Informatica

CONCETTI GENERALI (1)
INFORMATICA = informazione automatica scienza che include problematiche, teorie, metodi, tecniche e
tecnologie del trattamento (rappresentazione, elaborazione, conservazione, trasmissione, etc.) automatico
delle informazioni. Informazione = "materia prima" della convivenza civile, avente forma (numerica,
alfanumerica, grafica) e contenuto (quali/quantitativo) ===> esigenza di utilizzare metodologie e dispositivi
atti a risolvere i molteplici aspetti che coinvolgono il dominio dell’informazione.
DATO = rappresentazione simbolica ed astratta di entità (concrete o ideali). Il dato grezzo, come ad
esempio: 27, 0881-675421, FG*510234, LEONE non ha alcun significato.

Informazione = dato + significato
 27: può essere il giorno di riscossione dello stipendio, oppure l’età di una persona, o la lunghezza in
cm. di un oggetto
 0881-675421: può essere un numero di telefono, o il fatturato dell’articolo con codice 0881
 FG*510234: può essere una targa automobilistica, l’identificativo di una patente
 LEONE: è il re della foresta, o l’ex Presidente della Repubblica
 La targa dell’auto di Gianni è: FG*510234 descrittore – dato
Attenzione: IL CALCOLATORE ELABORA DATI; L’UOMO E` IN GRADO DI USARE INFORMAZIONI.

Elaborazione dell’informazione = trasformazione della stessa nella forma e/o nel contenuto ===> uso di un
sistema (cioé i dispositivi hardware) e delle regole che ne definiscano il funzionamento (software) con
finalità che qualificano il sistema stesso.
Informazione = entità che riduce lo stato di incertezza (entropia) Aspetti fondamentali: - utilità -
emittente/ricevente - linguaggio - canale (mezzo che offre il supporto fisico alla trasmissione) ==> capacità
(ampiezza di banda), rumore (qualità trasmissiva) - supporto (di memorizzazione)
Hardware e Software di base
• Hardware = apparecchiature fisiche

• Software = programmi
• Software di base = programmi che rendono utilizzabile il computer e ne arricchiscono le funzionalità
• Il sw di base include –Sistema operativo (S.O.) – Compilatori, Interpreti
Sistema Operativo: funzionalità
• Gestire le risorse della macchina (CPU, memoria, dispositivi di I/O, file)

• Dialogare con l’utente (o gli utenti)
• Rendere disponibili agli utenti i traduttori e consentire l’uso dei programmi applicativi
• Controllare l’uso del sistema (da parte degli utenti) a fini amministrativi
Gestione delle risorse
• S.O. mono e multiutente – Protezione delle informazioni

• Multiprogrammazione o multitasking : più attività possono (o debbono) essere svolte
“contemporaneamente” ; programmi e processi ; competizione per le risorse; parallelismo e concorrenza
1
COMPONENTI DI UN PC
COMPUTER = Un sistema elettronico programmabile, capace di eseguire un insieme di istruzioni registrate
in precedenza (programma), per la soluzione di problemi mediante l’elaborazione automatica di
informazioni.
HARDWAR = I componenti elettronici e meccanici del computer e delle periferiche.
SOFTWAR = I programmi necessari per il funzionamento del computer (software di sistema: sistema
operativo – ad es. Windows) o per la soluzione di specifici problemi (software applicativo: elaborazione di
testi, fogli elettronici, database, grafica, comunicazioni, didattica, giochi…).
PROCESSORE (CPU: Central Processing Unit)= È il cervello del computer: interpreta ed esegue le istruzioni
contenute nei programmi. I processori funzionano alla velocità di parecchi milioni di istruzioni al secondo
(MIPS), con frequenze di oltre 1GHz ( ≥1000MHz). È il più importante componente della scheda madre.
SCHEDA MADRE = È la scheda basilare di ogni personal computer. Tutti i componenti del computer sono
sulla scheda madre o sono ad essa collegati (tramite slot del bus)
Memoria RAM ( Random Access Memory: memoria ad accesso casuale) = È costituita da chip collocati
sulla scheda madre e consente al processore di lavorare: quanto maggiore è la RAM (4GB), tanto più
velocemente (tempo di accesso 6-30ns) lavorerà il computer. È detta anche memoria di lavoro o
temporanea, ed è volatile: spento il computer, tutti i dati in essa contenuti vengono cancellati.
HARD DISK= Unità di archiviazione a supporto magnetico destinata alla registrazione permanente dei dati.
Garantisce un’elevata capacità di archiviazione (1TB) ed un accesso veloce ai dati (pochi millisecondi).
CD-ROM = Unità di archiviazione a supporto ottico rimovibile che può contenere grandi quantità di dati
(700 MB). Di più recente nascita è il DVD (Digital Versatile Disc), analogo al CD-ROM, ma in grado di
contenere fino a 17 GB di dati ( Î oltre 20 CD-ROM).
FLOPPY DISK (dischetti)= Unità di archiviazione a supporto magnetico rimovibile che può contenere
soltanto una piccola quantità di dati (1,44 MB). I dischetti sono economici e facilmente trasportabili.
VIDEO (Scheda+Monitor)= Visualizza sullo schermo l’immagine che il processore ha creato nella memoria,
“accendendo” i pixel dello schermo (più memoria Î maggiore risoluzione video: 640x480, 800x600,
1024x768, 1280x1024, 1600x1280, …)
TASTIERA (Unità di input): consente di battere documenti e trasmettere comandi al computer. Ha

ereditato la disposizione caratteristica dei tasti della macchina da scrivere; ha più di 100 tasti (lettere, cifre,
simboli speciali, tasti funzione).
MOUSE = Unità di input che serve per spostarsi in maniera efficace sullo schermo del computer. Ha due o
tre tasti “cliccabili” che corrispondono ad “azioni”.
SITEMA OPERATIVO = Software di base che coordina il funzionamento delle diverse componenti
hardware e software del computer, fungendo da “intermediario” tra l’utente, i programmi in dotazione e
la macchina. Il sistema operativo dialoga con l’utente mediante l’interfaccia utente (testuale o grafica).
2
CPU (Central Processing Unit): Dirige tutte le operazioni e può essere perciò definito il cervello del
dell’elaboratore La velocità di un microprocessore si misura in MHz (megahertz)
RISC (Reduced Instruction Set Computing): Architettura di microprocessori che favorisce la velocità della
singola istruzione a scapito della robustezza del set di istruzioni. Esempio: PowerPC (Apple) - Alpha (Digital)
CISC (Complex Instruction Set Computing): Architettura di microprocessori che utilizza l’impiego di
istruzioni complesse. Esempio: Intel (PC compatibili)
La velocità di un microprocessore si misura in MHz (megahertz)
MEMORIA INTERNA
RAM (Random Access Memory): memorie che contengono dati e programmi che posso essere letti e scritti.
L’accesso ai dati è diretto in modo casuale.
ROM (Read Only Memory): memoria da cui si possono leggere i dati registrati dal costruttore ma nella
quale non è possibile scrivere. Esistono diversi tipi di ROM: PROM (Programmable ROM); EPROM (Erasable
Programmable ROM); EEPROM (Electrically EPROM).
Memorie RAM
Le memorie di tipo RAM sono caratterizzate dalla quantità di dati che possono contenere (espressi in
MegaByte) e il tempo di acceso (espressi in NanoSecondi)
DRAM (Dynamic RAM): costituisce la maggior parte della RAM installata sugli elaboratori.
RAM di tipo DIMM (Dual Inline Memory Module) 168 pin (contatti) 2 scanalature Tempi di accesso da 6 a
30 ns. SRAM (Static RAM): caratterizzata da tempi di accesso brevi e bassi consumi (Usata come cache).
La CACHE è una memoria che contiene i dati e programmi più frequentemente usati.
BUS: I bus realizzano le interconnessioni fisiche tra i diversi dispositivi che costituiscono l’elaboratore.
Trasportano segnali elettrici in modo parallelo, cioè più segnali possono viaggiare, tra un dispositivo ad
un'altro, contemporaneamente all’interno del bus. Esistono diversi tipi di bus, classificati in funzione del
tipo di dati che trasportano: bus dati, bus di indirizzi, bus di controllo.
MEMORIE DI MASSA
Sono delle periferiche che permettono la memorizzazione permanente di grandi quantità di dati e la loro
successiva lettura/ scrittura. Tipologie:
- magnetici: es, nastri, floppy disk, hard disk
- ottici: es, CD-ROM, DVD
Le memorie di massa di tipo magnetico possono essere ad accesso sequenziale (nastri) oppure ad accesso
diretto come i comuni floppy disk.
NASTRI
- Tipo di lettura: magnetica
- Tipo di accesso: sequenziale
- Capacità: 150 GB e oltre
- Pro: capacità - economicità
- Contro: deteriorabilità
- Evoluzioni future: Capienza maggiore
E’ un nastro di plastica con un sottile strato di ferrite in superficie avvolto in due bobine che ne permettono
lo scorrimento ; sono contenuti in un involucro di plastica e alluminio; Utilizzati per l’archiviazione dei dati
di grandi quantità di dati; lentezza nella lettura dei dati.
3
FLOPPY DISK
- Tipo di accesso: diretto
- Capacità: 720 kb e 1.44 mb
- Pro: economicità - diffusione
- Contro: bassa capacità - deteriorabilità
- Evoluzioni future: Iomega ZIP – Syquest
E’ un disco di plastica con un sottile strato di ferrite in superficie; sono contenuti in un involucro di plastica;
hanno diametro di 3,5 pollici; sono organizzati in TRACCE e SETTORI; ruota solo quando si effettuano
richieste di lettura/scrittura dati
HARD DISK
- Tipo di accesso: diretto
- Capacità: oltre 1.000 GB (1TB)
- Pro: velocità – capienza
E’ un disco generalmente di alluminio con le superfici levigate, sulle quali è depositato uno strato di ferrite
molto sottile; il disco è sempre in rotazione e ruota a velocità costante (da 3.600 a 15.000 RPM).
CD Rom/DVD
- Tipo di lettura: ottica
- Tipo di accesso: sequenziale
- Capacità: 700MB / 4,7 GB
- Pro: diffusione – economicità
- Ultima evoluzione: DVD DL (9 GB+)
E’ un disco di plastica inciso da un laser; ha una sola traccia a forma di spirale, la lettura dei dati avviene in
modo sequenziale; i lettori di CD/DVD imprimono velocità di rotazione diverse dipendentemente della
tecnologia costruttiva (2X, 4X, …… 52X); attualmente esistono supporti scrivibili (CD/DVD-R) mediante
appositi apparecchi detti masterizzatori o CD-Writer; esistono anche CD/DVD-RW riscrivibili più volte.
Periferiche di OUTPUT
STAMPANTI
Margherita: hanno dei martelletti sui quali sono incisi i caratteri da stampare. Non possono stampare
grafici.
Aghi: i caratteri vengono stampati utilizzando piccolissimi aghi, da 9 a 24. Possono stampare grafici. Sono a
colori e bianco/nero. Sono veloci ma rumorose.
Getto d’inchiostro: attraverso degli ugelli l’inchiostro viene spruzzato formando caratteri e grafici. Sono a
colori e bianco/nero.
Laser: un raggio laser illumina un rullo nel quale vengono formati caratteri e grafici. Il rullo attira, nella
parte illuminata, una polverina detta Toner, mentre un altro rullo preme la polverina su un foglio di carta.
Sono a colori e bianco/nero.
HARDWARE e SOFTWARE
Hardware: L’insieme delle componenti fisiche che costituiscono l’elaboratore elettronico. Tutto ciò che si
può toccare. Software(di base, applicativo): L’insieme dei programmi che definiscono una sequenza di
operazioni mediante le quali è possibile risolvere i problemi di una certa classe.
4
Software di base: insieme di programmi forniti in genere con l’elaboratore dalla stessa casa costruttrice per
la gestione delle risorse del sistema (Ms-Dos, Windows, Unix, Linux, VMS, AS-400, …)
Software applicativo: insieme di programmi destinati a svolgere uno specifico lavoro per l’utente finale
(Word, Powerpoint, … , Internet Explorer, Outlook, …) di tipo orizzontale (di uso comune) o verticale (per
specifiche applicazioni)
Il sistema numerico BINARIO

BIT: acronimo di Binary digIT, indica l’unità elementare di informazione nel sistema numerico binario e può
assumere il valore 0 oppure 1
BYTE: Il più piccolo elemento significativo utilizzato dagli elaboratori elettronici; è formato da 8 BIT
Sistema Operativo: funzionalità

• Gestire le risorse della macchina (CPU, memoria, dispositivi di I/O, file)
• Dialogare con l’utente (o gli utenti)
• Rendere disponibili agli utenti i traduttori e consentire l’uso dei programmi applicativi
• Controllare l’uso del sistema (da parte degli utenti) a fini amministrativi
Gestione delle risorse:

• S.O. mono e multiutente – Protezione delle informazioni
• Multiprogrammazione o multitasking più attività possono (o debbono) essere svolte
“contemporaneamente” ; programmi e processi ; competizione per le risorse; parallelismo e concorrenza.
Sistema operativo: architettura

• Modello cosiddetto “a buccia di cipolla” (o semplicemente a strati)
• Ogni strato realizza una “macchina virtuale” - Usa le funzionalità della macchina sottostante - Fornisce
servizi alla macchina che segue nella gerarchia - Gestisce delle risorse mediante politiche invisibili ai livelli
superiori.
File (management) system

• Creazione e cancellazione dei file
• Modifica e aggiornamento
• Protezione dei file e modalità di accesso
• Copia, spostamento, creazione di collegamenti, etc.
• Gestione della memoria di massa
Organizzazione dei dati sulle memorie di massa

• Ogni “entità referenziabile ” su disco è un file – un programma – un insieme di dati utilizzati da un
programma – una base di dati (o un archivio) – un grafico
• I file sono identificati da un nome (filename) :- nome - estensione
Il Sistema Operativo Unix Cenni storici

