Cyber Threat1 & Risk Mitigation: strategie di gestione del rischio digitale.
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
G iuseppe S erafini G. S.
A vvocato L. F.
Cyber Threat1 & Risk Mitigation: strategie di gestione del rischio
digitale.
Il tema della pianificazione di soluzioni e strategie di mitigazione del rischio
digitale, che si caratterizza per esprimere, da uno specifico ambito visuale,
quello del c.d. Risk Management, un contesto multidisciplinare, nel quale
collocare, una serie di tematiche, tra loro interrelate, al pari di quanto e'
trasversale l'informatica, nelle attivitá imprenditoriali e non solo, nel nostro
tempo, puó essere considerato, ad avviso di chi scrive, da almeno due punti di
vista tra di loro interdipendenti.
Il primo, basato su di un approccio tecnico-normativo alla materia, con ció
facendosi riferimento, in senso ampio, a quella specifica normazione, che
definiremo ad adesione volontaria, ma sempre piú importante nella vita
quotidiana delle imprese 2, posta in essere, con efficacia variabile da una serie
di enti, sovranazionali e non (ad esempio gli standard PCI DSS 3 - NIST 800-
30, NIST 800-39 - ISO/IEC 27001:2013), il secondo, invece, é quello
implicato dalla normazione, questa volta, vincolante ex lege, vigente in
materia di digitalizzazione dei beni e dei rapporti relativi agli asset aziendali.
Con l'espressione digitalizzazione dei beni e dei rapporti, che ci sembra
opportuno chiarire, in quanto cardine, secondo chi scrive, della comprensione
dei fenomeni economico-giuridici che si intendono esaminare nelle pagine
che seguono, ci si riferisce a quel fenomeno, derivato dal piú generale
fenomeno della c.d. convergenza digitale, per il quale, lo strumento
elettronico di elaborazione, cessa di avere una funzione meramente ancillare
rispetto alla costituzione, modificazione od estinzione di determinate
situazioni giuridiche soggettive, per assurgere al ruolo di vero e proprio
elemento costitutivo della situazione giuridica soggettiva stessa.
1. - Cfr. Verizon Data Breach Investigation Report 2015. - 79.790 incidenti, 2.122 data
breaches confermati, in 61 paesi del mondo, con una predominanza di casi (i due terzi)
localizzati negli USA, sono questi i numeri su cui si basa l’analisi del Data Breach
Investigations Report (DBIR) di Verizon per il 2015, undicesima versione appena pubblicata
del più noto studio del settore della cybersecurity, basato sul contributo informativo di oltre
70 organizzazioni tra service providers, società di IR/forensic, Computer Security
Information Response Teams internazionali, enti governativi e ora anche numerosi player
della security industry.
2. - In base a quanto prescritto dalla Circ. (AgID) Agenzia per l’Italia Digitale, N. 65 del 10
aprile 2014, Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che
svolgono attività di conservazione dei documenti informatici di cui all'articolo 44-bis,
comma 1, del decreto legislativo 7 marzo 2005, n. 82, (in G.U. n. 89 del 16 aprile 2014), la
facoltá di poter erogare, in favore della Pubblica Amministrazione prestazioni di
archiviazione documentale, rilevanti ai fini delle vigenti disposizioni di legge in materia di
archiviazione sostitutiva é condizionata al possesso, da parte del fornitore, di apposita
certificazione UNI EN ISO 27001:2013.
3. - PCI-DSS (Payment Card Industry – Data Security Standard) é lo standard di sicurezza
cui occorre attenersi, con diversi livelli di intensitá, sulla base di specifiche previsioni
contrattuali, di volta in volta stipulate tra i soggetti coinvolti nelle relative attivitá, ogni volta
che vengono effettuate operazioni che implicano, la memorizzazione (anche temporanea)
ovvero la trasmissione d specifici dati relativi a pagamenti effettuati con carte di credito.
Via S. Apollinare n. 1 - C.P. 151 06012 - Città di Castello (PG).
Tel. 075.4652093 - Fax. 178 2213120 1/7
E - mail: giuseppe.serafini@ordineavvocati.perugia.it – giuseppe.serafini@avvocatiperugiapec.it
P. IVA. 01929710547 - C. F. SRF GPP 71 L 20 B963 WG iuseppe S erafini G. S.
A vvocato L. F.
