Sicurezza

Sicurezza delle informazioni e delel reti

Conto corrente: “Colpa parziale se il cliente non nota l’hacker” (Il Sole 24 Ore, 27 novembre 2014)

il-sole24ore-logo

Il correntista che utilizza il servizio di home banking non è tenuto a controllare a ogni accesso i singoli movimenti effettuati sul conto
di Antonino Porracciolo
Il correntista che utilizza il servizio di home banking non è tenuto a controllare a ogni accesso i singoli movimenti effettuati sul conto.
Ma c’è un suo concorso di colpa se dopo ripetuti accessi non si avveda della sottrazione di ingenti somme.
È quanto emerge da una sentenza del 3 novembre del Tribunale di Caltanissetta (giudice Gaetano Sole).
La controversia scaturisce dalla richiesta di restituzione di denaro, avanzata da una società nei confronti della banca presso cui era titolare di due conti correnti.
Si lamentava che, con un abusivo accesso telematico, un hacker aveva effettuato ordini di bonifico a favore di uno sconosciuto.
Secondo la società, la banca era responsabile della sottrazione perché non aveva predisposto un adeguato sistema di protezione dalle frodi informatiche.
L’istituto si è difeso sostenendo di aver invitato i propri correntisti a munirsi del dispositivo di Otp (One time password) che avrebbe permesso un’autenticazione più sicura.
E ha aggiunto che, dopo l’accesso attraverso user id e password, non era possibile sindacare il merito delle operazioni effettuate.
Nell’accogliere parzialmente la domanda, il Tribunale osserva, innanzitutto, che con la convenzione di home banking stipulata dalle parti la banca si era impegnata ad assicurare l’efficienza del sistema nonché riservatezza e integrità delle informazioni con adeguata protezione da accessi non autorizzati.
L’istituto era dunque tenuto – osserva il giudice – alla diligenza del buon banchiere e al «maggior grado di prudenza e attenzione che la connotazione professionale dell’agente richiede», e quindi ad adottare «misure idonee a garantire la sicurezza del servizio».
Nel caso esaminato, il Tribunale afferma che la banca non ha dimostrato di aver adempiuto esattamente a tali obblighi.
Secondo il giudice nisseno, infatti, il codice-utente e la password di accesso «non possono ritenersi sufficienti ad assicurare un livello sufficiente di sicurezza» né la banca aveva dimostrato che il cliente non aveva custodito con diligenza le credenziali d’accesso.
Inoltre, l’istituto avrebbe potuto attivare il servizio di Sms per consentire al cliente di fermare tempestivamente gli ordini di bonifico illeciti.
Il Tribunale osserva inoltre che nessuna norma impone al correntista di effettuare a ogni singolo accesso un controllo puntuale della lista dei movimenti.
Ma, esaminando il solo saldo, il cliente avrebbe potuto accorgersi dell’ammanco (quando i bonifici non autorizzati avevano superato i 70mila euro) e quindi richiedere il blocco del servizio di home banking.
Ragioni che inducono il Tribunale a ritenere non risarcibili (in base all’articolo 1227 del Codice civile sul «concorso del fatto colposo del creditore») le sottrazioni successive alla data in cui il cliente aveva effettuato accessi che gli avrebbero consentito di rilevare le ingenti sottrazioni.

Articoli collegati su Sicurezza

ComplianceNet: 

Giudici severi sui reati nel web (Il Sole 24 Ore, 24 novembre 2014)

