Sicurezza

Fonte: Corriere Comunicazioni

• Qui il testo della direttiva in pdf  (dal sito stefanomele.it)

Pubblicato in Gazzetta Ufficiale il Dpcm che regola le attività strategiche. Un Nucleo per la sicurezza cibernetica realizzerà gli interventi previsti in un Piano nazionale ad hoc. In campo anche l'Agenzia per l'Italia digitale

• di Federica Meta
  

Cybersecurity, l'Italia avrà la sua task force

L’Italia ha finalmente la sua strategia per la cybersicurezza. È stato pubblicato sulla “Gazzetta Ufficiale” del 19 marzo 2013 n. 66 il decreto del presidente del Consiglio dei ministri 24 gennaio 2013 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. Il decreto definisce “l'architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi”.
Il provvedimento prevede che nell'immediato, vengano essere create le condizioni perché, a legislazione vigente, possa essere sviluppata un'azione integrata che metta a fattor comune le diverse attribuzioni istituzionali, ed inoltre assicuri, in una logica di partenariato anche delle competenze proprie degli operatori privati.
L'architettura deve svilupparsi su tre distinti livelli d'intervento, di cui il primo di indirizzo politico e coordinamento strategico a cui affidare l'elaborazione di un Piano nazionale per la sicurezza dello spazio cibernetico; il secondo di supporto con funzioni di raccordo nei confronti di tutte le amministrazioni ed enti competenti per l'attuazione degli obiettivi e delle linee di azione indicate dalla pianificazione nazionale e che provveda a programmare l'attività operativa a livello interministeriale e ad attivare le procedure di allertamento in caso di crisi; il terzo livello, di gestione delle crisi, con il compito di curare e coordinare le attività di risposta e di ripristino della funzionalità dei sistemi, avvalendosi di tutte le componenti interessate.
Il modello organizzativo-funzionale deve assicurare il pieno raccordo, in particolare, con le funzioni del Ministero dello sviluppo economico e dell'Agenzia per l'Italia digitale, nonché con l'attività e le strutture di difesa dello spazio cibernetico del Ministero della difesa, con quelle del Ministero dell'interno, dedicate alla prevenzione e al contrasto del crimine informatico e alla difesa civile, e con quelle della protezione civile.
La legge attribuisce al Comitato interministeriale per la sicurezza della Repubblica (CISR) compiti di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell'informazione per la sicurezza, nonché di elaborazione degli indirizzi generali e degli obiettivi fondamentali da perseguire nel quadro della politica dell'informazione per la sicurezza.  
A sostenere il CISR nel suo compito, dovrà essere istituita presso la Scuola di formazione del DIS un organo dedicato, cui affidare anche compiti funzionali alla promozione e diffusione di una cultura della sicurezza cibernetica.
Per attuare le linee di intervento sarà costituito un Nucleo per la sicurezza cibernetica, da istituire presso l'Ufficio del Consigliere militare del Presidente del Consiglio dei Ministri.
Infine, una ulteriore e specifica esigenza di coordinamento si pone con riguardo alla gestione operativa delle crisi e all'adozione delle misure necessarie al ripristino della funzionalità dei sistemi, richiedendo la chiara definizione di ruoli e procedure in modo da garantire un processo decisionale unitario e, al contempo, l'interazione degli organi nazionali preposti alla gestione dell'emergenza con gli omologhi organismi esistenti a livello internazionale; per queste finalità, deve essere previsto un organo interministeriale da attivare in caso di crisi.
Quest'organo è individuato nel Nucleo interministeriale situazione e, prevedendone una configurazione, come "Tavolo interministeriale di crisi cibernetica", funzionale all'ottimale gestione delle crisi di natura cibernetica; l'organo, per gli aspetti tecnici di computer emergency   response, si avvale del CERT nazionale istituito presso il Ministero dello sviluppo economico ai sensi del decreto legislativo n. 259/2003.

