Sicurezza

Sicurezza delle informazioni e delel reti

Italian Data Protection Authority: electronic health file, more protection for patients (July 8th 2015)

privacy-soddier-sanitario.jpg

The Italian Data Protection Authority has adopted new guidelines regarding the “Electronic Health File” which require informed consent, the recording of ‘access paths’, immediate communication of data breaches

On July 6th 2015, the Italian Data Protection Authority published new guidelines on the electronic health file (‘dossier sanitario elettronico’ in Italian) (here in  Italian).
The main news regards:

  • greater protection of patient data,
  • more transparency
  • obligation for health organizations to immediately notify the DP Authority of the so-called data breaches (breaches or cyber incidents, such as attacks, unauthorized access, actions of malware, loss, theft), which may have a significant impact on the data.

The patient will have the opportunity to know who accesses on electronic health file.
The purpose of the Guidelines is to define a frame of reference for the proper treatment of the data collected in the electronic health file, which is already established or will be established in the future, by public or private health organizations.
The electronic health file is the instrument made by a single health facility (a hospital, a health care centre, a nursing home), which collects information on the health of a patient in order to document their clinical history from that single structure and offer better care.
It differs from the electronic health record (in Italian: ‘fascicolo sanitario elettronico’) which contains the entire medical history of a person generated by different health facilities.
The provision of the Italian DP Guarantor, which will be published in the Official Journal, provides  that patients should be allowed to choose, in complete freedom, whether or not to be in the patient dossier.
In the absence of consensus the doctor will have only the information that is given at that time by the patient or previous services provided by the same professional.
The absence of consent should not have any influence on the possibility of access to the requested health care.

Specific consent will be required to include particularly sensitive information (ie HIV infections, interventions of abortion, data on sexual violence or child abuse) in the electronic health file.
To allow the patient to make a free and conscious choice, the health structure will have to inform in a clear manner, indicating in particular, who will have access to his data and what kind of operations can be carried-out.
The healthcare facility will also ensure the patient can exercise his rights, recognized by the Privacy Code (ie data access, integration, correction, etc.) and knowledge of the department, the date and time under which the consultation of the dossier was made.
The patient must also be guaranteed the opportunity to ‘obscure’ some data or medical records that he does not intend to include in the dossier.
Given the particular sensitivity of the dossier, the Guarantor has prescribed the adoption of high security measures.
Health data will be separate from other personal data, and criteria will be identified for the encryption of sensitive data.
Access to the file will be allowed only to the healthcare professionals involved in the care.
Every access and each operation, even also the simple consultation, will be tracked and recorded automatically in special log files that the structure will keep for at least 24 months.
Any data breaches or cyber incidents must be reported to the Authority, within forty-eight hours of knowledge of the fact, through a form prepared by the Guarantor at: databreach.dossier@pec.gpdp.it

Annexes (in Italian)

Links

Italian DPA documents on Health Data (in English):

See also

ComplianceNet: 

Privacy sanitaria più precisa (Italia Oggi, 7 luglio 2015)

ItaliaOggiLogo.jpg

Il garante obbliga le strutture mediche a segnalare tempestivamente (48 ore) le violazioni.
Un Data protection officer per gestire i dossier clinici

  • di Antonio Ciccia Messina

Un data protection officer (Dpo) negli organismi sanitari: è la figura professionale consigliata dal garante della privacy per la gestione del dossier sanitario e di tutti gli adempimenti imposti dalle Linee Guida, approvate con la deliberazione n. 331 del 4 giugno 2015.
Viene introdotto anche l’obbligo a carico delle strutture sanitarie di segnalare al garante stesso eventuali attacchi ai data base e si prescrive la necessità di un consenso ad hoc per questo trattamento.
Ma vediamo di illustrare i contenuti del provvedimento, che riguarda le strutture sanitarie sia pubbliche sia private
Per prima cosa va evidenziato che cosa è il dossier elettronico, da tenere distinto dalla cartella clinica e dal Fascicolo sanitario elettronico (FSE).
Il dossier sanitario elettronico è lo strumento costituito presso un’unica struttura sanitaria (un ospedale, un’azienda sanitaria, una casa di cura), che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura.
Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l’intera storia clinica di una persona generata da più strutture sanitarie.
Il dossier è diverso anche dalla cartella clinica, che è finalizzata a rilevare tutte le informazioni su un paziente e relative a un singolo episodio di ricovero.
La prima prescrizione concerne il consenso del paziente: all’interessato è consentito di scegliere se far costituire o meno il dossier sanitario.
Il consenso al dossier, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura, deve essere autonomo e specifico.
Se il paziente non acconsente ad aprire il dossier sanitario, il professionista che lo prende in cura avrà a disposizione solo le informazioni rese in quel momento dallo stesso interessato (in sostanza anamnesi e documentazione diagnostica consegnata) e quelle relative alle precedenti prestazioni erogate dallo stesso professionista.

