enorme rete di conoscenze condivise. Poiché questa pratica di massa è molto diffi- 16 251-272_U14.indd 266 Privacy e diritto d’autore © Mondadori Education 10/02/12 19.51 cilmente controllabile, il file sharing può anche essere un sistema truffaldino per aggirare il copyright in un’incontrollata “terra di nessuno”. È quindi buona norma prestare attenzione a ciò che si condivide in rete con i programmi peer-to-peer per non violare le leggi sul copyright. La legge italiana sul peer-to-peer (o Legge Urbani, dal nome del ministro proponente) è il nome convenzionale attribuito alla normativa della legge n. 128 del 21 maggio 2004 della Repubblica Italiana. La materia principale è il finanziamento pubblico per certe attività cinematografiche e sportive, ma al suo interno è stato trattato anche un argomento del tutto eterogeneo, ovvero la distribuzione di opere coperte dal diritto d’autore anche attraverso il cosiddetto peer-to-peer. Prima del 22 marzo 2004, data dell’entrata in vigore di tale legge, non erano previste sanzioni per la condivisione di opere tutelate dal diritto d’autore qualora non vi fosse scopo di lucro. Però nel 2007 la III sezione penale della Cassazione, con la sentenza numero 149/2007, ha accolto il ricorso presentato da due studenti torinesi, condannati in appello a una pena detentiva, sostituita da un’ammenda, per avere “duplicato abusivamente e distribuito” programmi illecitamente duplicati, giochi per PSX, video CD e film, “immagazzinandoli” su un server del tipo Ftp (File transfer protocol). È bene precisare che in Italia chiunque effettui il download di un’opera protetta dal diritto d’autore e la metta in condivisione commette un illecito penale (è l’art. 171, lett. a-bis, lda). La norma è chiarissima: è punito chiunque lo fa “senza averne diritto, a qualsiasi scopo e in qualsiasi forma”. La pena è una multa da 51 a 2.065 euro, ma è possibile evitare il processo penale pagando la metà del massimo previsto (quindi circa mille euro) e le spese del procedimento. I programmi di p2p più diffusi mettono automaticamente in condivisione un file mentre questo viene scaricato, per cui se viene effettuato il download di materiale protetto da diritto d’autore mediante uno di essi si concretizza la fattispecie penale. Inoltre, la violazione del suddetto articolo comporta altresì l’irrogazione di una sanzione amministrativa pari al doppio del prezzo di mercato dell’opera o del supporto oggetto della violazione (art. 174-bis lda), ma detta cifra non può essere mai inferiore a 103 euro. In ambiente peer to peer entrambi i computer possono comportarsi sia come dei server sia come dei client figura 1 Sistema peer-to-peer La legge n. 633 del 22 aprile 1941 afferma che tutti i brani coperti da copyright, qualunque sia il loro formato (quindi anche MP3) e il mezzo di distribuzione (quindi anche Internet), sono tutelati dalla legge sul diritto d’autore. A partire da tale legge, con le sue successive integrazioni e modifiche relativamente alla diffusione della musica via Internet (principalmente tramite MP3), si possono riassumere i tratti principali della normativa come segue. È permesso: • scaricare software di lettura e codifica MP3; • scaricare brani musicali diffusi dagli autori; • creare MP3 per uso personale da un CD acquistato regolarmente dalla stessa persona; • creare CD audio da file MP3 scaricati, a condizione che i file siano stati diffusi con l’autorizzazione dell’autore. Non è permesso: • diffondere gli MP3 prendendo il materiale dalla propria raccolta personale; • più in generale diffondere MP3 senza esplicita autorizzazione dell’autore; • scaricare file MP3 creati da altri utenti. verifica le tue conoscenze 1 Come devono essere gestiti i dati personali dal punto di vista informatico? 2 Che cosa si intende per diritto d’autore? © Mondadori Education 251-272_U14.indd 267 3 Come funzionano i sistemi peer-to-peer? 4 In quali casi è possibile duplicare file MP3? Lezione 4 Privacy e diritto d’autore 17 10/02/12 19.51 Altre norme ● Sicurezza sul luogo di lavoro La normativa al riguardo è contenuta nel decreto legislativo n. 81 del 9 aprile 2008 che tratta dell’attuazione dell’articolo 1 della legge n. 123 del 3 agosto 2007, in materia di tutela della salute e della sicurezza nei luoghi di lavoro. Si tratta della realizzazione di un Testo Unico sulla Sicurezza che raccoglie varie leggi e norme create nel tempo. In particolare viene ripreso il decreto legislativo n. 626 del 1° settembre 1994 che si occupava della prevenzione attraverso la formazione e l’informazione dei lavoratori stessi. In particolare con questa legge vengono abrogati, poiché superati o incorporati le seguenti leggi: • DPR 27 aprile 1955, n. 547; • DPR 7 gennaio 1956 n. 164; • DPR 19 marzo 1956, n. 303 (eccetto l’articolo 64); • DLGS 15 agosto 1991, n. 277; • DLGS 19 settembre 1994, n. 626; • DLGS 14 agosto 1996, n. 493; • DLGS 14 agosto 1996, n. 494; • DLGS 19 agosto 2005, n. 