Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Furto di Identità Digitale e Protezione dei Dati Personali: Guida alla Sicurezza Online, Appunti di Controllo digitale

Una panoramica dettagliata sul furto di identità digitale, analizzando le tecniche comuni come il phishing e lo skimming. Esplora la differenza tra identità digitale e dati personali, evidenziando l'importanza del gdpr nel regolamentare il trattamento dei dati sensibili. Il documento include un'analisi di un caso studio reale e spiega concetti chiave come la data protection impact assessment (dpia) e il ruolo del data protection officer (dpo). Inoltre, affronta il tema delle violazioni dei dati (data breach) e le misure di sicurezza per proteggere le informazioni personali online, fornendo una guida completa per la sicurezza digitale e la protezione della privacy.

Tipologia: Appunti

2023/2024

In vendita dal 16/10/2025

Sabrina.99
Sabrina.99 🇮🇹

9 documenti

1 / 23

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
DIGITAL LAW
Identità anagrafica = nome, cognome, luogo e data di nascita, tutti dati che sono fermi e immutabili nel tempo
(al contrario dell’identità digitale). Una persona è stata completamente identificata quando si conoscono
questi dati, questo perché è estremamente difficile che in due persone diverse tutte queste cose coincidano
contemporaneamente. Ci sono poi anche altri fattori concreti che permettono di identificare una persona,
come ad esempio l’impronta digitale.
Identità digitale = nel nostro ordinamento giuridico “identità digitale” compare con la legge 119 del 2013, la
quale dice che il furto dell’identità digitale è un’aggravante alla frode informatica, ma la legge non dà una
definizione di identità digitale. Su internet possiamo trovare queste definizioni:
identità che un utente della rete determina attraverso siti e social network(definizione sociologica)
utente della rete decide la propria identità digitale (diversamente dall’identità anagrafica che non
può essere scelta/decisa da una persona) es: su Facebook tante persone possono registrarsi con nomi
di cantanti o personaggi famosi, quindi non è detto che dietro l’identità digitale si nasconde la persona
che dice di essere.
insieme delle informazioni (= non solo nome utente e password, ma anche tanti altri elementi, come
ad esempio il PIN o l’OTP – One Time Password) concesse da un sistema informatico ad un utilizzatore
per la sua identificazione si intendono le credenziali di accesso, anche se l’identità digitale non
serve solo ad accedere a un sistema informatico, ma con essa si possono fare tantissime cose.
Inserendo le credenziali di accesso, quali nome utente e password, l’utente può accedere a un sistema
informatico, ma quest’ultimo non riconoscerà effettivamente quella persona, ma semplicemente
l’utente che ha abbinato correttamente nome utente e password. Questo significa che le credenziali
potrebbero essere rubate e utilizzate da altri (identità digitale viene utilizzata per commettere crimini
sulla rete informatica).
REATI
Dal punto di vista giuridico, c’è una differenza tra reati informatici e reati commessi online, sia di carattere
formale che sostanziale.
Infatti, non tutti i reati si definiscono informatici, ma ci sono reati comuni commessi online, cioè reati comuni
commessi attraverso sistemi informatici, come ad esempio:
- Truffa su eBay (su internet le barriere difensive cadono, quindi è più probabile che le persone vengono
truffate) truffa art. 640 del Codice Penale
- Offese attraverso i social: in generale, se parlo male di una persona sto commettendo reato di
diffamazione art. 595 C.P. e ciò può essere commesso anche online
- Creare un profilo col nome di un cantante è diverso dal furto d’identità, ma è comunque un reato
comune commesso online che si chiama “sostituzione di persona” art. 494 C.P.
Uno dei principali reati informatici, invece, è il reato di accesso abusivo ad un sistema informatico (art. 615-
ter del Codice Penale), cioè l’abusiva introduzione (= abusando delle proprie potenzialità; ho delle credenziali
per accedere ha un database, ad esempio, ma non significa che le informazioni al suo interno siano mie e io
possa diffonderle. Questo reato vale anche per chi, appunto, ha determinate credenziali ma le utilizza
abusandone) in un sistema informatico o telematico protetto da misure di sicurezza (connettersi al wi-fi del
vicino del piano di sopra senza che lui l’abbia permesso, entrare nella casella di posta elettronica di un amico
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17

Anteprima parziale del testo

Scarica Furto di Identità Digitale e Protezione dei Dati Personali: Guida alla Sicurezza Online e più Appunti in PDF di Controllo digitale solo su Docsity!

DIGITAL LAW

Identità anagrafica = nome, cognome, luogo e data di nascita, tutti dati che sono fermi e immutabili nel tempo (al contrario dell’identità digitale). Una persona è stata completamente identificata quando si conoscono questi dati, questo perché è estremamente difficile che in due persone diverse tutte queste cose coincidano contemporaneamente. Ci sono poi anche altri fattori concreti che permettono di identificare una persona, come ad esempio l’impronta digitale. Identità digitale = nel nostro ordinamento giuridico “identità digitale” compare con la legge 119 del 2013, la quale dice che il furto dell’identità digitale è un’aggravante alla frode informatica, ma la legge non dà una definizione di identità digitale. Su internet possiamo trovare queste definizioni: ✓ “ identità che un utente della rete determina attraverso siti e social network ” (definizione sociologica) → utente della rete decide la propria identità digitale (diversamente dall’identità anagrafica che non può essere scelta/decisa da una persona) es: su Facebook tante persone possono registrarsi con nomi di cantanti o personaggi famosi, quindi non è detto che dietro l’identità digitale si nasconde la persona che dice di essere. ✓ “ insieme delle informazioni (= non solo nome utente e password, ma anche tanti altri elementi, come ad esempio il PIN o l’OTP – One Time Password) concesse da un sistema informatico ad un utilizzatore per la sua identificazione ” → si intendono le credenziali di accesso, anche se l’identità digitale non serve solo ad accedere a un sistema informatico, ma con essa si possono fare tantissime cose. Inserendo le credenziali di accesso, quali nome utente e password, l’utente può accedere a un sistema informatico, ma quest’ultimo non riconoscerà effettivamente quella persona, ma semplicemente l’utente che ha abbinato correttamente nome utente e password. Questo significa che le credenziali potrebbero essere rubate e utilizzate da altri (identità digitale viene utilizzata per commettere crimini sulla rete informatica).

