25 Ottobre 2013 – SMAU
Legge 231 e la sicurezza
informatica in azienda: un
approccio pratico
Stefano Fratepietro e Giusepp...
Alcuni dati: un primato europeo
In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso
continuo ad I...
Alcuni dati: un’analisi degli attacchi
Il rapporto Clusit 2013 identifica un rapido cambiamento del trend:
iniziano ad ess...
Alcuni dati: un’analisi degli attacchi
Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degli
atti...
Alcuni dati: tipologie di attacchi
Attività fraudolente
poste in essere da
insider e outsider

Attività di “phishing”

Fur...
Alcuni Casi: La “banda della firma digitale”
Un imprenditore “perde” la sua azienda perché il truffatore usando la sua
sma...
Alcuni Casi: “Social Botnet”
Da una approfondita indagine dell’FBI emerge che nel 2012 più di 11
milioni di utenti di Face...
Social Media Security and Big Data
Behavioral security
BYOD e Consumerization
Perdità del controllo dei device aziendali
+
Aumento del rischio di introduzione di malware
=
Aumen...
Alcuni Casi: Una esemplificazione
Normativa su “protezione cibernetica”: Awareness
DPCM 24 gennaio 2014 Direttiva recante
indirizzi
per
protezione ciberneti...
Sicurezza informatica

La sicurezza non è un prodotto ma
un processo.
Inutile spendere milioni di euro di
budget nell’IT S...
Sicurezza difensiva

•  Proteggere la rete aziendale
•  Lan
•  Wan
•  Proteggere i servizi e le applicazioni
•  Proteggere...
Proteggersi da cosa? – Ramsonware

• 
• 
• 
• 

Malware che blocca la produttività di un sistema
Cifratura dati
Replica ne...
Sicurezza difensiva – EndPoint Protection

Exchange
Server Protection

Application
Control

Device Control

Anti-malware

...
Proteggersi da cosa? – Spionaggio industriale

• 
• 
• 
• 

Blocco degli storage esterni con
censimento delle memorie di
m...
Proteggersi da cosa? – Attacchi da remoto

• 
• 
• 
• 
• 

Sfruttamento di vulnerabilità applicative
Sfruttamento di vulne...
Sicurezza difensiva – Firewall e sonde
Sicurezza difensiva – Controllo degli eventi

SIEM Security Information and event management:
• 
• 
• 
• 
• 

Raccogliere ...
Sicurezza difensiva – Controllo degli eventi

•  Vulnerability Assestment e Penetration Test svolti
solo da personale alta...
Sicurezza informatica e 231

LA NORMATIVA IN VIGORE
Cos’è il Decreto Legislativo 231/2001
• 

Il D.lgs. 231 del 2001 si caratterizza per aver
introdotto per la prima volta la...
Le Sanzioni per la Società
Sanzioni
Pecuniarie

Sanzioni
Interdittive

Pubblicazione
Sentenza
Confisca

da 26.000 Euro a 1...
Il Modello di Organizzazione, Gestione e
Controllo
È un documento che individua le
aree a rischio in cui possono essere
co...
Elenco dei reati “231” in ambito informatico
§ 
§ 

falsità in un documento informatico pubblico o avente efficacia prob...
Alcuni esempi
Accesso non autorizzato a sistemi che erogano le buste paga per
alterare i dati relativi a voci di cedolino ...
Le attività di controllo

Separazione dei
ruoli e escalation

Tracciabilità
degli accessi e
dellavulnerabilità

Procedure ...
Privacy reato “231” – Occasione persa

Il decreto “femminicidio” non ha ricompreso tra i reati presupposto
per la responsa...
Sicurezza informatica e Investigazioni difensive

LA DIGITAL FORENSICS
Digital e Corporate Forensics
In questo contesto, diventa sempre più necessario ricercare all’interno dei
sistemi informat...
Digital Forensics - Individuazione

Identificazione dei componenti informatici di
interesse aventi memorie di massa utiliz...
Digital Forensics - Preservazione

§ 
§ 
§ 

Mettere in sicurezza i dispositivi mediante
appositi sigilli
Calcolo dell’...
Digital Forensics - Acquisizione

§ 
§ 
§ 
§ 
§ 

Accertamento tecnico ripetibile
Clonazione della memoria di massa m...
Digital Forensics - Acquisizione

