Il documento discute la sicurezza informatica e la crittografia, definendo la sicurezza come uno studio e sviluppo di piani per prevenire eventi dannosi. Vengono presentate normative riguardo ai diritti d'autore, ai dati delle pubbliche amministrazioni e ai principi di sicurezza informatica e crittografia, illustrando la loro importanza nella protezione delle informazioni. Viene enfatizzato che la sicurezza è un processo continuo che richiede collaborazione tra hardware, software e fattori umani.

1. LA SICUREZZA INFORMATICA E LA CRITTOGRAFIA

2. Definizione di sicurezza“La sicurezzaèstudio, sviluppoedattuazionedellestrategie, dellepolitiche e deipianioperativivolti a prevenire, fronteggiare e superareeventi in prevalenza di naturadolosa e/o colposa, chepossonodanneggiare le risorsemateriali, immaterialiedumane di cui l'aziendadispone e necessita per garantirsiun'adeguatacapacitàconcorrenzialenelbreve, medio e lungoperiodo”.

3. Sicurezza & DirittoMai come nell'eradella “cyberlaw” ildirittosièinteressato, per diversiaspetti, dellasicurezza. Alcuniesempi:- Normativasuldirittod'autore (art. 102-quater L 633/41)“1. I titolari di dirittid'autore e di diritticonnessinonché del diritto di cui all'art. 102-bis, comma 3, possonoapporresulleopere o sui materialiprotettimisuretecnologiche di protezioneefficacichecomprendonotutte le tecnologie, idispositivi o icomponentiche, nelnormalecorso del lorofunzionamento, sonodestinati a impedire o limitareatti non autorizzatidaititolarideidiritti.2. Le misuretecnologiche di protezionesono considerate efficacinelcaso in cui l'usodell'opera o del materialeprotettosiacontrollatodaititolaritramitel'applicazione di un dispositivo di accesso o dì un procedimento di protezione, quale la cifratura, la distorsione o qualsiasialtratrasformazionedell'opera o del materialeprotetto, ovverosialimitatomediante un meccanismo di controllodellecopiecherealizzil'obiettivo di protezione”.

4. Codice dell’amministrazione digitale (D.Lgs.235/2010)(Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni).1. Con le regole tecniche adottate ai sensi dell’articolo 71 sono individuate le modalità chegarantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati, deisistemi e delle infrastrutture.1-bis. DigitPA, ai fini dell’attuazione del comma 1:a) raccorda le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici;b) promuove intese con le analoghe strutture internazionali;c) segnala al Ministro per la pubblica amministrazione e l’innovazione il mancato rispetto delleregole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni.”;d) dopo il comma 2, è aggiunto il seguente: “2-bis. Le amministrazioni hanno l’obbligo diaggiornare tempestivamente i dati nei propri archivi, non appena vengano a conoscenzadell’inesattezza degli stessi.”.2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o nonconsentito o non conforme alle finalità della raccolta.

5. 2-bis. Le amministrazioni hanno l’obbligo di aggiornare tempestivamente i dati nei propri

6. archivi, non appena vengano a conoscenza dell’inesattezza degli stessi.Giurisprudenza sui computer crimes (Cass. V Sez. Pen. Sent. 12732/00)“...Certoènecessariochel'accesso al sistemainformatico non siaaperto a tutti, come taloraavvienesoprattuttoquandositratti di sistemitelematici. Ma deveritenersiche, aifinidellaconfigurabilità del delitto, assumarilevanzaqualsiasimeccanismo di selezionedeisoggettiabilitatiall'accesso al sistemainformatico, anchequandositratti di strumentiesterni al sistema e meramenteorganizzativi, in quantodestinati a regolarel'ingressostessoneilocali in cui gliimpiantisonocustoditi. Ed ècertamentecorretta, in questaprospettiva, la distinzioneoperatadallacorted'appellotra le banchedatiofferte al pubblico a determinate condizioni e le banchedatidestinate a un'utilizzazioneprivataesclusiva, come idaticontabili di un'azienda”.

7. Cass. Sez. VI Pen. Sent. 46509/04“[…] 3. Per quanto concerne il reato di cui all'art. 615 ter, comma 2, n. 1, c.p. (capo B) non e' ravvisabile la condotta contestata in quanto il sistema informatico nel quale l'imputato si inseriva abusivamente non risulta obiettivamente (ne' la sentenza fornisce la relativa prova) protetto da misure di sicurezza, essendo anzi tale sistema a disposizione dell'imputato in virtù delle mansioni affidategli per ragioni di ufficio. Il fatto che il D.C. ne facesse un uso distorto a fini illeciti e personali, non sposta i termini della questione, mancando il presupposto della "protezione" speciale del sistema stesso. Da tale reato pertanto l'imputato deve essere assolto perché il fatto non sussiste”.

