













Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Crittografia e Sicurezza Informatica, appunti completi liceo scientifico scienze applicate.
Tipologia: Appunti
1 / 21
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!














La sicurezza dei sistemi informatici è un obiettivo primario per i gestori di tali sistemi. Nell'attesa di una definizione esaustiva, possiamo identificare cinque aspetti fondamentali della sicurezza: disponibilità, integrità, confidenzialità, autenticità e non ripudio.
Un efficace gestore di sistemi informatici deve adottare una solida politica di sicurezza per proteggere il sistema da intrusioni o danni. Nel caso in cui un'eventuale violazione del sistema o danneggiamento possa essere attribuita a negligenza da parte del responsabile del sistema, quest'ultimo potrebbe essere chiamato a risarcire i danni causati all'azienda o a terzi danneggiati. La sicurezza di un sistema informatico è intimamente correlata al concetto giuridico di sicurezza informatica. Questo concetto giuridico si riferisce a una serie di precauzioni, sia tecniche che organizzative, che mirano a proteggere la confidenzialità, l'integrità e la disponibilità delle informazioni registrate. L'accesso non autorizzato a un sistema informatico può essere paragonato alla violazione di domicilio. Ad esempio, l'Articolo 615-ter della Legge 547/93 tratta i delitti contro l'inviolabilità del domicilio, e il sistema informatico è considerato un'estensione della sfera personale di un individuo. La copia non autorizzata di dati e programmi può configurarsi come furto o violazione del diritto d'autore. Nel contesto delle reti di comunicazione, specialmente su Internet, la sicurezza dei dati trasmessi è di fondamentale importanza. Gli attacchi informatici possono compromettere la riservatezza, l'affidabilità, l'autenticità, l'integrità e il non ripudio dei dati. È possibile, tecnicamente, intercettare e manipolare i dati durante la trasmissione. Internet è nato come uno strumento per lo scambio di informazioni tra ricercatori universitari, ma l'introduzione di fini commerciali ha reso necessario un ripensamento dei protocolli di base per includere meccanismi di sicurezza. È importante utilizzare questi meccanismi solo quando necessario, poiché possono influire sulla velocità di trasmissione e gravare sui server web. P. 286 La normativa sulla sicurezza informatica prevede varie sanzioni, comprese quelle penali, per le violazioni dei sistemi informatici. Gli attacchi informatici, sia accidentali che intenzionali, mirano a compromettere le misure di sicurezza di un sistema. È essenziale prevedere tali attacchi per stabilire la responsabilità del personale della sicurezza. Gli agenti responsabili degli attacchi possono essere attivi o passivi, umani o non umani. Gli agenti attivi possono compromettere tutti gli aspetti della sicurezza, mentre gli agenti passivi possono influenzare solo la riservatezza dei dati. Ad esempio, un fulmine è un agente attivo che minaccia l'integrità e l'affidabilità dei dati, mentre un pirata informatico che intercetta messaggi viola solo la riservatezza.
Il malware è un programma progettato per introdursi in un sistema informatico senza il consenso dell'utente e compiere operazioni dannose, dalla visualizzazione di messaggi alla cancellazione del disco fisso. Include diverse categorie di codice malevolo:
I cookie sono piccoli file di testo creati e memorizzati dai web server sui computer dei visitatori per identificarli nelle visite successive e archiviare informazioni utili. La Legge europea sulla Privacy consente di accettarne o meno l'installazione. I siti devono richiedere il consenso degli utenti. I cookie semplificano procedure come memorizzare credenziali di accesso e pagine visitate. Servono anche a conoscere le abitudini di navigazione e gli interessi degli utenti per migliorare i siti e proporre pubblicità personalizzata.
La crittografia è un settore matematico che si occupa di metodi per rendere un messaggio visibile solo a un gruppo limitato di persone. Questo implica che il messaggio deve essere leggibile solo dal mittente e dal destinatario. Un sistema crittografico efficace garantisce l'autenticità e l'impossibilità di negare l'invio o la ricezione del messaggio, oltre alla riservatezza e all'integrità dei dati. P. Un sistema di crittografia implica la codifica dei messaggi prima della trasmissione e la decodifica al loro arrivo a destinazione. Gli elementi chiave di un sistema di crittografia sono gli algoritmi e le chiavi di crittografia, la cui combinazione efficace assicura la sicurezza del sistema. È importante evitare di accoppiare algoritmi sofisticati con chiavi troppo semplici, poiché ciò renderebbe il sistema vulnerabile. La crittografia ha una lunga storia, con esempi antichi come il codice di Cesare, utilizzato fin dall'antichità, e applicazioni militari come la macchina Enigma durante la Seconda Guerra Mondiale.