§ 
§ 
§ 
§ 

Accertamento tecnico irripetibile: procedura che
potrebbe alterare, anc...
Digital Forensics - Acquisizione
Variabili e calcolo del rischio: tener conto dello stato di
usura dell’oggetto di perizia...
Digital Forensics - Analisi
Ad ogni evidenza raccolta va calcolato l’hash e riportato
all’interno della documentazione in ...
Digital Forensics - Presentazione delle risultanze
Il lettore della perizia, seguendo la documentazione prodotta,
deve ott...
Digital Forensics - Catena di custodia
Documentazione da allegare ad ogni singola
memoria posta sotto sequestro dove annot...
Digital Forensics - Indagine interna
Durante i test di disaster recovery, alcuni sistemisti,
cercando di capire quale foss...
Digital Forensics - Indagine interna

§ 

L’utente nega di aver mai visto o usato tali file

§ 

Da controlli fatti sull...
Digital Forensics - Indagine interna

§ 

§ 

§ 

Per non destare sospetto, viene clonata durante la
notte la memoria d...
Sistema di Gestione della Digital Forensics
È necessario un sistema di gestione con un approccio di tipo preventivo
rispet...
Sicurezza informatica e Investigazioni difensive

LA NORMATIVA IN VIGORE
La normative utili in tema di sicurezza informatica
Sistema di
gestione della
sicurezza delle
informazioni
Linee Guida di
...
I limiti legali delle investigazioni difensive

Utilizzabilità in
ambito penale

Investigazioni
difensive

Artt. 113 e 114...
La digital evidence in ambito civile
Nel processo civile, il giudice fonda il proprio convincimento
sulla base delle prove...
La digital evidence in ambito penale
La prova in sede penale è valutata liberamente
dall’organo giudicante e viene raggiun...
Art. 113 D.lgs. 196/03 e art. 4 Statuto Lavoratori
È vietato l'uso di impianti audiovisivi e di altre apparecchiature per ...
Art. 114 D.lgs. 196/03 e art. 8 Statuto Lavoratori
È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel
...
Art. 171 D.lgs 196/03 e art. 38 Statuto Lavoratori
Le violazioni degli articoli 4 e 8 comportano:
Ammenda da € 154,95 a €1...
I controlli difensivi
La giurisprudenza ha introdotto con i controlli difensivi
una ulteriore ipotesi di non applicazione ...
Investigazioni difensive in ambito penale
L’attività principale riconosciuta dall’art. 327-bis c.p.p., è senza dubbio
l’as...
Garante Privacy: Caso “Marsh”
La società Marsh S.p.A. attraverso la società di investigazione
tedesca Kroll Ontrack GMBH e...
Garante Privacy: Caso “Marsh”
Il Garante accoglie il ricorso del dipendente in quanto il principio
di correttezza comporta...
Garante Privacy: Caso “Telepost”
La società Telepost licenzia un dipendente che aveva all’interno del
suo notebook azienda...
Linee Guida Garante Privacy su posta elettronica e
internet
I datori di lavoro privati e pubblici devono indicare
chiarame...
Linee Guida Garante Privacy su posta elettronica e
internet
I datori di lavoro devono adottare e pubblicare un disciplinar...
Linee Guida Garante Privacy su posta elettronica e
internet
È vietato il trattamento di dati personali da parte dei datori...
Linee Guida Garante Privacy su posta elettronica e
internet
In ogni caso tutti i trattamenti devono rispettare i principi ...
Giurisprudenza penale su art. 616 c.p.
“Non incorre nel reato di cui all’art. 616 c.p. il datore di lavoro che
legge le e-...
Giurisprudenza civile su controlli difensivi
“Non sono utilizzabili a fini disciplinari i dati acquisiti mediante programm...
Conclusioni
Quadro normativo e giurisprudenziale caotico: dall’art. 4 Statuto
Lavoratori alle Linee Guida del Garante Priv...
Grazie per l’attenzione
Avv. Giuseppe Vaciago
giuseppe.vaciago@replegal.it
http://it.linkedin.com/in/vaciago
https://twitt...
Upcoming SlideShare
Loading in...5
×

Smau milano 2013 fratepietro vaciago

1,468

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,468
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
35
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau milano 2013 fratepietro vaciago