REATI

Dal punto di vista giuridico, c’è una differenza tra reati informatici e reati commessi online, sia di carattere formale che sostanziale. Infatti, non tutti i reati si definiscono informatici, ma ci sono reati comuni commessi online , cioè reati comuni commessi attraverso sistemi informatici, come ad esempio:

  • Truffa su eBay (su internet le barriere difensive cadono, quindi è più probabile che le persone vengono

truffate) → truffa art. 640 del Codice Penale

  • Offese attraverso i social: in generale, se parlo male di una persona sto commettendo reato di diffamazione art. 595 C.P. e ciò può essere commesso anche online

- Creare un profilo col nome di un cantante → è diverso dal furto d’identità, ma è comunque un reato

comune commesso online che si chiama “sostituzione di persona” art. 494 C.P. Uno dei principali reati informatici , invece, è il reato di accesso abusivo ad un sistema informatico (art. 615- ter del Codice Penale), cioè l’abusiva introduzione (= abusando delle proprie potenzialità; ho delle credenziali per accedere ha un database, ad esempio, ma non significa che le informazioni al suo interno siano mie e io possa diffonderle. Questo reato vale anche per chi, appunto, ha determinate credenziali ma le utilizza abusandone) in un sistema informatico o telematico protetto da misure di sicurezza (connettersi al wi-fi del vicino del piano di sopra senza che lui l’abbia permesso, entrare nella casella di posta elettronica di un amico

o nel suo profilo social) o la permanenza contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Questo reato viene consumato spesso inconsapevolmente e ha come sanzione la reclusione fino a tre anni e come procedibilità una querela di parte (= significa che se non c’è una denuncia formale da parte della persona che ha subito il reato, nessuno può fare niente. Anche la truffa è perseguibile a querela di parte. Se non c’è la querela di parte, allora la procedibilità, la perseguibilità, si dice “d’ufficio”). Codice Penale Il Codice Penale è una raccolta di fatti che costituiscono reati, questo significa che il reato per essere tale deve essere un fatto contrario alla legge e deve prevedere una pena. Quindi, tutti i comportamenti sbagliati sono considerati reato? No, affinché un fatto sia considerato reato, deve essere inserito in un testo di legge e deve prevedere una pena. Nessuno può essere punito per un fatto che, anche sgradevole, non sia inserito in una norma. Il Codice Penale è diviso in sezioni (reati contro la persona, contro il patrimonio…) ed è stato pensato e approvato nel 1930, quando non esistevano reati informatici. Il testo, quindi, è in continua evoluzione, ad esempio “-ter” significa che l’articolo è stato aggiunto successivamente, per un reato che precedentemente non esisteva → art. 615-ter è stato aggiunto successivamente accanto al 614 e 615 perché sono articoli che riguardano la violazione di domicilio (non è messo a caso), in passato riferito solamente al domicilio fisico, ora, con la nascita del web, anche riferito al mondo informatico. Infatti, il concetto di privacy non è solo riferito al singolo, ma si estende anche al domicilio di una persona. Tutte queste info possono essere applicate sia al Codice Penale, sia al Codice di Procedura Penale.

INDIRIZZO IP

Nonostante la differenza tra reati informatici e reati comuni commessi online, essi hanno qualcosa in comune: per arrivare all’identificazione dell’autore del reato, bisogna fare lo stesso percorso investigativo. Solitamente si chiedono informazioni alle persone che erano presenti, si tracciano le celle della zona… questo, però, su internet (= scena del crimine) non è possibile, per cui l’identificazione dell’autore del reato (sia comune online sia informatico) passa per l’unica traccia lasciata su internet, cioè l’ indirizzo IP. Tutti i dispositivi connessi a Internet sono rintracciabili attraverso un indirizzo IP, cioè un numero composto da 4 cifre che vanno da 0 a 255 (x. y. z. w.): le prime tre cifre indicano la rete alla quale si fa riferimento, la quarta indica il computer all’interno di quella specifica rete. L’indirizzo IP può essere:

  • Statico → quando lo stesso indirizzo IP viene assegnato ogni volta che l’utente si connette; solitamente questo tipo di indirizzo viene associato ad un ente o un’istituzione es: Poste Italiane.
  • Dinamico → quando un indirizzo IP viene estratto da un insieme di indirizzi disponibili dal router e viene tolto e assegnato continuamente agli utenti che si connettono; poiché non è certo che lo stesso indirizzo venga assegnato sempre alla stessa persona, esso non basta in questo caso per identificare qualcuno, ma occorre conoscere anche data e ora da associare a quell’indirizzo. Esempio : vengono pubblicate su un social frasi offensive verso certe persone, che decidono così di fare una querela per diffamazione. Che percorso investigativo si fa? Come si arriva a individuare la persona?

DATI PERSONALI

Non bisogna confondere l’identità digitale con il dato personale: l’identità digitale è un dato personale, ma il dato personale non è un’identità digitale. Infatti, mentre l’identità digitale è un insieme di dati che caratterizzano una persona e che la autenticano sulla rete, il dato personale è un qualsiasi dato che identifica o rende identificabile una persona. Dato personale = qualsiasi informazione riguardante una persona fisica* identificata o identificabile (anche ID). “Identificata” fa riferimento a nome e cognome, mentre “identificabile” significa che la persona può essere identificata ma è necessario un passaggio successivo, ad esempio abbinando il nome a qualcos’altro.

