Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Crittografia e Sicurezza Informatica - liceo scientifico scienze applicate, Appunti di Informatica

Crittografia e Sicurezza Informatica, appunti completi liceo scientifico scienze applicate.

Tipologia: Appunti

2023/2024

In vendita dal 28/01/2026

swegox
swegox 🇮🇹

9 documenti

1 / 21

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Crittografia e Sicurezza Informatica:
P.283
La Sicurezza: introduzione
La sicurezza dei sistemi informatici è un obiettivo primario per i gestori di tali sistemi. Nell'attesa di una
definizione esaustiva, possiamo identificare cinque aspetti fondamentali della sicurezza: disponibilità,
integrità, confidenzialità, autenticità e non ripudio.
1. Disponibilità o Affidabilità: Garantisce che i dati siano sempre accessibili agli utenti autorizzati,
prevenendo interruzioni come mancanza di alimentazione elettrica o guasti hardware.
2. Integrità dei Dati: Protegge i dati da corruzioni o modifiche non autorizzate durante la trasmissione o la
memorizzazione. Assicura che i dati arrivino al destinatario esattamente come sono stati inviati e che siano
mantenuti consistenti nel tempo.
3. Confidenzialità o Riservatezza: Assicura che i dati siano accessibili solo ai destinatari autorizzati,
prevenendo letture non autorizzate durante la trasmissione o l'accesso ai dati memorizzati. Ciò impedisce
l'intercettazione dei dati durante la trasmissione e l'accesso non autorizzato ai dati su server.
4. Autenticità: Garantisce la certezza dell'origine dei dati e ne verifica l'autenticità. È importante per assicurare
che i dati siano stati inviati da una fonte affidabile e che non siano stati alterati durante la trasmissione.
5. Non Ripudio: Previe-ne alle parti coinvolte di negare l'invio o la ricezione dei dati. Questo aspetto è
importante per garantire che le transazioni o le comunicazioni avvengano in modo affidabile e che nessuna
delle parti possa rinnegare il proprio coinvolgimento.
P.284
Autenticazione o autenticità: Garantisce la certezza della fonte,
della destinazione e del contenuto del messaggio. Un esempio di
violazione è quando un pirata informatico invia un’e-mail
mascherando il mittente per far credere al destinatario che provenga
da una persona conosciuta.
Non ripudio: Assicura che il mittente e il destinatario non possano
negare di avere rispettivamente inviato e ricevuto i dati. Esempi di
violazione del non ripudio includono falsificazioni come carta
intestata, firma o e-mail.
Un caso di violazione multipla della sicurezza potrebbe essere la rottura di un disco fisso, compromettendo
l'integrità se le informazioni sono modificate o cancellate e l'affidabilità se diventano inaccessibili. Se la rottura
riguarda solo la parte elettronica, si viola solo l'affidabilità, poiché sostituendola si può recuperare l'accesso
alle informazioni originali.
La figura seguente rappresenta gli aspetti relativi alla sicurezza di un sistema informatico. Si definisce sicuro
un sistema informatico in cui le informazioni sono garantite attraverso appositi sistemi e misure di sicurezza
contro il pericolo di violazioni degli aspetti citati precedentemente.
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15

Anteprima parziale del testo

Scarica Crittografia e Sicurezza Informatica - liceo scientifico scienze applicate e più Appunti in PDF di Informatica solo su Docsity!

Crittografia e Sicurezza Informatica:

P. 283

La Sicurezza: introduzione

La sicurezza dei sistemi informatici è un obiettivo primario per i gestori di tali sistemi. Nell'attesa di una definizione esaustiva, possiamo identificare cinque aspetti fondamentali della sicurezza: disponibilità, integrità, confidenzialità, autenticità e non ripudio.

