HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE - Avv. Daniele Loglio

Pagina creata da Simone D'Agostino
 
CONTINUA A LEGGERE
HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE - Avv. Daniele Loglio
HACKING:
LE LEGGI CHE IL GIORNALISTA
     DEVE CONOSCERE

     Avv. Daniele Loglio
HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE - Avv. Daniele Loglio
HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE - Avv. Daniele Loglio
HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE - Avv. Daniele Loglio
HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE - Avv. Daniele Loglio
La sicurezza rappresenta sempre un costo certo a fronte di un rischio potenziale, ma è ormai chiaro che
il rischio cyber è a livelli mai raggiunti prima.

Un’azienda può essere un target interessante qualora:
1) possiede proprietà intellettuale/know how che deve rimanere riservato e memorizza su dispositivi
informatici tali informazioni (disegni industriali, piani di sviluppo di prodotti, informazioni relative a
processi e dinamiche interne, anche all’interno di messaggi email o di testo, business plan, prototipi
software/hardware)
2) ha clienti ai quali fornisce servizi o prodotti che potrebbero risentire, in qualità o disponibilità, nel
caso in cui i sistemi dell’azienda fossero resi indisponibili oppure fossero controllati da attaccanti
3) ha una presenza su internet e offre servizi via web (es. fa business online, shop online, ecc.)
4) è in possesso di dati personali relativi a dipendenti e/o clienti
5) ha stipulato accordi di riservatezza con clienti/fornitori
6) gestisce dati sensibili per conto di altre imprese (clienti o fornitori)
7) i prodotti (hardware/software/servizi) dell’azienda potrebbero essere installati in ambienti sensibili
(es. IoT) oppure eventuali manipolazioni dei prodotti potrebbero causare danni a terzi
HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE - Avv. Daniele Loglio
Con il decreto legislativo del 17 febbraio 2017 il
nostro Paese ha riorganizzato la propria
architettura di sicurezza per la protezione dello
spazio cibernetico nazionale, concentrando la
responsabilità di governo all’interno del
Dipartimento per le Informazioni e la Sicurezza
(DIS).
HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE - Avv. Daniele Loglio
Circolare dell’Agenzia per l’Italia Digitale del 17
marzo 2017 n. 1 - “Misure minime di sicurezza
ICT per le pubbliche amministrazioni” - impone
l’adozione di standard minimi di prevenzione e
reazione ad eventi cibernetici.
Direttiva (UE) 2016/1148 del 6 luglio 2016
«misure per un livello comune elevato di
sicurezza delle reti e dei sistemi informativi
nell’Unione».
Conosciuta come “Direttiva NIS” (maggio 2018)
Best practice
• 1 Esista e sia mantenuto aggiornato un
  inventario dei sistemi, dispositivi, software,
  servizi e applicazioni informatiche in uso
  all’interno del perimetro aziendale. Solo
  l’utilizzo dei sistemi inventariati dovrebbe
  essere autorizzato.
• 2 I servizi web (social network, cloud computing, posta
  elettronica, spazio web, ecc.) offerti da terze parti a cui
  si è registrati sono quelli strettamente necessari.
• 3 Sono individuate le informazioni, i dati e i sistemi
  critici per l’azienda affinché siano adeguatamente
  protetti.
• 4 È stato nominato un referente che sia responsabile
  per il coordinamento delle attività di gestione e di
  protezione delle informazioni e dei sistemi informatici.
• 5 Sono identificate e rispettate le leggi e/o i
  regolamenti con rilevanza in tema di cybersecurity che
  risultino applicabili per l’azienda.
•    Gli aspetti legali relativi al trattamento dati personali e agli obblighi riguardanti la tutela della privacy, unitamente
     agli adempimenti procedurali e alla prescrizione delle misure minime di sicurezza, da applicarsi prevalentemente
     all’ambito della sicurezza cibernetica, sono contenuti nel D. Lgs. n. 196 del 30 giugno 2003, meglio conosciuto
     come ’Testo Unico in materia di dati personali", o “Codice della Privacy".
