Informatica Giuridica (Seconda Edizione)

Corso di
INFORMATICA GIURIDICA
A.A. 2020/2021
Proff. GianLuca Pedrazzini & Massimo Ballerini
1
1^ Lezione (07/09/2020) | Introduzione
INFORMAZIONI PRELIMINARI
Obiettivi del corso:
Ø Fornire le conoscenze relative alle diverse aree di applicazione dell'informatica nei contesti giuridici, e
una panoramica riguardo alle principali problematiche giuridiche legate agli strumenti e ai servizi
informatici;
Ø Approfondire, dal punto di vista pratico, gli strumenti e le tecniche per la ricerca di documentazione
giuridica via Web.
Manuali consigliati:
• Informatica giuridica (seconda edizione) Ballerini, Clerici, De Pra, Indovina, Pedrazzini Egea, 2019
L’esame si svolge in forma scritta secondo due modalità:
• Prima modalità: lo studente sostiene due modalità scritte parziali (la prima a fine ottobre 2020, la seconda
in uno dei due appelli di gennaio 2021);
• Seconda modalità: lo sostiene una sola prova scritta generale in uno dei due appelli di gennaio 2021,
marzo/aprile 2021 e agosto/settembre 2021.
Per potersi iscrivere all’esame di Informatica per giurisprudenza (seconda prova parziale o prova generale)
è necessario essere in possesso della certificazione ECDL Core o ECDL/ICDL Full Standard.
Sebbene tale dispensa sia stata rivista e corretta più di una volta, nondimeno essa potrebbe contenere
ugualmente degli errori concettuali e/o delle sviste grammaticali. In caso di apparenti discrepanze o
contraddizioni con medesimi argomenti trattati nei libri di testo, si suggerisce di seguire quanto stabilito da
questi ultimi.
Questa dispensa è stata aggiornata nell’Aprile 2022, con l’integrazione – alle pagine 85 e seguenti – di
un’appendice denominata “CyberSec Awareness” (riguardante le nozioni fondamentali in tema di
consapevolezza e sicurezza informatica e di phishing). Questa sezione del documento – che prende spunto
dai video erogati dalla SAC (the Security Awareness Company) non rientra nel programma di esame, ma è
stata aggiunta con la finalità di approfondire gli argomentati trattati nel corso del semestre in caso di eventuali
dubbi.
2
2^ Lezione (10/09/2020) | Capitolo 1: Tecnologia e diritto
Per informatica giuridica si intende quella “disciplina scientifica che studia le modalità di applicazione delle
tecnologie informatiche e telematiche alla teoria e alla pratica del diritto” (Giovanni Ziccardi).
• Oggetto dell’informatica giuridica sono lo studio, l’ideazione e la realizzazione di applicativi o servizi

informatici di interesse o a contenuto giuridico (gestionali; banche date giuridiche; ecc.) à c.d.
informatica giudica in senso stretto.
• D’altra parte, di notevole importanza godono anche lo studio dei problemi giuridici connessi alle
tecnologie informatiche (contratti informatici; firma digitale; tutela del software; reati informatici; ecc.) à
c.d. diritto dell’informatica.
Informatica giuridica in senso stretto e diritto dell’informatica concorrono a formare la c.d. informatica
giuridica in senso lato.
Evoluzione tecnologica e informatica
Anni 50-60: giurimetria (uso dell’informatica per la soluzione scientifica dei problemi giuridici à Lee
Loevinger). La giurimetria enucleò tre ambiti in cui era possibile pensare a uno studio della tecnologia in
chiave di favorire il diritto:
• Ambito logico-decisionale: studio di come le norme vengono formulate per cercare di migliorare la loro
formulazione;
• Ambito statistico-previsionale: particolarmente importante nei sistemi di common law. Si trattava di

cercare di prevedere il risultato di una determinata causa (quindi, la sentenza di un giudice) basandosi
sui precedenti. Dunque, da questo punto di vista si può arrivare a risultati ottimi in ambito previsionale;
• Ambito documentario-informativo: studio di come la tecnologia potesse aiutare a organizzare e catalogare

i documenti giuridici in modo da renderli più facilmente accessibili in qualunque momento. Questo ambito
ebbe grande sviluppo in Europa à in Italia si sviluppò la c.d. giuscibernetica (ambiti modellistico e
documentario) à informatica giuridica.
Anni 80-90: sviluppo delle memorie di massa portatili (floppy disk, CD e chiavette) e nascita del World
Wide Web à telematica giuridica
Anni 2000 a oggi: sviluppo della Rete, tecnologie connesse (cloud computing), dispositivi mobili, Intelligenza
Artificiale, Internet of Things, ecc.
Informatica giuridica documentale
L’informatica giuridica documentale studia la classificazione, l’organizzazione, l’immagazzinamento e il

reperimento attraverso strumenti elettronici dei documenti di maggiore interesse per il giurista, ovvero:
• Normativa;
• Giurisprudenza;
• Dottrina;
• Bibliografia.
3
Informatica giuridica gestionale
L’informatica giuridica gestionale si occupa delle applicazioni e dei servizi a supporto dell’automazione e
del funzionamento degli studi legali e degli uffici giudiziari à è quel settore dell’informatica giuridica che si
occupa dell’elaborazione, della realizzazione di programmi, software di applicazioni per la gestione dello
studio, per la fatturazione elettronica, per redattori di testi, ecc.
Cloud computing
Per cloud computing si intende un insieme di tecnologie che consentono l’accesso online a risorse
virtualizzate e condivise, messe a disposizione dell’utente sotto forma di servizi.
L’utilizzo delle tecnologie cloud ha una serie di vantaggi (scalabilità, sicurezza), ma crea anche una serie di
potenziali problemi e aspetti critici (ad esempio, non si sa dove i dati siano “immagazzinati”: non sempre è
chiaro dove le risorse siano contenute). Per questi motivi, nel 2021 il Garante della Privacy ha pubblicato un
vademecum per l’utilizzo del cloud.
Fatturazione elettronica
Originariamente, la fatturazione elettronica veniva utilizzata per i pagamenti della P. A.; tuttavia, è divenuta
obbligatoria a partire dal gennaio 2019.
La fatturazione elettronica garantisce maggiore rapidità ed efficienza al processo di contabilizzazione,

permettendo risparmi di tempo e una riduzione del rischio di errori, oltre a facilitare il contrasto all’evasione
fiscale e la repressione di alcuni reati. Persiste, tuttavia, il rischio (sempre insito in un trasferimento di flussi
elettronici di dati) di intercettazioni o di essere soggetti ad attività di hackeraggio o di phishing.
Siti web e social network
La presenza degli avvocati in Rete (oggi data per scontata, ma che fino a pochi anni fa non lo era affatto: agli
avvocati, infatti, era vietato aprire siti web in quanto a loro era preclusa ogni sorta di attività pubblicitaria) deve
avvenire nel rispetto:
• Della legge (Legge professionale forense, normativa privacy, codice del consumo, normativa sul
commercio elettronico, ecc.);
• Delle norme deontologiche (probità, dignità, decoro, correttezza, riservatezza, ecc.) à la deontologia è
lo studio dei comportamenti eticamente e professionalmente accettabili da parte di una determinata
categoria di persone.
Internet e pubblicità degli avvocati
Se prima era vietato agli avvocati il poter farsi pubblicità, oggigiorno (a seguito di un contenzioso tra il
Consiglio Nazionale Forense e l’AGCOM) l’avvocato può dare informazioni su attività professionale,
organizzazione dello studio, specializzazioni e titoli posseduti, con qualsiasi mezzo, purché:
• Nel rispetto di verità, correttezza e trasparenza, senza violare la riservatezza e il segreto

professionale;
• Evitando pubblicità comparative, equivoche, ingannevoli, denigratorie o suggestive;
• Senza indicare il nome di clienti (ancorché essi siano consenzienti);
4
• Rispettando i principi di dignità e decoro della professione.
Esempi:
✓ Divieto di pubblicare sul sito web foto sconvenienti (sentenza CNF 10 dicembre 2007, n. 211);
✓ Divieto di pubblicità comparativa o «autocelebrativa» (sentenza CNF 19 dicembre 2014, n. 194);
✓ Divieto di accaparramento di clientela con l’offerta di prestazioni gratuite (sentenza CNF 23 aprile 2019, n.
23).
Informatica giuridica giudiziaria. Processo civile telematico
L’informatica giuridica giudiziaria studia l’ideazione, la realizzazione e l’utilizzo di applicazioni informatiche

dirette ad automatizzare l’organizzazione del lavoro di un ufficio giudiziario à processo telematico.
Il processo civile telematico (PCT) è un processo interamente telematico basato sul collegamento in rete
di studi professionali, cancellerie e uffici giudiziari (l’idea è che questi soggetti possano interagire tra di loro
in rete). Tale processo richiede un’infrastruttura hardware e software che permetta la gestione informatica di
registri e fascicoli e lo scambio telematico di dati e documenti informatici firmati digitalmente, tra soggetti
abilitati. Il tutto, ovviamente, deve avvenire in un ambiente protetto e con garanzia dell’assoluta segretezza
dei dati contenuti.
Alcuni degli obiettivi e dei benefici che il processo telematico si pone sono:
• Aumento della trasparenza e riduzione dei tempi di un processo;
• Semplificazione delle procedure e definizione di tempi certi per le singole fasi;
• Abbattimento e qualificazione degli accessi agli uffici. Riduzione dei costi delle procedure;
• Diminuzione dell’impiego di carta e materiale di consumo;
• Miglioramento dell’organizzazione e aumento della qualità dei servizi.
Tra le varie statistiche disponibili sul PCT, si riportano le seguenti (aggiornate al 30/06/2020):
• Fino a 15.000.000 di accessi al giorno! (anche via app mobile);
• 1.193.430 soggetti abilitati (257.352 avvocati) e 2.749 Pubbliche Amministrazioni registrate;
• Negli ultimi 6 mesi: trasmesse via PEC 22.128.749 comunicazioni telematiche (in media 3.161.250 al
mese) con un risparmio stimabile in oltre 70 milioni di euro ed eseguiti 416.570 pagamenti telematici, per
oltre 49,3 milioni di euro.
N. B.: non è stato solamente il processo civile a venire automatizzato à il processo di telematizzazione ha
riguardato anche altri ambiti processuale. In particolare:
• Processo Amministrativo Telematico (PAT), in vigore dal 1° gennaio 2018;
• Processo Tributario Telematico (PTT), in vigore dal 1° luglio 2019;
• Processo Contabile Telematico, in fase avanzata di sperimentazione;
• Processo Penale Telematico, in fase di sperimentazione.
5
Privacy, sicurezza e app economy
Neutralità tecnologica: idea secondo cui la tecnologia, di per sé, non è né buona, né cattiva. Dipende, infatti,
dall’utilizzo che se ne fa.
Nella società dell’informazione, i dati personali hanno valore economico e sono spesso oggetto di scambio,
con conseguente rischio per la privacy e la sicurezza degli utenti. Con riferimento a quest’ultimo aspetto, i
tre più grandi scandali degli ultimi anni sono stati:
• Wikileaks: è un’organizzazione non-profit fondata da Julian Assange nel 2007 con l’intento di dare
trasparenza e rendere conoscibili file e documenti che fossero stati segretati dai vari governi. Nel 2010,
in questo sito venne pubblicato un video (“Collateral murder”) che mostrava i terribili effetti del
bombardamento di due elicotteri Apache sulla popolazione civile in Iraq: i soldati americani avevano
scambiato una videocamera di due operatori della Reuters per delle armi, decidendo quindi di
bombardarli. Attualmente, Assange si trova in stato di detenzione a Londra con una serie di accuse;
• Datagate: ebbe come protagonista Edward Snowden che, attraverso sue interviste, fece conoscere il
sistema di sorveglianza che per almeno un decennio (2001-2010) la NSA pose in essere su milioni di
utenti della rete di tutto il mondo mediante l’analisi di flussi elettronici, chat, e-mail, conversazioni
telefoniche che venivano fornite dai principali operatori (Google, Microsoft, ecc.) e in seguito analizzate
mediante un programma (c.d. PRISM);
• Cambridge Analitica: è il più recente degli scandali qui analizzati (risale al 2018) à milioni di profili social
di cittadini americani furono violati a partire dall’utilizzo di un’app (This Is Your Digital Life) realizzata a
Cambridge per finalità di studio scientifico. Chiunque avesse risposto a uno dei questionari scientifici
proposti aveva, automaticamente, accettato di condividere i dati dei propri profili social à a partire da
queste condivisioni, si arrivò a violare i profili dei cittadini statunitensi e a profilarli (al fine di utilizzare
queste informazioni per le imminenti campagne presidenziali: ciascun cittadino, infatti, riceveva dei
messaggi pubblicitari di marketing politico totalmente personalizzati, in modo da stimolare un determinato
orientamento politico).
La società in cui viviamo è retta dalla c.d. app economy: scambio tra i dati personali e l’utilizzo (soprattutto
gratuito) delle applicazioni à aumento dei rischi.
N. B.: The Silk Road era un sito non indicizzato che si trovava nel deep web. Nato per ragioni eticamente
accettabili (i.e., permettere a tutti di esprimersi liberamente in maniera anonima), ben presto tuttavia divenne
un “terreno” dal quale partivano le più svariate attività criminali, divenendo un grande centro di scambio per
prodotti e servizi proibiti (droga, traffico di armi, servizio di sicari a pagamento, ecc.). Tali circostanze hanno
portato, nel 2015, alla chiusura del sito e alla condanna all’ergastolo per il suo creatore, Ross Ulbricht (noto
anche con il nickname Dread Pirate Roberts).
Geolocalizzazione, profiling e pubblicità comportamentale
Uno degli aspetti importanti (molto utile, ma spesso anche fonte di problematiche e criticità) è il servizio di
geolocalizzazione à la geolocalizzazione è sfruttata da molte app per individuare la posizione di un
dispositivo nel mondo fisico.
Tuttavia, attraverso il tracciamento della nostra posizione si riesce ad avere una maggiore accuratezza di
profilazione rispetto alle nostre abitudini (specie a fini commerciali).
6
La maggior parte dei siti Web memorizza i comportamenti dei visitatori per scopi diversi, dal miglioramento
del servizio al marketing, con varie tecniche:
• Cookie: stringhe di testo memorizzate sul terminale dell’utente che tengono traccia delle sue azioni anche
per le visite successive. Le finalità sono differenti: finalità tecniche (aiutano la navigazione); finalità di
marketing (condivisione con terze parti che vengono a conoscenza dei comportamenti tenuti durante la
navigazione);
• Device fingerprint: insieme delle informazioni sulle caratteristiche di un dispositivo connesso al Web e
che ne permettono l’identificazione univoca. Anche in questo caso, le finalità possono essere utili (ad
esempio, in caso di truffa online).
Appare chiaro come la profilazione degli utenti attraverso questi strumenti sia sempre più accurata.
L’obiettivo principale della profilazione, ad ogni modo, resta sempre quello del marketing a fini commerciali.
Esistano a tal fine diverse tecniche:
• Behavioural advertising: tecnica che permette di sottoporre ad un utente determinati inserzioni o

messaggi pubblicitari a seconda dei suoi comportamenti;
• Programmatic advertising: tecnica che permette di modificare, in tempo reale, l’inserzione a seconda
del comportamento tenuto da chi sta navigando in quel preciso istante
App di tracciamento (contact tracing)
La geolocalizzazione implica la conoscenza (in ogni momento) della posizione di un determinato utente nel
mondo fisico. In alcuni Paesi (Cina, Corea), le app di tracciamento sono fondate sulla geolocalizzazione e,
dunque, sono molto invasive per la privacy; in altri Paesi (Europa), le app di tracciamento non si fondano sulla
geolocalizzazione (sistema GPS), ma sul sistema Bluetooth: questo permette di ottenere informazioni sui
contatti avvenuti tra utenti senza che sia necessario conoscerne le rispettive posizioni.
IoT e assistenti virtuali
Internet of Things (IoT): rete delle apparecchiature e dei dispositivi elettronici, diversi dai computer,
connessi a Internet e in grado di scambiare dati e informazioni con altri oggetti connessi (sistemi d’allarme,
sistemi di riscaldamento, ecc.).
Assistenti virtuali: software in grado d’interpretare il linguaggio comune e di rispondere agli utenti,
migliorando le proprie capacità con l’esperienza grazie all’uso di algoritmi d’intelligenza artificiale che
permettono loro di apprendere (mediante tecniche di machine learning) automaticamente e di migliorare le
loro reazione a seconda delle interazioni che hanno con gli esseri umani.
Per essere in grado di rispondere in ogni momento, gli assistenti virtuali (Siri, Google Home, Alexa, ecc.)
devono avere i microfoni sempre accesi à tema importante che ha creato molte polemiche e discussioni.
Intelligenza Artificiale (I. A.)
Con intelligenza artificiale si intende la capacità di un computer di svolgere funzioni e ragionamenti tipici
della mente umana, grazie a un connubio di hardware, software e algoritmi.
Sempre più spesso si fa uso di reti neurali (simulazione dei collegamenti delle sinapsi del cervello in modo
tale da permettere una potenza ancora maggiore della I. A.) e algoritmi complessi: ciò permette alla macchina
di ottenere «percezioni sensoriali» analoghe a quelle umane; inoltre, l’impiego di tecniche di machine learning
consente di migliorare le prestazioni attraverso l’esperienza.
7
Blockchain e criptovalute
Blockchain: registro digitale formato da una catena di dati criptati, suddivisi in blocchi collegati tra loro in
ordine cronologico, in modo da renderne impossibile la variazione e/o la manomissione. In particolare, una
Blockchain è condivisa all’interno di una comunità o su una rete, dunque eventuali variazioni sarebbero
notate; in aggiunta a ciò, è impossibile cambiare un blocco intermedio della catena poiché, quando si collega
al blocco successivo, tutto viene criptato nuovamente.
La Blockchain permette di garantire la genuinità e la non manomissione di una determinata sequenza o

informazione e, tra le altre cose, sta alla base del funzionamento delle criptovalùte.
Criptovalute (“monete virtuali”): sono dei mezzi di scambio utilizzati all’interno di un gruppo di consociati
(che ne riconoscono il valore) senza che tali mezzi di scambio abbiano alcun organo regolatore oppure corso
legale in qualche Stato. Il grande vantaggio dell’utilizzo di questi strumenti è quello di poter operare in
completo anonimato: tutte le transazioni vengono registrate in maniera anonima/criptata sulla Blockchain, in
modo tale che non sia possibile modificarle in alcun modo. In questa maniera, chi mina dei nuovi Bitcoin è
garantito sul fatto che non sono possibili variazioni rispetto a quanto effettivamente avvenuto con quella
determinata transazione.
Le criptovalute sono molto diffuse: basti pensare al già citato Bitcoin (esistente dal 2008 e avente un valore
molto oscillante, non avendo alcun tasso di cambio con altre valute a corso legale ed essendo prettamente
uno strumento speculativo) o all’Ethereum.
La Blockchain è altresì utilizzata per altri scopi: ad esempio, nell’industria alimentare si usa la Blockchain per
garantire la filiera (i.e., per garantire che tutti i passaggi di trasformazione di un determinato alimento che
vengono inizialmente dichiarati non siano successivamente modificati).
Smart contracts
I c.d. smart contracts sono dei programmi in grado di verificare autonomamente l’avverarsi o meno di
determinate condizioni concordate tra le parti e di eseguire o dare impulso automaticamente alle azioni
conseguenti.
Per funzionare, è chiaro che gli smart contracts debbano essere programmati bene, così come debbano
essere ben chiari, fin dall’inizio, quali siano le possibili variabili e come dovrà reagire il programma in caso
del verificarsi di una delle suddette variabili. Proprio per questo motivo, tali programmi funzionano
appoggiandosi sulla Blockchain in modo da garantire che ogni passaggio sia monitorato e non possa essere
modificato in seguito (quindi, per garantire che tutte le transazioni/operazioni avvengano senza possibili
modifiche successive).
8
Uno smart contract operante su una Blockchain ha alcune interessanti caratteristiche:
• Certezza dell’esecuzione di obbligazioni contrattuali visibili a tutti i partecipanti della rete e non solo alle
parti coinvolte;
• Trasparenza delle obbligazioni contrattuali e dei loro risultati e risvolti tali da essere preimpostati e quindi
“pre-compresi” da tutti i partecipanti della Blockchain;
• Immutabilità delle transazioni registrate e quindi l’impossibilità a modificare o annullare il contratto.
Realtà aumentata e realtà virtuale
Si suole distinguere tra:
• Augmented Reality: la rappresentazione alterata della nostra realtà in cui, alla normale realtà percepita
attraverso i sensi, vengono sovrapposte informazioni artificiali e virtuali (Google Glasses, Pokemon Go,
ecc.);
• Virtual Reality: un ambiente esclusivamente digitale che simula la realtà effettiva e la ricrea in un mondo
non tangibile (trasmesso ai nostri sensi mediante dispositivi interattivi: visore dei videogiochi), portando
in esso elementi del mondo reale.
Anche in questi casi, tuttavia, per il giurista le criticità non sono da sottovalutare: basti pensare agli aspetti di
tutela del diritto di proprietà intellettuale (riproduzione artificiale di aspetti della realtà quali marchi, loghi o
immagini coperte da copyright, ecc.) oppure alle possibili interazioni con gli altri utenti giocatori (episodi di
bullismo, molestie, ecc.).
9
3^ Lezione (14/09/2020) | Capitolo 2: L’era dell’informazione
Internet e overload informativo
Overload informativo: fenomeno per cui la grandissima quantità di informazioni reperibili in tempo reale
rischia di poter diventare uno strumento che rallenta la conoscenza anziché svilupparla à l’enorme quantità
di dati e informazioni disponibili in Rete in tempo reale rende difficile organizzarle, analizzarle, valutarne la
rilevanza e decidere sulla loro base (“Il trarre informazioni da Internet è come bere da un idrante” – Mitchell
Kapor). Oltretutto:
• Sempre di più la realtà di Internet è creata dagli utenti à contenuti generati dagli utenti (User
Generated Content) continuamente e al di fuori di ogni controllo;
• Presenza di grandi quantità dati e informazioni di cattiva qualità o addirittura creati con fini
manipolatori;
• Mancanza di strumenti che permettano di verificare in tempi rapidi la qualità e la veridicità di informazioni
e notizie;
• Assenza di organi di controllo in grado di limitare la circolazione di contenuti imprecisi, falsi o di cattiva
qualità.
Rischio principale: informazioni false (fake news), di scarsa qualità oppure non verificate (assenza di facts
checking).
Ricerca di informazioni su Internet
La ricerca di informazioni su Internet si articola in due fasi:
1. L’utilizzo di uno degli strumenti disponibili (Safari, Google, Microsoft Edge, Internet Explorer, Firefox,
ecc.) per trovare un numero ristretto di risultati rilevanti rispetto alla ricerca effettuata;
2. La valutazione dell’attendibilità delle informazioni trovate.
Valutare la qualità delle informazioni
Per valutare la qualità delle informazioni reperite sul Web e distinguere quelle attendibili da quelle false o
incomplete, bisognerebbe sempre risalire alla fonte originale; in mancanza di un link diretto o di indicazioni
precise, spesso la fonte può essere rintracciata partendo da altri siti o canali che hanno ripreso la notizia.
In mancanza della fonte primaria, occorre valutare l’attendibilità e l’autorevolezza degli autori o dei siti che
hanno pubblicato l’informazione, in relazione all’argomento in esame (ad esempio, se cerco qualche notizia
di calciomercato sarà verosimilmente più autorevole La Gazzetta dello Sport piuttosto che un rotocalco
scandalistico) à è opportuno utilizzare la fonte più autorevole a disposizione e il controllo sociale (ad
esempio, l’insieme delle recensioni che si trovano su un determinato sito o attività commerciale).
Funzionamento di un motore di ricerca
Il lavoro di un motore di ricerca può essere suddiviso in tre fasi separate:
1. Analisi del campo d’azione (mediante crawler): analisi di internet che avviene mediante tanti piccoli
software (detti crawler o spider) che girano continuamente sulla Rete a memorizzare in contenuto delle
pagine web che incontrano;
10
2. Indicizzazione e archiviazione delle informazioni: le pagine precedentemente memorizzate sono
quindi indicizzate (a seconda degli algoritmi del motore di ricerca) e archiviate (in modo tale da essere
recuperate durante la terza fase di ricerca e proposte agli utenti nella SERP);
3. Risposta alle query degli utenti (SERP): la SERP (Search Engine Results Page) è il risultato di un
algoritmo che ordina le pagine web indicizzate in base alla loro pertinenza rispetto alle esigenze e alle
richieste dell’utente, dal più pertinente al meno pertinente (c.d. page rank). I risultati sono arricchiti da
un breve testo estratto della pagina (snippet) e, come accennato, ciascun motore di ricerca utilizza un
algoritmo proprietario, tenuto segreto.
N. B.: un motore di ricerca è un grande database che contiene tutte le pagine web che sono state registrate
e indicizzate dai crawler fino a quel momento.
L’algoritmo di ricerca di Google
Ogni motore di ricerca utilizza un algoritmo proprietario per valutare la pertinenza delle pagine e restituire
una SERP adeguata.
L’algoritmo di ricerca di Google, che si chiama Hummingbird, è composto da vari algoritmi (ciascuno con
un compito ben preciso) che consentono al motore di ricerca di restituire risultati pertinenti rispetto ai termini
di ricerca inseriti e al contesto in cui viene effettuata la ricerca. Tra gli algoritmi che compongono
Hummingboard, PageRank e RankBrain sono tra quelli attualmente più importanti del determinare la
pertinenza dei risultati:
• PageRank: ha il compito di valutare l’autorevolezza e la pertinenza delle pagine web in base all’analisi dei
link che puntano quelle pagine (se una pagina è raggiunta da tanti tramite link, allora probabilmente sarà
una pagina affidabile, dunque viene messa più in alto nelle risposte del motore di ricerca);
• RankBrain: tentativo di simulazione dell’intelligenza umana che si basa sul machine learning per capire il
significato dei termini delle ricerche fatte dagli utenti e dare loro un contesto, aiutando quindi il motore di
ricerca a elaborare i risultati.
Contestualmente, Hummingbird utilizza altri algoritmi per:
• declassare i siti con molta pubblicità e spam (Panda, Penguin e PayDay);
• migliorare rilevanza e accuratezza dei risultati delle ricerche locali (Pigeon);
• aumentare la posizione delle pagine web mobile-friendly (Mobile Friendly);
• combattere le violazioni del copyright (Pirate);
• considerare fattori legati direttamente alle pagine (posizionamento e frequenza dei termini cercati, tag nel
codice HTML ecc.).
Gli algoritmi dei motori di ricerca considerano anche off the page factors (i.e., elementi che non hanno a
che vedere specificatamente con ciò che si trova all’interno del sito web ricercato. Esempio: la posizione
dell’utente, la lingua utilizzata per la ricerca, la cronologia delle ricerche, ecc.)
Per migliorare l’efficacia delle risposte, inoltre, i motori di ricerca sono sempre più indirizzati a cercare di
capire l’intenzione nascosta dietro le parole della domanda dell’utente (ricerca semantica: ricerca finalizzata
all’interpretazione del significato delle parole).
11
Search Engine Optimization (SEO)
Con il termine SEO (Search Engine Optimization) si intendono tutte le attività tecniche, analitiche e creative
finalizzate ad aumentare il volume di traffico «naturale» che un sito web riceve dai motori di ricerca.
L'ottimizzazione di un sito è funzionale al suo posizionamento nelle SERP, che a sua volta è funzionale alla
visibilità dei prodotti/servizi. Alcune delle tecniche di SEO utilizzate sono:
• Ottimizzazione delle parole chiave (in modo da intercettare e individuare le ricerche più frequenti degli
utenti);
• Monitoraggio e gestione del numero e della qualità dei link;
• Far leva sui social media;
• Ottimizzazione dei nomi delle immagini e dei file multimediali.
Esistono, però, anche altre tecniche per aumentare la rilevanza dei risultati di un sito web à SEA (Search
Engine Advertising): si occupa delle strategie relative ai risultati sponsorizzati e al posizionamento negli
strumenti a pagamento.
Più in generale, l’insieme delle strategie di marketing relative ai motori di ricerca (SEO + SEA) prende il nome
di SEM (Search Engine Marketing), a sua volta parte del Web Marketing
Deep web e dark web
Si calcola che il Surface Web (ovvero, il web indicizzato che noi tutti conosciamo) equivalga a meno del 10%
di Internet (taluni, addirittura, parlano del 4%): tutto il resto è Deep Web à essendo de-indicizzato, non è
raggiungibile attraverso i comuni motori di ricerca.
La parte più “nascosta” (detta Dark Web) è raggiungibile esclusivamente mediante l’utilizzo di strumenti
appositi (come il Tor, strumento che serve per criptare la navigazione in forma anonima. In origine nato come
strumento dedicato alla Difesa e in quanto tale sviluppato dagli Stati Uniti, oggigiorno è utilizzato
principalmente dai dissidenti che vogliono manifestare liberamente il proprio pensiero senza sottostare alla
censura di Stati autoritari e, purtroppo, anche dai trafficanti di armi e di droga, i quali vogliono così sfuggire
ad ogni sorta di monitoraggio).
12
4^ Lezione (21/09/2020) | Capitolo 3: La ricerca dell’informazione giuridica
Oggetto dell’informazione giuridica
Come si ricorderà, l’informatica giuridica documentale studia la catalogazione e il successivo recupero dei
documenti giuridici. Per documento giuridico si intende qualsiasi scritto che sia idoneo a rappresentare o
raffigurare un fatto per trasmettere la conoscenza a chi lo osserva.
La tradizionale ripartizione delle informazioni giuridiche risulta utile per classificare la relativa documentazione
in due aree principali:
• Normativa: la documentazione normativa riguarda la legislazione e le norme emanate da enti