150707-ita-privacy.png
Anche il personale sanitario di reparto/ambulatorio, in mancanza di dossier, avrà accesso solo alle informazioni relative all’episodio per il quale l’interessato si è rivolto presso quella struttura e alle altre informazioni relative alle eventuali prestazioni sanitarie erogate in passato da quel reparto/ambulatorio.
Il consenso è necessario anche per l’inserimento delle informazioni relative a eventi sanitari pregressi e il paziente può anche scegliere che le informazioni sanitarie pregresse non siano trattate mediante il dossier.
La mancanza del consenso non deve, però, incidere minimamente sulla possibilità di accedere alle cure richieste.
Per poter inserire nel dossier informazioni particolarmente delicate sarà necessario un consenso specifico: si tratta, in particolare, dei dati relativi ad atti di violenza sessuale o di pedofilia, all’infezioni da HIV o all’uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, interventi di interruzione volontaria della gravidanza o parti in anonimato e i servizi offerti dai consultori familiari.
In tali casi, l’interessato può richiedere che tali informazioni siano consultabili solo da parte di alcuni soggetti dallo stesso individuati (per esempio, solo dallo specialista presso cui è in cura), fermo restando la possibilità che agli stessi possano sempre accedere i professionisti che li hanno elaborati.
La struttura sanitaria, inoltre, dovrà garantire al paziente l’esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica e la conoscenza del reparto, della data e dell’orario in cui è avvenuta la consultazione del suo dossier).
Al paziente dovrà essere garantita anche la possibilità di oscurare alcuni dati o documenti sanitari che non intende far confluire nel dossier.
Per questo la struttura sanitaria deve avvisare che i dati potrebbero non essere completi, in quanto l’interessato potrebbe aver esercitato il diritto di oscuramento.
I dati oscurati restano comunque disponibili al professionista sanitario o alla struttura interna al titolare che li ha raccolti o elaborati (per esempio, referto accessibile tramite dossier da parte del professionista, che lo ha redatto, cartella clinica accessibile da parte del reparto di ricovero).
L’accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura.
Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.
Sono esclusi periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, e anche il personale medico nell’esercizio di attività medico-legale (per esempio visite per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni).
Per la gestione del dossier il garante auspica la nomina di un Data Protection Officer, anticipando per il settore sanità una norma del futuro regolamento europeo sulla privacy.
Eventuali violazioni di dati o incidenti informatici dovranno essere comunicati al garante, entro 48 ore dalla conoscenza del fatto, attraverso un modulo reperibile all’indirizzo databreach.dossier@pec.gpdp.it.

Ultimi articoli su Privacy

Ultimi articoli su Sicurezza

Garante Privacy: dossier sanitario elettronico, più tutele per i pazienti (6 luglio 2015)

privacy-soddier-sanitario.jpg

Il Garante Privacy adotta le nuove linee guida: consenso informato, accessi  tracciati, immediata comunicazione dei data breach

Varate  dal Garante privacy le nuove Linee guida sul dossier sanitario elettronico [doc. web n. 4084632].
Maggiori tutele per i dati dei pazienti, più trasparenza e obbligo per le strutture sanitarie di comunicare immediatamente all’Autorità i cosiddetti data breach (violazioni o incidenti informatici, come attacchi, accessi abusivi, azioni di malware, perdita, furto), che possano avere un impatto significativo sui dati.
Il paziente avrà la possibilità di conoscere gli accessi eseguiti sul proprio dossier.
Scopo delle Linee guida è quello di definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire,  da parte di strutture sanitarie pubbliche e private.
Il dossier sanitario elettronico è lo strumento costituito presso un’unica struttura sanitaria (un ospedale, un’azienda sanitaria, una casa di cura), che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura.
Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l’intera storia clinica di una persona generata da più strutture sanitarie.
Il provvedimento del Garante, in corso di pubblicazione nella Gazzetta ufficiale, stabilisce, in particolare, che ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o  meno il dossier sanitario.
In assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista.
La mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste.
Per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico.
Per consentire al paziente di scegliere in maniera libera e consapevole, la struttura dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere.
La struttura sanitaria inoltre, dovrà garantire al paziente l’esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la conoscenza del reparto, della data e dell’orario in cui è avvenuta la consultazione del suo dossier.
Al paziente dovrà essere garantita anche la possibilità di "oscurare" alcuni dati o documenti sanitari che non intende far confluire nel dossier.
Considerata la particolare delicatezza del dossier il Garante ha prescritto l’adozione di elevate misure di sicurezza.
I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili.
L’accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura.
Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.
Eventuali violazioni di dati o incidenti informatici dovranno essere comunicati all’Autorità, entro quarantotto ore dalla conoscenza del fatto, attraverso un modulo predisposto dal Garante all’indirizzo: databreach.dossier@pec.gpdp.it.

Allegati

Deliberazione del 4 luglio 2015
Allegato A - Linee Guida
Allegato B - Modello comunicazione data breach
Allegato C – Definizioni

Ultimi articoli su Privacy

Ultimi articoli su Sicurezza

ComplianceNet: 

Social media terreno minato. Viaggio fra i pericoli della rete (Italia Oggi, 6 luglio 2015)