187; • legge 5 agosto 2006, n. 248 (art. 36-bis, commi 1 e 2); • legge 3 agosto 2007, n. 123 (articoli 2, 3, 5, 6 e 7); • ogni altra disposizione legislativa e regolamentare in materia di sicurezza e salute sul lavoro incompatibile con il Testo Unico. Informazione ai lavoratori addetti ai videoterminali Il decreto legislativo prescrive dei requisiti a cui devono corrispondere i posti di lavoro muniti di videoterminale e alcune norme per la tutela della salute e del benessere di quanti utilizzano professionalmente un videoterminale, in modo sistematico e abituale, almeno 4 ore al giorno per tutta la settimana. L’operatore deve, quindi, avere a disposizione un posto di lavoro munito di videoterminale che risponde a requisiti ergonomici, antropometrici, di accettabilità e di sicurezza. Questi criteri possono essere derivati, per esempio, dalle norme dell’Ente Nazionale di Unificazione (UNI) per gli arredi da ufficio, che permettono di fornire un prodotto adeguato alla quasi totalità della popolazione impiegata. O, ancora, dalla norma UNI EN 29541-1994 che elenca i requisiti ergonomici ottimali del lavoro su videoterminale per garantire agli utenti di operare con sicurezza e in condizioni di benessere. In questa nota vengono fornite informazioni su quali rischi per la salute possono derivare dall’attività che richiede l’uso continuativo, per quattro o più ore al giorno, di un videoterminale. Poiché le condizioni ambientali, lo stato di benessere individuale e le richieste lavorative possono cambiare di giorno in giorno, è consigliabile dedicare i primi minuti di ogni turno di lavoro a scegliere la migliore disposizione del posto di lavoro munito di videoterminale: in questa nota riportiamo gli accorgimenti suggeriti dai maggiori esperti di ergonomia. Tra i principali argomenti trattati riguardanti i rischi ricordiamo: • rischi da radiazioni (ionizzanti e non); • rischi per la vista; • rischi da postura; • ambiente (rumore e microclima). 18 251-272_U14.indd 268 Altre norme © Mondadori Education 10/02/12 19.51 Relativamente alla prevenzione vengono indicate norme su come regolare • la sedia; • lo schermo; • l’illuminazione; • il tempo di lavoro. Rapporti con le pubbliche amministrazioni ● Si va sempre più diffondendo la possibilità di utilizzare i mezzi informatici per gestire le informazioni fiscali e per comunicare con l’amministrazione pubblica. Molti adempimenti fiscali sono già da tempo gestiti per via informatica, e ultimamente anche per via telematica: si sta così realizzando lo scenario B2A (business to administration). Anche se in molti casi la carta è ancora il supporto più usato (e a volte l’unico ammesso) si sta sempre più diffondendo la possibilità di far valere autonomamente l’informazione elettronica attraverso l’uso della firma digitale per la certificazione delle dichiarazioni. Autonomia amministrativa La filosofia che guida l’utilizzo delle tecnologie informatiche per lo snellimento dei rapporti tra cittadino e amministrazione si trova espresso nell’articolo 15 della legge n. 59 del 15 marzo 1997 sull’autonomia legislativa, nota come “Legge Bassanini”. 1. Al fine della realizzazione della rete unitaria delle pubbliche amministrazioni, l’Autorità per l’informatica nella Pubblica Amministrazione è incaricata, per soddisfare esigenze di coordinamento, qualificata competenza e indipendenza di giudizio, di stipulare, nel rispetto delle vigenti norme in materia di scelta del contraente, uno o più contratti-quadro con cui i prestatori dei servizi delle forniture relativi al trasporto dei dati e all’interoperabilità si impegnano a contrarre con le singole amministrazioni alle condizioni ivi stabilite. Le amministrazioni di cui all’art. 1, comma 1, del decreto legislativo n. 39 del 12 febbraio 1993, in relazione alle proprie esigenze sono tenute a stipulare gli atti esecutivi dei predetti contratti-quadro. Gli atti esecutivi non sono soggetti al parere dell’Autorità per l’informatica nella Pubblica Amministrazione e, ove previsto, del Consiglio di Stato. Le amministrazioni non ricomprese tra quelle di cui all’art. 1, comma 1, del decreto legislativo n. 39 del 12 febbraio 1993, hanno facoltà di stipulare gli atti esecutivi di cui al presente comma. 2. Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge. I criteri e le modalità di applicazione del presente comma sono stabiliti, per la Pubblica Amministrazione e per i privati, con specifici regolamenti da emanare entro centottanta giorni dalla data di entrata in vigore della presente legge ai sensi dell’art. 17, comma 2, della legge n. 400 del 30 agosto 1988. Gli schemi dei regolamenti sono trasmessi alla Camera dei deputati e al Senato della Repubblica per l’acquisizione del parere delle competenti Commissioni. Uso di strumenti informatici Il decreto del Presidente della Repubblica n. 513 del 10 novembre 1997 sancisce le modalità di utilizzo degli strumenti informatici nei rapporti con la Pubblica Amministrazione. Si tratta del regolamento attuativo del comma 2 dell’articolo 15 visto precedentemente, e reca criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici. verifica le tue conoscenze 1 Che cosa prevede la norma sulla sicurezza per i lavoratori informatici? 