istituzionali e autorità pubbliche. La loro pubblicazione avviene generalmente su gazzette, bollettini e altre
pubblicazioni ufficiali che ne determinano la validità.
Un atto normativo è identificato dai seguenti estremi:
a) Natura dell’atto (Legge, Decreto-Legge, Regolamento, ordinanza, ecc.)
b) Data dell’atto;
c) Numero progressivo di inserimento nella raccolta ufficiale;
d) Titolo.
Esempio: Legge 30 ottobre 2008, n. 169 «Conversione in legge, con modificazioni, del decreto-legge 1o
settembre 2008, n. 137, recante disposizioni urgenti in materia di istruzione e università» (pubblicata nella
Gazzetta Ufficiale n. 256 del 31 ottobre 2008).
• Giurisprudenza: la documentazione giurisprudenziale è costituita dagli atti e dai provvedimenti emanati

da corti e organi nazionali e internazionali. Esiste la giurisprudenza di merito (Tribunale, Tar) e di
legittimità (Corte di Cassazione, Consiglio di Stato). La pubblicazione può avvenire in forma integrale o
come massima (i.e., principio di diritto contenuto in una sentenza).
Un atto giurisprudenziale è identificato da:
a) Organo giurisprudenziale emanante;
b) Tipo di atto adottato (sentenza, decreto, ordinanza, ecc.);
c) Data dell’atto (a seconda delle banche dati, data di emissione oppure data di deposito delle
motivazioni);
d) Numero;
e) (Nome delle parti). In base alla recente normativa sulla privacy, da qualche anno tale estremo
dovrebbe essere secretato (perlomeno nelle banche dati accessibili pubblicamente).
Information retrieval
L’espressione «information retrieval» (traducibile come “recupero dell’informazione”) definisce le

operazioni e l’insieme delle tecniche utilizzate nella ricerca di informazioni, specie in formato elettronico. In
ambito giuridico, essa riveste un ruolo determinante dato l’immenso corpus di leggi, sentenze e documenti
correlati.
13
Il matematico inglese George Boole (1815-1864) è oggi globalmente noto per essere stato il creatore della
c.d. logica booleana à linguaggio logico-aritmetico che viene utilizzato per le ricerche nelle banche dati. Gli
operatori logici booleani, in sostanza, pongono un rapporto tra le parole-chiave di una determinata ricerca.
Gli operatori logici booleani sono tre:
• AND: pone un rapporto di compresenza necessaria tra le diverse parole-chiave utilizzate in una ricerca
Trova meno documenti rispetto all’operatore OR à l’operatore AND restringe il campo di ricerca;
• OR: pone un rapporto di alternatività tra le diverse parole-chiave che vengono inserite. Trova più
documenti rispetto all’operatore AND à l’operatore OR amplia il campo di ricerca;
• NOT: pone un rapporto di esclusione tra le diverse parole-chiave che vengono inserite à l’operatore
NOT restringe il campo di ricerca.
Un’altra tipologia di operatori sono i c.d. operatori di prossimità. Distinguiamo:
• ADJ: è l’operatore di adiacenza. Pone un rapporto di vicinanza tra le parole che si stanno cercando,
indipendentemente dal loro ordine;
• WITH: è l’operatore che pone un rapporto di contiguità tra le parole-chiave. Qui, a differenza del
precedente caso l’ordine conta: necessariamente una parola deve seguire l’altra;
• NEAR: è l’operatore che indica la presenza delle parole-chiave all’interno dello stesso paragrafo.
N. B.: mentre gli operatori booleani funzionano allo stesso modo in tutte le banche dati, gli operatori di
prossimità possono modificare il loro funzionamento a seconda della banca dati in cui si cerca.
Altro operatore logico è l’uso delle virgolette (“”): inserendo un insieme di parole all’interno delle virgolette,
il motore di ricerca trova i documenti che contengano quelle parole nel medesimo ordine in cui le abbiamo
scritte.
Le c.d. stop word sono quelle parole che, per il loro scarso contenuto semantico e per il fatto di essere
particolarmente diffuse in un determinato linguaggio, vengono considerate neutre dal motore di ricerca e,
pertanto, non vengono identificate (ad esempio, le congiunzioni o le preposizioni). Si ha, pertanto, l’effetto
opposto di quello che si otterrebbe utilizzando le virgolette.
In aggiunta a quanto detto, esistono anche alcuni caratteri che servono a meglio estendere la ricerca al fine
di evitare di perdere risultati potenzialmente interessanti: sono i c.d. caratteri jolly. I più diffusi sono:
• Caratteri di troncamento: “*” (che sostituisce un indefinito numero n di caratteri), “%” (vale lo stesso,
però con riguardo ad alcune banche dati, quali quella della Gazzetta Ufficiale);
• Caratteri di mascheramento: “?” (sostituisce un unico carattere). Può servire, ad esempio, quando si
vuole inserire nella ricerca la possibilità di trovare risultati sia al singolare che al plurale. Serve per dare
maggiore flessibilità alla nostra ricerca (evitando di perdere contenuti possibilmente utili).
14
Siti istituzionali
Sono i siti degli enti e organismi che producono e diffondono direttamente le informazioni di loro
competenza. Sono fonti primarie di informazione giuridica
Ci occuperemo in particolare dei siti:
• Parlamento italiano: permette di ritrovare l’insieme delle leggi nazionali. Il sito del Parlamento Italiano
(www.parlamento.it) rappresenta la fonte di informazione primaria sulle attività dell’istituzione
parlamentare.
È una delle fonti primarie per ricerche di tipo normativo: Leggi, Decreti-Legge, Decreti legislativi, Progetti
di legge approvati non promulgati o pubblicati (a partire dal 1996); dà inoltre accesso ai siti di Camera e
Senato, ma permette anche di accedere alla documentazione preparatoria.
Esempio di ricerca nel sito del Parlamento: «Trovare la Legge 27 dicembre 2006, n. 296 e riportarne i
dettagli». È possibile trovare risposta alle seguenti richieste di dettagli:
a) Titolo;
b) Estremi di pubblicazione;
c) Materia;
d) Data di entrata in vigore;
e) Testo dell’atto;
f) Iter (iniziativa governativa, classificazione TESEO, relatori, testi ed emendamenti, ecc.).
• Gazzetta Ufficiale della Repubblica Italiana: permette di ritrovare i documenti pubblicati in Gazzetta
Ufficiale. Il sito della GU (www.gazzettaufficiale.it) consente di consultare gratuitamente l’intero archivio
digitale della Gazzetta Ufficiale. Sono accessibili i testi completi (in formato testo o come immagine
dell’edizione cartacea) della Serie generale e delle cinque Serie speciali.
Il sito della Gazzetta Ufficiale è una delle fonti primarie per ricerche di tipo normativo che da accesso a:
§ tutti gli atti normativi e amministrativi emanati dalle amministrazioni centrali e periferiche dello Stato;
§ gli atti relativi a specifiche aree di interesse, raccolti nelle cinque Serie speciali.
Contenuti:
§ Serie generale à atti normativi e amministrativi emanati dalle Amministrazioni centrali e periferiche
dello Stato (Leggi e altri atti normativi; Atti degli organi Costituzionali; Decreti Presidenziali; Decreti,
delibere e ordinanze Ministeriali; Decreti e delibere di altre autorità; Circolari; Comunicati);
§ Serie speciali à distinguiamo:
1. Corte Costituzionale: sentenze e ordinanze della Corte Costituzionale;
2. Unione europea: regolamenti e direttive comunitarie;
3. Regioni: atti normativi e amministrativi emanati dalle singole Regioni;
4. Concorsi: bandi di concorso e relativi avvisi (graduatorie, nomine, ecc.);
5. Contratti Pubblici: procedimenti di gara della pubblica amministrazione.
15
Due possibili modi di ricerca:
1) Ricerca in archivio: consente di effettuare ricerche impostando diversi parametri per trovare
intere pubblicazioni o singoli atti (per estremi dell’atto ricercato oppure anche per parole-chiave);
2) Ricerca in elenco: consente di consultare l’elenco delle Gazzette Ufficiali per anno di
pubblicazione.
Esempi di ricerca nel sito della Gazzetta Ufficiale:
1. «Trovare la Legge n. 296, relativa alla formazione del bilancio annuale»;
2. «Trovare l’Ordinanza Presidenziale pubblicata nella Serie Generale della Gazzetta Ufficiale n. 14 del
19 gennaio 2010»
• Normattiva: permette di rendere accessibile a chiunque il corpus iuris italiano. Il sito Normattiva
(www.normattiva.it) contiene gli atti normativi pubblicati in Gazzetta Ufficiale dal 1946 ad oggi. Tale sito,
di conseguenza, è una delle fonti primarie per ricerche di tipo normativo.
Gli atti sono presentati nella versione «multivigente» del loro testo, ovvero quello pubblicato
originariamente in Gazzetta Ufficiale, quello vigente (e quindi effettivamente applicabile) alla data di
consultazione della banca dati, e quello vigente a qualunque data pregressa indicata dall'utente
Esempio di ricerca nel sito Normattiva: «Trovare la Legge n. 296, relativa alla formazione del bilancio
annuale, in vigore al 31 luglio 2006».
16
5^ Lezione (28/07/2020) | Capitolo 4: Gestione di documenti informatici
Elaborazione avanzata dei documenti in Word:
¨ Stili;
¨ Modelli;
¨ Gestione di tabelle;
¨ Opzioni di distribuzione del testo;
¨ Intestazione e piè di pagina;
¨ Caselle di testo;
¨ Note a piè di pagina;
¨ Testo in colonne;
¨ Strumenti di revisione;
¨ Protezione dei documenti;
Stili
Consentono di applicare le stesse caratteristiche grafiche e di impaginazione a elementi di testo che svolgono
la stessa funzione (per esempio: titoli, sottotitoli, note ecc.). Risultano molto utili nella creazione di documenti
con una struttura di titoli numerati particolarmente articolata.
N. B.: l’applicazione del medesimo stile a ciascun titolo dello stesso livello consente la creazione immediata
di indici e sommari.
Modelli
Permettono di definire configurazioni personalizzate per un documento, che possono essere riutilizzate a
piacimento per creare documenti simili. Gli elementi personalizzati contenuti nei modelli possono riguardare
stili, formattazioni, presenza di testo, impostazione della pagina ecc.
È possibile:
• Utilizzare un modello esistente come base per un nuovo documento: 1) Selezionare il comando Nuovo
nella scheda File à 2) Scegliere il modello tra quelli disponibili à 3) Personalizzare il documento creato
dal modello.
• Creare un nuovo modello personalizzato. Per creare un nuovo modello: 1) Aprire un documento vuoto
o uno esistente, oppure un modello esistente à 2) Apportare le modifiche desiderate al
documento/modello (impostazioni di pagina, formati, presenza di testo e immagini, ecc.) à 3) Scegliere
il comando Salva con nome, tipo file Modello di Word (*.dotx)
• Scaricare nuovi modelli dal Web
17
Gestione di tabelle
È possibile effettuare varie tipologie di operazioni sulle tabelle:
• Creazione di una tabella;
• Dimensionamento delle colonne;
• Aggiunta di righe o colonne;
• Eliminazione di righe o colonne;
• Eliminazione della tabella;
• Controllo della divisione delle righe.
Opzioni di distribuzione del testo
Si tratta di opzioni di formattazione del paragrafo, che consentono di controllare la distribuzione del testo
tra le pagine del documento.
Intestazione e piè di pagina
Queste due funzionalità consentono di inserire elementi che si ripetono su ciascuna pagina del documento
(oppure solo su quelle pari, o solo su quelle dispari, o su tutte tranne la prima, o in una certa sezione). Possono
contenere campi come il numero di pagina, la data di creazione del documento, il percorso, ecc.
Caselle di testo
Per inserire del testo al di fuori dei margini del documento, o in posizioni particolari, può essere utile creare
una casella di testo.
Strumenti di revisione
Gli strumenti di revisione si trovano sulla scheda “Revisione” della barra multifunzione e comprendono:
• Strumenti di Correzione linguistica;
• Strumenti di Redazione collaborativa: revisioni e commenti. Permettono di:
§ Rivedere un documento evidenziando le modifiche prima di renderle definitive;
§ Aggiungere commenti a margine del testo;
§ Partecipare in maniera collaborativa alla revisione di un documento;
§ Confrontare versioni diverse di un documento.
18
Altri formati di file
• I file creati con Microsoft Word fino alla versione 2003 erano in formato .doc
• Dalle versioni successive, Microsoft Word genera file in un formato basato sul linguaggio XML, con
estensione .docx
• Esistono altri formati di documento prodotti da applicativi diversi (per esempio OpenOffice.org Writer con
il formato .odt)
N. B.: per l’utente possono sorgere problemi di compatibilità tra i diversi formati.
Formato PDF
Formato sviluppato per garantire la piena rispondenza del documento mostrato a video rispetto all’originale,
indipendentemente dal sistema operativo e dalla versione di software installato. Un documento in formato
.pdf viene visualizzato in maniera simile a un’immagine, con limitate possibilità di interazione e di modifica da
parte dell’utente.
In particolare:
1. Per salvare un documento in formato PDF, è bene sapere che Word consente (al pari degli altri applicativi
di Microsoft Office) il salvataggio dei documenti in formato PDF;
2. Per leggere un documento PDF, è sufficiente installare un reader gratuito (come Adobe Reader, assai
diffuso e facilmente reperibile in Rete);
3. Per modificare un documento PDF (seppur con possibilità limitate rispetto a un elaboratore di testi), è
necessario un editor apposito come Adobe Acrobat Pro à con Acrobat Pro è possibile modificare il
contenuto e la struttura di un documento in formato PDF. Acrobat Pro dispone anche di un sofisticato
sistema di protezione dei file (per la protezione dei documenti PDF).
N. B.: la diffusione di e-book, spesso disponibili anche in formato PDF, ha posto l’accento sulla gestione dei
diritti digitali; per siffatta ragione, i file PDF possono essere protetti dagli editori mediante sistemi di DRM
(Digital Rights Management).
Metadati
Si tratta di dati, spesso non direttamente visibili o accessibili all’utente, che arricchiscono la descrizione
di un documento e ne facilitano l’archiviazione, la ricerca e la catalogazione.
Diversi metadati possono essere associati a un documento (come per esempio: autore, parole chiave,
commenti, ecc.). Per tali ragioni, i metadati possono rappresentare al contempo tanto un’opportunità quanto
un rischio.
In particolare, è bene sapere che:
• Per visualizzare i metadati associati al documento aperto, bisogna selezionare File à Informazioni;
• Per controllare (ed eventualmente eliminare) i metadati associati a un documento, è necessario

selezionare File à Informazioni à Controlla documento;
• A questo punto, la finestra di dialogo segnala gli elementi trovati nel documento: utilizzare il comando
“Rimuovi tutto” per pulire il documento.
19
Il linguaggio XML
L’XML (Extensible Markup Language) è un linguaggio che si basa sull’uso di tag: in un documento creato
in linguaggio XML, ciascuna porzione di testo racchiusa tra <NomeTAG> e </NomeTAG> è un elemento di
informazione la cui natura è definita dal nome del tag.
N. B.: la gestione dei metadati nei documenti di Word creati in formato .docx si basa sui tag XML.
20
6^ Lezione (05/10/2020) | Capitolo 5: E-government e identità digitale
E-government (Amministrazione Digitale)
E-government (sovente abbreviato in E-gov): è l’utilizzo delle tecnologie ICT nella gestione dei processi
amministrativi, sia interni ai singoli organi sia nei rapporti con gli utenti. Gli obiettivi dell’E-gov sono quelli di:
• rendere più efficiente, efficace e trasparente l’azione della P.A.;
• diminuire i costi;
• migliorando i servizi erogati a cittadini e imprese (nuovi servizi e nuove modalità di fruizione).
Nel 1993, è stata creata in Italia l’Autorità per l’Informatica nella Pubblica Amministrazione (A.I.P.A.),
divenendo nel 2012, dopo una serie di cambi di denominazione, AgID (Agenzia per l’Italia Digitale).
Agenzia per l’Italia Digitale (AgID)
L’AgID promuove l’innovazione digitale e i processi di E-gov, in linea con l’Agenda Digitale:
• diffusione, all’interno della popolazione, delle tecnologie ICT con l’obiettivo di ridurre il divario digitale
(riduzione del digital divide), ovvero lo squilibrio tra alcune fasce della popolazione (che hanno accesso
agli strumenti digitali e li sanno utilizzare) e altre fasce (che, viceversa, per diverse ragioni non hanno
accesso ad essi, oppure non sanno utilizzarli);
• interoperabilità dei sistemi informativi pubblici (SPT);
• coordinamento delle iniziative strategiche per la digitalizzazione dei servizi pubblici per cittadini e
imprese;
• vigilanza sulla qualità e fruibilità dei servizi online;
• razionalizzazione della spesa informatica (consulenza alla P.A.);
• valorizzazione del patrimonio informativo pubblico e gestione di registri ed elenchi pubblici (elenco
gestori PEC, IPA, banche dati d’interesse nazionale).
Sistema Pubblico di Connettività (SPC)
L’interoperabilità dei sistemi informativi pubblici è garantita dal Sistema Pubblico di Connettività
(SPC). Tra il 1995 e il 2005 noto come Rete Unitaria della Pubblica Amministrazione (RUPA), è
composto da un insieme di infrastrutture tecnologiche, fisiche, software e regole tecniche per lo
sviluppo, la condivisione, l’integrazione e la diffusione del patrimonio informativo della P.A.
Gli obiettivi del Sistema Pubblico di Connettività sono:
• Fornire servizi di connettività condivisi dalle P.A.;
• Garantire l’interazione di P.A. centrale e locale con tutti i soggetti connessi in rete, migliorando la fruibilità
dei servizi;
• Garantire lo sviluppo (e il costante aggiornamento) dei sistemi informatici nell’ambito del SPC;
• Realizzare servizi integrati, evitando duplicazioni d’informazioni e controlli;

21
• Garantire l’interoperabilità con la Rete Internazionale delle Pubbliche Amministrazioni.
L’Agenda Digitale
Il processo di digitalizzazione è composto da una serie di tanti interventi diversi, quali il Digital Agenda for
Europe à programma sviluppato nel 2015 dall’Unione Europea con l’obiettivo di raggiungere la creazione
del c.d. digital single market (i.e., un mercato unico europeo digitale).
Altrettanto importante è il Shaping Europe’s Digital Future (“Plasmare il futuro digitale europeo), ovvero il
documento quadro, presentato nel febbraio 2020 dalla Commissione Europea, in cui si gettano le basi e si
danno i capisaldi dell’azione della Commissione Europea nell’ambito di crescita digitale.
Per seguire le linee di tendenza dettate dall’Unione Europea, fin dal 2012 è stata creata nel Bel Paese la c.d.
Agenda Digitale: insieme di interventi effettuati in diversi settori (servizi innovativi per i cittadini; giustizia
digitale; istruzione digitale; moneta e fatturazione elettronica; amministrazione digitale; banda larga e
ultralarga; identità digitale) che avrebbero dovuto portare verso la digitalizzazione della nostra società.
Codice dell’Amministrazione Digitale
La cornice all’interno della quale si sviluppa il procedimento di digitalizzazione della Pubblica Amministrazione
in Italia è costituita dal c.d. Codice dell’Amministrazione Digitale (anche noto come CAD): D. Lgs. n.82 del
7 marzo 2005 (e successive modificazioni).
È un insieme organico di norme indirizzate a promuovere e rendere effettivo il processo di e-

government ed è soggetto a continua evoluzione, di pari passo con la tecnologia (la riforma più recente
risale al 2016: Mini-riforma 2016/2017, resa necessaria per l’introduzione del Regolamento e-IDAS).
N. B.: il recente D. L. n. 76 del 16 luglio 2020 convertito con modificazioni dalla L. n. 120/2020 (c.d. Decreto
Semplificazioni) ha introdotto e modificato alcune norme all’interno del CAD.
Quali sono i principi e gli obiettivi del CAD?
I principi del Codice dell’Amministrazione Digitale sono:
• Diritto a identità e domicilio digitale;
• Diritto all’uso delle tecnologie verso P.A. e gestori di servizi pubblici e diritto di accesso telematico à
digital first;
• Diritto di effettuare pagamenti online;
• Diritto a servizi online semplici e integrati:
Gli obiettivi del Codice dell’Amministrazione Digitale sono:
• Riduzione del divario digitale;
• Semplificazione esercizio dei diritti civili e politici;
• Digitalizzazione P.A. e semplificazione procedure;
• Aumento qualità dei servizi e soddisfazione utenti;
• Valorizzazione del patrimonio informatico pubblico.
22
Regolamento e-IDAS
Regolamento e-IDAS: Regolamento (UE) n. 910/2014 del 23 luglio 2014 (quindi, direttamente applicabile in
tutti i Paesi membri) in materia d’identificazione elettronica e servizi fiduciari per le transazioni elettroniche
nel mercato interno. Sostanzialmente, è una cornice normativa uniforme su determinati argomenti:
• Identificazione elettronica;
• Servizi fiduciari (i.e., servizi garantiti dalla presenza di soggetti terzi che fanno da certificatori);
• Firma e sigillo elettronico;
• Documento elettronico;
• Validazione temporale.
Obiettivo: rendere omogenea la normativa su questi argomenti al fine di permettere la creazione del
sopracitato digital single market.
E-democracy e e-voting
Differenza tra:
• E-democracy: utilizzo delle tecnologie ICT da parte dei cittadini per partecipare alle attività e alle scelte
delle istituzioni democratiche a qualsiasi livello;
• E-voting (“voto elettronico” tramite qualunque strumento elettronico): insieme dei metodi che
permettono di esprimere elettronicamente il proprio voto, anche attraverso la Rete (I-voting à Internet
voting, “voto online effettuato via internet”) e l’insieme delle modalità di conteggio dei voti.
Open data
Un tema strettamente legato a quello della democrazia digitale è quello degli open data: sono dati in formato
aperto à dati che vengono resi pubblici, in maniera da permettere l’accesso a chiunque nel rispetto delle
regole. Il dato deve essere reso pubblico in maniera gratuita, oltre che documentato esaustivamente e neutro
rispetto agli strumenti tecnologici (i.e., deve essere fruibile in formato elettronico su qualunque piattaforma)
necessari per la fruizione dei dati stessi.
Gli open data sono dei dati aperti, vale a dire:
• disponibili secondo i termini di una licenza che ne permetta l’utilizzo da parte di chiunque, anche per
finalità commerciali, in formato disaggregato;
• accessibili in formati aperti mediante ICT, comprese le reti telematiche, adatti all’uso automatico da parte
di programmi per elaboratori e provvisti dei relativi metadati;
• disponibili mediante ICT gratis o ai costi marginali per riproduzione e divulgazione.
Il tema di fondo degli open data è il seguente: la condivisione dei dati/informazioni permette una crescita del
bene comune (migliore risposta ai bisogni della collettività).
Carta degli Open Data (adottata al vertice G8 giugno 2013): documento fondamentale al riguardo.
23
Open government data
Gli open data traggono le loro radici dal concetto di open government à l’amministrazione pubblica deve
essere trasparente, aperta: principio di disponibilità dei dati pubblici:
Il Codice di Amministrazione Digitale definisce gli open data e stabilisce il passaggio a un sistema di «open
government data» di default: salvo ragioni particolari (di pubblica sicurezza o altri motivi) che impediscono
di rendere pubblico un determinato dato, tutti i dati raccolti dalla P.A. devono essere liberamente accessibili.
Per tali ragioni, i dati aperti della P.A. sono disponibili in quantità sempre più crescente sui relativi portali
(dati.comune.milano.it; European Data Portal; ecc.).
Smart city e smart communities
La città intelligente (dall'inglese smart city) è un insieme di strategie di pianificazione urbanistica tese
all'ottimizzazione e all'innovazione dei servizi pubblici così da mettere in relazione le infrastrutture materiali
delle città «con il capitale umano, intellettuale e sociale di chi le abita» grazie all'impiego diffuso delle nuove
tecnologie della comunicazione, della mobilità, dell'ambiente e dell'efficienza energetica, al fine di migliorare
la qualità della vita e soddisfare le esigenze di cittadini, imprese e istituzioni.
Nuovi modelli di collettività caratterizzati da:
• Uso efficace e penetrante degli strumenti tecnologici, anche integrati nel tessuto urbano (app e IoT)
e criteri di pianificazione urbanistica innovativi;
• Interconnessione in rete e condivisione di dati, dispositivi e infrastrutture;
• Cooperazione tra cittadini, imprese e P.A. nell’individuazione dei bisogni emergenti e nella valutazione
delle soluzioni;
• Gestione attenta di risorse umane e ambientali (sviluppo sostenibile).
24
Domicilio digitale
Domicilio digitale: luogo virtuale dove un soggetto può ricevere e da dove può inviare comunicazioni
legalmente vincolanti. Consiste in un indirizzo di posta elettronica certificata (indirizzo PEC) o in un
servizio elettronico di recapito certificato qualificato.
Esistono degli elenchi pubblici ove sono contenuti gli indirizzi PEC. In particolare, si ricordano:
• Indice nazionale domicili digitali di imprese e professionisti (INIPEC);
• Indice domicili digitali di PP.AA. e gestori di pubblici servizi (INDICEPA o IPA);
• Anagrafe Nazionale Popolazione Residente (ANPR).
Identità digitale
Identità digitale: rappresentazione informatica che permette di verificare la corrispondenza tra un utente e i
suoi attributi identificativi (verificata attraverso dati raccolti e registrati in forma digitale). Attualmente,
l’identificazione digitale è possibile attraverso i tre seguenti canali:
• Sistema Pubblico di Identità Digitale (SPID): sistema che permette agli utenti un accesso sicuro e
protetto ai servizi digitali di P.A. e privati aderenti con un’identità digitale unica, attribuita da Gestori di
Identità Digitale
• accreditati da AgID
• Carta d’identità elettronica;
• Carta nazionale dei servizi.
N. B.: sia lo SPID che la carta di identità elettronica sono stati validati anche su base europea (quindi, possono
essere utilizzati per una identificazione transnazionale).
Posta Elettronica Certificata (PEC)
PEC: evoluzione della posta elettronica tradizionale, in quanto garantisce un livello di sicurezza maggiore
sull’integrità del messaggio e sull’esito delle comunicazioni à esiste un soggetto certificatore (gestore della
PEC) che trasmette una serie di avvisi quali: avvenuta spedizione del messaggio; avvenuta ricezione del
messaggio; avvenuto scaricamento del messaggio sul server; ecc.
25
Una PEC:
• Consente l’invio di documenti informatici con pieno valore legale;
• Certifica data e ora d’invio, trasmissione e consegna (o mancata consegna) e integrità del messaggio in
maniera opponibile ai terzi;
• Garantisce la provenienza del messaggio e l’identità del destinatario;
• Può certificare la genuinità e la riservatezza del contenuto del messaggio, se usata in combinazione
con un certificato digitale.
N. B.: il CAD asserisce che l’invio di una PEC ha un effetto legale pari a quello di una raccomandata A.R.
Servizio di recapito elettronico (Regolamento e-IDAS)
Bisogna distinguere fra:
• Servizio di recapito elettronico certificato: consente la trasmissione di dati per via elettronica, fornendo
prove relative al trattamento dei dati trasmessi, inclusi l’invio e la ricezione, e proteggendoli dal rischio di
perdita, furto, danni o modifiche non autorizzate à PEC;
• Servizio di recapito elettronico certificato qualificato: è erogato da prestatori di servizi fiduciari

qualificati e garantisce l’identificazione di mittente e destinatario e l’integrità dei dati, attestando data e
ora d’invio e ricezione e qualsiasi modifica à PEC-ID.
Documento informatico, documento analogico e documento elettronico
Differenza tra:
• Documento informatico: «il documento elettronico che contiene la rappresentazione informatica di atti,
fatti o dati giuridicamente rilevanti» (CAD art. 1 c. 1 p);
• Documento analogico: «la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti»
(CAD art. 1 c. 1 p-bis);
• Documento elettronico: «qualsiasi contenuto conservato in forma elettronica, in particolare testo o

registrazione sonora, visiva o audiovisiva» (Reg.e-IDAS art.3).
Principio di neutralità tecnologica: a un documento elettronico non sono negati gli effetti giuridici e
l’ammissibilità come prova per il solo motivo della sua forma elettronica.
N. B.: un documento informatico può avere valore probatorio à efficacia di forma scritta e valore probatorio
di scrittura privata se è firmato con:
a) firma elettronica «avanzata», «qualificata» o «digitale»;
b) firma elettronica «semplice» purché sia formato previa identificazione informatica dell’autore e nel
rispetto delle linee guida dell’AgID (garanzia di sicurezza, integrità, immodificabilità e riconducibilità
all’autore);
In caso contrario à il valore probatorio liberamente valutabile da parte del giudice.
26
Crittografia
La crittografia (“scrittura nascosta”) è il sistema utilizzato per trasmettere o conservare un messaggio