•    Come specificato nell’Allegato B del Codice, il trattamento di dati personali effettuato con strumenti elettronici è
     consentito solo se sono adottate le seguenti misure minime:
•    a) Utilizzo di un sistema di autenticazione informatica, tramite l’assegnazione di credenziali di autenticazione -
     delle quali deve essere assicurata la segretezza - e l’adozione di procedure per la custodia dei dispositivi di accesso
     e delle copie di sicurezza, al fine di garantire il ripristino della disponibilità dei dati e dei sistemi.
•    b) Utilizzo di un sistema di autorizzazione, attraverso la limitazione dell’accesso ai soli dati necessari per effettuare
     le operazioni di trattamento, l’individuazione di profili di autorizzazione e la verifica periodica delle condizioni di
     sussistenza per la conservazione di tali profili di autorizzazione.
•    c) Altre misure di sicurezza, come la redazione di una lista degli incaricati per classi omogenee di incarico e dei
     relativi profili di autorizzazione, il salvataggio dei dati con frequenza almeno settimanale e l’aggiornamento
     periodico dei programmi volti a prevenire la vulnerabilità degli strumenti elettronici.
•    d) Ulteriori misure in caso di trattamento di dati sensibili o giudiziari, dei quali devono essere garantiti il ripristino
     e l’accesso in caso di danneggiamento e che vanno protetti mediante l’utilizzo di idonei strumenti elettronici e
     adeguate procedure relative alla custodia e all’accesso da parte di incaricati non direttamente autorizzati.
•    e) Misure di tutela e garanzia, che prevedono la possibilità di avvalersi di soggetti esterni alla propria struttura, che
     attestino la conformità alle disposizioni sopra descritte.

Il nuovo Regolamento europeo in materia di protezione dei dati personali (General Data Protection Regulation - GDPR,
Regolamento UE 2016/679), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 ed entrato in
vigore il 24 maggio 2016, sostituirà il CdP.
• 6 Tutti i dispositivi che lo consentono sono dotati di
  software di protezione (antivirus, anti-malware, ecc...)
  regolarmente aggiornato.
• 7 Le password sono diverse per ogni account, della
  complessità adeguata e viene valutato l’utilizzo dei
  sistemi di autenticazione più sicuri offerti dal provider
  del servizio (es. autenticazione a due fattori).
• 8 Il personale autorizzato all’accesso, remoto o locale,
  ai servizi informatici dispone di utenze personali non
  condivise con altri; l’accesso è opportunamente
  protetto; i vecchi account non più utilizzati sono
  disattivati.
• 9 Ogni utente può accedere solo alle informazioni e ai sistemi di cui
  necessita e/o di sua competenza.
• 10 Il personale è adeguatamente sensibilizzato e formato sui rischi
  di cybersecurity e sulle pratiche da adottare per l’impiego sicuro
  degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare
  solo software autorizzato, etc.). I vertici aziendali hanno cura di
  predisporre per tutto il personale aziendale la formazione
  necessaria a fornire almeno le nozioni basilari di sicurezza.
• 11 La configurazione iniziale di tutti i sistemi e dispositivi è svolta da
  personale esperto, responsabile per la configurazione sicura degli
  stessi. Le credenziali di accesso di default sono sempre sostituite.
• 12 Sono eseguiti periodicamente backup delle informazioni e dei
  dati critici per l’azienda. I backup sono conservati in modo sicuro e
  verificati periodicamente.
• 13 Le reti e i sistemi sono protetti da accessi non
  autorizzati attraverso strumenti specifici (es. Firewall e
  altri dispositivi/software anti-intrusione).
• 14 In caso di incidente (es. sia rilevato un attacco o un
  malware) vengono informati i responsabili della
  sicurezza e i sistemi vengono messi in sicurezza da
  personale esperto.
• 15 Tutti i software in uso (inclusi i firmware) sono
  aggiornati all’ultima versione consigliata dal
  produttore. I dispositivi o i software obsoleti e non più
  aggiornabili sono dismessi.
• Dispositivo dell'art. 615 bis Codice Penale
• (1) Chiunque, mediante l'uso di strumenti di ripresa visiva o sonora,
  si procura indebitamente (2) notizie o immagini attinenti alla vita
  privata svolgentesi nei luoghi indicati nell'articolo 614, è punito con
  la reclusione da sei mesi a quattro anni.
