
















































































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Domande di informatica giuridica
Tipologia: Esercizi
Caricato il 03/07/2025
1 / 88
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!

















































































**22. COSA SONO GLI STANDARD ISO E QULE RUOLO SVOLGONO NELLA REGOLAMENTAZIONE TECNOLOGICA?....................................................................................................................................... 24
79. COSA SI INTENDE PER "DOCUMENTO INFORMATICO" E QUALI SONO I SUOI REQUISITI DI VALIDITÀ? **81
Algoritmi tradizionali : Risolvono problemi con regole predefinite, non si adattano ai cambiamenti. Machine learning : Risolvono problemi basandosi sull'analisi e sull'apprendimento dai dati, e si adattano alle nuove informazioni. In breve, mentre gli algoritmi tradizionali seguono rigidamente le istruzioni fornite dal programmatore, gli algoritmi di machine learning sono in grado di evolversi e migliorare autonomamente man mano che ricevono più dati.
3. STRUTTURA DELLA RETE INTERNET a) Livello fisico La rete internet si basa su una serie di dispositivi e collegamenti fisici: cavi sottomarini (cavi di fibra ottica che collegano i continenti), collegamenti terrestri (cavi di fibra ottica, reti wireless ecc.), data center (ospitano server e data base per archiviazione dati), router e switch (instradano i pacchetti di dati lungo il percorso più efficiente) e ISP (provider di servizi internet che forniscono internet agli utenti finali). b) Livello Gerarchico
L'indirizzo IP è una quaterna di terne di numeri basata sul protocollo IPv4 (che probabilmente in futuro sarà sostituito dal protocollo IPv6, ma cui logica di funzionamento è la medesima, con la differenza che questo nuovo protocollo sarà composto da otto gruppi di quartine in esadecimale divise da i due punti). I numeri sono compresi tra 0 e 255 (ossia sono 256, 2 all'ottava) e sono separati da punti. L'indirizzo IP identifica in modo univoco ogni device collegato ad Internet. E l'indirizzo del client a cui il server invia le informazioni richieste. Si immagini il server come una biblioteca che spedisce i libri a casa dei lettori. Il lettore per richiedere un libro deve inviare la richiesta alla biblioteca; la richiesta deve contenere le indicazioni necessarie a individuare il libro e l'indirizzo al quale il libro deve essere spedito. L'indirizzo IP ha le medesime funzioni dell'indirizzo di casa del lettore: individua in maniera univoca dove le informazioni devono essere inviate. L’indirizzo IP può essere privato (usato per identificare dispositivi all’interno di una rete locale), pubblico (usato per identificare un dispositivo su internet), statico (non cambia mai e viene assegnato dal provider o impostato manualmente), dinamico (assegnato automaticamente da un server DHCP – dynamic host configuration protocol- e può cambiare). L'indirizzo IP è uno strumento fondamentale nelle indagini di polizia relative a reati informatici o altre attività illecite online. Consente di identificare e tracciare dispositivi collegati a specifiche azioni compiute su Internet. Ogni volta che un dispositivo accede a internet, viene associato a un indirizzo IP (pubblico) assegnato dall’ISP. Grazie a questa prima fase si può capire quale connessione a internet è stata usata in un determinato momento. Un indirizzo IP può rilevare l’area geografica da cui è stata effettuata la connessione (non precisione a livello di casa ma di località o regione). Le forze dell’ordine possono richiedere al provider di fornire il nome del client al quale era assegnato quell’IP in quel momento (gli ISP tengono registrate tutte queste informazioni). L’IP può essere utilizzato come prova tecnica per dimostrare che una certa attività online è stata svolta da una connessione internet specifica, in combinazione con altre prove, può contribuire a costruire un caso. Le forze dell’ordine potrebbero incontrare dei limiti nello specifico a causa di indirizzi IP dinamici (in questo caso è necessario sapere con esattezza quando è avvenuto il presunto reato), reti pubbliche o condivise (è difficile identificare il dispositivo specifico che ha compito l’azione), uso di VPN o proxy (per mascherare per mascherare il proprio indirizzo IP – delle volte le autorità possono collaborare con i fornitori di VPN), gli indirizzi IPv6 (essendo tecnologie nuove possono far presentare sfide tecniche più complesse).