Per fare degli esempi di immediata comprensione, si pensi, da un lato, sotto il
profilo della digitalizzazione dei rapporti, al fatto che, con l'introduzione,
normativa e tecnologica, delle procedure che afferiscono al c.d. processo
civile telematico (P.C.T.), lo stesso esercizio dello jus postulandi, tipico dello
svolgimento della professione forense, é del tutto condizionato alla
disponibilitá di determinati strumenti tecnologici (firma digitale, redattore atti
e casella di posta elettronica certificata) e, dall'altro, sotto il profilo della
digitalizzazione e dei beni, al fatto che, ormai la stessa creazione di valore
(nel senso di “cosa” suscettibile di valutazione economica) avviene,
nell'ambito delle c.d. criptomonete, bitcoin 4 su tutte, esclusivamente grazie ad
elaborazione di specifiche stringhe crittografiche da parte di strumenti
elettronici di elaborazione a ció preposti.
Logiche conseguenze dell'assetto sin qui delineato, appaiono quindi essere,
dal punto di vista di chi scrive, le due osservazioni che seguono, e cioé: in
primo luogo, che gli strumenti elettronici di elaborazione possono essere, sia
oggetto passivo di una condotta illecita, sia strumenti attraverso la quale essa
é realizzata e, in quest'ultimo caso, possono essere impiegati, sia per
commettere c.d. illeciti comuni, sia per commettere i crimini c.d. informatici
ed in secondo luogo che, in considerazione del fatto che, sempre piú spesso,
la “prova” di un fatto é contenuta in un sistema elettronico di elaborazione in
forma di “registrazione” di circostanze relative alla sua verificazione, vi é,
l'esigenza, per finalitá di, certezza dei rapporti, dimostrazione di
adempimento a norme di legge, prevenzione, accertamento di reati e
punizione dei colpevoli, da una parte, di generare ed individuare tali
registrazioni e, dall'atra, di acquisire, analizzare, conservare e presentare dette
registrazioni ad un giudice, in forma di “elementi di prova o prove” 5.
Diventa a questo punto evidente, la molteplice valenza delle disposizioni
normative, nella accezione più ampia del termine, in materia di sicurezza
delle informazioni, intesa questa come la scienza che, attraverso la
configurazione di specifiche soluzioni fisiche logiche ed organizzative ha
l'obiettivo di generare informazioni riservate, integre e disponibili.
4. - Amplius in “Il bitcoin entra nell'età dell'oro: nasce la criptovaluta garantita da riserve
aurifere”. P. Soldavini in Il Sole 24 ore del 07.05.2014 in www.ilsole24ore.com, sito
consultato e verificato in data 22 maggio 2015.
5. - In questo contesto, si é affermata tra le discipline processuali, di maggiore rilevanza, la
digital forensics o informatica forense, definita come segue: ““The use of scientifically
derived and proven methods toward the preservation, collection, validation, identification,
analysis, interpretation, documentation and presentation of digital evidence derived from
digital sources for the purpose of facilitating or furthering the reconstruction of events found
to be criminal, or helping to anticipate unauthorized actions shown to be disruptive to
planned operations”. DFRWS (Digital Forensics Research Conference) TECHNICAL
REPORT: ”A Road Map for Digital Forensic ” Cfr. anche: ISO/IEC 27001:2013 - Annex A
control A.16.1.7 Collection of evidence: “The organization shall define and apply procedures
for the identification, collection, acquisition and preservation of information, which can
serve as evidence; ISO/IEC 27037:2012 - Information technology - Security techniques -
Guidelines for identification, collection, acquisition and preservation of digital evidence; PCI
DSS V. 3.0. Req. A.1.4 Enable processes to provide for timely forensic investigation in the
event of a compromise to any hosted merchant or service provider.
Via S. Apollinare n. 1 - C.P. 151 06012 - Città di Castello (PG).
Tel. 075.4652093 - Fax. 178 2213120 2/7
E - mail: giuseppe.serafini@ordineavvocati.perugia.it – giuseppe.serafini@avvocatiperugiapec.it
P. IVA. 01929710547 - C. F. SRF GPP 71 L 20 B963 WG iuseppe S erafini G. S.
A vvocato L. F.