rendendone inaccessibile il contenuto a qualunque soggetto che non ne possegga la c.d. chiave di cifratura.
Il concetto di crittografia, come appare evidente, si oppone diametralmente al concento di crittoanalisi (i.e.,
procedimento legato alla decifrazione di messaggi cifrati).
In linea generale, esistono due tipologie diverse di crittografia:
1. Crittografia simmetrica (o a chiave privata): utilizza la stessa (ed unica) chiave per codificare e
decodificare il messaggio. L’utilizzo della stessa chiave sia per la codifica sia per la decifrazione permette
di garantire la sicurezza solo fintanto che la chiave è segreta;
2. Crittografia asimmetrica (o a chiave pubblica): utilizza una coppia di chiavi (diverse: una chiave
pubblica, da diffondere, e una chiave privata, in possesso unicamente del soggetto che ne è titolare) per
ciascun attore coinvolto nella comunicazione. Le due chiavi vengono generate attraverso un algoritmo
molto complesso, per cui è di fatto impossibile risale dalla chiave pubblica alla chiave privata. Nasce nel
1978 al MIT di Boston.
La crittografia ha radici storiche molto datate:
• Codice di Cesare: esempio di crittografia simmetrica. Il cifrario di Cesare prende il nome da Giulio
Cesare, che lo utilizzava per proteggere i suoi messaggi segreti. Grazie allo storico Svetonio sappiamo
che Cesare utilizzava in genere una chiave di 3 per il cifrario, come nel caso della corrispondenza militare
inviata alle truppe comandate da Quinto Tullio Cicerone.
Al tempo questo metodo di crittografia era sicuro perché gli avversari spesso non erano neanche in grado
di leggere un testo in chiaro, men che mai uno cifrato; inoltre non esistevano metodi di crittanalisi in grado
di rompere tale codice, per quanto banale. In particolare, Cesare utilizzava uno spostamento di 3 posizioni
(la chiave era dunque 3).
• Scitala: veniva utilizzata dagli Spartani. Prima di scrivere il messaggio, gli efori spartani preparavano una
striscia di pergamena lunga e stretta e la avvolgevano a spirale attorno ad una bacchetta, che era
esattamente uguale, come lunghezza e diametro, ad un'altra bacchetta che i magistrati avevano
precedentemente fornito al destinatario.
Dopo aver fatto aderire la pergamena alla bacchetta, facendo attenzione a non lasciare nessuno spazio
nel quale il legno fosse visibile e nello stesso tempo evitando di sovrapporre diversi lembi della pergamena
stessa, gli efori provvedevano a scrivere il messaggio. Quindi, gli efori srotolavano la striscia dalla
bacchetta e la inviavano al loro emissario tramite un messaggero. Se questi veniva intercettato durante il
suo viaggio, il messaggio sarebbe stato incomprensibile in quanto composto da lettere non collegabili tra
loro. Solo il destinatario, invece, avendo a disposizione una bacchetta identica a quella in mano agli efori,
poteva riavvolgere la pergamena attorno ad essa e ricostruire la posizione originaria delle lettere e capire
il contenuto del messaggio.
• Enigma: macchina elettromeccanica ideata per scopi commerciali ma diventata famosa perché venne
usata dall’esercito e dalla marina tedesca durante il regime nazista e la Seconda guerra mondiale con
l’obiettivo di cifrare le proprie comunicazioni radio e telegrafiche e decifrare quelle di interesse militare
dei paesi nemici.
I tedeschi erano convinti che l'Enigma fosse inattaccabile, ma questa fiducia era assai mal riposta. Già nei
primi anni '30 un gruppo di matematici polacchi guidato da Marian Rejewski era riuscito a ricostruire la
struttura dei rotori e a decrittarne i messaggi. E il servizio crittografico inglese al quale partecipava anche
il famoso matematico Alan Turing riuscì a sua volta a forzare l'Enigma sin dall'inizio della guerra,
sfruttando le debolezze intrinseche di questa macchina e alcune ingenuità dei cifratori tedeschi.
27
Funzionamento della crittografia asimmetrica:
Caratteristiche e limiti della crittografia asimmetrica:
• Garantisce riservatezza, autenticità e integrità della comunicazione;
• Ha un limite nella lunghezza delle chiavi, che comporta tempi assai più lunghi per la cifratura dei
messaggi rispetto a quelli richiesti dalle chiavi simmetriche.
Per questo motivo, oggi sono spesso utilizzati sistemi ibridi con una «chiave di sessione» (c.d. one-time
password) che permettono di ottenere gli stessi risultati della crittografia asimmetrica con procedure più
semplici.
Le firme elettroniche
Firme elettroniche: dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati
elettronici e utilizzati dal firmatario per firmare (art. 3 n. 10 Reg. e- IDAS). Il Regolamento e-IDAS ne indica tre
tipi:
• Firma elettronica (semplice):
§ Dati elettronici connessi ad altri dati;
§ Non può essere messa in relazione inscindibile con documento o autore (può essere apposta da un
terzo);
§ Documento con firma elettronica semplice ha valore di scrittura privata se formato previa
identificazione dell’autore e nel rispetto delle linee guida;
§ Non garantisce livelli di sicurezza particolarmente elevati;
§ Il Regolamento e-IDAS, tuttavia, vieta di negare effetti giuridici e ammissibilità in giudizio di una firma
elettronica semplicemente perché non soddisfa i requisiti di una firma qualificata.
Esempi: password, PIN.
28
• Firma elettronica avanzata à è una firma elettronica:
§ connessa unicamente al firmatario;
§ idonea a identificare il firmatario;
§ creata con mezzi sui quali il firmatario esercita un controllo esclusivo;
§ collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica;
Il documento firmato con firma avanzata ha valore di atto scritto, salvo che la legge richieda una firma
elettronica qualificata o digitale
Esempio: firma grafometrica.
• Firma elettronica qualificata: firma elettronica avanzata creata da un dispositivo per la creazione della
firma elettronica qualificata e basata su un certificato qualificato (il certificato di firma è un attestato
elettronico che collega i dati di convalida di una firma a una persona fisica e conferma il suo nome o
pseudonimo).
Nel caso di firma elettronica qualificata, il certificato qualificato è rilasciato da un prestatore di servizi
fiduciari qualificato, previa identificazione del richiedente, generazione del certificato e consegna protetta.
La firma elettronica qualificata ha lo stesso valore di una firma autografa.
Esempio: il dispositivo di firma sicuro è normalmente una smart card o un token USB.
• Firma digitale (aggiunta nel Codice di Amministrazione Digitale): particolare tipo di firma elettronica
avanzata basata su un certificato qualificato e su una coppia di chiavi crittografiche, pubblica e privata. In
particolare, la firma digitale:
§ Consente di verificare la provenienza e l'integrità di un documento informatico o di un insieme di

documenti informatici;
§ Appartiene alla categoria delle firme elettroniche qualificate.
Un documento firmato con firma qualificata o con firma digitale ha valore di scrittura privata
riconosciuta.
Firma remota, firma automatica e firma con SPID
Due procedure di apposizione della firma elettronica qualificata o digitale non citate dal CAD. Si è solito
distinguere tra:
• Firma remota: eseguita a distanza, con una chiave privata residente su un server remoto, che genera
una password OTP (one-time password), utilizzabile per un solo processo;
• Firma automatica (o massiva): permette la sottoscrizione di numerosi documenti in automatico, previa

autorizzazione ma senza necessità di un presidio continuo;
• Firma con SPID: firma remota apposta autenticandosi con SPID. È una novità del 2020.
29
Sigillo elettronico e validazione temporale elettronica
Sono strumenti di cui parla il Regolamento e-IDAS. Differenza tra:
• Sigillo elettronico: dati in forma elettronica, acclusi o connessi ad altri dati elettronici, per garantire
l’origine e l’integrità di questi ultimi. Analogo alla firma elettronica, ma utilizzabile dalle persone giuridiche;
• Validazione temporale elettronica: dati in forma elettronica che collegano altri dati elettronici a una
particolare ora e data, così da provare che questi ultimi esistevano in quel momento.
N. B.: se il sigillo elettronico e la validazione temporale elettronica soddisfano i requisiti dettati per le firme
elettroniche, possono essere avanzati o certificati à categoria complementare rispetto a quella delle firme
elettroniche.
30
7^ Lezione (12/10/2020) | Capitolo 6: Dati personali e vita online
La nascita del diritto alla riservatezza
Il diritto alla privacy è, per certi versi, un diritto abbastanza nuovo à nasce come riflessione alla fine del XIX
secolo, grazie alle riflessioni di due giovani avvocati di Boston (Samuel D. Warren e Louis D. Brandeis)
pubblicate nel saggio «The right to privacy» risalente al 1890:
«... and now the right to life has come to mean the right to enjoy life, the right to be let alone»
I tre aspetti fondamentali della privacy riconosciuti da Warren e Brandeis sono quelli che ancora oggi noi
riconosciamo, ovvero:
• Riservatezza di sfera privata e dati personali;
• Diritto all’oblio: diritto ad essere lasciati soli e ad essere dimenticati;
• Diritto di controllare la raccolta, la circolazione e l’utilizzo da parte di terzi delle proprie informazioni
personali.
Diritto alla privacy negli USA
Benché il saggio di cui sopra risalga al 1890, negli USA il diritto alla privacy è stato riconosciuto molto tardi:
fine Anni Sessanta. Infatti, la Corte Suprema in Griswold v. Connecticut, 1965 riconosce finalmente la tutela
dall’interferenza in scelte private nella sfera domestica.
Due anni dopo, la Corte si pronunciò su un altro caso molto interessante: Katz c. Stati Uniti, 1967 à tutela
della riservatezza di conversazioni private (fondata sul IV Emendamento della Costituzione Americana, avente
ad oggetto la protezione del domicilio privato). A tal proposito, la Corte Suprema fece uso della dissenting
opinion dello stesso Brandeis (divenuto frattanto giudice della Corte) in Olmstead v. United States (1928)
riguardante le intercettazioni telefoniche.
Una più recente sentenza, ovvero Riley c. California e Stati Uniti c. Wurie, 2014, è parimenti interessante
in quanto estende la tutela della privacy alla perquisizione di uno smartphone (che deve richiedere un
mandato).
Diritto alla privacy in Europa
In Europa, il diritto alla privacy nasce subito dopo la Seconda Guerra Mondiale à Dichiarazione universale
dei Diritti dell’Uomo (1948): «Nessun individuo può essere sottoposto ad interferenze arbitrarie nella sua
vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza».
Successivamente à Convenzione Europea per la salvaguardia dei Diritti dell’Uomo e delle libertà
fondamentali (CEDU, 1950): “Ogni persona ha diritto al rispetto di vita privata e familiare, domicilio e
corrispondenza. Le ingerenze dell’autorità pubblica nell’esercizio di tale diritto devono essere previste dalla
legge ed essere necessarie per la tutela di interessi pubblici”.
Altri provvedimenti degni di nota sono:
• Direttiva 95/46/CE (Anni Novanta):
§ Il trattamento dei dati deve avvenire nel rispetto di libertà e diritti fondamentali, incluso il diritto alla
vita privata;
§ Libera circolazione dei dati in Europa e tutela equivalente in tutti i Paesi membri.
31
• Carta di Nizza (dicembre 2000): diritto al rispetto della vita privata e familiare (CEDU) e alla protezione
dei dati personali, che devono essere trattati con lealtà, per finalità determinate e con il consenso
dell’interessato o un altro legittimo fondamento;
• Trattato di Lisbona (dicembre 2007), dal 1° dicembre 2009 ha introdotto il principio nel Trattato sul
funzionamento dell’Unione europea (TFUE).
Privacy in Europa e in Italia: la riforma del 2016
Provvedimenti al riguardo:
• Direttiva (UE) 2016/680: ha riguardato la standardizzazione, a livello europeo, del trattamento a fini
giudiziari e di polizia;
• Regolamento (UE) 2016/679 (GDPR): detta una disciplina uniforme per la protezione dei dati personali:
in quanto regolamento, è stato immediatamente direttamente applicabile in tutti i Paesi UE.
N. B.: con il D.Lgs. n. 101/2018 si è armonizzato il Codice della Privacy (D.Lgs. 30 giugno 2003, n. 196) con
la nuova normativa del GDPR à in Italia, la materia della privacy è retta da Codice della Privacy e dal GDPR.
GDPR: principi generali
La normativa europea sulla privacy si applica al trattamento di dati personali effettuato dovunque da soggetti
stabiliti in Europa e da chiunque su dati di persone che si trovino in Europa.
Alcune nozioni:
• Dato personale: qualsiasi informazione riguardante una persona fisica (non giuridica) determinata o
determinabile (l’interessato).
• Trattamento: qualsiasi operazione o complesso di operazioni avente per oggetto dei dati personali,
effettuata con o senza l’ausilio di strumenti automatizzati.
• Principio della necessità del trattamento: per essere lecito, un trattamento può essere eseguito
utilizzando dati personali soltanto se lo stesso obiettivo non può essere raggiunto utilizzando dati in forma
anonima.
I dati devono essere trattati in modo lecito, corretto e trasparente, nel rispetto dei principi di limitazione
delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione (i.e., i dati personali
dovrebbero essere conservati solo per il tempo strettamente necessario per il raggiungimento degli obiettivi
per cui sono stati raccolti), integrità e riservatezza.
Informativa
Prima di procedere al trattamento dei dati, il titolare deve fornire una informativa corretta all’interessato
(raccogliendo le informazioni necessarie rispetto al trattamento), precisando:
• Identità del titolare e dei responsabili del trattamento e della protezione dei dati;
• Scopi e base giuridica e natura obbligatoria o facoltativa del trattamento;
• Soggetti ai quali i dati possono essere comunicati e ambito di diffusione (es. trasferimento extra UE);
32
• Tempo di conservazione dei dati;
• Esistenza di eventuali processi decisionali automatizzati (es. profilazione) e logica utilizzata in tali
processi;
• Diritti dell’interessato, ovvero:
§ Diritto di accesso ai propri dati: diritto di richiedere al titolare del trattamento quali dati stia trattando;
§ Diritto di rettifica e integrazione dei dati inesatti o incompleti;
§ Diritto di cancellazione dei dati («diritto all’oblio») quando non vi siano più motivi validi per la loro
conservazione e in caso di revoca del consenso o trattamento illecito: i dati devono essere conservati
solo per il tempo strettamente necessario per il raggiungimento dell’obiettivo;
§ Diritto di limitazione del trattamento in caso di dati inesatti o trattamento illecito;
§ Diritto alla portabilità dei dati: diritto di richiedere al soggetto che sta trattando i nostri dati di renderli
disponibili in una forma trasferibile a un soggetto diverso qualora ne sorga la necessità (esempio:
cambio di gestore dei servizi cloud);
§ Diritto di revoca del consenso e opposizione al trattamento per motivi leciti e, in ogni caso, per
finalità di marketing.
Base giuridica del trattamento
Il trattamento è lecito se l’interessato ha espresso il consenso in modo:
1. libero: deve essere ritenuto libero un consenso fornito senza coercizioni à l'interessato deve essere in
grado di operare una scelta effettiva, senza subire intimidazioni o raggiri, né deve subire conseguenze
negative a seguito del mancato conferimento del consenso;
2. consapevole: occorre che l'interessato sia posto in condizioni di conoscere quali dati sono trattati, con
che modalità e finalità e i diritti che gli sono attribuiti dalla legge, cioè deve essere rispettato il principio di
trasparenza. Inoltre, l'interessato deve essere opportunamente informato sulle conseguenze del suo
consenso;
3. specifico: relativo alla finalità per la quale è eseguito quel trattamento (granularità del consenso). Qualora
il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ogni finalità.
In mancanza di consenso, se tale trattamento è necessario esso può comunque essere effettuato in
determinati casi, quali:
• Per eseguire un contratto di cui sia parte l’interessato (o misure precontrattuali da lui richieste);
• Per adempiere a un obbligo di legge;
• Per salvaguardare interessi vitali dell’interessato o di terzi (es. trattamento medico);
• Per eseguire un compito di interesse pubblico;
• Per perseguire un legittimo interesse del titolare o di terzi.
33
Il trattamento dei dati di minori
Il consenso dei minori è valido a partire dai 16 anni (14 anni in Italia e in altri Paesi UE). Per i minori di 16
anni, è necessario il consenso di chi esercita la potestà genitoriale.
Il titolare del trattamento deve adoperarsi per verificare la validità del consenso.
Sicurezza dei dati e responsabilità
Uno dei principi cardini su cui si fonda il GDPR è quello dell’Accountability (responsabilizzazione del titolare:
egli è tenuto a fare di tutto per garantire che il trattamento dei dati avvenga nel rispetto di quanto previsto
dalla legge).
Privacy by default e by design (valutazione del rischio): sin dall’inizio, quando si ipotizza di svolgere
un’attività che possa comportare il trattamento di dati personali, si deve verificare con attenzione quali
possono essere i profili di rischio e come essi vadano eventualmente affrontati.
Il GDPR, inoltre, prevede la possibilità di nominare il c.d. Responsabile della protezione dei dati (DPO):
figura consulenziale all’interno delle aziende che deve essere in grado di verificare che siano state adottate
le misure necessarie atte a garantire il rispetto della privacy.
Inoltre, sono previste pesanti e onerose sanzioni in caso di violazione delle norme sulla tutela dei dati personali
à Responsabilità civile e amministrativa (fino a € 20.000.000 o al 4% del fatturato mondiale di un’azienda).
Infine, si citano anche:
• Adozione di misure di sicurezza adeguate, per garantire integrità, confidenzialità e disponibilità dei
dati;
• Obbligo di notifica di eventuali violazioni (data breach).
Il Garante della Privacy
Il Garante della Privacy è quella figura che sovrintende al verificare il rispetto della normativa sulla privacy
à Autorità amministrativa indipendente (in Italia, composta da 4 membri nominati dal Parlamento) cui è
affidata la tutela dei diritti e delle libertà fondamentali nel trattamento dei dati personali.
Il Garante della Privacy fa parte del Comitato Europeo per la Protezione dei Dati (riunendosi
periodicamente con i Garanti di altri Paesi) e interviene per dettare linee guida o per sanzionare alcune
violazioni dei diritti. Ad esempio:
• Verifiche nei confronti di Google, Facebook e altri provider;
• Provvedimenti in tema di diritto all’oblio;
• Annullamento dell’accordo di «Safe Harbor» con gli USA: i dati personali non possono essere, in linea di
principio, trasferiti all’esterno dell’Unione Europea se non nei confronti di Paesi che garantiscano gli stessi
livelli di protezione garantiti dall’Unione Europea.
Nell'anno 2000 l'Unione Europea e gli Stati Uniti d'America hanno concluso un accordo sul libero
trasferimento, a fini commerciali, dei dati di cittadini europei verso gli Stati Uniti da parte delle
multinazionali UE.
34
Il 6 ottobre 2015 la Corte di giustizia dell'Unione Europea, tramite la sentenza Schrems, ha annullato
l'accordo à la Commissione europea e il governo USA definirono una nuova struttura nel 2016, lo Scudo
UE-USA per la privacy (c.d. Privacy Shield), una "decisione di adeguatezza" tuttavia ulteriormente
contestata dal Garante europeo della protezione dei dati in quanto "poco robusta", nonostante si
proponga di compensare la mancanza di diritti dei cittadini europei sulla protezione dei dati nella legge
per la privacy statunitense.
• Pubblicazione di linee guida.
La privacy nell’era «social»
Internet permette di condividere e diffondere in tempo reale (consapevolmente o meno) un’enorme quantità
di informazioni personali, proprie e di altri utenti à l’utilizzo sempre più crescente dei social fa si che i dati
personali siano ormai disseminati: è sempre più difficile riuscire a mantenere il controllo su di essi.
In particolare:
• Ognuno di noi ha un’ombra digitale: su ciascuno di noi, facendo una ricerca, è possibile riuscire a
scoprire online qualche informazione;
• Privacy e sicurezza: sta a noi adottare tutte le possibili misure in modo da limitare e circoscrivere la
nostra ombra digitale.
Alcuni dei possibili pericoli sono:
• Diffusione inconsapevole di informazioni (e conseguenti difficoltà a rimuovere le medesime

informazioni);
• Sottrazione e utilizzo di dati e immagini;
• Profile squatting: creazione di profili falsi su un sito di social networking a nome di una persona o di un
marchio noto;
• Cyber stalking: utilizzo di dispositivi informatici di comunicazione come internet o la posta elettronica
con la finalità di molestare una persona;
• Cyber esibizionismo;
• Cyber bullismo.
Esempio (1): Critiche al lavoro su Facebook. Londra, febbraio 2009. Una ragazza rivela su Facebook di
svolgere un lavoro noioso, venendo successivamente licenziata con effetto immediato. Di seguito il testo dei
post:
“first day at work. omg!! So dull!!”

“all i do is shred holepunch n scan paper!!! omg!” “im so totally bord!!!”
Esempio (2): Ladri e social media. Roma, ottobre 2009: arrestato ladro internauta, rintracciato grazie a
Facebook à durante un furto in un appartamento trova un PC acceso, si collega al suo profilo di Facebook
e chatta con gli amici.
Esempio (3): Poliziotto invia videomessaggio a Putin. Russia, novembre 2009: ufficiale di polizia critica Putin
su YouTube. Licenziato à un ufficiale di polizia critica Putin su YouTube. La protesta, in divisa: «Innocenti in
carcere e bassi salari». Immediatamente licenziato.
35
Esempio (4): Sexting e social network. Modena, novembre 2017: lo scambio di immagini su WhatsApp finisce
in Rete «Era solo un gioco». Le foto di 63 liceali nude in una chat di Whatsapp: «Ho paura, i miei non sanno
nulla».
Esempio (5): Tempi moderni... Barletta, aprile 2017: una chat su WhatsApp per pianificare la rapina 15 enne
fermato col complice 17enne.
Consigli su come comportarsi “online”
1. Riflettere bene prima di pubblicare i propri dati (o le proprie foto) personali;
2. Non pubblicare nulla che non si farebbe leggere a chiunque;
3. Utilizzare impostazioni orientate alla privacy;
4. Utilizzare ogni possibilità di mantenere il controllo dei propri dati;
5. Informarsi, leggere i TOS (Terms of Service) dei servizi utilizzati à i termini di servizio sono gli accordi
legali tra un fornitore di servizi e una persona che desidera utilizzare quel servizio. La persona deve
accettare di rispettare i termini di servizio per poter utilizzare il servizio offerto. I Termini di servizio
possono anche consistere in un disclaimer, in particolare per quanto riguarda l'uso dei siti web.
6. Rispettare la privacy altrui.
Immagine online (Web reputation)
Per Web reputation si intende l’insieme dell’immagine che hanno di noi i soggetti che ci conoscono
attraverso il web. La costruzione di una buona reputazione online è al centro delle tematiche odierne:
esistono, infatti, figure professionali dedicate proprio alla costruzione e alla difesa dell’immagine online dei
loro clienti.
Dal momento che condividere file e informazioni, anche personali, non è mai stato così facile, è lapalissiano
come la maggioranza dei dati personali siano resi pubblici su iniziativa degli stessi utenti à costruzione di
una (o più) «identità social».
N. B.: a volte, tuttavia, suddetta condivisione avviene in maniera inconsapevole, causando pertanto una
diffusione involontaria (es. metadati).
Identità social e falsi profili
Catfishing: l’utilizzo di falsi profili per ingannare e sedurre online vittime ignare, con finalità diverse. Spesso
si tratta di inganni a sfondo sentimentale.
Bot «social»: profili falsi creati e gestiti da software automatizzati e utilizzati per gli scopi più vari (aumentare
le interazioni di un profilo, diffondere messaggi e contenuti virali, trollare, influenzare opinioni e preferenze
degli utenti, ecc.).
Hate speech
Per hate speech (“discorso d’odio”) si intende una comunicazione che utilizza parole o elementi non verbali
per diffondere odio, pregiudizi e intolleranza verso un gruppo o un soggetto ben definito. Purtroppo, è un
fenomeno molto diffuso online e nei social network.
36
L’hate speech è favorito da diversi fattori:
• Senso di distacco (filtro di monitor e tastiera) che rende meno immediata la presa di coscienza circa la
reale gravità del danno;
• Rapidità degli scambi e immediatezza delle reazioni;
• Percezione di anonimato e illusione di impunità.
Uno degli strumenti che viene adoperato ed utilizzato per “arginare” il discorso d’odio è l’analisi semantica
automatizzata (i.e., vi sono delle piattaforme social in grado di intercettare e filtrare determinati contenuti,
essendo in grado di individuarne la carica potenzialmente offensiva), insieme all’uso dell’Intelligenza
Artificiale.
Meme
Quello dei meme è un argomento importante, al centro delle discussioni giuridiche e politiche: in questa
nostra epoca caratterizzata dalla condivisione (a volte dall’ostentazione) della sfera privata, in cui i contenuti
della Rete sono generati dagli utenti, trovare il giusto equilibrio tra libertà di espressione e rispetto dei diritti
altrui, incluso il diritto alla privacy, è una sfida cruciale.
In linea generale, l’utilizzo dell’immagine altrui è possibile solo in presenza di una base giuridica idonea (per
esempio, il consenso dell’interessato, la necessità di fornirgli un servizio ecc.) e, naturalmente, purché non
ne siano lesi i diritti (per esempio, il diritto alla reputazione e alla dignità). In particolare:
• Nel caso di una persona famosa, è più facile ipotizzare che l’immagine destinata a diventare un meme sia
stata pubblicata originariamente con il consenso dell’interessato, che potrebbe anche avere un interesse
alla sua circolazione per rafforzare la propria visibilità, o comunque avvenga lecitamente (diritto di critica,
satira ecc.);
• Nel caso di persona sconosciuta, è verosimile ipotizzare che la circolazione dell’immagine avvenga senza
che l’interessato ne sia consapevole o addirittura contro la sua volontà.
Ad ogni modo, si è soliti ritenere che, in entrambi i casi, l’interessato possa richiedere la cessazione della
circolazione dell’immagine che avvenga contro il suo consenso anche se, naturalmente, vista la rapidità di
diffusione dei meme in Rete, sperare di ottenerne la completa eliminazione sarebbe velleitario.
N.B.: un altro aspetto critico legato ai meme è quello della tutela del copyright sulle immagini. La recente
Direttiva UE sul copyright digitale (Direttiva n. 2019/790) aveva suscitato molte discussioni e polemiche prima
dell’approvazione proprio perché si temeva che, tra l’altro, potesse introdurre un divieto alla creazione dei
meme. In realtà, il provvedimento permette espressamente l’utilizzo di contenuti generati dagli utenti a scopo
di caricatura, parodia e pastiche, così salvando i meme dal rischio di un divieto di circolazione.
Diritto all’oblio
Il diritto all’oblio è il diritto di non essere ricordato in relazione a fatti del passato che, in passato, furono
oggetto di cronaca ma che, nel presente, non rivestono più interesse pubblico attuale. Il diritto all’oblio è un
diritto della personalità (essendo un diritto alla riservatezza e all’identità personale).
Secondo il GDPR, l’interessato ha diritto di ottenere senza ritardo la cancellazione dei dati quando:
• non sono più necessari rispetto alle finalità della raccolta;
• ha revocato il consenso o si è opposto al trattamento e non ci sono motivi legittimi prevalenti;
37
• il trattamento è illegittimo;
• devono essere cancellati per obbligo legale.
N. B.: qualunque dato che «entra» in Internet potrebbe non uscirne mai più à post, tweet, commenti, foto,
possono sopravvivere in eterno grazie alla possibilità di condivisione, ripubblicazione, download, alle copie
cache dei motori di ricerca ecc.
Quale tutela per gli utenti?
1. Corte di Cassazione, sent. n. 5525 del 5 aprile 2012 à una notizia di cronaca ormai superata può dare
luogo ad un “diritto alla cancellazione”;
2. Corte di Giustizia Europea, sent. 13 maggio 2014: caso “Google Spain” à ricorso di un cittadino
spagnolo che aveva richiesto a Google la rimozione di alcuni dati personali pubblicati in poche righe del
giornale “LaVanguardia Editiones SL” e da lui ritenuti non più attuali.
38
8^ Lezione (26/10/2020) | Capitolo 7: Sicurezza Informatica
Cos’è la sicurezza informatica?
Una possibile definizione à è il ramo dell’informatica che si occupa dell’analisi delle vulnerabilità, del
rischio, delle minacce e delle relative protezioni dell’integrità fisica (hardware) e logico-funzionale
(software) di un sistema informatico e dei dati in esso contenuti o scambiati con altri sistemi.
N.B.: la sicurezza non è un prodotto à non è possibile, in maniera statica definire la sicurezza di un
determinato sistema come un qualcosa che si compra e si installa: la sicurezza non si “esaurisce”
nell’installazione di un antivirus. Piuttosto, la sicurezza è un processo fatto di tanti passaggi diversi (analisi;
installazione dei dispositivi di protezione; formazione del personale; vigilanza sul funzionamento concreto di
tali dispositivi). Non serve a nulla aver installato degli antivirus potentissimi se poi la componente umana (c.d.
humanware) manca di formazione, ad esempio lasciando le proprie password su post-it “volanti”.
Sicurezza informatica e sicurezza dell’informazione
È bene distinguere tra:
• Sicurezza informatica (in senso stretto): riguarda la sicurezza delle componenti hardware e software
dei sistemi informatici;
• Sicurezza dell’informazione: riguarda sia i sistemi, sia i dati in essi elaborati, archiviati o trasmessi.
Quali sono gli scopi della sicurezza dell’informazione?
1. Protezione dei sistemi informatici e dei dati per garantire:
o Confidenzialità: solo chi è autorizzato a farlo può venire a conoscenza del contenuto delle risorse
o anche solo della loro esistenza;
o Integrità: le informazioni devono essere trattate in modo che siano difese da manomissioni e
modifiche non autorizzate. La crittografia garantisce l’integrità di un dato;
o Disponibilità: l’informazione deve sempre essere disponibile alle persone autorizzate quando
necessario à Availability is «The ability of a network or an information system to resist accidental
events or malicious actions that compromise its availability, authenticity, integrity and
confidentially» – Commissione Europea «Network and Information Security: a proposal for a
European Policy approach».
2. Comunicazione e trasmissione dei dati à il transito dei dati deve essere garantito da:
o Autenticità: attiene alla certezza circa la fonte di provenienza del dato, della destinazione e del
contenuto del messaggio) à autenticazione utente;
o Non ripudiabilità: garanzia sulla certezza di chi trasmette e chi riceve. Comporta l’impossibilità di
negare di essere i creatori o i mittenti effettivi di un determinato dato à firma digitale.
Attacchi informatici
Per attacco informatico (cyberattack) si intende qualsiasi tentativo finalizzato a sovvertire le misure di
sicurezza di un sistema informatico (indipendentemente dal fatto che l’attacco informatico abbia o meno
successo). Un attacco informatico può avere differenti finalità: finalità distruttive dell’intero sistema; scopo di
carpire dati; obiettivo di manifestare le debolezze di un sistema.
Rapporto CLUSIT 2020: CLUSIT – Associazione Italiana per la Sicurezza Informatica è l’ente che si
occupa di sicurezza informatica in Italia.
39
N.B.: per cyberesilienza si intende la capacità di resistere ad un attacco informatico à non è solo la capacità
di impedire l’attacco filtrandolo, ma anche la capacità di recuperare i dati eventualmente perduti e di rimettere
in funzione il sistema che fosse stato oggetto di cyberattack.
Hacking
Il fenomeno dell’hackeraggio (hacking) non nasce con finalità criminali: l’espressione “hacking” nasce in
seguito a un contest lanciato al MIT di Boston tra studenti per finalità esplorative dei sotterranei dell’università.
Col passare degli anni, l’espressione ha assunto una connotazione legata all’esplorazione del cyberspace e
alla conoscenza delle tecniche di accesso ai diversi siti à a partire dai primi anni del Duemila, si incomincia
a delineare gradualmente la figura degli Anonymous (gruppo di hacker anonimi che svolgono attività per
ragioni, almeno in parte, di perseguimento di ideali o per vendetta).
Dunque, il fenomeno dell’hacking è un qualcosa che non ha necessariamente una connotazione negativa: a
tal proposito, sarebbe opportuno distinguere tra tra hacking e cracking (i.e., la violazione di sistemi informatici
collegati ad Internet o ad un'altra rete, allo scopo di danneggiarli, di rubare informazioni oppure di sfruttare i
servizi telematici della vittima senza la sua autorizzazione).
Malware
Malware è una crasi di “malicious software” (“software malevolo”). Con tale espressione, si definiscono
tutti quei software e programmi che sono sviluppati con lo scopo di introdursi in maniera abusiva all’interno
di un sistema e poi creare dei danni a questo sistema oppure carpire delle informazioni (à alterazione del
funzionamento regolare del sistema). Detto altrimenti, un malware è qualsiasi tipo di software che potrebbe
danneggiare un computer, interferire con e raccogliere i dati di un utente o fare in modo che il computer
esegua azioni senza che l'utente lo sappia o dia la propria autorizzazione.
N.B.: malware ≠ virus à non tutti i malware sono dei virus. Un virus, nello specifico, è un malware che utilizza
altri programmi per diffondersi all’interno di un sistema informatico.
40
Quali sono le tipologie di malware?
• Virus: è un malware che utilizza altri programmi per diffondersi all’interno di un sistema informatico à
sono codici malevoli che sfruttano altri programmi in modo da potersi eseguire e replicare. Si trasmettono
generalmente con lo scambio di file;
• Worm: à una tipologia di malware che si “annida” normalmente nel sistema operativo del sistema
attaccato (e da lì, in seguito, si diffonde attraverso funzionalità apparentemente innocue) à sono malware
che si annidano nel sistema operativo del computer e sfruttano le connessioni di rete per diffondersi. In
alcuni casi possono auto-eseguirsi, anche se spesso hanno bisogno dell’intervento attivo dell'utente per
poter iniziare il ciclo di infezione;
• Spyware: hanno come obiettivo lo spiare il sistema di una vittima à sono malware che raccolgono
informazioni sul sistema in cui sono installati e le trasmettono a un destinatario interessato;
• Trojan horse: è un programma che, sotto mentite spoglie di programma apparentemente innocuo, dopo
l’installazione svolge funzioni diverse a seconda degli obiettivi di chi lo ha elaborato à sono programmi
che celano funzionalità che minano la sicurezza del PC eseguendo procedure all'insaputa degli utenti;
• Remote access (backdoor): permettono al loro programmatore un accesso da remoto al sistema in

