Dispensa Sicurezza Informatica

SICUREZZA
INFORMATICA
1. Information Security
e Mobile Security
1. Information Security e Mobile Security
Introduzione
Benvenuto nel corso di Poste Italiane dedicato alla sicurezza informatica, un tema delicato e
importante che investe numerosi aspetti della vita professionale.
In questo primo modulo del corso:
• ti introdurremo ai concetti di minaccia e vulnerabilità informatica;
• parleremo delle attività degli hacker e degli strumenti informatici cui ricorrono
• e ci concentreremo su due aspetti molto importanti per la sicurezza informatica:

l’aggiornamento del software e la scelta intelligente delle password.
Quando sei pronto, possiamo cominciare!
L’Information Security
L’Information Security è l’insieme delle misure, di carattere organizzativo e tecnologico, a
protezione dei sistemi informatici.
Alla base dell’Information Security ci sono concetti quali:
• l’autenticazione dell’utente;
• la riservatezza, l’integrità e disponibilità, di beni e asset informatici, dati, informazioni e

servizi gestiti o erogati in modo digitale;
• l’autenticità e la responsabilità (detta accountability);
• il non ripudio e l’affidabilità.
Il concetto di Information Security ha un carattere più generale di quello di cybersecurity, che ne

rappresenta un sottoinsieme, essendo un ambito della sicurezza che dipende solo dalla tecnologia
informatica (la cosiddetta IT security).
Gli obiettivi principali dell’Information Security per gli asset critici sono indicati dall’acronimo RID
(CIA in inglese) che sta per:
• Riservatezza («Confidentiality»);
• Integrità («Integrity»)
• e Disponibilità («Availability»).
Gli asset critici, a loro volta, si possono distinguere in:
• «primari» (come i processi di business o il patrimonio informativo)
• e «secondari» (come i server, la rete o lo storage).
Ogni asset richiede diversi livelli di protezione.
Poste Italiane - Copyright © - Tutti i diritti riservati pagina 1

Tutti i controlli, i meccanismi e le garanzie di sicurezza sono attuati per fornire uno o più di questi
tipi di protezione; e tutti i rischi, le minacce e le vulnerabilità vengono misurati per la loro potenziale
capacità di compromettere uno o più principi della triade RID (o CIA).
In aggiunta alla triade RID (o CIA), altri cinque principi e concetti di sicurezza sono rilevanti:
• Identification: il processo attraverso cui si rivendica un’identità quando si tenta di accedere

a un’area o sistema sicuro (l’esempio classico è l’inserimento di una username o l’utilizzo di
una smart card).
• Authentication, cioè la verifica che l’identità rivendicata sia valida. La forma più comune di
autenticazione è la password.
• Authorization, cioè la definizione di autorizzazioni e dinieghi di accesso alle risorse o allo

svolgimento di attività per un’identità specifica. Un soggetto identificato e autenticato
potrebbe essere loggato in rete, ma non avere i privilegi di accesso a un sistema.
• Auditing: la registrazione dei log di eventi e/o attività effettuati da un soggetto autenticatosi
su di un sistema. L’auditing è necessario ad esempio per rilevare tentativi di intrusione su di
un sistema e per ricostruire gli eventi occorsi.
• Accounting, vale a dire la verifica della compliance o di eventuali violazioni anche

attraverso l’esame dei file di log per. L’accounting viene garantito attraverso l’associazione
delle attività di un soggetto alla sua identità attraverso meccanismi di Auditing,
Identification, Authentication, Authorization. In base al principio dell’accounting, ogni
soggetto è responsabile delle proprie azioni.
Per avere una base di comprensione ed un linguaggio comune riguardo l’Information Security,
occorre far riferimento a:
• standard internazionali - quali la ISO/IEC 27000:2014 e la ISO/IEC 27035:2011 e la NIST;
• direttive emanate dall’Unione Europea quali la NIS che forniscono alcune definizioni
standard per l’ambito della sicurezza informatica.
Vediamole insieme.
ISO/IEC
L’International Organization for Standardization è un’organizzazione internazionale non governativa,

indipendente, per la normazione, che riunisce vari esperti per sviluppare e pubblicare requisiti, specifiche o
linee guida a livello mondiale, al fine di garantire qualità, sicurezza ed efficienza di materiali, prodotti,
processi e servizi.
NIST
National Institute of Standard and Technology, organizzazione statunitense responsabile per lo sviluppo di
standard e linee guida per la sicurezza delle informazioni.
NIS
È la Network and Information Security, attuata in Italia con il D.lgs 65/2018 in vigore dal 24 giugno 2018.
DEFINIZIONI

Evento
Per evento di sicurezza delle informazioni si intende:
• ai fini ISO/IEC 27000:2014 un’occorrenza di un sistema, servizio o rete che indica un’eventuale
violazione delle politiche di sicurezza o il fallimento dei controlli o una situazione precedentemente
sconosciuta che potrebbe essere rilevante per la sicurezza;
• ai fini della ISO/IEC 27035:2011 una possibile violazione della sicurezza delle informazioni, policy o
insuccesso dei controlli o una situazione precedentemente non nota che può essere rilevante ai fini
della sicurezza.
Minaccia
Per minaccia si intende la causa potenziale di un incidente indesiderato, che può determinare un danno a
un sistema o all’Organizzazione.
Incidente
Per incidente di sicurezza delle informazioni si intende:
• ai fini ISO/IEC 27000:2014, un singolo evento o una serie di eventi di sicurezza indesiderati o
inaspettati, che hanno una significativa probabilità di compromettere il business e minacciare la
sicurezza delle informazioni;
• ai fini ISO/IEC 27035:2011, un evento o più eventi di sicurezza delle informazioni indesiderati o
inattesi che hanno una significativa probabilità di compromettere le operazioni di business e
minacciare la sicurezza delle informazioni;
• secondo l’articolo 3, lett. l) del D.lgs. 65/2018, che attua la direttiva NIS in Italia, si intende ogni
evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi.
Vulnerabilità
Per vulnerabilità la ISO/IEC 27000:2014 si intende una debolezza di un asset o di un controllo che può
essere sfruttata da una o più minacce.
Rischio
Secondo l’articolo 3, lett. n) del D.lgs. 65/2018, che attua la direttiva NIS in Italia, per rischio si intende ogni
circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza
della rete e dei sistemi informativi.
Trattamento Incidente
Per trattamento dell’incidente si intendono tutte le procedure necessarie per l’identificazione, l’analisi e il
contenimento di un incidente e l’intervento in caso di incidente.
In Poste Italiane, la gestione degli eventi e incidenti di sicurezza informatica è disciplinata con la
procedura operativa «Gestione degli Eventi e degli Incidenti di Sicurezza informatica di
Gruppo», che trovi sulla Intranet.
Tale procedura regolamenta le fasi di monitoraggio dei potenziali eventi di sicurezza, il loro
trattamento e l’escalation in casi di incidente di particolare gravità fino al miglioramento continuo.
Nella procedura, per evento si intende qualsiasi occorrenza anomala in ambito Sicurezza IT che
non sia un falso positivo e osservabile sia attraverso piattaforme di monitoraggio sia attraverso
interazioni umane e che, a valle di una fase di triage, possa far ritenere che ci siano gli estremi per
la configurabilità di un incidente di sicurezza.
Per incidente di sicurezza si intende:

• una violazione (anche potenziale) della triade RID (o CIA), che può impattare su
Informazioni, Sistemi, Applicazioni e Pacchetti Applicativi;
• qualsiasi violazione o minaccia di violazione di policy aziendali;
• comportamenti definiti e codificati che possono configurare un illecito informatico;
• una violazione di prescrizioni normative;
• una violazione della sicurezza che comporta anche accidentalmente la distruzione, la

perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi,
conservati o comunque trattati (il cosiddetto Data breach).
Ai soli fini della Circolare n. 285 del 17 dicembre 2013 di Banca d’Italia rientrano nella
definizione di incidenti di sicurezza informatica anche i disservizi, i malfunzionamenti e le frodi.
I disservizi, i malfunzionamenti e le frodi
Più in dettaglio, nel capitolo “definizioni” della Procedura «Gestione degli Eventi e degli Incidenti di
Sicurezza informatica di Gruppo» di Gruppo si definiscono:
• «incidente di sicurezza informatica» ogni evento che implica la violazione o l’imminente minaccia di
violazione delle norme e delle prassi aziendali in materia di sicurezza delle informazioni (ad es.,
frodi informatiche, attacchi attraverso Internet e malfunzionamenti e disservizi);
• «incidente grave di sicurezza informatica» un incidente di sicurezza informatica da cui derivi almeno
una delle seguenti conseguenze:
a. perdite economiche elevate o prolungati disservizi per l’intermediario, anche a seguito di
ripetuti incidenti di minore entità;
b. disservizi rilevanti sulla clientela e altri soggetti (ad es., intermediari o infrastrutture di
pagamento); la valutazione della gravità considera il numero dei clienti o controparti
potenzialmente coinvolti e l’ammontare a rischio;
c. il rischio di inficiare la capacità della banca di conformarsi alle condizioni e agli obblighi di
legge o previsti dalla disciplina di vigilanza.
Mobile Security
Una parte molto importante della Information security riguarda la cosiddetta Mobile Security, cioè
la sicurezza delle applicazioni mobili.
In Poste Italiane, il servizio di Mobile Security per la sicurezza delle applicazioni mobili di Poste
Italiane e delle Società del Gruppo è in capo alla funzione Sicurezza Informatica.
Il servizio ha l’obiettivo di:
• analizzare le tipologie dei dati raccolti ed eventualmente trasmessi dalle App utilizzate;
• prevenire eventuali Data Breach;
• prevenire esposti dei clienti per illeciti riconducibili all’uso di App collegate a Poste Italiane
e/o alle Società del Gruppo;

• prevenire danni diretti e indiretti (come gli incidenti di sicurezza o il danno d’immagine)
dovuti a un utilizzo improprio delle App o dei marchi;
• tutelare la proprietà intellettuale (come ad esempio i diritti relativi al codice sorgente delle
App).
Il servizio di Mobile Security coinvolge tutte le App che espongono marchi riconducibili a Poste
Italiane o Società del Gruppo:
• quelle che sono sviluppate da o per conto del Gruppo Poste Italiane o da Terzi su iniziativa
individuale non autorizzata;
• quelle che pur non essendo di Poste Italiane o Società del Gruppo possono essere
riconducibili a esse, perché utilizzano simboli o segni distintivi analoghi
• e quelle che offrono funzionalità che prevedono il trattamento dei dati dei Clienti e sono
fruibili sia mediante i market ufficiali (come Google Play Store e Apple Store), sia attraverso
market alternativi, come Aptoide.
Il servizio di Mobile Security si articola in tre sotto-servizi e cioè:
• Mobile App Security Monitoring;
• Mobile App Security Assessment;
• e Mobile App Security By Design.
Il servizio Mobile App Security Monitoring ha avuto inizio nell’aprile del 2015 e ha come obiettivo:
• censire i market ufficiali o alternativi e le App in essi pubblicate;
• analizzare le App per rilevare eventuali minacce e vulnerabilità;
• definire le tecniche per la mitigazione/contrasto delle minacce/vulnerabilità riscontrate;
• rimozione delle App dai market;
• regular check nel tempo delle fasi precedentemente descritte.
Il servizio di Mobile App Security Assessment è stato avviato dalla funzione Sicurezza
Informatica nel dicembre 2014 al fine di:
• determinare il livello di sicurezza delle applicazioni mobili di Poste Italiane e delle Società
del Gruppo, attraverso l’esecuzione di Security Assessment, che sfruttano tecniche di
analisi statica e dinamica
• e garantire lo svolgimento delle attività di Mobile App Lab.
Infine, Il servizio di Mobile App Security By Design è volto a fornire i requisiti di sicurezza
relativamente alle nuove iniziative che Poste Italiane e le Società del Gruppo attivano per la
realizzazione di nuove App.
Questo servizio consente di controllare e indirizzare, in maniera dinamica e continua, gli aspetti
che riguardano il ciclo di vita delle App attraverso:

• la definizione dei processi e delle procedure sulla base di politiche, standard e best practice
consolidate, che garantiscono la sicurezza delle App;
• e il supporto alle strutture d’ingegneria e sviluppo delle App, per approfondire e

contestualizzare i requisiti già indicati nelle politiche, negli standard e nelle best practice di
sicurezza aziendale.
Dall’avvio del servizio di Mobile Security le applicazioni mobili del Gruppo e quelle non autorizzate,
comunque a esso riconducibili per similitudine di parole chiave, simboli e colori, sono monitorate
giornalmente. Il monitoraggio ha permesso di rimuovere complessivamente centinaia di
applicazioni, pubblicate sia sui market ufficiali che su quelli alternativi.
Sono costantemente effettuate attività di security assessment nei confronti delle principali App
del Gruppo (es. PosteID, BancoPosta, UfficioPostale, PostePay).
Le attività sono volte ad individuare e risolvere diverse vulnerabilità, che vengono poi condivise
con le funzioni d’ingegneria e sviluppo al fine gestire i piani di rientro.
Le attività di sicurezza hanno consentito a Poste Italiane di assolvere, in qualità di Identity Provider
(IdP), nell’ambito dell’iniziativa PosteID SPID, agli impegni assunti con la Convenzione stipulata
con l’Agenzia per l’Italia Digitale (AgID).
Malware e hacking
Ogni giorno che passa diventa sempre più chiaro che la sfida per la sicurezza informatica, in
tutte le sue declinazioni, è la vera sfida del futuro.
Infatti, il volume delle attività illecite che si consumano in ambito informatico restituisce ormai il
quadro di un’attività criminale organizzata, ramificata e aggressiva in tutto il mondo.
Ma come agiscono gli hacker e quali strumenti utilizzano?
Il mondo dell’hacking è incredibilmente complesso e in continua evoluzione, ma una delle attività

cardine cui i criminali informatici si dedicano è la violazione delle credenziali di autenticazione (es.
username e password), sia per appropriarsi di informazioni personali (come nella violazione di
un profilo social o di un cloud storage), sia per accedere illecitamente a prodotti e servizi (come
nel caso della violazione di credenziali bancarie).
Vediamo quali sono le tecniche principali usate dagli hacker per appropriarsi illecitamente delle
credenziali di accesso di una potenziale vittima.
Il “Brute force attack” è un tipo di attacco volto a scoprire una password tentando tutte le possibili
combinazioni di lettere, numeri e simboli tramite l’utilizzo di software apposito.
Con il “Keystroke monitoring” tramite uno strumento hardware o un software, detto keylogger,
vengono registrati i tasti digitati sulla tastiera dalla vittima.
Il “Phishing” è una attività illecita in cui, attraverso vari stratagemmi (come la riproduzione di siti
web, i falsi messaggi di posta elettronica o con programmi informatici detti malware) il
cybercriminale si impossessa fraudolentemente delle credenziali di autenticazione (username e
password) di un utente.

Con la tecnica del “Social engineering” il criminale cerca di conquistare la fiducia di un utente con
l’inganno, l’adulazione o l’impersonificazione per entrare in possesso delle sue credenziali di
autenticazione.
Lo “Sniffing” del traffico di rete (detto anche eavesdropping o snooping) è un attacco volto a
catturare i pacchetti che viaggiano in rete con l’intento di analizzarli.
Lo “sniffer” è un malware, ossia un software pernicioso che cattura le informazioni trasmesse in

rete, incluse le password in chiaro.
Infine, con lo “Spoofing (cioè il “mascheramento”) un attaccante simula di essere qualcun altro o
qualcos’altro.
Ad esempio alcune applicazioni software sono usate per simulare la schermata di accesso di un
sito noto. Quando un utente inserisce le credenziali, queste vengono catturate e poi utilizzate
illecitamente.
Altri tipi di attacchi utilizzano l’e-mail spoofing (lo spammer falsifica l’indirizzo e-mail per far credere
al destinatario che il mittente sia un altro soggetto e carpire delle informazioni) o il phone number
spoofing tramite cui lo spammer simula un contatto telefonico!
Aggiornamento software, password intelligenti e altre buone prassi

Nell’operatività quotidiana, sia professionale che domestica, vi sono diverse accortezze che
qualsiasi utente può adottare per aumentare drasticamente il livello della sua sicurezza nell’utilizzo
di strumenti informatici.
Particolarmente importanti sono gli aggiornamenti del software (le cosiddette “patch”) che
consentono di colmare le falle di sicurezza che vengono scoperte quasi quotidianamente.
Le suddette falle sono responsabili dell’accesso non autorizzato ai dati e della propagazione di
virus e malware e si possono trovare sia nei sistemi operativi, sia nelle applicazioni.
Anche nel caso in cui si proceda a un aggiornamento tempestivo (e possibilmente automatico) del
software, esistono le cosiddette falle di sicurezza “0-day”, ossia vulnerabilità note per le quali non
esiste nell’immediato alcun aggiornamento di sicurezza.
Poiché una gran parte del malware è veicolata tramite Internet e, quindi, tramite i browser di
navigazione, è utile usare una strategia cosiddetta a “doppio browser”, ovverosia avere sempre
due browser installati sul computer per utilizzare, almeno temporaneamente, il secondo browser
finché la falla di sicurezza del primo non viene risolta dal produttore.
Un’altra accortezza è quella di avere sul tuo computer un antivirus installato.
I software antivirus proteggono il sistema e i dati da un gran numero di software pericolosi ma

devono essere sempre aggiornati, dal momento che i cybercriminali diffondono continuamente in
rete sempre nuovi virus.
Inoltre, dal momento che non si può mai escludere che i dati vengano parzialmente o
completamente persi a seguito di errori involontari o inconsapevoli, di problemi tecnici, oppure a
causa di malware, per ridurre al minimo il rischio di perdita irrimediabile dei dati, è necessario
effettuarne regolarmente il cosiddetto “backup”, cioè il salvataggio periodico su un differente
supporto che in caso di necessità può essere usato per il ripristino dei dati persi.

Ora che hai capito che quello che gli hacker sono interessati a carpire le credenziali di
autenticazione, con particolare riferimento alle password, va da sé che occorre adottare opportuni
accorgimenti per fare in modo che siano sicure.
Essenzialmente una password è una stringa di caratteri e numeri e ancora oggi è la forma più
comune di autenticazione.
Le password sono tipicamente statiche, cioè tendono a non cambiare nel breve periodo.
Mediamente una password rimane la stessa per almeno 30 giorni.
Per molti versi le password possono rappresentare un meccanismo di sicurezza debole se non
vengono costruite correttamente.
Molto spesso l’utente sceglie una password facile da ricordare, ma di conseguenza anche facile da
scoprire o decifrare:
• le password generate casualmente sono più sicure, ma difficili da ricordare e ciò porta
diversi utenti a scriverle, compromettendone così la sicurezza;
• ancora oggi alcuni utenti hanno la pessima abitudine di condividere le loro password;
• i cybercriminali hanno molte strategie efficaci per individuare una password;
• alcune password vengono trasmesse in chiaro o con protocolli di cifratura deboli che
possono essere scardinati senza troppi sforzi;
• gli attacchi “brute force” possono individuare molto velocemente le password più deboli,
tentando tutte le possibili combinazioni, tipicamente tramite programmi, non manualmente.
La scelta poco avveduta di una password rappresenta una fonte di rischio per la sicurezza.
Per scegliere le tue password segui questi suggerimenti:
• la lunghezza minima deve essere di 8 caratteri (meglio se 12 o 16, laddove il sistema lo

consenta).
• considera che i calcoli per individuare una password di cui si suppone a priori la lunghezza
(8 caratteri è la più diffusa) sono più veloci di quelli per individuare una password di
lunghezza sconosciuta;
• componi la password mischiando lettere dell’alfabeto (maiuscole e minuscole), numeri e

caratteri speciali;
• fa’ che sia facile da memorizzare e non metterla per iscritto. Puoi usare una frase composta
da parole comuni, ma senza senso o parole compiute che contengono anche caratteri
speciali, come in questo esempio;
• ci sono dei programmi per collaudare la robustezza di una password ma non usarli per
testare con le password originali, bensì similari! La sicurezza non è mai troppa;
• usa password diverse per siti, servizi, e finalità diverse;
• in particolare, per i servizi online usa per ognuno di essi una password diversa e cambiala
nel rispetto delle policy aziendali o subito se hai il sospetto che possa essere stata
scoperta;

• se usi la stessa password per tutto e un cybercriminale la scopre, avrebbe accesso

istantaneo a tutto il tuo mondo online;
• ricorri a una «password history», cioè tieni traccia almeno delle ultime cinque password che
hai usato per evitare di riutilizzarle. Gli studi ci dicono che molti utenti hanno l’abitudine di
utilizzare sistematicamente due password a rotazione, ciascuna alla scadenza dell’altra.
Questo è un vero e proprio invito a nozze per gli hacker!
Nel 2017, l’Istituto Nazionale americano degli Standard e delle Tecnologie (il NIST) ha pubblicato
le linee guida per la realizzazione di una password sicura, intitolate “NIST Special Publication 800-
63. Appendix A” che stabiliscono nuove regole.

SICUREZZA
INFORMATICA
2. La Network and
Information Security
2. La Network and Information Security
Introduzione
Il 6 luglio del 2016 l’Unione Europea si è dotata della Direttiva 2016/1148, recante “misure per
un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”.
Questa direttiva, nota come NIS: Network and Information Security Directive, è poi entrata in
vigore l’8 agosto 2016 ed è stata attuata in Italia con il D.lgs. 18 maggio 2018, n. 65.
In questo modulo illustreremo:
• le ragioni che hanno portato alla NIS;
• i tre pilastri su cui si basa la NIS
• e il significato e i contenuti della direttiva, nonché le sue ricadute nel nostro Paese.
I tre pilastri della NIS

Le reti, i sistemi e i servizi informativi svolgono un ruolo vitale nella società. È essenziale che
essi siano affidabili e sicuri per le attività economiche e sociali e in particolare ai fini del
funzionamento del mercato interno.
La portata, la frequenza e l’impatto degli incidenti a carico della sicurezza stanno

aumentando e rappresentano una grave minaccia per le reti e i sistemi informativi, che
possono diventare un bersaglio per azioni intenzionalmente tese a danneggiarli o interromperne il
funzionamento.
Gli incidenti possono impedire l’esercizio delle attività economiche, provocare notevoli perdite
finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia.
Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi si è
pertanto reso necessario un approccio globale a livello di Unione, che contemplasse la creazione
di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di
informazioni, cooperazione e obblighi comuni di sicurezza per gli operatori di servizi essenziali
(Operators of Essential Services) e i fornitori di servizi digitali (Digital Service Providers).
E la risposta a queste esigenze è stata proprio la NIS e i suoi più recenti aggiornamenti
normativi.
Aggiornamenti normativi
In considerazione della «straordinaria necessità ed urgenza, nell’attuale quadro normativo… anche in

relazione a recenti attacchi alle reti di Paesi europei, di disporre, per le finalità di sicurezza nazionale, di un
sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della
sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate
a livello internazionale», in Italia è stato approvato dal Consiglio dei Ministri il D.l. 21 settembre 2019, n. 105
che è entrato in vigore il giorno successivo (22 settembre).

