Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 12
Roberto Caldelli - Concetti base di sicurezza
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 12
Roberto Caldelli - Concetti base di sicurezza
La sicurezza delle informazioni, prima della diffusione dei sistemi di elaborazione, era
garantita tramite:
un’organizzazione.
Vediamo adesso alcune importanti definizioni che sono alla base del presente corso di
studi.
Computer security: l’insieme degli strumenti destinati alla protezione dei dati e alla
Network security: l’insieme delle misure adottate per proteggere i dati durante la
loro trasmissione
Internet security: l’insieme delle misure adottate per proteggere i dati durante la loro
Come appare chiaro, i confini fra questi forme di sicurezza non sono ben definiti ed esiste
Per avere un’idea di ciò di cui ci occuperemo, vediamo di seguito alcuni esempi di
riservate; l’Utente C, non autorizzato a leggere tale file, monitora tale trasmissione e
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 12
Roberto Caldelli - Concetti base di sicurezza
ricevuto.
Quando si deve progettare un sistema di sicurezza non si devono valutare solo le possibili
soluzioni tecnologiche ma sono molti gli aspetti che devono essere presi in considerazione. In
primis, è molto importante analizzare i potenziali attacchi a cui il sistema può essere sottoposto
anche se non si riesce a farlo in maniera esaustiva. Dopo di ciò è fondamentale considerare il
loro posizionamento fisico (per esempio il punto della rete) e logico (per esempio il livello di
determinante riguarda la gestione delle informazioni segrete (per esempio una chiave
crittografica) che spesso sono indispensabili per il funzionamento dei meccanismi di sicurezza;
bisogna definire come tali informazioni vengono generate, distribuite e soprattutto protette. Infine
non sono da trascurare gli aspetti implementativi ovvero come l’inserimento degli strumenti di
sicurezza va ad impattare sulla realizzabilità pratica dell’intero sistema, per esempio se sono indotti
dei ritardi eccessivi o imprevedibili non sostenibili dalla procedura per cui si è introdotto un certo
sistema di sicurezza.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 12
Roberto Caldelli - Concetti base di sicurezza
Definire i requisiti di sicurezza necessari e caratterizzare gli approcci che soddisfano tali
requisiti è un compito molto difficile. Tale compito, seppur già complicato in un ambiente
centralizzato di elaborazione dati, lo è ancor di più a causa dell’utilizzo di reti locali e geografiche.
A tale proposito, la raccomandazione X.800 dell’ITU-T, Security Architecture for OSI, stabilisce un
approccio sistematico basato sulla definizione di Attacchi alla sicurezza, Meccanismi di sicurezza e
Sempre nell’ottica di fornire delle importanti definizioni in ambito di sicurezza, la RFC 2828
specifica la differenza esistente fra due termini che spesso sono utilizzati come sinonimi ma che in
è un potenziale pericolo.
Gli attacchi alla sicurezza possono essere di due tipologie distinte: gli attacchi passivi e gli
attacchi attivi. Un attacco passivo tenta di rilevare o utilizzare le informazioni del sistema ma non
agisce sulle sue risorse, mentre un attacco attivo tenta di alterare le risorse di un sistema o
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 12
Roberto Caldelli - Concetti base di sicurezza
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 12
Roberto Caldelli - Concetti base di sicurezza
3 Attacchi passivi
carpire le informazioni trasmesse. Tali attacchi sono molto difficili da rilevare poiché non
comportano alcuna alterazione dei dati e, in pratica, i messaggi sono inviati e ricevuti in maniera
qualcuno ha letto i messaggi o sta osservando la loro conversazione. Si capisce bene che la difesa
da tali attacchi riguarda più che altro la prevenzione piuttosto che la rilevazione, ovvero si tende a
realizzare dei meccanismi che impediscano l’attuazione dell’attacco o ne limitino la sua efficacia.
Un caso tipico di attacco passivo è l’Intercettazione del contenuto dei messaggi, per
(informazioni bancarie, sanitarie, ecc.). Nella figura seguente viene proposta una rappresentazione
di tale tipo di attacco. Darth, l’attaccante, riesce a carpire informazioni su ciò che Bob sta
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 12
Roberto Caldelli - Concetti base di sicurezza
Un altro caso di attacco passivo è rappresentato dall’Analisi del traffico; in tale circostanza,
sebbene il contenuto dei messaggi possa essere mascherato (cifrato) in modo tale che se anche
intercettato non sia utilizzabile, un estraneo potrebbe comunque individuare informazioni quali la
posizione e l’identità degli host, la frequenza e la lunghezza dei messaggi, ecc. Tale acquisizione di
comunicazione in corso tra Bob e Alice, per esempio attraverso una analisi statistica delle
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 12
Roberto Caldelli - Concetti base di sicurezza
4 Attacchi attivi
Gli Attacchi attivi prevedono, differentemente da quelli passivi, una modifica del flusso dei
mascheramento
ripetizione
denial-of-service (DoS)
un’altra entità, ovvero si “maschera” come tale. Questo è il classico caso in cui l’attaccante cerca
possesso delle autorizzazioni di un altro soggetto: il classico caso è quello di un attaccante che
banking di un’altra persona. Nella figura di seguito è rappresentato tale tipo di attacco.
Internet
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 12
Roberto Caldelli - Concetti base di sicurezza
successiva ritrasmissione per produrre un effetto non autorizzato. In questo caso l’attaccante entra
username e password) che può in seguito reinviare (ripetere) al destinatario Alice per ottenere
accesso ad un certo servizio riservato a Bob. Di seguito in figura è proposto una rappresentazione
dell’attacco.
Darth cattura un
messaggio da Bob
ad Alice,
successivamente
ripeterà il
messaggio ad
Internet Alice.
legittimo oppure ne determina il ritardo o il riordino per produrre effetti non autorizzati. Il classico
caso è quando un messaggio che proviene da Bob con un determinato contenuto (“effettua un
bonifico da 10K€ a John”) viene intercettato e alterato nel contenuto (“effettua un bonifico da
Darth modifica il
messaggio da Bob
ad Alice.
Internet
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 12
Roberto Caldelli - Concetti base di sicurezza
L’attacco di Denial-of-service (DoS) invece non prevede interazione con il mittente e tende
mirare a sopprimere tutti i messaggi diretti ad una certa destinazione oppure a sovraccaricare di
messaggi una rete o un server per degradarne le prestazioni. Ciò accade nel caso di server
Internet
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 12
Roberto Caldelli - Concetti base di sicurezza
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Introduzione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
12 di 12
Roberto Caldelli - Servizi e meccanismi di sicurezza
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
In letteratura esistono diverse definizioni di Servizio di Sicurezza, forse quella data nel
documento RFC 2828 è la più chiara:
– 5 categorie
– 14 servizi specifici
– Autenticazione
– Non ripudiabilità
1) Autenticazione
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
Tale servizio è orientato alla segretezza e alla protezione dei dati trasmessi nei confronti
degli attacchi passivi quali l’intercettazione di un messaggio e l’analisi del traffico.
Tale servizio è orientato a fornire la garanzia che i dati ricevuti siano esattamente quelli
inviati dall’entità autorizzata senza alcuna modifica, cancellazione e inserimento. Tale servizio
inoltre fa riferimento agli attacchi attivi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
5) Non ripudiabilità
Infine, oltre ai servizi di sicurezza fin qui elencati, esiste la Disponibilità o Servizio di
disponibilità. In alcuni casi, essa è intesa come una proprietà di un servizio ma in altri essa è
considerata un vero e proprio servizio che: protegge un sistema garantendone la disponibilità.
Tale servizio riguarda in particolare i problemi di sicurezza sollevati dagli attacchi Denial-of-
Service.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
3 Meccanismi di sicurezza
I Servizi di Sicurezza sfruttano uno o più Meccanismi di Sicurezza che in X.800 sono
suddivisi in due categorie:
– Crittografia
– Firma digitale
– Scambio di autenticazione
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
– Controllo dell’instradamento
– Autenticazione
– Funzionalità fidata
– Etichetta di sicurezza
– Audit trail
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
Vediamo adesso di definire un modello a cui fare riferimento per la sicurezza di rete.
Tale modello si basa sul trasferimento di dati attraverso internet dall’origine alla destinazione.
Nella figura seguente è rappresentato tale modello.
Come evidenziato, può essere necessario ricorrere a una terza parte fidata che può
svolgere per esempio il ruolo di distributore delle informazioni segrete.
Esistono anche altre situazioni che non rientrano nel modello precedente come, per
esempio, la protezione di un sistema da un attacco indesiderato la cui circostanza è riportata
nella figura di seguito.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
In questo caso l’accesso indesiderato può manifestarsi con due tipi di minacce:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 11
Roberto Caldelli - Servizi e meccanismi di sicurezza
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings,
Ed. McGraw-Hill: Introduzione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 11
Roberto Caldelli - Crittografia simmetrica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 11
Roberto Caldelli - Crittografia simmetrica
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 11
Roberto Caldelli - Crittografia simmetrica
1 Definizioni di base
Invece con il termine criptologia si intende, come evidenziato in figura, l’insieme della
crittografia (sistemi crittografici) e dell’analisi crittografica ovvero delle tecniche utilizzate per
decifrare un messaggio cifrato senza conoscere i dettagli dell’algoritmo di cifratura.
Criptologia
Crittografia
(sistemi Analisi
crittografici) crittografica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 11
Roberto Caldelli - Crittografia simmetrica
Testo in chiaro
Algoritmo di crittografia
Testo cifrato
Algoritmo di decrittografia
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 11
Roberto Caldelli - Crittografia simmetrica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 11
Roberto Caldelli - Crittografia simmetrica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 11
Roberto Caldelli - Crittografia simmetrica
Si parla infatti di attacchi Solo testo cifrato (Ciphertext Only) in cui l’attaccante dispone solo
del testo cifrato, Testo in chiaro noto (Known Plaintext) in cui può analizzare una o più coppie di
testo in chiaro e corrispondente testo cifrato e Testo in chiaro scelto (Chosen Plaintext) in cui
l’attaccante può scegliere un certo testo in chiaro e vedere quale sia il testo cifrato da esso
generato. Oltre a queste tre circostanze, ne esistono anche altre due il Testo cifrato scelto e il Testo
scelto (vedi tabella) ma sono meno frequenti.
Nel caso in cui si soddisfi almeno uno dei due criteri si dice che un algoritmo si presenta
computazionalmente sicuro.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 11
Roberto Caldelli - Crittografia simmetrica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 11
Roberto Caldelli - Crittografia simmetrica
Essendo le lettere 26, per ciascuna lettera p del testo in chiaro (posizioni da 0 a 25),
la corrispettiva lettera del testo cifrato con la chiave segreta k sarà:
C=E(k,p)=(p+k)mod26
p=D(k,C)=(C-k)mod26
Si capisce bene che nel caso di attacco a forza bruta, cioè provando tutti i possibili
26 spostamenti si riesce a decifrare la chiave addirittura al terzo tentativo; in questo caso
l’attacco a forza bruta si dimostra efficace e soprattutto praticabile. Ma ciò è possibile
poiché:
Si devono provare soltanto 26 chiavi; ovvero la chiave è lunga 5 bit (25=32 >
26) di molto inferiore rispetto ai casi evidenziati nella tabella precedente.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 11
Roberto Caldelli - Crittografia simmetrica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 11
Roberto Caldelli - Crittografia simmetrica
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 2 .
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 11
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
Anche se ciò elimina le possibilità di un attacco a forza bruta, non ci mette tuttavia al
sicuro da un analista crittografico che conoscendo la natura del testo in chiaro (p.e. italiano,
inglese, ecc.) può usare le regolarità presenti nel linguaggio per estrarre la mappatura
effettuata dall’algoritmo. Con il termine “regolarità” si intendono per esempio:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
M O N A R
C H Y B D
E F G I/J K
L P Q S T
U V W X Z
• hs >>> BP,
• gh >>> FY
• pr >>> TO
Ci sono anche alcune regole per gestire le particolarità, per esempio due lettere di
testo in chiaro nella stessa riga vengono sostituite dalla lettera che si trova a destra in modo
circolare (ar >>> RM) oppure due lettere di testo in chiaro nella stessa colonna vengono
sostituite dalla lettera sottostante, anch’esse in modo circolare (mu >>> CM).
Esistono 26x26=676 digrammi, ciò determina che l’identificazione dei singoli digrammi
sia piuttosto difficile. Nonostante ciò, la cifratura Playfair conserva ancora molta della struttura
del linguaggio in chiaro ed è relativamente facile da violare.
Questo tipo di crittografia è stata utilizzata come sistema di comunicazione sul campo
dall’esercito inglese nella prima guerra mondiale e anche dalle forze alleate durante
seconda.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
⨁= operatore XOR
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
Il testo in chiaro si ottiene effettuando una sottrazione mod26 tra il valore della posizione
della lettera nel testo cifrato e il corrispondente valore nella chiave.
Dato un qualsiasi testo in chiaro, di lunghezza uguale al testo cifrato, esiste una chiave
che produce tale testo in chiaro: ciò determina che il codice sia inviolabile!
La sicurezza della tecnica One-Time Pad è dovuta interamente alla casualità della
chiave. Tale tecnica presenta però dei limiti di praticabilità:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
Diversamente dalle tecniche a sostituzione, viste finora, che effettuano una mappatura
del testo in chiaro in quello cifrato, le tecniche a sostituzione effettuano invece una
permutazione delle lettere del testo in chiaro.
Una delle tecniche più note è la cifratura Rail Fence («staccionata») in cui il testo viene
scritto come una sequenza di diagonali e poi letto per righe. Qui di seguito viene riportato un
esempio.
m e m a t r h t g p r y
e t e f e t e o a a t
MEMATRHTGPRYETEFETEOAAT
Chiave: 4312567
Chiaro: attackp
ostpone
duntil t
woamxyz
Cifrato: TTNAAPTMTSUOAODWCOIXKNLYPETZ
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
L’inserimento di una cifra comporta la rotazione di una posizione del primo cilindro e
così via. La lettera A viene cifrata in B ma, al giro dopo, viene cifrata in Y. In pratica esistono
26x26x26=17576 alfabeti di sostituzione
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 10
Roberto Caldelli - Crittografia simmetrica: tecniche di sostituzione e di trasposizione
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 2 .
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 10
Roberto Caldelli - Cifratura a blocchi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 10
Roberto Caldelli - Cifratura a blocchi
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 10
Roberto Caldelli - Cifratura a blocchi
Le tipologie di cifratura viste finora fanno parte della prima categoria, vediamo invece
adesso quali sono i principi fondamentali delle tecniche del secondo tipo.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 10
Roberto Caldelli - Cifratura a blocchi
0011 = 3
0001 = 1
Se la dimensione n del blocco è sufficientemente grande ed è possibile utilizzare una
sostituzione reversibile e arbitraria così da mascherare le caratteristiche del testo in chiaro di
origine, si riesce a rendere inapplicabile qualsiasi tipo di analisi crittografica (cifratura ideale a
blocchi). Non è però conveniente a livello di implementazione: nel caso della cifratura ideale a
blocchi la chiave è costituita dalla mappatura stessa. Per esempio se n=4, la chiave è costituita
da 4bit per tutte le possibili 16 combinazioni ovvero 64 bit; in generale, quindi la chiave sarà
lunga n* 2n che nel caso di n=64 significa 270 ovvero circa 1021 bit. Nella figura sottostante è
evidenziato proprio il caso di n=4.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 10
Roberto Caldelli - Cifratura a blocchi
Feistel sostenne che era necessaria un’approssimazione del sistema ideale di cifratura a
blocchi per n di elevate dimensioni, costituita da componenti facilmente realizzabili.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 10
Roberto Caldelli - Cifratura a blocchi
2 La cifratura di Feistel
Essa elabora un blocco di testo in chiaro di n bit che viene diviso in due metà LE e RE; la
cifratura consta di 16 fasi.
Nella i-esima fase la parte REi viene sostituita sia nella parte LEi+1 che elaborata
attraverso una trasformazione con la funzione di fase F secondo la sottochiave Ki; a valle di
questo subisce anche un’operazione di XOR con la parte LEi per generare infine la
componente REi+1, come evidenziato nella figura sottostante in cui sul lato sinistro è raffigurato il
processo di cifratura e su quello destro il corrispondente processo di decifratura.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 10
Roberto Caldelli - Cifratura a blocchi
Le sottochiavi Ki utilizzate nelle varie fasi derivano dalla chiave K e sono tutte diverse fra
di loro.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 10
Roberto Caldelli - Cifratura a blocchi
• RD1= LD0 ⊕ F(RD0, K16) = RE16 ⊕ F(RE15, K16) = LE15 ⊕ F(RE15, K16) ⊕ F(RE15, K16)=
LE15
• X ⊕ X =0
• X ⊕ 0 =X.
Si ottiene quindi che LD1= RE15 e RD1= LE15 come previsto. Risalendo nelle varie fasi si
riottiene il testo in chiaro originale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 10
Roberto Caldelli - Cifratura a blocchi
Tale schema di crittografia deriva dallo schema LUCIFER che però usava una chiave più
lunga pari a 128 bit; ciò infatti ha determinato la generazione di molte critiche sulla effettiva
sicurezza del DES, a causa della successiva riduzione a 56 bit della chiave. Notevoli dubbi
nacquero anche sulla base del fatto che DES faceva leva sulla segretezza della struttura
progettuale interna delle S-box e quindi non si aveva una completa visione di eventuali punti
deboli.
Il DES è tuttora molto utilizzato in applicazioni finanziarie; nel 1999, fu realizzata una
nuova versione denominata Triple DES che prevede sostanzialmente l’applicazione tre volte di
DES usando due o tre chiavi differenti.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 10
Roberto Caldelli - Cifratura a blocchi
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 3.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 10
Roberto Caldelli - La cifratura DES Data Encryption Standard
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
1 L’algoritmo DES
L’algoritmo DES (Data Encryption Standard), come ogni altro schema di crittografia
prevede di ricevere in input il testo in chiaro e la chiave; le caratteristiche principali di questo
algoritmo sono:
– 16 ripetizioni (Round)
Nella Figura qui di seguito viene evidenziata la struttura generale dell’algoritmo DES;
come si può vedere il DES ha sostanzialmente la struttura della cifratura di Feistel.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
La chiave segreta (lato destro della figura) subisce anch’essa delle elaborazioni:
• permutazione iniziale
• X=IP(M)
• Y=IP-1(X)=IP-1(IP(M))
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
58 50 42 34 26 18 10 2
60 52 44 36 28 20 12 4
62 54 46 38 30 22 14 6
64 56 48 40 32 24 16 8
57 49 41 33 25 17 9 1
59 51 43 35 27 19 11 3
61 53 45 37 29 21 13 5
63 55 47 39 31 23 15 7
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
Il blocco di 64 bit viene diviso in due metà Li e Ri che vengono elaborate secondo la
cifratura di Feistel:
• Li=Ri-1
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
32 1 2 3 4 5
4 5 6 7 8 9
8 9 10 11 12 13
12 13 14 15 16 17
16 17 18 19 20 21
20 21 22 23 24 25
24 25 26 27 28 29
28 29 30 31 32 1
6 bits
4 bits
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
Ognuna delle S-box mappa i 6 bit di input su 4 bit di output, tale mappatura è basata su
una matrice di permutazione costituita da 4 righe e 16 colonne (ovvero 64 posizioni). Il 1° e il 6°
bit dei sei di input determinano il valore di riga mentre gli altri 4 bit (dal 2° al 5°) individuano la
colonna, come evidenziato nella figura sottostante. I numeri in tabella vanno da 0 a 15 per cui
rappresentabili con 4 bit.
Infine i 32 bit subiscono la Permutazione P, prima di andare in XOR con Li-1. Tale
permutazione segue la mappatura espressa nella tabella seguente.
16 7 20 21 29 12 28 17
1 15 23 26 5 18 31 10
2 8 24 14 32 27 3 9
19 13 30 6 22 11 4 25
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
I bit nelle posizioni multiple di 8 sono scartati, si ottengono quindi 56 bit che sono
permutati sulla base della Permuted Choice 1, PC-1. I nuovi 56 bit così ottenuti sono divisi in due
quantità che subiscono trasformazioni indipendenti, ciascuna quantità è costituita da 28 bit ed
è identificata con C0 e D0. Tali quantità subiscono ad ognuna delle 16 fasi degli scorrimenti a
sinistra (di 1 o 2 bit) indipendentemente; esse, infine vengono passate come input ad una
matrice di permutazione (Permuted Choice 2, PC-2) che trasforma i 56 bit in 48 bit che
rappresentano la sottochiave Ki.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
Vediamo adesso due esempi esemplificativi di tale effetto nel caso del DES.
• Es. 1: scelti due testi in chiaro di 64 bit che differiscono di un solo bit e una
chiave generica, già solo dopo 2 delle 16 fasi si può osservare che i testi cifrati differiscono
di 21 bit, dopo 3 fasi di 35 bit e, infine, dopo le 16 fasi di 34 bit.
• Es. 2: scelti due chiavi di 64 bit che differiscono di un solo bit e un testo in
chiaro generico, già solo dopo 2 delle 16 fasi si può osservare che i testi cifrati differiscono di
14 bit, dopo 3 fasi di 28 bit e, infine, dopo le 16 fasi di 35 bit.
Il DES, fin dai suoi esordi, è stato considerato molto sicuro sebbene si siano sempre
continuati a nutrire dubbi su alcune sue caratteristiche specifiche, in particolare sul fatto di
usare una chiave non molto lunga a 56 bit (circa 7,2x1016 chiavi), che comunque, con un
attacco a forza bruta ci vorrebbe circa un migliaio di anni per forzarlo (considerando
un’operazione al microsecondo). Inoltre ci vorrebbe, non solo potenza di calcolo, ma anche la
capacità di «riconoscere» il testo decifrato: sono quindi necessarie informazioni aggiuntive.
Tuttavia, nel 1998 il DES è stato violato in 3 ore da una macchina da 250.000 $.
Successivamente sono state introdotte degli algoritmi alternativi che vedremo in seguito come
AES e Triple DES.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 11
Roberto Caldelli - La cifratura DES Data Encryption Standard
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 3.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 11
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Nel 1999 il NIST emise una nuova versione del DES, il 3DES (lo vedremo più avanti nel
corso). Il 3DES aveva due interessanti qualità:
Il 3DES di per sé si presenta come l’algoritmo ideale da un punto di vista della sicurezza
ma il suo principale difetto riguarda l’implementazione software che rende l’algoritmo molto
lento e quindi difficilmente usabile. Tale lentezza è anche determinata dal fatto di elaborare
blocchi a 64 bit che sono piuttosto piccoli.
Nel 1997 il NIST aveva perciò già emesso una richiesta per proposte di soluzione sicure
come 3DES ma più efficienti e con le seguenti caratteristiche:
Dopo una attenta selezione, nel novembre 2001 per AES venne selezionata la soluzione
Rijndael. Rijndael era stata ideato da due ricercatori belgi: Joan Daemen Vincent Rijmen.
Stando alla valutazione finale effettuata dal NIST presenta molti punti a favore tra cui:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
2 AES: caratteristiche
– byte substitution
– shift rows
– mix columns
Nella figura sottostante è illustrata la struttura di AES per ciò che concerne la cifratura
(sinistra) e la decifratura (destra). Si possono apprezzare le varie funzioni che saranno introdotte
nel prossimo paragrafo e la loro successione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
AES può essere implementato facendo riferimento a differenti parametrizzazioni per ciò
che concerne la dimensione di chiave, il numero delle fasi, l’espansione della chiave, ecc.
Nella tabella di seguito sono indicate tali parametri:
Numero fasi 10 12 14
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
3 Le funzioni di AES
Byte substitution
Il blocco dati di 128 bit viene considerato come composto da 16 byte (16x8=128)
disposti in una matrice 4x4. La funzione (rappresentata nella figura sottostante) opera su ogni
byte una permutazione determinata da una S-box in cui sono rappresentate tutte le
combinazioni generabili con 8 bit ovvero 16x16=256. Gli 8 bit vengono mappati su uno dei
valori della S-box; tale mappatura avviene usando i primi 4 bit come indice di riga e i secondi 4
bit come indice di colonna.
Facendo riferimento alla S-box di seguito riportata, si può apprezzare, come per
esempio, il byte 43 in codifica esadecimale viene mappato sul byte 1A.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Shift rows
La funzione Shift rows opera come evidenziato in figura qui sotto, effettuando degli
spostamenti circolari a sinistra secondo diversi criteri:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Mix columns
La funzione Mix columns esegue una trasformazione sulle colonne (vedi figura); ogni
colonna è elaborata separatamente e ogni byte è sostituito da un valore dipendente da tutti i
4 byte nella colonna.
La funzione Add round key consiste nello XOR bit a bit del testo in chiaro con la chiave
come evidenziato in figura.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Infine esiste anche un’altra funzione (Expand key) che però riguarda solo la chiave e
consiste in un’operazione di espansione della chiave stessa. La chiave di 128 bit (4 word da 32
bit ciascuna) viene estesa, per esempio, in dipendenza dalla parametrizzazione scelta, a 44
word attraverso successive trasformazioni, del tipo di quelle evidenziate nella figura sottostante,
costituite da operazioni di XOR e applicazione di una funzione g definita (basata su scorrimenti
e sostituzioni).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 12
Roberto Caldelli - La cifratura AES - Advanced Encryption Standard
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 5.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
12 di 12
Roberto Caldelli - La crittografia multipla
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 9
Roberto Caldelli - La crittografia multipla
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 9
Roberto Caldelli - La crittografia multipla
I dubbi manifestati sulla possibile vulnerabilità di DES agli attacchi a forza bruta a causa
della chiave a dimensione ridotta, ha indotto all’utilizzo multiplo dello stesso algoritmo tramite
l’utilizzo di più chiavi. Uno dei vantaggi nel fare ciò è rappresentato dal fatto di prendere come
valide le analisi fatte sulla sicurezza del DES e soprattutto di poter riutilizzare software e dispositivi
già sviluppati per funzionare con l’algoritmo DES.
Gli algoritmi che saranno analizzati sono il 2DES (Double DES) che appunto utilizza una
doppia cifratura DES e il 3DES (Triple DES) che invece ne utilizza una tripla. Di quest’ultimo sarà
anche analizzata la variante a due sole chiavi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 9
Roberto Caldelli - La crittografia multipla
In pratica si ha in cifratura:
C=E(K2,E(K1,P))
e in decifratura:
P=D(K1,D(K2,C))
Ovvero le due chiavi vengono utilizzate in ordine inverso nelle due operazioni. Quindi, in
definitiva, il 2DES utilizza due chiavi da 56 bit che equivalgono ad una da 112 bit lunga il doppio
rispetto a DES.
Dobbiamo però capire se tutto ciò risulta corretto e se invece il fatto di usare due volte
lo stesso algoritmo non sia riconducibile ad usare lo stesso algoritmo una volta sola ma con
un’altra chiave. Quindi, in sostanza, si deve riuscire a provare che non è vero che:
E(K2,E(K1,P))=E(K3,P)
Ovvero, sarebbe tutto inutile e la cifratura 2DES con due chiavi K1 e K2 sarebbe
equivalente ad una singola cifratura DES con una sola chiave K3 a 56 bit.
Grazie alle caratteristiche proprie del DES, in particolare, l’utilizzo di una chiave a 56 bit
e l’elaborazione di un blocco di input di 64 bit, si può dimostrare che l’uso di DES sequenziale
con due chiavi diverse produce una mappatura del testo in chiaro P in un testo cifrato C che
non è definito da un’unica applicazione di DES anche con un’altra chiave.
Sono state realizzate diverse prove a supporto di ciò ma solo nel 1992 è stata dimostrato
che è statisticamente impossibile che accada una uguaglianza tra le due tipologie di
mappatura a due chiavi e a singola chiave.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 9
Roberto Caldelli - La crittografia multipla
La cifratura 2DES quindi produce una mappatura che non è equivalente ad un’unica
cifratura DES ma esiste tuttavia un attacco che non dipende da alcuna proprietà specifica di
DES l’Attacco Meet-in-the-Middle (MitM) che sfrutta il seguente legame (fare riferimento
nuovamente alla figura sottostante, ripresentata per semplicità di esposizione):
X=E(K1,P)=D(K2,C)
Esistono però dei falsi allarmi (mediamente 248) dovuti al fatto che 2DES usa una chiave
a 112 bit e che esistono 264 possibili valori cifrati C corrispondenti ad un determinato testo in
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 9
Roberto Caldelli - La crittografia multipla
chiaro P. Tali falsi allarmi possono però essere ridotti praticamente a zero se si dispone soltanto
di un’altra coppia (P, C) su cui verificare le chiavi K1 e K2.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 9
Roberto Caldelli - La crittografia multipla
Il 3DES usa quindi una chiave di 56x3=168 bit, ma ne esiste una versione alternativa che
usa due sole chiavi K1 e K2 ed opera la cifratura tramite l’esecuzione sequenziale di blocchi di
cifratura/decifratura di tipo DES. In particolare, si esegue (come nella figura qui sopra) Encrypt-
Decrypt-Encrypt (E-D-E) tale da generare il seguente testo cifrato C risultante:
C=E(K1,D(K2,E(K1,P)))
Il fatto di usare la decifratura (blocco D) nella seconda fase del processo di cifratura
non è particolarmente significativo per la sicurezza, infatti cifratura o decifratura sono di per sé
operazioni equivalenti, ma la presenza di tale blocco serve soltanto per avere compatibilità
con il sistema DES singolo in cui K1=K2 e infatti si ha che:
C=E(K1,D(K1,E(K1,P)))=E(K1,P)
poiché D(K1,E(K1,P))=P
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 9
Roberto Caldelli - La crittografia multipla
Nonostante ciò molti ritengono sia preferibile il 3DES a tre chiavi che viene usato in
applicazioni Internet nel PGP (sarà trattato più avanti nel corso) e che usa, in pratica, una
chiave a 168 bit (ovvero 3 chiavi a 56bit*3) per cui la cifratura diventa:
C=E(K3,D(K2,E(K1,P)))
Diventa interessante notare che la compatibilità con DES sussiste sempre ed è garantita,
in questo caso ponendo K1=K2 per cui si ha:
C=E(K3,P)
C=E(K1,P)
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 9
Roberto Caldelli - La crittografia multipla
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 6.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 9
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Vediamo adesso come la cifratura a blocchi viene in pratica realizzata. Sono state
definite 5 modalità di funzionamento della cifratura a blocchi; esse hanno lo scopo di
considerare sostanzialmente tutte le possibili applicazioni di un algoritmo di cifratura a blocchi.
Tali modalità possono prevedere un utilizzo a blocco o a flusso e possono essere usate con
qualsiasi tipologia di cifratura simmetrica a blocchi tra cui 3DES e AES.
Sono riassunte in questa tabella le 5 modalità che saranno illustrate nei prossimi
paragrafi con alcune descrizioni sulla procedura e sulla loro applicazione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Si tratta della modalità più semplice, in cui il testo in chiaro viene codificato un blocco
alla volta e sempre con la stessa chiave. Se si devono codificare un insieme di bit di dimensioni
superiore a b (dimensione del blocco), essi vengono suddivisi in blocchi di b bit ed
eventualmente si usano dei bit di riempimento per l’ultimo blocco.
Diventa importante notare che se nel messaggio compare più volte lo stesso blocco di
b bit di testo in chiaro, questo produrrà lo stesso testo cifrato di uscita. Nel caso di un messaggio
piuttosto lungo ciò può determinare una certa regolarità che può essere sfruttata per un’analisi
crittografica.
Nelle figure seguenti sono riportate rispettivamente le strutture di cifratura e di
decifratura.
Come si vede bene, si utilizzano due algoritmi distinti per la cifratura e la decifratura. La
chiave di cifratura (decifratura) è unica.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Si può notare che esiste un vettore di inizializzazione (IV) che viene utilizzato nel primo
blocco e che deve essere ovviamente noto anche al destinatario per poter procedere alla
decifratura (vedi figura seguente)
Anche in questo caso la chiave è sempre unica e gli algoritmi per la cifratura e la
decifratura sono distinti.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
La modalità OFB è molto simile a CFB, solo che nel registro a scorrimento vengono inviati
gli s bit cifrati che vanno in XOR con gli s bit del testo in chiaro anziché C1 come appunto
accadeva per CFB. Tale diversità è evidenziata nella figura sottostante in cui la freccia di
colore blu si riferisce alla modalità OFB.
OFB
OFB offre, rispetto a CFB, il vantaggio di non propagare eventuali errori di trasmissione dei bit,
infatti un errore nei bit di C1 interessa solo il valore recuperato P1 e non va ad influenzare le
successive operazioni di decifratura.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
6 Counter (CTR)
In questa modalità, viene utilizzato un contatore di dimensioni pari alle dimensioni del
blocco di testo in chiaro. Ciò che è importante è che il valore di ciascun contatore deve essere
diverso per ciascun blocco che viene cifrato. In genere si usa un determinato valore che poi
viene incrementato di un’unità nel blocco successivo; tale valore del contatore viene cifrato e
messo in XOR con il blocco di testo in chiaro. Nella figura seguente è illustrata la procedura di
cifratura CTR.
Come si può vedere, non esiste alcuna concatenazione tra i successivi stadi di cifratura
e, anche in questo caso, in decifratura (vedi figura sottostante) si usa di nuovo la funzione di
crittografia.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 11
Roberto Caldelli - Modalità di funzionamento della cifratura a blocchi
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed. McGraw-
Hill: Capitolo 6.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 11
Roberto Caldelli - Segretezza e crittografia simmetrica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 9
Roberto Caldelli - Segretezza e crittografia simmetrica
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 9
Roberto Caldelli - Segretezza e crittografia simmetrica
– cosa crittografare
Per ciò che riguarda il posizionamento dei sistemi crittografici, due sono sostanzialmente
gli approcci seguiti:
– la crittografia di canale
– la crittografia end-to-end
I vari punti di una rete locale e i loro collegamenti costituiscono dei possibili elementi di
vulnerabilità che vanno adeguatamente protetti. Diventa talvolta difficile individuare i punti
con maggiore criticità in quanto questa dipende sia dal tipo di funzione svolta sia dal legame
con gli altri elementi della rete. Un attacco può verificarsi in qualsiasi punto dell’infrastruttura di
comunicazione. Basta pensare che per svolgere un attacco passivo, un attaccante deve
semplicemente riuscire ad osservare le trasmissioni che avvengono su un determinato
collegamento sia essa in cavo o senza fili.
Nella figura di seguito sono evidenziati i punti in cui i sistemi di crittografia di canale (link
encryption) e quelli di crittografia end-to-end possono essere posizionati all’interno di una
determinata infrastruttura di collegamento di rete.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 9
Roberto Caldelli - Segretezza e crittografia simmetrica
Si può facilmente notare che, per esempio, i sistemi di crittografia end-to-end si trovano
appunto all’estremità di un collegamento fra due host e non coinvolgono i vari collegamenti
fra dispositivi collocati all’interno dell’architettura di rete.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 9
Roberto Caldelli - Segretezza e crittografia simmetrica
Nel caso della crittografia di canale ogni collegamento vulnerabile fra due dispositivi
viene dotato, a entrambe le estremità, di un sistema di crittografia. Ciò determina varie
problematiche tra cui la necessità di un grande numero di dispositivi di crittografia ma
soprattutto che ogni coppia di nodi che condivide un collegamento deve avere una chiave
univoca condivisa e diversa per ogni collegamento. Si capisce bene che conseguentemente si
devono utilizzare un enorme quantità di chiavi crittografiche L’altro aspetto problematico
riguarda il fatto che tutte le volte che il messaggio entra in uno switch di rete, esso deve essere
decifrato, infatti lo switch deve poter leggere l’indirizzo (numero di connessione logica)
contenuto nell’intestazione del pacchetto e ciò rende il messaggio vulnerabile ed esposto a
possibili attacchi.
Nel caso della crittografia end-to-end il processo di crittografia viene eseguito solo dai
due sistemi terminali; il terminale sorgente e quello di destinazione condividono la chiave
segreta di cifratura/decifratura. Si capisce immediatamente che ciò riduce di molto il
problema della numerosità dei dispositivi ma dall’altro lato si ha che l’intestazione è in chiaro,
ovvero i dati utente sono sicuri ma non il loro flusso nella rete che può essere osservato da un
attaccante per estrarre informazioni sulla frequenza dei messaggi, sugli host coinvolti in termini
di tempi e tipologia di connessioni.
Ne consegue che entrambi i tipi di crittografia sono necessari per garantire la massima
sicurezza. In tal caso, l’host prima esegue la crittografia dei dati utente tramite la chiave di
crittografia end-to-end e poi cifra l’intero pacchetto mediante la chiave di crittografia di
canale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 9
Roberto Caldelli - Segretezza e crittografia simmetrica
L’uso della crittografia simmetrica prevede che le due parti condividano la stessa
chiave segreta crittografica, diventa pertanto importante stabilire come distribuire tale chiave
in maniera sicura ai due partecipanti alla trasmissione. Infatti succede che talvolta il sistema di
crittografia è molto sicuro ma il metodo di distribuzione delle chiavi non lo è e ciò ovviamente
inficia la robustezza dell’intero sistema crittografico.
La distribuzione della chiave fra due utenti A e B può avvenire in vari modi:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 9
Roberto Caldelli - Segretezza e crittografia simmetrica
Si suppone che ciascun dei due utenti A e B condivida con il KDC (Key Distribution
Center) una chiave master univoca, ovvero KA e KB sono note solo all’utente e al KDC.
Come evidenziato nella figura sottostante, A invia al KDC la sua identità, quella di B e un
nonce N1 (identificatore univoco, per esempio l’orario, un numero casuale). Il KDC risponde
con messaggio cifrato con la chiave KA., solo A è in grado di decifrarlo.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 9
Roberto Caldelli - Segretezza e crittografia simmetrica
Solo B può decifrare tale messaggio che contiene i due elementi a lui inoltrati da A e quindi
alla fine:
Tuttavia per garantire B dalla possibilità di avere ricevuto una replica si effettuano i
seguenti due ulteriori passi:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 9
Roberto Caldelli - Segretezza e crittografia simmetrica
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 7.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 9
Roberto Caldelli - Crittografia asimmetrica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 10
Roberto Caldelli - Crittografia asimmetrica
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 10
Roberto Caldelli - Crittografia asimmetrica
1 Concetti base
Lo sviluppo della crittografia asimmetrica è forse l’unica vera rivoluzione nella storia
della crittografia. Tutti i sistemi crittografici, visti finora, si basano sugli strumenti fondamentali di
sostituzione e permutazione, invece gli algoritmi a chiave pubblica si basano su funzioni
matematiche.
La crittografia a chiave pubblica si è evoluta per risolvere due dei principali problemi
connessi con la crittografia simmetrica, ovvero:
Diffie e Hellman nel 1976 presentarono un metodo che risolveva entrambi i problemi
con un approccio innovativo rispetto a tutti gli altri sistemi fino ad allora conosciuti.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 10
Roberto Caldelli - Crittografia asimmetrica
Gli algoritmi a chiave pubblica usano due chiavi, correlate fra loro, una per la
crittografia e una per la decrittografia che soddisfano il seguente requisito:
Alcuni algoritmi, come RSA, presentano anche un’altra caratteristica interessante che è
la seguente:
Nel caso di utilizzo della crittografia asimmetrica per realizzare la funzione di segretezza
si procede in questo modo (vedi figura).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 10
Roberto Caldelli - Crittografia asimmetrica
Un utente genera una coppia di chiavi: una delle chiavi viene inserita in un registro
pubblico, l’altra viene tenuta segreta. Se Bob vuole inviare un messaggio ad Alice, allora Bob
sceglie nel suo “mazzo di chiavi pubbliche” la chiave pubblica di Alice e la adopera per cifrare
il messaggio che solo lei può decifrare con la sua chiave privata. Un attaccante, in questo
caso, può osservare la trasmissione, ovvero il testo cifrato Y e conoscendo la chiave pubblica
del destinatario PUb cerca di stimare il messaggio in chiaro X o, ancor meglio, la sua chiave
privata PRb (vedi figura sottostante) così da poterla riutilizzare.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 10
Roberto Caldelli - Crittografia asimmetrica
Bob stavolta usa la propria chiave privata per trasmettere un messaggio ad Alice che
adopera la chiave pubblica di Bob per leggerlo. In questa modalità non è ovviamente più
garantita la segretezza (chiunque può disporre della chiave pubblica di Bob) ma è garantita la
funzione di autenticazione poiché soltanto Bob può averlo inviato in quanto solo lui possiede la
chiave privata. In questa circostanza, un attaccante che osservi il testo cifrato Y e che
conosce la chiave pubblica del mittente, può cercare di stimarne la sua chiave privata (vedi
figura).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 10
Roberto Caldelli - Crittografia asimmetrica
Z=E(PUb,E(PRa,X))
X=D(PUa,D(PRb,Z))
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 10
Roberto Caldelli - Crittografia asimmetrica
Inoltre esiste anche un’altra caratteristica che anche se non è richiesta a livello delle
precedenti è comunque molto utile ed è la seguente:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 10
Roberto Caldelli - Crittografia asimmetrica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 10
Roberto Caldelli - Crittografia asimmetrica
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 9.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 10
Roberto Caldelli - L’algoritmo RSA
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 8
Roberto Caldelli - L’algoritmo RSA
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 8
Roberto Caldelli - L’algoritmo RSA
1 Descrizione dell’algoritmo
Ogni utente genera una coppia di chiavi pubblica e chiave privata nel seguente
modo:
• Calcola n=p*q (valore pubblico e calcolato a partire dai due numeri primi p
e q) e determina la funzione ϕ(n)=(p-1) * (q-1)
• Sceglie e (valore pubblico e scelto) tale che il MCD(ϕ(n), e)=1 (ovvero ϕ(n)
ed e sono primi tra loro) con 1<e<ϕ(n)
Una volta generata la coppia di chiavi pubblica e privata il mittente, per ogni blocco di
messaggio da cifrare, esegue le seguenti operazioni (vediamo per esempio il caso di
applicazione per la segretezza in cui si adoperano per la cifratura e la decifratura le chiavi del
destinatario):
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 8
Roberto Caldelli - L’algoritmo RSA
È importante che M sia più piccolo di n, per ottenere ciò si deve dividere il messaggio
originale in blocchi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 8
Roberto Caldelli - L’algoritmo RSA
2. Calcolare n=p*q=17*11=187
3. Calcolare ϕ(n)=(p-1)*(q-1)=16*10=160
4. Selezionare e tale che sia primo relativo di ϕ(n) e minore di ϕ(n), ovvero
MCD(ϕ(n), e)=1; scegliamo e=7. ϕ(n)=160 ed e=7 sono primi tra loro.
5. Determinare d tale che de=1 mod160 e d<160 (esistono algoritmi per fare
questo calcolo, vedere il prossimo paragrafo): il valore è d=23 poiché 23*7=161=1 mod160
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 8
Roberto Caldelli - L’algoritmo RSA
Cifratura
887 mod 187= [(884 mod 187) * (882 mod 187) * (881 mod 187)] mod187 = [(59969536
mod187) * (7744 mod187) * (88)] mod187= [132*77*88] mod187 = 894432mod187 = 11
Decifratura
M=1123 mod187= 88
1123 mod187 = [(111 mod187) * (112 mod187) * (114 mod187) * (118 mod187) * (118
mod187)] mod187 = [11*121*14641mod187*214458881mod187*214458881mod187] mod187 =
[11*121*55*33*33] mod187=79720245 mod 187 = 88
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 8
Roberto Caldelli - L’algoritmo RSA
Nella fase di generazione della coppia di chiavi, l’utente deve effettuare delle
operazioni che per fortuna non si devono fare molto spesso ma solo quando si ha esigenza di
rigenerare una coppia di chiavi; in particolare l’utente deve determinare:
Queste due tipologie di operazioni sono piuttosto complesse ed esistono degli algoritmi
per trovare delle soluzioni.
Per fare ciò si può utilizzare l’algoritmo di Euclide esteso che permette di
calcolare il MCD di due interi (ϕ(n),e) e allo stesso tempo, se MCD=1,
determinare l’inverso di uno degli interi modulo l’altro, ovvero e-1 modϕ(n)
che altro non è che d.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 8
Roberto Caldelli - L’algoritmo RSA
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 9.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 8
Roberto Caldelli - Autenticazione dei messaggi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 11
Roberto Caldelli - Autenticazione dei messaggi
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 11
Roberto Caldelli - Autenticazione dei messaggi
L’area più complessa nel campo della sicurezza delle reti è sicuramente quella relativa
all’autenticazione dei messaggi e alle firme digitali. Cerchiamo di definire i requisiti per
l’autenticazione partendo dall’analisi dei possibili attacchi specifici che si possono avere nel
contesto di una comunicazione di rete.
In generale quello che si può sostanzialmente affermare e che si deve tener presente
nell’analisi delle varie funzionalità all’interno di questa lezione è che:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 11
Roberto Caldelli - Autenticazione dei messaggi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 11
Roberto Caldelli - Autenticazione dei messaggi
2 Le funzioni di autenticazione
– Le funzione hash
Vediamo intanto l’utilizzo della crittografia che è già stata introdotta in precedenza, per
poi presentare MAC e funzioni hash.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 11
Roberto Caldelli - Autenticazione dei messaggi
Tuttavia esiste anche il problema per B di capire se accettare il testo decifrato come
legittimo se esso non è intelligibile, ovvero se il messaggio M è costituito da una sequenza non
strutturata (p.e. non è scritto in inglese). Potrebbe verificarsi il caso che il server dell’utente B si
trova sotto attacco e riceve messaggi che lui decifra con la chiave K ma il cui risultato
potrebbe non avere senso. Per ovviare a ciò si aggiunge un checksum generato a partire dal
messaggio M attraverso una funzione F condivisa tra le due parti (vedi figura). Se la verifica del
checksum è positiva allora il messaggio è autentico.
Essa non garantisce la segretezza (chiunque può usare la chiave pubblica PUa per
leggere il messaggio M) ma garantisce l’autenticazione e la firma digitale in quanto solo A
possiede PRa. Anche in questo caso, come in precedenza, il messaggio deve possedere una
certa struttura che possa essere riconosciuta per accettarlo come valido e distinguerlo da una
sequenza casuale.
Per garantire segretezza, autenticazione e firma digitale, A deve usare prima la sua
chiave privata PRa e poi la chiave pubblica del destinatario PUb come evidenziato in figura:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 11
Roberto Caldelli - Autenticazione dei messaggi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 11
Roberto Caldelli - Autenticazione dei messaggi
3 Il codice MAC
Al fine di garantire anche la segretezza viene introdotta una seconda chiave (vedi
figura) per cifrare tutto il pacchetto prima del suo invio.
È importante notare che il codice MAC non garantisce mai la firma digitale poiché sia
A che B condividono la stessa chiave (chiavi).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 11
Roberto Caldelli - Autenticazione dei messaggi
4 La funzione hash
Un primo metodo prevede l’utilizzo della crittografia simmetrica (vedi figura) in cui viene
garantita sia l’autenticazione che la segretezza ma non la firma digitale.
Un terzo metodo invece si basa sull’utilizzo della funzione hash senza crittografia, basta
che le due parti condividano un valore segreto S (vedi figura).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 11
Roberto Caldelli - Autenticazione dei messaggi
In questa situazione viene garantita l’autenticazione (il valore S non viene inviato ed è
noto solo ad A e B) ma non la segretezza (si dovrebbe aggiungere una cifratura simmetrica
prima dell’invio).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 11
Roberto Caldelli - Autenticazione dei messaggi
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 11.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 11
Roberto Caldelli - Le firme digitali
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 9
Roberto Caldelli - Le firme digitali
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 9
Roberto Caldelli - Le firme digitali
Una delle applicazioni più importanti della crittografia a chiave pubblica è senz’altro la
firma digitale. Infatti l’autenticazione dei messaggi protegge l’utente A e l’utente B nelle loro
trasmissioni da una eventuale terza parte (un attaccante) ma non li protegge l’uno dall’altro
nel caso di dispute fra di loro.
Per esempio, nel caso di uso della cifratura simmetrica con codice MAC, come nel
caso in figura qui sotto, si possono avere due casi di disputa.
La firma digitale serve proprio nel caso in cui non esista completa fiducia fra mittente e
destinatario e sia necessario qualcosa di più della semplice autenticazione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 9
Roberto Caldelli - Le firme digitali
Sulla base delle precedenti caratteristiche, si possono definire i seguenti requisiti per la
firma digitale:
Gli schemi basati su hash sicuri e crittografia pubblica possono garantire tali requisiti
(vedi figura):
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 9
Roberto Caldelli - Le firme digitali
Nel caso di firma digitale diretta si ha il coinvolgimento solo del mittente e del
destinatario (non ci sono terze parti garanti); il destinatario conosce la chiave pubblica del
mittente
Vediamo due possibili schemi (che garantiscono anche la segretezza del messaggio)
realizzati mediante l’uso della crittografia a chiave pubblica o di quella simmetrica
In questa circostanza il messaggio viene cifrato dal mittente A con la propria chiave
privata PRa (firma del mittente A) e poi cifrato con la chiave pubblica PU b del destinatario al
fine di garantire la segretezza del messaggio. Il destinatario decifra i dati ricevuti con la propria
chiave privata PRb (solo lui può farlo!) e poi usa la chiave pubblica PU a del mittente A per
leggere il messaggio cifrato.
La stessa funzionalità di firma digitale può anche essere realizzata con l’uso della
crittografia simmetrica per garantire la segretezza del messaggio (vedi figura).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 9
Roberto Caldelli - Le firme digitali
In questo caso il mittente A genera un hash del messaggio e lo firma con la propria
chiave privata PRa, poi lo concatena con il messaggio stesso in chiaro e cifra tutto con la
chiave segreta K (simmetrica). Dall’altra parte, il destinatario, conoscendo la chiave K
condivisa decifra il tutto, poi dalla firma estrae l’hash del messaggio usando la chiave pubblica
PUa del mittente A e rigenerandosi l’hash di M può confrontarli.
In questo caso è verificato il requisito che la funzione di segretezza sia esterna cosicché,
in caso di disputa, una terza parte possa decodificare il messaggio e verificare la firma.
In entrambi i casi esiste un punto debole che è determinato dalla sicurezza della chiave
del mittente, infatti il mittente potrebbe sostenere che tale chiave gli sia stata rubata o che sia
stata smarrita, l’inserimento di un timestamp potrebbe aiutare in tal senso in modo da avere un
riferimento temporale tra la denuncia del furto/smarrimento e l’invio del messaggio.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 9
Roberto Caldelli - Le firme digitali
Nella firma digitale arbitrata esiste appunto un arbitro. Anche in questo caso esistono
vari schemi possibili, l’elemento di base comunque è che il mittente e il destinatario devono
avere fiducia che il meccanismo di arbitraggio funzioni correttamente. Sostanzialmente
accade che qualsiasi messaggio firmato dal mittente attraversa innanzitutto un arbitro che ne
verifica la validità; successivamente il messaggio viene datato e inviato dall’arbitro al
destinatario.
E(Kxa, [IDx || E(Kxy, M)]) firma del mittente A cifrata con Kxa
L’arbitro A decifra la firma con Kxa (l’arbitro è in possesso della chiave Kxa), quindi
verifica l’identificativo e controlla la corrispondenza del messaggio cifrato ma non può leggerlo
in quanto non possiede la chiave Kxy.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 9
Roberto Caldelli - Le firme digitali
– IDx || E(Kxy, M)
Il protocollo è così concluso e tutto funziona…..a meno che non succeda che il ruolo di
garante svolto dall’arbitro A non sia svolto correttamente; visto che l’arbitro A possiede
entrambe le informazioni segrete di X verso A e di Y verso A (ma non di X verso Y) potrebbe
accadere che:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 9
Roberto Caldelli - Le firme digitali
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 13.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 9
Roberto Caldelli - Autenticazione in ambienti distribuiti
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
Indice
1 MOTIVAZIONI .................................................................................................................................................... 3
2 KERBEROS V4: I PASSAGGI ................................................................................................................................. 4
3 KERBEROS V4: I PASSAGGI (FASE A) ................................................................................................................... 5
4 KERBEROS V4: I PASSAGGI (FASE B) ................................................................................................................... 7
5 KERBEROS V4: I PASSAGGI (FASE C) ................................................................................................................... 9
BIBLIOGRAFIA ............................................................................................................................................................11
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
1 Motivazioni
Nella mitologia greca Cerbero era il cane a tre teste posto a guardia dell’ingresso
dell’Ade.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
Esistono varie tipologie di implementazione del servizio Kerberos che si sono via via
evolute così da risolvere alcuni dei problemi che si manifestavano; vediamo adesso la versione
4 che è quella più completa così da avere una panoramica generale del funzionamento e dei
vari aspetti in gioco.
Nella figura sottostante è rappresentata la struttura globale del servizio Kerberos V4 con
gli attori in gioco, la sequenza di messaggi scambiati e la loro tipologia.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
La prima fase di Kerberos V4 consiste nel dialogo fra il client e l’Authentication Server
(AS) (vedi figura).
A sua volta il server AS risponde con il seguente messaggio cifrato con la chiave del
client Kc di cui è in possesso e derivata dalla password del client C:
Il messaggio è composto dalla chiave Kc,tgs condivisa tra il client C e il server TGS,
nuovamente l’identificativo IDtgs del server TGS, un timestamp TS2, un valore di durata e il
Tickettgs
In questo modo la chiave di sessione Kc,tgs viene consegnata in maniera sicura al client
C che dispone ora anche del ticket Tickettgs che è così fatto:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
Il Tickettgs è cifrato con la chiave Ktgs del server TGS (nota anche al server AS) e quindi
solo TGS può aprire il ticket; tale ticket contiene la chiave condivisa Kc,tgs tra il client C e il server
TGS che quindi è ricevuta da TGS in modalità sicura, l’identificativo del client e il suo indirizzo,
l’identificativo del TGS e nuovamente il timestamp TS2 e la durata del ticket (Lifetime2)
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
La seconda fase del protocollo Kerberos V4 riguarda il dialogo tra il client C e il server
TGS, come evidenziato in figura.
ovvero l’identificativo del server V con cui vuole parlare, il Tickettgs ricevuto dal server AS
e un autenticatore AutenticatoreC che autentica il client C.
Esso è cifrato con la chiave di sessione Ktgs, di cui il server TGS è entrato in possesso dal
ticket, e contiene l’identificativo del client e il suo indirizzo e un altro timestamp TS3. Il server TGS
a questo punto confronta l’identità del client, contenuta nell’autenticatore, con quella
contenuta nel ticket, se il controllo è positivo allora è certo di parlare con il client C e che la
chiave di sessione Ktgs sia corretta.
Infine il server TGS risponde al client C inviando il seguente messaggio cifrato con la
chiave di sessione Ktgs:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
Tale messaggio contiene la chiave di sessione Kc,v condivisa tra il client C e il server V,
l’identificativo del server V, un nuovo timestamp TS4 e un ticket per il server V Ticketv cifrato con
la chiave Kv del server V (nota appunto al server V e al server TGS) e così formato:
– non c’è il rischio che un estraneo possa sottrarre sia il ticket che
l’autenticatore per ripresentarli in seguito
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
A questo punto il client C possiede un ticket di servizio Ticketv riutilizzabile con cui
presentarsi al server V inviando:
– Ticketv || Autenticatorec
Il server V tramite la sua chiave Kv decifra il ticket e recupera la chiave di sessione Kc,v
condivisa tra il client C e il server V. Con tale chiave il server V può decrittografare
l’autenticatore ricevuto dal client C e verificarne l’identità con quanto si trova nel ticket
ricevuto Ticketv.
– E(Kc,v, [TS5+1])
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
Alla fine del protocollo, il client C e il server V condividono una chiave segreta che può
essere utilizzata per:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 11
Roberto Caldelli - Autenticazione in ambienti distribuiti
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 14.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
1 PGP: introduzione
La posta elettronica è sicuramente l’applicazione di rete più diffusa, essa viene utilizzata
in qualsiasi architettura e piattaforma, indipendentemente dal sistema operativo. Esistono
fondamentalmente due standard per la posta elettronica:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
Nei prossimi paragrafi saranno analizzati questi 5 servizi, intanto introduciamo delle
notazioni che verranno utilizzate da qui in avanti:
Notazioni
Ks chiave di sessione per la crittografia
simmetrica
PRa/PUa coppia chiave privata/pubblica per la
crittografia pubblica
crittografia/decrittografia a chiave
EP/DP pubblica
crittografia/decrittografia simmetrica
EC/DC =
funzione hash
H
concatenamento
||
compressione ZIP
Z
conversione al formato ASCII radix-64
R64
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
2 PGP: autenticazione
Come si vede dallo schema rappresentato nella figura sottostante, tale funzione, pur
garantendo sulla provenienza del messaggio, non ne garantisce la segretezza. Vediamo
adesso i vari passi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
3 PGP: segretezza
La chiave di crittografia simmetrica Ks viene utilizzata una sola volta (chiave monouso) e
generata sotto forma di numero casuale a 128 bit. Tale chiave viene distribuita tra le due entità
che vogliono comunicare mediante la cifratura pubblica RSA.
Il mittente che vuole inviare il messaggio M lo comprime (ZIP) e poi lo cifra in maniera
simmetrica (e.g 3DES) mediante la chiave di sessione Ks; tale chiave di sessione, viene poi a sua
volta cifrata con RSA usando la chiave pubblica del destinatario PUb e concatenata con il
messaggio compresso cifrato prima di essere inviata al destinatario.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
Il PGP deve anche garantire un servizio di compatibilità con molti sistemi di posta
elettronica che consentono di impiegare solo blocchi costituiti da testo in formato ASCII; a tale
scopo, PGP fornisce un servizio di conversione:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
Ogni gruppo di 3 byte (24 bit), viene suddiviso in 4 sottogruppi di 6 bit ciascuno. Ogni
sottogruppo di 6 bit (26=64) viene mappato sulla base della conversione radix-64 in uno di 64
caratteri ASCII (costituito ognuno da 8 bit) rappresentati in ordine da:
10 numeri (0-9)
2 segni: - e /
Infine il PGP, poiché molti sistemi di posta elettronica pongono limiti sulla lunghezza
massima dei messaggi (p.e. 50.000 ottetti), prevede un servizio in cui ogni messaggio deve
essere suddiviso (frammentazione) in più segmenti che devono essere inviati separatamente. La
chiave di sessione e la firma compariranno una sola volta all’inizio del primo segmento;
all’estremità ricevente PGP deve eliminare tutte le intestazioni e riassemblare l’intero blocco.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 11
Roberto Caldelli - Sicurezza della posta elettronica e PGP
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 15.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 11
Roberto Caldelli - SET – Secure Electronic Transaction
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
1 SET: introduzione
REQUISITI FUNZIONALITA’
Garanzia dell’integrità dei dati trasmessi Firme digitali RSA e codici hash SHA-
1
Garanzia che il possessore della carta di Firme digitali RSA e certificati digitali
credito sia l’utente legittimo di un conto X509
corrispondente
– Venditore (Merchant)
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
I collegamenti e relazioni fra i vari attori in gioco sono evidenziati nella figura sottostante.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
2 Doppia firma
PI
PIMD
H PR
C
OI
OIMD
H
DS=E(PRC,[H(H(PI)||H(OI))])
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
Al venditore e alla banca vengono inviati messaggi differenti in modo che entrambi
possano svolgere le loro operazioni specifiche ma essendo a cono scienza soltanto di ciò che
compete loro.
Il venditore riceve la doppia firma DS, le informazioni dell’ordine OI e l’hash PIMD, quindi
può effettuare le seguenti due operazioni:
1. Calcolare H(PIMD||H(OI))
Allo stesso modo, la banca riceve DS, le informazioni del pagamento PI e il codice hash
OIMD e può a sua volta effettuare le seguenti due operazioni:
1. Calcolare H(H(PI)||OIMD)
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
– Initiate Request
– Initiate Respone
– Purchase Request
– Purchase Response
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
cifrata con la chiave pubblica PUb del gateway di pagamento (vedi figura). Tale
messaggio è destinato al gateway di pagamento a cui sarà inoltrato dal venditore
stesso.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
– Authorization Request
– Authorization Respone
• Invia una busta digitale contenente Kvs cifrata con la chiave pubblica
del gateway
• Verifica i certificati
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
12 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
– Capture Request
– Capture Respone
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
13 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
14 di 15
Roberto Caldelli - SET – Secure Electronic Transaction
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitolo 17.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
15 di 15
Roberto Caldelli - Intrusioni e software doloso
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 11
Roberto Caldelli - Intrusioni e software doloso
Indice
1 INTRUSIONI ....................................................................................................................................................... 3
2 SOFTWARE DOLOSO .......................................................................................................................................... 7
3 I VIRUS .............................................................................................................................................................. 9
BIBLIOGRAFIA ............................................................................................................................................................11
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 11
Roberto Caldelli - Intrusioni e software doloso
1 Intrusioni
Il principale problema dei sistemi connessi in rete riguarda le intrusioni dovute a utenti o
software più o meno ostili. Gli utenti ostili possono effettuare violazioni come login non
autorizzati o accesso a informazioni di livello superiore rispetto a quanto consentito, invece le
violazioni di tipo software sono costituite dall’uso/distribuzione/iniezione di codice doloso di
differente tipologia ed efficacia. Possono riguardare o meno la connessione di rete; per
esempio nel caso di una violazione locale, l’attaccante cerca di guadagnare un accesso ad
un terminale operando direttamente su di esso.
• Utente sotto mentite spoglie: utente che elude i controlli di accesso e sfrutta
l’account di un utente legittimo
Le tecniche impiegate per la violazione delle password sono molteplici, tra gli approcci
di base ci sono quelle cosiddette di guess ovvero che tentano di indovinare la password, come
ad esempio:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 11
Roberto Caldelli - Intrusioni e software doloso
In figura qui sotto sono riportate le password usate più di frequente in ordine
decrescente di frequenza.
Come si può osservare molte di queste sono molto semplici, facile da ricordare e
soprattutto simili tra loro: ciò non garantisce ovviamente un ottimale livello di sicurezza.
Le tecniche di violazione basate sul guess sono comunque piuttosto primordiali e inoltre:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 11
Roberto Caldelli - Intrusioni e software doloso
Dall’altro lato, ovvero quello della difesa dagli attacchi e della realizzazione di
contromisure, ciò che si fa è cercare di rilevare le possibili intrusioni o, ancor prima, i tentativi di
intrusione. Questa azione può essere fondamentalmente fatta in due modi:
• password brevi e/o facili da ricordare per l’utente ma con un livello basso di
sicurezza
In molti casi quello che viene messo in pratica è un cosiddetto controllo proattivo in cui
l’utente riceve delle indicazioni su come generare la password e poi il sistema ne verifica la
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 11
Roberto Caldelli - Intrusioni e software doloso
robustezza e conseguente accettabilità di ciò che l’utente ha inserito sulla base di criteri
definiti.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 11
Roberto Caldelli - Intrusioni e software doloso
2 Software doloso
Le minacce più sofisticate contro i computer e le reti di computer sono senza dubbio
costituite dal software doloso (malevolo), malware. Qui di seguito viene presentata una
definizione di malware.
Molti e differenti sono i nomi con cui vengono indicati i vari malware a seconda delle
loro specifiche caratteristiche: virus, worm, bombe logiche, keylogger, syware, trojan e così via.
Qui di seguito è riportata una tabella che contiene un elenco dei principali malware conosciuti
evidenziandone sommariamente la tipologia di azione dannosa apportata.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 11
Roberto Caldelli - Intrusioni e software doloso
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 11
Roberto Caldelli - Intrusioni e software doloso
3 I virus
Un virus è un programma che può infettare altri programmi o ogni tipo di contenuto
eseguibile effettuando su di loro delle modifiche. Il virus trasporta il codice necessario per
eseguire copie di se stesso e contagiare un programma di un computer; quando il computer
infettato entra in contatto con un software sano, il virus infetta questo nuovo programma e così
via.
Lo scambio di memorie di massa e programmi fra utenti, sia fisicamente sia attraverso la
rete, determina la propagazione del virus. Il virus viene eseguito segretamente con il
programma che lo ospita e quando il virus è in esecuzione può svolgere qualsiasi funzione (e.g.
cancellare dati).
3. Fase di attivazione: il virus è attivato per svolgere la funzione per cui è stato
concepito; tale fase può essere innescata da vari eventi
• Virus per il settore di boot: infettano il record di avvio principale del sistema e
vengono diffusi quando il sistema viene avviato.
• Virus per i file: sono quelli più comuni, infettano i file eseguibili e si replicano
quando il programma infetto è eseguito
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 11
Roberto Caldelli - Intrusioni e software doloso
Un’altra modalità di classificazione dei virus riguarda la strategia usata per nascondersi.
• Virus cifrati: una parte del virus crea una chiave casuale con cui cifra la
parte restante; la chiave viene incorporata nel virus che, quando viene attivato, utilizza tale
chiave per decifrare la parte di virus criptata. Quando il virus si replica genera una chiave
differente.
• Virus invisibili: progettati esplicitamente per non essere rivelati (e.g. uso di
tecniche di compressione)
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 11
Roberto Caldelli - Intrusioni e software doloso
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
McGraw-Hill: Capitoli 18-19.