  1. Disponibilità o Affidabilità : Garantisce che i dati siano sempre accessibili agli utenti autorizzati, prevenendo interruzioni come mancanza di alimentazione elettrica o guasti hardware.
  2. Integrità dei Dati : Protegge i dati da corruzioni o modifiche non autorizzate durante la trasmissione o la memorizzazione. Assicura che i dati arrivino al destinatario esattamente come sono stati inviati e che siano mantenuti consistenti nel tempo.
  3. Confidenzialità o Riservatezza : Assicura che i dati siano accessibili solo ai destinatari autorizzati, prevenendo letture non autorizzate durante la trasmissione o l'accesso ai dati memorizzati. Ciò impedisce l'intercettazione dei dati durante la trasmissione e l'accesso non autorizzato ai dati su server.
  4. Autenticità : Garantisce la certezza dell'origine dei dati e ne verifica l'autenticità. È importante per assicurare che i dati siano stati inviati da una fonte affidabile e che non siano stati alterati durante la trasmissione.
  5. Non Ripudio : Previe-ne alle parti coinvolte di negare l'invio o la ricezione dei dati. Questo aspetto è importante per garantire che le transazioni o le comunicazioni avvengano in modo affidabile e che nessuna delle parti possa rinnegare il proprio coinvolgimento. P. 284 Autenticazione o autenticità : Garantisce la certezza della fonte, della destinazione e del contenuto del messaggio. Un esempio di violazione è quando un pirata informatico invia un’e-mail mascherando il mittente per far credere al destinatario che provenga da una persona conosciuta. Non ripudio : Assicura che il mittente e il destinatario non possano negare di avere rispettivamente inviato e ricevuto i dati. Esempi di violazione del non ripudio includono falsificazioni come carta intestata, firma o e-mail. Un caso di violazione multipla della sicurezza potrebbe essere la rottura di un disco fisso, compromettendo l'integrità se le informazioni sono modificate o cancellate e l'affidabilità se diventano inaccessibili. Se la rottura riguarda solo la parte elettronica, si viola solo l'affidabilità, poiché sostituendola si può recuperare l'accesso alle informazioni originali. La figura seguente rappresenta gli aspetti relativi alla sicurezza di un sistema informatico. Si definisce sicuro un sistema informatico in cui le informazioni sono garantite attraverso appositi sistemi e misure di sicurezza contro il pericolo di violazioni degli aspetti citati precedentemente.

P. 285

La Sicurezza dei dati in rete:

Un efficace gestore di sistemi informatici deve adottare una solida politica di sicurezza per proteggere il sistema da intrusioni o danni. Nel caso in cui un'eventuale violazione del sistema o danneggiamento possa essere attribuita a negligenza da parte del responsabile del sistema, quest'ultimo potrebbe essere chiamato a risarcire i danni causati all'azienda o a terzi danneggiati. La sicurezza di un sistema informatico è intimamente correlata al concetto giuridico di sicurezza informatica. Questo concetto giuridico si riferisce a una serie di precauzioni, sia tecniche che organizzative, che mirano a proteggere la confidenzialità, l'integrità e la disponibilità delle informazioni registrate. L'accesso non autorizzato a un sistema informatico può essere paragonato alla violazione di domicilio. Ad esempio, l'Articolo 615-ter della Legge 547/93 tratta i delitti contro l'inviolabilità del domicilio, e il sistema informatico è considerato un'estensione della sfera personale di un individuo. La copia non autorizzata di dati e programmi può configurarsi come furto o violazione del diritto d'autore. Nel contesto delle reti di comunicazione, specialmente su Internet, la sicurezza dei dati trasmessi è di fondamentale importanza. Gli attacchi informatici possono compromettere la riservatezza, l'affidabilità, l'autenticità, l'integrità e il non ripudio dei dati. È possibile, tecnicamente, intercettare e manipolare i dati durante la trasmissione. Internet è nato come uno strumento per lo scambio di informazioni tra ricercatori universitari, ma l'introduzione di fini commerciali ha reso necessario un ripensamento dei protocolli di base per includere meccanismi di sicurezza. È importante utilizzare questi meccanismi solo quando necessario, poiché possono influire sulla velocità di trasmissione e gravare sui server web. P. 286 La normativa sulla sicurezza informatica prevede varie sanzioni, comprese quelle penali, per le violazioni dei sistemi informatici. Gli attacchi informatici, sia accidentali che intenzionali, mirano a compromettere le misure di sicurezza di un sistema. È essenziale prevedere tali attacchi per stabilire la responsabilità del personale della sicurezza. Gli agenti responsabili degli attacchi possono essere attivi o passivi, umani o non umani. Gli agenti attivi possono compromettere tutti gli aspetti della sicurezza, mentre gli agenti passivi possono influenzare solo la riservatezza dei dati. Ad esempio, un fulmine è un agente attivo che minaccia l'integrità e l'affidabilità dei dati, mentre un pirata informatico che intercetta messaggi viola solo la riservatezza.

P.