  • c’è una differenza tra persona fisica (umana) e giuridica (ente o fondazione). Analisi di un case study dove l’utilizzo dei dati personali è stato importante A Pescara c’è stata un’operazione della polizia postale chiamata “ Homeless ”, poiché c’era un’organizzazione criminale, che utilizzava s.f.d. come prestanome, che reclutava senzatetto pagandoli 50 euro e faceva aprire loro una PostePay e una SIM, per poi appropriarsene. Con queste carte i criminali aprivano poi degli account su siti per vendere cose, senza però utilizzare il nome della persona intestataria della carta, ma il nome di un’altra persona realmente esistente → perché funzionava usare nomi di persone reali anziché nomi falsi? Se gli account avessero usato nomi falsi, dalle indagini si sarebbe subito notata la falsità del profilo e le indagini sarebbero passate immediatamente al nome sulla PostePay. Usando invece il nome di una persona reale, si va subito ad indagare nei confronti di questa persona e le indagini si allungano: ciò è fondamentale per le truffe online, perché prima i criminali riescono a truffare gli utenti e prendere i soldi, prima possono eliminare tutto. Aspetto importante: i nomi di queste persone reali erano stati trovati online tramite i risultati degli esami per diventare avvocato. Norma Europea La norma europea si divide tra direttive e regolamenti (immediatamente esecutivi, non hanno bisogno di norme attuative interne ma solo di norme che armonizzino le leggi che esistevano prima perché nella gerarchia delle fonti la norma europea è superiore a quella dei vari Paesi, esempio: caso del trattamento dei dati personali → alcuni articoli del precedente decreto legislativo sono rimasti, ma quel decreto è stato poi armonizzato). Con il GDPR del 2018, che ha vincolato tutti gli stati dell’UE regolamentando il trattamento dei dati personali, si ha il divieto assoluto di trattare dati sensibili , come quelli biometrici, genetici e tutti quelli che rivelano informazioni su una serie di aspetti molto delicati per la persona quali sesso, salute, dati giudiziari, origini razziali o etniche, orientamento politico, religioso, filosofico, appartenenza sindacale. Tutti questi dati non possono essere trattati senza il consenso esplicito dell’interessato es: quando fai le analisi del sangue devi firmare un’informativa. Però ci sono alcuni casi in cui non è necessario il consenso esplicito dell’interessato: ▪ Assolvere obblighi giuslavoristici (cioè determinati dal diritto del lavoro): il contratto di lavoro prevede che il lavoratore deve lavorare (ore, giorni di ferie…) e il datore di lavoro lo deve pagare, però il datore deve necessariamente conoscere alcune informazioni particolari, dati sensibili, per poter rispettare gli obblighi preisti dal contratto es: il lavoratore si ammala ed è assente per più di sei mesi, il datore deve saperlo per intervenire sullo stipendio; datore deve sapere se il lavoratore è iscritto a un’organizzazione sindacale.

Fondazioni o associazioni : al loro interno possono essere trattati dati sensibili delle persone che ne fanno parte purché strettamente legati alle attività dell’associazione stessa. ▪ Resi pubblici dall’interessato : pubblicare volontariamente informazioni sui social, che diventano così di dominio pubblico. ▪ Tutela diritti sede giudiziaria : i dati sensibili possono essere trattati per difendere o esercitare diritti in un processo o un procedimento legale. ▪ Tutela salute pubblica : in situazioni di emergenza sanitaria (pandemia), i dati possono essere comunicati a enti come medici, farmacie, o autorità sanitarie per proteggere la salute pubblica es: elenchi delle persone con il COVID veniva comunicato a enti che avevano bisogno di conoscere quei

dati es: farmacia → medico curante → asl.

Interesse pubblico rilevante : lo Stato o enti pubblici possono trattare dati sensibili per garantire un interesse pubblico importante, come la sicurezza o la gestione di emergenze. ▪ Prevenzione o ricerca medica, scientifica, storica, statistica : dati utilizzati per scopi di ricerca (es: studi sul cancro), purché si adottino misure per proteggere la privacy. Privacy = tutela della vita privata, che comprende tutela e trattamento dei dati personali. La privacy è un grande insieme che comprende il sottoinsieme riferito ai dati personali, è la possibilità di far entrare nel domicilio (fisico o digitale) chi vogliamo noi, quindi escludere chi non vogliamo, cioè concedere il trattamento dei nostri dati personali (in generale) dietro delle condizioni, dietro un consenso; il regolamento europeo non parla mai di privacy. Dati personali nelle aziende Considerando che in tutte le aziende vale il GDPR, i dati personali che vengono trattati sono dati dei dipendenti, i possibili dipendenti, ex dipendenti, i clienti, i possibili clienti, ex clienti. Le persone interessate al trattamento sono le persone fisiche, in quanto il regolamento europeo regolamenta il trattamento dei dati personali delle persone fisiche. Nel trattamento dei dati personali ci sono due figure: a. Il titolare determina finalità e mezzi, decide quali dati trattare, come vanno trattati, con quale finalità. b. Il responsabile tratta i dati per conto del titolare, rispettando una serie di cose come essere istruito, impegnarsi nella riservatezza, rispettare gli obblighi… Nel 2010 Obama ha lanciato la National Cybersecurity Initiative , documento che raccoglie in 12 punti i pilastri della cybersicurezza nazionale → numero 8: diffondere una cyber educazione/formazione. A luglio 2023, Gabrielli ha detto che è fondamentale puntare sulla formazione delle persone, in occasione della presentazione in Senato del II rapporto Censis-IIsfa. SI parla di formazione in quanto la protezione dei dati personali non è garantita dal sistema informatico, ma siamo noi a garantirla, siamo noi i primi custodi dei nostri dati: tutto ciò che comunichiamo può essere carpito da male intenzionati, ad esempio è indispensabile leggere le norme indicate per l'iscrizione prima dell'iscrizione al social network. Esempio : condizioni di Facebook → il social utilizza i cookies e tiene traccia di alcune azioni che l’utente esegue, ad esempio quando aggiunge delle connessioni, il browser che utilizza, l’indirizzo IP. L’utente, inoltre, concede all’app una licenza non esclusiva che consente a FB l’utilizzo dei contenuti pubblicati.