L’articolo 1, comma 17, lettera a), del decreto ha apportato una modifica all’articolo 4, comma 5, del D.lgs.
n. 65/2018 che riguarda l’elenco nazionale degli OES (Operatori dei Servizi Essenziali), istituito presso il
Ministero dello Sviluppo Economico. La modifica prevede espressamente che il Ministero inoltri l’elenco
nazionale degli OES ai seguenti soggetti:
a. Dipartimento delle informazioni per la sicurezza (DIS), quale punto di contatto unico, ossia l’organo
incaricato del coordinamento, a livello nazionale, delle questioni relative alla sicurezza delle reti e
dei sistemi informativi e della cooperazione transfrontaliera delle autorità competenti NIS con le
autorità competenti negli altri Stati membri, nonché con la rete di Computer Security Incident
Response Team (CSIRT) e con il gruppo di cooperazione o NIS Cooperation Group.
b. All’organo del Ministero dell’Interno preposto alla sicurezza e la regolarità dei servizi di
telecomunicazione, che si occupa di assicurare «i servizi di protezione informatica delle
infrastrutture critiche informatizzate di interesse nazionale». L’organo in questione è il Centro
Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC).
Inoltre, il predetto D.l. 105/2019 ha modificato anche l’articolo 9, comma 3, del D.lgs. 65/2018 affidando al
CSIRT italiano l’obbligo di informare le autorità competenti NIS, il DIS ed il CNAIPIC in merito alle notifiche
di incidenti trasmesse dagli OES e DSP (Fornitori di Servizi Digitali).
Per conoscere nel dettaglio cosa sono il DIS, gli OES, i DSP e il CSIRT non devi far altro che procedere con
il corso.
La Direttiva NIS si propone di raggiungere un elevato livello comune europeo di sicurezza tramite
tre pilastri:
• requisiti;
• autorità e strategia;
• cooperazione.
Ogni Stato membro è stato quindi chiamato a:
• dotarsi di una strategia nazionale di cybersecurity, che definisca gli obiettivi strategici, le
politiche adeguate e le misure di regolamentazione;
• designare l’autorità competente per il controllo dell’applicazione della direttiva stessa a

livello nazionale e per gli scambi internazionali;
• designare uno o più Computer Security Incident Response Team (CSIRT), per il
monitoraggio degli incidenti a livello nazionale, l’invio di alert tempestivi, il reporting e
l’awareness su rischi e incidenti, in stretta cooperazione con i team degli altri paesi europei.
I contenuti della NIS

Nell’attuazione della Direttiva NIS, un ruolo di primo piano è riservato anche alle aziende
pubbliche e private, che gestiscono infrastrutture critiche (materiali e immateriali) del Paese, in
quanto operatori di servizi essenziali.
Nell’ambito dei servizi essenziali rientrano:
• l’Energia (elettricità, petrolio, gas);

• i Trasporti (aereo, ferroviario, acquatico e su strada);
• il Settore Bancario;
• le Infrastrutture del mercato finanziario;
• il Settore Sanitario;
• la Fornitura e distribuzione di acqua potabile
• e le Infrastrutture digitali (Domain Name System, Top Level Domain e Internet Exchange
Point).
Nel perimetro dei DSP sono invece compresi:
• Mercato online;
• motori di ricerca online;
• servizi di cloud computing.
Gli operatori di servizi essenziali interessati dalla Direttiva NIS hanno requisiti di sicurezza ben più
stringenti dei fornitori di servizi digitali, a fronte della gravità del danno per il mantenimento delle
attività sociali e economiche critiche che potrebbe derivare da un’eventuale interruzione dei servizi
da loro erogati.
Gli OES sono tenuti ad adottare misure appropriate in grado di garantire un livello di sicurezza
delle reti e dei sistemi informativi adeguato al rischio esistente e nello specifico è loro compito:
• gestire i rischi per la sicurezza delle reti e dei sistemi informativi;
• prevenire e ridurre al minimo l’impatto degli incidenti per
• garantire la continuità dei servizi.
Inoltre, sia gli OES che i DSP hanno il dovere di notificare, senza indebito ritardo, alla competente
autorità NIS o al CSIRT nazionale tutti quelli incidenti che hanno un effetto negativo significativo
sulla continuità dei servizi essenziali forniti.
La NIS però non definisce le soglie per ciò che costituisce un “effetto negativo significativo”.
Per gli OES, le soglie dovrebbero essere determinate dagli Stati membri, mentre per i DSP, dalla
Commissione negli atti di esecuzione.
Ciononostante, la significatività dell’effetto negativo può essere valutata utilizzando i seguenti

parametri: numero di utenti interessati, durata dell’incidente e sua diffusione geografica.

Criteri generali
Guarda questa semplice infografica per capire quali son o gli obiettivi fondamentali della Direttiva NIS.
• Adottare misure tecniche e organizzative adeguate e

proporzionate alla gestione dei rischi posti alla sicurezza delle
reti e dei sistemi informativi
• Adottare misure adeguate per prevenire e minimizzare l'impatto

di incidenti e garantire la continuità dei servizi essenziali offerti
• Adempiere agli obblighi normativi di notifica, senza indebito

ritardo, all'autorità competente, come CSIRT (Computer Security
Incident Response Team) e CNAIPIC (Centro Nazionale
Anticrimine Informatico per la Protezione delle Infrastrutture
Critiche), degli incidenti aventi un impatto rilevante sulla
continuità dei servizi essenziali prestati
• Fornire all'autorità competente le informazioni necessarie a

valutare la sicurezza delle reti e dei sistemi informativi, compresi
i documenti relativi alle politiche di sicurezza
• Fornire all'autorità competente la prova dell'effettiva attuazione

delle politiche di sicurezza
La Direttiva NIS incoraggia la cooperazione pubblico/privato, lo scambio di informazioni e le best

practice. E, come abbiamo detto, prevede la creazione di una rete CSIRT nazionali e CERT-UE
per una cooperazione operativa su base volontaria.
È bene precisare che la Direttiva NIS non si applica al mondo dei fornitori di reti pubbliche di
comunicazioni o servizi di comunicazione elettronica accessibili al pubblico (come ad esempio le
Telco) in quanto soggetti, già da tempo, a requisiti di sicurezza simili nel quadro normativo
comunitario, come:
• la Direttiva 2009/140/CE;
• la Direttiva 2002/58/CE
• e il Regolamento UE 611/2013 recante “misure applicabili alla notifica delle violazioni di

dati personali a norma della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio
relativa alla vita privata e alle comunicazioni elettroniche”.
Nello specifico, le Telco hanno il dovere di:
• segnalare incidenti che hanno un impatto significativo sul funzionamento della rete o dei
servizi senza che sia indicato alcun termine (articoli 13a e 13b della Direttiva 2009/140/CE)
• e segnalare le violazioni dei dati personali (Data Breach) entro 24 ore.

Tuttavia, nel medio termine non ci saranno più regole specifiche per le Telco; ciò grazie al
Regolamento e-Privacy che sostituirà la Direttiva 2002/58/CE e che contiene degli interessanti
elementi di novità.
Gli elementi di qualità
Gli elementi di novità del Regolamento e-Privacy
I fornitori di servizi di comunicazione elettronica accessibili al pubblico saranno tenuti a notificare le

violazioni dei dati personali all’autorità competente, solo se è probabile che da ciò derivino rischi per diritti e
libertà delle persone fisiche, ed a darne comunicazione agli interessati, senza ingiustificato ritardo, solo in
caso di rischio elevato, al fine di consentire loro di adottare le precauzioni necessarie (non sono più tenuti a
notificare qualsiasi personal data breach, anche se è improbabile che ne derivino i predetti rischi).
Tutti i provider online, inclusi i fornitori di servizi di comunicazione elettronica accessibili al pubblico e gli
OTT, devono garantire un livello di sicurezza adeguato al rischio e notificare le violazioni dei dati personali
entro settantadue ore (non più ventiquattro ore per i fornitori, secondo l’e-Privacy Directive).
La ricezione delle NIS in Italia

Per ciò che concerne l’Italia, il 17 febbraio 2017 il governo ha adottato un programma nazionale di
sicurezza informatica per trasporre la Direttiva NIS: il Decreto del Presidente del Consiglio dei
ministri del 17 febbraio 2017 recante “indirizzi per la protezione cibernetica e la sicurezza
informatica nazionali”.
Oltre a ciò, è stata emessa e pubblicata, dall’Agenzia per l’Italia Digitale, la Circolare 17 marzo
2017, numero 1, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, poi
sostituita dalla Circolare del 18 aprile 2017, numero 2.
Questi atti sono stati emessi in attuazione della Direttiva del 1° agosto 2015 della Presidenza
del Consiglio dei Ministri, che emana disposizioni finalizzate a consolidare lo stato della
sicurezza informatica nazionale, alla luce dei crescenti rischi cibernetici che minacciano anche il
nostro Paese e che impone l’adozione di standard minimi di prevenzione e reazione ad eventi
cibernetici.
Tutte le Pubbliche Amministrazioni (ai sensi dell’articolo 2, comma 2, del Codice Amministrazione
Digitale) avevano tempo fino al 31 dicembre 2017 per implementare le misure di sicurezza ICT tra i
tre livelli di attuazione previsti (minimo, intermedio o standard, superiore) al fine di contrastare le
minacce più comuni e frequenti alle quali sono soggette.
Il livello minimo rappresenta la linea di base alla quale ogni amministrazione, indipendentemente
dalla sua natura e dimensione, deve necessariamente essere conforme. Fra le misure minime è
previsto anche che le PA accedano sistematicamente a servizi di early warning che consentano
loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza.
Il livello intermedio o standard rappresenta la situazione di riferimento per la maggior parte delle
amministrazioni.