In altre parole, sembra coerente con quanto specificato da ultimo, da un lato,
che è fondamentale, proteggere i propri asset informativi dall'operato di terzi,
e, dall'altro, che è altrettanto fondamentale, in una logica pro attiva, di
gestione del proprio patrimonio informativo, che, dal medesimo, promanino
contenuti (i.e. evidenze, che possano divenire prove all'occorrenza)
pienamente e legittimamente utilizzabili a dimostrare, in primo luogo, la
conformità dell'organizzazione con norme imperative, in secondo luogo,
l'adempimento dell'organizzazione stessa a vincoli contrattuali ed infine, ma
non per ultimo, in terzo luogo, sia l'estraneità dell'organizzazione ad illeciti,
sia le modalità, attraverso cui detti illeciti siano stati perpetrati, invece, in
danno della organizzazione stessa.
Un ambito molto rilevante ed attuale ove trovano puntuale applicazione le
considerazioni sopra svolte, é rappresentato, in particolare, con riferimento
specifico al tema dei c.d. Computer Crime, dall'art. 24 bis del D.Lgs.
231/2001 in materia di responsabilitá amministrativa degli enti.
Ebbene, con riferimento a questa norma, nel contesto sin qui descritto, ci
sembrerebbe corretto un approccio che muova dalla analisi delle seguenti
questioni:
(a). - puó dirsi adottato ed efficacemente attuato, con riferimento alla
commissione di reati (presupposto) informatici, un modello organizzativo di
gestione e controllo che sia del tutto estraneo a standard di gestione di
sistema della sicurezza delle informazioni?
e (b). - Come si dovrà procedere, quindi, per prevenire accertare e
documentare la violazione del modello organizzativo da parte di uno dei
soggetti indicati dalla legge, se la condotta del “reato presupposto”, realizzata
dall'autore del crimine, si esprime attraverso strumenti elettronici di
elaborazione o integra gli estremi di un reato informatico?
Per semplificare molto, il concetto che sopra si è declinato, può rincorrersi
alla seguente formulazione, la sicurezza, come sopra descritta, di un sistema
di gestione delle informazioni aziendale, conduce alla possibilità del loro
impiego (utilizzabilità processuale, per usare un’ espressione attinta dal
lessico processual-penalistico, oltre ogni ragionevole dubbio) in termini di
prova (per tale via quindi sicurezza è uguale a prova6); ciò perché un sistema
informativo sicuro, restituirà evidenze (digitali) disponibili, riservate ed
integre.
6. - F. Cajani - Il vaglio dibattimentale della digital evidence - In Archivio Penale, settembre-
dicembre 2013 fascicolo 3 anno LXV. Pag. 837-852. “In tale contesto, le previsioni di
misure volte a salvaguardare la genuinità della digital evidence all’atto della sua
acquisizione (ma anche, nell’intera catena di conservazione del reperto, prima e dopo la sua
analisi) ripropongono alcuni quesiti che erano già stati sollevati in passato, allorché il P.M.
non le avesse indicate nei suoi decreti (di perquisizione/ispezione) e/o la P.G. le avesse
omesse ovvero esse fossero state, in ogni caso, erroneamente adottate”.
Via S. Apollinare n. 1 - C.P. 151 06012 - Città di Castello (PG).
Tel. 075.4652093 - Fax. 178 2213120 3/7
E - mail: giuseppe.serafini@ordineavvocati.perugia.it – giuseppe.serafini@avvocatiperugiapec.it
P. IVA. 01929710547 - C. F. SRF GPP 71 L 20 B963 WG iuseppe S erafini G. S.
A vvocato L. F.
Se ciò è vero, allora, la gestione della sicurezza dei sistemi informatici deve
essere pensata, non tanto e non solo, in un’ottica meramente tecnica, come
troppo spesso avviene, demandando le relative attività esclusivamente all'area
c.d. IT, ad esempio, delle realtà aziendali, specialmente di medie dimensioni,
ma, complessivamente, in una dimensione trasversale ai processi aziendali,
che implichi una partecipazione, pro quota, insieme a questa, dell'area legale,
dell'area risorse umane e che non prescinda, ma anzi si fondi, su un
appropriato è consapevole Commitment della direzione aziendale.
Occorre, ora, per centrare il punto di questo contributo, introdurre due
ulteriori specifiche definizioni utili a comprendere esattamente la nozione di
Cyber Threat (o Minaccia Cibernetica) 7, quella di rischio e quella di gestione
del rischio (Risk Management8): se da un punto di vista generale, facendo
riferimento a quella normazione ad adesione volontaria cui sopra si è fatto
cenno, possiamo definire il rischio come l'effetto dell'incertezza sul
raggiungimento di un obiettivo 9, esiste nel nostro ordinamento un primo dato
normativo, questa volta di normazione cogente, che può fornirci indicazioni
più puntuali su quello che, con specifico riguardo un sistema informativo, che
elabora dati personali, possiamo ritenere sia un rischio.