• Alla fine degli anni ‘60, un gruppo di ricercatori dei “Bell Laboratories” (Ken Thompson, Denis Ritchie ed
altri collaboratori) a seguito del fallimento del progetto MULTICS per un sistema operativo fra più
costruttori, proposero di recuperare il know-how, ridimensionando il progetto e la denominazione in UNIX.
• Obiettivi principali di UNIX erano: il supporto alle attività di sviluppo software (i sistemi operativi
all’epoca erano orientati all’utilizzo dell’elaboratore); l’indipendenza dall’hardware.
5
• UNIX fu scritto in versioni successive su elaboratori Digital della serie PDP, dapprima in assembaree poi in
linguaggio C, progettato appositamente per rendere UNIX indipendente dall’elaboratore
• Negli anni ‘70 UNIX era utilizzato all’interno della AT&T (proprietaria della Bell Laboratories) ma non
poteva essere commercializzato per vincoli legali, che impedivano ad AT&T di entrare nel campo
dell’informatica.
• UNIX fu diffuso gratuitamente, completo di codice sorgente, in molte università, le quali portarono vari
contributi e realizzarono una serie di “dialetti”.
• Una particolare implementazione di Unix è Linux, scritta dallo studente (all’epoca ventenne) finlandese
Linus Torvalds e successivamente resa gratuitamente (open-source) disponibile per chiunque su
Internet.
• Oggi Linux è lo Unix più diffuso al mondo, ed è presente in innumerevoli “dialetti” (o distribuzioni), tra cui:
Debian, RedHat, Suse, Mandrake, Linspire.
• Una particolare versione di Unix, derivata dalla versione universitaria BSD (Berkeley) è Darwin, su cui è
basato il sistema operativo Mac OS X di Apple.
RETI DI CALCOLATORI
TIPOLOGIE DI RETI
La distanza tra gli utenti di una rete è uno dei fattori che determina il tipo di rete e la tecnologia che la
implementa.
LAN (Local Area Network) definisce una tipologia di rete come un sistema di comunicazione dati che
consente a un certo numero di dispositivi indipendenti di comunicare direttamente l’uno con l’altro,
all’interno di un’area moderatamente ampia. Il sistema è di tipo broadcast.
WAN(Wide Area Network) definisce tipologie di rete che definisce tipologie di rete che collegano utenti che
operano sparsi in tutto il mondo. Il sistema di trasmissione è di tipo a commutazione di pacchetto.
Protocolli di comunicazione
I protocolli di comunicazione di dati sono delle specifiche che definiscono le regole per coordinare lo
scambio di informazioni tra i diversi dispositivi che compongono una rete di elaboratori elettronici.
Rete a “commutazione di pacchetto”: quando si inviano informazioni i dati vengono suddivisi in piccoli
blocchi. Ciascuno di essi è trasmesso indipendentemente dagli altri. Quando tutti i pacchetti arrivano a
destinazione sono ricombinati nella forma originale.
I sette strati del modello OSI

Il modello OSI (Open System Interconnection) suddivide il lavoro di spostare dati (pacchetti), da un
punto all’altro della rete, in sette compiti diversi. I compiti sono organizzati gerarchicamente. Ogni
strato contribuisce alla frammentazione\assemblaggio e invio\ricezione dei pacchetti .
1) Strato fisico: fornisce la connessione fisica tra un sistema di elaborazione e i fili di connessione alla rete.
L’unità di misura a questo livello è il bit.
2) Strato di collegamento dati: fornisce l’impacchettamento e lo spacchettamento dei dati. Questo strato è
preposto all’ascolto dei dati che circolano sulla rete e quindi è responsabile della gestione del traffico sulla
rete, determina quando il supporto fisico è libero di trasmettere i dati e individua le collisioni di dati sulla
rete.
3) Strato di rete: fornisce l’instradamento dei dati attraverso la rete. Avvalendosi di tabelle di routing,
questo livello, determina qual è il cammino più veloce, o in generale il migliore, per la consegna dei
6
pacchetti al destinatario. A questo livello opera il protocollo IP.
7
4) Strato di trasporto: ha il compito di prendere i dati e dividerli in pacchetti, assegnando un’intestazione
che contiene varie informazioni di controllo per stabilire se nel corso della trasmissione si sono verificati
errori e quindi chiedere la ritrasmissione al mittente. A questo livello operano i protocolli TCP e UDP.
5) Strato di sessione: stabilisce una connessione formale tra le unità comunicanti. Questa connessione
assicura che i messaggi siano inviati e ricevuti con alto livello di affidabilità.
6) Strato di presentazione: esegue conversioni per rendere i dati disponibili allo strato delle
applicazioni. Inoltre si occupa di processi di compressione/decompressione e crittografia/decifrazione
dei dati.
7) Strato delle applicazioni: supporta le interfacce tra i programmi di ausilio all’utilizzo e gestione della rete
e l’utente finale. I programmi permettono funzionalità come: l’accesso remoto a dispositivi collegati in reti,
trasferimento di file, scambio di posta elettronica, applicazioni per il monitoraggio della rete, etc.
Come è nata la rete Internet ?

Negli anni ‘70 l’ Advanced Resech Projects rojects Agency, sviluppa, per conto del Dipartimento della Difesa
Americano, un sistema di comunicazione per fornire un collegamento tra le diverse basi militari sparse nel
mondo. Da qui il nome originario ARPAnet .
Negli anni ‘80 ARPAnet crebbe così tanto che il Dipartimento della Difesa Americano decise di dividerla in
due reti: l’altra rete prese il nome di MILnet e fu costituita solo per scopi militari. ARPAnet continuò invece
a essere utilizzata a sostegno dello sviluppo e della ricerca e prese il nome semplicemente di INTERNET.
Negli anni ‘90 i ricercatori del CERN di Ginevra trasformano la rete INTERNET da semplice strumento
riservato al mondo accademico di ricerca ad una grande banca dati facile da consultare per tutti, in grado di
contenere testi, immagini e suoni (World Wide Web).
L’architettura della rete INTERNET

INTERNET è un’organizzazione flessibile di reti di computer gestita da molte società private, Università ed
Enti Governativi, che ne sostengono lo sviluppo e la diffusione. Tutte operano insieme in un’alleanza
democratica, con una organizzazione molto libera. La rete INTERNET è costituita da un’ insieme di nodi,
detti domini, sparsi per tutto il pianeta, collegati tra loro attraverso dei “link” in una struttura a rete.
L’interazione su internet
SERVER: sono dei computer di elevata potenza che, rendendo disponibili dei servizi Internet (WWW, posta
elettronica, FTP, etc.), provvedono a soddisfare le richieste provenienti dai client, spesso codificate, senza
doversi occupare della presentazione dei dati nella stazione richiedente.
CLIENT: sono dei computer, in genere PC, da cui è possibile attraverso software dedicati (browser web:
Netscape, Explorer, …; posta elettronica: Eudora, Outlook, …; trasmissione e ricezione di file: WSFTP,
CuteFTP, …) interagire con i server, ed ai quali è demandata la responsabilità della presentazione dei dati
elaborati in cooperazione con i server stessi.
MODALITA DI COLLEGAMENTO ALLA RETE INTERNET

Esistono due tipologie di utenti:
 Quelli connessi ad una rete LAN: sono gli utenti che hanno la possibilità di usufruire dei servizi di
Internet disponendo di un computer collegato attraverso una scheda di rete alla propria rete locale
(LAN aziendale) la quale è costantemente collegata a Internet.
 Quelli direttamente collegati al punto di accesso alla rete (POP): sono coloro che si collegano ad
Internet attraverso un modem in linea commutata o modem ISDN, oggi attraverso un router
8
Wireless ADSL al gestore di servizi Internet, detto ISP (Internet Service Provider), che fornisce il
collegamento alla rete Internet.
Gli indirizzi di Internet

Come nella rete telefonica ad ogni utenza è assegnato un indirizzo numerico univoco, anche nella rete
Internet ad ogni elaboratore (host) è assegnato un indirizzo numerico univoco, detto indirizzo IP.
La struttura degli indirizzi IP è costituita da quattro blocchi di numeri separati da punti (ad es.
191.200.100.153) ogni numero può assumere i valori da 0 a 255: una parte identifica l’HOST un’altra il
DOMINIO.
Essendo la struttura degli indirizzi IP piuttosto astratta, si è preferito adottare termini significativi (ad es.
www.lum.it) per rappresentare tali indirizzi. E’ compito del Name Server, attraverso delle tabelle dette DNS
(Domain Name System), di mappare i nomi in indirizzi IP e viceversa.
Struttura dei nomi DNS

La struttura dei nomi a dominio ha unorganizzazione di tipo gerarchico e si legge da destra a sinistra.
Il PRIMO LIVELLO indica il tipo di categoria o la nazionalità del dominio. Ad esempio negli U.S.A.:
o .com sta per organizzazione commerciale;

o .edu sta per education e indica Scuole o Università;
o .gov sta per government e indica enti statali;
o .mil sta per militar e identifica enti militari;
o .net sta per network (enti per la gestione della Rete);
o .org sta per organization (organizzazioni no-profit);
Nelle altre nazioni questo suffisso è costituito dalla sigla del Paese:
 .it per Italia,
 .uk Regno Unito,
 .fr Francia,
 .de Germania.
Il SECONDO LIVELLO indica l’organizzazione ed è un nome unico per l’intera rete Internet.
Il TERZO LIVELLO e i livelli inferiori, quando sono presenti, indicano dei sottodomini che possono essere, in
generale, dei dipartimenti o delle divisioni delle organizzazioni.
L’ULTIMO LIVELLO indica l’Host cioè un server o un client oppure un qualsiasi dispositivo attivo del
dominio. I nomi di terzo livello e i seguenti sono di stretta competenza delle varie organizzazioni.
Esempio: host.sottodominio.dominio
www.giurisprudenza.lum.it = 192.201.100.153 (indirizzo IP)

- www = nome del Server Web
- giurisprudenza = nome del sottodominio della Facoltà
- lum = nome del dominio dell’Università Lum Jean Monnet
- it = identificativo del dominio principale per l’Italia
I protocolli di base di Internet: IP/TCP/UDP
- IP (Internet Protocol) è preposto all’instradamento dei pacchetti. Ogni pacchetto è inserito in una
busta (IP envelope) sulla quale è scritto l’indirizzo del destinatario, quello del mittente e altri
informazioni utili per la consegna.
9
- TCP (Trasmission Control Protocol) ha il compito di prendere i dati e dividerli in blocchi (segmenti).
A ognuno è assegnata unintestazione che contiene varie informazioni, come l’ordine in cui
assemblare i segmenti. Quando il TCP crea un segmento aggiunge all’intestazione anche una serie
di controlli (checksum), per stabilire se nel corso della trasmissione si sono verificati errori e quindi
chiedere la ritrasmissione al mittente.
- UDP (User Datagram Protocol) è un protocollo di trasporto inaffidabile, poiché è ottimizzato per
l’invio rapido di singoli segmenti senza la garanzia della consegna al destinatario.
A supporto del TCP/IP sono stati sviluppati protocolli di livello più alto che implementano servizi su
Internet.
 HTTP (Hyper Text Transfer Protocol): è un protocollo che definisce le modalità di consultazione
di testi ipermediali.
 SMTP (Simple Mail Transfer Protocol) e POP (Post Office Protocol): sono dei protocolli che
definiscono le modalità di trasmissione e ricezione di messaggi.
 FTP (File Transfer Protocol): è un protocollo che definisce le modalità di trasferimento di file.
 TELNET (Telecommunication over Network): è un protocollo che permette l’emulazione terminale
remota.
FOGLIO ELETTRONICO
NELLE FORMULE SI POSSONO UTILIZZARE:
• le normali operazioni aritmetiche;
• funzioni quali SOMMA, MEDIA, MIN, MAX, trigonometriche, statistiche, finanziarie, etc.
LE CELLE POSSONO ESSERE INDIVIDUATE:

• singolarmente con l’indirizzo assoluto o relativo;
• a intervallo di riga (ad es. A3..E3), di colonna (ad es. C4..C12), rettangolare (ad es. A3..C12).
ESEMPI DI FORMULE:
• (B2+C3+D4) * 20 / E5
• SOMMA(A1..A10) * 5 / 100
• MIN(B1..C20) / MAX(B1..C20)
• MIN(A1..E20) / MEDIA(A1..E20)
Zona : insieme di celle rettangolari individuato dagli indirizzi degli estremi di una diagonale.
Una zona può essere:
• delimitata dagli estremi (punti di ancoraggio) con il cursore;
• larga una sola colonna, una sola riga, una sola cella. In un foglio elettronico è possibile:
• definire la larghezza delle colonne;
• definire il tipo di dato/risultato delle celle: numerico (con eventuali decimali), data, valuta, stringa, etc.
Ci sono comandi di:

• inserimento/cancellazione di righe/colonne;
• cancellazione di dati/formule in zone;
• copia di dati/formule da una zona ad un’altra;
• stampa del foglio elettronico o di una zona;
• salvataggio di un foglio elettronico;
• lettura di un foglio elettronico.
1
0
È possibile lavorare su più fogli elettronici contemporaneamente (copiare celle da un foglio ad un altro,
unire due fogli in uno, riferirsi a risultati di un altro foglio, etc.)
Macro = gruppi di istruzioni (richiamabili con un nome)

È anche possibile eseguire istruzioni di controllo (selezione, iterazione, salto) ==> macro come sequenze di
comandi di un linguaggio procedurale.
SISTEMI GRAFICI
Si voglia rappresentare un grafico lineare o curva. Scelti i dati da rappresentare sull’asse delle
X(orizzontale) e quelli delle Y (verticale) si ottiene il seguente grafico lineare (asse X=ascisse; asse
Y=ordinate)
Nel grafico vi sono varie opzioni possibili:

• tipo di rappresentazione del punto;
• tipo di tratto della linea (anche niente);
• eventuali colori (assi, linea, punti);
• aggiunta di scritte di vario tipo (titolo, legenda, note);
• eventuale tipo di curva da tracciare (segmenti,
interpolazione);
• eventuale linea base;
• eventuali operazioni sulle curve e rappresentazione di più
curve;
• scritte e disegni vari.
Naturalmente per i casi semplici vi sono i comportamenti di default:

• definizione della scala di rappresentazione;
• dei colori, simboli, tratti;
• posizione del titolo, legenda;
• posizione, dimensione caratteri, forma del titolo, legenda note. Vi possono anche essere due serie
numeriche sui due assi.
Sui grafici si possono fare:

• operazioni varie di calcolo (somme e differenze, cumulative, percentuali, etc.);
• operazioni grafiche di vario tipo e completamenti di testi;
• stampa;
•
10
memorizzazione;
• lettura di grafico memorizzato
SISTEMI INFORMATIVI
Ogni realtà può essere oggetto di conoscenza, e quindi di un sistema informativo automatizzato.
I contenuti dell’informazione giuridica
•norme (statali, regionali, comunitarie …)

•giurisprudenza
•dottrina
•prassi amministrativa e privata Utilità dei collegamenti fra le varie fonti Limiti degli strumenti cartacei
Potenzialità e limiti dell’informazione giuridica automatizzata:

- per la dottrina, solo riferimenti bibliografici
- per la giurisprudenza, solo massime
Documentazione automatica
1) Organizzazione dell’informazione
2) Trattamento dell’informazione
3) Recupero dell’informazione
4) Trasferimento dell’informazione
1) ORGANIZZAZIONE DELL’INFORMAZIONE
Documento: qualsiasi oggetto portatore di informazione
Archivio di documenti: una raccolta omogenea di documenti
Spinte all’automatizzazione degli archivi: - dimensioni dell’archivio - esigenze informative più raffinate
BASI DI DATI
Raccolta di informazioni gestite tramite elaboratore elettronico e organizzate secondo un sistema di
relazioni che ne consentano il recupero.
Elementi: - raccolta di informazioni omogenee - gestione automatizzata - finalità di recupero
11
dell’informazione
Due categorie di basi di dati: - reference data base - source data base
A) Basi di dati secondarie (di riferimento) es: archivio di dati bibliografici

1) descrizione bibliografica (titolo, autore …)
2) descrizione del contenuto
B) Basi di dati primarie (fattuali o testuali) - statistiche, archivi catastali, archivi anagrafici - testi di opere
letterarie, di leggi, di sentenze Sistemi documentari un insieme di archivi documentari di materiali diversi,
reperibili attraverso un unico sistema di ricerca
2) TRATTAMENTO DELL’INFORMAZIONE
Descrizione formale: individuazione del documento nella sua fisicità: - campi strutturati - eventuali campi a
testo pieno.
Descrizione semantica: informazioni sul contenuto del documento:
- indicizzazione: rappresentazione dei risultati dell’analisi di un documento con un linguaggio controllato o
documentario (terminologia convenzionale standardizzata)
- abstract: riassunto del documento in linguaggio libero redatto in forma abbreviata senza interpretazione
né critica.
3) RECUPERO DELL’INFORMAZIONE
Metodologie, tecniche, sistemi che permettono di ritrovare quei documenti dell’archivio probabilmente
pertinenti alle esigenze dell’utente. Strategie di ricerca: criteri con i quali accedere all’informazione:
1) operatori logici booleani
2) operatori di adiacenza
3) metacaratteri (troncamento, mascheramento)
4) connessione logica fra i campi
4) DIFFUSIONE DELL’INFORMAZIONE
A) con accesso in linea (on line) - sistemi telematici

B) con accesso fuori linea (off line) - sistemi locali: CD-ROM
CD-ROM /Sistemi telematici
Vantaggi dei CD-ROM:

- più utili per chi consulta sistematicamente poche banche dati
- accesso più facile (indipendente), più economico e più rapido
Svantaggi dei CD-ROM:
- difficoltà nell’aggiornamento
- differenza nei linguaggi di interrogazione
Che cos’è il Commercio Elettronico?

LA SICUREZZA DIGITALE
 requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza
soddisfatti mediante crittografia
 crittografia: codifica dei dati in forma “illeggibile” per assicurare la riservatezza => autenticazione
mittente + integrità messaggio ==> richiede un algoritmo ed una chiave.
12
CRITTOGRAFIA A CHIAVE SIMMENTRICA
o sia il mittente che il destinatario posseggono la stessa chiave segreta stessa chiave segreta;
o è necessaria una diversa chiave segreta diversa chiave segreta per ogni destinatario; „
o non vi è garanzia garanzia di autenticità ed univocità del mittente.
CRITTOGRAFIA A CHIAVE ASIMMETRICA
 utilizza una coppia di chiavi coppia di chiavi: una pubblica ed una privata;
 i messaggi codificati con una possono solo essere decodificati con l’altra.
Confidenzialità (crittografia chiave pubblica): la chiave pubblica del destinatario assicura la

confidenzialità della comunicazione.
FIRMA DIGITALE „ -
- processo di codifica lento: “message digest” (breve stringa derivata dal messaggio) „
- digest codificato: con la chiave privata (firma digitale) „
- digest ricevuto: digest calcolato => messaggio integro
MA nessuna garanzia di riservatezza (utilizzare in aggiunta la chiave simmetrica)
IL DIRITTO D’AUTORE
• Il diritto d'autore è la posizione giuridica soggettiva dell‘autore di un'opera dell'ingegno a cui i diversi
ordinamenti nazionali e varie convenzioni internazionali (quale la Convenzione di Berna) riconoscono la
facoltà originaria esclusiva di diffusione e sfruttamento;
• Il diritto d’autore italiano è disciplinato prevalentemente dalla Legge 22 aprile 1941, n.633 e successive
modificazioni, e dal Titolo IX del Codice Civile.
La storia
• E’ un’esigenza che nasce con l’invenzione della stampa e dell’attività editoriale;
• Il concetto di tutela dell’autore nasce nella tarda metà del quindicesimo secolo a Venezia, sotto la forma
di privilegio (di stampa), concesso dapprima agli editori e agli stampatori;
• La più antica legge è lo Statuto della Regina Anna del 1709, che introdusse in Inghilterra il copyright
(diritto alla copia), seguita dalla legge federale degli Stati Uniti del 1790 e dalle leggi francesi rivoluzionarie
del 1791 e del 1793, in cui si riconobbe finalmente l'esistenza di una proprietà letteraria e artistica;
• La prima vera legge italiana risale al 1865, subito dopo l'unificazione della penisola, e poi, tradotta nel
testo unico 19 settembre 1881 n. 1012, rimase in vigore fino al 1925;
• Negli ultimi anni la nostra legge ha subito numerosi interventi, per far sì che si adeguasse ai nuovi mezzi di
comunicazione dell'opera dell'ingegno e al mutato contesto tecnologico. In questo senso molto dobbiamo
al recepimento delle Direttive CE in materia;
• Per contrastare il fenomeno della pirateria le ultime modifiche apportate alla legge hanno
gravemente inasprito le pene per coloro che possiedono o commerciano opere dell'ingegno
contraffatte.
L’oggetto
13
Oggetto del diritto d'autore sono, secondo l'art. 2575 del Codice Civile e l'art. 1 della legge sul diritto
d'autore: "le opere dell'ingegno di carattere creativo che appartengono alle scienze (questo riferimento
manca però all'art 1 della legge sul diritto d'autore), alla letteratura, alla musica, alle arti figurative,
all'architettura, al teatro e alla cinematografia, qualunque ne sia il modo o la forma di espressione".
La legge sul diritto d'autore precisa poi all'art. 2:
"Sono comprese nella protezione:

1) le opere letterarie, drammatiche, scientifiche, didattiche, religiose, tanto se in forma scritta quanto se
orale;
2) le opere e le composizioni musicali, con o senza parole, le opere drammatico-musicali e le variazioni
musicali costituenti di per sé opera originale;
3) le opere coreografiche e pantomimiche, delle quali sia fissata la traccia per iscritto o altrimenti;
4) le opere della scultura, della pittura, dell'arte del disegno, della incisione e delle arti figurative similari,
compresa la scenografia;
5) disegni e le opere dell'architettura;
6) le opere dell'arte cinematografica, muta o sonora, sempreché non si tratti di semplice documentazione
protetta ai sensi delle norme del Capo V del Titolo II;
7) le opere fotografiche e quelle espresse con procedimento analogo a quello della fotografia sempre che
non si tratti di semplice fotografia protetta ai sensi delle norme del Capo V del Titolo II;
8) i programmi per elaboratore, in qualsiasi forma espressi purché originali quale risultato di creazione
intellettuale dell'autore. Restano esclusi dalla tutela accordata dalla presente legge le idee e i principi che
stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue interfacce. Il
termine programma comprende anche il materiale preparatorio per la progettazione del programma stesso
9) le banche di dati di cui al secondo comma dell'articolo 1, intese come raccolte di opere, dati o altri
elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili mediante
mezzi elettronici o in altro modo. La tutela delle banche di dati non si estende al loro contenuto e lascia
impregiudicati diritti esistenti su tale contenuto;
10) le opere del disegno industriale che presentino di per sé carattere creativo e valore artistico."
I soggetti
• Codice Civile: Art. 2576 Acquisto del diritto. - Il titolo originario dell'acquisto del diritto di autore è
costituito dalla creazione dell'opera, quale particolare espressione del lavoro intellettuale;
I diritti di utilizzazione economica

• L'autore ha il diritto esclusivo di utilizzare economicamente l'opera in ogni forma e modo, originale o
derivato, nei limiti determinati dalla legge sul diritto d'autore, e in particolare con l'esercizio dei diritti
esclusivi indicati negli articoli da 13 a 18 della legge stessa (art. 12 comma 2 l.d.a.).
• La durata dei diritti di utilizzazione economica è stabilita dall'art. 25 per tutta la vita dell'autore e sino al
termine del settantesimo anno solare dopo la sua morte. Tale durata è indipendente dal fatto che i diritti
vengano esercitati o meno.
I diritti di utilizzazione economica I diritti elencati dalla legge sono:

- il diritto di pubblicazione (art. 12 comma 1);
- il diritto di riproduzione in più esemplari dell'opera (art. 13), ivi compreso il diritto di registrazione
meccanica a mezzo apparecchi riproduttori di suoni o di voci (art. 61);
- il diritto di trascrizione dell'opera orale (art. 14);
14
- il diritto di esecuzione, rappresentazione o recitazione in pubblico art.15);
- il diritto di comunicazione al pubblico (art. 16);
- il diritto di distribuzione (art. 17);
- il diritto di elaborazione, di traduzione e di pubblicazione delle opere in raccolta (art. 18);
- il diritto di noleggio e di dare in prestito (art. 18 bis);
- il diritto di modificazione (art. 18 ult. comma)
Il trasferimento dei diritti di utilizzazione economica

• L'autore di un'opera dell'ingegno ha il diritto esclusivo di utilizzarla economicamente in ogni forma e
modo originale o derivato, secondo quanto stabilito dall'art. 12 della legge sul diritto d'autore.
L'utilizzazione consiste nell'esercizio dei diritti di utilizzazione economica, quali la riproduzione,
l'esecuzione, la distribuzione e tutte le altre forme riconosciute all'autore agli artt. da 12 a 19 della legge;
• La legge disciplina il trasferimento dei diritti di utilizzazione dell'opera dell'ingegno fornendo alcune
regole di carattere generale agli artt. da 107 a 114:
Il trasferimento dei diritti di utilizzazione economica:

a) a norma dell'art. 107, solo i diritti di utilizzazione economica e i diritti connessi aventi carattere
patrimoniale possono essere acquisiti, alienati e trasmessi in tutti i modi e forme consentiti dalla legge;
b) la cessione di uno o più esemplari dell'opera non comporta, salvo patto contrario, la trasmissione dei
diritti di utilizzazione economica (art. 109);
c) al fine della prova di tale trasmissione si richiede la forma scritta del contratto di cessione (art. 110);
d) i diritti di utilizzazione non possono essere sottoposti a pegno, sequestro, e a esecuzione forzata, se non
nel caso in cui l'autore li abbia ceduti a terzi, ma possono essere oggetto di tali provvedimenti i proventi
derivati e gli esemplari dell'opera (art. 111).
La tutela giuridica del software

• Il primo problema che si pone al giurista è relativo alla individuazione del bene frutto di creazione
intellettuale e della sua collocazione all'interno di un determinato sistema di tutela;
• Autore: Sono protetti e quindi oggetto di diritto d'autore tutti i software che abbiano un carattere
creativo inteso come carattere di originalità rispetto ad altri software preesistenti, in qualsiasi modo e
forma espressi. In Italia autore del programma è la persona fisica che lo ha creato;
• I Diritti: secondo i principi generali, fissati dalla LDA, all'autore dovrebbero competere, oltre ai diritti
morali (paternità, ecc.), anche i diritti di utilizzazione economica; per taluni generi di opere questa
previsione non opera automaticamente, in particolare per il software e per le banche di dati esiste una
norma specifica (art. 12 bis LDA) in base alla quale i diritti di utilizzazione economica spettano di norma al
datore di lavoro quando la creazione del lavoratore è il risultato dell'adempimento delle sue mansioni.
• Il diritto d’uso: la facoltà di far eseguire ad un programma le funzioni necessarie a conseguire un'utilità
predeterminata o comunque realizzabile;
• Il diritto esclusivo d’uso: diritti di godimento e disposizione che si estrinsecano nell'esercizio di alcune
facoltà, come quella di stipulare contratti. La parola “esclusivo” significa che è solo del titolare del diritto
stesso;
• La licenza d’uso: è la più diffusa forma di trasferimento della possibilità di servirsi di un software dal
titolare dei diritti d'autore all'utente; La licenza è un insieme di regole che governano le attività concesse
all’utente di un software, ad esempio, una licenza può dare il permesso di copiare il software, un’altra solo
di utilizzarlo;
• Freeware: software libero non a pagamento, si può copiare ed utilizzare, ma non modificare;
15
• Shareware: software libero spesso limitato nelle funzionalità, non a pagamento per un periodo limitato di
tempo. Al termine del periodo diventa a pagamento con l’utilizzo di tutte le sue funzionalità
• Software proprietario: è il software il cui titolare detiene il programma come di proprietà, concedendo
agli altri, dietro il pagamento della licenza d’uso, la possibilità di installare e di usufruire dell’applicazione,
senza diventarne titolari o poter effettuare modifiche. Il software non proprietario è il freeware e l’open-
source.
• Software open-source: è il software i cui autori ne permettono la modifica da parte di altri ai fini del
miglioramento continuo
• General Public License (copyleft): la GPL è una licenza che permette a chi acquista il programma di
utilizzarlo in un numero indefinito di copie, di modificarlo, di distribuirlo in forma originale o modificata,
gratuitamente o a pagamento, alle sole condizioni di distribuirlo in formato sorgente, imponendo a
chiunque la firma dello stesso contratto;
• Creative Commons: di fronte al fenomeno della diffusione dei documenti digitali sulla rete è facile
infrangere la legge sui diritti d’autore. Le Creative Commons sono leggi nate negli Stati Uniti per
condividere i documenti digitali in rete. Nascono quindi delle licenze preconfezionate per i diversi
ambienti:
• Public Domain: in questa licenza l’autore si spoglia di qualunque diritto (patrimoniale e non), valida solo
negli USA, nel nostro ordinamento giuridico i diritti morali sono inalienabili;
• Developing Nations: consente all’utilizzatore di copiare, distribuire, migliorare l’opera per i paesi in via di
sviluppo;
• Sampling: consente all’utilizzatore di copiare una o più parti dell’opera musicale per crearne una nuova
con finalità commerciali o non, con la limitazione dell’obbligo della citazione dell’autore originale;
• Founder’s Copyright: consente all’autore di far entrare in pubblico dominio la propria opera dopo 14 anni
dalla sua morte (in Italia solo dopo 70 anni);
• Gnu General Public License: consente all’utente finale di installare, copiare, modificare, distribuire il
software con l’obbligo dell’accettazione della stessa licenza e la diffusione del codice sorgente;
• Share Music: permette all’utilizzatore del brano di scaricarlo, metterlo a disposizione su reti peer-to-peer,
diffonderlo in pubblico, a condizione che non venga fatta attività commerciale
• Contro le violazioni di diritti d'autore sul software è possibile ottenere soddisfazione in sede civile
ricorrendo alle disposizioni contenute negli artt. 156 e 170 della LDA;
• La tutela penale, per illeciti commessi a fine di profitto, è assicurata dall'art. 171 bis, introdotto nella Lda
dal D.Lgs. 518/92 successivamente modificato con D.Lgs. 205/96 e ora sostituito con le nuove disposizioni
previste dall'art. 13 della legge 18 agosto 2000, n. 248, in via residuale in caso di dolo generico si applica
l'art. 171 che ha, da sempre, offerto una tutela penale alle violazioni in materia di diritto d'autore.
• Il Registro Pubblico dei programmi per elaboratore: L'art. 6 del D.Lgs. 518/92 ha affidato alla SIAE la
tenuta di un Registro pubblico speciale per i programmi per elaboratore.
Quali sono i dati da proteggere?