“Cryptography and Network Security”, 7/ed, William Stallings, Pearson, Capitolo 21.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 11
Roberto Caldelli - Tipi di malware e DDoS
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 12
Roberto Caldelli - Tipi di malware e DDoS
Indice
1 I WORM ............................................................................................................................................................. 3
2 ALTRE TIPOLOGIE DI MALWARE ........................................................................................................................ 5
2.1 BOMBA LOGICA ......................................................................................................................................................... 5
2.2 CAVALLI DI TROIA (TROJAN) ........................................................................................................................................ 5
2.3 BACKDOOR (TRAPDOOR) ............................................................................................................................................ 5
2.4 ROOTKIT .................................................................................................................................................................. 6
2.5 KEYLOGGER .............................................................................................................................................................. 6
2.6 SPYWARE (PHISHING) ................................................................................................................................................. 6
2.7 BOT (ROBOT), ZOMBIE ............................................................................................................................................... 7
2.8 SPAM ...................................................................................................................................................................... 7
2.9 EXPLOIT ................................................................................................................................................................... 7
2.10 RANSOMWARE ..................................................................................................................................................... 8
3 ATTACCHI DDOS ................................................................................................................................................ 9
BIBLIOGRAFIA ............................................................................................................................................................12
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 12
Roberto Caldelli - Tipi di malware e DDoS
1 I worm
Un worm è un programma che in maniera attiva ricerca altri computer da infettare e ogni
computer infettato serve da trampolino di lancio automatico per attaccare altre macchine. I
worm di solito utilizzano alcune vulnerabilità presenti nei programmi che girano su client o server
per accedere al sistema e usano le connessioni di rete per diffondersi molto rapidamente ma lo
I worm, una volta attivati, si propagano in maniera continuativa e svolgono azioni dannose
sui sistemi dove si sono impiantati; per diffondersi essi usano dei meccanismi per accedere ai
La propagazione del worm comincia con una fase di «scansione» della rete alla ricerca di
– Random: ogni host infettato prova indirizzi IP casualmente (uso di seed differenti)
– Hit list: l’attaccante crea una lista di potenziali macchine vulnerabili e ogni
– Topologico: il worm usa le informazioni di rete contenute nel sistema infettato per
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 12
Roberto Caldelli - Tipi di malware e DDoS
– Multipiattaforma
– Multi-exploit: penetrano nei sistemi in differenti modalità sfruttando lacune nei server
– Diffusione rapidissima: si usano varie tecniche per riuscire a infettare più sistemi
– Mezzi di trasporto: i worm, grazie alle loro capacità di attacco rapido, possono
Exploit «giorno zero»: per ottenere il massimo effetto sorpresa, i worm sfruttano alcune
lacune di sicurezza sconosciute che diventano note pubblicamente solo al lancio del worm.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 12
Roberto Caldelli - Tipi di malware e DDoS
In questo paragrafo sono riportate alcune delle tipologie più note di malware
La Bomba Logica rappresenta il componente chiave dei malware. Con tale termine si
indica proprio il codice incorporato nel malware e programmato per attivarsi al verificarsi di certe
condizioni (e.g. presenza di certi file, una data, un orario, ecc.). Una volta scattata, la bomba
logica può modificare o cancellare dei file, bloccare la macchina e così via.
nascosto che, una volta richiamato, svolge operazioni dannose. Può essere usato per svolgere
indirettamente funzioni che l’attaccante non sarebbe autorizzato a compiere (accesso a file di un
altro utente, scanning di credenziali bancarie). Il Cavallo di Troia essendo incorporato in un gioco o
determinato programma.
sistema evitando le normali procedure di sicurezza (e.g. accesso diretto programmatore mediante
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 12
Roberto Caldelli - Tipi di malware e DDoS
servizio di rete che ascolta su una porta non standard a cui l’attaccante può connettersi per
2.4 Rootkit
per mantenere coperto il suo illecito accesso a quel sistema con privilegi di amministratore (root).
Una volta effettuato l’accesso da amministratore, l’hacker ha completo controllo del sistema, dei
2.5 Keylogger
Keylogger viene installato su un computer con l’intento di catturare i caratteri inseriti da tastiera,
per esempio login e password oppure il numero della carta di credito. Inoltre, per evitare che
l’attaccante riceva inutilmente tutto il testo che viene inserito, il Keylogger può essere dotato di filtri
così da estrarre solo informazioni collegate a certe parole chiave o indirizzi web come PayPal, Visa,
ecc.
Gli Spyware sono usati per il furto di credenziali, identità o informazioni sensibili;
svolte, come accedere allo storico e ai contenuti dei browser, ridirezionare richieste web verso
pagine false controllate dall’hacker. Un caso particolare di spyware, peraltro molto utilizzato, è il
cosiddetto Phishing che consiste nell’uso di spam e-mail per indurre l’utente a compilare dei form
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 12
Roberto Caldelli - Tipi di malware e DDoS
dell’hacker; dal computer infetto (di solito insospettabile) il Bot si collega ad un altro computer in
rete per lanciare o gestire un attacco. I Bot sono installati su un grande numero di computer quindi
è difficile risalire all’hacker sorgente dell’attacco, inoltre i Bot possono agire in maniera coordinata
(botnet) e possono essere controllati da remoto (questa è la caratteristica che li distingue dai
worm che invece si propagano e attivano da soli). Solitamente le botnet possono usare il
protocollo HTTP per comunicare e attraverso questo un modulo di controllo centrale è in grado di
inviare comandi ai bot, come fare il download di un file, eseguire un file, inviare altri malware, ecc.
2.8 Spam
Con il termine Spam (Spammer) si intende l’invio massivo di e-mail agli indirizzi di potenziali
vittime; esso genera volume di traffico sull’infrastruttura di rete e costringe i destinatari a filtrare la
posta in arrivo. L’invio può avvenire da server di posta o da botnet che usano sistemi compromessi;
tale problematica si è ultimamente spostata anche sulle reti di media sociali. Lo spam è veicolo di
2.9 Exploit
Con il termine Exploit si intende del codice specifico per sfruttare una particolare lacuna di
sicurezza. Un esempio classico riguarda alcune vulnerabilità presenti nei browser: l’utente visita una
pagina web controllata da un hacker, la pagina usa tale lacuna per installare un malware nel
sistema dell’utente. Un altro caso invece, riguarda l’uso di malware in forma indiretta: in questo
caso si cercano vulnerabilità su dei siti web visitati dagli utenti che si vogliono attaccare; il codice
addirittura può anche essere scritto per non infettare altri utenti che si trovano a vistare tali siti.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 12
Roberto Caldelli - Tipi di malware e DDoS
2.10 Ransomware
Esistono inoltre altri malware che come azione (il cosiddetto payload)
– modificano il codice BIOS per impedire l’avvio del computer (in questo caso si parla
di danno fisico).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 12
Roberto Caldelli - Tipi di malware e DDoS
3 Attacchi DDoS
Un attacco DDoS (Distributed Denial of Service) tenta di impedire a dei legittimi utenti di un
servizio l’accesso a tale servizio; due sono sostanzialmente le modalità di danno arrecato:
L’attacco DDoS rende un sistema inaccessibile inondando i server, la rete e i terminali con
traffico inutile; se l’attacco proviene da un unico computer si parla di DoS, quando invece si usano
L’attacco SYN flood è un esempio di attacco ad una risorsa interna, di seguito sono
2. Gli slave host sono istruiti ad inviare al target server pacchetti di TCP/IP SYN
L’attacco ICMP (Internet Control Message Protocol) è invece un esempio di attacco alle
risorse di capacità trasmissiva e utilizza delle macchine con funzione di “riflettori”. L’hacker in
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 12
Roberto Caldelli - Tipi di malware e DDoS
questo caso prende il controllo di vari host su Internet (riflettori) e li programma per inviare dei
pacchetti ICMP ECHO con indirizzo IP falsificato ed uguale a quello della macchina da attaccare.
Il protocollo ICMP è un protocollo a livello IP per lo scambio di pacchetti di controllo tra un server
(host) e un host; tale protocollo prevede che il ricevente invii una risposta (ECHO REPLY) all’indirizzo
del mittente che in questo caso è appunto quello della macchina target. La macchina target
L’attacco DDoS può anche essere classificato in DDoS diretto o DDoS riflettore. Si parla di
DDoS diretto quando l’attaccante usa degli zombie per infettare della macchine in una struttura
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 12
Roberto Caldelli - Tipi di malware e DDoS
Si parla invece di DDoS riflettore quando gli host slave costruiscono pacchetti che
richiedono una risposta diretta verso l’indirizzo IP del sistema target. Tali pacchetti sono inviati a
macchine non infette che funzionano da riflettori (vedi figura sottostante). In tal caso diventa molto
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
11 di 12
Roberto Caldelli - Tipi di malware e DDoS
Bibliografia
Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed. McGraw-
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
12 di 12
Roberto Caldelli - I firewall
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
1 di 10
Roberto Caldelli - I firewall
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
2 di 10
Roberto Caldelli - I firewall
per i privati; dall’altro lato però ciò consente anche al mondo esterno di poter raggiungere sia i
computer personali sia i sistemi presenti su una rete interna (rete aziendale) che si trovano esposti
ciò non è molto conveniente quando si ha che fare con una rete interna composta da molte
macchine con caratteristiche disparate (e.g. sistemi operativi diversi, versioni differenti)
Una soluzione alternativa o, perlomeno complementare, alla sicurezza basata sui servizi
• fornire un unico punto di accesso in cui imporre la sicurezza e la registrazione degli auditing
Il firewall può essere tuttavia un singolo sistema informatico oppure due o più sistemi che
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
3 di 10
Roberto Caldelli - I firewall
2 Firewall: le caratteristiche
Tutto il traffico dall’interno verso l’esterno e viceversa deve passare attraverso il firewall (si
bloccano tutti gli accessi fisici alla rete locale); solo il traffico autorizzato, secondo la politica di
sicurezza locale definita, potrà passare (esistono differenti tipologie di firewall e diverse politiche di
sicurezza). Il firewall stesso deve essere immune agli attacchi (uso di sistemi sicuri).
Uno degli aspetti cruciali nella progettazione dei sistemi firewall è senza dubbio costituito
dalla definizione di adeguate politiche di accesso. La politica definisce il tipo di traffico autorizzato
– il tipo di applicazione
– il tipo di contenuti
• definire un punto unico di accesso tale da mantenere fuori dalla rete interna gli utenti non
• essere anche utilizzato per gestire altri servizi Internet anche non specifici per la sicurezza
– dispositivi (laptop, chiavi USB) che infettate da virus sono utilizzate nella rete interna
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
4 di 10
Roberto Caldelli - I firewall
3 Tipi di firewall
In questo tipo di firewall il filtraggio avviene sui pacchetti di rete in base a differenti regole:
– indirizzo IP sorgente/destinazione
– numero di porta a livello di trasporto che definisce una specifica applicazione (per
Vediamo come tali regole possono essere implementate nel caso per esempio del traffico
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
5 di 10
Roberto Caldelli - I firewall
l’entrata e l’uscita del traffico di posta mentre le regole B e D permettono le rispettive risposte alla
posta rispettivamente ricevuta e inviata. Invece la regola E blocca tutto il resto del traffico.
implementazione è piuttosto semplice ed offre sia trasparenza verso gli utenti che elevata velocità.
Dall’altro lato, presenta però degli svantaggi in quanto non esamina i dati ai livelli superiori e quindi
non può proteggere da attacchi che sfruttano specifiche vulnerabilità delle applicazioni che
appunto si trovano a livello applicazione (più in alto nella gerarchia a livelli); inoltre non supporta
spoofing.
Esistono comunque anche altre tipologie di firewall che a seconda delle specifiche
• A ispezione di stati: il firewall non controlla solo i pacchetti ma certi protocolli e le relative
connessioni.
• Host bastione: sistema identificato come punto critico per la sicurezza di rete che serve da
gateway.
Host-based (personal) firewall: modulo software per proteggere un singolo host (personal
computer).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
6 di 10
Roberto Caldelli - I firewall
4 Sicurezza multilivello
Con il termine di sicurezza multilivello si intende una politica di gestione della sicurezza in cui
le informazioni sono accessibili sulla base di diversi livelli gerarchici. Ciò per esempio accade nel
caso di dati segreti relativi ad ambienti militari oppure in contesti aziendali. Quello che accade di
solito è che le informazioni possono essere categorizzate in varie tipologie quali: non classificate,
confidenziali, segrete, top-secret, ecc. L’accesso a tali informazioni è regolato a seconda del livello
di privilegio del personale. Inoltre vige la regola base che un soggetto ad alto livello non deve
fornire informazioni ad un soggetto di livello inferiore a meno che non ci sia una specifica
autorizzazione.
dati sensibili, può essere realizzata tramite l’implementazione di due semplici proprietà:
Vediamo adesso un esempio di come queste due proprietà possono proteggere un sistema
di gestione dati nel caso di un attacco con un Cavallo di Troia ideato per entrare in possesso di
credenziali segrete (e.g. un PIN segreto) a cui l’utente Bob che possiede un account di livello 1
informazioni segrete (PIN=1234) a cui un altro utente Alice, facente parte della stessa azienda ma
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
7 di 10
Roberto Caldelli - I firewall
Allora Alice crea un programma contenente un trojan che compie l’azione di leggere il PIN
Bob esegue il programma ed avendo un profilo di livello 1, anche il trojan riceve quel livello
e può effettuare il suo attacco leggendo il PIN e copiandolo nel file per cui Alice ha concesso a
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
8 di 10
Roberto Caldelli - I firewall
Alice ha così trasferito un’informazione dal livello 1 riservato in un file, da lei creato, di livello
Nel caso invece di implementazione della proprietà «no write down», il cosiddetto monitor
di riferimento che controlla gli accessi degli utenti agli oggetti secondo, appunto, certe regole,
avrebbe impedito l’operazione di scrittura su un file di livello inferiore (da livello riservato a livello
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
9 di 10
Roberto Caldelli - I firewall
Bibliografia
• Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed.
• “Cryptography and Network Security”, 7/ed, William Stallings, Pearson, Capitolo 23.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da
copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e
per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633).
10 di 10
“IL DOCUMENTO INFORMATICO E LA
SICUREZZA”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 7
Università Telematica Pegaso Il documento informatico e la sicurezza
documenti di carta hanno una consistenza fisica evidente: si vedono, si toccano, si archiviano in
luoghi determinati dai quali l’uomo può recuperarli. I documenti digitali invece: sono “da qualche
“rivoluzione culturale”, che ha determinato la sostituzione dei processi ba- sati sui documenti
cartacei con processi basati su documenti in formato digitale e sulla loro gestione con strumenti
informatici e telematici.
qualsiasi altra attività supportata da sistemi informatici implica necessariamente la sostituzione dei
documenti cartacei con documenti in formato digitale, cioè composti da sequenze di bit. Questo
processo è generalmente definito come “dematerializzazione dei documenti”, perché al posto della
carta ci sono i “bit”, unità di informazione elementare che viene di volta in volta rappresentata da
va- riazioni di tensione elettrica, di carica magnetica, di riflessione ottica, ecc. Il ter- mine
“dematerializzazione” non è del tutto corretto, perché anche nel documento digitale esiste sempre
qualcosa di “materiale”, che in ultima analisi è uno stato fisico della materia (elettrico, elettronico,
di volta in volta, i suoi effetti giuridici. Invece non sempre cono- sciamo le peculiarità di un
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 7
Università Telematica Pegaso Il documento informatico e la sicurezza
documento informatico e questo comporta non pochi dubbi sui suoi effetti giuridici. Siamo certi
solo che non è una “entità” che possiamo toccare, vedere, verificare. Sapere che esso è fisicamente
presente all’interno di un sistema informatico, sotto forma di bit, non ci aiuta. Non possiamo
prendere in mano i bit, analizzarli, capire che cosa rappresentano. Per di più hanno la ca- ratteristica
di essere volatili, possono sparire, o la loro sequenza può cambiare senza lasciare traccia del
cambiamento. Fra l’altro questo significa che i bit, di per sé, non possono offrire alcuna certezza
legale. Il problema della “certezza” dei bit si risolve con le “segnature digitali” (o “elettroniche” –
electronic signatures nella direttiva 1999/93/CE), fra le quali si annovera la “firma digitale”.
cifratura irreversibile su un riassunto del documento (hash). La segnatura assume il valore giuridico
di una firma autografa quando è generata con determinate procedure di sicurezza, mentre la
titolarità della chiave segreta utilizzata durante il processo di cifratura è attestata da un soggetto
qualificato.
legalmente l’associazione tra il documento stesso e un determinato soggetto, nel caso di una
segnatura con valore di firma. In questo modo il documento informatico può avere gli stessi effetti
Ma c’è una differenza fondamentale tra la validazione del documento cartaceo e quella del
documento informatico. Nel primo i segni di validazione (firme, timbri, filigrane, ecc.) sono
impresse sul supporto stesso, sicché contenuto, segni di vali- dazione e supporto formano un corpo
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 7
Università Telematica Pegaso Il documento informatico e la sicurezza
unico e indivisibile. La copia del documento cartaceo, come sappiamo, è per l’appunto una copia e
segnature costruite a loro volta attraverso l’uso di bit, sicché è possibile trasferire o duplicare un
documento informatico unitamente alle segnature che lo validano. Il documento può essere
disco ottico, attraverso l’impiego di variazioni fisiche di una superficie che riflette la luce. I bit
potranno essere trasferiti su diversi supporti fisici quali cavi metallici o ottici attraverso,
rispettivamente, variazioni elettriche e variazioni luminose. Qualunque sia lo stato fisico utilizzato il
documento informatico mantiene i suoi effetti giuridici se insieme al contenuto sono presenti anche
le segnature. Pertanto è possibile evidenziare che lo stato fisico utilizzato per la rappresentazione di
Sulla base delle considerazioni sopra esposte è possibile rilevare una fonda- mentale
differenza tra la validazione del documento tradizionale e quella del documento informatico: la
prima è indissolubilmente connessa al supporto materia- le, tanto che cambiando il supporto occorre
una nuova validazione; la seconda è legata al contenuto, tanto che il documento può essere trasferito
da un supporto all’altro, duplicato o trasmesso a distanza, senza perdere i suoi effetti giuridici.
Dunque il supporto materiale è solo una “occorrenza” del documento informatico che,
essendo continuamente variabile, non ha, o può non avere, alcun effetto sul piano giuridico.
Per inquadrare meglio i concetti sopra esposti possiamo fare l’esempio dell’assegno
bancario: solo la presentazione dell’originale obbliga l’istituto di credito al pagamento; una copia,
anche autenticata, non può avere lo stesso effetto. Lo stessa situazione si verifica con riferimento
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 7
Università Telematica Pegaso Il documento informatico e la sicurezza
alla cambiale, alla procura speciale ed a altri documenti dei quali una norma imponga l’esibizione o
la consegna dell’originale. La copia, quando è ammessa, non è l’originale e può avere effetti
giuridici diversi. Inoltre deve essere in qualche modo validata come rispondente all’originale,
La natura materiale del documento cartaceo è quindi essenziale per i suoi effetti giuridici.
Invece il documento informatico non è tangibile, non può essere letto direttamente, può essere
mostrato in modi diversi, può essere duplicato un numero infinito di volte, è necessario un sistema
di elaborazione per tradurre i bit in segni leggibili. L’esistenza fisica del documento informatico
sfugge ai nostri sensi: quello che viene visualizzato sullo schermo del computer non è “il
documento”, ma una sua rappresentazione. Noi possiamo prendere in mano un documento di carta e
sapere che documento è. Ma se prendiamo la memoria di un computer, sappiamo solo che può
contenere uno o più documenti: nella sua essenza materiale non dice nulla su ciò che contiene. I
molteplici documenti che possono essere memorizzati all’interno di un disco ottico non hanno
alcuna evidenza fisica che possa essere percepita attraverso i nostri sensi.
contenuto e di eventuali segnature presenti sul supporto determina- no il tipo o il grado di effetti
giuridici propri del documento. In ogni caso l’integrità di un documento tradizionale, intesa anche
verifica dell’integrità del supporto materiale. Con riferimento al documento informatico l’esame
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 7
Università Telematica Pegaso Il documento informatico e la sicurezza
Pertanto, la materia costitutiva del documento informatico è indifferente ai fini dei suoi
effetti giuridici.
importante, però, aver ben chiaro che non poche problematicità dovranno essere affrontate, così
come qualsiasi cambiamento epocale ha dovuto sostenere. a livello trasversale, senza nemmeno
prendere in considerazione gli specifici ambiti, già possono essere individuati comuni criticità,
legate a volte alla difficoltà interpretativa della normativa vigente, alla scarsa diffusione di
coscienza dei workflow dei documenti e delle loro caratteristiche giuridico-probatorie (valore e
apposizione della sottoscrizione; significato ed uso di originali, copie e copie conformi; ecc.), alla
scarsa fiducia nello strumento informatico che sembra non umanamente controllabile, alla difficoltà
Dalle suddette criticità si originano i rischi ed i pericoli associati al mondo dell’ICT con il
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 7
“RISCHI E PERICOLI: AFFIDABILITÀ
DEGLI STRUMENTI ICT”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 6
Università Telematica Pegaso Rischi e pericoli: affidabilità degli strumenti ICT
Communication Technology (ICt), possiamo distinguere due tipi principali di relazioni in base a cui
informatiche vengono considerate come un ambiente “non sicuro”4, l’ICT influenza fortemente il
1
D.H. McKnight, L.L. Cummings e N.L. Chervany, Initial Trust Formation in New Organizational Rela- tionships, in
Academy of Management Review, 1998, vol. 23, n. 3, pp. 473-490.
2
M. Granovetter, Economic Action and Social Structure: The Problem of Embeddedness, in American Journal of
Sociology, 1985, 91 (November), pp. 481-510.
3
B. Reeves, e C. Nass, The media equation. How people treat computers, television, and new media like real people
and places, 1996, New York; N.I. Misiolek, N. Zakaria, e P. Zhang, Trust in organizational acceptance of information
technology: A conceptual model and preliminary evidence, in Proc. Decision Sci- ences Institute, 33rd Annual Meeting,
2002; P. Ratnasingam e P. Pavlou, Technology trust: the next value creator in B2B electronic commerce, in
International Resources Management Association Conference, 2002, Washington-Seattle.
4
P. Ratnasingam e P. Pavlou, op. ult. cit.
5
N.I. Misiolek, N. Zakaria, e P. Zhang, Trust in organizational acceptance of information technology, cit.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 6
Università Telematica Pegaso Rischi e pericoli: affidabilità degli strumenti ICT
• sociale: fortemente legata alla percezione del rischio nello scambio di informazioni
dall’information technology7;
• tecnologico: relativo al rapporto con l’ICT usato a supporto per lo scambio delle
informazioni8, anche definita come la probabilità con cui le organizzazioni credono che
loro aspettative9.
occorre considerare i fattori che influenzano direttamente la fiducia sociale o istituzionale (per
esempio i meccanismi di feedback che mirano ad aumentare la reputazione del soggetti a cui fanno
riferimento) nel contesto delle transazioni online; ma piuttosto si esaminano i meccanismi che
agiscono direttamente sul livello di fiducia nella tecnologia utilizzata a supporto della relazione.
l’usabilità dei sistemi sono quelle legate ai meccanismi di sicurezza associati alle seguenti fasi:
6
M. Koller, Risk as a Determinant of Trust, in Basic and Applied Social Psychology, 1988, vol. 9, issue 4, pp. 265-276.
7
R.J. Lewicki e B.B. Bunker, Developing and maintaining trust in work relationships, in R.M. Kramer & T.R. Tyler
(Eds.), Trust in organizations: Frontiers of theory and research, 1996, Thousand Oaks, CA Sage Publications, pp. 114-
139; T.R. Tyler e P. Degoey, Trust in organizational authorities. The influence of motive attributions on willingness to
accept decisions, in R.M. Kramer e T.R. Tyler (Eds.), Trust in orga- nizations: Frontiers of theory and research, 1996,
Thousand Oaks, CA Sage Publications, pp. 331-350; P. Pavlou, Y.H. Tan e D. Gefen, Institutional Trust and
Familiarity, in Online Interorganizational Relation- ship, 2003; P. Spagnoletti, S. Za e A. D’Atri, Institutional Trust and
security, new boundaries for Virtual Enterprises, in Proc. of 2nd International Workshop on Interoperability Solutions
to Trust, Security, Poli- cies and QoS for Enhanced Enterprise Systems, IS-TSPQ, 2007, Funchal, Portugal; D.H.
McKnight, L.L. Cummings e N.L. Chervany, Initial Trust Formation in New Organizational Relationships, cit.
8
B. Reeves, e C. Nass, The media equation. How people treat computers, television, and new media like real people
and places, cit.
9
P. Ratnasingam e P. Pavlou, Technology trust: the next value creator in B2B electronic commerce, cit.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 6
Università Telematica Pegaso Rischi e pericoli: affidabilità degli strumenti ICT
• trasferimento delle informazioni in cui esse vengono trasmesse utilizzando una serie
per adempiere alle richieste valide, e per far fronte a potenziali perdite impreviste dei
rendono difficile agli utenti valutare la sicurezza delle transazioni online e l’affidabilità delle parti
dell’affidabilità richiede notevoli sforzi. Le transazioni online pongono gli utenti di fronte a una
serie di domande:
autentificazione)?
• cosa accade in caso di mancata o errata consegna? Come funziona la gestione dei
reclami?
Molteplici sondaggi rivelano che, con riferimento agli acquisti su Internet, la maggior parte
degli utenti considera la protezione dei dati come la cosa più importante, seguita dalla sicurezza
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 6
Università Telematica Pegaso Rischi e pericoli: affidabilità degli strumenti ICT
delle transazioni, dalla trasparenza dei processi e dal tempo necessario per effettuare l’acquisto
online.
Relativamente all’analisi dei rischi, gli esperti sono unanimi: hacker, virus e worm
continuano a mostrarci ogni giorno che i sistemi informatici non possono essere resi sicuri al 100%.
Dove non si può fare affidamento sulla tecnica, il controllo dei rischi deve avvenire a livello sociale,
anche se non è cosa facile, poiché le conoscenze in merito a pericoli e vantaggi dei sistemi
complessi e al loro effetto sulla nostra vita sono obsolete già appena elaborate.
delle transazioni online, la fiducia che gli utenti attribuiscono ai metodi impiegati e l’usabilità dei
successo.
Venendo a mancare nelle transazioni online la possibilità di creare relazioni di fiducia basate
su contatti interpersonali diretti tra le persone che occupano un ruolo di confine, è necessario
individuare meccanismi di altro tipo, seppur finalizzati agli stessi obiettivi, di creazione delle
10
D.H. McKnight, L.L. Cummings e N.L. Chervany, Initial Trust Formation in New Organizational Rela- tionships, cit.; P. Pavlou, Y.H.
Tan e D. Gefen, Institutional Trust and Familiarity, in Online Interorganiza- tional Relationship, 2003.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 6
“RIMEDI E CONTROMISURE: L’ANALISI
DEL RAPPORTO TRA SICUREZZA REALE E
SICUREZZA PERCEPITA”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
l’usabilità e la fiducia nelle transazioni online sono direttamente dipendenti dal rapporto tra la
sicurezza reale e quella percepita dagli utenti. Conseguentemente il successo delle applicazioni di e-
consente di creare un ambiente sicuro mentre un basso livello di sicurezza reale determina la
sicurezza percepita origina sistemi affidabili e utilizzabili, mentre ad un basso livello di sicurezza
corrisponde un maggiore successo delle transazioni online, è stata analizzata l’influenza che su di
esse esercitano gli interventi finalizzati ad un incremento della sicurezza sia reale che percepita.
Nella Fig. 2 viene sintetizzato il legame esistente tra la sicurezza reale e l’usabilità nonché
l’impatto che detto legame comporta sul rapporto tra detta sicurezza e le transazioni online. In
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
particolare, si rileva che ad un incremento della sicurezza reale corrisponde un incremento della
Conseguentemente ad un incremento della sicurezza reale corrisponde una resistenza alla diffusione
Nella Fig. 3 viene sintetizzato il legame esistente tra la sicurezza percepita e la fiducia
nonché l’impatto che detto legame comporta sul rapporto tra la suddetta sicurezza e le transazioni
online.
incremento della fiducia. Conseguentemente un incremento della sicurezza percepita concorre alla
Sulla base del confronto dei legami rappresentati nella Fig. 2 e nella Fig. 3, è stato possibile
analizzare il rapporto tra la sicurezza, reale e percepita, e le transazioni online (Fig. 4).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
In particolare, da tale confronto si rileva che esiste uno spazio operativo entro il quale è
opportuno far rientrare gli interventi nell’area della sicurezza in modo tale che gli stessi tengano
equilibrato rapporto tra la sicurezza reale e quella percepita dagli utenti, in modo da creare fiducia
Si tratta di una fase in cui l’incertezza è forte e il senso di sicurezza debole 1. Dal momento
che non ci si può basare su esperienze pregresse, la confidenza non gioca alcun ruolo. In una
situazione di questo genere la fiducia può essere creata promuovendo o garantendo visibilità a
sicurezza, affidabilità e qualità di una soluzione tecnologica e che sviluppano, testano, consigliano o
impiegano con successo una nuova tecnologia (similitudine di valori, esigenze, obiettivi
comparabili).
requisiti (pionieri), possono essere presi a riferimento anche da altre cerchie di persone.
1
M. Siegrist, T.C. Earle e H. Gutscher, Test of a trust and confidence model in the applied context of electro- magnetic
field (EMF) risks, in Risk Analysis, 2003, 23, pp. 705–716.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
Inoltre, tra i principali ostacoli alla diffusione delle transazioni online sono state individuate
difficoltà legate ai limiti degli ambienti di supporto alla collaborazione ed all’inefficienza di alcune
configurazioni organizzative.
In particolare, “non sono ancora state trovate modalità per favorire la nascita di un clima di
condividere.
Diversi autori hanno dimostrato l’importanza della presenza di una condizione di fiducia
reciproca che consenta una forte integrazione anche senza dover costituire una relazione di
In questo scenario, l’intervento di una terza parte potrebbe agevolare la costruzione della
fiducia, fornendo un supporto per superare differenze culturali ed eventuali barriere normative che
Il ruolo di tali soggetti terzi dovrebbe infatti garantire, ad esempio creando un marketplace o
istituzionale.
(broker), che rappresenta la più diffusa forma presente in letteratura 4, ha mostrato i suoi limiti sia
2
F.M. Barbini, Il contributo dell’Impresa Virtuale all’Innovazione Organizzativa, in D’Atri A. (a cura di),
Innovazione Tecnologica e Tecnologie Innovative, 2004, Milano.
3
M. Martinez M., Organizzazione, informazioni e tecnologie, 2004, Bologna.
4
C.F. Bremer, Global Virtual Business: A Systematic Approach for Exploiting Business Opportunities in Dynamic
Markets, in International Journal of Agile Manufacturing, 1999, vol. 2, issue 1, pp. 1-11.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
controllare l’intera rete virtuale 5. alcuni studi considerano infatti tra i principali fattori che
ostacolano la diffusione di servizi online, elementi quali la fiducia, la percezione del rischio da parte
dei clienti ed i problemi di privacy. Inoltre questo tipo di fattori assume un peso diverso in contesti
culturali differenti ed influenza la disponibilità degli utenti ad affidare i propri dati online a soggetti
terzi 6.
Per l’analisi della percezione della sicurezza tangibile ed intangibile da parte degli utenti è
qualitative research: grounded theory procedures and techniques” 7. Ai partecipanti alla rilevazione
sono state poste domande aperte finalizzate ad acquisire la loro percezione della sicurezza
relativamente ad un sito web. Sono stati somministrati 30 questionari a risposta aperta a tre gruppi
di utenti dell’Università degli Studi del Molise: Docenti (10), Personale tecnico-amministrativo (10)
e Studenti (10). Sulla base dei dati acquisiti è stata predisposta la tabella 1 nella quale sono riportati
gli indicatori tangibili ed in- tangibili di sicurezza rilevati dalle risposte fornite dagli utenti. alcuni
indicatori intangibili sembrano identici: per esempio notorietà, reputazione, rilevanza potrebbe
essere considerati sinonimi. tenuto conto della necessità di effettuare una ulteriore ricerca
finalizzata alla verifica dei risultati che possono derivare dall’utilizzo degli indicatori rilevati, si è
5
A. D’Atri, Organising and Managing Virtual Enterprises: the ECB Framework, in L.M. Camarinha-Matos e H.
Afsarmanesh (Eds.), Processes and Foundations for Virtual Organisations, 2003, Kluwer Academic Publishers.
6
T. Dinev, M. Bellotto, P. Hart, V. Russo, I. Serra e C. Colautti, Privacy Calculus Model in E-commerce – a Study of
Italy and the United States, in European Journal of Information Systems, 2006, 15, 4, pp. 389-402.
7
A. Strauss and J. Corbin, Basics of qualitative research: grounded theory procedures and techniques, 1990, London.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
intangibili che possono essere utilizzati per migliorare la sicurezza, reale e percepita, di un sito web.
Dalla lettura della tabella 1 si rileva che gli indicatori tangibili sono quelli di natura
tecnologica come ad esempio HTTPS, lucchetti, certificati e simboli di sicurezza, mentre quelli
Gli indicatori intangibili sono influenzati dalla società in termini di comunicazione e dal
contesto in cui l’utente opera nonché dalle conoscenze che acquisisce da altri utenti e dalle
esperienze maturate come nel caso della notorietà e della reputazione del sito.
passaparola.
Gli indicatori tangibili devono essere compresi e verificati dagli utenti accedendo al sito
web, piuttosto che acquisito attraverso l’interazione con altri utenti. Occorre che l’utente abbia
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
necessarie per la valutazione della sicurezza come nel caso dei certificati di sicurezza relativamente
ai quali l’utente deve sapere che cosa significa averne uno, e come si può controllare se è scaduto o
meno.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
2 Conclusioni
rapporto tra la sicurezza reale e quella percepita dagli utenti, è possibile creare fiducia ed allo stesso
tempo garantire l’usabilità dei sistemi ottenendo come conseguenza una maggiore accettazione dei
servizi online.
spingere verso una maggiore accettazione dei servizi online, è stata condotta una specifica ricerca
che ha portato alla identificazione di alcuni indicatori tangibili ed intangibili che possono essere
utilizzati per migliorare la sicurezza, reale e percepita, dei servizi online accessibili tramite Internet.
Al fine di poter verificare la bontà dei suddetti indicatori è stata realizzata una indagine alla
I risultati di detta indagine, oltre a dimostrare l’attendibilità degli indicatori utilizzati, hanno
esistenti;
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 11
Università Telematica Pegaso Rimedi e contromisure: l’analisi del rapporto
tra sicurezza reale e sicurezza percepita
A sostegno degli obiettivi delle suddette linee direttive vanno aggiunte le seguenti azioni:
- la ricerca deve fornire una base per le decisioni politiche attraverso la realizzazione e
Le fasi successive della ricerca saranno volte a verificare l’efficacia delle direttive proposte
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 11
“INTRODUZIONE ALLA FIRMA DIGITALE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 23
Università Telematica Pegaso Introduzione alla firma digitale
1 Premessa generale
Internet è il mezzo di comunicazione più veloce e più utilizzato nella società
È palese che l’uso della rete Internet, anche nell’ambito delle attività lavorative svolte dai
sicuro. Nel mondo virtuale non è facile, infatti, garantire l’affidabilità di chi ci fornisce
l’informazione, perché:
una e-mail;
1
Per ulteriori chiarimenti si v. N. Negroponte, Essere digitali, Sperling & Kupfer, 2004 che rappresenta uno dei primi
testi sull’allora nascente società digitale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 23
Università Telematica Pegaso Introduzione alla firma digitale
Sulla scorta di queste premesse e data la natura delicata delle operazioni online che spesso
garantiscano:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 23
Università Telematica Pegaso Introduzione alla firma digitale
relativa ai dati di trasmissione in una “busta elettronica”, completi di data e ora di trasmissione.
tuttavia, la P.e.C comporta dei limiti: pur assicurando che un messaggio arrivi a destinazione
inalterato e integro, essa garantisce soltanto l’identità del mittente, ma non del contenuto.
La firma digitale, invece, consente al mittente di apporre il proprio autografo al testo dell’e-
mail e agli eventuali allegati, quale ulteriore garanzia della propria identità.
I due strumenti, anche se distinti e separati, possono essere utilizzati in combinazione tra
loro 3.
Per comprendere cos’è un certificato digitale è necessario svolgere una premessa di dettaglio
tecnico: la creazione del certificato avviene tramite una complessa procedura che prende il nome di
2
Per maggiori approfondimenti, si veda infra M. Di Nardo, La garanzia della trasmissione e del non ripudio: la Posta
Elettronica Certificata (PEC), p. 59 ss.
3
Per configurare il programma di posta elettronica in modo che i documenti inviati via PEC siano anche firmati
digitalmente, basta impostare nel programma, nella sezione relativa alla sicurezza, il certificato digitale che identifica la
firma personale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 23
Università Telematica Pegaso Introduzione alla firma digitale
originale in una sequenza apparentemente casuale di lettere, numeri e segni speciali che solo la
persona in possesso della corretta chiave di decifratura può riconvertire nel file di testo originale.
Una chiave non è altro che una sequenza di byte (solitamente interpretata come un numero
di entità cospicua) che, a seconda del cifrario utilizzato, può avere diverse proprietà numeriche.
Possono essere usati due metodi diversi per la codifica e decodifica dei messaggi: la
Nella crittografia simmetrica viene stabilita una sola chiave, da usare sia per criptare sia
pubblica e la chiave privata; ciò che viene criptato con l’una, potrà essere decifrato solo con
l’altra. In questo modo si risolve il problema principale della crittografia simmetrica, vale a dire lo
scambio della chiave. Con il sistema di crittografia asimmetrica, mentre la chiave pubblica viene
cifrare il testo in modo da renderlo assolutamente incomprensibile tranne che al destinatario, nonché
ad “autenticarlo” tramite l’apposizione della firma digitale 5. Si tratta del notissimo rSa 6 (dal nome
4
N. Ferguson, B. Schneider e T. Kohno, Il manuale della crittografia. Applicazioni pratiche dei protocolli crittografici,
Apogeo, 2011, passim.
5
Il termine “algoritmo” deriva dal nome del matematico arabo Al Khuwarizmi, vissuto nel IX secolo D.C. Realizzare
un algoritmo significa creare un “procedimento di calcolo” attraverso il quale dati alcuni dati in entrata si ottengono
altri dati in uscita che soddisfano delle condizioni previste.
6
L’algoritmo RSA si basa sull’elevata complessità computazionale della fattorizzazione in numeri primi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 23
Università Telematica Pegaso Introduzione alla firma digitale
dei suoi inventori: rivest, Shamir e Adleman), ritenuto in tutto il mondo scientifico di massima
integrità: il grado di certezza, se non assoluto, è comunque di gran lunga superiore a quello
asimmetrica viene utilizzata nella firma digitale per verificare l’autenticità del mittente e l’integrità
In sintesi, la firma digitale è una tecnologia al servizio della collettività che rappresenta la
principale soluzione ICt (Information and Communication Technology) per l’accesso sicuro ai
In particolare, la firma può essere applicata a tutte quelle operazioni di trattamento dei dati
per le quali sono richieste una o più delle suddette garanzie, ad esempio per:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 23
Università Telematica Pegaso Introduzione alla firma digitale
Italia. Dal 1997, una serie di provvedimenti legislativi hanno conferito valore giuridico al
del 13 dicembre 1999, che ha offerto per la prima volta un quadro unitario e comune in materia di
firme elettroniche, riconoscendone il valore giuridico e dando, sin dal gennaio del 2000, un forte
La citata Direttiva definisce le regole per l’accreditamento dei fornitori del servizio di
con differenti livelli di sottoscrizione. Si è giunti, per tal via, alla definizione di due tipologie
Le principali tipologie di firma elettronica, aventi validità ed efficacia giuri- diche diverse,
come prevede il D.Lgs. 23 gennaio 2002, n. 10, di attuazione della direttiva 1999/93/CE relativa ad
un quadro comunitario per le firme elettroniche, sono sostanzialmente due: la firma elettronica e la
7
Per ulteriori informazioni si rinvia ad E. Battelli, Il valore legale dei documenti informatici, Napoli, 2012.
8
Per ulteriori chiarimenti si v. il commento di G. Cammarota, sul sito http://www.amministrazionein-
cammino.luiss.it/?p=9111.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 23
Università Telematica Pegaso Introduzione alla firma digitale
4 La firma elettronica
La firma elettronica o firma elettronica “debole’’ è una qualunque connessione di dati utile
strumento che offre scarse garanzie, perché non rispetta i requisiti tecnici e organizzativi di
sicurezza previsti per le firme elettroniche forti. Rappresenta una firma elettronica generica che può
essere realizzata con qualsiasi strumento (password, PIN, digitalizzazione della firma autografa,
tecniche biometriche, ecc.) in grado di conferire un certo livello di autenticazione a dati elettronici;
il documento elettronicamente sottoscritto con tale tipo di firma sarà riconosciuto dall’ordinamento
come forma scritta e la sua efficacia probatoria potrà essere liberamente valutata dal giudice.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 23
Università Telematica Pegaso Introduzione alla firma digitale
consente una stretta connessione tra l’oggetto sottoscritto e la firma, e quindi i dati contenuti nel
certificato del titolare. La firma elettronica quali- ficata viene creata attraverso un dispositivo sicuro
per la generazione delle firme, ossia una smart card rilasciata da un ente certificatore e basata su di
un certificato qualificato, che deve possedere determinate caratteristiche, sancite dalla Direttiva
europea 99/93/Ce.
Tale tipologia di firma elettronica, più sofisticata dal punto di vista tecno- logico e
probatoria, in modo che il titolare, per disconoscere il documento, è tenuto ad attivare il complesso
digitale che, diversamente dalle altre, equivale ad una sotto- scrizione autografa 9.
delegando la definizione degli standard europei per le firme elettroniche al CeN (Comitato Europeo
sono stati definiti nel quadro dell’iniziativa eeSSI (European Electronic Signature Standardiza- tion
Initiative), avviata nel 1999 in collaborazione con l’ICt-SB (Information & Communication
9
Sul punto si v. i due testi: M. Martoni, Firme elettroniche. Profili informatico-giuridici, Roma, 2010 e M. Cammarata,
Firme elettroniche. Problemi normativi del documento informatico, Monti & Ambrosini, 2010.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 23
Università Telematica Pegaso Introduzione alla firma digitale
Tecnologies Standard Board) e con le industrie del settore, le autorità pubbliche, gli esperti ed altri
soggetti interessati.
particolare metodo di autenticazione; mentre, si considera “firma elettronica avanzata” quella firma
c) è creata con mezzi sui quali il firmatario può o deve conservare il controllo
esclusivo;
modifica.
Tuttavia, la Direttiva del 1999 disciplina essenzialmente le sole firme elettroniche. Non
esiste, cioè, a livello comunitario un quadro normativo completo per garantire transazioni
nuove norme per consentire l’impiego transfrontaliero dei servizi online, con particolare attenzione
Secondo alcune fonti 10, diversi sono gli obiettivi che si intendono perseguire con questo
regolamento: si è avvertita, da un lato, la necessità di stare al passo con le esigenze attuali dell’e-
10
Per ulteriori informazioni si v. il sito http://www.europarlamento24.eu/proposta-una-firma-elettronica- unica-per-il-
mercato-digitale/0,1254,76_ART_2042,00.html.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 23
Università Telematica Pegaso Introduzione alla firma digitale
business e, dall’altro, l’esigenza di promuovere lo sviluppo digitale attraverso firme elettroniche più
affidabili.
cambiamenti nelle attività negoziali tra privati, spingendo alcuni orientamenti dottrinali ad attribuire
interno.
Si è per tal via attestata una definizione ampia di documento elettronico, considerato come il
mezzo mediante il quale un soggetto esprime, attraverso l’uso di un codice comunicativo comune,
in forma digitale nella memoria di un calcolatore con la possibilità di essere letto solo attraverso
Sulla base di tali definizioni è possibile configurare il documento elettronico come una
Le prime leggi che hanno cercato di sanare l’assenza nel nostro Codice penale di norme
predisposte ad hoc contro i reati informatici risalgono agli anni ’90 12: si ricordano, la l. 7 giugno
11
G. D’Aietti, Il documento elettronico: profili giuridici, civili e penali, in http://www.privacy.it/cpisadaiet. html.
12
La legge 7 giugno 1993, n. 183 introduce una normativa, che permette di utilizzare, ai fini del processo, i moderni
strumenti di telecomunicazione, c.d. telefax, prevedendo che, con il rispetto di alcune condizioni, la copia fotoriprodotta
di un atto o di un provvedimento, trasmesso a distanza con detti strumenti, “si considera” conforme all’atto trasmesso.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 23
Università Telematica Pegaso Introduzione alla firma digitale
1993, n. 183, che ha definito il personal computer come il mezzo di trasmissione degli atti relativi a
elaborarli”.
I nuovi mezzi telematici ed in particolare i documenti informatici, per loro natura, sforniti di
firma autografa hanno contribuito a determinare un fenomeno individuato dalla dottrina come “crisi
della sottoscrizione” 13, allorché un documento, redatto come scrittura privata, per avere validità,
deve presentare una sottoscrizione (ex art. 2702 c.c.), che crea un vincolo materiale e giuridico tra
l’autore e il documento.
Il vuoto normativo creato dall’utilizzo dei documenti digitali viene in parte colmato dalla
disciplina prevista con legge 15 marzo 1997, n. 59 (c.d. “legge Bassanini” 14) e con successivo
regolamento adottato con d.P.r. 10 novembre 1997, n. 513. Nella prima si è affermato il principio di
13
Con le nuove tecnologie e con il progressivo scioglimento del rapporto tra sottoscrizione autografa e testo scritto,
l’attribuzione della paternità del documento non è più garantita. Sul punto v., F. Sarzana Di Sant’Ippolito, Il legislatore
italiano e le firme elettroniche: la crisi del principio di unitarietà della sottoscrizione, in Corriere Giuridico, 2003, 10,
pag. 1375 ss.
14
In particolare l’art. 15, comma 2, stabilisce espressamente che: “gli atti, dati e documenti formati dalla pubblica
amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché
la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge. I criteri
e le modalità di applicazione del presente comma sono stabiliti, per la pubblica amministrazione e per i privati, con
specifici regolamenti da emanare entro centottanta giorni dalla data di entrata in vigore della presente legge ai sensi
dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 23
Università Telematica Pegaso Introduzione alla firma digitale
In seguito, con l’adozione del d.lgs. 23 gennaio 2002, n. 6 15, è stato modi- ficato
radicalmente il valore giuridico della firma digitale, attraverso un ribaltamento dell’onere della
prova: si è, in altre parole, consentito che il soggetto possa annullare gli effetti giuridici della firma
Nel 2005, con l’introduzione del c.d. Codice dell’Amministrazione Digitale (CaD), di cui
al d.lgs. 7 marzo 2005, n. 82 16, la firma digitale ha nuovamente assunto i lineamenti della firma
autografa (ex art. 2702 c.c.); ma soprattutto è stata semplificata la procedura per disconoscere la
firma digitale 17: il titolare non deve più intentare una querela di falso, ma è sufficiente dimostrare
che altri abbiano avuto la possibilità di utilizzare il dispositivo di firma ed il codice pin. ovviamente
è importante ricordare che i dispositivi e i codici segreti (pin/ puk), utili per l’uso del dispositivo,
sono forniti in maniera univoca al legittimo titolare, che ha l’obbligo di conservare gli stessi in
modo da impedirne l’accesso a terzi. Ne consegue che, qualora l’obbligo fosse ignorato dal titolare,
d.P.C.M. 30 marzo 2009 e della deliberazione CNIPa n. 45 del 21 maggio 2009, alla definizione di
nuove regole tecniche per la genera- zione, l’apposizione e la verifica delle firme digitali, oltre che
15
Si v. soprattutto l’art. 6 del citato decreto che modifica l’art. 10 del d.P.R. n. 445 del 2000 (c.d. testo unico delle
disposizioni legislative e regolamentari in materia di documentazione amministrativa). Segnatamente il comma 3 di
quest’ultima disposizione, oggi, recita: “il documento informatico, quando è sottoscritto con firma digitale o con un
altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un
dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle
dichiarazioni da chi l’ ha sottoscritto”.
16
Per un commento al Codice dell’Amministrazione digitale v. per tutti: G. Cassano e C. Giurdanella, Il codice della
pubblica amministrazione digitale, Commentario al d.lgs. n. 82 del 7 marzo 2005, Milano, 2005.
17
Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha
l’efficacia prevista dall’art. 2702 c.c. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che
sia data prova contraria.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 23
Università Telematica Pegaso Introduzione alla firma digitale
probatorio, dalla c.d. “data certa” del documento informatico. Nella fattispecie, la data è certificata
dal computer dell’autore o dalla marca temporale, che fa “piena prova” della formazione del
documento in un certo arco temporale e ne dimostra la sua esistenza prima di un particolare evento
Nel 2010, il d.lgs. 30 dicembre 2010, n. 235, ha apportato significative modifiche al Codice
documento informatico, in quella previsione secondo cui l’autenticazione, può avvenire in diversi
modi e per mezzo di diverse tecnologie, a condizione che queste consentano di associare il
Data la valenza giuridica della firma digitale, questa può essere pienamente utilizzata non
soltanto per la sottoscrizione del documento informatico, ma an- che per la conservazione
documentale sostitutiva 19, per la fatturazione elettronica, o ancora per l’autenticazione in rete nei
confronti della P.a. e lo scambio di documenti informatici nei procedimenti amministrativi. Per
questo, è necessario adeguare la normativa man mano che la tecnologia si evolve. In parti- colare, le
esigenze innovative dei flussi documentali hanno richiesto ulteriori modifiche agli algoritmi
18
Per ulteriori chiarimenti si veda il commento di R. Dubini in http://www.puntosicuro.it/sicurezza-sul- lavoro-C-
1/settori-C-4/terziario-servizi-C-30/la-giurisprudenza-sull-obbligo-della-data-certa-AR-8933/
19
Si rammenta che l’archiviazione sostitutiva o conservazione elettronica è una procedura informatica, regolamentata
dalla legge, in grado di garantire nel tempo la validità legale di un documento informatico. Si tratta di uno strumento
alternativo all’archiviazione dei documenti cartacei, che consente un considerevole risparmio in termini di stoccaggio,
stampa e ricerca. Per ulteriori informazioni si veda il contributo di E. Bardavid, Conservazione sostitutiva. Normativa e
consigli per realizzarla in modo semplice e sicuro, Roma, 2007.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 23
Università Telematica Pegaso Introduzione alla firma digitale
utilizzati e specifiche regole per i nuovi e diffusissimi formati documentali PDF (Portable
20
Tali regole sono state stabilite nelle deliberazioni C.N.I.P.A. n. 4 del 17 febbraio 2005, n. 34 del 18 maggio 2006 e n.
45 del 21 maggio 2009.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 23
Università Telematica Pegaso Introduzione alla firma digitale
digitale o successivamente, nel documento firmato, l’ordina- mento prevede vari tipi di reato:
• falsità in documento informatico (art. 21 CAD come modificato dal d.lgs. n. 235 del
2010).
Nel primo caso la responsabilità per la violazione degli obblighi di legge nel rilascio del kit
ricade sul certificatore che ha l’obbligo di verifica scrupolosa dell’identità del richiedente tramite un
documento di riconoscimento; mentre, negli altri due casi, la colpa risulta essere, in linea di
Per quanto riguarda la responsabilità civile del certificatore, l’art. 117 CAD stabilisce che il
certificatore che rilascia al pubblico un certificato qualificato o che garantisce l’affidabilità del
certificato è responsabile, se non prova di aver agito senza colpa, del danno causato a chi abbia fatto
ragionevole affidamento:
- sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i
dati per la creazione della firma (si garantisce in tal modo l’identità del
firmatario);
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 23
Università Telematica Pegaso Introduzione alla firma digitale
- sulla garanzia che i dati per la creazione e la verifica della firma possano essere
Qualora, inoltre, si verificasse una compromissione della chiave privata o del dispositivo per
la creazione della firma, l’ente certificatore avrebbe l’obbligo di revocare o sospendere il certificato
qualificato, mediante l’inserimento del codice identificativo in una delle CRL o CSL (liste dei
Anche durante la consegna del kit di firma e delle chiavi può avvenire una falsificazione:
viene identificato erroneamente dal certificatore il richiedente o un delegato che riceve la consegna
o personalizzazione del dispositivo di firma 21. La legge prevede che il certificatore sia, di fatto,
responsabile verso terzi, del rilascio e dei danni provocati per effetto della mancata registrazione
(informatica) della revoca o della sospensione del certificato, a meno che non provi di aver agito
dell’incaricato al rilascio non risultano ancora facilmente perseguibili, nonostante la gravità della
fattispecie.
Per quanto riguarda i documenti informatici, si è già sottolineato come, in base alla
normativa nazionale, gli stessi siano equiparati a tutti gli effetti ai documenti tradizionali, secondo
quanto previsto dall’art. 491 bis c.p., introdotto dalla citata l. n. 547 del 1993: la disposizione, come
noto, prevede l’applicabilità delle disposizioni sulla falsità in atti pubblici e privati. Pertanto, la
21
La normativa prevede che gli incaricati al rilascio del kit di firma non possano rilasciare i dispositivi, neanche su
delega, a persona diversa dall’intestatario.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
18 di 23
Università Telematica Pegaso Introduzione alla firma digitale
un’alterazione del supporto contenente le informazioni o dei programmi destinati alla relativa
lettura.
dei dati da un supporto ad un altro: il vero problema, quindi, è stato ignorato, considerato che
nell’informatica non esistono “originali” e “copie” e che il dato digitale può essere stampato o
Solo con gli artt. 1 e 2, comma 1, lett. a, d.P.r. 10 novembre 1997, n. 513, il documento
informatico è stato definito come una “rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti”, considerato non solo nella fase di formazione, ma anche in quella di
archiviazione e trasmissione.
La rilevanza giuridica viene, quindi, attribuita al documento elettronico inteso come atto
come “il risultato della procedura informatica (validazione) basata su un sistema di chiavi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
19 di 23
Università Telematica Pegaso Introduzione alla firma digitale
Per quanto concerne la paternità della firma e la sua provenienza, ai fini di riconoscere
l’identità della persona fisica che si avvale del computer, il legislatore italiano sembra preferire
l’attribuzione alla macchina, ovvero “al sistema di provenienza del documento”. È ovvio che il
legislatore presuppone che il computer e i supporti del legittimo titolare siano dotati di meccanismi
Il vero problema investe, dunque, non tanto l’affidabilità degli algoritmi usati per la firma
che si ritengono sicuri, quanto piuttosto la scarsa affidabilità dei sistemi operativi e delle
applicazioni che vengono utilizzate per firmare. Inoltre non vi è sempre la certezza di attribuire la
coppia di chiavi al soggetto che dichiara di esserne titolare, il quale potrebbe anche non essere
Per questo, negli ultimi anni, l’art. 3, comma 3, del d.P.C.M. 30 marzo 2009 in vigore dal 6
dicembre 2009) ha escluso espressamente la validità della firma per alcune tipologie di
documento 23.
documento potrebbe essere firmato da una persona diversa dal titolare; il soggetto che firma un
documento informatico con firma digitale non potrà certo negare l’appartenenza della firma dopo
una verifica del certificato e, ciò nonostante, se volesse dimostrare di non aver apposto
22
La verifica della firma digitale e la visualizzazione del documento firmato possono essere effettuate con qualunque
software in grado di elaborare file firmati in conformità con quanto stabilito dalla Deliberazione CNIPA n. 45 del 21
maggio 2009. I software sono gratuiti e disponibili sui portali degli enti certificatori.
23
Il testo recita infatti: “Il documento informatico, sottoscritto con firma digitale o altro tipo di firma elettronica
qualificata, non produce gli effetti di cui all’art. 21, comma 2, del codice, se contiene macroistruzioni o codici
eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rap- presentati”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
20 di 23
Università Telematica Pegaso Introduzione alla firma digitale
personalmente la firma (ritenendo che sia stata utilizzata da altri) si troverebbe di fronte ad un
difficile onere probatorio: sul titolare delle chiavi privata e pubblica grava, infatti, un obbligo di
diligente conservazione della chiave privata e del dispositivo di firma (come esplicitato nell’art. 9
d.P.r. 513 del 1997 e nell’art. 8 dell’allegato tecnico al d.P.C.M. dell’8 febbraio 1999).
È dunque compito del titolare non solo conservare con premura il kit e le chiavi, al fine di
certificazioni relative alle chiavi contenute nel dispositivo di firma nel caso in cui abbia perduto o
danneggiato il dispositivo. La viola- zione degli obblighi dell’utente e del certificatore si può
configurare come attività pericolosa ex artt. 2050 e 2051 c.c.; l’utente, per disconoscere la firma
digitale, dovrebbe fornire la prova di aver rispettato i citati obblighi imposti dalla legge.
ci si può imbattere, l’ordinamento ha previsto alcune disposi- zioni normative per contrastare tale
possibilità.
L’art. 29 bis del d.P.r. n. 445 del 2000, ad esempio, pone a carico di chi intende utilizzare un
sistema di chiavi o una firma digitale l’adozione di tutte le misure tecniche ed organizzative idonee
Secondo l’art. 28 bis del medesimo d.P.R., per coloro che rilasciano certificati qualificati o
sospensione o revoca, è sufficiente, dimostra- re d’aver agito senza colpa, anche qualora sia
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
21 di 23
Università Telematica Pegaso Introduzione alla firma digitale
alcuni recenti orientamenti giurisprudenziali concernenti la firma digitale e, più nello specifico, la
Nel 2011, la Corte di Cassazione, Sezione Penale 24, ha stabilito che è riconducibile nello
schema normativo dell’art. 483 c.p. 25 la condotta di chi, nell’ambito di rapporti societari, falsifica la
richiesta di firma digitale alla Camera di commercio, presentandola a nome di un terzo: deve quindi
essere escluso che la fattispecie integri la falsità in scrittura d’ufficio ex art. 485 c.p., tale da ri-
In sostanza, tra i diversi capi d’accusa – il primo, qualificato come falsità in scrittura privata,
il secondo, concernente la falsificazione della richiesta di rilascio della firma digitale – la Corte ha
24
Cass. pen., Sez. V, 14 marzo 2011, n. 10200, Qualificazione del falso perpetrato per ottenere il rilascio della firma
digitale.
25
L’art. 483 c.p., Falsità ideologica commessa dal privato in atto pubblico, recita testualmente: “chiunque attesta
falsamente al pubblico ufficiale, in un atto pubblico, fatti dei quali l’atto è destinato a provare la verità, è punito con la
reclusione fino a due anni. Se si tratta di false attestazioni in atti dello stato civile, la reclusione non può essere
inferiore a tre mesi”.
26
Nella fattispecie, il socio di una s.r.l. era stato accusato di falso in scrittura privata per aver contraffatto un verbale di
assemblea, inserendo il nome di un altro socio, riproducendone la firma elettronica e nominandolo, a sua insaputa, come
rappresentante legale della società. Il socio coinvolto, venuto a conoscenza della falsificazione della firma digitale,
aveva contestato l’accaduto, senza tuttavia sporgere querela. Secondo l’opinione della Corte, tuttavia, l’imputato andava
considerato colpevole di falso in atto pubblico e quindi perseguibile d’ufficio: la fattispecie, cioè, non poteva essere
ricondotta ad un’ipotesi di falso in scrittura privata, poiché era stata falsificata la richiesta di firma digitale alla Camera
di commercio e, visto il presumibile coinvolgimento del pubblico ufficiale, era necessario procedere d’ufficio
(considerati gli obblighi del certificatore che, ai sensi dell’art. 32 CAD, deve provvedere con certezza all’identificazione
di chi fa richiesta della certificazione).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
22 di 23
Università Telematica Pegaso Introduzione alla firma digitale
ritenuto opportuno ricondurre l’ipotesi di reato alla fattispecie, più grave, di falsità ideologica in atto
pubblico.
Diversa, ma altrettanto interessante, si mostra una ancor più recente sen- tenza del tar Puglia,
sez. Bari, del 24 maggio 2012, n. 1019 27, che rappresenta una delle prime decisioni relative al reato
di falso perpetrato ai fini del rilascio della firma digitale. La pronuncia si distingue per aver
dichiarato l’obbligatorietà della sottoscrizione dell’offerta con firma digitale in caso di gare
telematiche. Secondo la Corte, infatti, la firma digitale è l’unico strumento che, in genere e più in
particolare nel caso di invio di offerta nell’ambito di una gara telematica, sia in grado di garantire
stessa 28. La sottoscrizione, dunque, sia essa tradizionale o digitale, nel caso di gara telematica,
27
Per un commento v. G. Garrisi e A. Lisi, Gare telematiche e firma digitale: il diritto amministrativo balbetta
confuso..., in http://www.altalex.com/index.php?idnot=18699.
28
Nel caso di specie, invece, la ditta partecipante aveva inviato il file di testo costituente offerta che riportava in calce
solo l’indicazione del nome della società, senza quelle garanzie richieste dalla legge in merito all’integrità, paternità,
autenticità, immodificabilità e sicurezza del documento elettronico.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
23 di 23
“RISCHI E PERICOLI DELLA FIRMA
DIGITALE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
1 Rischi e pericoli
La firma digitale è uno strumento divenuto indispensabile in molte attività: basti pensare ai
professionisti, pubblici ufficiali29, impiegati, ecc., che per semplificare le operazioni e ridurre i
tempi lavorativi, utilizzano quotidianamente la P.E.C. e la firma digitale nelle loro comunicazioni 1.
Allo stato attuale, tuttavia, la realtà mostra un quadro ancora molto disarticolato: tutti sono
in grado di formare, leggere, utilizzare il tradizionale documento cartaceo; pochi invece, formano,
Ciò è ancor più avvalorato dalla circostanza per cui di recente è stato approvato il D.P.C.M.
19 luglio 2012, che ha definito la procedura di firma digitale uno dei capisaldi dell’agenda digitale 2.
pochi problemi: primo fra tutti, quello per cui molti confondo- no la firma digitale con l’immagine
scannerizzata della propria firma su carta, senza sapere che l’immagine della firma autografa
Inoltre, quando non si ha ben chiaro il funzionamento della firma digitale, risulta complicato
optare per la soluzione di sicurezza più adatta alle proprie necessità: le varianti di firma sono tante,
dalla firma elettronica avanzata alla firma digitale qualificata, dalla firma remota a quella
biometrica.
1
Per ulteriori chiarimenti si veda il testo di A. Battistella, Come si fa a usare la firma digitale, Milano, 2010.
2
Tra le novità del documento, si prevede che da gennaio 2013, gli accordi e i contratti della P.A. siano sottoscritti con
la firma digitale. Si ricorda, inoltre, che lo stesso discorso vale anche per le certificazioni di malattia e gli atti notarili.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
A creare poi ulteriore confusione si sono aggiunti, negli ultimi anni, altri dispositivi che
hanno affiancato la firma digitale tradizionale: solo per citarne alcuni, si ricordi la Carta Nazionale
dei Servizi, la Carta di Identità elettronica, le Carte regionali dei Servizi, le tessere Sanitarie, ecc.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
schemi ritenuti (matematicamente) sicuri ed ha come scopo principale quello di garantire una certa
Vero è che nel mondo dell’informatica, la sicurezza assoluta è un concetto astratto: le varie
fasi che coinvolgono il processo di firma sono, infatti, potenzialmente soggette a vulnerabilità.
Alcune di queste, riferite alla firma digitale, derivano dal fatto che, nel momento in cui si collega
una firma digitale ad un pc, il processo di generazione della firma digitale (ed in particolare il
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
documento firmato) potrebbe essere soggetto ad attacchi durante la sua creazione, firma, apertura o
stampa 3.
che, direttamente o indirettamente, modifica i contenuti del documento elettronico per beneficiare di
3
A seguito di un processo di stampa tradizionale si ha un’ interruzione della catena del valore della firma digitale
poiché l’integrità, la certezza del mittente, il non ripudio e la data certa di creazione e firma sono definitivamente perse.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
Di seguito, si riportano alcuni scenari in cui gli attacchi ai documenti firmati digitalmente
sono realizzabili e alcuni bug dei software utilizzati per falsificare un documento firmato 4.
È possibile utilizzare codici nascosti per far sì che il documento che compare sullo schermo
• Tempo: un attacco che modifica il contenuto del documento in base alla data
Con questi tipi di attacchi l’avversario può cambiare il contenuto apparente di un documento
4
Nel gergo informatico, con il termine bug si intende un errore di un programma non previsto, che causa un
malfunzionamento. Il nome deriva da un aneddoto che risale al 1947, quando un insetto si introdusse in un computer a
valvole, causando un malfunzionamento dell’elaboratore tra lo sconcerto di programmatori e progettisti.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
codici eseguibili;
documento 7.
• Attacchi invasivi: che comprendono la sottrazione della firma digitale e del pin-
code, la consegna volontaria del kit e del pin, ecc., la falsa dichiarazione all’ente
• Attacchi non invasivi: che avvengono nelle fasi di creazione, apertura e stampa
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
Per quanto riguarda la prima categoria, il furto del kit e del pin o la loro consegna ad altri
sorta di illecito, facendo poi ricadere sul titolare stesso ogni conseguenza di ordine civile e penale.
Il documento munito della firma digitale conferisce l’assoluta garanzia che chi l’ha usata era
in possesso della chiave privata di criptazione, ma non può assicurare che alla tastiera vi fosse la
Rubare la firma digitale equivale in un certo senso ad un furto d’identità. eppure, a tutt’oggi,
le sanzioni non risultano adeguate all’entità dei danni causati da parte di chi si appropria in modo
Ha fatto notizia il caso, verificatosi nell’aprile 2012, di due soggetti che, dopo aver rubato
Con riferimento invece agli attacchi non invasivi, per comprenderne meglio il
funzionamento, è sufficiente svolgere la seguente analogia con il mondo rea le: se si redige un
documento cartaceo in parte con “inchiostro invisibile” 10, lo stesso dopo qualche ora cambierà la
sua natura e la firma sarà presente su un contenuto diverso da quello originariamente stilato.
mediante alcuni kit di firma è possibile apporre una firma su un documento e fare in modo che, in
8
Per maggiori chiarimenti sul furto d’identità si rinvia alla trattazione di A. Manente, L’insicurezza della propria e
dell’altrui identità, infra, p. 186 ss.
9
L’imprenditore ingannato, titolare di una società immobiliare, dopo mesi di ricerche, ha scoperto che tutte le azioni
della società erano state intestate ad un soggetto a lui sconosciuto. Quest’ultimo, con l’aiuto di un complice e di un
commercialista, in possesso della fotocopia del documento d’identità della vittima, aveva attivato due firme digitali: una
a nome dell’imprenditore truffato e l’altra per sé stesso. I due avevano trasferito le quote societarie, venduto un
immobile del valore di circa 260 mila euro e violato il conto corrente della vittima.
10
L’inchiostro invisibile o inchiostro simpatico è una sostanza utilizzata per scrivere su carta che risulta, per l’appunto,
invisibile al momento dell’applicazione e che può essere reso visibile solo in un secondo momento e con un apposito
procedimento.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
seguito al verificarsi di certe condizioni, il testo si modifichi in un modo arbitrario, senza che in fase
La firma digitale dovrebbe essere in grado di evitare la modifica di ciò che un documento
mostra all’utente, allo scopo di garantire l’integrità dell’informazione, non soltanto in termini
tecnici, ma anche dal punto di vista degli effetti legali prodotti dai bit che compongono i documenti
digitali. Purtroppo, alcuni kit di firma non sono in grado di rilevare il comportamento dinamico del
documento, tanto meno i suoi effetti legali, in quanto essa è ottenuta a partire dai bit che
Non essendoci alcuna alterazione dei bit del documento, il software di verifica, fornisce un
esito positivo alla verifica della firma, in quanto non vi è stata alcuna rottura dell’integrità del
documento.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
del documento con il contenuto di un file remoto o in lan11 modi- ficato dal
malintenzionato;
• campi dinamici: essi sono diversi dalle Macro. Il campo è inserito all’interno del
testo e deve essere aggiornato per riflettere eventuali cambiamenti in esso. Per
condizionale IF sul campo Date. Il vantaggio dei campi dinamici in Word è che
11
È noto che LAN – acronimo del termine inglese Local Area Network – identifica una rete costituita da computer
collegati tra loro, dalle interconnessioni e dalle periferiche condivise in un ambito fisico delimitato.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
che porta in sé le macro che vengono caricate all’avvio del documento Word.
sistema operativo;
cellette o addirittura nascondere alla vista del firmatario delle intere colonne
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
• dati esterni: creazione di una query ad una origine dati 12, ad una pagina web o ad
un file di testo remoto, formattato in modo da simulare i diversi campi nel foglio
di calcolo;
dei file; per esempio, egli può utilizzare la barra degli strumenti modulo per
mai 14;
12
Una Query è l’insieme di operazioni che consentono di estrarre da un archivio dati o database, determinate
informazioni in base a precisi criteri.