In tal senso, l'articolo 31 del Codice in materia di protezione dei dati
personali, dopo avere, nella sua prima parte, costruito, in termini di custodia e
controllo, il dovere di sicurezza che incombe sul Titolare del trattamento, e
che in determinate condizioni è assistito da pesanti sanzioni amministrative e
7. - Cfr. I. Nai Fovino - Valutazione della sicurezza delle infrastrutture critiche, definizioni e
metodologia. In: “La comunicazione, Note Recensioni & Notizie Pubblicazione dell’Istituto
Superiore delle Comunicazioni e delle Tecnologie dell'Informazione, Anno 2013 Vol. LIX -
“Una minaccia, come indicato nell’“Internet RFC Glossary of Terms” viene definita come
un potenziale per la violazione della sicurezza, che esiste in quanto c’è circostanza,
capacità, azione o evento che potrebbe fare una breccia nelle misure di sicurezza e causare
danno. Una vulnerabilità, per definizione è una debolezza del sistema sotto analisi, sia essa
infrastrutturale, legata a processi, politiche, controlli ecc. Come diretta conseguenza, un
attacco può essere definito come l’intero processo messo in atto da un agente di minaccia
per attaccare un sistema con successo, sfruttando una o più vulnerabilità dello stesso. Infine,
come definito nell’ISO/IEC 17799:2000, il rischio è definito come la probabilità che un
attacco/incidente accada (quando una minaccia viene attualizzata dalla combinazione di
vulnerabilità ed attacchi) moltiplicato per il danno potenziale causato.” i n
http://www.isticom.it sito consultato e verificato in data 21.05.2015.
8. - Cfr. NIST Special Publication 800-39 Managing Information Security Risk Organization,
Mission, and Information System View. Pag. 6. “Risk management is a comprehensive
process that requires organizations to: (i) frame risk (i.e., establish the context for risk-based
decisions); (ii) assess risk; (iii) respond to risk once determined; and (iv) monitor risk on an
ongoing basis using effective organizational communications and a feedback loop for
continuous improvement in the risk-related activities of organizations”. In www.nist.org.
Sito consultato e verificato in data 22.05.2015
9. - ISO/IEC 27000:2014(en) - Information technology - Security techniques - Information
security management systems - Overview and vocabulary - Terms and Definition. Note 6 -
Information security risk is associated with the potential that threats (2.83) will exploit
vulnerabilities (2.89) of an information asset or group of information assets and thereby
cause harm to an organization. In www.iso.org - Sito consultato e verificato in data
21.05.2015
Via S. Apollinare n. 1 - C.P. 151 06012 - Città di Castello (PG).
Tel. 075.4652093 - Fax. 178 2213120 4/7
E - mail: giuseppe.serafini@ordineavvocati.perugia.it – giuseppe.serafini@avvocatiperugiapec.it
P. IVA. 01929710547 - C. F. SRF GPP 71 L 20 B963 WG iuseppe S erafini G. S.
A vvocato L. F.
nei casi più gravi da sanzioni penali, elenca espressamente quali siano i
“rischi” dai quali il titolare deve proteggere i dati stessi, individuando,
segnatamente: la distruzione o la perdita, l'accesso non autorizzato, il
trattamento non consentito o non conforme con le finalità della raccolta 10.
Naturalmente, la tipizzazione legale sopra indicata, di quali possano essere i
rischi in grado di affliggere i dati personali (siano essi contenuti o meno in un
sistema elettronico), può essere declinata e correlata, da un punto di vista
della elaborazione elettronica, e della sicurezza informatica, in particolare, in
altrettante, specifiche, fonti di rischio che si concretizzano in altrettante
minacce in grado di avere effetti negativi sul patrimonio informativo di una
organizzazione.
Rilevano, evidentemente, a tale stregua, tanto per fare degli esempi, i virus
informatici ed i malware, le più recenti forme di ransomware, ma anche, sotto
altro profilo, erronee configurazioni di dispositivi di protezione del perimetro
informatico di una organizzazione, o, peggio ancora, vulnerabilità tecniche
specifiche derivanti dal mancato aggiornamento dei programmi in dotazione.
