Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Informatica giuridica, Esercizi di Informatica Giuridica

Domande di informatica giuridica

Tipologia: Esercizi

2024/2025

Caricato il 03/07/2025

Utente sconosciuto
Utente sconosciuto 🇮🇹

1 / 88

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
SOMMARIO
1. COS’È UN ALGORITMO? ..................................................................................................................... 6
2. DISTINZIONE TRA ALGORITMI TRADIZIONALI E MACHINE LEARNING .................................................. 6
3. STRUTTURA DELLA RETE INTERNET .................................................................................................... 7
4. COS’È LA CRITTOGRAFIA END-TO-END ................................................................................................ 9
5. COS’È L’INDIRIZZO IP E QUALE È LA SUA FUNZIONE IN UN’INDAGINE DI POLIZIA .............................. 10
6. COS’È LA PEC E QUAL È LA SUA VALIDITÀ GIURIDICA ........................................................................ 10
7. CHE COS’È IL FREE SOFTWARE .......................................................................................................... 11
8. COS’È UN DATO PERSONALE ............................................................................................................ 12
9. COS’È LA TRIADE CIA? BASTA A RENDERE SICURO UN SISTEMA? ...................................................... 13
10. TIPOLOGIE DI ATTACCHI INFORMATICI ........................................................................................... 14
11. CHI SONO GLI HACKER ETICI? ......................................................................................................... 16
12. QUAL È L’ATTACCO INFORMATICO PIÙ DIFFUSO? PARLANE ........................................................... 17
13. QUALI SONO I SISTEMI DI MESSAGGISTICA PIÙ DIFFUSI, COME FUNZIONANO, QUALI SONO I LORO
LIMITI? .................................................................................................................................................... 18
14. DEFINIZIONE DI TITOLARE E DI RESPONSABILE DEL TRATTAMENTO. ............................................... 19
15. QUALI TIPOLOGIE DI FIRMA PREVEDE IL REGOLAMENTO EIDAS ...................................................... 19
16. DIFFERENZA TRA LA FIRMA ELETTRONICA QUALIFICATA E AVANZATA ............................................ 20
18. COSA SI INTENDE PER DUPLICATO INFORMATICO? ......................................................................... 21
19. IN CHE MODO LE NORME SOCIALI INFLUENZANO L’USO INIZIALE DI UNA NUOVA TECNOLOGIA? . .. 22
20. QUANDO E PERCHÉ INTERVENGONO LE NORME POSITIVE IN RELAZIONE ALL’USO DI UNA
TECNOLOGIA? ......................................................................................................................................... 22
21. QUAL È LA DIFFERENZA TRA NORME SOCIALI E NORME POSITIVE? ................................................. 23
1
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50
pf51
pf52
pf53
pf54
pf55
pf56
pf57
pf58

Anteprima parziale del testo

Scarica Informatica giuridica e più Esercizi in PDF di Informatica Giuridica solo su Docsity!

SOMMARIO

**22. COSA SONO GLI STANDARD ISO E QULE RUOLO SVOLGONO NELLA REGOLAMENTAZIONE TECNOLOGICA?....................................................................................................................................... 24

  1. POSSONO LE NORME GIURIDICHE ENTRARE IN CONFLITTO CON IL FUNZIONAMENTO DELLE TECNOLOGIE? QUALI SONO LE POSSIBILI CONSEGUENZE?....................................................................... 24
  2. FAI UN ESEMPIO DI UNA NORMA GIURIDICA CHE HA RESO INEFFICIENTE O HA PEGGIORATO IL FUNZIONAMENTO DI UNA TECNOLOGIA................................................................................................. 25
  3. QUALI SONO I RISCHI PER L’INNOVAZIONE DERIVANTI DA UNA REGOLAMENTAZIONE GIURIDICA ECCESSIVAMENTE RIGIDA O PREMATURA?............................................................................................. 26
  4. COME SI PUÒ GARANTIRE UN EQUILIBRIO TRA LA NECESSITÀ DI REGOLAMENTARE UNA NUOVA TECNOLOGIA E LA PROMOZIONE DELL’INNOVAZIONE?........................................................................... 26
  5. QUALI SONO I CRITERI PER DEFINIRE UNA TECNOLOGIA COME INNOVAZIONE?............................. 27
  6. PERCHÉ ALCUNE TECNOLOGIE, PUR ESSENDO MIGLIORI DI ALTRE, NON SI DIFFONDONO E NON DIVENTANO INNOVAZIONI?.................................................................................................................... 28
  7. COSA SIGNIFICA DIGITALIZZARE UN’INFORMAZIONE?.................................................................... 28
  8. QUALI SONO LE DIFFERENZE TRA RAPPRESENTAZIONE ANALOGICA E DIGITALE DELL’INFORMAZIONE?............................................................................................................................ 29
  9. FATE DEGLI ESEMPI DI INFORMAZIONE IN FORMATO ANALOGICO E DIGITALE............................... 30
  10. QUALI SONO LE SFIDE LEGATE ALLA CONSERVAZIONE A LUNGO TERMINE DELLE INFORMAZIONI DIGITALI?................................................................................................................................................ 31
  11. COSA SI INTENDE PER OBSOLESCENZA TECONOLOGICA E COME PUÒ INFLUENZARE L’ACCESSO ALLE INFORMAZIONI DIGITALI?....................................................................................................................... 32
  12. QUAL È L'IMPORTANZA DELLA CODIFICA DEI DATI E COME PUÒ INFLUENZARE LA LORO DURATA E ACCESSIBILITÀ?....................................................................................................................................... 32
  13. COME SI PUÒ GARANTIRE LA SICUREZZA E L'INTEGRITÀ DELLE INFORMAZIONI DIGITALI NEL TEMPO?.................................................................................................................................................. 33
  14. COME FUNZIONANO I MOTORI DI RICERCA?.................................................................................. 34
  15. COSA SONO GLI SPIDER E QUALE FUNZIONE SVOLGONO NEL MOTORE DI RICERCA?...................... 36
  16. COME I MOTORI DI RICERCA UTILIZZANO I DATI DEGLI UTENTI PER PERSONALIZZARE I RISULTATI DI RICERCA?................................................................................................................................................ 37**

