Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Smau Roma 2011 Nicola Fabiano
1. Roma, 30-31 marzo – Fiera di Roma !
Il furto dʼidentità nel web!
1
La privacy e lʼausilio delle tecnologie: dalle PETs alla
Privacy by Design"
Avv. Nicola Fabiano!
2. Roma, 30-31 marzo – Fiera di Roma !
Domanda:
Furto
Furto Identità
d’identità ?
2
NO
3. Roma, 30-31 marzo – Fiera di Roma !
Soggetto
3
Identità
Identità
digitale
reale
(eID)
5. Roma, 30-31 marzo – Fiera di Roma !
Frodi
finanziarie
Frodi con
Commissioni
carte di
di reati
credito
Il furto
d’identità
può
consentire 5
Frodi
Terrorismo
creditizie
Immigrazioni
illegali
7. Traffico
email
e
spam
nel
mondo
Roma, 30-31 marzo – Fiera di Roma !
7
Fonte:
www.radica#.com
8. Roma, 30-31 marzo – Fiera di Roma !
Ghosting
Criminal Financial
identity identity
theft theft
Tipi di
furto
d’identità 8
Syntetic Medical
identity identity
theft theft
Identity
cloning
Elencazione non esaustiva!
9. Roma, 30-31 marzo – Fiera di Roma !
FURTO
Furto dai
D IDENTITA
database
Sniffing via
Keylogger
wireless
Dati su hard Ricerca su
disk Internet
Dati
Social
engeneering personali Social
network
9
Guardare le
Malware
email altrui
Spamming Phishing
Indicazione
esemplifica=va
non
esaus=va
10. Principali norme nazionali di riferimento!
Roma, 30-31 marzo – Fiera di Roma !
➮ Codice privacy riguardo alle misure minime ed eventuali violazioni
(artt. 33-36; artt. 167 e segg.);"
➮ Art. 494 c.p. - Sostituzione di persona - Chiunque, al fine di
procurare a sé o ad altri un vantaggio o di recare ad altri un danno,
induce taluno in errore, sostituendo illegittimamente la propria
all'altrui persona, o attribuendo a sé o ad altri un falso nome, o un
10
falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici,
è punito, se il fatto non costituisce un altro delitto contro la fede
pubblica, con la reclusione fino ad un anno.;"
➮ Disegni di legge S.414 e S.507 riuniti – approvato il testo unificato
al Senato il 16.9.2009 e trasmesso alla Camera. "
➮ Legge comunitaria 2010 in commissione."
11. Roma, 30-31 marzo – Fiera di Roma !
11
Esito: favorevole condizionato il 2 marzo 2011"
12. Definizione di furto dʼidentità!
Roma, 30-31 marzo – Fiera di Roma !
1. Impersonificazione totale: appropriazione indebita
dellʼidentità di un altro soggetto mediante lʼutilizzo dei suoi
dati personali. Lʼimpersonificazione può riguardare un
soggetto realmente esistente, un soggetto inesistente o un
soggetto deceduto;"
2. Impersonificazione parziale: occultamento parziale della 12
propria identità attraverso lʼutilizzo di dati anagrafici falsi e
recapiti veri;"
3. Dichiarazione di caratteri falsi: utilizzo di dati anagrafici e
recapiti veri e caratteri falsi, questi ultimi relativi, a titolo
indicativo, allʼattività lavorativa, allo stipendio, al bilancio
societario."
13. Roma, 30-31 marzo – Fiera di Roma ! Alcuni rilievi critici
!
• Viene fornita una definizione assoluta di “furto dʼidentità”
che è riduttiva e non esaustiva rispetto al fenomeno
complessivamente considerato;"
• Lʼambito è ristretto al settore del credito al consumo per
operazioni tipizzate (richiesta di dilazione o differimento di
13
pagamento, finanziamenti o altra analoga facilitazione
finanziaria);"
• Le informazioni potranno essere tanto su persone fisiche
quanto su quelle giuridiche;"
• Si tratta di un sistema di prevenzione che dovrebbe
costituire un deterrente per ridurre lʼentità del fenomeno."
14. Pronunce giurisprudenziali
!
Roma, 30-31 marzo – Fiera di Roma !
1. Cass. pen., V Sez., 14/12/2007, n. 46674!
(sostituzione di persona mediante lʼutilizzo di indirizzo email)"
"
Oggetto della tutela penale, in relazione al delitto preveduto nellʼart. 494 c.p.,è
lʼinteresse riguardante la pubblica fede, in quanto questa può essere
sorpresa da inganni relativi alla vera essenza di una persona o alla sua
identità o ai suoi attributi sociali. … con lʼinduzione di taluno in errore, nel
caso in esame il soggetto indotto in errore non è tanto lʼente fornitore del
servizio di posta elettronica, quanto piuttosto gli utenti della rete, i quali,
ritenendo di interloquire con una determinata persona (la A.T.), in realtà 14
inconsapevolmente si sono trovati ad avere a che fare con una persona
diversa."