13
Si ricordi che Javascript è un linguaggio di programmazione interpretato sviluppato da Netscape. Il codice Javascript
può essere inserito nel codice HTML della pagina e quindi interpretato dal browser.
14
Il codice html per email è molto più semplice di quello utilizzato per i siti web, poiché i client di posta non riescono a
leggere codice html molto complesso.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
Un’altra tecnica, ancora più insidiosa, può essere messa a punto attraverso un file c.d.
“polimorfo”: cambiando l’estensione del file – e quindi non il suo contenuto – viene visualizzato un
Questa volta, il problema ricade sul sistema operativo 16, il quale identifica il tipo di
documento in base all’estensione del file e incarica un determinato programma della visualizzazione
del documento 17. Il programma specifico esaminerà le parti del documento da esso comprensibili e
visualizzerà il testo. ad esempio, un file immagine con estensione BMP (bitmap), rinominato
Anche in questo caso, il documento dopo essere stato firmato digitalmente apparirà con un
contenuto modificato senza che la procedura di verifica della firma rilevi la modifica.
Come può immaginarsi, le varianti del documento che il malintenzionato potrebbe creare
sono infinite. Per chiarire meglio il caso, si considerino i contratti nelle figure seguenti che
includono un valore (un pagamento) che dipende dalla data di sistema. Dopo una certa data, il
15
La scoperta del primo tipo di attacco alla firma digitale basato su file polimorfi viene attribuito al prof.
BUCCAFURRI dell’Università di Reggio Calabria e al suo team di ricerca. Questi hanno dimostrato che creando un file
“polimorfo”, nel caso specifico un file BMP con appeso un file HTML, il contenuto del file visualizzato prima e dopo la
firma non coincide. V. sul punto F. Buccafurri, Digital Signature Trust Vulnerability: A new attack on digital
signatures, in Information Systems Security Association Journal, 2008, n. 10.
16
Un Sistema Operativo può essere definito come un insieme di programmi indispensabili per utilizzare un Sistema di
Elaborazione in modo semplice ed efficiente. Esempi tipici sono Windows e Linux.
17
L’estensione di un file è un metodo che permette al sistema operativo di distinguere il tipo di contenuto (testo,
musica, immagine, ecc.) e di aprirlo con la corrispondente applicazione; si tratta del suffisso posto alla fine del nome di
un file, separato da quest’ultimo con un punto. Nel gergo informatico un suffisso è una breve (tipicamente tre) sequenza
di caratteri alfanumerici. La sua funzione è facilmente comprensibile sia per un software che per un utente, permettendo
di identificare con facilità il contenuto di un file.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
È facile comprendere che la presenza di macro istruzioni o di codice male- volo mina
l’integrità dei dati firmati e può determinare anche danni morali ed economici. Per questo, la legge
ha previsto che i documenti informatici con- tenenti tali tipi di elementi, sottoscritti con firma
digitale, non siano ritenuti validi, o meglio – secondo quanto previsto dal d.P.C.M. 30 marzo 2009
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
È facile comprendere che la presenza di macro istruzioni o di codice male- volo mina
l’integrità dei dati firmati e può determinare anche danni morali ed economici. Per questo, la legge
ha previsto che i documenti informatici con- tenenti tali tipi di elementi, sottoscritti con firma
digitale, non siano ritenuti validi, o meglio – secondo quanto previsto dal d.P.C.M. 30 marzo 2009
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
aperto in date diverse, mostra uno stipendio mensile minore. Si tratta di un documento
contraffatto
variabili, ancor più se associato alla predisposizione consapevole degli strumenti che comportano la
futura variazione del contenuto dell’atto (si pensi all’esempio del contratto in cui siano mutate le
È noto, infatti, che la falsità penalmente rilevante di un documento (anche informatico) può
essere esclusa solo quando le modificazioni dell’atto non incidono, in alcun modo, sull’esistenza,
sull’efficacia e sul contenuto del documento: in altre parole – secondo quanto affermato dalla
18
Cass. pen., 24 giugno 1988, in Riv. pen., 1989, p. 621.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
L’uso consapevole del falso documento, dunque, configura il delitto di falso in scrittura
privata (ex art. 485 c.p., in relazione all’art. 491 bis c.p., che definisce il documento informatico ai
fini della legge penale) e l’applicazione delle sanzioni ivi previste (reclusione da sei mesi a tre
anni), poiché si considerano alterazioni anche le aggiunte falsamente apposte ad una scrittura vera,
dopo che questa è stata definitivamente formata (art. 485, comma 2, c.p.).
sistema operativo. Supponendo che nel documento firmato non si riscontrino vizi del genere e che
la verifica della firma dia esito positivo, re- stano comunque da affrontare e risolvere alcune
sistema operativo. Supponendo che nel documento firmato non si riscontrino vizi del genere e che
la verifica della firma dia esito positivo, restano comunque da affrontare e risolvere alcune
• la validità della data e ora della generazione della firma. La data è cifrata insieme
all’hash ma, se non vi è una marcatura temporale, viene presa dal computer con
cui è eseguita l’operazione e può risultare errata poiché non è certificata tranne
anteriore alla revoca o alla sospensione del certificato; tuttavia ha dei costi non
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
18 di 19
Università Telematica Pegaso Rischi e pericoli della firma digitale
• Il certificato di firma digitale ha validità minima di tre anni dalla data del ri-
necessario richiedere un nuovo dispositivo di firma. Nel caso fosse accertato che
la firma è stata apposta dopo il periodo di validità del certificato oppure quando
• nel momento in cui un documento informatico viene stampato, cioè “esce” dal
• non esistono “copie” del documento firmato, ma solo “duplicati” assoluta- mente
• alcuni software di firma e verifica sono incompatibili con altri software e sistemi
operativi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
19 di 19
“RIMEDI E CONTROMISURE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 6
Università Telematica Pegaso Rimedi e contromisure
1 Rimedi e contromisure
Per accertarsi con sicurezza della validità di un documento da firmare, sarà innanzitutto
fondamentale controllare che il file da siglare con firma digitale non sia viziato da quegli elementi
Ciò posto, è necessario effettuare controlli periodici sulla sicurezza del proprio pc e dei
1
Si ricordi che per disattivare le macro basta entrare in Office, fare clic su Centro protezione, poi su Impostazioni
Centro protezione e infine su Impostazioni macro. Scegliere disattiva tutte le macro con notifica.
2
Molti software di firma effettuano in automatico gli aggiornamenti.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 6
Università Telematica Pegaso Rimedi e contromisure
Oltre ai citati rimedi, la soluzione migliore consta nel realizzare un file in formato pdf/a –
formato migliorato del pdf – appositamente pensato per i documenti firmati e per l’archiviazione nel
lungo periodo. Questo garantisce che il documento sia visualizzabile sempre allo stesso modo,
Un’altra buona soluzione, anche se un po’ più scomoda, è quella di comprimere i file creati
o ricevuti ed apporre successivamente la firma digitale sul file compresso. In tal modo, oltre a
certificare il contenuto del file si certificano anche i metadati, quindi il nome del file, la data di
modifica, ecc.
Ci sono poi altre soluzioni che prevedono l’utilizzo di altre varianti di firma. Esiste, infatti,
Queste soluzioni sono definite legalmente dall’art. 7, D.P.C.M. 30 marzo 2009 che ha
gettato, per la prima volta, le basi normative per il riconoscimento della c.d. firma digitale remota,
3
Si intende per “font” un tipo di carattere con proprio stile e formato. Ogni font è caratterizzato da un nome (ad. Es.
Times New Roman) e da un disegno (marcato, rotondeggiante, stretto, ecc.).
4
Si intende per “biometria” quel complesso di dispositivi hardware o software che misurano le caratteristi- che fisiche
di un individuo per determinarne l’identità. Scanner della retina, lettori di impronte digitali, sistemi di riconoscimento
vocale e scanner della geometria delle mani e del volto sono tutti dispositivi biometrici. Per un approfondimento sul
delicato tema dei dispositivi biometrici si rinvia a G. Preite, Il riconoscimento biometrico. Sicurezza versus Privacy,
Trento, 2008.
5
Si intende per “Smartphone” un cellulare intelligente di nuova generazione, con funzionalità di telefono cellulare e di
gestione di dati personali. Caratteristica principale degli smartphone è la possibilità di installarvi ulteriori applicazioni
che aggiungono nuove funzionalità.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 6
Università Telematica Pegaso Rimedi e contromisure
suo interno le chiavi per la firma e invia al titolare un codice sms, un codice OTP 6 o un’e-mail
contenente parte del pin: da ciò deriva la massima sicurezza nella gestione dell’apposizione e
smartphone
(solitamente tablet o tavolette grafiche) e di un software per la visione del documento, la cattura e la
Il software confronta l’impronta apposta sul dispositivo con quella depositata e conservata
su un server certificatore. Il server valuta così la firma attraverso vari fattori biometrici (ritmo,
velocità, pressione, forme, ecc.) e, nel caso in cui riconosce l’autenticità della firma, allega al
6
Il sistema OTP è costituito da un dispositivo che genera una password dalla combinazione di un codice noto
identificativo ed un codice variabile.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 6
Università Telematica Pegaso Rimedi e contromisure
In conclusione, è possibile affermare che il funzionamento delle firme digi- tali e l’algoritmo
di cifratura sono, a tutti gli effetti, correttamente funzionali; ma, a rendere la firma falsificabile e i
lettura dei documenti, gli stessi software di firma e molto spesso anche l’utente che non adotta o
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 6
“ASPETTI FORENSICS”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 9
Università Telematica Pegaso Aspetti forensics
1 Aspetti forensics
garantire il non ripudio, l’integrità e, allo stesso tempo, la piena validità legale dei documenti
Il soggetto della comunicazione, identificato dalla firma digitale, è una per- sona fisica e non
un nodo di rete o un indirizzo e-mail; mentre l’oggetto è, più semplicemente, il documento firmato.
A questo punto si rivela indispensabile illustrare il funzionamento della firma digitale, per
1
Per ulteriori chiarimenti si veda il testo di H. Janhakhani, D.L. Watson, G. Me, F. Leonhardt, Handbook of Electronic
Security and Digital Forensic, World Scientific Publishing Company, 2010.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 9
Università Telematica Pegaso Aspetti forensics
privata);
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 9
Università Telematica Pegaso Aspetti forensics
• il firmatario che appone la sua firma digitale al documento. Egli con il proprio
una funzione matematica (hash) 2 che crea la c.d. impronta digitale del
chiave privata del titolare, ottenendo così la firma del documento (c); infine, la
(d);
validità della firma. Egli utilizza la chiave pubblica del mittente per ottenere
Sulla scorta di queste considerazioni, è necessario che chi usa il computer abbia le
competenze giuste, che sia “informato e informatizzato”, capace quindi di conoscere nel miglior
modo possibile le potenzialità dell’informatica e del web e di comprendere i vantaggi dei nuovi
strumenti telematici.
2
L’hash è una funzione matematica univoca ed unidirezionale (non invertibile). Applicando una funzione di hash ad un
file o al contenuto di un hard disk, si ottiene una sequenza alfanumerica che rappresenta una specie di “impronta
digitale” dei dati: il valore di hash.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 9
Università Telematica Pegaso Aspetti forensics
uguale a se stessa a prescindere dal supporto sul quale in quel momento è registrata: ciò significa
che la sequenza digitale, non essendo inscindibilmente legata al mezzo (computer), può essere
memorizzata su altri supporti senza che in seguito sia possibile operare una distinzione fra i due
quando in esso vi è una firma digitale, che assicura la validità del contenuto, si può parlare di
Al riguardo, vale la pena ricordare il contributo di due notai, Paolo Piccoli e Ugo Bechini 3, i
quali hanno messo in luce, richiamando i risultati di indagini tecniche, come la firma digitale, anche
quella che sembra più sicura, non offra la certezza assoluta. Si pone, quindi, un duplice problema: il
primo legato all’effettiva sicurezza della firma e all’eventuale possibilità di dimostrare una
manipolazione o un’alterazione del procedimento di firma con intenti fraudolenti; il secondo deriva
invece dall’utilizzo dello strumento da parte di un soggetto non autorizzato o che eccede i limiti
dell’autorizzazione.
In quest’ultimo caso, la validità della firma può essere comunque disconosciuta qualora in
sede giudiziale, il titolare del dispositivo contro il quale la scrittura è prodotta può dimostrare,
nonostante l’esito positivo della verifica- zione informatica, che il dispositivo stesso non sia stato
3
Per ulteriori approfondimenti si consulti il sito http://ca.notariato.it/approfondimenti/firma_digitale. pdf.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 9
Università Telematica Pegaso Aspetti forensics
utilizzato sotto il proprio controllo e che, pertanto, la paternità del documento non possa essergli
attribuita.
Di conseguenza, per combattere la certezza collegata a questa firma elettronica non rimane
altro che la strada della querela di falso, con tutte le note difficoltà. A tali condizioni, la disciplina
sulla firma digitale presenta, oggi, una certa coerenza e, almeno in parte, conserva fedeltà a quel
sistema generale di distribuzione dell’onere probatorio che il legislatore ha affidato al codice civile.
Per produrre in giudizio un documento informatico (ad es. un documento word o un’e-mail) bisogna
Bisogna, quindi, evitare di stampar- lo fornendone una versione cartacea che – come si è avuto
I passaggi necessari per produrre in giudizio un documento informatico sono descritti nelle
o supporto esterno;
• presentazione dei risultati in una relazione tecnica che descriva in det- taglio le
4
Per ulteriori informazioni si veda il testo di M. Dekalb Miller, Guide for the development of forensic document
examination capacity, United Nations Publication, 2010.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 9
Università Telematica Pegaso Aspetti forensics
• informazioni estratte dai dati recuperati considerando come informazione non il file,
acquisizione ed analisi;
firmato nel suo contesto: prescindendo dal fatto che l’algoritmo di firma è sicuro e che le
vulnerabilità analizzate nel paragrafo due colpiscono i programmi applicativi o il sistema operativo
e fanno leva sulla mancata vigilanza da parte dell’utente, il perito della digital forensics dovrà
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 9
Università Telematica Pegaso Aspetti forensics
• il tipo di attacco;
• lo scopo dell’attacco.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 9
“INTRODUZIONE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 13
Università Telematica Pegaso Introduzione
informatici nella “rete” di Internet che presenta delle forti similitudini con il servizio di posta
elettronica “tradizionale”, rispetto al quale però sono state aggiunte delle caratteristiche tali da
fornire agli utenti la certezza, con valore legale, dell’invio e della consegna/o meno dei messaggi e-
mail al destinatario 1.
messaggio significa disporre di una ricevuta che fornisce una prova legale dell’avvenuta spedizione
nella trasmissione dei documenti informatici e si realizzano fornendo al mittente due ricevute che
attestino:
A livello pratico:
1
Sterminata è la dottrina in materia. Per un inquadramento generale si rinvia a F. Caravati, La comunicazione
elettronica: standard e prassi della Posta Elettronica Certificata, in R. Raimondi (a cura di), Dai documenti al social
web. L’informazione al centro del business, Milano, 2012, p. 235 ss.; G. Cassano e I.P. Cimino, Diritto dell’Internet e
delle nuove tecnologie telematiche, Padova, 2009, p. 489 ss.; G. Ziccardi, Informatica giuridica. Manuale breve,
Milano, 2008, p. 157 ss.; G. Cassano e I.P. Cimino, Diritto dell’Internet e delle nuove tecnologie telematiche, Padova,
2009, p. 489 ss.; C. Rabazzi, La posta elettronica certificata: le novità introdotte con il d.p.r. n. 68/2005, in
Cyberspazio e diritto, 2005, 6, p. 229 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 13
Università Telematica Pegaso Introduzione
l’utente finale vede la casella di PEC come una normale casella di posta;
destinazione).
2
Un client di posta elettronica è un programma installato sul computer, che permette di comporre, inviare, ricevere ed
organizzare messaggi email, collegandosi ai server per la spedizione (server SMTP) e per la ricezione (server POP) di
posta elettronica. I più noti client di posta sono Microsoft Outlook, Microsoft Outlook Express, Microsoft Mail (Vista),
Mozilla Thunderbird, Pegasus Mail, Qualcomm Eudora, Apple Mail e Microsoft Entourage. Per configurare la lettura e
l’invio della posta elettronica certificata si deve configurare un nuovo account (PEC) oltre a quello/quelli già in uso
(standard). Il termine client viene utilizzato perché il servizio di posta elettronica, come molti altri servizi in Rete, si
basa su un’architettura client-server: il client si occupa della composizione, lettura/ricezione e trasmissione; il server si
occupa della raccolta/smistamento dei messaggi verso altri server o i destinatari finali.
3
La smart-card (una carta “tipo bancomat” dotata di microprocessore) è un esempio di dispositivo largamente utilizzato
nella firma elettronica. Sul punto si rinvia al contributo di G. Guerra, La garanzia della riservatezza, integrità e
autenticità: la firma digitale, p. 25 ss.
4
I dati di Certificazione sono l’insieme di dati che descrivono il messaggio originale e sono certificati dal gestore di
posta elettronica del mittente del messaggio. I dati di certificazione sono inseriti nelle varie ricevute (Ricevuta di
Accettazione, Ricevuta di Avvenuta Consegna) e trasmessi al destinatario col Messaggio Originale all’interno della
busta di trasporto. Tra i dati di certificazione sono presenti: la data e l’ora d’invio, il mittente, il destinatario, l’oggetto,
l’identificativo del messaggio, ecc.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 13
Università Telematica Pegaso Introduzione
software aggiuntivo);
Validità legale (le ricevute rappresentano una prova legale opponibile a terzi,
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 13
Università Telematica Pegaso Introduzione
Tabella comparativa
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 13
Università Telematica Pegaso Introduzione
Schema di funzionamento
controlli effettuati sul messaggio e-mail. La ricevuta certifica data e ora di invio,
Destinatario.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 13
Università Telematica Pegaso Introduzione
controllo sulla firma del gestore mittente e sulla validità del messaggio. In caso
messaggio.
7. Il mittente riceve nella sua mailbox la ricevuta di consegna che certifica data e
elettronica.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 13
Università Telematica Pegaso Introduzione
d.P.R. 11 febbraio 2005, n. 68: «regolamento recante disposizioni per l’utilizzo della
posta elettronica certificata, a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3»;
d.l. 29 novembre 2008, n. 185: «Misure urgenti per il sostegno a famiglie, lavoro,
nazionale»5;
d.lgs. 7 marzo 2005, n. 82, c.d. Codice amministrazione Digitale (art. 48 6);
l. 28 gennaio 2009, n. 2, di conversione del d.l. 29 novembre 2008, n. 185, c.d. «decreto
anticrisi»7;
5
La normativa è interamente presente e scaricabile dall’apposita sezione del sito del CNIPA.
6
Per un commento sull’art. 48, v. M. Scialdone, Trasmissione informatica dei documenti, in A. Lisi e L. Giacopuzzi,
Guida al Codice dell’Amministrazione digitale, Matelica, 2006, p. 96 ss.; G. Cassano e C. Giurdanella, Il codice della
pubblica amministrazione digitale, Commentario al d.lgs. n. 82 del 7 marzo 2005, Milano, 2005, p. 46 ss.
7
Si v. in particolare l’art. 16, comma 8.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 13
Università Telematica Pegaso Introduzione
d.l. 18 ottobre 2012, n. 179 (denominato «Decreto crescita 2.0» o «Decreto sviluppo
l. 24 dicembre 2012, n. 228, Legge di stabilità 2013 (con riferimento alla PeC in tema
di processo telematico).
regolamentazione nel d.P.R. 11 febbraio 2005, n. 68, che ne disciplina le modalità di utilizzo non
solo nei rapporti con la Pubblica amministrazione, ma anche tra privati. La normativa dispone, in
sintesi, che:
mediante la PEC, equivale, nei casi consentiti dalla legge, alla notificazione a
mezzo postale;
del sopra citato decreto n. 68 del 2005 ed alle relative regole tecniche, come
novembre 2005.
Di fondamentale importanza è il d.l. n. 185 del 2008 (c.d. “Decreto anti- crisi”), convertito
indirizzo di PeC nella domanda di iscrizione al registro delle imprese (art. 16,
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 13
Università Telematica Pegaso Introduzione
comma 6), entro tre anni dalla data di entrata in vigore del decreto tutte le
dalla data di entrata in vigore del decreto (art. 16, comma 7);
adempimenti previsti dalla legge, possono essere inviate attraverso la PeC senza che il destinatario
debba dichiarare la propria disponibilità ad accettarne l’utilizzo (art. 16, comma 9).
Con l’art. 5, comma 1, d.l. n. 179 del 2012 (conv. in l. n. 221 del 2012), l’obbligo di dotarsi
Il Ministero dello Sviluppo ha attivato, infatti, a partire da 19 giugno 2013, sul proprio sito Internet,
il Portale telematico per l’accesso a detto elenco. Pertanto, le imprese individuali costituite dopo il
20 ottobre 2012 sono tenute a dotarsi della PEC già ai fini della prima iscrizione nel registro delle
Imprese; mentre le imprese individuali attive e non soggette a procedura concorsuale alla medesima
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 13
Università Telematica Pegaso Introduzione
2005, si basa sugli specifici standard internazionali IETF (Internet Engineering Task Force) e ISO
(International Organization for Standardization): tra questi si evidenziano gli standard S/MIMe
(Version 3 Message Specification), SMtP (Service Extension for Delivery Status Notifications),
MIMe (Multi- part/Signed and Multipart/Encrypted) e LDaP (Data Interchange Format LDIF -
Technical Specification).
della posta elettronica certificata, già da diversi anni il modello proposto dalla PeC italiana è stato
In seno all’etSI (Istituto europeo senza scopo di lucro per gli Standard nelle
che, ispirato anche dall’esperienza della PeC italiana, propone a livello europeo un meccanismo
Inoltre presso l’IetF (Internet Engineering Task Force), che rappresenta la principale
corso da giugno 2008 il percorso per la pubblicazione come standard dell’Internet Draft relativo
alla PeC.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 13
Università Telematica Pegaso Introduzione
regolamento consta nella seguente disposizione 9: «il documento informatico trasmesso per via
telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al
destinatario se reso disponibile all’indirizzo elettronico da questi dichiarato, nella casella di posta
Altri contenuti significativi del regolamento riguardano la definizione dei soggetti del
Su questi ultimi gravano, tra l’altro, diversi obblighi, tra i quali: garantire l’interoperabiltà
dei servizi offerti (art. 5, comma 2) 10 e dei documenti trasmessi (art. 11, comma 1); tenere traccia
delle operazioni svolte, in un apposito log, per una durata di trenta mesi garantendone la
riservatezza, la sicurezza, l’integrità e l’inalterabilità (art. 11, comma 2 e 3); individuare e gestire
secondo le regole tecniche gli eventuali messaggi contenenti virus (art. 12); garantire i livelli
Il regolamento istituisce, inoltre, l’elenco pubblico dei gestori di PeC (art. 14, comma 1),
definendo i requisiti che il candidato gestore deve dimostrare di possedere per essere iscritto nello
Al CNIPa 11 sono assegnate le funzioni di vigilanza e controllo sulle attività dei gestori (art.
Il regolamento stabilisce, infine, alcuni limiti di utilizzo delle caselle di PEC rilasciate dalle
8
Per ulteriori approfondimenti v. M. Della Torre (a cura di), Diritto e informatica, Milano, 2007, p. 139 ss.
9
Il citato art. 3 modifica il comma 1 dell’art. 14 del d.P.R. 28 dicembre 2000, n. 445, al fine di ridefinire la
formulazione originaria relativa alla sequenza di invio e ricezione di un documento informatico.
10
L’interoperabiltà è l’uso di standard tecnici comuni e l’armonizzazione delle regole giuridiche fondamentali.
11
Il CNIPA, sostituito da DigitPA, oggi si chiama Agenzia per l’Italia Digitale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 13
“RISCHI E PERICOLI CONNESSI ALLA
SICUREZZA”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 5
Università Telematica Pegaso Rischi e pericoli connessi alla sicurezza
Di seguito si ritiene di dover riportare le indicazioni che fanno riferimento agli aspetti della
1.1. Firma
La chiave privata e le operazioni di firma devono essere gestite utilizzando un dispositivo
europeo o internazionale.
1.2. Autenticazione
La possibilità da parte di un utente di accedere ai servizi di PeC, tramite il punto di accesso,
servizio erogato, la carta d’identità elettronica o la carta nazionale dei servizi. La scelta della
modalità con la quale realizzare l’autenticazione è rimessa al gestore. Si tratta di uno strumento
necessario per garantire che il messaggio sia inviato da un utente del servizio di posta certificata i
cui dati di identificazione siano congruenti con il mittente specificato, al fine di evitare la
falsificazione di quest’ultimo.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 5
Università Telematica Pegaso Rischi e pericoli connessi alla sicurezza
l’imbustamento e la firma dei messaggi in uscita dal punto di accesso e la successiva verifica in
allegati) è inserito come allegato all’interno di una busta di trasporto. La busta di trasporto firmata
dal gestore mittente permette di verificare che il messaggio originale non sia stato modificato
durante il suo percorso dal dominio del mittente a quello del destinatario. La sicurezza del colloquio
tra mittente e destinatario prevede un meccanismo di protezione per tutte le connessioni previste
dall’architettura di posta certificata (tra utente e punto di accesso, tra gestore e gestore, tra punto di
A titolo esemplificativo, tra i protocolli accettabili per l’accesso figurano quelli basati su tLS
(IMaPS, PoP3S, HttPS), quelli che prevedono l’attivazione di un colloquio sicuro durante la
comunicazione (SMtP StarttLS, PoP3 StLS), quelli che realizzano un canale di trasporto sicuro sul
Il colloquio tra i gestori deve avvenire con l’impiego del protocollo SMtP su trasporto tLS,
come descritto nella rFC 3207. Il punto di ricezione deve prevedere ed annunciare il supporto per
l’estensione StarttLS ed accettare connessioni sia in chiaro (per la posta ordinaria) che su canale
canale protetto.
1
I protocolli sicuri sono i canali di trasmissione sicuri: tutte le connessioni sono realizzate tramite l’impiego di canali
sicuri basati sull’utilizzo dei protocolli di trasporto come Transport Layer Security (TLS), che permette la crittografia
dei dati trasmessi in rete.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 5
Università Telematica Pegaso Rischi e pericoli connessi alla sicurezza
Al fine di garantire la completa tracciabilità nel flusso di messaggi di posta certificata, questi
non devono transitare su sistemi esterni al circuito di posta certificata. Nello scambio di messaggi
tra gestori diversi, tutte le transazioni devono avvenire tra macchine appartenenti al circuito della
posta certificata od a conduzione diretta del gestore. Gli eventuali sistemi secondari di ricezione dei
messaggi per il dominio di posta certificata devono essere sotto il controllo diretto del gestore. ad
ogni dominio deve essere associato un record di tipo “MX” definito all’interno del sistema di
1.4. Virus
Un altro aspetto rilevante di sicurezza, che riguarda l’intero sistema di PeC, è relativo
compromettere la sicurezza di tutti i possibili messaggi gestiti; deve, quindi, essere prevista
l’istallazione ed il costante aggiornamento di sistemi antivirus che impediscano quanto più possibile
ogni infezione, senza però intervenire sul contenuto della posta certificata in accordo con quanto già
definito.
2
L’acronimo RFC sta per Request for Comments ed indica un documento che può rappresentare simultaneamente la
definizione di un nuovo standard per Internet e la richiesta di commenti e proposte di miglioramento ad un particolare
protocollo. RFC 1912 è nello specifico il Common DNS Operational and Configuration Errors.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 5
“RIMEDI E CONTROMISURE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 7
Università Telematica Pegaso Strutture organizzative e capacità innovativa
1 Rimedi e contromisure
I principi della sicurezza informatica e le basi della sicurezza dell’informazione sono state
stabilite negli standard BS7799, poi ISO17799, che definisce le caratteristiche dell’informazione
sicura 1.
• riservatezza;
• Integrità;
• disponibilità;
• autenticità;
• non ripudio.
La riservatezza consente che le informazioni siano conosciute solo da coloro che ne hanno
il diritto.
L’integrità permette che le informazioni stesse siano protette da modifiche non autorizzate.
accedere.
mittente.
ai principi della sicurezza, pare non potersi dare risposta affermativa. Ciò in ragione delle seguenti
motivazioni:
1
Si v. sul punto, A. Guzzo, Analisi degli standard BS7799 ed il ruolo che essi assumono per l’implementazione e
l’attuazione di una struttura di sicurezza presso un sistema ICT, in Sicurezza informatica e tutela della privacy,
pubblicato nel sito http://www.sepel.it/archivio/141542.pdf; A. Lisi e G. Penzo Doria, Che PEC-cato! La posta
elettronica certificata tra equivoci e limitati utilizzi concreti, http://www.studiolegalelisi. it.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 7
Università Telematica Pegaso Strutture organizzative e capacità innovativa
percorso;
- anche il carattere della disponibilità potrebbe non essere rispettato appie- no, in
- l’autenticità può essere non garantita, a causa della facilità di falsificazione del
Ma allora, è istintivo interrogarsi sul perché si continua ad usare e ad avere fiducia nello
strumento della posta elettronica e, soprattutto, sul modo in cui è possibile risolvere questi
problemi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 7
Università Telematica Pegaso Strutture organizzative e capacità innovativa
La PeC, così strutturata, assicura solamente che l’e-mail inviata dal mittente non venga alterata
durante il trasferimento da provider a provider, ma non garantisce che l’e-mail scritta dal mittente
non sia alterata nel percorso tra il mittente e il provider del mittente.
La PEC certifica, inoltre, l’indirizzo del mittente, ma non la sua identità giuridica (qualcuno
può essere garantita solo se in combinazione con un certificato digitale usando una firma elettronica
Il certificato digitale si basa sulla crittografia che viene utilizzata nella firma digitale 3.
Resta ancora un problema da risolvere: come si può essere certi che il messaggio abbia
Si è già anticipato che chi invia una e-mail attraverso la PeC ha la certezza dell’avvenuta (o
mancata) consegna del proprio messaggio e dell’eventuale documentazione allegata 4. Per l’utente
che la utilizza non esiste differenza fra una casella di posta certificata e una casella di posta
normale: le modalità di accesso sono sostanzialmente le stesse di una posta elettronica “normale”.
Si può, infatti, accedere alla propria casella di PeC, sia attraverso un client di posta elettronica 5, che
2
Così come ampiamente definita nel quadro normativo vigente, il principio dell’integrità è fondamentale anche per
garantire l’armonia complessiva delle disposizioni normative emanate in materia di formazione, protocollazione,
gestione, trasmissione e conservazione del “documento informatico”, la cui certezza giuridica è basata appunto sulla
presenza di una firma digitale, quale sigillo circa la sua provenienza, integrità e autenticità.
3
Per ulteriori approfondimenti sulla crittografia e sulla firma digitale si rinvia a G. Guerra, La garanzia della
riservatezza, integrità e autenticità: la firma digitale, p. 25 ss.
4
I messaggi di posta certificata possono includere testo, immagini, audio, video o qualsiasi tipo di file.
5
Il client è un programma installato sul computer che permette di inviare e ricevere la posta elettronica.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 7
Università Telematica Pegaso Strutture organizzative e capacità innovativa
attraverso un browser internet 6. Nel primo caso, prima di poter utilizzare la propria casella, sarà
necessario configurare il proprio client con i parametri forniti dal Gestore di PeC scelto 7.
avviene per mezzo di ricevute emesse dai gestori degli indirizzi certificati del mittente e del
destinatario.
Quando si invia una mail certificata, il proprio gestore di posta rilascia una ricevuta che
Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la
Ogni operazione effettuata riceve una marca temporale 8 che attesta gli istanti di invio e
ricezione.
Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni
svolte, conservata per legge per un periodo di trenta mesi, consente la riproduzione, con lo stesso
• entrambi gli utenti, mittente e destinatario, debbono avere una casella PeC
6
Il termine browser, letteralmente tradotto con la parola “sfogliatore”, altro non è che un traduttore: le pagine nel web,
scritte in linguaggio html, vengono tradotte dal browser in immagini, audio, link, video, parole. Si tratta, in sostanza, di
un programma che consente di navigare in internet (tipo Internet Explorer, Firefox, Chrome, Safari o Opera, ecc.).
7
È noto che possono essere utilizzati i normali programmi gestori di posta (client di posta).
8
Qualora sia necessario attribuire ad un documento certezza circa il momento in cui è stato redatto ed è divenuto valido,
si ricorre alla marcatura temporale. Questa consiste nella generazione da parte di una terza parte fidata, normalmente il
certificatore, di un’ulteriore firma digitale aggiuntiva rispetto a quella del sottoscrittore. Il servizio di marcatura
aggiunge all’impronta di un documento la data e l’ora, ottenendo l’impronta marcata. L’impronta marcata, una volta
cifrata con la chiave privata del certificatore, diventa una “marca temporale”. La marca temporale è inviata dal
certificatore ad un richiedente che può apporla ad un documento.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 7
Università Telematica Pegaso Strutture organizzative e capacità innovativa
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 7
“ASPETTI FORENSICS”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 13
Università Telematica Pegaso Aspetti forensics
1 Aspetti forensics
È emerso che la posta elettronica certificata è da considerarsi uno strumento parallelo
rispetto alla posta elettronica «tradizionale», ovvero una casella di posta aggiuntiva e con finalità ed
uso differenti mediante la quale è possibile inviare messaggi aventi valore legale equiparato a quello
l’utilizzatore, ossia il soggetto che utilizza la casella (il quale potrebbe anche
il CNIPA (oggi agenzia per l’Italia Digitale), che esercita funzioni di controllo
- ottimizzazione della comunicazione interna all’ente e con gli altri enti del
territorio;
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 13
Università Telematica Pegaso Aspetti forensics
- risparmio;
indagini finanziarie;
molte banche per risolvere il problema del phishing hanno deciso di dotare
1
V. sul punto la deliberazione 18 dicembre 2006 n. 294/06 dell’Autorità per l’Energia Elettrica e il Gas, recante
«Disposizioni in materia di standard di comunicazione tra i soggetti operanti nel settore del gas ai sensi dell’articolo 2,
comma 12, lettere g) ed h), della legge 14 novembre 1995, n. 481».
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 13
Università Telematica Pegaso Aspetti forensics
Per tale motivo non è possibile utilizzare i «normali» server di posta, ma occorre
sistema stesso 2.
2
L’elenco aggiornato dei certificatori è disponibile sul sito: http://www.digitpa.gov.it/pec_elenco_gestori. Dall’elenco
pubblico dei gestori, i più conosciuti sono: A.C.I. Informatica S.p.A.; Actalis S.p.A.; Amministrazione Provinciale di
Nuoro; Ancitel S.p.A.; ARUBA PEC S.p.A.; Cedacri S.p.A.; Consiglio Nazionale del Notariato; EDS Italia S.r.l.;
Fastweb S.p.A; Infocert S.p.A.; IN.TE.S.A. S.p.A.; ITnet S.r.l.; IT Telecom S.r.l.; IWBank S.p.A.; Lombardia Integrata
S.p.A.; Namirial S.p.A.; Numera Sistemi e Informatica S.p.A.; Poste Italiane S.p.A.; Postecom S.p.A.; Regione Marche;
Sogei – Società Generale d’Informatica S.p.A.; Innova Puglia S.p.A. (già Tecnopolis Csata S.c.a.r.l.); TWT S.p.A.;
Università degli studi di Napoli Federico II.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 13
Università Telematica Pegaso Aspetti forensics
ovvero una «tradizionale» – quella in uso quotidiano – ed una di PeC da utilizzare per inviare e
ricevere messaggi più importanti (e solo quando anche la controparte è un indirizzo di PeC).
La presenza di una doppia casella può creare dei problemi di gestione della stessa, ma non si
corrispondenza sempre e solo a mezzo raccomandata con ricevuta di ritorno 3. L’utilizzo di una
distinta casella di PeC agevola inoltre le operazioni connesse all’archiviazione e alla conservazione.
2. il gestore PeC scelto dal mittente (il soggetto con il quale il mittente ha un
3. il gestore PeC scelto dal destinatario (il soggetto con il quale il destinatario
La trasmissione di un messaggio può essere considerata posta certificata solo se tutti gli
attori del processo, come sopra delineati, operano nell’ambito della posta certificata (si tratta infatti
di un «sistema chiuso»). Se così non fosse, il sistema sarebbe in grado di espletare solo una parte
delle funzionalità di certificazione previste, facendo venir meno la valenza dello strumento.
3
Senza considerare che alcuni gestori di PEC non consentono la ricezione di e-mail «non PEC» (non per questioni
tecniche ma prevalentemente per evitare lo spam): di conseguenza, l’utilizzo solo di una casella PEC non sarebbe
funzionale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 13
Università Telematica Pegaso Aspetti forensics
I gestori di posta certificata sono inoltre obbligati a registrare tutti i principali eventi che
riguardano la trasmissione per trenta mesi dalla spedizione da parte del mittente, e di consentirne la
riproduzione, avente il medesimo valore giuridico della ricevuta inizialmente generata. Sono inoltre
tenuti ad utilizzare un riferimento orario allineato con gli istituti ufficiali che garantiscono l’ora
esatta. Di conseguenza, le registrazioni e tutti gli elementi descritti in seguito (ricevute, buste, ecc.)
Da quanto illustrato, è evidente il ruolo fondamentale del gestore, il quale deve rispondere a
4
I gestori, per essere autorizzati dal CNIPA (oggi Agenzia per l’Italia Digitale), devono essere società di capitali con
almeno un milione di capitale, soddisfare requisiti di onorabilità e professionalità del personale, avere esperienza nel
settore e rispettare requisiti tecnici minimi in termini di servizio e sicurezza.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 13
Università Telematica Pegaso Aspetti forensics
Innanzitutto, si ribadisce che la Posta Elettronica Certificata ha lo stesso valore legale della
temporale che certifica data ed ora dell’accettazione del messaggio da parte del
sicurezza, utilizzati fanno sì che non siano possibili modifiche al contenuto del
temporale che certifica data ed ora dell’accettazione del messaggio da parte del
Il gestore del servizio del mittente rilascia al mittente una ricevuta che costituisce prova
legale dell’avvenuta spedizione del messaggio ed eventuali allegati. allo stesso modo, il gestore del
indipendentemente dallo scarico e/o dalla lettura dello stesso da parte del destinatario.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 13
Università Telematica Pegaso Aspetti forensics
La conservazione per trenta mesi delle ricevute include anche l’intero messaggio e suoi
eventuali allegati, in chiaro, come una normale raccomandata inseriti nella “busta di trasporto
firmata digitalmente” almeno per tutto il periodo previsto; ciò, contrariamente alla raccomandata,
che invece viene trattenuta dall’ufficio postale per il tempo stabilito dal regolamento postale e poi
purché non nascosti. Inoltre risulta particolarmente difficile effettuare operazioni di contraffazione
PeC non garantisce l’autenticità del contenuto. Del resto, anche nel mondo
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 13
Università Telematica Pegaso Aspetti forensics
ritorno.
Non è stabilito dalla normativa che fine faccia tutta la corrispondenza PEC dopo i trenta
mesi. Il gestore PeC è l’unico ad avere le credenziali per aprire “la busta di trasporto” con tutto il
suo contenuto.
La PeC evidenzia una forte carenza nel momento in cui si decide di esaminarla dal punto di
vista delle più elementari regole di garanzia della privacy e della sicurezza. Come noto, pur
sicuri, il contenuto dei files allegati risulta essere, sempre e comunque, in chiaro, non essendo
previsto dal sistema alcuna forma di crittografia. Per ovviare ai problemi di riservatezza, è
comunque possibile crittografare/cifrare gli allegati per permettere la lettura solo agli effettivi
destinatari.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 13
Università Telematica Pegaso Aspetti forensics
ecc.).
un rilascio sicuro 5.
e, oltre ai limiti fino a qui illustrati, si deve evidenziare che non esiste una
Attualmente non c’è uniformità di comportamento tra gestori, né tra ordini locali e Consiglio
Nazionale: solo per citare un esempio, l’ordine dei Dottori Commercialisti di Milano ha stipulato
una convenzione con Visura/Legalmail che prevede una dimensione standard della casella di PeC
pari a 100 Mb; mentre il Consiglio Nazionale ne ha stipulata un’altra con Postecom per una casella
non recapitabili per mancanza di spazio nella casella del destinatario, con conseguenti immaginabili
5
Si veda, ad esempio, la convenzione del Consiglio Nazionale con Postecom.
6
Si prendano ad esempio le «nuove cartelle esattoriali» che – secondo le manovre sul riordino dei conti pubblici –
arrivano via PEC.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 13
Università Telematica Pegaso Aspetti forensics
complicazioni per il mittente (ad es., la necessità di invio con altri mezzi) ed il rischio di perdita di
termini essenziali 7.
Limiti agli invii massivi. È bene tenere presente che esistono dei limiti agli
recapitare il messaggio).
In conclusione, l’utilità della PeC è commisurata all’attribuzione di una data certa alla
comunicazione e alla non ripudiabilità, grazie al servizio fornito dai gestori di PeC.
Di contro, la PeC non utilizza uno standard internazionale, mentre in altri Paesi si utilizzano
protocolli standardizzati. Ciò vuol dire che non sussiste interoperabilità tra PEC e altri
standard.
7
Si prendano ad esempio le «nuove cartelle esattoriali» che – secondo le manovre sul riordino dei conti pubblici –
arrivano via PEC.
8
A tal proposito si consulti il manuale operativo dei singoli Gestori in quanto alcune limitazioni o caratteristiche del
servizio possono variare.
9
Tale modalità ha il vantaggio di eliminare tutta la posta indesiderata, ma riduce l’interoperabilità tra caselle di PEC e
«non-PEC».
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 13
Università Telematica Pegaso Aspetti forensics
Ancorché i gestori italiani si rivelino restii ad usare i suddetti sistemi, resta la facoltà offerta
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 13
“INTRODUZIONE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 21
Università Telematica Pegaso Introduzione
consapevolezza, però, che la stessa sia strumento indispensabile anche per gli enti pubblici, in
La rivoluzione di pensiero, scaturita nel tempo da una stratificata riflessione delle istituzioni
fenomeno è testimonianza dello sforzo compiuto, negli anni, dagli enti che compongono l’apparato
1
I primi riferimenti alla materia dell’informatica pubblica – settore pressoché misconosciuto alle pp.aa. – si rinvengono
negli anni ’90, grazie all’adozione della circolare del Ministro per la Funzione Pubblica 21 maggio 1990, n. 51223,
concernente gli «Indirizzi di normalizzazione delle tecnologie dell’informazione nella pubblica amministrazione»: un
paragrafo del documento era dedicato specificamente ai criteri generali per la sicurezza fisica delle installazioni e la
sicurezza logica delle applicazioni. Successivamente, con il d.lgs. 12 febbraio 1993, n. 39, recante «Norme in materia di
sistemi informativi automatizzati delle pubbliche amministrazioni», si è tentato di porre maggiore attenzione alla
materia anche attraverso la creazione di un ente costituito ad hoc – l’Autorità per l’Informatica nella Pubblica
Amministrazione (c.d. AIPA) – con poteri regolamentari in tema di tecniche e criteri di programmazione, realizzazione,
gestione e mantenimento di sistemi informatici automatizzati, nonché con compiti di consulenza al Governo e di
indirizzo e controllo delle pp.aa. Per ulteriori approfondimenti normativi, v. G. Ruta, L’informatizzazione dell’attività
amministrativa, e L. Cuomo, l’Autorità per l’Informatica nella Pubblica Amministrazione (AIPA), entrambi in G. Di
Giandomenico e L. Cuomo, Profili giuridici dell’informatica, Napoli, 2000, rispettivamente p. 107 ss. e p. 143 ss. Si
tenga in considerazione, inoltre, la direttiva del Presidente del Consiglio di Ministri del 16 gennaio 2002, elaborata di
concerto con il Ministro delle Comunicazioni, concernente il tema specifico della «Sicurezza informatica e delle
telecomunicazioni nelle pubbliche amministrazioni». Il testo della direttiva evidenzia come le pubbliche
amministrazioni debbano essere in grado di presentare credenziali di sicurezza nelle informazioni conformi agli
standard internazionali di riferimento. A tal fine, negli allegati di orientamento, si propone alle pp.aa. una rapida
autodiagnosi del livello di adeguatezza della sicurezza informatica e delle telecomunicazioni (ICT) e, a seguire,
l’attivazione delle iniziative necessarie a posizionarsi su una ‘base minima di sicurezza’.
2
Ampiamente sul tema, E. Belisario, La nuova Pubblica Amministrazione Digitale. Guida al Codice
dell’Amministrazione Digitale dopo la Legge n. 69/2009, Rimini, 2009, passim; cfr. E. D’Orlando, Profili costituzionali
dell’amministrazione digitale, in Dir. informatica, 2011, p. 213 ss., secondo la quale la normativa in tema di
Amministrazione digitale ha contribuito alla creazione di una sorta di statuto del cittadino digitale, fondato, in sintesi,
sul diritto di pretendere dai pubblici uffici l’interazione in modalità digitale, al quale corrisponde, conseguentemente,
l’obbligo della p.a. di adeguarsi sotto il profilo tecnico e organizzativo per soddisfare la pretesa dell’utente. È
sull’evoluzione dei concetti di e-government, e- governance ed e-democracy che, oggi, la dottrina si confronta: v, in
particolare, M. Bombardelli, Informatica pubblica, e-government e sviluppo sostenibile, in Riv. it. dir. pubbl. com.,
2002, p. 991 ss.; C. Maioli e C. Rabbito, La digitalizzazione della Pubblica Amministrazione, nuove risorse in rete, 13
maggio 2005, in www.altalex.it; P. Costanzo, La democrazia elettronica (note minime sulla cd. e-democracy), in Dir.
inform., 2003, p. 467 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 21
Università Telematica Pegaso Introduzione
costatazione – nota financo agli studenti universitari iscritti al primo anno di giurisprudenza – che
«il diritto nasce dal fatto» 3, si limita cioè a fotografare una realtà già cristallizzata, a fronte invece di
territoriali: basti pensare all’utilizzo di sistemi wireless, VoIP, del c.d. cloud computing 4, ecc.
spesso non ben coordinati tra loro: neanche l’avvento del «Codice dell’amministrazione Digitale»
(c.d. CaD), approvato con d.lgs. 7 marzo 2005, n. 82, che pure ha contribuito significativamente alla
Rileva inoltre – da un punto di vista meramente pratico – una non sempre puntuale capacità
organizzativa della macchina pubblica di gestire i processi informatizzati legati all’utilizzo di dati,
dal contenuto più o meno sensibile. Nonostante i grandi passi in avanti compiuti fino ad oggi, le
3
Il brocardo latino ex facto oritur ius esprime l’idea che i concetti giuridici svolgono la funzione di descrivere i dati
immanenti alla vita dell’uomo. Il diritto non può prescindere dalle strutture ontologiche della realtà umana, che esistono
già in rerum natura, ma deve prenderne atto, recependole e traducendole in norme. In favore di una visione
giusnaturalistica del diritto basti il richiamo a S. Cotta, Diritto naturale, in Enc. dir., XII, Milano, 1964, p. 647 ss. Non
è questa la sede per approfondire l’articolato e millenario dibattito sul rapporto tra ‘diritto naturale’ e ‘diritto positivo’:
si rinvia, sul punto, alle trattazioni di
P. Perlingieri, La ‘grande dicotomia’ diritto positivo-diritto naturale, in Id., L’ordinamento vigente e i suoi valori,
Napoli, 2006, p. 555 ss.; di A. Falzea, Introduzione alle scienze giuridiche. Il concetto del diritto, Milano, 2008, p. 38
ss., nonché di L. Lombardi Vallauri, Diritto naturale, in Jus, 1987, p. 242 ss.
4
In particolare, sull’importanza delle infrastrutture cloud e sulla necessità di individuazione delle corrispondenti figure
di responsabilità anche per i servizi erogati dalle pubbliche amministrazioni, v. A. Lisi e S. Ungaro, Cloud: vanno
indicati ruoli e responsabilità, in Pubbl. imp., 2012, 10, p. 59 ss. e degli stessi autori anche Cloud e PA: nuovi profili di
responsabilità, in Pubbl. imp., 2012, 5, p. 29 ss.; si cfr. la recente guida presentata nel mese di maggio 2012 dal Garante
per la protezione dei dati personali dal titolo «Cloud Computing. Proteggere i dati per non cadere dalle nuvole», un vero
e proprio prontuario diviso in cinque capitoli che affronta in modo dettagliato le principali tematiche legate alla
tecnologia Cloud.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 21
Università Telematica Pegaso Introduzione
ricorrente prassi di affidare gli aspetti della propria sicurezza informatica a risorse esterne (c.d.
outsourcing 5), con le inevitabili conseguenze legate alle attività di controllo da parte dell’ente
Anche sulla scorta dell’acquisita consapevolezza delle cause che hanno rallentato i
meccanismi di digitalizzazione della p.a., si è giunti a riconoscere che i dati gestiti dai sistemi
informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese e, in
quanto tale, un «bene» da tutelare 6: in questa prospettiva, la pubblica amministrazione si rivela non
soltanto uno dei principali «fornitori/gestori» delle informazioni che circolano nella rete, ma
soprattutto assurge ad organo garante della veridicità e della legalità delle stesse. Si ché, la
protezione dei sistemi informativi di un ente pubblico oltrepassa i confini della mera necessità
In questo articolato percorso si inserisce il ruolo del giurista con il compito fondamentale di
supportare i tecnici nell’individuazione dei rischi e dei pericoli connessi alla sicurezza informatica,
5
Uno dei vantaggi del ricorso a servizi esterni è la possibilità di prescindere dalla specifica soluzione tecnica fissando
contrattualmente i requisiti del servizio in termini funzionali e qualitativi. In questi casi, è indispensabile un’attività
molto rigorosa di controllo da parte dell’Ente committente e l’esplicita richiesta di particolari requisiti da parte del
fornitore del servizio, specie con riferimento alla serietà delle garanzie offerte, all’affidabilità e professionalità del
personale incaricato. In tema di outsourcing, si rinvia all’analisi svolta dal Centro Nazionale per l’Informatica nella
Pubblica Amministrazione (CNIPA) nelle «Linee guida per la sicurezza ICT delle pubbliche amministrazioni» del
2006, nonché dall’ISCOM – Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione – nel
documento intitolato «Outsourcing e sicurezza».
6
Il riconoscimento giuridico del «bene-informazione» passa attraverso una lettura sistematica dei principi
dell’ordinamento e si realizza mediante un giudizio di utilità socialmente apprezzabile e una valutazione in termini di
meritevolezza: in tal senso, P. Perlingeri, L’informazione come bene giuridico, in Rass. dir. civ., 1990, p. 327 ss., e Id.,
La pubblica amministrazione e la tutela della privacy. Gestione e riservatezza dell’informazione nell’attività
amministrativa, in Id., La persona e i suoi diritti. Problemi del diritto civile, Napoli, 2005, p. 42 ss.; cfr. F. Viterbo,
Protezione dei dati personali e autonomia negoziale, Napoli, 2008, spec. p. 43 ss.
7
In termini figurativi, se si considerasse il sistema informatico come un contenitore all’interno del quale è conservato
un grande tesoro (vale a dire, i dati e le informazioni gestite quotidianamente dal sistema), si dovrebbe parimenti
identificare le procedure adottate per garantire la sicurezza con sistemi di allarme o lucchetti, in sostanza, con tutte
quelle strumentazioni deputate a proteggerlo da attacchi e/o intrusioni dall’esterno.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 21
Università Telematica Pegaso Introduzione
per poi procedere alla definizione dei rimedi e delle contromisure utilizzabili per arginare possibili
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 21
Università Telematica Pegaso Introduzione
affermatosi alla fine degli anni ’90 e sancito dall’approvazione della legge 23 dicembre 1996, n.
675, che per la prima volta ha operato, nell’ambito della legislazione sulla protezione della
riservatezza e del trattamento dei dati personali 8, un riferimento all’obbligo per le pp.aa. di adottare
misure minime di sicurezza (art. 15, comma 2), unitamente ad un documento programmatico per la
sicurezza per il trattamento dei dati sensibili e giudiziari (art. 6). Non più tardi di qualche anno –
come noto – in continuità con tali previsioni, il d.lgs. n. 196 del 30 giugno 2003, recante il c.d.
«Codice per la protezione dei dati personali», ha ulteriormente dettagliato le disposizioni in tema di
misure minime di sicurezza nel trattamento dei dati personali (artt. 31-36), estendendo, tra l’altro, la
Va peraltro evidenziato che l’art. 176 del medesimo codice, istituendo il Centro Nazionale
8
Si rammenti che la legge n. 675 del 1996 prevedeva – all’art. 15, comma 2 – l’emanazione di apposite misure minime
di sicurezza, nonché l’obbligo di un documento programmatico per la sicurezza per il trattamento dei dati sensibili e
giudiziari (art. 6). Per un inquadramento della materia con riferimento specifico alla sicurezza informatica, v. P. Perri,
Privacy, diritto e sicurezza informatica, Milano, 2007, spec. p. 195 ss.; cfr. M. Maglio, Le misure di sicurezza nei
sistemi informativi: il punto di vista di un giurista alla luce della legge sulla tutela dei dati personali, in Inform. dir.,
1998, p. 7 ss.; nonché F. Tommasi, La sicurezza dei sistemi informativi ed il documento programmatico sulla sicurezza,
e S. Sutti, La sicurezza dei sistemi informativi aziendali. Norme protettive, oneri e misure, entrambi in G. Cassano (a
cura di), Diritto delle nuove tecnologie informatiche e dell’Internet, Milano, 2002, p. 853 ss. In generale, sul tema
v. G. Corasaniti, Esperienza giuridica e sicurezza informatica, Milano, 2003, passim.
9
Con il d.lgs. 1 dicembre 2009, n. 177, il CNIPA è stato trasformato in DigitPA, ente pubblico non economico, con
competenza nel settore delle tecnologie dell’informazione e della comunicazione. Di recente, con d.l. 22 giugno 2012,
n. 83, convertito in legge 7 agosto 2012, n. 134, in sostituzione di DigitPA, è stata istituita l’Agenzia per l’Italia
Digitale, con lo specifico compito di dettare «indirizzi, regole tecniche e linee guida in materia di sicurezza informatica
e di omogeneità dei linguaggi, delle procedure e degli standard, anche di tipo aperto, in modo da assicurare anche la
piena interoperabilità e cooperazione applicativa tra i sistemi informatici della pubblica amministrazione e tra questi e i
sistemi dell’Unione europea» (artt. 20-22).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 21
Università Telematica Pegaso Introduzione
attribuzioni principali in materia di sicurezza informatica 10. Una volta costituito, il CNIPa, tra le
principali iniziative svolte, ha predisposto le c.dd. «Linee guida per la sicurezza ICt delle pubbliche
amministrazioni»11, trasfuse in due distinti documenti: il «Piano Nazionale della Sicurezza delle
Nazionale di Sicurezza ICt per la P.a.». Come noto, il primo stabilisce le azioni necessarie per
dell’informazione 12; il secondo, avvinto in modo sinergico al Piano Nazionale, delinea le strutture
nazionale e al coordinamento delle iniziative di carattere locale 13, definendo i criteri guida
sancisce il principio in virtù del quale l’obiettivo della sicurezza si affida non tanto all’esercizio di
10
Tra i suoi compiti istituzionali il CNIPA annoverava: la definizione di norme tecniche e criteri anche in tema di
sicurezza dei sistemi; il coordinamento, attraverso la redazione di un piano triennale annualmente revisionato, dei
progetti e dei principali interventi di sviluppo e gestione dei sistemi informativi automatizzati; la verifica periodica dei
risultati conseguiti nelle singole amministrazioni, con particolare riguardo all’analisi costi/benefici dei sistemi
informativi automatizzati; la definizione degli indirizzi e direttive per la predisposizione dei piani di formazione del
personale in materia e di programmi per il reclutamento di specialisti. Inoltre, con d.lgs. 5 dicembre 2003, n. 343, al
CNIPA erano stati attribuiti compiti, funzioni e attività esercitati dal Centro Tecnico per la Rete Unitaria della Pubblica
Amministrazione (RUPA), ivi comprese le risorse finanziarie, strumentali ed organizzative ad esso originariamente
attribuite.
11
Pubblicate nel Quaderno CNIPA del marzo 2006, n. 23, reperibile sul sito www.archivio.cnipa.gov.it/ site/
_files/Quaderno %20n%2023.pdf.
12
Il Piano Nazionale si pone i seguenti obiettivi: a) tutelare i cittadini nei confronti di problemi che possono derivare da
carenza di sicurezza nei processi istituzionali; b) abilitare lo sviluppo della società dell’informazione promuovendo o
stimolando la fiducia nel mezzo informatico; c) migliorare l’efficienza del sistema Paese, riducendo i costi derivanti da
carenze nel campo della sicurezza informatica. A questi fini, la strategia nazionale di sicurezza ICT recepita nel Piano
prende atto delle esigenze di sicurezza della collettività, individuando il percorso più idoneo ad ottenere la migliore
combinazione tra le esigenze di efficienza e protezione dei processi.
13
In linea generale, l’organizzazione nazionale della sicurezza informatica si riferisce a vari attori individuati a più
livelli, tra i quali: organismi di indirizzo e normazione, a vocazione nazionale e internazionale, che hanno il compito di
guidare l’attuazione delle strategie di sicurezza, definendo eventualmente regole e standard che facilitino lo scambio di
informazioni tra soggetti diversi (ad es., OCSE, ISO, ETSI, ENI- SA, ISCOM, CLUSIT, ecc.); centri di prevenzione e
allerta, finalizzati ad individuare precocemente potenziali problemi di sicurezza e ad assistere gli utenti nelle azioni di
contrasto e di recupero (Gov-CERT, CERT-SPC, ULS, Polizia postale, ecc.); comitati di coordinamento e
autoregolamentazione che, a diverso livello, svolgono un ruolo di raccordo delle strutture organizzative dei diversi enti
e di regolamentazione delle azioni di prevenzione e contrasto (Osservatorio permanente per la sicurezza e la tutela delle
reti e delle comunicazioni, Comitato di garanzia Internet e Minori, Comitato di Gestione della Crisi, ecc.); organi
scientifici e accademici con il compito di studiare i fenomeni sociali, giuridici e tecnologici che accompagnano lo
sviluppo della società dell’informazione, individuare e proporre soluzioni ottimali agli organismi sopra descritti per
implementare la sicurezza ICT.
14
In estrema sintesi, vengono individuati, come criteri guida: il governo del patrimonio informativo, una corretta
responsabilizzazione e la realizzazione di un presidio globale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 21
Università Telematica Pegaso Introduzione
una funzione (Security management) separata dalle attività operative, quanto piuttosto ai ruoli
decisioni in ordine ai principali rilievi di interesse (dall’analisi del valore del bene da proteggere e
del mantenimento dell’erogazione del servizio all’individuazione del livello di rischio accettabile e
15
Le linee guida rappresentano una concreta azione di promozione della ‘cultura della sicurezza’ nel settore
dell’informatica pubblica. In tal senso v. C. Sarzana di S. Ippolito, La sicurezza informatica: iniziative amministrative e
normative nel settore pubblico, 27 gennaio 2006, in http://www.interlex.it/pa/sarzana3. htm, il quale osserva che, ai fini
di un’efficace politica di sicurezza informatica nel campo pubblico, occorre una precisa e decisa volontà dei decision
makers, che si concretizzi in specifiche iniziative volte ad offrire una veste normativa ai piani e ai modelli di sicurezza,
affidandone il coordinamento ad un’agenzia nazionale che operi al massimo livello politico-governativo.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 21
Università Telematica Pegaso Introduzione
tentativo di affrontare in modo sistematico la problematica della digitalizzazione della p.a. e, al suo
Benché più volte modificato 17, il Codice costituisce un rilevante salto di qualità e
rappresenta uno dei pilastri su cui poggia il disegno di modernizzazione dell’apparato pubblico.
I principali ambiti di riferimento – messi in luce soprattutto dalla recente riforma del 2010 –
puntano ad implementare e garantire la validità dei documenti informatici (artt. 22, 23, 23 bis, 23
ter) 18; la conservazione digitale dei documenti cartacei (artt. 43-44 bis) 19; l’utilizzo della firma
digitale (art. 24 ss.) e della posta elettronica certificata (artt. 6 e 65) 20; l’accesso ai servizi in rete
16
Per un’analisi puntuale delle disposizioni del Codice dell’Amministrazione Digitale v., ex plurimis, A. Lisi e L.
Giacopuzzi, Guida al Codice dell’Amministrazione digitale, Matelica, 2006, p. 5 ss.; G. Cassano, Il codice della p.a.
digitale, Milano, 2009, p. 5 ss.; Id. e C. Giurdanella, Il codice della pubblica amministrazione digitale, Commentario al
d.lgs. n. 82 del 7 marzo 2005, Milano, 2005, p. 19 ss. Un riconoscimento formale all’architettura del CAD e al processo
di modernizzazione e digitalizzazione della attività amministrativa proviene dal parere del Consiglio di Stato, Sezione
consultiva per gli atti normativi, 7 febbraio 2005, n. 11995, che tuttavia non ha mancato di evidenziare rilievi di
carattere attuativo in vista della concreta effettività delle disposizioni del Codice. V. sul punto C. Giurdanella ed E.
Guarnaccia, La PA digitale nel parere del Consiglio di Stato, 28 febbraio 2005, in http://www.interlex.it/pa/
giurguar6.htm, i quali concordano con i Giudici di Palazzo Spada nel riconoscere portata innovativa al provvedimento
legislativo. Si v. anche, più di recente, il documento di sintesi adottato dalla Presidenza del Consiglio dei Ministri in
data 22 dicembre 2010, dal titolo «Il nuovo codice dell’Amministrazione Digitale», pubblicato in
http://www.funzionepubblica.gov.it/ media/615593/sintesi%20dei%20contenuti%20del%20nuovo%20cad.pdf.
17
Il primo intervento, realizzato con d.lgs. 4 aprile 2006, n. 159, rileva, in particolare, per l’istituzione del Sistema
Pubblico di Connettività (SPC), la rete che collega le amministrazioni pubbliche italiane, consentendo di condividere e
scambiare dati e risorse informative. Più di recente, in seguito all’approvazione del d.lgs. 30 dicembre 2010, n. 235, il
Codice è stato ulteriormente innovato e integrato, offrendo nuovi spunti per ripensare all’organizzazione delle pp.aa.
mediante l’uso delle tecnologie: per un commento aggiornato v., F. Tentoni, Organizzazione e nuove tecnologie nel
“nuovo” Codice dell’Amministrazione digitale, in Azienditalia, 2011, p. 459 ss.; nonché l’e-book di M. Iaselli, Codice
dell’amministrazione digitale commentato, Altalex, 2011. Cfr. il sito internet http://www.funzionepubblica.gov.it/
lazione-del-ministro/cad/nuovo-codice-dellamministrazione-digitale.aspx.
18
Il nuovo CAD fornisce indicazioni dettagliate sulla validità delle copie informatiche di documenti (copia digitale del
documento cartaceo, duplicazione digitale, ecc.), introducendo un sistema di contrassegno generato elettronicamente e
stampato direttamente dal cittadino dal proprio computer indispensabile per sancire la conformità dei documenti
cartacei a quelli digitali.
19
È prevista la gestione della conservazione dei documenti da parte di un responsabile che può avvalersi, ai fini della
certificazione, di conservatori accreditati, pubblici o privati, in possesso di requisiti di sicurezza e affidabilità.
20
Firma digitale e PEC diventano gli elementi portanti della disciplina. È evidente che mentre la PEC è utilizzata per
inviare i documenti, sostituendo i mezzi tradizionali di trasmissione quali la raccomandata A/R, il fax o il corriere, la
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 21
Università Telematica Pegaso Introduzione
(artt. 64 e 65) 21; i pagamenti elettronici (art. 5) 22; l’utilizzo del protocollo informatico e del
fascicolo elettronico ai fini della tracciabilità (artt. 40 bis e 41) 23; l’open data (artt. 52 e 68) 24.
Il Codice, in sostanza, si pone quale obiettivo sfidante quello di creare un sistema di gestione
informatica dei documenti attraverso strumenti tecnici e istituti giuridici che siano idonei a garantire
la disponibilità 25, la riservatezza 26, l’integrità 27 e, non ultimo, l’esattezza dei dati trattati, anche in
firma digitale rappresenta il mezzo elettronico per apporre la propria firma ad un documento elettronico o ad una mail.
In altre parole questa è il sostituto elettronico della firma autografa in calce ai documenti cartacei. Gli strumenti, pur
assolvendo a funzioni diverse, non sono in contrapposizione tra loro ma possono essere adoperati unitamente.
21
La carta d’identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l’accesso ai servizi erogati in
rete dalle pubbliche amministrazioni per i quali sia necessaria l’identificazione informatica. È tuttavia possibile che le
stesse utilizzino strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, previa
individuazione del soggetto che ne richiede il servizio (art. 64). V. F. Bertoni, I servizi in rete e le carte elettroniche, in
A. Lisi e L. Giacopuzzi, Guida al Codice dell’Amministrazione digitale, cit., p. 113 ss.
22
Il CAD introduce alcuni strumenti (carte di credito, di debito o prepagate e altri strumenti di paga- mento elettronico
disponibili) per facilitare le pubbliche amministrazioni – eventualmente coadiuvate da soggetti privati esterni – nella
riscossione di somme dovute.
23
Si rinvia per ulteriori approfondimenti, in materia di protocollo informatico, a L. Olivieri, Gestione Informatica degli
archivi, Milano, 2003, passim; A. Contaldo, Il protocollo informatico: previsione normativa di un’innovazione
tecnologica della pubblica amministrazione, in Foro amm., 2001, p. 2230 ss. Con riferimento al fascicolo elettronico, è
previsto che l’amministrazione titolare del procedimento raccolga gli atti, i documenti e i dati relativi al procedimento
medesimo in un fascicolo elettronico, dotato di un apposito identificativo, che renderà gli stessi disponibili e
riutilizzabili nel tempo. In particolare, sul concetto di «riutilizzazione» si v. la direttiva comunitaria 2003/98 del 17
novembre 2003 e, in dottrina, I. Macrì, I dati delle pubbliche amministrazioni fra adempimenti ed opportunità, in
Azienditalia, 2012, p. 533 ss.; nonché F. Bertoni, La fruibilità dei dati, in A. Lisi e L. Giacopuzzi, Guida al Codice
dell’Amministrazione digitale, cit., p. 109 ss.