Il 19 marzo 2013 l’Europol ha pubblicato il rapporto "EU Serious and Organised Crime Threat Assessment (SOCTA)", qui in pdf  (46 pp. 635 K).
Presentando lo studio, il direttore di Europol Rob Wainwright ha evidenzia come le organizzazioni criminali agiscono ormai come vere e proprie aziende, organizzate in modo professionale ed efficiente, specializzate per aree di "business", con un forte focus internazionale e l'utilizzo di tecnologie di avanguardia anche 2.0.
Come racconta Lettera43 presentando il rapporto “Se il narcotraffico resta il business più redditizio, il cyber-crimine costituisce la nuova frontiera. L'online, che permette di agire da fonti remote mantenendo l'anonimato ha aperto le porte a una vasta gamma delittiva, dalla pedopornografia, alla prostituzione, alle frodi (solo quelle con le carte di credito vale 1,5 miliardi l'anno). E con la tecnologia 'cloud', che sposta il luogo di storage dei dati, scoprire i criminali diventa anche più difficile. Con la crisi è aumentata anche la propensione alla corruzione, che in Ue pesa già per 120 miliardi di euro l'anno, pari all'1% del pil. Un fenomeno in via di diffusione soprattutto in quei Paesi dove le misure di austerità hanno portato a contrazioni salariali”.
Tra i crimini inseriti nella lista di priorità, con la richiesta di un’azione concertata da parte degli stati membri:, il favoreggiamento dell’immigrazione illegale, il traffico di esseri umani, la contraffazione di prodotti con conseguenze sulla salute e sulla sicurezza, il cybercrime, il riciclaggio.
Il loro grado di emergenza, secondo quanto viene spiegato, deriva dal loro forte impatto sociale.

Rassegna web

• Europol, “3600 organised crime groups active in the EU”, 19 marzo 2013
• Lettera43, Europol: «3.600 nuove mafie minacciano l'Ue», 19 marzo 2013
• Sonia Alfano, Criminalità: Europol traccia identikit nuove mafie,3600 in Ue, 19 marzo 2013

Allegato

• Europol, "EU Serious and Organised Crime Threat Assessment (SOCTA)", Public Version, march 2013, qui in pdf  (46 pp. 635 K).

• Fonte: IusLetter

È pronto il provvedimento dell’agenzia delle Entrate che integra l’archivio dei rapporti finanziari

