Re: [OT] Come ti entro in Windows2000 (un po' di sano hacking)
Alle 10:59, giovedì 17 marzo 2005, Andrea Gasparini ha scritto:
> Non e' ben chiaro... dipende dalla tua idea di fraudolento.
> Se entri in un sistema non autorizzato, anche se non e' sicuro, sei
> illegale... e quindi punibile.
> (sinceramente spero che sia punibile anche l'amministratore che te lo
> permette... ma questa e' un'altra cosa)
lo è infatti... per il decreto legislativon.196 2003 "Codice materia dati
personali" (la legge sulla privacy)
/quote
Articolo 30
(Incaricati del trattamento)
1. Le operazioni di trattamento possono essere effettuate solo da incaricati
che operano sotto la diretta autorità del titolare o del responsabile,
attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l'ambito
del trattamento consentito. Si considera tale anche la documentata
preposizione della persona fisica ad una unità per la quale è individuato,
per iscritto, l'ambito del trattamento consentito agli addetti all'unità
medesima.
Articolo 31
(Obblighi di sicurezza)
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche
in relazione alle conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee e preventive misure di
sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
Articolo 32
(Particolari titolari)
1. Il fornitore di un servizio di comunicazione elettronica accessibile al
pubblico adotta ai sensi dell'articolo 31 idonee misure tecniche e
organizzative adeguate al rischio esistente, per salvaguardare la sicurezza
dei suoi servizi, l'integrità dei dati relativi al traffico, dei dati
relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad ogni
forma di utilizzazione o cognizione non consentita.
2. Quando la sicurezza del servizio o dei dati personali richiede anche
l'adozione di misure che riguardano la rete, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico adotta tali misure
congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso
di mancato accordo, su richiesta di uno dei fornitori, la controversia è
definita dall'Autorità per le garanzie nelle comunicazioni secondo le
modalità previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione elettronica accessibile al
pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un
particolare rischio di violazione della sicurezza della rete, indicando,
quando il rischio è al di fuori dell'ambito di applicazione delle misure che
il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2, tutti i
possibili rimedi e i relativi costi presumibili. Analoga informativa è resa
al Garante e all'Autorità per le garanzie nelle comunicazioni.
Articolo 33
(Misure minime)
1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o
previsti da speciali disposizioni, i titolari del trattamento sono comunque
tenuti ad adottare le misure minime individuate nel presente capo o ai sensi
dell'articolo 58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.
Articolo 34
(Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o la
vita sessuale effettuati da organismi sanitari.
[...]
Articolo 169
(Misure di sicurezza)
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste
dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da
diecimila euro a cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi,
anche con successivo atto del Garante, è impartita una prescrizione fissando
un termine per la regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare complessità o per
l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi.
Nei sessanta giorni successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a
pagare una somma pari al quarto del massimo dell'ammenda stabilita per la
contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo
che impartisce la prescrizione e il pubblico ministero provvedono nei modi di
cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994,
n. 758, e successive modificazioni, in quanto applicabili.
[...]
Allegato 1
ALLEGATO B
DISCIPLINARE TECNICO
IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)
[...]
/end quote
In altre parole, da quello che mi hanno spiegato, se per caso qualcuno dovesse
penetrare nel tuo pc, e lo usasse per depositarvi dati sensibili rubati ad
altri computer, sei corresponsabile dell'illecito che questo ha fatto nei
confronti di terzi, per il fatto che hai detenuto dati sensibili, senza
denuncia e senza avvertire i proprietari dei dati, oltrettutto non hai
applicato le misure di sicurezza adeguate a proteggere questi dati....
questa è l'intepretazione che mi è stata comunicata... credo che sia corretta,
ma mi piacerebbe sapere da qualcuno che bazzica nel campo se è reale come
interpretazione....
Byez
--
Gollum1
Tesssssoro, dov'é il mio tessssoro?
Reply to: