Estratto da “Informatikrecht in der Praxis” di Mathias Kummer, lic.iur., LL.M.
La posta elettronica non crittografata è correlata a rischi significativi, poiché non garantisce alcun tipo di riservatezza. Le informazioni del mittente e del destinatario, così come il contenuto del messaggio, vengono trasferite attraverso la rete come testo in chiaro. In questo processo, le e-mail vengono inviate da un server all’altro e salvate in più copie. Su ognuno di questi server, il messaggio può essere letto da un amministratore o un hacker. Di conseguenza, la riservatezza di un’e-mail non crittografata può essere paragonata a quella di una cartolina.
Nei primi anni Duemila, il sistema americano di spionaggio «Echelon» ha fatto scalpore. La commissione d’indagine del Parlamento Europeo allora costituita aveva indicato in un rapporto che Echelon, molto probabilmente, era stato creato per attività di spionaggio di aziende europee e utenti locali. Agli utenti fu consigliato di crittografare le proprie e-mail per evitare un controllo indesiderato della corrispondenza riservata (cfr. anche l’articolo NZZ «Wachsende Angst vor Echelon» (Cresce la paura di Echelon) del 31.05.2001, n. 124, pag. 5.). Il tema dello spionaggio sistematico tra i vari Stati (parola chiave «cavallo di Troia federale») è ancora oggi attuale e spinoso.
Inoltre gli organismi statali monitorano, nel rispetto di rigide limitazioni, il traffico di e-mail per finalità di perseguimento penale. I messaggi e-mail non crittografati possono essere visualizzati facilmente anche dal proprio datore di lavoro e dai collaboratori del reparto informatico. Oggi le crittografie permettono anche di proteggersi dalla curiosità delle persone che ci stanno attorno.
Le crittografie end-to-end tra collaboratori e persone esterne, tuttavia, non vengono viste di buon occhio in ambito aziendale a causa del rischio di utilizzo improprio (virus, violazione del segreto aziendale), dei problemi di disponibilità delle e-mail archiviate e rilevanti per l’attività aziendale e poiché impediscono di fatto il controllo dell’attività all’interno dell’azienda. In alternativa, all’interno dell’azienda dovrebbe essere previsto un servizio centrale o un’appliance centrale che si occupi delle crittografie e delle decodifiche.
Una gestione inappropriata delle e-mail espone al rischio di divulgazione di segreti aziendali o commerciali. I progetti, le idee, le opere intellettuali, le informazioni di rilevanza personale possono venire intercettati e copiati. Se questo avviene, le conseguenze finanziarie e il danno d’immagine per l’azienda sarebbero tali da minacciarne l’esistenza stessa.
La violazione degli obblighi di segretezza e dei diritti della personalità può portare, a livello di diritto privato, a richieste di risarcimento danni e pagamenti di riparazione morale, sul piano del diritto penale può comportare multe o pene detentive, mentre sul piano della responsabilità professionale può avere come conseguenza pesanti misure disciplinari.
Il collaboratore che si è reso responsabile della rivelazione dei segreti può andare incontro a conseguenze sul piano del diritto del lavoro. Rientra nella responsabilità giuridica della direzione aziendale e del Consiglio di Amministrazione di un’azienda conoscere i requisiti relativi alla sicurezza informatica e definire le necessarie misure tecniche e organizzative. Questi organismi aziendali sono responsabili di organizzare e controllare la sicurezza informatica.
La direzione aziendale può delegare determinate competenze decisionali rilevanti per la sicurezza a collaboratori specializzati dell’azienda, ad es. al direttore del reparto IT. Quest’ultimo se ne assume la responsabilità nell’ambito della sua attività contrattuale di lavoro.
Lo stesso vale per tutte le altre lavoratrici e gli altri lavoratori. Essi devono eseguire il lavoro a loro delegato con cura e tutelare i legittimi interessi del datore di lavoro. A questo scopo è senza dubbio importante anche l’attenzione nell’utilizzo delle e-mail.