• di Marco Bellinazzo

Dopo i rilievi sollevati dal Garante della Privacy (con i provvedimenti del 17 aprile 2012, del 15 novembre 2012 e del 31 gennaio 2013) prende corpo così il nuovo sistema di controllo rafforzato su saldi e movimenti dei conti correnti e degli altri tipi di strumenti finanziari.
Entro il 31 ottobre 2013 – e non più entro il mese di aprile, quindi – dovranno essere comunicate, in particolare, le informazioni relative alle diverse tipologie di rapporti attivi nel 2011.
Lo scorso 7 marzo si è tenuto, infatti, un incontro delle principali associazioni di categoria delle banche e degli altri operatori finanziari con l’agenzia delle Entrate, nel corso del quale è stato concordato il nuovo calendario per l’invio delle comunicazioni annuali: quelle relative al 2012, perciò, dovranno essere trasmesse entro il 31 marzo 2014, mentre a regime i dati degli anni successivi dovranno essere inviati entro il 20 aprile (per i dati relativi al 2013 la scadenza è il 20 aprile 2014).
Il provvedimento del direttore dell’Agenzia, Attilio Befera, attua le disposizioni dell’articolo 11, commi 2 e 3, del Dl 201/11, convertito con modificazioni dalla legge 214/11 (sul contenuto e sull’utilizzo in chiave anti-evasione dell’archivio, si veda l’articolo in basso).
In particolare, gli intermediari finanziari elencati all’articolo 7, sesto comma, del Dpr 29 settembre 1973, n. 605 (già obbligati alla comunicazione all’anagrafe tributaria prevista dal provvedimento del 19 gennaio 2007), – tra cui banche, Poste italiane, intermediari, imprese di investimento, organismi di investimento collettivo del risparmio e società di gestione del risparmio – dovranno segnalare i dati identificativi del rapporto, compreso il codice univoco, riferito al soggetto persona fisica o non fisica che ne ha la disponibilità e a tutti i cointestatari (nel caso di intestazione a più soggetti), nonché i dati relativi al saldo iniziale al 1° gennaio e al saldo finale al 31 dicembre.
Per i rapporti avviati nel corso dell’anno il saldo iniziale ovviamente dovrà tener conto della data di apertura, mentre per quelli chiusi nel corso dell’anno il saldo andrà contabilizzato al momento della data di chiusura. Andranno anche indicati i dati relativi agli importi totali delle movimentazioni distinte tra dare e avere per ogni tipologia di rapporto conteggiati su base annua. Finiranno nel censimento, oltre ai conti correnti, tra l’altro, i conti deposito titoli, le gestioni patrimoniali, i rapporti fiduciari (legge 1966/39), le carte di credito/debito, le operazioni extra-conto, le cassette di sicurezza (relativamente al numero di accessi annuali), certificati di deposito e buoni fruttiferi e contratti derivati. Sono esclusi, invece, fondi pensione e finanziamenti.
Per garantire la sicurezza delle trasmissioni informatiche è previsto che gli operatori finanziari comunichino i dati utilizzando, previa registrazione sul sito internet delle Entrate, la nuova infrastruttura Sid, attraverso la nuova piattaforma di file transfer protocol (Ftp). Nel solo caso di trasmissione di file inferiori a 20 mb in formato compresso, è possibile l’utilizzo, sempre in modalità automatizzata, del servizio di posta elettronica certificata. Sempre nella prospettiva della sicurezza e della tutela della riservatezza viene poi stabilito che i dati siano conservati entro i termini di decadenza dell’accertamento e quindi fino al 31 dicembre del sesto anno successivo a ogni anno d’imposta, dopo di che saranno automaticamente cancellati.
In attesa della pubblicazione del provvedimento e delle relative specifiche tecniche è stata convocata intanto una riunione per mercoledì prossimo, 20 marzo, con gli operatori (sede Abi di Roma) per approfondire le problematiche di natura interpretativa e quelle informatiche ancora esistenti.

Sul sito http://www.sicurezzanazionale.gov.it/ è stata pubblicata la "Relazione sulla politica dell'informazione per la sicurezza e sui risultati conseguiti nel 2012" presentata al Parlamento (qui in pdf protetto [sic!]).

Di seguito pubblichiamo il testo completo del paragrafo "La minaccia cibernetica" contenuto nel capitolo “2. L’impatto delle nuove tecnologie” (da pag. 37 a pag. 47) della “Relazione” .

L'intero capitolo 2, che comprende oltre al paragrafo  "La minaccia cibernetica" anche un secondo paragrafo, "L'uso del web a fini propagandistici: il messaggio Qaidista" è disponibile, a cura di ComplianceNet, anche in formato mobi, epub, pdf, xhtml, doc, odt . 

Qui sono disponibili l'Executive Summary e l'indice completo della  "Relazione sulla politica dell'informazione per la sicurezza e sui risultati conseguiti nel 2012"