Dati Personali
Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un
16
numero di identificazione personale.
17
Dati Sensibili
I dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Dati Giudiziari
I dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi pendenti.
Cosa significa trattare i dati?

Il Codice per la tutela della Privacy prevede che i dati siano:
1. trattati in modo lecito e secondo correttezza;
2. raccolti e registrati per scopi determinati, espliciti e legittimi;
3. esatti e, se necessario, aggiornati;
4. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente
trattati;
5. conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non
superiore a quello necessario agli scopi per i quali essi siano raccolti o successivamente trattati.
Chi può trattare i dati personali

Relativamente alla comunicazione dei dati da parte dei soggetti pubblici, il Codice prevede che:
 La comunicazione da soggetto a soggetto pubblico è ammessa se prevista da una norma di legge/di

regolamento o in mancanza, ove necessaria per lo svolgimento di funzioni istituzionali;
 La comunicazione/diffusione da soggetto a privati/a enti pubblici economici, è ammessa solo ove
prevista da una norma di legge/di regolamento.
Chi è il titolare del Trattamento dei dati

E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine a:
- Le finalità perseguite;
- Le modalità del trattamento dei dati personali;
- Gli strumenti utilizzati;
Chi è il Referente Responsabile del Trattamento dei dati

E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od
organismo che siano preposti dal titolare al trattamento di dati personali.
Chi è l’incaricato del Trattamento

E’ la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal referente. La
designazione è effettuata per iscritto e individua l’ambito del trattamento consentito.
Autenticazione informatica
 E’ un codice di identificazione dell’incaricato più una parola chiave riservata oppure

una caratteristica biometrica più una parola chiave;
18
 Ogni incaricato può avere uno o più codici di autenticazione;
 L’incaricato è obbligato a custodire ed assicurare la segretezza della parola chiave (niente più post-
it appiccicati sul monitor);
 L’incaricato non lascia sessioni aperte incustodite
La parola chiave:
a) Deve avere almeno 8 caratteri;
b)Non deve contenere riferimenti all’incaricato;
c) Una volta ricevuta l’incaricato la cambia;
d) Scade al più ogni sei mesi (consigl. 3 mesi);
e) Non può essere ceduta ad altri;
Assenza dell’incaricato
In caso di prolungata assenza dell’incaricato il Responsabile del trattamento preleva la parola chiave dalla
busta sigillata e la consegna a colui che dovrà operare sullo strumento elettronico;
L’incaricato al suo rientro sarà costretto all’immediato cambio della parola chiave con successiva consegna
al responsabile del trattamento per la custodia;
Cosa contiene il DPS(Documento Programmato della Sicurezza) ?

Contiene:
a) L’elenco dei trattamenti di dati personali;

b) La distribuzione dei compiti e delle responsabilità;
c) Le misure adottate per garantire disponibilità ed integrità dei dati;
d) Criteri e modalità di ripristino dei dati;
e) Misure di sicurezza per dati affidati all’esterno della struttura;
f) Gli interventi formativi degli incaricati
Archivi cartacei
 Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia per l’intero
ciclo necessario allo svolgimento delle operazioni di trattamento dei dati personali;
 In caso di atti contenenti dati sensibili e giudiziari, quest’ultimi vanno controllati e custoditi
dall’incaricato durante tutto il trattamento fino alla restituzione in archivio;
 Il documento delineante le funzioni relative al trattamento dei dati che l’incaricato riceve può
anche essere redatto per classi omogenee di incarico.
Adempimenti periodici
1° gennaio di ogni anno :
1. Aggiornare l’individuazione dell’ambito di trattamento consentito agli incaricati;

2. Verificare la sussistenza delle condizioni di autorizzazione;
3. Programmare gli eventi formativi per gli incaricati;
4. Aggiornare il sw antivirus/firewall, patch dei programmi.
19
Adempimenti periodici
31° marzo di ogni anno:
- Aggiornare il DPS.
1° luglio di ogni anno :
- Aggiornare il sw antivirus/firewall, patch dei programmi.
GDPR (General Data Protection Regulation)

È il regime di protezione dei dati personali proposto dalla C.E. per tutti gli stati membri;
• È stato adottato il 27 aprile 2016;
• Andrà in vigore dal 25 maggio 2018;
• Non è una direttiva e quindi non ha bisogno di alcuna legislazione applicativa degli stati membri;
Sono obbligati ad attenersi al regolamento anche entità che non fanno parte della C.E., ma che hanno dati
residenti nei territori degli stati membri della C.E. Il regolamento non riguarda la gestione di dati personali
per attività di sicurezza nazionale o di ordine pubblico.
Ogni stato membro dovrà istituire un'autorità per sovrintendere i reclami, le indagini e sanzionare le
infrazioni sul trattamento dei dati personali. Una commissione europea per la protezione dei dati (EDPB,
European Data Protection Board) coordinerà le autorità sovrintendenti degli stati membri.
Le Responsabilità
• Le notifiche sul trattamento dei dati dovranno includere il tempo di mantenimento dei dati.
• Si dovrà comunicare chi controlla i dati e chi protegge i dati;
• Si avrà diritto a contestare le decisioni automatizzate, compresa la profilazione, oggetto di elaborazione
algoritmica. Non sono inclusi i dati personali necessari ed essenziali per dare vita ad un rapporto
contrattuale
Una novità sul trattamento:

Il regolamento specifica anche il caso del trasferimento dei dati personali verso un paese terzo o
un'organizzazione internazionale. Prevede pertanto che l’interessato venga prontamente informato in
presenza di una violazione sul trattamento dei dati, che metta a rischio i suoi diritti e le sue libertà.
Data Breach (violazione di dati personali)

Il titolare del trattamento dei dati avrà l'obbligo legale di comunicare le fughe di dati all'autorità nazionale.
Le denunce di fughe di dati devono essere trasmesse all'autorità sovrintendente non appena se ne viene a
conoscenza e comunque entro 72 ore dall’evento. In alcune situazioni le persone di cui sono stati sottratti i
dati dovranno essere avvertite.
Diritto all’oblio
Il cosiddetto diritto all'oblio è il diritto alla cancellazione, limitazione e rettifica dei dati personali e stabilisce
che il soggetto ha il diritto di richiedere la cancellazione dei suoi dati personali in caso di mancata
osservanza delle norme;
L’interessato deve poter esercitare questo suo diritto con la stessa facilità con cui ha espresso il consenso al
trattamento dei suoi dati. Il responsabile del trattamento, dietro richiesta dell’interessato, gli dovrà
comunicare i destinatari a cui ha trasmesso la sua richiesta di cancellazione. Sul responsabile del
20
trattamento grava lo stesso onere in caso di richiesta di limitazione o di rettifica dei dati presentata
dall’interessato.
Portabilità dei dati

Una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione
elettronico a un altro senza che il controllore dei dati possa impedirlo.
REATI INFORMATICI (Computer Crime)

Con le tecnologie digitali l’informazione si svincola dal supporto e diventa assai facile poter riprodurre un
contenuto; da ciò deriva anche una estrema facilità in termini di portabilità e trasferimento, soprattutto
con la diffusione delle reti. Con i vantaggi introdotti dalla rete Internet tutte le attività lavorative diventano
net-centriche e quindi anche le attività illecite
Le attività che tentano di limitare e contrastare il fenomeno sono due:
 La Prevenzione (da parte dell’utente e della pubblica sicurezza);
 La Repressione (Codice Penale).
Prevenzione dal lato utente:

1. Informare;
2. Sensibilizzare;
3. Responsabilizzare.
Prevenzione dal lato della Polizia Postale e delle Comunicazioni:

 Monitoraggio della rete Internet;
 Data Retention: tenere traccia dei dati inerenti gli spostamenti degli utenti per quanto riguarda la
navigazione e l’utilizzo della posta elettronica
Reati Informatici e Codice Penale: la

storia
Legge 191/78 art.420: Legge 121/81: tutela dei dati

attentato agli impianti archiviati in un sistema
di elaborazione dati; 518/92 art. 10: reati di Legge 197/91 art. 12: informatico;
“pirateria informatica”. l’indebito utilizzo delle
carte di credito
Frodi Informatiche
- Art. 640 ter (“Frode informatica”): “Chiunque, alterando in qualsiasi modo il funzionamento di un
sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o
programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un
ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51
a euro 1.032”.
- Art. 640 (“Truffa”): “Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un
ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51
21
a euro 1.032 .“
22
Falsificazioni
Art. 491 bis (“Documenti Informatici”): “Se alcuna delle falsità previste dal presente capo riguarda un
documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo
stesso concernenti rispettivamente gli atti pubblici e le scritture private.”
Cos’è un documento informatico ?

Il documento informatico è sostanzialmente un documento immateriale e dinamico, ed è la
“rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” in quanto non c’è nessuna
distinzione tra originale e copia. Il documento informatico acquista effettiva valenza legale con la legge
59/1997 (art. 15 comma 2).
Un documento informatico per essere valido deve poter essere autenticato e se ne deve poter attribuire la
paternità. Per l’autenticazione interviene il concetto della firma digitale: “per firma digitale, il risultato della
procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e
una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave
pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento
informatico o di un insieme di documenti informatici”.
Integrità dei Dati e dei Sistemi Informatici

Art. 635 bis (“Danneggiamento di informazioni, dati e programmi informatici)
“Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime
informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione
da sei mesi a tre anni”. Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635,
ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione
da uno a quattro anni.”
Art. 420 (“Attentato a impianti di pubblica utilità”): “Chiunque commette un fatto diretto a
danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato,
con la reclusione da uno a quattro anni.”
Art. 392 (“Esercizio arbitrario delle proprie ragioni con violenza sulle cose”): “Chiunque, al fine di
esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo,
mediante violenza sulle cose, è punito a querela della persona offesa, con la multa fino a euro 516.”
Art. 615 quinquies (“Diffusione di aparecchiature, dispositivi, o programmi informatici diretti a

danneggiare o interrompere un sistema informatico o telematico”)
“Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i
dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale,
o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica,
23
consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è
punito con la reclusione fino a due anni e con la multa sino a euro 10.329” .
Riservatezza dei dati e delle Comunicazioni Informatiche

Art. 615 ter (“Accesso abusivo ad un sistema informatico o telematico”): “Chiunque abusivamente si
introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene
contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre
anni.”
Art. 615 quater (“Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”):
“Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si
procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad
un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o
istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro
5.164.”
Art. 621 (“Rivelazione del contenuto di documenti segreti”):

“Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di
altrui atti o documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa,
ovvero lo impiega a proprio o altrui profitto, è punito, se dal fatto deriva nocumento, con la reclusione fino
a tre anni o con la multa da euro 103 a euro 1.032.”
Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:
1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o
da impresa esercente servizi pubblici o di pubblica necessità;
2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione
dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;
3) da chi esercita anche abusivamente la professione di investigatore privato.
Art. 623 bis (“Altre comunicazioni e conversazioni”): “Le disposizioni contenute nella presente sezione,
relative alle comunicazioni e conversazioni telegrafiche, telefoniche, informatiche o telematiche, si
applicano a qualunque altra trasmissione a distanza di suoni, immagini od altri dati.”
IDENTIFICAZIONE DIGITALE
Conoscere i principali aspetti del regolamento eIDAS e la sua applicazione
Il regolamento eIDAS fornisce una base comune a tutti i paesi membri per i servizi fiduciari, ovvero quei
servizi come la firma elettronica, con l’obiettivo di favorire le transazioni cross-border sia nel settore
pubblico che in quello privato (ad es. firma di contratti in ambito bancario e assicurativo)
La nuova normativa si occupa, sia nel pubblico che nel privato, di identità, firme, sigilli, validazioni temporali
e documenti elettronici, servizi di recapito elettronico, servizi di autenticazione e certificazione dei siti web
e più in generale di tutti i servizi digitali in cui è essenziale la fiducia nella controparte.
Appare quindi chiaro, in un contesto di sempre maggiore diffusione del digitale nei processi aziendali e
della pubblica amministrazione, l’esigenza di avere garanzie chiare sull’identificazione delle controparti, sul
24
valore legale dei documenti (informatici) e della relativa trasmissione e, in generale, dei servizi digitali resi
disponibili.
Identificazione ed autenticazione elettronica

L’identificazione elettronica indica quel processo che avviene mediante l’acquisizione (in forma elettronica)
dei dati identificativi corrispondenti ad una persona fisica.
L’autenticazione elettronica è il processo elettronico che consente di confermare l’identificazione
elettronica o l’origine e l’integrità di dati in forma elettronica; è un processo quindi atto a verificare i dati
relativi al soggetto identificato, che avviene mediante il confronto con quelli desumibili da una fonte
affidabile e indipendente (una credenziale digitale come ad es. la password).
La firma elettronica
Rappresenta un insieme di dati logicamente connessi ad un soggetto e utilizzati dallo stesso per
sottoscrivere elettronicamente un documento. Si distingue in:
• firma debole;
• firma elettronica avanzata;
• firma qualificata;
• firma digitale.
LA FIRMA DEBOLE
La “firma debole” è intesa come l’insieme dei dati in forma elettronica, riconducibili all’autore (anche di
tipo: log identificativo, indirizzo mail, etc.), allegati o connessi ad atti o fatti giuridicamente rilevanti
contenuti in un documento informatico, utilizzati come metodo di identificazione informatica.
LA FIRMA ELETTRONICA AVANZATA(FEA)