Protezione dagli attacchi:

Il malware è un programma progettato per introdursi in un sistema informatico senza il consenso dell'utente e compiere operazioni dannose, dalla visualizzazione di messaggi alla cancellazione del disco fisso. Include diverse categorie di codice malevolo:

  • Virus propriamente detti;
  • Worm;
  • Trojan;
  • Virus di boot;
  • Virus polimorfici;
  • Virus stealth;
  • Virus TSR. WORM I worm sono programmi che si replicano nella memoria del sistema, sia centrale che di massa, fino a saturarlo. Sono spesso veicolati attraverso le reti, specialmente nei sistemi Windows, e assumono il controllo delle funzioni di trasporto dei file o delle informazioni. Alcuni saturano la banda di rete con propri messaggi, rendendo difficile la comunicazione, mentre altri generano e-mail fasulle, intasando i server di posta. Il loro pericolo principale è la rapida e massiccia capacità di riproduzione, che può causare intasamenti della rete e rallentare significativamente l'apertura delle pagine web su Internet. P. I TROJAN I “ cavallo di Troia ”, noti anche come trojan, sono codici maligni che si mimetizzano all'interno di programmi o documenti e si attivano in risposta a determinati eventi, come ad esempio il giorno 13 di ogni mese o l'apertura di un documento specifico. Questi trojan aggiungono funzionalità dannose alle funzioni legittime del programma ospitante. Il termine deriva dal leggendario cavallo di legno usato dai Greci per conquistare Troia, simboleggiando un'apparenza innocua che nasconde un attacco distruttivo. Il concetto di virus, originario dalla microbiologia, è stato adattato al campo dell'informatica. Un virus è un programma autonomo che può replicarsi senza necessità di un altro programma ospitante. Possono variare nella loro modalità di attacco e nelle loro caratteristiche:
  • Virus di file : si sostituiscono completamente o si aggiungono a programmi eseguibili, simulando il loro funzionamento legittimo mentre eseguono operazioni dannose.
  • Virus di boot : infettano il settore di boot e l'MBR dei dischi, ma sono diventati meno comuni grazie a misure di sicurezza più avanzate.
  • Virus polimorfici : si replicano in forme diverse per eludere la rilevazione.
  • Virus stealth : progettati per non essere riconosciuti dagli antivirus, causano danni difficili da difendere.
  • I virus TSR (Terminate and Stay Resident): si attivano al momento dell'esecuzione del programma infetto. Una volta attivi, si installano nella memoria RAM del sistema e infettano altri programmi in esecuzione, diffondendo così il contagio. Questi virus sono progettati per rimanere residenti in memoria anche dopo che il programma infetto è terminato, mantenendo un controllo persistente sul sistema operativo.

P.

I COOKIE

I cookie sono piccoli file di testo creati e memorizzati dai web server sui computer dei visitatori per identificarli nelle visite successive e archiviare informazioni utili. La Legge europea sulla Privacy consente di accettarne o meno l'installazione. I siti devono richiedere il consenso degli utenti. I cookie semplificano procedure come memorizzare credenziali di accesso e pagine visitate. Servono anche a conoscere le abitudini di navigazione e gli interessi degli utenti per migliorare i siti e proporre pubblicità personalizzata.

La Crittografia:

La crittografia è un settore matematico che si occupa di metodi per rendere un messaggio visibile solo a un gruppo limitato di persone. Questo implica che il messaggio deve essere leggibile solo dal mittente e dal destinatario. Un sistema crittografico efficace garantisce l'autenticità e l'impossibilità di negare l'invio o la ricezione del messaggio, oltre alla riservatezza e all'integrità dei dati. P. Un sistema di crittografia implica la codifica dei messaggi prima della trasmissione e la decodifica al loro arrivo a destinazione. Gli elementi chiave di un sistema di crittografia sono gli algoritmi e le chiavi di crittografia, la cui combinazione efficace assicura la sicurezza del sistema. È importante evitare di accoppiare algoritmi sofisticati con chiavi troppo semplici, poiché ciò renderebbe il sistema vulnerabile. La crittografia ha una lunga storia, con esempi antichi come il codice di Cesare, utilizzato fin dall'antichità, e applicazioni militari come la macchina Enigma durante la Seconda Guerra Mondiale.

Un Semplice sistema di crittografia: il codice di Cesare

Un esempio di sistema di crittografia è il codice di Cesare, composto da due elementi fondamentali: la chiave, un numero compreso tra 1 e 25, e l'algoritmo che consiste nella sostituzione di ogni lettera con quella spostata di un certo numero di posizioni nell'alfabeto (in modo ciclico). Ad esempio, con una chiave di 3, la lettera A sarebbe sostituita con la lettera D e così via. Tuttavia, il codice di Cesare è facilmente forzabile. Oggi, le due principali tecniche di crittografia utilizzate su Internet sono la crittografia a chiave privata (simmetrica) e la crittografia a chiave pubblica (asimmetrica), entrambe note per la loro efficacia e sicurezza. P. La Crittografia Simmetrica La crittografia simmetrica, nota anche come "a chiave segreta" o "a chiave privata", prevede l'utilizzo di una singola chiave, chiamata cifrario, per cifrare e decifrare i messaggi. Questa chiave è nota sia al mittente che al destinatario e deve essere mantenuta segreta e condivisa. Il processo è rappresentato come segue:

Schema 1: Autenticazione del destinatario e riservatezza del messaggio: In questa fase, il mittente S desidera garantire che il messaggio sia letto solo dal destinatario D. S ottiene la chiave pubblica di D dal registro delle chiavi pubbliche e la utilizza per cifrare il messaggio M. Il messaggio cifrato può essere inviato da S, poiché solo la chiave privata di D può decifrarlo. P. Schema 2: Autenticazione della sorgente: In questo caso, il mittente S desidera che il destinatario D sia sicuro che il messaggio provenga proprio da S. S cifra il messaggio con la propria chiave privata prima di inviarlo a D. In questo modo, D può leggere il messaggio utilizzando la chiave pubblica di S, garantendo l'autenticità della fonte. Schema 3: Segretezza e autenticazione: Questo schema combina gli obiettivi dei due schemi precedenti. S utilizza la chiave pubblica di D per cifrare il messaggio, garantendo la segretezza delle informazioni, e poi cifra di nuovo il messaggio con la propria chiave privata per autenticare la sorgente. D può quindi decifrare il messaggio due volte, prima con la chiave pubblica di S e poi con la sua chiave privata, ottenendo infine il messaggio in chiaro.

Questi schemi illustrano come la crittografia asimmetrica possa essere utilizzata per garantire la riservatezza dei dati e l'autenticità delle parti coinvolte nella comunicazione. P. Il metodo di crittografia a chiave asimmetrica garantisce la riservatezza del messaggio, l'autenticazione del mittente e del destinatario, e l'integrità del messaggio stesso. Alcuni esempi di algoritmi di cifratura asimmetrica includono RSA, Diffie-Hellman, ElGamal, e curve ellittiche.

La Firma Digitale:

La firma digitale, basata sui principi della crittografia, è fondamentale nella generazione e gestione delle firme elettroniche. Per generare la firma digitale di un documento destinato al trasferimento su Internet, si seguono alcuni passaggi chiave.

  1. Generazione dell'Impronta Digitale : Inizialmente, si genera un riassunto del contenuto del messaggio utilizzando una funzione chiamata one-way hash. Questo riassunto, noto come impronta digitale o fingerprint, è una stringa di lunghezza limitata. È progettata in modo tale che qualsiasi modifica al messaggio si rifletta nel valore dell'impronta digitale. Tipicamente, vengono utilizzate stringhe di 128 bit o più.
  2. Crittografia dell'Impronta Digitale : Successivamente, l'impronta digitale viene crittografata utilizzando un algoritmo a chiave asimmetrica insieme alla chiave privata del mittente. Questo processo genera la firma digitale del mittente in relazione al messaggio inviato. È importante notare che la firma digitale viene creata solo con la chiave privata del mittente e può essere verificata solo con la chiave pubblica corrispondente.
  3. Allegare la Firma Elettronica al Messaggio : La firma elettronica così ottenuta viene quindi allegata al messaggio originale, che non è soggetto a crittografia. Il messaggio completo, con la firma elettronica, viene quindi inviato.
  4. Verifica della Firma Digitale da Parte del Destinatario : Una volta ricevuto il messaggio e la firma elettronica, il destinatario procede alla verifica della firma. Questo avviene attraverso il processo di decrittografia della firma elettronica utilizzando la chiave pubblica del mittente. Se la decrittografia produce l'impronta digitale originale, allora la firma digitale è valida e il messaggio può essere considerato autentico. Questo processo assicura l'integrità, l'autenticità e la non ripudiabilità dei messaggi elettronici trasmessi attraverso Internet. P.
  5. Il destinatario confronta l'impronta digitale ricevuta con quella che calcola autonomamente, sempre utilizzando una funzione one-way hash.
  6. Se le due impronte digitali corrispondono, il destinatario può essere sicuro di tre cose:
    • Integrità del messaggio : Il messaggio non è stato manomesso.
    • Autenticità del mittente : Chi ha spedito il messaggio è veramente chi dice di essere. Questo perché è l'unica persona che conosce la chiave privata corrispondente alla chiave pubblica utilizzata dal destinatario per decrittografare il messaggio.
    • Non ripudio del mittente : Poiché solo il mittente può "firmare" il messaggio, non può negare di averlo firmato.