  • Integrità → il dato deve essere mantenuto inalterato. Deve essere un’integrità del sistema informatico da attacchi esterni (fulmine, allagamento, incendio), oltre che da hacker. Il sistema informatico solitamente non prevede la raccolta delle informazioni protetta da attacchi esterni, ma nell’ordinamento giuridico o in determinate aziende ci sono informazioni che devono essere protette a qualunque costo → in questo caso, sono protette dalla Sala Lampertz , un bunker tecnologico che custodisce i server dove sono memorizzate informazioni di dati che non possono assolutamente essere attaccate. L’integrità deve essere garantita anche attraverso i vari passaggi: dato inserito in un sistema informatico non può essere modificato in qualunque momento come si vuole es: blockchain, una comunicazione che avviene attraverso una serie di blocchi collegati l’uno all’altro; in questo caso l’integrità dell’informazione è garantita attraverso il codice hash (codice alfanumerico molto lungo che viene attribuito ad un contenuto informatico, che può essere un singolo documento o un hard disk) e si inizia l’analisi dell’hard disk per poi confrontarlo con il contenuto originale per verificare la sua integrità. Se i due codici coincidono, il contenuto dell’hard disk è rimasto integro. *la firma digitale è un sistema che consente di firmare e di verificare che la firma è stata fatta dalla persona in questione. Di solito, questo sistema viene utilizzato per vari formati di documenti, tra cui il pdf, che può essere contenuto all’interno di una smart card che, quindi, deve essere inserita in un lettore che deve essere letto dal computer attraverso un software di firma specifico. In un altro caso, potrebbe concretizzarsi in un token che al momento della firma genera un codice randomico che deve essere inserito sul documento oppure, ancora, può essere un sistema di firma da remoto, nel senso che è necessario inserire il codice che viene inviato, ad esempio, via SMS su un telefono il cui numero e dispositivo siano stati certificati in precedenza. È necessario approfondire questo meccanismo in quanto è un altro aspetto che nel mondo digitale deve essere considerato dal punto di vista giuridico in quanto, come per la pec, ha una sua valenza di assoluta certezza. La pec, a proposito, è una casella di posta certificata che ha valore di comunicazione formale.
  • Disponibilità → dato deve essere disponibile quando serve a chi ha l’autorizzazione per potervi accedere. Come fa un dato a essere sia riservato, integro che disponibile? Esempio dello sportello Bancomat: unico sistema informatico a cui hanno accesso dipendenti della banca, clienti e personale dell’assistenza tecnica → riservatezza : dati riservati solo a queste persone che possono accedervi. Ognuno può accedere secondo il suo profilo → sistema è disponibile ogni volta che qualcuno deve accedere. Integrità : chi fa assistenza tecnica non ha la possibilità di fare ciò che possono fare i clienti o i dipendenti. Politiche aziendali per la sicurezza delle informazioni Per quanto riguarda la policy aziendale, le politiche per la sicurezza delle informazioni devono essere definite in modo chiaro e documentato ed è necessario esaminarle regolarmente per assicurarsi che siano ancora valide ed efficaci. In caso di cambiamenti, come nuove normative, aggiornamenti tecnologici o modifiche organizzative, le politiche devono essere riviste e adeguate. A proposito dell’organizzazione interna, in azienda le risorse primarie sono le risorse umane , solamente dopo vengono le risorse tecniche (non solo computer, ma anche altre cose come i telefoni, le piccole risorse meno visibili come il badge, il permesso di parcheggio → tutti questi dispositivi si chiamano asset , cioè oggetti che azienda fornisce al dipendente affinché possa lavorare; all’interno del computer stesso ci sono altri asset che devono essere tutelati).
  • Risorse umane : inizialmente si effettuano verifiche preliminari sui candidati, per poi fornire loro una formazione sulle politiche di sicurezza aziendale. Durante il rapporto con l’azienda, i dipendenti

vengono poi sottoposti a una formazione continua e un monitoraggio regolare del loro comportamento, con l’applicazione di misure disciplinari in caso di violazioni delle policy. Alla fine del contratto, si revocano tutti gli accessi ai sistemi aziendali e si recuperano documenti o dispositivi in loro possesso per evitare potenziali violazioni.

  • Risorse tecniche : prima, l’azienda definisce le policy relative all’uso di dispositivi aziendali, dopo viene mantenuto un inventario aggiornato dei dispositivi in uso e si monitora la gestione degli accessi. Alla fine del contratto, tutti gli account dei dipendenti vengono disattivati per prevenire accessi non autorizzati e i dispositivi aziendali devono essere restituiti (i dati al loro interno vengono eliminati in modo sicuro). Oltre l’80% dei problemi nelle aziende deriva dalla mancanza di formazione dei dipendenti, che sono scontenti/disonesti, non hanno un’educazione sui rischi legati alla sicurezza, portano dati sensibili al di fuori dell’azienda, inoltre troppi utenti hanno accesso amministrativo o privilegiato (alcuni dipendenti possono usare i social per scopi lavorativi, mentre altri non possono accedervi tramite i propri dispositivi, l’accesso viene loro negato nel luogo di lavoro: ciò crea disparità e gelosie tra i dipendenti). Il furto d’informazioni è uno dei crimini più diffusi al mondo: i criminali cercano di sfruttare problemi interni, poiché introdursi in un sistema dall’esterno richiederebbe troppo tempo e competenza tecnica.

GDPR

GDPR: regolamento dell’UE entrato in vigore maggio 2018 che prevede la regolamentazione del trattamento del dato personale sia a livello cartaceo che digitale. Keywords = titolare e responsabile, TOMS, DPO, DPIA, Data Breach, registro delle attività del trattamento (documento che deve contenere tutti i dati che entrano ed escono da un’azienda, cioè spiegare il trattamento dei dati raccolti). DPIA DPIA = Data Protection Impact Assessment, cioè la valutazione d’impatto sulla protezione dei dati che viene fatta quando sono introdotte nuove misure tecniche e organizzative all’interno dell’impresa → il regolamento europeo impone agli attori principali del trattamento dei dati di dimostrare di aver adottato tutte le misure affinché il trattamento avvenga in maniera corretta, lecita e trasparente (principio di accountability = buon senso in base al quale tutti quelli che si occupano del trattamento devono impostarlo in maniera affidabile, con le cautele e le precauzioni necessarie). Questa valutazione deve essere fatta prima , il rischio deve essere valutato prima, in modo da dimostrare poi a chi dovesse effettuare un controllo di aver adottato tutte le misure per fare in modo che il rischio fosse ridotto al minimo. Ma il rischio di cosa? Mentre la privacy appartiene alla sfera privata (la tutela della privacy è un concetto più ampio che riguarda la nostra vita privata, la tutela della nostra riservatezza a tutti i livelli), il trattamento dei dati personali va ancora più in profondità, è una tutela dei nostri diritti di libertà es: io devo sapere quali dati concedo ad esempio quando compro un biglietto del treno. Il principio di accountability e la valutazione d’impatto hanno l’ obiettivo finale di togliere il rischio che il dato personale venga perso o compromesso. La valutazione d’impatto, quindi, è uno strumento che il titolare del trattamento, su parere del responsabile, utilizza per garantire e dimostrare la conformità di un trattamento dei dati alle norme, valutando e gestendo