2.1    La minaccia cibernetica

2.1.1    L’evoluzione del fenomeno

La minaccia cibernetica rappresenta, al momento, la sfida più impegnativa per il sistema Paese a motivo dei suoi peculiari tratti caratterizzanti che attengono tanto al dominio digitale nel quale viene condotta, quanto alla sua natura diffusa e transnazionale, quanto ancora agli effetti potenziali in grado di produrre ricadute peggiori di quelle ipotizzabili a seguito di attacchi convenzionali e di incidere sull'esercizio di libertà essenziali per il sistema democratico.
La natura complessa, impalpabile e pervasiva della cyberthreat rende le soluzioni al problema di non facile individuazione ed applicazione poiché gli attori, i mezzi, le tecniche di attacco ed i bersagli mutano più velocemente delle contromisure.
L'analisi del fenomeno conferma che le minacce informatiche, sempre più sofisticate, gravano su tutte le piattaforme, dai sistemi complessi e strutturati dello Stato e delle grandi aziende, ai computer ed agli smartphone dei singoli cittadini. La diffusione capillare dei mezzi di comunicazione telematica, divenuti ormai strumento irrinunciabile nella vita quotidiana, ha incrementato sensibilmente la possibilità di sfruttamento della rete a fini invasivi, aumentando le vulnerabilità dei sistemi ed ampliando il bacino di soggetti potenzialmente esposti.
Rispetto alla magnitudine ed all'estensione di tale minaccia il presidio di sicurezza necessariamente si dispiega su due livelli.
Il primo, sul piano della cooperazione internazionale e della codificazione di terminologie, nozioni, fattispecie, regole e pratiche per assicurare reciprocità di risposta e di gestione delle fasi acute di crisi indotte dalla realizzazione di attacchi su larga scala.
Ciò, sia tenuto conto della saliente "a-territorialità" della minaccia cibernetica, sia in considerazione della capacità di propagazione  lungo le latitudini di eventi critici, come nei casi della diffusione di virus informatici e delle congestioni provocate su reti infrastrutturali, energetiche, di trasporto e di comunicazione, transnazionali.
Il secondo livello, interconnesso con il precedente, pone al centro della strategia di contrasto il concetto di sicurezza partecipata e, con un'enfasi maggiore rispetto agli altri fattori di rischio per gli interessi della Nazione, l'esigenza di garantire un approccio di sistema.

2.1.2    La strategia di risposta nazionale

Le vastissime implicazioni della minaccia cibernetica sulla sicurezza dello Stato e del sistema Paese sono state all'origine, come indicato in Premessa, delle norme introdotte dalla legge n. 133/2012 e del Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013 (vds. riquadro 9) volto a dare attuazione alle nuove disposizioni. Nella consapevolezza che la costruzione di un quadro strategico in materia debba svilupparsi secondo una logica incrementale che fissi in maniera progressiva obiettivi e direttrici di azione, il provvedimento normativo definisce una prima strategia nazionale di sicurezza cibernetica, delineando l'azione degli Organismi di informazione in tema di cyberthreat e richiamando istituti e strumenti utilizzabili a supporto dell'attività intelligence. Vengono quindi individuati gli Organi nazionali di riferimento per la sicurezza dello spazio cibernetico in grado di interagire con le corrispondenti Autorità estere e definita l'azione di coordinamento delle attività di prevenzione e risposta, in analogia con le iniziative da tempo assunte in altre realtà statuali e internazionali.
Sono significative, al riguardo, le misure adottate in ambito NATO in coerenza con la rivisitata politica nordatlantica in tema di cyberdefence, ribadita in occasione del Summit di Chicago svoltosi a maggio, volte a "centralizzare" il sistema di protezione delle sue reti e a implementare le capacità di risposta.
Nel medesimo quadro si pone, quale irrinunciabile asset strategico di contrasto, la diffusione di una cultura della prevenzione cibernetica e della cybersecurity, secondo un approccio integrato e multidisciplinare che non manchi di includere iniziative volte a sensibilizzare la collettività, nonché a promuovere la formazione tecnico-specialistica, lo sviluppo della ricerca, il coordinato raccordo tra pubblico e privato e lo scambio di conoscenze anche in ambito internazionale.

• Fonte: Eutekne.info  

Il Codice Privacy prevede tale esimente, purché sia in conformità all’Autorizzazione Generale del Garante

• di Luca LEONE

l DLgs. 196/2003 (“Codice in materia di protezione dei dati personali”) dispone, in generale, che il trattamento dei dati sia effettuato con il consenso informato dell’interessato.
Il consenso, in alcuni casi, deve essere manifestato in forma scritta: è questo il caso dei dati sensibili, cioè di quei “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
Questi dati vengono trattati da diversi Titolari del trattamento nella gestione del rapporto di lavoro. Si pensi, ad esempio:

• ai dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell’obiezione di coscienza;
• ai dati concernenti l’esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali;
• ai dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità, gravidanza, puerperio o allattamento, a infortuni, a esposizioni a fattori di rischio, all’idoneità psico-fisica a svolgere determinate mansioni, all’appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell’interessato, o comunque relativi anche all’indicazione della malattia come specifica causa di assenza del lavoratore.