maniera del tutto inconsapevole per l’utente à sono malware che consentono un accesso non autorizzato
e nascosto via rete al sistema su cui sono in esecuzione;
• Ransomware: sono quei malware che criptano l’intero sistema/disco fisso nel quale sono stati scaricati,
rendendo inaccessibili i dati al proprietario del sistema. Esempio: cryptolocker à fa partire un countdown
con annessa minaccia di cancellare tutto qualora non si venga pagato in Bitcoin un riscatto (ransom);
• Keylogger: malware in grado di leggere, registrare e rubare qualsiasi cosa venga digitata sulla tastiera
del computer o copiato nella memoria appunti à generalmente, il keylogger è un programma malevolo,
che si intrufola sulle macchine degli utenti anche attraverso dei software che gli antivirus credono siano
legittimi.
• Rootkit: è un tipo di malware disegnato per attaccare computer e eludere i sistemi di sicurezza. Il rootkit
permettere all’hacker di installare una serie di strumenti che gli danno accesso al computer da remoto.
In genere il malware si nasconde in un punto profondo del sistema operativo ed è studiato in modo tale
da non essere rilevato dalle applicazioni anti-malware e dai principali strumenti di controllo e sicurezza;
• Adware: l’adware è un software che può causare automaticamente la visualizzazione di pop-up e banner
pubblicitari al fine di generare guadagno per l'autore o produttore. Molti freeware utilizzano gli adware,
ma non sempre in modo dannoso, altrimenti verrebbero classificati come spyware o malware;
41
Attacchi DDoS
Una particolare tipologia di attacchi informatici sono i c.d. attacchi DDoS (Distributed Denial of Service) à
è un tipo di minaccia che consiste nell'occupare le risorse di un sistema online (normalmente, l’ampiezza
della banda di trasmissione) per renderlo inutilizzabile al pubblico.
Come si svolge un attacco DDoS?
Un sistema di controllo che scatena l’attacco, detto bootmaster, trasmettendo i suoi messaggi, prende il
controllo di una serie di sistemi, facendo si che questi ultimi, infettati, trasmettano una serie di continui input
ai sistemi delle vittime che devono essere bloccati; in questa maniera, si satura la banda di utilizzo, facendo
si che le vittime non siano più in grado di sfruttare le loro risorse.
Attacchi Brute Force
Un’altra tecnica di attacchi informatici è costituita dai c.d. attacchi Brute Force. Essi, banalmente, consistono
nella tecnica di riuscire a forzare le credenziali di accesso attraverso una serie di tentativi reiterati da parte di
un sistema che è particolarmente esperto e dispone di risorse elevate.
In particolare, secondo SplashData le password più utilizzate nel 2019 sono state, rispettivamente: 123456;
qwerty; password; iloveyou; 111111; 123123; abc123; querty123 à sapendo la classifica delle password più
diffuse, risulta più semplice incappare in una di queste password.
N.B.: un’altra tipologia di attacco informatico è quella della ricerca per dizionario (i.e., ricerca attraverso le
parole più utilizzate come password dalle vittime: data di nascita; animale domestico; nome del partner; ecc.).
Social Engineering e Phishing
Molte tecniche da parte dei cyber criminali si fondano sulla consapevolezza del fatto che è il soggetto stesso
a fornire le informazioni necessarie per poter porre in essere le tecniche di attacco.
Distinguiamo:
• Phishing: consiste nel farsi trasmettere dalla vittima una serie di informazioni lanciando un amo (e-mail;
contatti sui social; ecc.) a cui quest’ultima abbocca. Esempio: comunicazione di una banca consistente
nell’invito di cliccare su un link al fine di arrivare ad un sito in cui verificare le proprie credenziali.
In particolare, si suole distinguere tra:
o Spear phishing: è un tipo di phishing mirato che ha come bersaglio una sola persona;
o Spray phishing: è un attacco di massa che cerca di coinvolgere quante più vittime possibile.
Può parimenti capitare di ricevere SMS ben congegnati e ingannevoli attraverso i quali malintenzionati
potrebbero indurre a condividere dati personali, credenziali e informazioni sensibili. In questo caso si parla
di smishing;
42
• Social Engineering (ingegneria sociale): tecniche che partono dall’analisi dei comportamenti umani e da
un approfondito studio della vittima e dell’ambiente in cui essa vive. Si compone di diverse fasi:
o Investingation (preparing the ground for the attack): fase di studio in cui si cerca di raccogliere
informazioni sul contesto della vittima à Footprinting: pervasiva e mirata attività investigative circa il
soggetto (utente o azienda) scelto come obiettivo (target) raccogliendo informazioni sullo stesso su
social network;
o Hock (deceiving the victim to gain a foothold): si stabilisce un contatto con la vittima, costruendo con
essa un rapporto fiduciario tale che sia la vittima medesima a fornire le informazioni;
o Play (obtaining the information over a period of time);
o Exit (closing the interaction, ideally without arousing suspicion).
Alla base del social engineering possono esserci tecniche più raffinate, quali:
a) Sniffing: attività di «intercettazione» passiva dei dati da parte di un utente della rete ai danni di uno o
più utenti appartenenti alla stessa rete;
b) Spoofing: impersonificazione tecnologica che cerca di ingannare una rete o un essere umano per
fargli credere che la fonte di determinate informazioni sia attendibile, quando invece non lo è.
N.B.: una tecnica molto diffusa negli ultimi tempi è quelle delle c.d. CEO fraud (lett. “truffe degli amministratori
delegati”), che avviene quando un soggetto, che ha una posizione apicale in azienda, riceve una
comunicazione apparentemente proveniente da un soggetto a lui sovraordinato gerarchicamente.
Di fatto, un cyber criminale si finge il CEO (o un’altra figura manageriale) di un’azienda e si inserisce in
conversazioni via e-mail già esistenti, iniziando trattative con utenti che hanno abitualmente una
corrispondenza con la persona a cui ha rubato l’identità virtuale. Le conseguenze di questi attacchi possono
essere estremamente critiche. Oltre alla perdita di denaro, infatti, entra in gioco il tema della reputazione della
società e naturalmente dei dirigenti che vengono coinvolti.
Perché queste truffe avvengono?
Una serie di fattori-cause (riconducibili alla debolezza del c.d. human factor) che permettono il successo di
queste truffe è la seguente:
• Il pericolo non viene percepito;
• Diamo troppa fiducia alle relazioni (e alle e-mail);
• Mancano procedure aziendali;
• Relazioni aziendali deboli;
• Assenza di responsabilità;
• Manca la formazione;
• Non ci sono sistemi di «intrusion detection»;
• Carenza di controlli di sicurezza informatica.
43
Legislazione Europea
Il tema della sicurezza informatica è al centro del Regolamento (CE) n.460/2004 del Parlamento europeo:
esso istituisce l’ENISA (European Network and Information Security Agency), ente avente una funzione
consultiva e di coordinamento delle misure adottate dalla Commissione e dai paesi dell’UE in tema di
sicurezza delle loro reti e dei sistemi di informazione.
L’ENISA lavora in stretta collaborazione con Europol e il Centro europeo per la lotta alla criminalità informatica
su ricerca comune e comunicazione. In particolare, nel 2012 l’ENISA elabora le strategie per la National
Cyber Security (National Cyber Security Strategies).
Da ricordare è anche il regolamento eIDAS (electronic IDentification Authentication and Signature), vale a
dire il Regolamento UE n° 910/2014 sull’identità digitale.
Legislazione italiana in tema di sicurezza informatica
In ambito nazionale à normative che attengono nello specifico alla sicurezza informatica positivizzando delle
regole tecniche:
• sicurezza informatica nell’organizzazione e gestione delle infrastrutture della Pubblica Amministrazione;
• sicurezza nei trattamenti dei dati personali (D.Lgs196/203, modificato nel 2018) e GDPR.
Comitato tecnico nazionale sulla sicurezza informatica
2002: costituzione del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni
nelle pubbliche amministrazioni. Esso si occupa di:
• Strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la PA;
• Piano nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della PA;
• Proposte in materia di regolamentazione della certificazione e valutazione della sicurezza;

• Costituzione di GovCERT/CERT-SPC.
Il CERT-PA
Passaggi fondamentali:
1. DPCM 24 gennaio 2013: piano per la sicurezza informatica nazionale (Direttiva recante indirizzi per la
protezione cibernetica e la sicurezza informatica nazionale) ha recepito le linee guida di ENISA e
configurato un piano per la sicurezza informatica nazionale;
2. Introduzione del CERT-PA (Computer Emergency Response Team – Pubblica Amministrazione): gruppo
che collabora con la PA e interviene qualora vi sia la necessità di far fronte ad un attacco informatico;
3. Marzo del 2017: è stato pubblicato un primo piano organico relativo alla sicurezza nazionale dettato
dal DPCM 17 febbraio 2017 che ha sostituito il piano nazionale emanato nel 2013 dal Governo Monti
definendo le misure prioritarie per l’implementazione del Quadro Strategico Nazionale, sulla base di un
dialogo in continua evoluzione tra i diversi soggetti in campo al fine di garantire un processo che coinvolge
tutti gli attori interessati, a vario titolo, alla tematica della cyber sicurezza.
44
Direttiva NIS
Direttiva NIS – Network and Information Security (“Direttiva (UE) 2016/1148 del Parlamento Europeo e del
Consiglio del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi
informativi nell’Unione”,) recepita all’interno dell’Ordinamento Italiano con il D.lgs. 18 maggio 2018, n. 65 che
detta linee comuni in seno alla Comunità Europea in tema di Cyber Security. È stata approvata in parallelo al
GDPR.
Settori nevralgici a livello nazionale (come energia, trasporti, banche, mercati finanziari, sanità, fornitura e
distribuzione di acqua potabile) e infrastrutture digitali nonché motori di ricerca, servizi cloud e piattaforme di
commercio elettronico.
Viene introdotto il DIS (Dipartimento delle informazioni per la sicurezza) quale punto di contatto unico,
che dovrà svolgere una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità
competenti NIS con le autorità degli altri stati membri.
GDPR: un cambiamento copernicano
Il GDPR ha comportato un passaggio epocale dal regolamento precedente (i.e., il D. Lgs. 196/2003, c.d.
Codice della Privacy) à il Codice della Privacy prevedeva un mero elenco di misure di sicurezza minime che
dovevano essere garantite.
Il legislatore comunitario, quando ha approvato il Regolamento 679/2016 (c.d. GDPR), è partito dalla
considerazione che le misure di sicurezza minime previste dal Codice della Privacy non erano più adeguate
à il cambiamento consiste nel fatto che oramai è il soggetto che compie il trattamento dei dati a dover
valutare, di volta in volta attraverso la c.d. security by design, la scelta di quali siano le misure tecniche e
organizzative adeguate a permettere la protezione dei dati.
In particolare:
• Art. 32 GDPR: Sicurezza del Trattamento à “Tenendo conto dello stato dell'arte e dei costi di attuazione,
nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di
varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il
responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un
livello di sicurezza adeguato al rischio”;
• Art. 24 GDPR: Responsabilità del Titolare à “Tenuto conto della natura, dell'ambito di applicazione, del
contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e
le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative
adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al
presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario” à
Accountability: il titolare è competente per il rispetto dei principi ed è in grado di dimostrarlo!
N.B.: in caso di Data Breach (i.e., in caso di violazione di sicurezza che comporta, accidentalmente o in modo
illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali
trasmessi, conservati o comunque trattati), non appena viene a conoscenza di una avvenuta violazione dei
dati personali trattati, il titolare deve notificare al Garante della Privacy:
• Senza giustificato ritardo e, se possibile, entro le 72 ore;
• È opportuno informare e notificare anche l’interessato in caso di elevato rischio dei diritti e delle libertà;
• In caso di mancato rispetto della normativa sulla privacy à Sanzioni: fino a 10 mln € o al 4% del fatturato
su scala globale.
45
Sicurezza informatica in azienda
L'avvento di nuove tecnologie, del cloud, dell'outsourcing, della virtualizzazione e della decentralizzazione, ha
modificato profondamente sia i sistemi operativi aziendali sia il nostro modo di lavorare con i sistemi digitali.
In particolare, una figura professionale nata recentemente è quella del CISO (ovvero, il responsabile per la
sicurezza aziendale interna), figura a metà strada tra il legale e il tecnico.
Il CISO (Chief Information Security Officer, ovvero il responsabile della sicurezza informatica) è una figura
aziendale, la cui responsabilità è di sviluppare una strategia aziendale perché i beni d'informazione e le
tecnologie aziendali siano adeguatamente protetti. Il CISO dirige la sua squadra identificando, sviluppando,
implementando, e facendo manutenzione dei processi aziendali per ridurre i rischi derivanti dall'area della
tecnologia informatica. Risponde ad incidenti, crea e stabilisce degli standard aziendali e controlla e gestisce
la sicurezza tecnologica e direziona l'implementazione di politiche e procedure di sicurezza.
L'avvento di nuove tecnologie ha cambiato drasticamente le cose. I dati non sono più dove ci si aspettava
che fossero e il loro numero accresce di giorno in giorno à occorre una valutazione del rischio.
NIST Cyber Security Framework
I cinque cardini della cyber security sono:
1. Identify: è l’identificazione della situazione à analisi iniziale;
2. Protect: è l’elaborazione delle necessarie tecniche di protezione atte a minimizzare qualunque rischio;
3. Detect: è il monitoraggio della situazione à si tiene sotto controllo la situazione al fine di scongiurare
immediatamente i possibili attacchi;
4. Respond: è la capacità di un sistema di rispondere all’attacco (c.d. resilienza all’attacco informatico);
5. Recover: è il recupero delle informazioni e dei dati à nuova costruzione del sistema in maniera tale che
riesca a reagire all’attacco che stato sferrato, ripartendo con funzionalità possibilmente immutate.
46
9^ Lezione (02/11/2020) | Capitolo 8: Sorveglianza e controllo delle informazioni
Controllo delle informazioni
Che differenza c’è tra “dato” e “informazione”?
Sovente, questi due termini vengono utilizzati alla stregua di sinonimi; tuttavia:
• Dato: è una unità primaria/materia rozza che, di per sé, non ha un significato univoco (in quanto può avere
infiniti significati). È alla base della c.d. piramide della conoscenza;
• Informazione: è la contestualizzazione del dato (in maniera tale da ricondurlo ad un significato che
trasmetta un messaggio. Spiega, pertanto, come un determinato dato viene interpretato.
La stessa “informatica” deriva dalla parola “informazione”: è una crasi, infatti, delle parole francesi
(infor)mation et auto(matique), ovvero “informazione automatizzata” à i sistemi elettronici permettevano di
trarre delle informazioni, di trattarle e di estrapolarle in maniera automatizzata.
Al giorno d’oggi, il controllo delle informazioni è strategico, in guerra come nel business: si parla, infatti, di
cyber warfare/information warfare (spesso utilizzate come sinonimi) à tecniche che permettono di
avvantaggiarsi su un avversario mediante l’uso e la gestione delle informazioni, includono tutte le attività di
preparazione e conduzione di operazioni di contrasto nello spazio cibernetico.
Tuttavia, normalmente:
• per cyber warfare si intendono gli attacchi mirati che mettono fuori uso (o indeboliscono) un sistema
avversario;
• per information warfare, invece, si intende proprio l’attività per acquisire siffatte informazioni.
Stuxnet e ShadyRAT
Proprio perché il controllo delle informazioni è così importante, nascono soventemente vere e proprie attività
criminali (così come anche guerre per il controllo delle informazioni). In particolare, si citano:
• Caso Stuxnet: nel mese di gennaio 2010, gli ispettori dell’EURATOM, facendo delle ispezioni nei centri
per l’elaborazione dell’uranio impoverito in Iran, si accorgono che le turbine di raffreddamento venivano
sostituite con una frequenza di gran lunga superiore rispetto alla solita media, degradandosi prima rispetto
a quanto atteso.
47
Qualche mese dopo, diversi clienti iraniani contattano un esperto di sicurezza informatica bielorusso,
facendogli presente di aver subito una serie di attacchi con dei virus la cui origine non riuscivano a capire.
L’esperto riesce a capire che possa esserci dietro qualcosa di “grosso”: dopo aver contattato un collega
amico in Germania e dopo aver congiuntamente trasmesso a Microsoft un report riguardante questo
virus, ci si rende conto che esso era stato creato al fine di controllare (e disturbare) l’attività dei dispositivi
di controllo industriale.
Verso settembre, ci si rende conto che tale virus era stato creato proprio per andare a colpire proprio
siffatti sistemi di controllo automatizzato all’interno degli impianti iraniani per il trattamento dell’uranio
impoverito à il virus, attaccando i dispositivi di controllo, causava il rapido degrado delle turbine di
raffreddamento. Si scoprì, alla fine, che tale attacco informatico era stato organizzato dagli Stati Uniti.
• Caso ShadyRAT: svoltosi più o meno nello stesso periodo di Stuxnet, in questo secondo caso il virus (di
origine cinese) aveva come obiettivo quello di acquisire documenti (anche riservati) da computer remoti.
In particolare, furono attaccati i server delle Nazioni Unite.
Droni
I droni sono “Aeromobili a Pilotaggio Remoto” (APR): si tratta di dispositivi normati, considerati aeromobili
dall’art. 743 del Codice della Navigazione. Esso prevede che:
«Per aeromobile si intende ogni macchina destinata al trasporto per aria di persone o cose. Sono altresì
considerati aeromobili i mezzi aerei a pilotaggio remoto, definiti come tali dalle leggi speciali, dai
regolamenti dell’ENAC e, per quelli militari, dai decreti del Ministero della Difesa. Le distinzioni degli
aeromobili, secondo le loro caratteristiche tecniche e secondo il loro impiego, sono stabilite dall'ENAC con
propri regolamenti e, comunque, dalla normativa speciale in materia»
Caratteristiche dei droni:
• Peso (massa ≤ 2 kg);
• Controllo (comando a vista o meno) VLOS (Visual Line of Sight);
• Permesso al volo.
Datagate (2013)
Lo scandalo Datagate ebbe come protagonista Edward Snowden che, attraverso sue rivelazioni e interviste,
fece conoscere il sistema di sorveglianza che per almeno un decennio (2001-2010) la NSA (National Security
Agency) pose in essere su milioni di utenti della rete di tutto il mondo mediante l’analisi di flussi elettronici,
chat, e-mail, conversazioni telefoniche che venivano fornite dai principali operatori (Google, Microsoft, ecc.)
e in seguito analizzate mediante un programma (c.d. PRISM).
Attraverso PRISM venivano raccolte e filtrate un’enorme massa di comunicazioni (sia interne agli Stati Uniti
che esterne); i dati così raccolti venivano quindi “setacciati” dagli esperti di intelligence americana al fine di
enucleare le informazioni considerate rilevanti.
Gli aspetti che destarono particolarmente scandalo furono sostanzialmente due:
1. Da un lato, furono spiati personaggi pubblici e figure di vertice anche di Paesi alleati degli Stati Uniti;
2. Dall’altro lato, l’attività di raccolta di dati e di spionaggio fu favorita anche dal comportamento dei grandi
player di mercato, quali le grandi società di comunicazioni e i grandi provider di internet.
N.B.: la NSA è l’organizzazione pubblica degli Stati Uniti che si occupa di sicurezza informatica e di
acquisizioni di informazioni mediante strumenti informatici.
48
Wikileaks (2010)
Wikileaks è un sito fondato da Julian Assange nel 2007 con l’intento di dare trasparenza, mettere a
disposizione della collettività e rendere conoscibili file e documenti che fossero stati segretati dai vari governi,
senza essere pertanto connotato politicamente.
Durante il 2010, il sito pubblica centinaia di migliaia di documenti riservati (circa 260 mila) tra cui:
• Un video (denominato “Collateral murder”) che mostrava i terribili effetti del bombardamento di due
elicotteri Apache sulla popolazione civile di Baghdad (Iraq): i soldati americani avevano scambiato una
videocamera di due operatori della Reuters per delle armi, decidendo quindi di bombardarli;
• I rapporti riservati delle guerre in Afghanistan e in Iraq;
• I rapporti provenienti dalle ambasciate americane di tutto il mondo.
Chelsea Manning (in precedenza Bradley Manning, ex Marine degli USA) viene condannata a 35 anni di
reclusione per reati militari e per spionaggio, oltre che per aver inviato ad Assange documenti militari riservati;
nel 2017, tuttavia, Obama le concede la grazia dopo 7 anni di reclusione.
Julian Assange, invece, è tuttora in cella in Gran Bretagna in attesa del verdetto sulla richiesta di estradizione
negli USA.
Whistleblower e leaker: quali le differenze?
A proposito dell’attività di Snowden e di Assange, una distinzione che è giusto fare è quella tra:
• Whistleblower: è una persona che, lavorando all’interno di un’organizzazione, di un’azienda pubblica o

privata, si trova a essere testimone di un comportamento irregolare, illegale, potenzialmente dannoso per
la collettività e decide di segnalarlo all’interno dell’azienda stessa o all’autorità giudiziaria o all’attenzione
dei media, per porre fine a quel comportamento.
Sono tutelati dalle normative vigenti à Legge 30 novembre 2017, n. 179, recante “Disposizioni per la
tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un
rapporto di lavoro pubblico o privato”;
• Leaker: è una persona che, semplicemente, compie delle rivelazioni trasferendo all’esterno informazioni
riservate. A differenza dei whistleblowers, i leakers non sono tutelati dalla legge (pur avendo agito
seguendo un intento eticamente corretto).
N.B.: Panama Papers è il nome di un fascicolo riservato digitalizzato composto da 11,5 milioni di documenti
confidenziali creato dalla Mossack Fonseca, uno studio legale panamense, che fornisce informazioni
dettagliate su oltre 214 000 società offshore, includendo le identità degli azionisti e dei manager.
I documenti mostrano come individui ricchi, compresi funzionari pubblici, nascondano i loro soldi dal controllo
statale. Nei documenti sono menzionati i leader di cinque paesi – Arabia Saudita, Argentina, Emirati Arabi
Uniti, Islanda e Ucraina – ma anche funzionari di governo, parenti e collaboratori stretti di vari capi di governo
di più di 40 altri Paesi.
La raccolta di oltre 2,6 terabyte, contenente documenti compromettenti risalenti fino agli anni Settanta, è stata
consegnata al Süddeutsche Zeitung nell'agosto 2015 e conseguentemente al Consorzio Internazionale dei
Giornalisti Investigativi (ICIJ nella sua sigla inglese), con sede negli Stati Uniti, affidandosi a chat ed e-mail
criptate. I fascicoli sono stati distribuiti ed analizzati da circa 400 giornalisti di 107 organizzazioni informative
di oltre 80 Paesi.
49
Fake News e Fact Checking
Le c.d. fake news sono informazioni false, spesso sensazionalistiche, diffuse con la forma di una notizia
giornalistica.
Al fine di non “cadere” nella trappola delle fake news, è opportuno filtrare le informazioni mediante il c.d. fact
checking: pratica di derivazione americana utilizzata da sempre utilizzata presso tutti i mezzi di
comunicazione con l’obiettivo di verificare la veridicità delle notizie prima che ne venga autorizzata la
pubblicazione.
È molto importante fare fact checking in quanto l’utilizzo strumentale di informazioni false può servire per
modificare i comportamenti della collettività à debunking (dall’inglese to debunk, “smontare”): pratica di
mettere in dubbio o smentire affermazioni false, esagerate o antiscientifiche basandosi su metodologie
scientifiche.
Data la crescente diffusione del fenomeno delle fake news (disinformazione, complottismo, misinformazione,
bufale), la figura odierna del debunker si occupa principalmente di verificare l'attendibilità delle fonti
mettendone in dubbio la veridicità del contenuto. Tale attività si focalizza sul processo comunicativo: ne
ripercorre le varie fasi, partendo dal prodotto finito (notizia), analizzandone il contenuto, il contesto, le fonti,
per individuare dunque le motivazioni all'origine della notizia ed eventualmente smascherarle.
Perché si condividono le Fake News?
Ci sono sostanzialmente due ragioni:
• Per ignoranza: in Italia, quasi 1 persona su 2 non riesce a sintetizzare i contenuti di un lungo testo scritto
e/o elabora una notizia solo secondo la propria esperienza diretta à gli analfabeti funzionali lavorano,
scrivono, condividono sui social, votano;
• Per guadagnare: consenso politico o denaro (clickbait: più visite al sito vengono effettuate, maggiori
guadagni vengono realizzati).
Soventemente, il contenuto reale è accompagnato da informazioni contestuali false (contesto ingannevole).

