Sicurezza

Sicurezza delle informazioni e delel reti

Privacy: Mobile payment, scattano gli obblighi imposti dal Garante privacy (31 marzo 2015)

Mobile_payment_01.jpg

(Fonte: immagine "Mobile payment 01" by HLundgaard - Own work. Licensed under CC BY-SA 3.0 via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mobile_payment_01.jpg#/media/File...)

Dal 1° aprile 2015 più tutele per i consumatori e regole certe per le società del settore
Tempo scaduto per le società che operano nel settore del mobile payment per adeguarsi alle prescrizioni dettate dal Garante privacy.
Dal 1° aprile 2015 le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l’interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione (come quelli che consentono, anche tramite app, l’accesso al mercato digitale) dovranno essere in regola con il provvedimento generale varato dal Garante privacy nel maggio 2014 [doc. web n. 3161560].
Grazie alle nuove regole, chi usufruisce dei servizi di pagamento da remoto, utilizzando smartphone, tablet, pc, potrà acquistare in sicurezza prodotti e servizi digitali, abbonarsi a quotidiani on line, comprare e-book, video e giochi.
Dal 1° aprile 2015, quindi, gli utenti che acquistano beni digitali dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto.
I loro dati (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) potranno essere conservati al massimo per 6 mesi e non potranno essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini senza uno specifico consenso.
L’indirizzo IP degli utenti dovrà essere cancellato dal venditore una volta terminata la procedura di acquisto.
Precise misure di sicurezza dovranno essere adottate per garantire la riservatezza delle persone e impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sul consumo di beni digitali) a fini di profilazione "incrociata" dell’utenza a meno che non venga espresso uno specifico consenso informato dell’utente.
I venditori a garanzia della riservatezza delle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

Allegato

ComplianceNet: 

La Relazione sulla politica dell’informazione per la sicurezza 2014 (27 febbraio 2015)

150301-sicurezzanazionale

Come previsto dalla legge, la Relazione sulla politica della sicurezza anche quest’anno viene presentata al Parlamento entro il mese di febbraio.
La novità è per quanti utilizzano smartphone, tablet oppure e-reader perché oltre al tradizionale formato PDF, la Relazione 2014 è disponibile anche in formato ePub.

Allegati

  • Relazione al Parlamento 2014 (pdf, 4.1 MB)
  • Relazione al Parlamento 2014 (ePUB, 1.1 MB)

Indice della Relazione 2014

premessa
L’intelligence nell’impianto istituzionale
Un percorso di rinnovamento
Le linee guida della relazione
Parte I – le asimmetrie della minaccia
La cyberthreat
Le dinamiche economico-finanziarie
Strumentalizzazioni estremiste e minaccia eversiva
La minaccia terroristica internazionale e la sua dimensione domestica
La proliferazione di armi non convenzionali
Parte II – le aree di instabilità
Gli scenari di crisi in africa
Il conflitto siriano e il medio oriente
Il quadrante afghano-pakistano
Scenari e tendenze: una sintesi
Allegato: documento di sicurezza nazionale

Premessa alla Relazione 2014

(qui la “Premessa” completa  in pdf , 381 K, 15 pp.)

Sintesi

L’impianto espositivo della Relazione compone il quadro dei prioritari ambiti di attenzione dell’intelligence aggregandoli attorno a tre macro-aree tematiche:

  • il fenomeno jihadista,
  • le vulnerabilità del tessuto economico e le connesse dinamiche sociali,
  • le minacce attestate nello spazio cibernetico.

In linea con la precedente edizione, chiudono la Relazione un breve capitolo sulle prospettive del rischio e l’allegato “Documento di Sicurezza Nazionale” che riferisce, come previsto dalla normativa vigente (art. 38, comma 1-bis della legge 124/2007), sulle attività svolte in materia di tutela delle infrastrutture critiche nonché di protezione cibernetica e sicurezza informatica.

1° parte - “Jihad globale, Jihad regionale”

La 1° parte, dal titolo “Jihad globale, Jihad regionale”, si sofferma in primo luogo sull’evoluzione de La minaccia in Occidente, così come qualificata dall’affermazione dello Stato Islamico, dall’accresciuta effervescenza della galassia jihadista e dalla connessa, accentuata capacità di presa del messaggio radicale, affidato a forme di comunicazione sempre più efficaci e pervasive.
In quest’ottica l’estremismo homegrown, inteso anche quale bacino di reclutamento per aspiranti combattenti, viene individuato come il principale driver della minaccia terroristica, riferibile tanto a lupi solitari e a cellule autonome quanto al diretto ingaggio da parte di organizzazioni strutturate operanti nei teatri di jihad.
Segue quindi il capitolo sugli Scenari africani e mediorientali, nel quale l’attivismo delle formazioni terroristiche di ispirazione jihadista rappresenta un significativo connettore tra le aree di instabilità che interessano il Nord Africa, il quadrante sahelo-sahariano e il Medio Oriente.
In esordio vengono tratteggiati gli sviluppi intervenuti nel corso dell’anno in Libia, Tunisia, Marocco, Algeria ed Egitto. Si prosegue con le evoluzioni in Mali, Somalia, Kenia, Golfo di Guinea, Nigeria, Repubblica Centrafricana e Sud Sudan. Quanto alle regioni mediorientali, una sezione ad hoc è dedicata al conflitto in “Syrak”, con specifico riguardo all’accresciuto protagonismo dello Stato Islamico, a scapito delle altre formazioni estremiste, e all’impatto della crisi in chiave umanitaria e di sicurezza sui Paesi limitrofi, quali Libano e Giordania. I passaggi successivi sono dedicati al difficile processo di stabilizzazione in atto in Yemen, alle evoluzioni del dossier nucleare iraniano e agli sviluppi del processo di pace israelo-palestinese.
Il focus sulle criticità regionali si sposta più ad Est, con una panoramica su Vecchie e nuove frontiere del jihad, in relazione alla situazione sul campo in Afghanistan e Pakistan, ancora caratterizzata dal dinamismo della componente Taliban, all’attivismo estremista in altre realtà centroasiatiche e al possibile incremento delle attività terroristiche nel Sub-continente indiano e nel Sud-Est asiatico.