il-sole24ore-logo

Diffamazione tramite social network e ingiuria
Diffamazione tramite social network e ingiuria.
Sono alcuni dei reati commessi via internet, che i giudici sanzionano con sempre maggiore severità.
Linea dura per molestie e stalking e paletti per la pubblicazione delle foto online.
Si consolida, dunque, la giurisprudenza sui reati nel web.
Sul fronte delle prove i giudici aprono anche alle intercettazioni delle conversazioni tramite Skype.
Dopo anni di incertezze e cautele, la giurisprudenza sui reati commessi nel web si sta consolidando.
E, sull’onda delle querele che negli ultimi anni hanno travolto le Procure, i giudici hanno sposato orientamenti più severi.
Tra i reati più comuni, c’è la diffamazione tramite social network aggravata dal «mezzo di pubblicità» utilizzato (articolo 595, comma 3, del Codice penale) ma non dalla legge sulla stampa, come alcune Procure hanno sostenuto in passato.
I casi esaminati dai giudici italiani riguardano Facebook, ma i principi valgono anche per altri mezzi (Twitter, Linkedin, eccetera).
Ci sono 90 giorni di tempo per sporgere querela; diventa quindi fondamentale salvare la pagina web su supporto durevole (cd o chiavetta usb), che comprende anche i codici Html, per preservarne l’autenticità anche in caso di rimozione.
In generale, è sempre buona norma avvalersi anche di testimoni, in grado di riferire in giudizio il contenuto dei post offensivi.
I giudici stringono le maglie anche su chi clicca «mi piace» ai commenti altrui.
Quest’anno sono scattati i primi rinvii a giudizio per concorso in diffamazione aggravata che tengono conto del fatto che l’addebito offensivo alla reputazione della vittima aumenta in proporzione alle persone che apprezzano i post denigratori.
Se l’insulto avviene in chat, invece, il reato configurabile è quello di ingiuria e anche in questo caso può dar luogo al risarcimento del danno (anche non patrimoniale).
Non si sfugge alla condanna nemmeno sostenendo di essere stati vittima di un furto di identità. L’eventuale accesso abusivo all’account di posta elettronica o al profilo social deve essere dimostrato con prove tracciabili e documentate.
I giudici hanno messo dei paletti anche alle foto pubblicate online.
Non si possono postare neppure le foto del coniuge o di altri familiari senza il loro consenso.
In caso di violazione, il tribunale potrà ordinare la rimozione coattiva.
La richiesta può essere fatta dalla parte interessata, instaurando un procedimento cautelare d’urgenza (in base all’articolo 700 del Codice di procedura civile) che in poco tempo porterà all’ordinanza di rimozione.
A essere violati in questo caso sono la legge sul diritto d’autore (articoli 96 e 97 della legge 633/41) e il Testo unico sulla privacy (articolo 23).
È bene che facciano attenzione i genitori che pubblicano le foto dei figli minorenni: raggiunta la maggiore età, i figli potrebbero azionare i propri diritti in giudizio e i genitori potrebbero essere sanzionati.
Invece divulgare in chat o via mail il numero di cellulare di altri può portare a una condanna per il reato di trattamento illecito dei dati personali, in base all’articolo 167 del Testo unico sulla privacy (Cassazione, sentenza 21839 del 1° giugno 2011).
I giudici sanzionano inoltre le molestie e lo stalking commesso tramite Facebook, perché il social network rappresenta un luogo aperto al pubblico.
Se i messaggi (sia in bacheca che privati) sono costanti e in grado di turbare la vita della vittima non si sfugge a una condanna che, nei casi più gravi, può arrivare fino a quattro anni.
Paga pegno anche il “narcisista virtuale”: i giudici aprono al reato di sostituzione di persona a mezzo social network.
Creare un falso profilo, anche di un vip, può costare una pena fino a un anno (articolo 494 del Codice penale).
La Cassazione ha, infatti, chiarito che il bene giuridico protetto dalla norma è la fiducia degli utenti e il dolo specifico può consistere nel solo scopo di ottenere un vantaggio non economico, come l’immeritata visibilità e attenzione degli utenti.
Sul fronte delle prove, i giudici aprono alle intercettazioni delle conversazioni a mezzo Skype.
Se la comunicazione avviene in viva voce, bastano una microspia ambientale e l’autorizzazione del Gip per portare la prova in giudizio.
Più discutibile, invece, la possibilità di ricorrere al cosiddetto captatore informatico (trojan) per intercettare le comunicazioni Voip.
Nessuna violazione della privacy se si depositano in giudizio videoregistrazioni di conversazioni private fatte con smartphone.
Se servono a tutelare un diritto e non recano un danno a terzi, rappresentano una prova documentale.
Attenzione, infine, alle promesse di matrimonio via internet: se poi non vanno a buon fine, potrebbero giustificare la richiesta di restituzione dei doni fatti in vista delle nozze.
Non esistono sentenze sul punto, ma la Cassazione ha precisato che i social network sono luoghi aperti al pubblico e in quanto tali potrebbero vincolare alla restituzione dei regali scambiati (articolo 80 del Codice civile).
Modificare il proprio status e promettersi amore eterno, quindi, potrebbe costare caro ai nubendi.

 

L’orario anomalo non è accesso abusivo al sistema informatico (Il Sole 24 Ore, 20 novembre 2014)

