3. ...digital forensics & ... antiforensics
... identificazione, conservazione, dell’analisi e della documentazione dei
reperti informatici al fine di presentare prove digitali valide in procedure
civili e penali ...
...we will consider anti-forensics to be any attempts to compromise the
availability or usefulness of evidence to the forensics process. ...
4. world digital
(a). - Informatizzazione della prestazione lavorativa e della protezione delle
informazioni (CLASSIFIED - NDA);
(b). - Difficoltà di inquadramento normativo dei c. d. contratti
dell'informatica (Cloud computing; SaaS; Pen Test; Security Management).
(c). - Rilevanza giuridica delle operazioni di configurazione, gestione e
manutenzione dei sistemi (obbligazione di mezzi vs obbligazione di
risultato?).
(d). - Normativa su data protection, segreto (militare, industriale, di stato,
d'ufficio);
(e). - Impatto della tecnologia e della configurazione dei sistemi sui diritti
dei lavoratori (art. 4 comma 2° legge 300 1970, Statuto dei lavoratori);
(f). Rilevanza sostanziale e processuale dei "documenti e degli eventi
informatici";
5. ... documenti ...
Art. 2214. Libri obbligatori e altre scritture contabili. L'imprenditore che
esercita un'attività commerciale deve tenere il libro giornale e il libro degli
inventari. Deve altresì tenere le altre scritture che siano richieste dalla natura
e dalle dimensioni dell'impresa e conservare ordinatamente per ciascun
affare gli originali delle lettere, dei telegrammi e delle fatture ricevute,
nonché le copie delle lettere, dei telegrammi e delle fatture spedite.
6. … scritture …
Art. 2220 c.c. - Conservazione delle scritture contabili. Le scritture
devono essere conservate per dieci anni dalla data dell'ultima registrazione.
Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi
ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti. Le
scritture e documenti di cui al presente articolo possono essere conservati
sotto forma di registrazioni su supporti di immagini, sempre che le
registrazioni corrispondano ai documenti e possano in ogni momento
essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza
detti supporti.
7. ... archiving properties ... Fax - Mail
C.A.D. - Art. 1 lett p)
Documento informatico:
La rappresentazione informatica di
atti, fatti o dati giuridicamente
rilevanti.
Fattura elettronica:
Direttiva 2012/45/UE
a partire da 1° gennaio 2013
8. ... Fattura elettronica: Direttiva 2012/45/UE
Più precisamente, l'emittente deve assicurare l'attestazione della data,
l'autenticità dell'origine, l'integrità del contenuto.
Secondo quanto previsto, in particolare, dall'art. 21, comma 3, quinto
periodo, D.P.R. 26 ottobre 1972, n. 633 tali requisiti sono garantiti con
l'apposizione “del riferimento temporale e della firma elettronica
qualificata dell'emittente o mediante sistemi EDI di trasmissione
elettronica (...)".
9. ... Firma elettronica qualificata
Firma elettronica ottenuta attraverso una procedura informatica che
garantisce la connessione univoca al firmatario, creata con mezzi sui quali
il firmatario può conservare un controllo esclusivo e collegata ai dati ai
quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati
successivamente modificati, che sia basata su un certificato qualificato e
realizzata mediante un dispositivo sicuro per la creazione della firma".
[Direttiva Europea 1999/93/CE].
10. Il Giudice
Art. 20 CAD - Documento informatico - 1-bis. L'idoneita' del documento informatico
a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili
in giudizio, tenuto conto delle sue caratteristiche oggettive di qualita', sicurezza, integrita' ed
immodificabilita', fermo restando quanto disposto dall'articolo 21.
11. ... in giudizio
digital evidence: or electronic evidence is any probative
information stored or transmitted in digital form that a party to a
court case may use at trial.
12. … accertamenti …
Art. 244. c.p.p. - Ispezioni - L'autorità giudiziaria può disporre rilievi
segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in
relazione a sistemi informatici o telematici, adottando misure tecniche
dirette ad assicurare la conservazione dei dati originali e ad impedirne
l’alterazione.