  1. 1. 25 Ottobre 2013 – SMAU Legge 231 e la sicurezza informatica in azienda: un approccio pratico Stefano Fratepietro e Giuseppe Vaciago
  2. 2. Alcuni dati: un primato europeo In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso continuo ad Internet, e quasi 20 milioni in grado di connettersi con uno smartphone o tablet (Fonte: Audiweb Trends, 2013). Il 44% dei pc italiani sono attaccati da malware contro il 20% di quelli danesi (Fonte: Kaspersky Lab).
  3. 3. Alcuni dati: un’analisi degli attacchi Il rapporto Clusit 2013 identifica un rapido cambiamento del trend: iniziano ad essere colpiti tutti i settori industriali e non solo più il settore governativo o quello dell’industria multimediale
  4. 4. Alcuni dati: un’analisi degli attacchi Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degli attivisti. 1 attacco su 2 è non è per finalità dimostrative.
  5. 5. Alcuni dati: tipologie di attacchi Attività fraudolente poste in essere da insider e outsider Attività di “phishing” Furto di dati confidenziali, furto di dati e spionaggio industriale Accessi non autorizzati da parte dei lavoratori Accessi non autorizzati da parte di esterni (hacking) Violazioni contrattuali Diffamazione e molestie sessuali Acquisizione e commercio di materiale pornografico e pedopornografico Furto di codici di accesso e pirateria informatica Modifica non autorizzata di dati (virus, cavallo di Troia, etc.) Furto di risorse informatiche aziendali per fini personali Denial of Services Abuso dell’utilizzo della posta elettronica e di internet Violazione di policy e regolamenti aziendali
  6. 6. Alcuni Casi: La “banda della firma digitale” Un imprenditore “perde” la sua azienda perché il truffatore usando la sua smart card cede a sé stesso e al suo coimputato la totalità delle quote sociali. Ciò avviene perché il truffatore ottiene la firma digitale dell’imprenditore incarica uno studio commercialista che facendone richiesta a suo nome non è tenuto a portare con sé l’imprenditore al momento della consegna.
  7. 7. Alcuni Casi: “Social Botnet” Da una approfondita indagine dell’FBI emerge che nel 2012 più di 11 milioni di utenti di Facebook sono rimasti affetti da un particolare malware in grado di fare un danno di circa 850 milioni di dollari.
  8. 8. Social Media Security and Big Data
  9. 9. Behavioral security
  10. 10. BYOD e Consumerization Perdità del controllo dei device aziendali + Aumento del rischio di introduzione di malware = Aumento del rischio di perdita di dati aziendali
  11. 11. Alcuni Casi: Una esemplificazione
  12. 12. Normativa su “protezione cibernetica”: Awareness DPCM 24 gennaio 2014 Direttiva recante indirizzi per protezione cibernetica e la sicurezza informatica nazionale. la I fornitori di connettività e i gestori delle infrastrutture critiche di rilievo nazionale devono comunicare al Nucleo per la Sicurezza Informatica (CISR - Comitato Interministeriale per la Sicurezza della Repubblica, AISE - Agenzia Informazioni e Sicurezza Esterna, AISI - Agenzia Informazioni e Sicurezza Interna e NISP - Nucleo Interministeriale Situazione e Pianificazione) ogni significativa violazione della sicurezza o dell'integrità dei propri sistemi informatici, utilizzando canali di trasmissione protetti Provvedimento Generale del Garante del 4 aprile 2013 – Obbligo per ISP e TELCO di segnalazione di Data Breach I fornitori di servizi di comunicazione elettronica hanno l’obbligo di segnalare al Garante Privacy ogni violazione subita e, in talune ipotesi, di avvertire, successivamente gli interessati cui i dati si riferiscono.
  13. 13. Sicurezza informatica La sicurezza non è un prodotto ma un processo. Inutile spendere milioni di euro di budget nell’IT Security se la vulnerabilità si chiama “UTONTO”.
  14. 14. Sicurezza difensiva •  Proteggere la rete aziendale •  Lan •  Wan •  Proteggere i servizi e le applicazioni •  Proteggere gli asset •  Proteggere le persone
  15. 15. Proteggersi da cosa? – Ramsonware •  •  •  •  Malware che blocca la produttività di un sistema Cifratura dati Replica nella rete aziendale Malware che blocca l’accesso al sistema operativo
  16. 16. Sicurezza difensiva – EndPoint Protection Exchange Server Protection Application Control Device Control Anti-malware Access control Virtualization Mobile Control Web Protection Firewall Encryption Data Control Patch assessment