In questi casi, l’art. 26, comma 4, lett. d) del Codice Privacy prevede l’esimente dal consenso scritto “quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’articolo 111”. Il codice deontologico di cui all’art. 111 non è ancora stato emanato e ben difficilmente potrà esserlo, considerando l’arrivo nel 2014 del nuovo Regolamento Europeo in materia di trattamento dei dati personali.
Il titolare del trattamento, quindi, dovrà analizzare bene i limiti previsti dall’autorizzazione e, più precisamente, dall’Autorizzazione Generale n. 1/2012 – Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro.
Queste Autorizzazioni, definite “generali” e che costituiscono il principio di legittimità del trattamento, sono previste all’interno del Codice e vengono emanate dal Garante circa ogni anno (quelle in vigore sono quelle emanate il 13 dicembre 2012 ed hanno efficacia dal 1° gennaio al 31 dicembre 2013).
All’interno dell’Autorizzazione il Garante individua:

• l’ambito di applicazione;
• gli interessati ai quali i dati si riferiscono;
• le finalità del trattamento;
• le categorie di dati.

Il titolare del trattamento deve raccogliere i dati, di regola, presso l’interessato e prevedere idonee procedure affinché la comunicazione di dati all’interessato avvenga di regola direttamente a quest’ultimo o a un suo delegato, in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.
Inoltre, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti previsti dalle finalità individuate nell’Autorizzazione.
Il Titolare deve mettere in atto controlli periodici per verificare costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa.
Infine, il Garante ricorda gli obblighi di fornire all’interessato idonea informativa e l’adozione delle misure idonee e minime di sicurezza previste dal Codice Privacy e dall’Allegato B.

Articoli correlati

• Luca LEONE - Sul web, necessaria una maggiore attenzione alla privacy - Eutekne.Info del 1 marzo 2013

• Fonte: AssiNews

«Un attacco cibernetico può produrre effetti devastanti e immobilizzare l'intero Paese». Novità per il reclutamento delle spie.

• di Virginia Piccolillo

È una platea particolare quella alla quale il presidente del Consiglio uscente, Mario Monti, affida un allarme, un annuncio e un auspicio: la sicurezza informatica del nostro Paese sarebbe in pericolo, per questo verrà pubblicato a breve un decreto per «accrescere le capacità di rispondere alle nuove minacce», con la speranza che «entro l'anno venga varato il piano nazionale per la sicurezza dello spazio cibernetico».
È il quartier generale delle spie italiane, nella storica sede dell'Aisi (Agenzia informazioni e sicurezza interna) per la prima volta aperta alla stampa, in occasione dell'inaugurazione dell'anno accademico della Scuola di formazione.
Niente sedili ad espulsione telescopica o barbe finte in dotazione, ovviamente, solo un'austera aula magna rivestita in legno, dove siederanno, d'ora in poi fianco a fianco, i nuovi agenti di Aisi e Aise (le agenzie per l'informazione e la sicurezza interna ed esterna, ex Sisde e Sismi).
Ma l'averne fatto varcare la soglia ai giornalisti vuole essere un «segnale» della nuova linea di «trasparenza» che nelle intenzioni di Giampiero Massolo, direttore generale del Dis (il dipartimento informazioni e sicurezza che coordina Aisi e Aise), dovrebbe caratterizzare il nuovo corso dell'intelligence: «Non siamo interessati — assicura Massolo, ambasciatore ed ex portavoce della Farnesina — alla riservatezza fine a se stessa».
«Sì alla riservatezza», «no a ombre sul sistema», raccomanda Monti.
Altra novità assoluta la collaborazione con i privati.
«Stiamo intensificando il rapporto tra intelligence e aziende private e presto faremo una convenzione per lo scambio di informazioni», annuncia Massolo. L'idea, spiegano, è quella di un'intelligence meno arroccata in se stessa, che possa ricevere contributi e analisi anche da aziende di interesse strategico nazionale.
Nuovo anche il reclutamento delle spie.
Pescate, spiega Massolo, «al 60% non dai soliti bacini»: ovvero le forze di polizia, le forze armate e gli amici degli amici. Ma con due selezioni online e attraverso una collaborazione con le università. Profili di «qualità elevatissima», assicurano ai servizi, capaci di affrontare le sfide del futuro: in grado di muoversi senza ostacoli nel mondo del web; capaci di padroneggiare con scioltezza lingue rare; analisti iperspecializzati di scenari finanziari ed economici.
Si arriva così alla piena attuazione della riforma del 2007, ha spiegato ieri Monti, di fronte ai vertici dell'intelligence (il direttore dell'Aise, Adriano Santini, e quello dell'Aisi, Arturo Esposito), ministri e autorità.
Ora scatta la fase due. Adeguare i servizi ai nuovi scenari.
«Il nuovo decreto in arrivo — spiega Monti — pone le basi per ottenere un sistema organico, sotto la guida del premier, in cui le varie componenti possono dare un contributo sinergico per meglio affrontare la minaccia cibernetica».
A Palazzo Chigi viene istituito il Nucleo per la sicurezza cibernetica con funzioni di raccordo delle attività svolte dagli enti competenti e di punto di riferimento nazionale per i rapporti con Onu, Ue, Nato e con altri Stati.
In caso di crisi si attiva un tavolo di coordinamento presieduto dal consigliere militare del premier. Al Dis il decreto affida la formulazione delle indicazioni necessarie ad individuare le cyber-minacce, riconoscere le vulnerabilità e adottare le migliori soluzioni.