2° parte – la sfida Eco-Fin

Le minacce trattate nella 2° parte hanno come riferimento la sfida Eco-Fin e il framework sociale.
Nella sezione concernente Le minacce all’economia, muovendo dagli indicatori che attestano il persistere, nel 2014, della fase recessiva, viene evidenziata la centralità della dimensione economico-finanziaria quale ambito prioritario di attenzione dell’intelligence a presidio degli assetti strategici ed interessi nazionali secondo varie direttrici d’azione: contro lo spionaggio industriale e le pratiche lesive della concorrenza sui mercati nazionali ed internazionali; a tutela dei nostri investimenti all’estero e delle linee di approvvigionamento energetico; in direzione dei fenomeni di evasione ed elusione fiscale; a protezione della stabilità del sistema bancario e finanziario.
Si continua con il crimine organizzato, in primo luogo per evidenziare come le mafie, sfruttando gli effetti negativi della crisi, abbiano continuato a perseguire strategie d’infiltrazione in diversi settori dell’economia mediante il riciclaggio di capitali di provenienza illecita e l’acquisizione di realtà imprenditoriali in difficoltà. Ci si sofferma poi sugli interessi della criminalità organizzata italiana all’estero e sulla vitalità di strutturati gruppi criminali stranieri operanti in Italia.
In tema di Spinte anti-sistema e minaccia eversiva, si dà conto dei rilevati segnali di intensificazione del disagio e delle possibili tensioni sociali alla luce dell’attivismo di formazioni antagoniste, di diversa matrice, intenzionate a radicalizzare le varie proteste sul territorio e ad innalzare il livello di contrapposizione con le Istituzioni. Sono trattati, inoltre, i profili di rischio riconducibili all’eversione anarco-insurrezionalista e all’estremismo marxista-leninista, nonché, in chiusura, i tratti distintivi e quelli più insidiosi, dell’attivismo di estrema destra.
A seguire, il capitolo La pressione delle crisi sulle frontiere dell’Europa è dedicato al sensibile dossier dell’immigrazione clandestina, che vede i Servizi d’informazione impegnati a contrastare sul piano informativo un fenomeno che trae origine dalle crisi regionali e viene sfruttato da organizzazioni criminali sempre più ramificate ed interconnesse. In questa chiave si fa riferimento alle rotte e direttrici del traffico, ai sodalizi coinvolti ed all’impatto sul territorio nazionale.

3° parte - la minaccia nel cyberspazio

La 3° parte dell’elaborato, intitolata la minaccia nel cyberspazio, muove dai più significativi aspetti fenomenici de La cyberthreat per tratteggiare poi le sfide future che l’intelligence dovrà fronteggiare con riguardo all’evoluzione delle modalità operative e all’ampio range di finalità e attori, cui corrisponde un ventaglio altrettanto diversificato nelle tipologie di rischio per la sicurezza del Sistema Paese: dagli attacchi alla sicurezza delle infrastrutture critiche nazionali allo spionaggio digitale, dall’hacktivismo contro obiettivi istituzionali al cyberjihad.
Segue poi il Capitolo su Azione preventiva e prospettive, centrato sulla risposta dell’intelligence e sulle possibili evoluzioni del fenomeno.

Scenari e tendenze: una sintesi

La Relazione si conclude con “Scenari e tendenze: una sintesi”, che riassume in chiave prospettica il composito panorama della minaccia che impegnerà l’intelligence nell’immediato futuro. Sulla base degli indicatori sin qui raccolti, è prevedibile che l’azione degli Organismi informativi debba rimanere prioritariamente focalizzata sul terrorismo di matrice jihadista e sulle minacce al sistema Paese, incluse quelle che si dispiegano nel cyberspazio.
L’allegato “Documento di sicurezza nazionale”, infine, compendia le attività poste in essere dal Comparto – attraverso un articolato processo al quale partecipano fattivamente tutte le componenti dell’architettura cyber nazionale, così come delineata nel DPCM del 24 gennaio 2013 – in materia di tutela delle infrastrutture critiche materiali e immateriali, nonché di protezione cibernetica e sicurezza informatica nazionale.