Il livello superiore e ottimale dovrebbe essere adottato da tutte le amministrazioni maggiormente

esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) e
comunque rappresenta il target di riferimento per tutte le altre amministrazioni.
In Italia la Direttiva NIS è stata recepita con il Decreto Legislativo 65 del 18 maggio 2018.
Nel modello istituzionale scelto dal governo sono designate autorità competenti NIS i seguenti
Ministeri, ciascuno responsabile per uno o più settori rientranti nelle proprie aree di competenza:
• Ministero dello Sviluppo Economico;
• Ministero delle Infrastrutture e dei Trasporti;
• Ministero dell’Economia e delle Finanze;
• Ministero della Salute;
• Ministero dell’Ambiente e della Tutela del Territorio e del Mare.
Per alcuni ambiti, come la salute e la fornitura e distribuzione di acqua potabile, sono riconosciute
come autorità competenti anche le Regioni e Province autonome di Trento e Bolzano.
Recepimento NIS
Questo è lo schema di riferimento che indica l’ambito di competenza di ciascun Ministero designato
relativamente alla Direttiva NIS.
Nell’esecuzione dei propri compiti, le autorità competenti NIS hanno individuato 465 realtà,
pubbliche o private, quali operatori di servizi essenziali con una sede nel territorio nazionale;
l’elenco nazionale - istituito presso il Ministero dello sviluppo economico - sarà soggetto ad
aggiornamento periodico, ove necessario e comunque ogni due anni, al fine di tener conto di
eventuali nuove realtà, potenzialmente in grado di rafforzare la sicurezza nell’erogazione dei
servizi essenziali.

Gli OES e i DSP, dal canto loro, sono chiamati a:
• adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi
posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni;
• prevenire e minimizzare l’impatto di incidenti, al fine di assicurare la continuità del servizio.
Un incidente a carico di un DSP va considerato rilevante se si verifica almeno una delle seguenti
condizioni:
• indisponibilità del servizio fornito per oltre 5.000.000 di ore utente;
• perdita di integrità, autenticità o riservatezza dei dati per oltre 100.000 utenti dell’UE;
• rischio per la sicurezza e/o l’incolumità pubblica, o in termini di perdite di vite umane;
• danni materiali superiori a 1.000.000 di euro per almeno un utente nell’UE.
I soggetti giuridici non identificati come OES o DSP possono inoltrare al CSIRT notifiche
volontarie degli incidenti che abbiano un impatto rilevante sulla continuità dei servizi da loro
erogati, al fine di accrescere i livelli di sicurezza, anche attraverso un maggiore scambio di
informazioni.
I compiti del CSIRT italiano sono:
• definire le procedure per la prevenzione e la gestione degli incidenti informatici;
• ricevere le notifiche di incidente, informandone il DIS (il Dipartimento per le Informazioni e

la Sicurezza) quale punto di contatto unico e per le attività di prevenzione e preparazione a
eventuali situazioni di crisi e di attivazione delle procedure di allertamento affidate al Nucleo
per la Sicurezza Cibernetica;
• fornire al soggetto che ha effettuato la notifica le informazioni che possono facilitare la

gestione efficace dell’evento;
• informare gli altri Stati UE, eventualmente coinvolti dall’incidente, tutelando la sicurezza e
gli interessi commerciali dell’OES o del DSP nonché la riservatezza delle informazioni
fornite;
• garantire la collaborazione nella rete di CSIRT, attraverso l’individuazione di forme di

cooperazione operativa, lo scambio di informazioni e la condivisione di best practice.
Il CSIRT italiano è istituito presso la Presidenza del Consiglio dei Ministri mediante unificazione
del Computer Emergency Response Team Nazionale per il settore privato e quello per la Pubblica
Amministrazione, assumendone i compiti.
La definizione del funzionamento e dell’organizzazione di questa nuova struttura - preposta alla

prevenzione e gestione dei rischi e degli incidenti informatici - è stata demandata ad un decreto del
Presidente del Consiglio dei ministri non ancora adottato, nonostante il termine finale del 9
novembre 2018; solo con l’entrata in vigore di tale decreto, le funzioni svolte dal CERT nazionale e
dal CERT-PA saranno trasferite al CSIRT italiano, pertanto fino a quel momento continueranno ad
essere esercitate da tali enti, in stretto raccordo tra loro
Quale punto di contatto unico NIS è stato designato il DIS, il Dipartimento per le Informazioni e
la Sicurezza. Spetta a quest’ultimo assicurare, a livello nazionale, il coordinamento delle questioni

relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo necessario
a garantire la cooperazione transfrontaliera delle Autorità competenti NIS italiane con quelle degli
altri Stati membri, con il Gruppo di cooperazione istituito presso la Commissione europea e la rete
dei CSIRT UE.
Rientra tra i compiti del DIS trasmettere annualmente al Gruppo di cooperazione una relazione
sulle notifiche ricevute - contenente numero e natura degli incidenti e le azioni intraprese da OSE e
DSP - e alla Commissione UE le informazioni per verificare l’attuazione della Direttiva NIS in Italia
(ogni due anni).
Se vuoi approfondire gli elementi normativi relativi alla sicurezza dei sistemi informativi e
informatici nel nostro Paese, fai pure riferimento ai seguenti documenti:
• Circolare Banca d’Italia 285 del 17 Dicembre 2013;
• Decreto del Presidente del Consiglio dei Ministri 24/04/2018.

SICUREZZA
INFORMATICA
3. Gli illeciti informatici

e gli Amministratori
di Sistema
3. Gli illeciti informatici e gli Amministratori di Sistema
Introduzione
I reati informatici, o cybercrime, sono illeciti penali caratterizzati dall’utilizzo della tecnologia
informatica (e, in particolare, dei sistemi informatici o telematici) quale oggetto materiale del reato
oppure quale mezzo per commetterli.
Ricordiamo che per “Sistema Informatico” si intende un complesso di apparecchi (come ad

esempio elaboratori, computer) e di programmi (software per elaboratori, software di base e
software applicativi) per acquisire in modo automatico ed elaborare i dati.
Mentre per “Sistema Telematico” si intende l’insieme delle componenti informatiche collegate tra
di loro mediante una rete telematica.
In questo modulo del corso:
• vedremo le principali tipologie di reati informatici, inframmezzati da esempi concreti di illeciti

informatici;
• vedremo anche quali contromisure adottare per minimizzare i rischi di essere colpiti dai
cybercriminali
• e infine ci occuperemo del processo di gestione degli Amministratori di Sistema interni o

esterni.
Le principali tipologie di reati informatici

Il riciclaggio di denaro frutto di attività criminali di vario tipo è una delle attività più floride del
cybercrimine. In gergo tecnico viene chiamata “cyberlaundering”: un’attività che sfrutta a fini
criminali la possibilità di movimentazione del denaro a livello globale offerta dalle tecnologie di rete.
Un esempio di cyberlaundering è stato evidenziato da indagini internazionali: utenti della rete,

dopo aver comunicato le proprie coordinate bancarie a soggetti di regola operanti dall’estero, si
sono resi disponibili a trasferire le somme di denaro fatte confluire sui loro conti correnti tramite
bonifici online o prelievi in contanti, trattenendo per sé una certa percentuale.
Trattasi di denaro proveniente da attività illecite quali, a titolo esemplificativo, phishing (es.
sottrazione illecita delle credenziali di ignare vittime per le operazioni di home banking) e skimming
(acquisizione del numero di carta e del PIN tramite la strisciata della carta di credito su di un
apposito apparecchio denominato skimmer).
La condotta posta in essere dai beneficiari dei bonifici online, corresponsabili della truffa, è punita
ai sensi dell’articolo 648-bis del codice di penale in quanto idonea a porre in essere un’attività di
riciclaggio di somme di denaro provento di reato.
L’articolo 640-ter del codice penale punisce la condotta di chiunque altera in qualsiasi modo il
funzionamento di un sistema informatico o telematico oppure interviene senza diritto con qualsiasi
modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o a
esso pertinenti, procurando a sé o ad altri un ingiusto profitto con altrui danno.
Se poi il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più
soggetti o con abuso della qualità di operatore di sistema, si configura una circostanza aggravante.

A differenza della truffa, l’attività fraudolenta non investe una persona, di cui difetta l’induzione in
errore con artifizi o raggiri, bensì un sistema informatico o telematico.
Quindi la condotta illecita può consistere ad esempio in:
• creazione di anomalie di funzionamento nei sistemi
• e/o interventi illegittimi su programmi, dati o informazioni ivi residenti (per esempio tramite
un virus).
Si configura ad esempio il reato di frode informatica in caso di accesso ad un sito mediante

l’abusiva utilizzazione dei codici di accesso personale di un correntista e il trasferimento
fraudolento in proprio favore di somme di denaro depositate sul conto corrente della vittima della
frode.
VIRUS
Un Virus è un programma informatico composto da una serie di istruzioni finalizzate a eseguire poche e
semplici operazioni impiegando il minor numero di risorse, di modo da rendersi il più possibile invisibile.
La caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che
viene aperto un file infetto.
Un virus non è un programma eseguibile a sé stante, ma per essere attivato deve infettare un programma
ospite o una sequenza di codice che viene lanciata automaticamente, come ad esempio i virus che
sfruttano il boot sector che viene eseguito ad ogni avvio del dispositivo.
La tecnica solitamente usata dai virus è quella di infettare i file eseguibili (.exe) in cui il virus inserisce una
copia di sé stesso, ponendo tra le prime istruzioni un salto alla prima linea della sua copia e alla fine di essa
un altro salto all’inizio dell’esecuzione del programma originario. In questo modo quando un utente lancia un
programma infettato viene comunque assicurata l’esecuzione del programma stesso. L’utente non si
accorge che il virus è in esecuzione e sta svolgendo, a sua insaputa, le operazioni per il quale è stato
progettato.
Il virus, oltre ad auto-replicarsi, può procedere a una serie di operazioni estremamente dannose, che vanno
dalla semplice proposizione di messaggi (per esempio banner o popup non richiesti), all’apertura di
backdoor che possono consentire ai cybercriminali di accedere al computer, alla cattura di dati e
informazioni presenti su di esso, alla loro compromissione, fino ad arrivare alla loro distruzione!
Nel reato di frode informatica rientra anche la detenzione e l’uso di carte di credito clonate.
L’utilizzo di carte falsificate e la previa artificiosa captazione dei PIN di accesso integra l’ipotesi di
intervento «senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un
sistema informatico o telematico o a esso pertinenti», in quanto permette di penetrare
abusivamente all’interno dei sistemi bancari o postali, alterando i dati contabili mediante ordini
abusivi di operazioni di trasferimento fondi o prelievi.
Le carte possono essere clonate anche tramite una tecnica denominata «skimming», che
consente di acquisire il numero della carta e il codice PIN con la semplice «strisciata» della carta
su di un apparecchio denominato «skimmer».
Questo tipo di reato è codificato e punito dall’articolo 640-ter del codice penale.