L'intervento di Monti (audio)

• Il discorso di Monti all'inaugurazione dell'anno accademico della Scuola per la Sicurezza (mp3) 

Articoli collegati

• Relazione sulla politica dell’informazione della sicurezza 2012 - Executive Summary (6 marzo 2013)

Sul sito http://www.sicurezzanazionale.gov.it/ è stata pubblicata la "Relazione sulla politica dell'informazione per la sicurezza e sui risultati conseguiti nel 2012" presentata al Parlamento (qui in pdf protetto [sic!]).
La Repubblica dedica un’ampia recensione alla"“Relazione"  sottolineando tra gli altri i seguenti aspetti:

Sono gli sms la nuova frontiera del finanziamento al terrorismo

La novità emerge dall'ultima Relazione annuale dei servizi segreti al Parlamento, che individua "modalità di trasferimento di valuta attraverso normali cellulari, previa creazione di appositi account presso compagnie telefoniche collegate con banche convenzionate o società finanziarie". Il sistema, già operativo in Afghanistan, Pakistan e Somalia, "permette il trasferimento di denaro mediante la semplice trasmissione di un sms dal cellulare del mittente a quello del destinatario che in tal modo si vede accreditare la somma indicata all'interno del messaggio".

Il ruolo della camorra

"La camorra casalese, nonostante le importanti e destabilizzanti attività di contrasto, si conferma dotata di risorse umane, forza militare e capacità collusiva e di condizionamento tali da assicurare la persistente operatività nelle aree di origine e in quelle di proiezione, tra cui Emilia Romagna, Toscana e basso Lazio".
Il rischio banche
Sul fronte della tutela del sistema bancario e finanziario nazionale, "l'attività svolta ha continuato a far emergere indicatori di rischio in relazione alla costituzione di taluni istituti per la opacità dei capitali apportati e dei requisiti degli amministratori, all'allargamento dell'azionariato con l'ingresso di nuovi soci dal profilo ambiguo ed alla distorta gestione del credito da parte di esponenti aziendali sleali".

Minaccia del cybercrime

"La minaccia cibernetica rappresenta, al momento, la sfida più impegnativa per il sistema Paese", dicono gli 007 italiani, secondo cui non solo "gli effetti potenziali sono in grado di produrre ricadute peggiori di quelle ipotizzabili a seguito di attacchi convenzionali e di incidere sull'esercizio di libertà democratiche essenziali" ma "gli autori, le tecniche di attacco ed i bersagli mutano più velocemente delle contromisure", rendendo difficile tentare di risolvere il problema. Per gli 007, "le minacce informatiche, sempre più sofisticate, gravano su tutte le piattaforme, dai sistemi complessi e strutturati dello Stato e della grandi aziende ai computer e agli smartphone dei singoli cittadini".