ItaliaOggiLogo.jpg

Fonte: AssiNews

  • Pagine a cura di Antonio Ciccia Messina

Il fatturato del cybercrime in Italia raggiunge 9 miliardi di euro.
E nonostante siano aumentati gli investimenti in sicurezza informatica (saliti dell'8% nel 2014 a livello globale, nonostante il perdurare della crisi economica), come evidenzia il rapporto Clusit http://clusit.it/rapportoclusit/ (Associazione italiana per la sicurezza informatica), il numero e la gravità degli attacchi nel 2015 continuano ad aumentare.
Inoltre secondo il Microsoft Security Intelligence Report nel 2014 si è registrato in Italia un tasso di esposizione a malware del 20%, contro una media mondiale del 19%, mentre negli Stati Uniti, in Inghilterra e in Francia il valore è compreso tra il 12 e il 13%.
Tra i destinatari principali degli attacchi ci sono i social network, utilizzati come vettori di attacco per la diffusione di malware e per effettuare frodi basate su social engineering.
Anche l’affermazione sul mercato di smartphone e tablet spiega l’aumento sostanziale di attacchi verso questo genere di strumenti: i produttori di device mobili, sviluppatori di applicazioni ed utenti (corporate e finali), spiega il rapporto Clusit saranno costretti a rivedere le proprie strategie e i propri investimenti in materia di mobile, ponendo l’accento sulla sicurezza e non più solo sugli aspetti marketing o di business.
Il rapporto Clusit individua, poi, nei Pos un punto di debolezza, da cui passeranno gli attacchi e le frodi ai danni di piccoli esercizi commerciali.
In questo quadro generale si collocano i tentativi di disciplinare l’uso della rete sia attraverso operazioni culturali e di promozione della conoscenza, sia attraverso l’applicazione delle disposizioni sanzionatorie penali e civile, che non sempre appare in grado di reggere il passo con i delitti della «rete».
Se non altro per un dato allarmante. Si calcola che solo un terzo degli attacchi in rete siano percepiti dal soggetto danneggiato. Questo significa che in due casi su tre l’autore dell’illecito la fa tranquillamente franca e il suo reato rimane contabilizzato in una cifra oscura che misura l’impunità.

Le indicazioni del Garante della privacy

L’Autorità garante per la protezione dei dati personali batte da tempo sulla necessità di prevenire i danni con un uso attento dei social network e della rete in generale.
Non è facile scardinare alcuni pregiudizi, che spingono a condotte improprie.
Un pregiudizio fortissimo è la convinzione che si può navigare senza lasciare traccia e senza essere mai beccati.
La possibilità di mantenere l’anonimato, in vero, è una leggenda metropolitana.
Eppure, spiega sempre il garante della privacy, i social network sono strumenti che danno l’impressione di uno spazio personale, o di piccola comunità.
Si tratta però di un falso senso di intimità che può spingere gli utenti a esporre troppo la propria vita privata e professionale, a rivelare informazioni confidenziali, orientamenti politici, scelte sessuali, fede religiosa o condizioni di salute, provocando gravi «effetti collaterali», anche a distanza di anni, che non devono essere sottovalutati.
Inoltre l’idea (falsa) di impunità trasmessa dalla possibilità di utilizzare ad esempio messaggi che si «autodistruggono» o di nascondersi dietro forme di anonimato può favorire in rete atteggiamenti aggressivi o violenti, in particolare verso le persone più giovani e indifese.
Il Garante della privacy nel suo vademecum sui social network mette, invece, in evidenza che si può risalire all’identità di chi che pubblica testi, immagini, video su internet.
Questo ovviamente vale anche per chi usa i social network per danneggiare l’immagine o la reputazione di un’altra persona.
L’anonimato in rete, spiega il Garante della privacy, può essere usato per necessità, ma mai per commettere reati: in questo caso le autorità competenti hanno molti strumenti per intervenire e scoprire il «colpevole».
Sul piano culturale bisogna rafforzare il senso della delicatezza e della pericolosità delle operazioni che si fanno in rete.
Quando si carica un testo o un’immagine, le potenzialità di fruizione e manipolazione del testo e dell’immagine superano le capacità di controllo, che decrescono tanto repentinamente quanto maggiore è e la velocità della diffusione.
Quando si inseriscono dati personali su un sito di social network, se ne perde il controllo.
I dati possono essere registrati da tutti i contatti e dai componenti dei gruppi cui si è aderito, rielaborati, diffusi, anche a distanza di anni.
A volte, accettando di entrare in un social network, si concede al fornitore del servizio la licenza di usare senza limiti di tempo il materiale che si inserisce on-line e, quindi, le foto, le chat, gli scritti, le opinioni.
Questa la ragione, per cui, spiega il Garante, quando si carica on-line una foto che ritrae terze persone o quando si tagga un’immagine inserendo dati personali altrui, bisogna domandarsi se ci possono essere riflessi negativi sulla privacy e nel dubbio è meglio chiedere il consenso.
Meglio lasciar perdere gli hacker, e i troll, nel gioco perverso, stando lontano dalle aggressioni virtuali.
Il web non è un luogo senza regole dove ogni utente può dire o fare quello che vuole.
Valgono, invece, sia norme di civile convivenza, così come le norme che tutelano dalla diffamazione, dalla violazione della tua dignità: le esigenze di tutela sono identiche e valgono nella vita reale come sui social network, in chat o sui blog. Come sostiene il garante della privacy Non esistono zone franche dalle leggi e dal buon senso.
Anche se la dimensione globale della rete non sempre garantisce l’applicabilità della legge italiana (sede estera dei social network e dei loro server).

Ultimi articoli su Privacy

Privacy: Mobile payment, scattano gli obblighi imposti dal Garante privacy (31 marzo 2015)

Mobile_payment_01.jpg

(Fonte: immagine "Mobile payment 01" by HLundgaard - Own work. Licensed under CC BY-SA 3.0 via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mobile_payment_01.jpg#/media/File...)