L’Identity Theft o sostituzione di persona è un’attività illecita che consiste nell’ingannare la

vittima sostituendo illegittimamente la propria all’altrui persona, attribuendo a sé o ad altri un falso
nome o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici.
L’impersonificazione può essere totale o parziale, a seconda che si occulti totalmente la propria
identità (ad esempio mediante l’utilizzo indebito di dati relativi all’identità di un altro soggetto in vita
o meno) oppure parzialmente (se si utilizzano, in forma combinata, i dati relativi alla propria
persona e quelli di un altro soggetto).
Nel reato di sostituzione di persona rientra per esempio l’utilizzo di un account di posta elettronica
altrui tramite il quale il criminale si attribuisce, falsamente, le generalità di un diverso soggetto,
inducendo in errore l’utente nei confronti del quale tali generalità sono declinate, con il fine di
arrecare danno al soggetto le cui generalità sono state abusivamente spese.
Questo tipo di reato è codificato e punito all’articolo 494 del codice penale.
Esempi di illeciti informatici, casi concreti e contromisure

A questo punto cominciamo a vedere alcuni casi concreti di illeciti informatici per capire come
minimizzare i rischi di risultarne vittima.
Mettiamo il caso di un cliente che si presenta all’ufficio postale per disconoscere delle operazioni
online, effettuate tramite l’APP PosteID.
Il cliente racconta che il suo cellulare ha smesso di funzionare e chiamando l’operatore telefonico
di riferimento ha saputo che la sua SIM era stata bloccata per smarrimento… anche questo è un
episodio disconosciuto dallo stesso cliente.
Il cliente viene a conoscenza dell’avvenuta effettuazione di operazioni finanziarie dispositive

online, a sua insaputa; nello specifico un rimborso di Buoni Fruttiferi Postali per diverse migliaia di
euro, somma che veniva accreditata sul suo conto e utilizzata per un postagiro a favore di un terzo
soggetto con specifica causale.
Siamo, purtroppo, di fronte a un caso grave di illecito informatico!
COME MINIMIZZARE I RISCHI?
Per ridurre al minimo il rischio di essere vittime di un furto d’identità è bene conoscere e rispettare alcune
norme comportamentali. Vediamole insieme:
• MAI fornire tramite e-mail e/o telefonicamente dati riservati, come ad esempio password o numeri di
carta di credito;
• BISOGNA SEMPRE tenere aggiornati i software di protezione (antivirus, antispyware), il Sistema
Operativo e più in generale tutti i software installati sul computer, in quanto le più recenti versioni
dei browser non consentono più di contraffare le URL nella barra degli indirizzi;
• BISOGNA SEMPRE verificare l’autenticità della connessione con il sito di interesse (come ad
esempio quello dell’home banking), controllando il nome del sito nella barra di navigazione. Se fai
clic sull’icona del lucchetto o della chiave nella barra delle URL, puoi verificare la correttezza dei
dati visualizzati, leggendo il cosiddetto Rapporto di Sicurezza;
• SI DEVONO installare solo programmi di cui si conosce la provenienza. Se l’antivirus installato sul
computer segnala che la provenienza di un software è dubbia, NON procedere con l’installazione!
• SEGNALARE a chi di dovere ogni e-mail sospetta;
• MAI cliccare su link presenti in e-mail sospette, perché potrebbero condurti a siti contraffatti, anche
molto simili all’originale;

• MAI rispondere a e-mail che richiedono la verifica delle credenziali per l’accesso ai servizi finanziari;
• MAI inserire i propri dati di login cliccando direttamente sui link proposti all’interno di una e-mail.
Digita l’indirizzo del sito manualmente, in questo modo sarai certo di non incorrere in un sito
contraffatto;
• NON cancellare la sottoscrizione a una mailing list alla quale non ricordi di esserti iscritto. Potrebbe
trattarsi di un raggiro da parte di uno spammer per ottenere la conferma della validità del tuo
indirizzo e-mail!
• NON scrivere le tue password su fogli o biglietti che vengono lasciati incustoditi. Considera che
questo è uno degli errori più comuni che possono consentire ai cybercriminali di entrare in
possesso delle tue credenziali di accesso ai siti;
• NON bisogna MAI cedere a terzi le credenziali di autenticazione personali di accesso ai sistemi
informatici, come il nome utente, le password o le smartcard;
• MAI aprire allegati di e-mail ritenute sospette. È possibile che tali allegati, una volta aperti, installino
un malware che consente ai cybercriminali di accedere alle informazioni riservate presenti sul tuo
computer o anche di visualizzare tutto ciò che digiti sulla tastiera del computer, comprese le tue
password!
• PROTEGGI i documenti informatici contro i tentativi di falsificazione con gli strumenti di firma
digitale e crittografia, quando previsto;
• SEGNALA tempestivamente alle Autorità competenti i casi di furto d’identità, truffa e frode
informatica di cui sei stato vittima.
In Internet si possono configurare diversi fenomeni di violazione del diritto d’autore come:
• l’illecita riproduzione o diffusione di contenuti audiovisivi;
• la condivisione illegale di musica tramite il file sharing;
• l’illegittima diffusione di audiolibri via FTP;
• l’indebita diffusione di opere musicali e audiovisive sui social network;
• la compravendita di prodotti contraffatti
• e la violazione di marchi e brevetti.
Le stesse APP mobili, disponibili sui vari store (come ad esempio Google Play e Apple Store)
possono ledere un diritto d’autore. In alcuni casi una APP è un “website wrapper”, ossia
un’applicazione che incapsula al suo interno interi siti Internet. Come un qualsiasi browser (ad
esempio Internet Explorer, Google Chrome o Mozilla Firefox) consente di visualizzare il sito web
senza alterarne la fruizione ed i contenuti. Durante la navigazione sul portale di interesse,
l’applicazione website wrapper spesso fa visualizzare messaggi pubblicitari, tramite frame posti in
alto o in basso rispetto alla pagina visualizzata, il cosiddetto framing appunto.
Dal momento che questo vincola la visualizzazione dei contenuti di un sito ad elementi grafici
costanti, adibiti a cornice del sito web, esso integra una condotta contraria ai doveri di correttezza
professionale.
La tecnica del framing presenta gravi profili di illiceità ai sensi della disciplina della concorrenza
sleale, sfruttamento del lavoro altrui e per il rischio di ingenerare confusione negli utenti.
Senza contare che finisce per associare contenuti di qualunque genere al sito di interesse, con un
possibile danno di immagine per la società titolare del sito incapsulato dall’applicazione.
Ricorda che il layout di un sito gode di tutela come bene giuridico in sé, prescindendo dal
codice sottostante e dai contenuti della pagina web, quando possiede i connotati di
un’opera dell’ingegno, originale e innovativa.

Molte attività dei cybercriminali vengono condotte grazie all’utilizzo di software malevoli
genericamente chiamati malware.
Sono malware, ad esempio: i worm, i trojan, i keylogger, le backdoor e gli spyware.
I malware possono:
• danneggiare un sistema informatico o telematico;
• favorirne l’interruzione totale o parziale dell’operatività;
• alterarne il funzionamento
• danneggiare informazioni, dati o programmi in essi contenuti.
Laddove la diffusione del malware è volta ad alterare il funzionamento di un sistema informatico o

telematico o a modificarne illecitamente i contenuti, al fine di procurare a sé o ad altri un ingiusto
profitto con danno altrui, si configura il reato di frode informatica che abbiamo già illustrato.
Vediamo alcuni recenti casi di malware, per comprendere l’entità dei danni che sono in grado di
causare.
Un attacco malware che ha colpito la rete a livello mondiale è stato lanciato nel 2017 e ha
coinvolto innumerevoli computer con Sistema Operativo Windows in oltre 100 Paesi del mondo…
Il malware, denominato WannaCry, appartiene alla famiglia dei ransomware, che hanno la
capacità di cifrare tutti i file, le cartelle condivise e i contenuti su chiavette o supporti esterni
agganciati al computer infettato.
Attuata la cifratura dei file non necessari all’avvio del computer windows, il malware mostrava una
schermata volta ad informare la vittima che avrebbe potuto recuperare i dati solo dopo aver pagato
un vero e proprio riscatto in valuta virtuale.
WannaCry è stato veicolato tramite link e allegati presenti in messaggi di posta elettronica o
software scaricati da siti di dubbia reputazione.
Una volta infettato un PC, era in grado di diffondersi automaticamente - all’insaputa della vittima -
anche su migliaia di computer!
Il 2017 ha visto anche la diffusione del malware “NotPetya”, che ha infettato innumerevoli
computer con Sistema Operativo Windows in oltre 60 Paesi del mondo.
Tra i soggetti danneggiati si evidenziano il gigante petrolifero russo Rosneft, la Banca centrale
ucraina e il sistema di monitoraggio delle radiazioni nella centrale nucleare di Chernobyl.
Anche NotPetya appartiene alla famiglia dei ransomware, ma è anche un worm. Infatti, rispetto a
Wannacry, sfruttava una vulnerabilità del Windows Management Instrumentation Command-line
(WMIC): uno strumento per la gestione dei sistemi da remoto.
L’attivazione del malware avveniva scaricando un allegato malevolo che, se aperto, lanciava
l’esecuzione di un dropper, ossia un software finalizzato a scaricare da Internet il malware vero e
proprio.
L’allegato in genere era un documento che veniva visualizzato normalmente. Una volta installato,
al riavvio del computer NotPetya si attivava e mostrava la schermata con la richiesta di riscatto.

Oggetto dell’attacco sono stati computer con varie versioni del sistema operativo Microsoft
Windows, per i quali non sono installate le patch di sicurezza sul protocollo di rete SMB
(«Server Message Block»), utilizzato per la condivisione di file!
WORM
Un worm (dall’inglese “verme”) è un programma opportunamente progettato per danneggiare l’utente ma,
contrariamente ai virus, non necessita di un programma ospite per funzionare, essendo esso stesso un
programma completo.
I worm sfruttano vulnerabilità o errori di configurazione del Sistema Operativo per propagarsi
autonomamente da un computer all’altro. Obiettivo dei worm sono i computer collegati ad altri computer,
tipicamente attraverso Internet. Una volta che il worm viene incautamente lanciato, può portare a
conseguenze dannose per l’utente: dall’accesso non autorizzato al dispositivo da parte di utenti
malintenzionati, alla perdita di dati confidenziali, alla totale compromissione del computer.
I casi di WannaCry e NotPetya ci fanno capire la portata dei danni che i malware possono
causare all’Azienda.
Fra questi, i principali sono:
• la compromissione della sicurezza della rete;
• la compromissione dei sistemi, con conseguente possibilità di perpetrazione di altri reati

(come gli attacchi informatici e lo spam);
• il danno di immagine (es. se vengono diffusi inconsapevolmente virus ai partner aziendali);
• la compromissione di riservatezza, disponibilità e integrità delle informazioni aziendali;
• perdite finanziarie.
Relativamente agli attacchi informatici, il rischio per l’azienda è che le proprie informazioni
vengano carpite, alterate, divulgate o anche distrutte creando un notevole danno. Un attacco
informatico può mirare anche al danneggiamento delle risorse aziendali, con l’obiettivo di
sabotarne il corretto funzionamento, causando, nei casi più gravi, l’interruzione dei servizi.
Il verificarsi di un attacco informatico, oltre ad avere ripercussioni sulla normale operatività

aziendale, può incidere sull’immagine e sulla credibilità dell’azienda nei confronti di clienti, partner
e fornitori nonché comportare ripercussioni sul business aziendale.
Ma per prevenire efficacemente la diffusione di malware, virus o attacchi informatici, ci sono

comportamenti che è davvero semplice adottare.
Per minimizzare i rischi del malware, attieniti a questi comportamenti, validi sia nella vita professionale che
in quella privata.
• NON INSTALLARE né utilizzare software provenienti da fonti sconosciute;
• ACCERTATI SEMPRE di aver installato un antivirus, che sia attivo e costantemente aggiornato;