E’ un particolare tipo di firma elettronica che, allegando o connettendo un insieme di dati in forma
elettronica ad un documento informatico, garantisce integrità (consentendo di rilevare se i dati sono stati
successivamente modificati), autenticità del documento sottoscritto e controllo esclusivo dello strumento
di firma. Si tratta quindi di una tipologia di firma prevista dal Codice, ma che, ad oggi, non è ancora
disponibile in quanto la regolamentazione tecnica è affidata ad un decreto del Governo non ancora
emanato. L’utilizzo della firma elettronica avanzata permette, inoltre, di realizzare in modalità informatica
gli atti che per legge devono essere realizzati in forma scritta, salvo i casi in cui la stessa legge richiede
l’utilizzo della firma digitale o della firma elettronica qualificata.
LA FIRMA ELETTRONICA QUALIFICAT (FEQ)

Possiede queste ulteriori caratteristiche, in aggiunta a quelle di una firma elettronica avanzata:
• è creata da un dispositivo sicuro per la creazione di una firma elettronica
• è basata su un certificato elettronico qualificato
LA FIRMA DIGITALE (FD)

E’ un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di
chiavi crittografiche, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario
tramite la chiave pubblica, di garantire e verificare la provenienza e l’integrità di un documento informatico
o di un insieme di documenti informatici.
In altre parole, questi strumenti permettono la valida realizzazione in modalità informatica di tutti gli atti
per i quali la legge richiede che sia utilizzata la forma scritta. Inoltre, per la validità di alcuni atti, di
25
particolare importanza è necessario l’utilizzo di queste due tipologie di firma (mentre non è possibile
utilizzare la firma elettronica avanzata).
IL SIGILLO ELETTRONICO
E’ simile alla firma elettronica, ma apposto da una persona giuridica, serve a garantire l’origine e l’integrità
dei dati ad esso associati. Anche per il sigillo elettronico vi sono le definizioni di Sigillo Elettronico Avanzato
e di Sigillo Elettronico Qualificato, con gli effetti giuridici e l’ammissibilità come prova in procedimenti
giudiziali.
I servizi fiduciari (Trusted Services)

Con il termine servizio fiduciario si indica un insieme di servizi elettronici, forniti in genere a pagamento,
caratterizzati come segue:
• creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche,
servizi elettronici di recapito certificato (es. PEC), certificati relativi a tali servizi;
• creazione, verifica e convalida di certificati di autenticazione di siti web;
• conservazione di firme, sigilli o certificati elettronici relativi a tali servizi
Il regolamento eIDAS istituisce un regime di mutuo riconoscimento (interoperabilità) delle identità

elettroniche europee, ma non fornisce alcuna indicazione sulle modalità di implementazione, lasciando ad
ogni paese la libertà di sviluppare il proprio sistema di identificazione elettronica purché rispondente ai
requisiti minimi definiti dal regolamento e conforme agli standard che ETSI e CEN definiranno. Questo
potrebbe dar luogo a 28 sistemi di “identificazione elettronica” differenti e da integrare con modalità
ancora tutte da definire. L’Identità Digitale è fortemente legata ai documenti di identità nazionali, ovvero
alle carte d’Identità Elettroniche e loro equivalenti. È questo il principale motivo per cui gli stati membri si
sono opposti ad un sistema unico europeo, considerando le carte d’identità un tema legato alla sicurezza
nazionale e quindi per il principio di sussidiarietà, fuori dall’ambito di attività dell’Unione.
Domicilio digitale, Identità digitale e SPID

•SPID è il sistema di login che permette a cittadini e imprese di accedere con un’unica identità digitale (con
un pin unico) a tutti i servizi online di pubbliche amministrazioni e imprese aderenti.
•L’identità SPID è costituita dalle credenziali fornite, previa richiesta ed identificazione dell’utente,
dai “gestori di identità digitale” (o identity provider)
•Con decorrenza dal prossimo 1° luglio 2016, le modifiche oggetto del provvedimento in
esame, attribuiscono particolare rilevanza al sistema SPID.
•La relazione illustrativa allo schema precisa infatti al riguardo che SPID, unitamente all’Anagrafe nazionale
della popolazione residente, permetterà a cittadini e imprese di accedere ai servizi pubblici, attraverso la
piattaforma unica di accesso Italia Login utilizzando un unico nome utente e un’unica password.
•L’identificazione può essere a vista, con presenza fisica del richiedente presso le sedi preposte, oppure
a vista da remoto mediante l’utilizzo di strumenti di registrazione audio/video.
•L’identificazione può aversi anche in modo informatico, tramite documenti digitali di identità, altre
identità SPID o con firma elettronica qualificata o digitale.
• All’identificazione segue la verifica dell’identità dichiarata con accertamenti effettuati tramite fonti
autoritative istituzionali per verificare la veridicità dei dati raccolti.
• Il sistema SPID è basato su tre livelli di sicurezza di autenticazione informatica, progressivamente
crescenti.
1. Il primo livello permette l’autenticazione del titolare tramite Id e password stabilita dallo stesso utente.
2. L’identità SPID di secondo livello permette invece l’autenticazione tramite password e generazione di una
26
OTP (One Time Password) inviata al titolare.
3. Il terzo livello permette l’autenticazione tramite utilizzo di una password e una smart card.
Come ottenere un identificatore SPID

AgID è altresì incaricata di studiare un processo di conversione a SPID di alcune identità digitali già fornite
dalla PA (ad es. le tessere sanitarie regionali). Dal punto di vista pratico è ovviamente prevedibile che vi
siano iniziali difficoltà legate all’avvio del servizio da parte dei fornitori, che prevedono modalità, tempi e
anche costi differenziati tra loro.
Caratteristiche tecniche — Attributi utente

Attributi identificativi: nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione
sociale, sede legale, nonché il codice fiscale e gli estremi del documento d’identità utilizzato ai fini
dell’identificazione;
Attributi non identificativi: il numero di telefonia mobile, l’indirizzo di posta elettronica, il domicilio fisico e
digitale, nonché eventuali altri attributi individuati dall’Agenzia;
Attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro
tipo di attributo attestato da un gestore di attributi qualificati. Possono essere già contenuti nell’identità
digitale.
Caratteristiche tecniche — Soggetti coinvolti

• Gestori dell’identità digitale Le persone giuridiche accreditate allo SPID che, previa identificazione certa
dell’utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine
della sua identificazione informatica.
Fornitori di servizi
Le persone giuridiche che usufruiscono del sistema SPID per autenticare gli utenti e consentire l’accesso ai
propri servizi in rete.
✓ aderiscono a SPID sottoscrivendo apposita convenzione predisposta da AgID;
✓ conservano per ventiquattro mesi le informazioni necessarie ad imputare, alle singole identità digitali, le
operazioni effettuate sui propri sistemi tramite SPID;
✓ nel caso in cui i fornitori di servizi rilevino un uso anomalo di un’identità digitale,
informano immediatamente l’Agenzia e il gestore dell'identità digitale che l’ha rilasciata;
✓ informano l’utente che l’identità digitale e gli eventuali attributi qualificati saranno verificati
rispettivamente, presso i gestori dell’identità digitale e i gestori degli attributi qualificati
Agenzia per l’Italia Digitale (agId)

✓ accredita e vigila i gestori di identità;
✓ accredita e vigila i gestori di attributi qualificati;
✓ stipula convenzioni con gestori di identità/attributi qualificati e fornitori di servizi;
✓ vigila sul rispetto delle convenzioni;
✓ gestisce e pubblica il registro SPID contenente l’elenco dei soggetti abilitati a operare in qualità di gestori
di identità/attributi qualificati e fornitori di servizi.
Considerazioni
L’Identità Digitale italiana va ben oltre e prescinde dalla Carta d’Identità elettronica, essendo:
27
• l’insieme degli attributi che descrive in maniera unica un soggetto;
• rilasciata tramite una verifica de visu, un controllo forte degli attributi minimi e una consegna sicura delle
credenziali.
Si tratta di un sistema avanzato rispetto a quelli degli altri stati membri dell’UE che, una volta
implementato, consentirà un grande livello di flessibilità agli operatori (sia Gestori dell’Identità che
Fornitori di Servizi).
L’Identità Digitale così come definita potrà in futuro rivoluzionare progetti come la PEC, la Carta d’Identità
Elettronica e i servizi di firma. Un documento come la patente potrebbe sparire, diventando esclusivamente
un attributo certificato dalla Motorizzazione civile e verificabile tramite un gestore di attributi certificato.
Dal documento cartaceo al documento informatico

Dematerializzazione: processo che ha come obiettivo ultimo la creazione di un flusso di documenti digitali
aventi pieno valore giuridico, che vada prima ad affiancare e poi, sul lungo periodo, a sostituire la normale
documentazione cartacea presente negli archivi di qualunque attività pubblica o privata. Il documento
informatico è infatti definito come: “la rappresentazione informatica di atti, fatti o dati giuridicamente
rilevanti”.
La dematerializzazione porta con sé una serie di vantaggi pratici rappresentati in prima istanza
dall'incremento di efficienza e la riduzione dei costi. La gestione del tradizionale documento cartaceo è
infatti particolarmente onerosa e, se vogliamo, carente da diversi punti di vista: difficoltà di condivisione,
facilità di smarrimenti, elevati tempi di ricerca e via discorrendo.
Gli strumenti per la dematerializzazione

La piena riuscita del processo di dematerializzazione è garantita anche dall’applicazione diffusa e
sistematica di tutti quegli strumenti disponibili a garantire l’autenticità dei documenti e all’adozione di
sistemi di classificazione univoci e dettagliati che includano procedure per la conservazione e la selezione
dei documenti stessi.
Classificazione e Fascicolazione
La classificazione è un’attività di organizzazione logica dei documenti, protocollati e non, che nel caso della
Pubblica Amministrazione dipende da una Area Organizzativa Omogenea, secondo uno schema articolato di
voci che identificano funzioni, attività e materie specifiche della AOO stessa. Mediante le operazioni di
classificazione e registrazione di protocollo vengono attribuiti a ciascun documento dei codici di riferimento
che lo identificano e lo associano agli altri documenti che formano la stessa pratica, nell’ambito di una delle
serie di un determinato archivio.
Firma digitale
E’ il risultato di una procedura informatica che garantisce l’autenticità e integrità dei messaggi e documenti
scambiati e archiviati con mezzi informatici, al pari della firma autografa per i documenti tradizionali. In
sostanza i requisiti assolti sono l’autenticità (con un documento firmato digitalmente si può essere certi
dell’identità del sottoscrittore) e l’integrità (sicurezza che il documento informatico non sia stato modificato
dopo la sua sottoscrizione).
28
Posta Elettronica Certificata (PEC)
La posta elettronica certificata è una e-mail che garantisce ora e data di spedizione e di ricezione,
provenienza ed integrità del contenuto. La PEC consente di inviare e ricevere messaggi con lo stesso valore
legale di una raccomandata con avviso di ricevimento. È pertanto, un sistema di posta elettronica in grado
di poter essere utilizzato in qualsiasi contesto nel quale sia necessario avere prova opponibile dell’invio e
della consegna di un determinato documento.
Equivalenza giuridica di documenti analogici e digitali

Il documento informatico, realizzato, memorizzato e trasmesso con strumenti telematici, ha identica
validità, ad ogni effetto di legge, del documento cartaceo e deve essere accettato da qualsiasi soggetto
pubblico o privato. La legge riconosce validità giuridica all’attestazione di data e ora apposte in conformità
alle specifiche regole tecniche. La normativa di dettaglio, inoltre, definisce le misure tecniche, organizzative
e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni contenute nel
documento informatico. La dematerializzazione permette di produrre documenti digitali che abbiano
pieno valore giuridico. Ciò significa, tra le varie cose, che anche con i documenti elettronici è necessario
adottare un sistema che consenta di accertare in maniera chiara ed univoca il sottoscrittore di un
documento.
La Firma Grafometrica
Una tecnologia estremamente interessante e che rappresenta un’evoluzione del concetto di firma digitale e
un punto di convergenza tra la modalità tradizionale e quanto reso possibile dalla tecnologia è la firma
grafometrica.
In termini un po' più rigorosi, la firma grafometrica prevede l’impiego di un dispositivo apposito, come ad
esempio una tavoletta grafica, capace di acquisire il movimento della penna durante una firma apposta di
pugno, in maniera tradizionale.
La firma grafometrica pertanto offre da un lato la protezione dell’integrità del documento e la piena
digitalizzazione/dematerializzazione come la firma digitale, e dall’altro la semplicità e l’intuitività della firma
di pugno. Per sgomberare il campo da ogni dubbio: non dobbiamo pensare al cittadino che firma di pugno
un bonifico dal proprio smartphone mentre è seduto in tram, ma ad una modalità particolare che consente
di dematerializzare documenti firmati da cittadini privi di altri strumenti di firma digitale.
Il Timbro Digitale
Il timbro digitale è un particolare codice grafico bidimensionale che, apposto sul documento informatico
firmato digitalmente, può essere utilizzato per trasporre su supporto cartaceo qualsiasi tipo di informazione
digitale e consente di mantenere inalterata la sua validità giuridica anche quando viene stampato. Il timbro
digitale rappresenta una soluzione tecnologica in grado di innovare il modo di lavorare nella pubblica
amministrazione migliorando i servizi erogati al cittadino.
Tipologie di copie del documento informatico Le

copie informatiche di documenti analogici (che hanno contenuto giuridico identico a quelli analogici da cui
sono tratti), provenienti da depositari pubblici autorizzati o da pubblici ufficiali, hanno piena efficacia se
colui che le rilascia vi appone o vi associa una firma digitale o altra firma elettronica qualificata. I documenti
conformi a queste prescrizioni sostituiscono, a tutti gli effetti, gli originali.
29
Tipologie di copie:
- le copie per immagine su supporto informatico di documenti originali formati in origine su supporto
analogico (es. scansione di un documento originale cartaceo);
- le copie su supporto analogico di documenti informatici (ad es. la stampa di un documento), anche
sottoscritti con firma elettronica avanzata, qualificata o digitale.
La Fatturazione Elettronica
La Legge Finanziaria 2008 ha stabilito che la trasmissione delle fatture elettroniche destinate ad
amministrazioni dello Stato debba avvenire attraverso il Sistema di Interscambio (SdI).
Il Sistema di Interscambio
Gestito dall'Agenzia delle Entrate, è un sistema informatico in grado di:
• ricevere le fatture sotto forma di file con le caratteristiche della FatturaPA (fattura Pubblica
Amministrazione)
• effettuare controlli sui file ricevuti,
• inoltrare le fatture alle Amministrazioni destinatarie.
La FatturaPA
E’ una fattura elettronica ai sensi dell’articolo 21, comma 1, del DPR 633/72 ed è la sola tipologia di fattura
accettata dalle Amministrazioni che, secondo le disposizioni di legge, sono tenute ad avvalersi del Sistema
di Interscambio. La FatturaPA ha le seguenti caratteristiche:
• il contenuto è rappresentato, in un file XML (eXtensible Markup Language), secondo un formato stabilito
dalla normativa.
• l’autenticità dell’origine e l’integrità del contenuto sono garantite tramite l’apposizione della firma
digitale di chi emette la fattura.
• La trasmissione è vincolata alla presenza del codice identificativo univoco dell’ufficio destinatario della
fattura riportato nell’IPA (Indice delle Pubbliche Amministrazioni)
Esempio di generazione di FatturaPA