Dal 1° aprile 2015 più tutele per i consumatori e regole certe per le società del settore
Tempo scaduto per le società che operano nel settore del mobile payment per adeguarsi alle prescrizioni dettate dal Garante privacy.
Dal 1° aprile 2015 le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l’interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione (come quelli che consentono, anche tramite app, l’accesso al mercato digitale) dovranno essere in regola con il provvedimento generale varato dal Garante privacy nel maggio 2014 [doc. web n. 3161560].
Grazie alle nuove regole, chi usufruisce dei servizi di pagamento da remoto, utilizzando smartphone, tablet, pc, potrà acquistare in sicurezza prodotti e servizi digitali, abbonarsi a quotidiani on line, comprare e-book, video e giochi.
Dal 1° aprile 2015, quindi, gli utenti che acquistano beni digitali dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto.
I loro dati (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) potranno essere conservati al massimo per 6 mesi e non potranno essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini senza uno specifico consenso.
L’indirizzo IP degli utenti dovrà essere cancellato dal venditore una volta terminata la procedura di acquisto.
Precise misure di sicurezza dovranno essere adottate per garantire la riservatezza delle persone e impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sul consumo di beni digitali) a fini di profilazione "incrociata" dell’utenza a meno che non venga espresso uno specifico consenso informato dell’utente.
I venditori a garanzia della riservatezza delle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

Allegato

ComplianceNet: 

La Relazione sulla politica dell’informazione per la sicurezza 2014 (27 febbraio 2015)

150301-sicurezzanazionale

Come previsto dalla legge, la Relazione sulla politica della sicurezza anche quest’anno viene presentata al Parlamento entro il mese di febbraio.
La novità è per quanti utilizzano smartphone, tablet oppure e-reader perché oltre al tradizionale formato PDF, la Relazione 2014 è disponibile anche in formato ePub.

Allegati

  • Relazione al Parlamento 2014 (pdf, 4.1 MB)
  • Relazione al Parlamento 2014 (ePUB, 1.1 MB)

Indice della Relazione 2014

premessa
L’intelligence nell’impianto istituzionale
Un percorso di rinnovamento
Le linee guida della relazione
Parte I – le asimmetrie della minaccia
La cyberthreat
Le dinamiche economico-finanziarie
Strumentalizzazioni estremiste e minaccia eversiva
La minaccia terroristica internazionale e la sua dimensione domestica
La proliferazione di armi non convenzionali
Parte II – le aree di instabilità
Gli scenari di crisi in africa
Il conflitto siriano e il medio oriente
Il quadrante afghano-pakistano
Scenari e tendenze: una sintesi
Allegato: documento di sicurezza nazionale

Premessa alla Relazione 2014

(qui la “Premessa” completa  in pdf , 381 K, 15 pp.)

Sintesi

L’impianto espositivo della Relazione compone il quadro dei prioritari ambiti di attenzione dell’intelligence aggregandoli attorno a tre macro-aree tematiche:

  • il fenomeno jihadista,
  • le vulnerabilità del tessuto economico e le connesse dinamiche sociali,
  • le minacce attestate nello spazio cibernetico.

In linea con la precedente edizione, chiudono la Relazione un breve capitolo sulle prospettive del rischio e l’allegato “Documento di Sicurezza Nazionale” che riferisce, come previsto dalla normativa vigente (art. 38, comma 1-bis della legge 124/2007), sulle attività svolte in materia di tutela delle infrastrutture critiche nonché di protezione cibernetica e sicurezza informatica.

1° parte - “Jihad globale, Jihad regionale”

La 1° parte, dal titolo “Jihad globale, Jihad regionale”, si sofferma in primo luogo sull’evoluzione de La minaccia in Occidente, così come qualificata dall’affermazione dello Stato Islamico, dall’accresciuta effervescenza della galassia jihadista e dalla connessa, accentuata capacità di presa del messaggio radicale, affidato a forme di comunicazione sempre più efficaci e pervasive.
In quest’ottica l’estremismo homegrown, inteso anche quale bacino di reclutamento per aspiranti combattenti, viene individuato come il principale driver della minaccia terroristica, riferibile tanto a lupi solitari e a cellule autonome quanto al diretto ingaggio da parte di organizzazioni strutturate operanti nei teatri di jihad.
Segue quindi il capitolo sugli Scenari africani e mediorientali, nel quale l’attivismo delle formazioni terroristiche di ispirazione jihadista rappresenta un significativo connettore tra le aree di instabilità che interessano il Nord Africa, il quadrante sahelo-sahariano e il Medio Oriente.
In esordio vengono tratteggiati gli sviluppi intervenuti nel corso dell’anno in Libia, Tunisia, Marocco, Algeria ed Egitto. Si prosegue con le evoluzioni in Mali, Somalia, Kenia, Golfo di Guinea, Nigeria, Repubblica Centrafricana e Sud Sudan. Quanto alle regioni mediorientali, una sezione ad hoc è dedicata al conflitto in “Syrak”, con specifico riguardo all’accresciuto protagonismo dello Stato Islamico, a scapito delle altre formazioni estremiste, e all’impatto della crisi in chiave umanitaria e di sicurezza sui Paesi limitrofi, quali Libano e Giordania. I passaggi successivi sono dedicati al difficile processo di stabilizzazione in atto in Yemen, alle evoluzioni del dossier nucleare iraniano e agli sviluppi del processo di pace israelo-palestinese.
Il focus sulle criticità regionali si sposta più ad Est, con una panoramica su Vecchie e nuove frontiere del jihad, in relazione alla situazione sul campo in Afghanistan e Pakistan, ancora caratterizzata dal dinamismo della componente Taliban, all’attivismo estremista in altre realtà centroasiatiche e al possibile incremento delle attività terroristiche nel Sub-continente indiano e nel Sud-Est asiatico.

