La Sicurezza informatica
Introduzione
Prima, utilizzare il Pc, non ci portava a proteggere i dati in esso
contenuti, poi per evitare la perdita dei dati utilizzavamo il Backup e
la password all’avvio del computer per evitare l’accesso da parte di
terze persone. Con la nascita d’Internet sono iniziati a verificarsi
problemi di rischio, come:
Minacce di intrusione;
Possibilità di divulgazione non autorizzata di informazioni;
Interruzione e distruzione di servizi offerti dall’utenza.
Con la nascita di questi problemi di sicurezza nacque un settore
specifico dell’informatica denominato ” Sicurmatica ” che si
occupasse del trattamento e la salvaguardia degli strumenti
informatici e delle informazioni in esse contenute.
Menù









Sicurezza Informatica;
Gestione del rischio;
Organizzazione della Sicurezza;
Standard ed Enti di Standardizzazione;
Crittografia;
Autenticazione;
Protezione dei dati;
Le Minacce;
Malware.
Introduzione
Sicurezza Informatica
La sicurezza delle informazioni è una componente della sicurezza dei
beni in generale. Qualunque programma che si occupi della
sicurezza delle informazioni, deve seguire 3 obiettivi:

La disponibilità

L’ Integrità

La riservatezza
Alla sicurezza possiamo aggiungere altri 2 obiettivi, considerati come
una estensione dell’integrità delle informazioni (invio di un
messaggio o esecuzione di una transazione)
L’autenticità: essa garantisce che l’invio di un messaggio o una
transazione vengano attribuiti con certezza al destinatario.
Il non ripudio: garantisce che il messaggio o transazione conosca il
suo autore, cioè chi lo ha mandato o eseguito.
Menù
La Disponibilità
La disponibilità è il grado dove le informazioni e le risorse
informatiche sono accessibili agli utenti che ne hanno diritto, nel
momento in cui servono.
Per impedire che i dati siano accessibili, si deve tener conto:
delle condizioni ambientali ( energia, temperatura, umidità,
atmosfera, ecc.)
delle risorse hardware e software ( guasti, errori, blackout,
disastri, ecc.)
di attacchi esterni ( attacchi provenienti ad esempio da internet
che causano l’accessibilità ai dati e alle informazioni).
Menù
Sicurezza Informatica
L’Integrità
L’integrità se riguarda le informazioni, è il grado dove le
informazioni devono essere: corrette, coerenti e affidabili.
L’integrità se riguarda le risorse informatiche, è il grado in cui le
risorse devono avere: completezza, coerenza e buone condizioni di
funzionamento.
L’integrità se riguarda l’hardware e i sistemi di comunicazione,
consiste:
 Nella corretta elaborazione dei dati;
 In un livello adeguato di prestazioni;
 In un corretto instradamento dei dati.
Menù
Sicurezza Informatica
 L’integrità se riguarda il software riguarda:
 La completezza e la coerenza dei moduli del sistema operativo e
delle applicazioni;
 La correttezza dei file critici di sistema e di configurazione.
Menù
La riservatezza
La riservatezza consiste nel limitare l’accesso alle informazioni e alle
informatiche alle sole persone autorizzate. Si applica sia
all’archiviazione, sia alla comunicazione delle informazioni.
Menù
Sicurezza Informatica
Gestione del Rischio
Adesso esamineremo i rischi connessi ai vari aspetti di sicurezza
delle informazioni analizzando:
1) I beni da difendere;
2) Gli obiettivi di sicurezza;
3) Le minacce alla sicurezza;
4) La vulnerabilità dei sistemi informatici;
5) L’ impatto causato dall’attuazione delle minacce;
6) Il rischio.
Menù
Beni da difendere
In generale un bene è qualsiasi cosa, materiale o immateriale che ha un
valore e deve essere protetto.
Nel campo della sicurezza delle informazioni i beni di un’azienda sono:
 le risorse informatiche;
 il personale ( utenti, amministratori, addetti alla manutenzione);
 le informazioni;
 la documentazione;
 l’immagine dell’azienda.
Nel campo della sicurezza delle informazioni i beni di un individuo
sono:
 informazioni personali;
 la privacy.
Menù
Gestione del rischio
Obiettivi di sicurezza
Gli obiettivi di sicurezza sono il grado di protezione, che si intende
attuare per i beni in termini di:
 Disponibilità;
 Integrità;
 Riservatezza.
Per sapere quali obiettivi adottare, i beni si classificano in categorie e
ad ognuno di essi si assegna il tipo di sicurezza:
 Per le password e i numeri di identificazione il requisito più
importante per raggiungere l’obiettivo della sicurezza , è la
riservatezza.
 Per le informazioni contabili di una banca che segue transazioni online i requisiti richiesti sono: disponibilità, integrità e riservatezza.
 Per le informazioni pubblicate sul sito web i requisiti sono:
disponibilità, integrità.
Menù