61. COSA SI INTENDE PER "CONSENSO" AL TRATTAMENTO DEI DATI PERSONALI E QUALI SONO I

    1. COS’È UN ALGORITMO?.....................................................................................................................
    1. DISTINZIONE TRA ALGORITMI TRADIZIONALI E MACHINE LEARNING..................................................
    1. STRUTTURA DELLA RETE INTERNET....................................................................................................
    1. COS’È LA CRITTOGRAFIA END-TO-END................................................................................................
    1. COS’È L’INDIRIZZO IP E QUALE È LA SUA FUNZIONE IN UN’INDAGINE DI POLIZIA..............................
    1. COS’È LA PEC E QUAL È LA SUA VALIDITÀ GIURIDICA........................................................................
    1. CHE COS’È IL FREE SOFTWARE..........................................................................................................
    1. COS’È UN DATO PERSONALE............................................................................................................
    1. COS’È LA TRIADE CIA? BASTA A RENDERE SICURO UN SISTEMA?......................................................
    1. TIPOLOGIE DI ATTACCHI INFORMATICI...........................................................................................
    1. CHI SONO GLI HACKER ETICI?.........................................................................................................
    1. QUAL È L’ATTACCO INFORMATICO PIÙ DIFFUSO? PARLANE...........................................................
  • LIMITI?.................................................................................................................................................... 13. QUALI SONO I SISTEMI DI MESSAGGISTICA PIÙ DIFFUSI, COME FUNZIONANO, QUALI SONO I LORO
    1. DEFINIZIONE DI TITOLARE E DI RESPONSABILE DEL TRATTAMENTO................................................
    1. QUALI TIPOLOGIE DI FIRMA PREVEDE IL REGOLAMENTO EIDAS......................................................
    1. DIFFERENZA TRA LA FIRMA ELETTRONICA QUALIFICATA E AVANZATA............................................
    1. COSA SI INTENDE PER DUPLICATO INFORMATICO?.........................................................................
    1. IN CHE MODO LE NORME SOCIALI INFLUENZANO L’USO INIZIALE DI UNA NUOVA TECNOLOGIA?...
  • TECNOLOGIA?......................................................................................................................................... 20. QUANDO E PERCHÉ INTERVENGONO LE NORME POSITIVE IN RELAZIONE ALL’USO DI UNA
    1. QUAL È LA DIFFERENZA TRA NORME SOCIALI E NORME POSITIVE?.................................................
    1. QUALI SONO I PRINCIPI FONDAMENTALI DEL GDPR?......................................................................
    1. COSA SI INTENDE PER “BASE GIURIDICA” DEL TRATTAMENTO DEI DATI PERSONALI?.....................
    1. QUALI SONO LE BASI GIURIDICHE CHE LEGITTIMANO IL TRATTAMENTO DEI DATI PERSONALI?......
  • REQUISITI PER UN CONSENSO VALIDO?..................................................................................................
    1. QUALI SONO I DIRITTI DEGLI INTERESSATI IN RELAZIONE AL TRATTAMENTO DEI DATI PERSONALI?
    1. COSA SI INTENDE PER "DIRITTO ALL'OBLIO"?.................................................................................
    1. QUALI SONO I LIMITI AL DIRITTO ALL'OBLIO?.................................................................................
    1. COSA SI INTENDE PER "PROFILAZIONE"?........................................................................................
  • MEDIANTE PROCESSI DECISIONALI AUTOMATIZZATI?............................................................................. 66. QUALI SONO I REQUISITI PER UN TRATTAMENTO LECITO DEI DATI PERSONALI EFFETTUATO
    1. QUALI SONO I COMPITI DEL DATA PROTECTION OFFICER (DPO)?...................................................
    1. QUAL È L’OBIETTIVO DELL’AI ACT?.................................................................................................
    1. COSA SI INTENDE PER “SISTEMI DI AI” SECONDO L’AI ACT?............................................................
    1. COSA SI INTENDE PER "RISCHIO" NELL'IA ACT E COME VIENE VALUTATO?......................................
  • DEPLOYER, DISTRIBUTORE)?................................................................................................................... 71. QUALI SONO LE FIGURE COINVOLTE NELLA CATENA DI RESPONSABILITÀ DELL'IA ACT (FORNITORE,
    1. COSA SI INTENDE PER "SISTEMA DI IA AD ALTO RISCHIO"?.............................................................
    1. QUALI SONO I SETTORI IN CUI VENGONO UTILIZZATI I SISTEMI DI AI AD ALTO RISCHIO?................
    1. QUALI SONO GLI OBBLIGHI DEI FORNITORI DI SISTEMI DI IA AD ALTO RISCHIO?.............................
    1. COSA SI INTENDE PER "SISTEMA DI GESTIONE DEI RISCHI" E QUALI SONO I SUOI COMPONENTI?...
  • SISTEMI DI IA AD ALTO RISCHIO?............................................................................................................ 76. QUALI SONO I REQUISITI PER I SET DI DATI UTILIZZATI PER ADDESTRARE, CONVALIDARE E TESTARE I
    1. COSA SI INTENDE PER "TRASPARENZA" E "SPIEGABILITÀ" DEI SISTEMI DI IA?.................................
    1. COSA SI INTENDE PER "ROBUSTEZZA" E "ACCURATEZZA" DEI SISTEMI DI IA?..................................