Ad esempio, Donald Trump mentì in uno spot elettorale (“Stop illegal immigration”) in vista delle elezioni
presidenziali del 2016, inserendovi immagini di migranti che nel 2014 avevano assaltato la frontiera di Melilla
e spacciandole per migranti provenienti dal Messico à la decontestualizzazione è uno degli strumenti
utilizzati per la diffusione delle fake news.
50
Ma può anche accadere che il contenuto venga spacciato come proveniente da fonti realmente esistenti,
quando in realtà sono false (contenuto ingannatore): esempio ne è Il Fatto Quotidaino (pagina sulla falsariga
della vera testata giornalistica Il Fatto Quotidiano).
Ancora, in alcuni casi il contenuto è completamente falso, costruito per trarre in inganno, trarre profitto,
procurare danno contro qualcuno (contenuto falso) à infodemia: circolazione di una quantità eccessiva di
informazioni, talvolta non vagliate con accuratezza, che rendono difficile orientarsi su un determinato
argomento per la difficoltà di individuare fonti affidabili.
Può infine succedere che le immagini e i video vengano deliberatamente manipolati per trarre in inganno
(contenuto manipolato): famose sono le foto di una pseudo Venezia ghiacciata!
Deep Fake
Un deep fake è un filmato che presenta immagini corporee e facciali catturate in Internet, rielaborate e
adattate a un contesto diverso da quello originario tramite un sofisticato algoritmo.
Il deep fake (parola coniata nel 2017) è una tecnica per la sintesi dell'immagine umana basata sull'intelligenza
artificiale, usata per combinare e sovrapporre immagini e video esistenti con video o immagini originali,
tramite una tecnica di apprendimento automatico, conosciuta come rete antagonista generativa. È stata
anche usata per creare falsi video pornografici ritraenti celebrità, ma può anche essere usato per creare fake
news, bufale e truffe, per compiere atti di cyberbullismo o altri crimini informatici di varia natura oppure per
satira.
Cosa possiamo fare per evitare di credere alle fake news?
1. Comprendere il contesto: spesso le fake news fanno leva sull’aspetto emotivo per essere condivise;
2. Porsi molte domande: la fonte è attendibile? La fonte è citata? I virgolettati sono veri? Perché è sulla
stampa nazionale? Il punto di vista è oggettivo?
3. Leggere tutto l’articolo (e mai solo titolo o un estratto);
4. Cercare le fonti verificando quelle non attendibili (molti siti sono segnalati proprio perché condividono
fake news: https://www.bufale.net/the-black-list-la-lista-nera-del-web/);
5. Imparare a fare fact checking (verificare altre fonti affidabili e controllare quanto riportato nell’articolo
incriminato), cercare riscontri, usare tutti gli strumenti possibili.
Troll
I troll sono quei soggetti che, consapevolmente e volontariamente, intervengono nelle conversazioni per
disseminare motivi di polemica, motivi di odio o semplicemente per disturbare il trasferimento delle
informazioni (e anche per fare da tramite per la diffusione di informazioni false).
Etimologicamente, la parola deriva dall’inglese trolling, termine utilizzato per indicare una tecnica di pesca al
traino (dal momento che l'azione di disturbo riesce al troll solamente se gli altri utenti si fanno trascinare e
coinvolgere).
«War in 140 Characters» à il giornalista David Patrikarakos racconta, mediante le rivelazioni di un

whistleblower che ha lavorato a San Pietroburgo presso l’Internet Research Agency (azienda indipendente
con oltre 400 dipendenti in Russia e quasi cento negli Stati Uniti) il complesso meccanismo relativo alla
creazione della Fake News.
51
Meme
Un meme, banalmente, è una immagine o un disegno che viene utilizzato in chiave satirica per trasmettere
un’idea o un determinato significato. Quello dei meme (dal greco mimeme, lett. «ciò che viene imitato») è un
argomento importante, al centro delle discussioni giuridiche e politiche: in questa nostra epoca caratterizzata
dalla condivisione (a volte dall’ostentazione) della sfera privata, in cui i contenuti della Rete sono generati
dagli utenti, trovare il giusto equilibrio tra libertà di espressione e rispetto dei diritti altrui, incluso il diritto alla
privacy, è una sfida cruciale.
In linea generale, l’utilizzo dell’immagine altrui è possibile solo in presenza di una base giuridica idonea (per
esempio, il consenso dell’interessato, la necessità di fornirgli un servizio ecc.) e, naturalmente, purché non
ne siano lesi i diritti (per esempio, il diritto alla reputazione e alla dignità). In particolare:
• Nel caso di una persona famosa, è più facile ipotizzare che l’immagine destinata a diventare un meme sia
stata pubblicata originariamente con il consenso dell’interessato, che potrebbe anche avere un interesse
alla sua circolazione per rafforzare la propria visibilità, o comunque avvenga lecitamente (diritto di critica,
satira ecc.);
• Nel caso di persona sconosciuta, è verosimile ipotizzare che la circolazione dell’immagine avvenga senza
che l’interessato ne sia consapevole o addirittura contro la sua volontà.
Ad ogni modo, si è soliti ritenere che, in entrambi i casi, l’interessato possa richiedere la cessazione della
circolazione dell’immagine che avvenga contro il suo consenso anche se, naturalmente, vista la rapidità di
diffusione dei meme in Rete, sperare di ottenerne la completa eliminazione sarebbe velleitario.
N.B.: un altro aspetto critico legato ai meme è quello della tutela del copyright sulle immagini. La recente
Direttiva UE sul copyright digitale (Direttiva n. 2019/790) aveva suscitato molte discussioni e polemiche prima
dell’approvazione proprio perché si temeva che, tra l’altro, potesse introdurre un divieto alla creazione dei
meme. In realtà, il provvedimento permette espressamente l’utilizzo di contenuti generati dagli utenti a scopo
di caricatura, parodia e pastiche, così salvando i meme dal rischio di un divieto di circolazione.
PsyOps: «pianificate attività psicologiche, condotte in pace e in guerra, dirette a un uditorio, amico, nemico
o neutrale, al fine di influenzarne attitudini e comportamenti che, altrimenti, potrebbero compromettere il
raggiungimento di obiettivi politici e militari».
Manipolazione mediatica
Contiguo al tema dei troll e della circolazione dei meme è il tema dei c.d. false amplifiers: profili (gestiti da
bot o da persone fisiche) che vengono utilizzati per amplificare la circolazione di determinati messaggi o
contenuti condivisi à sentenza contro Devumi «inganno e una impersonificazione illegali».
Influencers: termine utilizzato in ambito pubblicitario per indicare quelle persone che, essendo determinanti
nell’influenza dell’opinione pubblica, costituiscono un target importante cui indirizzare messaggi pubblicitari,
al fine di accelerarne l’accettazione presso un pubblico più vasto.
Il caso Cambridge Analitica (2018)
Il caso Cambridge Analitica è il più recente degli scandali qui analizzati (risale al 2018): circa 50 milioni di
profili social di cittadini americani furono violati a partire dall’utilizzo di un’app (This Is Your Digital Life)
realizzata a Cambridge per finalità di studio scientifico.
Chiunque avesse risposto a uno dei questionari scientifici proposti aveva, automaticamente, accettato di
condividere i dati dei propri profili social à a partire da queste condivisioni, si arrivò a violare i profili dei
cittadini statunitensi e a profilarli (al fine di utilizzare queste informazioni per le imminenti campagne
presidenziali: ciascun cittadino, infatti, riceveva dei messaggi pubblicitari di marketing politico totalmente
personalizzati, in modo da stimolare un determinato orientamento politico).
52
N.B.: anche in questo caso, i dettagli dell'inchiesta vengono svelati da un whistleblower, tale Christopher
Wylie (un ex dipendente della società).
• Data mining: processo di scoperta di relazioni, strutture e informazioni precedentemente sconosciute e

potenzialmente utili, all’interno di grandi basi di dati;
• Tecniche utilizzate a fini politici per profilare e targettizzate gli elettori di un determinato quartiere, area,
contea o Stato stratificandoli per censo, orientamento politico, propensione al voto, acquisti,
comportamenti;
• I dati vengono poi raccolti e organizzati al fine di sottoporre messaggi altamente strutturati: conoscendo
il problema è facile suggerire all’utente quello di cui ha bisogno.
«Atto terroristico»
L’espressione «atto terroristico» deriva dal verbo latino terrere (‘spaventare, intimorire’). Distinzione tra:
• La definizione di terrorismo della NATO: «L’uso o la minaccia di uso di comportamenti illegali o violenti
contro individui o proprietà nel tentativo di condizionare o intimidire governi o società per raggiungere
obiettivi politici, religiosi o ideologici».
• La definizione di terrorismo del Consiglio dell’Unione Europea del 2002: «Azioni siano commesse con
lo scopo di:
a. intimidire gravemente una popolazione;
b. ingiustificatamente costringere un Governo o una organizzazione internazionale a realizzare o

astenersi dal realizzare un atto;
c. destabilizzare gravemente o distruggere le fondamentali strutture politiche, costituzionali, economiche

e sociali di un Paese o in una organizzazione internazionale».
Il terrorismo utilizza in maniera molto efficiente i nuovi media e le nuove tecnologie, in particolare per:
• Pubblicità e propaganda;
• Data Mining (ricerca di informazioni);
• Raccolta fondi;
• Reclutare terroristi;
• Condivisioni informazioni;
• Programmazione e coordinamento azioni.
In Italia, la legge n.155/2005 ha introdotto l’art. 270-sexies c.p. (Condotte con finalità di terrorismo), che
prevede:
“Sono considerate con finalità di terrorismo le condotte che, per la loro natura o contesto, possono arrecare
grave danno ad un Paese o ad un’organizzazione internazionale e sono compiute allo scopo di intimidire la
popolazione o costringere i poteri pubblici o un’organizzazione internazionale a compiere o astenersi dal
compiere un qualsiasi atto o destabilizzare o distruggere le strutture politiche fondamentali, costituzionali,
economiche e sociali di un Paese o di un’organizzazione internazionale, nonché le altre condotte definite
terroristiche o commesse con finalità di terrorismo da convenzioni o altre norme di diritto internazionale
vincolanti per l’Italia”.
53
Parimenti rilevante è il decreto-legge 27 luglio 2005, n. 144 (c.d. «Decreto Pisanu»), recante misure urgenti
per il contrasto del terrorismo internazionale à Art. 7: «Chiunque intende aprire un pubblico esercizio o un
circolo privato di qualsiasi specie, nel quale sono posti a disposizione del pubblico, dei clienti o dei soci
apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, deve chiederne la licenza al
questore».
Negli Stati Uniti, in seguito agli attentati dell’11 settembre fu approvato il c.d. Patriot Act, legge federale
statunitense controfirmata dal presidente statunitense George W. Bush il 26 ottobre 2001. Tale legge rinforza
il potere dei corpi di polizia e di spionaggio statunitensi (quali CIA, FBI e NSA) allo scopo di ridurre il rischio
di attacchi terroristici negli Stati Uniti, così come introduce anche gli status di combattente nemico e
combattente illegale, che consentono agli Stati Uniti di arrestare sospetti senza limitazione o senza notizie di
reato
Tra le altre disposizioni promosse dalla votazione della legge, vi sono la possibilità di effettuare intercettazioni
telefoniche, l'accesso a informazioni personali e il prelevamento delle impronte digitali nelle biblioteche à
vengono rimosse le restrizioni sul controllo delle conversazioni telefoniche, delle e-mail, delle cartelle cliniche,
delle transazioni bancarie. Per tali ragioni, le organizzazioni della difesa diritti dell'uomo ritengono che questa
legge contenga delle limitazioni eccessive delle libertà individuali, in particolare in merito a:
• la diminuzione dei diritti dei cittadini;
• la violazione della privacy;
• la diminuzione della libertà d'espressione.
Apple vs FBI (2016)
Questo recente caso, avvenuto negli Stati Uniti all’indomani della strage di San Bernardino del dicembre
2015 (dove sono rimaste uccise 14 persone e ferite gravemente 22), concerne la richiesta mossa da parte
del governo degli Stati Uniti (e nella fattispecie dalla FBI9 ad Apple di permettere l’accesso a uno degli iPhone
dei terroristi al fine di ricostruirne le frequentazioni e gli spostamenti: il telefono di un attentatore, infatti, era
stato recuperato intatto, ma risultava bloccato da un codice di blocco a 4 cifre e impostato per il wiping dei
dati dopo 10 tentativi falliti nell’inserimento del codice di blocco (opzione presente in tutti i dispositivi iPhone).
A tale richiesta, la Apple rispose con un secco rifiuto, motivando ciò in nome della tutela della privacy à la
Apple, adducendo diverse motivazioni (tecniche e giuridiche) ha rifiutato la disponibilità nella creazione di un
software che avrebbe consentito di bypassare i sistemi di sicurezza dei loro dispositivi, nodo cardine delle
politiche commerciali dell’azienda.
N.B.: anche a seguito di questa vicenda, nei sistemi di messaggistica si è deciso di adottare la c.d. crittografia
end-to-end (i.e., da un dispositivo all’altro i messaggi sono tutti criptati).
54
10^ Lezione (09/11/2020) | Capitolo 9: La ricerca nelle banche dati giuridiche
PlusPlus24
• Ricerca attraverso un’unica interfaccia in diverse banche dati integrate che includono normativa,
giurisprudenza integrale e massimata, prassi, riviste, formule, ecc.
• Possibilità di effettuare diversi tipi di ricerca;
• Presenza di servizi correlati alla ricerca e alla gestione dei documenti.
Contenuto della banca dati PlusPlus24
• Una raccolta della legislazione nazionale, regionale e comunitaria;
• I codici istituzionali ei principali codici dell’ordinamento;
• La giurisprudenza di legittimità, di merito, costituzionale, amministrativa e comunitaria;
• Un’ampia selezione relativa alla prassi amministrativa nazionale;
• Un formulario legale con atti personalizzabili relativi a diversi ambiti;
• I commenti delle riviste professionali del Gruppo 24 Ore;
• Un’ampia selezione di massime di giurisprudenza pubblicate sulle principali riviste giuridiche a partire dal
2000;
• Gli articoli delle principali riviste legali del Sole 24 Ore;
• Una serie di dossier mensili in formato PDF («I Dossier di Lex24») con una premessa scritta da un esperto
a supporto della documentazione giuridica sugli argomenti di maggior interesse.
Come si presenta PlusPlus24?
55
Quali sono le modalità di ricerca?
1. Ricerca semplice à caratteristiche:
§ Velocità e completezza dei risultati;
§ Ricerca in tutte le banche dati disponibili (normativa, giurisprudenza, prassi, ecc.);
§ Funzione di completamento automatico;
§ Possibilità di cercare i provvedimenti usando il nome comune;
§ Possibilità di limitare l’ambito di ricerca a un determinato codice;
§ Possibilità di filtrare i risultati della ricerca (per: fonte; data; materia; testo);
§ Possibilità di ordinare i risultati.
2. Ricerca guidata (ricerca avanzata) à caratteristiche:
§ Ricerca per parole completa;
§ Possibilità di scegliere una o più fonti in cui effettuare la ricerca;
§ Possibilità di impostare parametri di affinamento della ricerca già in fase di impostazione.
3. Ricerca per parole chiave à caratteristiche:
§ Possibilità di specificare in maniera precisa come devono essere cercate le parole chiave;
§ Utilizzo degli operatori booleani:
a) “AND”: tutte queste parole;
b) “OR”: una di queste parole;
c) “NOT”: nessuna di queste parole.
§ Possibilità di cercare le parole chiave nel titolo o nel testo del documento.
Cosa si trova nelle sezioni?
• Ogni sezione è divisa in sotto-sezioni;
• Raccolte di codici, formulari, articoli o documenti su determinati argomenti;
• Possibilità di esplorare la struttura del Codice o l’elenco della sotto- sezione;
• Possibilità di impostare una ricerca per parole chiave in tutta o in una parte delle sotto-sezioni;
56
EUR-Lex
• EUR-Lex è un sito istituzionale curato dall’Ufficio delle pubblicazioni dell’Unione Europea;
• Contiene una banca dati pubblica che rappresenta la fonte ufficiale per il diritto comunitario;
• È disponibile nelle 24 lingue dell’Unione Europea;
• L’accesso alla banca dati è gratuito ma è possibile registrarsi per accedere a servizi aggiuntivi.
Contenuti di EUR-Lex
• Trattati;
• Accordi internazionali;
• Legislazione in vigore;
• Lavori preparatori;
• Giurisprudenza;
• Gazzetta Ufficiale dell’Unione Europea.
Come si presenta EUR-Lex?
Quali sono le modalità di ricerca?
1. Ricerca rapida: permette di effettuare ricerche libere sull’intero contenuto della banca dati attraverso
un’unica casella di inserimento delle parole chiave e dei parametri di ricerca;
2. Ricerca avanzata;
3. Ricerca per numero del documento;
4. Ricerca per numero CELEX;
5. Ricerca diretta della Gazzetta Ufficiale.
57
Nell’elenco dei risultati i documenti presentano solo le informazioni sintetiche, tra cui:
• Il numero CELEX;
• Il titolo;
• Gli estremi di pubblicazione;
• La forma giuridica;
• L’autore;
• La data di pubblicazione.
Gazzetta Ufficiale dell’Unione Europea
• Edita quotidianamente in tutte le lingue ufficiali dell’Unione;
• Serie L: Legislazione;
• Serie C: Comunicazioni ed Informazioni;
• Supplementi: atti preparatori dei processi legislativi e bandi di concorso per l’assunzione di personale.
58
11^ Lezione (16/11/2020) | Capitolo 10: La Rete e gli scambi
I contratti informatici (in senso lato)
I contratti informatici (in senso lato) sono tutti quei contratti che trovano la loro funzione economico-sociale
nell’informatica o nei quali gli strumenti ICT intervengono nella formazione del vincolo contrattuale o nella
fase esecutiva. Si suole distinguere tra:
1. Contratti dell’informatica;
2. Contratti informatici (in senso stretto):
• Contratti telematici;
• Contratti cibernetici.
I contratti dell'informatica
I contratti dell'informatica sono quei contratti aventi come oggetto l’acquisizione o l’utilizzo di strumenti e
servizi informatici e la raccolta e il trattamento di dati e informazioni con strumenti informatici. Distinguiamo:
• Contratti per la fornitura di strumenti ICT (hardware, software, sistemi informatici);
• Contratti per la fornitura di servizi informatici;
• Contratti per la fornitura di servizi Internet;
• Contratti per l’utilizzo di banche dati;
• Contratti per il trattamento di dati personali con strumenti ICT.
I contratti informatici (in senso stretto)
I contratti informatici (in senso stretto) sono quei contratti che si formano o sono eseguiti con l’impiego di
strumenti informatici. Distinguiamo tre categorie:
• Contratti telematici: contratti in cui la proposta e l’accettazione sono scambiate per via telematica;
• Contratti cibernetici: sono conclusi automaticamente tra un essere umano e un elaboratore oppure tra
due elaboratori à la volontà contrattuale è formulata dal sistema informatico senza alcun intervento
umano successivo alla programmazione;
• Smart contracts: disciplinati dall’art. 8-ter, Legge 11 febbraio 2019, n. 12 (c.d. «Decreto
Semplificazioni»). In particolare:
§ Tecnologie basate su registri distribuiti: tecnologie e protocolli informatici che usano un registro
condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su
basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l'archiviazione
di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non
alterabili e non modificabili à definizione di blockchain;
§ «Smart contract»: è un programma per elaboratore che opera su tecnologie basate su registri
distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti
dalle stesse (forma scritta previa identificazione informatica delle parti) à è un contratto sottoposto a
condizioni strutturate in base a un algoritmo, fondato su un registro distribuito e auto-eseguibile (i.e.,
in grado di fare seguire al verificarsi delle condizioni le conseguenze determinate dalle parti).
59
Contratti per la fornitura di servizi Internet
L’Internet Service Provider (ISP) è un soggetto che eroga sulla Rete. Tali soggetti si distinguono a seconda
dei servizi erogati, che possono avere natura complessa (es. connessione, posta elettronica, antivirus,
registrazione domini, housing, hosting, archiviazione dati, web marketing, ecc.), oltre che gratuiti o a
pagamento. Inoltre, spesso sono contratti per adesione (es. accesso a Internet) che a volte vengono conclusi
direttamente online.
N.B.: è molto importante tenere ben chiaro a mente quali siano le specifiche tecniche e i c.d. Service Level
Agreement (SLA) à i Service Level Agreement sono dei documenti contrattuali che definiscono, in maniera
condivisa e misurabile oggettivamente, i parametri e i livelli qualitativi minimi del servizio che una delle parti
(o entrambe) si impegna a erogare. I SLA possono stabilire anche:
• Diritti e obblighi delle parti;
• Requisiti di sicurezza;
• Modalità di verifica;
• Reportistica e incontri;
• Risoluzione dei conflitti.
Contratti per la circolazione di software e app
Tra i contratti per la circolazione di software e app rientrano diverse tipologie contrattuali, a seconda di
circostanze ed esigenze concrete. In particolare, si possono ricordare:
• Contratto di sviluppo di un software. Nello specifico:
§ Se lo sviluppatore è un’impresa à contratto di appalto di servizi;
§ Se lo sviluppatore è un libero professionista à contratto d’opera intellettuale;
• Contratto di compravendita: acquisto/cessione di un software;
• Contratto di licenza d’uso: concessione del diritto di usufruire del software in maniera gratuita o a fronte
del pagamento di un corrispettivo (locazione, noleggio, comodato, ecc.).
Le licenze si possono distinguere in diverse categorie, a seconda della previsione 0 meno di un

corrispettivo economico per l’uso del software:
§ Software commerciale;
§ Shareware/Trialware: messe a disposizione in maniera gratuita soltanto per un determinato periodo

di prova (esaurito il quale, si può decidere se acquistare o meno la versione a pagamento);
§ Adware (Advertising Software): possibilità di usufruire, senza il pagamento di un corrispettivo, del

software a fronte della presenza di inserzioni pubblicitarie;
§ Freeware: software o app messo a disposizione in maniera gratuita.
60
Il trasferimento del codice sorgente
Quando si parla di cessione del software, un problema importante e centrale è il trasferimento del codice
sorgente. Bisogna distinguere tra:
• Codice sorgente: insieme delle istruzioni scritte da un essere umano in un linguaggio di

programmazione. Per poter modificare o aggiornare un software, è indispensabile conoscerne il codice
sorgente (altrimenti, bisognerebbe de-compilare il codice oggetto, attività molto complessa);
• Codice oggetto: traduzione del codice sorgente in linguaggio macchina da parte di un «compilatore».
Per tali ragioni, un contratto può prevedere la consegna anche del codice sorgente, necessario appunto per
interventi di modifica, manutenzione e aggiornamento del software.
Uno strumento molto utilizzato per limitare i conflitti legati alla cessione del codice sorgente è quello del
deposito fiduciario del codice: il codice sorgente viene depositato presso un soggetto-custode
(depositario), il quale è così incaricato di custodire e consegnare il codice a una delle parti al verificarsi di
determinati eventi.
Licenza d’uso del software
Il licenziatario acquista la facoltà di utilizzare il software (gratis oppure a pagamento) e la proprietà

dell’eventuale supporto, mentre la proprietà e gli altri diritti sulla circolazione del software restano al suo
titolare.
Normalmente, la licenza d’uso comprende:
• Facoltà di utilizzare il software, correggerlo, conservarlo, ecc.;
• Limitazioni d’uso (licenza singola / multi-licenza, registrazione dispositivo, ecc.) e di responsabilità;
• Contenuto standard (c.d. End User License Agreement o EULA);
• A tempo limitato o indeterminato (compravendita software standard);
• Possibili servizi aggiuntivi (aggiornamento, assistenza);
Distinzione fra:
• Licenze di distribuzione: permettono la redistribuzione del software. Vengono stipulate solitamente tra
il programmatore e i suoi rivenditori autorizzati;
• Licenze a strappo (c.d. shrink wrap licence): sono delle licenze (sviluppatesi negli USA a partire dagli
Anni Ottanta) che devono tale nome al fatto che, originariamente, i software venivano venduti su dei
supporti (quali dischetti) in un involucro trasparente (wrap) à l’utente accettava le condizioni d’uso del
software semplicemente aprendo la confezione (senza, dunque, conoscere tutte le clausole).
Software open source e software libero
Oltre al software proprietario (sviluppato da una software house e nel quale non c’è alcuna accessione
gratuita al codice sorgente), esistono altre tipologie di programmi distribuiti con licenze o modalità diverse e
in cui il codice sorgente è a disposizione degli utenti, ovvero:
• Software di pubblico dominio: software su cui il titolare ha rinunciato a qualunque diritto economico à
liberamente utilizzabili da chiunque;
61
• Software open source software il cui codice sorgente è “aperto”, ovvero è a disposizione degli utenti;
• Software libero: concetto sviluppato da Richard Stallman agli inizi degli Anni Ottanta. Un software libero
deve garantire quattro libertà fondamentali:
I. Libertà di eseguire il programma per qualsiasi scopo;
II. Libertà di studiare il programma e modificarlo;
III. Libertà di ridistribuire gratuitamente copie del programma;
IV. Libertà di migliorare il programma e di distribuirne pubblicamente i miglioramenti.
Modello copyleft
Il modello copyleft (lett. “diritto di copia abbandonato/lasciato”) è stato ideato nel 1984 da Richard Stallman,
ideatore del software libero e fondatore della Free Software Foundation.
Tra le varie licenze copyleft sviluppate da Stallman rientra la c.d. General Public License (GPL), che
consente al titolare di concedere l’uso del software (incluso il codice sorgente) a tutti gli utenti, in modo che
possano liberamente condividerlo e modificarlo; unica condizione posta è che il risultato venga poi
nuovamente messo in circolazione come software libero.
I contratti telematici
I contratti telematici sono tutti quei contratti conclusi a distanza e in formato digitale, mediante lo scambio
di proposta e accettazione per via telematica, attraverso strumenti ICT.
In particolare, i contratti telematici che vengono conclusi direttamente su internet con un click (sul c.d.
pulsante negoziale virtuale) si chiamano contratti virtuali.
N.B.: i contratti telematici (come l’acquisto di un bene su internet che viene poi recapitato fisicamente) vanno
distinti dai contratti a esecuzione telematica (come il download da internet di contenuti digitali).
Quanto è stabilito nel Codice civile può essere esteso anche ai contratti telematici à il contratto è concluso
quando il proponente ha conoscenza dell’accettazione (art. 1326 c.c.) e la proposta si presume conosciuta
quando giunge all’indirizzo del destinatario, salvo che non provi l’impossibilità di averne notizia (art. 1335
c.c.).
Quando un contratto a esecuzione telematica è concluso?
Un contratto a esecuzione telematica è concluso con il recapito del messaggio sul server del destinatario.
Dove un contratto a esecuzione telematica è concluso?
Un contratto a esecuzione telematica è concluso presso la sede del destinatario.
Il commercio elettronico («e-commerce»)
Il commercio elettronico («e-commerce») consiste nello svolgimento di un’attività commerciale e di

transazioni diverse per via elettronica con strumenti ICT. Tra i diversi tipi di contratti di e-commerce, si citano:
• Contratti tra imprese (B2B);
• Contratti tra imprese e consumatori (B2C);
62
• Contratti tra consumatori (C2C);
• Contratti tra P.A. e imprese o consumatori.
Altra distinzione è quella che riguarda:
• Commercio elettronico diretto:
• Commercio elettronico indiretto: l’acquisto avviene mediante un portale di e-commerce, ma il recapito

del bene acquistato viene intermediato da altri soggetti (come un vettore).
La normativa sull’e-commerce
Attraverso il D.lgs. 9 aprile 2003 n. 70, l’Italia ha recepito la Dir. n. 2000/31/CE (c.d. «Direttiva e-
commerce»), recante in generale quali siano gli obblighi e i doveri da seguire quando si svolge attività di
commercio elettronico.
L’e-commerce in quanto tale non richiede alcuna autorizzazione amministrativa:
• Informazioni accessibili e aggiornate, generali e specifiche;
• Trasparenza nelle comunicazioni commerciali.
Essendo il decreto legislativo risalente al 2003, si può dire che la normativa sull’e-commerce sia in continua
evoluzione:
• 2016: «E-commerce package» à divieto di compartimentazione del mercato (c.d. geoblocchi):