il-sole24ore-logo

Non è reato il collegamento in tempi non previsti dalla prassi interna

  • di Patrizia Maciocchi

Escluso il reato di accesso abusivo per il dipendente che entra nel sistema informatico in orari diversi da quelli previsti dalla prassi aziendale.
La Corte di cassazione con la sentenza 47938 depositata ieri, annulla la condanna nei confronti di un dipendente dell’Agenzia delle Entrate che nel pomeriggio, orario di chiusura degli uffici al pubblico, aveva effettuato diverse operazioni relative alla posizione di uno studio professionale.
L’Agenzia gli aveva contestato, oltre all’accesso abusivo anche l’abuso d’ufficio sul presupposto che l’impiegato, con la sua “solerzia”, aveva procurato un ingiusto vantaggio allo studio con il quale avrebbe collaborato.
L’ultima accusa era però caduta dopo la verifica della regolarità, dal punto di vista contabile, degli interventi effettuati.
Restava in piedi la contestazione dell’accesso abusivo, giustificata dall’ora anomala nella quale il lavoro era stato svolto.
Una motivazione che il ricorrente ritiene non valida alla luce della giurisprudenza della Cassazione che, anche a Sezioni Unite, fa scattare il reato di accesso abusivo in assenza di abilitazione o quando questa è limitata ad alcune operazioni e il sistema viene usato per ragioni diverse.
Il diretto interessato considera dunque ingiustificato qualunque addebito mosso solo in virtù dell’orario in cui aveva operato.
E i giudici della quinta sezione gli danno ragione.
La Cassazione sottolinea che quando il reato, previsto dall’articolo 615-ter del codice penale, viene contestato a un soggetto abilitato all’accesso, quello che conta perché l’accusa regga è che questo, pur essendo entrato legittimamente, si sia trattenuto nel sistema oltre i limiti fissati dal titolare o vi abbia svolto attività non autorizzate in base al suo contratto o alle prassi aziendali.
Nel caso esaminato non era accaduto nulla di tutto questo.
Venuta meno l’imputazione dell’ingiusto vantaggio la condanna, inflitta dalla Corte d’Appello, si reggeva solo sulla circostanza che le pratiche erano state evase in un orario in cui l’ufficio era chiuso al pubblico.
Per la Suprema corte non è una buona ragione.
Eventuali disposizioni sulla collocazione oraria degli accessi telematici, nella giornata lavorativa del dipendente, non possono essere considerate rilevanti ai fini della violazione contestata.
La norma incriminatrice tutela, infatti, il domicilio informatico, riguardo alle modalità che ne regolano l’accesso, allo scopo di dare la possibilità al titolare di esercitare il suo “potere di esclusione”.
Obiettivo rispetto al quale sono del tutto irrilevanti le indicazioni sull’orario in cui, chi è autorizzato ad operare, può entrare nei programmi aziendali: i tempi riguardano semmai l’organizzazione interna dell’ufficio nel quale il sistema è operativo.
Diverso, in questa prospettiva è il problema della permanenza nel sistema, che diventa penalmente rilevante se protratta oltre quanto stabilito dalle disposizioni del titolare.

Allegato

  • Corte di cassazione - Sezione V penale - Sentenza 19 novembre 2014 n. 47398 (pdf, su sito del Sole 24 Ore )

BIS “Cyber resilience in financial market infrastructures” (13 novembre 2014)

140203-logo-bis.jpg

La sicurezza informatica è pertanto un tema di fondamentale importanza a livello globale per le infrastrutture finanziarie e più in generale per l’intero settore bancario e finanziario

Negli ultimi anni gli incidenti di sicurezza informatica sono diventati sempre più frequenti coinvolgendo tutti i settori dell’economia e in particolar modo quello finanziario.
Le minacce informatiche sono sempre più complesse e in rapida evoluzione ed hanno origini e motivazioni diverse.
L’11 novembre 2014 il Committee on Payments and Market Infrastructures (CPMI) ha pubblicato il documento “Cyber resilience in financial market infrastructures”  (pdf, 242 K, 19 pp.) che prende in rassegna metodi e buone pratiche utilizzate presso le infrastrutture dei mercati finanziari (financial market infrastructures - FMI) per rafforzare la propria resilienza informatica (cioè la capacità di “resistere ad incidenti garantendo la disponibilità dei servizi erogati” ndr).
Il rapporto del CPMI sottolinea che la resilienza informatica è sempre più una priorità per le FMI anche se l’analisi, come rivelano le interviste realizzate per lo studio, dimostra che ci sono significative differenze per quanto riguarda gli approcci alla resilienza tra le FMI.
Questi approcci infatti si basano su combinazioni molteplici di diversi fattori: le persone, la tecnologia, i processi, la comunicazione.
Per far fronte alle diverse minacce, che riguardano la riservatezza, la disponibilità e l’integrità di dati e servizi, devono essere adottate misure di prevenzione e ripristino.
Il rapporto ha rilevato che eventi di estrema gravità possono compromettere la capacità delle FMI di ripristinare i servizi entro due ore dalla rilevazione di un attacco informatico e di ripristinare i servizi (complete settlement ndr) prima che finisca il giorno in cui ha avuto luogo l’incidente come richiesto dai “requisiti chiave” nel modello di gestione del rischio riportato nel documento “Principles for Financial Market Infrastructures” di CPMI-IOSCO).

La relazione conclude che, dato che una delle caratteristiche distintive delle FMI è la loro interconnessione, l’interruzione dei servizi in una FMI può propagarsi ad altri soggetti collegati. Inoltre dato che le minacce informatiche sono sovranazionali occorre un approccio di mitigazione del rischio non limitato ad una singola nazione o istituto.
Ciò richiede stretta cooperazione e comunicazione tra le FMI, le banche centrali e le altre autorità di vigilanza in materia di resilienza informatica.
La sicurezza informatica è pertanto un tema di fondamentale importanza a livello globale per le infrastrutture finanziarie e più in generale per l’intero settore bancario e finanziario.
Il CPMI intende cooperare con le altre autorità internazionali e gli organismi che pubblicano gli standard di riferimento per analizzare ulteriormente i problemi di resilienza legati alle infrastrutture critiche anche in relazione alle implicazioni riguardanti la stabilità finanziaria in caso di attacchi informatici.

Allegato

141114-bis-resilienza.png

  • Committee on Payments and Market Infrastructures, “Cyber resilience in financial market infrastructures”, 11 novembre 2014 (pdf, 242 K, 19 pp.)