79. COSA SI INTENDE PER "DOCUMENTO INFORMATICO" E QUALI SONO I SUOI REQUISITI DI VALIDITÀ? **81

  1. COSA SI INTENDE PER "COPIA INFORMATICA DI DOCUMENTO ANALOGICO"?................................ 81
  2. QUALI SONO LE DIFFERENZE TRA I DIVERSI TIPI DI FIRMA ELETTRONICA (FIRMA ELETTRONICA SEMPLICE, FIRMA ELETTRONICA AVANZATA, FIRMA ELETTRONICA QUALIFICATA)?................................. 82
  3. COSA SI INTENDE PER "FIRMA DIGITALE" E COME FUNZIONA?....................................................... 84
  4. COSA SI INTENDE PER "FUNZIONE DI HASH" E QUALE RUOLO SVOLGE NELLA FIRMA DIGITALE?..... 85
  5. QUALI SONO LE SFIDE NELL’ASSICURARE L’AUTENTICITÀ E L’INTEGRITÀ DEI DCUMENTI DIGITALI NEL TEMPO?.................................................................................................................................................. 86
  6. DESCRIVI UN ATTACCO DI PHISHING.............................................................................................. 87**

Algoritmi tradizionali : Risolvono problemi con regole predefinite, non si adattano ai cambiamenti.  Machine learning : Risolvono problemi basandosi sull'analisi e sull'apprendimento dai dati, e si adattano alle nuove informazioni. In breve, mentre gli algoritmi tradizionali seguono rigidamente le istruzioni fornite dal programmatore, gli algoritmi di machine learning sono in grado di evolversi e migliorare autonomamente man mano che ricevono più dati.

3. STRUTTURA DELLA RETE INTERNET a) Livello fisico La rete internet si basa su una serie di dispositivi e collegamenti fisici: cavi sottomarini (cavi di fibra ottica che collegano i continenti), collegamenti terrestri (cavi di fibra ottica, reti wireless ecc.), data center (ospitano server e data base per archiviazione dati), router e switch (instradano i pacchetti di dati lungo il percorso più efficiente) e ISP (provider di servizi internet che forniscono internet agli utenti finali). b) Livello Gerarchico

  • Backbone di internet  Queste reti sono collegate tra loro senza dipendere da altre reti e rappresentano l'infrastruttura principale per il trasporto dei dati su scala globale.
  • Provider di livello inferiore  connettono le reti di backbone con i provider locali o regionali e forniscono servizi diretti agli utenti finali. c) Protocolli e Comunicazione Internet funziona grazie a una serie di protocolli standardizzati che regolano lo scambio di informazioni tra i dispositivi.
  • Modello TCP/IP: Il modello TCP/IP è alla base della comunicazione su Internet. È composto da più livelli:
  1. Livello fisico e collegamento dati : Regola la trasmissione dei dati attraverso mezzi fisici come i cavi o il Wi-Fi.
  2. Livello rete (IP) : Responsabile dell'instradamento dei pacchetti di dati tra reti diverse tramite indirizzi IP.
  3. Livello trasporto (TCP/UDP) : Assicura che i dati vengano trasmessi in modo affidabile (TCP) o veloce (UDP).
  1. Livello applicativo : Include i protocolli per applicazioni come HTTP (web), SMTP (email), FTP (trasferimento file).
  • Sistema DNS (Domain Name System): Il DNS è il motore di ricerca della rete: converte i nomi di dominio leggibili (es. www.google.com) in indirizzi IP numerici, rendendo più facile la navigazione per gli utenti). Indirizzo IP L'indirizzo IP è una quaterna di terne di numeri basata sul protocollo IPv4 (che probabilmente in futuro sarà sostituito dal protocollo IPv6, ma cui logica di funzionamento è la medesima. I numeri sono compresi tra 0 e 255 (ossia sono 256, 2 all'ottava) e sono separati da punti. L'indirizzo IP identifica in modo univoco ogni device collegato ad Internet. E l'indirizzo del client a cui il server invia le informazioni richieste. Si immagini il server come una biblioteca che spedisce i libri a casa dei lettori. Il lettore per richiedere un libro deve inviare la richiesta alla biblioteca; la richiesta deve contenere le indicazioni necessarie a individuare il libro e l'indirizzo al quale il libro deve essere spedito. L'indirizzo IP ha le medesime funzioni dell'indirizzo di casa del lettore: individua in maniera univoca dove le informazioni devono essere inviate. d) Punti di Scambio Internet (IXP) Sono luoghi fisici dove diversi provider di rete si connettono tra loro per scambiare traffico di dati. Gli IXP riducono i costi di transito e migliorano l’efficienza della rete. e) Reti Periferiche - Reti locali (LAN): sono reti private, come quelle domestiche o aziendali, che si connettono a internet attraverso un ISP; - Reti geografiche (WAN): collegano più reti locali su grandi distanze (es. reti aziendali internazionali); - Reti mobili: Le reti cellulari (3G, 4G, 5G) permettono di connettere i dispositivi mobili a internet. f) Sicurezza e Controllo - Firewall e sistemi di sicurezza: Regolano e proteggono il traffico dati in entrata e in uscita da reti private. - Organizzazioni di gestione: entità come ICANN e IANA gestiscono la distribuzione degli indirizzi IP e dei nomi di dominio.