Il Sistema di Interscambio mette a disposizione delle funzionalità per provare la compilazione di un file
FatturaPA e per simulare l’invio e la ricezione di una fattura. Vediamo ora come:
• preparare una fattura mediante un form via web;
• provare l’invio e la ricezione di una fattura.
Per accedere alle funzionalità occorre:
• disporre delle credenziali Entratel o Fisconline oppure disporre di una Carta Nazionale dei Servizi (CNS)
precedentemente abilitata ai servizi telematici dell’Agenzia delle Entrate;
30
Protocolli TCP/IP Internet'Layer' (Protocollo IP)
Transport'Layer'(Protocollo'UDP) Transport'Layer'(Protocollo'UDP)
Indirizzi IP Indirizzi IP “riserva”
31
Firme elettroniche e i sistemi di firma
Se da un lato un utente è interessato a difendere la privacy e la riservatezza mentre naviga su Internet, in
altre occasioni è di fondamentale importanza poter autenticare un soggetto per identificare con certezza
l’autore di un certo comportamento o l’utente che accede a determinate risorse.
Nel caso di accessi e transazioni legittime, l’autenticazione serve ad accertare l’identità di chi la esegue
(impedendo l’accesso ai soggetti non autorizzati) e, se abbastanza forte, vincolando l’utente a far fronte
all’impegno contratto senza possibilità di ripudio.
Nella legislazione italiana il DL 196/2003 (Codice in materia di protezione dei dati personali) tratta sia di
autenticazione che di privacy. Gli artt. da 31 a 34 prescrivono sia la riservatezza a protezione dei dati
personali sia le misure “autenticazione” ed “autorizzazione” come condizione per accedere alle
informazioni. L’allegato B precisa le “misure minime di sicurezza” che devono essere adottate dai soggetti
che trattano dati personali per non incorrere in responsabilità penali.
In particolare, sulla base delle indicazioni comunitarie, il legislatore italiano ha stabilito la necessità di
proteggere i computer utilizzati nel trattamento dei dati personali attraverso un sistema di credenziali di
autenticazione basato su codice di identificazione e password.
Norme specificate per la password:

•lunghezza minima di otto caratteri,
•contenuto non associabile all’utente,
•modifica al primo utilizzo e almeno ogni sei mesi (pena la perdita delle credenziali),
•regole di utilizzo delle credenziali.
La scelta di imporre forme di autenticazione per accedere alle risorse si riflette nei tre attributi
fondamentali della sicurezza:
1. riservatezza delle informazioni (ridurre il rischio di accesso alle informazioni da parte di soggetti
non autorizzati);
2. integrità dei dati (ridurre il rischio di modifiche, aggiunte e cancellazioni per interventi non autorizzati);
3. disponibilità dei dati (ridurre il rischio che agli utenti legittimi sia impedito di accedere alle risorse nei
tempi e modi appropriati).
L’autenticazione, d’altra parte, ha una funzione essenziale nelle organizzazioni e trova applicazioni che per
loro natura hanno l’esigenza di verificare con certezza l’identità di chi esegue le operazioni. A tale scopo la
legislazione comunitaria, seguita poi da quella nazionale, ha introdotto vari tipi di firma elettronica, solo
alcuni dei quali hanno efficacia giuridica. Le quattro tipologie di firma previste sono:
1) Firma elettronica semplice: è l’insieme dei dati in forma elettronica allegati o connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica
(username/password). E’ paragonabile ad una firma cartacea non riconosciuta, quindi non ha
valore legale.
2) Firma elettronica avanzata: è ottenuta attraverso una procedura informatica che garantisce la
connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi su cui il
firmatario mantiene un controllo esclusivo e collegata ai dati cui si riferisce in modo da rilevare se
essi sono stati successivamente modificati (smartcard/token USB).
32
3) Firma elettronica qualificata: una firma elettronica avanzata (in sé tecnologicamente neutra)
assume valore legale (pari ad una firma autografa) solo quando è utilizzata insieme ad un
“certificato qualificato” ed è creata attraverso un “sistema di creazione di firma sicura”. Per
produrre una firma di tale livello occorre soddisfare una trentina di requisiti.
4) Firma digitale: è una specie particolare di firma elettronica qualificata, basata sulla crittografia a
chiave asimmetrica (PKI). Il D.Lgs. 82/2005 è impostato come se si potessero avere più tipi di
firma elettronica qualificata, cioè più sistemi che consentono l’identificazione univoca del titolare,
uno dei quali è la firma digitale a chiavi asimmetriche. Di fatto, però, la firma digitale è l’unico tipo
di firma elettronica avanzata oggi noto ed utilizzato, per cui i due concetti tendono a coincidere.
I certificatori hanno requisiti di capitale sociale non inferiore a quello richiesto per svolgere attività
bancaria, quindi non sono individui (come i notai) bensì grandi enti o società (in Italia ve ne sono 15 attivi al
10/11/2015).
Una chiave privata vene fornita a pagamento ed ha una scadenza, il che potrebbe essere opinabile, visto
che la firma (autografa o digitale) è un mezzo legale per l’esercizio dei diritti naturali della persona.
Evoluzione normativa
Nell’ultimo decennio vi è stata una costante evoluzione nel campo del diritto delle tecnologie informatiche,
partendo dall’introduzione del concetto di documento informatico e della sua comparazione con quello
cartaceo. L’art. 22 della Legge 241/1990 ne dà una definizione in ambito amministrativo. In ambito penale
l’art. 491 bis, introdotto con la Legge 547/1993 definisce il documento informatico come “qualunque
supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi
specificatamente destinati ad elaborarli”.
Lo stesso D.P.R. 513/1997 introduce in Italia il concetto di firma digitale, definendola “il risultato della
procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e
una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave
pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento
informatico o di un insieme di documenti informatici”.
Il legislatore europeo ha invece disposto un principio neutrale sulla validità delle firme digitali, promovendo
la libera circolazione dei servizi di certificazione. In particolare, la Direttiva 1999/93/CE non dà un'unica
nozione di firma digitale ma distingue tra firma elettronica semplice e firma elettronica avanzata,
garantendo con quest’ultima oltre alla provenienza del documento anche l’integrità. La naturale
conseguenza di questa distinzione comporta il differente valore probatorio della firma elettronica in sé.
Attualmente, quindi, per firma digitale si deve intendere un particolare tipo di firma elettronica qualificata
basata su un sistema di coppia di chiavi asimmetriche, una pubblica e una privata, che consente al titolare
tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta
e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti
informatici.
33
Ruolo dei certificatori
I fornitori di servizi di certificazione (corrispondenti alle Certification Authority americane) sono soggetti
estranei rispetto agli utilizzatori della firma digitale, che garantiscono il funzionamento del meccanismo
della firma digitale. In particolare, i certificatori devono:
• attestare che il soggetto detentore della chiave privata corrisponda alla relativa chiave pubblica,
garantendo la sua identità;
• attestare la validità del certificato mediante l’aggiornamento degli elenchi di dominio pubblico.
In precedenza la norma richiedeva che i rappresentanti legali e i soggetti esposti all’amministrazione

possedessero i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministratore,
direzione e controllo presso le banche; invece, per il personale tecnico, che sia in grado di rispettare le
norme del regolamento e le tecniche, nonché la qualità dei processi informatici e dei relativi prodotti, sulla
base di standard riconosciuti a livello internazionale.
In conclusione, tutti i soggetti privati che volevano occuparsi dell’attività di certificazione erano assoggettati
ad un controllo preventivo sui requisiti richiesti.
Valenza probatoria del documento informatico
Per collocare infine nel tempo la firma di un documento, non basta la sola firma. In questo interviene
un’altra entità che appone la propria marca temporale sul documento, in modo da rendere la procedura
identica a quella autografa cartacea. L’entità è la Stamping Authority, che interviene nella creazione
dell’hash del documento da firmare.
PEC (Posta Elettronica Certificata)

Dal 1º Luglio 2013 le comunicazioni tra imprese e pubblica amministrazione devono avvenire solo via posta
elettronica certificata (PEC), non essendo più accettate le comunicazioni in forma cartacea. La posta
elettronica certificata (regolamentata dal DPR 68/2005) ha lo stesso valore legale di una raccomandata con
avviso di ricevimento. La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale è
fornita (dal gestore) al mittente documentazione elettronica, con valenza legale, attestante l’invio e la
consegna di documenti informatici.
I gestori PEC, per essere inclusi nell’elenco pubblico, devono possedere determinati requisiti sia di
adeguatezza del personale, di sicurezza e di esperienza nell’erogazione di servizi analoghi, che per quanto
riguarda la natura giuridica della società e il suo capitale sociale.
Fasi del processo di invio/ricezione

Per certificare l’invio e la ricezione di un messaggio di PEC, il gestore di posta invia al mittente una ricevuta
che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale documentazione
allegata. Allo stesso modo, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna del
messaggio con precisa indicazione temporale. Consideriamo due utenti che utilizzano le rispettive caselle
PEC (non è rilevante che si tratti dello stesso gestore o di gestori diversi).
34
Le fasi nelle quali si articola il processo di invio/ricezione di un messaggio PEC sono le seguenti.
a. Il mittente compone il messaggio collegandosi al proprio gestore e lo predispone per l’invio. Il gestore
del mittente controlla le credenziali d’accesso del mittente e le caratteristiche formali del messaggio.
b. Il gestore invia al mittente una ricevuta di accettazione (presa in carico ed inoltro al destinatario) con le
seguenti informazioni: data e ora dell’invio, mittente, destinatario , oggetto del messaggio.
c. Il messaggio viene “imbustato” in un altro messaggio, chiamato “busta di trasporto” che il gestore (del
mittente) provvede a firmare digitalmente (con la sua chiave privata). Questa operazione consente di
certificare ufficialmente l’invio e la consegna del messaggio.
d. Il gestore PEC del destinatario riceve la “busta” e controlla (tramite la chiave pubblica del gestore
PEC del mittente) la validità della firma del gestore del mittente e la validità del messaggio.
e. Se tutti i controlli hanno avuto esito positivo, il gestore del destinatario invia una ricevuta di presa in
carico al gestore del mittente.
f. Il destinatario riceve dal proprio gestore il messaggio nella propria casella di posta.
g. Il gestore del destinatario invia una ricevuta di avvenuta consegna alla casella del mittente.
Obblighi della P.A. in relazione alla PEC

Tutte le PA devono:
• istituire una casella PEC per ciascun registro di protocollo,
• darne di seguito comunicazione a DigitPA,
• pubblicarlo nel sito web istituzionale.
La mancata apertura della PEC

È importante sottolineare come la ricevuta di consegna del messaggio PEC sia indipendente dalla lettura
dello stesso da parte del destinatario.
Il costante monitoraggio della casella di Posta Elettronica Certificata è diventato quindi un onere a cui non
ci si può sottrarre.
Responsabilità e sanzioni
• Molto spesso si discute di come le stesse norme finalizzate alla digitalizzazione della PA non prevedano né
i necessari investimenti economici per mettere in atto tali adempimenti, né delle precise sanzioni per i
dirigenti e i funzionari pubblici che si dimostrino inadempienti.
• Ciò purtroppo comporta l’assunzione da parte di alcuni dipendenti pubblici di un atteggiamento di
sostanziale indifferenza e indolenza verso la concreta realizzazione delle novità digitali. Ora però la
magistratura inizia a intervenire, sanzionando i comportamenti omissivi e inadempienti rispetto agli
obblighi in tema di piattaforme informatiche, pubblicazione on line e trasparenza amministrativa.
Problematiche varie inerenti la P.E.C.

Trasmissione da una casella non PEC ad una casella PEC
La posta elettronica “semplice” differisce dalla PEC per la “certezza” (alla stessa stregua di una
raccomandata con ricevuta di ritorno) di ricezione (o mancata consegna) del messaggio inviato al
destinatario. Unica condizione per l’utilizzo di tale strumento è che sia il mittente sia il destinatario siano
titolari di un indirizzo PEC.
35
Utilizzo della PEC nel processo telematico
La PEC oggi è uno strumento indispensabile per l’avvocato, il quale la utilizza:
• per l’invio di comunicazioni a valore legale (art. 4 del D.P.R. 68/2005);
• per ricevere le comunicazioni e notificazioni telematiche da parte degli Uffici Giudiziari (art. 4 del D.L.
193/2009) anche in tutti quei casi in cui sarebbe prevista la notifica in cancelleria (art. 16 sexies del D.L.
179/2012 introdotto con il D.L. 90/2014);
• per comunicare con gli organi delle procedure concorsuali e fallimentari;
• per depositare telematicamente gli atti presso il Tribunale e anche, se lo ritiene utile, per notificare
autonomamente (senza passare dall’Ufficiale Giudiziario) gli atti in materia civile e stragiudiziale a norma
della Legge 53/1994, così come modificata negli ultimi anni per adeguarsi allo strumento telematico.
I limiti della PEC

In primo luogo si osservi che la Posta Elettronica Certificata è un’invenzione italiana e lo standard della PEC
non è riconosciuto a livello internazionale. È inoltre bene sottolineare che molti indirizzi PEC sono non
funzionanti, risultano errati o comunque inutilizzati dal titolare che, lasciando la propria casella in
condizione di non poter ricevere i messaggi PEC, di fatto impedisce il buon fine della comunicazione.
Occorrerebbe altresì prevedere un agevole strumento di controllo dello storico degli indirizzi di posta
elettronica certificata presenti nei Pubblici Elenchi, che possono nel tempo subire modifiche.
Infine, i limiti dimensionali connessi alla Posta Elettronica Certificata, impongono di valutare altre scelte
tecniche per la trasmissione e la conservazione dei documenti che rendano il procedimento maggiormente
agevole da parte di tutti gli attori coinvolti.
Principali tecniche di cyber attacco