A questo punto, un chiarimento “filosofico” sembra opportuno, per
parametrare, con il canone del progresso tecnico e tecnologico (così come è
espressamente previsto nella prima parte dell'art. 31 del citato codice
privacy), il concetto di vulnerabilità, che ad avviso di chi scrive, rileva
primariamente nella comprensione delle strategie aziendali di prevenzione
del rischio che possono essere attuate; l'osservazione da svolgere,
brevemente, per comprendere la ragione del fatto che è indispensabile
pensare alla sicurezza informatica, in termini di processo e non di prodotto,
attiene, sostanzialmente, alle modalità di svolgimento, dell'attività umana, la
programmazione, di realizzazione di un programma per elaboratore (o
software).
Quest'ultima, come è noto, si basa sulla formulazione e sullo sviluppo di un
algoritmo, sinteticamente, un metodo matematico per la soluzione di un
problema, ma, la circostanza che gli algoritmi che stanno alla base di un
programma per elaboratore, siano pensati e sviluppati da esseri umani, prima
di essere interpretati e codificati in un determinato linguaggio di
programmazione, espone, transitivamente, all'imperfezione, gli stessi
10. - In tal senso Cfr. Risoluzione legislativa del Parlamento Europeo del 12 marzo 2014
sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela
delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di
tali dati (regolamento generale sulla protezione dei dati) (COM(2012)0011 – C7-0025/2012
– 2012/0011(COD)) - Emendamento 118 - Proposta di regolamento. Articolo 23 -
Protezione fin dalla progettazione e protezione di default. Al momento di determinare le
finalità e i mezzi del trattamento e all' atto del trattamento stesso, l'eventuale responsabile
del trattamento e incaricato del trattamento , tenuto conto dell'evoluzione tecnica, delle
migliori prassi internazionali e dei rischi rappresentati dal trattamento dei dati , mette in
atto misure e procedure tecniche e organizzative adeguate e proporzionate, in modo tale che
il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti
dell'interessato, con particolare riguardo ai principi di cui all'articolo 5 .
Via S. Apollinare n. 1 - C.P. 151 06012 - Città di Castello (PG).
Tel. 075.4652093 - Fax. 178 2213120 5/7
E - mail: giuseppe.serafini@ordineavvocati.perugia.it – giuseppe.serafini@avvocatiperugiapec.it
P. IVA. 01929710547 - C. F. SRF GPP 71 L 20 B963 WG iuseppe S erafini G. S.
A vvocato L. F.
programmi;11 in altre parole, dal punto di vista della sicurezza informatica,
alla suscettibilità ad essere impiegati in modo difforme, anche solo
parzialmente, da quello per il quale erano stati progettati.
Se è vero ciò che precede, ed è vero, occorre anche precisare che, se da una
parte gli stessi autori dei software, possono intervenire e di fatto
intervengono, modificando ed aggiornando i loro programmi, dall'altra, per
converso, le organizzazioni criminali che operano nell'ambito dei c.d. Cyber
Crime, quotidianamente rinvengono, nuove vulnerabilità, che sfruttano a loro
vantaggio e che in ipotesi, per essere state scoperte in un ipotetico adesso,
non sono ancora state oggetto di “riparazione” da parte del produttore di quel
determinato software.
Ciò chiarito, si comprende agevolmente, allora, come e perché, una
appropriata policy di gestione del rischio contempli tre diverse operazioni su
un rischio individuato vale a dire, la mitigazione del rischio, l'eliminazione de
rischio ed infine, ma non per ultimo, il trasferimento del rischio, per esempio,
tramite affidamento in oustourcing del processo cui quel determinato rischio
afferisce o, per altra via, stipulando apposite coperture assicurative 12 di
contenimento.
Quanto precisato da ultimo, in materia di trasferimento di un determinato
rischio mediante stipulazione di apposita copertura assicurativa, in realtà, a
ben vedere, introduce un nuovo parametro nella metodologia applicabile di
gestione del rischio, nel senso che, come è noto, il più delle volte, la stessa
operatività di determinate coperture assicurative, implica, il soddisfacimento,
anche nel tempo, di determinati requisiti, questa volta contrattualmente
imposti, in mancanza dei quali, il rischio, pure trasferito, sulla carta, dovrà
essere nuovamente gestito, direttamente, dall'organizzazione, ma, questa
volta, a posteriori, in forma di danno.