 

Cresce l’allarme per gli attacchi informatici (Il Sole 24 Ore, 24 febbraio 2015)

il-sole24ore-logo

Per fare in modo che il cyber attack non si ripercuota negativamente sui risultati delle aziende, il risk management deve riuscire a gestire notevoli rischi che possono coinvolgere gli asset più importanti delle società.
Tra questi rientrano senz'altro i dati sensibili dei clienti, i piani aziendali e le informazioni finanziarie.
C’è un legame diretto tra innovazione e cyber risk perché i sistemi informatici non sono infallibili e la loro vulnerabilità è un fenomeno sempre più diffuso.
Negli ultimi anni gli attacchi informatici più significativi sono stati quelli alla PlayStation network di Sony, da cui sono stati sottratti i dati personali di 77 milioni di iscritti e il cyber attack a Adobe Systems, con la sottrazione di 38 milioni di password di utenti.
Per trasformare un programma di sicurezza informatica standard-driver in un programma più sicuro e con meno rischi non servono solo le risorse economiche ma anche la capacità di applicare nuovi approcci.
Per il mondo assicurativo la gestione del rischio informatico avviene tramite canali convenzionali che risultano poco efficaci nella mitigazione del cyber attack e allo stesso tempo prosciugano la gran parte degli investimenti dedicati a questo tipo di sinistro.
Nel nostro Paese, secondo la relazione sulla politica dell’informazione per la sicurezza del 2013, il cyber risk è al primo posto tra i rischi che minacciano la sicurezza nazionale e le imprese italiane, con danni al sistema economico stimati in circa 20-40 milioni.
Il cyber risk è un fenomeno che colpisce le imprese di tutte le dimensioni rappresentando dunque una delle minacce più importanti.
Il rischio cyber è tuttavia sovranazionale, per nulla legato alla territorialità. Gli attacchi possono arrivare da qualsiasi luogo e i dati, privi di fisicità e spesso affidati in gestione a terzi, non risiedono in un punto specifico.
Questo è uno dei motivi per cui le polizze cyber risk coprono i dati ovunque risiedano e durante la trasmissione degli stessi in tutto il mondo.
L’interruzione di un servizio, il danno derivante dalla trasmissione di un virus, il furto di dati sensibili o il rilascio degli stessi in ambienti non verificati, il furto di proprietà intellettuale sono solo alcune delle garanzie che queste polizze cyber risk possono offrire.
I principali rischi informatici o cyber risks sono il furto o manipolazione illecita di dati sensibili, la divulgazione di informazioni riservate, violazione della proprietà intellettuale, perdita di dati con conseguente perdita finanziaria, perdita dei ricavi, interruzione del supply chain management con conseguente perdita degli ordini, l'accesso alle informazioni personali e la diffusione di virus nei computer che possono distruggere o bloccare le funzioni di una rete di computer e le relative operazioni aziendali.
Le coperture assicurative possono garantire protezione per danneggiamento dei dati personali, interruzione di servizio, violazione della privacy, estorsione e terrorismo cyber.
Esistono inoltre delle opzioni per garantirsi per i rischi diretti come i costi di recupero dei dati, il supporto tecnologico/legale/investigativo, i costi di sostituzione, il furto della proprietà intellettuale etc.
La polizza cyber a terzi (third party coverage) va invece a coprire situazioni come il discredito, contraffazione e plagio, i diritti di privacy e perdita di fiducia, la trasmissione di virus o l’interruzione di servizio oltre che danni economici (danni contrattuali) e perdita di reputazione.
Naturalmente l’offerta assicurativa è influenzata da un quadro normativo in continua evoluzione.
Il 7 febbraio 2013 è stata presentata dalla Commissione europea una nuova strategia per rafforzare i principi della cyber sicurezza già in essere, la quale prevede onerose sanzioni pecuniarie nei confronti delle imprese che non adottino idonee misure di prevenzione.
La strategia è accompagnata da una proposta di direttiva recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione.
La direttiva potrà richiedere, tra l’altro, la notifica dei rischi potenziali sulla sicurezza e anche che gli incidenti avvenuti siano riportati ad un’autorità per la cyber sicurezza che sarà costituita “ad hoc” tra tutti i membri.
Interessate dalla nuova direttiva sulla cyber security sono: le amministrazioni pubbliche; i fornitori di servizi informatici, quali fornitori di piattaforme di e-commerce, social networks, servizi di cloud computing, i cosidetti application store, sistemi di pagamento on-line e motori di ricerca, internet service providers, application service providers; enti che operano infrastrutture critiche, compresi i fornitori di energia e i trasportatori (ad esempio, vettori aerei, operatori del trasporto ferroviario e fornitori di servizi di logistica); organizzazioni del settore sanitario (comprese cliniche private); istituzioni bancarie e di credito, e Borse.
Sarà prevista una specifica deroga in favore delle microimprese e dunque, secondo la regolamentazione Ue, le società il cui organico è inferiore a 10 persone e il cui fatturato o il totale di bilancio annuale non superi 2 milioni di euro. Le altre pmi non saranno esenti e saranno tenute a conformarsi alla direttiva sulla cyber security in pieno.
Il 12 agosto 2013 è stata anche emanata la direttiva 2013/40/Ue del Parlamento Europeo e del Consiglio che invita gli Stati membri a introdurre sanzioni penali contro gli attacchi ai sistemi di informazione
La minaccia di attacchi cyber è ormai concreta.
Anche se non potremo mai essere un passo avanti, prevenire è meglio che curare, così un’adeguata protezione dei sistemi, insieme all'assicurazione su misura, è la chiave per mitigare gli effetti del cyber crime.