• NON DISABILITARE né inibire il corretto funzionamento del software antivirus;
• in presenza di documenti di PROVENIENZA INCERTA, se contengono macro, forza la

disattivazione delle stesse;
• ELIMINA tempestivamente le e-mail di provenienza sconosciuta e/o con contenuto sospetto;
• NON ESEGUIRE programmi ricevuti come allegati a e-mail senza averli preventivamente scaricati e
averli sottoposti a controllo antivirus;
• NON ESEGUIRE il download di file eseguibili se non ne conosci la fonte di provenienza e se non
sei stato espressamente autorizzato a farlo;
• durante la navigazione Internet e la lettura delle e-mail, DIFFIDA SEMPRE delle URL
particolarmente lunghe contenenti sequenze di valori esadecimali e delle dialog box che
propongono l’installazione di plug-in o applicativi vari, anche se firmati in modo digitale, di cui
l’autore è ignoto;
• ADOTTA la massima accortezza durante l’utilizzo e per la conservazione delle credenziali di

autenticazione (come username, password e smart card) in modo da evitare una possibile perdita
di riservatezza;
• PROVVEDI tempestivamente al cambio della password, anche solo nel caso tu abbia un sospetto
che la riservatezza delle tue credenziali di autenticazione sia compromessa;
• SCEGLI SEMPRE una password robusta per i tuoi account;
• EFFETTUA backup periodici, al fine di minimizzare gli impatti derivanti da possibili perdite o
alterazioni di dati.
Vediamo adesso un altro caso concreto di illecito informatico.
Si tratta di un caso di “smishing”, un tipo particolare di phishing. La modalità utilizzata in questo

caso è un SMS contenente un link a un sito malevolo o un trojan, che si installa sullo smartphone
della vittima.
Un nostro cliente riceve sul suo smartphone una segnalazione che lo avvisa dell’avvenuto blocco
della sua carta Postepay, con l’indicazione di andare sul sito «www.sbloccareposteitaliane.com»
per eseguire la presunta procedura di sblocco della carta, facendo clic sul link incorporato nel testo
del messaggio.
Incautamente, il nostro amico clicca sul link inserito nel SMS che lo porta su un sito fasullo che
assomiglia a un sito istituzionale di Poste Italiane.
Ciò che ha tratto in inganno il nostro cliente è che il mittente ha inviato l’SMS inserendo al posto
del numero di telefono un SenderID specifico, cioè “PosteInfo”.
Quindi, nel momento in cui il cliente ha letto l’SMS, questo è stato incorporato tra i messaggi inviati
dal sender “PosteInfo”, che è lo stesso di Poste Italiane, confondendolo così con altri messaggi
legittimamente inviati da Poste.
Cosa avrebbe dovuto fare il nostro cliente per evitare di cadere nell’inganno?

Per evitare di essere tratti in inganno con il phishing o una delle sue varianti, occorre rispettare le seguenti
norme comportamentali:
• MAI FORNIRE tramite e-mail e/o telefonicamente dati riservati, come ad esempio password o
numeri di carta di credito;
• BISOGNA SEMPRE tenere aggiornati i software di protezione (antivirus e antispyware), il Sistema

Operativo e, più in generale, tutti i software installati sul computer, in quanto le più recenti versioni
dei browser non consentono più di contraffare le URL nella barra degli indirizzi;
• BISOGNA SEMPRE VERIFICARE l’autenticità della connessione con il sito di interesse (come ad
esempio quello dell’home banking), controllando il nome del sito nella barra di navigazione. Se fai
clic sull’icona del lucchetto o della chiave nella barra delle URL, puoi verificare la correttezza dei
dati visualizzati, leggendo il cosiddetto Rapporto di Sicurezza;
• SI DEVONO INSTALLARE SOLO programmi di cui si conosce la provenienza. Se l’antivirus

installato sul computer segnala che la provenienza di un software è dubbia, NON procedere con
l’installazione!
• SEGNALARE tempestivamente a chi di dovere ogni messaggio sospetto;
• MAI CLICCARE su link presenti in messaggi sospetti, che potrebbero condurre a siti contraffatti,
anche molto simili all’originale;
• MAI RISPONDERE a messaggi che chiedono la verifica delle tue credenziali per l’accesso ai servizi
finanziari;
• MAI INSERIRE i tuoi dati di login facendo clic direttamente sui link proposti all’interno di un
messaggio; piuttosto, digita l’indirizzo del sito manualmente per esser certo di non incorrere in siti
contraffatti;
• NON CANCELLARE la sottoscrizione a una mailing list alla quale non ricordi di esserti iscritto.
Potrebbe trattarsi di un raggiro da parte di uno cybercriminale per ottenere la conferma della validità
del tuo indirizzo e-mail;
• NON SCRIVERE la password su fogli e biglietti che vengono lasciati incustoditi. Considera che
questo è uno degli errori più comuni che possono consentire ai cybercriminali di entrare in
possesso delle tue credenziali di accesso ai siti;
• NON bisogna MAI CEDERE a terzi credenziali di autenticazione personali per l’accesso ai sistemi
informatici, come il nome utente, le password o la smartcard;
• MAI APRIRE allegati di messaggi che ritieni sospetti. È possibile che tali allegati, una volta aperti,
installino un malware che consente ai cybercriminali di accedere alle informazioni riservate presenti
sul tuo computer o anche di visualizzare tutto ciò che digiti sulla tastiera del computer, comprese le
tue password!
• PROTEGGI i documenti informatici contro i tentativi di falsificazione mediante gli strumenti di firma
digitale e crittografia quando previsto;
• SEGNALA tempestivamente alle Autorità competenti i casi di furto d’identità, truffa, frode
informatica di cui sei stato vittima.

COME INDIVIDUARE IL PHISHING?
Per individuare un messaggio di phishing occorre prestare attenzione ad alcuni elementi che possono
caratterizzarlo:
• il messaggio non è personalizzato e riporta una generica richiesta di informazioni personali, per
motivi non sempre ben specificati, come una generica scadenza, lo smarrimento o non meglio
specificati “problemi tecnici”;
• il messaggio non fa quasi mai riferimento al nome e cognome del destinatario, ma a un indirizzo di
posta elettronica, come ad esempio bianchi.m@poste.it;
• il messaggio ricorre a toni intimidatori (come la minaccia di blocco della carta o la sospensione
dell’account in caso di mancata risposta da parte del destinatario), per indurre nella vittima un
senso di urgenza e spingerla ad abbassare la guardia;
• il messaggio non sempre riporta una data di scadenza per l’invio delle informazioni da parte del
destinatario;
• il messaggio spesso contiene errori di ortografia e/o una forma grammaticale scorretta;
• il messaggio chiede di non rispondere al mittente, ma di fare clic sull’indirizzo o link indicato.
Nel caso di smishing che abbiamo appena visto, il messaggio iniziava con “Caro cliente” per poi parlare al
plurale: “Siete pregati…”.
Sinora abbiamo parlato genericamente di “truffe” a proposito di diversi illeciti penali informatici. È
giunto ora il momento di approfondire l’argomento.
In termini giuridici la truffa è “la condotta di chiunque, con artifizi o raggiri, inducendo taluno in
errore, procura a sé o ad altri un ingiusto profitto con altrui danno”.
Per “artifizio” si intende una trasfigurazione della realtà, effettuata sia simulando ciò che non esiste
(ad esempio la ricchezza, un titolo o una qualità) sia dissimulando ciò che esiste; mentre per
«raggiro» si intende una menzogna accompagnata da ragionamenti idonei a farla sembrare una
verità.
Il phishing può configurare un reato di truffa. Gli estremi del reato di truffa possono essere
integrati nella condotta di phishing così come quelli del reato di sostituzione di persona, di frode
informatica, di accesso abusivo a un sistema informatico o telematico o di falsificazione,
alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.

Rientra in questa tipologia di illecito informatico la cosiddetta “truffa del CEO”, tramite la quale il
cybercriminale usa tecniche di Business Email Compromise, spacciandosi per un top manager nel
testo delle e-mail.
L’obiettivo dei malintenzionati è fingere di essere un Top Manager per convincere il destinatario
dell’e-mail (es. figura executive dell’azienda) a trasferire fraudolentemente delle somme di denaro
verso un c/c gestito dal cybercriminale.
La gestione degli Amministratori di Sistema esterni

Con il Provvedimento del 27 novembre 2008 e sue successive modifiche e integrazioni,
l’Autorità Garante per la protezione dei dati personali ha prescritto importanti misure e
accorgimenti per l’attribuzione delle funzioni di amministratore di sistema nei trattamenti di dati
personali effettuati con l’ausilio di strumenti elettronici. Queste misure non si applicano ai
trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori
rischi per gli interessati, sono stati oggetto di misure di semplificazione.
Alla luce della gravità delle minacce informatiche e nell’ambito del rapporto contrattuale con il
quale un’organizzazione demanda attività e trattamenti di dati personali a un fornitore, occorre
regolare e governare il processo di gestione degli Amministratori di Sistema esterni, laddove il
personale dipendente del fornitore medesimo abbia il compito di gestire e manutenere impianti di
elaborazione dell’organizzazione o loro componenti.
Tale Provvedimento continua ad applicarsi in quanto compatibile con il regolamento (UE) 2016/679
(regolamento generale sulla protezione dei dati) e con le disposizioni del decreto legislativo
numero 196/2003 e (il “Codice privacy”), secondo quanto previsto dal decreto legislativo numero
101/2018 di adeguamento della normativa nazionale.
Anche per quanto attiene gli Amministratori di Sistema interni, l’organizzazione è tenuta a
governare il processo di gestione delle nomine e revoche del personale con privilegi amministrativi
ed ogni altro adempimento connesso.
Il Provvedimento introduce la definizione di «Amministratore di Sistema», cioè quella figura

professionale deputata alla gestione e alla manutenzione di un impianto di elaborazione o di sue
componenti cui, secondo l’Autorità, vanno ad aggiungersi anche quelle di amministratore di basi
dati, amministratore di reti e di apparati di sicurezza e amministratore di sistemi software
complessi.
La criticità del ruolo dell’amministratore di sistema fa sì che il legislatore preveda delle

circostanze aggravanti se l’amministratore di sistema commette determinati illeciti.
Ci si riferisce, in particolare, all’abuso della qualità di operatore di sistema prevista per le

fattispecie di accesso abusivo a sistema informatico o telematico e di frode informatica, nonché per
le fattispecie di danneggiamento d’informazioni, dati e programmi informatici e di danneggiamento
di sistemi informatici o telematici.
In un’organizzazione di grandi dimensioni come Poste Italiane diviene, dunque, fondamentale

verificare, sin dall’avvio dell’iter per la contrattualizzazione del fornitore, se vi è la necessità di
avvalersi delle sue risorse in veste di Amministratori di Sistema e, in caso di esito positivo,
prevedere come allegato del contratto una «dichiarazione di ottemperanza» agli adempimenti in
materia.