Art. 247. c.p.p. - Perquisizioni. - 1-bis. Quando vi è fondato motivo di
ritenere che dati, informazioni, programmi informatici o tracce comunque
pertinenti al reato si trovino in un sistema informatico o telematico,
ancorchè protetto da misure di sicurezza, ne è disposta la perquisizione,
adottando misure tecniche dirette ad assicurare la conservazione dei dati
originali e ad impedirne l’alterazione.
13. ... digital - vision ....
Url AES DEFT
log file dump
plausible deniability social engineering
vulnerability enumerate
header
key logger
brute force
PEC
ISO
spam
sys - admin
identity theft
event manager
e-mail web 2.0
digital signature https
hash hidden volume
botnet virus
SAM e-discovery SSL
16. … digit …
Art. 392. III° c.p. - Esercizio arbitrario delle proprie ragioni mediante
violenza sulle cose - Si ha altresì, violenza sulle cose allorchè un
programma informatico viene alterato, modificato o cancellato in tutto o in
parte ovvero viene impedito o turbato il funzionamento di un sistema
informatico o telematico.
17. ad esempio...
L'impresa alfa e il trasferimento
di know how al consorzio
Eurofighter
18. informazioni segrete
Art. 98 Cod. Propr. Ind.
le informazioni aziendali e le esperienze tecnico-industriali, comprese
quelle commerciali, soggette al legittimo controllo del detentore, ove
tali informazioni: (a) siano segrete, nel senso che non siano nel loro
insieme o nella precisa configurazione e combinazione dei loro
elementi generalmente note o facilmente accessibili agli esperti ed agli
operatori del settore; (b) abbiano valore economico in quanto segrete;
(c) siano sottoposte, da parte delle persone al cui legittimo controllo
sono soggette, a misure da ritenersi ragionevolmente adeguate a
mantenerle segrete.
19. ..... un pignoramento presso terzi
....... per effettuare questa procedura
occorre conoscere presso quale banca il
debitore ha accesso un conto corrente..
20. … dati sensibili …
Art. 22 comma 6. - I dati sensibili e giudiziari contenuti in elenchi,
registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono
trattati con tecniche di cifratura o mediante l'utilizzazione di codici
identificativi o di altre soluzioni che, considerato il numero e la natura
dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è
autorizzato ad accedervi e permettono di identificare gli interessati solo
in caso di necessità.
21. Ma è vero che hanno abolito la privacy ?
Il fatto che il legislatore abbia abolito l'obbligo formale, rilevante ai fini della
“norma incriminatrice”, di cui all'art. 169, codice privacy, di redazione ed
aggiornamento del DPS, espone il Titolare del trattamento, al rischio, in caso
di “omissione delle relative valutazioni sostanziali”, di abbassare,
oggettivamente, l' idoneità delle misure adottate, con riferimento all'art. 31
del codice, con effetti, irrimediabili, in punto esclusione da responsabilità
civile e amministrativa, anche in considerazione delle valutazioni di segno
contrario operate, dal legislatore comunitario nell'art. 30 della proposta di
reg. di seguito indicata, e degli standard di sicurezza dei sistemi informativi,
che costituiscono il c.d. stato dell'arte
22. … data protection policy …
Brussels, 25.1.2012
COM(2012) 11 final
2012/0011 (COD)
Proposta di REGOLAMENTO
DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
concernente la tutela delle persone fisiche con riguardo al trattamento
dei dati personali e la libera circolazione di tali dati
(regolamento generale sulla protezione dei dati)
23. dura lex… sed lex …
I dati personali oggetto di
trattamento sono custoditi e Previa valutazione dei rischi, il
controllati, anche in relazione responsabile del trattamento e
alle conoscenze acquisite in l’incaricato del trattamento
base al progresso tecnico, alla prendono le misure di cui al
natura dei dati e alle specifiche paragrafo 1 per proteggere i dati
caratteristiche del trattamento, personali dalla distruzione
in modo da ridurre al minimo, accidentale o illegale o dalla
mediante l'adozione di idonee e perdita accidentale e per
preventive misure di impedire qualsiasi forma
sicurezza, i rischi di distruzione illegittima di trattamento, in
o perdita, anche accidentale, dei particolare la comunicazione, la
dati stessi, di accesso non divulgazione o l’accesso non
autorizzato o di trattamento autorizzati o la modifica dei
non consentito o non conforme dati personali..
alle finalità della raccolta.