 

ComplianceNet: 

Conto corrente: “Colpa parziale se il cliente non nota l’hacker” (Il Sole 24 Ore, 27 novembre 2014)

il-sole24ore-logo

Il correntista che utilizza il servizio di home banking non è tenuto a controllare a ogni accesso i singoli movimenti effettuati sul conto
di Antonino Porracciolo
Il correntista che utilizza il servizio di home banking non è tenuto a controllare a ogni accesso i singoli movimenti effettuati sul conto.
Ma c’è un suo concorso di colpa se dopo ripetuti accessi non si avveda della sottrazione di ingenti somme.
È quanto emerge da una sentenza del 3 novembre del Tribunale di Caltanissetta (giudice Gaetano Sole).
La controversia scaturisce dalla richiesta di restituzione di denaro, avanzata da una società nei confronti della banca presso cui era titolare di due conti correnti.
Si lamentava che, con un abusivo accesso telematico, un hacker aveva effettuato ordini di bonifico a favore di uno sconosciuto.
Secondo la società, la banca era responsabile della sottrazione perché non aveva predisposto un adeguato sistema di protezione dalle frodi informatiche.
L’istituto si è difeso sostenendo di aver invitato i propri correntisti a munirsi del dispositivo di Otp (One time password) che avrebbe permesso un’autenticazione più sicura.
E ha aggiunto che, dopo l’accesso attraverso user id e password, non era possibile sindacare il merito delle operazioni effettuate.
Nell’accogliere parzialmente la domanda, il Tribunale osserva, innanzitutto, che con la convenzione di home banking stipulata dalle parti la banca si era impegnata ad assicurare l’efficienza del sistema nonché riservatezza e integrità delle informazioni con adeguata protezione da accessi non autorizzati.
L’istituto era dunque tenuto – osserva il giudice – alla diligenza del buon banchiere e al «maggior grado di prudenza e attenzione che la connotazione professionale dell’agente richiede», e quindi ad adottare «misure idonee a garantire la sicurezza del servizio».
Nel caso esaminato, il Tribunale afferma che la banca non ha dimostrato di aver adempiuto esattamente a tali obblighi.
Secondo il giudice nisseno, infatti, il codice-utente e la password di accesso «non possono ritenersi sufficienti ad assicurare un livello sufficiente di sicurezza» né la banca aveva dimostrato che il cliente non aveva custodito con diligenza le credenziali d’accesso.
Inoltre, l’istituto avrebbe potuto attivare il servizio di Sms per consentire al cliente di fermare tempestivamente gli ordini di bonifico illeciti.
Il Tribunale osserva inoltre che nessuna norma impone al correntista di effettuare a ogni singolo accesso un controllo puntuale della lista dei movimenti.
Ma, esaminando il solo saldo, il cliente avrebbe potuto accorgersi dell’ammanco (quando i bonifici non autorizzati avevano superato i 70mila euro) e quindi richiedere il blocco del servizio di home banking.
Ragioni che inducono il Tribunale a ritenere non risarcibili (in base all’articolo 1227 del Codice civile sul «concorso del fatto colposo del creditore») le sottrazioni successive alla data in cui il cliente aveva effettuato accessi che gli avrebbero consentito di rilevare le ingenti sottrazioni.

Articoli collegati su Sicurezza

ComplianceNet: 

Giudici severi sui reati nel web (Il Sole 24 Ore, 24 novembre 2014)