2° parte – la sfida Eco-Fin

Le minacce trattate nella 2° parte hanno come riferimento la sfida Eco-Fin e il framework sociale.
Nella sezione concernente Le minacce all’economia, muovendo dagli indicatori che attestano il persistere, nel 2014, della fase recessiva, viene evidenziata la centralità della dimensione economico-finanziaria quale ambito prioritario di attenzione dell’intelligence a presidio degli assetti strategici ed interessi nazionali secondo varie direttrici d’azione: contro lo spionaggio industriale e le pratiche lesive della concorrenza sui mercati nazionali ed internazionali; a tutela dei nostri investimenti all’estero e delle linee di approvvigionamento energetico; in direzione dei fenomeni di evasione ed elusione fiscale; a protezione della stabilità del sistema bancario e finanziario.
Si continua con il crimine organizzato, in primo luogo per evidenziare come le mafie, sfruttando gli effetti negativi della crisi, abbiano continuato a perseguire strategie d’infiltrazione in diversi settori dell’economia mediante il riciclaggio di capitali di provenienza illecita e l’acquisizione di realtà imprenditoriali in difficoltà. Ci si sofferma poi sugli interessi della criminalità organizzata italiana all’estero e sulla vitalità di strutturati gruppi criminali stranieri operanti in Italia.
In tema di Spinte anti-sistema e minaccia eversiva, si dà conto dei rilevati segnali di intensificazione del disagio e delle possibili tensioni sociali alla luce dell’attivismo di formazioni antagoniste, di diversa matrice, intenzionate a radicalizzare le varie proteste sul territorio e ad innalzare il livello di contrapposizione con le Istituzioni. Sono trattati, inoltre, i profili di rischio riconducibili all’eversione anarco-insurrezionalista e all’estremismo marxista-leninista, nonché, in chiusura, i tratti distintivi e quelli più insidiosi, dell’attivismo di estrema destra.
A seguire, il capitolo La pressione delle crisi sulle frontiere dell’Europa è dedicato al sensibile dossier dell’immigrazione clandestina, che vede i Servizi d’informazione impegnati a contrastare sul piano informativo un fenomeno che trae origine dalle crisi regionali e viene sfruttato da organizzazioni criminali sempre più ramificate ed interconnesse. In questa chiave si fa riferimento alle rotte e direttrici del traffico, ai sodalizi coinvolti ed all’impatto sul territorio nazionale.

3° parte - la minaccia nel cyberspazio

La 3° parte dell’elaborato, intitolata la minaccia nel cyberspazio, muove dai più significativi aspetti fenomenici de La cyberthreat per tratteggiare poi le sfide future che l’intelligence dovrà fronteggiare con riguardo all’evoluzione delle modalità operative e all’ampio range di finalità e attori, cui corrisponde un ventaglio altrettanto diversificato nelle tipologie di rischio per la sicurezza del Sistema Paese: dagli attacchi alla sicurezza delle infrastrutture critiche nazionali allo spionaggio digitale, dall’hacktivismo contro obiettivi istituzionali al cyberjihad.
Segue poi il Capitolo su Azione preventiva e prospettive, centrato sulla risposta dell’intelligence e sulle possibili evoluzioni del fenomeno.

Scenari e tendenze: una sintesi

La Relazione si conclude con “Scenari e tendenze: una sintesi”, che riassume in chiave prospettica il composito panorama della minaccia che impegnerà l’intelligence nell’immediato futuro. Sulla base degli indicatori sin qui raccolti, è prevedibile che l’azione degli Organismi informativi debba rimanere prioritariamente focalizzata sul terrorismo di matrice jihadista e sulle minacce al sistema Paese, incluse quelle che si dispiegano nel cyberspazio.
L’allegato “Documento di sicurezza nazionale”, infine, compendia le attività poste in essere dal Comparto – attraverso un articolato processo al quale partecipano fattivamente tutte le componenti dell’architettura cyber nazionale, così come delineata nel DPCM del 24 gennaio 2013 – in materia di tutela delle infrastrutture critiche materiali e immateriali, nonché di protezione cibernetica e sicurezza informatica nazionale.

 

Cresce l’allarme per gli attacchi informatici (Il Sole 24 Ore, 24 febbraio 2015)