5. COS’È L’INDIRIZZO IP E QUALE È LA SUA FUNZIONE IN UN’INDAGINE DI

POLIZIA

L'indirizzo IP è una quaterna di terne di numeri basata sul protocollo IPv4 (che probabilmente in futuro sarà sostituito dal protocollo IPv6, ma cui logica di funzionamento è la medesima, con la differenza che questo nuovo protocollo sarà composto da otto gruppi di quartine in esadecimale divise da i due punti). I numeri sono compresi tra 0 e 255 (ossia sono 256, 2 all'ottava) e sono separati da punti. L'indirizzo IP identifica in modo univoco ogni device collegato ad Internet. E l'indirizzo del client a cui il server invia le informazioni richieste. Si immagini il server come una biblioteca che spedisce i libri a casa dei lettori. Il lettore per richiedere un libro deve inviare la richiesta alla biblioteca; la richiesta deve contenere le indicazioni necessarie a individuare il libro e l'indirizzo al quale il libro deve essere spedito. L'indirizzo IP ha le medesime funzioni dell'indirizzo di casa del lettore: individua in maniera univoca dove le informazioni devono essere inviate. L’indirizzo IP può essere privato (usato per identificare dispositivi all’interno di una rete locale), pubblico (usato per identificare un dispositivo su internet), statico (non cambia mai e viene assegnato dal provider o impostato manualmente), dinamico (assegnato automaticamente da un server DHCP – dynamic host configuration protocol- e può cambiare). L'indirizzo IP è uno strumento fondamentale nelle indagini di polizia relative a reati informatici o altre attività illecite online. Consente di identificare e tracciare dispositivi collegati a specifiche azioni compiute su Internet. Ogni volta che un dispositivo accede a internet, viene associato a un indirizzo IP (pubblico) assegnato dall’ISP. Grazie a questa prima fase si può capire quale connessione a internet è stata usata in un determinato momento. Un indirizzo IP può rilevare l’area geografica da cui è stata effettuata la connessione (non precisione a livello di casa ma di località o regione). Le forze dell’ordine possono richiedere al provider di fornire il nome del client al quale era assegnato quell’IP in quel momento (gli ISP tengono registrate tutte queste informazioni). L’IP può essere utilizzato come prova tecnica per dimostrare che una certa attività online è stata svolta da una connessione internet specifica, in combinazione con altre prove, può contribuire a costruire un caso. Le forze dell’ordine potrebbero incontrare dei limiti nello specifico a causa di indirizzi IP dinamici (in questo caso è necessario sapere con esattezza quando è avvenuto il presunto reato), reti pubbliche o condivise (è difficile identificare il dispositivo specifico che ha compito l’azione), uso di VPN o proxy (per mascherare per mascherare il proprio indirizzo IP – delle volte le autorità possono collaborare con i fornitori di VPN), gli indirizzi IPv6 (essendo tecnologie nuove possono far presentare sfide tecniche più complesse).

6. COS’È LA PEC E QUAL È LA SUA VALIDITÀ GIURIDICA La Posta Elettronica Certificata (PEC) è un sistema di comunicazione digitale legalmente riconosciuto in Italia e in altri paesi, che garantisce validità giuridica alle email inviate e ricevute. È utilizzata per inviare documenti e comunicazioni con lo stesso valore legale di una raccomandata con ricevuta di ritorno (AR), purché venga usata da mittente e destinatario entrambi dotati di PEC.

Ha tre caratteristiche principali: tracciabilità (ogni email inviata tramite PEC generano ricevute che certificano la spedizione e la consegna al destinatario), Conferma di integrità (garantisce che il contenuto dei messaggi e degli allegati non sia stato alterato durante la trasmissione), autenticità del mittente (il mittente è identificato in modo univoco). Nello specifico, il mittente invia un messaggio tramite il proprio account PEC, il messaggio viene trasmesso al gestore PEC del mittente, che verifica e firma digitalmente il messaggio per garantire l’autenticità, il gestore PEC del destinatario riceve il messaggio e genera una ricevuta di consegna, confermando che il messaggio è stato recapitato alla casella PEC del destinatario. Il mittente riceve due ricevute, una detta ricevuta di accettazione la quale conferma che il messaggio è stato preso in incarico dal gestore del mittente e una che si chiama ricevuta di consegna la quale conferma che il messaggio è stato consegnato al gestore PEC del destinatario. Per quanto riguarda il suo valore legale, una mail PEC ha lo stesso valore legale di una raccomandata con ricevuta di ritorno, le ricevute di accettazione e di consegna equivalgono rispettivamente al timbro postale e alla ricevuta di consegna. Inoltre la PEC certifica la data e l’ora d’invio e consegna del messaggio (utile per rispettare scadenze legali). Le ricevute PEC possono essere presentate come prova in tribunale per dimostrare l’invio e la ricezione di una comunicazione. In conclusione in vantaggi sostanzia della posta elettronica certificata sono: la sicurezza (garantisce integrità di messaggio e allegati e riduce il rischio di frodi attraverso modifica del messaggio), risparmio tempo e denaro (si risparmia il tempo e il denaro necessari per inviare una raccomandata con ricevuta di ritorno), valore probatorio (può essere portata come prova in tribunale in caso di controversie), accessibilità (è possibile inviare e ricevere da qualsiasi dispositivo connesso a internet).