Man In The Middle
• Con la frase Man-In-The-Middle, nella sicurezza informatica, ci si riferisce ad una forma di attacco
informatico.
• L’hacker rende le connessioni indipendenti tra le vittime e scambia lui i messaggi tra di loro, facendo
credere che stiano parlando direttamente tramite una connessione privata, mentre in realtà l'intera
conversazione è controllato dall’hacker stesso.
• L’hacker deve essere in grado di intercettare tutti messaggi in corso tra le due vittime e iniettarne di
nuovi, questo risulta spesso molto semplice in svariate circostanze (ad esempio uso di zone Wi-Fi).
• Un attacco man-in-the-middle può avere successo solo se l’hacker può impersonare l’interlocutore in
modo soddisfacente per l'altro, si tratta di un attacco contro l'autenticazione reciproca.
• La maggior parte dei protocolli di crittografia includono una qualche forma di autenticazione
endpoint specificamente per prevenire attacchi MITM.
• SSL (Secure Sockets Layer) è un protocollo progettato per consentire alle applicazioni di trasmettere
informazioni in modo sicuro e protetto che può autenticare una o entrambe le parti utilizzando un’autorità
di certificazione reciprocamente attendibile.
Server Shadow (DNS Spoofing)

• Ci sono tanti modi per hackerare un sistema o una rete, il che significa che le aziende impiegano tante
risorse per la sicurezza dei loro sistemi informatici.
• Quindi è necessario pensare in modo creativo al fine di avere successo.
36
• Molti hacker alle prime armi concentrano tu>e le loro energie sul cracking delle password
• Altri sfruttano le vulnerabilità dei Sistemi Operativi che vengono scoperte (sempre più rari) ed anche
subito “chiuse”.
• Però… con tutti i protocolli che utilizzano i sistemi informatici (DNS, SMTP, SMB, SNMP, LDAP, DHCP, ecc)
è inevitabile che ci sia una vulnerabilità nei difetti di comunicazione tra di essi.
Denial Of Service
• DoS è un metodo di attacco utilizzato per negare l'accesso agli utenti legittimi di un servizio online.
Questo servizio potrebbe essere una banca, un sito web e-commerce, o qualsiasi altro tipo di servizio di
rete. Alcuni attacchi hanno come bersaglio anche le infrastrutture VoIP.
Cyber Defence DOS (Do it yourself)

• Questo è il metodo più semplice e meno efficace. Si tenta di filtrare il traffico cattivo attraverso il firewall
esistente.
• Nei primi anni 2000, quando gli attacchi erano abbastanza semplici, questo funzionava.
• In questi giorni, attacchi sono troppo grandi e complessi per questo tipo di protezione.
• Un firewall si scioglierà abbastanza rapidamente sotto il carico anche di un attacco banale.
• Alcune imprese usano il loro ISP per mitigare degli attacchi DoS. Infatti gli ISP hanno più larghezza di
banda rispetto all'impresa e questo aiuta contro i grandi attacchi volumetrici.
APT: Advanced Persistent Threat

Le minacce APT sono attacchi sofisticati e anche estremamente mirati, che iniziano con l’intrusione degli
hacker all’interno della rete aziendale “vittima”. Sono tra le minacce che preoccupano di più le aziende che
gestiscono dati sensibili.
• AVANZATE: usano tecniche di hacking avanzate, con più vettori di attacco.
• PERSISTENTI: l’attacco è continuo nel tempo, anche per mesi, si cerca di rimanere nel sistema per un
lungo tempo.
• MINACCIOSE: cercano di rubare dati, di spiare e di non essere scoperte.
Computer Forensics (fasi e principali metodologie d’intervento)

Procedura univoca?
L ’eterogeneità di supporti elettronici che possono celare tracce e indizi, la costante evoluzione tecnologica
e tutte le molteplici situazioni in cui un investigatore si deve confrontare, non permettono di individuare
una procedura univoca ed universale per l’acquisizione della prova digitale.
Evidenza Digitale: requisiti fondamentali
Procedure di digital forensics forniscono alla evidenza digitale i seguenti requisiti:

–  Integrità
–  Autenticità
–  Veridicità
–  Non ripudiabilità
–  Completezza della prova
37
Fasi della computer forensics
•  Individuazione
•  Preservazione e isolamento
•  Acquisizione
•  Analisi e correlazione dei dati assunti
•  Completa ed esaustiva documentazione di quanto effettuato nelle singole fasi.
FASE I: Identificazione (supporto digitali)

•  Visibili: hard disk, floppy, CD/DVD, memoria SSD, pendrive
•  Non visibili: NAS, link di rete, wi-fi repository
•  Nascoste
FASE II: preservazione e isolamento

• Come preservare: memorizzati nella RAM, o nella cache di sistema ;
• Dato di traffico che contempli le connessioni attive in quel momento sul sistema informatico oggetto di
perquisizione (router, server, etc.).
• fase descrittiva: sopralluogo con un puntuale inventario delle evidenze rinvenute;
• fase tecnica: impedire qualsiasi interazione dei reperti con l’ambiente circostante sino alla successiva fase
di acquisizione;
• Regola aurea: evitare nel modo più assoluto di accedere al dispositivo, ovvero interagire in una qualsiasi
maniera con le evidenze rilevate sulla scena del crimine;
•  La sola accensione di un computer, di un cellulare o di un qualunque dispositivo che abbia capacità
computazionali provoca un’interazione tra dati, memorie e sistema operativo che, in termini di gestione
forense dell’evidenza, deve sempre essere considerata come un’alterazione di tali dati e dunque del
reperto stesso.
FASE III: acquisizione

•  L ’obiettivo ultimo di una corretta acquisizione della prova informatica è quello di fornire le massime
garanzie in termini di integrità, autenticità, veridicità e non ripudiabilità.
•  l’acquisizione dell’evidenza digitale consiste nella creazione della cosiddetta “bit stream image”, ovvero
nella copia “bit to bit” del dispositivo oggetto d’indagine;
•  la procedura di acquisizione non tiene conto della parte contenutistica del dato, ma della sua struttura
fisica e della sua allocazione logica (documenti parziali, cancellati, sovrascritti, interrotti)
•  L’applicazione di funzioni di hash e l’utilizzo di sistemi che inibiscono “fisicamente” la modifica del
dispositivo (forensics write blockers), garantiscono la preservazione del dato stesso e la sua successiva
corretta analisi.
•  L’acquisizione dell’evidenza digitale è sicuramente da considerarsi come la fase più delicata di tutto
il procedimento. In passato attribuiva a tale momento carattere di non ripetibilità, indicando dunque la
necessità di operare sempre e solo ex Art. 360 c.p.p.
•  Sebbene la normativa non imponga alcun vincolo sul software da utilizzare, è comunque evidente che far
riferimento a prodotti il cui codice potrebbe in qualsiasi momento essere sottoposto a verifica possa fornire
una maggior e migliore garanzia a tale scopo.
38
FASE IV: analisi
• Diversamente dall’acquisizione, dove risulta possibile definire procedure standard per operare in piena
sicurezza, non è altrettanto possibile per l’analisi in quanto volta per volta gli elementi da ricercare
potrebbero essere differenti.
•   La prova informatica presenta le caratteristiche di estrema labilità, al pari dei reperti chimico-biologico
che per loro natura sono facilmente deteriorabili
•   Il dato digitale potrebbe essere soggetto a modificabilità in ragione del supporto su cui è memorizzato.
Bisognerà perciò porre una cura maggiore proprio in funzione della tipologia di elemento che si è
sottoposto a repertazione.
Digital Forensics e Cyber Defense

•   Con le tecnologie digitali l’informazione si svincola dal supporto e diventa facile poter riprodurre un
contenuto e trasferirlo altrove;
•   Con la diffusione della rete Internet tutte le attività lavorative diventano net-centriche e quindi anche le
attività illecite;
•   Diventa difficile definire il confine territoriale di un’attività in rete.
Come ci difendiamo dal fenomeno

1. La Prevenzione(da parte dell’utente e della pubblica sicurezza):
•   Informare;
•   Sensibilizzare;
•   Responsabilizzare.
2. La Repressione (Codice Penale).
Prevenzione dal lato della Polizia Postale e delle Comunicazioni:

•   Monitoraggio della rete Internet;
•   Data Retention: tenere traccia dei dati inerenti gli spostamenti degli utenti per quanto riguarda la
navigazione (indirizzi IP, data-ora e durata della comunicazione, log-file).
La prima legge italiana contro il Cybercrime

Legge 547/93
“Modificazioni ed integrazioni alle norme del Codice Penale e del codice di procedura penale in tema di
criminalità informatica”
Le 4 macro aree:
1. Frodi informatiche (truffa su carte di credito);
2. Falsificazioni (di documenti informatici);
3. Integrità dei dati e dei sistemi informatici:
•   danneggiamento di Sistemi Informatici e telematici;
•   diffusione di programmi diretti a danneggiare o interrompere il funzionamento di un sistema
informatico;
39
4. Riservatezza dei dati e delle comunicazioni informatiche:
•   accesso abusivo ad un sistema informatico o telematico;
•   detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
•   intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
•   installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche;
•   falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.
Alcune definizioni
Cyber warfare: è la guerra cibernetica, si traduce nell’alterare e distruggere informazioni e sistemi
informatici nemici. Esempi possono essere gli eventi di vandalismo web atti a modificare e sporcare
pagine web (“Deface”) oppure gli attacchi per mettere fuori uso i server.
Hacktivism: è la fusione di due parole, “hacking” e “activism”, consiste nell’attacco ad un sistema

informatico con il fine della protesta (esempi sono gli attacchi di Anonymous)
Cos’è un attacco DoS (Denial of Service)

•   Il significato italiano è “la negazione del servizio”
•   consiste nell’attaccare un sistema in modo da renderlo inutilizzabile, consumando tutte le sue risorse;
L’attacco Dos
•   L’hacker attacca il server occupando tutte le sue risorse, in modo che quest’ultimo si rende indisponibile
alla richiesta di servizio di un utente reale;
•   Di solito i server possono soddisfare un numero massimo di utenti contemporaneamente, accettando un
numero massimo di connessioni simultanee;
•   L’hacker le satura tutte causando il Diniego del Servizio all’utente reale.
Alcune nozioni: l’indirizzo IP

•   Ogni dispositivo che naviga su Internet deve avere l’indirizzo IP. Questo indirizzo deve essere
unico in modo da individuare univocamente il dispositivo su tutta la rete Internet. E’ conferito dall’ISP
(Internet Service Provider)
•   L’indirizzo può essere fisso o dinamico;
•   L’indirizzo fisso è assegnato ad ogni server;
•   A chi si collega da casa (dispositivo con funzione di client) viene assegnato un indirizzo occasionale,
quello disponibile in quel momento offerto dall’ISP.
Il log-file: le tracce degli accessi

•   È il giornale di bordo di un sistema informatico, spesso si parla di web-log;
•   Contiene la registrazione cronologica delle operazioni man mano che vengono eseguite;
•   Consente di stabilire a che ora ed in che giorno un determinato utente si è collegato alla rete tramite un
provider;
•   Ci dice quanto tempo l’utente è rimasto connesso alla rete e con quale indirizzo IP;
•   Ci dice a quali siti l’utente ha avuto accesso, cosa ha scaricato, quali chat o newsgroup ha frequentato;
40
Iniziamo l’attività investigativa: il tracciamento
Per tracciamento si intende l’insieme della l’attività messe in campo durante l’investigazione,
finalizzate ad individuare l’autore di un reato commesso in rete. Vediamone i passi.
E’ determinante ai fini investigativi definire a priori se parliamo di un’attività investigativa per un reato
già commesso o un reato ancora in atto.
La nostra ipotesi di reato

Ipotizziamo che è stato sferrato un attacco al sito dell’Università degli Studi di Foggia: www.unifg.it e
l’indagine inizia quando l’attacco si è già concluso. I passi:
1)   Informata l’A.G. sul reato commesso ed ottenuta l’autorizzazione a procedere tramite decreto del
Pubblico Ministero, si chiedono le seguenti informazioni al proprietario del sito:
-  Data e ora dell’attacco;
-  Id operazione, di solito un codice che identifica l’operazione all’interno del portale;
-  Indirizzo IP del client che ha sferrato l’attacco;
-  I dati personali inseriti al momento della registrazione del sito (se si tratta di accesso ad un sito con
registrazione).
2)   Ottenuto l’indirizzo IP dell’attaccante si dovrà ora rintracciare (attività di tracciamento) a quale

dispositivo corrisponde quell’indirizzo.
3)   Parte ora l’indagine di tracciamento
Il tracciamento dell’indirizzo IP: premessa

I blocchi degli indirizzi IP nel mondo sono divisi tra i vari Regional Internet Registries, i quali a loro volta li
dividono in sotto-blocchi di indirizzi ai National Internet Registries, i quali li distribuiscono ai vari ISP
(Internet Service Provider)
4) Una volta acquisita la corrispondenza tra l’indirizzo IP e l’ISP, l’investigatore chiede all’autorità
giudiziaria di accedere ai file di log del Provider per ricercare l’indiziato.
5)   Nel file di log si evince il numero telefonico dell’utenza associata in quell’istante a quell’indirizzo IP e
quindi all’intestatario del contratto.
6)   A questo punto tutti potrebbero pensare che il caso è chiuso, ma…
Potrebbe accadere che:

•   I documenti utilizzati per il contratto telefonico siano falsi;
•   L’utenza telefonica sia stata intestata ad un soggetto a cui sono stati rubati i documenti;
•   Il titolare dell’utenza sia deceduto e i dati dell’utenza non sono stati aggiornati;
•   L’indirizzo IP trovato non appartiene ad un’utenza residenziale ma ad un Internet Point che non ha
richiesto alcun dato identificativo al proprio cliente;
•   L’utente telefonico identificato non ha adottato misure minime di sicurezza per la propria rete Wi-Fi (rete
non protetta da password).
41
Il problema dell’occultamento delle tracce: Antiforensics
Per attività “Antiforensics” si intendono tutte le tecniche che servono ad eludere l’investigazione
come:
-  Data hiding, occultare i dati con tecniche crittografiche;
-  Distruzione dei dati, che può riguardare log-file, tracce di navigazione, washing di vario tipo del
sistema operativo;
-  Corruzione e modifica dei dati sulla rete (modifica dei pacchetti di dati);
-  Occultamento/mascheramento dell’indirizzo IP.
La rete TOR (The Onion Router)
Gli ISP gestiscono dei dispositivi denominati Routers (instradatori, che cercano la rotta). Hanno il compito di
trovare la migliore strada per consegnare a destinazione i pacchetti di dati dell’utente.
•   La rete Tor è costituita da un numero elevato di router gestiti da volontari i quali definiscono
percorsi casuali e crittografati tra i diversi routers.
•   Pertanto le informazioni trasmesse all’interno della rete non sono tracciabili ed è quindi
impossibile risalire al mittente;
•   La rete Tor impedisce a chiunque osservi la connessione di sapere quali siti si stanno visitando, in quanto
questi dati sono protetti da tecniche crittografiche;
•   La rete Tor consente di accedere ai siti con IP reindirizzato, o meglio cambiato più volte (mascheramento
dell’indirizzo IP);
•   La rete Tor consente inoltre l’anonimato anche ai server, in modo da renderli non localizzabili.
HASH
Nel linguaggio scientifico, l'hash è una funzione univoca operante in un solo senso (ossia, che non può essere
invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente
limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash,
checksum crittografico o message digest. Non esistono 2 uguali.
VALORE PROBATORIO DELLA CHAT