Le tecnologie attualmente esistenti permettono di crittografare senza alcuna difficoltà le informazioni elettroniche, in particolare i messaggi e-mail. I programmi attualmente disponibili sono semplici da utilizzare ed economicamente accessibili. Oggi è persino possibile inviare messaggi crittografati che possono essere visualizzati dal destinatario senza alcun software, codice o certificato particolare. Anche il destinatario, a sua volta, può facilmente rispondere con un messaggio crittografato. Si distingue tra processi di crittografia simmetrici e asimmetrici. Gli algoritmi simmetrici utilizzano la stessa chiave (chiave singola) sia per la crittografia che per la decrittografia. La lunghezza di default della chiave è 128 bit. Affinché il destinatario possa visualizzare il messaggio crittografato, ha bisogno di un accesso tramite password. Più complesso e più sicuro è invece il processo di crittografia asimmetrico. Esso si basa su una coppia di chiavi matematicamente accoppiate (chiave pubblica e chiave privata). Una chiave permette la crittografia del messaggio, l’altra la decrittografia. L’utente dispone pertanto di una chiave privata segreta (ad es. su una smart card protetta con codice PIN) e di una chiave pubblica distribuita in Internet. Un certificato (documento digitale) collega l’identità di una persona a una chiave pubblica. I certificati vengono emessi dalle Certification Authorities (autorità di certificazione). Per poter scambiare messaggi riservati mediante il processo di crittografia asimmetrica, entrambe le parti devono disporre di un paio di chiavi ciascuna. La crittografia non deve essere confusa con la firma digitale. Le informazioni possono essere firmate digitalmente per dimostrare tramite un processo hash matematico (un’«impronta» digitale dell’informazione) l’autenticità e/o l’integrità del messaggio.
Le soluzioni attualmente disponibili offrono una combinazione di crittografia e firma digitale. Il software open source GNU Privacy Guard (GPG) permette la crittografia e la firma dei dati. Il software integra diverse funzionalità di gestione delle chiavi e dispone di moduli di accesso per tutti i tipi di directory pubbliche di chiavi. Le e-mail crittografate e dotate di firma digitale permettono di garantire la riservatezza, l’autenticità e l’integrità dei dati. 3 Anche una cifratura alternativa dei dati, che vengono aggiunti a un’e-mail sotto forma di file allegato, è a oggi più sicura rispetto a una comunicazione non crittografata. Le crittografie simmetriche possono essere facilmente applicate anche ai programmi della suite MS Office. I file Word, Excel o Powerpoint possono essere infatti protetti con una password. Il destinatario del documento deve conoscere la password; quest’ultima deve quindi essergli stata comunicata perlomeno telefonicamente. Affidarsi soltanto a una crittografia simmetrica dei file Microsoft, tuttavia, non è sufficiente. Si tratta infatti di una protezione facilmente aggirabile.
L’invio di e-mail non crittografate può rappresentare una violazione dell’obbligo di trattamento confidenziale delle informazioni. Quest’obbligo deriva dagli accordi contrattuali e dalle prescrizioni di legge.
L’obbligo di discrezione può essere definito come obbligazione principale in un accordo di riservatezza (Non Disclosure Agreement, NDA). I partecipanti al progetto si impegnano espressamente a mantenere il segreto sulle informazioni o sui segreti commerciali di cui vengono a conoscenza e a non rivelarli a soggetti terzi. Nell’ambito di altri accordi, l’obbligo di discrezione viene generalmente definito come obbligo accessorio. Nel caso di relazioni d’affari fondate su un particolare rapporto di fiducia, l’obbligo del segreto può persino essere tacito, vale a dire che viene accettato senza accordo scritto o orale. Ai sensi dell’art. 398 CO, il consulente che opera nell’ambito di un mandato ha una serie di obblighi di fedeltà nei confronti del mandante. Tra questi figurano in particolare gli obblighi di discrezione e segretezza. Nell’ambito del mandato, l’inosservanza negligente della riservatezza rappresenta già di per sé una violazione contrattuale. La violazione di obblighi di segretezza contrattuali ha diverse conseguenze giuridiche a seconda della formulazione del contratto. Le principali comprendono obblighi di risarcimento danni, il pagamento di penali e la risoluzione del rapporto contrattuale.