24
Il CAD mette in primo piano la responsabilità delle amministrazioni per l’aggiornamento e la divulgazione dei dati
pubblici secondo i principi dell’open government: è disposto infatti all’art. 52 CAD che le pp.aa. pubblichino nel
proprio sito web, all’interno della sezione «Trasparenza, valutazione e merito», il catalogo dei dati, dei metadati e delle
relative banche dati in loro possesso ed i regolamenti che ne disciplinano l’esercizio della facoltà di accesso telematico
e il riutilizzo. Si ricordi inoltre che, in base all’art. 57, è fatto obbligo per gli enti pubblici di pubblicare on line l’elenco
dei documenti necessari per i diversi procedimenti, nonché i moduli e i formulari validi ad ogni effetto di legge, anche
ai fini delle dichiarazioni sostitutive di certificazione e delle dichiarazioni sostitutive di notorietà. La mancata
pubblicazione è rilevante ai fini della misurazione e valutazione della performance individuale dei dirigenti
responsabili: da questo punto di vista, il Codice dell’Amministrazione Digitale si pone in stretta correlazione, da un
lato, con la c.d. Riforma Brunetta (d.lgs. 27 ottobre 2009, n. 150) e, dall’altro, con i numerosi interventi legislativi in
materia di semplificazione e trasparenza dell’azione amministrativa [basti citare la l. 18 giugno 2009, n. 69, recante
«Disposizioni per lo sviluppo economico, la semplificazione , la competitività nonché in materia di processo civile»
(c.d. collegato sviluppo) che ha apportato significative modifiche al CAD]. Il legame tra i citati provvedimenti è ben
evidenziato da L. Hinna e M. Lasalvia, La riforma della pubblica amministrazione tra diritto e managment, Roma,
2011, p. 448 ss.
25
La «disponibilità» – definita, ai sensi dell’art. 1, comma 1, lett. o, CAD, come la possibilità di «accedere ai dati
medesimi senza restrizioni non riconducibili a specifiche norme di legge» – assurge a presupposto necessario per
un’adeguata digitalizzazione del procedimento amministrativo e per l’erogazione di servizi on line a privati. Essa è
indicativa, infatti, del livello di accessibilità delle informazioni e delle risorse informatiche agli utenti che ne hanno
diritto. Sul principio di disponibilità, v. ampiamente F. Bertoni, I dati delle pubbliche amministrazioni e i servizi on
line, in A. Lisi e L. Giacopuzzi, Guida al Codice dell’Amministrazione digitale, cit., p. 101 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 21
Università Telematica Pegaso Introduzione
e, più in generale, del processo di dematerializzazione dei dati che consente il passaggio dal
supporto cartaceo a quello digitale, ivi inclusa la possibilità di formare direttamente in originale il
documento in formato digitale 29. Mediate tale strumento, si rendono disponibili e fruibili nel tempo
dati per i quali è assicurata la certezza e l’integrità, nel rispetto del principio di riservatezza, qualora
il trattamento si riveli necessario per svolgere i compiti istituzionali del soggetto richiedente.
26
Il principio della tutela della «riservatezza» consente di limitare l’accesso ad informazioni e risorse alle sole persone
autorizzate, sia nei processi di archiviazione che in quelli di comunicazione; impedisce, al contempo, che un utente non
autorizzato possa ottenere informazioni di natura sensibile. Difficile si mostra il bilanciamento, in concreto, tra il diritto
di informazione e accesso ai documenti recanti dati personali e il contrapposto diritto alla riservatezza degli stessi.
Occorre, in primo luogo, far riferimento all’art. 24 della l. n. 241 del 1990, il quale, al comma 7, ammette l’accesso “ai
documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici”,
precisando che, nel caso in cui lo stesso riguardi dati sensibili e giudiziari, questo sia consentito “nei limiti in cui sia
strettamente indispensabile” e all’art. 60 cod. privacy: secondo tale ultima disposizione, se l’accesso concerne dati
idonei a rivelare lo stato di salute o la vita sessuale, esso sarà consentito solo se “la situazione giuridicamente rilevante
che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti
dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e
inviolabile”. Sul punto, la giurisprudenza ha ribadito in più occasioni che il diritto alla riservatezza può essere
salvaguardato mediante modalità, alternative alla limitazione o al diniego dell’accesso, che utilizzino, ad esempio, la
schermatura dei nomi dei soggetti menzionati nei documenti che si dichiarino fermamente intenzionati a mantenere
l’anonimato o, che invece si avvalgono dell’assenso delle persone di volta in volta indicate nei documenti in questione
(Cons. Stato, sez. V, 28 settembre 2007, n. 4999; Sez. VI, 20 aprile 2006, n. 2223). In altra sede è stato osservato che,
quando l’istanza riguardi documenti contenenti dati idonei a rivelare lo stato di salute di un terzo, non è sufficiente che
l’interesse fatto valere dal richiedente sia in astratto di rango parti a quello del soggetto che vanta il diritto alla
riservatezza; è necessario invece che l’interesse del richiedente sia in concreto almeno di pari rango e si deve procedere
con una valutazione attenta alle peculiarità della specifica vicenda portata all’attenzione dell’Amministrazione in prima
battuta, del giudice adito ex art. 25, l. 241 del 1990, in sede di controllo (Cons. Stato, Sez. IV, 6 maggio 2010, n. 2639).
27
L’«integrità» rappresenta il grado di correttezza, coerenza e affidabilità delle informazioni e, indirettamente, delle
risorse informatiche. Garantire l’integrità dei dati significa quindi impedire l’alterazione diretta o indiretta delle
informazioni da parte di utenti o di processi non autorizzati che possono cancellare o danneggiarne i contenuti.
28
La garanzia della sicurezza di dati informatizzati implica la tutela della correttezza del loro contenuto. In generale, sul
valore di prova dei dati e dei documenti informatici, v. M. Scialdone, Il documento informatico e la sua efficacia
probatoria, in A. Lisi e L. Giacopuzzi, Guida al Codice dell’Amministrazione digitale, cit., p. 43 ss.
29
Il Libro Bianco recante «La dematerializzazione della documentazione amministrativa» – adottato nel mese di marzo
2006 dal Gruppo di Lavoro interministeriale per la dematerializzazione della documentazione tramite supporto digitale
e reperibile sul sito http://www.digitpa.gov.it/sites/default/files/ Pubblicazioni /Libro_BiancoDEM.pdf – considera il
governo dei processi di archiviazione e conservazione digitale dei flussi documentali uno dei fattori fondamentali per
garantire nel tempo l’integrità e la reperibilità dei documenti. Il fenomeno non si limita tuttavia alla mera realizzazione
di processi di digitalizzazione documentale; investe, piuttosto, la sfera della riorganizzazione e della semplificazione dei
processi, della trasparenza e dell’uso diffuso degli strumenti tecnologici nella comunicazione tra cittadini e
amministrazioni: si tratta, pertanto, di «un processo qualificante di efficienza e di trasparenza delle amministrazioni
pubbliche» (p. 10), che consente significativi risparmi, diretti (carta e spazi recuperati) e, al contempo, indiretti (in
termini di tempo ed efficacia dell’azione amministrativa). V., in dottrina, P. Ciocca e F. Satta, La dematerializzazione
dei servizi della p.a. un’introduzione economica e gli aspetti giuridici del problema, in Dir. amm., 2008, p. 283 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 21
Università Telematica Pegaso Introduzione
In modo non molto dissimile, lo strumento della «firma digitale» rappresenta diretta
attuazione dei principi di integrità e autenticità 30: si tratta, infatti, di un particolare tipo di firma
loro, una pubblica e una privata, che consente al titolare, tramite la chiave privata, e al destinatario,
adottato – meglio conosciuto come ‘crittografia a doppia chiave’ basata sull’algoritmo rSa 31 –
consta nella facoltà, una volta firmato il documento con la chiave privata, di verificare la firma con
30
Secondo la definizione trasfusa nel citato Libro Bianco del 2006, la firma digitale è «il risultato di una procedura
informatica che garantisce l’autenticità e l’integrità dei documenti scambiati e archiviati con mezzi informatici, al pari
di quanto svolto dalla firma autografa per i documenti tradizionali». Sui risvolti dell’utilizzo della firma digitale per gli
scambi commerciali dell’economia digitale, v. P. Perlingieri, Firma digitale e commercio elettronico, in Riv. giur.
Molise Sannio, 2000, p. 35 ss. e in Id., Il diritto dei contratti tra persona e mercato, Napoli, 2003, p. 377 ss. Per
ulteriori approfondimenti sul tema, v. infra G. Guerra, La garanzia della riservatezza, integrità e autenticità: la firma
digitale, p. 25 ss.
31
Con l’adozione della determina commissariale del 28 luglio 2010 di modifica della deliberazione CNI- PA n. 45 del
21 maggio 2009, sono stati introdotti nuovi e più robusti algoritmi crittografici e nuovi formati di firma digitale. Ai
sensi dell’art. 3, comma 1, «i certificatori accreditati devono utilizzare l’algoritmo RSA (Rivest-Shamir-Adleman) con
lunghezza delle chiavi non inferiore a 1024 bit; le chiavi di certificazione di cui all’art. 4, comma 4, lett. b, delle regole
tecniche devono avere una lunghezza non inferiore a 2048 bit». È fatto obbligo ai certificatori, entro il 31 dicembre
2010, di rendere disponibili le applicazioni che implementano nuovi formati di firma digitale (con anche il più sicuro
algoritmo SHA-256): per il periodo transitorio, l’utente che, nonostante la disponibilità delle nuove applicazioni, non
abbia proceduto all’aggiornamento, continuerà ad utilizzare firme conformi alle precedenti regole tecniche, purché
generate entro il 30 giugno 2011. È interessante evidenziare che i nuovi formati di firma digitale rientrano nel novero di
quelli che gli Stati membri dell’Unione Europea si accingono ad introdurre all’interno dei propri Paesi. Si tratta di un
importante ed ulteriore passo per giungere al riconoscimento dei documenti sottoscritti con firma digitale a livello
europeo e, conseguentemente, al libero scambio di documenti informatici giuridicamente rilevanti. Sulla firma
elettronica v., in dottrina, G. Duni, L’amministrazione digitale. Il diritto amministrativo nella evoluzione telematica,
Milano, 2008, p. 25 ss.; M. Scialdone, Firme elettroniche e certificatori, in A. Lisi e L. Giacopuzzi, Guida al Codice
dell’Amministrazione digitale, cit., p. 67 ss.; G. Scorza, Art. 24, in G. Cassano e C. Giurdanella, Il codice della pubblica
amministrazione digitale, cit., p. 225 ss.
32
Quale ulteriore garanzia per la pubblica amministrazione obbligata ad accettare documenti firmati digitalmente, si
prevede che i certificatori accreditati attestino la veridicità e la correttezza delle informazioni riportate nel certificato.
L’art. 24, commi 3 e 4, CAD, stabilisce infatti che «per la generazione della firma digitale deve adoperarsi un certificato
qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai sensi dell’art. 71, la validità
del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d’uso».
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 21
Università Telematica Pegaso Introduzione
la sottoscrizione e l’autenticità del sottoscrittore titolare del certificato, unico soggetto a possedere il
Le garanzie offerte dallo strumento hanno indotto peraltro il legislatore ad utilizzare la firma
digitale per la stipula degli accordi amministrativi, inserendo all’art. 15 della legge 7 agosto 1990,
n. 241, il comma 2-bis 34, ai sensi del quale si stabilisce che, a far data dal 1° gennaio 2013, gli
accordi tra pubbliche amministrazioni «sono sottoscritti» con firma digitale, con firma elettronica
avanzata ovvero con altra firma elettronica qualificata, «pena la nullità degli stessi»35.
A questi fini si è resa necessaria l’adozione di una normativa di dettaglio: si ricordino, tra i
documenti più recenti, il decreto 22 febbraio 2013 del Ministro per la Pubblica Amministrazione e
la Semplificazione 36 che, in attuazione di alcune norme contenute nel CAD, definisce le regole
tecniche per la generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e
digitali, e la circolare adottata dall’agenzia per l’Italia Digitale n. 62 del 30 aprile 2013, che detta le
L’unica variabile ammessa dalla normativa vigente è la provenienza dei dati per la firma e del relativo certificato da un
soggetto (certificatore) che sia anche accreditato presso il CNIPA (oggi Agenzia per l’Italia Digitale, ex DigitPA): v.
ancora G. Duni, o.c., p. 43.
33
Agli occhi del giurista rilevanti sono le conseguenze anche dal punto di vista probatorio: in caso di contestazione, è
infatti il titolare del dispositivo a dover dimostrare che lo strumento è stato utilizzato da altri. Ciò farebbe desumere che
il valore probatorio della firma digitale assurga ad un gradino quanto meno equivalente a quello della scrittura privata di
cui all’art. 2702 c.c., pur restando meno forte di una scrittura privata autenticata: il documento, una volta sottoscritto, fa
piena prova fino a querela di falso, se il sottoscrittore non ne disconosce la paternità. Si consideri inoltre che l’art. 24
CAD opera una presunzione in base alla quale l’utilizzo del dispositivo di firma è sempre riconducibile al titolare.
34
La disposizione è stata inserita dall’art. 6 del d.l. 18 ottobre 2012, n. 179, coordinato con la legge di conversione 17
dicembre 2012, n. 221.
35
Si ricordi che la nuova formulazione dell’art. 11, comma 13, del d.lgs. n. 163 del 2006, introdotta dall’art. 6, comma
3, legge n. 221 del 2012, comporta l’obbligo di stipulazione dei contratti di appalto con atto pubblico notarile
informatico, ovvero, in modalità elettronica secondo le norme vigenti per ciascuna stazione appaltante, a pena di nullità.
Sul punto v. la determinazione dell’Autorità per la Vigilanza sui Contratti pubblici, lavori, servizi e forniture n. 1 del
13 febbraio 2013, in tema di “Indicazioni interpretative concernenti la forma dei contratti pubblici ai sensi dell’art. 11,
comma 13 del Codice”, in http://www.avcp.it/portal/rest/jcr/repository/ collaboration/Digital%20Assets/pdf/Det.
n1.2013.pdf/.
36
Pubblicato in G.U.R.I. del 21 maggio 2013, n. 117. Il decreto è rinvenibile anche su http://www.
funzionepubblica.gov.it/comunicazione/notizie/2013/maggio/22052013---pubblicato-in-gu-decreto- regole-tecniche-
firme-elettroniche.aspx.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 21
Università Telematica Pegaso Introduzione
“Linee Guida per il contrassegno generato elettronicamente ai sensi dell’art. 23-ter, comma 5 del
CAD” 37.
là da limitate innovazioni per la firma qualificata e quella digitale – fissa regole tecniche nuove per
le firme elettroniche avanzate, introdotte nel CAD dal d.lgs. n. 235 del 2010, al fine di renderle
valide ed operative agli effetti di legge. Il decreto prevede che la realizzazione e la messa a
disposizione delle firme elettroniche avanzate – valide soltanto nei rapporti tra i soggetti che le
rilasciano e i titolari – non siano soggette ad alcuna autorizzazione preventiva (art. 55 ss.): ciò
dimostra la volontà del legislatore di liberalizzare le diverse tipologie di firma avanzata, non
firme elettroniche qualificate e per quelle digitali, entrambe species del più ampio genere di firma
elettronica avanzata. Al contempo, il testo normativo individua i requisiti minimi di affidabilità e gli
obblighi a carico dei soggetti che le erogano, nell’intento di coniugare il difficile rapporto tra libertà
elettronica avanzata.
corrispondenza perfetta con l’originale. Di conseguenza, la copia analogica del documento cui è
stato apposto il contrassegno elettronico sostituisce a tutti gli effetti di legge la copia analogica
sottoscritta con firma autografa; né può essere richiesta all’amministrazione la produzione di altro
A fini parzialmente diversi, ancorché correlati a quelli assolti dalla firma digitale e della
firma elettronica avanzata, lo strumento della Posta Elettronica Certificata (PEC) 38 contribuisce
37
In http://www.digitpa.gov.it/notizie/contrassegno-elettronico-online-circolare-sulle-linee-guida.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 21
Università Telematica Pegaso Introduzione
funzionamento del sistema che consente di fornire al mittente la documentazione elettronica, con
valenza legale, attestante l’invio e la consegna di documenti informatici 39. L’obiettivo che
l’utilizzatore si prefigge è, infatti, quello di dare e ricevere certezza all’inoltro, dalla propria casella
di posta, e all’avvenuta consegna nella mailbox del destinatario, del messaggio inviato. La certezza
della trasmissione è garantita dalla certificazione dei tempi e delle modalità del processo, attraverso
la memorizzazione delle fasi del trattamento del messaggio in specifici registri (file di log e servizi
Non pare peregrino, sotto questo profilo, considerare lo strumento come il fulcro intorno al
quale ruota, oggi, la trasmissione informatica dei documenti 40: anche il tentativo del Legislatore
Basti richiamare, alcuni recenti interventi legislativi che, sul punto, hanno inciso
38
Si rinvia per ulteriori approfondimenti infra a M. Di Nardo, La garanzia della trasmissione e del non ripudio: la
Posta Elettronica Certificata (PEC), p. 59 ss.
39
Cfr. il Libro Bianco sulla dematerializzazione della documentazione amministrativa, cit.; in dottrina: A. Lisi e L.
Giacopuzzi, Guida al Codice dell’Amministrazione digitale, cit., pp. 25 s. e 96 ss.; E. Guarnaccia, Art. 6, e C. Bernardi,
Art. 48, entrambi in G. Cassano e C. Giurdanella, Il codice della pubblica amministrazione digitale, cit., rispettivamente
p. 47 ss. e 459 ss. ed ivi ulteriore bibliografia.
40
Così E. Guarnaccia, o.u.c., p. 46 s.
41
Il d.P.R. 11 febbraio 2005, n. 68, che disciplina le modalità di utilizzo della PEC nei rapporti con la p.a. e tra privati
cittadini, rappresenta, insieme al Codice dell’amministrazione digitale, la cornice normativa di riferimento in materia di
posta elettronica certificata e, più in generale, del diritto amministrativo elettronico. Solo per spirito di completezza, si
consideri il rinvio al d.m. 2 novembre 2005, recante le «Regole tecniche per la formazione, la trasmissione e la
validazione, anche temporale, della Posta Elettronica Certificata», nel quale sono specificati i requisiti tecnico-
funzionali che devono essere rispettati dalle piattaforme utilizzate per erogare il servizio, offrendo la possibilità per gli
operatori del mercato di qualificarsi come gestori di PEC. Si v. inoltre: la l. 28 gennaio 2009, n. 2 (di conversione del
d.l. 29 novembre 2008, n. 185, c.d. «decreto anticrisi»), la quale – all’art. 16, comma 8 – prevede che le
amministrazioni pubbliche istituiscano una casella di posta certificata per ciascun registro di protocollo e ne diano
comunicazione al CNIPA (oggi Agenzia per l’Italia Digitale, ex DigitPA), che provvede alla relativa pubblicazione in
un elenco consultabile per via telematica; nonché il d.P.C.M. 6 maggio 2009, recante «Disposizioni in materia di
rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini». Si ricordi, inoltre che, il CAD –
all’art. 5-bis, comma 1 – impone la presentazione esclusivamente tramite PEC di istanze, dichiarazioni, dati e lo
scambio di informazioni e documenti, anche a fini statistici, tra imprese e PA.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 21
Università Telematica Pegaso Introduzione
crescita 2.0» o «Decreto sviluppo bis», convertito in l. 17 dicembre 2012, n. 221), che ha obbligato i
amministrazioni, tra di loro e nei confronti dei privati, a comunicare e trasmettere documenti per via
telematica 42; dall’altro, la legge di stabilità del 2013 – l. 24 dicembre 2012, n. 228 – che, all’art. 1,
notificazione con modalità telematica a mezzo di posta elettronica certificata del notificante
Digitale” (CAD)
42
Il decreto, introduce, tra l’altro, l’Indice nazionale degli indirizzi di posta certificata (INI-PEC) per le imprese e i
professionisti.
43
Non è possibile in questa sede approfondire gli interessanti spunti di riflessione che suscitano le recenti novità sul
processo telematico. Per un inquadramento generale in materia, si rinvia ad A. Contaldo e M. Gorga, Il processo
telematico, Torino, 2012, passim. Si v. anche G. Caputo, Osservazioni a Cass. pen., sez. II, n. 37037, 29 settembre
2011, in Cass. pen., 2012, p. 1803 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 21
Università Telematica Pegaso Introduzione
informatica e ne evidenziano la centralità, fino a convergere verso una disposizione che ne esprime
appieno la centralità: segnatamente il comma 2 dell’art. 51 del nuovo CaD afferma che «i
documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con
modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non
consentito o non conforme alle finalità della raccolta». Al comma 1, si aggiunge che le modalità –
volte a garantire «l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei
È evidente che la ratio legis della norma, in una lettura sistematica tra il primo ed il secondo
comma, mira a ridurre al minimo i rischi derivanti tanto dagli attacchi dolosi (ad es., gli accessi
abusivi e i sabotaggi), quanto da eventi imprevisti o accidentali (quali calamità naturali ed errori
compiuti dal personale). Sembra invece intenzionale la mancata individuazione delle misure da
opportuna sotto il profilo dello strumento normativo individuato, più facilmente modificabile in
ragione dei rapidi mutamenti del progresso tecnologico. Piuttosto la norma potrebbe destare
perplessità in relazione ad una lettura sistematica con le altre disposizioni in materia 44. L’art. 51
rappresenta infatti il grimaldello per la regolamentazione della materia che, in virtù di un’opera
legislativa stratificatasi nel tempo, vede diramare un’articolata disciplina non soltanto all’interno del
44
Sulla delicatezza dell’operazione di coordinamento normativo v.: E. Belisario, Art. 51, in G. Cassano e C.
Giurdanella, Il codice della pubblica amministrazione digitale, cit., p. 496 ss. Concorda sul punto anche il Consiglio di
Stato, nel parere reso nel 2005 sullo schema di Codice.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
18 di 21
Università Telematica Pegaso Introduzione
codice stesso, ma anche in numerose disposizioni altrove ubicate 45: è auspicabile, ad esempio,
assicurare coerenza con le norme riferite alla gestione dei flussi documentali ai sensi del d.P.R. 28
dicembre 2000, n. 445, con quelle in tema di sicurezza nel lavoro di cui al d.lgs. 9 aprile 2008, n. 81
o, ancora, con le misure di sicurezza previste, in tema di tutela della riservatezza, dal d.lgs. n. 196
del 2003.
A tale ultimo proposito, basti richiamare l’art. 33 del codice della privacy che impone ai
titolari del trattamento di dati personali l’adozione di «misure» volte ad assicurare un livello
minimo di protezione degli stessi 46. Qualora il trattamento sia poi effettuato con strumenti
elettronici, il successivo art. 34 individua, specificamente, un elenco misure minime di sicurezza, tra
le quali:
strumenti elettronici;
45
Non a caso la dottrina si è mostrata unanime nel ricostruire la nozione di «sicurezza» in una prospettiva a tal punto
ampia da ricomprendere in sé tutte le operazioni e degli accorgimenti di tipo tecnico ed organizzativo adottati al fine di
rendere vani gli attacchi perpetrati ai danni di un sistema informatico e ai dati in questo contenuti. V. per tutti P. Perri,
Introduzione alla sicurezza informatica e giuridica, in E. Pattaro (a cura di), Manuale di diritto dell’informatica e delle
nuove tecnologie, Bologna, 2002, p. 299 ss.
46
Sul punto si rinvia a G. Foà, Il trattamento dei dati personali per finalità di rilevante interesse pubblico, in G.
Santaniello (diretto da), Trattato di dir. amm., XXXVI, La protezione dei dati personali, Padova, 2005, p. 343 ss.; cfr.
P. Guarda, Profili giuridici della sicurezza informatica, in http://www.ledonline.it/ informatica-umanistica/Allegati/IU-
04-10-Guarda.pdf.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
19 di 21
Università Telematica Pegaso Introduzione
da organismi sanitari.
Programmatico sulla Sicurezza (DPS) 47, contemplato nell’elenco della medesima disposizione e
soppresso di recente dall’art. 45 del d.l. 9 febbraio 2012, n. 5, convertito con modificazioni in l. 4
aprile 2012, n. 35: il provvedimento normativo, noto come «Decreto semplificazioni e sviluppo», ha
abrogato tutte le previsioni contenute nel codice e nell’allegato B del disciplinare tecnico
Sono dunque venuti meno anche gli obblighi derivanti dal DPS, tra i quali la necessità di
documentare l’elenco dei trattamenti di dati personali e la distribuzione dei compiti e delle
dei possibili rischi che minacciano i dati e le singole misure da adottare per garantirne l’integrità e
Restano invece tutt’ora vigenti le altre disposizioni in materia di sicurezza del trattamento
dei dati personali. Solo per citarne alcune: la redazione idonee informative (art. 13, d.lgs. n. 196 del
2003); la nomina dei responsabili al trattamento e l’analisi dei trattamenti affidati in outsourcing
(art. 29); la nomina incaricati al trattamento dati personali (art. 30); il disciplinare interno per l’uso
47
Si trattava di un documento che, sulla base di un’attenta analisi dei rischi, procedeva a definire e programmare le
misure necessarie per migliorare la sicurezza del trattamento dei dati personali. Il DPS, secondo le previgenti
disposizioni, andava redatto o aggiornato entro il 31 marzo di ciascun anno. Il Disciplinare tecnico disponeva i suoi
contenuti: elenco dei trattamenti di dati personali; distribuzione dei compiti e delle responsabilità; analisi dei rischi che
incombono sui dati; misure da adottare per garantire l’integrità, la disponibilità dei dati, nonché la protezione delle aree
e dei locali, rilevanti ai fini della loro custodia e accessibilità; descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o danneggiamento; previsione di interventi formativi; criteri da
adottare in caso di trattamenti affidati all’esterno per i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali
dell’interessato.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
20 di 21
Università Telematica Pegaso Introduzione
di internet e della posta elettronica (art. 154, comma 1, lett. c48); le prescrizioni in tema di
amministratori di sistema (art. 154 comma 1, lett. c e h 49); le nuove prescrizioni in materia di
frammentato, una lettura sistematica delle disposizioni attraverso uno sforzo ermeneutico da
affidare all’interprete, capace di recuperare l’unitarietà del sistema nella pluralità delle fonti 51.
48
Si veda il provvedimento del Garante per la protezione dei dati personali del 1 marzo 2007.
49
Sul punto, cfr. anche il provvedimento del Garante per la protezione dei dati personali 27 novembre 2008.
50
Più recente, in materia, è il provvedimento del Garante per la protezione dei dati personali 8 aprile 2010.
51
V., per tutti, P. Perlingieri, Il diritto civile nella legalità costituzionale secondo il sistema italo-comunitario delle
fonti, Napoli, 2006, p. 159 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
21 di 21
“RISCHI E PERICOLI CONNESSI ALLA
SICUREZZA INFORMATICA”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 10
Università Telematica Pegaso Rischi e pericoli connessi
alla sicurezza informatica
formazione, raccolta, conservazione e comunicazione dei dati. L’obiettivo resta quello di assicurare
conoscibilità, disponibilità, fruibilità e certezza degli stessi da parte di tutti i soggetti all’uopo
autorizzati, pubblici o privati, che se ne avvalgono, perseguendo, da un lato, la salvaguardia dei dati
dall’altro, la protezione dei cittadini dai rischi di un uso indebito o da accessi non autorizzati. In
questa prospettiva, la tutela della sicurezza dei sistemi informatici pubblici e dei documenti ivi
dell’amministrazione digitale. Vale la pena, sin da principio, mettere in chiaro che la sicurezza è un
processo (e non un prodotto), il cui valore non può essere assoluto, bensì soltanto relativo. In altre
parole, non esistono nella realtà sistemi completamente sicuri: il sistema inviolabile, assimilato al
caveau non svaligiabile o alla nave inaffondabile, è e resta un mito ancora irrealizzato.
del processo, delle minacce che possono incombere sul servizio pubblico: quanto più è conosciuto il
pericolo, tanto più il livello di sicurezza che si intende perseguire tenderà ad incrementare 1.
Viceversa, la mancata percezione del rischio può comportare una protezione delle informazioni
1
Sulla differente declinazione del concetto di sicurezza, in sicurezza «reale» e «percepita», numerosi sono gli spunti di
riflessione che emergono dalla lettura di M. Petrone, La fiducia nei pagamenti elettronici tra sicurezza reale e
percepita, in Newsletter del Ministero del Tesoro, n. 2 – novembre 2012, p. 3 ss., reperibile sul sito
http://www.dt.tesoro.it/export/sites/sitodt/modules/documenti_it/antifrode_mezzi_ pagamento/antifrode_
mezzi_pagamento/Newsletter_nr_2.pdf. L’A. sottolinea come le due condizioni, «non perfettamente coincidenti né
totalmente indipendenti» comportano: l’una, quella reale, una maggiore complessità degli strumenti e dei sistemi
utilizzati; l’altra, quella percepita, una maggiore fiducia nell’utilizzo degli stessi. Per favorire la diffusione, ad es., dei
sistemi di pagamento elettronico è quindi «indispensabile ridurre la distanza tra la sicurezza reale e quella percepita,
intervenendo, da un lato, sui requisiti che incidono sulla fiducia dell’utente e, dall’altro, sulle modalità di accesso al
servizio».
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 10
Università Telematica Pegaso Rischi e pericoli connessi
alla sicurezza informatica
deterioramento delle informazioni e/o degli asset del sistema informativo e, in definitiva,
determinare l’inefficienza della macchina amministrativa 2. Per creare sicurezza appare quindi
indispensabile che la p.a. svolga indagini non soltanto sulle modalità di attacco al funzionamento
dei sistemi informatici, ma anche sul bene da proteggere, sugli agenti e sulle motivazioni
ideologico- politiche sottese agli attacchi, studiando a fondo le tecniche di social engineering
perpetrate in danno delle vittime 3. Vanno altresì tenuti in considerazione ulteriori elementi, tra i
quali la vulnerabilità del sistema, i vincoli legislativi, tecnici ed economici contingenti, le misure di
protezione esistenti e, infine, gli esiti del bilanciamento del costo della sicurezza e del bene da
rivisitazione e adeguamento delle misure correttive e delle procedure, anche dal punto di vista della
Per le amministrazioni gli indirizzi generali sono delineati in un documento adottato nel
marzo 2004 dal Comitato tecnico Nazionale sulla Sicurezza Informatica e delle Comunicazioni
2
Così C. Sarzana di S. Ippolito, La sicurezza informatica, cit.
3
Come noto, gli attacchi informatici si basano sovente su tecniche di «ingegneria sociale» che sviluppano analisi di
footprinting della ‘vittima’ da colpire. L’aggressione digitale si distingue in una fase fisica che riguarda il momento
della raccolta delle informazioni, e una fase psicologica, che invece consente di carpire le informazioni utili attraverso
la tecnica della persuasione. Quest’ultima utilizza in particolare gli strumenti dell’impersonificazione (identificazione
del soggetto con il persuasore), della conformità (capacità di conformarsi al giudizio altrui), della diffusione di
responsabilità (si lascia intendere che l’azione riduca le singole responsabilità), di cooptazione della fiducia altrui (basti
pensare al noto fenomeno del phishing). Non può non richiamarsi, sul punto, K.D. Mitnick (e W.L. Simon), L’arte
dell’inganno. I consigli dell’hacker più famoso del mondo, Milano, 2002 (1a ed. 2003), reperibile anche in formato e-
book sul sito http://www.informa-azione.info/files/eBooks/arte_dell_inganno.pdf.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 10
Università Telematica Pegaso Rischi e pericoli connessi
alla sicurezza informatica
nei contenuti salienti dal «Piano Nazionale della Sicurezza Informatica» del 2006.
essere sviluppata a diversi livelli. Se si considera il profilo che involge l’intera organizzazione, il
organizzazione. a livello di singole componenti, invece, può essere conveniente sviluppare ulteriori
piani di dettaglio, validi per le singole parti o singole materie, individuando un dominio
sufficientemente ampio entro il quale si adottino modalità di gestione e protezione omogenee che
In secondo luogo, si sottolinea l’esigenza che nei piani di sicurezza di tipo organizzativo non
siano fornite soltanto indicazioni circa le modalità secondo le quali i singoli sistemi ICt debbano
È tuttavia sul tema della gestione della sicurezza che i documenti rappresentano per le
pubbliche amministrazioni vere e proprie linee guida organizzative: in essi, infatti, sono delineate in
4
Il documento è pubblicato in http://archivio.cnipa.gov.it/site/it-IT/Attivit%C3%A0_-_Archivio_sto- rico/
Servizi_per_la_Pubblica_Amministrazione/Govcert.it/. Circa la sicurezza in tema di formazione e conservazione dei
documenti informatici, si segnala che sin dalla deliberazione AIPA del 23 novembre 2000, n. 51/2000, alle pubbliche
amministrazioni è fatto obbligo di adottare un piano di sicurezza informatica, da aggiornarsi ogni due anni.
5
Si veda ancora il documento del 2004, spec. p. 35
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 10
Università Telematica Pegaso Rischi e pericoli connessi
alla sicurezza informatica
sicurezza deve necessariamente adottare una metodologia di analisi del rischio (c.d. risk
definizione delle esigenze di sicurezza ICT e delle misure di controllo più appropriate 6. Ad
esempio, per i sistemi identificati da un’analisi preliminare ‘a basso rischio’ dovrebbe essere
adottata una protezione di base tra quelle comunemente riconosciute valide per la specifica
tipologia; viceversa, per i sistemi ‘ad elevata criticità’ dovrebbe essere eseguita un’analisi dei rischi
È chiaro che l’attività di pianificazione degli interventi nelle singole amministrazioni non
può tralasciare alcun aspetto: né quello relativo al processo e alle sue caratteristiche, tenuto conto
delle strategie governative in termini di sicurezza e dell’esigenza di fiducia nei confronti delle
istituzioni, né quello relativo al bilanciamento tra i rischi e i costi a carico della collettività 7. Quanto
più l’individuazione dei rischi è dettagliata, tanto più la gestione della macchina amministrativa
risulterà efficace.
Senza entrare nel merito di scelte specifiche che esulano dall’indagine, può senza dubbio
affermarsi che l’impegno per tale fase dovrebbe essere commisurato all’entità dei beni da
proteggere, ossia alla complessità del sistema informativo ed ai volumi di dati trattati. Possono
6
Tramite le metodologie di risk assessment si individuano i rischi cui è soggetta l’organizzazione, si analizzano le
vulnerabilità e si identificano le possibili salvaguardie: la business impact analysis ha invece lo scopo di determinare le
conseguenze derivanti dal verificarsi di ciascun evento critico e di valutarne l’impatto sull’operatività
dell’organizzazione: per ulteriori approfondimenti si rinvia al sito http://www. digitpa.gov.it/continuita-operativa/faq.
7
L’attività di pianificazione, richiedendo una puntuale fase di analisi delle esigenze che si esplica attraverso la
valutazione dei rischi da fronteggiare, può essere svolta con un diverso livello di dettaglio e richiedere eventualmente
consulenze di esperti o l’ausilio di peculiari strumentazioni.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 10
Università Telematica Pegaso Rischi e pericoli connessi
alla sicurezza informatica
dunque considerarsi elementi indispensabili per una corretta valutazione del rischio: il bene, vale a
dire ciò che bisogna salvaguardare (persone, oggetti, software, informazioni, ecc.); la vulnerabilità
dei sistemi e dei processi che, in particolari condizioni, possono comportare la perdita di
riservatezza, integrità o disponibilità delle informazioni; la percezione delle minacce o degli eventi
Per quanto concerne le modalità di individuazione dei rischi, in base al contesto di analisi,
potranno essere utilizzate diverse metodologie 8, purché per ciascun rischio selezionato si proceda a:
un attacco;
Una volta analizzati i rischi alla luce della metodologia prescelta, l’amministrazione può
procedere a fissare il livello di criticità e le relative protezioni, assicurando in ogni caso l’attuazione
delle misure minime richieste dalla normativa vigente (ad es., le misure minime di sicurezza
8
La dottrina distingue, ad es., i metodi c.dd. «quantitativi» – che attribuiscono valore ai beni in termini economici,
effettuano l’analisi in base ad algoritmi matematici [ad es., il rischio (R) è determinato dalla relazione tra tre elementi –
minaccia (M), vulnerabilità (V) e contromisura (C) – secondo la seguente equazione: R = (M*V)/C] e assumono scelte
secondo criteri oggettivi – dai metodi «qualitativi», in base ai quali il valore attribuito al bene oggetto di valutazione è
ponderato in termini relativi (alto, medio, basso) e le scelte sono realizzate secondo criteri di merito (v. I. Tsiouras, La
sicurezza dell’informazione, Milano, 2004, p. 47 ss.). Si osserva criticamente che i metodi quantitativi non sono i più
adatti a determinare il trattamento dei rischi in presenza di norme cogenti che impongono l’adozione di misure minime
di sicurezza: tali metodi portano, infatti, ad individuare le protezioni secondo criteri di convenienza economica per
l’ente che effettua il trattamento, mentre le misure minime prescrivono che i dati debbano essere protetti in ogni caso
con misure adeguate. Nel caso invece di utilizzo di metodi di valutazione qualitativa, la stima del potenziale danno è
condotta sulla base della stima di tutti i possibili problemi a carico della collettività. Per una descrizione più
approfondita delle metodologie citate v. il quarto capitolo delle linee guida su «La sicurezza delle reti: dall’analisi del
rischio alle strategie di protezione» adottate dall’ISCOM, Istituto Superiore delle Comunicazioni e delle tecnologie
dell’Informazione, reperibili sul sito http://www.isticom.it/index.php/archivio-pubblicazioni/3-articoli/16- news-pub3.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 10
Università Telematica Pegaso Rischi e pericoli connessi
alla sicurezza informatica
imposte dal codice della privacy da adottare quando il trattamento dei dati sia effettuato con
strumenti elettronici).
Il processo volge alla chiusura (per poi ripartire dall’inizio, secondo un percorso ciclico) con
l’ulteriore momento – successivo alla valutazione del rischio e all’individuazione delle misure di
sicurezza – di audit, ovvero della fase del controllo e verifica della sicurezza. Si tratta di una fase
il grado di conformità dell’organizzazione, del servizio o del sistema preso in esame dalle policy di
sicurezza adottate 9.
I primi si svolgono, per l’appunto, all’interno del singolo ente e sono previsti dal programma
sicurezza raggiunto dalle diverse aree operative rispetto agli obiettivi strategici definiti in
conformità al Piano Nazionale (c.d. «audit ordinari»); si considerano invece «straordinari», quegli
audit che scaturiscono da richieste esogene all’ente (ad es., in caso di incidenti di sicurezza
pp.aa. o soggetti esterni alla p.a.; variazioni dell’organizzazione o della normativa di riferimento) 10.
distinguono in «ordinari», se volti a verificare il livello di garanzia di sicurezza del fornitore rispetto
9
Anche il processo di audit può essere scomposto in distinte fasi, cronologicamente susseguenti: a) formulazione del
Piano di audit annuale (ovvero la fase di analisi e valutazione dei rischi connessi agli interventi realizzati); b)
preparazione e organizzazione del tipo di audit da effettuare e del relativo team; c) svolgimento e conduzione delle
visite ispettive, durante le quali si effettua la raccolta e l’elaborazione dei dati utili ai fini dell’attività di verifica e
l’analisi interna al gruppo finalizzata alla verifica dei rilievi di non conformità; d) valutazione, rapporto e follow-up: è la
fase di presentazione delle non conformità e delle eventuali azioni correttive richieste, della stesura ed emissione del
rapporto di audit; della verifica sullo stato delle azioni intraprese per normalizzare una situazione a rischio evidenziata e
valutazione della loro efficacia.
10
In entrambi i casi, le verifiche possono essere svolte da personale interno all’amministrazione o da consulenti (audit
di prima parte) o da personale esterno all’amministrazione che opera su mandato di un organismo governativo
autorizzato (audit di terza parte).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 10
Università Telematica Pegaso Rischi e pericoli connessi
alla sicurezza informatica
esigenze (quali ad esempio gli incidenti di sicurezza che coinvolgono soggetti/sistemi interni o
fine di valutare il livello di adeguatezza delle misure di sicurezza adottate dal fornitore. In ogni
caso, è preferibile che le norme contrattuali prevedevano l’obbligo da parte del fornitore e degli
In base all’importanza dei processi che ricadono nell’ambito di azione diretta o indiretta
corretta gestione e un’efficace diffusione della “cultura” della sicurezza 12. Quanto più le
responsabilità saranno dettagliate e le competenze ben individuate e distribuite, tanto più si riuscirà
a garantire un adeguato livello di sicurezza: il presupposto necessario affinché ciò accada impone
l’interoperabilità dei soggetti coinvolti che dovranno agire ognuno in base al proprio ruolo ma
11
È indispensabile che il responsabile e gli addetti alle verifiche di sicurezza ICT siano indipendenti dalle funzioni o
attività soggette a revisione in modo da poter svolgere i propri compiti con obiettività e senza condizionamenti.
L’indipendenza deve essere garantita anche attraverso un’adeguata collocazione organizzativa, ad esempio, all’interno
dello staff del direttore generale o del capo dipartimento, in ragione del modello organizzativo adottato.
12
Si consideri inoltre che per facilitare e accelerare lo sviluppo di una adeguata consapevolezza sui rischi e
sull’esigenza di proteggere il patrimonio informativo è inoltre necessario: attuare un processo di sensibilizzazione sul
valore delle informazioni, sul rischio al quale risultano esposte, sulle misure di sicurezza e sull’importanza di
progettarle adeguatamente; programmare una serie di comunicazioni (presentazioni, bollettini, avvisi, bacheche
‘virtuali’, forum), finalizzate a promuovere la condivisione delle responsabilità e la consapevolezza riguardo alle nuove
logiche, modelli e comportamenti organizzativi della sicurezza; pianificare la diffusione di informazioni ‘spot’
relativamente agli argomenti chiave della gestione della sicurezza (analisi e gestione del rischio, pianificazione e
monitoraggio delle contromisure, normativa e regolamentazione, audit e controllo).
13
In tal senso, F. Giannuzzi e G. Garrisi, Le figure di responsabilità introdotte dal nuovo CAD, in Pubbl. imp., 2012, 5,
p. 19 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 10
Università Telematica Pegaso Rischi e pericoli connessi
alla sicurezza informatica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 10
“RIMEDI E CONTROMISURE PER LA
GESTIONE DELLA SICUREZZA
INFORMATICA”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
di accadimento (vulnerabilità) di una determinata minaccia la cui presenza espone il bene a un certo
rischio. Qualsiasi investimento per la realizzazione di contromisure – sia a livello tecnico, sia a
livello organizzativo – deve essere, quindi, rigorosamente ricollegabile al margine di riduzione del
Nei casi, tuttavia, in cui l’incidente finisce ugualmente per verificarsi, dal punto di vista
giuridico, è estremamente importante che sia sviluppato e pienamente operativo un programma che
possa garantire, al massimo grado, la continuità dei servizi offerti dai sistemi ICt colpiti
dall’attacco.
informatico. Solo a titolo esemplificativo, possono citarsi: errori o malfunzionamenti dei processi
(nel caso in cui il processo organizzativo non abbia funzionato per errori materiali o
nell’applicazione di norme ovvero per il verificarsi di circostanze non adeguatamente previste dalle
stesse); malfunzionamento dei sistemi, delle applicazioni o delle infrastrutture; attacchi, eventi
un processo di planning, alimentato anche dai risultati dell’analisi e gestione del rischio, nonché
dalla rilevazione di eventuali incidenti, anomalie ed emergenze che hanno causato, anche se in
modo localizzato, l’interruzione del servizio. a fronte dei controlli e contromisure già implementate
predisponendo una specifica attività di gestione della continuità operativa volta a ridurre gli impatti
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
A tale scopo il Legislatore ha previsto – all’art. 50 bis CaD – l’obbligo per le pubbliche
operazioni indispensabili per il servizio e il ritorno alla regolare operatività: l’obiettivo è quello di
individuare tutte le misure (tecnologiche e organizzative) atte a garantire la continuità dei processi
dell’organizzazione in funzione del loro valore e della qualità dei prodotti/servizi erogati tramite il
supporto dell’infrastruttura di ICt, nel tentativo di prevenire e ridurre al minimo l’impatto di eventi
Il c.d. «Piano di Continuità operativa» o Business Continuity Plan fissa gli obiettivi da
continuità operativa, eventualmente affidate anche a soggetti esterni, tenuto conto delle potenziali
criticità relative alle risorse umane, strutturali, tecnologiche 2. Lo strumento contempla sia gli aspetti
funzionalità di un’organizzazione, sia la continuità tecnologica, che nel contesto delle pubbliche
Disaster Recovery» – nel quale vengono predisposte le misure tecniche per garantire il
funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti
1
I principi guida nella definizione del modello organizzativo per la gestione della continuità operativa sono,
analogamente alla gestione del rischio e alla sicurezza delle informazioni, la regia unitaria e complessiva; l’attribuzione
puntuale delle responsabilità e, in alcuni casi specifici dettati da esigenze concernenti la tipologia di attività, il ricorso a
team specifici d’intervento in caso di situazioni di emergenza.
2
Per «continuità operativa» si intende l’insieme di attività volte a ripristinare lo stato del sistema informatico o parte di
esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l’obiettivo di
riportarlo alle condizioni antecedenti a un evento disastroso: per ulteriori approfondimenti, v.
http://www.digitpa.gov.it/continuita-operativa/faq.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
indisponibilità prolungate 3.
In sintesi, secondo l’orientamento accolto già nelle «Linee guida per la sicurezza ICt delle
- Crisis and Incident Management, che assicura la gestione dello stato di crisi e la
una “misura preventiva” nell’ambito della gestione dei rischi, con particolare riferimento alla
disastri naturali, offre soluzioni tecniche per un rapido ripristino della continuità operativa. In linea
con le citate previsioni si pone un recente documento recante le «Linee guida per il disaster
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
lett. b, dell’art. 50 bis CaD – da DigitPa il 16 novembre 2011, a seguito dell’approvazione da parte
Il testo, nel ribadire l’importanza della continuità operativa quale parte integrate dei processi
e delle politiche di sicurezza, fornisce agli enti pubblici elementi indispensabili ai fini del completo
per sviluppare profili di complessità non ancora chiariti: segnatamente, il documento mette in luce i
ruoli e le responsabilità assegnati dal nuovo CAD alle pubbliche amministrazioni e alla stessa
della continuità operativa e del disaster recovery e alle aree correlate della sicurezza ICt e della
gestione dei servizi informatici; propone un percorso di autovalutazione dei requisiti di continuità
tecnologiche idonee a garantire la continuità nella erogazione dei servizi anche a fronte di disastri
contrattuali da intraprendere, anche per la definizione di forme associative tra amministrazioni che
consentono il contenimento dei costi (accordi di mutuo soccorso, convenzioni, consorzi, centri di
backup comuni, ecc.); propone, infine, un modello di riferimento per la redazione di uno studio di
4
Il documento commisura la continuità operativa ICT alla capacità di un’organizzazione di adottare – attraverso
accorgimenti, procedure e soluzioni tecnico-organizzative – misure di reazione e risposta ad eventi imprevisti che
possono compromettere, anche parzialmente, dall’interno o dall’esterno, il normale funzionamento dei servizi ICT
utilizzati per lo svolgimento delle funzioni istituzionali. A tal fine, il perimetro di competenza della continuità operativa
ICT deve comprendere, in particolare: le applicazioni informatiche e i dati del sistema informativo indispensabili
all’erogazione dei servizi e allo svolgimento delle attività (informatiche e non); le infrastrutture fisiche e logiche che
ospitano sistemi di elaborazione; i dispositivi di elaborazione hardware e software che permettono la funzionalità delle
applicazioni realizzanti i servizi dell’amministrazione; le componenti di connettività locale e/o remota/ geografica; le
modalità di comunicazione ed informazione al personale utilizzatore del sistema informativo all’interno
dell’amministrazione e ai fruitori esterni dei servizi del sistema informativo dell’amministrazione, siano essi cittadini,
imprese, altre amministrazioni; le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi
elettrogeni) e più in generale la continuità di funzionamento del sistema informativo; la gestione dei posti di lavoro
informatizzati dell’amministrazione; i servizi previsti per l’attuazione del CAD (fra cui PEC, firma digitale, ecc.).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
fattibilità tecnica, che ogni amministrazione potrà utilizzare come strumento sul quale basare il
Vero è tuttavia che non tutti gli eventi critici evolvono in un disastro; non è quindi sempre
necessario attivare i processi definiti per il ripristino: ciò dipende dall’impatto dell’evento che si è
verificato sui servizi critici dell’amministrazione. È opportuno, perciò, che chi opera e vigila sulla
corretta erogazione dei servizi critici disponga di criteri oggettivi sulla base dei quali valutare la
5
Esistono numerosi standard internazionali che fanno riferimento alla continuità operativa e al disaster recovery. È di
particolare rilievo il recente standard ISO/IEC 27031:2011, «Information technology – Security techniques –
Guidelines for information and communication technology readiness for business continuity», pubblicato nel marzo
2011, il cui campo di applicazione comprende tutti gli eventi (tra cui quelli correlati alla sicurezza), che potrebbero
avere un impatto sulle infrastrutture e sistemi ICT, ed estende la pratica della gestione dei problemi della sicurezza delle
informazioni e la gestione e la disponibilità dei servizi ICT: per ulteriori sviluppi si rinvia al documento recante le
«Linee guida per il disaster recovery delle pubbliche amministrazioni», 2011 e, in dottrina, ad Aa.Vv., Qualità del
software e dei servizi ICT. La serie ISO/IEC20000. Requisiti, raccomandazioni, suggerimenti, Bologna, 2010, p. 19 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
6
A titolo esemplificativo, possono considerarsi condizioni che determinano senz’altro la necessità di attivare i processi
di ripristino: la distruzione delle infrastrutture del CED dell’amministrazione; l’impossibilità di accedere ai locali del
CED o di controllare il funzionamento degli apparati in esso ospitati per un tempo indeterminato; l’impossibilità di
erogare servizi a un’utenza considerevole o significativa; l’impossibilità di controllare l’esercizio delle applicazioni, con
grande indeterminatezza sia per l’estensione del danno che per la sua durata.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
L’identificazione delle figure che compongono il Comitato di gestione della crisi – inteso
quale organismo cui spettano le principali decisioni e la supervisione delle attività delle risorse
coinvolte – non può comunque prescindere dalle attribuzioni previste in capo all’Unità Locale per la
Sicurezza (ULS), la componente istituita – per ogni singolo dominio connesso al Sistema Pubblico
di Connettività – e finalizzata al governo degli aspetti di sicurezza relativi all’adesione al SPC 7: tra i
suoi compiti principali, infatti, l’Unità locale di sicurezza – secondo quanto stabilito dall’art. 21,
comma 9 del d.P.C.M. 1 aprile 2008 (recante «regole tecniche e di sicurezza per il funzionamento
del Sistema pubblico di connettività previste dall’articolo 71, comma 1 bis del decreto legislativo 7
7
Dal punto di vista della sicurezza, l’intero SPC si configura come un dominio affidabile (trusted), costituito da una
federazione di domini basata su mutue relazioni organizzative e tecnologiche di tipo fiduciario. La componente di
sicurezza del SPC è trasversale alle componenti di connettività, interoperabilità e cooperazione applicativa; include
l’insieme delle misure organizzative, dei servizi e delle infrastrutture realizzate a livello centrale (dominio di
interconnessione) e a livello di singola Amministrazione (dominio interno). Il sistema si completa con la Rete
Internazionale delle Pubbliche Amministrazioni (RIPA): essa fornisce a livello internazionale servizi di connettività IP
e di interoperabilità di base e – mediante il collegamento con SPC – consente alle sedi estere la partecipazione alle
applicazioni cooperative. All’architettura SPC si ispira, ad esempio, il SIL (Sistema Informativo del Lavoro), un sistema
federato di gestione, coordinamento e monitoraggio del mercato del lavoro e comune a più attori del processo
(Ministero, Regioni, Province, Enti Locali, Centri per l’Impiego), ciascuno secondo il proprio livello di autonomia e di
competenza. Si tratta di un sistema aperto (community source) che consente di offrire servizi per il mercato del lavoro
su scala nazionale, sfruttando un’organizzazione gerarchica che realizza l’interoperabilità attraverso la
replica/sincronizzazione di basi di dati. Per un approfondimento sulle funzioni e sull’organizzazione della rete su base
nazionale, si rinvia al documento dal titolo «Il Sistema Informativo del Lavoro (SIL). Programma di messa in esercizio
e di gestione evolutiva», reperibile sul sito, http://bancadati.italialavoro.it/BDD_WEB_
CONTENTS/bdd/publishcontents/bin/C_21_ Strumento_1786_documenti_itemName_0_documento.pdf.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
marzo 2005, n. 82, recante il Codice dell’amministrazione digitale») – adotta anche le misure volte
a limitare il rischio di attacchi informatici ed eliminare eventuali vulnerabilità della rete, causate
dalla violazione e utilizzo illecito di sistemi o infrastrutture della pubblica amministrazione 8. Alla
stessa è affidata inoltre la responsabilità di porre in atto tutte le fasi di prevenzione degli incidenti
incidenti delle ULS, è prevista l’istituzione dell’Unità di prevenzione degli incidenti nell’ambito del
Sistema Pubblico di Connettività, denominata anche Computer Emergency Response Team (Cert-
SPC), organizzata sulla base del modello adottato a livello internazionale e istituita presso l’allora
CNIPa (oggi, agenzia per l’Italia Digitale), in ottemperanza dell’art. 21, comma 5, lett. a, del
A distanza di pochi anni, il Piano e-government 2012, adottato dal Ministro per la Pubblica
concernente «la sicurezza dei sistemi informativi e reti», la realizzazione di attività progettuali volte
8
L’organizzazione delle UU.LL:SS e il relativo dimensionamento sono fortemente condizionati dalle caratteristiche
dell’ente ma, nella maggior parte dei casi, si tratta di strutture (o meglio funzioni) distribuite all’interno dell’ente
medesimo e differenziate per capacità e responsabilità di intervento in base ai contesti o alle tecnologie di riferimento.
Procedendo per analogia sarà possibile identificare i responsabili per ciascuno dei servizi identificati come ‘critici’ a
seguito dell’analisi di impatto (BIA) e adottare i medesimi canali di comunicazione previsti per i referenti e per il
responsabile della ULS; questi ultimi, coordinati dalla figura del responsabile per la continuità operativa,
rappresenteranno de facto i componenti del Comitato di Gestione di Crisi.
9
L’obiettivo del progetto è quello di consolidare il ruolo del CERT-SPC, che – nell’architettura della sicurezza del
Sistema Pubblico di Connettività prevista dalle Regole Tecniche – rappresenta la componente centrale, con funzioni di
prevenzione, gestione ed analisi degli incidenti informatici in ambito SPC, assicurando l’applicazione di metodologie
coerenti ed uniformi in tutto il sistema da esso controllato per la gestione degli incidenti. In tal modo si intende
rafforzare il livello di integrazione tra la componente centrale e le strutture distribuite nelle pp.aa., cui è attribuito il
compito di dare attuazione alle azioni di prevenzione e gestione degli incidenti che si dovessero verificare sui sistemi
interni al rispettivo dominio.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 11
Università Telematica Pegaso Rimedi e contromisure per la gestione
della sicurezza informatica
incidenti di sicurezza in SPC. Il modello, basato su un’articolazione che prevede una componente
centrale e diverse unità di rango equivalente distribuite nelle amministrazioni presenti in SPC
conseguenze degli incidenti informatici e si traduce in una serie di attività che richiedono buone
tecnologiche.
prevenzione degli incidenti informatici risulta alimentata da un flusso informativo constante tra le
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 11
“ASPETTI FORENSICS”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 11
Università Telematica Pegaso Aspetti forensics
amministrazione, al proprio interno, è chiamata a definire, nei limiti di quanto stabilito dalle vigenti
disposizioni di settore.
riflessione sui profili più squisitamente forensics, attraverso l’esame di alcune fattispecie di reato
È noto che i reati informatici sono caratterizzati dalla previsione che l’attività illecita abbia
come oggetto o mezzo del reato un sistema informatico (un pc) o un sistema telematico (es., una
rete di pc). Il computer può rappresentare cioè il bersaglio del reato: in questo caso l’obiettivo di
colui che commette l’illecito si ravvisa nel sottrarre o distruggere le informazioni contenute nella
memoria dello sistema informatico stesso; in altri casi, invece, il computer costituisce il mezzo per
la commissione di reati (come nel caso della realizzazione di frodi informatiche) e il bene tutelato
In risposta alle sollecitazioni del mondo globale, la volontà del Legislatore si è orientata
verso un ampliamento del raggio di azione della tutela penale nell’individuazione sia di nuove
fattispecie di reato 2, sia di una nuova forma di responsabilità c.d. amministrativa, prevista ad hoc
1
L. Cuomo, Beni e reati informatici, in E. Giannantonio, Manuale di diritto dell’informatica, Padova, 2001, p. 441 ss.
2
Con la l. 18 marzo 2008, n. 48, recante «Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla
criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno», si è
realizzata un’importante riforma della disciplina sulla criminalità informatica che ha condotto all’introduzione nel
codice penale nuove fattispecie di reato e alla riformulazione di alcune norme già esistenti. L’art. 7 della legge ha
inoltre aggiunto al d.lgs. n. 231 dell’8 giugno 2001, l’art. 24 bis, in tema di «Delitti informatici e trattamento illecito di
dati», che punisce espressamente l’ente pubblico per la commissione dei delitti di cui agli artt. 615 ter, 617 quater, 617
quinquies, 635 bis, 635 ter, 635 quater e 635 quinquies del codice penale, nonché gli artt. 615 quater, 615 quinquies,
491 bis e 640 quinquies, disponendo l’irrogazione di apposite sanzioni pecuniarie.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 11
Università Telematica Pegaso Aspetti forensics
per la punizione di persone giuridiche 3. È infatti con l’approvazione del d.lgs. 8 giugno 2001, n.
231, che, nel nostro ordinamento, si è introdotta una peculiare responsabilità a carico delle persone
giuridiche (enti, pubblici e privati, società, enti e associazioni) in conseguenza di illeciti commessi
da quanti agiscono in nome e per conto dell’ente. In tal modo, la responsabilità dell’ente viene
riconosciuta e disciplinata in via diretta e ad essa è correlata un apposito sistema sanzionatorio che
trova applicazione in via esclusiva: l’illecito sussiste soltanto se commesso nell’interesse dell’ente o
a suo ‘vantaggio’ 4, ovvero se realizzato da soggetti legati all’ente medesimo da una particolare
relazione interorganica 5.
Si consideri tuttavia che l’art. 5, comma 2, offre una prova liberatoria, chiarendo che l’ente
non è punibile laddove un soggetto abbia commesso il reato ad esclusivo vantaggio proprio o di
terzi e la fattispecie delittuosa non sia in alcun modo riconducibile all’amministrazione: a carico
della persona giuridica grava, in altre parole, l’onere di aver assunto tutte le misure necessarie ad
impedito la commissione di delitti del tipo perpetrato. Segnatamente l’ente dovrà provare: a)
reati (c.dd. compliance programs); b) l’istituzione al suo interno – allo scopo di garantire la
massima efficienza dei modelli organizzativi calibrati sulla natura, sulle caratteristiche dell’ente e
3
C. Santoriello, G. Amato, G. Dezzani, V.S. Destito, I reati informatici. Nuova disciplina e tecniche processuali di
accertamento, Padova, 2010, p. 194 ss.; G. Sabato, La responsabilità amministrativa degli Enti: i reati informatici, in
http://www.diritto.net/il-foro-penale/181/3565.html.
4
Il ‘vantaggio’ rappresenta una caratterizzazione oggettiva da valutarsi in concreto in relazione alle conseguenze della
condotta delittuosa del singolo: ad es., potrebbe essersi verificato un vantaggio per l’ente anche nel caso in cui il singolo
avesse agito criminosamente nel suo esclusivo interesse.
5
In particolare, secondo quanto dispone l’art. 5 del d.lgs. n. 231 del 2001, il reato deve essere commesso: a) da persone
che rivestono funzioni di rappresentanza, direzione o unità organizzativa dotata di autonomia funzionale e finanziaria
nonché da persone che esercitano, anche di fatto, la gestione o il controllo dello stesso; b) da persone sottoposte alla
direzione o al controllo dei soggetti di cui alla lett. a) Si fa riferimento, cioè, a soggetti che rivestono funzioni di
rappresentanza, amministrazione o direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e
gestionale, nonché le persone che esercitano anche di fatto la gestione e il controllo dello stesso. Sulla c.d. teoria
dell’immedesimazione organica, secondo la quale l’identità tra autore dell’illecito e destinatario della sanzione viene
assicurata quando l’autore del reato è un soggetto che ha agito nell’interesse o a vantaggio dell’ente, si v. ancora C.
Santoriello, G. Amato, G. Dezzani, V.S. Destito, o.c., p. 204.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 11
Università Telematica Pegaso Aspetti forensics
sulla peculiarità delle attività svolte – di un apposito organismo di controllo, dotato di autonomia di
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 11
Università Telematica Pegaso Aspetti forensics
emergono ipotesi, ben più frequenti, in cui l’amministrazione è soggetto leso dal reato informatico.
Per la prima ipotesi, ha fatto notizia la pronuncia della Corte di Cassazione penale, 16
febbraio 2010, n. 19463 6, con la quale è stata confermata la condanna ex art. 615-ter c.p. di un
pubblico ufficiale che, preposto ad un sistema informatico, era stato corrotto per comunicare a terzi
informazioni riservate: un caso non del tutto nuovo, in relazione al quale però la Corte ha inteso
offrire una lettura sensibilmente diversa mediante un mutamento di prospettiva di analisi della
fattispecie 7.
interpretazione estensiva della condotta del soggetto allorquando quest’ultimo, pur avendo titolo e
6
Per un commento critico alla sentenza v., E. Mengoni, Accesso autorizzato al sistema informatico o telematico e
finalità illecite: nuovo round alla configurabilità del reato, in Cass. pen., 2011, p. 2200 ss.
7
L’art. 615 ter c.p. disciplina il reato di accesso abusivo ad un sistema informatico o telematico, inteso come una vera e
propria estensione del domicilio dell’individuo, al fine di proteggerlo: a) da accessi non autorizzati o b) da una
permanenza all’interno del medesimo sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La
prima ipotesi punisce il mero accesso in presenza di misure di sicurezza, cioè misure tecniche, informatiche,
organizzative e procedurali volte ad escludere o impedire l’ingresso al sistema (vale a dire, password, dispositivi
biometrici, firewall, ecc.). La seconda si riferisce, invece, al mantenimento nel sistema informatico nonostante il titolare
abbia espresso, in maniera espressa o tacita, la volontà di esclusione (c.d. ius excludendi). Il bene giuridico tutelato dalla
norma coincide, secondo la teoria predominante, con il «domicilio informatico» ove ciascun individuo esplica un parte
delle attività quotidiane e delle proprie facoltà intellettuali, esprimendo appieno la propria personalità. Ciò che si
intende reprimere è, dunque, l’atto abusivo di accesso ad un sistema per il quale non si ha diritto di accedere o di
permanere.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 11
Università Telematica Pegaso Aspetti forensics
formale legittimazione, si introduca nel sistema per finalità estranee alle ragioni di istituto ed agli
cui all’art. 615 ter la condotta di quel soggetto che, sebbene formalmente legittimato, si sia
introdotto nel sistema per finalità estranee alle ragioni d’istituto. L’indirizzo, sulla scorta
dell’analogia esistente tra la fattispecie in esame e la violazione di domicilio ex art. 614 c.p., si
fonda sulla considerazione che la disposizione punisce non soltanto l’abusiva introduzione nel
sistema, ma anche la permanenza in esso contro la volontà – espressa o tacita – di chi ha il diritto di
escluderla 8.
connota l’accesso al sistema) andrebbe intesa in senso oggettivo, con riferimento cioè al momento
dell’accesso e alle modalità utilizzate dall’autore per neutralizzare e superare le misure di sicurezza
apprestate dal titolare dello ius excludendi. Non avrebbero pertanto rilevanza le finalità l’autore, né
l’uso successivo dei dati che, se illeciti, potrebbero integrare un diverso titolo di reato 9.
L’orientamento, che ha ricevuto diffusa adesione anche in dottrina 10, ha quindi inteso l’«accesso
8
In tal senso, Cass. pen., sez. V, 10 dicembre 2009; Cass. pen., sez. V, 13 febbraio 2009, n. 243602; Cass. pen., sez. V,
8 luglio 2008, n. 241202; Cass. pen., sez. V, 7 febbraio 2000, n. 217743. La motivazione – talvolta timidamente addotta
dagli stessi estensori – si è quasi sempre esaurita nel mero rilievo assegnato alla condotta di permanenza abusiva, quel
che ha poi sic et simpliciter giustificato la conclusione secondo cui l’accesso legittimo per finalità illecite «sembra
potenzialmente idoneo a configurare l’ipotesi incriminatrice».
9
V. Cass. pen., sez. V, 25 giugno 2009, n. 244749; Cass. pen., sez. VI, 8 ottobre 2008, n. 242684; Cass. pen., sez. V, 14
dicembre 2006, n. 236049. Cfr. inoltre Cass. pen., sez. V, 29 maggio 2008, n. 26797, in Cass. pen., 2009, p. 1509 ss.,
con nota di R. Flor, Permanenza non autorizzata in un sistema informatico o telematico, violazione del segreto d’ufficio
e concorso nel reato da parte dell’extraneus: il caso di specie riguardava la violazione, da parte del pubblico ufficiale,
del dovere di segretezza inerente all’esercizio della sua funzione e di accesso abusivo ad un sistema informatico o
telematico. La Cassazione, ribaltando le sentenze di primo grado e di appello, ha ritenuto insussistente l’applicazione
dell’art. 615 ter c.p., sulla base di due considerazioni essenziali: la prima, fondata sul fatto che, nel caso di specie, il
cancelliere autore dell’interrogazione aveva accesso ai registri tramite l’uso di una chiave logica legittimamente in suo
possesso; la seconda, relativa, invece, alla mancanza di ‘regole’ organizzative, idonee ad impedire all’addetto la
consultazione dei dati del registro generale e le assegnazioni ai diversi uffici. Cfr. anche Cass. pen., sez. V, 20 dicembre
2007, n. 239105, secondo la quale, la volontà contraria dell’avente diritto va verificata «solo ed esclusivamente» con
riferimento al risultato immediato della condotta posta in essere da chi accede o permane nel sistema; non anche con
riguardo a fatti successivi che, pur se già previsti, potranno effettivamente realizzarsi «in conseguenza di nuovi e diversi
atti di volizione da parte dell’agente medesimo».