l'identificazione dei depositanti delle chiavi. La firma digitale risulta spesso più affidabile rispetto alla firma autografa, come evidenziato dalla tabella di confronto. Il Decreto del Presidente della Repubblica (DPR) n. 445 del 28 dicembre 2000, noto come Testo Unico sulla Documentazione Amministrativa (TUDA), ha ulteriormente aggiornato la normativa sulla firma digitale. Il TUDA fornisce una nuova definizione di documento informatico e stabilisce che le regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione (anche temporale) dei documenti informatici siano aggiornate almeno ogni due anni tramite Decreto del Presidente del Consiglio dei Ministri (DPCM). Inoltre, attribuisce al documento informatico, redatto in conformità con le regole tecniche stabilite dal DPCM, la stessa validità di una riproduzione meccanica (come fotocopia o fotografia) o di scritture private.

Firma digitale, certificatori e certificati:

Il D.lgs. n.82 del 7 marzo 2005, noto come codice dell'amministrazione digitale, mira a riorganizzare la pubblica amministrazione nell'uso di strumenti informatici e telematici, soprattutto nei rapporti con cittadini, imprese e altre amministrazioni. Questo codice stabilisce nuove regole per la documentazione informatica e la firma digitale. P. Il Codice dell'Amministrazione Digitale definisce quattro tipi di firma digitale:

  • Firma Elettronica : è un insieme di dati elettronici utilizzati come metodo di autenticazione informatica, collegati logicamente ad altri documenti elettronici.
  • Firma Elettronica Avanzata : consiste in dati elettronici associati a un documento informatico che consentono di identificare il firmatario e di garantire la sua univocità, creati con mezzi che permettono al firmatario di mantenere un controllo esclusivo, e collegati ai dati stessi per verificare eventuali modifiche.
  • Firma Elettronica Qualificata : è ottenuta attraverso una procedura informatica che assicura l'identificazione univoca del firmatario e la sua autenticazione informatica, collegata ai dati per rilevare eventuali modifiche, basata su un certificato qualificato e realizzata tramite un dispositivo sicuro.
  • Firma Digitale : è un tipo speciale di firma elettronica qualificata basata su un sistema di chiavi crittografiche pubbliche e private, correlate tra loro, che permette al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica di autenticare e verificare l'origine e l'integrità di un documento informatico. Il codice introduce inoltre:Regole tecniche per la firma digitale.Il diritto dei cittadini di utilizzare tecnologie telematiche per comunicare con la pubblica amministrazione.L'interoperabilità tra i sistemi informatici delle pubbliche amministrazioni.Compiti assegnati al Presidente del Consiglio dei Ministri (o a un ministro delegato) per promuovere e sviluppare la società dell'informazione.La creazione della conferenza permanente dell'innovazione tecnologica per consulenza e verifica dei programmi di innovazione tecnologica.

P.

Certificatori e Certificati: Il sistema di cifratura a chiave asimmetrica garantisce la sicurezza delle comunicazioni, richiedendo una chiave pubblica certificata e una coppia di chiavi di lunghezza adeguata, generalmente compresa tra 128 e 512 bit. La chiave pubblica deve essere depositata presso un ente certificatore, come definito dall'Art. 8 della Legge 59/97, ora gestito da CNIPA (Centro Nazionale per l'Informatica nella Pubblica Amministrazione), successivamente sostituito dall'Agenzia per l'Italia Digitale (AgID) dal 2012. AgID si occupa di consulenza, emanazione di normative, definizione di criteri per la sicurezza informatica, e formazione dei dipendenti pubblici nel settore informatico, al fine di migliorare i servizi della pubblica amministrazione. P.30 2

Sistemi di sicurezza nelle reti:

Una rete necessità di particolare attenzione riguardo a tre aspetti fondamentali:

  • Conservazione e integrità dei propri dati interni;
  • Difesa da attacchi e intrusioni esterne;
  • Ottimizzazione e controllo delle connessioni effettuate. Backup In ogni azienda, anche di dimensioni ridotte, la perdita di dati rappresenta un grave danno economico. La sicurezza dei dati e la loro pronta ripristinabilità sono fondamentali, soprattutto per le aziende che dipendono fortemente dai loro sistemi informatici. Il backup, che consiste nella creazione di copie di sicurezza dei dati, è un'operazione essenziale e dovrebbe essere una prassi regolare, preferibilmente eseguita automaticamente mediante la configurazione di semplici regole. Le filosofie di backup all'interno delle reti aziendali si distinguono in due principali approcci: il backup in locale e il backup in remoto. ➢ Nel backup in locale , le copie dei dati vengono memorizzate sui singoli computer della rete. Ogni computer è dotato di hardware adeguato per consentire la scrittura simultanea su due differenti hard disk, una pratica nota come mirroring. Tuttavia, questo metodo può risultare costoso in quanto richiede