  1. A cosa serve? DPO è una figura pubblica, quindi nome e recapito devono essere pubblicati sul sito internet dell’azienda e comunicati al Garante, che vigila sull’utilizzo del GDPR sul territorio nazionale. Il DPO può essere la stessa persona per più enti (comunque ogni azienda non può avere più di un DPO).
  2. Cosa fa? Monitora i processi di conservazione del dato, i trattamenti dei dati nell’azienda (come vengono gestiti, con quale sistema, chi ha accesso, se sono stati stabiliti principi e presupposti, per quanto tempo vengono conservati…), inoltre monitora l’allineamento (compliance) alla normativa, fornisce un parere sulla DPIA e considera i rischi.
  3. Cosa NON fa? Non è il capro espiatorio, cioè non può essere scelto e posizionato alle dipendenze del titolare, ma semplicemente fa da monitoraggio e fornisce al titolare suggerimenti e consulenze, ma per fare questo non riceve istruzioni dal titolare, è autonomo e indipendente. Inoltre, non può svolgere compiti in conflitto, soprattutto se è una risorsa interna: il titolare non può essere anche DPO, così come anche l’amministratore di rete non può esserlo.
  4. Come sceglierlo? Il DPO va ad un livello quasi pari al titolare, quindi è superiore al resto dei dipendenti. Deve essere una persona professionalmente qualificata, ma la legge non indica quale deve essere il percorso di studi. Il DPO non è necessariamente una risorsa esterna, ma può anche essere interna. DATA BREACH

Data Breach = violazione del dato → distruzione (dato non esiste più, è stato distrutto), perdita (dato

asportato), rivelazione (persone senza accesso ne sono venute a conoscenza) o accesso non autorizzato (persone senza accesso hanno fatto l’accesso → reato di accesso abusivo a sistema informatico , è un reato informatico – art. 615-ter del Codice Penale). Il Data Breach si applica sia agli archivi informatici che a quelli cartacei. Nel caso di violazione, il titolare del trattamento deve documentare l'accaduto, conservando le informazioni relative alla violazione per future verifiche ( conservazione ), e comunicarlo all’Autorità Garante entro 72 ore ( notifica ) includendo la natura della violazione (specificare come è avvenuto il data breach es: hacker è entrato nei sistemi informatici), i dati personali coinvolti, le conseguenze probabili, le misure adottate per mitigare eventuali danni. Se la violazione comporta un rischio elevato per i diritti e le libertà delle persone coinvolte, i soggetti interessati devono essere informati senza indebito ritardo (se non si sa quali dati sono stati rubati, verranno avvisati tutti quelli i cui dati erano in quel database). Il Data Breach comporta diverse implicazioni, tra cui un articolo specifico del GDPR: art. 32.

CARTE DI CREDITO

L’identità digitale, nell’ambito delle carte di credito, è data da alcuni dati che compongono l’identità digitale nei circuiti elettronici di pagamento, dove lo scambio di moneta avviene attraverso un circuito elettronico (soldi transitano in maniera elettronica da un conto ad un altro). Questo scambio può avvenire in tanti modi: carta di credito, addebito diretto, PayPal, criptovalute (monete i cui pagamenti non sono tracciabili, ma è un sistema sicuro perché avviene attraverso la blockchain, una comunicazione di blocchi a catena che comunicano attraverso un codice hash che garantisce l’integrità del dato).

Carta di credito = un’identità digitale che implica quali sono i dati che ci permettono di conoscere una persona su un circuito elettronico: numero di carta, scadenza, nome e cognome dell’intestatario e codice di sicurezza. Questi quattro elementi ci permettono di utilizzare una carta di credito sui sistemi di pagamento elettronico in cui la carta non è fisicamente presente (online). Sono anche i dati a cui le organizzazioni criminali puntano, perché con essi riescono a rubare soldi. La carta di credito è uno strumento di pagamento, costituito da una carta plastificata con dispositivo per il riconoscimento dei dati identificativi del titolare e dell’istituto bancario emittente.

  • Banda magnetica = non possono conservare i dati relativi al proprietario della carta in modo sicuro, in quanto hanno una capacità di memoria limitata
  • Smart card = grazie alla presenza di un microchip, possono memorizzare le informazioni in modo sicuro per poi utilizzarle durante la transazione Storia
  • 1950 → anno di nascita della prima carta di credito, la Diners Club Inc., destinata a uomini d’affari e utilizzata soprattutto nei settori del turismo e del divertimento, era una sorta di garanzia che veniva data al cliente e solo gli uomini d’affari potevano permettersela. C’erano anche poche occasioni in cui poteva essere utilizzata.
  • 1958 → l’American Express mise in circolazione la sua prima carta “ Don’t leave home without it ”, carta di plastica che veniva passata in una stampigliatrice e bisognava firmare una ricevuta.
  • 1958 → la Bank of America introdusse la prima carta di credito revolving , che dava ai suoi clienti la possibilità di scegliere di pagare l’intero debito in un’unica soluzione oppure pagarlo ratealmente contro il pagamento di interessi
  • 1979 → le carte di credito vengono dotate di una banda magnetica , da passare nel terminale per procedere all’acquisto. I cinque principali protagonisti sono: Visa, Mastercard, Maestro, American Express e Diner’s Club (queste ultime due soprattutto in America). Descrizione La carta di credito ha:
  1. un fronte , dove ci sono:
  • dati del proprietario → numero della carta (16 cifre divise in 4 gruppi: circuito di appartenenza – il circuito cambia in base alla valuta, serve agli istituti emittenti perché se la carta è rilasciata in un circuito euro e noi la usiamo pagando in dollari, dovrò pagare la commissione per il cambio valuta; numero identificativo della banca; numero di conto – non è il numero di conto corrente della banca, è un numero della carta di credito; numero di controllo – viene generato in base a degli algoritmi → questi gruppi possono cambiare in altre carte, come nell’American Express), scadenza, nome e cognome del proprietario.
  • un microchip, in quanto tutte le carte di credito sono smartcard (cioè carte che proprio grazie a questo microchip contengono molti più dati della semplice carta magnetica).
  1. un retro , dove ci sono:
  • la banda magnetica, in cui vengono memorizzati i dati relativi al proprietario
  • eventualmente il codice di sicurezza (CSC o CVV2) → elemento digitale presente sulla carta che consente all’istituto che ha emesso la carta di verificare l’identità del titolare, cioè serve per