10
Per tutti, L. Cuomo, La tutela penale del domicilio informatico, in Cass. pen., 2000, p. 2998 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 11
Università Telematica Pegaso Aspetti forensics
abusivo» nel senso più restrittivo di «accesso non autorizzato», secondo l’interpretazione offerta
dalla c.d. lista minima della raccomandazione del Consiglio d’Europa n. r (89)9, del 13 settembre
1989, sulla criminalità informatica (attuata in Italia proprio con la l. 23 dicembre 1993, n. 547),
nonché di «accesso senza diritto», di cui all’art. 2 della Convenzione del Consiglio d’Europa sulla
Nel solco del dibattito delineato si colloca la sentenza del 2010, che ha privilegiato
un’interpretazione ampia dell’art. 615 ter c.p., al punto da ricomprendervi anche l’ipotesi della
cognizione di dati per finalità illecite ad opera di un soggetto che legittimamente acceda al sistema.
precedenza: per la prima volta, infatti, si assume che l’impiego di un sistema per scopi estranei alle
ragioni di istituto possa esser sanzionato non già sub specie di trattenimento, ma come forma di
introduzione abusiva.
A questa conclusione si giunge in ragione del fatto che il pubblico ufficiale preposto ad una
banca dati era stato corrotto da altro soggetto per acquisire dal sistema notizie riservate su varie
persone o su circostanze che, diversamente, sarebbero rimaste ignote. a giudizio della Corte,
l’esistenza di un originario accordo illecito e la condotta del pubblico ufficiale perpetrata in accordo
con il promotore del disegno criminoso rappresentano elementi sufficienti per considerare in sé
«abusiva» l’introduzione nel sistema, in quanto effettuata al di fuori dei compiti d’ufficio ed al solo
fine di adempiere un accordo illecito con il terzo 11. tanto sposta l’attenzione dal momento della
permanenza nel sistema contro la volontà di chi ha il diritto di escluderlo, a quello dell’accesso vero
11
L’estraneità della condotta ai compiti dell’ufficio è motivazione sufficiente anche per un altro Giudice penale, nella
pronuncia del 21 maggio 2008, n. 20326, per condannare al reato di peculato un pubblico dipendente che con il pc
dell’ufficio navigava sul web in siti non istituzionali, ‘scaricando’ su archivi personali dati ed immagini non inerenti alla
funzione pubblica del proprio ufficio: v. G. Pietrosanti, A Torino collegamenti internet “sotto sorveglianza”, in Pubbl.
imp., 2009, 5, p. 49 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 11
Università Telematica Pegaso Aspetti forensics
oggetto di “attacchi” da parte di soggetti estranei alla p.a.: le ipotesi sono tuttavia innumerevoli.
Basti pensare ad alcune recenti notizie riportate da fonti giornalistiche 12, circa alcuni
attacchi informatici perpetrati in danno di siti web di comuni italiani, le cui pagine on line sarebbero
state oscurate contestualmente, lasciando comparire frasi e simboli in lingua araba 13; o ancora
tentativi di attacchi provenienti da hacker esperti di Paesi oltreoceano compiuti attraverso azioni di
phishing, nei confronti di indirizzi e-mail di dirigenti e funzionari di alcuni enti pubblici italiani
(comuni, comunità montane, uffici ministeriali, distretti militari, ambasciate e consolati) 14.
Non con molta difficoltà si immagina che nel futuro attacchi di questo tipo saranno sferrati
sempre con maggiore frequenza 15. È indispensabile che le amministrazioni e gli esperti che le
supportano siano pronti a mettere in campo le idonee misure di sicurezza per evitare
investigativi (in primo luogo, le forze dell’ordine e la magistratura) siano in grado di scegliere le
tecniche investigative più corrette per ottenere un’adeguata e corretta digital evidence 16.
12
Fonte: http://www.key4biz.it/Players/Vinti/2012/09/eSecurity_Comuni_Emilia_Attacco_Informati- co_ Arabi_
Preghiere_Polizia.html.
13
Si tratta di un’ipotesi che in astratto potrebbe integrare il reato di cui all’art. 617 quater c.p., rubricato
«Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche», ove
l’intercettazione può avvenire sia mediante dispositivi tecnici, sia con l’utilizzo di software (c.d. spyware), mentre
l’impedimento/interruzione delle comunicazioni (c.d. denial of service) può consistere in un rallentamento delle
comunicazioni realizzato mediante l’impiego di virus informatici oppure, ad esempio, sovraccaricando il sistema con
l’immissione di innumerevoli comunicazioni fasulle.
14
La notizia è reperibile sul sito, http://www.ilsole24ore.com/art/norme-e-tributi/2010-09-15/attacco- online-canada-
italiana-100017.shtml? uuid=AYwRl4PC.
15
Per una descrizione di esempi di possibili attacchi ai sistemi informatici, tra i quali la diffusione di codici maliziosi
(virus) e il diniego di servizio (denial of sevice), v. C. Carlesi, Sicurezza informatica e computer crimes, in
http://its.isti.cnr.it/CarloDoc /SICC.pdf.
16
Sull’interessante profilo delle prove digitali e della relativa formazione si rinvia ai recenti saggi di F.M. Molinari,
Questioni in tema di perquisizione e sequestro di materiale informatico, in Cass. pen., 2012, p. 696 ss. e M. Stramaglia,
Il sequestro di documenti informatici: quale tutela per il segreto professionale forense, in Riv. inf. e informatica, 2008,
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 11
Università Telematica Pegaso Aspetti forensics
Sotto questo profilo, l’informatica sfuma i propri connotati di strumento di difesa, per
assurgere a mezzo di ausilio della magistratura nella acquisizione di prove digitali: queste ultime
devono essere infatti attendibili e offrire adeguate garanzia di certezza, alla stregua di quelle
originali, al fine di consentire il disvelarsi della verità processuale nell’ambito del dibattimento 17.
L’integrità della prova digitale – assicurata dal corretto procedimento nel trattamento e nella
custodia – rappresenta un elemento di interesse per tutte le parti processuali: massima è, quindi,
l’attenzione nella cura della catena di custodia (chain of custody) 18 ovvero alla metodologia di
commercio, utilizzati, ormai sovente, anche dalle forze di polizia, militari e agenzie governative
Tali strumenti svolgono il delicato compito di consentire che la traccia informatica oggetto
dell’analisi si conservi inalterata: ciò al fine di evitare operazioni invasive e, al contempo, fugare
dubbi sull’integrità dei dati contenuti nei supporti (ad esempio, la mera variazione di un orario di
accesso ai file, non compatibile con quello dell’avvenuto sequestro, potrebbe compromettere ab
p. 831 ss. In tema di computer forensics, v. A. Ghirardini e G. Faggioli, Computer forensics, Milano, 2007, passim; G.
Ziccardi, Informatica giuridica. Privacy, sicurezza informatica, computer forensics e investigazioni digitali, t. II,
Milano, 2008, spec. p. 291 ss.; S. Gorla, Amministrazione giudiziaria e Digital Forensics, in
http://www.pubblicaamministrazione.net, nonché G. Costabile e A. Attanasio (a cura di), ISSFA Memeberbook 2009.
Digital forensics, Forlì, 2009, passim.
17
La differenza tra computer security e computer forensics risiede non tanto nei metodi utilizzati e nelle tecniche da
apprendere, bensì nei presupposti in base ai quali si tratta il dato digitale: si è nell’ambito della security se l’obiettivo è
quello della sicurezza del sistema e il suo buon funzionamento; se invece al centro dell’attenzione è l’«ambiente legale»
ove si acquisisce il dato, finalizzato ad uno scopo giuridico, allora si è in presenza della computer forensics. Sul punto
ancora G. Ziccardi, o.c., p. 318.
18
Tale procedura è finalizzata a consentire la tracciabilità e ripercorribilità dell’acquisizione e dell’analisi degli
elementi di prova digitali in qualunque fase del processo: in tal senso v. S. Aterno, La Computer forensics tra teoria e
prassi: elaborazioni dottrinali e strategie processuali, in Ciberspazio e diritto, 2006, e in
http://www.asafi.it/area/forensic/area%20analisi%20forense.htm.
19
Sul punto v. G. Costabile, Scena criminis, documento informatico e formazione della prova penale, in www.penale.it.
Il sistema di acquisizione e di analisi dovrà operare con l’ausilio di un blocco di scrittura che consente di non
compromettere i dati escludendo qualsiasi trattamento, variazione, aggiunta, cancellazione (soprattutto colposa) sul
supporto originale. Nella formazione dell’“immagine” dovrà essere creata anche una c.d. “impronta” che deve
contraddistinguere univocamente la traccia dell’analisi forense e che garantisce sull’integrità del dato. Tale operazione
prende il nome di hashing a chiave simmetrica, con algoritmo di classe MD5 e genera un’impronta della lunghezza di
128 bit (16 byte): l’hash costituisce il riferimento certo alla traccia originale, ancorché non ne consenta la ricostruzione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 11
Università Telematica Pegaso Aspetti forensics
origine l’attendibilità della prova). Una volta cristallizzata, la prova digitale potrà essere oggetto di
20
Ancora G. Costabile, op. ult. cit.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 11
“CONSIDERAZIONI CONCLUSIVE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 3
Università Telematica Pegaso Considerazioni conclusive
1 Considerazioni conclusive
Alla luce del percorso argomentativo svolto, indubbia è l’importanza che assume
l’informatica quale strumento al servizio della pubblica amministrazione e dei cittadini. Si tratta di
uno strumento in sé “neutro”, rispetto ai fini che si intendono raggiungere: è l’utilizzo che se ne fa
Quanto più un sistema informatico è sicuro ed affidabile, tanto più esso acquisisce valore in
relazione all’utilità che riveste, diventando fruibile da un’utenza sempre più numerosa e soggetto ad
Solo mediante una visione condivisa che privilegia la prevenzione e la cooperazione a più
livelli volta a realizzare sistemi informatici pubblici sempre più sicuri, è possibile ridurre i danni
derivanti dalla criminalità informatica e disincentivare la commissione dei reati informatici per il
futuro. atteso infatti il numero e la varietà di fattispecie delittuose legate al mondo del digital
competenze nell’ambito della previsione di best practice che coinvolga, a più livelli, le singole
dei modelli organizzativi e di sicurezza ad esperti specialisti della materia, adeguatamente formati,
A ciò si aggiunga che la complessità e la novità della materia, ancora non del tutto
intervento risolutore che possa uniformare la disciplina e offrire, in continuità con il passato, un
punto di riferimento dal quale poter ripartire nel difficile ma affascinante percorso di
1
F. Sensini, Nuove professioni del web: skill per una PA davvero digitale, in Pubbl. imp., 2012, 5, p. 33.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 3
“INTRODUZIONE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 8
Università Telematica Pegaso Introduzione
di sviluppo. La facilità di comunicare e di mettersi in contatto con altri soggetti, inviando fax, email,
sms, mms, file allegati o altro, ha consentito un miglioramento delle relazioni interpersonali ed
L’accessibilità alla rete è diventata il titolo necessario per avvicinarsi al progresso e alla
realizzazione personale al pari della forza evocativa che per le passate generazioni ha avuto la
visione democratica.
L’accesso sta diventando uno strumento concettuale per riformulare una diversa concezione
del mondo, dell’economia e delle relazioni sociali, per la creazione di distinzioni e di divisioni tra
cittadini e per il discrimine tra chi sarà incluso e chi sarà escluso dalla fruizione delle potenzialità
della rete. L’utilizzo del telefono, di internet e di tutti gli strumenti in grado di interagire a distanza
è ormai entrato a far parte delle abitudini più comuni: gli stessi individui sono ridotti ad
informazioni quando conversano tra di loro, navigano in rete, effettuano acquisti o comunicano con
strumenti multimediali.
Tuttavia la sicurezza, accanto alle pari opportunità che investono condizioni sociali in
prevalenza di carattere economico, è l’elemento che maggiormente condiziona l’accesso alla rete.
Privacy e sicurezza sono concetti dinamici e mutano con lo sviluppo della società: mentre
l’evoluzione del concetto di privacy è legato al cambiamento delle abitudini sociali e degli stili
impronte elettroniche o informazioni, con la conseguenza che lo spazio per la vita privata si è
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 8
Università Telematica Pegaso Introduzione
comportamenti hanno coinvolto tutti gli individui ed hanno rafforzato la domanda di riservatezza, di
parametro per verificare il rispetto della libertà dell’individuo nella corrispondenza, nelle
Ogni soggetto riveste sia il ruolo attivo di fornitore di contenuti, sia quello passivo di
L’utente non riceve soltanto un flusso di dati proveniente dai server e dagli elaboratori
elettronici con cui ha creato un colloquio circuitale, ma comunica informazioni sulla propria
persona e sulla configurazione della postazione informatica con cui interagisce in rete (come ad
L’interattività tra i sistemi informatici produce un flusso di dati in entrata e in uscita sulla
postazione dell’utente, che lascia tracce e informazioni che possono essere oggetto di trattamento e
di raccolta illecita 1.
L’idea di sicurezza è insita nel concetto stesso di comunità prima statale e oggi “virtuale”, se
si valutano le antiche consuetudini di fortificare e di cingere i nuclei abitati di mura, tanto robuste
quanto più le condizioni ambientali ne giustificavano l’esistenza. Ogni comunità avverte un bisogno
di sicurezza come parte integrante del rapporto tra Stato, cittadini ed imprese nel senso di
proposizione di soluzioni organizzative immediate e condivise per far fronte alle nuove minacce
globali.
1
I pericoli derivanti dall’interconnessione alla rete riproducono attualmente le condizioni storiche delle infrastrutture
viarie e della navigazione marittima, allorquando l’esposizione al rischio di aggressioni o la mancanza di protezione ne
condizionava l’utilizzazione diffusa. Solo la repressione della pirateria sui mari pose le condizioni per uno sviluppo
economico più vasto e per la realizzazione di contatti più celeri ed efficienti che erano alla base della nascita della
società moderna.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 8
Università Telematica Pegaso Introduzione
dalle distanze. Le nuove minacce derivano non solo da azioni illecite poste in essere da terzi, ma
con prevedibili conseguenze per la privacy. Un sistema informatico, quale mezzo elettronico e
può essere danneggiato; il funzionamento di una rete può essere alterato o impedito; i programmi
possono essere distrutti, sottratti o riprodotti abusivamente; i dati possono essere cancellati,
La normativa di settore, benché inidonea ad offrire adeguata tutela a tutti gli aspetti e alle
relazioni nella società dell’informazione, ha previsto specifiche misure di contrasto per l’alterazione
o per la turbativa delle comunicazioni informatiche, per le falsità dei documenti e delle
delle credenziali di autenticazione, per il trattamento abusivo di dati personali e per le frodi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 8
Università Telematica Pegaso Introduzione
fondamentali stabilisce che “ogni persona ha diritto al rispetto della sua vita privata e familiare,
La norma intende tutelare lo spazio entro cui il singolo può liberamente esprimere la propria
La vita privata rappresenta un luogo inaccessibile alle altrui interferenze e consiste in uno
della persona.
Il bisogno di privacy si confronta attualmente con le condizioni in cui si svolge la vita degli
Nel passato il rispetto della vita privata poteva essere agevolmente tutelato dall’interessato
con l’osservanza di semplici ed elementari accorgimenti. Per proteggere l’intimità di ogni azione
era sufficiente mettersi al riparo dalle indiscrezioni che si potevano compiere nell’ambito dei
Per l’epoca l’idea di privacy consisteva in un’estensione ideale (nella sfera non materiale)
dei principi che garantivano la difesa della proprietà privata. Le mura di un’abitazione, la solitudine
di un luogo scarsamente frequentato e il tono sommesso della parola erano sufficienti ad assicurare
la tutela della riservatezza e ad escludere la diffusione della conoscenza dei gesti e delle azioni di
uno o più individui uniti tra loro da un vincolo di segretezza. anche lo svolgimento di attività a
carattere continuativo, come frequentazioni o contatti tra le persone poteva essere coperto da
spostamenti o agli incontri, senza lasciare documenti, segni compromettenti o elementi indicativi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 8
Università Telematica Pegaso Introduzione
Nel mondo della tecnica moderna non è invece possibile sfuggire alle intromissioni nella
vita privata, o addirittura alla sorveglianza continua, per la ragione che gli strumenti a disposizione
Si può ben dire che le forme artificiali di conoscenza hanno acquistato una dimensione che
in altri tempi era attribuita esclusivamente alle potenze e alle forze sovrannaturali. Le tecniche di
subdolo.
individuare percorsi di navigazione, catturare dati relativi a pagamenti elettronici, tracciare gli
spostamenti fisici della persona con modalità innovative che fanno discendere implicazioni sociali e
Si tratta di un’esposizione continua all’altrui indiscrezione per cui ogni utente delle attuali
tecnologie è sottoposto ad una permanente sorveglianza anche negli atti più elementari della vita
privata, che prima sarebbe stato difficile documentare nella loro varietà e molteplicità. La maggior
parte delle informazioni e delle tracce che l’individuo forniva sui propri atti erano destinate a
e stampare i dati richiesti selezionandoli tra una molteplicità di informazioni relative alla rete delle
relazioni interpersonali che divengono sempre più fitte per la progressiva “computerizzazione” della
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 8
Università Telematica Pegaso Introduzione
Per stabilire una condizione di limitata diffusione di informazioni della vita privata sono
ipotizzabili vari stadi di progressione nel processo di controllo sulla circolazione dei dati personali:
l’esterno;
Le tecniche di raccolta dei dati e di tracciamento del profilo individuale, rese possibili dalle
nuove tecnologie, determinano il rischio che la personalità dell’utente venga frammentata, a sua
insaputa, in una molteplicità di banche dati offrendo una raffigurazione parziale e potenzialmente
pregiudizievole della persona, che verrebbe così ridotta alla mera sommatoria delle sue proiezioni
elettroniche.
Il diritto all’identità, di riflesso, assume nuove connotazioni, in quanto implica non più
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 8
“RISCHI E PERICOLI CONNESSI ALLA
SICUREZZA”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 4
Università Telematica Pegaso Rischi e pericoli connessi alla sicurezza
satellitari e a internet che, per la diffusione dei cablaggi, ha reso concreta l’interconnessione
all’interno del villaggio globale. La tecnologia ha rivelato la sua intrinseca vulnerabilità rispetto ai
pericoli di intercettazione, falsificazione o frode, che erano maggiormente ridotti con i mezzi di
comunicazione tradizionali.
I rischi erano rimasti latenti e più controllati con il telegrafo o con il telefono che si
affidavano per la trasmissione a reti dedicate e, così, offrivano un ragionevole livello di sicurezza
trasporto pubblici o intrinsecamente non protetti come le onde radio o le reti telematiche mondiali.
luogo pubblico esposto all’altrui indiscrezione. Una email non è come una raccomandata ma è
piuttosto simile ad un fax per la ragione che non offre al destinatario alcuna garanzia sull’effettiva
La sicurezza collegata all’informatica è sempre più ardua da realizzare dal punto di vista
L’approccio più convincente, soprattutto per gli operatori economici, dovrebbe essere quello
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 4
Università Telematica Pegaso Rischi e pericoli connessi alla sicurezza
grado di sicurezza in relazione alla minaccia e alle risorse disponibili e coinvolge la politica
dei dati.
Spesso gli operatori non sanno neppure di essere in pericolo o non sanno fino a che punto
stanno rischiando o non si curano di proteggere i soggetti o i beni che stanno esponendo a
pregiudizio.
Un altro atteggiamento pericoloso nei confronti della sicurezza delle comunicazioni è quello
che deriva da una sorta di mitizzazione della libertà che le reti informatiche riescono ad esprimere.
comunicazioni sono così veloci che è difficile rimediare a errori e, inoltre, le informazioni sensibili
sono processate anche da chi non ha necessità di conoscerle e neppure competenza, responsabilità o
autorità. Le opportunità di interazione economica e sociale delle reti telematiche possono essere
utilizzate per cooperare con gli utenti ma anche per ingannarli e trarre vantaggi personali dall’altrui
inesperienza o incapacità tecnica. ogni nuova tecnologia che l’uomo ha introdotto per il proprio
vantaggio sociale è stata ben presto utilizzata per scopi differenti da quelli originariamente previsti e
La crescente intermediazione svolta dalle macchine nelle relazioni sociali mal si concilia con
le maggiori necessità di verifica e controllo che sono alla base di ogni tipo di azione preventiva e
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 4
“RIMEDI E CONTROMISURE”
Indice
1 LA CRITTOGRAFIA --------------------------------------------------------------------------------------------------------- 3
2 METODI CRITTOGRAFICI ------------------------------------------------------------------------------------------------ 6
3 LA CRITTOGRAFIA ASIMMETRICA ---------------------------------------------------------------------------------- 8
4 LA STEGANOGRAFIA ----------------------------------------------------------------------------------------------------- 12
5 IL WATERMARKING ------------------------------------------------------------------------------------------------------ 15
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 17
Università Telematica Pegaso Rimedi e contromisure
1 La crittografia
Il pericolo di intercettazione ha promosso fin dall’antichità lo studio e lo sviluppo di codici,
messaggi solo alle persone autorizzate. L’esigenza di riservatezza e di segretezza ha indotto ogni
nazione a creare appositi dipartimenti destinati alla crittografia con il compito di garantire la
conseguenza mentre da una parte si inventavano nuovi e ingegnosi metodi per cifrare i messaggi,
dall’altra gli avversari tentavano di spezzare e svelare i nuovi codici. Nel tempo i codici e i sistemi
di cifratura sono diventati sempre più complessi e difficili da interpretare e si è così innescata una
serrata battaglia intellettuale tra gli inventori dei codici e i decrittatori che tentavano di aprire quei
La crittografia è una scienza basata sulla deduzione e sul controllo sperimentale per
L’evoluzione dei codici è la rievocazione della storia dell’antica, secolare battaglia tra
inventori e solutori di scritture segrete: una corsa agli armamenti intellettuali il cui impatto sulle
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 17
Università Telematica Pegaso Rimedi e contromisure
Figura 1
Lo sviluppo della crittografia può essere considerato una forma di lotta per la sopravvivenza:
un codice segreto è costantemente esposto alle insidie dei decrittatori. Quando gli studiosi creano
una tecnica di analisi che sfrutta un punto debole, il codice segreto diventa inutile e può cadere in
La lunga battaglia tra crittografi e decrittatori ha creato codici sempre più sofisticati e
schieramenti hanno fatto ricorso a un’ampia gamma di scienze e specializzazioni, che spaziano
dalla matematica alla linguistica, dalla teoria dell’informazione alla fisica quantistica.
al riparo dalle indiscrezioni dei terzi, corrisponde a un’esigenza diffusa nella vita di tutti i giorni.
messaggi di posta elettronica e la navigazione in rete transitano attraverso una catena di elaboratori
elettronici e le operazioni economiche con moneta virtuale o dematerializzata lasciano traccia del
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 17
Università Telematica Pegaso Rimedi e contromisure
dei flussi comunicativi sono innumerevoli, con conseguente esposizione a pericolo per la privacy.
aprire prospettive innovative per le comunicazioni telematiche e per il commercio elettronico. Sarà
privacy in rete.
codici resistenti alla crittoanalisi potrebbe togliere a questi mezzi di ricerca della prova gran parte
Il mondo degli affari è favorevole a un ampio uso di codici segreti per tutelare il diritto alla
Al contrario, coloro che devono garantire la sicurezza collettiva premono nel senso opposto:
deve essere raggiunto un armonico equilibrio tra la privacy e l’ordine pubblico, attraverso il
emergenziali 1.
1
La crittografia civile ha un’importanza sempre più preminente, ma è opportuno precisare che le avanzate tecniche di
cifratura militare non sono state ancora superate. Se la prima guerra mondiale è stata definita la guerra dei chimici per
l’impiego dei gas tossici e la seconda guerra mondiale ha coinvolto i fisici per l’impiego a fini bellici dell’energia
atomica, il terzo conflitto mondiale potrebbe vedere come protagonisti i matematici. I matematici sono gli specialisti
delle armi che verranno progressivamente impiegate nel futuro: le informazioni. Sia nella creazione dei codici che
attualmente proteggono le informazioni militari, sia nei tentativi di violarli, i matematici svolgono un ruolo
insostituibile.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 17
Università Telematica Pegaso Rimedi e contromisure
2 Metodi crittografici
In crittografia la cifratura può avvenire con i criteri della sostituzione o della trasposizione.
La sostituzione è un metodo di cifratura in cui ogni unità del testo in chiaro è scambiata
secondo uno schema regolare: l’ordine e la disposizione nel testo delle singole lettere rimane
inalterato, perché ogni simbolo è sostituito da un altro secondo una regola prestabilita.
I cifrari a trasposizione, invece, rimescolano i caratteri del testo in chiaro, secondo un ordine
basato su una regola complessa ma reversibile (gli elementi del messaggio vengono solo cambiati di
posizione) 2.
anagramma del testo in chiaro e la chiave consiste nella conoscenza della procedura con cui
2
Il sistema più antico di crittografia per trasposizione è la scitala (dal greco σκυτάλη = bastone), descritta da Plutarco,
che venne utilizzata nelle guerre del Peloponneso (400 a.C.) dallo spartano Lisandro. La scitala era un’asta attorno alla
quale veniva avvolta una striscia in pelle su cui era stato inciso il messaggio come se si trattasse di una superficie
continua. Una volta srotolata la striscia veniva inviata al destinatario che, per leggere il messaggio, doveva possedere
una scitala dello stesso diametro di quella impiegata dal mittente, altrimenti le lettere sarebbero risultate sfalsate e il
messaggio incomprensibile. Si tratta del più antico metodo di crittografia per trasposizione conosciuto dall’umanità. Un
ulteriore impiego bellico della cifratura è descritto nella “Vita dei Cesari” di Svetonio, che richiama il funzionamento
del codice segreto di Giulio Cesare, il quale “se doveva fare delle comunicazioni segrete, le scriveva in codice, cioè con
l’ordine delle lettere così disposto che nessuna parola potesse essere ricostruita”. Il cifrario di Giulio Cesare consisteva
in un metodo crittografico per sostituzione monoalfabetica, in base al quale ogni lettera dell’alfabeto veniva sostituita da
quella che la seguiva con traslazione di tre posizioni.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 17
Università Telematica Pegaso Rimedi e contromisure
Figura 2
In sintesi, nel cifrario a sostituzione ogni elemento cambia identità ma mantiene la sua
posizione, nella cifratura a trasposizione ogni carattere alfabetico mantiene la sua identità ma
cambia posizione.
multipli a rotazione, che rendono la forzatura più difficile anche con l’analisi delle frequenze,
messaggio;
Il testo in chiaro viene crittato con la chiave secondo l’algoritmo stabilito, ottenendo il testo
cifrato. Per poter decifrare il messaggio, il destinatario o il possibile intruso dovranno essere a
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 17
Università Telematica Pegaso Rimedi e contromisure
3 La crittografia asimmetrica
La rivoluzione crittografica del XX secolo è rappresentata dal perfezionamento di tecniche
idonee a superare l’ostacolo dello scambio e della distribuzione delle chiavi, che comprometteva la
catena della segretezza. Se due persone avessero voluto comunicare riservatamente, avrebbero
canali sicuri.
già avrebbero dovuto condividere tra loro un segreto (la chiave). La soluzione teorica fu trovata nel
1976 dai crittografi Whitfield Diffie, Martin Hellman e ralph Merkle, che ipotizzarono un
In tal modo gli interlocutori, con un procedimento a doppia cifratura, avevano comunicato
tra loro in estrema sicurezza senza intermediari e, soprattutto, eliminando i profili di debolezza della
Le ricerche degli studiosi si concentrarono per individuare una funzione matematica in grado
di trasformare un numero in un altro, realizzando una cifratura asimmetrica dove la chiave usata per
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 17
Università Telematica Pegaso Rimedi e contromisure
Martin Hellman e Ralph Merkle, si basava su una funzione matematica secondo la quale gli
Figura 3
informazioni.
Per comunicare con modalità riservate, qualsiasi utente doveva generare con un elaboratore
elettronico una coppia di chiavi, una per cifrare e l’altra per decifrare (corrispondenti a numeri con
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 17
Università Telematica Pegaso Rimedi e contromisure
molteplici cifre). L’utente avrebbe divulgato la chiave per cifrare (chiave pubblica) in modo che
chiunque avrebbe potuto adoperarla e mantenere segreta la chiave per decifrare (chiave privata).
Colui che intendeva comunicare in modo riservato doveva applicare per la cifratura la
chiave pubblica del destinatario (disponibile in un archivio liberamente consultabile) che, per
dopo aver cifrato il messaggio, non avrebbe potuto più volgerlo in chiaro perché non disponeva
della chiave privata abbinata a quella pubblica utilizzata per la cifratura. Quest’ultima era alla
portata di tutti per la divulgazione della chiave pubblica, mentre la decifrazione poteva essere
La soluzione fu trovata da ronald rivest, adi Shamir e Leonard adleman, che idearono un
sistema denominato “RSA”, il cui punto di forza era la difficoltà di scomporre in fattori primi
Dato un numero (N) è necessario trovare due numeri primi (p e q) il cui prodotto
numero con molte cifre (ad esempio 10308) richiede un notevole dispendio di tempo e di risorse,
L’RSA può essere considerato un sistema crittografico molto resistente alla crittoanalisi,
privo della necessità di distribuire le chiavi: insomma una serratura molto difficile da forzare.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 17
Università Telematica Pegaso Rimedi e contromisure
Non si può escludere che, in futuro, qualcuno scopra un procedimento rapido per la
scomposizione in fattori primi, anche se questa scorciatoia è ricercata dai matematici da lungo
tempo.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 17
Università Telematica Pegaso Rimedi e contromisure
4 La steganografia
Il termine steganografia è composto dalle parole greche “στεγανός” (nascosto) e “γράφειν”
interlocutori.
Si tratta di un insieme di tecniche che consente a due o più persone di comunicare tra loro in
La steganografia viene di solito confusa con la crittografia, ma in realtà esiste una differenza
ben precisa tra i due concetti. Mentre la crittografia è la tecnica mediante la quale un messaggio
viene codificato affinché appaia incomprensibile a chi non possiede la chiave per decodificarlo, la
apparenza insospettabile, così da renderne difficile non tanto la decodifica del contenuto, quanto
Lo schema logico che è alla base di una qualsiasi tecnica steganografica presenta tre
elementi fondamentali:
3
Già Erodoto (nel V secolo a.C.) aveva descritto una singolare tecnica steganografica persiana: il messaggio venivano
tatuato sulla testa di uno schiavo e, una volta ricresciuti i capelli, il corriere era inviato al destinatario che provvedeva a
rasarlo e a leggere il testo. Altri metodi sfruttavano le tavolette normalmente impiegate per la scrittura: grattata via la
cera il messaggio era inciso sul supporto in legno e poi si riversava un nuovo strato di cera per riportare la tavoletta
nelle condizioni iniziali senza dar adito ad alcun sospetto. Il destinatario, per leggere il messaggio, doveva solamente
eliminare la cera grattandola via. In Cina si scriveva su striscioline di seta che venivano appallottolate e coperte di cera,
quindi inghiottite dal messaggero. In Italia, nel XVI secolo, Giovanni Battista della Porta creò un inchiostro a base di
allume e aceto con il quale poter scrivere sul guscio di un uovo sodo. L’inchiostro penetrava attraverso il guscio e,
senza lasciare traccia, andava a tingere l’albume solidificato, sul quale poteva essere letto il messaggio.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 17
Università Telematica Pegaso Rimedi e contromisure
È necessario trovare un metodo il più possibile latente per occultare il testo cifrato
generico, ovvero deve mescolarsi e confondersi con la massa dei messaggi e delle comunicazioni
È decisivo evitare che un intruso possa entrare in possesso di una copia non alterata del
contenitore (ottenuta magari per ragioni di larga diffusione), perché in tal caso sarebbe semplice
Come per le chiavi nella crittografia è consigliabile non riutilizzare lo stesso contenitore più
Con le tecniche moderne e con i software più aggiornati è possibile occultare all’interno di
file digitali (come film, immagini o suoni) ogni tipo di messaggio segreto.
Con l’ausilio di software particolarmente evoluti vengono estratti da un file alcuni bit o unità
informative minime, che vengono sostituiti con lettere di testo che compongono il messaggio da
inviare al destinatario.
La sostituzione dei bit passa inosservata perché il file è composto da una pluralità di
informazioni elementari che non sono analizzabili esteriormente, ma richiedono una approfondita
In base all’origine del file contenitore è possibile distinguere il software in grado di creare
una codifica digitale di immagini, animazione o suoni, modificandolo in modo tale sia da contenere
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 17
Università Telematica Pegaso Rimedi e contromisure
dall’originale.
La tecnica impiegata dalla maggior parte dei programmi è concettualmente molto semplice:
sostituire i bit meno significativi dei file digitalizzati con le unità informative che costituiscono il
testo del messaggio segreto. Il file contenitore appare dopo l’iniezione steganografica del tutto
simile all’originale, con differenze all’apparenza difficilmente percettibili senza che possa accertarsi
che le eventuali perdite di qualità siano da imputare al rumore (fruscio di sottofondo nell’audio o
distorsione nelle immagini) ovvero alla presenza di un messaggio segreto. Il software di tipo
generativo, invece, parte dal messaggio segreto per produrre un opportuno contenitore idoneo a
Lo sforzo è di cercare di codificare il testo da occultare in modo che risulti uguale o al limite
Per elevare il livello di sicurezza si potrebbe crittografare il testo segreto prima di inserirlo
segreto, un attacco con successo ad uno stegosistema consiste nel disvelare che un determinato file
determinato file nasconde al suo interno un messaggio per poi eventualmente manipolare i dati allo
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 17
Università Telematica Pegaso Rimedi e contromisure
5 Il watermarking
In ambito informatico il termine watermarking è riferito all’inserimento di dati all’interno di
un file multimediale o di altro genere, che può essere successivamente rilevato o estratto per trarne
modo univoco e permanente il file, come una vera e propria firma, anche se il documento è
liberamente accessibile.
Questa tecnica si è diffusa, unitamente alle misure tecnologiche di protezione, per prevenire
la duplicazione abusiva e per tracciare i percorsi di fruizione dei file, nella prospettiva di
Figura 4
Le informazioni sull’origine e sulla provenienza del file possono essere evidenti per l’utente
latenti (celate all’interno del documento) e, in questo caso, il watermarking può essere considerato
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 17
Università Telematica Pegaso Rimedi e contromisure
Questa tecnica può essere usata anche per inserire un marker all’interno di file audio o video
e persino all’interno di flussi digitali come quelli usati nelle trasmissioni televisive (terrestri o
satellitari) in modo che, in caso di duplicazione, il marchio è a sua volta replicato anche in presenza
di modifiche o distorsioni.
La filigrana digitale rivela la lecita provenienza e gli eventuali usi abusivi di file come suoni,
A tal fine si utilizza il watermarking per apporre informazioni riguardanti i diritti digitali
destinatario.
Per l’impiego di una filigrana persistente il solo mezzo per eliminarla dall’opera è di
Un’altra applicazione del watermarking è l’associazione univoca ad altri dati per inserire
informazioni sensibili, che eventualmente possono essere cifrate per garantire maggior sicurezza.
(come esami radiografici, tomografie, risonanze magnetiche, ecc.) marcandole in modo da poter
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 17
Università Telematica Pegaso Rimedi e contromisure
sempre identificare con sicurezza il soggetto cui si riferiscono nel rispetto della riservatezza e della
obiettivi:
licenza;
Gli algoritmi di filigranatura non devono essere facilmente percepibili, ma devono rivelarsi
robusti, permanenti e resistenti ai tentativi di forzatura nel senso che non deve essere possibile
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 17
“ASPETTI FORENSICS”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 36
Università Telematica Pegaso Aspetti forensics
1 Le ragioni dell’anonimato
Una delle difficoltà che incontrano gli investigatori per la repressione dei reati è
Se nella vita reale l’impunità può essere ottenuta mediante la contraffazione e l’uso di
documenti falsi, in ambito virtuale si può ottenere l’invisibilità, far perdere le proprie tracce e
L’aspirazione di ogni criminale, anche se non dotato di elevate capacità tecniche, è quella di
diventare invisibile e di non essere scoperto. L’obiettivo può essere raggiunto cancellando le tracce
La rete offre molteplici strumenti per navigare nel più assoluto anonimato (come
generalità al momento della stipula del contratto con l’internet service provider, ecc.), forzando il
trovare svariate spiegazioni: essere un’altra persona, utilizzare pseudonimi o nomi di fantasia,
cambiare sesso, esprimere liberamente le proprie opinioni e partecipare alla vita sociale corrisponde
La maggior parte degli utenti non ha intenzioni malevoli, ma intende costruire la propria
persona e il proprio personaggio in rete, offrendo di sé solo una parte della personalità nell’ambito
della comunicazione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 36
Università Telematica Pegaso Aspetti forensics
L’era moderna ha oscurato l’importanza originaria dei nomi propri di persona, riducendo i
dati identificativi a un codice univoco (es. codice fiscale) con il quale la pubblica amministrazione
Nelle società meno articolate, invece, il nome è in grado di racchiudere informazioni sulla
genealogia dell’individuo che lo riconduce alla famiglia di appartenenza e al ruolo svolto all’interno
della comunità.
Lo pseudonimo utilizzato rappresenta il nome che la persona ha scelto per indicare una parte
di sé, una caratteristica della propria personalità e l’impronta che si intende fornire in rete.
propria esistenza o di partecipare alle mailing list, ai social network o a gruppi di aggregazione in
cui vengono condivisi linguaggi, rituali, relazioni, metodi di interazione, sistemi di norme e ruoli.
Spesso l’anonimato persegue intenti e scopi contrari alla legge come ad esempio comunicare
riservatamente informazioni su propositi illeciti o ottenere l’impunità dai reati commessi in rete.
collidere con la tutela di altri beni giuridici equivalenti o addirittura con i diritti dei terzi alla
Al progresso tecnico, economico e sociale della nostra epoca si accompagna, quasi per
correzione necessaria, un’accentuata fragilità delle difese che circondano la sfera della vita privata 1.
dei singoli individui e delle organizzazioni illecite, anche se il fenomeno è destinato ad aumentare
1
Le nuove frontiere dell’informazione hanno contribuito a creare innovative possibilità di occultamento,
mascheramento e investimento dei profitti provenienti da attività illecite. L’uso delle nuove tecnologie e la creazione di
un mercato virtuale basato sull’uso del denaro elettronico, rappresenta il conflitto del futuro tra legalità e criminalità,
nonché tra stabilità monetaria e sistemi di scambio finanziari. I nuovi strumenti di comunicazione mettono in contatto in
forma immediata e anonima una pluralità di soggetti, consentendo ai singoli associati e ai gruppi criminali di interagire
in modo globale e senza frontiere.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 36
Università Telematica Pegaso Aspetti forensics
In questo contesto, internet e il continuo sviluppo del commercio elettronico offrono nuove
Non è da sottovalutare la minaccia terroristica che sfrutta i mezzi informatici per diffondere
realizzazione di reati in maniera quasi completamente anonima con un livello di rischi molto basso.
delinquere finalizzata allo scambio di materiale pedopornografico nel caso in cui sussista una
«comunità virtuale in internet», stabile e organizzata, regolata dalle disposizioni dettate dal
promotore e gestore, volta allo scambio e alla divulgazione, tra gli attuali membri e i futuri aderenti,
Sotto il profilo del dolo tutti gli aderenti al gruppo criminale devono essere edotti dello
La permanenza nel gruppo è condizionata dall’invio effettivo delle foto e, del resto, la fitta
rete di regole imposte non consente una visita occasionale del sito-web (per mera curiosità), ma
richiede il compimento di più operazioni di scambio e la piena consapevolezza del contenuto e dello
scopo del gruppo, nonché l’accettazione delle finalità perseguite dalla comunità in cui si entra a far
parte.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 36
Università Telematica Pegaso Aspetti forensics
2 Anonimato e spamming
Lo spamming descrive un fenomeno molto diffuso nelle comunicazioni elettroniche e
riguarda l’invio di materiale pubblicitario non richiesto e, spesso, non desiderato. La ricezione di
commerciale o di vendita diretta, senza che gli interessati abbiano preventivamente manifestato il
L’utilizzo eccessivo della posta elettronica comporta una lesione ingiustificata dei diritti dei
destinatari, costretti ad impiegare tempo e risorse per attivare la connessione e per ricevere, come
pure per esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o leggibili, oppure ad
installare filtri per verificare più attentamente la presenza di virus o a cancellare rapidamente
messaggi produce una congestione della rete per l’elevato traffico telematico, oltre che danni di
maggiormente capillare e pervasiva con costi ridotti rispetto alla diffusione di volantini, alla stampa
email ha un costo che non è a carico del mittente ma viene riversato ingiustificatamente sul
destinatario.
Gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto
della normativa sulla privacy: la loro utilizzazione per scopi promozionali e pubblicitari è lecita solo
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 36
Università Telematica Pegaso Aspetti forensics
informato.
Il consenso dell’interessato è necessario anche quando gli indirizzi sono formati e utilizzati
preventiva verifica della loro attuale attivazione o dell’identità del destinatario del messaggio.
Il meccanismo di contrasto allo spamming è stato fondato negli ordinamenti giuridici sulle
- l’“opt-out” consente l’invio di email salvo espresso rifiuto del destinatario, che
esplicito e in forma differenziata rispetto alle diverse finalità e alle categorie di servizi e prodotti
L’utilizzo della posta elettronica per l’invio di messaggi pubblicitari è disciplinato in sede
comunitaria dalla direttiva 2002/58/Ce sul trattamento dei dati personali nel settore delle
telecomunicazioni, che pone il principio generale secondo cui l’uso dei sistemi automatizzati di
chiamate senza l’intervento di un operatore, del telefax o della posta elettronica a fini di
commercializzazione diretta è lecito solo verso gli abbonati che hanno previamente fornito il loro
consenso.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 36
Università Telematica Pegaso Aspetti forensics
specifica e informata a mezzo della quale la persona interessata accetta che i propri dati personali
Se anche gli indirizzi di posta elettronica possono essere reperiti in rete con una certa
per inviare messaggi pubblicitari. esistono software in grado di rastrellare indirizzi sul web
mediante prelievo da siti, portali, forum e newsgroup che sono immagazzinati in banche dati private
I dati dei singoli utenti che prendono parte a gruppi di discussione sono resi conoscibili in
rete per le sole finalità di partecipazione a una determinata discussione e non possono essere
Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettronica compresi
nell’elenco degli abbonati ad un internet service provider, oppure pubblicati su portali di soggetti
Il titolare del trattamento deve assicurare in ogni caso agli interessati la possibilità di far
valere in ogni momento i diritti riconosciuti dalla legge, che sono esercitati per conoscere da quale
fonte sono stati estratti i dati o per interrompere la loro ulteriore utilizzazione a fini commerciali o
L’art. 130 del D.lgs. 30 giugno 2003, n. 196 (c.d. codice della privacy), vieta le
comunicazioni indesiderate e, in ogni caso, l’invio di materiale pubblicitario o di vendita diretta per
promozionale, camuffando o celando l’identità del mittente e senza fornire un idoneo recapito. tale
disposizione si applica anche alle comunicazioni elettroniche, effettuate per le suddette finalità
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 36
Università Telematica Pegaso Aspetti forensics
Affinché il flusso telematico attraverso la posta elettronica sia legittimo, ogni scambio di
messaggi deve essere consensuale e, in ambito telematico, il destinatario deve aver autorizzato la
comunicazione in modo esplicito o implicito. Il principio è stato ribadito anche dall’art. 58 del
D.lgs. 6 settembre 2005, n. 206 (codice del consumo) secondo il quale l’impiego da parte di un
professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza
L’art. 15 del D.lgs. 30 giugno 2003, n. 196 prevede espressamente che chiunque cagiona
danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art.
2050 c.c. La norma rafforza la tutela degli utenti aggiungendo che è risarcibile anche il danno non
patrimoniale.
La scelta legislativa concede una particolare protezione al titolare della casella di posta
elettronica, perché la norma rientra tra le previsioni che delineano una responsabilità aggravata del
danneggiante per l’illiceità del trattamento dei dati personali e per l’intrusione della sfera privata del
destinatario.
Il danneggiato che ricorra in giudizio per ottenere un risarcimento potrà limitarsi a provare
l’avvenuta violazione delle norme a tutela della privacy, mentre il danneggiante dovrà dimostrare di
Le conseguenze più gravi discendono sotto il profilo penalistico dall’art. 167 del D.lgs. 30
giugno 2003, n. 196, secondo il quale, salvo che il fatto costituisca più grave reato, chiunque, al fine
di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati
personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in
applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto
mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro
mesi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 36
Università Telematica Pegaso Aspetti forensics
necessario che il titolare del trattamento abbia agito al fine di trarne profitto o per arrecare un danno
all’interessato. Affinché risulti integrato il reato non è sufficiente che sia stato inviato materiale
pubblicitario nell’altrui casella di posta elettronica, ma si richiede che il destinatario abbia ricevuto
un effettivo danno dall’invio delle comunicazioni indesiderate e che la trasmissione del messaggio
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 36
Università Telematica Pegaso Aspetti forensics
L’attività, spesso occulta, di raccolta dei dati rimane pressoché invisibile all’utente che non
ha sviluppato una sensibilità e un’adeguata consapevolezza sulle problematiche legate alla privacy
in internet, che è alla base della profilazione degli utenti e dell’invio di messaggi pubblicitari non
sollecitati.
ipotesi è fatto obbligo ai cittadini di esibire i documenti alle forze di polizia al fine di farsi
L’art. 294 r.D. 6 maggio 1940, n. 635, stabilisce che la carta d’identità o titoli equipollenti
devono essere esibiti ad ogni richiesta degli ufficiali e degli agenti di pubblica sicurezza.
c.p. che punisce il rifiuto di fornire indicazioni sulla propria identità personale, sul proprio
L’anonimato nel cyberspazio corrisponde all’esigenza di evitare che altri possano captare
tuttavia l’anonimato non può di per sé essere elevato a libertà fondamentale dell’individuo
nei rapporti comunicativi, a meno che non sia associato alla tutela di altri diritti e ad interessi
Il codice della privacy ha dedicato alcune disposizioni alla raccolta di informazioni nei
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 36
Università Telematica Pegaso Aspetti forensics
all’identificazione della linea, ai dati sull’ubicazione, agli elenchi degli abbonati e alle
comunicazioni indesiderate.
L’art. 4, comma 1, lett. n), definisce anonimo “il dato che in origine, o a seguito di
di dato personale è di tipo funzionale perché comprende ogni categoria di informazione che,
associare i dati ad una persona non prevede l’obbligo di richiedere il consenso al trattamento delle
trattamento, che può ritenersi legittimo solo quando sia necessario e i dati personali (strettamente
inerenti alle finalità delle operazioni) non siano comunque resi anonimi.
In tema di diritti dell’interessato l’art. 7 comma 3 lett. b), stabilisce che l’interessato ha il
diritto di ottenere, tra l’altro, la cancellazione, la trasformazione in forma anonima o il blocco dei
dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in
relazione agli scopi per i quali sono stati raccolti o successivamente trattati.
Il principio di necessità trova applicazione concreta anche nel settore pubblico, con
riferimento a dati particolarmente delicati o sensibili. L’art. 22, comma 3, afferma che i soggetti
pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività
istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati
Con specifico riferimento alle comunicazioni elettroniche, l’art. 123 impone al fornitore di
pubblico che i dati relativi al traffico riguardanti abbonati ed utenti siano cancellati o resi anonimi
quando non sono più necessari ai fini della trasmissione della comunicazione elettronica.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 36
Università Telematica Pegaso Aspetti forensics
L’art. 175 del medesimo codice, nel modificare l’art. 10 della Legge 1 aprile 1981 n. 121,
riguardante i controlli sui centri di elaborazione dati, ha riconosciuto alla persona alla quale si
anonima.
Il cyberspazio è diventato una proiezione spaziale della persona e della sua vita privata, che
rappresenta un ambiente parallelo dove l’individuo esprime e manifesta anche il proprio lato
criminale.
informatiche o telematiche anonime, la cui valenza è stata percepita come scarsamente pericolosa,
ma gli unici riferimenti normativi si rinvengono nel codice penale negli artt. 367, 368 e 369 relativi
alla simulazione di reato, alla calunnia e all’autocalunnia anonima o sotto falso nome.
anonime di realizzazione delle condotte o di aggressione ai beni giuridici tutelati e alla riservatezza
elaborazione automatizzata dei dati, il legislatore è intervenuto per sanzionare quelle condotte che si
L’art. 2 bis della Legge 2 ottobre 1967, n. 895 (recante disposizioni per il controllo delle
armi) punisce con la reclusione da uno a sei anni, salvo che il fatto costituisca più grave reato,
chiunque, fuori dei casi consentiti da disposizioni di legge o di regolamento addestra taluno o
fornisce istruzioni in qualsiasi forma, anche anonima, o per via telematica sulla preparazione o
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 36
Università Telematica Pegaso Aspetti forensics
di istruzioni in qualsiasi forma, anche anonima o per via telematica, sulla preparazione o sull’uso di
pericolose e di altri congegni micidiali solo qualora le condotte siano state realizzate al di fuori dei
casi consentiti dalla legge o dai regolamenti, laddove l’art. 270 quinquies c.p. (addestramento ad
attività con finalità di terrorismo anche internazionale) dovrebbe trovare applicazione nei casi in cui
le stesse condotte (e/o quelle volte a fornire istruzioni sull’uso di ogni altra tecnica o metodo per il
Gli attacchi informatici possono essere compiuti da notevole distanza in modo anonimo per
mezzo di software sempre più sofisticati che abilitano gli utenti a scambiare messaggi o
comunicazioni riservate.
Per combattere il fenomeno importanti disposizioni sono state introdotte dal D.L. 27 luglio
2005, n. 144 convertito, con modificazioni, nella legge 31 luglio 2005, n. 155, recante misure
telematiche, nonché a tutti coloro che gestiscono anche gratuitamente terminali, access-point e altri
Secondo la giurisprudenza non è sottoposta alla licenza del questore la mera possibilità di
accesso a linee ISDN e aDSL in mancanza della messa a disposizione, da parte dell’esercente, di
2
Cassazione penale, sez. I, 12 giugno 2007, n. 28444, in CED Cass. pen., 2009, 7-8, p. 2828.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 36
Università Telematica Pegaso Aspetti forensics
La legislazione ha obbligato i gestori dei servizi telematici alla conservazione dei dati del
traffico telefonico o telematico e ha introdotto per gli “internet- point” alcuni doveri di
Decreto del Ministero dell’Interno 16 agosto 2005 (misure di preventiva acquisizione di dati
anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni
quale sono poste a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali utilizzabili
e mantenere i dati relativi alla data ed ora della comunicazione e alla tipologia
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 36
Università Telematica Pegaso Aspetti forensics
e) rendere disponibili, a richiesta, anche per via telematica, i dati acquisiti, esclusi
Le maggiori difficoltà di identificazione provengono dai soggetti che offrono accesso alle
reti telematiche utilizzando tecnologie senza fili in aree messe a disposizione del pubblico.
I gestori ove non possano identificare tutti gli utenti che effettuano connessioni wireless,
sono tenuti ad adottare le misure fisiche o tecnologiche per impedire l’uso degli apparecchi
terminali.
idonei a celare o mutare l’identità digitale (utilizzo di remailer, appropriazione delle altrui
L’invisibilità in rete può essere ancora raggiunta mediante l’accesso abusivo a reti wireless
non protette, che si caratterizza per l’utilizzo dell’altrui linea, in modo da evitare la rintracciabilità e
La mancata protezione della rete wireless non appare idonea a integrare il reato di accesso
abusivo ad un sistema informatico o telematico (art. 615 ter c.p.) per l’assenza di barriere in grado
di interdire l’accesso.
dell’accesso e alle modalità utilizzate dall’autore per neutralizzare e superare le misure di sicurezza
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 36
Università Telematica Pegaso Aspetti forensics
(chiavi fisiche o elettroniche, password, ecc.) apprestate dal titolare del sistema al fine di impedire
intrusioni indesiderate.
Il reato è integrato dall’ingresso non autorizzato nel sistema informatico, che mette a rischio
la riservatezza del domicilio elettronico, indipendentemente dallo scopo che si propone l’autore
dell’accesso abusivo8.
In materia di elenco abbonati e servizi di consultazione di S.I.M. card è stato previsto che
ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati
del Ministero dell’interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico
prepagato della telefonia mobile, che sono identificati prima dell’attivazione del servizio, al
Le imprese adottano tutte le necessarie misure affinché venga garantita l’acquisizione dei
dati anagrafici, nonché del tipo, del numero e della riproduzione del documento di identità
L’autorità giudiziaria ha facoltà di accedere per fini di giustizia agli elenchi in possesso del
centro di elaborazione dati del Ministero dell’Interno per soddisfare l’esigenza di effettuare un
efficiente e celere incrocio dei dati idonei all’individuazione anagrafica del titolare che utilizza
un’utenza radiomobile.
negli archivi informatici che il gestore sottopone a trattamento e monitoraggio per lo svolgimento
dei servizi di telecomunicazione, per il contrasto di eventuali frodi, oltre che per finalità contabili e
L’art. 132, D.Lgs. 30 giugno 2003 n. 196 stabilisce che i dati relativi al traffico telefonico
sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 36
Università Telematica Pegaso Aspetti forensics
accertamento e repressione dei reati mentre, per le medesime finalità, i dati relativi al traffico
telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
18 di 36
Università Telematica Pegaso Aspetti forensics
4 Anonimato e tecnologia
Ogni sistema di comunicazione digitale è dotato di un apparato trasmittente e di un
informazioni. Internet è una rete all’interno della quale le informazioni, prima di essere inviate,
vengono suddivise in pacchetti trasmessi separatamente dal sistema informatico del mittente
all’elaboratore elettronico del destinatario, che provvederà a ricomporre i dati in modo tale da
La struttura a maglia della rete consente ai singoli nodi di essere collegati tra loro anche da
percorsi diversi, il che conferisce robustezza all’intera architettura del sistema che potrà funzionare
disaggregata in più pacchetti, possa seguire tracciati diversi per porre in comunicazione il mittente e
il ricevente.
fornire gli applicativi all’utente e a porre a disposizione le funzionalità di base necessarie per creare
la comunicazione.
Per poter stabilire una comunicazione digitale tra i dispositivi è necessario identificare in
modo univoco i soggetti che dialogano: ogni computer e sistema che è interconnesso alla rete
Protocol).
gruppi di numeri separati da un punto che individuano la rete interna e il dispositivo in quel
momento interconnesso.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
19 di 36
Università Telematica Pegaso Aspetti forensics
I dati della connessione relativi all’identificazione del sistema (username e indirizzo IP), alle
pagine richieste, ai file o ai programmi scaricati, all’utilizzo dei servizi offerti dal server, agli
accessi a un sito, allo scaricamento di pagine o file, alle conversazioni in chat, alla partecipazione a
newsgroup, alla trasmissione o alla ricezione di posta elettronica, alla data e all’ora in cui il
Per risalire alla macchina connessa alla rete, senza possibilità di confusione con le attività
poste in essere da altri utenti, è sufficiente abbinare l’indirizzo IP all’utenza telefonica del titolare i
cui dati sono archiviati nei file di log del gestore dei servizi telematici.
Un limite, sia per le ricerche sul territorio nazionale che per quelle all’estero, deriva dal fatto
che i server conservano i file di log per un periodo temporale limitato, non esistendo (in alcune
È fondamentale, poi, il fattore temporale, perché occorre confrontare il tempo dei sistemi sui
quali sono stati registrati i file di log con l’ora esatta: solo in questo modo si potranno individuare
con esattezza i tempi di assegnazione degli IP dinamici e correlare in maniera esatta gli eventi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
20 di 36
Università Telematica Pegaso Aspetti forensics
leggere documenti o scaricare file impedendo di risalire al mittente e al destinatario del flusso
telematico.
contengono al loro interno informazioni univoche per riconoscere coloro che hanno inviato e
ricevuto ogni pacchetto di dati, così come nel sistema postale il destinatario deve essere individuato
Dal punto di vista tecnico ogni sito o portale telematico è dotato di un “web server” che,
quando viene interrogato dal browser interconnesso per l’apertura di una home-page, restituisce il
risultato all’interno del sistema informatico del richiedente contraddistinto da un ben preciso
indirizzo IP.
Quando il browser instaura una connessione con il server del sito telematico scambia
pacchetti di dati che, oltre a contenere l’indirizzo IP del portale contattato, include anche
l’identificativo IP dell’utente.
la navigazione telematica per la ragione che ogni web server si troverebbe nell’impossibilità di
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
21 di 36
Università Telematica Pegaso Aspetti forensics
5 I server proxy
Quando il browser attiva una connessione tCP\IP vengono scambiati pacchetti di dati che
(client).
impedirne l’identificazione e da non lasciare traccia della navigazione nei file di log.
l’indirizzo ove restituire i risultati delle richieste dei servizi attivati e delle pagine web da aprire.
La soluzione è offerta dai server proxy, che si interpongono tra il client ed il server,
L’utente si collega al proxy invece che direttamente al server di un sito telematico e gli invia
le richieste: il proxy a sua volta, fungendo da intermediario, si collega al server e inoltra la richiesta
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
22 di 36
Università Telematica Pegaso Aspetti forensics
Figura 1
Questa architettura di rete è caratterizzata da due interfacce, una verso l’utente e l’altra verso
1) il server proxy sostituisce nell’intestazione del pacchetto dei dati all’indirizzo del
2) il web server contattato non vede più l’indirizzo IP del mittente ma quello del server
3) il server proxy riceve le informazioni e inserisce nel pacchetto dei dati l’indirizzo del
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
23 di 36
Università Telematica Pegaso Aspetti forensics
Mediante il meccanismo descritto il web server non riesce a risalire al sistema informatico e
Per aumentare la sicurezza e la non rintracciabilità delle informazioni che sono poste a
I server proxy sono classificati in funzione del livello di anonimato che riescono a fornire:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
24 di 36
Università Telematica Pegaso Aspetti forensics
6 Le reti anonime
Il sistema più avanzato per la gestione e la garanzia dell’invisibilità è la rete tor, che è
web.
L’elevato livello della riservatezza che la rete tor è in grado di offrire può essere sfruttato per
garantire comunicazioni con fonti confidenziali e strategiche, per prevenire intercettazioni, per
La rete tor, funzionante con il protocollo “onion routing”, fornisce due servizi:
Le connessioni anonime vengono effettuate con un apposito software che stabilisce, con
imprevedibile e casuale attraverso gli onion routers, che nascondono le tracce degli utenti al punto
che, intercettando un singolo nodo, è impossibile risalire alla provenienza e alla direzione dei dati.
La tecnologia tor garantisce agli utenti una tutela contro l’analisi del traffico, che è una
personali. tor mira a elevare la complessità dell’analisi di traffico, impedendo che terzi scoprano
l’origine delle comunicazioni e risalgano all’identità degli utenti e al luogo da cui è stata aperta la
connessione9.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
25 di 36
Università Telematica Pegaso Aspetti forensics
Ogni onion router stabilisce a quale nodo della rete spedire i pacchetti e negozia una coppia
di chiavi crittografiche per spedire i dati; allo stesso tempo, l’onion proxy fornisce un’interfaccia
tramite la quale qualsiasi software interconnesso alla rete può comunicare in forma anonima.
Il percorso che il messaggio segue all’interno della rete è scelto in modo casuale e varia di
volta in volta (ovvero due messaggi inviati da un client allo stesso server seguiranno percorsi
diversi).
Ciascun nodo non conosce il percorso che la comunicazione segue all’interno della rete tor,
ma indirizza il pacchetto di dati dal punto che gli ha inviato il messaggio a quello successivo. La
comunicazione viaggia cifrata fin dal suo ingresso nella rete fino all’arrivo al nodo di uscita: il nodo
di uscita decifra il messaggio che è inviato in chiaro al server di destinazione, che considererà il
punto finale della rete Tor come il client che gli ha spedito le informazioni.
Il messaggio di risposta è inoltrato dal server al nodo di uscita, che lo instrada lungo la rete
crittografato con altre chiavi e transiterebbe, all’interno della rete tor, attraverso un percorso
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
26 di 36
Università Telematica Pegaso Aspetti forensics
Figura 2
La rete tor, inoltre, fornisce servizi nascosti (hidden services), per occultare la posizione
siti web in cui pubblicare materiale senza che possano intervenire azioni di contrasto o censure.
particolare dominio (o indirizzo IP) attraverso stati, regioni o continenti differenti, rendendo
efficacemente garantire anonimato ai server affinché la localizzazione all’interno della rete sia
sconosciuta. La sicurezza del sistema cresce proporzionalmente al numero degli utilizzatori e degli
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
27 di 36
Università Telematica Pegaso Aspetti forensics
In ordine alla legittimità di questa architettura di rete è aperto il dibattito sulla riservatezza in
Sul piano investigativo deve rilevarsi che l’eventuale sequestro di alcuni nodi della rete
potrebbe rivelarsi un’operazione del tutto inefficace, perché il contenuto della comunicazione è
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
28 di 36
Università Telematica Pegaso Aspetti forensics
I dati informatici elaborati dalla macchina formano un campo che prende il nome di
dal mittente al destinatario e identifica l’internet service provider presso il quale si trova l’account
Alcune sezioni sono modificabili con specifici programmi direttamente dal mittente che
voglia camuffare la propria identità, anche se l’alterazione può essere facilmente verificata
comparando gli headers del messaggio con i file di log dei server attraverso i quali è transitata
l’email.
L’indirizzo IP di partenza è l’unico elemento che può essere estratto dagli header di
Per proteggere l’identità nell’invio dei messaggi di posta elettronica i servizi di anonymous
destinazione richiesta dal mittente dopo aver effettuato la rimozione e la sostituzione degli header
che servono ad identificare l’autore della comunicazione (campi “From:”; “returnPath:”; “X-
Sender”).
Gli anonymous remailer sono classificabili in diverse categorie, in funzione del livello di
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
29 di 36
Università Telematica Pegaso Aspetti forensics
un semplice “reply”) può rispondere tramite lo stesso re- mailer, che riconosce
anonimato offerto è molto basso, atteso che il server e gli operatori conoscono
i dati reali del mittente, i file di log vengono conservati, non è permesso
concatenare vari remailer tra loro e non sono accettate email criptate.
dell’invio.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
30 di 36
Università Telematica Pegaso Aspetti forensics
Figura 3
utilizzare più remailer in sequenza, ognuno dei quali decifra una parte di header
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
31 di 36
Università Telematica Pegaso Aspetti forensics
disponibile in rete, di una connessione internet, di una scheda audio, di un microfono e di una
webcam per le chiamate video. Skype utilizza un protocollo segreto e proprietario per offrire servizi
(come telefonia, chat, archiviazione delle conversazioni, trasferimento di file) e comunicazioni peer
to peer (P2P): i singoli client interagiscono tra di loro e svolgono le funzioni di vettore per le
Il servizio peer to peer basa il suo funzionamento sulla realizzazione di una diffusa rete di
computer che condivide le proprie risorse interagendo in modo diretto e paritario senza la necessità
peer to peer tutti i computer rivestono paritariamente sia la funzione di “client” sia quella di
“server”.
chiamate, per trasportare i dati e per migliorare la qualità della voce durante le conversazioni.
gratuite, cede una piccola parte delle proprie risorse di banda per trasportare le altrui comunicazioni.
I supernodi (normali client di Skype) forniscono servizi alla rete, gestiscono una lista di
affidabilità.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
32 di 36
Università Telematica Pegaso Aspetti forensics
I dati, trasmessi in formato digitale, sono cifrati tramite algoritmi non divulgati
pubblicamente, con un grado di protezione delle comunicazioni comparabile a quello dei modelli
La gestione del traffico è affidata ai nodi client scelti casualmente tra quelli dotati di un
collegamento a banda larga, mentre i dati non vengono memorizzati su un server, ma sono inviati
criptati all’interno della rete con l’algoritmo aeS (tra gli standard più avanzati e sicuri).
Tutti i pacchetti di comunicazione (traffico voce, instant messaging e file transfer) circolano
tra i supernodi, che non sono comunque in grado di interpretare e decodificare le informazioni, che
sono criptate dall’origine fino alla destinazione con algoritmi molto resistenti.
Quando viene stabilita una connessione P2P con un altro client, ogni comunicazione viene
crittografata con una chiave di sessione creata con i certificati personali degli utenti firmata con la
chiave dal server: ogni chiave ha la durata della sessione e rimane in memoria fino alla chiusura del
client.
destinatario siano contemporaneamente connessi a internet, come accade per i sistemi di instant
Quando la polizia giudiziaria si imbatte in utenti che conversano utilizzando Skype, pur
captando il flusso di dati, non riesce ad ascoltare le conversazioni, che risultano incomprensibili per
comunicazione genera password temporanee diverse ogni volta che inizia una comunicazione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
33 di 36
Università Telematica Pegaso Aspetti forensics
Nonostante le pressioni sin qui esercitate dalle autorità governative per indurre Skype a
fornire gli strumenti tecnologici in grado di intercettare le telefonate sui client di messaggistica e
industriale e di svelare gli algoritmi e i codici sorgente per decifrare i segnali digitali.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
34 di 36
Università Telematica Pegaso Aspetti forensics
9 Applicazioni future
La possibilità che la crittografia possa contribuire a risolvere le questioni relative alla
sicurezza delle comunicazioni telematiche e dei dati informatici spinge gli studiosi ad ideare nuovi
algoritmi o protocolli.
essere;
- Peer to Peer (P2P): la rete peer to peer è generalmente utilizzata per lo scambio
rete per fini commerciali o per usi privati in cui prevale, rispettivamente,
telematici;
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
35 di 36
Università Telematica Pegaso Aspetti forensics
- Digital Right Management (DRM): la protezione del diritto d’autore tenderà per
modo che i contenuti multimediali possano essere fruiti solo dai soggetti
legittimati.