Proxy Quando ogni computer della rete interna accede alla rete WAN, avviene un dialogo diretto fatto di richieste e risposte. Se più computer cercano la stessa pagina web, ogni computer fa la richiesta autonomamente, causando ripetizioni di informazioni identiche dalla rete esterna. Un proxy server risolve questo problema interponendosi tra la rete interna ed esterna: effettua le richieste per conto di tutti i computer, riceve le risposte e le inoltra ai richiedenti. Nel momento in cui un altro computer effettua la stessa richiesta, I proxy non ha più la necessità di andarla a reperire all'esterno: P. Poiché è ancora disponibile nella sua cache (memoria interna del proxy), la risorsa viene inviata immediatamente al richiedente. Durante la navigazione su Internet attraverso un browser, i passaggi necessari per instaurare una comunicazione sono i seguenti:

  1. Il client effettua una richiesta verso una risorsa esterna.
  2. Il proxy intercetta la richiesta ed eventualmente richiede l'autenticazione dell'utente.
  3. Se l'utente viene autenticato come fidato, il server proxy inoltra la richiesta verso l'esterno.
  4. Il server proxy crea una seconda connessione TCP/IP tra sé e la macchina esterna.
  5. Il server proxy riceve le informazioni da una delle due connessioni e le trasferisce all'altra, secondo le politiche di sicurezza adottate. Un server proxy può essere utilizzato dall'amministratore della rete per concedere o negare delle richieste ai client. Questo permette di limitare l'accesso a specifici siti in modo rapido ed efficace, evitando l'operazione laboriosa di effettuare restrizioni su ogni singolo computer.

L’informatica Giuridica nella società digitale:

P.

La tutela giuridica del software:

Il software è protetto dalla normativa sul Diritto d'Autore sia civilmente che penalmente, considerandolo un'opera dell'ingegno paragonabile all'alfabeto o alle sette note. La creatività è evidenziata dalla novità e originalità dello sforzo intellettuale. Il Diritto d'Autore garantisce all'autore di un'opera creativa il diritto esclusivo sulla sua utilizzazione, contrastando l'utilizzo libero da parte della collettività. In Italia, la tutela del software è stata regolamentata dal Decreto Legislativo n. 518 del 1992, estendendo la protezione già prevista per altre opere dell'ingegno dalla Legge n. 633 del 1941 sul Diritto d'Autore. Questa legge è stata applicata al software attraverso numerose sentenze. La Direttiva 2009/24/CE del Parlamento e del Consiglio europeo, del 23 aprile 2009, riguardante la tutela giuridica dei programmi per elaboratore, ha codificato e sostituito la direttiva precedente del 1991.

La direttiva del 2009 mantiene l'approccio originale basato sul Diritto d'Autore per la tutela del software, confermando la scelta di non adottare un sistema brevettuale. La definizione di software comprende "un programma per elaboratore espresso in qualsiasi forma, purché originale, come risultato di creazione intellettuale dell'autore" (Art. 2, comma 8, Legge sul Diritto d'Autore modificata dal D.lgs. n. 518 del 1992). P. Nella seguente Tabella sono stati riportati, cronologicamente, i passaggi legislativi: La legge italiana ha introdotto la possibilità di perseguire penalmente chi acquista o detiene software pirata, anche per uso personale. L'Art. 103 comma 4 della Legge sul Diritto d'Autore ha istituito un registro speciale presso la SIAE dove è possibile registrare software a pagamento, offrendo maggiore tutela all'autore sia dal punto di vista penale che civilistico. La registrazione non è obbligatoria, ma fornisce prove della paternità della creazione del software e garantisce una data certa della sua creazione. La legge protegge la forma espressiva del programma, non le idee o i principi alla base, concentrandosi sul suo "confezionamento" anziché sulla "confezione". Le sanzioni nella legge penale italiana L'obiettivo della legge è di limitare al minimo l'abuso commerciale dei programmi per computer. Seguendo le disposizioni sulla violazione del diritto d'autore per opere letterarie e artistiche nella Legge n. 633/41, sono state stabilite pene detentive da tre mesi a tre anni e pesanti multe per vari reati, inclusi la duplicazione a scopo di lucro di software senza autorizzazione, l'importazione, distribuzione, vendita e detenzione di software pirata, la locazione non autorizzata dei programmi e la manipolazione dei dispositivi di protezione. È evidente che l'aspetto finanziario è fondamentale in ogni forma di illecito. Si ricorda che l'unico caso in cui è consentita la duplicazione da parte del legittimo possessore del software originale è a scopo di backup per garantire la sicurezza. P. L'autore detiene il potere di determinare cosa permettere a chi acquista o detiene il suo software. Nell'ambito del Diritto d'Autore, emergono due categorie di diritti fondamentali:

  1. I diritti morali, che tutelano la personalità dell'autore, il suo onore e la sua reputazione attraverso una corretta comunicazione delle sue opere agli altri.