Un esempio di sistema di crittografia è il codice di Cesare, composto da due elementi fondamentali: la chiave, un numero compreso tra 1 e 25, e l'algoritmo che consiste nella sostituzione di ogni lettera con quella spostata di un certo numero di posizioni nell'alfabeto (in modo ciclico). Ad esempio, con una chiave di 3, la lettera A sarebbe sostituita con la lettera D e così via. Tuttavia, il codice di Cesare è facilmente forzabile. Oggi, le due principali tecniche di crittografia utilizzate su Internet sono la crittografia a chiave privata (simmetrica) e la crittografia a chiave pubblica (asimmetrica), entrambe note per la loro efficacia e sicurezza. P. La Crittografia Simmetrica La crittografia simmetrica, nota anche come "a chiave segreta" o "a chiave privata", prevede l'utilizzo di una singola chiave, chiamata cifrario, per cifrare e decifrare i messaggi. Questa chiave è nota sia al mittente che al destinatario e deve essere mantenuta segreta e condivisa. Il processo è rappresentato come segue:
Schema 1: Autenticazione del destinatario e riservatezza del messaggio: In questa fase, il mittente S desidera garantire che il messaggio sia letto solo dal destinatario D. S ottiene la chiave pubblica di D dal registro delle chiavi pubbliche e la utilizza per cifrare il messaggio M. Il messaggio cifrato può essere inviato da S, poiché solo la chiave privata di D può decifrarlo. P. Schema 2: Autenticazione della sorgente: In questo caso, il mittente S desidera che il destinatario D sia sicuro che il messaggio provenga proprio da S. S cifra il messaggio con la propria chiave privata prima di inviarlo a D. In questo modo, D può leggere il messaggio utilizzando la chiave pubblica di S, garantendo l'autenticità della fonte. Schema 3: Segretezza e autenticazione: Questo schema combina gli obiettivi dei due schemi precedenti. S utilizza la chiave pubblica di D per cifrare il messaggio, garantendo la segretezza delle informazioni, e poi cifra di nuovo il messaggio con la propria chiave privata per autenticare la sorgente. D può quindi decifrare il messaggio due volte, prima con la chiave pubblica di S e poi con la sua chiave privata, ottenendo infine il messaggio in chiaro.
Questi schemi illustrano come la crittografia asimmetrica possa essere utilizzata per garantire la riservatezza dei dati e l'autenticità delle parti coinvolte nella comunicazione. P. Il metodo di crittografia a chiave asimmetrica garantisce la riservatezza del messaggio, l'autenticazione del mittente e del destinatario, e l'integrità del messaggio stesso. Alcuni esempi di algoritmi di cifratura asimmetrica includono RSA, Diffie-Hellman, ElGamal, e curve ellittiche.
La firma digitale, basata sui principi della crittografia, è fondamentale nella generazione e gestione delle firme elettroniche. Per generare la firma digitale di un documento destinato al trasferimento su Internet, si seguono alcuni passaggi chiave.
l'identificazione dei depositanti delle chiavi. La firma digitale risulta spesso più affidabile rispetto alla firma autografa, come evidenziato dalla tabella di confronto. Il Decreto del Presidente della Repubblica (DPR) n. 445 del 28 dicembre 2000, noto come Testo Unico sulla Documentazione Amministrativa (TUDA), ha ulteriormente aggiornato la normativa sulla firma digitale. Il TUDA fornisce una nuova definizione di documento informatico e stabilisce che le regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione (anche temporale) dei documenti informatici siano aggiornate almeno ogni due anni tramite Decreto del Presidente del Consiglio dei Ministri (DPCM). Inoltre, attribuisce al documento informatico, redatto in conformità con le regole tecniche stabilite dal DPCM, la stessa validità di una riproduzione meccanica (come fotocopia o fotografia) o di scritture private.