8. Normativa sul processo telematico (D.M. 14 ottobre 2004)Art. 34. Piano per la sicurezza3. Il piano per la sicurezza è conforme a quanto previsto dal decreto legislativo 30 giugno 2003, n. 196, e può essere adottato unitamente al documento programmatico per la sicurezza previsto dall'art. 34, comma 1, lettera g), del medesimo decreto legislativoArt. 42. Crittografia del messaggio1. Al fine della riservatezza del documento da trasmettere, il soggetto abilitato esterno utilizza un meccanismo di crittografia basato sulla chiave pubblica del gestore locale cui è destinato il messaggio.2. Le caratteristiche tecniche specifiche della crittografia dei documenti sono definite nell'allegato A del presente decreto.3. Le chiavi pubbliche dei gestori locali sono pubblicate in un registro del gestore centrale dell'accesso.4. Il registro di cui al comma 3 è accessibile in modalità LDAP.

9. Codice della proprietà industriale (D. Lgs. 30/05)Art. 98“1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;b) abbiano valore economico in quanto segrete;c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.2. Costituiscono altresi' oggetto di protezione i dati relativi a prove o altri dati segreti, la cui elaborazione comporti un considerevole impegno ed alla cui presentazione sia subordinata l'autorizzazione dell'immissione in commercio di prodotti chimici, farmaceutici o agricoli implicanti l'uso di nuove sostanze chimiche.”

10. TeoriesullasicurezzaAllasicurezza (in particolaredeidati e deisistemiinformatici) sono state attribuite diverse funzioni: - funzioneconcorrenziale (fattore di competitività per l'azienda); - funzionegarantista (preservandoidatipersonali da usiimproprisitutelaanche la dignitàdella persona); - funzioneforense (puòprevenire la formazione di fattispeciecriminose o, se correttamenteimplementata, agevolarel'operatodelleforzedell'ordine); - funzioneefficientista (èstatostatisticamenteprovatochel’adozione di accorgimenti in materia di sicurezza ha portato ad unamaggioreefficienzadell’interastruttura, siaessapubblica o privata).

11. Quindi…La sicurezzaè un processo, non un prodotto, nel quale intervengonotrecomponentifondamentali: hardware, software e humanware.La mancatacooperazione di uno solo di questielementirendeinstabiletuttoilsistema (la robustezza di un sistemasibasasullarobustezza del suoanellopiùdebole).La sicurezzaè un processoasintotico, ossianecessita di continue verificheed aggiornamenti per potersiavvicinareallaperfezione, senzatuttaviamairaggiungerlaappieno.Gliobiettiviche un sistemadovràraggiungere per potersidefinire “sicuro” consistono in: 1) integrità; 2) autenticità; 3) riservatezza; 4) disponibilità; 5) reattività.

12. SICUREZZA E INFORMATICA

13. Le minacce verso la sicurezzaTuttociòchepuòesserenocivo verso la sicurezzaè ben sintetizzatonellanormativa in materia di privacy (D.Lgs. 196/03) cheravvisa le minaccenella “...distruzione o perdita, ancheaccidentale, deidatistessi, di accesso non autorizzato o di trattamento non consentito o non conformeallefinalitàdellaraccolta”.Vi sono diverse modalitàtecnico-informatichemediante le qualisipossonorealizzare le minacceallasicurezza. Le piùcomunisono: - Distribuited Denial of Service (DDoS) - Man-in-the-middle (MITM) - Buffer overflow - Malware (virus, worms e spyware)

14. Principi di Sicurezza InformaticaNON ESISTONO SISTEMI SICURIIl software non puòessereperfetto (privo di errori);Il grado di sicurezzaèdato dal tempo necessario per violareilsistema, dall'investimentonecessario e dallaprobabilità di successo.

15. Principi di Sicurezza InformaticaUN SISTEMA PIU’ E’ COMPLESSO E PIU’ E’ INSICURO Per fare sistemisicurioccorreapplicare la KISS rule, cioèKeep It Simple and Stupid.Attenzione: isistemi da proteggerepossonoesseremoltocomplessi ma ilsistema di protezionedeveessereestremamentesemplice. Ognicomplessità non necessariaèsolamentefonte di possibilierrori e falle.