6. COS’È LA PEC E QUAL È LA SUA VALIDITÀ GIURIDICA La Posta Elettronica Certificata (PEC) è un sistema di comunicazione digitale legalmente riconosciuto in Italia e in altri paesi, che garantisce validità giuridica alle email inviate e ricevute. È utilizzata per inviare documenti e comunicazioni con lo stesso valore legale di una raccomandata con ricevuta di ritorno (AR), purché venga usata da mittente e destinatario entrambi dotati di PEC.
Ha tre caratteristiche principali: tracciabilità (ogni email inviata tramite PEC generano ricevute che certificano la spedizione e la consegna al destinatario), Conferma di integrità (garantisce che il contenuto dei messaggi e degli allegati non sia stato alterato durante la trasmissione), autenticità del mittente (il mittente è identificato in modo univoco). Nello specifico, il mittente invia un messaggio tramite il proprio account PEC, il messaggio viene trasmesso al gestore PEC del mittente, che verifica e firma digitalmente il messaggio per garantire l’autenticità, il gestore PEC del destinatario riceve il messaggio e genera una ricevuta di consegna, confermando che il messaggio è stato recapitato alla casella PEC del destinatario. Il mittente riceve due ricevute, una detta ricevuta di accettazione la quale conferma che il messaggio è stato preso in incarico dal gestore del mittente e una che si chiama ricevuta di consegna la quale conferma che il messaggio è stato consegnato al gestore PEC del destinatario. Per quanto riguarda il suo valore legale, una mail PEC ha lo stesso valore legale di una raccomandata con ricevuta di ritorno, le ricevute di accettazione e di consegna equivalgono rispettivamente al timbro postale e alla ricevuta di consegna. Inoltre la PEC certifica la data e l’ora d’invio e consegna del messaggio (utile per rispettare scadenze legali). Le ricevute PEC possono essere presentate come prova in tribunale per dimostrare l’invio e la ricezione di una comunicazione. In conclusione in vantaggi sostanzia della posta elettronica certificata sono: la sicurezza (garantisce integrità di messaggio e allegati e riduce il rischio di frodi attraverso modifica del messaggio), risparmio tempo e denaro (si risparmia il tempo e il denaro necessari per inviare una raccomandata con ricevuta di ritorno), valore probatorio (può essere portata come prova in tribunale in caso di controversie), accessibilità (è possibile inviare e ricevere da qualsiasi dispositivo connesso a internet).
7. CHE COS’È IL FREE SOFTWARE Il free software (in italiano, "software libero") è un software che garantisce agli utenti la libertà di utilizzare, studiare, modificare e condividere il programma senza restrizioni significative. Questo concetto è legato più alla libertà dell'utente che al costo economico del software. Infatti, il termine "free" si riferisce a libertà (libertà d'uso) e non necessariamente a gratuità (anche se spesso il software libero è gratuito). Il software è considerato libero se soddisfa queste 4 caratteristiche: libertà di eseguire il programma per qualsiasi scopo , libertà di studiare come funziona il programma e modificarlo (mette a disposizione il codice sorgente), libertà di ridistribuire copie del software , libertà di distribuire versioni modificate del programma. Gli anni 80’ conosciuti come gli anni di Microsoft, generano due principali avversaria della concezione di software di Bill Gates, uno tra questi fu Richard Stallman. Richard Stallman - uomo chiave nella storia del Software → il più bravo programmatore della sua generazione. Nella fine degli anni settanta e nei primi anni ottanta, le aziende iniziarono a imporre restrizioni ai loro programmatori attraverso il copyright. Ciò accadeva in quanto le aziende volevano trarre profitto dal software proprietario. Stallman sosteneva che il codice sorgente dei programmi dovesse restare libero , non aperto ma libero. Questo significa che doveva essere accessibile a tutti
Nello specifico, per quanto riguarda i dati personali particolari o sensibili: si considerano i dati personali come l’origine razziale, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale dell’interessato, nonché: dati genetici (ereditati o acquisiti, ottenuti tramite analisi di DNA o RNA da un campione biologico della persona fisica in questione), dati biometrici (come immagine facciale, grazie alla quale è possibile indentificare una ed una sola persona fisica, quelli più utilizzati sono i dati facciali e delle impronte, in realtà questi sistemi di sicurezza sono “facilmente” violabili), dati sulla salute (sia fisica che mentale, passata, presente e futura, ma anche info su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale ad esempio un medico), dati personali relativi a condanne penali (il trattamento dei dati personali relativi a reati o condanne deve avvenire sotto il controllo dell’autorità pubblica o se è autorizzato dall’UE). Il GDPR inoltre prevede, oltre al trattamento “generico” dei dati particolari, il trattamento delle categorie particolari di dati personali (articolo 9).