- Biometria: il riconoscimento delle persone non avverrà più con gli strumenti
ad apparecchi diversi (fissi o mobili) e ai dati in essi archiviati. La crittografia fornirà algoritmi,
metodi e protocolli per offrire sicurezza, protezione e disponibilità nell’accesso alle informazioni.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
36 di 36
“CONCLUSIONI”
Indice
1 CONCLUSIONI ---------------------------------------------------------------------------------------------------------------- 3
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 5
Università Telematica Pegaso Conclusioni
1 Conclusioni
La crittografia è giunta ad un punto decisivo con il metodo quantistico che sembra aver
escogitato un metodo di cifratura assolutamente inespugnabile: gli esperti del settore sostengono
che nessuna geniale intuizione crittoanalitica riuscirà per il futuro a scalfire minimamente la
Più volte nella storia dell’uomo i codici apparentemente più inviolabili sono stati decifrati
sfruttando le criticità, le fragilità e i punti deboli di qualsiasi tecnica di cifratura. Si potrebbe, quindi,
supporre che è solo questione di tempo prima che anche il metodo crittografico più sicuro riveli la
In realtà la situazione odierna è ben diversa da qualsiasi altra: la sicurezza di questo metodo
La crittografia quantistica è invece costruita su base teorica (la teoria dei quanti) e, se si
quantistica è ancora alle prese con i suoi limiti pratici, che ne limitano l’utilizzo su larga scala con
passato, può agevolmente prevedersi che le applicazioni oggi riservate ai settori tecnologicamente
A questo punto viene in rilievo il “paradosso della crittografia”, che impone al legislatore di
individuare un armonico punto di equilibrio tra tutela del singolo e sicurezza collettiva.
cittadini, la polizia giudiziaria e i servizi preposti a garantire la sicurezza nazionale non potrebbero
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 5
Università Telematica Pegaso Conclusioni
più esercitare alcun controllo sulle informazioni che viaggiano in rete e sui dispositivi di
comunicazione.
La società, per tutelare la libertà degli utenti, potrebbe correre il rischio di elevare il livello
Il paradosso si manifesta per la prima volta nella società contemporanea perché storicamente
le comunicazioni segrete o riservate sono state associate all’ambiente politico o militare, senza
l’interesse o il bisogno di far viaggiare i flussi comunicativi al riparo dalle altrui indiscrezioni.
sicurezza pubblica, ma probabilmente questa aspirazione sarà per sempre un’idea utopica.
limiti tecnologici verso i quali la ricerca è destinata a orientarsi. Il futuro sembra riservare servizi
web sempre più intelligenti ed evoluti, come motori di ricerca che si adattano alle esigenze e alle
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 5
Università Telematica Pegaso Conclusioni
Per poter realizzare questi obiettivi i servizi telematici e i portali web dovranno essere
intelligenti e sempre più affamati di informazioni personali per servire in maniera efficiente
l’utilizzatore: solo un dispositivo o una risorsa informatica che conosce le abitudini e le preferenze
Per quanto una tecnica possa essere tecnicamente infallibile, la sua sicurezza dipenderà
sempre dalle persone che la sfruttano nella pratica e la mente umana, fortunatamente, non è
programmabile.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 5
“INTRODUZIONE”
Indice
1 INTRODUZIONE -------------------------------------------------------------------------------------------------------------- 3
2 LA VITA PRIVATA NELLA SOCIETÀ TECNOLOGICA ---------------------------------------------------------- 7
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 9
Università Telematica Pegaso Introduzione
1 Introduzione
È una prassi sempre più comune per le persone effettuare operazioni che prevedano
spostamenti di denaro attraverso internet e la sua rete (acquisti e/o pagamenti online, bonifici, ecc.).
Un tempo, per effettuare queste operazioni ci si recava in banca o presso istituti finanziari che
computer da cui, attraverso un sistema di autenticazione, si può accedere ai servizi di home banking
associati al proprio conto corrente. Per accedere a tali servizi online, si utilizza un personal
computer che non garantisce gli stessi standard di sicurezza offerti dall’istituto finanziario.
La maggior parte degli utenti ha installato sui propri computer un antivirus per proteggersi
da eventuali programmi malevoli (c.d. virus); solo alcuni hanno sistemi anti-spyware contro
software che raccolgono informazioni sugli utenti a scapito della loro privacy (c.d. spyware). In
pochi usano un fire- wall professionale diverso da quello di windows a protezione del proprio pc e
dei propri dati e quasi nessuno utilizza sistemi di rilevazione di intrusione avanzati sulle proprie reti
a difesa di connessioni esterne non autorizzate. Inoltre sono ancora in molti a non effettuare un
costante e periodico aggiornamento dei software del proprio sistema: il motivo va rintracciato nella
scarsa percezione del pericolo; le aziende, pur conoscendo l’importanza di mantenere sempre
aggiornati i sistemi informatici, tendono a non effettuare questa operazione, poiché in architetture
complesse esiste il rischio di errori imprevisti durante l’aggiornamento dei sistemi stessi, che si
traducono in un blocco temporale delle attività produttive, con ulteriori costi per il loro ripristino.
La minaccia più grande sulla rete è rappresentata dai Malware ovvero dai codici maligni.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 9
Università Telematica Pegaso Introduzione
Infezioni drive-by (per es., virus, cavalli di troia, ecc.) scaturite dalla normale visita ad una pagina
web compromessa. A tal fine i criminali sfruttano soprattutto le falle di sicurezza del sistema
operativo e del browser, anche se prendono di mira altri programmi, come Adobe Flash Player,
È, per fortuna, una prassi consolidata quella di usare gli antivirus: sono in pochi quelli che
pensano di non avvalersi di alcun tipo di antivirus solo perché utilizzano un sistema operativo come
Mac oS X, oppure una distribuzione di Linux (Ubuntu, Red Hat, Debian, ecc.) o, ancora, BSD o
Solaris.
Tutti i sistemi operativi sono potenzialmente vulnerabili ai Malware che vengono scritti per
motivi specifici: per colpire ad esempio, il maggior numero di macchine possibili (sistemi windows)
oppure penetrare in sistemi particolari con funzioni critiche (sistemi scada), il loro sviluppo è
Qualche tempo fa, una ‘leggenda metropolitana’ considerava i sistemi basati su Unix non
erano effettivamente pochi. Per questo motivo gli utenti di Mac oS X o di Linux, ad
Nel gennaio del 2012, Symantec ha pubblicato in rete i risultati di un’indagine che vedeva
coinvolti 600.000 Computer Mac oS X aggiornati all’ultima versione e infettati dal trojan
Flashback. Si trattava, in particolare, di un malware che utilizzava una falla presente in JaVa 6 per
infettare il sistema: il trojan scaricava un pacchetto e lo installava a sua volta; a questo punto, il
browser del sistema operativo, nello specifico Safari, veniva sistematicamente dirottato verso siti
web malevoli.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 9
Università Telematica Pegaso Introduzione
debellato sui sistemi windows nel febbraio 2012; su oS X, invece, nello stesso periodo era ancora
funzionante.
Il 13 aprile 2012, sul sito di supporto della Apple veniva rilasciato il comunicato riguardante
Secondo la società produttrice di antivirus F-Secure, la maggior parte dei sistemi vedeva
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 9
Università Telematica Pegaso Introduzione
Il numero dei pc infetti dopo mesi dal rilascio del software correttivo era ancora alto. Si
ritiene con buona probabilità che i proprietari di tali macchine non abbiano installato un antivirus e
non si siano ancora accorti del problema; quindi, non hanno ancora provveduto ad installare i
necessari aggiornamenti di sicurezza effettuando semplicemente una scansione con gli appositi tool
anti-malware rilasciati dalla Apple. anche note aziende produttrici di antivirus quali Symantec e F-
Secure hanno rilasciato il loro removal tool per questo specifico problema, che può ripristinare il
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 9
Università Telematica Pegaso Introduzione
fondamentali stabilisce che “ogni persona ha diritto al rispetto della sua vita privata e familiare,
La norma intende tutelare lo spazio entro cui il singolo può liberamente esprimere la propria
La vita privata rappresenta un luogo inaccessibile alle altrui interferenze e consiste in uno
della persona.
Il bisogno di privacy si confronta attualmente con le condizioni in cui si svolge la vita degli
Nel passato il rispetto della vita privata poteva essere agevolmente tutelato dall’interessato
con l’osservanza di semplici ed elementari accorgimenti. Per proteggere l’intimità di ogni azione
era sufficiente mettersi al riparo dalle indiscrezioni che si potevano compiere nell’ambito dei
Per l’epoca l’idea di privacy consisteva in un’estensione ideale (nella sfera non materiale)
dei principi che garantivano la difesa della proprietà privata. Le mura di un’abitazione, la solitudine
di un luogo scarsamente frequentato e il tono sommesso della parola erano sufficienti ad assicurare
la tutela della riservatezza e ad escludere la diffusione della conoscenza dei gesti e delle azioni di
uno o più individui uniti tra loro da un vincolo di segretezza. anche lo svolgimento di attività a
carattere continuativo, come frequentazioni o contatti tra le persone poteva essere coperto da
spostamenti o agli incontri, senza lasciare documenti, segni compromettenti o elementi indicativi
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 9
Università Telematica Pegaso Introduzione
Nel mondo della tecnica moderna non è invece possibile sfuggire alle intromissioni nella
vita privata, o addirittura alla sorveglianza continua, per la ragione che gli strumenti a disposizione
Si può ben dire che le forme artificiali di conoscenza hanno acquistato una dimensione che
in altri tempi era attribuita esclusivamente alle potenze e alle forze sovrannaturali. Le tecniche di
subdolo.
individuare percorsi di navigazione, catturare dati relativi a pagamenti elettronici, tracciare gli
spostamenti fisici della persona con modalità innovative che fanno discendere implicazioni sociali e
Si tratta di un’esposizione continua all’altrui indiscrezione per cui ogni utente delle attuali
tecnologie è sottoposto ad una permanente sorveglianza anche negli atti più elementari della vita
privata, che prima sarebbe stato difficile documentare nella loro varietà e molteplicità. La maggior
parte delle informazioni e delle tracce che l’individuo forniva sui propri atti erano destinate a
e stampare i dati richiesti selezionandoli tra una molteplicità di informazioni relative alla rete delle
relazioni interpersonali che divengono sempre più fitte per la progressiva “computerizzazione” della
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 9
Università Telematica Pegaso Introduzione
Per stabilire una condizione di limitata diffusione di informazioni della vita privata sono
ipotizzabili vari stadi di progressione nel processo di controllo sulla circolazione dei dati personali:
l’esterno;
Le tecniche di raccolta dei dati e di tracciamento del profilo individuale, rese possibili dalle
nuove tecnologie, determinano il rischio che la personalità dell’utente venga frammentata, a sua
insaputa, in una molteplicità di banche dati offrendo una raffigurazione parziale e potenzialmente
pregiudizievole della persona, che verrebbe così ridotta alla mera sommatoria delle sue proiezioni
elettroniche.
Il diritto all’identità, di riflesso, assume nuove connotazioni, in quanto implica non più
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 9
“RISCHI E PERICOLI CONNESSI ALLA
SICUREZZA INFORMATICA”
Indice
1 I MALWARE ------------------------------------------------------------------------------------------------------------------- 3
2 VIRUS ---------------------------------------------------------------------------------------------------------------------------- 5
3 TROJAN HORSE -------------------------------------------------------------------------------------------------------------- 6
4 WORM --------------------------------------------------------------------------------------------------------------------------- 7
5 ROOTKIT ----------------------------------------------------------------------------------------------------------------------- 8
6 BOTNET ------------------------------------------------------------------------------------------------------------------------- 9
7 PHISHING ---------------------------------------------------------------------------------------------------------------------- 12
8 ZEUS: UNO DEI PIÙ NOTI ESEMPI DI BOTNET ------------------------------------------------------------------- 14
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
1 I malware
Per malware si intende l’insieme di programmi informatici malevoli, appositamente
progettati per un utilizzo criminale attraverso cui è possibile realizzare furto di denaro, furto di
credenziali di accesso bancario, furto di informazioni personali, distruzione dei dati memorizzati nel
pc. Se un codice è utilizzato come malware, allora deve esistere anche un attaccante che
La varietà delle tipologie di malware dipende anche dal tipo di sistema che deve essere
programma: accanto ai personal computer, gli smartphone ad esempio, sono provvisti di un proprio
sistema operativo che consente di svolgere funzioni prima effettuabili solo attraverso l’uso di un
personal computer, come la connessione verso i propri istituti bancari e il controllo di posta
elettronica.
hoc per tali sistemi oppure di adeguare software non direttamente realizzati per tali applicativi,
La memoria induce a immaginare che chi scrive malware sia un ragazzo con grandi doti
informatiche, mosso da grande curiosità, che nascosto dietro al proprio pc, cerca di violare i sistemi
altrui. In realtà il loro sviluppo è affidato a gruppi di persone altamente competenti e qualificate in
governative, ecc., diventando così uno strumento a supporto dell’intera attività criminale.
I malware, che sono sempre più diffusamente analizzati dalla comunità scientifica e dalle
aziende produttrici di programmi di sicurezza, denotano una raffinatezza dal punto di vista
tecnologico ed una notevole efficacia rispetto al fine per cui sono stati progettati, denotando un
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
Pare utile rammentare qualche definizione chiarificatrice sui codici malevoli, ai fini di una
1
Si v., in tema W. Stallings, Sicurezza delle reti. Applicazioni e standard, Pearson, 2007; R.B. Blunden, The Rootkit
Arsenal: Escape and Evasion in the Dark Corners of the System, Jones & Bartlett Publishers, 2012.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
2 Virus
Il virus è un codice che può alterare il funzionamento di altri programmi, modificandoli. La
modifica comprende la replica del programma virus. ogni volta che la macchina infetta entra in
contatto con un programma non infetto, una nuova copia del virus viene passata a quest’ultimo
utenti ignari che si scambiano file sulla rete. In una rete, la capacità di accedere ad applicazioni e a
servizi di sistema di altri calcolatori fornisce il perfetto ambiente per la diffusione di un virus.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
3 Trojan horse
Il trojan horse, o “cavallo di troia”, è un programma malevolo nascosto all’interno di un
programma utile. Il programma malevolo si attiva solo in determinate condizioni. I trojan horse non
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
4 Worm
I programmi worm utilizzano le normali connessioni di rete per diffondersi da sistema a
sistema. Una volta attivo, un worm di rete può comportarsi come un virus oppure può installare un
trojan horse. Un worm può inoltre inviare una copia di se stesso a tutti i contatti di una rubrica di
posta elettronica. Ha la capacità di eseguire operazioni di connessione remota, cioè collegarsi come
un normale utente e usare comandi del sistema per copiare se stesso su quest’ultimo.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
5 Rootkit
Un rootkit è un programma o un insieme di programmi che consentono ad un attaccante di
rootkit sono scritti soprattutto per sistemi Mac oS X e Linux. Sono progettati per non essere rilevati
dall’utente o da programmi di protezione installati sul sistema, spesso sono programmati per carpire
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
6 Botnet
Una botnet è un insieme di computer di ignari utenti, infettati da uno stesso codice maligno e
controllati tutti da un server definito di command & control. Il gruppo di computer può eseguire,
sotto la direzione del server che ne ha preso il controllo, azioni malevoli a seguito dell’esecuzione
del codice installato. Questi pc sono anche definiti zombie perché completamente assoggettati al
volere del loro creatore e pronti ad eseguire qualsiasi comando gli venga impartito.
compromissione di un sito legittimo che esegue il codice sul server. Un ignaro cybernauta che
casualmente visita la pagina del sito viene infettato, a sua insaputa, attraverso l’esecuzione del
codice malevolo. Una volta infettata, la macchina comunica con il server di “command & control”
per scaricare ed eseguire nuovo codice in locale. a questo punto, essendo i due sistemi allineati, può
Spesso, i sistemi a protezione dei siti web si accorgono della minaccia e la segnalano con un
messaggio – come illustrato nella Figura 1 –fintantoché il malware non venga rimosso
definitivamente.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
spam alle rapine di e-banking, dal phishing agli attacchi di distributed denial of service 2.
Cioè dall’invio di messaggi di posta elettronica indesiderata a scopi commerciali, come nel
caso dello spam, o fraudolenta, come nel caso del phishing, oppure ad azioni rivolte alla negazione
2
Ddos: è una tecnica che sfrutta un attacco che inizia da diversi host distribuiti sulla rete verso una specifica risorsa,
tipo un server, un sito web ecc.., in modo da non renderla disponibile, ad esempio inondando la risorsa target di più
richieste di quelle che è in grado di gestire.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
Figura 2: Sito di phishing che riproduce il layout del vero sito di Poste Italiane
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
7 Phishing
Il phishing è una vera e propria truffa via internet che sfruttando una tecnica di ingegneria
sociale cerca di ottenere informazioni personali molto spesso relative ad account di home banking.
Un esempio è dato dal phishing di Poste italiane (Fig. 2), in cui il truffatore attraverso una e-mail
invita l’utente a usare un link rapido contenuto nel messaggio che porta in un sito identico (ma non
vero!) a quello dell’azienda ufficiale: il sito è imitato perfettamente e l’indirizzo sembra corretto.
L’utente è, in tal modo, indotto ad inserire le proprie credenziali, consentendo l’accesso ai dati
identificazione. Il truffatore riesce così ad entrare in possesso dei dati dell’utente e può liberamente
L’immagine sovrastante sembrerebbe riportare il vero sito di Poste italiane, che riporta la
richiesta di credenziali per l’accesso ai servizi online; ma osservando con maggiore attenzione la
barra di navigazione, è presente un indirizzo IP che precede l’indirizzo del sito di Poste italiane: ciò
indica inequivocabilmente che il sito è stato re-indirizzato al truffatore, mittente della richiesta.
tra i tentativi di phishing più diffusi, si ricordano le e-mail di banche, con le quali si
comunica che il proprio conto corrente rischia di essere disattivato oppure che qualcuno tenta di
appropriarsi della proprie identità o, ancora, che sono state poste in essere nuove misure di
sicurezza.
Basti pensare, inoltre, ai grandi siti di commercio elettronico o di aste online che possono
conservare dati molto delicati. alcuni siti, ad esempio, mantengono in memoria i dati delle carte di
credito, per evitare all’utente la digitazione ad ogni acquisto. Sarebbe, quindi, buona norma, da un
lato, per i gestori di siti di commercio elettronico, evitare di ricorrere al servizio di memorizzazione
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
delle coordinate bancarie; dall’altro, per l’utente, ove possibile evitare di richiedere la
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
Zeus può operare attraverso diverse modalità, di cui si cercherà di dar conto, qui a seguire.
Ad esempio, può accadere che, tramite una e-mail inviata ad un qualsiasi utente, si proponga
una visita ad un falso sito di phishing. a differenza del phishing classico, l’obiettivo di Zeus non è
quello di “rubare” le credenziali dell’utente, ma semplicemente di far aprire il link della pagina web
correlata, in modo tale da sfruttare una eventuale vulnerabilità presente nel computer – relativa al
browser o a qualunque software vulnerabile in esecuzione sulla macchina – per renderlo parte della
botnet. Questi attacchi sfruttano vulnerabilità, a volte, sconosciute, a volte, conosciute ma non
ancora sanate dalle software-house. Molto spesso poi, anche se viene rilasciata una patch od una
nuova versione del software dalla casa produttrice in questione, chi lo usa, ovvero l’utente, non
provvede all’aggiornamento.
La particolarità di questo tipo di infezione è che il codice malware viene iniettato su siti che
diventano parte della botnet Zeus e diffondendosi rapidamente in diversi Paesi, Italia compresa. È
possibile “cadere” nella botnet Zeus anche involontariamente: senza essere direttamente contattati
da e-mail o messaggi spam, semplicemente visitando una pagina web compromessa. In tal modo il
codice nocivo si introduce nel pc del visitatore semplicemente navigando nel sito infetto, non c’è
bisogno che l’utente avvii alcun download, né che installi programmi sulla propria macchina 3.
browser, infettando i browser web, modificando pagine e transazioni allo scopo di rubare preziose
3
Sul sito https://zeustracker.abuse.ch/ è possibile consultare una mappa aggiornata con i dettagli dei singoli host
compromessi che ospitano i file eseguibili del malware facenti parte del sistema botnet Zeus.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 15
Università Telematica Pegaso Rischi e pericoli connessi alla
sicurezza informatica
informazioni personali (come numeri di previdenza sociale, nomi utente e password per l’accesso a
servizi bancari online, dati di carte di credito) e persino profili di identità completi ricavati dalle
In quest’ambito, è opportuno precisare che i firewall e gli antivirus non offrono nessuna
protezione: anzi, ad oggi, sembra non esistano misure di protezione davvero efficaci. Per
rispettivi plug-in siano sempre aggiornati all’ultima versione disponibile. Lo stesso vale per tutti gli
altri programmi installati (Java, Adobe Acrobat Reader, Adobe Flash Player, ecc.). attivando, ad
eliminando totalmente i rischi, dovrebbe evitarne molti: vige, anche in questo caso, la formula
Qualora un malware abbia infettato un pc e l’azione criminale sia stata portata a termine con
successo, è opportuno rivolgersi alle forze dell’ordine, anche attraverso una denuncia formale, e
sfruttare le varie tecniche di digital forensics che sono applicate in modo appropriato, valutando
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 15
“RIMEDI E CONTROMISURE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 8
Università Telematica Pegaso Rimedi e contromisure
1 Rimedi e contromisure
Come già anticipato, prima dell’avvento delle nuove tecnologie informatiche le operazioni
informatica.
In questo modo, con il semplice uso di una username, di una password, di una connessione
cifrata di tipo HttPS e di un codice di sicurezza fornito da dispositivi elettronici tipo token, si ha la
Le analogie, in punto di sicurezza, tra la banca fisica e quella virtuale sono diverse: ad
esempio, le porte blindate sono assimilabili ai firewall dei sistemi informatici; la videosorveglianza
e i sistemi di allarme ricordano i sistemi di anti-intrusione; la vigilanza armata fa il paio con gli
scanner di rete; un lettore di carte elettroniche è riconducile ad un ente terzo con funzione di
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 8
Università Telematica Pegaso Rimedi e contromisure
autorità certificativa; il trasporto sicuro di denaro attraverso blindati ricorda infine la crittografia e le
sistema operativo utilizzato (sia esso Linux, BSD, Solaris, MacosX, Windows). Un antivirus ci
protegge l’utente da attacchi istantanei dei virus attraverso il monitoraggio in tempo reale dei
processi, ma non è detto che funzioni con tutti i tipi di virus. ad esempio, rispetto a virus nuovi e
pertanto, attendere che il virus venga rilevato e inserito nei database delle definizioni. Ecco perché
è importante effettuare scansioni periodiche degli antivirus e non affidarsi esclusivamente alla
I virus, per poter funzionare, devono eseguire diverse operazioni sulla macchina da infettare,
firewall che tenga costantemente sotto controllo i processi attivi del, sistema in modo da segnalare
l’eventuale tentativo di modifica, non autorizzato, dei suddetti parametri. I firewall possono essere
utili soprattutto nell’imporre restrizioni sul tipo di traffico ammesso, attraverso la definizione di
regole di sicurezza e attraverso il filtraggio dei dati di rete in ingresso ed in uscita. I Firewall
A fronte di un’altra possibile minaccia alla sicurezza del sistema informatico – qual è lo
come, già da qualche tempo, i più noti antivirus hanno integrato nei loro prodotti moduli specifici
1
Uno spyware rappresenta quella componente software che traccia le abitudini e i dati degli utenti, come siti visitati,
indirizzi e-mail, password salvate sul browser, ecc. Questi dati vengono inviati dallo spyware, attraverso la connessione
internet, a server remoti che li utilizzano per tracciare le abitudini dell’utente, per inviargli mail di spam, messaggi
pubblicitari, ecc.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 8
Università Telematica Pegaso Rimedi e contromisure
È inoltre indispensabile che tutti i software del proprio pc siano costantemente aggiornati
alla versione più recente. a volte questo aspetto viene sottovalutato, tenuto conto che, per una
questioni di costi, sovente ci si affida a connessioni che si basano sui byte scaricati o sul tempo di
comportamento se si vuole ottenere un’efficace protezione dei sistemi. Le vulnerabilità dei software
rappresentano, infatti, il target primario dei pirati informatici e dei virus che utilizzano queste falle
Quanto esposto finora non è applicabile solo ai personal computer e ai server, ma anche agli
smartphone e ai tablet.
del sistema operativo e di tutti gli altri software utilizzati dall’utente. accertato che esiste una
vulnerabilità in un software, l’utente può contare soltanto su una condotta personale dell’uso del
software, poiché la risoluzione del problema è in realtà affidata alla casa produttrice che rilascia il
software correttivo. In questo lasso di tempo, di fatto, si è potenzialmente vulnerabili ogni volta
viene utilizzato il software sospetto di essere infettato; è consigliabile, pertanto, ove possibile,
Altra minaccia è costituita dagli utenti che, anche se autorizzati a usufruire di alcune risorse,
attraverso una condotta scorretta e deplorevole accedono a documenti destinati ad altri, facendone
un uso non consentito. Questo problema si risolve definendo per ogni utente dei permessi di accesso
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 8
Università Telematica Pegaso Rimedi e contromisure
a cartelle, file, stampanti, reti, ecc., che attivino una forma di controllo attraverso l’uso di
Una considerazione a parte deve essere svolta per chi tratta dati personali di terzi con
l’ausilio di strumenti informatici. si consideri quale punto di riferimento in materia il c.d. Codice
sulla protezione dei dati personali – d.lgs. 30 giugno 2003, n. 196 3 – e il relativo Disciplinare
“Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un
Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per
l’autenticazione.
Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per
assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei
2
Si tratta di un meccanismo usato per definire delle regole di accesso alle risorse di un sistema informatico come file,
directory, ecc. Questa lista di regole ci dice di fatto quali utenti o processi hanno il permesso di accedere a quali risorse.
3
Si vedano in particolare gli artt. 33-36 del codice privacy, in http://www.garanteprivacy.it/.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 8
Università Telematica Pegaso Rimedi e contromisure
otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di
caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili
mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata
Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri
Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo
Le credenziali sono disattivate anche in caso di perdita della qualità che consente
Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo
uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e
preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare
necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle
iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente
precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 8
Università Telematica Pegaso Rimedi e contromisure
Quanto riportato finora tiene conto soprattutto dell’accesso ai dati, previa identificazione
dello stesso.
Ma se ad accedere ai dati fosse uno dei malware considerati finora? In questo caso devono
tenersi in debita considerazione ulteriori misure di sicurezza che il Garante della privacy indica
Il medesimo Disciplinare tecnico dispone, infatti, che “i dati personali sono protetti contro il
rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale,
semestrale”; inoltre stabilisce che “gli aggiornamenti periodici dei programmi per elaboratore volti
semestrale”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 8
“ASPETTI FORENSICS”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 18
Università Telematica Pegaso Aspetti forensics
1 Aspetti forensics
L’analisi forense punta a individuare le c.d. evidences informatiche, vale a dire, le prove
informatiche utilizzate a fini legali. Per rendere possibile l’analisi è d’obbligo conoscere i metodi di
Di seguito sono riportati gli aspetti di Computer Forensics legati a due metodologie diverse:
l’analisi live di un sistema host infettato dal malware Zeus e l’analisi post-mortem di un sistema
Come descritto in precedenza, il toolkit Zeus è diventato uno degli strumenti preferiti dagli
hacker a causa della sua relativa semplicità e della sua interfaccia user-friendly.
In generale, la botnet Zeus si propone di costruire macchine che si comportano come agenti
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 18
Università Telematica Pegaso Aspetti forensics
bot.exe.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 18
Università Telematica Pegaso Aspetti forensics
• decifra il set di stringhe che diventano i nomi dei metodi delle DLL nella
memoria virtuale;
• il malware Zeus enumera la tabella dei processi correnti, alla ricerca di processi
firewall ZoneLabs Internet security. Nel caso in cui questi processi siano
di registro
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Current
• inserisce infine dal file binario l’indirizzo di memoria 0x400000 0x417000 nella
Queste azioni vengono eseguite ogni volta che la macchina infetta viene riavviata.
Tuttavia, si riscontrano alcune azioni che vengono eseguite solo durante il processo di
installazione, come la creazione di una copia locale del malware che avviene mediante i seguenti
eventi:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 18
Università Telematica Pegaso Aspetti forensics
del file, per evitare di essere rilevato dai sistemi di protezione basati su
signature;
• il bot, al fine di nascondersi, duplica le informazioni del MAC time della libreria
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 18
Università Telematica Pegaso Aspetti forensics
questo è operativo, al fine di monitorare in tempo reale le attività in corso e catturare i dati,
transitanti o memorizzati in esso, che non sarebbero acquisibili dopo lo spegnimento dell’apparato.
L’obiettivo principale è prelevare e preservare in forma statica tutte le informazioni di rilievo che
hanno natura volatile o che sarebbero troppo complesse da ricostruire a posteriori, impedendo che il
sistema analizzato venga alterato. La live forensic è da intendersi non come sostituta dell’analisi
Per prima cosa viene eseguito un dump della memoria della macchina infetta dal malware
Zeus, ossia un’acquisizione bit a bit della memoria ram in cui sono caricati i processi in esecuzione.
a titolo di esempio è stato utilizzato un dump di una memoria ram disponibile online sul sito della
L’analisi del dump della memoria viene effettuata, in questo caso, con il framework
volatility, un tool open-source implementato in python per l’estrazione degli artefatti digitali delle
memorie ram 2.
Per verificare i processi attivi sul sistema (Fig. 2), volatility mette a disposizione il comando:
1
La copia della memoria analizzata è disponibile sul sito: http://www.malwarecookbook.com/
2
Attraverso l’utilizzo del software volatility è possibile effettuare un’analisi forense della memoria acquisita cioè è
possibile estrarre dati quali: programmi in esecuzione, connessioni stabilite, file aperti, DLL caricate, ecc.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 18
Università Telematica Pegaso Aspetti forensics
È importante verificare se esistono delle connessioni attive esistenti sulla macchina, che
(Fig. 3):
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 18
Università Telematica Pegaso Aspetti forensics
Dalla Fig. 3 si evince che sono presenti sul sistema due connessioni tCP con l’indirizzo IP
193.104.41.75 sulla porta 80. Controllando la lista dei processi (Fig. 6), il pid 856 non risulta
associato a un processo di browser, bensì al processo Svchost.exe che ospita o contiene altri servizi
Il comando python volatility files -f /root/zeus.vmem consente, infine, di ottenere la lista dei
file aperti da ogni processo. Dalla Figura 4 emerge la presenza tra i file aperti del famigerato
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 18
Università Telematica Pegaso Aspetti forensics
Figura 4: comando di volatility per l’analisi dei file aperti da ogni processo del sistema
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 18
Università Telematica Pegaso Aspetti forensics
“spento”. Viene effettuata sui dati cristallizzati presenti nell’hard disk o in altri dispositivi, dopo
averne creato un clone perfetto mediante una copia bit a bit su un supporto esterno,
precedentemente “sterilizzato” (tramite wiping), o su un file immagine. L’analisi viene fatta su una
copia (o copia della copia) del file originale, in modo da consentirne la ripetibilità. Le modalità di
analisi variano a seconda del tipo di caso e del supporto da analizzare. Le principali sono:
system);
installati);
I file oggetto di analisi: possono essere documenti, immagini, video, audio, posta elettronica,
cronologia chat, database, file cifrati e protetti da password, file di log e quant’altro.
• toolkit forensi;
• editor esadecimale;
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 18
Università Telematica Pegaso Aspetti forensics
• sistemi di virtualizzazione.
Durante le indagini, l’analista forense deve conoscere a fondo tutti gli aspetti e le
caratteristiche del sistema operativo da analizzare. In particolar modo, occorre conoscere a fondo
come il sistema operativo gestisce la creazione, gestione e cancellazione dei file. ogni sistema
operativo applica una politica diversa nella gestione dei dati. I sistemi Unix, oggetto di studio in
questo capitolo, memorizzano tutte le informazioni inerenti ai file nelle inode, vale a dire, quelle
strutture dati ove sono archiviate le informazioni base dei file, delle directory o di qualsiasi altro
• i permessi d’accesso.
I sistemi Unix memorizzano, ad esempio, tutti i comandi utilizzati nelle sessioni precedenti
in un file, chiamato history. analizzandolo è possibile risalire a tutti i comandi eseguiti dall’utente in
ordine cronologico.
• Unix Data-Time Stamps, che contiene il formato ora e data suddiviso in quattro
tipi di salvataggio:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 18
Università Telematica Pegaso Aspetti forensics
- C-time (cambio del tempo): aggiornato quando l’inode viene alterato. Ciò
name e password), salvate nella directory /etc nel passwd. Nel file /etc/ group,
invece, sono contenuti i nomi dei gruppi che sono stati creati nel sistema;
/etc;
• Log;
• Directory / var che contiene la parte “variabile” dei programmi, tra cui log di
sistema, spool di stampa, cache di sistema, configurazione dei vari tool, ecc.;
• Login nel sistema che sono conservate nei file utmp e lastlog.
Procedendo all’analisi forense post-mortem, si effettua prima di tutto una copia raw del
Si riporta l’esempio di un server FreeBSD v.7.4 (Unix Server), utilizzato come server
PROFTPD, che offre servizi di File Transfer Protocol (FtP), connesso su rete locale.
3
Il C-time non deve essere confuso con la data di creazione di un file.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 18
Università Telematica Pegaso Aspetti forensics
di una corruzione del filesystem. recupera i file in base alle loro intestazioni, piè
oppure è possibile utilizzare opzioni della riga di comando per specificare i tipi
dall’inglese Photo Recovery ed indica il fatto che è assai efficace anche nel
più avvianti (bootable). Per garantire la salvaguardia dei dati, PhotoRec accede
al supporto da cui recuperare i dati persi con modalità di accesso in sola lettura;
• Live View: si tratta di un tool forense grafico basato su Java che crea una
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 18
Università Telematica Pegaso Aspetti forensics
modifiche apportate per ritornare allo stato originale, senza effettuare copie extra
• OSF Mount per montare un file immagine come disco locale di Windows.
Una volta effettuata la copia raw, mediante il tool OSF Mount, si monta il disco in modalità
Read-Only (Fig. 5) e si avvia Live View per ricreare un ambiente virtualizzato della copia forense in
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 18
Università Telematica Pegaso Aspetti forensics
Vengono prima di tutto analizzati i file di log e nello specifico sotto la directory /var in cui
sono contenute le directory log e run. Nella directory log è contenuto il file auth.log che contiene i
tentativi di accesso alla macchina: è presente un utente j che effettua una connessione FtP con un
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 18
Università Telematica Pegaso Aspetti forensics
Figura 6: Analisi dei file di log. In rosso è evidenziato l’utente j che si collega con un
È possibile verificare tutti gli utenti presenti nel sistema mediante l’analisi del file user.log.
Dal file emerge un nuovo utente di nome j e, verificando il file /etc/group che contiene i
gruppi associati agli utenti, si evidenzia anche la creazione di un nuovo gruppo a cui è stato
associato l’utente j.
Si prosegue nell’analisi dei file /var/log/wtmp e /var/run/utmp, due file binari utilizzati dalle
applicazioni e contenenti molte informazioni relative all’utente. Questa analisi necessita di un editor
esadecimale. Si appura, quindi, che l’utente j non ha utilizzato altre applicazioni se non quella FtP.
attraverso il tool Sleuth Kit si definisce una timeline degli eventi, ovvero una sequenza temporale di
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 18
Università Telematica Pegaso Aspetti forensics
tutti gli eventi (accensione, spegnimento, modifica di file, ecc.), che hanno interessato il sistema. È
interessante a questo punto cercare di recuperare eventuali file cancellati dal sistema in quanto
dell’attacco. Per far ciò è possibile utilizzare i tool freeware Foremost e PhotoRec che permettono
di effettuare un carving dell’intero disco alla ricerca di eventuali file cancellati. Dalla ricerca è
emerso che è stato cancellato il file .history: il file in questione contiene al suo interno
effettuata sui comandi risulta che l’aggressore ha effettuato una copia di tutti i dati presenti sul
elevati, sfruttando una vulnerabilità di un servizio, nello specifico un server di File Transfer
Protocol, è stato possibile introdursi nel sistema remoto per compiere attività illecite.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
18 di 18
“CONCLUSIONI: LA SICUREZZA DI ESSERE
INSICURI”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 6
Università Telematica Pegaso Conclusioni: la sicurezza di essere insicuri
termini di denaro che di tempo: maggiore è il peso che viene attribuito ai dati posseduti, maggiore
‘processo’ e, anche quando si crede di aver raggiunto il massimo livello di sicurezza desiderata,
scoperto e reso pubblico una falla di sicurezza nei sistemi Java. Le librerie Java spesso sono attive
Per esemplificare, basti sperimentare la seguente prova: in Mozilla, aprendo Firefox >
Componenti aggiuntivi (Fig. 1), è possibile controllare le componenti che sono istallate sul proprio
browser. Di qui è possibile eseguire anche la loro gestione, attraverso i “button” laterali è possibile
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 6
Università Telematica Pegaso Conclusioni: la sicurezza di essere insicuri
La società Oracle, proprietaria del marchio Java Sun, ha rilasciato una Patch, ovvero una
Gowdiak, in data 25 settembre 2012, ha dichiarato una nuova vulnerabilità di Java ancora
più importante della precedente, in quanto rende un miliardo di pc attaccabili da remoto. Ben tre
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 6
Università Telematica Pegaso Conclusioni: la sicurezza di essere insicuri
Tutti i test sono stati condotti con successo nell’ambiente Windows 7 32-bit e con le seguenti
- Firefox 15.0.1;
Gowdiak – ne sarebbero affetti anche gli altri sistemi operativi Mac OS X, Linux e Solaris che usano
“We hope that a news about one billion users of Oracle Java SE software being vulnerable
to yet another security flaw is not gonna spoil the taste of Larry Ellison’s morning (...) Java”14.
dovrebbe essere risolto, anche se i tempi non sono stati ancora chiariti.
Quando si è in presenza di problemi di questo tipo l’unica soluzione è attendere che la casa
produttrice del software rilasci una patch15. In questo caso specifico, per essere sicuri che
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 6
Università Telematica Pegaso Conclusioni: la sicurezza di essere insicuri
online, è consigliabile (quasi indispensabile, vista la gravità) disabilitare Java nei propri browser.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 6
“INTRODUZIONE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 13
Università Telematica Pegaso Introduzione
digitale/immigrato digitale”. Sono considerati “nativi digitali” tutti gli individui cresciuti con le
nuove tecnologie come i computer, internet, i telefoni cellulari e gli MP3 sin dagli anni ’90, anni in
cui ha preso piede il c.d. boom tecnologico. Sono, invece, etichettati come “immigrati digitali” tutti
coloro la cui vita è stata caratterizzata dalla quasi totale assenza di tecnologie, utilizzate dagli stessi
elemento naturale. egli non prova alcun disagio nel manipolare le nuove tecnologie e nell’interagire
con esse; ha acquisito, più che delle competenze, delle vere e proprie abilità nell’uso degli
strumenti tecnologici, che gli permettono di operare a velocità “supersonica” riuscendo a svolgere
entrambi, tuttavia, non sono affatto consapevoli dei (nuovi) rischi presenti nel mondo
digitale in cui vivono ed operano. Sempre più spesso studenti e professionisti sono vittime di reati
consumati sul web ai danni dei loro dati sensibili: conseguenza diretta, questa, di una errata
valutazione dei rischi e di una condivisione sempre più open delle proprie informazioni online 2.
1
Esiste una terza figura, quella del “tardivo digitale”, che indentifica tutte quelle persone cresciute senza tecnologia e
che, tutt’oggi, la guardano con diffidenza. V.J. Palfrey e U. Gasser, Nati con la rete. La prima generazione cresciuta su
Internet. Istruzioni per l’uso, Milano, 2009, passim.
2
La Cisco Systems, multinazionale americana del networking, ha fotografato il fenomeno. Secondo quanto risulta dal
Security Annual Report 2011, uno studente universitario su tre (il 33%) non ha problemi nel condividere online
informazioni personali e non si interessa della privacy. La violazione degli accorgimenti più elementari per la sicurezza
della privacy è un malcostume diffuso. Tra i giovani professionisti che conoscono le policy IT delle loro aziende (vale a
dire quell’insieme di regole di comportamento e di limiti che vengono stabiliti da chi gestisce un sistema informatico ed
informativo, per prevenire ed evitare il verificarsi di minacce e vulnerabilità), sette su dieci hanno ammesso di non
rispettarle con regolarità perché convinti di non fare nulla di sbagliato (35%); o perché non ha affatto tempo per curare
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 13
Università Telematica Pegaso Introduzione
Nell’era del 3G, dell’imminente 4G3, e delle tariffe flat4, molti giovani ricorrono ad
espedienti per usare gratuitamente internet. Uno studente universitario su cinque (19% globalmente,
il 23% in Italia) ricorre alla connessione wireless del vicino senza richiedere alcun permesso di
accesso, oppure si posiziona nei luoghi pubblici o fuori dai negozi per sfruttare le c.d. wiflyzone5.
anche chi ha un lavoro ricorre ai medesimi espedienti: due professionisti su tre (il 64%) hanno
nell’eurobarometro n. 359, pubblicato nel giugno 2011. Il 60% degli europei che utilizzano internet
– ovvero il 40% di tutti i cittadini dell’Unione – effettua acquisti online e frequenta i social network,
rivelando i propri dati personali, compresi i dati biografici (quasi il 90%), quelli sociali (quasi il
50%) e quelli sensibili (quasi il 10%)6. anche in questa ricerca emerge chiaramente la portata del
problema: un’ampia maggioranza degli intervistati (il 62%) ha ammesso di non capire, di non
l’importanza del mantenere segreti i propri e gli altrui dati personali esponendosi al rischio di
la propria privacy mentre lavora (18% globalmente, 10% in Italia); oppure perché ha intenzione di utilizzare, sul posto
di lavoro, programmi o applicazioni non strettamente necessari (quindi, non autorizzati) per lo svolgimento dei propri
compiti (22% globalmente, 15% in Italia). Inoltre, secondo due intervistati su tre, le policy vanno modificate perché
troppo restrittive, dal momento che limitano l’uso dei social network (come Facebook, Twitter o YouTube) o di giochi
online (vietati da tre aziende su dieci). Da questi dati emerge l’esigenza di orientare le policy verso una maggiore
flessibilità in modo da garantire una migliore mobilità e produttività in un’ottica di gestione del rischio. Un secondo
fattore di pericolo è rappresentato dalle c.d. connessioni aperte, alle è possibile accedere senza bisogno di una password.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 13
Università Telematica Pegaso Introduzione
diffusione dei social network, delle instant messaging (im), delle chat, posta elettronica, e dei
servizi online, erogati sia dalla pubblica amministrazione che da soggetti privati – il tema della
Ma che cos’è l’identità digitale? Si tratta dell’insieme delle informazioni e delle risorse che
In altri termini, essa è l’identità che un utente della rete determina o dichiara attraverso website e
- Le credenziali che ciascun utente possiede (ossia gli attributi di tale identità).
identificazione segreta (o password). all’utente, poi, possono essere assegnati attributi che lo
descrivono e lo caratterizzano.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 13
Università Telematica Pegaso Introduzione
Un sistema che assicuri un’efficiente gestione delle identità digitali deve necessariamente
viene presentata;
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 13
Università Telematica Pegaso Introduzione
• Integrità dei dati: i dati trasmessi devono rimanere inalterati fino alla loro
dimostrare quale sia la fonte che ha inviato i dati; tale prova viene fornita da
i dati inviati;
sempre provare sia che il mittente abbia davvero spedito i dati, sia che il suo
Per quanto riguarda i livelli di affidabilità, è possibile distinguere tre diversi livelli di
identificazione dell’utente:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 13
Università Telematica Pegaso Introduzione
digitale di un soggetto.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 13
Università Telematica Pegaso Introduzione
identificare (in alcuni casi, caratterizzandolo) un utente. Si parla in questo caso di dati personali o
dati sensibili.
Sono considerati dati personali quelle informazioni relative a persone fisiche, persone
Sono, invece, dati sensibili o giudiziari, i dati personali idonei a rivelare l’origine razziale
sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
I dati personali e sensibili vengono raccolti da una persona fisica o giuridica (ma anche un
ente o un’associazione) la quale assume la qualifica di titolare/ responsabile del trattamento dei
dati raccolti.
Secondo il vigente Codice della privacy, per “trattamento dei dati personali” si intende:
dati, anche se non registrati in una banca di dati” 3. Il medesimo Codice dispone inoltre che l’utente
debba essere informato, oralmente o per iscritto, del trattamento svolto su i suoi dati personali (c.d.
Per i dati sensibili, invece, il trattamento può avvenire soltanto a seguito di consenso
espresso dell’interessato; consenso che deve essere preventivo, esplicito, libero e documentato per
3
V. art. 4, D.Lgs. 30 giugno 2003, n. 196.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 13
Università Telematica Pegaso Introduzione
iscritto in modo da essere inequivocabile. Si tenga inoltre presente che i responsabili e gli incaricati
di un soggetto consiste nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco
ad esso, consentendone l’identificazione nei sistemi informativi”. Tale identificazione deve essere
erogati in rete dalle pubbliche amministrazioni, dispone che le amministrazioni possono consentire
l’accesso ai servizi on-line, mediante un’identificazione informatica, oltre che con la Carta di
Identità Elettronica e la Carta Nazionale dei Servizi, anche con strumenti diversi di identificazione
certa del soggetto richiedente 6. Nulla impedisce alle pubbliche amministrazioni di ricorrere a
d’identità e di viaggio elettronici, quali: passaporto, carta d’identità, permesso di soggiorno, ecc.
tutti questi strumenti garantiscono una maggiore sicurezza fisica e logica, in quanto contengono nei
loro chip, ossia nelle memorie incorporate, alcuni dati biometrici del titolare del documento (come
4
Approvato con D.Lgs. 7 marzo 2005, n. 82.
5
V. art. 1, rubricato “Definizioni”, comma 1, lett. u-ter, CAD. Si ricordi che la lettera è stata inserita dall’art. 1, D.Lgs.
30 dicembre 2010, n. 235.
6
L’art. 64 CAD (“Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni”) recita testualmente:
“La carta d’identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l’accesso ai servizi erogati
in rete dalle pubbliche amministrazioni per i quali sia necessaria l’identificazione informatica. Le pubbliche
amministrazioni possono consentire l’accesso ai servizi in rete da esse erogati che richiedono l’identificazione
informatica anche con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali
strumenti consentano l’individuazione del soggetto che richiede il servizio. L’accesso con carta d’identità elettronica e
carta nazionale dei servizi è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle
singole amministrazioni”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 13
Università Telematica Pegaso Introduzione
7
V. art. 66, comma 4, CAD.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 13
Università Telematica Pegaso Introduzione
soggetto allo scopo di sostituirsi, in tutto o in parte, allo stesso e compiere azioni illecite in suo
Un’identità digitale può essere sottratta per raggiungere scopi diversi. Nello specifico, è
compilare atti pubblici o presentare domande, richieste dalla legge, per ottenere,
personali della vittima per creare una nuova identità della stessa, del tutto simile
ad essa nelle sue relazioni e nei suoi rapporti con gli altri. Si tratta di una vera e
propria sostituzione di persona. Questa condotta può essere realizzata anche per
8
Sul furto d’identità si veda, in generale, “Guida al furto d’identità”, in www.adiconsum.it.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 13
Università Telematica Pegaso Introduzione
Il furto d’identità è un crimine dalle conseguenze potenzialmente serie sia sul piano emotivo
che finanziario, in grado di colpire privati cittadini, professionisti, aziende ed altre organizzazioni 9.
Per attuare la frode, al criminale bastano pochi dati quali: nome, cognome, indirizzo, codice
fiscale, numero di telefono di casa, luogo e data di nascita, numero di carta di credito, estremi del
conto corrente ed alcune informazioni “minori” 10 ma utilissime per poter, all’occorrenza, provare
l’identità impersonata. Molte di queste informazioni sono, di per sé, innocue e di facile reperimento
d’opportunità”, in quanto un utente potrebbe diventare una inconsapevole vittima per il solo fatto
che i propri dati personali non sono stati adeguatamente protetti. Pertanto, è di fondamentale
importanza tutelare nel migliore dei modi le proprie informazioni personali e, nel malaugurato caso
in cui si cadesse vittima del furto della propria identità digitale, occorre agire immediatamente per
9
Ad esempio, per rubare l’identità digitale di un’azienda è sufficiente accedere ai pubblici registri: cambiando il nome
dei titolari dell’azienda ed i loro indirizzi, si possono effettuare acquisti di beni e servizi a nome dell’azienda stessa
oppure richiedere forniture o finanziamenti senza adempiere ai dovuti pagamenti screditando, così, il buon nome della
ditta.
10
Come il nome dei genitori, il luogo di lavoro, il nome dei figli, del cane, ecc.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 13
“RISCHI, PERICOLI E MINACCE: I
PROBLEMI CONNESSI ALLA SICUREZZA E I
VETTORI D’ATTACCO”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
tutti i giorni: ad ogni nostro passaggio, quotidianamente, ciascuno lascia una scia d’informazioni
pubblico propri accadimenti o informazioni private, senza riflettere sulla circostanza per cui terze
persone presenti potrebbero rivelarsi potenzialmente interessate ai fatti nostri. Inoltre, ogni giorno si
gettano via vecchie bollette di utenze domestiche, estratti conto e lettere personali che contengono
In ragione di ciò, bisogna prestare molta attenzione a chi cerca di instaurare un contatto:
bancari.
I portafogli, poi, contengono numerose informazioni: dai bancomat alle carte di redito, dai
documenti di identità alle tessere di iscrizione ad associazioni, e quant’altro: non è così difficile
perderli o essere derubati. Basti pensare che l’apparecchiatura elettronica utilizzata negli esercizi
commerciali per effettuare i pagamenti dei beni acquistati può essere stata manomessa: in questo
caso, lo stesso POS potrebbe realizzare la clonazione della carta utilizzata per il pagamento 2.
Ancora, i malviventi più spietati, per compiere attività criminali, possono persino utilizzare le
identità di persone decedute, ottenendo informazioni sulla loro età, sulla loro data di nascita e sul
1
Ad esempio, si è soliti effettuare conversazioni telefoniche senza badare al volume della voce e senza curarsi di chi si
trova nei dintorni. Troppo spesso, in seguito ad un trasferimento di residenza, si dimentica di comunicare la variazione
dell’indirizzo alle Poste Italiane, alla banca o ad altre organizzazioni con le quali si dialoga quotidianamente, lasciando
alla mercé di chiunque un’ingente quantità di documenti contenenti informazioni personali preziose.
2
Si parla più propriamente di skimming.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
umano si è evoluta al punto tale da diventare una vera e propria scienza conosciuta come
informazioni, spacciandosi per qualcun altro e convincendo efficacemente la sua vittima sulla
Le prime persone che sperimentarono questa tecnica furono i phreaker 3, i quali riuscivano
Il Social Engineering studia e sfrutta proprio i rapporti di fiducia che un individuo instaura
col prossimo al fine di carpire i dati conservati o comunicati attraverso l’uso del computer. Chi
ricorre a queste tecniche può avvalersi dei mezzi più disparati 4. L’ingegnere sociale, infatti, in
primo luogo, ricerca e raccoglie ogni possibile informazione sulla vittima. I dati raccolti ed
Durante la fase di raccolta delle informazioni, che può richiedere anche diverse settimane di lavoro,
il malfattore cercherà di ricavare, tutte le informazioni di cui necessita: e-mail, recapiti telefonici,
un primo contatto diretto con la sua vittima. Presentandosi a quest’ultima, l’ingegnere sociale
camufferà la sua vera identità, si spaccerà per altri: ad es., un cliente sprovveduto che chiede aiuto o
3
Si tratta di persone che studiano, sperimentano o sfruttano i telefoni, le compagnie telefoniche e i sistemi che
compongono o sono connessi alla Public Switched Telephone Network (PSTN) per hobby o utilità. Il termine phreak è il
risultato dell’unione delle parole phone (telefono) e freak (persona bizzarra). L’origine del termine può essere anche
riferita all’uso di varie frequenze (in inglese, FREQuences) per manipolare un sistema telefonico e, quindi, derivata
dall’unione delle parole phone e hacking.
4
Ad es., telefoni cellulari; telefoni fissi; fax; utenze telefoniche pubbliche, presenti nella propria città, dalle quali
chiamare; i programmi per disegnare con una stampante e uno scanner; strumenti che riproducono determinati ambienti
sonori (ad esempio, riproducendo l’ambiente sonoro di un call center); programmi in grado di creare mappe concettuali
mediante l’inserimento di dati; ecc.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
direttore, ecc. La buona recitazione del ruolo interpretato determinerà il successo dell’attacco vero e
proprio. ogni minimo dettaglio viene curato, per evitare di essere smascherato a seconda del ruolo
interpretato, egli farà leva sulla tenerezza, sulla complicità, sulla pietà, sulle paure e su ogni altra
emozione che possa trasparire dalla vittima. In questo modo conquisterà la sua fiducia e riuscirà ad
Attraverso la tecnica del phishing, il social engineering potrà ottenere dalla vittima prescelta
anche le credenziali di accesso (utente e password) di un account (ad es., quello della posta
elettronica) aprendo una breccia nel sistema da violare. La diffusione dei social network, quali
Facebook e Twitter, ha spalancato le porte alla diffusione di una serie eterogenea d’informazioni,
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
mezzo più usato per comunicare, per ricercare informazioni (soprattutto quelle personali), per
acquistare e vendere beni e servizi e per quant’altro si voglia. Per poter accedere a determinati siti o
per poter acquistare beni, agli internauti viene chiesto regolarmente di fornire informazioni
personali ma, troppo spesso, queste informazioni viaggiano in chiaro senza alcuna vera protezione.
altre volte l’insicurezza deriva dalle stesse società o istituzioni che operano in rete: queste,
infatti, conservano i dati raccolti dai propri clienti o iscritti in database non adeguatamente protetti,
La rete, in sostanza, è una risorsa pubblica a cui tutti ricorrono per le finalità più disparate.
Pertanto, occorre prestare particolare attenzione alla riservatezza: ogni informazione riservata deve
rimanere tale, senza essere diffusa in rete Una volta pubblicati online, infatti, i dati diventano
disponibili per una moltitudine di sconosciuti e possono essere utilizzati nei modi e per i fini più
diversi. Il falso senso di anonimato può indurre a comportamenti meno convenzionali e meno
accorti. al giorno d’oggi, numerose sono le informazioni private disponibili in rete. Ciò è dovuto al
fatto che sempre più persone pubblicano le proprie informazioni personali, anche quelle più
sensibili ed intime. Nel decidere quante e quali informazioni rivelare, non bisognerebbe mai
Un semplice esempio sintetizza la portata del concetto esposto: quando si divulga il proprio
indirizzo e-mail, aumenta contemporaneamente la ricezione di pubblicità non voluta (il c.d. spam).
5
20 Il più eclatante furto di dati, accaduto nel 2011, ha visto come protagonista al negativo il gigante nipponico della
Sony con la compromissione di circa 93.000 account. La stessa società, nell’aprile dello stesso anno, aveva subito un
altro attacco. Il bersaglio prescelto è stato il servizio di videogiochi online PlayStation Network con il furto di nomi,
date di nascita, username, password, login, domande di sicurezza, indirizzi e numeri di carta di credito di ben
77.000.000 utenti.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
Tutto ciò che viene pubblicato online diventa immediatamente disponibile per gli altri utenti
e per i motori di ricerca. Ne consegue che, anche subito dopo la pubblicazione, lo stesso materiale
può essere già stato visionato, scaricato, copiato e, quindi, riutilizzato, da un numero indefinito di
utenti. Per questa ragione, il materiale online non può essere facilmente cancellato/eliminato
dalla rete. anche se l’utente rimuove il contenuto, non è possibile accertarsi se quanto pubblicato
sia stato effettivamente cancellato dai server 6 sui quali era memorizzato: l’utente, infatti, non
In sintesi: in rete non può esistere il c.d. diritto all’oblio 7. Basti pensare che alcuni motori di
ricerca nascondono le c.d. copie cache 8 delle pagine web, al fine di consentirne una più rapida
apertura, che restano disponibili anche dopo essere state cancellate o alterate; alcuni browser web
possono mantenere persino in cache pagine web che un utente ha visitato; così come una versione
Contrariamente ad una diffusa ma errata opinione, la navigazione sui siti web lascia traccia.
La prima è il c.d. IP address, ossia un numero unico che identifica un qualsiasi dispositivo
all’interno di una rete. Quando l’utente si collega ad internet, il provider assegna al dispositivo
utilizzato (il computer) uno specifico indirizzo IP (Internet Protocol) che individuerà univocamente
l’utente durate l’intera durata della connessione. Solitamente si tratta di un indirizzo di tipo
6
In informatica il termine server (lett. servitore), indica un componente o sistema che fornisce, attraverso una rete, un
qualche tipo di servizio ad altre componenti, che prendono il nome di client (cliente).
7
Il diritto ad essere dimenticati in rete è la possibilità di cancellare, anche a distanza di anni, dagli archivi online, il
materiale che può risultare sconveniente e dannoso per soggetti che sono stati protagonisti in passato di fatti di cronaca.
L’estensione del diritto all’oblio al mondo del web si è rivelata un’operazione più difficile del previsto, fonte di dibattiti
e controversie.
8
La memoria cache è una memoria informatica temporanea, non visibile al software, che memorizza un insieme di dati
che possano successivamente essere velocemente recuperati su richiesta. L’origine del nome deriva appunto dal fatto
che la memoria cache ed il suo utilizzo sono trasparenti al programmatore, quindi “nascosti” allo stesso.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
dinamico, cioè assegnato di volta in volta automaticamente dall’ISP (acronimo di Internet Service
Ma vi sono numerose altre “tracce” lasciate dall’utente in rete: ad es., il tipo e la versione del
programma utilizzato per navigare in rete (il c.d. browser come Internet Explorer o Firefox), tipo e
versione del Sistema operativo in quel momento installato sul dispositivo (Windows, Linux, ecc.).
Non da ultimo, grazie ai c.d. cookie24, l’utente semina altre informazioni in rete: le pagine web
visitate, la durata di connessione al sito, ricerche effettuate, ecc. Con tutte queste informazioni i
motori di ricerca riescono a profilare l’internauta, ossia a capirne gusti e preferenze, in modo tale da
presentare risultati più attinenti ai suoi gusti personali nelle successive ricerche.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
4 Il pharming
Il pharming, è una delle tecniche di frode informatica usata per ottenere dall’utente
inconsapevole dati e informazioni personali. La tecnica si basa sul re-indirizzamento da un sito web
ad un altro identico (falso ma uguale all’originale). Quando una persona inserisce nella barra
dell’indirizzo, l’URL25 del sito desiderato, non fa altro che inviare informazioni all’elaboratore, il
La ragione dell’URL si rinviene nella circostanza per cui l’uomo non è in grado di ricordarsi
gli indirizzi numerici di tutte le risorse web, ma gli riesce più facile ricordare un loro indirizzo
“nominale” (l’URL, appunto). Chi opera in rete la conversione da URL a IP è un particolare servizio
che prende il nome di DNS27. In questo modo l’utente utilizza il proprio linguaggio per individuare
la pagina web desiderata e il sistema DNS converte il nome in stringa numerica. Chi decide di
realizzare un attacco di pharming sceglie come bersaglio il Servizio DNS utilizzato dal cliente,
modificando il database e collegando l’indirizzo nominale di un sito all’IP (diverso) di un altro sito
web, del tutto simile all’originale. In tal modo, il Servizio DNS, alterato dall’aggressore, alla
richiesta nominale di un sito da parte dell’utente, restituirà un diverso indirizzo IP, cioè quello del
sito contraffatto.
L’utente viene, così, ingannato finendo col visitare un sito controllato dall’attaccante
piuttosto che il sito originale. Navigando sul sito farlocco, l’utente potrebbe anche inserire
informazioni personali (come la sua email) o, addirittura, rivelare particolari credenziali di accesso
(si pensi all’accesso contraffatto di un istituto di credito). Il cyber criminale che riesce in qualche
modo ad “avvelenare” un Server DNS, sarà potenzialmente in grado di ingannare tutti gli utenti che
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
5 Il Phishing
La frode maggiormente utilizzata per rubare l’identità, violando la privacy di un utente,
prende il nome di phishing. Ciò che cambia, in questo caso, è il vettore dell’attacco: si utilizzano
principalmente le email, ma vengono sfruttate anche le finestre di pop-up, le fake login ed altre
abbinare alla funzionalità del telefono cellulare la gestione di dati personali 9 – ha aperto una nuova
via all’inganno: mediante la ricezione di messaggi (SMS o email) che comunicano, ad esempio, una
credito, associazioni benefiche oppure provenienti da persone conosciute all’utente. Queste email
appaiono nella grafica e nei loghi simili a quelle originali, ma presentano sovente un linguaggio
Sarebbe opportuno che la vittima le cestini immediatamente soprattutto se non si è certi del
loro mittente o si hanno remore sulle richieste in esse contenute 10. Email simili devono essere
9
Oggi esistono in commercio smartphone con vari protocolli di connessione in grado di utilizzare, per le comunicazioni
con altri dispositivi, le tecnologie bluetooth e wi-fi. La caratteristica principale degli smartphone moderni è la possibilità
di installare applicazioni di terze parti (software, giochi, temi) per aumentare le funzionalità del dispositivo mobile.
Molti smartphone offrono anche possibilità di tethering (modem internet) verso dispositivi quali laptop o pc fissi. A
rendere gli smartphone così performanti e funzionali, rispetto alla precedente generazione di telefoni cellulari, sono
l’aumento delle prestazioni in termini di processamento e memorizzazione grazie a processori sempre più evoluti e
sempre più simili a quelli dei device fissi o portatili e a memorie sempre più capienti (ad es., schede SD), unite a sistemi
operativi sviluppati ad hoc (sistemi operativi per dispositivi mobili) e ad interfacce utente sempre più user-friendly
come ad esempio il touchscreen, che consentono molto spesso la realizzazione di display di dimensioni fisiche maggiori
a parità di spazio disponibile eliminando in molti casi la necessità di tastierine fisiche.
10
Nel dubbio l’utente può sempre contattare il presunto mittente per altre vie, magari via telefono, chiedendo
delucidazioni in merito all’e-mail ricevuta. Nessun istituto di credito è solito chiedere via e-mail, ai suoi clienti,
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
considerate alla stregua di spam 11 e, per evitare di confermare allo spammer la validità
dell’indirizzo a cui sono state inviate, l’utente deve assolutamente evitare di rispondere.
collegamento) che reindirizza ad un sito del tutto simile a quello dell’istituto di credito in cui
inserire le proprie credenziali di accesso. Il phisher, ricorre ad uno stratagemma simile al pharming:
riproduce un sito nelle scritte, nei colori e nel logo, ma senza attaccare alcun Server DNS.
In altri casi più raffinati, il link inserito nella email di phishing porterà l’utente sul sito
originario dell’istituto di credito, al quale si sostituirà una maschera di login (ossia una piccola
finestra in cui inserire le proprie credenziali di accesso) creata e gestita direttamente dal phisher. Il
criminale attua, in questo caso, una particolare tecnica denominata del fake login, ossia riproduce
soltanto la finestra di autenticazione. Questa tecnica si abbina al Phishing in maniera del tutto
appropriata, usando di solito uno script in PHP o aSP 12 che viene eseguito al momento
dell’inserimento dei dati, e seguìto dalla pressione del tasto Invio. In questo modo i dati inseriti
dall’ignaro utente, non saranno ricevuti dall’istituto di credito ma direttamente dal criminale, il
quale, in tempi brevissimi, provvederà a saccheggiare i risparmi della povera vittima. Si tratta di
attaccare e determina come ottenere gli indirizzi email dei relativi iscritti/clienti.
modifiche sulle credenziali di accesso ai conti online, ma al più potrebbe invitare gli stessi a presentarsi di persona
presso gli uffici della relativa filiale, muniti di documento d’identità.
11
Lo spamming è l’invio di messaggi indesiderati (generalmente commerciali). Può essere attuato attraverso qualunque
sistema di comunicazione, ma quello più comune è internet, mediante l’utilizzo di messaggi di posta elettronica, chat,
tag board o forum.
12
Uno script è un programma, o una semplice sequenza di istruzioni, interpretato e portato a termine da un altro
programma (non dal processore come avviene nei linguaggi compilati); esso viene scritto con un linguaggio di scripting
come PHP o ASP.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
egli procederà, al pari di uno spammer, all’invio di email- phishing di massa, alla
3. Attacco: questo è lo step con cui le persone hanno più familiarità, il phisher
Alla fine, valutati i successi e i fallimenti ed adottate le opportune correzioni, il phisher può
iniziare nuovamente l’operazione sfruttando gli indirizzi email carpiti alle vittime e riuscendo, in
vulnerabilità dei software e della assenza di adeguate contromisure di sicurezza informatica del
In sostanza, il phishing altro non è se non una truffa realizzata con strumenti high-tech, che
sfrutta artifici e raggiri 14 volti a convincere che il messaggio inviato è autentico e veritiero e che il
link è affidabile al punto da poter inserire serenamente le proprie credenziali di accesso e i dati
13
Il termine Phishing deriva dall’inglese fishing (lett. pescare): al pari di un pescatore, il criminale getta l’amo nel mare
magnum degli utenti sicuro che tra costoro qualcuno potrebbe “abboccare”.
14
L’art. 640 c.p. nel disciplinare il reato di truffa individua, quali suoi elementi oggettivi, l’artificio (ossia una
manipolazione o trasfigurazione della realtà esterna, provocata mediante la simulazione di fatti o circostanze in realtà
inesistenti) e il raggiro (l’attività simulatrice posta in essere con parole e argomentazioni che fanno scambiare il falso
per il vero) sempre che siano, effettivamente, capaci d’ingannare.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
personali. Pertanto, se nella pagina web visualizzata, si nota qualcosa di strano, probabilmente
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
6 Il Tabnapping
L’origine di questo termine si deve alla fusione di due vocaboli inglesi: “tab” e
“kidnapping” che assumono il significato di “rapimento della scheda del browser”: è un cocktail
Questo particolare attacco riguarda una tecnologia informatica ed una diffusa abitudine di
navigazione. La tecnologia informatica sfruttata dal Tabnapping è il c.d. tabbed browser, ossia
quella funzione, presente ormai in tutti browser, che consente di visitare contemporaneamente più
pagine web sfruttando una sola “finestra” 15. In questo modo, la navigazione viene enormemente
semplificata con grande risparmio di risorse del sistema operativo 16. Facendo leva sulla distrazione
questo particolare attacco: infatti, ciò che nessun utente si aspetta durante la navigazione è che una
pagina web aperta, possa improvvisamente cambiare mutandosi in un’altra, nel momento in cui la
navigazione si sta svolgendo su un altro tab. In questo modo, il sito web aperto in un tab, ma non
visualizzato in quel momento, si trasforma, il più delle volte, nella pagina di login di un istituto di
credito o della propria web mail. L’utente che torna su quel tab, trovando aperta la pagina di
chiave del suo successo sta nella semplicità che lo caratterizza. tutto ciò avviene grazie all’utilizzo
15
In Informatica, il termine “tab” indica proprio la linguetta presente in cima ad ogni scheda di navigazione del
browser.