Gestione del rischio
Minacce alla sicurezza
Una minaccia è un azione: potenziale, accidentale, deliberata; essa può
portare alla violazione ad uno o più obiettivi di sicurezza.
Le minacce posso essere classificate: naturale, ambientale e umana.
Tabella esempi di minacce
Minacce
deliberata
Accidentale
Terremoto
x
Inondazione
x
Bombardamento
x
Furto
x
Temperatura alta
o bassa
x
x
x
x
Guasto Hardware
Errori software
Ambientale
x
x
x
x
Menù
Gestione del rischio
Minacce
deliberata Accidentale Ambientale
Deterioramento
supporto di memoria
x
Errori dell’utente
x
Accesso illegale alla
rete
x
Software dannoso
x
x
x
Interruzione servizio
Provider
x
Errori di
trasmissione
Infiltrazione di rete
x
x
Menù
Gestione del rischio
Minaccia accidentale di origine naturale: si ha ad esempio quando un
allegato è dovuto a forti piogge, che influisce alla sicurezza in
quanto interrompe l’utilizzo dei servizi informatici
Minaccia deliberata di origine umana : si ha ad esempio quando
all’apertura di un allegato di posta elettronica infetto è istallato un
cavallo di troia, coinvolge tutti gli obiettivi di sicurezza, cioè viola la
sicurezza di 3 obiettivi:
 Disponibilità : il Pc cade sotto il controllo esterno e non può più
essere disponibile al suo proprietario;
 Integrità : le sue informazioni possono essere cancellate o
alterate,
 Riservatezza : i dati possono essere divulgati e letti dagli
estranei.
L’entità che mette in atto la minaccia è chiamato agente.
Menù
Gestione del rischio
Vulnerabilità dei sistemi informatici
La vulnerabilità è il punto debole del sistema operativo ( hardware,
software e procedure), se è colpito da qualche minaccia porta alla
violazione degli obiettivi di sicurezza. Una vulnerabilità non causa una
perdita di sicurezza ma è la combinazione tra vulnerabilità e minaccia.
Menù
Gestione del rischio
Impatto causato dall’attuazione delle minacce
L’impatto si ha quando la minaccia colpisce il sistema e dipende dal
valore del bene e dalla violazione degli obiettivi di sicurezza.
Menù
Gestione del rischio
Il rischio
Il rischio è l’insieme della gravità dell’impatto e la probabilità che si
verifichi l’evento dannoso.
Esso è tanto maggiore quanto maggiore è l’impatto che l’ ha causato
e l’altra probabilità che esso si verifichi.
Possiamo classificarlo in:
 Analisi del rischio;
 Controllo del rischio.
Menù
Gestione del rischio
Analisi del rischio
Con l’analisi del rischio si classificano le informazioni e le risorse
soggette a minacce e vulnerabilità e si identifica il livello di rischio
associato ad ogni minaccia.
Rischio
Menù
Controllo del rischio
Con il controllo del rischio vengono individuate le modalità che
l’azienda intende adottare per ridurre i rischi associati alla perdita
della disponibilità delle informazioni e risorse informatiche e della
integrità e della riservatezza di dati ed informazioni.
Rischio
Menù
Organizzazione della sicurezza
Gli strumenti e tecnologie non sono sufficienti per quanto riguarda la
sicurezza dei dati, ma bisogna creare un organizzazione per la
sicurezza che coinvolga l’intera struttura aziendale. Nella parte alta
del modello si trovano gli obiettivi strategici in cui troviamo:
 Classificazione dei beni e del loro valore;
 Censimento di vulnerabilità e minacce;
 Analisi del rischio;
 Analisi costi/benefici delle contromisure;
 Valutazione del grado di protezione;
 Definizione delle politiche di sicurezza ect.
Menù
Standard ed enti di standardizzazione
Gli enti di standardizzazione operano sia sull’ambito nazionale che
internazionale, emettono norme e linee guida per la realizzazione di
prodotti, processi e servizi. Svolge anche l’attività della
pubblicazione di documenti che possano essere interpretati secondo
gli standard internazionali.
Alcuni enti di standardizzazione:
 ITU ;
 ISO;
 IETF ( Internet Engineering Task Force)
Menù
ITU
International Telecominication Union.
E’ un organizzazione ONU dove governi e settore privato coordinano
le reti e i servizi globali di telecomunicazione.
Enti di standardizzazione
Menù
Crittografia
La crittografia è la scienza che fa uso della matematica per cifrare e
decifrare i dati. Essa studia come nascondere il significato o
contenuto di un messaggio in modo che i risultati comprensibili
solo dal destinatario stabilito dal mittente. Essa consiste nel
rendere incomprensibile un testo in chiaro attraverso un
algoritmo di cifratura che fa uso in input di una chiave. Il
risultato ( output ) dell’algoritmo sarà un testo inintelligibile che
potrà essere cifrato solo disponendo della chiave di decifratura.
Esistono due tipi di crittografia:

Crittografia simmetrica;

Crittografia asimmetrica.
Menù
Crittografia simmetrica
Viene utilizzata per cifrare grandi quantità di dati. Essa conferisce
una riservatezza al messaggio ma non c’è un’associazione univoca e
sicura tra la chiave e un individuo.
Menù
Crittografia
Crittografia asimmetrica
È una chiave pubblica. Essa fa uso di due tipi di chiavi utilizzate per
cifrare e decifrare messaggi o documenti. L’utilizzo della chiave
pubblica permette agli utenti di comunicare in modo sicuro
attraverso un canale insicuro, senza concordare in anticipo la chiave.
Essa può essere distribuita senza restrizioni. La chiave privata deve
essere custodita dal proprietario.
Menù
Crittografia
Autenticazione
Essa deve essere in possesso di una password o un certificato
digitale. L’entità chiede di essere autenticata come prova della
propria identità.
Quando l’utente è autenticato bisogna assicurargli che può accedere
solo alle risorse per cui è autorizzato.
Esistono diversi tipi di autenticazione:

Autenticazione locale = viene utilizzata da un computer o un
portatile;

Autenticazione indiretta = usata nei moderni sistemi che
consentono a diversi utenti di accedere ai servizi di rete;

Autenticazione off-line = viene utilizzata dai sistemi che
utilizzano la chiave pubblica.
Menù
I fattori di autenticazione sono:

Qualcosa che sai : password, passphrase, PIN.

Qualcosa che hai : smart, card, token.

Quello che sei: caratteristiche biometriche come impronte
digitali, retina, iride, volto, voce.
Per verificare che un documento sia stato realmente prodotto
inviato viene utilizzata la firma digitale.
Menù
Password
Essa è una delle più antichi sistemi di autenticazione. Nel 1967 si è
iniziato ad utilizzare l’hashing password, fino ad ora.
L’ Hash è un numero binario di lunghezza fissa, di lunghezza
variabile che funge da impronta del dato di partenza. Esso all’atto
dell’autenticazione, calcolato in base alla password digitata, viene
confrontato con quello registrato nel file, se coincidono l’utente è
autenticato.
Menù
Token
Esso è un fattore di autenticazione della categoria “quello che hai”.
L’utente deve possedere il token al fine di essere autenticato dal
computer, se il token viene smarrito, rubato o prestato l’utente non
può essere autenticato. Esistono due tipi di token:
 Token passivi;
 Token attivi.
Menù
Token Passivi
Ad esempio sono le carte di credito, bancomat di vecchia garanzia.
Vengono chiamati così perché i dati di identificazione sono
registrati su una striscia magnetica.
Menù
Token
Token Attivi
Essi non trasmettono il proprio dato segreto per autenticare
l’utente. Essi usano solitamente tecniche crittografate che li rendono
immuni da intercettazioni.
Menù
Token
Firma digitale
Garantisce l’autenticità di colui che dice di aver firmato quel
documento.
L’ Europa ha cominciato a conferire il valore giuridico alla firma
digitale con la serie di provvedimenti legislativi a partire dal 1997.
Essa viene utilizzata per garantire l’autenticità di colui che dice di
aver firmato un dato documento.
Deve essere:
1) Verificabile;
2) Non falsificabile;
3) Non ripudiabile.
Menù
Protezione dei dati
Quando parliamo di dati dobbiamo considerare il fattore
dell’integrità. Il loro insieme di garanzie sono:

Disponibilità dei dati;

Ininterrotto e regolare funzionamento dei processi aziendali.

