In Gazzetta Ufficiale il Decreto sull’identità digitale

Adesso ci siamo davvero o, meglio, ci saremo prima che arrivi la primavera.

Il Decreto che stabilisce le regole per il rilascio, l’utilizzo e la gestione delle identità digitali delle imprese e dei cittadini italiani è stato pubblicato ieri sulla Gazzetta Ufficiale della Repubblica.

Perché SPID – acronimo del Sistema Pubblico di Identità digitale – entri in funzione, a questo punto, manca solo che, al più tardi dopo la pausa natalizia l’Agenzia per l’Italia digitale, sentito il Garante per la Privacy, definisca le regole tecniche e le modalità attuative e che, sempre sentita l’Autorità Garante per la Privacy – entro sessanta giorni dalla pubblicazione in Gazzetta del Decreto, la stessa Agenzia vari il proprio regolamento relativo alle modalità di accreditamento  dei soggetti SPID e quello relativo alle   procedure   necessarie   a consentire ai gestori dell’identità digitale, tramite l’utilizzo  di altri sistemi di identificazione informatica  conformi  ai  requisiti dello SPID, il rilascio dell’identità digitale.

Poi ci saremo davvero o, almeno, potremmo esserci se il mercato e le pubbliche amministrazioni faranno la loro parte iniziando ad utilizzare e far utilizzare l’identità digitale a cittadini ed imprese.

[Continua qui su Nova de Il Sole 24 Ore]

Il rapporto tra identità personale ed identità digitale in materia di computer crimes

In materia di diritto delle nuove tecnologie, è tema di grande attualità ed interesse la relazione che intercorre tra la cd. identità digitale e l’identità personale.

Ci si è più volte chiesto, infatti, se in materia penale possa essere contestato un fatto di reato nei confronti di un individuo, quando gli unici elementi che consentono un’implicazione nella vicenda sono da ricondursi ad una password ed uno username.

Tale quesito è stato recentemente affrontato da una sentenza del Tribunale di Napoli, chiamato a pronunciarsi su diverse condotte di accesso abusivo a sistema informatico, compiute da una pluralità di soggetti tra loro riuniti ex art. 416 comma 2 e 5 c.p. Il caso di cui si tratta era relativo alla condotta di un dipendente pubblico, che avrebbe consultato la banca dati del proprio istituto, per finalità diverse da quelle connesse alla propria attività lavorativa, e per avere poi ceduto le informazioni acquisite a dei presunti complici esterni, che si sarebbero sostituiti agli effettivi beneficiari dei mandati di pagamento, procedendo, in loro vece, ad incassare pensioni, rimborsi, emolumenti e quant’altro.

Il Tribunale, al termine dell’istruttoria dibattimentale, ha affermato il principio che l’acquisizione dei dati informatici deve avvenire nel rispetto di procedure idonee a salvaguardarne la genuinità, in quanto, la successiva utilizzazione degli stessi in chiave probatoria e la possibilità di ritenerne sicura l’attendibilità, presuppone che la loro acquisizione sia avvenuta in modo da preservarli dal rischio, connesso inevitabilmente alla loro particolare natura, di manipolazioni, volontarie o accidentali.

Infatti, gli unici elementi a carico del dipendente erano costituiti da un elenco di file forniti, mediante consegna manuale agli inquirenti, dalle stesse persone offese: tale elenco era stato salvato su un supporto cd-rom, il quale conteneva a sua volta un file excel, all’interno del quale si sarebbero rinvenuti gli indizi – presunti – in relazione agli accessi abusivi al sistema informatico.

Il Tribunale ha di conseguenza evidenziato che, data la lacunosità degli accertamenti probatori compiuti, non poteva affermarsi pienamente provata la penale responsabilità dell’imputato, affermando di conseguenza che, anche in tema di reati informatici e di indagini che coinvolgono supporti digitali, la prova deve essere certa ed inequivocabile.

Da qui, la pronuncia assolutoria nei confronti dell’imputato, ai sensi dell’art. 530 comma 2 c.p.p.