9. COS’È LA TRIADE CIA? BASTA A RENDERE SICURO UN SISTEMA? Nella comunità della sicurezza dell’informazione “CIA” sta per: C onfidentiality (riservatezza), I ntegrativity (integrità), A vailability (disponibilità/accesibilità). L’insieme di questi tre principi costituiscono la pietra angolare dell'infrastruttura di sicurezza di qualsiasi organizzazione; infatti, dovrebbero funzionare come traguardi e obiettivi per ogni programma di sicurezza. Ogni volta che qualcuno subisce un attacco online uno o più di questi principi vengono violati. Riservatezza È fondamentale nel mondo di oggi che le persone proteggano le proprie informazioni sensibili e private da accessi non autorizzati. La protezione della riservatezza dipende dalla capacità di definire e applicare determinati livelli di accesso alle informazioni. In alcuni casi, ciòT comporta la separazione delle informazioni in varie raccolte organizzate in base a chi ha bisogno di accedere alle informazioni. Alcuni dei mezzi piùT comuni utilizzati per gestire la riservatezza includono elenchi di controllo degli accessi e crittografia. Integrità L'integrità dei dati è un componente essenziale della triade. Significa che poter proteggere i dati dalla cancellazione o modifica da parte di qualsiasi parte non autorizzata, e garantisce che quando una persona autorizzata apporta una modifica che non avrebbe dovuto essere apportata, il danno può essere ripristinato. Disponibilità/accessibilità Si riferisce all'effettiva disponibilità dei dati. I meccanismi di autenticazione, i canali di accesso e i sistemi devono funzionare correttamente per le informazioni che proteggono e garantire che siano disponibili quando necessario. I sistemi ad alta disponibilità sono le risorse di elaborazione che dispongono di architetture progettate specificamente per migliorare la disponibilità. La triade CIA è un modello concettuale che copre aspetti cruciali, ma non tiene conto di altri elementi fondamentali della sicurezza dei sistemi. Di seguito alcune lacune che evidenziano la necessità di ulteriori misure: mancanza di considerazione per la sicurezza fisica (exp. Attaccante che ha accesso fisico a un server), non considera il fattore (spesso problemi di sicurezza informatica sono causati al 70% da errori umani e non dalla sicurezza dei sistemi in se), assenza di gestione delle vulnerabilità (exp. Le vulnerabilità zero-day e mancati aggiornamenti di sicurezza), non include
monitoraggio e risposta agli incidenti (exp. Monitoraggio del file LOG), esclusione della conformità normativa (non si occupa di regolamenti o leggi che un sistema potrebbe essere obbligato a rispettare), minacce emergenti (exp. La triade non tiene conto delle minacce legate a nuove tecnologie con l’AI). La triade CIA è il pilastro fondamentale della sicurezza informatica, ma da sola non basta a rendere sicuro un sistema. Deve essere combinata con approcci avanzati, strumenti specifici e una gestione efficace del rischio per affrontare le sfide moderne. La sicurezza è un processo continuo e multilivello, che richiede aggiornamenti costanti e un'attenzione particolare alle nuove minacce e tecnologie.