  17. 17. Proteggersi da cosa? – Spionaggio industriale •  •  •  •  Blocco degli storage esterni con censimento delle memorie di massa aziendali Controllo dei vettori di uscita dei dati in tempo reale Full disk encryption dei device in mobilità Policy puntuali di accesso al dato con audit log verboso
  18. 18. Proteggersi da cosa? – Attacchi da remoto •  •  •  •  •  Sfruttamento di vulnerabilità applicative Sfruttamento di vulnerabilità di servizi DDoS Traffico dati non autorizzato Reti Wi-Fi
  19. 19. Sicurezza difensiva – Firewall e sonde
  20. 20. Sicurezza difensiva – Controllo degli eventi SIEM Security Information and event management: •  •  •  •  •  Raccogliere gli eventi di sistema Log Netflow Correlazione ed interpretazione degli eventi Alert policy
  21. 21. Sicurezza difensiva – Controllo degli eventi •  Vulnerability Assestment e Penetration Test svolti solo da personale altamente specializzato e formato •  Controlli per la sicurezza delle Web application •  Attività svolte su reti wired, wireless e Internet •  Test eseguiti in modalità White box o Black Box •  Valutazione del rischio per ogni singolo asset aziendale •  Reportistica personalizzata con le remediation ad ogni vulnerabilità riscontrata
  22. 22. Sicurezza informatica e 231 LA NORMATIVA IN VIGORE
  23. 23. Cos’è il Decreto Legislativo 231/2001 •  Il D.lgs. 231 del 2001 si caratterizza per aver introdotto per la prima volta la responsabilità penale della società per i reati commessi dai propri dipendenti nell’interesse e/o a vantaggio della stessa. •  Nel caso in cui un reato venga commesso da un dipendente della società, alla responsabilità penale del dipendente (arresto) e alla responsabilità civile della società (risarcimento del danno) si aggiunge la responsabilità penale della società.
  24. 24. Le Sanzioni per la Società Sanzioni Pecuniarie Sanzioni Interdittive Pubblicazione Sentenza Confisca da 26.000 Euro a 1.550.000 Euro - Interruzione dall’esercizio dell’attività (es. Chiusura temporanea degli uffici o degli stabilimenti); - Divieto di pubblicizzare beni o servizi (es. Obbligo temporaneo di astenersi dal Pubblicizzare determinati prodotti della società) - Revoca delle autorizzazioni/licenze/concessioni (es. Revoca di un permesso di costruzione) - Divieto di contrattare con la Pubblica Amministrazione Amministrazione (es. divieto temporaneo di partecipare a gare pubbliche); - Esclusione da finanziamenti/contributi pubblici e revoca di quelli già concessi (es. revoca di un finanziamento della Comunità Europea per un progetto di ricerca). Diventa quindi di pubblico dominio la commissione di un reato nell’interesse della società Il profitto risultante dal reato viene sempre confiscato
  25. 25. Il Modello di Organizzazione, Gestione e Controllo È un documento che individua le aree a rischio in cui possono essere commessi i reati e prevede una serie di comportamenti/procedure/ processi volti a prevenirli. Al fine di salvaguardare i propri interessi e quelli della società, ogni dipendente ha il dovere di leggerlo e rispettarlo nonchè di partecipare ai training – on line o in aula - che saranno organizzati per facilitarne la conoscenza.
  26. 26. Elenco dei reati “231” in ambito informatico §  §  falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.); accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.); §  detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615quater c.p. §  diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.); §  intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.); §  installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 615-quinquies c.p.); §  danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.); §  danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); §  danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.); §  danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.); §  frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)
  27. 27. Alcuni esempi Accesso non autorizzato a sistemi che erogano le buste paga per alterare i dati relativi a voci di cedolino di non semplice verifica da parte dei dipendenti al fine di ridurre illecitamente le erogazioni nei confronti degli stessi e realizzare coì un interesse e vantaggio per l’azienda Un utilizzo illecito degli strumenti informatici per danneggiare siti internet e di pubblica utilità, avvenuto attraverso un accesso abusivo a sistema telematico Il reato di intercettare o di impedire la comunicazione telematica senza il consenso dell’avente diritto per finalità di concorrenza sleale.