2 Che cosa va regolato per poter lavorare correttamente? © Mondadori Education 251-272_U14.indd 269 3 Che cosa è l’autonomia amministrativa? 4 Si possono usare strumenti informatici nei rapporti con la pubblica amministrazione? Fai degli esempi. Lezione 5 Altre norme 19 10/02/12 19.51 sintesi lezione 1 La sicurezza I costi che le aziende spendono per l’informatica porta a considerare come importantissima la problematica della sicurezza. Si parla di sicurezza sia per quanto riguarda i sistemi (hardware e software) sia soprattutto per quanto riguarda i dati e le informazioni, vero patrimonio aziendale. lezione 2 Crittografia Fin dai tempi più remoti è invalso l’utilizzo di messaggi cifrati per evitare che venissero letti da altri che si sono evoluti con il tempo permettendo di raggiungere attulmente livelli di sicurezza veramente notevoli. Anche su Internet, per garantire la sicurezza dei dati, vengono usate tecniche crittografiche. lezione 3 Crimini informatici Con lo sviluppo dell’informatica si evolvono anche i crimini e le attività illegali. Dalla diffusione dei virus al furto e all’uso illegittimo del software. Anche le leggi si sono adeguate, recependo in molti casi le direttive europee. lezione 4 Privacy e diritto d’autore Un tema da sempre dibattuto è stato quello del diritto d’autore, sia per quanto riguarda i programmi, sia per quanto riguarda la copia e la diffusione di opere (libri, musica, film) su supporti informatici. Anche in questo caso la diffusione di Internet e delle reti ha amplificato il problema. lezione 5 Altre norme Tra importanti norme nel settore informatico vi sono quelle che riguardano la sicurezza per i lavoratori del settore e quelle che riguardano i rapporti tra aziende e cittadini con la Pubblica Amministrazione. 20 251-272_U14.indd 270 La sicurezza informatica © Mondadori Education 10/02/12 19.51 domande per l’orale La sicurezza informatica unità Ripasso MP3 1 Descrivi come funzionano i meccanismi del backup e del restore. ➞ L1 2 Descrivi il meccanismo di funzionamento della crittografia a chiave pubblica. ➞ L2 3 Come funziona un virus? ➞ L3 4 Quali sono i principali reati informatici? ➞ L3 5 Come viene applicata la norma sul diritto d’autore per le opere informatiche? ➞ L4 6 Quali sono le norme per prevenire i rischi da lavoro al computer? ➞ L5 © Mondadori Education 251-272_U14.indd 271 Unità 14 La sicurezza informatica 21 10/02/12 19.51 in English, please Abstract COMPUTER SECURITY Security issues are an important aspect of software development and information systems. These security issues affect hardware and software, as well as data. With the development of the Internet the possibilities of fraudulent access to data and information have multiplied, and thus there is a need to develop procedures that provide protection against criminal activity. The legislative bodies of the EU have issued several security regulations to be implemented by the individual states. Many of these regulations already existed in Italy, while others have been introduced only recently. c Extended Data Processing d Electronic Document Processing Exercises 1 Using a password is the best way to prevent intrusions T F 2 A computer program is covered by copyright T F 3 Security standards are in place for people working with computers T F 4 EDP means: a Enterprise Data Processing b Electronic Data Processing 5 Which of these passwords provides the best security? a Nicola b Ax7B2 c CI17758 d A!xC23” 6 List the main professional operators involved with the Internet. 7 When is copying software not illegal? Glossary Glossario Anonymous: A term used in place of your name when connecting to the Internet, when you wish to remain incognito. Backup: Indicates both the procedures and equipment used in case of breakdown or emergency. Encryption: Process that converts a text into code to prevent it being easily understood by all. Encrypted text can only be decrypted using a special key. Freeware: A program that can be copied and distributed freely without cost. Gateway: A hardware device that allows two networks to 22 251-272_U14.indd 272 La sicurezza informatica connect and exchange data. Peer to Peer: Organization in which each computer on the network can act as the server for some computers and log on as a client to others. Restore: Procedure to recover and reinstall previously stored data on your computer. Shareware: Software that may be distributed and used for free for a certain amount of time, after which you must pay the manufacturer to continue using it. Userid: Abbreviation used to define the identity of the user seeking access to the computer system. © Mondadori Education 10/02/12 19.51