16
L’utente medio è abituato ad utilizzare questa tecnologia e pertanto si ritrova ad avere anche più tab aperti
contemporaneamente, focalizzando la sua attenzione soltanto su una di queste schede. L’utente, inoltre, tende ad essere
particolarmente fiducioso e, di conseguenza, a prestare poca attenzione, quando torna a navigare sui siti a lui noti e su
quelle pagine web visitate abitualmente.
17
Nonché sulla convinzione (errata) dell’immutabilità dei tab.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
di javascript 18, con il quale il criminale informatico ha realizzato la pagina web di partenza, ossia
quella visualizzata prima della trasformazione. Il “sito-trappola” è anche in grado di capire quando
è il momento giusto per cambiare, ossia quando quella particolare pagina (aperta in un tab) è stata
posta momentaneamente in stand-by e l’utente sta visionando altri tab. La pagina visualizzata non
cambia fintanto che non si sposta l’attenzione dell’utente, aprendo un nuovo tab, una nuova
finestra, un documento, ecc., ossia fino a quando l’utente non perde di vista la pagina web.
Nel caso in cui l’utente ritorni alla pagina incriminata proprio nel momento in cui questa si
sta “trasformando”, la stessa ritornerà immediatamente al suo aspetto iniziale e non subirà alcuna
ulteriore modifica. Ciò si spiega grazie alla presenza di una sorta di timer, che fa eseguire il codice
malevolo soltanto quando non si verifica alcuna attività che interessa il tab aperto. In questo modo
viene sfruttato quel protocollo di sicurezza, adottato da molti servizi finanziari on-line, che prevede
la disconnessione dalla pagina quando questa è rimasta inattiva per un determinato periodo di
tempo.
Si tratta di una tecnica avanzata di phishing poiché la trasformazione della pagina web attua,
di fatto, un re-indirizzamento ad una falsa pagina di login, il più possibile simile ad un servizio
online particolarmente importante, come un conto online. Ne consegue che, nella realizzazione di
questa pagina web fasulla, il criminale pone la massima attenzione soprattutto nella riproduzione di
18
JavaScript è un linguaggio di scripting lato-client: è un linguaggio di programmazione ridotto ai minimi termini il cui
codice sorgente viene proposto in chiaro, senza alcun tipo di codifica e non necessita l’acquisto di licenza d’uso;
inseribile all’interno di una qualsiasi pagina HTML, lo script JavaScript si compone di una serie di istruzioni
interpretate ed eseguite dal personal computer client (dal browser Internet col quale viene visualizzata la pagina
richiamata). Supportato da tutti i browser Internet, lo JavaScript permette ad una pagina HTML d’interagire con
l’utente: spedire un form (ovvero l’interfaccia di un’applicazione che permette all’utente di inserire e inviare al web
server uno o più dati liberamente digitati dallo stesso); visualizzare slider, animazioni ed immagini o photogallery ecc..
Il suo punto di forza consiste nella gestione degli eventi, ossia compie azioni in determinate situazioni senza dover
ricaricare per forza la pagina.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
Il favicon è un’icona associata a una particolare pagina web. Di solito si tratta di una piccola
immagine, spesso un logo, pertinente ai contenuti del sito web correlato. essa viene visualizzata alla
sinistra dell’UrL nella barra degli indirizzi di un browser, quando si naviga su un sito che ne risulta
provvisto. La stessa icona viene visualizzata nel menu dei “preferiti” di un browser.
Per i motori di ricerca, il titolo costituisce invece uno dei più importanti parametri in base al
quale determinare l’attinenza di una pagina web con i termini di ricerca specificati dall’utente 19.
Entrambi questi elementi rappresentano un forte segnale visivo in grado di imprimersi nella
memoria delle persone. Ne consegue che di fronte ad un titolo ed ad un favicon ben contraffatti,
sarà facile per l’utente credere di aver lasciato aperta la pagina di login di una precedente sessione.
Qualora poi i cookie 20, scaricati durante una precedente sessione (autentica) di login, siano ancora
validi, per l’utente sarà del tutto impossibile accorgersi del trucco.
mirati, ossia “leggendo” la cronologia di navigazione della vittima: tramite il CSS history miner 21 il
criminale potrà scegliere a quali siti re-indirizzare l’utente in base alle relative preferenze e priorità
19
A titolo esemplificativo, analizzando il sito web di Poste Italiane, il favicon è la “e” di colore blu, racchiusa in un
cerchio blu su uno sfondo giallo, posta immediatamente prima dell’URL; mentre il banner “Posteitaliane”, posizionato
in altro a sinistra della videata, costituisce il titolo che caratterizza il sito delle Poste e che fornisce importanti
informazioni sul contenuto della pagina.
20
V. nota n. 24.
21
Particolare dispositivo in grado di entrare nella cronologia di un browser e in grado di far conoscere i siti
abitualmente visitati.
22
In quest’ultimo caso, per rendere la finta pagina di login ancor più verosimile, il malintenzionato potrà aggiungere un
avviso di sessione scaduta richiedendo all’utente una nuova (finta) autenticazione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
semplice sms contenente un invito a collegarsi ad un sito web, il più delle volte per scaricare
gratuitamente un file.
La trappola scatta quando gli utenti, dopo aver cliccato sui link, approdano in siti online
La tecnica sfrutta una vulnerabilità write-sms 24, presente nella popolare piattaforma Android,
falsificato.
Questo bug rileva due aspetti preoccupanti: l’applicazione malware, per agire, non richiede
(aoSP) e, dunque, può essere presente in molte (se non in tutte), le recenti piattaforme Android 25.
Nulla invece ha da temere chi non è in grado di navigare in internet dal proprio smartphone
23
Si veda l’articolo dal titolo “Truffe su carte di credito, ora la frontiera è lo smishing: il «phishing» che si fa con gli
sms: 5 arresti” tratto da IlSole24Ore del 30 novembre 2012.
24
L’individuazione di questa vulnerabilità è da ascriversi ad uno studio condotto dal professore Xuxian Jiang del
Department of Computer Science presso la North Carolina State University e pubblicato in numerose riviste statunitensi
del settore. Lo studioso ha registrato la presenza del fenomeno su un certo numero di cellulari, compresi Google Galaxy
Nexus, Google Nexus S, Samsung Galaxy SIII, HTC One X, HTC Inspire, and Xiaomi MI-One. Le piattaforme
interessate sono Froyo (2.2.x), Gingerbread (2.3.x), Ice Cream Sandwich (4.0.x), and Jelly Bean (4.1).
25
La conferma della presenza di questa vulnerabilità viene dallo stesso Google Android Security Team, il quale ha
promesso di correggerla al più presto, tramite il rilascio di una specifica patch. Per ulteriori approfondimenti v. C.
Travasso e V. Massaro, La valutazione della propria ‘in-sicurezza’ informatica, infra, p. 159 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
18 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
Trojan Horses. Si tratta di piccoli programmi in grado di alterare il funzionamento del computer (o
sono, quindi, particolarmente efficaci soprattutto in quei sistemi informatici connessi ad una rete.
anche se i termini Virus, Worms e Trojan Horses vengono usati spesso come sinonimi, si
riferiscono, in realtà, a codici malevoli differenti, ciascuno con caratteristiche uniche e diverse dagli
altri.
Per Virus si intende un programma che, per poter “infettare” un computer, richiede
necessariamente un’azione da parte dell’utente (aprire l’allegato di una email, visitare una pagina
propagano automaticamente (in rete o via email) senza alcun intervento dell’utente.
I Trojan, infine, sono programmi che, come i Virus, richiedono una azione da parte
dell’utente. Tuttavia, si mostrano come un software conosciuto e affidabile, al punto che l’utente,
ingannato dal programma, è spinto a compiere una determinata azione che attiva il Trojan. In
questo modo, il codice adotta tutte le funzioni del programma “maschera” ma, all’insaputa
dell’utente, svolge anche altre azioni, tra le quali l’apertura di un canale segreto di comunicazione
Ogni volta che il sistema informatico infettato si collega ad una rete, diventa interamente
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
19 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
Si può essere vittima di malware aprendo allegati email sospetti, ma anche semplicemente
visitando siti “infetti”, che contengono codice maligno. Si incorre nel medesimo rischio di infezione
soprattutto quando si naviga in siti dove sono presenti animazioni e una certa dose di interattività. In
questi casi il sito, per poter essere correttamente visualizzato, chiede al programma di navigazione
informatico.
Ad esempio, alcuni siti utilizzano particolari script, che eseguono diversi programmi
all’interno del browser. Si tratta di un codice attivo utilizzato per creare i menu a tendina o altre
piacevoli animazioni grafiche. Il codice, anche se non malevolo, può essere un efficace veicolo di
infezione informatica.
È questo il motivo per cui esso viene utilizzato dai malintenzionati per scopi illeciti 26.
I codici attivi possono essere utilizzati anche dai programmi di posta elettronica: molti client
usano, infatti, gli stessi programmi utilizzati dai browser per visualizzare il contenuto grafico o
dinamico presente in una email, incorrendo nei medesimi rischi. L’utente che naviga in rete lascia
dietro di sé delle tracce; dissemina informazioni, che possono essere raccolte e memorizzate:
l’indirizzo IP, il dominio usato per il collegamento in rete (.edu, .com, .net), il tipo di browser
utilizzato, ecc. I cookie possono, poi, raccogliere e memorizzare, per un certo lasso di tempo,
26
Ne è un esempio il Pharming, già illustrato in precedenza, che utilizza proprio JavaScript. Esistono, però, altri codici
che possono costituire veicoli di infezione informatica: i controlli ActiveX e gli Applet Java. Si tratta di veri e propri
programmi che, a differenza di JavaScript, risiedono nel browser installato sul computer dell’utente. Se eseguiti, i
controlli ActiveX possono consentire ad un malintenzionato di eseguire ogni tipo di azione sul computer della vittima
(come avviare Spyware e raccogliere informazioni personali). La stesso vale per gli Applet Java che, anche se
funzionano in un ambiente più ristretto, sono generalmente considerati meno pericolosi dei controlli ActiveX. Si ricordi
uno spyware è un tipo di software che raccoglie informazioni riguardanti l’attività online di un utente (siti visitati,
acquisti eseguiti in rete, ecc.) senza il suo consenso, e le trasmette tramite internet ad un’organizzazione che può
utilizzarle per trarne profitto, solitamente attraverso l’invio di pubblicità mirata.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
20 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
informazioni più specifiche sulle abitudini dell’utente: i siti visitati, la frequenza di queste visite, i
quando si visita la pagina web di una web mail. In questo caso, però, l’indirizzo
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
21 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
email può essere facilmente carpito da un terzo. Molti Browser permettono, nei
loro settaggi, di stabilire per quanto tempo i cookie devono essere conservati.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
22 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
9 I Rootkit
Il termine Rootkit indica un programma utilizzato per ottenere automaticamente il controllo
dello stesso. Il termine deriva dall’ambiente del sistema operativo Unix 27, dove l’accesso che
permette di eseguire qualsiasi funzione (come amministratore) viene detto proprio root access.
Compito principale di un rootkit è quello di nascondere agli occhi dell’utente alcuni oggetti
del sistema operativo, agevolandone l’utilizzo. In questo modo, possono essere nascosti elementi e
funzionamento. Possono essere resi “invisibili” all’utente file, processi in memoria, servizi, chiavi
di registro e porte tCP/IP in stato di ascolto: Daemon Tools 28 e Alcohol 120% 29 rappresentano
Successivamente, però, il termine è diventato sinonimo di malware. Negli anni, infatti, sono
stati creati diversi programmi maligni che, sfruttando la tecnologia rootkit, hanno consentito il
controllo di un computer, anche in rete (c.d. in remoto), in modo “nascosto”, ossia non rilevabile dai
27
Unix è stato uno dei primi sistemi operativi portabili per computer sviluppato nel 1969 da un gruppo di ricerca dei
laboratori AT&T e Bell Laboratories. I suoi elementi distintivi sono: la Multiuteza (più utenti possono interagire
contemporaneamente, da terminali diversi, col sistema che, quindi, è in grado di evitare possibili interferenze. Ogni
utente è individuato univocamente da un nome logico (username), sono suddivisi in gruppi, ciascuno individuabile
univocamente mediante il suo nome (groupname). In ogni sistema è definito l’utente root, che rappresenta
l’amministratore di sistema, e che, in generale, non ha alcuna limitazione nell’accesso alle risorse del sistema stesso); la
Multiprogrammazione o multitasking (il suo nucleo può supportare la contemporanea esecuzione di più processi gestiti
a divisione di tempo); la Gestione della memoria virtuale (il sistema di gestione della memoria permette ad ogni
processo di indirizzare un’area di memoria di dimensioni eventualmente superiori a quelle della memoria centrale
effettivamente disponibile); la Portabità (grazie all’impiego del linguaggio di programmazione C nella realizzazione del
sistema, esso gode di un’elevata portabilità, ed è oggi disponibile su una vasta gamma di architetture); il fatto che è un
sistema Aperto; l’Ambiente di sviluppo per programmi scritti in “C” [il che consente la disponibilità, nelle utilità di
sistema, di un insieme piuttosto ricco di strumenti per lo sviluppo di applicazioni in “C” (tra i quali il compilatore cc)].
28
Daemon Tools è un emulatore di periferiche CD/DVD virtuali per Windows capace di montare immagini di dischi
DVD, CD, HD DVD o Blu-ray su una periferica virtuale. Il programma crea dei lettori CD/DVD/HD DVD/Blu-ray
aggiuntivi simulandoli, come se fossero presenti fisicamente rendendo possibile la lettura dei c.d. file di immagine (con
estensione .iso o .mdf), ossia file di grandi dimensioni che racchiudono il contenuto di interi CD/DVD.
29
Alcohol 120% è un programma di backup, copia e masterizzazione di supporti ottici (CD, DVD, Blu- ray Disc) e,
come Daemon Tools, un emulatore di periferiche virtuali prodotto da Alcohol Software.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
23 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
I rootkit agiscono al livello più profondo, installandosi come parte integrante del sistema
operativo diventando praticamente invisibili ai normali antivirus 30. La dottrina preferisce indicare i
rootkit come programmi ghostware proprio per evidenziarne la funzione Stealth. ad ogni modo
questa invisibilità non è assoluta infatti essi possono essere identificati da opportuni programmi
Al pari di altri malware, anche il rootkit può infettare un computer in diversi modi:
l’apertura di allegati email, la visita a siti infetti, l’installazione di un finto programma, ecc. Una
volta installato il programma viene, in genere, lanciato all’avvio del sistema operativo attraverso
una chiave di registro invisibile. a questo punto, il rootkit può compiere diverse azioni pericolose
per la sicurezza del computer e dello stesso utente: intercettare password e tutto ciò che viene
digitato sulla tastiera (in questo caso si parlerà più appropriatamente di keylogger); aprire canali
nascosti di comunicazione con terzi (le c.d. backdoor); catturare (in gergo sniffare) tutto il traffico
30
Il sistema operativo dialoga con i programmi attraverso un insieme di funzioni chiamate API (Application
Programming Interface o Interfaccia di Programmazione di un’Applicazione). La parte di queste funzioni che
riguardano il file system, hanno come compito quello di chiedere informazioni al sistema sui dati registrati nel disco
rigido e comunicarle alle applicazioni. Il rootkit agisce proprio su questo settore, intercettando le risposte che le
funzioni API restituiscono alle applicazioni, per rimuove da esse qualsiasi riferimento riguardante l’oggetto che intende
occultare (Trojan o Backdoor). È ovvio che in assenza d’informazioni, le applicazioni non potranno rilevare alcun
oggetto nascosto. Il rootkit fa in modo di essere lanciato ad ogni avvio del sistema operativo attraverso una chiave di
registro, resa anch’essa invisibile. Una volta attivo, come una qualsiasi applicazione, il rootkit può operare sia in user-
mode (i programmi che girano in questo modo sono più limitati, nel senso che operano in un’area ristretta della
memoria, e non possono in alcun modo accedere ad altre aree della memoria stessa), che in kernel-mode (questa
modalità consente un accesso illimitato, ciò significa che un software in kernel può modificare e sovrascrivere anche
altri programmi (addirittura il codice del sistema operativo) presente in memoria. Un programma per girare in kernel-
mode deve però essere avviato con privilegi d’amministratore). I rootkit sono al momento classificati “user-mode” o
“kernel-mode” in base a come si comportano una volta nel sistema.
31
In Informatica il termine “DoS”, acronimo di “Denial of Service”, letteralmente “Negazione del Servizio”, indica un
particolare e diffuso tipo di attacco telematico con cui si pregiudica il funzionamento di un sistema informatico che
fornisce un determinato servizio. Il sistema viene portato, così, al collasso attraverso l’invio contemporaneo di più
richieste di quante lo stesso possa elaborare.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
24 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
invece, sono i c.d. forum, ossia piazze virtuali, nelle quali gruppi di persone accomunate dagli stessi
interessi discutono su determinati argomenti. Le Chat possono avere sia natura “pubblica” che
“privata”. Nel primo caso, il servizio si configura come un vero e proprio punto d’incontro aperto a
tutti, vale a dire a qualsiasi utente iscritto. Una Chat room privata, invece, appare simile ad un
circolo dove possono interagire tra di loro soltanto gli appartenenti a quel determinato gruppo che
gestisce la room. In questo caso, le comunicazioni possono essere anche soggette a revisione da
parte di un utente che funge da moderatore, con facoltà di censire messaggi inappropriati od
offensivi e di estromettere dalla room privata i partecipanti indisciplinati (in gergo bannare).
l’utente comunica con una sola persona, le Chat permettono anche una interazione many-to-many:
l’utente può scegliere se avviare una chat privata con un persona o interagire contemporaneamente
In questi circuiti comunicativi, oltre ad utenti reali, sono presenti i c.d. chat robot, o più
semplicemente bot, ossia utenti farlocchi creati da particolari software in grado di interagire con
tutti gli altri iscritti, automatizzando funzioni troppo gravose o complesse per gli utenti reali.
Interrogando i bot, un utente può conoscere le condizioni meteo, la lista dei film in programmazione
ed altre notizie di pubblico interesse. Questi sistemi consentono di nasconde la propria identità e,
persino di fingersi altri. Le stesse conversazioni possono essere tutt’altro che private: un terzo
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
25 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
intruso potrebbe carpirne (sniffarne) il contenuto ed utilizzarlo per scopi illeciti (ad esempio, per
estorcere danaro alla sua vittima). Attraverso le note tecniche di ingegneria sociale, è sufficiente
carpire la fiducia del proprio interlocutore per convincerlo ad utilizzare un determinato programma
alla stregua di altri programmi, quindi, anche i software utilizzati per comunicare con altri
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
26 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
ma, per loro stessa natura, nascondono dei rischi legati alla sicurezza51. Si tratta di siti (friend-of-a-
friend sites) creati per utilizzare la rete come trait d’union fra persone, anche sconosciute tra loro,
desiderose d’iniziare nuove relazioni di amicizia o di affari. essi si basano sullo scambio di
informazioni, incoraggiando gli utenti a condividere una certa quantità di dati personali e offrendo
diversi meccanismi di comunicazione (forum, chat room, email, instant messenger, ecc.).
conoscenze e il falso senso di sicurezza ingenerato dalla rete spingono i singoli utenti a fornire una
notevole mole di informazioni personali. I rischi a cui l’utente si espone sono molteplici: dal social
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
27 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
12 P2P
Il P2P è una tecnologia che permette agli utenti di internet di condividere i propri file con
altri. Di per se, lo strumento non si rivela illegale, ma lo diventa quando viene condiviso materiale
protetto da copyright.
La rete è il mezzo più usato e facile per condividere musica, film e tanti altri tipi di file,
violando spesso il c.d. diritto d’autore e compromettendo la sicurezza delle proprie informazioni
personali.
impossibile stabilire a priori l’affidabilità della sorgente da cui si stanno “scaricando” i dati.
Pertanto, si potrebbero importare non solo i file richiesti, anche malware o, addirittura, file di altra
natura (come, ad esempio, immagini pedopornografiche). I circuiti di scambio dati risultano, infatti,
abbastanza “inquinati” da malware e fake che contengono un contenuto diverso da quello mostrato.
Al fine di ottenere lo scambio dei dati, le applicazioni P2P richiedono, in genere, di aprire
pericolosi attacchi. anche in questo caso i criminali informatici, sfruttando le vulnerabilità presenti
memorizzati.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
28 di 29
Università Telematica Pegaso Rischi, pericoli e minacce: i problemi
connessi alla sicurezza e i vettori d’attacco
13 VOIP
Il sistema VoIP (acronimo di Voice over IP) utilizza la tecnologia della commutazione di
pacchetti propria delle comunicazioni internet, applicata alla fonia. In pratica, la voce viene
trasformata in un segnale digitale, divisa in pacchetti dati ed inviata in rete. I pacchetti, una volta
Per sfruttare la tecnologia VoIP, l’utente deve utilizzare, oltre al pc, un adattatore per il
telefono tradizionale o un telefono VoIP, che renda possibile la conversione del segnale digitale in
segnale sonoro. Chi utilizza questo sistema non nota alcuna differenza con la telefonia tradizionale.
tuttavia, atteso che la tecnologia VoIP utilizza le stesse linee ad alta velocità della rete internet, essa
risulta vulnerabile agli stessi rischi ed agli stessi problemi che affliggono un qualsiasi dispositivo
posto in rete: malware, phishing, attacchi D.o.S., intercettazioni, Ingegneria Sociale, ecc.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
29 di 29
“RIMEDI E CONTROMISURE. SICUREZZA
REALE E SICUREZZA INFORMATICA”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
1 Sicurezza Reale
Ciò significa che bisogna essere cauti nel divulgare informazioni personali. Basta dotarsi di
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
l’interlocutore, accertarsi della sua identità, diffidare di chi, a qualsiasi titolo, richieda informazioni
personali.
In ogni più semplice gesto della vita quotidiana, l’utente dovrebbe prestare la massima
attenzione: ad esempio, è auspicabile che controlli il regolare utilizzo della carta di credito durante
gli acquisti e la propria situazione creditizia; allo stesso modo, ognuno dovrebbe distruggere i
sicurezza della corrispondenza, dei codici segreti, delle password, ecc.; controllare che durante i
ad entrare in azione, per carpire informazioni utili a realizzare il piano malevolo predeterminato.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
altro dispositivo digitale), al fine di evitare, rilevare e rispondere agli attacchi perpetrati.
dall’attacco di virus o trojan horse che potrebbero rubare o modificare alcuni dati memorizzati.
Occorre poi mantenere sempre aggiornati i programmi presenti sul pc. Le stesse case produttrici di
software, quando si accorgono che esistono vulnerabilità o malfunzionamenti nei loro prodotti,
provvedono a rilasciare le c.d. patch correttive 1. In alcuni casi, se il numero di correzioni è elevato,
viene rilasciata una patch cumulativa detta Service Pack. tutte le patch sono rese disponibili per il
È consigliabile controllare i citati siti con una certa frequenza per provvedere
esclusivamente dai siti ufficiali, digitando direttamente il loro URL nel browser ed evitando di
cliccare direttamente sui link presenti all’interno di email di notifica che potrebbero rivelarsi
falsificate 2.
comunica la propria email o altre informazioni personali. Prima di digitare il proprio nome, email
address o altro in un sito web, è opportuno accertarsi che il sito garantisca adeguatamente la
1
La produzione di software, proprietario o libero, è usualmente soggetta ad errori di scrittura del codice sorgente e
malfunzionamenti, chiamati bug, che vengono scoperti solo successivamente al rilascio del software stesso. Nel suo
significato primario, patch (letteralmente “pezza”) è un termine inglese che indica (come hot fix) un file eseguibile
creato per risolvere uno specifico errore di programmazione, che impedisce il corretto funzionamento di un programma
o di un sistema operativo. Questi file vengono
2
Questi link potrebbero re-dirigere l’utente su siti “pirata” facendoli scaricare codice malevolo al posto di importanti
aggiornamenti.
3
Si tratta di codici di condotta, regolamenti o limiti dettati nel pieno rispetto di leggi vigenti, che disciplinano
l’amministrazione (in questo caso) di un sito web.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
Queste ultime (che dovrebbero essere costantemente aggiornate) informano l’utente sulle
stesse devono specificare se tali informazioni potranno essere utilizzate anche da terzi e a che titolo.
Non di rado accade che, infatti, determinate compagnie condividano (o, addirittura, vendano) le
In caso di sottoscrizione a una mailing list 4, è bene accertarsi di selezionare solo quelle
opzioni che permettono di ricevere traffico utile e non spam (ossia comunicazioni pubblicitarie non
volute). Nel caso in cui il sito non riporti comunicazioni chiare circa la tutela dei dati personali, è
le password, preferire, soprattutto per gli acquisti online, connessioni protette/crittografate con
protocollo https 5.
4
La Mailing-List (letteralmente, “lista per corrispondenza o di distribuzione”) è un servizio/strumento offerto da una
rete di computer a determinati utenti; è costituito da un sistema organizzato per la partecipazione di più persone ad una
discussione asincrona o per la distribuzione di informazioni utili agli interessati/iscritti attraverso l’invio di email a tutti
gli iscritti al servizio. Rappresenta un metodo di comunicazione, tipicamente gestito da aziende, associazioni,
organizzazioni o singoli, in cui un messaggio email inviato ad un sistema server viene inoltrato automaticamente in
multicast alla lista di destinatari interessati: solitamente gli utenti condividono un interesse o uno scopo, e quando ci
sono novità, il gestore invia mail a tutta la lista per suscitare discussioni, commenti o condividere informazioni utili.
Rappresenta un tipo di comunicazione “uno a molti” e con un grado di co-presenza inferiore a quello delle chat.
5
HyperText Transfer Protocol over Secure Socket Layer (HTTPS) è il risultato dell’applicazione di un protocollo di
crittografia asimmetrica al protocollo di trasferimento di ipertesti HTTP. Viene utilizzato per garantire trasferimenti
riservati di dati nel web, in modo da impedire intercettazioni dei contenuti che potrebbero essere effettuati tramite la
tecnica di attacco del man in the middle (o uomo nel mezzo).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
navigazione sicura.
Al giorno d’oggi, i siti web offrono innumerevoli funzionalità e servizi interattivi che
richiedono l’esecuzione di codici all’interno del browser stesso. alcuni di questi possono essere
strettamente necessari. Il modo di conservare la c.d. usabilità 6 del sistema consiste nell’inserire,
nell’apposita lista del browser, i siti che consideriamo come attendibili, per abilitare
Ogni browser è differente. È necessario, pertanto, familiarizzare con i suoi menù, con le sue
opzioni ed, eventualmente, aiutarsi con la guida in linea o con ausili predisposti direttamente nel
sicurezza cliccando sulla voce “Strumenti” della barra dei menù, selezionando “opzioni Internet” e,
di seguito, la linguetta “Protezione” e cliccando il tasto “Livello personalizzato” di una delle quattro
È bene tuttavia ricordare che la scelta del livello più alto di sicurezza comporta limitazioni
nel caricamento di alcune pagine web o nel loro corretto funzionamento. La soluzione migliore
implica l’abilitazione di caratteristiche specifiche soltanto quando queste sono richieste da siti
6
L’usabilità è definita dall’ISO (International Organisation for Standardisation), come il grado di facilità e
soddisfazione con cui si compie l’interazione tra l’uomo e uno strumento (console, leva del cambio, interfaccia grafica,
ecc.).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
raggruppare i siti web in zone o aree in base al livello di fiducia assegnato dall’utente in modo tale
• nell’area intranet locale possono, invece, riunirsi siti web relativamente sicuri, con
• nell’area siti attendibili, l’utente può inserire, cliccando sul tasto siti, quei siti web
medio-basso;
• infine, nell’area siti con restrizioni, Internet Explorer offre all’utente la possibilità di
sicurezza.
gli Script ActiveX e le Applet Java, che – come già evidenziato – rappresentano fonti
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
i Cookie, che dovrebbero essere accettati solo su richiesta di siti sicuri o se noti
all’utente 7;
le finestre Pop-up, ossia quei riquadri che appaiono in primo piano durante la
7
I diversi Browser permettono la completa gestione dei Cookie, dando all’utente la possibilità di disabilitarli, limitarli,
o permetterli nelle loro impostazioni.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
bancario). In questi casi, nella finestra del Browser (in basso a destra o in alto prima dell’URL),
appare l’icona di un “lucchetto”. Cliccando su questo simbolo, viene visualizzata una finestra di
dialogo contenente una descrizione del c.d. Certificato Digitale, rilasciato al sito web che si sta
Mentre la sigla “https”, presente nella barra dell’indirizzo dinanzi all’URL del sito, segnala
che tra il sito e il computer dell’utente sta avvenendo una comunicazione cifrata, il certificato
digitale è un documento rilasciato da una autorità che ha verificato l’appartenenza dell’indirizzo del
certificato e, qualora ne sia provvisto, provvede a verificarne la data di rilascio e di scadenza, l’URL
e la presenza della firma digitale dell’autorità (la c.d. Trusted Authority) che certifica ed assicura la
genuinità del sito web visitato. Se tutti questi elementi sono presenti, si può essere ragionevolmente
8
Esistono autorità che garantiscono per altre autorità, secondo uno schema piramidale. Per default, il Browser contiene
una lista di oltre 100 autorità di fiducia certificate, alle quali l’utente si affida per verificare e convalidare
adeguatamente le informazioni presenti nei vari siti web.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
amministra il sito;
• la data di scadenza del certificato. La maggior parte dei certificati hanno validità di
uno o due anni, eccezion fatta per quello dell’autorità di certificazione che, per
motivi organizzativi, può avere validità decennale. È bene diffidare, quindi, dei
anomalie comunica, con una apposita finestra di dialogo, la presenza di un errore di certificazione.
ancorché anomalo; in caso di rifiuto, il Browser non trasmetterà al sito web alcuna informazione
sensibile.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
godimento del software per un periodo di tempo, determinato o indeterminato, e dietro pagamento
di un canone. Prima di accettare i termini delle licenze d’uso, l’utente deve essere sicuro di aver
Bisogna fare molta attenzione al dialog box che appare durante l’installazione del
programma, in cui vengono presentate le condizioni di fornitura della licenza. Pochi si preoccupano
opportuno tuttavia ricordare che i produttori includono determinate condizioni per proteggersi da
responsabilità legate all’utilizzo e alla duplicazione del loro prodotto e alla validità della garanzia.
distribuzione;
Possono, però, essere contemplate condizioni con possibili implicazioni sulla sicurezza e
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
terzi.
Il contratto di licenza software a strappo (c.d. shrink-wrap license) è uno dei più diffusi in
quanto rende più veloce la commercializzazione del software anche nei casi in cui non si possa
in un involucro che reca al suo esterno le condizioni generali del contratto. Il contratto si perfeziona
codice sorgente del software, di modificarlo per creare ulteriori programmi e di copiare sia il
software originale che il programma rielaborato dallo stesso per distribuirle anche a pagamento.
Esiste, poi, un altro tipo di licenza detta oeM (Original Equipment Manufacturer), il cui
contratto viene concluso automaticamente con l’acquisto di un componente hardware sul quale il
programma è stato preinstallato. Licenze di questo tipo accompagnano l’acquisto non soltanto di
computer preconfigurati, ma anche di notebook, netbook e tablet. alcune software house hanno,
infatti, concluso un accordo con i produttori autorizzando gli stessi ad installare, sulle memorie dei
diversi dispositivi i loro programmi (in particolare i sistemi operativi) col divieto di distribuirli
separatamente dall’hardware.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
ulteriori rischi per la sicurezza. Una rete WiFi permette il collegamento ad internet o ad una LaN61
senza bisogno di cavi, utilizzando onde radio. Questo tipo di rete permette l’acceso da qualsiasi
Il termine hotspot indica l’area coperta dalla rete wireless; rete che, il più delle volte, è
generata da un trasmettitore-ricevitore chiamato Access Point- Router e collegato, via cavo, ad una
normale connessione internet. Questo componente trasmette, ad intervalli regolari, il SSID (Service
Set Identifier), ossia il nome con cui la rete WiFi si identifica agli utenti. Tutti i dispositivi dotati di
scheda di rete possono comunicare/interagire con l’Access Point-Router e collegarsi alla rete
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
L’accesso alle reti wireless, in alcuni casi, è protetto da password; in altri è completamente
una data zona, mentre altri richiedono una loro localizzazione manuale attraverso l’inserimento del
L’uso delle onde radio rende possibile intromissioni, intercettazioni e dirottamenti delle
comunicazioni, anche di tipo protette carpendo, in questi casi, la password posta a loro protezione.
Il Wardriving è un’attività, con finalità tipicamente illecite, che consiste nell’intercettazione di reti
individuare l’esatta posizione della rete. Pertanto, approfittando del wardriving, alcuni
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
utilizzare la chiave WEP, che presenta delle falle di sicurezza abbastanza note
tipo WPA o WPA2. La cifratura dei dati evita a chiunque di avere accesso alla
comunicazione periodica del SSID. In questo caso, per accedere alla rete, sarà
o Isolare la rete wifi dal resto della LAN: è opportuno creare una barriera fra
802.11b e g (2,4 GHz) sono le più battute da chi vuole violare una WiFi. Per
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
18 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
direttamente sulla rete, oltre che sui dispositivi utilizzati. Un attacco di rete
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
19 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
6 La tecnologia Bluetooth
Il Bluetooth 9 si è affermato come tecnologia standard per la comunicazione senza fili tra
dispositivi di diversa natura (come cellulari, computer, PDa) e i rispettivi accessori (auricolari,
Quando due dispositivi Bluetooth sono collegati tra loro, si attiva un processo di reciproco
riconoscimento che consiste nello scambio e nella verifica di un codice identificativo che permette
di autorizzare lo scambio di dati tra i due dispositivi (il c.d. pairing). Questa tecnologia, di per se,
potrebbe essere ragionevolmente sicura poiché supporta l’uso dell’autenticazione a chiave e della
crittografia. Purtroppo, però, molti dispositivi Bluetooth si affidano ad un PIN numerico di 4 cifre,
una connessione Bluetooth prende il nome di Bluesnarfing. attraverso questo tipo di intrusione è
possibile accedere a buona parte dei contenuti dell’apparecchio posto sotto attacco come, ad
esempio, il suo calendario, i contatti della rubrica, le email ed i messaggi di testo, oltre all’abuso dei
9
Lo standard Bluetooth prevede l’utilizzo di una banda radio a 2.4Ghz con un transfer rate di circa 1Mbit al secondo. Il
raggio di azione del Bluetooth varia a seconda della potenza dell’antenna radio installata andando da un minimo di 10
metri ad un massimo di 100 metri. Maggiore è la potenza dell’antenna, maggiore è il consumo di energia nei dispositivi
e, soprattutto, maggiore è la probabilità di interferenza con altri dispositivi wireless. Per questo motivo, la gran parte dei
produttori è orientato verso antenne di potenza 0dB fino a 10 metri di raggio. Il segnale inviato in questa fascia è molto
debole (pari a circa 1mW (milliwatt)) e questo fa si che esso non interferisca in alcun modo con altri apparecchi a
frequenze radio come i cellulari o la televisione. Il segnale basso non impedisce comunque alle onde radio di propagarsi
anche attraverso i muri, rendendo il Bluetooth perfettamente utilizzabile anche tra stanze differenti. Grazie all’uso di
una tecnica chiamata Spread-Spectrum Frequency Hopping, un dispositivo può usare fino a 79 frequenze (in modo
casuale e all’interno di un range specifico) cambiandole secondo un ordine prefissato fino a 1600 volte al secondo il che
rende improbabile che due o più dispositivi presenti nelle vicinanze riescano a trasmettere sulla stessa frequenza allo
stesso tempo creando interferenza tra loro. Nel raro caso in cui questo avvenga, l’interferenza è comunque limitata ad
una piccola frazione millesimale di secondo: per approfondimenti v. il sito www.comefunziona.net.
10
Col termine passphrase si indica un insieme di parole o di stringhe alfanumeriche (di solito separate da caratteri non
alfabetici come numeri, caratteri speciali o il carattere “spazio”) utilizzato per l’autenticazione ad un sistema, ad un
programma, ad una base dati o ad una rete, oppure per effettuare operazioni di cifratura.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
20 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
Su alcuni apparecchi vulnerabili, l’accesso avviene non solo in lettura, ma anche in scrittura:
il che rende possibile modificare, aggiungere e cancellare i contenuti del dispositivo attaccato. La
stessa tecnica è usata anche per il c.d. Bluejacking, ovvero l’invio di messaggi 11.
Il Bluejacking, da telefono a telefono, si effettua creando nella rubrica una nuova scheda
(oppure una nota) che viene inviata tramite Bluetooth ad un altro telefono ovviamente autorizzato
(con la procedura di pairing). Questa tecnica di per sé lecita può essere, però, utilizzata per
sovraccaricare il dispositivo. Inoltre, la stessa può essere sfruttata anche dai diversi malware per
autorizzati;
11
Si tratta di biglietti da visita in formato vCard, con estensione .vcf.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
21 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
dispositivi di “riconoscersi”;
in presenza di hotspot wireless pubblici dove alto è il rischio che altri possano
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
22 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
accedere ad informazioni privilegiate in qualsiasi momento del giorno ed in ogni luogo, le esigenze
di essere sempre in contatto con amici, clienti e fornitori e l’innegabile comodità di disporre di
apparati portatili dai costi ridotti e dalle capacità sempre maggiori hanno reso questi dispositivi, per
Figura 9
Anche sui dispositivi portatili si svolgono attività potenzialmente pericolose: per gli stessi
12
I dispositivi portatili vengono utilizzati anche per scopi professionali. In essi vengono memorizzate numerose ed
importanti informazioni che dovrebbero essere adeguatamente protette: ogni azienda dovrebbe essere consapevole che
anche un solo ed isolato episodio di perdita (o furto) di dati può causare danni finanziari di notevole entità, problemi di
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
23 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
custodirlo adeguatamente;
evitare di sfoggiarlo in giro, per soddisfare la propria vanità (un ladro potrebbe
adocchiarlo);
allarme o un lucchetto;
pubblico;
dispositivo;
rispetto di normative di legge con conseguenti responsabilità legali, oltreché pubblicità negativa i cui effetti possono
durare addirittura per anni. I dispositivi portatili aziendali rappresentano, quindi, una ulteriore vulnerabilità nel sistema
di sicurezza della ditta poiché sono più facili da rubare, da nascondere e da dimenticare. Emblematico è il caso di un
manager dell’Apple che ha perduto, su un taxi, un dispositivo non ancora in commercio, affidatogli per testarlo.
13
Il Firmware è quel particolare programma integrato nello stesso dispositivo e che permette il suo avvio.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
24 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
utilizzata;
memorizzate.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
25 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
ridotte e di capacità maggiori, spesso unite a forme accattivanti e stravaganti tali da renderli oggetti
di moda e di culto. Supporti dalle dimensioni di una moneta di un centesimo di euro possono
contenere intere banche dati da diversi Giga Byte. ogni informazione, di qualsiasi natura, può essere
facilmente trasportata e, altrettanto facilmente, perduta o rubata. Per questo motivo, è importante
proteggere i supporti attraverso un sistema di cifratura, che impedisce a persone non autorizzate
l’accesso ai dati in essi contenuti. Se il supporto di memoria viene adoperato per beckuppare 15 dei
dati ed esso, con il trascorrere del tempo, diventi inutilizzabile tanto da volersene disfare, è
opportuno distruggerlo materialmente, per evitare che terzi possano recuperarlo e recuperare le
Anche quando l’utente decide di vendere o dismettere il suo vecchio computer (o altro
dispositivo digitale) è bene che ne asporti (se possibile) la memoria interna. Nel caso in cui questa
memoria interna non possa essere tolta dal dispositivo (come in un vecchio cellulare, ad esempio),
È comunque importante sapere che la normale cancellazione del supporto di memoria 16 non
è sufficiente ad evitare che terzi possano recuperare i dati memorizzati in precedenza sul
dispositivo: una effettiva e permanente cancellazione si ottiene solo con la materiale e molteplice
14
Si pensi ai floppy, zip disk, CD, DVD e flash drive removibili (conosciuti anche come USB drives o thumb drives).
15
Cioè, creare copie di sicurezza.
16
La stessa cosa vale anche per la c.d. formattazione, ossia quell’operazione con la quale si prepara all’uso, ad esempio,
un hard disk (o una sua partizione), dividendolo in una serie di blocchi di uguali dimensioni in cui verranno scritte le
informazioni che permetteranno l’accesso ai dati desiderati.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
26 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
sovrascrittura dei file cancellati. Questa operazione viene garantita da diversi programmi, anche
denominata holding area (il cestino dei sistemi operativi come Windows). Questa operazione, in
realtà, protegge l’utente da se stesso, da errori e distrazioni Ma i file non vengono “cancellati” fino a
quando l’utente non provveda a “svuotare il cestino”. anche in questo caso, non si tratta di una
cancellazione permanente, poiché il file cancellato, potrà considerarsi tale solo quando verrà
In sintesi, un file cancellato può essere recuperato da una mano esperta (come quella di un
investigatore informatico) ricorrendo a programmi e tecniche particolari 18. allo stesso modo, un
criminale potrebbe usare i dati recuperati contro il relativo titolare o per colpire terze persone
17
Si tratta dei c.d. programmi di wiping, che eseguono la sovrascrittura dei dati con caratteri randomici, ripetendo
l’operazione dalle 3 alle 7 volte. L’ultima sovrascrittura dovrebbe essere fatta con bit a 0 allo scopo di aumentare la
sicurezza dell’avvenuta cancellazione.
18
Si parla di programmi e tecniche di Data Recovery (Recupero Dati).
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
27 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
proprio conto corrente alla ricerca di discrepanze: il riscontro positivo è un chiaro sintomo di un
accesso indesiderato. Per capire se si è vittima di un furto d’identità occorre prestare attenzione a:
possesso;
Nel caso in cui si verifichi uno degli avvenimenti descritti l’utente dovrebbe contattare
Recuperare una identità rubata è un processo lungo e complicato, che non sempre può
19
Entro e non oltre 60 gg. (ex art. 119, D.Lgs. 1 settembre 1993, n. 385, recante “Testo unico delle leggi in materia
bancaria e creditizia”).
20
Il consumatore dovrà dimostrare (tecnicamente) che il dispositivo con cui normalmente operava sul conto corrente
online è stato sempre mantenuto in piena sicurezza, aggiornato nelle sue componenti software e regolarmente
scansionato da un buon antivirus; invece, sarà onere dell’istituto di credito, in quanto titolare del servizio bancario
offerto e possessore dell’hardware in cui è inserito il conto, dimostrare l’origine e la causa dell’avvenuta violazione.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
28 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
21
Molti istituti di credito hanno un’apposita copertura assicurativa e supportano il cliente nel caso in cui qualcuno
effettui operazioni al suo posto, rimborsando gli importi derubati; altri invece sono privi di tale copertura addizionale. In
ogni caso spetta sempre al consumatore dimostrare di aver operato regolarmente e di non aver mai consegnato a terzi i
propri dati personali e, soprattutto, le credenziali di accesso al proprio conto corrente.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
29 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
Condotte criminali di questo tipo causano non soltanto ingenti perdite economiche ma anche
nocumento alla reputazione della vittima. Per aziende e professionisti, vigono obblighi più restrittivi
imposti dal D.lgs. 30 giugno 2003, n. 196 (c.d. “Codice in materia di protezione dei dati personali”
o “Codice Privacy”). In base al codice, chiunque per motivi professionali conserva o tratta dati
sensibili altrui (organizzazioni, aziende, enti pubblici, professionisti, ecc.) è soggetto alle cautele e
agli obblighi previsti dalla legge in quanto responsabile civilmente e penalmente, anche in modo
oggettivo, di ogni danno cagionato al titolare o a terzi da un trattamento non corretto. Il trattamento
dei dati è considerato addirittura un’attività pericolosa e come tale gode dell’inversione dell’onere
della prova (art. 2050 c.c.): il responsabile del trattamento dei dati ha l’onere di dimostrare il
L’ufficio del Garante della Privacy, ossia l’organo istituito per vigilare sull’osservanza delle
disposizioni del Codice Privacy, può richiedere alle autorità di effettuare controlli e, in caso di
violazione delle disposizioni di legge, le sanzioni possono raggiungere cifre consistenti (cfr. artt.
161-172, D.Lgs. n. 196 del 2003). Il legislatore obbliga a dotarsi di quelle soluzioni tecniche in
grado di integrare un “livello minimo di sicurezza” conforme alla singole realtà in cui essi operano.
L’individuazione delle misure minime dovrà avvenire sulla scorta dei parametri stabiliti
1) il progresso tecnico;
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
30 di 31
Università Telematica Pegaso Rimedi e contromisure.
Sicurezza reale e sicurezza informatica
La legge elenca ben diciassette possibili operazioni di trattamento dei dati. In particolare, i
dati contenuti in supporti cartacei o multimediali, una volta cessato il trattamento devono essere
distrutti (art. 16, comma 1, lett. a, D.Lgs. n. 196 del 2003). Distruggere i supporti è il modo
migliore per evitare che i criminali possano avere accesso ai dati sensibili in essi contenuti 22.
22
In ambito aziendale, è opportuno far conoscere ai dipendenti i rischi della frode di identità aziendale. La procedura
che stabilisce come gestire ogni singolo documento deve essere conosciuta da ogni dipendente dell’azienda e da questi
rispettata. Ogni dipendente deve imparare ad essere cauto nel fornire informazioni aziendali, on-line o via telefono,
verificando preventivamente l’identità del suo interlocutore.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
31 di 31
“ASPETTI FORENSICS”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 4
Università Telematica Pegaso Aspetti forensics
1 Aspetti forensics
Come in ogni delitto esiste una scena del crimine, in ambito digitale questa è rappresentata
commettere un crimine o truffa. Un bravo investigatore deve allora sapersi muovere anche nei
meandri del mondo digitale alla ricerca di ogni singolo bit che provi l’avvenuto delitto rispettando
precise regole dettate da una particolare disciplina che prende il nome di Digital Forensics.
aventi valore probatorio, memorizzate o trasmesse in forma digitale e contenute in una diversità di
tipi di file (immagini, video, audio, documenti, fogli di calcolo, email, file di log, ecc.).
Per poter essere ammessa in giudizio, la prova digitale raccolta dovrà avere determinate
L’investigatore che ricerca, acquisisce, conserva ed analizza prove digitali dispone, oltre che
investigatori “tradizionali”.
Come ormai noto, i dispositivi elettronici conservano sempre traccia dell’attività svolta
dall’utente. Vengono registrate, in altre parole, tutte le operazioni compiute, i programmi aperti e i
La domanda che si pone è dunque la seguente: cosa cercare? La risposta dipende dalla
finalità dell’indagine. Ad esempio, nel caso in cui l’investigatore ricerchi le prove di un avvenuto
furto d’identità, dovrà individuare come questo furto è avvenuto: chi ha violato il sistema
informatico, come è riuscito a violarlo, quali dati ha sottratto, in che modo è avvenuta questa
sottrazione, se e dove sono stati trasmessi, se e come siano stati recuperati ed impiegati (o re-
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 4
Università Telematica Pegaso Aspetti forensics
Spesso l’attività d’indagine si svolge oltre i confini nazionali, facendo sorgere problemi di
diversi. L’investigatore dovrà, allora, ottenere autorizzazioni dai giudici inquirenti per svolgere
una somma di danaro sottratta indebitamente dal conto corrente di un utente, l’investigatore dovrà
agire diversamente: dovrà provare l’esistenza di un adeguato sistema di sicurezza sul dispositivo
utilizzato dal correntista vittima del reato; accertare e dimostrare che lo stesso dispositivo utilizzato
per le operazioni bancarie sia stato adeguatamente custodito e che lo stesso sia stato sempre
anti-virus. Per ottenere tutte queste informazioni, il digital forenser analizzerà il contenuto di file
L’utente dovrà provare di aver adottato quella “protezione di base” 2 che soddisfa il
“principio di correttezza” richiamato dall’art. 1175 c.c. 3, ma che non è del tutto in grado di
1
Una sorta di “giornale di bordo”, presente in ogni dispositivo, su cui vengono registrati gli eventi in ordine
cronologico, ossia tutte le operazioni man mano che esse vengono eseguite dall’utente.
2
L’utente medio, infatti, si affida a personal Firewall, ad antivirus anche gratuiti e a tutta una serie di utility capaci di
rilevare ed eliminare le principali minacce informatiche.
3
Secondo quanto stabilito dall’art. 1175 c.c. (rubricato “Comportamento secondo correttezza”), “il debitore e il
creditore devono comportarsi secondo le regole della correttezza”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 4
“INTRODUZIONE”
Indice
1 INTRODUZIONE -------------------------------------------------------------------------------------------------------------- 3
2 I SOCIAL NETWORK -------------------------------------------------------------------------------------------------------- 4
3 FACEBOOK: IL SOCIAL NETWORK PER ECCELLENZA ------------------------------------------------------- 7
4 LA NORMATIVA IN TEMA DI SOCIAL NETWORK --------------------------------------------------------------- 9
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 11
Università Telematica Pegaso Introduzione
1 Introduzione
Negli ultimi tempi, i social network, ed in modo particolare Facebook, hanno conquistato la
È prassi comune, infatti, avere un profilo con cui relazionarsi con i propri familiari, i propri
amici, addirittura con i propri clienti fino ad intrecciare nuove relazioni con perfetti sconosciuti.
tuttavia, sempre più persone, dimenticano che un utilizzo poco accorto di servizi e piattaforme
social può esporre a rischi, a volte seri, con ripercussioni anche nella vita reale. Il presente
contributo tratterà proprio di tutte quelle insicurezze che l’utente medio di un social network, come
Facebook, può porre in atto, analizzandone i pericoli sia per l’utente stesso, sia per la sua privacy
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 11
Università Telematica Pegaso Introduzione
2 I social network
L’uomo, per sua natura, è portato ad intrecciare continue relazioni con i suoi simili
utilizzando diversi strumenti: si pensi alla parola, ad una lettera, a simboli e segnali, ecc.
la tradizionale lettera cartacea è diventata e-mail; agli incontri fisici si sono sostituite le
I social network (letteralmente “reti sociali”) non sono altro che un particolare mezzo di
comunicazione e di condivisione. Nel senso più ampio del termine, possono essere visti come
relazioni intessute da persone che appartengono ad un gruppo; quindi, unite da diversi legami
sociali che vanno dalla conoscenza casuale ai rapporti di lavoro e di amicizia, ai vincoli familiari.
Il termine social network, quindi, si riferisce innanzitutto a una rete fisica, come una
comunità, una associazione, una confraternita, caratterizzata dal fatto che i suoi componenti
Con l’avvento delle nuove tecnologie, ed in particolare di internet, anche queste realtà hanno
subito una inevitabile trasformazione divenendo una delle forme più evolute di comunicazione in
rete. Si tratta, insomma, di “piazze virtuali”, cioè luoghi immateriali in cui ci si ritrova per
intrecciare relazioni di ogni tipo, per confrontarsi, per esprimere idee ed opinioni ma, soprattutto,
per condividere se stessi e la propria vita, attraverso messaggi (i c.d. “post”), foto e video.
Questa trama di relazioni, di natura sociale e virtuale, tessuta in modo casuale e quotidiano,
di solito si concretizza diventando tutt’uno con quella rete di conoscenze ed amicizie reali che un
I primi social network nacquero in America, in ambito universitario, tra studenti che non
volevano perdersi di vista una volta conclusi gli studi, e che volevano continuare a fare squadra nel
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 11
Università Telematica Pegaso Introduzione
mondo del lavoro. Successivamente, grazie soprattutto all’enorme successo riscosso da un social
network particolare, conosciuto col nome di Facebook, si sono trasformati in un fenomeno globale
affermare che la conoscenza risiede nei network, dove nessuno sa tutto ma tutti sanno qualcosa!
Alla base del funzionamento stesso dei social network vi sono informazioni di diversa natura
che vengono continuamente condivise, commentate, segnalate dagli stessi utenti. Ne deriva
un’enorme database 1 in costante aggiornamento che può essere consultato da chiunque. L’utente
diventa, in questo modo, la fonte inesauribile di tutte queste informazioni, lasciando “frammenti di
sé”: piccole informazioni che, opportunamente raccolte, possono ricostruire, nei minimi dettagli, la
sua vita, il suo carattere, il suo pensiero. attraverso la creazione di un’identità virtuale, ossia un
“avatar” che lo rappresenta sulla rete, l’utente inserisce e condivide diverse informazioni relative
alla sua persona e, in generale, alla sua vita. In tal modo, questo alter ego finisce con l’assumere in
tutto e per tutto le caratteristiche dell’utente: il suo vero nome e il suo vero cognome, la sua vera
Nel tempo, il flusso di dati immessi diventa sempre più costante e corposo così come
aumenta sensibilmente l’impegno ed il tempo impiegato per postare 2 e per commentare. oltre a
postare e commentare, chi utilizza una piattaforma social ricerca le c.d. “amicizie virtuali”: in
particolare, ricerca in rete i contatti dei suoi amici attuali, ossia di persone che conosce direttamente
e indirettamente nella realtà, fondendo comunicazioni reali con comunicazioni virtuali; l’utente dà
vita, cioè, a quella che molti hanno definito “interrealtà”, ossia “reti sociali ibride”, iniziando una
1
Nel mondo dell’informatica, il termine “database” indica un archivio di dati (o un insieme di archivi) in cui le
informazioni contenute sono strutturate e collegate tra di loro in modo logico, tale da permettere una loro efficiente
gestione e/o organizzazione.
2
Il termine deriva dall’inglese “to post” ed indica l’azione di inserire un messaggio all’interno di un blog o di un sito
web.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 11
Università Telematica Pegaso Introduzione
servendosi delle reti amicali dei suoi amici (dei suoi contatti) con cui fonde la propria.
Le piattaforme social, poi, permettono anche di interagire con altri utenti attraverso giochi,
informazioni personali e di reti amicali, sono condivise anche le attività di un utente permettendo di
sapere, in tempo reale, cosa stanno facendo le persone; e ancora, sfruttando proprio questo enorme
potere penetrativo e divulgativo, negli ultimi tempi i social network sono stati utilizzati anche per
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 11
Università Telematica Pegaso Introduzione
offrire una definizione esauriente, essendo un fenomeno complesso e dalle molteplici sfaccettature.
uno strumento di lavoro. a differenza di tutti gli altri social network che si caratterizzano,
dedicato ai gruppi musicali emergenti), su Facebook si trova di tutto, si condivide ogni cosa, si
discute di ogni argomento: si tratta di una vera e propria piattaforma nel senso più strettamente
tecnico-informatico, dal momento che offre ai suoi utenti diversi servizi e strumenti quali e-mail,
Come ogni realtà digitale, anche i social network, Facebook compreso, sono soggetti a
regole e norme. In particolare, ogni piattaforma social ha un proprio regolamento specifico interno,
indispensabile per poterne usufruire. Le condizioni d’uso regolano l’utilizzo del social network
stabilendo doveri e divieti per l’utilizzatore. Violare queste disposizioni espone l’utente a tutta
una serie di sanzioni che vanno dal semplice richiamo scritto da parte degli amministratori del sito,
alla sospensione temporanea del suo account, fino ad arrivare al c.d. “ban” 4.
Le condizioni d’uso richiamano anche le regole di buon comportamento che ogni internauta
dovrebbe conoscere e rispettare e che sono conosciute col termine “netiquette” e che costituiscono il
3
Per quanto riguarda Facebook, è possibile visionare le sua Condizioni d’Uso, cliccando sul relativo link a fine pagina.
4
Il termine deriva dall’inglese “to ban” ed è una forma contratta del verbo “to banish” che significa “bandire”. Nelle
chat e nei forum, chi offende o contravviene alle regole di buona condotta, può essere allontanato (meglio, disiscritto)
dalla comunità virtuale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 11
Università Telematica Pegaso Introduzione
c.d. “Galateo della Rete”. Si evidenzia che queste condizioni d’uso sono soggette a continue
modifiche unilaterali da parte di chi amministra la piattaforma social: modifiche che solitamente
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 11
Università Telematica Pegaso Introduzione
norme, spesso estendendo (per analogia) al mondo virtuale leggi che regolano i rapporti fra i suoi
cittadini.
In alcune occasioni, l’importanza del fenomeno ha raggiunto livelli così alti da spingere i
legislatori nazionali a tenerne conto, anche in diverse convenzioni e trattati internazionali. Ne sono
Nello specifico, la prima sanziona i c.d. “Cyber Crime” (i crimini informatici), cioè quelle
condotte illecite compiute su internet e con l’ausilio delle nuove tecnologie, tutelando in modo
uniforme tutti quei beni giuridici aggrediti proprio da condotte di criminalità informatica.
internet, ha inteso tutelare i minori, potenziando la loro protezione ed inasprendo le pene per
sfruttamento minorile.
genericamente su internet, molti sono i richiami ai social network, dato che costituiscono il luogo
virtuale più adatto per commettere le più diffuse condotte criminose: il furto e l’abuso di password e
di account (meglio noto come furto d’identità), l’abuso di apparecchiature info-telematiche, la frode
pedopornografia, ecc.
particolare:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 11
Università Telematica Pegaso Introduzione
introdotto nuove fattispecie delittuose come: il falso informatico (art. 491 bis
(art. 615 quinquies c.p.), il danneggiamento informatico (artt. 635 bis c.p., 635
ter c.p., 635 quater c.p. e 635 quinquies c.p.) e la frode informatica del
quinquies c.p.);
e l’adescamento via web di minorenni (il c.d. grooming, art. 609 undecies c.p.)
internet o con strumenti informatici quali sms, chat, social network e giochi
on-line.
all’ambito social.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 11
Università Telematica Pegaso Introduzione
Ad esempio, l’art. 615-ter del codice penale, che punisce l’accesso abusivo a sistema info-
telematico, finisce col tutelare anche l’account-profilo di un utente; lo stesso vale per l’art. 494 c.p.,
Identico discorso può essere svolto anche per le norme civilistiche. Un esempio significativo
è rinvenibile nell’art. 2105 del codice civile (rubricato “obbligo di fedeltà” 6), il quale obbliga il
lavoratore ad evitare non soltanto una serie di comportamenti ma, più in generale, qualsiasi altra
condotta che, per sua natura e per le possibili conseguenze, risulti in contrasto con l’azienda e la sua
organizzazione: quindi anche una semplice attività contraria agli interessi dello stesso datore di
lavoro che possa, in qualche modo, produrre anche solo un danno potenziale. Moltissimi lavoratori,
infatti, durante l’orario di lavoro e servendosi proprio di computer aziendali, inviano e-mail
personali, postano messaggi sui social network o intrattengono conversazioni in chat, ponendo in
essere un’attività propria incompatibile e/o in contrasto con quella dell’azienda e violando
Ne consegue, quindi, che anche per particolari realtà digitali, come appunto i social network,
si registra una tendenza dei giudici ad applicare per analogia le leggi vigenti.
5
Sul punto v. Tribunale di Monza 2 marzo 2010, n. 770, secondo il quale: “Ogni utente di social network (nel caso
specifico, di “Facebook”) che sia destinatario di un messaggio lesivo della propria reputazione, dell’onore e del
decoro, ha diritto al risarcimento del danno morale o non patrimoniale, ovviamente da porre a carico dell’autore del
messaggio medesimo”. Il Tribunale di Livorno ha recentemente (1 ottobre 2012) condannato una donna per
diffamazione aggravata dal mezzo stampa. L’imputata, è stata con- dannata al risarcimento del danno per aver scritto
frasi offensive sul proprio profilo Facebook e rivolte al suo ex datore di lavoro che l’aveva licenziata, beneficiando
dello sconto di pena derivante dall’accesso al rito abbreviato (Fonte: IlSole24Ore, in
http://www.diritto24.ilsole24ore.com/penale/news/2012/10/ diffamazione-a-mezzo-stampa-via-facebook-frasi-offensive-
sul-profilo-facebook-e-dirette-all--ex-dato- re-di-lavoro.html).
6
L’art. 2105 c.c. recita testualmente: “Il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in
concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione
dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 11
“RISCHI E PERICOLI”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 26
Università Telematica Pegaso Rischi e pericoli
social network sono provocati da emozioni. Queste ultime finiscono con l’esporre la persona a tutta
una serie di conseguenze spesso sottovalutate. Infatti, diverse condotte criminose possono sfruttare
Si è già anticipato che, in ambito social, il rischio principale in cui si può incorrere è il c.d.
Anche per un sistema informatico, quindi, deve essere garantita l’inviolabilità sancita
dall’art. 615-ter c.p., il quale prevede la pena della reclusione per chi “abusivamente si introduce in
Per l’ordinamento giuridico interno, anche chi si spaccia per un altro utente, ingannando il
resto della comunità, commette un vero e proprio reato. Infatti, secondo la Sezione V della
1
Per approfondimenti sul tema v. A. Manente, L’Insicurezza della propria e dell’altrui Identità.
2
Nella legislazione italiana, per “domicilio informatico” si intende un luogo virtuale, un sistema informatico, protetto
da determinate misure di sicurezza, in cui l’individuo può liberamente esprimere la sua personalità. Esso è stato ritenuto
dalla giurisprudenza corrente estensione della domus, cioè del domicilio reale, e come tale meritevole per analogia della
stessa tutela.
3
La pena prevista dalla disposizione normativa va da uno a tre anni.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 26
Università Telematica Pegaso Rischi e pericoli
Cassazione Penale 4, l’art. 494 c.p. (intitolato “Sostituzione di persona”) tutela, in via analogica,
anche gli utenti di internet che, ingannati, pensano di comunicare con una persona e, invece, si
stanno relazionando con un’altra che ne ha precedentemente rubato l’identità virtuale 5. In realtà,
l’identità non viene propriamente rubata, bensì utilizzata al fine di ottenere indebitamente denaro o
altri tipi di vantaggi. Il reato di sostituzione di persona è, quindi, un reato a dolo specifico, poiché
per la sua configurazione richiede il fine di procurare a sé o ad altri un vantaggio o di recare ad altri
criminale può sostituirsi in tutto o in parte ad esso e compiere azioni illecite in suo nome. La vittima
di questo “scambio” può andare incontro a diverse (e serie) conseguenze nel caso in cui non riesca a
dimostrare la sua innocenza. Diversi sono i modi attraverso cui il furto può avvenire e solitamente
le vittime scoprono troppo tardi di essere state derubate della propria identità, ad esempio quando
iniziano a ricevere richieste di pagamento per beni che non hanno mai acquistato oppure denunce
per aver offeso altri utenti con parole ingiuriose e diffamatorie, o quando si ritrovano addirittura
coinvolte in reati anche di particolare gravità, come può essere quello di pedopornografia. Per
rubare l’identità di qualcuno, il criminale deve raccogliere quante più informazioni possibili sulla
sua vittima (come il nome, il cognome, l’indirizzo, il codice fiscale, numeri di telefono, luogo e data
di nascita, numero della carta di credito, estremi del conto corrente) ed ulteriori informazioni che
possono apparire secondarie (come i nomi dei genitori, dove lavora, il nome dei figli, del cane, ecc).
Tutte queste informazioni possono essere, oggi, facilmente recuperate in internet, dove una gran
quantità di dati personali, molto spesso, viaggia sulla rete “in chiaro” e non in modalità protetta.
4
Cassazione Penale, Sez. V, 14 dicembre 2007, n. 46674, in http://punto-informatico.it.
5
L’art. 494 c.p. dispone che: “Chiunque al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno,
induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso
nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici è punito se il fatto non costituisce
un altro delitto contro la fede pubblica, con la reclusione fino a un anno”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 26
Università Telematica Pegaso Rischi e pericoli
Su Facebook, un crescente numero di utenti, ogni giorno, fornisce un’elevata quantità di dati
personali, dove nome e data di nascita sono di natura “pubblica” e, quindi, visibili a tutti. a ciò si
aggiunga che, più spesso di quanto si creda, le informazioni condivise, come la stessa data di
nascita vengono utilizzate anche come password dello stesso profilo social oppure per accedere alla
Facebook, sono sufficienti ad un malintenzionato per arrivare al conto bancario di una persona e
tentare di accedervi.
Una delle tecniche più impiegate in rete per carpire queste informazioni è il c.d. phishing12,
che si realizza attraverso l’invio di una falsa e-mail con la quale il criminale di turno, spacciandosi
per l’amministratore della piattaforma social e prospettando problemi tecnici sorti sull’account
dell’utente, richiede esplicitamente alla sua vittima le credenziali di accesso minacciando, in caso di
spaventato dal contenuto “minaccioso” della stessa ed ingannato dal suo aspetto grafico, che
riproduce nel dettaglio il logo e i colori del social network a cui è iscritto, è indotto a cliccare
sull’apposito link che collega ad una pagina finta di login, simile a quella reale, dove introduce,
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 26
Università Telematica Pegaso Rischi e pericoli
social. Queste, poi, vengono registrate ed utilizzate per accedere al suo profilo al fine di carpirne
ulteriori informazioni e/o compiere illeciti in suo nome. tutte queste informazioni permetteranno di
“profilare” la vittima, ossia di conoscere ogni aspetto della sua vita, mentre le informazioni più
riservate e delicate, visibili e/o raccontate nel suo profilo, possono spingere il malintenzionato a
Il furto d’identità può essere realizzato anche ricorrendo a programmi in grado di spiare e/o
controllare il computer dell’utente. Programmi come trojan, virus o spyware sono in grado, infatti,
vengono digitate dalla vittima sulla tastiera del proprio computer. tuttavia, per poter essere
utilizzati, questi particolari programmi, che vanno sotto il generico nome di malware (cioè
programmi “malevoli”), devono essere in qualche modo installati sul computer dell’utente.
L’installazione può avvenire in diversi modi: ad esempio, può essere eseguita dal tecnico
informatico a cui l’utente si rivolge per un problema e a cui affida il proprio computer per essere
riparato oppure può avvenire anche in modo del tutto automatico, visitando siti web infetti o
Anche al di fuori di internet, i dati (sensibili) di un utente possono essere in qualche modo
recuperati. Ne è un esempio lampante il c.d. dumpster diving, ossia il rovistare nella spazzatura alla
ricerca di appunti, vecchie bollette, estratti conto, lettere personali, buste, ecc., insomma, di ogni
Il furto d’identità si realizza anche attraverso il c.d. skimming, ossia la clonazione di carte di
credito che, nel mondo dei social network, può avvenire nel momento in cui l’utente poco accorto
6
Molto spesso, infatti, le persone annotano su supporti cartacei informazioni di una certa importanza (come password,
numeri di conto corrente, date di nascita, numeri telefonici, nominativi, indirizzi, ecc.). Poi gettano l’appunto senza
prima averlo strappato ma soltanto accartocciato rendendo possibile, così, il suo recupero a terzi.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 26
Università Telematica Pegaso Rischi e pericoli
comunica il numero della propria carta di credito e la utilizza per compiere acquisti “rischiosi”,
magari per poter completare uno dei tanti giochi on-line pubblicizzati nelle piattaforme social 7.