  28. 28. Le attività di controllo Separazione dei ruoli e escalation Tracciabilità degli accessi e dellavulnerabilità Procedure e livelli autorizzativi Raccolta di segnalazioni di fattispecie a rischio
  29. 29. Privacy reato “231” – Occasione persa Il decreto “femminicidio” non ha ricompreso tra i reati presupposto per la responsabilità dell’impresa il trattamento illecito di dati personali. Inoltre sarebbe comunque mancato l’art. 169 del Codice Privacy che prevede una sanzione alla persona fisica che viola le misure di sicurezza di un sistema informatico.
  30. 30. Sicurezza informatica e Investigazioni difensive LA DIGITAL FORENSICS
  31. 31. Digital e Corporate Forensics In questo contesto, diventa sempre più necessario ricercare all’interno dei sistemi informativi dell’azienda (corporate forensics) e del cittadino (digital forensics) la prova digitale utilizzabile nella successiva fase giudiziale (penale, civile e amministrativa). La prova digitale è qualunque informazione generata, memorizzata o trasmessa attraverso uno strumento elettronico che possa essere ammessa in giudizio (Fonte: Digital Forensics Guide - Council of Europe - 2013). Auten&ca:  non  deve   subire  alcuna   alterazione   Ammissibile:  essere   u2lizzabile  in  giudizio   come  fonte  di  prova   Proporzionale:  ossia   rispe7are  I  diri9   fondamentali   “Credibile”:Facilmente   comprensibile   dall’autorità  giudiziaria  
  32. 32. Digital Forensics - Individuazione Identificazione dei componenti informatici di interesse aventi memorie di massa utilizzabili da un utente.
  33. 33. Digital Forensics - Preservazione §  §  §  Mettere in sicurezza i dispositivi mediante appositi sigilli Calcolo dell’hash delle memorie oggetto di sequestro Verbale delle operazioni
  34. 34. Digital Forensics - Acquisizione §  §  §  §  §  Accertamento tecnico ripetibile Clonazione della memoria di massa mediante una bit stream image (raw, ewf o aff) La memoria da clonare deve essere collegata al sistema mediante opportuni dispositivi di blocco di scrittura (hardware o software) L’acquisizione della memoria deve essere completa La copia fedele deve avere lo stesso valore di hash dell’originale La memoria informatica è cifrata?
  35. 35. Digital Forensics - Acquisizione §  §  §  §  Accertamento tecnico irripetibile: procedura che potrebbe alterare, anche in minima parte, l’originalità della memoria di massa Cellulari o Smarthphone che necessitano procedure invasive preventive L’acquisizione della memoria può avvenire in modo completo (clonazione) o parziale (acquisendo i songoli dati di interesse) La copia potrebbe non necessitare la comparazione di hash con la memoria originale La memoria informatica è cifrata?
  36. 36. Digital Forensics - Acquisizione Variabili e calcolo del rischio: tener conto dello stato di usura dell’oggetto di perizia; nel caso in cui esso sia molto vecchio, è meglio eseguire un accertamento tecnico irripetibile; questo perchè lo stress che subirà la memoria durante la fase di acquisizione potrebbe alterare definitivamente il corretto funzionamento della memoria.
  37. 37. Digital Forensics - Analisi Ad ogni evidenza raccolta va calcolato l’hash e riportato all’interno della documentazione in una apposita tabella dei file di interesse. Va riportato anche il path esatto dove è stato trovata l’evidenza o l’offset della memoria con annessi riferimenti temporali.
  38. 38. Digital Forensics - Presentazione delle risultanze Il lettore della perizia, seguendo la documentazione prodotta, deve ottenere gli stessi ed identici risultati ottenuti da chi ha eseguito l’attività. Cioè avviene attraverso la redazione di un: §  §  §  Elenco dei software e degli strumenti utilizzati per l’acquisizione e l’analisi Elenco di tutte le attività eseguite passo passo Catalogo dei file di interesse con il loro relativo hash Creazione di un doppio report, un “executive summary” e un “technical summary” Ovviamente è importante limitarsi alla parte tecnico informatica
  39. 39. Digital Forensics - Catena di custodia Documentazione da allegare ad ogni singola memoria posta sotto sequestro dove annotare: §  §  §  §  Descrizione, marca, modello e numero di serie Chi custodisce la memoria In quale periodo risale l’Hash della memoria Note di interesse
  40. 40. Digital Forensics - Indagine interna Durante i test di disaster recovery, alcuni sistemisti, cercando di capire quale fosse il problema che provocava il blocco del ripristino del backup di un client, scoprono che all’interno del backup vi sono 2 video aventi contenuto pedopornografico. Il computer oggetto di accertamento è una postazione avente Windows 2000 Professional (già da tempo in end of life). La postazione era in uso ad un solo operatore di sportello che diventa il principale indiziato