impossibilità di impedire l’accesso al portale di commercio elettronico a seconda del Paese in cui si trovi
l’utente;
• 2019: Nuove direttive sul contenuto digitale e sulla vendita di beni.
I contratti virtuali «point and click» e «browse wrap»
I contratti virtuali «point and click» (universalmente accettati) e «browse wrap» sono contratti conclusi
online, rispettivamente compilando un modulo e cliccando su pulsante o icona di accettazione (c.d. «tasto
negoziale virtuale») o continuando a navigare dopo l’avvertimento che ciò comporta adesione alle condizioni
generali.
• Obbligo di informare il cliente sulle condizioni generali di contratto e di inviare conferma dell’ordine
riepilogando termini contrattuali e diritti del cliente;
• Impossibilità di utilizzo per i contratti a forma vincolata (firma elettronica forte);
• Inefficacia delle clausole vessatorie.
Sicurezza dei pagamenti e criptovalute
Il denaro è un mezzo di scambio e, in quanto tale, richiede una serie di garanzie in merito alla genuinità delle
transazioni.
Quello dei Bitcoin è un accounting system: è un sistema di contabilità che, da un lato, svolge una funzione
del tutto equiparabile a quella del sistema bancario (seppur con dei vantaggi, come i minori costi), mentre
dall’altro garantisce la genuinità delle transazioni (dal momento che il sistema si basa sulla Blockchain, che
garantisce un sistema di validazione diffuso: tutti gli utenti della Rete sono in grado di verificare le
transazioni e di impedire modifiche non identificabili).
63
Pagamenti online: carte di credito, POS virtuali, carte prepagate, borsellini virtuali, gateway di pagamento.
Monete virtuali: mezzi di scambio accettati in pagamento su base volontaria, che non hanno corso legale in
alcun Paese e la cui circolazione non è regolata da istituzioni governative, ma da regole accettate dai membri
della comunità che ne fanno uso.
Proprietà intellettuale e diritto d’autore
Diritti di proprietà intellettuale: tutelano i frutti di inventiva e creatività umane. Rientrano in questa categoria:
• Diritti di proprietà industriale e commerciale (es. brevetto, marchio, ditta, insegna);
• Diritto d’autore: tutela le opere creative di carattere scientifico, letterario e artistico, i software e le
banche dati. Il diritto d’autore:
• Nasce automaticamente in capo all’autore con la creazione dell’opera (ø registrazione, come avviene
per esempio nel caso di brevetto);
• Si fonda sull’indipendenza tra titolarità del diritto d’autore e proprietà del supporto dell’opera e
sull’indipendenza delle facoltà di utilizzazione.
• Comprende il diritto di sfruttamento economico e il diritto morale d’autore.
N.B.: il diritto d’autore va distinto dal copyright (che è il sistema di tutela delle opere creative presente
nei sistemi di Common Law), che letteralmente indica il diritto di copia à è il diritto di controllare il
trasferimento delle copie di un’opera (dunque, sostanzialmente equivale al diritto di sfruttamento
economico dell’opera).
Diritto morale, diritto patrimoniale e diritti connessi
Il diritto morale d’autore consiste nel diritto alla paternità dell’opera connesso in maniera inscindibile
all’autore. È un diritto:
• Inalienabile, irrinunciabile e imprescrittibile;
• La cui durata è illimitata.
Il diritto patrimoniale d’autore è il diritto allo sfruttamento economico in via esclusiva dell’opera in ogni
forma. In particolare:
64
• L’autore può liberamente disporne cedendo a terzi, gratis o a pagamento, le facoltà di cui si compone
(riproduzione, distribuzione, traduzione, rielaborazione, ecc.);
• Durata: 70 anni dalla morte dell’autore.
Infine, i diritti connessi sono tutti quei diritti di utilizzazione economica attribuiti a soggetti che intervengono
sull’opera altrui con attività d’impresa o con la propria creatività (es. produttori, emittenti radiotelevisive, artisti
interpreti, esecutori, fotografi).
Normativa sul diritto d’autore
In campo internazionale, la tutela del diritto d’autore nasce con la Convenzione di Berna per la protezione
delle opere letterarie e artistiche (1886) proprio per la necessità di dare un riconoscimento internazionale
a un diritto altrimenti facilmente violabile tra un Paese l’altro.
La successiva Convenzione di Roma per la protezione di artisti, interpreti ed esecutori, produttori di

fonogrammi ed organismi di radiodiffusione (1961) fu molto importante per tutelare proprio i diritti
connessi.
N.B.: entrambe le Convenzioni sono governate e gestite dal WIPO (World Intellectual Property
Organization).
Nell’ordinamento italiano, la disciplina è trattata dagli artt. 2575-2583 c. c. e dalla Legge n. 633/1941 (c.d.
Legge sul diritto d’Autore). In particolare:
• Sono tutelate le opere dell’ingegno di carattere creativo che appartengono alle scienze, alla letteratura,
alla musica, alle arti figurative, all’architettura, al teatro e al cinema, qualunque ne sia la forma di
espressione, i software e le banche dati.
• Caratteristica necessaria che le opere devono avere per essere tutelate dalla normativa sul diritto d’autore
è la creatività, intesa come l’insieme di originalità e novità:
§ Originalità: elaborazione intellettuale (personalità dell’autore);
§ Novità: elementi che la distinguano dalle opere precedenti.
Opere multimediali e siti web
Tra le opere tutelate dal diritto d’autore rientrano anche le opere multimediali e i siti web à opere creative
nell’era digitale:
• Facilità di riproduzione e trasmissione;
• Interattività;
• Multimedialità.
Natura composita (protezione per ogni singolo elemento creativo).
L’elaborazione e l’assemblaggio di opere esistenti per renderle fruibili in modo nuovo è un processo creativo.
65
Software e banche dati
I software e le banche dati sono espressamente indicati dalla Legge sul Diritto d’Autore come opere da
tutelare. In particolare, è previsto che l’autore di un software originale:
• Ha il diritto esclusivo di effettuare e autorizzare: riproduzione, traduzione, adattamento, modificazione,

distribuzione al pubblico del programma;
• Non può limitare: attività necessarie all’uso legittimo, copie di riserva, studio di idee e principi, attività
necessarie per l’interoperabilità con altri programmi.
Per quanto riguarda le banche dati:
• Se sono banche dati creative à il creatore della banca dati gode del diritto d’autore;
• I dati contenuti nella banca dati (anche non creativa) à il creatore della banca dati gode di un diritto «sui
generis»: egli, cioè, per un determinato periodo di tempo può opporsi a una copiatura indiscriminata dei
dati presenti sulla banca dati.
Opere digitali e nuovi servizi
L’attenzione particolare e la tutela verso le opere digitali è dovuta ad una radicale diminuzione dei costi di
distribuzione e accesso di un’opera, oltre che ai rischi di pirateria. Altre motivazioni sono:
• La loro natura immateriale e la prevalente assenza di supporto fisico;
• La facilità di duplicazione senza degrado;
• La circolazione in «formato liquido»;
• La possibilità di fruizione telematica in streaming;
• La facilità di self-publishing (autopubblicazione).
N.B.: è bene prestare attenzione ai c.d. TOS (Terms of Service) à mancato trasferimento agli utenti della
proprietà dei contenuti scaricati o fruiti.
Digital Rights Management (DRM)
I Digital Rights Management (DRM) sono dei dispositivi hardware/software incorporati nelle opere digitali
che permettono di controllarne l’utilizzo, ad esempio restringendolo a determinati utenti o dispositivi,
limitandolo nel tempo, impedendone la duplicazione o altri usi non autorizzati, ecc.
Sulla base della legge sul diritto d’autore, i titolari dei diritti sono autorizzati all’impiego di sistemi DRM.
Secondo alcuni, tuttavia, cuò comporterebbe uno scoraggiamento della circolazione delle opere digitali (con
conseguente incoraggiamento alla pirateria).
66
Licenze Creative Commons
Le licenze Creative Commons (CC) si ispirano al modello di copyleft e rappresentano una via di mezzo tra
il copyright e il pubblico dominio. I detentori dei diritti possono utilizzare tale licenza quando rilasciano
un’opera, con la possibilità di gestire i diritti in maniera flessibile, decidendo quali riservarsi e quali concedere
ai fruitori.
In tutte le licenze è incluso il diritto di copia e distribuzione; inoltre, sono presenti alcune clausole
(rappresentate da simboli standard). Dalla combinazione delle clausole prendono forma 11 licenze complete.
Le licenze Creative Commons in Italia
Nel luglio 2017, è stata pubblicata la traduzione ufficiale in italiano di 6 licenze nella versione 4.0 e della
licenza liberatoria CCO, utilizzabile per rinunciare al diritto d’autore su un’opera rilasciandola nel pubblico
dominio.
File sharing
Con file sharing si intende l’utilizzo delle reti telematiche per trasmettere, ricevere e condividere contenuti
in formato digitale.
• Nuovi formati di compressione: la possibilità di condividere le opere è stata resa possibile proprio dalla
creazione di nuovi formati di compressione (MP3, MP4, ecc.);
• Sistemi peer-to-peer (da Napster a eMule): sistemi di scambio “da pari a pari”.
Quali sono le condotte sanzionate dalla legge in Italia?
Anche in Italia, la Normativa prevede delle pene in caso di comportamenti illeciti. In particolare, nel caso di:
• Ricezione (download): sanzione amministrativa pecuniaria da € 154;
• Immissione (upload): multa (sanzione penale) da € 51 a € 2.065;
• Immissione + fini di lucro: reclusione da sei mesi a tre anni e multa da € 2.582 a € 15.493.
N.B.: non è punibile la fruizione in streaming di file protetti se il materiale non è copiato sul disco à l’uso e la
fruizione personale del file non sono oggetti di sanzione.
67
Il controllo delle violazioni nel Web
L’assenza di un’autorità centrale e la natura globale di Internet sollevano una serie di problemi inerenti ai
controlli circa la diffusione dei contenuti in Rete e la tutela di diritti potenzialmente lesi da comportamenti
illeciti:
• Cybersquatting: accaparramento illegittimo di nomi a dominio, fatta generalmente da ditte/imprese

concorrenti che poi volevano rivendere il dominio al loro titolare.
A partire dal 2000, l’ICANN (i.e., l’ente che a livello mondiale sovrintende alla registrazione dei nomi a
dominio) introdusse un procedimento amministrativo per la risoluzione delle dispute; tale procedimento
venne poi replicato in Italia durante lo stesso anno con riguardo ai nomi in dominio “.it”.
Responsabilità degli Internet Service Provider (ISP)
Secondo la già citata Direttiva 31/2000/CE sull’e-commerce, in linea generale gli ISP non sono responsabili
delle informazioni trattate e delle operazioni compiute da chi fruisce dei loro servizi, salvo che intervengano
sul contenuto o sullo svolgimento delle stesse operazioni.
Profili di responsabilità da valutare caso per caso: mere conduit, caching, hosting, content provider.
In ogni caso, gli ISP devono eventualmente contribuire alla individuazione del responsabile e porre fine all’illecito
(in caso contrario, rischierebbero di diventare a loro volta responsabili).
Il Regolamento AGCOM
• Delibera n. 680/13/CONS del 12 dicembre 2013 à Regolamento in materia di tutela del diritto d’autore
sulle reti di comunicazione elettronica.
• Il titolare che ritenga lesi i propri diritti può presentare istanza all’AGCOM, compilando un modello online
e chiedendo la rimozione dei contenuti illeciti.
• AGCOM informa gli interessati (gestore della pagina web, uploader e gestore dei servizi), che possono
procedere spontaneamente alla rimozione o replicare
• Al termine della procedura, se AGCOM ritiene fondata la segnalazione ordina la rimozione dei contenuti
illeciti (sanzioni amministrative in caso di inottemperanza e/o inosservanza).
68
12^ Lezione (23/11/2020) | Capitolo 11: Reati Informatici
Reati informatici
Per reato informatico si intende «qualunque comportamento criminoso nel quale il computer è coinvolto
come mezzo o come oggetto dell’azione delittuosa» (Carlo Sarzana di S. Ippolito) à deve esserci, al
contempo, un reato (ovvero, un comportamento criminoso) e un coinvolgimento della tecnologia (o come
mezzo, o come oggetto).
Iter legislativo
Nel nostro ordinamento, l’ingresso dei reati informatici è relativamente recente (riguarda, infatti, solo gli ultimi
30 anni):
• Il primo passaggio si è avuto con la Raccomandazione sulla Criminalità Informatica del 1989;
• Tale raccomandazione è stata recepita nell’ordinamento italiano solamente nel 1993, mediante la Legge
n. 547/93;
• Il passaggio successivo si ebbe con la modifica all’ambito della normativa e alla procedura, invocati dalla
Convenzione di Budapest sul cyber crime (23 novembre 2001);
• Siffatta Convenzione, infine, è stata recepita in Italia soltanto con la Legge n. 48/2008. Tra le altre cose,
l’Italia è uno dei 30 Stati che hanno ratificato la Convenzione.
Raccomandazione sulla Criminalità Informatica (R89/9)
Emanata il 13 settembre 1989 dal Consiglio d’Europa, prevedeva due liste di fattispecie penali: una lista
minima (contenente le condotte che gli Stati avrebbero dovuto perseguire penalmente) e una lista
facoltativa (contenente le condotte solo eventualmente punibili).
La Raccomandazione definisce inoltre quattro tipologie di reati informatici:
• Reati contro la riservatezza e la protezione dei dati personali (privacy);
• Reati contro il patrimonio, accesso non autorizzato e sabotaggio (tra cui accesso abusivo al sistema,
diffusione di virus, frode informatica, utilizzo indebito di carte di credito);
• Reati connessi alla diffusione di materiale pornografico (in particolare pedopornografico);
• Reati contro la proprietà intellettuale (diffusione di opere dell’ingegno, sistemi peer-to-peer per lo
scambio di file, tutela del software ecc.).
La lista minima
• Frode informatica;
• Falso in documenti informatici;
• Danneggiamento di dati e programmi;
• Sabotaggio informatico;
• Accesso abusivo associato alla violazione delle misure di sicurezza del sistema;
• Intercettazione non autorizzata;

69
• Riproduzione non autorizzata di programmi protetti;
• Riproduzione non autorizzata di topografie di prodotti a semiconduttore;
La lista facoltativa
• Alterazione di dati o programmi non autorizzata, sempre che non costituisca un danneggiamento;
• Spionaggio informatico, inteso come divulgazione di informazioni legate al segreto industriale o

commerciale;
• Utilizzo non autorizzato di un elaboratore o di una rete di elaboratori;
• Utilizzo non autorizzato di un programma informatico protetto, abusivamente riprodotto.
Legge 23 dicembre 1993, n. 547
«Modificazioni ed integrazioni alle norme del Codice penale e del codice di procedura penale in tema di
criminalità informatica».
Tale legge:
• Ha integrato il Codice penale prevedendo fattispecie nuove quali l’accesso abusivo a sistema
informatico (art. 615 ter c.p.) o la frode informatica (640 ter c.p.);
• Ha esteso all’ambito informatico e telematico alcune fattispecie penali già esistenti (es. art. 392 c.p.
«violenza sulle cose»).
Legge 18 marzo 2008, n. 48
«Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a
Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno».
In questo caso, si è avuta una:
• Armonizzazione delle disposizioni nazionali in materia di cyber-criminalità (caratteristica dei reati

informatici: portata transnazionale);
• Introduzione di strumenti processuali idonei al perseguimento dei reati informatici;
• Riorganizzazione dei reati informatici.
Reati informatici propri e impropri
Normalmente, la dottrina suole distinguere fra:
1. Reati necessariamente informatici (o «propri»): comprendono tutte le figure di illecito introdotte ex

novo dalle leggi n. 547/93 e n. 48/2008. I principali reati informatici propri sono:
o Accesso abusivo a sistema informatico;
o Diffusione di virus informatici;
o Frode informatica (in particolare phishing).
70
2. Reati eventualmente informatici (o «impropri»): includono i reati comuni (già esistenti) commessi con
l’ausilio di sistemi informatici. I principali reati informatici impropri sono:
o Diffamazione online;
o Cyber stalking.
Accesso abusivo a sistema informatico (Art. 615 ter c.p.)
«Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza

ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la
reclusione fino a tre anni».
Questo articolo:
o Punisce gli attacchi informatici;
o Ricalca una fattispecie già esistente, ovvero l’art. 614 del c.p. (avente ad oggetto la violazione di
domicilio).
o Ha introdotto il concetto di domicilio informatico.
Sistema Informatico
La giurisprudenza (Cass., Sez. VI, sentenza del 1999, n. 3067) ha fornito una definizione di sistema
informatico valida per tutte le fattispecie che vi facciano riferimento à per sistema informatico si intende:
"un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso
l'utilizzazione (anche parziale) di tecnologie informatiche”
che sono caratterizzate - per mezzo di un'attività di "codificazione" e "decodificazione" - dalla "registrazione"
o "memorizzazione", per mezzo di impulsi elettronici, su supporti adeguati, di "dati", cioè di rappresentazioni
elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione
automatica di tali dati, in modo da generare "informazioni", costituite da un insieme più o meno vasto di dati
organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente.
Misure di sicurezza (Cass. Pen., Sez. V., sentenza 7.11.2000 n. 12732)
Perché ci sia una violazione è necessario che il sistema informatico sia protetto. La Cassazione, tuttavia, ha
avuto modo di precisare che:
«non occorre che le misure di sicurezza siano costituite da chiavi di accesso o da altre analoghe protezioni
interne, ma da qualsiasi meccanismo di selezione dei soggetti abilitati all’accesso, anche solo strumenti
organizzativi all’interno di un’azienda: l’esistenza di mezzi efficaci di protezione è, in ogni caso, elemento
costitutivo della fattispecie incriminatrice».
Abusività dell’accesso (Cass. S.U. penali, sent. 27.10.2011 n. 4694)
Perché ci sia una violazione è necessario che l’accesso sia abusivo. Infatti:
“Integra il delitto previsto dall'art. 615 ter c.p. la condotta di colui che, pur essendo abilitato, acceda o si
mantenga in un sistema informatico o telematico protetto violando le condizioni e i limiti risultanti dal
complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso,
rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano
soggettivamente motivato l'ingresso nel sistema”.
71
Diffusione di virus informatici (Art. 615 quinques c.p.)
«Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i

dati o i programmi in esso contenuti o a esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o
l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna
o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con
la reclusione fino a due anni e con la multa sino a Euro 10.329».
La punizione prevista è piuttosto severa, mentre la fattispecie è piuttosto complessa: la diffusione di virus
informatici, d’altronde, è una delle minacce che, ai nostri giorni, sono più attuali.
I nuovi malware
Tra i malware che circolano in Rete, si citano:
• Trojan-Downloader: scaricano di nascosto programmi (di solito Trojan);
• Backdoor: aprono una «porta di accesso» al computer;
• Trojan-PSW: ricercano password e altre informazioni sensibili nel computer dell’utente;
• Clickjackers (anche chiamati likejackers): tentano di «catturare» con l’inganno il click dell’utente,
direzionandolo verso un determinato oggetto. Uno dei clickjackers più celebri fu quello con lo pseudo-
video dell’esecuzione di Osama Bin Laden.
Frode informatica (Art. 640 ter c.p.)
«Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o intervenendo senza

diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o
telematico [...], procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei
mesi a tre anni e con la multa da € 51 A € 1.032 [...]».
Questo articolo ricalca la struttura del reato di truffa (ex art. 640 c.p.) à l’attività fraudolenta dell’agente
investe non la persona, bensì il sistema informatico.
Alterazione di un sistema
Una definizione di cosa si intenda per alterazione di un sistema è la seguente:
«ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare
svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull’hardware che
sul software. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello
programmato».
Cassazione, 2013: condanna a carico di un dipendente dell’Agenzia delle entrate accusato di frode
informatica ai danni dello Stato e accesso abusivo nel sistema informatico al portale della Agenzia delle
Entrate di Pescara per avere, nella sua qualità di addetto al sistema operativo della Agenzia delle entrate di
Pescara, modificato le situazioni contributive, riducendo il debito o aumentando il credito di vari contribuenti.
72
Cyber Stalking (art. 612-bis co. 2 c.p.)
Il cyber stalking è un esempio di reato informatico improprio, introdotto qualche anno fa sulla falsariga del
sistema anglosassone (etimologicamente, infatti, deriva dal verbo inglese to stalk, “molestare
ossessivamente, perseguitare”).
Per cyber stalking si intende l’atteggiamento persecutorio da parte di un soggetto verso un altro, tale da
ingenerare uno stato perdurante di ansia e paura per l’incolumità propria o di persona legata da relazione
affettiva, ovvero da costringere lo stesso ad alterare le proprie abitudini di vita.
Sexting
Per sexting si intende l’invio di messaggi, immagini o video a sfondo sessuale o sessualmente espliciti tramite
dispositivi informatici portatili o fissi.
Fare sexting è tanto facile quanto pericoloso, soprattutto se a praticarlo sono adolescenti poco attenti alla
propria privacy e alla difesa della propria intimità. Come dimostrano diversi casi di cyberbullismo (ma anche
le vicende legate alle foto hot delle celebrità trafugate da iCloud), non sempre le foto o i video realizzati per
il sexting restano privati. Può capitare, per i motivi più svariati, che la persona che li riceve inizi a diffonderli
online, provocando danni (sia psicologici sia "d'immagine") difficilmente calcolabili.
Una volta che si preme sul pulsante invia, infatti, la foto o il video non sono più sotto il nostro diretto controllo
e, di fatto, chi li riceve può decidere di utilizzarli come meglio crede. Prima di diventare un fenomeno virale
del web, e trovarsi invischiati in una vicenda a dir poco squallida, è meglio accendere il cervello e pensare a
tutte le possibili conseguenze.
Revenge Porn
Il revenge porn è un reato à è una forma di abuso sessuale che riguarda la diffusione di foto o video di nudo
e di sesso esplicito senza il consenso del protagonista.
Il termine revenge porn accosta il concetto di vendetta (revenge) a quello della pornografia. Si tratta della
diffusione, in rete ma anche tramite servizi di messaggistica o e-mail, di immagini o video intimi o di atti
sessuali all’insaputa del protagonista. Lo scopo è quello di umiliare o danneggiare la vittima. Il recente disegno
di legge lo definisce «pornografia non consensuale», mentre l’Accademia della Crusca ha coniato
l’espressione ‘pornovendetta‘ per evitare il ricorso all’inglese.
Come fenomeno, si può considerare derivante dal sexting, se si tratta di riprese fatte a sè stessi di cui viene
fatto uso violento. Talvolta, si tratta infatti di immagini riprese o immortalate senza il consenso dell’interessato.
Anche quando la ripresa è stata consensuale rientra comunque nella categoria del revenge porn la sua
diffusione. Anche la minaccia di diffondere o rendere pubblici video o immagini di rapporti sessuali o pose
sessualmente esplicite è considerata revenge porn.
Art. 612 ter c.p. (L. 19 luglio 2019 n. 69):
• Salvo che il fatto costituisca più grave reato, chiunque, dopo averli realizzati o sottratti, invia, consegna,
cede, pubblica o diffonde immagini o video a contenuto sessualmente esplicito, destinati a rimanere
privati, senza il consenso delle persone rappresentate, è punito con la reclusione da uno a sei anni e con
la multa da euro 5.000 a euro 15.000.
• La stessa pena si applica a chi, avendo ricevuto o comunque acquisito le immagini o i video di cui al primo
comma, li invia, consegna, cede, pubblica o diffonde senza il consenso delle persone rappresentate al
fine di recare loro nocumento.
73
• La pena è aumentata se i fatti sono commessi dal coniuge, anche separato o divorziato, o da persona che
è o è stata legata da relazione affettiva alla persona offesa ovvero se i fatti sono commessi attraverso
strumenti informatici o telematici.
• La pena è aumentata da un terzo alla metà se i fatti sono commessi in danno di persona in condizione di
inferiorità fisica o psichica o in danno di una donna in stato di gravidanza.
Sexy estorsione (Sextorsion)
Il reato di estorsione a sfondo sessuale (sexy estorsione) ricalca la fattispecie dell’estorsione (art. 629 c.p.).
Adescamento dei minori (child grooming): Art. 609 undecies c.p.
“Chiunque, allo scopo di commettere i reati di cui agli articoli 600, 600-bis, 600-ter e 600-quater, anche se
relativi al materiale pornografico di cui all'articolo 600- quater.1, 600-quinquies, 609-bis, 609-quater, 609-
quinquies e 609-octies, adesca un minore di anni sedici, è punito, se il fatto non costituisce più grave reato,
con la reclusione da uno a tre anni”.
Per adescamento si intende qualsiasi atto volto a carpire la fiducia del minore attraverso artifici, lusinghe o
minacce posti in essere anche mediante l'utilizzo della rete internet o di altre reti o mezzi di comunicazione.
Si tratta di una fattispecie che può essere commessa anche mediante l’utilizzo della rete Internet (ergo, non
è una fattispecie di reato introdotta ad hoc per reprimere l’adescamento online): è, infatti, un reato mirato a
tutelare i minori dai reati di abuso generale.
Il legislatore italiano ha fatto la scelta di ampliare molto la sfera di punibilità (anche se non vi è stata nessuna
proposta di incontro, ma si è instaurato un clima di fiducia con il minore e l’agente è animato da scopi
sessuali).
«Minore di anni 16»: secondo il legislatore europeo «minori che non abbiano raggiunto l’età per esprimere
un valido consenso in materia sessuale» (dunque – nel nostro ordinamento – a minori degli anni quattordici).
Nell’art. 23 della Convenzione di Lanzarote, l’adescamento è solo through information and communication
technologies (art. 609 undecies: attraverso artifici, lusinghe o minacce posti in essere anche mediante
l'utilizzo della rete internet o di altre reti o mezzi di comunicazione).
È un reato di pericolo indiretto: condotte meramente preparatorie.
74
Sostituzione di persona (494 c.p.)
«Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in
errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome,
o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non
costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno».
È possibile che si tratti di una:
a. Impersonificazione totale: occultamento totale della propria identità mediante l’utilizzo indebito di dati
relativi all’identità e al reddito di un altro soggetto. L’impersonificazione può riguardare l’utilizzo indebito
di dati riferibili sia a un soggetto in vita sia a un soggetto deceduto;
b. Impersonificazione parziale: occultamento parziale della propria identità mediante l’impiego, in forma
combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi a un altro soggetto,
nell’ambito di quelli di cui alla lettera a)
Diffamazione on line (Art. 595 c.p.)
«Chiunque, comunicando con più persone, offende l'altrui reputazione, è punito con la reclusione fino a un
anno o con la multa fino a euro 1.032. Se l'offesa consiste nell'attribuzione di un fatto determinato, la pena è
della reclusione fino a due anni, ovvero della multa fino a euro 2.065. Se l'offesa è recata col mezzo della
stampa o con qualsiasi altro mezzo di pubblicità, ovvero in atto pubblico, la pena è della reclusione da sei
mesi a tre anni o della multa non inferiore a euro 516».
Cassazione Penale, Sez. V, 5 febbraio 2018, n. 5352: «anche in presenza di indizi apparentemente
stringenti e convergenti in ordine all’identificazione di un soggetto quale autore del reato (nickname e
mansione lavorativa corrispondenti a quelli dell’imputato e/o assenza di denuncia di usurpazione di identità
da parte di quest’ultimo), il presupposto imprescindibile per giungere ad una corretta motivazione sottesa ad
una pronuncia di condanna sia quello di provare con certezza la riconducibilità del post diffamatorio agli
imputati, attività possibile, però, soltanto attraverso il reperimento dell’indirizzo IP, dato, quest’ultimo,
quantomeno in grado di attestare l’effettiva titolarità del profilo “Facebook” attraverso l’intestazione della linea
telefonica allo stesso associata».
75
13^ Lezione (30/11/2020) | Capitolo 12: Reati Informatici
Definizione di digital forensics
L’informatica forense (digital forensics) è la disciplina che concerne l’attività di individuazione,

conservazione, protezione, estrazione, documentazione e ogni altra forma di trattamento e interpretazione
del dato memorizzato su un sistema informatico, al fine di essere valutato come prova nel processo.
Il punto che fa della ricerca del trattamento del dato un aspetto importante della digital forensics è l’utilizzo
dell’informazione ricavata da esso come prova all’interno di un processo.
Perché la computer forensics?
Qualsiasi dispositivo tecnologico che possieda un sistema di memorizzazione può contenere prove digitali:
PC, tablet, smartphone, fotocamera digitale, navigatore satellitare, impianto di riscaldamento controllato a
distanza, iPod, console per videogiochi, ecc.
La diffusione della tecnologia rende tali dispositivi sempre più protagonisti sulla scena del crimine, ma anche
in questioni civilistiche, fiscali, amministrative.
Ø L’elemento informatico come fine;
Ø L’elemento informatico come mezzo;
Ø L’elemento informatico come testimone.
Pertanto, quasi tutti gli oggetti che ci circondano possono essere potenzialmente fonti di prove digitali.
Casi recenti e «digital evidence»
Da un punto di vista strettamente giudiziario:
1. La prima investigazione che ha portato alla ribalta l’utilizzo della prova digitale (c.d. digital evidence) è il
Processo Senna1 à Ayrton Senna, pilota automobilistico brasiliano campione del mondo di Formula 1
nel 1988, 1990 e 1991 e per tali ragioni considerato uno dei più forti piloti di tutti i tempi, morì tragicamente
a seguito delle ferite riportate in un incidente alla curva Tamburello del circuito di Imola, durante il Gran
Premio di San Marino 1994.
Il processo, che durò molti anni, fu impostato per la prima volta proprio sulla prova digitale: venne cioè
ricostruito uni scenario digitale dell’incidente, collegando in maniera simultanea tutti i dati provenienti da
fonti diverse (quali la videocamera on-board della Williams di Senna, le due videocamere delle vetture di
Berger e Alboreto, le telemetrie, le comunicazioni tra i box e i piloti, le immagini televisive). Così facendo,
si riuscì a ricostruire in maniera molto fedele la dinamica dell’incidente.
Il processo si concluse con l’assoluzione degli imputati (dal momento che era sopraggiunta la prescrizione
del reato); tuttavia, si accertò che la morte di Senna fu dovuta alla rottura del piantone dello sterzo della
sua vettura.
2. Delitto di Garlasco (vedi infra);
3. Omicidio di Yara Gambirasio: Yara Gambirasio, all’epoca dei fatti appena tredicenne, fu dapprima rapita
e poi uccisa nel corso del 2010 a Brembate di Sopra. La lunga vicenda giudiziaria che ne seguì portò alla
condanna all’ergastolo di Massimo Bossetti (individuato attraverso screening di DNA tra i diversi abitanti
delle zone vicine).
1 Per approfondire: https://it.motorsport.com/f1/news/f1-le-testimonianze-del-caso-senna/6499550/