7. CHE COS’È IL FREE SOFTWARE Il free software (in italiano, "software libero") è un software che garantisce agli utenti la libertà di utilizzare, studiare, modificare e condividere il programma senza restrizioni significative. Questo concetto è legato più alla libertà dell'utente che al costo economico del software. Infatti, il termine "free" si riferisce a libertà (libertà d'uso) e non necessariamente a gratuità (anche se spesso il software libero è gratuito). Il software è considerato libero se soddisfa queste 4 caratteristiche: libertà di eseguire il programma per qualsiasi scopo , libertà di studiare come funziona il programma e modificarlo (mette a disposizione il codice sorgente), libertà di ridistribuire copie del software , libertà di distribuire versioni modificate del programma. Gli anni 80’ conosciuti come gli anni di Microsoft, generano due principali avversaria della concezione di software di Bill Gates, uno tra questi fu Richard Stallman. Richard Stallman - uomo chiave nella storia del Software → il più bravo programmatore della sua generazione. Nella fine degli anni settanta e nei primi anni ottanta, le aziende iniziarono a imporre restrizioni ai loro programmatori attraverso il copyright. Ciò accadeva in quanto le aziende volevano trarre profitto dal software proprietario. Stallman sosteneva che il codice sorgente dei programmi dovesse restare libero , non aperto ma libero. Questo significa che doveva essere accessibile a tutti

Nello specifico, per quanto riguarda i dati personali particolari o sensibili: si considerano i dati personali come l’origine razziale, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale dell’interessato, nonché: dati genetici (ereditati o acquisiti, ottenuti tramite analisi di DNA o RNA da un campione biologico della persona fisica in questione), dati biometrici (come immagine facciale, grazie alla quale è possibile indentificare una ed una sola persona fisica, quelli più utilizzati sono i dati facciali e delle impronte, in realtà questi sistemi di sicurezza sono “facilmente” violabili), dati sulla salute (sia fisica che mentale, passata, presente e futura, ma anche info su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale ad esempio un medico), dati personali relativi a condanne penali (il trattamento dei dati personali relativi a reati o condanne deve avvenire sotto il controllo dell’autorità pubblica o se è autorizzato dall’UE). Il GDPR inoltre prevede, oltre al trattamento “generico” dei dati particolari, il trattamento delle categorie particolari di dati personali (articolo 9).

9. COS’È LA TRIADE CIA? BASTA A RENDERE SICURO UN SISTEMA? Nella comunità della sicurezza dell’informazione “CIA” sta per: C onfidentiality (riservatezza), I ntegrativity (integrità), A vailability (disponibilità/accesibilità). L’insieme di questi tre principi costituiscono la pietra angolare dell'infrastruttura di sicurezza di qualsiasi organizzazione; infatti, dovrebbero funzionare come traguardi e obiettivi per ogni programma di sicurezza. Ogni volta che qualcuno subisce un attacco online uno o più di questi principi vengono violati. Riservatezza  È fondamentale nel mondo di oggi che le persone proteggano le proprie informazioni sensibili e private da accessi non autorizzati. La protezione della riservatezza dipende dalla capacità di definire e applicare determinati livelli di accesso alle informazioni. In alcuni casi, ciòT comporta la separazione delle informazioni in varie raccolte organizzate in base a chi ha bisogno di accedere alle informazioni. Alcuni dei mezzi piùT comuni utilizzati per gestire la riservatezza includono elenchi di controllo degli accessi e crittografia. Integrità  L'integrità dei dati è un componente essenziale della triade. Significa che poter proteggere i dati dalla cancellazione o modifica da parte di qualsiasi parte non autorizzata, e garantisce che quando una persona autorizzata apporta una modifica che non avrebbe dovuto essere apportata, il danno può essere ripristinato. Disponibilità/accessibilità  Si riferisce all'effettiva disponibilità dei dati. I meccanismi di autenticazione, i canali di accesso e i sistemi devono funzionare correttamente per le informazioni che proteggono e garantire che siano disponibili quando necessario. I sistemi ad alta disponibilità sono le risorse di elaborazione che dispongono di architetture progettate specificamente per migliorare la disponibilità. La triade CIA è un modello concettuale che copre aspetti cruciali, ma non tiene conto di altri elementi fondamentali della sicurezza dei sistemi. Di seguito alcune lacune che evidenziano la necessità di ulteriori misure: mancanza di considerazione per la sicurezza fisica (exp. Attaccante che ha accesso fisico a un server), non considera il fattore (spesso problemi di sicurezza informatica sono causati al 70% da errori umani e non dalla sicurezza dei sistemi in se), assenza di gestione delle vulnerabilità (exp. Le vulnerabilità zero-day e mancati aggiornamenti di sicurezza), non include