il-sole24ore-logo

Diffamazione tramite social network e ingiuria
Diffamazione tramite social network e ingiuria.
Sono alcuni dei reati commessi via internet, che i giudici sanzionano con sempre maggiore severità.
Linea dura per molestie e stalking e paletti per la pubblicazione delle foto online.
Si consolida, dunque, la giurisprudenza sui reati nel web.
Sul fronte delle prove i giudici aprono anche alle intercettazioni delle conversazioni tramite Skype.
Dopo anni di incertezze e cautele, la giurisprudenza sui reati commessi nel web si sta consolidando.
E, sull’onda delle querele che negli ultimi anni hanno travolto le Procure, i giudici hanno sposato orientamenti più severi.
Tra i reati più comuni, c’è la diffamazione tramite social network aggravata dal «mezzo di pubblicità» utilizzato (articolo 595, comma 3, del Codice penale) ma non dalla legge sulla stampa, come alcune Procure hanno sostenuto in passato.
I casi esaminati dai giudici italiani riguardano Facebook, ma i principi valgono anche per altri mezzi (Twitter, Linkedin, eccetera).
Ci sono 90 giorni di tempo per sporgere querela; diventa quindi fondamentale salvare la pagina web su supporto durevole (cd o chiavetta usb), che comprende anche i codici Html, per preservarne l’autenticità anche in caso di rimozione.
In generale, è sempre buona norma avvalersi anche di testimoni, in grado di riferire in giudizio il contenuto dei post offensivi.
I giudici stringono le maglie anche su chi clicca «mi piace» ai commenti altrui.
Quest’anno sono scattati i primi rinvii a giudizio per concorso in diffamazione aggravata che tengono conto del fatto che l’addebito offensivo alla reputazione della vittima aumenta in proporzione alle persone che apprezzano i post denigratori.
Se l’insulto avviene in chat, invece, il reato configurabile è quello di ingiuria e anche in questo caso può dar luogo al risarcimento del danno (anche non patrimoniale).
Non si sfugge alla condanna nemmeno sostenendo di essere stati vittima di un furto di identità. L’eventuale accesso abusivo all’account di posta elettronica o al profilo social deve essere dimostrato con prove tracciabili e documentate.
I giudici hanno messo dei paletti anche alle foto pubblicate online.
Non si possono postare neppure le foto del coniuge o di altri familiari senza il loro consenso.
In caso di violazione, il tribunale potrà ordinare la rimozione coattiva.
La richiesta può essere fatta dalla parte interessata, instaurando un procedimento cautelare d’urgenza (in base all’articolo 700 del Codice di procedura civile) che in poco tempo porterà all’ordinanza di rimozione.
A essere violati in questo caso sono la legge sul diritto d’autore (articoli 96 e 97 della legge 633/41) e il Testo unico sulla privacy (articolo 23).
È bene che facciano attenzione i genitori che pubblicano le foto dei figli minorenni: raggiunta la maggiore età, i figli potrebbero azionare i propri diritti in giudizio e i genitori potrebbero essere sanzionati.
Invece divulgare in chat o via mail il numero di cellulare di altri può portare a una condanna per il reato di trattamento illecito dei dati personali, in base all’articolo 167 del Testo unico sulla privacy (Cassazione, sentenza 21839 del 1° giugno 2011).
I giudici sanzionano inoltre le molestie e lo stalking commesso tramite Facebook, perché il social network rappresenta un luogo aperto al pubblico.
Se i messaggi (sia in bacheca che privati) sono costanti e in grado di turbare la vita della vittima non si sfugge a una condanna che, nei casi più gravi, può arrivare fino a quattro anni.
Paga pegno anche il “narcisista virtuale”: i giudici aprono al reato di sostituzione di persona a mezzo social network.
Creare un falso profilo, anche di un vip, può costare una pena fino a un anno (articolo 494 del Codice penale).
La Cassazione ha, infatti, chiarito che il bene giuridico protetto dalla norma è la fiducia degli utenti e il dolo specifico può consistere nel solo scopo di ottenere un vantaggio non economico, come l’immeritata visibilità e attenzione degli utenti.
Sul fronte delle prove, i giudici aprono alle intercettazioni delle conversazioni a mezzo Skype.
Se la comunicazione avviene in viva voce, bastano una microspia ambientale e l’autorizzazione del Gip per portare la prova in giudizio.
Più discutibile, invece, la possibilità di ricorrere al cosiddetto captatore informatico (trojan) per intercettare le comunicazioni Voip.
Nessuna violazione della privacy se si depositano in giudizio videoregistrazioni di conversazioni private fatte con smartphone.
Se servono a tutelare un diritto e non recano un danno a terzi, rappresentano una prova documentale.
Attenzione, infine, alle promesse di matrimonio via internet: se poi non vanno a buon fine, potrebbero giustificare la richiesta di restituzione dei doni fatti in vista delle nozze.
Non esistono sentenze sul punto, ma la Cassazione ha precisato che i social network sono luoghi aperti al pubblico e in quanto tali potrebbero vincolare alla restituzione dei regali scambiati (articolo 80 del Codice civile).
Modificare il proprio status e promettersi amore eterno, quindi, potrebbe costare caro ai nubendi.

 

L’orario anomalo non è accesso abusivo al sistema informatico (Il Sole 24 Ore, 20 novembre 2014)