24. ... access denied ...
Art. 615-ter. Accesso abusivo ad un sistema informatico o telematico -
Chiunque abusivamente si introduce in un sistema informatico o
telematico protetto da misure di sicurezza ovvero vi si mantiene contro
la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con
la reclusione fino a tre anni.
25. ... misure minime ...
il complesso delle misure tecniche, informatiche, organizzative,
logistiche e procedurali di sicurezza che configurano il livello minimo di
protezione richiesto in relazione ai rischi previsti nell'articolo 31;
26. Cass. Sez. Un. Sent. 4694/12
Integra la fattispecie criminosa di accesso abusivo ad un sistema
informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la
condotta di accesso o di mantenimento nel sistema posta in essere dal
soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultati
dal complesso delle prescrizioni impartite dal titolare del sistema per
delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la
configurazione del reato, gli scopi e le finalità che soggettivamente hanno
motivato l’ingresso al sistema.
27. … almeno il minimo …
il trattamento con strumenti elettronici è consentito solo se sono
adottate, nei modi previsti le seguenti misure minime: a) autenticazione
informatica; b) adozione di procedure di gestione delle credenziali di
autenticazione; c) utilizzazione di un sistema di autorizzazione; d)
aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici; e) protezione degli strumenti elettronici e dei
dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici; f) adozione di procedure per la
custodia di copie di sicurezza, il ripristino della disponibilità dei dati e
dei sistemi;
28. … user name ..
Art. 4. – Codice Privacy: autenticazione: l'insieme
degli strumenti elettronici e delle procedure per la
verifica anche indiretta dell'identità;
29. …. responsabilità civile..
Danni cagionati per effetto del trattamento
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali
è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile..
Art. 15
30. …. responsabilità penale & C..
Art. 169
Misure di sicurezza
Chiunque, essendovi tenuto, omette di adottare le misure
minime previste dall'articolo 33 è punito con l'arresto sino a
due anni o con l'ammenda da diecimila euro a cinquantamila
euro.
31. … attenzione ai dettagli …
- Linee guida del Garante per posta elettronica e internet - 10 marzo
2007.
- Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con
strumenti elettronici relativamente alle attribuzioni delle funzioni di
amministratore di sistema - 27 novembre 2008.
32. .. e internet e la posta elettronica??
a) l'individuazione di categorie di siti considerati correlati o non correlati
con la prestazione lavorativa;
b) la configurazione di sistemi o l'utilizzo di filtri che prevengano
determinate operazioni;
c) il trattamento di dati in forma anonima o tale da precludere l'immediata
identificazione degli utenti mediante opportune aggregazioni;
d) l'eventuale conservazione di dati per il tempo strettamente limitato al
perseguimento di finalità organizzative, produttive e di sicurezza;
f) la graduazione dei controlli;
33. .. e poi ..
vieta ai datori, di effettuare trattamenti di dati personali mediante sistemi
hardware e software che mirano al controllo a distanza di lavoratori, svolti
in particolare mediante:
(a) la lettura e la registrazione sistematica dei messaggi di posta elettronica
ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario
per svolgere il servizio e-mail;
(b) la riproduzione e l'eventuale memorizzazione sistematica delle
pagine web visualizzate dal lavoratore;
(c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o
analogo dispositivo;
(d) l'analisi occulta di computer portatili affidati in uso;
34. … principio di necessità...
i sistemi informativi e i programmi informatici sono configurati
riducendo al minimo l'utilizzazione di dati personali e di dati
identificativi, in modo da escluderne il trattamento quando le finalità
perseguite nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalità che permettano di
identificare l'interessato solo in caso di necessità (art. 3).
35. si ma ... tanto c'è il sys-admin...
(a). - Valutazione delle caratteristiche soggettive;
(b). - Designazioni individuali;
(c). - Elenco degli amministratori di sistema;
(d). - Servizi in outsourcing;
(e). - Verifica delle attività;
(f). - Registrazione degli accessi.