Informazioni importanti, infine, possono essere acquisite anche in contesti che nulla hanno
in comune con i social network e con internet in generale, ma che possono costituire una valida
fonte di notizie da utilizzare in un secondo momento nel mondo digitale. Si pensi, ad esempio, alle
file di attesa alla posta, alla cassa di un supermercato, allo sportello di un ufficio, dal medico, ecc.
Ciascuno di questi contesti, nei quali un qualsiasi individuo potrebbe raccontare di sé, diventerebbe
una vera e propria inconsapevole miniera di dati. anche mediante un incontro con un vecchio amico
o semplicemente con un conoscente, la persona può rivelare informazioni personali, di una certa
Per fare un esempio concreto: rivelare (in pubblico) il proprio nome o quello del proprio
figlio o del proprio cane potrebbe spingere chi ascolta a ricercarlo su internet, magari su un social
network, e provare ad accedere al relativo account. Studi approfonditi hanno, infatti, dimostrato che
la maggior parte delle volte le password utilizzate dall’utente sono costituite da informazioni in
qualche modo riconducibili alla sua vita, al suo mondo. Il furto d’identità richiede, quindi, un
accurato studio sul comportamento della vittima. Più informazioni si raccolgono su un individuo e,
in generale sulla sua vita, e più agevole sarà sostituirsi ad esso per compiere malefatte.
La raccolta di tutte queste informazioni richiede una vera e propria analisi del
comportamento umano, la quale viene svolta ricorrendo a tutta una serie di tecniche psicologiche
che prendono il nome di ingegneria sociale 8. ricorrendo ad artifici, raggiri e menzogne, il criminale
7
Molti giochi on-line suggeriscono l’acquisto di bonus, armi, monete, gemme e molto altro, per completare prima un
livello di gioco.
8
Per approfondimenti sull’ingegneria sociale indispensabile è il rinvio a K. Mitnick, L’arte dell’inganno, Milano, 2003,
e Id., L’arte dell’intrusione, Milano, 2006, passim.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 26
Università Telematica Pegaso Rischi e pericoli
Negli ultimi tempi, però, questa raccolta di informazioni personali è diventata ancora più
semplice e priva di rischi per il criminale grazie all’enorme mole di informazioni che l’utente tipo di
Facebook pubblica quotidianamente ed incoscientemente sul proprio profilo. Ciò rende possibile
anche la c.d. clonazione del profilo: in questa ipotesi, il criminale che riesce ad accedere ad un
esso contenute. Successivamente, il profilo clone, adducendo come scusa un semplice impedimento
di natura tecnica, è in grado di ingannare i contatti del profilo clonato richiedendone l’amicizia ed
Tutto ciò è dovuto alla scarsa attenzione che l’utente medio di Facebook dà alle richieste di
Le informazioni personali possono uscire facilmente dal circuito di Facebook, anche grazie
alla c.d. indicizzazione 10 operata dai motori di ricerca, come Google, oppure grazie alla
In Facebook sono presenti anche numerosissimi profili falsi: il più delle volte si tratta di
profili di personaggi famosi (cantanti, attori, politici, ecc.). L’utente medio di Facebook, coinvolto
nella ricerca spasmodica di nuovi amici, è naturalmente portato a credere nell’autenticità di tutti i
profili che trova sulla piattaforma, senza avere alcun minimo dubbio sulla vera identità dei loro
titolari. Finisce, così, con l’esporsi anche a quest’altro rischio: ossia quello di chiedere l’amicizia e
9
I dati personali condivisi possono essere copiati ed utilizzati anche per creare account su altri tipi di
piattaforme come siti erotici o addirittura community illegali per lo scambio di materiale pedopornografico, con gravi
conseguenze per il titolare del profilo clonato.
10
Il termine indica l’inserimento di un sito web nel database di un motore di ricerca, attraverso l’utilizzo di specifiche
“parole-chiave”.
11
Per dimostrare la portata del fenomeno, recentemente la regista Emilia Ricasoli, ha girato nel 2008 un breve
cortometraggio dal titolo “Gaia Lopresti: una vita virtuale” e lo ha caricato su YouTube il 27 gennaio del 2009 (in
http://www.youtube.com/watch?v=7YP961Y41U4). Il breve filmato parla di un esperimento: si racconta la creazione di
una identità fasulla (Gaia Lopresti, appunto) creata ad arte su Facebook, la quale vive di commenti, di immagini, di
video postati sul suo profilo, di partecipazioni a gruppi di vario tipo, di adesioni ad eventi e di richieste di amicizia.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 26
Università Telematica Pegaso Rischi e pericoli
Spesso alcuni utenti creano profili falsi di personaggi famosi o cloni di profili amici. anche
in questo caso, è opportuno ribadire che si rischia di incorrere nelle pene previste dall’art. 494
c.p.19, in quanto – a differenza di altri reati, come il falso ideologico e la contraffazione – non è
necessario che l’attività ingannatoria si concretizzi in particolari attività fraudolente. Per integrare il
reato basta molto meno: è sufficiente, infatti, spacciarsi per un’altra persona senza la prescritta
autorizzazione anche se ciò è commesso per puro spirito ludico. L’evento si verifica tutte le volte in
cui avviene l’induzione in errore di un numero indeterminato di persone per effetto di una falsa
dalla norma è, infatti, la fede pubblica, che si intende offesa ogni volta che, attraverso un inganno,
Non costituisce una giustificazione al reato in oggetto nemmeno il fatto di aver ri-utilizzato,
nella creazione del falso profilo, nominativi ed immagini già presenti in rete o postate su Facebook
dal legittimo proprietario. anzi, al reato di sostituzione di persona si aggiunge quello di violazione
della privacy, poiché sono stati diffusi dati senza l’autorizzazione ed il consenso dell’avente diritto.
Lo stesso Garante per la protezione dei dati personali ha, infatti, stabilito che “l’utilizzo di dati
reperibili nel web non può essere effettuato con finalità diverse per cui gli stessi sono stati forniti
dall’interessato” 13. Un profilo su Facebook espone l’individuo che lo possiede anche ad un altro
Gaia Lopresti, durante la sua attività su Facebook, ha collezionato 2175 amici, si è iscritta a 319 gruppi e ha partecipato
a tutti gli eventi ma, come raccontato nel filmato, “solo in 15 sanno che in realtà lei non esiste!”. L’esperimento
Lopresti ha dimostrato non solo la buona fede delle persone nel considerare sempre autentici tutti i profili con cui si
relazionano, ma anche un mancato controllo sui c.d. fake, cioè sui profili fasulli, da parte degli stessi amministratori di
Facebook.
12
Molti adolescenti percepiscono la rete come uno spazio diverso da quello della vita reale; una specie di mondo
parallelo, che rende automaticamente più soggetti al rischio di commettere azioni avventate e denigratorie che, nella
vita reale, probabilmente non commetterebbero per via di una più realistica e sentita percezione del grado di offensività
della propria condotta. In particolare, attraverso la rete gli adolescenti entrano in contatto non solo con i propri coetanei,
abituati ad usare internet e a tollerare comportamenti “disinvolti” sul web, ma anche con adulti, più restii a comprendere
le consuetudini della rete e ad innalzare il proprio livello abituale di tolleranza.
13
V. Provvedimento del Garante per la protezione dei dati personali, 11 gennaio 2001, in Diritto dell’Informazione e
dell’Informatica, 2001, p. 28 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 26
Università Telematica Pegaso Rischi e pericoli
rischio: la diffamazione. È abbastanza comune che un utente possa diffamare ed essere diffamato
595 c.p. 14. Dottrina e giurisprudenza ritengono che nella nozione di “altri mezzi di pubblicità”, di
cui al comma 3 della disposizione, siano ricompresi “tutti gli altri mezzi divulgativi, quindi anche
internet” 15.
numero imprecisato ed imprecisabile di persone e ciò rende il suo utilizzo senza alcun dubbio
un’aggravante. Chiunque, con costi relativamente contenuti e con un apparato tecnologico modesto,
attraverso un sito web proprio o altrui, può porre in essere tale condotta criminosa. Le informazioni
e le immagini immesse nel web, sono fruibili in qualsiasi parte del mondo: pertanto, il reato si
consuma, a prescindere dalla veridicità dei dati condivisi, nel momento in cui il messaggio viene
gruppi che finiscono con l’aggregare diverse migliaia di utenti iscritti. Anche in questo caso, si
verifica una violazione del c.d. diritto alla reputazione intesa, dalla giurisprudenza recente, come
l’opinione o la stima di cui un individuo (o una causa) gode in seno alla società. Per i giudici di
prima istanza anche le espressioni non vere o meramente insinuanti sono ritenute idonee a ledere o
mettere in pericolo la reputazione di terzi. Pertanto, i comportamenti di chi utilizza i social network
14
In tal senso recita l’art. 595 c.p.: “Chiunque, fuori dei casi indicati nell’articolo precedente, comunicando con più
persone, offende l’altrui reputazione, è punito con la reclusione fino a un anno o con la multa fino a € 1.032. Se l’offesa
consiste nell’attribuzione di un fatto determinato, la pena è della reclusione fino a due anni, ovvero della multa fino a €
2.065. Se l’offesa è recata col mezzo della stampa o con qualsiasi altro mezzo di pubblicità, ovvero in atto pubblico, la
pena è della reclusione da sei mesi a tre anni o della multa non inferiore a € 516. Se l’offesa è recata a un Corpo
politico, amministrativo o giudiziario, o ad una sua rappresentanza o ad una Autorità costituita in collegio, le pene
sono aumentate”.
15
In tal senso, Cass. pen., Sez. V, 17 novembre 2000, n. 4741, in http://www.interlex.it/testi/cp4741. htm.
16
V. ancora Cass. pen., Sez. V, 17 novembre 2000, n. 4741.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 26
Università Telematica Pegaso Rischi e pericoli
con leggerezza o per puro divertimento potrebbero facilmente essere censurati in sede penale, oltre
che civile.
manie: un tipico esempio è costituito dal planking. Si tratta di una moda nata in ambito
anglosassone, che consiste nel postare immagini di sé in posizioni verticali assurde e contro le leggi
fisiche. Addirittura alla stessa è stata dedicata una pagina ufficiale che conta qualcosa come oltre
700.000 iscritti 17. Per comprendere quanto devianti e pericolose possano essere mode simili è
sufficiente interrogarsi sulla notizia, riportata dal sito Ansa.it, della prima vittima di questa moda:
nel maggio del 2011 un giovane australiano di venti anni, in preda ai fumi dell’alcool, è precipitato
dal settimo piano dopo essersi disteso sulla ringhiera di un balcone mentre un amico lo
fotografava 18. Nonostante l’evento sciagurato e le preoccupazioni delle autorità locali, i planker
australiani non si sono affatto scoraggiati ma, attraverso il loro portavoce, fondatore della Planking
Association di Brisbane, hanno ribattuto facendo sapere di voler continuare nella loro attività e
facendo lievitare il numero dei sostenitori della pagina di Facebook del gruppo Planking Australia
da 10.000 a 24.000 in soli 3 giorni! Questa storia assurda dimostra come manie di questo tipo
possono indurre gli utenti, soprattutto giovani, a correre rischi senza pensare alle conseguenze.
spesso si riscontrano profili di minori, che mentono sulla loro età per potersi iscrivere, sui quali è
possibile rinvenire notizie personali e della relativa famiglia, rendendo gli stessi facili prede di
adulti senza scrupoli 19. Come ricordato in precedenza, il legislatore italiano, nel ratificare la
17
https://www.facebook.com/OfficialPlanking.
18
http://www.ansa.it/web/notizie/rubriche/mondo/2011/05/16/visualizza_new.html_869099981.html.
19
Ne è un esempio la triste storia di adescamenti da parte di un imprenditore, riportata dal giornale “Il Mattino di
Padova” e ripresa in una pagina Facebook intitolata “Sostenitori delle Forze dell’Ordine”. L’articolo racconta di una
indagine di polizia, avviata a seguito di una denuncia di un genitore di un minorenne, che ha interessato l’attività online
di un adulto, aduso a chiedere l’amicizia a ragazzini promettendo ricariche telefoniche in cambio di favori sessuali.
L’articolo riporta anche un prezioso con- siglio della polizia postale rivolto a tutti i genitori, proprio al fine di evitare il
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 26
Università Telematica Pegaso Rischi e pericoli
Convenzione del Consiglio d’Europa per la protezione dei minori contro lo sfruttamento e l’abuso
sessuale, siglata a Lanzarote il 25 ottobre 2007 20, ha introdotto due nuovi reati: il reato di pedofilia
Pedopornografia culturale”), il quale punisce con la reclusione da tre a cinque anni “chiunque, con
qualsiasi mezzo, anche telematico, e con qualsiasi forma di espressione, pubblicamente istiga a
commettere, in danno di minorenni, uno o più delitti previsti dagli articoli 600-bis, 600-ter e 600-
qua- ter, anche se relativi al materiale pornografico di cui all’articolo 600-quater.1, 600-quinquies,
nuovo articolo 609-undecies c.p. (adescamento di minorenni), punendo con la reclusione da uno a
tre anni “chiunque, allo scopo di commettere i reati di cui agli articoli 600, 600-bis, 600-ter e 600-
termina con la definizione di adescamento inteso come “qualsiasi atto volto a carpire la fiducia del
minore attraverso artifici, lusinghe o minacce posti in essere anche mediante l’utilizzo della rete
internet o di altre reti o mezzi di comunicazione”. Il nuovo art. 609-undecies, per la prima volta
introduce il c.d. reato di grooming, che colpisce tutte quelle azioni intraprese deliberatamente con
l’obiettivo di “stringere amicizia” con un minore e di stabilire con esso una connessione emotiva, al
ripetersi di episodi simili: “Facebook è uno strumento bellissimo, ma anche pericoloso, per questo è sempre necessario
controllare i profili dei (propri) figli per evitare che vengano in contatto con malintenzionati”.
20
Si ricordi la già citata l. n. 172 del 2012.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 26
Università Telematica Pegaso Rischi e pericoli
Il grooming è, quindi, una tecnica di manipolazione psicologica usata da molti pedofili per
adescare i minori attraverso l’uso delle nuove tecnologie e conquistare la loro fiducia fino ad
Come rileva l’Osservatorio per il contrasto della pedofilia e della pornografia minorile,
istituito presso il Dipartimento per le pari opportunità della Presidenza del Consiglio dei Ministri30,
“negli ultimi anni il fenomeno dell’abuso sessuale sui minori ha purtroppo avuto grande diffusione,
anche grazie all’uso delle moderne tecnologie che permettono ai pedofili di tessere vere e proprie
reti di connessione e di contatto che superano i confini dei singoli territori nazionali”. Ratificando
la Convenzione di Lanzarote, il Consiglio dei Ministri ha reso ancora più completa la normativa
interna in tema di contrasto alla violenza sui minori. Difatti, grazie al reato di adescamento sul web,
si è in grado di denunciare anche le molestie telematiche, sempre più diffuse da quando internet e,
Deve rilevarsi, in realtà, che in diversi casi l’incolumità e la privacy del minore vengono
compromesse dal comportamento degli stessi genitori. Su Facebook, infatti, sono frequenti i
profili di adulti contenenti foto e/o video che ritraggono minori, magari accompagnati con tag 22 che
ne indicano persino i nomi. tale comportamento genera inevitabili conseguenze: postare la foto di
un minore è contrario innanzitutto a quanto disposto dalle stesse Condizioni d’uso di Facebook, le
espongono gli stessi minori ad essere facile preda di pedofili e malintenzionati, dando loro la
possibilità, tramite la stessa foto, di conoscere non soltanto l’esistenza del bambino, ma anche le sue
fattezze ed il suo nome; la stessa condivisione genera, inoltre, in modo indelebile una identità
21
L’attività di grooming può durare anche settimane o mesi: l’adescatore tenta in ogni modo di diventare un vero e
proprio confidente del bambino, con l’obiettivo di ottenere un numero di telefono o invitandolo in chat video,
confidando sull’anonimato che internet e il cellulare gli garantiscono.
22
Un tag è una parola chiave associata ad un’informazione (come può essere un’immagine, una mappa geografica, un
post, un video clip, ecc.), rendendone possibile la descrizione, la classificazione e, soprattutto, la ricerca in internet.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 26
Università Telematica Pegaso Rischi e pericoli
virtuale, che potrebbe creare problemi allo stesso minore una volta diventato adulto. Per queste
ragioni, la polizia postale da tempo sconsiglia ai genitori di postare video ed immagini dei loro figli.
lavorativo. Negli ultimi tempi, i social network sono stati utilizzati dalle persone per trovare lavoro
e presentare la propria candidatura; allo stesso tempo piccole e grandi imprese si sono servite di essi
per trovare i migliori talenti 23. Facebook, come ogni altro social network, può generare financo di
pendenza, con un possibile e significativo calo di produttività! Anche se può essere prassi comune
utilizzare il computer per fini personali durante l’orario di lavoro (per controllare la propria e-mail o
per navigare in rete), il lavoratore deve, tuttavia, tener conto del tempo e della frequenza con cui ciò
avviene. Il computer, infatti, è uno strumento aziendale, di proprietà del datore di lavoro, che lo
stesso mette a diposizione del proprio dipendente per poter meglio eseguire le mansioni che gli sono
state richieste. Se ne desume che, in via generale, tale strumento non potrebbe essere utilizzato per
fini privati.
Il Garante della Privacy, il 12 luglio 2006, ha emanato un provvedimento con cui invitava i
datori di lavoro a comunicare tempestivamente ai lavoratori i regolamenti interni (le c.d. policy
aziendali) al fine di indicare le condotte che avrebbero potuto dare adito a provvedimenti
particolareggiato, su quali siano le modalità di utilizzo degli strumenti informatici messi a loro
disposizione. tuttavia, per evitare contestazioni in sede disciplinare, il datore di lavoro potrebbe
anche agire in via preventiva predisponendo (sui computer o sul router aziendale) un blocco
23
Un recente studio condotto da Reppler (in www.reppler.com), un servizio di monitoraggio sui social media, ha
evidenziato come oltre il 90% dei selezionatori e dei responsabili delle assunzioni sono ricorsi, come parte del processo
di screening, proprio ai social network per visitare e studiare i profili dei potenziali candidati. È risultato che il 69% dei
reclutatori hanno respinto un candidato proprio a causa del contenuto trovato sul suo profilo, mentre in un 68% dei casi
l’assunzione è stata favorita proprio dalla presenza su una piattaforma social.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 26
Università Telematica Pegaso Rischi e pericoli
ad un social network, provocano effetti anche sulla sua privacy. Facebook, ad esempio, può essere
davvero considerato metaforicamente come una finestra aperta sulla vita di un individuo. Anche se
l’utente ha la possibilità di stabilire chi possa visionare ciò che condivide, le informazioni inserite
vengono raccolte e conservate dai server del social network, sui quali l’utente (è bene ricordarlo)
non ha alcun potere di controllo. Ne deriva che, queste informazioni, non vengono adeguatamente
In altri termini, l’utente perde ogni tipo di controllo sulle informazioni postate. Lo stesso
finisce, anzi, col perdere la paternità di ciò che posta (come una foto, una poesia, ecc.). Nelle
condizioni d’uso, è frequente una clausola che fa acquisire alla piattaforma social la titolarità
dell’informazione postata o, quantomeno, garantisce una vera e propria liberatoria che permette di
Le motivazioni vanno rintracciate nella circostanza per cui l’utente utilizza la piattaforma
senza alcun tipo di spesa, ad eccezione dei costi di connessione; pertanto, ciò che assicura la
sopravvivenza del social network corrisponde, esattamente, al valore delle informazioni raccolte
Le stesse applicazioni presenti in Facebook, per poter essere utilizzate, richiedono all’utente
l’accesso ai suoi dati personali, insomma al suo profilo, raccogliendone le informazioni per fini
pubblicitari e riuscendo, così, a “profilare” l’utente in modo abbastanza dettagliato. Ciò consente
l’invio e la visualizzazione nella bacheca dell’utente profilato di un tipo di pubblicità molto, molto
mirata e specifica, perfettamente in linea con i suoi gusti e le sue passioni 24.
come la privacy di una persona sia strettamente legata a quella di tante altre. È sufficiente
24
Per fare un semplice esempio: se l’utente condivide sempre foto di scarpe, è molto probabile che nella bacheca del
suo profilo verranno visualizzate pubblicità di calzature.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 26
Università Telematica Pegaso Rischi e pericoli
violarne una per accedere alle informazioni personali di decine se non centinaia di utenti. Nei social
network, infatti, esistono profili che, per l’elevato numero di contatti, possono essere definiti degli
“hub sociali”, ossia veri e propri connettori attraverso i quali un messaggio riesce a passare
“messaggi virali”, cioè di messaggi che passano da persona a persona proprio come un virus.
Pertanto, se una azienda riesce a far pervenire un messaggio pubblicitario direttamente ad uno di
questi “connettori sociali” 25, si assicurerà una efficace cassa di risonanza alla sua campagna
pubblicitaria.
diritto di escluderlo”, incorre nella pena della reclusione fino a tre anni.
La stessa password di profilo riceve una determinata tutela giuridica: il codice penale
all’art. 615-quater c.p., punisce con la reclusione sino ad un anno e con la multa (sino a € 5.164)
colui che “al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno,
abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri
In Facebook la privacy dei suoi iscritti può essere compromessa in diversi modi:
dall’esterno, ossia da terzi che riescono ad impossessarsi delle credenziali di accesso ad un profilo
25
I connettori, un tempo, venivano indicati col termine spregiativo “nerd”, mentre oggi, con orgoglio, si definiscono
“geek”. Il termine, anch’esso di origine anglosassone, indica una persona affascinata ed appassionata dalla tecnologia e
non va confuso con il precedente che, invece, indica chi ha una certa predisposizione per la ricerca intellettuale,
umanistica o scientifica ed è, al contempo, tendenzialmente solitario.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 26
Università Telematica Pegaso Rischi e pericoli
accedendo a tutto il suo contenuto, tramite raggiri o programmi informatici che sfruttano le
debolezze della piattaforma e dello stesso utente; e dall’interno, ossia dallo stesso utente con
comportamenti poco appropriati e sicuri. Uno di questi atteggiamenti, ad esempio, è il c.d. tagging,
ossia l’abitudine di apporre “etichette” sotto i volti delle persone ritratte in foto e video. Si tratta di
una prassi tanto diffusa quanto singolare: gli utenti di Facebook, infatti, sono soliti citare i propri
amici riportandone il nominativo in una foto o in un video che vengono successivamente condivisi.
a volte, vengono taggate anche persone non presenti nel post, al semplice fine di richiamarne
l’attenzione.
Il tag viene considerato, allora, come un invito ad interagire, una sorta di “chiamata al
commento”, ad esprimersi su qualcosa che altri hanno condiviso con la community. Col tag, però, si
preventiva” per pubblicare una foto su un social network o per taggare i soggetti in essa ritratti 26.
In Italia, invece, secondo l’art. 15 del D.Lgs. 30 giugno 2003, n. 196 (c.d. codice Privacy),
il trattamento dei dati personali è parificato ad una “attività pericolosa” 27, la cui responsabilità viene
sancita dall’art. 2050 c.c. Secondo quest’ultima disposizione “chiunque cagiona danno ad altri
nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è
tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.
Pertanto, colui che tratta dati personali deve, per legge, adottare opportune misure di sicurezza ed
un idoneo comportamento in grado di evitare ogni possibile danno che possa derivare proprio da
26
Si veda la notizia riportata all’url: http://www.justicetv.it/index.php/news/12-012-corte-usataggare-su- fb-non-e-reato.
27
L’art. 15, rubricato “Danni cagionati per effetto del trattamento”, recita in tal senso: “chiunque cagiona danno ad
altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 26
Università Telematica Pegaso Rischi e pericoli
una sbagliata gestione e custodia di queste particolari informazioni. Inoltre, in base all’art. 23 del
medesimo codice “il trattamento di dati personali da parte di privati o di enti pubblici economici è
ammesso solo con il consenso espresso dell’interessato”. Ciò significa che per condividere in
internet qualsiasi informazione relativa a terze persone, è esplicitamente richiesta una loro
autorizzazione preventiva.
Nel mondo di Facebook, l’utente che tagga una persona in una foto che, poi, viene postata,
finisce col condividere una informazione personale non sua (il nominativo della persona ritratta,
appunto), senza tuttavia alcun tipo di autorizzazione. tale comportamento espone l’utente a diverse
conseguenze, che possono rivelarsi anche particolarmente gravi. Infatti, si potrebbero configurare
personale 28. Dunque, per lo stesso Codice della Privacy, chiunque cagiona danno ad altri per
effetto del trattamento di dati personali è tenuto al risarcimento, anche del danno non patrimoniale,
Il tagging posto in essere in violazione delle disposizioni previste dalla normativa sulla
privacy, espone l’utente a conseguenze anche di natura penale. Difatti, secondo l’art. 167 (rubricato
“trattamento illecito di dati”) del codice Privacy “chiunque, al fine di trarne per sè o per altri
quanto disposto (…) è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto
mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro
mesi (…)”. In altri termini, un atteggiamento così diffuso e per lo più condiviso – come il tagging –
potrebbe, in alcuni casi, portare l’utente a rispondere del reato di trattamento illecito di dati
28
L’art. 162, comma 1 del Codice della Privacy, come modificato dal comma 3 dell’art. 44 del decreto legge 30
dicembre 2008, n. 207, stabilisce che l’utente, per aver ceduto o diffuso, dati personali in violazione di legge, potrebbe
incappare nella sanzione pecuniaria che oscilla tra i 10.000 e i 60.000 euro.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
18 di 26
Università Telematica Pegaso Rischi e pericoli
personali38. Un altro rischio per la privacy è costituito dalle innumerevoli applicazioni di terze parti
presenti in Facebook. Giochi, test, applicazioni tengono senz’altro attiva la comunità, ma in verità si
tratta di “realtà virtuali proiettive”, mediante le quali i gestori arrivano a conoscere fatti,
Da ultimo, non bisogna dimenticare le “hoax”, c.d. “bufale”, ossia le notizie fasulle e
imbrogli a catena (le c.d. “Catene di S. Antonio”), che sfruttando le tecniche di ingegneria sociale
queste false notizie si celano dietro avvisi urgenti che chiedono di essere quanto più possibile
condivisi 29. In molti casi, le hoax arrivano anche ad incidere sulla stessa privacy, diffondendo
procedure che invitano l’utente a modificare le impostazioni del proprio account per evitare
Le false notizie possono costituire un pericolo non solo per la privacy dell’utente ma anche
per i suoi beni, come nel caso delle finte raccolte di fondi. La richiesta più frequente che un falso
avviso rivolge all’utente è quello di essere condiviso con i suoi contatti. Qualsiasi condivisione
permette di conoscere la rete amicale dell’utente ed i rapporti che intercorrono tra esso e i suoi
amici. ai fini pubblicitari, per esempio, questa sorta di “mappatura” è particolarmente importante,
poiché permette di inviare la stessa promozione a persone della medesima “cerchia”, le quali
possono in qualche modo influenzarsi tra di loro: in effetti, un utente è più portato ad acquistare un
determinato bene (o ad utilizzare uno specifico servizio) se vede che lo stesso è stato già comperato
Oltre a richiedere la massima condivisione, una hoax chiede all’utente anche di esprimere il
proprio piacimento cliccando sul pulsante “Mi piace”, collezionando così una serie di nominativi di
29
Oggetto di questi avvisi possono essere diversi argomenti: aiuti economici a persone povere o colpite da calamità
naturali, notizie di cronaca nera, raccolta di firme per finalità politica o per evitare la chiusura di un servizio web (o
addirittura dello stesso social network), l’avvio di nuovi servizi che rendono ancora più performante l’esperienza sulla
piattaforma social, ecc.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
19 di 26
Università Telematica Pegaso Rischi e pericoli
tutti coloro che hanno espresso il loro apprezzamento e realizzando una sorta di profilazione di tutti
gli utenti che hanno cliccato sul link. In particolare, lo stesso pulsante Like (“Mi piace”) comunica
più informazioni di quanto si possa pensare, generando un vero e proprio consenso tacito ad essere
tracciato (per almeno 2 anni!) e dando vita, così, ad un piccolo dossier sulle preferenze dell’utente.
pulsante Like, gli utenti “pagano”, anche se in moneta virtuale l’uso di Facebook. L’incidenza della
funzione sulla privacy degli utenti è tale da essere stata considerata illegale dal Garante della
privacy del Land tedesco nello Schleswig Holstein, il quale ritiene parimenti sanzionabile colui che
In Italia, la legge non demonizza il meccanismo, che invece può essere liberamente
utilizzato: lo si ritrova non solo all’interno di Facebook ma anche nei siti web, nelle pubblicità
stampate (sui cartelloni, sui manifesti, sui volantini) e, da qualche tempo, anche sulle vetrine dei
internet.
Facebook, se utilizzato senza la dovuta accortezza, può comportare dei rischi anche per i
beni stessi dell’utente. Infatti, chi voglia arrecare un danno patrimoniale ad una persona, può
utilizzare la piattaforma social come un’enorme banca dati, ricercandone il profilo per recuperarvi
tutta una serie di informazioni utili per i suoi scopi criminosi. Le informazioni personali sono
30
Fonte: “Corriere della sera”: http://archiviostorico.corriere.it/2011/agosto/23/Vietato_Dire_Piace_
Facebook_Crociata_co_9_110823075.shtml.
31
Un “Codice QR” o “Quick Read” (in inglese “QR Code”) è un codice a barre bidimensionale (o codice 2D), ossia a
matrice, composto da moduli neri disposti all’interno di uno schema di forma quadrata. Viene impiegato per
memorizzare informazioni generalmente destinate a essere lette tramite un tele- fono cellulare o uno smartphone. Il
nome “QR” è l’abbreviazione dell’inglese “quick response” (risposta rapida), in virtù del fatto che il codice fu
sviluppato per permettere una rapida decodifica del suo contenuto. I codici QR possono contenere sia indirizzi internet,
che testi, numeri di telefono o sms e possono essere letti da qualsiasi telefono cellulare e smartphone munito di
telecamera e di un apposito programma di lettura, detto “lettore di codici QR”, in inglese “QR reader”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
20 di 26
Università Telematica Pegaso Rischi e pericoli
sempre visibili, anche senza l’amicizia della vittima 32. In altri termini, un social network può essere
l’inganno, il quale non è altro che la deformazione della realtà altrui, a proprio vantaggio 33. Per
conoscenza viene assicurata proprio da quanto “raccontato” in un profilo social. Dati personali,
parentele ed amicizie, passioni ed hobby vengono minuziosamente elencati dalla stessa vittima nel
proprio profilo, senza tener conto delle possibili conseguenze che un comportamento così distratto e
superficiale può comportare nella realtà. In questo modo, il criminale viene a conoscenza di
moltissime informazioni che, altrimenti, avrebbe faticato a raccogliere. Mediante l’uso di tecniche
di ingegneria sociale, lo stesso può porre in essere artifici o raggiri per raggiungere il suo scopo:
Gli artifici o i raggiri possono compiersi non soltanto nella realtà, grazie alle informazioni
raccolte in rete, ma persino nella stessa rete, addirittura sullo stesso social network, ricorrendo a
programmi e virus in grado di rubare credenziali di accesso a conti correnti online o a profili social.
Quando la frode viene realizzata per mezzo di uno strumento informatico si definisce più
specificatamente frode informatica introdotta, tra le fattispecie criminose del codice penale, dalla
L’art. 10 della citata legge ha introdotto l’art. 640-ter c.p., che punisce con la reclusione da
sei mesi a tre anni e con la multa da € 51 ad € 1.032 “chiunque, alterando in qualsiasi modo il
32
Ciò consente ad un malintenzionato di porre in essere un attacco su vasta scala, magari ricorrendo ad una e-mail di
phishing da inviare a centinaia di utenti, spacciandosi per un istituto di credito e millantando mal funzionamenti e
problemi vari sul loro account.
33
L’ordinamento prevede e punisce il reato di truffa all’art. 640 c.p., il quale prevede la reclusione da sei mesi a tre anni
e la multa da € 51 ad € 1.032 per “chiunque con artifici o raggiri, inducendo taluno in errore, procura a sé o ad altri un
ingiusto profitto con altrui danno”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
21 di 26
Università Telematica Pegaso Rischi e pericoli
esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno (…)”. tale reato ricalca
la struttura e, quindi, i medesimi elementi costitutivi della truffa dalla quale, però, si differenzia
solamente perché l’attività fraudolenta non investe la persona, di cui difetta l’induzione in errore,
ma il sistema informatico di pertinenza della medesima, attraverso la sua manipolazione 34: in altri
termini, un reato di struttura simile alla truffa, ma specifico per punire tutte quelle condotte di
hackeraggio poste in essere a scopo di profitto, che hanno come obiettivo i sistemi informatici,
riferimento ad un abuso sul sistema e sui dati, in esso contenuti, tali da determinare, come evento,
un profitto ingiusto per chi agisce in danno del soggetto passivo. L’alterazione può consistere in un
qualsiasi intervento interno o esterno sul software o sull’hardware ed anche in una condotta
omissiva; un reato c.d. “a forma libera” con cui punire una gran quantità di condotte.
Un particolare tipo di frode informatica, il cui numero negli ultimi tempi è vertiginosamente
cresciuto, sono le c.d. frodi ipotecarie. Facebook potrebbe essere concausa della stipulazione di
contratti per frodare terzi ed incassare ingenti quantità di denaro, dal momento che facilita il
recupero di dati personali e la conseguente creazione di false identità. Il meccanismo della frode
ipotecaria si basa proprio sul furto d’identità di ignari utenti, che vengono utilizzate per chiedere ed
ottenere mutui per terzi soggetti o per concedere ipoteche su immobili inesistenti o appartenenti ad
altri, per un giro di perdite stimato, nei soli Stati Uniti d’America, intorno al miliardo e mezzo di
dollari, nell’anno 2008. Lotterie on-line fantasma, false offerte di lavoro, presunte agenzie che
promettono la cancellazione dei debiti degli utenti ed altri inganni simili, molto pubblicizzati sui
34
Cass., Sez. VI, 5 febbraio 2009, citata anche in G. Amato, V. Destito, G. Dezzani e C. Santoriello, I reati informatici,
Padova, 2010, p.103.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
22 di 26
Università Telematica Pegaso Rischi e pericoli
tipo.
Alla luce di quanto analizzato, si deduce che alla base di qualsiasi pericolo che può
seriamente minacciare l’utente di un social network, la sua stessa privacy e i suoi beni economici, si
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
23 di 26
Università Telematica Pegaso Rischi e pericoli
2 Alcuni dati…
Secondo un recente rapporto dell’osservatorio permanente sul furto d’identità
dell’aDICoSUM 35, negli ultimi anni proprio la diffusa abitudine di pubblicare dati sensibili nei
Experian, ha rivelato che un americano adulto su due, di età minore di 45 anni, ha condiviso
volontariamente o involontariamente sul proprio profilo social, dati personali quali indirizzo e
relazioni familiari, senza aver ben compreso i rischi connessi alla diffusione di tali informazioni.
Inoltre, 3 intervistati su 4, aventi un profilo social, non considerano affatto il rischio di vedersi
rubata l’identità, mentre il 35% non ha mai innalzato il livello di privacy delle informazioni
immesse. Quasi la metà degli intervistati pubblica almeno in parte le proprie relazioni familiari ed il
14% indica addirittura il proprio indirizzo di residenza, percentuale che sale al 20% tra gli over 65.
Negli ultimi anni i social network e le chat sono diventate preziose miniere di informazioni
attraverso cui è possibile reperire dati sensibili che potrebbero essere utilizzati per commettere
frodi. Le segnalazioni di tentativi di truffe hanno raggiunto il 40% nel 2009, con un’incidenza di
circa 40 casi sospetti ogni 10 mila. Un dato in crescita esponenziale tenuto conto che nel 2008 ne
anche a livello europeo emergono dati preoccupanti. Nel recente rapporto dell’aDICoSUM
sono riportati i dati della ricerca condotta nel 2009 da Dynamic Markets per Fellowes, da cui
emerge come 7,3 milioni di consumatori britannici, irlandesi, tedeschi, belgi e olandesi siano stati
vittime di furto d’identità. I dati evidenziano come tutti i consumatori intervistati hanno sentito
parlare del fenomeno e il loro livello di preoccupazione è sensibilmente aumentato. tuttavia, però, il
12% ha dichiarato di non avere idea di quanto possa essere esposto al pericolo mentre il 9% pensa
35
Fonte: Osservatorio permanente sul furto d’identità – Report 2010, Il furto d’identità nell’esperienza dei consumatori,
Associazione Difesa Consumatori e Ambiente, 2010.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
24 di 26
Università Telematica Pegaso Rischi e pericoli
che il pericolo non esista affatto. Un 23% ha, invece, candidamente dichiarato di non conoscere
nessuna modalità attraverso cui la frode da furto d’identità possa essere realizzata, mentre un 54%
non conosce alcuna misura di protezione che possa utilizzare per difendersi. Dalla medesima ricerca
emerge, però, un leggero miglioramento rispetto agli anni precedenti per quanto riguarda l’uso da
parte dei consumatori di protezioni quali, ad esempio, i software di sicurezza per pc (81% rispetto al
78% del 2008) e trita carte d’ufficio (51% rispetto al 40% del 2008).
Per quanto riguarda le frodi creditizie in Italia, il rapporto dell’aDICoSUM, cita i dati del
2009 dell’osservatorio sulle Frodi di CrIF che hanno evidenziato oltre 25.000 casi di frodi con un
incremento dell’11% rispetto al 2008, per un importo di oltre 145 milioni di euro. Secondo questi
dati, la vittima tipo è un uomo di età compresa tra i 30 e i 40 anni e residente principalmente in
Campania, Sicilia, Lazio o Puglia. Inoltre, i liberi professionisti risultano essere maggiormente
l’analisi delle denunce è possibile delineare il quadro socio-demografico delle vittime di una frode
creditizia è, invece, quasi impossibile avere informazioni sui colpevoli, poiché essi vengono
Da un sondaggio online condotto da YouGov per conto di VeriSign, risulta che il 9% degli
utenti italiani è stato vittima di furto d’identità online negli ultimi 12 mesi. a costoro sono stati
sottratte somme che, in media, si aggirano intorno ai 353 euro, mai peraltro rimborsati e/o risarciti
online, poiché l’80% afferma di acquistare solo su siti che usano configurazioni di sicurezza
avanzate. Tra i più esposti gli under 34, i meno colpiti sono, invece, gli uomini oltre i 55 anni di età.
La ricerca condotta da aDICoSUM rivela come la percentuale di soggetti che hanno subito
almeno un’esperienza di furto d’identità sia abbastanza rilevante: 22% anche se in leggero calo
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
25 di 26
Università Telematica Pegaso Rischi e pericoli
rispetto al 26% del 2008 (circa 1 persona su 4). Le principali cause di furto d’identità sono il
caduto nella trappola del phishing, mentre risulta in crescita il reperimento di informazioni tra i
rifiuti di documenti personali, bancari o d’altro tipo, da cui estrarre dati anagrafici, numeri di carte
di credito, firme e quant’altro consenta di “copiare” il profilo della vittima. In Italia, generalmente il
furto d’identità viene scoperto dal consumatore tramite l’estratto conto (59,7%), mentre sono
davvero pochi coloro che ne hanno notizia dal proprio istituto di credito o dalle forze dell’ordine.
Anche le denunce sono calate (64,8% del 2009 rispetto al 69% del 2008). rispetto al 2008 i
consumatori sembrano più accorti e consapevoli, anche se sono ancora pochi coloro che fanno uso
di antivirus e firewall esponendosi a gravi rischi di sicurezza. ancora troppo basso risulta il numero
di soggetti che evita di salvare le proprie password sul computer (55,5%) così come pochi sono
coloro che hanno l’abitudine di salvare i dati sensibili su disco esterno (30,6%). ancora oggi, i
profili più a rischio di frode da furto d’identità sono quelli appartenenti a cittadini che risiedono nel
centro-sud Italia.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
26 di 26
“RIMEDI E CONTROMISURE”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 17
Università Telematica Pegaso Rimedi e contromisure
1 Valide contromisure
Dopo aver illustrato i principali rischi e pericoli in cui può incorrere l’utente medio di un
social network, è indispensabile individuare le più efficaci contromisure che devono essere adottate
per poter vivere l’esperienza social nel modo più costruttivo e sereno possibile. Se, da un lato, non
bisogna demonizzare i social network, che possono rappresentare esperienze formative persino
Solo per fornire dei banali esempi, nessuno uscirebbe di casa lasciando le chiavi nella
serratura della porta blindata; nessuno si avventurerebbe nella zona malfamata di una città magari
sfoggiando degli ori; nessuno darebbe confidenza a persone la cui identità è poco conosciuta 1. Nel
mondo digitale, le regole non cambiano: il miglior Antivirus, il miglior Firewall è proprio il
buonsenso. Kevin Mitnick, uno dei più grandi hacker che il mondo abbia mai conosciuto, afferma:
“il fattore umano [ossia l’uomo con tutte le sue passioni e le sue debolezze] è sul serio l’anello più
performanti, i piani più articolati diventano inevitabilmente tutti fallaci se manca una
consapevolezza di fondo ed una adeguata formazione degli individui sulle tematiche della sicurezza
informatica.
Se manca la percezione del rischio in ambito informatico ed, in particolare, negli utenti di
informatica è, prima di ogni cosa, un fattore di educazione, un vero e proprio stile di vita.
Sulla scorta di queste premesse, è necessario analizzare i metodi e gli strumenti per
contrastare i rischi e i pericoli che possono sorgere durante l’utilizzo di un social network.
1
Risuona la tipica raccomandazione della mamma: “Non parlare con gli sconosciuti”.
2
K.D. Mitnick, L’arte dell’inganno, Milano, 2003, pag. 23.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 17
Università Telematica Pegaso Rimedi e contromisure
Il primo pericolo da evitare è proprio il furto d’identità che, come già visto, permette
l’insorgere di tutte le altre insicurezze. Per prevenire il furto d’identità è sufficiente una attenta
In ambito informatico, ciò si traduce in tutte quelle misure di sicurezza che impediscono ad
un eventuale aggressore di penetrare nel sistema e rubare dati: un Antivirus sempre aggiornato, un
Firewall opportunamente settato, programmi aggiornati ed uso di password complesse e mai ovvie,
Nei social network, soprattutto, l’utente deve dedicare una particolare attenzione alla
gestione delle sue informazioni personali. L’utente di Facebook dovrebbe riconoscere assoluta
importanza ai dati come il nome, il cognome, la data di nascita, il titolo di studio, il luogo di
residenza, l’indirizzo e-mail, ecc., cercando di non dare mai per scontato che sono informazioni
sempre e comunque recuperabili. Dovrebbe inoltre tener sempre presente che tutte le informazioni
che lo riguardano sono in qualche modo collegate tra di loro e che la violazione di una di esse può
comportare la violazione di tutte le altre. Dovrebbe poi evitare di seguire le mode del momento e di
L’utente accorto utilizza uno username ed altri dati che in nessun modo si ricollegano alla
sua vita o ad informazioni personali. Lo stesso account deve essere protetto da una password
la stessa e-mail di iscrizione deve essere dedicata, di nuova creazione ed utilizzata solo per il profilo
social. In questo modo sono messe al sicuro le e-mail con cui l’utente comunica con amici, colleghi,
clienti.
Per evitare il fenomeno della profilazione che, come già esposto, agevola il furto d’identità,
prima di condividere un’informazione, l’utente accorto dovrebbe riflettere sulle conseguenze che i
commenti, le foto, i video, nonché i “Mi piace”, possano ripercuotersi nella vita reale. Dovrebbe
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 17
Università Telematica Pegaso Rimedi e contromisure
prestare attenzione anche a chi aggiunge ai suoi contatti, accogliendo soltanto le richieste di
amicizia di coloro che conosce realmente. Né dovrebbe considerare scontata la veridicità dei
contatti che incontra sul social network, nemmeno di quelli che sono già suoi amici, dal momento
che anche gli account “amici” potrebbero essere violati in qualsiasi momento.
Particolare attenzione dovrebbe poi essere prestata alle “ri-chieste” di amicizia da parte di
contatti noti: difatti nessun utente verifica perché un contatto chieda di nuovo l’amicizia. Sarebbe
opportuno, allora, che l’utente accertasse che la richiesta di amicizia sia stata effettivamente inviata
da quella persona, per esempio, contattandola con altri mezzi, indipendenti da Facebook.
Come illustrato in precedenza, anche la minaccia del phishing non può essere sottovalutata:
un internauta dovrebbe sapere che mai l’amministratore di un qualsiasi sito (social network, istituto
di credito, provider, ecc.) invierebbe una e-mail con una richiesta di comunicazione delle
credenziali di accesso 3. Qualora l’utente utilizzi un programma di posta elettronica installato sul
proprio computer 4, sarà anche in grado di leggere per intero l’indirizzo web, a cui il link della e-
mail punta. Per scoprire se l’url 5 contenuto nella e-mail ricevuta è genuino o meno, è sufficiente
soffermarsi col mouse sopra la parola sottolineata e colorata di blu (di solito il “clicca qui”) e
leggere nella parte inferiore della finestra del programma scoprendo, così, l’inganno ad esso sotteso.
Altro elemento che potrebbe destare sospetto è la presenza, nell’indirizzo web, di termini
strani, diversi dal nome del sito per cui è stata inviata l’e-mail: in questo caso il comportamento più
veramente.
3
Ossia nome utente e password.
4
Ci si riferisce al c.d. client, ossia a programmi come Thunderbird, Microsoft Outlook, e simili.
5
Sequenza di caratteri che identifica univocamente l’indirizzo di una risorsa in internet, del tipo: www. google.it.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 17
Università Telematica Pegaso Rimedi e contromisure
È bene, allora, familiarizzare con le opzioni di account e di privacy che lo stesso social
network mette a disposizione dei suoi iscritti ricordando, però, che da utenti comunque non si ha un
completo controllo di questi strumenti e, quindi, non si può mai essere certi che realizzino
Per una maggiore privacy, la visualizzazione di ogni post deve essere impostata su “solo
indispensabile: nessuna legge, infatti, impone all’utente di comunicare i propri dati personali.
Anche se le Condizioni d’uso del social network impongono all’utente di iscriversi con le
sue vere generalità, di contro non viene effettuato alcun controllo su coloro che preferiscono
utilizzare date di nascita finte o soprannomi 6. Le richieste delle Condizioni d’uso hanno tutto
6
Ne sono dimostrazione gli innumerevoli profili aperti da minori di anni 13 su Facebook.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 17
Università Telematica Pegaso Rimedi e contromisure
l’interesse a far memorizzare quanti più dati (reali) possibili, ma sono molto blande circa il loro
futuro utilizzo da parte della piattaforma social. L’utente di un social network non può
assolutamente conoscere in quali server le informazioni sono conservate e se e come esse vengano
quanto postato o condiviso in rete: tecnicamente egli non può avere accesso diretto alle memorie
fisiche dove le informazioni sono state salvate dal social network; memorie che, il più delle volte,
sono allocate anche al di fuori dalla giurisdizione dello Stato di cui è cittadino l’utente, facendo
In altri termini, in internet (quindi, anche per i social network come Facebook) non è
rivela difficile, se non impossibile, la sua effettiva cancellazione dalla rete internet. Ne deriva che,
profilo con tutto il suo contenuto, quest’ultimo viene semplicemente nascosto agli occhi degli altri
utenti, ma nessuno può essere davvero sicuro che tutte quelle informazioni personali siano state
Per evitare che informazioni contenute in un profilo possano in qualche modo uscire dalla
piattaforma ed essere utilizzate in modo improprio da terzi, è consigliabile ridurre o, meglio, evitare
del tutto l’uso di applicativi terzi, come giochi, test e programmi, suggeriti nella bacheca dell’utente
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 17
Università Telematica Pegaso Rimedi e contromisure
Si è visto, infatti, che le tecniche (psicologiche) con cui il criminale di turno cerca di rubare
l’identità virtuale di un internauta solitamente richiedono una qualche forma di interazione con la
vittima: l’e-mail fasulla, la richiesta di amicizia, l’invito a giocare ad un gioco on-line dalla grafica
spettacolare, ecc.
valutare di volta in volta le diverse situazioni di rischio; in altri termini sarà in grado di pensare con
Non si dimentichi che l’utente può anche servirsi dei principali motori di ricerca per
verificare il grado di privacy raggiunto dal suo profilo: ad esempio, la semplice ricerca, tramite
Google, del suo nominativo o della sua data di nascita può far rendere conto di quanto siano
circolate le informazioni.
tenere il proprio computer ben gestito e protetto soprattutto mediante un Antivirus con definizioni
Per essere davvero sicuri che nessuno possa violare il proprio profilo social, è opportuno
evitare di accedere al social network dal posto di lavoro o, peggio ancora, da un internet point,
quindi da un computer pubblico e/o condiviso. L’utente dovrebbe, inoltre, diffidare da reti wireless
aperte (i c.d. hotspot) o appartenenti a soggetti terzi (il WiFi di un amico, dell’università, di un
ricordando sempre che qualsiasi azione posta in essere in ambito virtuale, ha inevitabili
reale incidenza che i comportamenti virtuali possono avere nella quotidianità reale di un individuo.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 17
Università Telematica Pegaso Rimedi e contromisure
L’utente deve ricordare che esistono responsabilità, anche di natura giuridica, persino nel mondo
effimero di internet. L’illusorio anonimato offerto da un monitor e da una tastiera non cancella le
tracce che ogni internauta lascia in rete (sui server visitati, ma anche sulla sua stessa macchina) ogni
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
9 di 17
Università Telematica Pegaso Rimedi e contromisure
2 I social network
L’uomo, per sua natura, è portato ad intrecciare continue relazioni con i suoi simili
utilizzando diversi strumenti: si pensi alla parola, ad una lettera, a simboli e segnali, ecc.
la tradizionale lettera cartacea è diventata e-mail; agli incontri fisici si sono sostituite le
I social network (letteralmente “reti sociali”) non sono altro che un particolare mezzo di
comunicazione e di condivisione. Nel senso più ampio del termine, possono essere visti come
relazioni intessute da persone che appartengono ad un gruppo; quindi, unite da diversi legami
sociali che vanno dalla conoscenza casuale ai rapporti di lavoro e di amicizia, ai vincoli familiari.
Il termine social network, quindi, si riferisce innanzitutto a una rete fisica, come una
comunità, una associazione, una confraternita, caratterizzata dal fatto che i suoi componenti
Con l’avvento delle nuove tecnologie, ed in particolare di internet, anche queste realtà hanno
subito una inevitabile trasformazione divenendo una delle forme più evolute di comunicazione in
rete. Si tratta, insomma, di “piazze virtuali”, cioè luoghi immateriali in cui ci si ritrova per
intrecciare relazioni di ogni tipo, per confrontarsi, per esprimere idee ed opinioni ma, soprattutto,
per condividere se stessi e la propria vita, attraverso messaggi (i c.d. “post”), foto e video.
Questa trama di relazioni, di natura sociale e virtuale, tessuta in modo casuale e quotidiano,
di solito si concretizza diventando tutt’uno con quella rete di conoscenze ed amicizie reali che un
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
10 di 17
Università Telematica Pegaso Rimedi e contromisure
I primi social network nacquero in America, in ambito universitario, tra studenti che non
volevano perdersi di vista una volta conclusi gli studi, e che volevano continuare a fare squadra nel
mondo del lavoro. Successivamente, grazie soprattutto all’enorme successo riscosso da un social
network particolare, conosciuto col nome di Facebook, si sono trasformati in un fenomeno globale
affermare che la conoscenza risiede nei network, dove nessuno sa tutto ma tutti sanno qualcosa!
Alla base del funzionamento stesso dei social network vi sono informazioni di diversa natura
che vengono continuamente condivise, commentate, segnalate dagli stessi utenti. Ne deriva
un’enorme database 7 in costante aggiornamento che può essere consultato da chiunque. L’utente
diventa, in questo modo, la fonte inesauribile di tutte queste informazioni, lasciando “frammenti di
sé”: piccole informazioni che, opportunamente raccolte, possono ricostruire, nei minimi dettagli, la
sua vita, il suo carattere, il suo pensiero. attraverso la creazione di un’identità virtuale, ossia un
“avatar” che lo rappresenta sulla rete, l’utente inserisce e condivide diverse informazioni relative
alla sua persona e, in generale, alla sua vita. In tal modo, questo alter ego finisce con l’assumere in
tutto e per tutto le caratteristiche dell’utente: il suo vero nome e il suo vero cognome, la sua vera
Nel tempo, il flusso di dati immessi diventa sempre più costante e corposo così come
aumenta sensibilmente l’impegno ed il tempo impiegato per postare 8 e per commentare. oltre a
postare e commentare, chi utilizza una piattaforma social ricerca le c.d. “amicizie virtuali”: in
particolare, ricerca in rete i contatti dei suoi amici attuali, ossia di persone che conosce direttamente
e indirettamente nella realtà, fondendo comunicazioni reali con comunicazioni virtuali; l’utente dà
7
Nel mondo dell’informatica, il termine “database” indica un archivio di dati (o un insieme di archivi) in cui le
informazioni contenute sono strutturate e collegate tra di loro in modo logico, tale da permettere una loro efficiente
gestione e/o organizzazione.
8
Il termine deriva dall’inglese “to post” ed indica l’azione di inserire un messaggio all’interno di un blog o di un sito
web.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
11 di 17
Università Telematica Pegaso Rimedi e contromisure
vita, cioè, a quella che molti hanno definito “interrealtà”, ossia “reti sociali ibride”, iniziando una
servendosi delle reti amicali dei suoi amici (dei suoi contatti) con cui fonde la propria.
Le piattaforme social, poi, permettono anche di interagire con altri utenti attraverso giochi,
informazioni personali e di reti amicali, sono condivise anche le attività di un utente permettendo di
sapere, in tempo reale, cosa stanno facendo le persone; e ancora, sfruttando proprio questo enorme
potere penetrativo e divulgativo, negli ultimi tempi i social network sono stati utilizzati anche per
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
12 di 17
Università Telematica Pegaso Rimedi e contromisure
offrire una definizione esauriente, essendo un fenomeno complesso e dalle molteplici sfaccettature.
uno strumento di lavoro. a differenza di tutti gli altri social network che si caratterizzano,
dedicato ai gruppi musicali emergenti), su Facebook si trova di tutto, si condivide ogni cosa, si
discute di ogni argomento: si tratta di una vera e propria piattaforma nel senso più strettamente
tecnico-informatico, dal momento che offre ai suoi utenti diversi servizi e strumenti quali e-mail,
Come ogni realtà digitale, anche i social network, Facebook compreso, sono soggetti a
regole e norme. In particolare, ogni piattaforma social ha un proprio regolamento specifico interno,
indispensabile per poterne usufruire. Le condizioni d’uso regolano l’utilizzo del social network
stabilendo doveri e divieti per l’utilizzatore. Violare queste disposizioni espone l’utente a tutta
una serie di sanzioni che vanno dal semplice richiamo scritto da parte degli amministratori del sito,
alla sospensione temporanea del suo account, fino ad arrivare al c.d. “ban” 10.
Le condizioni d’uso richiamano anche le regole di buon comportamento che ogni internauta
dovrebbe conoscere e rispettare e che sono conosciute col termine “netiquette” e che costituiscono il
9
Per quanto riguarda Facebook, è possibile visionare le sua Condizioni d’Uso, cliccando sul relativo link a fine pagina.
10
Il termine deriva dall’inglese “to ban” ed è una forma contratta del verbo “to banish” che significa “bandire”. Nelle
chat e nei forum, chi offende o contravviene alle regole di buona condotta, può essere allontanato (meglio, disiscritto)
dalla comunità virtuale.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
13 di 17
Università Telematica Pegaso Rimedi e contromisure
c.d. “Galateo della Rete”. Si evidenzia che queste condizioni d’uso sono soggette a continue
modifiche unilaterali da parte di chi amministra la piattaforma social: modifiche che solitamente
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
14 di 17
Università Telematica Pegaso Rimedi e contromisure
norme, spesso estendendo (per analogia) al mondo virtuale leggi che regolano i rapporti fra i suoi
cittadini.
In alcune occasioni, l’importanza del fenomeno ha raggiunto livelli così alti da spingere i
legislatori nazionali a tenerne conto, anche in diverse convenzioni e trattati internazionali. Ne sono
Nello specifico, la prima sanziona i c.d. “Cyber Crime” (i crimini informatici), cioè quelle
condotte illecite compiute su internet e con l’ausilio delle nuove tecnologie, tutelando in modo
uniforme tutti quei beni giuridici aggrediti proprio da condotte di criminalità informatica.
internet, ha inteso tutelare i minori, potenziando la loro protezione ed inasprendo le pene per
sfruttamento minorile.
genericamente su internet, molti sono i richiami ai social network, dato che costituiscono il luogo
virtuale più adatto per commettere le più diffuse condotte criminose: il furto e l’abuso di password e
di account (meglio noto come furto d’identità), l’abuso di apparecchiature info-telematiche, la frode
pedopornografia, ecc.
particolare:
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
15 di 17
Università Telematica Pegaso Rimedi e contromisure
introdotto nuove fattispecie delittuose come: il falso informatico (art. 491 bis
(art. 615 quinquies c.p.), il danneggiamento informatico (artt. 635 bis c.p., 635
ter c.p., 635 quater c.p. e 635 quinquies c.p.) e la frode informatica del
quinquies c.p.);
e l’adescamento via web di minorenni (il c.d. grooming, art. 609 undecies c.p.)
internet o con strumenti informatici quali sms, chat, social network e giochi
on-line.
all’ambito social.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
16 di 17
Università Telematica Pegaso Rimedi e contromisure
Ad esempio, l’art. 615-ter del codice penale, che punisce l’accesso abusivo a sistema info-
telematico, finisce col tutelare anche l’account-profilo di un utente; lo stesso vale per l’art. 494 c.p.,
che punisce la sostituzione di persona, e per l’art. 595 in materia di diffamazione 11.
Identico discorso può essere svolto anche per le norme civilistiche. Un esempio significativo
è rinvenibile nell’art. 2105 del codice civile (rubricato “obbligo di fedeltà” 12), il quale obbliga il
lavoratore ad evitare non soltanto una serie di comportamenti ma, più in generale, qualsiasi altra
condotta che, per sua natura e per le possibili conseguenze, risulti in contrasto con l’azienda e la sua
organizzazione: quindi anche una semplice attività contraria agli interessi dello stesso datore di
lavoro che possa, in qualche modo, produrre anche solo un danno potenziale. Moltissimi lavoratori,
infatti, durante l’orario di lavoro e servendosi proprio di computer aziendali, inviano e-mail
personali, postano messaggi sui social network o intrattengono conversazioni in chat, ponendo in
essere un’attività propria incompatibile e/o in contrasto con quella dell’azienda e violando
Ne consegue, quindi, che anche per particolari realtà digitali, come appunto i social network,
si registra una tendenza dei giudici ad applicare per analogia le leggi vigenti.
11
Sul punto v. Tribunale di Monza 2 marzo 2010, n. 770, secondo il quale: “Ogni utente di social network (nel caso
specifico, di “Facebook”) che sia destinatario di un messaggio lesivo della propria reputazione, dell’onore e del
decoro, ha diritto al risarcimento del danno morale o non patrimoniale, ovviamente da porre a carico dell’autore del
messaggio medesimo”. Il Tribunale di Livorno ha recentemente (1 ottobre 2012) condannato una donna per
diffamazione aggravata dal mezzo stampa. L’imputata, è stata condannata al risarcimento del danno per aver scritto
frasi offensive sul proprio profilo Facebook e rivolte al suo ex datore di lavoro che l’aveva licenziata, beneficiando
dello sconto di pena derivante dall’accesso al rito abbreviato (Fonte: IlSole24Ore, in
http://www.diritto24.ilsole24ore.com/penale/news/2012/10/ diffamazione-a-mezzo-stampa-via-facebook-frasi-offensive-
sul-profilo-facebook-e-dirette-all--ex-dato- re-di-lavoro.html).
12
L’art. 2105 c.c. recita testualmente: “Il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in
concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione
dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio”.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
17 di 17
“ASPETTI FORENSICS”
Indice
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
2 di 8
Università Telematica Pegaso Aspetti forensics
1 Aspetti forensics
Negli ultimi anni è nata una particolare branca della Digital Forensics, incentrata proprio
sull’analisi delle tracce lasciate su Facebook dai suoi utenti: la c.d. Facebook Forensics. Questa
ricostruire ogni attività compiuta da un utente di Facebook, ricercandone tracce che diverranno
La Facebook Forensics sta divenendo la soluzione principale adottata per l’accertamento dei
casi di diffamazione via Facebook, sempre più numerosi negli ultimi anni 1.
Più che il minore è l’adulto che deve essere cosciente di come utilizzare al meglio strumenti
come Facebook. Genitori ed insegnanti sono tenuti a conoscere il funzionamento delle nuove
poco accorto.
eliminare il c.d. digital divide, cioè quel divario digitale esistente tra chi conosce l’informatica (i
c.d. “nativi digitali”) e chi ne è escluso, in modo parziale o totale 2. Solo con un’adeguata
improvvisati), gli adulti saranno in grado di gestire le nuove tecnologie e di comunicare con le
nuove generazioni.
È opportuno, quindi, che i genitori siano i primi a sapersi comportare su Facebook evitando,
1
In caso di diffamazione a mezzo Facebook è bene rivolgersi, oltre che alle forze dell’ordine, ad un Digital Forenser,
ossia un esperto in grado di individuare, raccogliere, analizzare, conservare e presentare in dibattimento, prove
giuridicamente valide dell’avvenuto reato, avvalendosi di particolari procedure ed attrezzature.
2
V. sul punto A. Manente, L’Insicurezza della propria e dell’altrui Identità, infra, p. 186 ss.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
3 di 8
Università Telematica Pegaso Aspetti forensics
È bene rammentare che non si tratta di un album di famiglia gelosamente custodito in casa,
ma di dati digitali, facilmente condivisibili. I genitori non dovrebbero mai lasciare soli i propri figli
davanti ad un computer connesso in rete: anzi, è opportuno che si discuta tutti assieme dei pericoli
che possono sorgere in rete, in modo tale da far emergere il sostegno da parte dei genitori e degli
adolescenti la prudenza e non la paura. I pericoli nel cyberspazio possono essere affrontati nello
stesso modo in cui si affrontano i pericoli nella vita reale, evitando la proibizione e la negazione,
programmi di “filtraggio”, ossia software e procedure che consentono l’accesso solo in particolari
L’utente deve tener sempre presente che sta utilizzando un potentissimo strumento di
diffusione, dove ogni aspetto della sua personalità rimane perennemente legato a dei post 5.
Anche dopo aver avuto un posto di lavoro, Facebook potrebbe comprometterlo. È stata
aziendali per controllare la propria casella e-mail o per chattare su un qualche social network.
ancorché tale comportamento sia generalmente tollerato, l’utente deve ricordare che quelle
3
In tal senso si è espresso, efficacemente, Telefono Azzurro. Per approfondimenti, v. il sito http://www. unimondo
.org/Guide/ Politica/Societa-civile/Italia-la-Convenzione-di-Lanzarote-e-legge-137381
4
Si riferisce, infatti, che molti reclutatori stanno adottando l’abitudine di ricercare e controllare il profilo dei candidati
che si sono presentati ad un colloquio selettivo.
5
In questo caso, assume particolare significato il brocardo latino “Verba volant, scripta manent” (citato dal discorso di
Caio Tito al Senato romano), che invita alla prudenza nella scrittura perché, se le parole facilmente si dimenticano, gli
scritti possono sempre formare documenti incontrovertibili.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
4 di 8
Università Telematica Pegaso Aspetti forensics
postazioni informatiche sono di proprietà del datore di lavoro, messe a disposizione per svolgere
È importante ricordare che la privacy, nei social network, è legata a doppio filo con quella
dei rispettivi contatti. È, pertanto, consigliabile evitare l’eccessiva diffusione non soltanto di
informazioni personali ma anche di dati altrui. Questo accade più spesso di quanto si pensi proprio
attraverso la pratica del tagging con cui – si è potuto constatare – vengono commentate centinaia di
migliaia di foto, senza alcuna autorizzazione preventiva, mettendo in rischio la privacy della
persona taggata.
La stessa violazione di privacy si verifica anche quando vengono raccolti decine e decine di
indirizzi e-mail e/o nominativi attraverso la condivisione/ diffusione di notizie fasulle e allarmanti:
informazioni personali di moltissimi utenti, oltre a creare ingiustificati allarmismi, fino ad arrivare
Un ulteriore pericolo per la privacy è, poi, costituito dal pulsante “Mi piace”, un vero e
proprio dispositivo di tracciatura dei gusti e delle preferenze dell’utente di Facebook. Per questa
ragione, un utente accorto dovrebbe limitare i suoi “Mi piace” a preferenze che raccontano poco
In modo non dissimile viene in rilievo la c.d. Social-Geolocalizzazione: tra gli utenti di
6
Alcuni utenti consapevoli di questo fenomeno, si stanno organizzando proprio sullo stesso Facebook con apposite
pagine di denuncia, come quello fondato dall’attivissima esperta di rete Caterina Policaro, che mette in guardia dalle
Bufale presenti su Facebook e dai loro potenziali pericoli: si v. il gruppo “Le Bufale su Facebook: non cascateci!”,
all’url: www.facebook.com/group.php?gid=48129754519.
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
5 di 8
Università Telematica Pegaso Aspetti forensics
implementato questa funzionalità con una nuova applicazione pensata appositamente per i
dispositivi mobili: Facebook Places. L’applicazione specifica per i cellulari di ultima generazione,
istantaneamente la reale posizione geografica dell’utente, facilitando eventuali incontri con i relativi
Si tratta di una applicazione molto usata dai giovani e da chi ha una vita sociale molto attiva.
Ma di là dall’utilità pratica, potrebbe essere un valido aiuto per ladri e stalker, in grado di sapere, in
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
6 di 8
Università Telematica Pegaso Aspetti forensics
“mossa” giusta: anche gli spostamenti profilano l’utente, fanno conoscere le sue preferenze,
Da ultimo si ricordi che i tentativi di frode informatica, molti dei quali vengono realizzati
attraverso messaggi di phishing, suggeriscono una significativa massima di vita: un’offerta troppo
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
7 di 8
Università Telematica Pegaso Aspetti forensics
2 Conclusioni
Le ragioni che spingono un soggetto ad iscriversi ad un social network vanno per lo più
privacy e di limitazione dei contenuti sembra essere un controsenso, dal momento che l’internauta
geloso della propria vita privata potrebbe scegliere di non iscriversi affatto.
Esiste tuttavia chi utilizza una piattaforma social per comunicare e tenersi in contatto,
controllando, al contempo, il livello di protezione della propria privacy. È in questo caso, ancor più
che negli altri, che risultano utili le informazioni fin qui rappresentate, poiché capaci di rendere più
Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente
vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore
(L. 22.04.1941/n. 633)
8 di 8