Già a livello costituzionale viene dedicata attenzione alla protezione della sfera privata e della riservatezza. L’art. 13 della Costituzione federale stabilisce che ognuno ha diritto al rispetto della sua vita privata e familiare, della sua abitazione, della sua corrispondenza epistolare nonché delle sue relazioni via posta e telecomunicazioni, nonché il diritto d’essere protetto da un impiego abusivo dei suoi dati personali. Questo diritto di protezione viene concretizzato in diverse norme a livello legislativo. Secondo l’art. 28 e ss. del CC, chi è illecitamente leso nella sua personalità può, a sua tutela, chiedere l’intervento del giudice contro chiunque partecipi all’offesa. Le e-mail personali non crittografate non garantiscono la protezione della personalità. Inoltre, l’obbligo di fedeltà nell’ambito del mandato e del rapporto di lavoro definito nel Codice delle obbligazioni svizzero (CO) può comportare l’obbligo di discrezione. Nel caso di determinate categorie professionali, la fiducia tra le parti riveste un ruolo di assoluta priorità nell’ambito della relazione. Per questo i soggetti cosiddetti tenuti al segreto professionale, quali medici, avvocati, ecc. possono essere obbligati per legge alla segretezza, pena la comminazione di sanzioni penali. Il Codice penale svizzero (CP) contiene una nutrita serie di disposizioni relative alla riservatezza che richiedono l’adozione di misure adeguate per garantire la riservatezza delle informazioni, ad es. il segreto d’ufficio (art. 320 CP), il summenzionato segreto professionale (art. 321 e art. 321 bis CP), il segreto di fabbrica e il segreto commerciale (art. 162 e art. 273 CP) nonché l’obbligo di protezione dei segreti politici e militari (art. 267, art. 272 e art. 274 CP), cfr. anche nel prosieguo l’art. 35 LPD relativo alla violazione dell’obbligo di discrezione. Disposizioni particolari in materia di sicurezza informatica e riservatezza sono contenute nella normativa sulla protezione dei dati.
La normativa sulla protezione dei dati è finalizzata a proteggere la personalità delle persone per le quali vengono raccolti ed elaborati dati. Vengono tutelate sia le persone fisiche, sia le persone giuridiche. Le e-mail riguardano sotto molti aspetti i dati personali. Da una parte, spesso già l’indirizzo del mittente e del destinatario costituiscono dati personali; dall’altra parte, i contenuti delle e-mail possono riportare informazioni personali, ad es. segreti aziendali, verbali di colloqui con i collaboratori, ecc. La Legge federale sulla protezione dei dati (LPD) stabilisce all’art. 7 i requisiti relativi alla sicurezza delle informazioni. Nello specifico, prescrive che i dati personali vengano protetti contro ogni trattamento non autorizzato, mediante provvedimenti tecnici e organizzativi appropriati. Devono essere adottate misure per garantire la riservatezza, la disponibilità e la correttezza dei dati. Il legislatore lascia intenzionalmente all’utente il compito di individuare le misure opportune. L’utente deve decidere in merito ai mezzi da impiegare in funzione della finalità e della portata del trattamento dei dati, nonché dopo avere analizzato i possibili rischi per le persone coinvolte e tenendo conto dell’attuale stato della tecnica. Le misure da adottare per garantire la sicurezza dei dati devono inoltre essere decise in considerazione delle circostanze concrete del caso specifico. Tanto più le informazioni personali sono sensibili, quanto più sono richieste misure di protezione efficaci.
Per soddisfare i requisiti relativi alla sicurezza dei dati, le comunicazioni contenenti dati personali sensibili devono essere crittografate prima di essere trasmesse. Chi invia questo tipo di messaggi e-mail senza crittografia, viola la personalità delle persone interessate. I rischi in questo caso spaziano dal danno d’immagine alla richiesta di risarcimento danni, fino a rivendicazioni di riparazione morale. Chiunque intenzionalmente rivela in modo illecito dati personali segreti e degni di particolare protezione o profili della personalità, dei quali è venuto a conoscenza nell’esercizio di una professione che richiede la conoscenza di tali dati, è punito, a querela di parte, con la multa (art. 35 LPD; Violazione dell’obbligo di discrezione, segreto dei dati). Rispetto alla violazione del segreto professionale disciplinata nell’art. 321 CP, per commettere una violazione del segreto dei dati non è necessario appartenere a una categoria professionale specifica. Il reato perseguibile a querela di parte si applica soltanto in caso di rivelazione intenzionale di dati personali degni di particolare protezione o profili della personalità. Tra i dati personali degni di particolare protezione figurano le opinioni religiose, filosofiche, politiche, le informazioni sulla salute e sulla sfera intima di una persona, l’appartenenza a una razza, le misure d’assistenza sociale e i dati sui procedimenti o le sanzioni amministrativi e penali. I profili della personalità sono raccolte di dati che consentono una valutazione di aspetti fondamentali della personalità di una persona fisica, ad es. i profili dei clienti. La rivelazione di un segreto non personale non viene contemplata dall’art. 35 LPD.