Nel seguito l'Executive Summary della Relazione e l'indice completo

Executive summary

Con la presente Relazione, il Governo, ai sensi dell'articolo 38 della legge n. 124 del 2007, riferisce al Parlamento sulla politica di informazione per la sicurezza e sui risultati ottenuti relativamente al 2012.
Nella Premessa (pagg. 7- 16) della Relazione il dato rilevante viene associato alla sfida di modernizzazione per il Comparto, emblematicamente sintetizzata dall'espressione “affrontare il cambiamento con il cambiamento”, rispetto ad un quadro della minaccia in continua mutazione e segnato da profonde discontinuità.
Ciò in coerenza con le linee di evoluzione tracciate dalla riforma del 2007 che, proprio nello scorso anno, ha fatto registrare con la legge n. 133/2012, approvata all'unanimità dal Parlamento, un significativo intervento di “manutenzione”.
La logica espositiva della Relazione, strutturata in due parti, ricalca uno schema a “cerchi concentrici”, con baricentro sul Sistema Paese che viene eletto quale prisma di confronto per l'analisi delle diversificate minacce che incidono sulla sicurezza del nostro Paese.
La prima parte della Relazione opera, pertanto, una ricognizione integrata dei fattori di rischio per l’Italia derivanti dalla crisi economica, dall'impatto delle nuove tecnologie, dall'instabilità a sud del
Mediterraneo. La seconda parte del documento è, invece, dedicata alle criticità regionali e alla sicurezza internazionale, con focus sui dossier del Medio Oriente, sullo scenario iraniano e sulla situazione della macroarea afghano-pakistana. Il documento, innovando rispetto al passato, si conclude, riprendendo e raccordando le valutazioni svolte nei diversi paragrafi, con una sezione dedicata all’illustrazione sintetica di scenari e linee di tendenza del quadro della minaccia.

• Fonte: Comunicato Stampa di Banca d’Italia (pdf)

Consultazione pubblica sul rapporto “Raccomandazioni per i servizi di accesso ai conti di pagamento” del SecurePay Forum (dal 31/1/2013 al 12/4/2013)

Lo European Forum on the Security of Retail Payments (SecuRe Pay) – organismo al quale partecipano le autorità di Vigilanza bancaria e di Sorveglianza sui sistemi di pagamento dell’Unione Europea - ha posto in consultazione pubblica una raccolta di raccomandazioni sulla sicurezza dei servizi Internet forniti da soggetti che consentono al cliente di effettuare pagamenti accedendo al conto che il cliente stesso detiene presso una banca o altro prestatore di servizi di pagamento (servizi di accesso ai conti). Il documento "Recommendations for “Payment Account Access” Services – draft document for public consultation" (qui in pdf, 279K, 18 pp.) considera, in particolare, il caso di servizi integrati nel settore dell’ecommerce che consentono di effettuare pagamenti direttamente dal sito internet convenzionato accedendo al conto on-line del cliente con le sue credenziali (ad es. username e password).
Le nuove disposizioni si rivolgono a tutti i soggetti che forniscono servizi di accesso ai conti via internet nonché, in parte, alle banche e agli altri prestatori di servizi di pagamento che gestiscono conti on-line.
I soggetti interessati possono inviare commenti fino al 12 aprile 2013, secondo le modalità indicate sul sito della Banca Centrale Europea.
La Banca d’Italia svolge il ruolo di punto di contatto nazionale per eventuali chiarimenti sul documento e sul processo di consultazione. Le richieste potranno essere inoltrate all’indirizzo di posta elettronica nei modi indicati qui (pdf)