Il Software freeware Il termine "freeware" è utilizzato per software che può essere distribuito senza costi, ma non può essere modificato e non offre accesso al codice sorgente. Non è considerato software libero, ma può essere utilizzato e distribuito gratuitamente, sia a scopo commerciale che no. P. Il Software shareware Lo shareware è un tipo di software che consente la ridistribuzione delle copie, ma richiede ai continuativi utilizzatori di pagare una licenza d'uso. Solitamente, offre un periodo di prova dopo il quale è necessario acquistare la licenza per continuare a utilizzarlo. Non è considerato software libero o gratuito perché non fornisce accesso al codice sorgente e richiede il pagamento della licenza per l'utilizzo continuativo, anche se a scopo non commerciale. Il Software commerciale Il software commerciale è sviluppato da un'azienda per scopi di lucro, mentre il software proprietario implica che il codice sorgente non è accessibile al pubblico. Tuttavia, esistono software commerciali che sono anche liberi, e software non commerciali che non sono liberi. La tabella riassume le principali licenze del software, che riflettono questa varietà. P.3 50

La Privacy e il trattamento dei dati:

Il GDPR La normativa sulla privacy in Italia, con il Codice in materia di protezione dei dati personali del 2003, ha posto una forte attenzione sulla gestione dei dati. Il Regolamento generale sulla protezione dei dati (GDPR), operativo dal 2018 in tutta l'Unione Europea, ha rafforzato ulteriormente queste regole, applicandole anche alle aziende al di fuori dell'UE che trattano dati di cittadini europei. Le misure richieste alle aziende includono la definizione di politiche di conservazione dei dati, la verifica della legalità dei trattamenti e il consenso, la revisione dei rapporti con terze parti, la valutazione dei rischi e, per gli enti pubblici, la nomina di un Responsabile della protezione dei dati.

P.

Dati Personali Il GDPR amplia la definizione di dati personali e sensibili, includendo identificativi online come cookie, indirizzi IP, geolocalizzazione ed e-mail. Il regolamento identifica tre categorie di dati, con le ultime due considerate categorie particolari, richiedendo il consenso esplicito per il trattamento. Inoltre, il GDPR permette agli utenti di trasferire i propri dati da un titolare del trattamento a un altro, garantendo la portabilità dei dati personali. Accountability Il principio di accountability richiede al titolare del trattamento di rispettare gli obblighi iniziali previsti nel Regolamento e di svolgere un controllo costante sulle fasi di gestione dei dati. La norma implica un ampliamento degli obblighi di protezione dei dati personali per il titolare e il responsabile del trattamento, che devono dimostrare l'adozione di misure legali, organizzative e tecniche per proteggere i dati. Le aziende devono conformarsi al nuovo Regolamento, consentendo agli utenti di dare il consenso in modo esplicito e tracciabile, e pubblicando un'informativa trasparente, chiara e facilmente accessibile sul trattamento dei dati personali. P.35 2 Le aziende devono assicurarsi che i dati raccolti siano pertinenti, adeguati e limitati alle finalità specifiche per cui vengono gestiti. Gli utenti devono fornire un consenso esplicito per il trattamento dei loro dati personali e le finalità del trattamento devono essere chiare, comprensibili e facilmente identificabili. Gli utenti hanno il diritto di revocare il consenso in qualsiasi momento e le aziende devono garantire la massima sicurezza dei dati durante la raccolta, l'elaborazione e la conservazione, secondo il principio di responsabilizzazione. Data Breach Il termine "data breach" indica una violazione dei dati personali che richiede una notifica tempestiva all'Autorità Garante e agli interessati da parte del titolare del trattamento. La mancata notifica può comportare sanzioni amministrative. Un registro del trattamento dei dati personali è uno strumento fondamentale per garantire il rispetto delle normative. In caso di violazioni, il titolare deve informare tutti gli interessati e fornire indicazioni su come limitare i danni. P. DPO Il DPO, o responsabile della protezione dei dati, è una figura obbligatoria per alcune società, specialmente nella Pubblica Amministrazione. Deve essere in grado di gestire e valutare il trattamento dei dati per garantire la conformità normativa, possedendo competenze trasversali in informatica, diritto, gestione dei processi e conoscenze specifiche del settore. Anche se non è il titolare del trattamento dei dati, il DPO deve avere

P.