il-sole24ore-logo

Non è reato il collegamento in tempi non previsti dalla prassi interna

  • di Patrizia Maciocchi

Escluso il reato di accesso abusivo per il dipendente che entra nel sistema informatico in orari diversi da quelli previsti dalla prassi aziendale.
La Corte di cassazione con la sentenza 47938 depositata ieri, annulla la condanna nei confronti di un dipendente dell’Agenzia delle Entrate che nel pomeriggio, orario di chiusura degli uffici al pubblico, aveva effettuato diverse operazioni relative alla posizione di uno studio professionale.
L’Agenzia gli aveva contestato, oltre all’accesso abusivo anche l’abuso d’ufficio sul presupposto che l’impiegato, con la sua “solerzia”, aveva procurato un ingiusto vantaggio allo studio con il quale avrebbe collaborato.
L’ultima accusa era però caduta dopo la verifica della regolarità, dal punto di vista contabile, degli interventi effettuati.
Restava in piedi la contestazione dell’accesso abusivo, giustificata dall’ora anomala nella quale il lavoro era stato svolto.
Una motivazione che il ricorrente ritiene non valida alla luce della giurisprudenza della Cassazione che, anche a Sezioni Unite, fa scattare il reato di accesso abusivo in assenza di abilitazione o quando questa è limitata ad alcune operazioni e il sistema viene usato per ragioni diverse.
Il diretto interessato considera dunque ingiustificato qualunque addebito mosso solo in virtù dell’orario in cui aveva operato.
E i giudici della quinta sezione gli danno ragione.
La Cassazione sottolinea che quando il reato, previsto dall’articolo 615-ter del codice penale, viene contestato a un soggetto abilitato all’accesso, quello che conta perché l’accusa regga è che questo, pur essendo entrato legittimamente, si sia trattenuto nel sistema oltre i limiti fissati dal titolare o vi abbia svolto attività non autorizzate in base al suo contratto o alle prassi aziendali.
Nel caso esaminato non era accaduto nulla di tutto questo.
Venuta meno l’imputazione dell’ingiusto vantaggio la condanna, inflitta dalla Corte d’Appello, si reggeva solo sulla circostanza che le pratiche erano state evase in un orario in cui l’ufficio era chiuso al pubblico.
Per la Suprema corte non è una buona ragione.
Eventuali disposizioni sulla collocazione oraria degli accessi telematici, nella giornata lavorativa del dipendente, non possono essere considerate rilevanti ai fini della violazione contestata.
La norma incriminatrice tutela, infatti, il domicilio informatico, riguardo alle modalità che ne regolano l’accesso, allo scopo di dare la possibilità al titolare di esercitare il suo “potere di esclusione”.
Obiettivo rispetto al quale sono del tutto irrilevanti le indicazioni sull’orario in cui, chi è autorizzato ad operare, può entrare nei programmi aziendali: i tempi riguardano semmai l’organizzazione interna dell’ufficio nel quale il sistema è operativo.
Diverso, in questa prospettiva è il problema della permanenza nel sistema, che diventa penalmente rilevante se protratta oltre quanto stabilito dalle disposizioni del titolare.

Allegato

  • Corte di cassazione - Sezione V penale - Sentenza 19 novembre 2014 n. 47398 (pdf, su sito del Sole 24 Ore )

BIS “Cyber resilience in financial market infrastructures” (13 novembre 2014)

140203-logo-bis.jpg

La sicurezza informatica è pertanto un tema di fondamentale importanza a livello globale per le infrastrutture finanziarie e più in generale per l’intero settore bancario e finanziario

Negli ultimi anni gli incidenti di sicurezza informatica sono diventati sempre più frequenti coinvolgendo tutti i settori dell’economia e in particolar modo quello finanziario.
Le minacce informatiche sono sempre più complesse e in rapida evoluzione ed hanno origini e motivazioni diverse.
L’11 novembre 2014 il Committee on Payments and Market Infrastructures (CPMI) ha pubblicato il documento “Cyber resilience in financial market infrastructures”  (pdf, 242 K, 19 pp.) che prende in rassegna metodi e buone pratiche utilizzate presso le infrastrutture dei mercati finanziari (financial market infrastructures - FMI) per rafforzare la propria resilienza informatica (cioè la capacità di “resistere ad incidenti garantendo la disponibilità dei servizi erogati” ndr).
Il rapporto del CPMI sottolinea che la resilienza informatica è sempre più una priorità per le FMI anche se l’analisi, come rivelano le interviste realizzate per lo studio, dimostra che ci sono significative differenze per quanto riguarda gli approcci alla resilienza tra le FMI.
Questi approcci infatti si basano su combinazioni molteplici di diversi fattori: le persone, la tecnologia, i processi, la comunicazione.
Per far fronte alle diverse minacce, che riguardano la riservatezza, la disponibilità e l’integrità di dati e servizi, devono essere adottate misure di prevenzione e ripristino.
Il rapporto ha rilevato che eventi di estrema gravità possono compromettere la capacità delle FMI di ripristinare i servizi entro due ore dalla rilevazione di un attacco informatico e di ripristinare i servizi (complete settlement ndr) prima che finisca il giorno in cui ha avuto luogo l’incidente come richiesto dai “requisiti chiave” nel modello di gestione del rischio riportato nel documento “Principles for Financial Market Infrastructures” di CPMI-IOSCO).

La relazione conclude che, dato che una delle caratteristiche distintive delle FMI è la loro interconnessione, l’interruzione dei servizi in una FMI può propagarsi ad altri soggetti collegati. Inoltre dato che le minacce informatiche sono sovranazionali occorre un approccio di mitigazione del rischio non limitato ad una singola nazione o istituto.
Ciò richiede stretta cooperazione e comunicazione tra le FMI, le banche centrali e le altre autorità di vigilanza in materia di resilienza informatica.
La sicurezza informatica è pertanto un tema di fondamentale importanza a livello globale per le infrastrutture finanziarie e più in generale per l’intero settore bancario e finanziario.
Il CPMI intende cooperare con le altre autorità internazionali e gli organismi che pubblicano gli standard di riferimento per analizzare ulteriormente i problemi di resilienza legati alle infrastrutture critiche anche in relazione alle implicazioni riguardanti la stabilità finanziaria in caso di attacchi informatici.