Con ció, si vuol dire che, non solo il soddisfacimento di specifici requisiti
contrattuali (veri e propri presupposti a questo punto), in un tempo T1,
determinerá la possibilitá di accedere o meno allo strumento assicurativo
prescelto, al fine di un efficace azione di trasferimento del rischio, ma anche
che, la circostanza che i requisiti individuati a termini di polizza, debbano
11. - Non a caso, laddove un programma per elaboratore debba essere impiegato, in
infrastrutture critiche o, per esempio, per l'esecuzione di operazioni pagamento a mezzo carta
di credito esso deve essere sottoposto, sin dalla sua progettazione, a rigidi test della sua
sicurezza intrinseca. Cfr. PA-DSS (Payment Application Data Security Standard)..
12. - Amplius in: “Cyber resilience. The cyber risk challenge and the role of insurance.
December 2014” - “Insuring cyber risk comes with a myriad of challenges – continually
shifting threats, sparse loss data, multi-layered levels of interconnectivity – the list goes on.
In order to be able to assess which policies may be triggered under different cyber attack
scenarios, the CRO needs to create a strong and well-designed risk management framework.
This will help organisations make sense of the cyber risk they have assumed and actively
discuss, manage and monitor this risk, while providing assurance and expertise to clients”.
In http://www.thecroforum.org/publications/best-practices-in-risk-management/ sito
consultato e verificato il 22.05.2015
Via S. Apollinare n. 1 - C.P. 151 06012 - Città di Castello (PG).
Tel. 075.4652093 - Fax. 178 2213120 6/7
E - mail: giuseppe.serafini@ordineavvocati.perugia.it – giuseppe.serafini@avvocatiperugiapec.it
P. IVA. 01929710547 - C. F. SRF GPP 71 L 20 B963 WG iuseppe S erafini G. S.
A vvocato L. F.
sussistere, spesso in un logica formale di documentazione, in un tempo T2,
implica, di fatto, la necessitá di strutturare una vera e propria policy di
gestione della sicurezza delle informazioni il cui criterio (o requisito) é
contenuto, anche, nelle specifiche prescrizioni contrattualizzate dal soggetto
che assicura l'evento.
Conclusioni
La pervasiva molteplicitá dei c.d. Cyber Risks che vanno dalla perdita dei
dati, al blocco dell’attività lavorativa di un’azienda, al danno a terzi o a
quello reputazionale, solo per citarne sommariamente alcuni, inducono gli
operatori, in questa fase, piú che mai, ad interrogarsi su quale sia attualmente
il ruolo dell’industria assicurativa in questo ambito, portando ad esaminare le
nozioni di Cyber Risk, e di gestione del rischio in riferimento alle quali, in
primis, devono intervenire delle apposite strategie aziendali.
In questo senso, una comunicazione appropriata ed una fattiva
collaborazione, anche tra le stesse aziende, per creare un mercato assicurativo
piú consapevole ed avveduto (risk awareness) potrebbero essere,
un’importante soluzione.
Avv. Giuseppe Serafini Dott.ssa. Letizia Bassini
***
Short Bio.
Avv. Giuseppe Serafini
BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer;
Perfezionato presso la Facoltà di Giurisprudenza dell'Universita' degli Studi
di Milano in Digital Forenscis, Cloud & Data Protection. Giá docente di
Informatica Giuridica presso la Scuola di Specializzazione in Professioni
Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica
Giuridica della Facoltà di Giurisprudenza di Perugia; Relatore ed autore di
numerose pubblicazioni in materia di Sicurezza delle Informazioni e Diritto
delle nuove Tecnologie. Associato Cloud Security Alliance Italy Chapter e
Digital Forensics Alumni.
Dott.ssa Letizia Bassini
Dottoressa in Giurisprudenza; praticante Avvocato iscritta nel registro dei
praticanti dell'Ordine degli Avvocati di Perugia.
Via S. Apollinare n. 1 - C.P. 151 06012 - Città di Castello (PG).
Tel. 075.4652093 - Fax. 178 2213120 7/7
E - mail: giuseppe.serafini@ordineavvocati.perugia.it – giuseppe.serafini@avvocatiperugiapec.it
P. IVA. 01929710547 - C. F. SRF GPP 71 L 20 B963 WPuoi anche leggere