Il D.lgs. n.82 del 7 marzo 2005, noto come codice dell'amministrazione digitale, mira a riorganizzare la pubblica amministrazione nell'uso di strumenti informatici e telematici, soprattutto nei rapporti con cittadini, imprese e altre amministrazioni. Questo codice stabilisce nuove regole per la documentazione informatica e la firma digitale. P. Il Codice dell'Amministrazione Digitale definisce quattro tipi di firma digitale:
Certificatori e Certificati: Il sistema di cifratura a chiave asimmetrica garantisce la sicurezza delle comunicazioni, richiedendo una chiave pubblica certificata e una coppia di chiavi di lunghezza adeguata, generalmente compresa tra 128 e 512 bit. La chiave pubblica deve essere depositata presso un ente certificatore, come definito dall'Art. 8 della Legge 59/97, ora gestito da CNIPA (Centro Nazionale per l'Informatica nella Pubblica Amministrazione), successivamente sostituito dall'Agenzia per l'Italia Digitale (AgID) dal 2012. AgID si occupa di consulenza, emanazione di normative, definizione di criteri per la sicurezza informatica, e formazione dei dipendenti pubblici nel settore informatico, al fine di migliorare i servizi della pubblica amministrazione. P.30 2
Una rete necessità di particolare attenzione riguardo a tre aspetti fondamentali:
Proxy Quando ogni computer della rete interna accede alla rete WAN, avviene un dialogo diretto fatto di richieste e risposte. Se più computer cercano la stessa pagina web, ogni computer fa la richiesta autonomamente, causando ripetizioni di informazioni identiche dalla rete esterna. Un proxy server risolve questo problema interponendosi tra la rete interna ed esterna: effettua le richieste per conto di tutti i computer, riceve le risposte e le inoltra ai richiedenti. Nel momento in cui un altro computer effettua la stessa richiesta, I proxy non ha più la necessità di andarla a reperire all'esterno: P. Poiché è ancora disponibile nella sua cache (memoria interna del proxy), la risorsa viene inviata immediatamente al richiedente. Durante la navigazione su Internet attraverso un browser, i passaggi necessari per instaurare una comunicazione sono i seguenti:
Il software è protetto dalla normativa sul Diritto d'Autore sia civilmente che penalmente, considerandolo un'opera dell'ingegno paragonabile all'alfabeto o alle sette note. La creatività è evidenziata dalla novità e originalità dello sforzo intellettuale. Il Diritto d'Autore garantisce all'autore di un'opera creativa il diritto esclusivo sulla sua utilizzazione, contrastando l'utilizzo libero da parte della collettività. In Italia, la tutela del software è stata regolamentata dal Decreto Legislativo n. 518 del 1992, estendendo la protezione già prevista per altre opere dell'ingegno dalla Legge n. 633 del 1941 sul Diritto d'Autore. Questa legge è stata applicata al software attraverso numerose sentenze. La Direttiva 2009/24/CE del Parlamento e del Consiglio europeo, del 23 aprile 2009, riguardante la tutela giuridica dei programmi per elaboratore, ha codificato e sostituito la direttiva precedente del 1991.
La direttiva del 2009 mantiene l'approccio originale basato sul Diritto d'Autore per la tutela del software, confermando la scelta di non adottare un sistema brevettuale. La definizione di software comprende "un programma per elaboratore espresso in qualsiasi forma, purché originale, come risultato di creazione intellettuale dell'autore" (Art. 2, comma 8, Legge sul Diritto d'Autore modificata dal D.lgs. n. 518 del 1992). P. Nella seguente Tabella sono stati riportati, cronologicamente, i passaggi legislativi: La legge italiana ha introdotto la possibilità di perseguire penalmente chi acquista o detiene software pirata, anche per uso personale. L'Art. 103 comma 4 della Legge sul Diritto d'Autore ha istituito un registro speciale presso la SIAE dove è possibile registrare software a pagamento, offrendo maggiore tutela all'autore sia dal punto di vista penale che civilistico. La registrazione non è obbligatoria, ma fornisce prove della paternità della creazione del software e garantisce una data certa della sua creazione. La legge protegge la forma espressiva del programma, non le idee o i principi alla base, concentrandosi sul suo "confezionamento" anziché sulla "confezione". Le sanzioni nella legge penale italiana L'obiettivo della legge è di limitare al minimo l'abuso commerciale dei programmi per computer. Seguendo le disposizioni sulla violazione del diritto d'autore per opere letterarie e artistiche nella Legge n. 633/41, sono state stabilite pene detentive da tre mesi a tre anni e pesanti multe per vari reati, inclusi la duplicazione a scopo di lucro di software senza autorizzazione, l'importazione, distribuzione, vendita e detenzione di software pirata, la locazione non autorizzata dei programmi e la manipolazione dei dispositivi di protezione. È evidente che l'aspetto finanziario è fondamentale in ogni forma di illecito. Si ricorda che l'unico caso in cui è consentita la duplicazione da parte del legittimo possessore del software originale è a scopo di backup per garantire la sicurezza. P. L'autore detiene il potere di determinare cosa permettere a chi acquista o detiene il suo software. Nell'ambito del Diritto d'Autore, emergono due categorie di diritti fondamentali:
Il Software freeware Il termine "freeware" è utilizzato per software che può essere distribuito senza costi, ma non può essere modificato e non offre accesso al codice sorgente. Non è considerato software libero, ma può essere utilizzato e distribuito gratuitamente, sia a scopo commerciale che no. P. Il Software shareware Lo shareware è un tipo di software che consente la ridistribuzione delle copie, ma richiede ai continuativi utilizzatori di pagare una licenza d'uso. Solitamente, offre un periodo di prova dopo il quale è necessario acquistare la licenza per continuare a utilizzarlo. Non è considerato software libero o gratuito perché non fornisce accesso al codice sorgente e richiede il pagamento della licenza per l'utilizzo continuativo, anche se a scopo non commerciale. Il Software commerciale Il software commerciale è sviluppato da un'azienda per scopi di lucro, mentre il software proprietario implica che il codice sorgente non è accessibile al pubblico. Tuttavia, esistono software commerciali che sono anche liberi, e software non commerciali che non sono liberi. La tabella riassume le principali licenze del software, che riflettono questa varietà. P.3 50
Il GDPR La normativa sulla privacy in Italia, con il Codice in materia di protezione dei dati personali del 2003, ha posto una forte attenzione sulla gestione dei dati. Il Regolamento generale sulla protezione dei dati (GDPR), operativo dal 2018 in tutta l'Unione Europea, ha rafforzato ulteriormente queste regole, applicandole anche alle aziende al di fuori dell'UE che trattano dati di cittadini europei. Le misure richieste alle aziende includono la definizione di politiche di conservazione dei dati, la verifica della legalità dei trattamenti e il consenso, la revisione dei rapporti con terze parti, la valutazione dei rischi e, per gli enti pubblici, la nomina di un Responsabile della protezione dei dati.
Dati Personali Il GDPR amplia la definizione di dati personali e sensibili, includendo identificativi online come cookie, indirizzi IP, geolocalizzazione ed e-mail. Il regolamento identifica tre categorie di dati, con le ultime due considerate categorie particolari, richiedendo il consenso esplicito per il trattamento. Inoltre, il GDPR permette agli utenti di trasferire i propri dati da un titolare del trattamento a un altro, garantendo la portabilità dei dati personali. Accountability Il principio di accountability richiede al titolare del trattamento di rispettare gli obblighi iniziali previsti nel Regolamento e di svolgere un controllo costante sulle fasi di gestione dei dati. La norma implica un ampliamento degli obblighi di protezione dei dati personali per il titolare e il responsabile del trattamento, che devono dimostrare l'adozione di misure legali, organizzative e tecniche per proteggere i dati. Le aziende devono conformarsi al nuovo Regolamento, consentendo agli utenti di dare il consenso in modo esplicito e tracciabile, e pubblicando un'informativa trasparente, chiara e facilmente accessibile sul trattamento dei dati personali. P.35 2 Le aziende devono assicurarsi che i dati raccolti siano pertinenti, adeguati e limitati alle finalità specifiche per cui vengono gestiti. Gli utenti devono fornire un consenso esplicito per il trattamento dei loro dati personali e le finalità del trattamento devono essere chiare, comprensibili e facilmente identificabili. Gli utenti hanno il diritto di revocare il consenso in qualsiasi momento e le aziende devono garantire la massima sicurezza dei dati durante la raccolta, l'elaborazione e la conservazione, secondo il principio di responsabilizzazione. Data Breach Il termine "data breach" indica una violazione dei dati personali che richiede una notifica tempestiva all'Autorità Garante e agli interessati da parte del titolare del trattamento. La mancata notifica può comportare sanzioni amministrative. Un registro del trattamento dei dati personali è uno strumento fondamentale per garantire il rispetto delle normative. In caso di violazioni, il titolare deve informare tutti gli interessati e fornire indicazioni su come limitare i danni. P. DPO Il DPO, o responsabile della protezione dei dati, è una figura obbligatoria per alcune società, specialmente nella Pubblica Amministrazione. Deve essere in grado di gestire e valutare il trattamento dei dati per garantire la conformità normativa, possedendo competenze trasversali in informatica, diritto, gestione dei processi e conoscenze specifiche del settore. Anche se non è il titolare del trattamento dei dati, il DPO deve avere