  41. 41. Digital Forensics - Indagine interna §  L’utente nega di aver mai visto o usato tali file §  Da controlli fatti sulla postazione mediante opportune tecniche di creazione di timeline, gli analisti confermano le affermazioni dell’utente, cioè che quei file sono comparsi all’interno della memoria del computer in periodo in cui la persona era assente per malattia §  I sospetti si spostano su l’unica persona capace di accedere lecitamente a qualsiasi client della banca: l’amministratore di sistema!
  42. 42. Digital Forensics - Indagine interna §  §  §  Per non destare sospetto, viene clonata durante la notte la memoria del computer portatile del nuovo sospettato, sostituendo con una copia fedele il disco originale che sarà analizzato in laboratorio in un secondo momento L’analisi della memoria (clonata una terza volta in laboratorio), mediante opportune tecniche di file carving, permise di recuperare i video incriminati, cancellati dall’utente proprio il giorno in cui furono trovati tali file Da una analisi del registro di Windows si è potuto risalire alla fonte di origine da cui sono pervenuti i file, cioè una penna usb collegata al computer portatile.
  43. 43. Sistema di Gestione della Digital Forensics È necessario un sistema di gestione con un approccio di tipo preventivo rispetto alle esigenze di investigazione informatica, fondato su 4 presupposti: Formalizzazione delle procedure in caso di incidenti IT Monitoraggio e analisi dell’evoluzione normativa Progettazione e erogazione di iniziative di training Pianificazione periodica di attività di assessment
  44. 44. Sicurezza informatica e Investigazioni difensive LA NORMATIVA IN VIGORE
  45. 45. La normative utili in tema di sicurezza informatica Sistema di gestione della sicurezza delle informazioni Linee Guida di categoria Compliance program (D.lgs. 231/01) Investigazioni difensive ISO/IEC 27037, 27041, 27042 e 27043 Codice Privacy e Provvedimenti Garante Privacy
  46. 46. I limiti legali delle investigazioni difensive Utilizzabilità in ambito penale Investigazioni difensive Artt. 113 e 114 Codice Privacy I “controlli difensivi” Utilizzabilità in ambito civile
  47. 47. La digital evidence in ambito civile Nel processo civile, il giudice fonda il proprio convincimento sulla base delle prove a fondamento dei diritti e delle eccezioni reperite e prodotte dalle parti. Le riproduzioni informatiche di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime. Ove disconosciute, esse conservano il valore probatorio di un semplice elemento di prova, liberamente valutabile dal giudice. Solo nel rito del lavoro, le prove a fondamento dei diritti e delle eccezioni devono essere cercate e prodotte dalle parti, ma il giudice ha poteri istruttori non previsti nel rito ordinario
  48. 48. La digital evidence in ambito penale La prova in sede penale è valutata liberamente dall’organo giudicante e viene raggiunta a seguito del giudizio come disciplinato dal codice di procedura penale. La legge 48/2008 si è posta il problema della peculiarità delle tradizionali attività di ricerca dei mezzi di prova (ispezioni, perquisizioni, sequestri e accertamenti urgenti), in relazione alle prove digitali, prevedendo l’adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l’alterazione. I mezzi di ricerca della prova sono strumenti di indagine a disposizione del pubblico ministero e in via residuale della polizia giudiziaria, ma anche al difensore dell’indagato e della parte offesa è concessa la facoltà di compiere indagini difensive, anche in ottica preventiva.
  49. 49. Art. 113 D.lgs. 196/03 e art. 4 Statuto Lavoratori È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori a meno che non siano richieste da: Esigenze organizzative Esigenze produttive Esigenze di sicurezza CONTROLLI LEGITTIMI O PRAETERINTENZIONALI Previo accordo con RSA e in difetto di accordo su istanza del datore di lavoro e provvedimento dell’ispettorato del lavoro
  50. 50. Art. 114 D.lgs. 196/03 e art. 8 Statuto Lavoratori È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi su: 1. Opinioni politiche, religiose o sindacali del lavoratore. 2. Su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.