Allegato

141114-bis-resilienza.png

  • Committee on Payments and Market Infrastructures, “Cyber resilience in financial market infrastructures”, 11 novembre 2014 (pdf, 242 K, 19 pp.)

Articoli collegati su BIS

ComplianceNet: 

Hacker, in 117 mila sotto attacco (Italia Oggi, 13 ottobre 2014)

il-sole24ore-logo

Oltre 117 mila attacchi informatici al giorno a danno delle aziende di tutto il mondo. Indagine realizzata da PwC, CIO e CSO: gli impiegati tra i maggiori responsabili

  • Pagina a cura di Valerio Stroppa  

In totale nel 2014 saranno quasi 43 milioni, con una crescita del 48% rispetto allo scorso anno.
Aumenta anche l’impatto economico delle frodi: quando gli hacker vanno a segno, i danni si attestano in media a 2,7 milioni di dollari, mentre decuplica il numero delle grandi aziende che subiscono perdite per oltre 20 milioni (banche, gestori carte di credito, motori di ricerca ecc.).
È quanto emerge dalla Global State of Information Security Survey 2015  , curata da PwC, CIO e CSO.
La ricerca ha coinvolto 9.700 top manager (ceo, cfo, cio, cso), addetti IT e responsabili delle procedure di sicurezza di 154 paesi.
Nonostante le preoccupazioni crescenti, tuttavia, dal sondaggio emerge che le spese per la sicurezza informatica sono globalmente diminuite del 4% rispetto al 2013.
Complice la crisi economica che riduce o azzera gli investimenti, negli ultimi cinque anni la percentuale di spesa per la cybersecurity all’interno dei budget IT è rimasta al 4% o diminuita.
Le grandi aziende sono i bersagli preferiti dagli hacker, perché detengono informazioni di maggior valore.
Le realtà con fatturato superiore al miliardo di dollari hanno registrato il 44% di incidenti in più rispetto all’anno precedente.
Tuttavia, le imprese più strutturate sono quelle che presentano le difese migliori.
Motivo per cui i criminali del web stanno iniziando a colpire anche le piccole e medie imprese.
Che in Italia rappresentano oltre il 95% del tessuto produttivo.
«Non sorprende che i casi di violazione della cybersecurity crescano ogni anno, insieme all’impatto finanziario che ne deriva», spiega Fabio Merello, responsabile cybersecurity di PwC Italia «tuttavia, la rilevanza di tali violazioni diventa maggiore se consideriamo le modalità di individuazione e gestione di tali eventi. Gli attacchi sono sempre più sofisticati. È fondamentale identificare procedure che integrino al massimo capacità predittive, preventive, di indagine e di risposta in caso di violazioni, per minimizzarne gli impatti negativi».
La ricerca analizza i responsabili delle violazioni ai sistemi di sicurezza informatica.
Nella maggior parte dei casi si tratta di impiegati della società o ex dipendenti, ma cresce pure il coinvolgimento di service provider (+15%) e consulenti esterni (+17%).
La survey rileva poi un incremento del 64% di incidenti attribuiti all’iniziativa di aziende concorrenti, alcune delle quali «probabilmente supportate dai rispettivi governi».
Un ulteriore aspetto affrontato dallo studio consiste nella ridotta sensibilità delle figure apicali dell’azienda ai rischi connessi alla sicurezza informatica.
Solo il 49% degli intervistati afferma di aver adottato un team multidisciplinare che periodicamente si riunisce per discutere, coordinare e comunicare informazioni che riguardano tali aspetti.
«I rischi legati alla sicurezza informatica non verranno mai completamente eliminati e con la crescita del cybercrime le società devono essere preparate e vigili nell’ambito di uno scenario in costante evoluzione», conclude Merello, «le aziende devono passare da un modello di sicurezza tradizionale, concentrato su prevenzione e controllo, a un approccio basato sulla gestione del rischio che sia in grado di dare priorità agli asset di maggior valore e valuti le minacce incombenti».

 

ComplianceNet: 

OWASP: Testing Guide versione 4 (19 settembre 2014)

140919-OWTGv4 Cover2.jpg

Cos’è OWASP?

The Open Web Application Security Project (OWASP) è una iniziativa internazionale volta alla diffusione della cultura della sicurezza delle applicazioni web che ha costituito una comunità aperta e libera di esperti di ICT security.
La mission di OWASP è fare informazione e divulgazione sul testa della web security in modo tale che aziende, enti, professionisti e utenti  possano affrontare in modo consapevole i rischi della sicurezza informatica legati al web.
Chiunque può liberamente partecipare alle iniziative OWASP, contribuire alle sue pubblicazioni ed utilizzare le sue guide e manuali.
In Italia il progetto è rappresentato da OWASP Italy  condotto da Matteo Meucci, Chief Executive Officer di Minded Security

OWASP Testing Guide v.4

Il 17 settembre 2014 OWASP ha annunciato la pubblicazione della “Testing Guide versione 4” (pdf, 2.2 M 111 pp.)
La guida è un framework per i test di sicurezza delle applicazioni e servizi web basato sulla raccolta delle migliori “best practice” di penetration test.
Rispetto alle precedente versione 3 nella nuova edizione sono stati apportati tre cambiamenti significativi:

  1. integrazione della “Testing Guide” con altri 2 prodotti di OWASP: la “Developers Guide” e la “Code Review Guide” grazie all’allineamento della numerazione e classificazione dei test.
  2. Aumento dei “test case” ora 87 rispetto ai 64 della precedente versione con l’introduzione di quattro nuovi capitoli e controlli:
    • Test Identity Management
    • Gestione degli errori
    • Crittografia
    • Test lato client
  3. Stretta integrazione con la comunità internazionale dei “security tester” che ha contribuito alla redazione del documento che darà in continua evoluzione permettendo l’aggiornamento e l’inserimento di nuovi “test case”.