16. Principi di Sicurezza InformaticaL’IMPORTANZA DELLA CONOSCENZALa conoscenzadeglistrumenti di sicurezza e la consapevolezzadeiproblemicollegatidevonoesserepatrimonio di tuttigliutenti;L'illusione di sicurezzaèpiùdannosadellaassolutamancanza di sicurezza;A un sistemariconosciutoinsicuro non sipossonoaffidareinformazioni “sensibili”.

17. Full disclosure vs. closed disclosure“La sicurezza di un crittosostema non devedipenderedallasegretezzadell'algoritmousato, ma solo dallasegretezzadellachiave” (Kerckhoffs, La criptographiemilitaire, 1883)

18. L’importanzadellaconoscenzaLa conoscenzadeglistrumenti di sicurezza e la consapevolezzadeiproblemicollegatidevonoesserepatrimonio di tuttigliutenti;L'illusione di sicurezzaèpiùdannosadellaassolutamancanza di sicurezza;A un sistemariconosciutoinsicuro non sipossonoaffidareinformazionisensibili.

19. La crittografiaΚρυπτογραφíας (scrittura nascosta)Definizioni:l'insieme dei meccanismi utilizzati per trasformare messaggi in chiaro (plaintext) in un messaggi cifrati (ciphertext); è nata come branca della matematica e dell’informatica grazie all’utilizzo di tecniche di teoria dei numeri e di teoria dell’informazione;è una disciplina antichissima, le cui origini risalgono forse alle prime forme di comunicazione dell'uomo, anche se si è sviluppata come scienza vera e propria solo dopo la seconda guerra mondiale;i messaggi cifrati devono essere leggibili solo a chi possiede le opportune autorizzazioni;l'autorizzazione assume la forma di un insieme di informazioni (chiave) necessarie per convertire un messaggio cifrato in un messaggi in chiaro.

20. Caratteristiche della crittografiaLa crittografiavieneutilizzataprincipalmente per implementare le seguentioperazioni: autenticazione, riservatezza, integrità, anonimato.L'autenticazioneèl'operazionecheconsente di assicurarel'identità di un utente in un processo di comunicazione.La riservatezzaèl'operazionepiùconosciutadellacrittografiaperchèèquellachestoricamenteènata per prima e checonsistenelproteggere le informazioni da occhiindiscreti.L'integritàèl'operazionecheconsente di certificarel'originalità di un messaggio o di un documento. In praticasicertificacheilmessaggio non èstatomodificato in nessunmodo.L'anonimatoèl'operazionecheconsente di non rendererintracciabileunacomunicazione, èunadelleoperazionipiùcomplesse da realizzare.

21. Esempi di utilizzo della crittografiaNeibancomat come sistema di protezionedellecomunicazionitra POS (Point Of Sale, punto di vendita) e banca.Nellatelefonia mobile, ad esempionelprotocolloGSMtramitel'algoritmo A5/2* o nelprocotolloUMTS, per la protezionedellecomunicazionivocali.Nellecomunicazionisatellitari per l'autenticazione e la protezionedelletrasmissionidatisatellitari, ad esempio con lo standard NDS.Su Internet per la protezione del commercioelettronico e dellecomunicazioniriservate (protocolloSSL).Nelleapplicazioni di firma deidocumentidigitali (firma digitale).

22. Crittografia simmetricaSi parla di crittografiasimmetricaperchèsiutilizza la stessachiavesia per le operazioni di cifraturache per quelle di decifrazione.La robustezza del cifrariodipende, quindi, esclusivamentedallasegretezzadellachiave.

23. 07/04/11Avv. Pierluigi Perri - Università di Milano22

24. Crittografia asimmetrica e a chiave pubblicaUtilizzaunacoppia di chiavi per le operazioni di cifratura (encryption) e decifrazione (decryption).Unachiavedettapubblica (public key) vieneutilizzata per le operazioni di encryption. L’altrachiave, dettaprivata (private key), vieneutilizzata per le operazioni di decryption.A differenzadeicifrarisimmetrici non èpiùpresenteilproblemadellatrasmissionedellechiavi.E’ intrinsecamentesicurapoichéutilizzatecniche di tipomatematicobasatesullateoriadeinumeri, sullateoriadelle curve ellittiche, etc.

25. 07/04/11Avv. Pierluigi Perri - Università di Milano24

26. Esempio di utilizzo quotidiano della crittografiaMolti browser web, per indicare che la connessione sta avvenendo su un canale crittografato, usano mettere in basso a destra un’icona raffigurante un lucchetto;Tale circostanza ci viene confermata dall’utilizzo del prefisso https:// invece del più noto http://.