Frodi Questo tipo di crimine consiste nel furto dei dettagli relativi alla carta di credito ovvero il nome del titolare, il numero di carta, la data di scadenza e il codice CVV, con lo scopo di arrivare a clonare la carta. L’acquisizione dei dati può avvenire tramite: a. Hacking → violazione dei database, cioè violare non necessariamente il sito dell’istituto emittente, ma violare anche il database di un esercente per accedere ai numeri delle carte di credito immagazzinati es: negozio online b. Phishing → acquisizione dei dati tramite siti web o email costruiti ad hoc c. Boxing (box = cassetta della posta) → acquisizione dei dati tramite sottrazione dell’estratto conto (che in passato arrivava in maniera cartacea) inviato al titolare o della carta stessa, che conteneva tutti i dati delle carte di credito in maniera esplicita (poi sono stati coperti con asterischi). d. Trashing → i malviventi vanno alla caccia degli scontrini delle carte di credito che talvolta i possessori gettano via dopo un acquisto. Oggi sullo scontrino non ci sono più i dati della carta di credito, mentre in passato sì. Clonare = creare un secondo originale. Inizialmente, quando venivano clonate le carte di credito, venivano proprio materialmente create delle carte stampate, con i dati ricavati tramite le modalità elencate precedentemente. In passato era molto facile fare ciò, perché tutte le carte che hanno una banda magnetica partono dalle cosiddette blank card , cioè delle piccole carte bianche che hanno una banda magnetica e vengono utilizzate per un qualsiasi tipo di attività che può essere fatta con la banda magnetica es: badge a lavoro, inserimento del sistema d’allarme, apertura di una sbarra in un parcheggio. Queste blank card venivano quindi comprate e poi usate per clonare le carte → per evitare che ciò accadesse, le varie aziende come American Express, Visa ecc hanno iniziato a creare degli accorgimenti per far sì che le carte originali avessero dei caratteri speciali o dei segni distintivi → sistemi di anticontraffazione :

  • I segni distintivi che appaiono con un controllo di fluorescenza a raggi ultravioletti
  • I primi quattro numeri di carta a rilievo devono coincidere con un piccolo numero stampato sotto o sopra: non è così semplice da fare, perché la carta clonata viene fatta con delle serigrafie nuove quindi la parte non a rilievo……BOH
  • La presenza dei caratteri speciali in rilievo, che non si trovano sulle stampigliatrici normali usate per clonare le carte di credito
  • Il numero in rilievo sulla carta deve coincidere con quello sulla ricevuta, perché il numero sulla ricevuta viene ricavato dalla banda magnetica. La banda magnetica è importante perché sulla banda sono memorizzati tutti i dati, con i quali si può utilizzare la carta anche online, proprio per questo motivo, per tanto tempo, quando venivano clonate le carte di credito, si utilizzavano i cosiddetti skimmer (scatole nere) → skim = slittare, strisciare, quindi lo skimmer è un dispositivo che legge i dati che stanno sulla banda magnetica. Una volta acquisiti i dati, questi vengono copiati direttamente sulla carta falsificata (clonata). Lebanese Loop Allo sportello automatico viene applicato un dispositivo con una lamina sottilissima di alluminio: quando viene inserito il bancomat, il dispositivo lo trattiene e lo sportello non dà segni di vita, a questo punto si avvicina il delinquente che offre il suo aiuto, suggerendo di digitare il PIN per sbloccare tutto. Ovviamente non cambia nulla, ma il delinquente avrà ora il PIN e la carta → non è una clonazione di carte di credito.