il-sole24ore-logo

Per fare in modo che il cyber attack non si ripercuota negativamente sui risultati delle aziende, il risk management deve riuscire a gestire notevoli rischi che possono coinvolgere gli asset più importanti delle società.
Tra questi rientrano senz'altro i dati sensibili dei clienti, i piani aziendali e le informazioni finanziarie.
C’è un legame diretto tra innovazione e cyber risk perché i sistemi informatici non sono infallibili e la loro vulnerabilità è un fenomeno sempre più diffuso.
Negli ultimi anni gli attacchi informatici più significativi sono stati quelli alla PlayStation network di Sony, da cui sono stati sottratti i dati personali di 77 milioni di iscritti e il cyber attack a Adobe Systems, con la sottrazione di 38 milioni di password di utenti.
Per trasformare un programma di sicurezza informatica standard-driver in un programma più sicuro e con meno rischi non servono solo le risorse economiche ma anche la capacità di applicare nuovi approcci.
Per il mondo assicurativo la gestione del rischio informatico avviene tramite canali convenzionali che risultano poco efficaci nella mitigazione del cyber attack e allo stesso tempo prosciugano la gran parte degli investimenti dedicati a questo tipo di sinistro.
Nel nostro Paese, secondo la relazione sulla politica dell’informazione per la sicurezza del 2013, il cyber risk è al primo posto tra i rischi che minacciano la sicurezza nazionale e le imprese italiane, con danni al sistema economico stimati in circa 20-40 milioni.
Il cyber risk è un fenomeno che colpisce le imprese di tutte le dimensioni rappresentando dunque una delle minacce più importanti.
Il rischio cyber è tuttavia sovranazionale, per nulla legato alla territorialità. Gli attacchi possono arrivare da qualsiasi luogo e i dati, privi di fisicità e spesso affidati in gestione a terzi, non risiedono in un punto specifico.
Questo è uno dei motivi per cui le polizze cyber risk coprono i dati ovunque risiedano e durante la trasmissione degli stessi in tutto il mondo.
L’interruzione di un servizio, il danno derivante dalla trasmissione di un virus, il furto di dati sensibili o il rilascio degli stessi in ambienti non verificati, il furto di proprietà intellettuale sono solo alcune delle garanzie che queste polizze cyber risk possono offrire.
I principali rischi informatici o cyber risks sono il furto o manipolazione illecita di dati sensibili, la divulgazione di informazioni riservate, violazione della proprietà intellettuale, perdita di dati con conseguente perdita finanziaria, perdita dei ricavi, interruzione del supply chain management con conseguente perdita degli ordini, l'accesso alle informazioni personali e la diffusione di virus nei computer che possono distruggere o bloccare le funzioni di una rete di computer e le relative operazioni aziendali.
Le coperture assicurative possono garantire protezione per danneggiamento dei dati personali, interruzione di servizio, violazione della privacy, estorsione e terrorismo cyber.
Esistono inoltre delle opzioni per garantirsi per i rischi diretti come i costi di recupero dei dati, il supporto tecnologico/legale/investigativo, i costi di sostituzione, il furto della proprietà intellettuale etc.
La polizza cyber a terzi (third party coverage) va invece a coprire situazioni come il discredito, contraffazione e plagio, i diritti di privacy e perdita di fiducia, la trasmissione di virus o l’interruzione di servizio oltre che danni economici (danni contrattuali) e perdita di reputazione.
Naturalmente l’offerta assicurativa è influenzata da un quadro normativo in continua evoluzione.
Il 7 febbraio 2013 è stata presentata dalla Commissione europea una nuova strategia per rafforzare i principi della cyber sicurezza già in essere, la quale prevede onerose sanzioni pecuniarie nei confronti delle imprese che non adottino idonee misure di prevenzione.
La strategia è accompagnata da una proposta di direttiva recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione.
La direttiva potrà richiedere, tra l’altro, la notifica dei rischi potenziali sulla sicurezza e anche che gli incidenti avvenuti siano riportati ad un’autorità per la cyber sicurezza che sarà costituita “ad hoc” tra tutti i membri.
Interessate dalla nuova direttiva sulla cyber security sono: le amministrazioni pubbliche; i fornitori di servizi informatici, quali fornitori di piattaforme di e-commerce, social networks, servizi di cloud computing, i cosidetti application store, sistemi di pagamento on-line e motori di ricerca, internet service providers, application service providers; enti che operano infrastrutture critiche, compresi i fornitori di energia e i trasportatori (ad esempio, vettori aerei, operatori del trasporto ferroviario e fornitori di servizi di logistica); organizzazioni del settore sanitario (comprese cliniche private); istituzioni bancarie e di credito, e Borse.
Sarà prevista una specifica deroga in favore delle microimprese e dunque, secondo la regolamentazione Ue, le società il cui organico è inferiore a 10 persone e il cui fatturato o il totale di bilancio annuale non superi 2 milioni di euro. Le altre pmi non saranno esenti e saranno tenute a conformarsi alla direttiva sulla cyber security in pieno.
Il 12 agosto 2013 è stata anche emanata la direttiva 2013/40/Ue del Parlamento Europeo e del Consiglio che invita gli Stati membri a introdurre sanzioni penali contro gli attacchi ai sistemi di informazione
La minaccia di attacchi cyber è ormai concreta.
Anche se non potremo mai essere un passo avanti, prevenire è meglio che curare, così un’adeguata protezione dei sistemi, insieme all'assicurazione su misura, è la chiave per mitigare gli effetti del cyber crime.

 

ComplianceNet: 

Conto corrente: “Colpa parziale se il cliente non nota l’hacker” (Il Sole 24 Ore, 27 novembre 2014)