Sono i pilastri della “Business Continuity”.
Il problema per la protezione dei dati contenuti nei dischi fissi,
consiste nel mantenere una “copia a caldo.”
Menù
Backup
Consente di proteggere i dati in un supporto fisico diverso da quello in
uso, effettuando una copia di riserva dei dati di interesse dell’
Organizzazione, per poterne fare uso al momento di necessità.
Esso può essere fatto in diversi modi:
 Backup normale;
 Backup incrementale;
Menù
Backup normale
Richiede più tempo perché copia tutti i file
selezionati, ma sarà più rapido nel ripristino
poiché richiede solo il supporto utilizzato più
recente.
Backup
Menù
Backup incrementale
Richiede meno tempo perché copia solo i file
creati o modificati dopo l’ultimo backup normale
o incrementale, ma richiederà più attenzione e
tempo in fase di ripristino perché saranno
necessari tutti i supporti utilizzati sia per il
primo Backup normale, che i successivi
incrementali.
Backup
Menù
Le minacce
Possiamo definirla come un virus.
I virus maligni possono essere programmati per danneggiare il
computer attraverso l’alternazione di programmi, la cancellazione di
file o la formattazione dell’ hardisk;
I virus benigni non sono progettati per replicare se stessi.
Esistono diverse tipologie di virus:
 Virus che infettano i file: infettano i programmi, file con estensioni
“.com” e “.exe”. Possono infettare anche quando un programma infetto
viene eseguito da floppy, disco fisso, cd-rom o rete;
 Virus del settore boot: infetta il boot record del disco fisso o di un
floppy. Esso è sempre presente in memoria.
 Virus MBR ( Master Boot Record ): il codice si localizza in parti
diverse a secondo del tipo di partizione del disco;
Menù
 Virus multipartito: infetta il boot e i file programma;
 Macro virus: infetta i dati;
 Virus Hoax: non è un vero virus ma un messaggio di
avviso contenenti falsi allarmi, viene definito Bufale, viene
spedite via e-mail.
Menù
Le vie di accesso
Un computer è collegato tramite periferiche e porte di
rete, non tutte presentano le stesse modalità; altre
invece come il floppy rappresentano una via di entrata.
Menù
Prevenzione degli attacchi
Di seguito vengono elencati le prevenzioni:
 Usare un antivirus efficace e tenerlo sempre aggiornato;
 Istallare un antimalware e abilitare l’aggiornamento automatico;
 Scaricare e aggiornare i vari aggiornamenti;
 Inserire le password e modificarle spesso;
 Istallare un Firewall e effettuare dei controlli sul traffico di rete;
 Evitare di lasciare il computer acceso;
 Evitare di aprire gli allegati di posta elettronica;
 Quando si effettua un istallazione di programmi utilizzare l’opzione
“anteprima”;
 Durante la navigazione web diffidare delle URL;
 Cercare di evitare di avviare il sistema con il floppy di dubbia
provenienza.
Menù
I beni sono
sempre accessibili
agli utenti
autorizzati
I beni possono essere
modificati solo dagli
utenti autorizzati o solo
nel modo consentito
Disponibilità
Integrità
I beni sono
accessibili solo agli
utenti autorizzati
Menù
Il Malware
Si definisce malware un qualsiasi software
creato con il solo scopo di creare danni più
o meno estesi al computer su cui viene
eseguito.
Il termine deriva dalla contrazione delle
parole inglesi malicious e software e ha
dunque il significato letterale di
"programma malvagio".
Worm, Trojan, Spyware, Adware
Coookie, Spam, Hijacking, Phishing, Dialer
Menù
Il Troian
Un trojan, (Cavallo di Troia), è un programma per
computer che contiene funzionalità maliziose
note a chi lo ha programmato, ma non all'utente.
Un trojan horse è chiamato in questo modo poichè
esegue delle azioni nascoste all'utente, facendo
credere a quest'ultimo di essere in possesso di
qualcosa di realmente utile.
In genere col termine Trojan ci si riferisce ai trojan ad accesso
remoto, composti generalmente da 2 file: il file server, che viene
installato nella macchina vittima, ed un file client, usato dal pirata per
inviare istruzioni che il server esegue. In questo modo, la vittima è
indotta a far entrare il programma nel computer, ed eseguire il
programma.
I trojan non si diffondono autonomamente come i virus o i worm, quindi
richiedono un intervento diretto dell'attaccante per far giungere
l'eseguibile malizioso alla vittima
Menù
Un trojan può contenere qualsiasi tipo di
istruzione maliziosa e pornografica. Spesso
i trojan sono usati come veicolo alternativo
ai worm e ai virus per installare delle
backdoor o dei Keylogger sui sistemi
bersaglio.
Menù
Worm
Un worm è una particolare categoria di malware in grado di
autoreplicarsi. È simile ad un virus, ma a differenza di questo
non necessita di legarsi ad altri eseguibili per diffondersi.
Tipicamente un worm modifica il computer che infetta, in modo
da venire eseguito ogni volta che si avvia la macchina e
rimanere attivo finché non si spegne il computer o non si
arresta il processo corrispondente. Il worm tenta di replicarsi
sfruttando Internet in diverse maniere, spesso i mezzi di
diffusione sono più di uno per uno stesso worm.
Malware
Menù
Lo Spam
Lo spam ( o e-mail spazzatura) è l’invio
di tanta pubblicità e l’invio delle e-mail
indesiderate che invadono le caselle di
posta elettronica. Il rimedio è quello di
far controllare le e-mail da un
programma che fa da filtro antispam.
Gli spam arrivano al vostro indirizzo grazie a programmi specifici
che sfruttano tutto ciò che contiene una “@” nei forum e nelle
chat. Questi programmi, chiamati crawler funzionano grosso
modo come i motori di ricerca in internet.
Malware
Menù
Spyware
Mentre state navigando in Internet,
qualcuno, di nascosto, sta raccogliendo
dei dati sul vostro Pc.
Si tratta di un programma “Spyware”. Vengono usati da da
“spamer” e “ craker” ovvero diversi tipi di pirati informatici, e
anche da società che si occupano di pubblicità on-line, per
conoscere le vostre abitudini quando navigate in Internet, quali
programmi usate e quali avete installato. Alcuni raccolgono dati
anche su tutto quello che digitate.
Malware
Menù
Phishing
In ambito informatico si definisce phishing
una
tecnica utilizzata per ottenere l'accesso ad
informazioni personali e riservate con la
finalità
del furto di identità mediante l'utilizzo
dimessaggi
di posta elettronica fasulli, opportunamente
creati per apparire autentici.
Grazie a questi messaggi, l'utente è ingannato e portato a rivelare
dati sensibili, come numero di conto corrente, nome utente e
password, numero di carta di credito ecc.
Per difendersi dal phishing inviato via e-mail, basta cancellare l'email.
Malware
Menù
Dialer
Un dialer è un programma per computer che crea una
connessione ad Internet, ad un'altra rete di
calcolatori o semplicemente ad un altro computer
tramite la comune linea telefonica o un
collegamento ISDN.
Alcuni di questi programmi sono creati per connettersi a numeri a
tariffazione speciale.
La maggior parte dei dialer impostati per connettersi a numeri a
tariffazione speciale utilizza metodi illegali, rientrando così nella
fattispecie del reato di truffa. Per le denunce compete la Polizia
Postale
Gli utenti con una connessione DSL o simile (per esempio una
connessione ad internet attraverso la rete locale) generalmente non
sono soggetti alla minaccia dei dialer.
Malware
Menù
Firewall
Il firewall è un componente passivo di
difesa perimetrale che può anche
svolgere funzioni di collegamento di due
o più tronconi di rete. Usualmente la
rete viene divisa in due sottoreti: una,
detta esterna, comprende l'intera
internet mentre l'altra interna, detta
LAN (Local Area Network)che
comprende una sezione più o meno
grande di un insieme di computer locali.
La sua funzionalità principale in sostanza è quella di creare un
filtro sulle connessioni entranti ed uscenti, in questo modo il
dispositivo innalza il livello di sicurezza della rete e permette sia
agli utenti interni che a quelli esterni di operare nel massimo della
sicurezza.
Malware
Menù