Sistema della forchetta Gli sportelli bancomat non sono di proprietà della banca o delle poste, ma vengono costruiti da determinate aziende che poi li danno in comodato d’uso a banche o poste, quindi possono essere di diversa tipologia e ognuno si presta solo a certi tipo di manomissioni. In particolare, gli sportelli delle Poste si prestano al sistema della forchetta: così chiamato perché si mette dietro al dispositivo in cui scorrono i soldi → una persona preleva, il sistema tiene bloccati i soldi e la carta viene restituita (ovviamente ciò viene fatto accadere quando l’ufficio postale è chiuso): il criminale si prende i soldi → non è una clonazione di carte di credito. Come evitare le frodi? a. Ci sono sistemi di sicurezza messi a disposizione da alcuni circuiti o emittenti: Verified by Visa o SecureCode di Mastercard Maestro → tutti gli istituti che emettono carte di credito hanno una centrale di raccolta dei dati delle carte che risultano rubate o smarrite, quindi se il sistema riceve dati di una carta smarrita o rubata, la transazione viene bloccata. b. Utilizzare la procedura di chargeback (disconoscimento della spesa): una persona si trova addebitate spese che non ha fatto e fa un disconoscimento, dicendo all’istituto emittente quali sono i motivi per cui il pagamento non viene riconosciuto. Nella maggior parte dei casi, i soldi vengono restituiti, a meno che la carta non è stata clonata. Altri strumenti di moneta elettronica ➢ PayPal , uno strumento di micro-pagamento utilizzato nell’e-commerce, tramite il quale è possibile effettuare transazioni presso molti negozi online (compreso Ebay). Registrandosi gratuitamente viene aperto un conto personale (non senza appoggiarsi ad un altro conto corrente, carta di credito o prepagata, come la Postepay), dopodiché è possibile effettuare o ricevere pagamenti. È un sistema di deposito a garanzia: PayPal si mette tra compratore e venditore, inviando email per avvisare e nel frattempo trattiene i soldi, finché non vengono confermati i movimenti. Anche qui, però, ci possono essere delle truffe. ➢ Criptovalute : sono monete virtuali che non esistono fisicamente nel mondo reale. Si tratta di stringhe di numeri e lettere, il cui valore è determinato da una convenzione tra utenti, senza l’intermediazione di una banca centrale. Quando si acquistano Bitcoin, non si ottiene denaro tradizionale, ma una stringa digitale che rappresenta l’equivalente dell’importo speso. Per acquistare Bitcoin, si possono utilizzare piattaforme di scambio (Exchanger) che convertono la valuta corrente in criptovaluta. Questa transazione è tracciabile, ma una volta che i Bitcoin vengono trasferiti in un portafoglio offline (come un cold wallet, scollegato da internet), non saranno più rintracciabili. SKIMMING E CLONAZIONE Skimming = to skim (strisciare, ciò che fa la carta di credito nel lettore). Si intende quell’attività illecita in base alla quale vengono carpiti i codici delle carte di credito che stanno sulla banda magnetica per poter clonare le carte. L’attività di clonazione di carte di credito ha attraversato diverse fasi : inizialmente si puntava a modificare i POS di negozi molto grandi che avevano un maggior numero di clienti che utilizzavano il POS → i criminali durante il giorno entravano come normali clienti in un supermercato e si nascondevano dietro gli scaffali,

Questo procedimento è semplice, in quanto gli sportelli bancomat sono facilmente accessibili da tutti, mentre i POS sono più difficilmente attaccabili, perché bisogna entrare nel supermercato, nascondersi ecc. Il fenomeno della clonazione in Italia oggi è stato debellato, in quanto queste organizzazioni criminali sono state smantellate (in Abruzzo perché rumeni e bulgari arrivavano in traghetto ad Ancona e poi si facevano il litorale da Vasto all’Emilia Romagna). Reati configurabili Sono reati informatici, introdotti nel Codice Penale in seguito all’individuazione di nuovi reati:

  • Art. 617 quinquies = installazione di apparecchiature (skimmer) atte a intercettare comunicazioni informatiche o telematiche
  • Art. 617 quater = intercettazione di comunicazioni informatiche o telematiche. All’inizio questo articolo riguardava l’intromissione in una conversazione telefonica.
  • Art. 615 quater = detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
  • Art. 55 (è un reato comune, mentre gli altri tre articoli sopra sono reati informatici e se ne occupa la procura distrettuale) = utilizzo indebito di carta di credito → quando una persona utilizza la carta di credito di un altro, perché la carta è strettamente personale. Questo non significa che la carta è di proprietà del titolare, ma è di proprietà dell’istituto che la emette ed è in uso del titolare. Arresto in flagranza Nel corso di una lunga indagine, se si ha un momento in cui si verifica un reato, è possibile applicare l’arresto obbligatorio in flagranza. Il CP all’art. 380 prevede i reati per cui è possibile operare l’ arresto in flagranza , mentre l’art. 381 contiene l’elenco dei reati per cui non è obbligatorio l’arresto in flagranza. Il Codice di Procedura Penale prevede le modalità di applicazione dei fatti che costituiscono reato, tra cui il fatto che l’arresto in flagranza possa avvenire solo in determinate condizioni. Diversamente, esistono gli arresti alla fine delle indagini sulla base di una serie di elementi che sono stati rilevati concretamente nel corso del tempo.

Smart contract : programma per il computer che viene eseguito automaticamente su una blockchain (sistema di comunicazione usato per le criptovalute che ha dei requisiti molto importanti: immutabilità del dato, sicurezza e trasparenza), la quale garantisce i requisiti del dato, che devono rimanere tali fino alla chiusura del contratto. Mentre un contratto tradizionale ha bisogno di un giudice per essere fatto rispettare in caso di controversie, uno smart contract è programmato per eseguire automaticamente le condizioni, senza necessità di interventi esterni. Un’accezione superiore di questo contratto è lo smart legal contract , che ha anche valore giuridico ed è riconosciuto legalmente come un contratto valido tra le parti. In realtà, la normativa di oggi non prevede ancora delle forme di smart legal contract: significa che il contratto esiste ma non esiste ancora una norma che lo regolamenti – e neanche una che lo vieti. Esempio di smart contract : faccio un contratto di assicurazione per i viaggi in aereo e se il volo è in eccessivo ritardo mi spetta un rimborso → qui entra in gioco lo smart contract: quando l’aereo è in ritardo, lo smart contract, autonomamente, manda il rimborso a tutte le persone su quel volo. Questo contract era stato inserito sulla piattaforma così da attivarsi nel momento in cui si fosse verificata una determinata condizione (ritardo del volo superiore a tot ore), con la clausola IF THEN (se succede questo… allora fai questo…) → tutto avviene in automatico con il computer, per questo si chiama “ smart ” contract. Se lo smart contract viene impostato in modo errato (ad esempio, prevede il rimborso dopo 1 ora e 30 minuti invece di 1 ora come stabilito dalla norma), il problema è che non può essere modificato una volta attivato, perché opera in modo automatico sulla blockchain. Questa è la clausola WHAT IF? (cosa succede se qualcosa va storto?). Purtroppo, gli smart contract non sono ancora regolamentati dalla legge, quindi, in caso di errore, non esiste un chiaro quadro giuridico per correggerlo o attribuire responsabilità. Il contratto eseguirà comunque la sua funzione, anche se non è conforme alla norma.