27. Crittografia=sicurezza?In nessun caso, almeno da un punto di vista “tecnico” l’adozione di un accorgimento può essere da solo sufficiente a garantire la sicurezza.Da un punto di vista giuridico, tuttavia, si rileva che il Legislatore ha previsto l’uso della crittografia per tutte quelle applicazioni che necessitano di elevati livelli di sicurezza (firma digitale, trattamento di dati sanitari o giudiziari).

28. La “cryptocontroversy” :-)

29. La vera “cryptocontroversy”Da tempo, gli studiosi si interrogano su un dilemma: la crittografia è-uno strumento volto a tutelare la privacy dei cittadini?uno strumento volto a eludere i controlli e, quindi, ad agevolare la commissione di illeciti?I dual-use goodsCon questa espressione si vogliono indicare gli strumenti che possono avere un doppio utilizzo.Nel caso della crittografia, questa può essere intesa come strumento adatto a proteggere la propria riservatezza o come vera e propria arma bellica.Ciò comporta che, per la crittografia, gli scenari da considerare sono molteplici.

30. Esportazione di tecniche e strumenti crittografici

31. Importazione di tecniche e strumenti crittografici

32. Controllo interno sulle tecniche e sugli strumenti crittografici

33. Il WassenaarArrangementQuesto accordo nasce per regolamentare l’esportazione delle tecnologie legate alla crittografia.Contiene le previsioni relative all’esportazione di software crittografici.Sono liberamente esportabili tutti i prodotti crittografici a chiave simmetrica fino a 56 bit e quelli a chiave asimmetrica fino a 512 bit e tutti i prodotti basati su crittografia fino a 112 bit.

34. Ѐ libera l’esportazione dei prodotti che utilizzano sistemi crittografici per la protezione della proprietà intellettuale.Tutto quanto non è specificato può essere esportato dietro licenza da parte degli organi competenti (in Italia è il Ministero per il Commercio)Non tutti gli Stati firmatari, però, rispettano le prescrizioni in esso contenute.

35. Il panorama europeoIn Europa, vigono sommariamente queste regole:L’esportazione verso i Paesi dell’UE è libera, eccezion fatta per particolari strumenti quali, ad esempio, quelli adoperati per la crittanalisi;Per gli altri Paesi, si può ottenere o una Community General Export Authorization o una General National License

36. Il panorama italiano: il beneTutela della riservatezza24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

37. Tutela del diritto d’autore (art. 102-quater l. 633/41)2. Le misure tecnologiche di protezione sono considerate efficaci nel caso in cui l'uso dell'opera o del materiale protetto sia controllato dai titolari tramite l'applicazione di un dispositivo di accesso o dì un procedimento di protezione, quale la cifratura, la distorsione o qualsiasi altra trasformazione dell'opera o del materiale protetto, ovvero sia limitato mediante un meccanismo di controllo delle copie che realizzi l'obiettivo di protezione”.

38. Codice dell’Amministrazione Digitale (art. 1, lett. s) del D.Lgs.235/10)firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;

39. Processo telematico (D.M. 14 ottobre 2004)Art. 42. Crittografia del messaggio 1. Al fine della riservatezza del documento da trasmettere, il soggetto abilitato esterno utilizza un meccanismo di crittografia basato sulla chiave pubblica del gestore locale cui è destinato il messaggio. 2. Le caratteristiche tecniche specifiche della crittografia dei documenti sono definite nell'allegato A del presente decreto. 3. Le chiavi pubbliche dei gestori locali sono pubblicate in un registro del gestore centrale dell'accesso. 4. Il registro di cui al comma 3 è accessibile in modalità LDAP.

40. Il lato oscuro della crittografiaCodice delle comunicazioni elettronicheIl Codice delle comunicazioni elettroniche prevede l’obbligo, per gli operatori di comunicazioni, di effettuare le prestazioni a fini di giustizia a fronte di richieste di intercettazioni e di informazioni da parte dell’Autorità Giudiziaria. In caso queste prestazioni ai fini di giustizia non siano assicurate sin dall’inizio dell’attività, il Ministero revoca l’autorizzazione generale.Questo obbligo comporta, come sottolineato dalla stessa legge, la necessità per gli operatori di negoziare tra di loro le modalità di interconnessione per garantire la fornitura e l’interoperabilità delle prestazioni a fini di giustizia.

41. Decreto UrbaniNella sua prima formulazione (non convertita in legge) era prevista un’aggravante per chi scambiava materiale protetto dal diritto d’autore mediante reti P2P cifrate.