Un worm è una particolare categoria di malware in grado di
autoreplicarsi. È simile ad un virus, ma a differenza di questo
non necessita di legarsi ad altri eseguibili per diffondersi.
Tipicamente un worm modifica il computer che infetta, in
modo da venire eseguito ogni volta che si avvia la macchina e
rimanere attivo finché non si spegne il computer o non si
arresta il processo corrispondente. Il worm tenta di replicarsi
sfruttando Internet in diverse maniere, spesso i mezzi di
diffusione sono più di uno per uno stesso worm.
Il mezzo più comune impiegato dai worm per diffondersi è la
posta elettronica: il programma malizioso ricerca indirizzi email memorizzati nel computer ospite ed invia una copia di se
stesso come file allegato (attachment) a tutti o parte degli
indirizzi che è riuscito a raccogliere.
Malware
Menù
Adware
E’ un tipo di software distribuito gratuitamente in
cambio della visualizzazione di pubblicità tramite
appositi banner inseriti nel programma stesso.
È’ una forma di distribuzione che si è diffusa
notevolmente grazie a Internet e un modo per
ripagare dei costi di sviluppo i produttori di
programmi. Spesso viene data la possibilità di far
scomparire il banner dalla finestra di lavoro del
programma, pagando una piccola cifra in denaro
al produttore, di entità simile a quelle richieste
per la fornitura di software in modalità
shareware.
Malware
Menù
Cookie
I cookies (letteralmente "biscottini") sono piccoli file di
testo che i siti web utilizzano per immagazzinare alcune
informazioni nel computer dell'utente. I cookie sono inviati
dal sito web e memorizzati sul computer. Sono quindi reinviati al sito web al momento delle visite successive. Le
informazioni all'interno dei cookie sono spesso codificate e
non comprensibili.
Malware
Menù
Le applicazioni più comuni vanno dalla memorizzazione di
informazioni sulle abilitazioni dell'utente, alla tracciatura
dei movimenti dell'utente stesso all'interno dei siti web
che visita.
Menù
Hijacking
Hijacking: portare l'utente a visitare determinate pagine
indipendentemente dalla sua volontà e dalle sue abitudini in rete.
Questo può essere fatto solo assumendo direttamente il controllo
della
macchina usata dall'utente.
Questa tecnica, permette ai dirottatori di eseguire sul
nostro computer una serie di modifiche tali da garantirsi la
nostra visita alle loro pagine al solo scopo di incrementare
in modo artificioso il numero di accessi e di click diretti al
sito e conseguentemente incrementare i guadagni dovuti
alle inserzioni pubblicitarie
Queste azioni possono limitarsi alla semplice modifica della pagina
iniziale del browser, all'aggiunta automatica di siti tra i preferiti
fino a radicali modifiche al nostro.
Malware
Menù
Riferimenti normativi sulla Sicurezza Informatica
L’evoluzione tecnologica e l’uso sempre più diffuso di
strumenti informatici in tutti i settori di attività,
hanno spinto negli anni il legislatore ad adeguare
progressivamente il sistema legislativo vigente, ai
cambiamenti imposti dall’emergere di nuovi e
sempre più sofisticati strumenti e sistemi di
scambio delle informazioni, al fine di tenere conto
delle mutate realtà che la tecnologia ha
inevitabilmente comportato.
Di seguito vengono elencati, in ordine cronologico, i
principali riferimenti normativi riguardanti la
sicurezza informatica:
Malware
Menù