10. TIPOLOGIE DI ATTACCHI INFORMATICI Come sottolinea Schneier nelle sue opere, il problema della sicurezza informatica è sì un problema tecnologico, ma è soprattutto umano. Il 70% degli errori dei sistemi informatici, infatti, sono dovuti all’intervento umano, voluto e non. “Conosci il nemico come conosci te stesso” Un attacco informatico è qualsiasi azione intenzionale che ha lo scopo di rubare, esporre, alterare, disabilitare o distruggere dati, applicazioni o altri asset tramite l'accesso non autorizzato a una rete, un sistema informatico o un dispositivo digitale. Esistono una serie di attacchi informatici:
Questi sono gli hacker etici, che seguono una serie di principi etici personali, mettendo le proprie capacità al servizio di altre entità o persone. Gli hacker etici possono aiutare gli sviluppatori di un sistema a mettere in luce gli 0-day. 0-day (o zero-day), in informatica, è una qualsiasi vulnerabilità non espressamente nota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico; definisce anche il programma - detto "exploit" - che sfrutta questa vulnerabilità informatica per consentire l'esecuzione anche parziale di azioni non normalmente permesse da chi ha progettato il sistema in questione. Vengono chiamati 0-day proprio perché sono passati zero giorni da quando la vulnerabilità è stata conosciuta dallo sviluppatore e quindi lo sviluppatore ha "zero giorni" per riparare la falla nel programma prima che qualcuno possa scrivere un exploit per essa. Il fatto che io entri in un sistema con buone intenzioni, però, non esime da responsabilità penali. Il solo accesso abusivo ad un sistema informatico, anche se eseguito con le migliori intenzioni, è di per sé perseguibile penalmente. Nel 2017, Luigi Gubello, studente di matematica noto con lo pseudonimo di Evariste Galois, scopre una serie di vulnerabilità nel sistema Rousseau, piattaforma di voto online utilizzata dal Movimento 5 Stelle, che il M5S all’epoca chiamava il “sistema operativo della democrazia”. L’hacker aveva effettivamente avvisato i gestori della piattaforma delle vulnerabilità da lui individuate; non viene ascoltato dai sistemisti di questa piattaforma. Lui pubblica i risultati, come conseguenza, ma si dimentica di mettersi dietro un Firewall quando accede al sistema. Se non ci si mette dietro un Firewall il sistema viene a sapere immediatamente l’indirizzo IP, e si riesce così a risalire a lui, vedendolo poi coinvolto in un processo.
12. QUAL È L’ATTACCO INFORMATICO PIÙ DIFFUSO? PARLANE L’attacco informatico più diffuso è il phishing. Il termine phishing deriva dalla parola inglese “fishing” (pescare) e l’idea è proprio quella di “pescare” vittime nel vasto mare del web. Con questo termine si indica una truffa informatica realizzata a danno di un utente, con l'obiettivo di impossessarsi di informazioni personali e sensibili, come le credenziali di accesso ad account di servizi online. In particolare, i malintenzionati sono interessati ad accedere a e-mail personali e conti bancari. Questo tipo di attacco si basa interamente sull'ingenuità e sulla buona fede dell'utente; è un attacco che si basa proprio sulla vulnerabilità umana. Gli hacker preparano infatti delle pagine Web che replicano perfettamente i portali a cui l'utente è iscritto e, tramite un link inviato per messaggio o per e-mail, richiedono l'inserimento di nome utente e password (al giorno girano miliardi di email). Un utente poco attento potrebbe non accorgersi della differenza e inserire le proprie informazioni, mettendole così in mano ai malintenzionati. Per evitare questo problema, un utente deve sempre assicurarsi di inserire le proprie credenziali di accesso soltanto nei siti ufficiali dei vari servizi. Non bisognerebbe mai cliccare sui link inviati per posta ma aprire direttamente le reali pagine di accesso. Sarebbe utile anche attivare una autenticazione a 2 fattori in quanto riduce notevolmente l’efficacia del furto di credenziali. Può essere una soluzione anche usare un buon servizio di VPN, in grado di bloccare in automatico pagine sospette. Esistono due tipologie di phishing: a strascico (prendo e mando un milione di mail e spero che qualcuno abbocchi), spearphishing (non è un attacco casuale nella speranza che abbocchi un qualsiasi individuo, bensì un attacco studiato, l’attaccato a volte viene studiato per mesi).
sicurezza). 1) Non bisogna fidarsi degli algoritmi, la precisione degli algoritmi è difficilmente stimabile 2) La risposta a un problema non è mai solo di carattere tecnologico. Bloccare questo sistema di messaggistica significa bloccare anche tutte le comunicazioni illecite, che sono di più rispetto alle comunicazioni illecite, ma così facendo si vieta il diritto dell’espressione.