L’utilizzabilità della trascrizione di conversazioni, effettuate via Chat (es.‘whatsapp’) e registrate da uno degli
interlocutori, è condizionata dall'acquisizione del supporto - telematico o figurativo contenente la menzionata
registrazione, perchè occorre controllare l'affidabilità della prova medesima mediante l'esame diretto del supporto
onde verificare con certezza sia la paternità delle registrazioni sia l'attendibilità di quanto da esse documentato.
Il valore probatorio delle chat secondo la Cass, V Sez. 25 ottobre 2017, n. 49016: “È legittimo il provvedimento con
cui il giudice di merito rigetta l’istanza di acquisizione della trascrizione di conversazioni, effettuate via ‘whatsapp’ e
registrate da uno degli interlocutori, per quanto la registrazione di tali conversazioni, operata da uno degli
interlocutori, costituisca una forma di memorizzazione di un fatto storico, della quale si può certamente disporre
legittimamente ai fini probatori, trattandosi di una prova documentale, atteso che l'art. 234 c.p.p., comma 1,
prevede espressamente la possibilità di acquisire documenti che rappresentano fatti, persone o cose mediante la
fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo, l'utilizzabilità della stessa è, tuttavia, condizionata
dall'acquisizione del supporto - telematico o figurativo contenente la menzionata registrazione, svolgendo la relativa
trascrizione una funzione meramente riproduttiva del contenuto della principale prova documentale tanto perchè
42
occorre controllare l'affidabilità della prova medesima mediante l'esame diretto del supporto onde verificare con
certezza sia la paternità delle registrazioni sia l'attendibilità di quanto da esse documentato
La validità probatoria della trascrizione degli scambi di messaggistica è subordinata al ricorrere di un requisito
particolare, ossia all’acquisizione processuale anche del supporto telematico o figurativo contenente la
conversazione (in questo caso, il telefono cellulare). La sola trascrizione del contenuto delle conservazioni
rappresenta, infatti, per la Cassazione uno strumento con funzione unicamente “riproduttiva del contenuto della
principale prova documentale”, mentre è di fondamentale importanza la possibilità di verificare, oltre al contenuto,
anche l’affidabilità della prova. Bisogna verificare tanto la riconducibilità dei messaggi al loro effettivo autore e
mittente, quanto l’attendibilità intrinseca del loro contenuto
TROJAN/CAPTATORE INFORMATICO
Entra nel sistema “target” e prende il completo controllo (anche della webcam).
È in grado di attivare il microfono del sistema e ascolta come un’ambientale;
È programmato per sfuggire agli antivirus; - Acquisisce e recapita on line, ad intervalli di tempo, all’investigatore
TUTTO il contenuto del PC (ogni tipo di file, log di navigazione web, posta elettronica, foto, screen shot schermo,
screen shot dei siti web visitati);
Si autodistrugge con un comando pulendo le sue tracce ed è difficilissimo capire se e quando è stato istallato;
può “uplodare” qualsiasi tipo di file salvandolo sul pc “vittima” - N.B. : I PM e la PG non lo faranno mai, ma loro
hanno il controllo della situazione?
Il lato oscuro della Forza del captatore: Gli screenshot in base a quale norma possono essere acquisiti? E vengono acquisiti?
Cass. 2015, del 26 maggio 2015 Musumeci (utilizzo trojan per intercettazioni itineranti tra presenti). L'intercettazione di
conversazioni tramite il c.d. agente intrusore, che consente la captazione "da remoto" delle conversazioni tra presenti
mediante l'attivazione, attraverso il c.d. virus informatico, del microfono di un apparecchio telefonico smartphone, dà luogo
ad un'intercettazione ambientale che può ritenersi legittima, ai sensi dell'art. 266, comma secondo, cod. proc. pen. in
relazione all'art. 15 Cost., solo quando il decreto autorizzativo individui con precisione i luoghi in cui espletare l'attività
captativa.
Videoriprese con trojan: • Le videoriprese effettuate "da remoto", mediante l'attivazione attraverso il c.d. virus informatico
della telecamera di un apparecchio telefonico smartphone, possono ritenersi legittime quali prove atipiche ai sensi dell'art.
189 cod. proc. pen., salvo che siano effettuate all'interno di luoghi di privata dimora, e ferma la necessità di autorizzazione
motivata dall'A.G. per le riprese che, pur non comportando una intrusione domiciliare, violino la riservatezza personale.
MALWARE e ANTIVIRUS
Un tipo di software in grado di creare danni e/o sottrarre informazioni (Virus, WORM, Il TROJAN, Spyware, Key logger,
ramsoware)
Usare un software antivirus per proteggere un computer e uno smartphone: All’istallazione occorre configurare o verificare
che:
- La scansione iniziale di avvio del PC e dei file avvenga ad ogni accensione
- La scansione del file quando aperto con un’applicazione
- La scansione di supporti rimovibili - La protezione del computer durante la navigazione Internet
- La scansione dei messaggi di posta elettronica e degli eventuali allegati
- L’aggiornamento automatico dell’applicazione a intervalli regolari quando il PC è connesso a Internet
- Sia sempre consentita ed effettuata di tanto in tanto una scansione manuale del PC, di dischi esterni o di file sospetti.
SICUREZZA INFORMATICA (CYBERSECURITY)
La Sicurezza informatica o Cybersecurity consiste nel difendere computer, server, le reti, i programmi digitali, i dispositivi
mobili, sistemi elettronici, reti dati (personali e non) e informazioni dagli attacchi informatici. È anche conosciuta come
sicurezza informatica o sicurezza delle informazioni elettroniche. Questi attacchi informatici sono solitamente finalizzati
all'accesso, alla trasformazione o alla distruzione di informazioni sensibili, nonché all'estorsione di denaro agli utenti o
all'interruzione dei normali processi aziendali (danneggiamento). L'implementazione di misure di cybersecurity efficaci è
particolarmente impegnativa oggi perché ci sono più dispositivi che persone e gli hacker stanno diventando sempre più
innovativi. La Cybersecurity si applica a vari contesti, dal business al mobile computing, e può essere suddivisa in diverse
categorie:
43
-Sicurezza di rete: consiste nella difesa delle reti informatiche dalle azioni di malintenzionati, che si tratti di attacchi mirati o di
malware opportunistico.
-Sicurezza delle applicazioni: ha lo scopo di proteggere software e dispositivi da eventuali minacce. Un'applicazione
compromessa può consentire l'accesso ai dati che dovrebbe proteggere. Una sicurezza efficace inizia dalla fase di
progettazione, molto prima del deployment di un programma o di un dispositivo.
-Sicurezza delle informazioni: protegge l'integrità e la privacy dei dati, sia quelle in archivio che quelle temporanee.
-Sicurezza operativa: include processi e decisioni per la gestione e la protezione degli asset di dati. Comprende tutte le
autorizzazioni utilizzate dagli utenti per accedere a una rete e le procedure che determinano come e dove possono essere
memorizzati o condivisi i dati.
-Disaster recovery e business continuity: si tratta di strategie con le quali l'azienda risponde a un incidente di Cybersecurity e
a qualsiasi altro evento che provoca una perdita in termini di operazioni o dati. Le policy di disaster recovery indicano le
procedure da utilizzare per ripristinare le operazioni e le informazioni dell'azienda, in modo da tornare alla stessa capacità
operativa che presentava prima dell'evento. La business continuity è il piano adottato dall'azienda nel tentativo di operare
senza determinate risorse
La formazione e security awareness

Formazione degli utenti finali: riguarda uno degli aspetti più importanti della Cybersecurity: le persone. Chiunque non rispetti
le procedure di sicurezza rischia di introdurre accidentalmente un virus in un sistema altrimenti sicuro. Insegnare agli utenti a
eliminare gli allegati e-mail sospetti, a non inserire unità USB non identificate e ad adottare altri accorgimenti importanti è
essenziale per la sicurezza di qualunque azienda. La formazione, capace di aumentare la consapevolezza dei dipendenti
attraverso un percorso di security awareness, è un fattore indispensabile per garantire la sicurezza informatica di qualunque
organizzazione perché la grandissima maggioranza dei reati informatici ha successo a causa della vulnerabilità indotta dal
fattore umano. Gli sforzi delle aziende nel campo della sicurezza informatica rischiano infatti di essere vanificato da un
dipendente che, per scarsa consapevolezza o distrazione, clicca un link fraudolento in una e-mail di phishing o accede a un sito
dannoso, mettendo a rischio i dati e i sistemi aziendali.
MOBILE FORENSICS
STRUTTURA DI UN DISPOSITIVO MOBILE •Processore; •Memoria Interna; •Scheda di memoria rimovibile; •SIM card
•Connettività
IDENTIFICAZIONE DI UN DISPOSITIVO MOBILE •IMEI; •Serial Number; •ICCID; •IMSI
IMEI: I dispositivi cellulari sono caratterizzati da un codice di quindici cifre detto International Mobile Equipment Identifier
(IMEI), che viene utilizzato per identificare il dispositivo all’interno della rete del gestore telefonico L’imei rappresenta la casa
costruttrice, il modello e la nazione in cui il terminale è stato prodotto Diversi siti consentono di verificare l’associazione tra
modello del telefono e IMEI
SCHEDA SIM (Subscriber Identity Module): Per poter accedere alla rete di un operatore, è necessario inserire all’interno del
dispositivo una Smart Card, detta Subscriber Identity Module (SIM) La SIM è composta da:
- Integrated Circuit Card Identification (ICCID): un codice di venti cifre che identifica univocamente la SIM;
- International Mobile Subscriber Identity (IMSI): Codice che identifica l’utente all’interno della rete.
Come operare su un cellulare possibile fonte di prova:

✓Mettere in sicurezza il telefono
✓ Non permettere a nessuno di operare sul dispositivo
✓ Annotare eventuali problemi fisici evidenti riscontrati (per esempio display rotto)
✓ Fotografare tutti gli aspetti esterni del telefono
✓ Documentare tutte le azioni intraprese
✓ Verificare lo stato del telefono (acceso o spento)
✓ Se è spento lasciarlo spento Isolare il telefono dalla rete prima di acquisirlo
Isolare il telefono dalla rete prima di acquisirlo ➢ Gabbia di Faraday ➢ Airplane mode ➢ Jammer
44

Informatica

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Informatica

Caricato da

Copyright:

Formati disponibili

CONCETTI GENERALI (1)

CONCETTI GENERALI (2)

CONCETTI GENERALI (3)

Attenzione: IL CALCOLATORE ELABORA DATI; L’UOMO E` IN GRADO DI USARE INFORMAZIONI.

Hardware e Software di base

• Hardware = apparecchiature fisiche

Sistema Operativo: funzionalità

• Gestire le risorse della macchina (CPU, memoria, dispositivi di I/O, file)

Gestione delle risorse

• S.O. mono e multiutente – Protezione delle informazioni

HARDWAR = I componenti elettronici e meccanici del computer e delle periferiche.

TASTIERA (Unità di input): consente di battere documenti e trasmettere comandi al computer. Ha

Il sistema numerico BINARIO

Sistema Operativo: funzionalità

Gestione delle risorse:

Sistema operativo: architettura

File (management) system

Organizzazione dei dati sulle memorie di massa

Il Sistema Operativo Unix Cenni storici

I sette strati del modello OSI

Come è nata la rete Internet ?

L’architettura della rete INTERNET

MODALITA DI COLLEGAMENTO ALLA RETE INTERNET

Gli indirizzi di Internet

Struttura dei nomi DNS

o .com sta per organizzazione commerciale;

www.giurisprudenza.lum.it = 192.201.100.153 (indirizzo IP)

I protocolli di base di Internet: IP/TCP/UDP

LE CELLE POSSONO ESSERE INDIVIDUATE:

Ci sono comandi di:

Macro = gruppi di istruzioni (richiamabili con un nome)

Nel grafico vi sono varie opzioni possibili:

Naturalmente per i casi semplici vi sono i comportamenti di default:

Sui grafici si possono fare:

I contenuti dell’informazione giuridica

•norme (statali, regionali, comunitarie …)

Potenzialità e limiti dell’informazione giuridica automatizzata:

A) Basi di dati secondarie (di riferimento) es: archivio di dati bibliografici

A) con accesso in linea (on line) - sistemi telematici

CD-ROM /Sistemi telematici

Vantaggi dei CD-ROM:

Che cos’è il Commercio Elettronico?

CRITTOGRAFIA A CHIAVE ASIMMETRICA

Confidenzialità (crittografia chiave pubblica): la chiave pubblica del destinatario assicura la

MA nessuna garanzia di riservatezza (utilizzare in aggiunta la chiave simmetrica)

La legge sul diritto d'autore precisa poi all'art. 2:

"Sono comprese nella protezione:

I diritti di utilizzazione economica

I diritti di utilizzazione economica I diritti elencati dalla legge sono:

Il trasferimento dei diritti di utilizzazione economica

Il trasferimento dei diritti di utilizzazione economica:

La tutela giuridica del software

Quali sono i dati da proteggere?

Cosa significa trattare i dati?

Chi può trattare i dati personali

 La comunicazione da soggetto a soggetto pubblico è ammessa se prevista da una norma di legge/di

Chi è il titolare del Trattamento dei dati

Chi è il Referente Responsabile del Trattamento dei dati

Chi è l’incaricato del Trattamento

 E’ un codice di identificazione dell’incaricato più una parola chiave riservata oppure

Cosa contiene il DPS(Documento Programmato della Sicurezza) ?

a) L’elenco dei trattamenti di dati personali;

1. Aggiornare l’individuazione dell’ambito di trattamento consentito agli incaricati;

GDPR (General Data Protection Regulation)

2)   Ottenuto l’indirizzo IP dell’attaccante si dovrà ora rintracciare (attività di tracciamento) a quale

3)   Parte ora l’indagine di tracciamento

6)   A questo punto tutti potrebbero pensare che il caso è chiuso, ma…