Articoli collegati su BIS

ComplianceNet: 

Hacker, in 117 mila sotto attacco (Italia Oggi, 13 ottobre 2014)

il-sole24ore-logo

Oltre 117 mila attacchi informatici al giorno a danno delle aziende di tutto il mondo. Indagine realizzata da PwC, CIO e CSO: gli impiegati tra i maggiori responsabili

  • Pagina a cura di Valerio Stroppa  

In totale nel 2014 saranno quasi 43 milioni, con una crescita del 48% rispetto allo scorso anno.
Aumenta anche l’impatto economico delle frodi: quando gli hacker vanno a segno, i danni si attestano in media a 2,7 milioni di dollari, mentre decuplica il numero delle grandi aziende che subiscono perdite per oltre 20 milioni (banche, gestori carte di credito, motori di ricerca ecc.).
È quanto emerge dalla Global State of Information Security Survey 2015  , curata da PwC, CIO e CSO.
La ricerca ha coinvolto 9.700 top manager (ceo, cfo, cio, cso), addetti IT e responsabili delle procedure di sicurezza di 154 paesi.
Nonostante le preoccupazioni crescenti, tuttavia, dal sondaggio emerge che le spese per la sicurezza informatica sono globalmente diminuite del 4% rispetto al 2013.
Complice la crisi economica che riduce o azzera gli investimenti, negli ultimi cinque anni la percentuale di spesa per la cybersecurity all’interno dei budget IT è rimasta al 4% o diminuita.
Le grandi aziende sono i bersagli preferiti dagli hacker, perché detengono informazioni di maggior valore.
Le realtà con fatturato superiore al miliardo di dollari hanno registrato il 44% di incidenti in più rispetto all’anno precedente.
Tuttavia, le imprese più strutturate sono quelle che presentano le difese migliori.
Motivo per cui i criminali del web stanno iniziando a colpire anche le piccole e medie imprese.
Che in Italia rappresentano oltre il 95% del tessuto produttivo.
«Non sorprende che i casi di violazione della cybersecurity crescano ogni anno, insieme all’impatto finanziario che ne deriva», spiega Fabio Merello, responsabile cybersecurity di PwC Italia «tuttavia, la rilevanza di tali violazioni diventa maggiore se consideriamo le modalità di individuazione e gestione di tali eventi. Gli attacchi sono sempre più sofisticati. È fondamentale identificare procedure che integrino al massimo capacità predittive, preventive, di indagine e di risposta in caso di violazioni, per minimizzarne gli impatti negativi».
La ricerca analizza i responsabili delle violazioni ai sistemi di sicurezza informatica.
Nella maggior parte dei casi si tratta di impiegati della società o ex dipendenti, ma cresce pure il coinvolgimento di service provider (+15%) e consulenti esterni (+17%).
La survey rileva poi un incremento del 64% di incidenti attribuiti all’iniziativa di aziende concorrenti, alcune delle quali «probabilmente supportate dai rispettivi governi».
Un ulteriore aspetto affrontato dallo studio consiste nella ridotta sensibilità delle figure apicali dell’azienda ai rischi connessi alla sicurezza informatica.
Solo il 49% degli intervistati afferma di aver adottato un team multidisciplinare che periodicamente si riunisce per discutere, coordinare e comunicare informazioni che riguardano tali aspetti.
«I rischi legati alla sicurezza informatica non verranno mai completamente eliminati e con la crescita del cybercrime le società devono essere preparate e vigili nell’ambito di uno scenario in costante evoluzione», conclude Merello, «le aziende devono passare da un modello di sicurezza tradizionale, concentrato su prevenzione e controllo, a un approccio basato sulla gestione del rischio che sia in grado di dare priorità agli asset di maggior valore e valuti le minacce incombenti».

 

ComplianceNet: 

OWASP: Testing Guide versione 4 (19 settembre 2014)

140919-OWTGv4 Cover2.jpg

Cos’è OWASP?

The Open Web Application Security Project (OWASP) è una iniziativa internazionale volta alla diffusione della cultura della sicurezza delle applicazioni web che ha costituito una comunità aperta e libera di esperti di ICT security.
La mission di OWASP è fare informazione e divulgazione sul testa della web security in modo tale che aziende, enti, professionisti e utenti  possano affrontare in modo consapevole i rischi della sicurezza informatica legati al web.
Chiunque può liberamente partecipare alle iniziative OWASP, contribuire alle sue pubblicazioni ed utilizzare le sue guide e manuali.
In Italia il progetto è rappresentato da OWASP Italy  condotto da Matteo Meucci, Chief Executive Officer di Minded Security

OWASP Testing Guide v.4

Il 17 settembre 2014 OWASP ha annunciato la pubblicazione della “Testing Guide versione 4” (pdf, 2.2 M 111 pp.)
La guida è un framework per i test di sicurezza delle applicazioni e servizi web basato sulla raccolta delle migliori “best practice” di penetration test.
Rispetto alle precedente versione 3 nella nuova edizione sono stati apportati tre cambiamenti significativi:

  1. integrazione della “Testing Guide” con altri 2 prodotti di OWASP: la “Developers Guide” e la “Code Review Guide” grazie all’allineamento della numerazione e classificazione dei test.
  2. Aumento dei “test case” ora 87 rispetto ai 64 della precedente versione con l’introduzione di quattro nuovi capitoli e controlli:
    • Test Identity Management
    • Gestione degli errori
    • Crittografia
    • Test lato client
  3. Stretta integrazione con la comunità internazionale dei “security tester” che ha contribuito alla redazione del documento che darà in continua evoluzione permettendo l’aggiornamento e l’inserimento di nuovi “test case”.