il-sole24ore-logo

Il correntista che utilizza il servizio di home banking non è tenuto a controllare a ogni accesso i singoli movimenti effettuati sul conto
di Antonino Porracciolo
Il correntista che utilizza il servizio di home banking non è tenuto a controllare a ogni accesso i singoli movimenti effettuati sul conto.
Ma c’è un suo concorso di colpa se dopo ripetuti accessi non si avveda della sottrazione di ingenti somme.
È quanto emerge da una sentenza del 3 novembre del Tribunale di Caltanissetta (giudice Gaetano Sole).
La controversia scaturisce dalla richiesta di restituzione di denaro, avanzata da una società nei confronti della banca presso cui era titolare di due conti correnti.
Si lamentava che, con un abusivo accesso telematico, un hacker aveva effettuato ordini di bonifico a favore di uno sconosciuto.
Secondo la società, la banca era responsabile della sottrazione perché non aveva predisposto un adeguato sistema di protezione dalle frodi informatiche.
L’istituto si è difeso sostenendo di aver invitato i propri correntisti a munirsi del dispositivo di Otp (One time password) che avrebbe permesso un’autenticazione più sicura.
E ha aggiunto che, dopo l’accesso attraverso user id e password, non era possibile sindacare il merito delle operazioni effettuate.
Nell’accogliere parzialmente la domanda, il Tribunale osserva, innanzitutto, che con la convenzione di home banking stipulata dalle parti la banca si era impegnata ad assicurare l’efficienza del sistema nonché riservatezza e integrità delle informazioni con adeguata protezione da accessi non autorizzati.
L’istituto era dunque tenuto – osserva il giudice – alla diligenza del buon banchiere e al «maggior grado di prudenza e attenzione che la connotazione professionale dell’agente richiede», e quindi ad adottare «misure idonee a garantire la sicurezza del servizio».
Nel caso esaminato, il Tribunale afferma che la banca non ha dimostrato di aver adempiuto esattamente a tali obblighi.
Secondo il giudice nisseno, infatti, il codice-utente e la password di accesso «non possono ritenersi sufficienti ad assicurare un livello sufficiente di sicurezza» né la banca aveva dimostrato che il cliente non aveva custodito con diligenza le credenziali d’accesso.
Inoltre, l’istituto avrebbe potuto attivare il servizio di Sms per consentire al cliente di fermare tempestivamente gli ordini di bonifico illeciti.
Il Tribunale osserva inoltre che nessuna norma impone al correntista di effettuare a ogni singolo accesso un controllo puntuale della lista dei movimenti.
Ma, esaminando il solo saldo, il cliente avrebbe potuto accorgersi dell’ammanco (quando i bonifici non autorizzati avevano superato i 70mila euro) e quindi richiedere il blocco del servizio di home banking.
Ragioni che inducono il Tribunale a ritenere non risarcibili (in base all’articolo 1227 del Codice civile sul «concorso del fatto colposo del creditore») le sottrazioni successive alla data in cui il cliente aveva effettuato accessi che gli avrebbero consentito di rilevare le ingenti sottrazioni.

Articoli collegati su Sicurezza

ComplianceNet: 

Giudici severi sui reati nel web (Il Sole 24 Ore, 24 novembre 2014)

il-sole24ore-logo

Diffamazione tramite social network e ingiuria
Diffamazione tramite social network e ingiuria.
Sono alcuni dei reati commessi via internet, che i giudici sanzionano con sempre maggiore severità.
Linea dura per molestie e stalking e paletti per la pubblicazione delle foto online.
Si consolida, dunque, la giurisprudenza sui reati nel web.
Sul fronte delle prove i giudici aprono anche alle intercettazioni delle conversazioni tramite Skype.
Dopo anni di incertezze e cautele, la giurisprudenza sui reati commessi nel web si sta consolidando.
E, sull’onda delle querele che negli ultimi anni hanno travolto le Procure, i giudici hanno sposato orientamenti più severi.
Tra i reati più comuni, c’è la diffamazione tramite social network aggravata dal «mezzo di pubblicità» utilizzato (articolo 595, comma 3, del Codice penale) ma non dalla legge sulla stampa, come alcune Procure hanno sostenuto in passato.
I casi esaminati dai giudici italiani riguardano Facebook, ma i principi valgono anche per altri mezzi (Twitter, Linkedin, eccetera).
Ci sono 90 giorni di tempo per sporgere querela; diventa quindi fondamentale salvare la pagina web su supporto durevole (cd o chiavetta usb), che comprende anche i codici Html, per preservarne l’autenticità anche in caso di rimozione.
In generale, è sempre buona norma avvalersi anche di testimoni, in grado di riferire in giudizio il contenuto dei post offensivi.
I giudici stringono le maglie anche su chi clicca «mi piace» ai commenti altrui.
Quest’anno sono scattati i primi rinvii a giudizio per concorso in diffamazione aggravata che tengono conto del fatto che l’addebito offensivo alla reputazione della vittima aumenta in proporzione alle persone che apprezzano i post denigratori.
Se l’insulto avviene in chat, invece, il reato configurabile è quello di ingiuria e anche in questo caso può dar luogo al risarcimento del danno (anche non patrimoniale).
Non si sfugge alla condanna nemmeno sostenendo di essere stati vittima di un furto di identità. L’eventuale accesso abusivo all’account di posta elettronica o al profilo social deve essere dimostrato con prove tracciabili e documentate.
I giudici hanno messo dei paletti anche alle foto pubblicate online.
Non si possono postare neppure le foto del coniuge o di altri familiari senza il loro consenso.
In caso di violazione, il tribunale potrà ordinare la rimozione coattiva.
La richiesta può essere fatta dalla parte interessata, instaurando un procedimento cautelare d’urgenza (in base all’articolo 700 del Codice di procedura civile) che in poco tempo porterà all’ordinanza di rimozione.
A essere violati in questo caso sono la legge sul diritto d’autore (articoli 96 e 97 della legge 633/41) e il Testo unico sulla privacy (articolo 23).
È bene che facciano attenzione i genitori che pubblicano le foto dei figli minorenni: raggiunta la maggiore età, i figli potrebbero azionare i propri diritti in giudizio e i genitori potrebbero essere sanzionati.
Invece divulgare in chat o via mail il numero di cellulare di altri può portare a una condanna per il reato di trattamento illecito dei dati personali, in base all’articolo 167 del Testo unico sulla privacy (Cassazione, sentenza 21839 del 1° giugno 2011).
I giudici sanzionano inoltre le molestie e lo stalking commesso tramite Facebook, perché il social network rappresenta un luogo aperto al pubblico.
Se i messaggi (sia in bacheca che privati) sono costanti e in grado di turbare la vita della vittima non si sfugge a una condanna che, nei casi più gravi, può arrivare fino a quattro anni.
Paga pegno anche il “narcisista virtuale”: i giudici aprono al reato di sostituzione di persona a mezzo social network.
Creare un falso profilo, anche di un vip, può costare una pena fino a un anno (articolo 494 del Codice penale).
La Cassazione ha, infatti, chiarito che il bene giuridico protetto dalla norma è la fiducia degli utenti e il dolo specifico può consistere nel solo scopo di ottenere un vantaggio non economico, come l’immeritata visibilità e attenzione degli utenti.
Sul fronte delle prove, i giudici aprono alle intercettazioni delle conversazioni a mezzo Skype.
Se la comunicazione avviene in viva voce, bastano una microspia ambientale e l’autorizzazione del Gip per portare la prova in giudizio.
Più discutibile, invece, la possibilità di ricorrere al cosiddetto captatore informatico (trojan) per intercettare le comunicazioni Voip.
Nessuna violazione della privacy se si depositano in giudizio videoregistrazioni di conversazioni private fatte con smartphone.
Se servono a tutelare un diritto e non recano un danno a terzi, rappresentano una prova documentale.
Attenzione, infine, alle promesse di matrimonio via internet: se poi non vanno a buon fine, potrebbero giustificare la richiesta di restituzione dei doni fatti in vista delle nozze.
Non esistono sentenze sul punto, ma la Cassazione ha precisato che i social network sono luoghi aperti al pubblico e in quanto tali potrebbero vincolare alla restituzione dei regali scambiati (articolo 80 del Codice civile).
Modificare il proprio status e promettersi amore eterno, quindi, potrebbe costare caro ai nubendi.