Il Documento Informatico Il documento informatico, definito come la rappresentazione digitale di atti o dati giuridicamente rilevanti, ha come caratteristica principale la sua forma elettronica, che consente gestione, acquisizione, sottoscrizione, trasmissione e conservazione. Rispetto ai documenti cartacei, richiede particolari accortezze per garantirne il valore giuridico e legale nel tempo, incluso l'uso di regole, procedure e strumenti informatici per la sua formazione e conservazione, nonché la dematerializzazione. Le caratteristiche di qualità e sicurezza di un sistema di gestione documentale informatico includono la garanzia della sicurezza e integrità del sistema, la corretta registrazione dei documenti, la tracciabilità dei collegamenti tra documenti correlati, il reperimento delle informazioni, l'accesso sicuro nel rispetto delle normative sulla privacy e l'organizzazione conforme alle classificazioni d'archivio. La leggibilità del documento informatico dipende dal formato di rappresentazione utilizzato durante la sua formazione, il quale può influenzare la sua interpretazione e accessibilità. La scelta dei formati risulta quindi determinante per la leggibilità dei documenti informatici, essenziale per la loro fruibilità. P.35 7 L’associazione tra il documento e il soggetto: la sottoscrizione elettronica La necessità di garantire l'associazione tra documento e soggetto ha portato all'utilizzo della sottoscrizione, anche elettronica, che si basa su sistemi crittografici per confermare la paternità del documento. La normativa regola quattro tipologie di sottoscrizione elettronica:

  • La firma elettronica;
  • La firma elettronica avanzata;
  • La firma elettronica qualificata;
  • La firma digitale. Il valore legale di un documento informatico firmato con firma elettronica non qualificata è soggetto alla valutazione del giudice caso per caso, mentre quello firmato con firma elettronica qualificata o firma digitale ha lo stesso valore probatorio di una scrittura privata secondo l'articolo 2702 del Codice Civile. La firma qualificata o digitale garantisce l'autenticità del documento per l'autore e ne permette la verifica dell'origine e dell'integrità per il destinatario, collegando il documento a un certificato univoco mediante smart card o token USB.

P.

La firma remota è un processo di firma elettronica qualificata o firma digitale che consente di depositare il proprio certificato su un server sicuro, di solito presso il Certificatore Accreditato che ha emesso il certificato di firma. Questo permette di utilizzare la firma via web in modo facile e sicuro, sfruttando un Hardware Security Module (HSM). La conservazione dei documenti La conservazione dei documenti per le Pubbliche Amministrazioni è un dovere istituzionale che include sia la testimonianza delle loro azioni sia la preservazione della memoria storica. Secondo l'Art. 43 del CAD, i documenti informatici devono essere conservati in modo permanente con modalità digitali, rispettando le regole tecniche. Questo implica una conservazione sia dei bit, per preservarli nel tempo nonostante il degrado del supporto o i cambiamenti tecnologici, sia della logica, per garantire la comprensione e l'utilizzo dell'informazione anche in futuro. Un documento correttamente conservato deve avere le seguenti caratteristiche: Il mantenimento di un contenuto informativo richiede la conservazione di un pacchetto informativo completo, che include oltre al contenuto stesso, informazioni sulla conservazione, sull'impacchettamento e descrizioni utilizzate per trovarlo. I metadati svolgono un ruolo cruciale nell'identificare e qualificare il documento, evidenziandone le caratteristiche e le fasi documentali. P.35 9

Lo SPID:

Il Codice dell'Amministrazione Digitale stabilisce che lo SPID diventi il metodo unico per accedere ai servizi online delle Pubbliche Amministrazioni per cittadini e imprese. AgID, insieme al Garante per la Privacy, ha definito le regole tecniche per l'adozione dello SPID, consentendo agli utenti di richiedere il sistema presso enti accreditati. Lo SPID permette l'accesso ai servizi online della Pubblica Amministrazione attraverso un unico PIN digitale. Sebbene non tutte le Amministrazioni siano ancora allineate a questa tecnologia, il numero di servizi accessibili tramite SPID sta aumentando. Il portale www.spid.gov fornisce informazioni dettagliate su SPID e elenca le amministrazioni pubbliche con i relativi servizi offerti. Attualmente, lo SPID di secondo livello è attivo, con accesso garantito tramite credenziali e un codice momentaneo (OTP) inviato via SMS o app. Il terzo livello, che richiederà un dispositivo fisico di accesso, come una smart card o una carta d'identità elettronica, non è ancora stato implementato.