3 ottobre 2014 - convegno OWASP e Isaca Venezia

Il 3 ottobre 2014 a Venezia si terrà il convegno “Application Security: internet, mobile ed oltre. Sicurezza delle applicazioni mobile”, seconda edizione del Convegno organizzato da ISACA VENICE, OWASP, Università Ca’ Foscari di Venezia – Dipartimento di Scienze Ambientali Informatica e Statistica.
Fra i relatori: Christian Martorella di Skype, Marco Balduzzi di Trend Micro, Matteo Meucci di OWASP e Minded Security.
La partecipazione è gratuita.
Brochure (pdf, 548 K 10 pp.)

Allegati

  • OWASP, “Testing Guide versione 4”, 17 settembre 2014 (pdf, 2.2 M 111 pp.), project leaders: Matteo Meucci e Andrew Muller, licenza: Creative Commons (CC) Attribution Share-Alike

 

ComplianceNet: 

Nuovo regolamento europeo in materia di identificazione elettronica e servizi fiduciari (Assonime, 11 settembre 2014)

140915-logo-assonime.jpg

Il 28 agosto 2014 è stato pubblicato sulla Gazzetta ufficiale dell’Unione Europea il regolamento UE n. 910/2014 del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che abroga la direttiva 1999/93/CEE sulle firme elettroniche.
Il regolamento, che verrà applicato direttamente negli Stati membri, entra in vigore il 17 settembre 2014 e si applica a decorrere dal 1° luglio 2016 ad eccezione di alcune specifiche disposizioni.
Questo regolamento è volto a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure tra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, dell’e-business e del commercio elettronico, nell’Unione Europea.
In particolare il regolamento fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro; fornisce un quadro giuridico relativo alle firme elettroniche, ai sigilli elettronici, ai documenti elettronici, alla validazione temporale elettronica, ai servizi elettronici di recapito, all’autenticazione di siti web; disciplina le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche.
Riguardo all’identificazione elettronica il regolamento lascia impregiudicata la libertà degli Stati membri di stabilire quali strumenti di identificazione elettronica utilizzare per l’accesso ai servizi on-line nel proprio territorio.
Viene sancito però l’obbligo di assicurare il mutuo riconoscimento dei mezzi di identificazione elettronica rilasciati in un altro Stato membro per accedere ad un servizio pubblico on-line, a condizione che questi mezzi di identificazione  rientrino in un regime di identificazione elettronica notificato alla Commissione e vengano soddisfatte alcune condizioni relative ai livelli di garanzia. Un regime di identificazione elettronica è ammesso alla notifica se soddisfa una serie specifica di condizioni. La Commissione pubblica un elenco dei regimi di identificazione elettronica notificati.
Gli Stati membri dovrebbero incoraggiare anche il settore privato a impiegare volontariamente mezzi di identificazione elettronica nell’ambito di un regime notificato a fini di identificazione quando è necessario per servizi on-line o transazioni elettroniche.
Con specifico riferimento alle firme elettroniche, il regolamento chiarisce che non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali di una firma elettronica per il solo motivo della sua forma elettronica  o perché non soddisfa i requisiti per le firme elettroniche qualificate.
Viene stabilito che una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa; inoltre, sono fissati i requisiti che deve soddisfare una firma elettronica avanzata.
La firma elettronica basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta come firma elettronica qualificata in tutti gli altri Stati membri.
Per le persone giuridiche sono previsti sigilli elettronici a cui sono riconosciuti effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali. I sigilli elettronici qualificati godono della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo è associato. Un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto come sigillo qualificato in tutti gli altri Stati membri. Come per le firme elettroniche vengono specificati i requisiti che deve presentare un sigillo elettronico avanzato.
Per quanto attiene ai servizi fiduciari il regolamento disciplina la responsabilità e l’onere della prova  per danni causati in seguito ad un mancato adempimento da parte dei prestatori di servizi fiduciari degli obblighi previsti nel regolamento.

Sono previsti i requisiti di sicurezza che devono essere rispettati dai prestatori di servizi fiduciari. Il regolamento stabilisce specifiche condizioni per avviare un servizio fiduciario qualificato e i requisiti da rispettare quando il prestatore rilascia un certificato qualificato per un servizio fiduciario. Infine, gli Stati membri devono designare un organismo di vigilanza che ha il compito di vigilare sui prestatori di servizi fiduciari qualificati e non qualificati.