Per quanto riguarda il personale dipendente di Poste Italiane, diviene altrettanto fondamentale far
sottoscrivere al dipendente, che deve operare con privilegi amministrativi, l’apposito atto di nomina
ad Amministratore di Sistema.
Non bisogna infatti dimenticare che l’attribuzione delle funzioni di Amministratore di Sistema sia
per il personale interno (a cura di PI) che per il personale esterno (a cura del fornitore) deve
avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto
designato e previo rilascio di idonea garanzia del pieno rispetto delle vigenti disposizioni in materia
di trattamento, compreso il profilo relativo alla sicurezza.
Data, quindi, la rilevanza, la specificità e la particolare criticità del ruolo dell’amministratore di

sistema è fondamentale implementare adeguati processi e procedure interne per gestire
correttamente tutti gli adempimenti connessi al ruolo e responsabilità di Amministratore di
Sistema, sia interni che esterni e in particolare:
• mappare gli Amministratori di Sistema;
• predisporre gli atti di nomina ad Amministratore di Sistema;
• archiviare tutta la documentazione e gli atti di nomina formalizzati;
• manutenere e aggiornare l’elenco degli Amministratori di sistema, anche al fine di renderlo

disponibile in caso di accertamenti da parte delle Autorità competenti;
• svolgere attività ciclica di monitoraggio e controllo.
La designazione ad Amministratore di Sistema deve essere individuale e recare l’elencazione

analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
Quindi, una designazione «a tappeto» di tutte le risorse di una struttura organizzativa come
Amministratori di Sistema è inappropriata.
L’atto scritto di designazione deve essere tarato sui privilegi amministrativi effettivamente conferiti
su precisi sistemi, applicazioni, reti o apparati. E non può essere basato su un’eventualità di
trattamento dati.
Le risorse con privilegi di amministratori di sistema devono accedere ai dati nel rispetto del
principio del “need to know”: accesso alle sole informazioni necessarie a svolgere il proprio
lavoro.
Un approccio volto alla nomina ad amministratore di sistema di tutte le risorse di una funzione
esporrebbe l’organizzazione a diversi rischi:
• la violazione del provvedimento sugli Amministratori di Sistema, con relativi rischi di

sanzione amministrativa;
• l’inadeguatezza delle misure di sicurezza, con rischio di risarcimento danni in sede di

contenzioso civile.
Tra le problematiche che si possono riscontrare nella gestione di tali adempimenti, vi è:
• la vacatio contrattuale, ossia un’attività di amministratore di sistema svolta senza

copertura contrattuale, laddove i contratti sono scaduti e in attesa di rinnovo;

• un ruolo del fornitore contrattualmente errato, che non rispecchia i trattamenti e le attività
svolte all’interno dell’organizzazione. committente, con conseguente rifiuto da parte del
fornitore medesimo di essere assoggettato a controlli, istruzioni operative od obblighi in
materia di sicurezza.
In Poste Italiane la gestione degli adempimenti in materia di AdS che accedono ai sistemi a
perimetro della Direzione Sistemi Informativi è centralizzata nella funzione Sicurezza Informatica.
Per maggiori dettagli consulta la procedura operativa di Poste Italiane in vigore “Gestione
adempimenti di sicurezza in materia di Amministratori di Sistema, pubblicata nel Sistema
documentale aziendale, nel processo di Security management al seguente link:
http://dms.rete.poste/compendioprocedure/hse/SecurityManagement/Forms/AllItems.aspx.

SICUREZZA
INFORMATICA
4. Il Testo Unico
di Sicurezza aziendale
4. Il Testo Unico di Sicurezza Informatica
Introduzione
Il ruolo della Sicurezza Informatica applicata alla tutela del business è fondamentale per il
conseguimento degli obiettivi strategici e operativi di Poste Italiane, anche in considerazione della
criticità dei processi aziendali che dipendono da esso, uno fra tutti il processo di gestione dei rischi.
Una corretta ed efficace gestione della Sicurezza Informatica permette infatti di contenere i rischi
informatici cui Poste Italiane è esposta nello svolgimento quotidiano delle proprie attività e nel
contempo costituisce un elemento distintivo del servizio fornito al cliente finale, in grado di rendere
l’offerta commerciale maggiormente attrattiva.
In questa unità didattica, dunque:
• illustreremo il profilo e i principali contenuti del Testo Unico di Sicurezza Informatica di

Poste Italiane;
• ci concentreremo sul tema della Information Security Governance
• e infine illustreremo i ruoli e le responsabilità aziendali relativamente alla Information

Security.
Il Testo Unico di Sicurezza aziendale

Per un modello di business efficiente e in linea con le disposizioni normative vigenti è
necessario garantire adeguati livelli di riservatezza, integrità e disponibilità dei dati trattati e dei
servizi erogati, assicurando un opportuno presidio di compliance a normative di legge, nazionali
e internazionali, ivi compresi:
• la Direttiva NIS 2016/1148 e il D.lgs. 65/2018 di attuazione a livello nazionale;
• la Circolare 285 del 2013 di Banca d’Italia;
• il Decreto Legislativo 231 del 2001;
• la Direttiva (UE) 2015/2366 (conosciuta come PSD2);
• il decreto legislativo 218/2017 di attuazione a livello nazionale;
• il Regolamento UE 2016/679 (GDPR);
• e il D.lgs. 196/2003 e s.m.i (Codice Privacy).
A tale scopo Poste Italiane ha definito e introdotto un approccio sistemico per il governo della
sicurezza, sintetizzato nel documento «Testo Unico di Sicurezza» (disponibile sulla intranet e nel
Sistema Documentale Aziendale).
Questo documento indirizza in maniera strutturata, omogenea e continuativa tutti i processi di

gestione dei rischi derivanti dalla compromissione della riservatezza, dell’integrità e della
disponibilità (RID) dei servizi e delle informazioni trattate.
Si tratta di un approccio fondamentale per il conseguimento degli obiettivi stabiliti nel piano
strategico quinquennale “Deliver 2022”, approvato il 26 Febbraio 2018 dal CdA del Gruppo
Poste Italiane.

In allegato al Testo Unico di Sicurezza sono presenti i seguenti documenti: il Modello di

Information Security Governance, per garantire un approccio integrato e coordinato per il
governo della sicurezza consentendo una pianificazione strutturata delle iniziative, secondo le
priorità dettate dalle necessità di business.
La Policy di Sicurezza Informatica, per indirizzare la gestione della sicurezza delle informazioni
detenute e trattate da Poste Italiane mediante strumenti informatici. La policy contiene anche le
risorse e i processi informatici necessari per la loro elaborazione, al fine di contenere il rischio di
compromissione della riservatezza, dell’integrità e della disponibilità delle informazioni stesse, sia
in un’ottica di tutela del business che di contrasto al cybercrimine.
La Metodologia di Analisi del Rischio Informatico, per formalizzare i passaggi necessari alla
conduzione delle attività di analisi e valutazione del rischio informatico e alla stesura dei requisiti
per l’indirizzamento delle successive attività di trattamento. L’analisi del rischio è finalizzata al
contenimento dei rischi di perdita di riservatezza, integrità e disponibilità delle informazioni trattate
dai sistemi informatici aziendali, garantendo una corretta distribuzione degli investimenti di
sicurezza, in linea con i profili di rischio identificati.
Le prescrizioni contenute nel Testo Unico sulla Sicurezza Informatica e negli allegati si applicano
alle funzioni di business e corporate di Poste Italiane e a tutte le Società del Gruppo.
La funzione responsabile per la redazione, la diffusione e l’aggiornamento del Testo Unico è la

funzione «Sicurezza Informatica».
Il Testo Unico è sottoposto all’approvazione del Consiglio di Amministrazione.
Tutto il personale aziendale è responsabile della protezione e della conservazione dei beni
aziendali, materiali e immateriali, avuti in affidamento per l’espletamento dei propri compiti, nonché
del loro utilizzo in modo proprio e conforme ai fini aziendali.
Tale responsabilità si estende anche ai soggetti terzi che svolgono anche temporaneamente
attività di lavoro per l’Azienda (come i fornitori, i consulenti e i partner).
L’utilizzo delle risorse informative aziendali deve sempre ispirarsi ai principi di diligenza e
correttezza che sono alla base di ogni atto o comportamento posto in essere nell'ambito del
rapporto di lavoro, in coerenza con:
• le previsioni di legge (gli articoli 2104 e 2105 del codice civile);
• quelle contrattuali (di cui all’articolo 51 del Contratto Collettivo Nazionale di Lavoro);
• il Modello Organizzativo 231;
• il Codice Etico aziendale;
• e la Politica Integrata del Gruppo Poste Italiane.
• Il personale aziendale che adotti un comportamento che contravvenga a tali disposizioni è

ritenuto responsabile disciplinarmente e giuridicamente.
Poste Italiane, nei casi di abuso o di illeciti, anche riguardanti la disciplina della responsabilità
amministrativa dell’Azienda (in base alla Legge 231/2001), ha la facoltà di attivare ogni misura
volta a tutelare le risorse informative aziendali in coerenza con le previsioni di legge. Sono i
cosiddetti «controlli difensivi».

L’Information Security Governance

Il Modello di Information Security Governance di Poste Italiane si configura come il framework
attraverso il quale sono strutturati e definiti i processi e le attività in ambito Sicurezza delle
Informazioni nel contesto aziendale, in coerenza con le esigenze di business e in accordo con gli
obiettivi delle Unità Organizzative interne e di Gruppo.
Il modello è corredato da una opportuna declinazione operativa dei processi di gestione e di

controllo (denominati “domini”) ed è finalizzato al governo delle attività, delle iniziative e dei
progetti di Sicurezza Informatica rilevanti per il contenimento dei rischi informatici, per la protezione
delle risorse ICT e per l’adeguamento delle misure di sicurezza in adempimento alle varie
normative e standard.
I domini del Modello di Information Security Governance rappresentano gli ambiti di applicazione
dei processi e delle attività funzionali al governo della sicurezza delle informazioni del Gruppo
Poste Italiane.
I domini sono distinti in:
• Domini di indirizzo e controllo, in cui sono inclusi i processi e le attività strategiche di

indirizzamento e governo della sicurezza delle informazioni nel contesto aziendale, nonché
di valutazione e controllo della loro applicazione in coerenza con le esigenze di reporting e
compliance;
• Domini esecutivi che si occupano dei processi e delle attività di conduzione e gestione
operativa della sicurezza delle informazioni, che rendono esecutivi gli indirizzi strategici e li
attuano in coerenza agli standard tecnologici;
• Domini di supporto, in cui sono contemplati i processi e le attività che sostengono e

facilitano l’esecuzione efficiente delle attività di sicurezza delle informazioni, prevedendo
anche aree trasversali o di interfaccia verso altre Funzioni.
I TRE TIPI DI DOMINI
DOMINI DI INDIRIZZO E CONTROLLO