monitoraggio e risposta agli incidenti (exp. Monitoraggio del file LOG), esclusione della conformità normativa (non si occupa di regolamenti o leggi che un sistema potrebbe essere obbligato a rispettare), minacce emergenti (exp. La triade non tiene conto delle minacce legate a nuove tecnologie con l’AI). La triade CIA è il pilastro fondamentale della sicurezza informatica, ma da sola non basta a rendere sicuro un sistema. Deve essere combinata con approcci avanzati, strumenti specifici e una gestione efficace del rischio per affrontare le sfide moderne. La sicurezza è un processo continuo e multilivello, che richiede aggiornamenti costanti e un'attenzione particolare alle nuove minacce e tecnologie.

10. TIPOLOGIE DI ATTACCHI INFORMATICI Come sottolinea Schneier nelle sue opere, il problema della sicurezza informatica è sì un problema tecnologico, ma è soprattutto umano. Il 70% degli errori dei sistemi informatici, infatti, sono dovuti all’intervento umano, voluto e non. “Conosci il nemico come conosci te stesso” Un attacco informatico è qualsiasi azione intenzionale che ha lo scopo di rubare, esporre, alterare, disabilitare o distruggere dati, applicazioni o altri asset tramite l'accesso non autorizzato a una rete, un sistema informatico o un dispositivo digitale. Esistono una serie di attacchi informatici:

  1. Attacchi DDOS (Distributed Denial of Service)  Provocano l’interruzione di un servizio online. Le vittime di questo tipo di attacchi sono quindi i fornitori e non i singoli utenti, che vengono però coinvolti nell'attuazione dell'attacco stesso. Per interrompere un servizio, infatti, gli hacker sfruttano delle vulnerabilità presenti nei dispositivi degli utenti per installarvi dei programmi che inviano un numero molto alto di richieste ai server. Colpiti da un traffico troppo elevato, i server vengono spenti, interrompendo così il servizio in questione. I meccanismi di difesa sono due: i singoli utenti devono fare il possibile per impedire che un hacker abbia accesso ai dispositivi, mentre i fornitori di servizi devono fare affidamento su apposite funzionalità di sicurezza che possono essere attivate sui server.
  2. Malware-based phishing  Con malware si indica un programma che viene installato su un computer, generalmente all'insaputa dell'utente, con l' obiettivo di renderlo vulnerabile ad altri attacchi. Per cercare di prevenire l'installazione di questo tipo di software, è buona norma avere sempre attivo sul proprio computer un buon antivirus con funzionalità anti- malware ed effettuare regolarmente delle scansioni. Tra i sistemi Malware più diffusi abbiamo:
  • Ransomware : Funzionamento semplice ma dalle conseguenze molto gravi. Una volta installato, viene utilizzato un sistema di crittografia asimmetrico per crittografare il mio computer. Fisicamente i dati restano sul computer/telefono. Il ransomware blocca completamente il sistema operativo dell'utente, mostrando una schermata in cui viene richiesto il pagamento di un “riscatto” (in inglese ransom). Tuttavia, anche in caso di pagamento, che di solito avviene tramite l'invio anonimo di Bitcoin, non si ha
  1. System reconfiguration attacks  Si modificano le impostazioni di PC di un utente. Per esempio gli URL in un file preferiti possono essere modificati per indirizzare gli utenti a siti web simili. ESEMPIO: un sito web URL di una banca può essere modificato da "bancafabc.com" a "bancofabc.com" senza che l’utente se ne renda conto.
  2. Host file poisoning  il file host è un file di sistema che associa manualmente nomi di dominio (www.google.com) a indirizzi IP specifici, l’attaccante modifica il file hosts per far si che un dominio legittimo punti a un indirizzo IP controllato da lui. Quindi l’utente digitando il nome del sito che deve raggiungere, viene reindirizzato su un sito fasullo.
  3. DNS-based phishing (pharming)  funziona come l’hosts file poisoning con la differenza che compromette il server DNS o le sue impostazioni, indirizzando l’utente a un sito falso con IP malevolo.
  4. Content-injection  Descrive la situazione in cui l’attaccante sostituisce parte del contenuto di un sito legittimo con un contenuto progettato per ingannare l'utente, in modo che ceda spontaneamente le sue informazioni.
  5. Man in the middle  l’hacker si posiziona tra l'utente e server che si vuole raggiungere. L’attaccante registra le informazioni che transitano tra il server e il client che li richiede, ma senza interrompere la trasmissione in modo che l’attaccato non si accorga di nulla. Quanto l’utente non è più attivo si possono vendere o utilizzare le informazioni o le credenziali raccolte.
  6. Defacing  Il " defacing " (in italiano, "sfregiare") è un attacco con il quale gli attaccanti modificano il contenuto di una o più pagine di un sito web. Il defacing viene praticato con differenti obiettivi: propagandare ideali o lanciare messaggi politici; truffare gli utenti del sito presentandogli falsi avvisi riguardo il rinnovamento di tariffe a pagamento per usufruire ancora del servizio fornito;
  7. Search engine phishing  Si verifica quando i phisher creano siti web con convenienti (spesso troppo convenienti) offerte e indicizzano legittimamente con i motori di ricerca. Gli utenti trovano i siti nel normale corso della ricerca di prodotti o servizi e sono indotti a inserire le loro informazioni alla loro informazione. Mitnick, il primo e più famoso hacker catturato negli anni 90’ nelle sue opere, ci fa degli esempi di come il phishing potrebbe essere messo in atto: eccessivi sistemi di sicurezza possono essere controproducenti (exp. Psw del pc del lavoro che cambia ogni 3 gg, i dipendenti per ricordarla devono scriverla sul post-it vicino al computer), la minaccia di qualcosa può indurre nella divulgazione dei dati (exp. Rettrice unimib che si incontra con rettore di bergamo e segretaria di bergamo che chiama segretaria unimib chiedendo psw di rettrice unimib e dicendole che rettrice unmib è molto incazzata se segretaria unimib non da psw di rettrice a segretaria bg). 11. CHI SONO GLI HACKER ETICI? Quasi tutti, quando pensano agli hacker, immaginano un “brutto ragazzo brufoloso, nerd e solo”, rinchiuso in uno scantinato buio e circondato da decine di monitor mentre cerca di accedere al sistema informatico di una banca e rubare milioni di euro. Questa associazione mentale è la sfortunata conseguenza di molti film famosi e un uso improprio della parola, in parte inconsapevole e in parte strumentalizzato da governi e media per creare un’immagine negativa degli hacker. I veri hacker, però, sono persone dotate di ottime capacità informatiche le quali non hanno cattive intenzioni. Vanno in giro per la rete per cercare vulnerabilità, vulnerabilità che però non rendono pubbliche! Avvertono i creatori dei sistemi che hanno hackerato in modo che si possa sistemare, “mettere una toppa”, a questo buco.