 

ComplianceNet: 

Una stretta sul furto di identità (Italia Oggi, 4 settembre 2014)

il-sole24ore-logo

Piattaforma del Mineconomia al via entro fine anno. Accesso agli intermediari. Banca dati analizzerà la veridicità delle informazioni

  • di Cristina Bartelli

Arriva la banca dati del ministero dell’economia contro il furto di identità.
Entro la fine dell’anno gli intermediari finanziari potranno, prima di concedere un finanziamento per il credito al consumo o aprire un conto corrente, interrogare il cervellone elettronico del Mef per sapere se chi sta chiedendo il finanziamento non abbia taroccato i dati e sia chi dice di essere.
L’iscrizione è obbligatoria per gli intermediari finanziari, e al momento l’accesso è aperto anche alle società di telefonia in prospettiva di allargare ad altri utenti la facoltà di interrogazione.
Il finanziamento della piattaforma, che sarà gestita da Consap, è garantito dagli accessi.
Per ogni interrogazione infatti l’intermediario pagherà per l’informazione ricevuta.
Informazione che arriverà in tempi rapidi e avrà la caratteristica del semaforo: rossa se è stato trovato un problema, verde se il documento fornito è in regola.
La verifica sarà fatta su passaporti, carte di identità e carte di credito.
A prevedere la creazione della banca dati sul furto di identità è una norma del 2011 (decreto legislativo 11 aprile 2011, n. 64).
Ora, secondo quanto ItaliaOggi è in grado di anticipare, si è arrivati alle ultime battute del progetto con la firma, da parte dei soggetti coinvolti, delle convenzioni per l’accesso alle informazioni.
La piattaforma messa in piedi dalla quinta direzione del ministero dell’economia non è una nuova banca dati, ma funziona come una sorta di imbuto: la richiesta viene inviata e smistata ad altre sei banche dati (tra le altre agenzia delle Entrate e Inps) che possono fare una verifica quasi in tempo reale sulla veridicità del dato inserito.
Per furto di identità la direzione del Tesoro intende l’impersonificazione totale e cioè occultamento totale della propria identità mediante l’utilizzo indebito di dati relativi all’identità e al reddito di un altro soggetto; e l’impersonificazione parziale: occultamento parziale della propria identità mediante l’impiego, in forma combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi a un altro soggetto, nell’ambito di quelli di cui al punto precedente.
L’archivio centrale, infine, potrà essere consultato dalle forze di polizia per gli aspetti connessi all’analisi dei fenomeni criminali e di prevenzione dei reati finanziari.
Secondo gli ultimi dati disponibili di Crif (società specializzata nello sviluppo e nella gestione di sistemi di informazioni creditizie) che monitora il fenomeno, nel 2013 sono state rilevate più di 26 mila frodi creditizie, per perdite economiche stimate complessivamente in 162 milioni di euro.
Con un +8,3% rispetto all’anno precedente.
E proprio con il perdurare della crisi si è assistito, nel settore del credito al consumo, all’utilizzo illecito dei dati personali e finanziari altrui per ottenere credito o acquisire beni con l’intenzione premeditata di non rimborsare il finanziamento e non pagare il bene.
Per quanto riguarda le tipologie di finanziamento oggetto di frode, dall’Osservatorio di Crif emerge che i prestiti finalizzati continuano ad assorbire la quota preponderante, con l’81,2% dei casi totali (+1,2% rispetto al 2012).
Questo si spiega soprattutto con il fatto che la frode viene spesso portata a termine presso un punto vendita (per esempio, una concessionaria auto o moto) oppure una catena di distribuzione, che rispetto agli istituti di credito hanno l’esigenza di rispondere al cliente in tempi stringenti.
Relativamente alla tipologia di frodi rilevate, il fenomeno del furto di identità riguarda sempre più spesso cambiali e assegni emessi a nome altrui, assumendo proporzioni assolutamente rilevanti per numero di casi e importi.
Nello specifico, analizzando i dati sui protesti è emerso che nel corso del 2013 i titoli di credito protestati con firme falsificate a seguito di furto di identità sono stati 4.590, con un importo medio di circa 4.400 euro.
Analizzando l’entità dei crediti ottenuti fraudolentemente, emerge la predominanza dei piccoli importi (i cosiddetti small ticket): in linea con l’anno precedente, infatti, il 41,9% dei casi totali riguarda frodi di importo inferiore ai 1.500 euro.

Articoli collegati su Security

ComplianceNet: 

Privacy & assicurazioni: Archivio antifrodi assicurative (Italia Oggi, 28 agosto 2014)

il-sole24ore-logo

Dopo il via libera del garante in dirittura il decreto sulla banca dati Ivass. Un bollino sui sinistri sospetti per allertare le compagnie