  51. 51. Art. 171 D.lgs 196/03 e art. 38 Statuto Lavoratori Le violazioni degli articoli 4 e 8 comportano: Ammenda da € 154,95 a €1549,5 o arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente. Se il giudice ritiene l’ammenda troppo bassa ha facoltà di aumentarla fino al quintuplo. Nei casi più gravi l'autorità giudiziaria ordina la pubblicazione della sentenza penale di condanna
  52. 52. I controlli difensivi La giurisprudenza ha introdotto con i controlli difensivi una ulteriore ipotesi di non applicazione del divieto dell’art. 4 dello Statuto dei Lavoratori: “devono ritenersi certamente fuori dall’ambito di applicazione dell’art. 4 Statuto dei Lavoratori i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate, o appunto gli apparecchi di rilevazione di telefonate ingiustificate”.
  53. 53. Investigazioni difensive in ambito penale L’attività principale riconosciuta dall’art. 327-bis c.p.p., è senza dubbio l’assunzione di informazioni da soggetti che possono rendere informazioni utili all’indagine. Tuttavia, è prevista dall’art. 391-sexies anche la possibilità di effettuare un sopralluogo e di redigere un verbale che documenti l’attività svolta. In questa attività investigativa, potrebbe rientrare l’accesso a un sistema informatico aziendale da parte di un consulente tecnico nominato dall’avvocato, finalizzato a controllare la commissione di eventuali illeciti da parte del lavoratore. È importante rilevare che, ai sensi dell’art. 391-decies, qualora l’attività sia qualificabile come accertamento tecnico non ripetibile ex art. 360 c.p.p., il difensore ha il dovere di darne avviso, senza ritardo, al pubblico ministero. La dottrina si è interrogata molte volte sulla ripetibilità o meno dell’analisi forense di un sistema informatico .
  54. 54. Garante Privacy: Caso “Marsh” La società Marsh S.p.A. attraverso la società di investigazione tedesca Kroll Ontrack GMBH effettuava un controllo sulla posta elettronica del lavoratore senza alcun avviso. Il dipendente ricorre al Garante della Privacy e la società si difende sostenendo che: 1. Era specificato nel Manuale sulla privacy l’esclusione per fini personali dell’utilizzo della e-mail aziendale 2. Era stato espletato in forza “sia dalla legislazione americana che impone alle aziende accertamenti di tal specie in relazione a presunti illeciti penali commessi dal top management (Sarbanes Oxley Act–Sox), sia dalla legislazione italiana, che prevede sanzioni per le imprese che non vigilino sull'osservanza di modelli organizzativi volti a prevenire la commissione di specifici reati da parte degli stessi vertici aziendali (d.lg. n. 231/2001)”
  55. 55. Garante Privacy: Caso “Marsh” Il Garante accoglie il ricorso del dipendente in quanto il principio di correttezza comporta l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e l'eventualità che controlli da parte del datore di lavoro possano riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (Caso Copland in UK). Nel caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalità vengono effettuati controlli ai sensi delle linee guida del Garante della Privacy del 1/3/2007. In sostanza, il Garante impedisce ogni ulteriore utilizzo dei dati, salva la loro conservazione per la tutela di diritti in sede giudiziaria nei limiti di cui all'art. 160, comma 6 del Codice.
  56. 56. Garante Privacy: Caso “Telepost” La società Telepost licenzia un dipendente che aveva all’interno del suo notebook aziendale file contenenti materiale pornografico. L’azienda accede all’hard disk in sua assenza e con l’ausilio di un consulente tecnico terzo, dopo aver inviato solo il giorno prima la normativa per l'utilizzo dei servizi informatici. Il Garante accoglie il ricorso sostenendo che la società ha esperito il controllo informatico in assenza di una previa idonea informativa all'interessato relativa al: •  trattamento dei dati personali (art. 13 del Codice) •  modalità da seguire per gli stessi (presenza dell'interessato, di rappresentanti sindacali, di personale all'uopo incaricato)
  57. 57. Linee Guida Garante Privacy su posta elettronica e internet I datori di lavoro privati e pubblici devono indicare chiaramente le modalità di uso degli strumenti elettronici messi a disposizione e se e in che misura e con quali modalità vengono effettuati controlli Divieti (es. file-sharing o downloading di mp3 e software illegale) Posta privata: come (webmail o client?) e quando ? Memorizzazione di dati (es. log file): quali e per quanto tempo ? Controlli del datore di lavoro: specifici con indicazione dei tempi