Questi sono gli hacker etici, che seguono una serie di principi etici personali, mettendo le proprie capacità al servizio di altre entità o persone. Gli hacker etici possono aiutare gli sviluppatori di un sistema a mettere in luce gli 0-day. 0-day (o zero-day), in informatica, è una qualsiasi vulnerabilità non espressamente nota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico; definisce anche il programma - detto "exploit" - che sfrutta questa vulnerabilità informatica per consentire l'esecuzione anche parziale di azioni non normalmente permesse da chi ha progettato il sistema in questione. Vengono chiamati 0-day proprio perché sono passati zero giorni da quando la vulnerabilità è stata conosciuta dallo sviluppatore e quindi lo sviluppatore ha "zero giorni" per riparare la falla nel programma prima che qualcuno possa scrivere un exploit per essa. Il fatto che io entri in un sistema con buone intenzioni, però, non esime da responsabilità penali. Il solo accesso abusivo ad un sistema informatico, anche se eseguito con le migliori intenzioni, è di per sé perseguibile penalmente. Nel 2017, Luigi Gubello, studente di matematica noto con lo pseudonimo di Evariste Galois, scopre una serie di vulnerabilità nel sistema Rousseau, piattaforma di voto online utilizzata dal Movimento 5 Stelle, che il M5S all’epoca chiamava il “sistema operativo della democrazia”. L’hacker aveva effettivamente avvisato i gestori della piattaforma delle vulnerabilità da lui individuate; non viene ascoltato dai sistemisti di questa piattaforma. Lui pubblica i risultati, come conseguenza, ma si dimentica di mettersi dietro un Firewall quando accede al sistema. Se non ci si mette dietro un Firewall il sistema viene a sapere immediatamente l’indirizzo IP, e si riesce così a risalire a lui, vedendolo poi coinvolto in un processo.

12. QUAL È L’ATTACCO INFORMATICO PIÙ DIFFUSO? PARLANE L’attacco informatico più diffuso è il phishing. Il termine phishing deriva dalla parola inglese “fishing” (pescare) e l’idea è proprio quella di “pescare” vittime nel vasto mare del web. Con questo termine si indica una truffa informatica realizzata a danno di un utente, con l'obiettivo di impossessarsi di informazioni personali e sensibili, come le credenziali di accesso ad account di servizi online. In particolare, i malintenzionati sono interessati ad accedere a e-mail personali e conti bancari. Questo tipo di attacco si basa interamente sull'ingenuità e sulla buona fede dell'utente; è un attacco che si basa proprio sulla vulnerabilità umana. Gli hacker preparano infatti delle pagine Web che replicano perfettamente i portali a cui l'utente è iscritto e, tramite un link inviato per messaggio o per e-mail, richiedono l'inserimento di nome utente e password (al giorno girano miliardi di email). Un utente poco attento potrebbe non accorgersi della differenza e inserire le proprie informazioni, mettendole così in mano ai malintenzionati. Per evitare questo problema, un utente deve sempre assicurarsi di inserire le proprie credenziali di accesso soltanto nei siti ufficiali dei vari servizi. Non bisognerebbe mai cliccare sui link inviati per posta ma aprire direttamente le reali pagine di accesso. Sarebbe utile anche attivare una autenticazione a 2 fattori in quanto riduce notevolmente l’efficacia del furto di credenziali. Può essere una soluzione anche usare un buon servizio di VPN, in grado di bloccare in automatico pagine sospette. Esistono due tipologie di phishing: a strascico (prendo e mando un milione di mail e spero che qualcuno abbocchi), spearphishing (non è un attacco casuale nella speranza che abbocchi un qualsiasi individuo, bensì un attacco studiato, l’attaccato a volte viene studiato per mesi).

sicurezza). 1) Non bisogna fidarsi degli algoritmi, la precisione degli algoritmi è difficilmente stimabile 2) La risposta a un problema non è mai solo di carattere tecnologico. Bloccare questo sistema di messaggistica significa bloccare anche tutte le comunicazioni illecite, che sono di più rispetto alle comunicazioni illecite, ma così facendo si vieta il diritto dell’espressione.