3 ottobre 2014 - convegno OWASP e Isaca Venezia

Il 3 ottobre 2014 a Venezia si terrà il convegno “Application Security: internet, mobile ed oltre. Sicurezza delle applicazioni mobile”, seconda edizione del Convegno organizzato da ISACA VENICE, OWASP, Università Ca’ Foscari di Venezia – Dipartimento di Scienze Ambientali Informatica e Statistica.
Fra i relatori: Christian Martorella di Skype, Marco Balduzzi di Trend Micro, Matteo Meucci di OWASP e Minded Security.
La partecipazione è gratuita.
Brochure (pdf, 548 K 10 pp.)

Allegati

  • OWASP, “Testing Guide versione 4”, 17 settembre 2014 (pdf, 2.2 M 111 pp.), project leaders: Matteo Meucci e Andrew Muller, licenza: Creative Commons (CC) Attribution Share-Alike

 

ComplianceNet: 

Nuovo regolamento europeo in materia di identificazione elettronica e servizi fiduciari (Assonime, 11 settembre 2014)

140915-logo-assonime.jpg

Il 28 agosto 2014 è stato pubblicato sulla Gazzetta ufficiale dell’Unione Europea il regolamento UE n. 910/2014 del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che abroga la direttiva 1999/93/CEE sulle firme elettroniche.
Il regolamento, che verrà applicato direttamente negli Stati membri, entra in vigore il 17 settembre 2014 e si applica a decorrere dal 1° luglio 2016 ad eccezione di alcune specifiche disposizioni.
Questo regolamento è volto a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure tra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, dell’e-business e del commercio elettronico, nell’Unione Europea.
In particolare il regolamento fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro; fornisce un quadro giuridico relativo alle firme elettroniche, ai sigilli elettronici, ai documenti elettronici, alla validazione temporale elettronica, ai servizi elettronici di recapito, all’autenticazione di siti web; disciplina le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche.
Riguardo all’identificazione elettronica il regolamento lascia impregiudicata la libertà degli Stati membri di stabilire quali strumenti di identificazione elettronica utilizzare per l’accesso ai servizi on-line nel proprio territorio.
Viene sancito però l’obbligo di assicurare il mutuo riconoscimento dei mezzi di identificazione elettronica rilasciati in un altro Stato membro per accedere ad un servizio pubblico on-line, a condizione che questi mezzi di identificazione  rientrino in un regime di identificazione elettronica notificato alla Commissione e vengano soddisfatte alcune condizioni relative ai livelli di garanzia. Un regime di identificazione elettronica è ammesso alla notifica se soddisfa una serie specifica di condizioni. La Commissione pubblica un elenco dei regimi di identificazione elettronica notificati.
Gli Stati membri dovrebbero incoraggiare anche il settore privato a impiegare volontariamente mezzi di identificazione elettronica nell’ambito di un regime notificato a fini di identificazione quando è necessario per servizi on-line o transazioni elettroniche.
Con specifico riferimento alle firme elettroniche, il regolamento chiarisce che non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali di una firma elettronica per il solo motivo della sua forma elettronica  o perché non soddisfa i requisiti per le firme elettroniche qualificate.
Viene stabilito che una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa; inoltre, sono fissati i requisiti che deve soddisfare una firma elettronica avanzata.
La firma elettronica basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta come firma elettronica qualificata in tutti gli altri Stati membri.
Per le persone giuridiche sono previsti sigilli elettronici a cui sono riconosciuti effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali. I sigilli elettronici qualificati godono della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo è associato. Un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto come sigillo qualificato in tutti gli altri Stati membri. Come per le firme elettroniche vengono specificati i requisiti che deve presentare un sigillo elettronico avanzato.
Per quanto attiene ai servizi fiduciari il regolamento disciplina la responsabilità e l’onere della prova  per danni causati in seguito ad un mancato adempimento da parte dei prestatori di servizi fiduciari degli obblighi previsti nel regolamento.

Sono previsti i requisiti di sicurezza che devono essere rispettati dai prestatori di servizi fiduciari. Il regolamento stabilisce specifiche condizioni per avviare un servizio fiduciario qualificato e i requisiti da rispettare quando il prestatore rilascia un certificato qualificato per un servizio fiduciario. Infine, gli Stati membri devono designare un organismo di vigilanza che ha il compito di vigilare sui prestatori di servizi fiduciari qualificati e non qualificati.

 

ComplianceNet: 

Pagine