 

L’orario anomalo non è accesso abusivo al sistema informatico (Il Sole 24 Ore, 20 novembre 2014)

il-sole24ore-logo

Non è reato il collegamento in tempi non previsti dalla prassi interna

  • di Patrizia Maciocchi

Escluso il reato di accesso abusivo per il dipendente che entra nel sistema informatico in orari diversi da quelli previsti dalla prassi aziendale.
La Corte di cassazione con la sentenza 47938 depositata ieri, annulla la condanna nei confronti di un dipendente dell’Agenzia delle Entrate che nel pomeriggio, orario di chiusura degli uffici al pubblico, aveva effettuato diverse operazioni relative alla posizione di uno studio professionale.
L’Agenzia gli aveva contestato, oltre all’accesso abusivo anche l’abuso d’ufficio sul presupposto che l’impiegato, con la sua “solerzia”, aveva procurato un ingiusto vantaggio allo studio con il quale avrebbe collaborato.
L’ultima accusa era però caduta dopo la verifica della regolarità, dal punto di vista contabile, degli interventi effettuati.
Restava in piedi la contestazione dell’accesso abusivo, giustificata dall’ora anomala nella quale il lavoro era stato svolto.
Una motivazione che il ricorrente ritiene non valida alla luce della giurisprudenza della Cassazione che, anche a Sezioni Unite, fa scattare il reato di accesso abusivo in assenza di abilitazione o quando questa è limitata ad alcune operazioni e il sistema viene usato per ragioni diverse.
Il diretto interessato considera dunque ingiustificato qualunque addebito mosso solo in virtù dell’orario in cui aveva operato.
E i giudici della quinta sezione gli danno ragione.
La Cassazione sottolinea che quando il reato, previsto dall’articolo 615-ter del codice penale, viene contestato a un soggetto abilitato all’accesso, quello che conta perché l’accusa regga è che questo, pur essendo entrato legittimamente, si sia trattenuto nel sistema oltre i limiti fissati dal titolare o vi abbia svolto attività non autorizzate in base al suo contratto o alle prassi aziendali.
Nel caso esaminato non era accaduto nulla di tutto questo.
Venuta meno l’imputazione dell’ingiusto vantaggio la condanna, inflitta dalla Corte d’Appello, si reggeva solo sulla circostanza che le pratiche erano state evase in un orario in cui l’ufficio era chiuso al pubblico.
Per la Suprema corte non è una buona ragione.
Eventuali disposizioni sulla collocazione oraria degli accessi telematici, nella giornata lavorativa del dipendente, non possono essere considerate rilevanti ai fini della violazione contestata.
La norma incriminatrice tutela, infatti, il domicilio informatico, riguardo alle modalità che ne regolano l’accesso, allo scopo di dare la possibilità al titolare di esercitare il suo “potere di esclusione”.
Obiettivo rispetto al quale sono del tutto irrilevanti le indicazioni sull’orario in cui, chi è autorizzato ad operare, può entrare nei programmi aziendali: i tempi riguardano semmai l’organizzazione interna dell’ufficio nel quale il sistema è operativo.
Diverso, in questa prospettiva è il problema della permanenza nel sistema, che diventa penalmente rilevante se protratta oltre quanto stabilito dalle disposizioni del titolare.

Allegato

  • Corte di cassazione - Sezione V penale - Sentenza 19 novembre 2014 n. 47398 (pdf, su sito del Sole 24 Ore )

Pagine