• Fonte: Assinews

Totò voleva vendere la fontana di Trevi a Decio Cavallo..., nell'era tecnologica i suoi «emuli» preferiscono rubare l'identità del truffato e, con essi, i suoi dati per avere credito o acquistare beni a rate che non pagheranno mai. Nel primo semestre del 2012, secondo i dati resi noti alla fine dell'anno scorso dall'Osservatorio Crif, le frodi creditizie sono state oltre 9.000 in tutta Italia.
Il tutto, però, mentre i consumatori non sembrano prendere atto dell'esistenza di un fenomeno così diffuso. Nel mirino dei truffatori soprattutto i prestiti finalizzati (82,4% sul totale dei casi, con un +5,4% rispetto al 2011). Scendono del 35% le truffe sulle carte di credito a saldo. Entità delle frodi: quelle al di sotto dei 1.500 euro sono cresciute del 45,4%. Questo perché per le piccole cifre ci sono controlli meno sofisticati sull'identità di chi richiede il credito. I maschi sono più facili da abbindolare (65,1% del totale), specie se giovani nelle fasce tra i 18 e 30 anni (29,9% totale, crescita del 36,2% rispetto allo stesso periodo 2011). La regione in cui le frodi sono più diffuse (si veda tabella) è la Campania, seguita da Lombardia, Sicilia e Lazio. Dopo questo quartetto Puglia ed Emilia Romagna. Più o meno le stesse regioni che anche nel primo semestre 2011 occupavano i primi posti di questa poco invidiabile classifica. Molto alta l'incidenza delle frodi registrata in Basilicata (+29,5% rispetto al I semestre 2011), e in Campania (+19,6%).
Entrando nel dettaglio dei meccanismi usati dai frodatori, nel 70% dei casi è una carta d'identità falsa lo strumento con cui si chiede credito scippando le generalità altrui. A smascherare il documento «taroccato» è il numero progressivo, che non combacia con quello dell'anagrafe. Nel 5% dei casi, invece, il truffatore ha utilizzato un documento apparentemente valido nella numerazione, ma non riconducibile alla vittima, negli altri casi si sono adoperati documenti smarriti, rubati, oppure clonati.
A preoccupare sono anche i tempi di reazione: una frode su 2 viene scoperta solo oltre un anno dopo l'evento, mentre le frodi creditizie scoperte dopo più di 5 anni sono cresciute del 44% rispetto al recente passato. E non ci si deve dimenticare che tanto più si allungano i tempi di scoperta quanto maggiori saranno le difficoltà che la vittima incontrerà nel ripristinare la propria posizione creditizia, senza considerare che molto più limitate saranno le possibilità di individuare l'autore del crimine.

• Fonte: CLUSIT

Il premio "Innovare la sicurezza delle Informazioni", riservato alle tesi universitarie più innovative in materia di sicurezza informatica, ha lo scopo di promuovere una collaborazione tra i soggetti che si occupano di sicurezza informatica in Italia: le aziende, le Università, gli studenti. Un punto di scambio tra mondo produttivo e mondo scientifico, tra studenti e mondo del lavoro, alimentato direttamente dai singoli soggetti che vi partecipano portando i propri bisogni e le proprie esperienze.
La formula scelta del Premio si propone di incentivare gli studenti a confrontarsi con i temi della Sicurezza Informatica.
Le prime 5 tesi classificate saranno premiate ed in particolare:

• il primo classificato riceverà la somma di 2.000 € al lordo di trattenute ed oneri fiscali;
• al secondo classificato sarà assegnato uno stage pagato di sei mesi presso eMaze;
• al terzo classificato un Corso di preparazione alla certificazione internazionale ISECOM OPST - OSSTMM Professional Security Tester offerta da @Mediaservice;
• al quarto classificato un corso Lead Auditor ISO IES 27001 offerta da BSI Management Systems.

Ai primi cinque classificati sarà inoltre accordata l'adesione gratuita al Clusit per il 2013.
I titoli delle prime 4 tesi classificate, i nomi degli autori, ed il nome dell'Università presso la quale è stata presentata la tesi saranno pubblicati sul sito del Clusit.
La premiazione si svolgerà durante il Security Summit 2013, Milano.
La Commissione designata ad assegnare il Premio è costituita da membri del Comitato Tecnico Scientifico, Soci Clusit ed altri esperti del settore.

Link

• Vai ai vincitori del premio Tesi
• Vai al Regolamento
• Bacheca Tesi
• Commissione

Sponsor

Il Premio Tesi è realizzato in collaborazione e con il sostegno di:

• eMaze 
• MediaService
• BSI