  58. 58. Linee Guida Garante Privacy su posta elettronica e internet I datori di lavoro devono adottare e pubblicare un disciplinare interno e adottare misure di tipo organizzativo affinché: §  si proceda ad un’attenta valutazione lavoratori; dell’impatto sui diritti dei §  si individuino preventivamente i lavoratori cui è consentito l’utilizzo di internet e della posta elettronica; §  si individui quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi.
  59. 59. Linee Guida Garante Privacy su posta elettronica e internet È vietato il trattamento di dati personali da parte dei datori di lavoro mediante software e hardware che mirano al controllo a distanza dei lavoratori attraverso: §  la lettura sistematica dei messaggi di posta elettronica; §  memorizzazione riproduzione delle pagine web visionate dal lavoratore; §  la lettura e la registrazione dei caratteri inseriti tramite la tastiera; §  l’analisi occulta dei computer portatili affidati al lavoratore.
  60. 60. Linee Guida Garante Privacy su posta elettronica e internet In ogni caso tutti i trattamenti devono rispettare i principi di: CORRETTEZZA PERTINENZA Le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori Divieto di un'ingiustificata interferenza sui diritti e sulle libertà fondamentali di lavoratori NECESSITÀ NON INVASIVITÀ Elenco di siti attendibili Filtri inseriti su black list (download Anonimizzazione dei log file Retention limitate file Monitoraggio effettuato solo su soggetti a rischio ed effettuato nel rispetto del principio della segretezza della corrispondenza
  61. 61. Giurisprudenza penale su art. 616 c.p. “Non incorre nel reato di cui all’art. 616 c.p. il datore di lavoro che legge le e-mail aziendali dei propri dipendenti se esiste un regolamento dettato dall’impresa che impone la comunicazione della password del PC” (Cass. Pen., Sez. V, 11/12/2007, n. 47096) “L’indirizzo aziendale, proprio perché tale, può essere nella disponibilità di accesso e lettura da parte di persone diverse dall’utilizzatore consuetudinario a prescindere dalla identità o diversità di qualifica o funzione” (Tribunale di Milano, 10/5/2002) “Il dipendente che utilizza la casella di posta elettronica aziendale si espone al rischio che anche altri della medesima azienda possano lecitamente accedere alla casella in suo uso previa acquisizione della relativa " password” (Tribunale Torino, 15 settembre 2006)
  62. 62. Giurisprudenza civile su controlli difensivi “Non sono utilizzabili a fini disciplinari i dati acquisiti mediante programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet dei dipendenti, sul presupposto che gli stessi consentono al datore di lavoro di controllare a distanza ed in via continuativa l'attività lavorativa durante la prestazione, e di accertare se la stessa sia svolta in termini di diligenza e corretto adempimento” (Cassazione civile sez. lav., 23/2/2010, n. 4375) “Non sono utilizzabili i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet violano, da un lato, l'art. 8 st. lav., posto che il monitoraggio e la conservazione per un certo lasso di tempo dei dati acquisiti può concretare trattamenti dei dati sensibili che consentono al datore di lavoro di acquisire indicazioni sulle "opinioni politiche, religiose o sindacali" del singolo dipendente"; dall'altro, l'art. 4 dello stesso statuto, ove non sia attivata la procedura prevista per l'installazione delle apparecchiature necessarie per soddisfare esigenze aziendali (C. App. Milano, 30/09/2005)
  63. 63. Conclusioni Quadro normativo e giurisprudenziale caotico: dall’art. 4 Statuto Lavoratori alle Linee Guida del Garante Privacy del 1 marzo 2007, dai Provvedimenti del Garante Privacy alle decisioni della Corte di Cassazione civile e penale. Il D.lgs. 231/01 rischia di essere in contrasto con quanto stabilito dal Garante Privacy rendendo difficile la redazione del modello di organizzazione gestione e controllo, ma costituisce un ottimo strumento per implementare la sicurezza informatica. La digital forensics, riveste e rivestirà sempre di più un ruolo di fondamentale importanza per garantire la corretta cristallizzazione della prova digitale che dovrà essere successivamente prodotta in giudizio.
  64. 64. Grazie per l’attenzione Avv. Giuseppe Vaciago giuseppe.vaciago@replegal.it http://it.linkedin.com/in/vaciago https://twitter.com/giuseppevaciago Dott. Stefano Fratepietro s.fratepietro@teslaconsulting.it http://www.linkedin.com/in/stefanofratepietro https://twitter.com/stevedeft
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×