• Alla stessa pena soggiace, salvo che il fatto costituisca più grave
  reato, chi rivela o diffonde (3), mediante qualsiasi mezzo di
  informazione al pubblico, le notizie o le immagini ottenute nei modi
  indicati nella prima parte di questo articolo.
• I delitti sono punibili a querela della persona offesa; tuttavia si
  procede d'ufficio e la pena è della reclusione da uno a cinque anni
  se il fatto è commesso da un pubblico ufficiale o da un incaricato di
  un pubblico servizio, con abuso dei poteri o con violazione dei
  doveri inerenti alla funzione o servizio, o da chi esercita anche
  abusivamente la professione di investigatore privato (4).
•   Dispositivo dell'art. 615 ter Codice Penale
•   (1) Chiunque abusivamente si introduce in un sistema informatico o telematico (2) protetto da
    misure di sicurezza (3) ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di
    escluderlo, è punito con la reclusione fino a tre anni.
•   La pena è della reclusione da uno a cinque anni:
•   1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con
    abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita
    anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore
    del sistema;
•   2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è
    palesemente armato;
•   3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o
    parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle
    informazioni o dei programmi in esso contenuti.
•   Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di
    interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla
    protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da
    uno a cinque anni e da tre a otto anni.
•   Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri
    casi si procede d'ufficio.
• Dispositivo dell'art. 615 quater Codice Penale
• (1) Chiunque, al fine di procurare a sé o ad altri un profitto o di
  arrecare ad altri un danno, abusivamente si procura, riproduce,
  diffonde, comunica o consegna codici, parole chiave o altri mezzi
  idonei all'accesso ad un sistema informatico o telematico, protetto
  da misure di sicurezza, o comunque fornisce indicazioni o istruzioni
  idonee al predetto scopo (2) , è punito con la reclusione sino a un
  anno e con la multa sino a cinquemilacentosessantaquattro euro.
• La pena è della reclusione da uno a due anni e della multa da
  cinquemilacentosessantaquattro euro a diecimilatrecentoventinove
  euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del
  quarto comma dell'articolo 617quater.
• Dispositivo dell'art. 615 quinquies Codice Penale
• (1) Chiunque, allo scopo di danneggiare illecitamente
  un sistema informatico o telematico, le informazioni, i
  dati o i programmi in esso contenuti o ad esso
  pertinenti ovvero di favorire l’interruzione, totale o
  parziale, o l’alterazione del suo funzionamento, si
  procura, produce, riproduce, importa, diffonde,
  comunica, consegna o, comunque, mette a
  disposizione di altri apparecchiature, dispositivi o
  programmi informatici (2) , è punito con la reclusione
  fino a due anni e con la multa sino a euro 10.329.
• Dispositivo dell'art. 616 Codice Penale
• Chiunque prende cognizione (1) del contenuto di una corrispondenza
  chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di
  farne da altri prender cognizione, una corrispondenza chiusa o aperta, a
  lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime (2), è
  punito, se il fatto non è preveduto come reato da altra disposizione di
  legge, con la reclusione fino a un anno o con la multa da trenta euro a
  cinquecentosedici euro.
• Se il colpevole, senza giusta causa (3), rivela, in tutto o in parte, il
  contenuto della corrispondenza, è punito, se dal fatto deriva nocumento
  ed il fatto medesimo non costituisce un più grave reato, con la reclusione
  fino a tre anni [618](4).
• Il delitto è punibile a querela della persona offesa.
• Agli effetti delle disposizioni di questa sezione, per "corrispondenza"
  s'intende quella epistolare, telegrafica o telefonica, informatica o
  telematica ovvero effettuata con ogni altra forma di comunicazione a
  distanza (5).
• Dispositivo dell'art. 617 bis Codice Penale
• (1)Chiunque, fuori dei casi consentiti dalla legge [c.p.p. 266-
  271], installa apparati, strumenti, parti di apparati o di
  strumenti al fine di intercettare od impedire comunicazioni
  o conversazioni telegrafiche o telefoniche tra altre persone
  è punito con la reclusione da uno a quattro anni (2).