  • Pagina a cura di Antonio Ciccia

Pronto l’archivio informatico integrato contro le frodi assicurative.
Fornirà le coordinate per scoprire sinistri simulati, attribuendo una specie di bollino nero sul sinistro sospetto e mettendo, così, sul chi va là le compagnie.
Sarà un data base unico in cui confluiranno i vari archivi sugli incidenti stradali, sui veicoli e sui dati dei conducenti.
Il passo in avanti verso l’operatività del sistema lo ha segnato il Garante della privacy, che con il provvedimento n. 378 del 24 luglio 2014, ha espresso parere favorevole sullo schema di decreto per l’istituzione e il funzionamento del data base.
L’archivio unico sarà istituito presso l’Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo (Ivass) e ha lo scopo di consentire alle imprese di assicurazione di verificare il livello di anomalia di ogni sinistro anche prima di pagare l’indennizzo per la loro liquidazione.
Il grande archivio servirà anche all’autorità giudiziaria e forze di polizia (per finalità antifrode).
Il risultato dell’operazione sarà di consentire controlli incrociati rigidi e precisi per controllare, per esempio, la dinamica dei sinistri, alla luce di indici di sospetto.
L’archivio integrato a regime raccoglierà in un unico database le informazioni provenienti dalla banca dati dei sinistri, dall’anagrafe testimoni e dall’anagrafe danneggiati (già istituite presso l’Ivass), dalla banca dati dei contrassegni assicurativi, dall’archivio nazionale dei veicoli, dall’anagrafe nazionale degli abilitati alla guida e dal Pra (Pubblico registro automobilistico), dalla banca dati contenente le informazioni relative al ruolo dei periti assicurativi.
Saranno conservate in questo archivio integrato anche le informazioni sull’installazione e attivazione delle «scatole nere» sui veicoli, raccolte a fini antifrode.
Lo scopo è di calcolare per ogni sinistro un indicatore di anomalia.
Si procederà in questi termini: dopo la raccolta e l’incrocio dei dati, si comunicherà alle imprese di assicurazione coinvolte nel sinistro un primo valore dell’indicatore di anomalia, detto di sintesi; se il livello di anomalia sarà superiore a quello fissato con regolamento dell’Ivass, si comunicheranno alle imprese di assicurazione coinvolte anche gli indicatori analitici.
Spetterà, poi, alle assicurazioni usare questi indici nelle procedure di liquidazione degli indennizzi. Il garante ha raccomandato la raccolta di dati pertinenti e non eccedenti le finalità e ha mosso un rilievo specifico su tempi e modalità di conservazione dei dati.
Nel dettaglio le informazioni rimarranno nell’archivio per cinque anni dalla data di definizione di ciascun sinistro; trascorsi cinque anni i dati di ciascun sinistro definito saranno riversati su altro supporto informatico gestito dall’Ivass e dopo altri cinque anni saranno conservati in forma anonima e per scopi esclusivamente statistici.
Il Garante ha richiesto di inserire la clausola per cui i dati riversati su altro supporto informatico possono essere utilizzati nel secondo quinquennio dall’Ivass esclusivamente a fini di comunicazione per esigenze di giustizia penale o a seguito di esercizio dei diritti degli interessati.

Dati telefonici

Più garanzie nei controlli delle utenze telefoniche.
Il garante ha dato il via libera allo schema di Convenzione tra il ministero dell’interno e i gestori di servizi di telecomunicazioni sull’accesso telematico delle forze di polizia e dell’autorità giudiziaria ai dati dei possessori di telefoni fissi e mobile (provvedimento 244/2014).
L’accesso ai dati (nome, cognome, numero telefonico, data attivazione/cessazione linea, residenza), previsto dalla legge solo per finalità di giustizia, avverrà esclusivamente tramite il Centro di elaborazione dati (Ced) del dipartimento della pubblica sicurezza utilizzando uno specifico sistema informatico denominato Elenco telefonico nazionale (Etna).
Tutti gli accessi saranno tracciati e potranno avvenire solo da postazioni di lavoro certificate.
Ufficiali e agenti di polizia e personale designato dai capi degli uffici giudiziari dovranno essere in possesso di specifici profili di abilitazione e credenziali di autenticazione personali.

Ultimi articoli su Privacy

La firma digitale formato Ue finisce nelle mani degli avvocati (Il Sole 24 Ore, 25 agosto 2014)

il-sole24ore-logo

  • Fonte: in pdf su rassegna stampa del Ministero Istruzione

La storia senza fine delle sottoscrizioni elettroniche. 5 milioni: In circolazione. A maggio erano 5,3 milioni i certificati di firma qualificata