A essere punibile è solo la rivelazione intenzionale. Con il termine «comunicazione», la Legge sulla protezione dei dati indica il fatto di rendere accessibili i dati personali, ad esempio l’autorizzazione della consultazione, la trasmissione o la diffusione (art. 3 LPD). Le e-mail non crittografate rendono possibile questo tipo di consultazione. La mancanza di riservatezza dei messaggi elettronici non crittografati deve oggi essere considerata come universalmente nota. Chi invia dati personali degni di particolare protezione o profili della personalità agisce come minimo con intenzionalità condizionale – ed è quindi punibile. Il segreto dei dati di cui all’art. 35 LPD può essere violato inviando e-mail non crittografate. Così facendo, il mittente rischia una multa.
I soggetti tenuti al segreto professionale sono tenuti all’obbligo di discrezione sia a norma di legge, sia sul piano della responsabilità professionale, proprio in ragione del rapporto di fiducia che si instaura con i loro clienti. Si tratta in particolare di avvocati, medici, farmacisti, revisori, ecclesiastici, ecc. L’invio di e-mail non crittografate non è compatibile con il particolare rapporto di fiducia e con gli obblighi di segretezza dei soggetti tenuti al segreto professionale.
La violazione del segreto professionale viene punita con una pena detentiva fino a 3 anni o con una pena pecuniaria (art. 321 CP). Viene punita soltanto la rivelazione intenzionale di segreti confidati. Come già detto, la mancanza di riservatezza delle e-mail non crittografate deve oggi essere considerata come universalmente nota. Il soggetto tenuto al segreto professionale agisce pertanto come minimo con intenzionalità condizionale – ed è quindi punibile.
Un consenso valido del mandante alla comunicazione e-mail non crittografata presuppone che vi sia consapevolezza in merito ai rischi. Negli ultimi anni, questa consapevolezza è sicuramente aumentata. Ciò nonostante, un avvocato o un amministratore fiduciario non può sempre essere certo che la propria controparte sia a conoscenza della mancanza di riservatezza, integrità e autenticità che una mancanza di crittografia comporta. Per questo, l’avvocato o l’amministratore fiduciario deve adempiere a questo riguardo a un obbligo d’informare. Un consenso tacito può essere dato se la comunicazione e-mail viene avviata dal mandante e quest’ultimo invia già elettronicamente contenuti riservati. In questi casi, è necessario come minimo inserire sul sito web e nella risposta e-mail un’avvertenza ben visibile indicante la mancanza di riservatezza della comunicazione e-mail non crittografata. Per prevenire l’incertezza giuridica riguardo all’esistenza di un accordo valido per l’impiego di e-mail non crittografate, è consigliabile ottenere il consenso esplicito del cliente.
Un modo più elegante e convincente di procedere, capace inoltre di spazzare via qualunque incertezza giuridica, consiste nel crittografare in modo sistematico i messaggi riservati.
I messaggi e-mail non crittografati non soddisfano alcun requisito di riservatezza. Per questo, non sono adatti per far viaggiare informazioni sensibili attraverso Internet. In molti rapporti contrattuali, la collaborazione è basata sulla fiducia. L’obbligo di discrezione può essere stabilito a livello contrattuale o prescritto per legge. Per i soggetti tenuti al segreto professionale, come medici, avvocati o revisori, gli obblighi di segretezza sono talmente determinanti che la loro violazione viene punita con una pena pecuniaria o detentiva. L’invio di e-mail non crittografate non è compatibile con il rapporto di fiducia e gli obblighi di segretezza che il soggetto tenuto al segreto professionale deve di volta in volta assicurare. L’invio di e-mail non crittografate contenenti informazioni personali può inoltre violare i diritti della personalità delle persone e delle imprese interessate. La legge richiede l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati. Grazie ai processi di crittografia oggi disponibili, i partecipanti alla comunicazione possono crittografare le loro comunicazioni in modo semplice e affidabile, impedendo di fatto la visualizzazione del contenuto delle e-mail durante il trasferimento al destinatario. La crittografia dei messaggi e-mail sensibili garantisce la riservatezza e l’integrità delle informazioni trasmesse. Per i soggetti tenuti al segreto professionale e per i mittenti di e-mail sensibili in generale, l’impiego di soluzioni di crittografia risulta pertanto imprescindibile. In caso contrario si espongono al rischio di richieste di risarcimento danni, multe, pene detentive, sanzioni disciplinari e perdita di reputazione.
Letzte Änderung 3. Novembre 2021