Il Documento Informatico Il documento informatico, definito come la rappresentazione digitale di atti o dati giuridicamente rilevanti, ha come caratteristica principale la sua forma elettronica, che consente gestione, acquisizione, sottoscrizione, trasmissione e conservazione. Rispetto ai documenti cartacei, richiede particolari accortezze per garantirne il valore giuridico e legale nel tempo, incluso l'uso di regole, procedure e strumenti informatici per la sua formazione e conservazione, nonché la dematerializzazione. Le caratteristiche di qualità e sicurezza di un sistema di gestione documentale informatico includono la garanzia della sicurezza e integrità del sistema, la corretta registrazione dei documenti, la tracciabilità dei collegamenti tra documenti correlati, il reperimento delle informazioni, l'accesso sicuro nel rispetto delle normative sulla privacy e l'organizzazione conforme alle classificazioni d'archivio. La leggibilità del documento informatico dipende dal formato di rappresentazione utilizzato durante la sua formazione, il quale può influenzare la sua interpretazione e accessibilità. La scelta dei formati risulta quindi determinante per la leggibilità dei documenti informatici, essenziale per la loro fruibilità. P.35 7 L’associazione tra il documento e il soggetto: la sottoscrizione elettronica La necessità di garantire l'associazione tra documento e soggetto ha portato all'utilizzo della sottoscrizione, anche elettronica, che si basa su sistemi crittografici per confermare la paternità del documento. La normativa regola quattro tipologie di sottoscrizione elettronica:
La firma remota è un processo di firma elettronica qualificata o firma digitale che consente di depositare il proprio certificato su un server sicuro, di solito presso il Certificatore Accreditato che ha emesso il certificato di firma. Questo permette di utilizzare la firma via web in modo facile e sicuro, sfruttando un Hardware Security Module (HSM). La conservazione dei documenti La conservazione dei documenti per le Pubbliche Amministrazioni è un dovere istituzionale che include sia la testimonianza delle loro azioni sia la preservazione della memoria storica. Secondo l'Art. 43 del CAD, i documenti informatici devono essere conservati in modo permanente con modalità digitali, rispettando le regole tecniche. Questo implica una conservazione sia dei bit, per preservarli nel tempo nonostante il degrado del supporto o i cambiamenti tecnologici, sia della logica, per garantire la comprensione e l'utilizzo dell'informazione anche in futuro. Un documento correttamente conservato deve avere le seguenti caratteristiche: Il mantenimento di un contenuto informativo richiede la conservazione di un pacchetto informativo completo, che include oltre al contenuto stesso, informazioni sulla conservazione, sull'impacchettamento e descrizioni utilizzate per trovarlo. I metadati svolgono un ruolo cruciale nell'identificare e qualificare il documento, evidenziandone le caratteristiche e le fasi documentali. P.35 9
Il Codice dell'Amministrazione Digitale stabilisce che lo SPID diventi il metodo unico per accedere ai servizi online delle Pubbliche Amministrazioni per cittadini e imprese. AgID, insieme al Garante per la Privacy, ha definito le regole tecniche per l'adozione dello SPID, consentendo agli utenti di richiedere il sistema presso enti accreditati. Lo SPID permette l'accesso ai servizi online della Pubblica Amministrazione attraverso un unico PIN digitale. Sebbene non tutte le Amministrazioni siano ancora allineate a questa tecnologia, il numero di servizi accessibili tramite SPID sta aumentando. Il portale www.spid.gov fornisce informazioni dettagliate su SPID e elenca le amministrazioni pubbliche con i relativi servizi offerti. Attualmente, lo SPID di secondo livello è attivo, con accesso garantito tramite credenziali e un codice momentaneo (OTP) inviato via SMS o app. Il terzo livello, che richiederà un dispositivo fisico di accesso, come una smart card o una carta d'identità elettronica, non è ancora stato implementato.