Con particolare riferimento ai Domini di Indirizzo e Controllo di sicurezza informatica, approfondiamo le

loro attività.
La Security Governance è finalizzata a garantire la coerenza delle iniziative intraprese a livello di Gruppo
in materia di gestione e trattamento dei rischi di sicurezza informatica, con gli obiettivi di sviluppo del
business.
Le principali attività appartenenti a questo dominio sono:
• l’indirizzo strategico della Information Security, che si esplica attraverso la definizione degli obiettivi
della sicurezza delle informazioni di tutto il Gruppo, in coerenza con il piano strategico aziendale e
gli indirizzi strategici ICT;
• il Commitment per l’Information Security, cioè l’analisi, la definizione e il dimensionamento delle

risorse e degli strumenti organizzativi, economici e tecnologici;
• la Vigilanza e Controllo sulla Information Security, che si sostanzia in processi, flussi informativi e
indicatori prestazionali idonei a garantire la coerenza del modello di indirizzamento e governo,
nonché l’efficienza delle azioni intraprese per la gestione e il contenimento dei rischi di Sicurezza
Informatica.
Il dominio del Security Management svolge le attività finalizzate al coordinamento dei processi di gestione
della Sicurezza Informatica. Questo dominio definisce e applica le procedure operative per il conseguimento
degli obiettivi di gestione e trattamento dei rischi in accordo agli obiettivi del piano strategico della Sicurezza
Informatica Aziendale.
Le principali attività di questo Dominio sono:
• l’Information Security Policy, per la definizione delle regole e degli obiettivi di sicurezza
dell’organizzazione attraverso l’emanazione e lo sviluppo evolutivo di politiche, linee guida,
procedure, metodologie e modelli applicabili al contesto organizzativo aziendale;
• l’IT Security Assessment, cioè l’attività periodica di verifica dello stato di sicurezza per rilevare
l’adeguatezza e il corretto svolgimento delle iniziative di sicurezza, stabilendo azioni correttive o
migliorative e le priorità degli interventi formulati nel “Piano Permanente di Sicurezza”;
• il Piano Permanente di Sicurezza, che definisce e mantiene evolutivamente il programma attuativo

delle iniziative e dei progetti di sicurezza delle informazioni. Il piano è strutturato per garantire la
protezione degli asset informativi strategici e dei servizi core di Poste Italiane;
• il Modello di gestione della sicurezza verso le terze parti, che definisce i requisiti contrattuali di
sicurezza per le Terze Parti e del modello di controllo del rispetto delle clausole di sicurezza.
Il dominio della Security Assurance è l’insieme delle attività volte a valutare la conformità e l’adeguatezza
dei processi in essere rispetto alle Normative, agli Standard, alle Best-Practice e alle Policy aziendali di
riferimento.
Le predette attività sono volte, altresì, a definire gli strumenti di lavoro, gli indicatori e le soglie di
accettabilità funzionali per i servizi offerti da Poste Italiane.
Appartengono a questo dominio le seguenti attività primarie:
• la Security Evaluation, vale a dire le verifiche di conformità ai principali Standard, Normative, Linee
Guida, Policy aziendali in ambito sicurezza delle informazioni;
• il Security Check & Performance, cioè il monitoraggio e la verifica dell’effettiva, consistente ed

efficace implementazione delle misure di sicurezza, sia di carattere organizzativo/procedurale che
logico, mediante attività di Field Assessment (anche rivolte a terze parti), Vulnerability Assessment

& Penetration Test e monitoraggio di KPI/KRI.
La Gestione Piani di adeguamento, che definisce e monitora i piani di rientro che emergono a seguito delle
verifiche di conformità.
Ruoli e responsabilità per l’Information Security

In conclusione del modulo, non ci resta che esaminare sinteticamente quali sono i ruoli e le
responsabilità in seno al Gruppo Poste Italiane relativamente alla Information Security.
Il Consiglio di Amministrazione ha la generale responsabilità di indirizzo e controllo del sistema

informativo, nell’ottica dell’impegno ottimale di risorse e tecnologie a sostegno delle strategie
aziendali per la Sicurezza Informatica.
L’Amministratore Delegato ha il compito di assicurare la completezza, l’adeguatezza, la

funzionalità (efficacia ed efficienza) e l’affidabilità del sistema informativo.
Il Comitato della Sicurezza Informatica è un organismo interfunzionale cui è affidata la

supervisione e il controllo dell’efficacia del modello di governo.
È presieduto dal Responsabile della funzione Corporate Affairs ed è composto da responsabili

delle principali funzioni e Società di Poste Italiane interessate dal processo di gestione e controllo
della Sicurezza Informatica.
La Funzione Corporate Affairs ha la responsabilità di presiedere il Comitato della Sicurezza

Informatica, di supportare il Vertice aziendale per l’implementazione e gestione del processo di risk
management a livello di Gruppo e di approvare il disegno dei processi di gestione della sicurezza
di Poste Italiane, garantendone il monitoraggio, la completezza e la coerenza.
La Funzione Tutela Aziendale è collocata organizzativamente all’interno della Direzione

Corporate Affairs e ha il compito di assicurare il presidio delle attività di sicurezza a livello di
Gruppo Poste Italiane.
La Funzione Sicurezza Informatica è collocata organizzativamente all’interno della Funzione

Corporate Affairs e Tutela Aziendale ed è deputata a svolgere compiti specialistici in materia di
sicurezza delle risorse ICT.
In particolare, questa funzione:
• assicura le attività di indirizzo e coordinamento delle tematiche di Information Security,

anche attraverso la definizione e diffusione del Modello di Information Security Governance
e di policy, linee guida, metodologie e procedure di riferimento;
• assicura la protezione del patrimonio informativo aziendale attraverso la Business Impact

Analysis, la classificazione delle informazioni, l’individuazione degli obiettivi di continuità e
la definizione dei requisiti di sicurezza con l’approccio “security by design”;
• partecipa all’individuazione, progettazione e realizzazione dei presidi di sicurezza,

assicurandone la coerenza con le policy approvate;

• garantisce le attività di analisi, valutazione, monitoraggio e reporting dei rischi informatici, in

raccordo con la funzione Governo dei Rischi di Gruppo;
• segue lo svolgimento dei test di sicurezza prima dell’avvio in produzione di un sistema

nuovo o modificato;
• effettua l’attività di monitoraggio dell’esposizione di Poste Italiane al rischio informatico sulla

base delle informazioni prodotte e verifica il rispetto dei limiti all’assunzione dello stesso;
• coordina l’attuazione delle attività per la riduzione dei rischi IT e assicura la definizione e
l’implementazione del Piano Permanente di Sicurezza, collaborando con le funzioni
deputate allo sviluppo del Piano di Trattamento dei Rischi;
• raccoglie e documenta i risultati complessivi del processo di analisi del rischio informatico;
• redige annualmente un rapporto sintetico sulla situazione del rischio informatico e sullo
stato della Sicurezza Informatica di Poste Italiane.
Infine, la Direzione Sistemi Informativi ha la responsabilità di assicurare lo sviluppo della

strategia ICT del Gruppo Poste Italiane a supporto degli obiettivi aziendali.
I suoi compiti principali sono:
• governare i processi di pianificazione dei fabbisogni tecnologici di Gruppo e la

progettazione delle architetture hardware e software, garantendo l’ottimizzazione delle
risorse disponibili e il rispetto degli obiettivi di contenimento della spesa IT;
• garantire, in linea con le esigenze del business e l’applicazione del Modello di Information
Security Governance, le attività di progettazione, sviluppo, collaudo e esercizio,
assicurandone l’aderenza ai requisiti di conformità, sicurezza e IT risk management;
• contribuire alla definizione del livello di risk appetite, nelle varie fasi che costituiscono il
processo di gestione del rischio informatico;
• assicurare, per quanto di competenza, la corretta implementazione delle azioni di

trattamento del rischio informatico, contribuendo al monitoraggio dei piani di rientro.
Conclusione
Siamo dunque giunti alla conclusione di questo corso, ricco di informazioni e approfondimenti,
dedicato alla sicurezza informatica.
In questo nostro percorso abbiamo affrontato la questione della sicurezza informatica da diversi
punti di vista.
Abbiamo dettagliato il panorama complessivo del problema e introdotto i concetti di base.
Ci siamo occupati degli aspetti normativi e delle implicazioni penali e civili della mancata
compliance con le leggi esistenti in materia di sicurezza informatica.
E abbiamo visto come Poste Italiane, tramite il suo testo Unico di Sicurezza Informatica, organizza
e sistematizza la Information Security, un compito certamente non facile per una azienda delle
nostre dimensioni ed importanza.

Le conoscenze che hai acquisito in questo corso ti consentiranno pertanto di lavorare con una
maggiore consapevolezza sui temi della Sicurezza informatica e nel rispetto degli standard di
Poste Italiane.

Dispensa Sicurezza Informatica

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Dispensa Sicurezza Informatica

Caricato da

Copyright:

Formati disponibili

SICUREZZA

In questo primo modulo del corso:

• ti introdurremo ai concetti di minaccia e vulnerabilità informatica;

• e ci concentreremo su due aspetti molto importanti per la sicurezza informatica:

Quando sei pronto, possiamo cominciare!

Alla base dell’Information Security ci sono concetti quali:

• la riservatezza, l’integrità e disponibilità, di beni e asset informatici, dati, informazioni e

• l’autenticità e la responsabilità (detta accountability);

• il non ripudio e l’affidabilità.

Il concetto di Information Security ha un carattere più generale di quello di cybersecurity, che ne

Gli asset critici, a loro volta, si possono distinguere in:

• «primari» (come i processi di business o il patrimonio informativo)

• e «secondari» (come i server, la rete o lo storage).

Ogni asset richiede diversi livelli di protezione.

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 1

• Identification: il processo attraverso cui si rivendica un’identità quando si tenta di accedere

• Authorization, cioè la definizione di autorizzazioni e dinieghi di accesso alle risorse o allo

• Accounting, vale a dire la verifica della compliance o di eventuali violazioni anche

• standard internazionali - quali la ISO/IEC 27000:2014 e la ISO/IEC 27035:2011 e la NIST;

L’International Organization for Standardization è un’organizzazione internazionale non governativa,

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 2

Per incidente di sicurezza si intende:

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 3

• qualsiasi violazione o minaccia di violazione di policy aziendali;

• comportamenti definiti e codificati che possono configurare un illecito informatico;

• una violazione di prescrizioni normative;

• una violazione della sicurezza che comporta anche accidentalmente la distruzione, la

I disservizi, i malfunzionamenti e le frodi

Il servizio ha l’obiettivo di:

• prevenire eventuali Data Breach;

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 4

Il servizio di Mobile Security si articola in tre sotto-servizi e cioè:

• Mobile App Security Monitoring;

• Mobile App Security Assessment;

• e Mobile App Security By Design.

• censire i market ufficiali o alternativi e le App in essi pubblicate;

• analizzare le App per rilevare eventuali minacce e vulnerabilità;

• definire le tecniche per la mitigazione/contrasto delle minacce/vulnerabilità riscontrate;

• rimozione delle App dai market;

• regular check nel tempo delle fasi precedentemente descritte.

• e garantire lo svolgimento delle attività di Mobile App Lab.

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 5

• e il supporto alle strutture d’ingegneria e sviluppo delle App, per approfondire e

Ma come agiscono gli hacker e quali strumenti utilizzano?

Il mondo dell’hacking è incredibilmente complesso e in continua evoluzione, ma una delle attività

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 6

Lo “sniffer” è un malware, ossia un software pernicioso che cattura le informazioni trasmesse in

Aggiornamento software, password intelligenti e altre buone prassi

Un’altra accortezza è quella di avere sul tuo computer un antivirus installato.

I software antivirus proteggono il sistema e i dati da un gran numero di software pericolosi ma

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 7

• i cybercriminali hanno molte strategie efficaci per individuare una password;

Per scegliere le tue password segui questi suggerimenti:

• la lunghezza minima deve essere di 8 caratteri (meglio se 12 o 16, laddove il sistema lo

• componi la password mischiando lettere dell’alfabeto (maiuscole e minuscole), numeri e

• usa password diverse per siti, servizi, e finalità diverse;

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 8

• se usi la stessa password per tutto e un cybercriminale la scopre, avrebbe accesso

Poste Italiane - Copyright © - Tutti i diritti riservati pagina 9

In questo modulo illustreremo:

• le ragioni che hanno portato alla NIS;

• i tre pilastri su cui si basa la NIS

I tre pilastri della NIS