76
Tra le diverse prove che permisero di accettarne la colpevolezza, si citano le immagini di videocamere di
sicurezza che avevano inquadrato il suo furgone nei pressi del luogo (la palestra) da cui Yara venne rapita
e il fatto che il suo cellulare si agganciò alle cellule cui anche il telefono di Yara si era agganciato.
4. Nuovo processo BR (Brigate Rosse): si arrivò a sgominare la colonna delle nuove Brigate Rosse che si
stava ricostruendo tra la fine degli Anni Novanta e gli inizi degli Anni Duemila a seguito dell’arresto di
Nadia Desdemona Lioce (terrorista brigatista) e di Mario Galesi à al momento dell’arresto, vennero
sequestrati i due palmari della Lioce, attraverso l’analisi dei quali fu ricostruita l’intera vicenda: in quegli
anni, la Lioce era stata infatti complice dell’omicidio degli omicidi dei giuristi Massimo D’Antona e di Marco
Biagi.
L’analisi dei palmari fu resa possibile dal fatto che essi fossero privi di qualunque password o misura di
sicurezza accettabile.
Le prove digitali
Le prove digitali solo le informazioni in formato digitale che vengono recuperate e conservate affinché
possano diventare materiale probatorio.
Perché possano entrare in un processo, le prove digitali devono avere particolari requisiti di integrità e non
ripudiabilità (ovvero, non si deve contestare il fatto che effettivamente queste prove corrispondano agli
elementi che sono stati tratti sul luogo del delitto o in relazione alle persone indagate).
Per tali motivi, è particolarmente importante la c.d. catena di custodia à è importante che, dal momento in
cui vengano raccolte fino al momento in cui esse vengono utilizzate nel processo, sia tracciabile l’intero iter
compiuto dalle prove in modo che non ci siano delle “scoperture” tali da far ipotizzare una manipolazione
delle prove stesse.
N.B.: per “effetto CSI” si intende quell’effetto psicologico causato dalla grande diffusione di telefilm
polizieschi à il moltiplicarsi di queste serie TV poliziesche, nelle quali vengono raffigurate tecniche (più o
meno verosimili) di indagine criminale, genera aspettative nel pubblico legate all’esito di indagini e
investigazioni da parte della polizia scientifica.
Detto altrimenti, tale locuzione si riferisce al modo in cui alcune serie televisive di successo – come CSI -
Scena del crimine – hanno cambiato la percezione che la gente comune ha verso la medicina forense e le
perizie scientifiche in generale.
Chi si occupa di computer forensics?
• Informatici;
• Avvocati;
• Magistrati;
• Forze dell’Ordine;
• Investigatori;
• Assicurazioni;
• Aziende (Corporate Forensics).
77
Nel nostro ordinamento, il sempre più crescente utilizzo della prova digitale nell’ambito del processo ha
portato a conferire, alla disciplina, una sistematicità maggiore à Legge 18 marzo 2008, n.48: “Ratifica ed
esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23
novembre 2001, e norme di adeguamento dell'ordinamento interno”.
Questa legge ha portato alcune novità:
• Armonizzazione delle disposizioni nazionali in materia di cyber-criminalità (caratteristica dei reati

informatici: portata transnazionale);
• Introduzione di strumenti processuali idonei al perseguimento dei reati informatici;
• Riorganizzazione dei reati informatici.
Alla ricerca del dato informatico: Ispezioni e Perquisizioni
Ispezioni e perquisizioni sono alcuni degli strumenti di ricerca della prova. In particolare:
Ø Ispezioni: servono per identificare tracce utili alla repressione di un reato piuttosto che alla individuazione
del colpevole;
Ø Perquisizioni: sono finalizzate al reperimento dell’oggetto del reato o di tracce utili al suo reperimento.
In particolare, il nostro ordinamento prevede principi basilari in tema di ispezioni e perquisizioni:
• Necessità che le misure tecniche assicurino la conservazione dei dati originali;
• Adozione di procedure che non alterino i dati stessi.
Il processo di Digital Forensics
Il processo di Digital Forensics si compone di più passaggi, concatenati uno dopo l’altro e dove è necessario
che sia accertato, in maniera chiara ed incontestabile, il fatto che la prova digitale non venga in nessun modo
manipolata. Questi passaggi sonoM
1. Identificazione della fonte di prova:
• Isolare la scena;
• Ricercare impronte digitali;
• Effettuare una descrizione accurata e documentare tutto!
• Cercare appunti, diari, note dai quali si possano eventualmente ricavare password chiavi di cifratura o
altri elementi utili all’indagine;
• Individuare i supporti che potrebbero contenere prove digitali (computer, telefoni, PDA, fotocamere,
videocamere, memorie USB, navigatori satellitari, MP3, ecc.).
2. Acquisizione della prova. Come tutte le prove, anche quella digitale deve essere:
• Ammissibile;
• Autentica;
• Accurata;
78
• Completa;
• Convincente per il giudice.
Ovviamente, il non rispetto di anche solo uno dei sopracitati requisiti comporta la non ammissibilità in aula.
Cosa NON va fatto durante le operazioni di acquisizione della prova?
• Accendere o spegnere il computer sequestrato à rischio di perdere determinati dati che, ad esempio,
fosse memorizzati nella memoria cache (ergo, la memoria volatile del PC che si “svuota” ad ogni
spegnimento e accensione del device);
• Aspettare che il sistema operativo si sia caricato;
• Fare un giro nelle impostazioni del sistema;
• Aprire qualche documento e immagine sospetta;
• Leggere la propria email;
• Collegare un disco esterno;
• Fare copia e incolla di quello che si trova.
Lo strumento classico per l’acquisizione di una prova digitale è il sequestro del bene oppure la sua copia à
art. 354 c.p.p, 2° comma: Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro
“In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli
ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie
ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso [...] e provvedono, ove possibile,
alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la
conformità della copia all’originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato
e le cose a questo pertinenti”.
3) Conservazione della prova
La catena di custodia è l’insieme di quei documenti che tracciano la sorte della prova dal momento in cui
questa viene raccolta e utilizzata in giudizio; tale catena, dunque, fornisce la documentazione provante che
l’integrità dei dati è stata sempre preservata e non c’è stata alcuna modifica, seppur casuale.
Una qualsiasi modifica o la mancata documentazione di una fase della custodia può compromettere la validità
dell’analisi e la presentazione della prova.
4) Analisi forense. Può avvenire essenzialmente in due modi:
Ø Analisi «post-mortem»: se il dispositivo è spento. La migliore modalità di acquisizione è (ove possibile)

effettuare una copia bit per bit dell’intero supporto digitale, verificando l’integrità della copia con funzioni
di hash.
Come verificare la conformità e la successiva integrità della copia?
§ Verifica bit a bit: richiede tempi molto lunghi ed è possibile solo disponendo dell'originale;
§ Usando funzioni di hash (MD5, SHA1, SHA-256, SHA-512, ecc.) à una funzione di hash è una
funzione che, applicata ad un qualsiasi file, permette di ottenere come output una stringa alfanumerica
di una data lunghezza.
79
N.B.: normalmente, quando si fa una copia forense si fa utilizzo del c.d. Write Blocker, applicandolo
alla memoria al fine di impedire l’alterazione dei dati da copiare.
Ø Live Forensics Analysis: se il dispositivo è accesso. È la c.d analisi live; tra le due tipologie, non sempre
è quella preferibile, anche se in talune circostanze il ricorso ad essa sia essenzialmente obbligatorio (sulla
scena del crimine il dato digitale si trova su un sistema acceso; il sistema non può essere spento per
motivi di sicurezza, come nel caso di strumenti medicali, militari, video sorveglianza, ecc.; lo spegnimento
del computer creasse danno anche a terzi; se il disco è cifrato; se la «prova» si trova in una memoria
temporanea; se l’accesso al sistema è biometrico, ergo mediante impronta digitale, retina, ecc.).
Naturalmente, l’ambito di applicazione dell’analisi dipende dal tipo di device che si deve analizzare. In
particolare, si parla di:
• Disk forensics: estrazione di informazioni da hard disk;
• Memory forensics: recupero di informazioni dalla memoria di un dispositivo
• Network forensics: analisi di sistemi di rete;
• Internet forensics: illeciti che coinvolgono Internet.
Quale può essere l’oggetto dell’analisi effettuata sulla copia forense?
• Documenti (.docx, .xlsx, .pdf, ecc.);
• Immagini;
• Database;
• File di Log;
• File nascosti o cifrati, file cancellati;
• Partizioni nascoste;
• Steganografia: è la tecnica che permette di trasferire o trasmettere un contenuto mantenendo segreto

non soltanto il contenuto stesso (come avviene con la crittografia), ma anche il messaggio stesso.
• Posta elettronica, navigazione web, chat;
• Registri di sistema.
Cosa più dire riguardo l’analisi dei flussi di dati?
L’analisi del traffico di rete consiste essenzialmente nell’analisi del c.d. Log (i.e., il registro delle
comunicazioni) e dell’indirizzo IP. Tale analisi è formalmente in quanto permette di ricostruire fatti
analizzando il traffico di rete, ovvero:
• Tracce della navigazione;
• Posta elettronica;
• Software peer-to-peer;
• Social Network.
80
Come avviene (ed è disciplinata) l’acquisizione dei dati?
Art. 254 bis c.p.p. (introdotto ex novo dalla L. n. 48/2008):
“L’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di
telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per
esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante
copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a
quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di
conservare e proteggere adeguatamente i dati originali”.
In particolare, il passaggio finale di questo articolo (“È, comunque, ordinato al fornitore dei servizi di
conservare e proteggere adeguatamente i dati originali”) introduce il tema importante della c.d. data
retention.
Sul tema della data retention si esprime l’art. 132 del Codice sulla Privacy, il quale prevede che:
• I dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della
comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i
dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati
dal fornitore per dodici mesi dalla data della comunicazione;
• I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di
comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono
conservati per trenta giorni.
Questi periodi di conservazione erano previsti da una direttiva dell’Unione Europea del 2006 (2006/24/EC)
che però nel 2014 è stata dichiarata invalida dalla Corte di Giustizia dell’Unione Europea attraverso la
Sentenza Corte di Giustizia Europea 8/4/2014. Infatti:
• La Corte di Giustizia ritiene che, richiedendo la conservazione di quei dati e consentendo alle autorità
nazionali competenti di potervi accedere, la direttiva interferisca in modo serio con i diritti fondamentali
del rispetto della vita privata e di protezione dei dati personali;
• Secondo la Corte gli obblighi si applicano esclusivamente agli operatori di telefonia e non agli OTT (Over
The Top) come Skype, Viber, FaceTime, i quali però offrono anch’essi servizi di telefonia.
La normativa italiana successiva, in realtà, ha esteso i termini della data retention dapprima a 4 anni
attraverso il Decreto-legge Antiterrorismo del 2015 (riguardante la conservazione di tutti i dati fino al 30
giugno 2017) e successivamente a 6 anni con la Legge Europea 2017 (conservazione fino a «72 mesi»).
5. Valutazione tecnico-giuridica dei risultati e presentazione dei risultati
• I risultati, una volta valutati dal punto di vista tecnico-giuridico, devono essere presentati in forma
facilmente comprensibile anche a soggetti che non siano tecnicamente esperti in materia à i destinatari
(giudici, avvocati, amministratori) non hanno di solito competenze informatiche approfondite;
• Semplicità e chiarezza (non superficialità e approssimazione) devono essere sempre alla base della
presentazione della prova, altrimenti diventa inutile aver fatto un grande lavoro di analisi se poi non si
riesce a trasferire i risultati delle analisi in maniera intelligibile al giudice.
81
Un caso concreto: l’omicidio di Garlasco
Il delitto di Garlasco è stato un caso di omicidio avvenuto a Garlasco, in provincia di Pavia, il mattino del 13
agosto 2007 ai danni di Chiara Poggi.
Chiara Poggi fu assassinata a colpi di un oggetto contundente mai identificato (forse un martello), nella villetta
di famiglia a Garlasco, lunedì 13 agosto 2007. Secondo gli inquirenti conosceva l'assassino, avendogli aperto
la porta di casa in pigiama e in maniera spontanea, dato che non furono rilevati segni di effrazione all'interno
dell'abitazione.
La ragazza era sola in casa, mentre i genitori e il fratello erano in vacanza. Il fidanzato Alberto Stasi, studente
della Bocconi e in seguito impiegato commercialista, trovò il corpo della ragazza e diede l'allarme, ma i
sospetti si concentrarono subito su di lui a causa dell'eccessiva pulizia delle scarpe, come se le avesse
lucidate o cambiate dopo essere passato sul pavimento sporco di sangue (su cui avrebbe dovuto perlomeno
minimamente sporcarsi mentre vi camminava in cerca della fidanzata, o dopo), oltre che sull'assenza di
sangue sui vestiti (anche in questo caso, come se fossero stati cambiati) e su alcune incongruenze del suo
racconto.
Il 12 dicembre 2015 la corte suprema di cassazione riconobbe definitivamente come colpevole del delitto il
fidanzato della vittima, Alberto Stasi.
Perché trattiamo il delitto di Garlasco all’interno di questa lezione?
Il delitto di Garlasco è in questa sede rilevante dal momento che esso costituisce uno degli esempi più classici
di cattiva gestione della prova informatica da parte delle forze dell’ordine.
Alberto Stasi, infatti, portò spontaneamente alle forze dell’ordine il suo PC il giorno dopo il delitto affinché
venisse analizzato; probabilmente, da quel computer si sarebbero potute raccogliere molte risultanze
interessanti.
L’alibi dello Stasi era che lui aveva lavorato alla stesura della sua tesi in materia continuativa per tutta la
mattina in cui fu compiuto il delitto: in questo senso, lui consegnò alle forze dell’ordine il suo PC proprio per
dimostrare ciò.
82
In realtà, avvenne che le forze dell’ordine trattarono il dispositivo non seguendo quella che era la procedura
prevista: infatti, non solo lo accesero, ma incominciarono ad aprire un sacco di file e a salvarli all’esterno à
si stima che, a causa della non curanza delle forze dell’ordine, oltre il 70% dei metadati vennero cancellati o
andarono persi: non fu pertanto possibile stabilire in maniera inequivocabile se l’alibi portato da Stasi fosse
valido oppure no.
Per integrare i dati mancanti a causa delle alterazioni la ricerca volgeva ai metadati che attestano con certezza
(e questo è un’evidenza probatoria non contestata dalle parti) l’interazione diretta e sostanzialmente
continuativa dell’utente con il computer dalle ore 10.17 fino alle ore 12.20 del giorno 13 agosto
Captatore: cosa può fare?
I captatori non sono altro che dei trojan (i.e., un tipo di malware) che vengono inseriti in un dispositivo e sono
in grado di raccogliere una serie di informazioni all’insaputa del proprietario del dispositivo stesso.
Alcune delle attività che i captatori riescono a svolgere sono:
• Captazione dei dati in partenza ed in arrivo del dispositivo;
• Acquisizione di comunicazioni e conversazioni intrattenute mediante applicazione di instant messaging

(WhatsApp, Facebook Messenger, Instagram, ecc.);
• Attivazione del microfono;
• Attivazione della web camera;
• Perquisizione totale o parziale dell’hard disk;
• Decifrazione di tutto ciò che viene digitato sul dispositivo bersaglio (c.d. funzione keylogger);
• Geolocalizzazione e/o pedinamento elettronico.
Da sempre c’è stato un acceso dibattito con riguardo al possibile utilizzo in giudizio di una prova raccolta
mediante un captatore à nel 2016, una sentenza a sezioni unite sancì che potessero essere utilizzati
solamente nelle investigazioni particolarmente rilevanti (come nel caso di indagini contro la mafia, la
criminalità organizzata e il terrorismo); nel 2017, con la Riforma Orlando venne previsto l’utilizzo dei captatori
limitandone l’uso solamente alla raccolta e alla registrazione di conversazione tra persone presenti.
Tecniche di OSINT: Intelligence delle Fonti libere
La Open Source INTelligence, acronimo OSINT (in italiano: "Intelligence delle Fonti Libere"), è quella
disciplina dell'intelligence che si occupa della ricerca, raccolta ed analisi di dati e di notizie d'interesse
pubblico tratte da fonti aperte.
Le fonti di ricerca più utilizzate sono:
• Google Dorks: ricerca mediante operatori Booleani o attraverso filetype (comando che permette di
cercare un file con l'unica estensione inserita dopo);
• web.archive.org (way back machine): permette di andare a vedere un determinato sito web in un
momento storico passato;
• whois.domaintools.com: serve per vedere se un determinato nome a dominio è registrato così da

cercare di raccogliere informazioni sugli eventuali soggetti che lo hanno registrato;
• Social Network Analysis: è la mera analisi dei social network.
83
La computer forensics aziendale (Forensic Readiness)
La computer forensics applicata al contesto aziendale contribuisce a:
Ø introdurre metodologie, competenze e strumentazioni adeguate a individuare, acquisire e preservare

eventuali prove spendibili per fini investigativi o giudiziari;
Ø definire procedure di gestione degli incidenti relativi alla sicurezza informatica e di validazione delle policy
interne, al fine di ridurre i rischi a cui la tecnologia espone.
Tecniche di anti-forensics
Per tecniche di anti-forensics si intendono tutte quelle tecniche che servono a mettere in difficoltà i digital
investigator in modo da riuscire a occultare o a rendere difficile il reperimento delle evidenze digitali.
Si suole distinguere tra:
Ø Tecniche di distruzione: un dato che entra in Rete non esce mai più; ma anche su un dispositivo fisico
non è sufficiente cancellare il dato per distruggerlo, bensì è necessario utilizzare tecniche particolari
proprio perché il dato, una volta cancellato, normalmente può essere facilmente recuperato à un file può
essere definitivamente eliminato soltanto quando:
• Il file viene sovrascritto;
• Il supporto fisico viene distrutto;
• Vengono utilizzate delle pratiche particolarmente invasive (i.e., il c.d. Wiping) che servono
letteralmente a “spazzare via” l’intero contenuto del disco. Inoltre, esistono anche delle tecniche di
wiping a distanza: quando si smarrisce uno smartphone, ad esempio, si possono cancellare a distanza
tutte le informazioni presenti all’interno del device semplicemente cliccando su un tasto o pulsante.
Ø Tecniche di occultamento. Vengono distinte in:
• Occultamento fisico;
• Occultamento logico:
§ Alterazione dell’estensione dei file;
§ Crittografia, steganografia;
§ Codifiche alternative;
§ Aumento dei dati in modo da rendere difficile il recupero dei dati ricercati;
§ Inserimento dei dati in memorie di periferiche esterne o altri dispositivi (PSP, smartphone, ecc.).
Ø Tecniche di falsificazione: si alterano le tracce per depistare le indagini. Ne costituiscono un esempio:
• Furto di identità;
• Utilizzo rete Wi-Fi non protetta;
• Alterazione dei log.
Ø Tecniche di prevenzione.
84
CYBERSEC AWARENESS TRAINING
powered by
Nota Bene. Come già specificato nell’Introduzione, questa dispensa è stata aggiornata nell’Aprile
2022, con l’integrazione – alle pagine 85 e seguenti – di un’appendice denominata “CyberSec
Awareness” (riguardante le nozioni fondamentali in tema di consapevolezza e sicurezza informatica
e di phishing). Questa sezione del documento – che prende spunto dai video erogati dalla SAC
(the Security Awareness Company) non rientra nel programma di esame, ma è stata aggiunta
con la finalità di approfondire gli argomentati trattati nel corso del semestre in caso di eventuali
dubbi.
85
MODULO (1) | ELEMENTI DI BASE DELLA SICUREZZA
Introduzione
Questo breve corso non tecnico è pensato per tutti i collaboratori che gestiscono dati, computer,
dispositivi mobili, reti e risorse aziendali. Per poter utilizzare i dispositivi e le reti nell’ambito
dell’attività quotidiana, è necessario comprendere le nozioni di base sulla sicurezza delle
informazioni che si applicano alla vita professionale, personale e alla mobilità.
Perché dobbiamo interessarci alla sicurezza delle informazioni e alla consapevolezza?
La ragione risiede nel fatto che tutti abbiamo molte cose da proteggere, sia al lavoro che a casa.
Non solo dobbiamo proteggere il nostro patrimonio professionale e la nostra reputazione, ma anche
i nostri clienti, dipendenti e partner ci chiedono di garantire la loro sicurezza e privacy. Capita a tutti
di commettere errori: è nella natura umana sbagliare di quando in quando! Tuttavia, l’unica differenza
tra un errore e un attacco informatico è l’intenzione: le conseguenze – invece – sono le stesse.
Inoltre, gli attacchi informatici sono di fatto un affare da molti miliardi di dollari, che coinvolge persone
di tutto il mondo. I criminali informatici escogitano sempre nuovi metodi per violare i dati e mettere
a rischio le aziende. La produttività dei sistemi di sicurezza è l’unico modo di rinforzare la nostra
posizione nel continuo braccio di ferro con i criminali informatici.
La TOP 10 della consapevolezza sulla sicurezza delle informazioni
Lungo il percorso di consapevolezza sulla sicurezza, si incontreranno centinaia di minacce in ognuno

dei tre diversi ambiti della vita quotidiana. Sebbene le misure da adottare ogni giorno per aumentare
la sicurezza collettiva siano tantissime, la maggior parte di esse rientra in una delle categorie top 10
seguenti:
Anche se le minacce sono in continua evoluzione e i contesti cambiano, questo elenco rimane un
punto fermo a cui è possibile fare spesso ricorso: questo è il vero significato di consapevolezza sulla
sicurezza!
Risposta agli incidenti: stare all’erta
Quando si verifica un incendio, si chiamano i vigili del fuoco. Quando si verifica una rapina o un
incidente d’auto, si chiama la polizia. Quando ci si ammala, si chiama il medico. Ebbene, lo stesso
vale per la sicurezza delle informazioni: la tua preoccupazione principale deve essere quella di
proteggere l’azienda. Per una persona consapevole della sicurezza, questo significa sapere come
riconoscere un potenziale incidente della sicurezza e chi contattare immediatamente.
86
Password: la prima linea di difesa
Le password sono la prima linea di difesa per la sicurezza di quasi tutti i computer, siti Web,
videogiochi, telefoni o dispositivi mobili. Purtroppo, tendiamo ad annotarle, riutilizzarle e – quindi – a
renderle pressoché inefficaci: queste pratiche di sicurezza non sono sufficienti! Poiché la nostra
identità online e per la maggior parte protetta da password, è necessario individuare e rispondere
tempestivamente alle violazioni dei dati importanti. Se qualcuno riesce ad accedere a una o più delle
tue password, perdi il controllo della tua identità online: quella persona può trasformarsi in te e tutto
ciò che fa si ripercuote sulla tua vita!
Come salvaguardare al meglio la tua identità online e le password che la proteggono?
Seguendo queste semplici regole:
• Non utilizzare mai la stessa password per più account: ogni account deve avere una password
univoca.
• Non scrivere o memorizzare in alcun caso le password in posti ovvi: piuttosto, opta per uno strumento
per la gestione delle password (come un software che memorizza per te tutte le tue credenziali).
• Non rivelare mai a nessuno le tue password: mantienile segrete.
Malware: quanti ne esistono?
Normalmente conosciuti come malware, i ricercatori indicano che circolano in Internet quasi un
milione di tipi diversi di software dannosi in grado di infettare qualsiasi dispositivo. Dai telefoni ai
computer, dai tablet alle reti domestiche: ognuno rappresenta una minaccia
Su quali tipi di malware dobbiamo essere informati per la nostra vita personale, professionale e
mobile?
Ebbene, ogni malware è potenzialmente dannoso per il tuo computer fisso, il laptop o i dispositivi
mobili: a tal proposito, è sempre necessario utilizzare l’antivirus e il software di rilevamento di
malware. In particolare, distinguiamo tra:
• Adware: software che mostra o scarica automaticamente pubblicità indesiderate quando un utente è
online;
• Spyware: software dannoso che invia i dati personali di un utente ai criminali informatici;
• Virus: un virus si copia su un altro computer e infetta i file su questo computer. Il loro scopo è quasi
sempre quello di danneggiare il computer che infettano;
• Trojan: potente malware che si nasconde in un computer e permette ai malintenzionati di eseguire il