14. DEFINIZIONE DI TITOLARE E DI RESPONSABILE DEL TRATTAMENTO. L’esatta definizione di titolare del trattamento e di responsabile del trattamento, le possiamo trovare all’interno del CAPO I (disposizioni generali), ARTICOLO 4 (definizioni), del GDPR (Regolamento per la protezione dei dati). Il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. I suoi compiti principali sono: garantire che il trattamento dei dati sia conforme al GDPR, informare la persona interessata sul trattamento dei suoi dati, adottare misure adeguate a proteggere i dati personali, nominare il responsabile del trattamento tramite contratto. Il Responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. I suoi compiti principali sono: garantire che il trattamento dei dati avvenga nel rispetto delle istruzioni fornite dal titolare e delle disposizioni del GDPR, implementare adeguate misure di sicurezza per proteggere i dati personali, collaborare con il titolare per garantire il rispetto degli obblighi normativi e non su-delegare il trattamento senza il consenso scritto del titolare. ESEMPIO : all’università Bicocca sono Google, Microsoft e la BPSO. Il responsabile del trattamento è qualcuno esterno all’organizzazione del titolare. Quelli che lavorano in bicocca sono interni e sono incaricati dei dati personali, ma mai responsabili. 15. QUALI TIPOLOGIE DI FIRMA PREVEDE IL REGOLAMENTO eIDAS La firma elettronica è l’equivalente elettronico della firma autografa (olografa, strettamente connessa a me). Il Regolamento eIDAS disciplina tre tipologie di firme elettroniche:

  • Firma elettronica  insieme di dati in forma elettronica utilizzati per identificare una persona e confermare la sua intenzione di firmare un documento o autorizzare un'azione digitale. Non è necessariamente una rappresentazione grafica della firma autografa, ma può includere altri metodi di identificazione, come codici PIN, impronte digitali, o certificati digitali. - Firma elettronica avanzata (FEA)  tendenzialmente utilizzata per sottoscrivere documenti della P.A. La definizione è la medesima della firma elettronica, con la differenza che per essere avanzata soddisfa i seguenti requisiti : è connessa unicamente al firmatario, è idonea a identificare il firmatario, è creata mediante numeri/dati per la creazione di una

firma elettronica che il firmatario può (con un elevato livello di sicurezza) utilizzare sotto il proprio esclusivo controllo , è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. (exp. CIE o tessera sanitaria).

- Firma elettronica qualificata (FEQ)  Firma che oltre alle caratteristiche della FEA ha queste altre caratteristiche: creata su dispositivo qualificato per la creazione di una firma elettronica, è basta su certificato elettronico qualificato, ha effetto giuridico equivalente a quello di una firma autografa (exp. Un file sottoscritto con la FEQ soddisfa il requisito ad substantiam necessaria per determinate tipologie di contratto). Dal punto di vista tecnico firma elettronica avanzata e firma elettronica qualificata sono la stessa cosa, con la differenza che la creazione di quella qualificata è realizzata mediante certificato qualificato - Firma elettronica digitale  La firma elettronica digitale è una tipologia di firma elettronica avanzata che utilizza la crittografia asimmetrica per garantire l'integrità, l'autenticità e la non ripudiabilità dei documenti elettronici. - Firma grafometrica  Si basa sull’acquisizione di dati biometrici legati al gesto della firma , effettuata su dispositivi digitali come tablet o firme Pad (molto utilizzata in ambito bancario). Quando si firma un documento con questa tipologia, il dispositivo registra l’aspetto grafico della firma ma anche velocità, pressione e angolo di inclinazione. Le firme elettroniche hanno degli effetti giuridici. Il Regolamento stabilisce la non discriminazione dei documenti elettronici rispetto ai documenti cartacei. Alla firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti delle firme elettroniche qualificate → la validità è lasciata al libero convincimento del giudice. 16. DIFFERENZA TRA LA FIRMA ELETTRONICA QUALIFICATA E AVANZATA Firma elettronica avanzata (FEA)  tendenzialmente utilizzata per sottoscrivere documenti della P.A. La definizione è la medesima della firma elettronica, con la differenza che per essere avanzata soddisfa i seguenti requisiti : è connessa unicamente al firmatario, è idonea a identificare il firmatario, è creata mediante numeri/dati per la creazione di una firma elettronica che il firmatario può (con un elevato livello di sicurezza) utilizzare sotto il proprio esclusivo controllo , è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. (exp. CIE o tessera sanitaria). Firma elettronica qualificata (FEQ)  Firma che oltre alle caratteristiche della FEA ha queste altre caratteristiche: creata su dispositivo qualificato per la creazione di una firma elettronica, è basta su certificato elettronico qualificato, ha effetto giuridico equivalente a quello di una firma autografa (exp. Un file sottoscritto con la FEQ soddisfa il requisito ad substantiam necessaria per determinate tipologie di contratto). La differenza sostanziale tra queste due firme è solo in merito alla validità giuridica :