1993: Legge 23/12/93 n. 547 Integrazione del codice penale con
l’introduzione dei reati di criminalità informatica;
1996: Legge 31/12/96 n. 675 Tutela dei dati personali (legge
sulla privacy)
1999: Decreto del Presidente della Repubblica 28/07/99 n. 318
Regolamento per l’individuazione delle misure minime di sicurezza
per il trattamento dei dati personali (regolamento previsto dalla
legge 675/96);
2002: Direttiva del Presidente del Consiglio dei ministri 16
gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle
Pubbliche Amministrazioni;
2003: Decreto Legislativo 30/6/03 n. 196 Codice in materia di
protezione dei dati personali (abroga ed estende la legge sulla
Privacy del ’96 e il suo regolamento sulle misure minime di
sicurezza).
Malware
Menù
Reati di criminalità informatica
Nel 1993 la storia informatica entra
ufficialmente nei codici del nostro
sistema legislativo nel quale è stata
promulgata la legge 23 dicembre 1993
n. 547, che ha modificato e integrato il
codice penale e quello di procedura penale,
introducendo i reati di criminalità
informatica.
In questa legge veniva così attribuita una
importanza giuridica agli strumenti e sistemi
informatici e telematici, che fino ad allora
non
erano stati considerati alla stessa stregua di
altri
mezzi.
Malware
Con questa legge vengono effettuate molte importanti
equiparazioni dei sistemi informatici: vengono ad esempio
modificati alcuni articoli del codice penale estendendo
alcuni reati inerenti violenza alle cose, anche all’alterazione
o distruzione dei programmi informatici, nonché alle azioni
volte al malfunzionamento di sistemi informatici e
telematici. Viene sancita l’applicazioni delle disposizioni
concernenti gli atti pubblici e le scritture, anche ai
documenti informatici; si introduce il concetto di “domicilio
informatico”; v iene equiparata la corrispondenza
informatica o telematica a quella epistolare, telegrafica e
telefonica; viene punito il furto e la diffusione di password.
La legge sulla Privacy