(perché non si possono tracciare i bitcoin). Come difendersi? Non aprire allegati sospetti, effettuare backup regolari e proteggere i backup. 03/02/ I dati presi nelle piattaforme di intelligenza artificiale ( web scraping : raccolta massiva di dati) vengono usati per addestrare il sistema di AI, per alimentarlo. Il garante deve capire se c’è questa attività di web scraping riconducibile anche al trattamento dei dati. Armonizzazione del regolamento europeo : sentenza recente della corte di giustizia europea che riguarda l’armonizzazione del regolamento europeo con la legislazione nazionale → ricorso di un lavoratore tedesco che ha denunciato il proprio datore che, durante il rinnovo del contratto, aveva applicato un software che trasferiva i dati dei propri lavoratori negli USA in maniera scorretta. Il giudice ha ribadito che, anche in occasione di accordi, vale il GDPR: il giudice nazionale deve disapplicare la norma interna tutte le volte che è in contrasto con la norma europea. Il regolamento europeo è una norma che si applica direttamente in tutti gli Stati Europei a partire dal 2018, i quali devono applicarlo così come, al massimo possono “armonizzarlo” (= articoli del codice della privacy che erano in contrasto sono stati automaticamente cancellati) con la norma interno. In Italia, ad esempio, esisteva già il codice della privacy che è stato incastrato con il nuovo regolamento europeo, dando vita a una nuova norma.

GEOLOCALIZZAZIONE

PRIMO CASO

Nel 2008 (GDPR non esiste) una ditta di noleggio pullman fa una richiesta di verifica preliminare per l’installazione di dispositivi GPS (Global Position System): anche la posizione di una persona è un dato personale, quindi installando un dispositivo GPS si vanno a raccogliere dati personali, per questo c’è bisogno dell’autorizzazione delle persone che andranno a utilizzare quei mezzi. Questa richiesta spiegava che i dispositivi avevano diverse finalità : localizzare geograficamente i veicoli per verificare la velocità e la direzione (controllo del comportamento degli autisti in relazione alla sicurezza, premiando chi si comporta bene) e per intervenire velocemente in caso di incidente o guasto. Il garante risponde che c’è la liceità del trattamento, cioè che il trattamento dei dati raccolti può essere fatto, a condizione che gli interessati siano stati informati, che l’accesso dei dati sia dato solo agli incaricati a determinate mansioni, che i dati vengano conservati solo per il tempo strettamente necessario e che la società che fornisce il servizio sia nominata come responsabile del trattamento. SECONDO CASO Nel 2010 un’associazione allevatori ha fatto una richiesta al garante per dotare di dispositivi GPS (braccialetti) gli ispettori che fanno i controlli sulle aziende zootecniche, per certificare che effettivamente andassero nelle aziende. Questo braccialetto però, a tutti gli effetti, controllava dei lavoratori a distanza , ma esistono delle norme nello Statuto dei Lavoratori che vietano “l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”.

La richiesta spiegava che i braccialetti sarebbero stati utili a organizzare le attività, a certificare che gli accertamenti siano stati fatti bene, e che sarebbero stati adottati dei sistemi di pseudonimizzazione oltre il fatto che l’ispettore può accendere o spegnere il dispositivo quando vuole. Il garante approva ma secondo una serie di condizioni : l’accesso ai dati può essere fatto solo attraverso un portale, deve essere garantita la pseudonimizzazione, gli interessati devono essere informati e i dati non possono essere conservati oltre i due anni. TERZO CASO Nel 2010 vengono installati dei GPS su auto aziendali da parte di una ditta in assenza di informativa e comunicazione ai sindacati: i dipendenti fanno un reclamo → i GPS permettevano la localizzazione geografica dei veicoli, la raccolta di informazioni sul percorso, le soste, sulla diagnostica del veicolo: tutti i dati venivano raccolti su un server a cui si accedeva con ID e password. La ditta ha dichiarato che era stata fatta una riunione con tutti i dipendenti interessati e che l’installazione di questi dispositivi serviva per pianificare meglio gli interventi, per gestire sinistri, guasti o multe e per calcolare meglio i costi di trasferta per interventi ai clienti. Il garante, però, blocca la procedura perché non è stata fatta innanzitutto la richiesta di verifica preliminare e richiede di fare un’informativa corretta per gli interessati, di designare gli incaricati legittimati all’accesso e di valutare i tempi di conservazione dei dati in relazione all’effettiva necessità. QUARTO CASO Nel 2015 una flotta di noleggio fa una richiesta di verifica preliminare: aziende mette a disposizione delle macchine da noleggiare e vuole installare dei GPS → per offrire maggiore sicurezza (gestione degli incidenti

  • velocità, direzione, accelerazioni – ricerca del veicolo, assistenza stradale), per tutelare i beni aziendali, per ottimizzare la gestione della flotta (monitoraggio km e tempi di utilizzo), per ridurre i costi operativi (diagnostica ogni 30 secondi). L’azienda implica che ci sia un trattamento di dati personali necessario al perseguimento delle finalità indicate e per una maggiore tutela dei diritti in caso di incidenti o furti, inoltra i dati verranno conservati fino alla scadenza del contratto. Il garante accetta la richiesta ma mette delle condizioni : accesso riservato unicamente all’operatore incaricato tramite portale web con protocollo https e certificato digitale (dati pseudonimizzati), solo per finalità perseguite, ci deve essere un’informativa per gli interessati, i dati non possono essere utilizzati per scopi commerciali e profilazione e devono essere affidabili, accurati, autentici e integri, si può risalire ai dati personali solo se necessario per perseguire finalità o tutela diritti, infine i dati devono essere distrutti. In conclusione, nel corso degli anni le condizioni sono state sempre più ristrette da parte del garante.

ATTACCHI INFORMATICI

I responsabili dei crimini informatici:

  • Ex dipendenti o dipendenti insoddisfatti : il personale non solo deve essere formato, ma deve anche conoscere l’importanza delle informazioni di cui è custode
  • Principianti : credono di essere bravi e vogliono dimostrarlo per entrare in un gruppo di hacker, utilizzano strumenti o software di hacking trovati in rete senza capirne il funzionamento, cercano di raccogliere il maggior numero di crediti.
  • Cracker o defacers : chi cambia faccia al sito, modifica la home page