"
"
2. Cass. civ., III Sez., 11/2/2009, n. 3350!
(utilizzo di un documento dʼidentità di altro soggetto per operazioni bancarie)"
"
Risultando in fatto dimostrato il furto dʼidentità era onere della Banca fornire la
prova della scusabilità del suo errore (per la somiglianza delle persone o
per altra causa)"
15. Roma, 30-31 marzo – Fiera di Roma !
Nel
1995
con
un
documento
congiunto
la
Commissioner
dell Ontario
(Canada)
e
la
Dutch
DPA
(Autorità
Olandese)
iniziano
a
parlare
di
15
PET
16. Codice privacy – D.Lgs 196/2003!
Roma, 30-31 marzo – Fiera di Roma !
Art.
3.
Principio
di
necessità
nel
traGamento
dei
da=
1.
I
sistemi
informa#vi
e
i
programmi
informa#ci
sono
configura=
riducendo
al
minimo
l'u=lizzazione
di
da=
personali
e
di
da=
iden=fica=vi,
in
modo
da
escluderne
16
il
traLamento
quando
le
finalità
perseguite
nei
singoli
c a s i
p o s s o n o
e s s e r e
r e a l i z z a t e
m e d i a n t e ,
rispeOvamente,
da#
anonimi
od
opportune
modalità
che
permeGano
di
iden=ficare
l'interessato
solo
in
caso
di
necessità.
17. Roma, 30-31 marzo – Fiera di Roma !
PETs
migliora#ve
Privacy
Tecnologie
invasive
17
L interessato
deve
essere
sempre
in
grado
di
poter
controllare
l u=lizzo
delle
informazioni
personali
18. Roma, 30-31 marzo – Fiera di Roma ! La
Privacy
by
Design
La 32ma Conferenza mondiale dei Garanti ha adottato la risoluzione – proposta
dalla Commissioner dell Ontario Ann Cavoukian – sulla Privacy by Design."
!
La Commissione Europea con un comunicato stampa del 4.11.2010
propone una strategia per rafforzare le norme sulla protezione dei dati
dell'UE e, in particolare:!
18
"
rafforzare i diritti delle persone di modo che la raccolta e l'utilizzo dei dati
personali siano limitati allo stretto necessario. "
Gli interessati devono essere informati in modo chiaro e trasparante su come,
perché e da chi i loro dati sono raccolti e utilizzati. "
Essi dovrebbero essere in grado di esprimere un consenso informato al
trattamento, ad esempio quando surfano in internet, e avere il "diritto all'oblio"
quando i propri dati non sono più necessari o se vogliono farli cancellare."
19. Privacy
by
Design
Roma, 30-31 marzo – Fiera di Roma !
Trilogia
di
applicazioni
19
1)
Sistemi
IT
2)
Pra=che
commerciali
correGe
3)
ProgeGazione
struGurale
e
infrastruGure
di
rete
20. Roma, 30-31 marzo – Fiera di Roma ! 7 Principi della
PbD
1) Proactive: approccio proattivo piuttosto che reattivo; l obiettivo è
quello di anticipare gli eventi e non attendere che essi si verifichino
per proporre rimedi alle soluzioni. "
2) By Default: salvaguardia del soggetto poiché il bene privacy va
considerato a priori; nessuna azione è richiesta all interessato per 20
proteggere la propria privacy."
3) Embedded: è incorporata nell architettura dei sistema e delle
pratiche commerciali e non costituisce un quid pluris."
4) Positive – Sum: mira a conciliare tutti gli interessi legittimi e gli
obiettivi in una somma positiva del tipo win-win dove sono inutili i
compromessi e non attraverso un approccio datato del tipo zero-
sum ."
21. Roma, 30-31 marzo – Fiera di Roma ! 7 Principi della
PbD
5) Lifecycle Protection: incorporati i dati all inizio non c è rischio
sino alla fine del processo di trattamento dei dati (distruzione in
modo sicuro)." 21
6) Visibility and Transparency: garantisce che tutti i soggetti
interessati in qualsiasi momento effettuare potranno effettuare le
verifiche più opportune in assoluta trasparenza."
7) Respect of user privacy: richiede agli operatori che gli
interessi dei soggetti siano preminenti; approccio user-centric. !
22. Roma, 30-31 marzo – Fiera di Roma !
Grazie
per
l aGenzione
Avv.
Nicola
Fabiano
Patrocinante
in
Cassazione
Specialista
in
Diri2o
Civile
22
www.studiolegalefabiano.eu
n.fabiano@studiolegalefabiano.eu
Facebook:
nicfab
TwiGer:
nicfab
Linkedin:
nfabiano