In termini di riservatezza e privacy, la legislazione vigente non
mira ad impedire il trattamento dei dati personali, bensì a
regolamentarlo, permettendo all’interessato di conoscere la
finalità del trattamento dei suoi dati e subordinandone la
legittimità, al consenso informato della persona.
La legge 31 dicembre 1996 n. 675, comunemente nota come
“legge sulla privacy” finalizza alla tutela delle persone rispetto
al trattamento dei dati personali. Questa legge prevedeva al suo
art. 15, l’emanazione di un regolamento riguardante le misure
minime di sicurezza per il trattamento dei dati personali. Tale
regolamento veniva pubblicato con il Decreto del Presidente
della Repubblica 28 luglio 1999 n. 318.
A decorrere dal 1° gennaio 2004 la legge 675/96 è stata
abrogata e sostituita dal Decreto legislativo 30 giugno 2003
n. 196 – “Codice in materia di protezione dei dati personali”, il
quale estende la legge sulla privacy del 1996 e il suo
regolamento del 1999 sulle misure minime di sicurezza.
Uno dei primi aspetti è comprendere il significato dei termini “
trattamento”, “dati identificativi” e soprattutto “dati personali”
e “dati sensibili”.
•“trattamento”: qualunque operazione o complesso di operazioni,
effettuanti anche senza l’ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l’organizzazione, la
conservazione, la consultazione, l’elaborazione, la modificazione,
la selezione, l’estrazione, il rafforzo, l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione dei dati, anche se non registrati in
una banca dati;



“dato personale”: qualunque informazione relativa a
persona fisica, persona giuridica, ente o associazione,
identificati o identificabili, anche indirettamente
mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale;
“dati identificativi”: i dati personali che permettono
l’identificazione diretta dell’interessato;
“dati sensibili”: i dati personali idonei a rilevare
l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a
rilevare lo stato di salute e la vita sessuale.
La finalità della legge riguarda la garanzia che il
trattamento dei dati personali si svolga nel rispetto
dei diritti, delle libertà fondamentali e della dignità
dell’interessato, con particolare riferimento alla
riservatezza e protezione dei suoi dati personali.
Riassumendo gli aspetti della legge, possiamo
evidenziare 3 aspetti fondamentali:
 Il diritto di accesso della persona ai dati che lo
riguardano;


La legittimità e le finalità del trattamento dei dati
personali;
Il consenso informato dell’interessato.
Cosa si rischia se non si rispettano le norme
sulla
protezione e sul trattamento dei dati personali





Le sanzioni possono essere sia di carattere risarcitorio che di
carattere amministrativo e penale.
Aspetto risarcitorio: è previsto l’art. 15 che cita: “chiunque
cagioni danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell’art. 2050 del
codice civile”.
Sanzioni amministrative: L’omessa o inidonea informativa
all’interessato, sanzionata dall’art. 161, prevede multe da 3.000 a
18.000 euro che possono arrivare fino a 30.000 euro nei casi di
dati sensibili giudiziari o di trattamenti che presentano rischi
specifici.
Sanzioni penali: sono stabilite dall’art. 167 che riguarda il
trattamento illecito di dati e nel quale, se dal fatto deriva
nocumento, è prevista la reclusione da un minimo di 6 mesi ad un
massimo di 3 anni, in funzione degli articoli violati e della
tipologia di violazione.
Definizione “legale” di Sicurezza Informatica
Sicurezza fisica
Sicurezza tecnica
Sicurezza dei dati
Sicurezza logistica
Sicurezza dei programmi
Sicurezza legale
Sicurezza applicazioni