  • di Antonello Cherchi

Non c’è pace per le firme digitali.
La situazione di confusione si trascina ormai da più di dieci anni, anche se questa volta la parola "fine" sembrava all’orizzonte.
Tutto si sarebbe, infatti, dovuto definire entro il prossimo 10 febbraio, momento in cui gli enti che certificano le firme digitali qualificate - cioè quelle che offrono maggiori garanzie - avrebbero dovuto rilasciare dispositivi di sottoscrizione in linea con i requisiti di sicurezza Ue.
Invece, il sistema è stato rimesso in discussione per l’ennesima volta.
Il nodo di tutto è il decreto del presidente del Consiglio 19 luglio 2012.
Quel provvedimento - predisposto sotto il Governo Monti e ultimo di una lunga serie (si veda la scheda sotto) - ha infatti assegnato 21 mesi a partire dal 25 ottobre 2012 (data dell’entrata in vigore) perché gli enti di certificazione si munissero di dispositivi in grado di generare firme digitali qualificate al passo con i parametri Ue.
Processo che deve essere validato dall’Onmi (Organismo di certificazione della sicurezza informatica) o comunque da un ente che aderisce all’accordo internazionale Cera (Common recognition arrangement).
Al 25 luglio scorso, data di scadenza dei 21 mesi, solo una società- la ItAgile, che distribuisce per il nostro Paese il dispositivo di firma CoSign - si è presentata coni requisiti in regola.
O quasi.
«Anche se il procedimento di certificazione non era ancora completato - spiega Gianni Sandrucci, amministratore di ItAgile -una lettera speditaci dall’Ocsi afferma che è alle fasi finali».
Così non è, invece, almeno secondo una parte dei dodici enti di certificazione iscritti nell’elenco tenuto, per legge, dall’Agenzia per l’Italia digitale.
Elenco di cui ItAgile, che non è un certificatore ma un produttore di dispositivi di firma, non fa parte.
Ma questo non è un problema.
Il fatto è che - sempre secondo il decreto di luglio 2012 - gli enti certifi-catori senza "validazione" Onmi alla data del 25 luglio (cioè, tutti e dodici) devono sostituire i dispositivi di firma rilasciati finora con altri dotati delle caratteristiche di sicurezza richieste dalla Ue.
L’operazione di migrazione verso apparati garantiti dovrà essere completata entro il 10 febbraio prossimo.
Fino a quella data, ma non oltre, continueranno ad avere validità le firme qualificate rilasciate secondo i vecchi criteri.
La transizione degli enti certificatori verso dispositivi più sicuri doveva essere preceduta da una comunicazione all’Agenzia per l’Italia digitale che gli organismi avrebbero dovuto inviare entro il 9 agosto.
Non tutti, però, l’hanno fatta.
«Una parte degli enti certificatori ha presentato all’Agenzia il piano di migrazione, ma un’altra parte - chiarisce Paolo Cascino, direttore di Assocertificatori - sostiene che anche ItAgile non abbia completato il procedimento di certificazione presso l’Onmi e, dunque, non abbia i requisiti chiesti dal decreto per produrre firme digitali qualificate. Non essendoci, pertanto, neanche un organismo in grado di assicurare dispositivi di firma con i criteri di sicurezza richiesti, viene a cadere, secondo quegli enti, il decreto stesso. La questione è ora in mano agli uffici legali».
Il problema riguarda la produzione delle firme digitali qualificate remote - cioè quelle che non sono materialmente nella disponibilità del sottoscrittore, ma alle quali quest’ultimo accede in Rete attraverso una serie di credenziali - e che rappresentano circa la metà delle sottoscrizioni "forti" ora in circolazione nel nostro Paese, su un totale, rilevato a maggio, di poco più di 5,3 milioni di certificati validi.
L’altra metà è rappresentata dalle firme digitali su smart card.
Nonostante gli intoppi vissuti fin qui dalla firma digitale a causa dei continui aggiustamenti legislativi - ai quali si aggiunge quest’ultimo che minaccia di trasferire il problema nelle aule legali - l’esperienza italiana è all’avanguardia in Europa.
«Altri Paesi - afferma Gianni Sandrucci - guardano alla nostra esperienza, perché disponiamo di apparati in grado di produrre firme qualificate che possono essere utilizzate in tutta l’Unione».

Dieci anni di tentativi

Le firme

Per firma elettronica si intende, in generale, la possibilità di connettere dati elettronici in modo da consentire l’identificazione informatica di chi "firma".
Tra le firme elettroniche si può distinguere la firma digitale avanzata, che assicura la connessione tra firmatario e documento elettronico, e la firma digitale qualificata, la forma più "forte" di firma elettronica.
Grazie, infatti, a un sistema di doppie chiavi crittografiche, una pubblica e una privata, consente di attestare l’integrità, l’autenticità e la non ripudiabilità del documento elettronico su cui è apposta. È rilasciata dagli organismi di certificazione

Le regole Ue

La direttiva 1999/93/Ce ha prescritto i requisiti di sicurezza della firma digitale qualificata, che in Italia devono essere certificati dall’Ocsi (Organismo di certificazione della sicurezza informatica)

Le mosse dell’Italia

Per adeguarsi ai criteri Ue il nostro paese vara il Dpcm 30 ottobre 2003, pubblicato sulla «Gazzetta Ufficiale» del 27 aprile 2004, che prevede un periodo transitorio di nove mesi durante il quale i certificatori attestano, mediante autodichiarazione, che i propri dispositivi di firma digitale rispondono ai requisiti di sicurezza europei.
Si arriva al 2010 e il Dpcm 10 febbraio, pubblicato sulla «Gazzetta» del 28 aprile, proroga al 1° novembre 2011 la possibilità dell’autocertificazione.
Un ulteriore decreto (il Dpcm 14 ottobre 2011) sposta ancora i termini: le autocertificazioni varranno fino al 1° novembre 2013, purché gli enti di certificazione abbiano, alla data del l° novembre 2011, presentato all’Ocsi (o altro ente accreditato) domanda di certificazione.
Il decreto viene pubblicato sulla «Gazzetta» del 31 ottobre 2011, dunque a ridosso della scadenza, che, tra l’altro, cade in un giorno festivo. Un vero pasticcio

L’ultimo decreto

È il Dpcm 19 luglio 2012, pubblicato sulla «Gazzetta» del 10 ottobre. L’autocertificazione vale, di fatto, fino al 10 febbraio 2015

Articoli collegati su Security

ComplianceNet: 

Pagine