14. DEFINIZIONE DI TITOLARE E DI RESPONSABILE DEL TRATTAMENTO. L’esatta definizione di titolare del trattamento e di responsabile del trattamento, le possiamo trovare all’interno del CAPO I (disposizioni generali), ARTICOLO 4 (definizioni), del GDPR (Regolamento per la protezione dei dati). Il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. I suoi compiti principali sono: garantire che il trattamento dei dati sia conforme al GDPR, informare la persona interessata sul trattamento dei suoi dati, adottare misure adeguate a proteggere i dati personali, nominare il responsabile del trattamento tramite contratto. Il Responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. I suoi compiti principali sono: garantire che il trattamento dei dati avvenga nel rispetto delle istruzioni fornite dal titolare e delle disposizioni del GDPR, implementare adeguate misure di sicurezza per proteggere i dati personali, collaborare con il titolare per garantire il rispetto degli obblighi normativi e non su-delegare il trattamento senza il consenso scritto del titolare. ESEMPIO : all’università Bicocca sono Google, Microsoft e la BPSO. Il responsabile del trattamento è qualcuno esterno all’organizzazione del titolare. Quelli che lavorano in bicocca sono interni e sono incaricati dei dati personali, ma mai responsabili. 15. QUALI TIPOLOGIE DI FIRMA PREVEDE IL REGOLAMENTO eIDAS La firma elettronica è l’equivalente elettronico della firma autografa (olografa, strettamente connessa a me). Il Regolamento eIDAS disciplina tre tipologie di firme elettroniche:
firma elettronica che il firmatario può (con un elevato livello di sicurezza) utilizzare sotto il proprio esclusivo controllo , è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. (exp. CIE o tessera sanitaria).
- Firma elettronica qualificata (FEQ) Firma che oltre alle caratteristiche della FEA ha queste altre caratteristiche: creata su dispositivo qualificato per la creazione di una firma elettronica, è basta su certificato elettronico qualificato, ha effetto giuridico equivalente a quello di una firma autografa (exp. Un file sottoscritto con la FEQ soddisfa il requisito ad substantiam necessaria per determinate tipologie di contratto). Dal punto di vista tecnico firma elettronica avanzata e firma elettronica qualificata sono la stessa cosa, con la differenza che la creazione di quella qualificata è realizzata mediante certificato qualificato - Firma elettronica digitale La firma elettronica digitale è una tipologia di firma elettronica avanzata che utilizza la crittografia asimmetrica per garantire l'integrità, l'autenticità e la non ripudiabilità dei documenti elettronici. - Firma grafometrica Si basa sull’acquisizione di dati biometrici legati al gesto della firma , effettuata su dispositivi digitali come tablet o firme Pad (molto utilizzata in ambito bancario). Quando si firma un documento con questa tipologia, il dispositivo registra l’aspetto grafico della firma ma anche velocità, pressione e angolo di inclinazione. Le firme elettroniche hanno degli effetti giuridici. Il Regolamento stabilisce la non discriminazione dei documenti elettronici rispetto ai documenti cartacei. Alla firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti delle firme elettroniche qualificate → la validità è lasciata al libero convincimento del giudice. 16. DIFFERENZA TRA LA FIRMA ELETTRONICA QUALIFICATA E AVANZATA Firma elettronica avanzata (FEA) tendenzialmente utilizzata per sottoscrivere documenti della P.A. La definizione è la medesima della firma elettronica, con la differenza che per essere avanzata soddisfa i seguenti requisiti : è connessa unicamente al firmatario, è idonea a identificare il firmatario, è creata mediante numeri/dati per la creazione di una firma elettronica che il firmatario può (con un elevato livello di sicurezza) utilizzare sotto il proprio esclusivo controllo , è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. (exp. CIE o tessera sanitaria). Firma elettronica qualificata (FEQ) Firma che oltre alle caratteristiche della FEA ha queste altre caratteristiche: creata su dispositivo qualificato per la creazione di una firma elettronica, è basta su certificato elettronico qualificato, ha effetto giuridico equivalente a quello di una firma autografa (exp. Un file sottoscritto con la FEQ soddisfa il requisito ad substantiam necessaria per determinate tipologie di contratto). La differenza sostanziale tra queste due firme è solo in merito alla validità giuridica :