• La pena è della reclusione da uno a cinque anni se il fatto è
  commesso in danno di un pubblico ufficiale nell'esercizio o
  a causa delle sue funzioni ovvero da un pubblico ufficiale o
  da un incaricato di un pubblico servizio con abuso dei
  poteri o con violazione dei doveri inerenti alla funzione o
  servizio o da chi esercita anche abusivamente la
  professione di investigatore privato (3).
• Dispositivo dell'art. 617 ter Codice Penale
• (1)Chiunque, al fine di procurare a sé o ad altri un vantaggio o di
  recare ad altri un danno, forma falsamente, in tutto o in parte, il
  testo di una comunicazione o di una conversazione telegrafica o
  telefonica ovvero altera o sopprime, in tutto o in parte, il contenuto
  di una comunicazione o di una conversazione telegrafica o
  telefonica vera, anche solo occasionalmente intercettata, è punito,
  qualora ne faccia uso o lasci che altri ne faccia uso, con la reclusione
  da uno a quattro anni.
• La pena è della reclusione da uno a cinque anni se il fatto è
  commesso in danno di un pubblico ufficiale nell'esercizio o a causa
  delle sue funzioni ovvero da un pubblico ufficiale o da un incaricato
  di un pubblico servizio con abuso dei poteri o con violazione dei
  doveri inerenti alla funzione o servizio o da chi esercita anche
  abusivamente la professione di investigatore privato
•   Dispositivo dell'art. 617 quater Codice Penale
•   (1)Chiunque fraudolentemente intercetta comunicazioni relative a un sistema
    informatico o telematico o intercorrenti tra più sistemi (2), ovvero le impedisce o le
    interrompe (3), è punito con la reclusione da sei mesi a quattro anni.
•   Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque
    rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il
    contenuto delle comunicazioni di cui al primo comma (4).
•   I delitti di cui ai commi primo e secondo sono punibili a querela della persona
    offesa.
•   Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il
    fatto è commesso:
•   1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro
    ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
•   2) da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei
    poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con
    abuso della qualità di operatore del sistema;
•   3) da chi esercita anche abusivamente la professione di investigatore privato.
• Dispositivo dell'art. 635 bis Codice Penale
• (1)Salvo che il fatto costituisca più grave reato,
  chiunque distrugge, deteriora, cancella, altera o
  sopprime informazioni, dati o programmi
  informatici altrui (2) è punito, a querela della
  persona offesa, con la reclusione da sei mesi a tre
  anni.
• Se il fatto è commesso con violenza alla persona
  o con minaccia ovvero con abuso della qualità di
  operatore del sistema, la pena è della reclusione
  da uno a quattro anni.
Ricettazione
• Dispositivo dell'art. 648 Codice Penale
• Fuori dei casi di concorso nel reato [110] (1), chi, al fine di procurare a sé o
  ad altri un profitto (2), acquista, riceve od occulta denaro o cose
  provenienti da un qualsiasi delitto, o comunque si intromette nel farle
  acquistare, ricevere od occultare(3), è punito con la reclusione da due ad
  otto anni e con la multa da cinquecentosedici euro a
  diecimilatrecentoventinove euro [709, 712]. La pena è aumentata quando
  il fatto riguarda denaro o cose provenienti da delitti di rapina aggravata ai
  sensi dell'articolo 628, terzo comma, di estorsione aggravata ai sensi
  dell'articolo 629, secondo comma, ovvero di furto aggravato ai sensi
  dell'articolo 625, primo comma, n. 7-bis) (4).
• La pena è della reclusione sino a sei anni e della multa sino a
  cinquecentosedici euro, se il fatto è di particolare tenuità [62 n. 4, 133] (5).
• Le disposizioni di questo articolo si applicano anche quando l'autore del
  delitto, da cui il denaro o le cose provengono, non è imputabile [85] o non
  è punibile [379, 649, 712] ovvero quando manchi una condizione di
  procedibilità riferita a tale delitto.
• Dispositivo dell'art. 110 Codice Penale
Quando più persone (1) concorrono nel
medesimo reato (2) (3) (4), ciascuna di esse
soggiace alla pena per questo stabilita (5), salve
le disposizioni degli articoli seguenti.
Puoi anche leggere