proprio software sul computer dell’utente;
• Keystroke Logger: malware che registra tutto ciò che un utente digita sulla tastiera.
• Ransomware: tipologia di malware che impedisce l’accesso a un sistema informatico finché non viene
pagato un riscatto (ransom).
87
Navigazione sicura e firewall umani
I firewall sono controlli tecnici che gestiscono il flusso del traffico di dati in due direzioni. Sono
pensati per controllare quali dati possono essere inviati o ricevuti da un’azienda, consentendo alle
persone perbene di svolgere il proprio lavoro e impedendo ai malintenzionati e al traffico Internet
ostile di danneggiare la rete. Poiché gli attacchi alle aziende sono indirizzati al personale, dobbiamo
tutti fungere da firewall umani per supportare i controlli tecnici in essere: dobbiamo proteggere e
controllare le informazioni – sia fisiche che elettroniche – che entrano ed escono dai computer e
dall’azienda.
In particolare, i firewall umani fanno attenzione ai particolari: essi si accorgono se un sito web si
collega ad HTTP anziché al più sicuro HTTPS nella barra degli indirizzi; si accorgono se qualcuno
chiede troppe PII (Personally Identifiable Information) e non le forniscono se non strettamente
necessario; infine, stanno attenti a non selezionare “Rispondi a tutti” in una e-mail se non pertinente.
Dunque, i firewall umani sanno come proteggere le informazioni: del resto, attenersi alla policy e
segnalare gli incidenti sono due compiti fondamentali svolti dai firewall umani consapevoli della
sicurezza per proteggere l'azienda.
Dobbiamo fare particolare attenzione sui social media. Pensiamo di parlare con i nostri “amici”, ma
potrebbe trattarsi invece di criminali. Fai attenzione ai truffatori, verifica regolarmente le impostazioni
sulla privacy e rifletti sempre prima di postare qualcosa: tutto ciò che accade in Internet rimane in
Internet! Accertati di conoscere e seguire le policy dei social al lavoro e fai ugualmente attenzione
nella vita privata. Lo stesso vale per le e-mail: usa estrema attenzione quando rispondi alle e-mail,
a quali informazioni personali, private o confidenziali fornisci e – di fondamentale importanza –
verifica l’identità del tuo interlocutore.
Ingegneria sociale e phishing: tipo di ingegneria sociale
L’ingegneria sociale (social engineering) non è altro che una truffa: una frode nel dominio umano;
insomma, truffatori e criminali che cercano di imbrogliarti o di derubarti. Del resto, è anche il metodo
utilizzato in oltre il 90% degli attacchi andati a buon fine ai danni delle aziende a livello mondiale.
L’ingegneria sociale può assumere varie forme:
• Dumpster Diving: che informazioni utili potrà mai trovare un criminale nella spazzatura elenchi telefonici?
Beh, elenchi telefonici, elenchi e format di posta elettronica aziendale, nomi e posizioni del personale con
responsabilità strategiche, cartelle cliniche, memorandum, copie cartacee, dischi, chiavette USB e dischi
rigidi. La lista è infinita ed è per questo che triturare e smaltire in modo adeguato i documenti è di
fondamentale importanza (sia a casa che al lavoro);
88
• Telefonate i criminali spesso contattano le vittime per telefono, fingendo di essere qualcun altro.
L’obiettivo è quello di convincerle a fornire informazioni personali e/o riservate: in particolare, questo
metodo è chiamato vishing;
• Di persona: sei sicuro che l’addetto alle consegne o il tecnico telefonico sia davvero chi dice di essere?
Oppure sta cercando di infiltrarsi nell’azienda usando l’ingegneria sociale?
• Phishing oltre il 90% delle violazioni di dati sono causate da attacchi di phishing e oltre il 30% delle e-
mail di phishing vengono aperte, rendendo il phishing la forma più comune ed efficace di ingegneria
sociale.
Come difendersi dall’ingegneria sociale?
Per difendersi dall’ingegneria sociale, basta avere una buona dose di buon senso e consapevolezza
della situazione. In particolare, ecco i modi per difendersi:
• Dumpster Diving: usa le macchine distruggi-documenti o cestini per lo smaltimento sicuro in ufficio e
procurati un distruggi-documenti per i documenti personali sensibili a casa;
• Telefonate: verifica sempre l’identità di chi chiama, prima di fornire informazioni. Se hai dei dubbi,
richiama utilizzando un numero conosciuto (come – ad esempio – il numero sulla carta di credito o sul
sito web dell’azienda);
• Di persona: riconosci e segnala quando qualcuno fa qualcosa fuori dalla norma oppure circola senza
autorizzazione;
• Phishing: non fare subito clic; piuttosto, prenditi tutto il tempo per esaminare un messaggio,
indipendentemente dal metodo di consegna, per assicurarti che provenga da una fonte legittima prima di
rispondere (o fare clic su di esso).
Mobillità e cloud: dispositivi mobili e cloud
I dispositivi mobili sono dei mini-computer portatili. Alcuni possono eseguire chiamate, altri
possono essere indossati e molti si trovano in tutte le case. Ma, al pari dei computer o di altra
tecnologia pronta all’uso, questi dispositivi sono intrinsecamente non sicuri: dipende da te informarti
sulle policy sui dispositivi mobili al lavoro e capire come proteggere al meglio i tuoi dispositivi mobili
personali e professionali. Sostituisci il termine cloud con l’espressione “computer altrui”: non ti
spaventa un po’? Ebbene, le tue operazioni bancarie, lo shopping, i social e il divertimento online
avvengono tutti sul computer di altre persone. Il fatto che oggigiorno sia tutto basato sul cloud rende
più che mai necessario diventare un firewall umano nei tre ambiti della sicurezza personale.
Il numero di cellulari, tablet e laptop supera il numero di abitanti del mondo: questi dispositivi sempre
connessi forniscono ai malintenzionati un obiettivo imponente, indipendentemente da dove ci
troviamo e da cosa facciamo.
Cosa possiamo fare per salvaguardare la sicurezza anche in movimento?
Alcuni consigli pratici:
• Disattiva Bluetooth e WiFi se inutilizzati: non connetterti mai alle reti pubbliche senza una VPN, ossia
una rete privata virtuale che crittografa la tua connessione e protegge le tue informazioni. Segui sempre
la politica delle organizzazioni su WiFi, VPN e dispositivi mobili.
89
• Proteggili con cura, sia nei domini fisici che informatici: il furto dei dispositivi e uno dei principali
problemi nei posti pubblici. Pertanto, scoraggia i ladri personalizzando i tuoi dispositivi con adesivi e case
inconfondibili. Inoltre, non lasciare incustoditi i dispositivi: tutti i dispositivi devono infatti essere protetti
con password o schemi efficaci e univoci sulla schermata di blocco.
• Verifica la fonte delle app per garantirne l’autenticità: i criminali informatici hanno inondato il mercato
con app dannose, false e fraudolente che somigliano a quelle reali. Dunque, fai delle ricerche prima di
scaricare qualcosa nei tuoi dispositivi personali e segui sempre la politica applicata per i dispositivi di
lavoro.
Backup e misure preventive: patch o non patch?
Al pari delle automobili, anche i computer e i software richiedono manutenzioni periodiche. A volte,
gli aggiornamenti aggiungono nuove funzionalità; è inoltre necessario applicare patch e
aggiornamenti a sistemi operativi, strumenti anti-malware e strumenti di sicurezza, oltre al software
applicativo quotidiano. In ufficio, segui la policy e le procedure per l’applicazione di patch. Tuttavia,
i dischi rigidi non sono eterni: gli SSD, dischi a stato solido, sono migliori, ma possono comunque
rovinarsi. I portatili e i tablet, per di più, possono cadere, rovinando i file.
Cosa si può fare?
Ebbene:
• A casa: esegui regolarmente il backup di tutti i dispositivi che possiedi o utilizzi personalmente. L’ideale
sarebbe eseguire un backup locale su un disco rigido o su un server domestico, oltre a un backup
automatico su cloud;
• Al lavoro: richiedi le policy di backup e seguile.
Sicurezza non tecnica e fisica: documenti, badge identificativi
Negli uffici ci sono molte cartelle, raccoglitori e fogli sparsi. Tenendo in ordine lo spazio di lavoro,
migliori il tuo comportamento per la sicurezza perché sei a conoscenza di quali informazioni possiedi
e dove si trovano. Quando lasci la scrivania, blocca il computer in modo che nessun altro possa
avere accesso ai tuoi file quando sei assente: qualsiasi cosa avvenga, infatti, porterà la tua firma. I
badge identificativi possono essere contraffatti. Fuori dal lavoro, dunque, nascondi il tuo badge in
modo che non possa essere fotografato, clonato perso o rubato. Inoltre, se è vero che nei punti fisici
di accesso controllati la gentilezza è una priorità, tuttavia non sono ammissibili prassi che violino le
procedure, quali piggybacking2(situazione in cui qualcuno effettua un accesso ad un area riservata
con il permesso, nella maggior parte dei casi ottenuto con l’inganno, di una persona autorizzata) e
tailgating (situazione in cui un individuo senza autorizzazione all’accesso segue da vicino un’altra
persona autorizzata in un’area riservata senza dare nell’occhio)3.
2 Ad esempio, chi vuole ottenere un accesso senza autorizzazione, potrebbe ad esempio presentarsi all’ingresso di
un’organizzazione, ben vestito, in giacca e cravatta spacciandosi per un cliente e di fatto eludendo i controlli anche del personale
addetto alla sicurezza; oppure, potrebbe presentarsi travestito da corriere o fattorino, magari trasportando un pacco ingombrante
chiedendo la cortesia a qualcuno del personale, in quel momento all’esterno, di aprire la porta d’ingresso protetta da una serratura
funzionante con badge aziendale.
3
Ad esempio, magari approfittando del momento in cui la persona autorizzata apre con il suo badge la porta e prima che
questa si chiuda ne approfitta per intrufolarsi all’interno.
90
Privacy: cos’è la privacy?
Privacy efficace significa che i dati tuoi e/o i dati dell’azienda non vengono visualizzati né utilizzati
da persone non autorizzate senza la necessità specifica di visualizzarli o utilizzarli. Le buone pratiche
sulla privacy illustrano nei dettagli l’utilizzo in modo appropriato dei dati, la modalità di archiviazione
e trasmissione e le persone autorizzate che possono venirvi a contatto. Le violazioni dei dati possono
mettere a rischio milioni di dati privati caduti nelle mani dei criminali informatici.
La privacy è spesso considerata il motivo principale del bisogno di sicurezza in tutto il mondo. Le
aziende spesso devono assoggettarsi ai regolamenti giuridici sulla privacy per la protezione dei
dati dei clienti. In particolare, il seguente elenco riassume i concetti più importanti:
• Stati Uniti: anzitutto, l’Health Insurance Portability and Accountability Act (HIPAA) garantisce che le
informazioni mediche siano mantenute confidenziali utilizzate solo per i fini previsti. Inoltre, la normativa
Payment Card Industry Data Security Standard (PCI-DSS) fa lo stesso per le aziende o gli operatori
commerciali che accettano, trasmettono memorizzano i dati dei titolari di carte. Infine, la normativa Family
Educational Rights and Privacy Act (FERPA) è una legge federale che regola l'accesso e la condivisione
dei dati relativi agli studenti
• Canada: è molto importante il Personal Information Protection and Electronic Documents Act
(PIPEDA), recepito dalla Legge Canadese nel 2000 per aumentare la fiducia dei consumatori e rispondere
all’UE con una normativa canadese a protezione dei cittadini europei.
• Unione Europea: il Regolamento generale sulla protezione dei dati (c.d. GDPR), in sostituzione della
Direttiva UE sulla protezione dei dati, ha esteso le norme sulla privacy anche ai cittadini UE residenti in
altri Paesi e ha armonizzato la protezione dei dati in tutta l'Unione Europea.
• India: l’Information Technology Act 2000 (ITA-2000) fornisce un quadro legale per la gestione delle
registrazioni elettroniche, prevedendo penali gravose per reati importanti (quali: utilizzare password altrui;
non conservare le registrazioni; accedere abusivamente ai sistemi informatici; ricevere dispositivi rubati).
• Giappone: l’Act on Protection of Personal Information (APPI) impone, alle aziende che possiedono
informazioni personali, di adottare misure specifiche per garantire la sicurezza e la segretezza dei dati.
• Australia: il Privacy Act del 1998 contiene 13 principi sulla privacy australiana. Essi si applicano a talune
aziende del settore privato e regolano la privacy dei dati per cartelle cliniche, sistemi di rendicontazione
del credito e sistemi fiscali.
Inoltre, alcuni Paesi hanno leggi molto più severe di altri: Cina e Venezuela – ad esempio – hanno
leggi sulla privacy limitate, mentre Argentina e Australia applicano normative più rigide.
Ovviamente, nessuna azienda vuole che una violazione dei dati inneschi un massiccio fenomeno di
furto di identità: una delle principali minacce che coinvolge tutti nel mondo. Le conseguenze per i
singoli sono tutt’altro che esclusivamente economiche: possono volerci anni per riparare i danni e
ripristinare la reputazione. Il 25% dei minori subirà un furto d’identità prima ancora di raggiungere i
18 anni. Inoltre, ogni anno vengono divulgate più di 4 miliardi di registrazioni personali (producendo
oltre 20 milioni di vittime di furto di identità soltanto negli Stati Uniti)
91
Pertanto, a casa come al lavoro non fornire mai e poi mai informazioni personali a nessuno, a meno
che tu non sappia per certo con chi hai a che fare e ne riconosca la necessità legittima. Questo
criterio si applica – in particolar modo – quando compili moduli basati sul web o aggiungi commenti
nell’area discussioni e nei siti dei social media: il nostro obiettivo, dunque, deve essere quello di
proteggere la privacy di tutti i clienti, dipendenti e partner. Rispetta le policy sulla privacy e segnala
immediatamente ogni violazione sospetta!
Perché la policy sulla privacy è così importante?
La policy è il fondamento del nostro impegno per la sicurezza sul posto di lavoro. Parte del tuo
lavoro consiste nel capire quali sono le tue responsabilità e le conseguenze delle policy lavorative
sulla tua vita e sulla tua capacità di eseguire il tuo lavoro. Rispettare la policy è fondamentale per
raggiungere i massimi livelli di sicurezza! La policy si applica a tutti: dagli appaltatori agli addetti alle
pulizie, dai tirocinanti agli alti dirigenti, et cetera. Insomma, nessuno è esentato dal rispetto della
policy.
Il tuo compito – in qualità di dipendente consapevole della sicurezza – è quello di stare all’erta e
garantire che le informazioni a cui accedi rimangano private. Ti invitiamo – pertanto – ad adottare gli
stessi criteri anche a casa: avere una policy sulla sicurezza anche a casa, infatti, è il modo migliore
per proteggerla dalle minacce informatiche (quali malware e furto di identità).
Considerazioni finali
Riassumendo. I 10 elementi fondamentali della consapevolezza sulla sicurezza che fanno parte
della nostra vita personale, professionale e mobile sono i seguenti:
Le persone consapevoli della sicurezza ascoltano e osservano ciò che avviene intorno a loro nei tre
domini e nei tre ambiti della loro vita. Confidiamo che vorrai seguire gli eventi sulla sicurezza del
mondo reale come parte della tua campagna continua di autoconsapevolezza e che vorrai
contribuire a divulgarne il messaggio a familiari, amici e colleghi
Ricorda: non si è mai troppo sicuri. La sicurezza non è un punto di arrivo, ma un processo, un
percorso: un percorso per tutti che consolida dei concetti semplici sul posto di lavoro!
92
MODULO (2) | ASPETTI FONDAMENTALI DEL PHISHING
Introduzione
Questo breve modulo si concentra sugli aspetti di base del phishing, sul modo in cui viene usato
e su come evitare di rimanere vittime di truffe. Sebbene l’obiettivo di questo corso sia dotarvi delle
conoscenze adeguate a proteggere la vostra organizzazione da crimini informatici, tutto ciò che
imparerete vi tornerà utile anche nella vostra vita personale.
Cos’è il phishing?
Il phishing è l’attacco di social engineering che sfrutta l’e-mail o gli sms per raggirare le persone al
fine di ottenere informazioni sensibili o costringerle a fare clic su link dannosi. Questi attacchi variano
per sofisticatezza e intenzionalità, ma tutti hanno una cosa in comune: infatti, prendono di mira i
soggetti umani. Come la maggior parte delle truffe, il phishing sfrutta le emozioni umane per
provocare una risposta: il malintenzionato tenta di farvi fare cose che normalmente sarebbero
contrarie ai vostri interessi (ad esempio, fare clic su un link, scaricare un allegato, inviare informazioni
sensibili). Insomma, tentano di convincervi a fare un qualcosa inventando scenari fittizi o situazioni
pretestuose, come fingere di offrirvi ingenti somme di denaro, spaventarvi per il mancato pagamento
di una tassa o inviarvi una falsa notifica di blocco del vostro conto bancario. Questi tipi di
manipolazione psicologica esistono da molto tempo: ad oggi, il phishing è uno dei metodi di attacco
più comuni e più riusciti utilizzati dai pirati informatici. Tuttavia, con una buona dose di
consapevolezza e buon senso potete evitare di rimanere vittime di phishing sia nella vita
professionale che nella vita privata.
Perché il phishing è un problema?
Da un punto di vista delle organizzazioni, gli attacchi di phishing sono estremamente efficaci e
pericolosi: dal malware che ruba i dati al ransomware che blocca il computer o che apre backdoor
attraverso cui sferrare attacchi, un attacco di phishing può potenzialmente comportare il blocco
totale delle attività della nostra organizzazione. Tenete presente che la maggior parte degli attacchi
informatici inizia con una campagna di phishing: basta un solo click per compromettere
completamente le nostre attività. Dal punto di vista personale, una truffa di phishing può comportare
il furto di identità (che – a sua volta – può comportare perdite finanziarie e difficoltà di varia natura):
è importante ricordare, in tal senso, che i criminali informatici non hanno pregiudizi e anzi sono pronti
ad attaccare chiunque, ovunque e in qualsiasi momento.
Fatta questa premessa teorica, vediamo adesso due esempi concreti riguardanti il phishing. In
particolare:
Esempio (1)
93
Molto probabilmente, nella vostra casella di posta personale avrete trovato e-mail contenenti questi
tipi di attacchi generici e non sofisticati. Essi sono relativamente facili da individuare poiché
presentano un layout disordinato, errori di ortografia e grammatica, promesse di denaro irrealistiche,
ecc. Nonostante tutto, le percentuali di successo di questi tentativi di frode sono ancora molto
elevate: le vittime di questi attacchi, infatti, spesso versano in difficoltà economiche e cadono
facilmente nella trappola di una promessa di soldi liquidi.
Esempio 2
Questa e-mail sembra provenire da una società rispettabile: non contiene molti errori di ortografia e
presenta uno scenario credibile. In casi del genere, come facciamo a sapere se si tratta di un’e-mail
vera o di un tentativo di truffa? Ebbene, il principale indizio è l’indirizzo e-mail nel campo “Da”: come
appare evidente, esso contiene una stringa casuale di caratteri che dovrebbe destare
immediatamente sospetti. Inoltre, la formulazione e la costruzione delle frasi nel corpo dell’e-mail
non sono proprio quelle che ti aspetteresti da un professionista o dal rappresentante di un’entità
aziendale: l’autore dell’e-mail non si rivolge direttamente al destinatario (chiamandolo per nome o
indicando il suo numero di conto); in aggiunta, nel testo sono presenti spazi inappropriati e un uso
del tutto casuale delle minuscole e delle maiuscole. Questi problemi – nell’insieme – forniscono
prove sufficienti a identificare un tentativo di phishing. Ad ogni modo, è molto utile far passare il
puntatore del mouse su un elemento dell’e-mail che contenesse un qualsivoglia collegamento
ipertestuale: in questo caso, infatti, se si passa il puntatore sul testo del link l’URL reindirizzerebbe
su un indirizzo casuale che in nessun modo assomiglia a un sito Web legittimo.
Smishing
Per smishing si intende il phishing tramite SMS. Proprio come nelle e-mail di phishing, viene
presentato uno scenario fraudolento in un SMS, cui fa seguito una richiesta di fare clic sul link. La
natura personale di questi attacchi li rende particolarmente pericolosi: le persone tendono a fidarsi
dei messaggi che arrivano al loro numero di telefono e, quando questi messaggi si presentano come
falsi avvisi relativi al loro conto bancario, le probabilità di click aumentano notevolmente.
94
Il seguente screenshot contiene un esempio lampante di smishing:
Ebbene, se ricevete un messaggio del genere chiamate il numero sul retro della vostra carta o
verificate le informazioni collegandovi al vostro conto in banca. In generale, siate sospettosi di
qualsiasi link casuale che ricevete nel messaggio di testo (e tenete presente che i pirati informatici
prendono di mira i dispositivi mobili allo stesso modo di qualsiasi altro dispositivo o computer).
Phishing avanzato
Non tutti gli attacchi di phishing presentano evidenti campanelli d’allarme come quelli che vedete in
queste e-mail o in questi SMS generici scritti in modo superficiale. Infatti:
• Spear phishing: prende di mira persone e organizzazioni specifiche, come responsabili delle risorse
umane, legali, operatori sanitari.
• Spoofing delle e-mail: falsificazione di un’intestazione e di un indirizzo e-mail del mittente in modo che
il messaggio sembri provenire da qualcuno o da qualche altra parte. Immaginate di ricevere la richiesta
dal vostro capo di visualizzare un documento allegato: quante probabilità ci sono che aprireste l’allegato?
• Compromissione della posta elettronica aziendale (c.d. frode del CEO o attacco man-in-the-
middle): si verifica quando un utente malintenzionato ottiene l’accesso ad un account di posta elettronica
aziendale e falsifica l’identità del proprietario per frodare dipendenti, clienti o partner in genere a scopo
di lucro.
• Whaling: prende di mira individui di alto profilo (come dirigenti e celebrità). In questo scenario, i truffatori
sono quasi sempre in possesso di informazioni di un certo livello sulle loro vittime, come il nome completo
o i nomi di parenti e amici, il che certamente aumenta la probabilità di riuscita dell’attacco.
95
Come è evidente, questi tipi di attacchi sono generalmente più sofisticati e difficili da individuare.
Pertanto, con queste tecniche di phishing così sofisticate è indispensabile sottolineare l’importanza
della consapevolezza: non date mai per scontato che la persona dall’altra parte sia davvero chi dice
di essere; inoltre, se ricoprite un ruolo di alto profilo dovete essere cauti e vigili nella verifica della
fonte prima di rispondere o divulgare qualsiasi informazione sensibile.
Come evitare di cadere vittima di phishing?
Ci sono alcune tecniche:
• Riconoscere gli indizi: se un’e-mail è scritta con un linguaggio intimidatorio o trasmette un senso di
urgenza ed è poco curata dal punto di vista grammaticale o contiene richieste di fare clic sul link o allegati
a caso, è probabile che si tratti di una truffa;
• Verificare l’origine: anche se un’e-mail proviene da qualcuno che conoscete, sospettate di qualsiasi
richiesta di informazioni sensibili o di denaro; utilizzate altresì il puntatore del mouse spostandolo su un
link (nella maggior parte dei casi, viene visualizzato l’intero URL: se non si tratta di un sito web di vostra
conoscenza, è probabile che siate vittime di un tentativo di phishing).
• Anche i dispositivi mobili sono obiettivi di phishing: non aprite mai un link a caso ricevuto tramite SMS
e prestate attenzione sui social media (veicolo di rapida diffusione delle truffe).
Spam
Gli SMS inaspettati non sempre rappresentano una minaccia per la sicurezza: in molti casi, può
semplicemente trattarsi di posta indesiderata (c.d. adware spam) che gli inserzionisti spesso
utilizzano per inviare messaggi a migliaia di persone contemporaneamente al fine di vendere
qualcosa o generare attività del sito web. Più fastidiose che pericolose, queste campagne di
messaggistica di massa esistono già da molto tempo prima dell’avvento di Internet e impiegano
un’ampia gamma di formati, come e-mail, SMS, posta ordinaria e messaggi vocali: ad esempio,
quell’offerta speciale legata alla carta di credito che avete ricevuto per posta, la telefonata di un
operatore di telemarketing che vi offre beni e servizi, ma anche la vendita porta a porta.
Dal punto di vista della sicurezza, anche se un messaggio di spam potrebbe non sempre contenere
contenuti dannosi è comunque meglio evitare di fare clic su un elemento qualsiasi o rispondere al
lavoro: per tale ragione, se ricevete una grande quantità di spam segnalatelo subito; a casa,
richiedete l’aggiunta dei vostri numeri di telefono e del vostro indirizzo e-mail al registro pubblico
delle opposizioni per ridurre la quantità di contatti non desiderati che ricevete; infine, proteggete i
vostri dati personali (non date il vostro nome, e-mail, numero di telefono o indirizzo a nessuno, a
meno che non sia assolutamente necessario: è in modo migliore per evitare di essere aggiunti agli
eventi di spamming).
Qual è la differenza tra phishing, spear phishing e spam?
In sintesi:
• Phishing: ha intenzioni criminali. Invece di venderti qualcosa, le e-mail di phishing – che sembrano
provenire da una fonte affidabile – cercano di farti fare qualcosa contro i tuoi interessi o contro gli interessi
della tua azienda, chiedendoti di compiere un’azione specifica che potrebbe causare dei danni ala tua
organizzazione;
96
• Spear Phishing: è un attacco e-mail focalizzato su una persona specifica o un’organizzazione. Come il
phishing ordinario, queste e-mail sono progettate per farti fare qualcosa contro i tuoi interessi; tuttavia,
questi attacchi avvengono dopo una ricerca accurata sul destinatario, includendo una componente
specifica che le rende particolarmente reali;
• Spam: è una e-mail indesiderata e non richiesta, inviata generalmente per scopi di marketing. Spesso,
cerca di venderti qualcosa, come ad esempio prodotti o servizi non richiesti. Tuttavia, se da un lato lo
spam è molto fastidioso, dall’altro lato raramente risulta – a differenza del phishing – dannoso.
Un ottimo strumento per difendersi dalle e-mail di phishing è costituito dal c.d. Phishing Alert
Button (PAB): esso – in buona sostanza – è un pulsante che offre a qualsiasi utente la possibilità di
segnalare e-mail sospette al team di sicurezza della propria organizzazione o azienda di
appartenenza.
Considerazioni finali
Riassumendo. Questi cenni generali di natura non tecnica possono essere riassunti in cinque
concetti: a) utilizzare il buon senso; b) rimanere concentrati; c) prendere del tempo; d) pensare prima
di fare clic; e) se si sospetta un attacco di phishing, segnalarlo immediatamente.
97
GLOSSARIO ESSENZIALE
Adware: software che visualizza o scarica automaticamente annunci pubblicitari indesiderati

quando l’utente è online, che raccoglie dati di marketing senza il consenso dell’utente o reindirizza
le richieste di ricerca su specifici siti pubblicitari.
APT (Advanced Persistent Threat, minaccia persistente avanzata): attacco alla rete,
generalmente difficile da rilevare tramite i controlli di sicurezza di rete, che perdura anche per periodi
di tempo prolungati e permette di rubare i dati finché non viene scoperto.
Backdoor: piccolo programma nocivo che conferisce al malintenzionato accesso non autorizzato a
una postazione di lavoro, in modo da controllarla da remoto.
Cavallo di Troia (trojan): potente malware che si nasconde in un computer e permette ai

malintenzionati di eseguire il proprio software sul computer.
Crimeware: malware che cerca di rubare denaro a una persona o a un istituto finanziario.
Frode CEO (CEO fraud): attacco di spear phishing destinato al personale della contabilità, durante
al quale l’hacker impersona il CEO (o altri dirigenti) e richiede urgentemente al dipendente di
trasferire grandi somme di denaro.
Ingegneria sociale (social engineering): manipolazione delle persone tale da portarle a svolgere
azioni o a divulgare informazioni riservate. Sebbene sime a un imbroglio a una semplice frode,
tipicamente consiste in un inganno o un raggiro effettuato allo scopo di raccogliere informazioni, per
frodi o accesso a un sistema informativo.
Keylogger: tipo di malware che registra ciò che viene scritto sulla tastiera e memorizza i tasti
premuti.
Malware: termine generico adoperato con riferimento ad una vasta gamma di programmi malevoli
utilizzati da un hacker per danneggiare, rubare o prendere il controllo di endpoint e server.
Phishing: tentativo di acquisire informazioni sensibili (nome utente, password, dettagli della carta di
credito) fingendosi un’entità attendibile e utilizzando e-mail inviate in blocco che cercano di eludere
i filtri antispam. Solitamente, si tratta di indirizzi e-mail che si spacciano per banche, popolari siti Web
o siti d’aste al fine di attirare gli utenti più sprovveduti.
Ransomware: tipo di malware che nega l’accesso a un sistema informatico finché non viene pagato
un riscatto.
Rootkit: raccolta di file installati su un sistema per alterarne le funzionalità in modo nocivo e invisibile.
Spam: e-mail non richieste e indesiderate. Circa il 70-90% delle e-mail su Internet è spam.
Spear Phishing: attacco mirato e concentrato via e-mail a una specifica persona o azienda con
l’obiettivo di penetrarne le difese. L’attacco avviene dopo la ricerca del bersaglio e presenta un
componente specifico personalizzato, concepito per portare l’obiettivo a svolgere azioni contro i
propri interessi.
98
Spoofing: tipo di impersonificazione tecnologica che cerca di ingannare una rete o un essere umano
per fargli credere che la fonte di determinate informazioni sia attendibile, quando invece non lo è.
Gli attacchi di e-mail spoofing, che sono fra i più diffusi, comportano spesso cose come la richiesta
di dati personali o transazioni finanziarie. Le e-mail sembrano provenire da mittenti attendibili, come
clienti, colleghi o responsabili, ma provengono in realtà da hacker che deliberatamente si fingono
qualcun altro per guadagnare la fiducia del destinatario e ottenere il suo aiuto in ciò che vogliono
fare. La richiesta potrebbe riguardare un trasferimento di denaro o l'autorizzazione per accedere a
un sistema.
Worm: malware autonomo che si replica in modo da diffondersi su altri computer.
99

Informatica Giuridica (Seconda Edizione)

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Informatica Giuridica (Seconda Edizione)

Caricato da

Copyright:

Formati disponibili

Corso di

Proff. GianLuca Pedrazzini & Massimo Ballerini

Obiettivi del corso:

L’esame si svolge in forma scritta secondo due modalità:

• Oggetto dell’informatica giuridica sono lo studio, l’ideazione e la realizzazione di applicativi o servizi

Evoluzione tecnologica e informatica

• Ambito statistico-previsionale: particolarmente importante nei sistemi di common law. Si trattava di

• Ambito documentario-informativo: studio di come la tecnologia potesse aiutare a organizzare e catalogare

Informatica giuridica documentale

L’informatica giuridica documentale studia la classificazione, l’organizzazione, l’immagazzinamento e il

La fatturazione elettronica garantisce maggiore rapidità ed efficienza al processo di contabilizzazione,

Siti web e social network

Internet e pubblicità degli avvocati

• Nel rispetto di verità, correttezza e trasparenza, senza violare la riservatezza e il segreto

• Evitando pubblicità comparative, equivoche, ingannevoli, denigratorie o suggestive;

• Senza indicare il nome di clienti (ancorché essi siano consenzienti);

✓ Divieto di pubblicità comparativa o «autocelebrativa» (sentenza CNF 19 dicembre 2014, n. 194);

Informatica giuridica giudiziaria. Processo civile telematico

L’informatica giuridica giudiziaria studia l’ideazione, la realizzazione e l’utilizzo di applicazioni informatiche

• Aumento della trasparenza e riduzione dei tempi di un processo;

• Semplificazione delle procedure e definizione di tempi certi per le singole fasi;

• Diminuzione dell’impiego di carta e materiale di consumo;

• Miglioramento dell’organizzazione e aumento della qualità dei servizi.

• Fino a 15.000.000 di accessi al giorno! (anche via app mobile);

• 1.193.430 soggetti abilitati (257.352 avvocati) e 2.749 Pubbliche Amministrazioni registrate;

• Processo Amministrativo Telematico (PAT), in vigore dal 1° gennaio 2018;

• Processo Tributario Telematico (PTT), in vigore dal 1° luglio 2019;

• Processo Contabile Telematico, in fase avanzata di sperimentazione;

• Processo Penale Telematico, in fase di sperimentazione.

Geolocalizzazione, profiling e pubblicità comportamentale

• Behavioural advertising: tecnica che permette di sottoporre ad un utente determinati inserzioni o

App di tracciamento (contact tracing)

IoT e assistenti virtuali

Intelligenza Artificiale (I. A.)

La Blockchain permette di garantire la genuinità e la non manomissione di una determinata sequenza o

• Immutabilità delle transazioni registrate e quindi l’impossibilità a modificare o annullare il contratto.

Realtà aumentata e realtà virtuale

Si suole distinguere tra:

Internet e overload informativo

Ricerca di informazioni su Internet

La ricerca di informazioni su Internet si articola in due fasi:

2. La valutazione dell’attendibilità delle informazioni trovate.

Valutare la qualità delle informazioni

Funzionamento di un motore di ricerca

Il lavoro di un motore di ricerca può essere suddiviso in tre fasi separate:

L’algoritmo di ricerca di Google

Contestualmente, Hummingbird utilizza altri algoritmi per:

• declassare i siti con molta pubblicità e spam (Panda, Penguin e PayDay);

• migliorare rilevanza e accuratezza dei risultati delle ricerche locali (Pigeon);

• aumentare la posizione delle pagine web mobile-friendly (Mobile Friendly);

• combattere le violazioni del copyright (Pirate);

• Monitoraggio e gestione del numero e della qualità dei link;

• Far leva sui social media;

• Ottimizzazione dei nomi delle immagini e dei file multimediali.

Deep web e dark web

Oggetto dell’informazione giuridica

• Normativa: la documentazione normativa riguarda la legislazione e le norme emanate da enti

Un atto normativo è identificato dai seguenti estremi:

a) Natura dell’atto (Legge, Decreto-Legge, Regolamento, ordinanza, ecc.)

c) Numero progressivo di inserimento nella raccolta ufficiale;

• Giurisprudenza: la documentazione giurisprudenziale è costituita dagli atti e dai provvedimenti emanati

Un atto giurisprudenziale è identificato da:

a) Organo giurisprudenziale emanante;

b) Tipo di atto adottato (sentenza, decreto, ordinanza, ecc.);