![Cass.
Sez.
VI
Pen.
Sent.
46509/04
“[…]
3.
Per
quanto
concerne
il
reato
di
cui
all'art.
615
ter,
comma
2,
n.
1,
c.p.
(capo
B)
non
e'
ravvisabile
la
condoBa
contestata
in
quanto
il
sistema
informaAco
nel
quale
l'imputato
si
inseriva
abusivamente
non
risulta
obieYvamente
(ne'
la
sentenza
fornisce
la
relaAva
prova)
prote;o
da
misure
di
sicurezza,
essendo
anzi
tale
sistema
a
disposizione
dell'imputato
in
virtù
delle
mansioni
affidategli
per
ragioni
di
ufficio.
Il
faBo
che
il
D.C.
ne
facesse
un
uso
distorto
a
fini
illeci5
e
personali,
non
sposta
i
termini
della
ques5one,
mancando
il
presupposto
della
"protezione"
speciale
del
sistema
stesso.
Da
tale
reato
pertanto
l'imputato
deve
essere
assolto
perché
il
fa;o
non
sussiste”.](https://image.slidesharecdn.com/lezione742011-110407102812-phpapp01/85/Lezione-7-4-2011-6-320.jpg)
Uploaded byCouncil of Europe
Lezione 7 4 2011
Il documento discute la sicurezza informatica e la crittografia, evidenziando la definizione di sicurezza come un insieme di strategie per prevenire danni alle risorse aziendali. Viene sottolineata l'importanza della normativa, della cooperazione tra hardware e software e delle funzioni della sicurezza, tra cui la protezione dei dati e la tutela della privacy. Infine, si affrontano tematiche riguardanti la crittografia, i suoi principi fondamentali e le controversie relative al suo utilizzo nei contesti della privacy e della sicurezza.
More Related Content
Lezione 7 4 2011
- 1.
- 2. Definizione di sicurezza “La sicurezza è studio, sviluppo ed a;uazione delle strategie, delle poliAche e dei piani opera5vi vol5 a prevenire, fronteggiare e superare even5 in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garan5rsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo”.
- 3. Sicurezza & DiriBo • Mai come nell'era della “cyberlaw” il diriBo si è interessato, per diversi aspeF, della sicurezza. Alcuni esempi: -‐ NormaAva sul diri;o d'autore (art. 102-‐quater L 633/41) “1. I 5tolari di diriF d'autore e di diriF connessi nonché del diriBo di cui all'art. 102-‐ bis, comma 3, possono apporre sulle opere o sui materiali proteF misure tecnologiche di protezione efficaci che comprendono tuBe le tecnologie, i disposi5vi o i componen5 che, nel normale corso del loro funzionamento, sono des5na5 a impedire o limitare aF non autorizza5 dai 5tolari dei diriF. 2. Le misure tecnologiche di protezione sono considerate efficaci nel caso in cui l'uso dell'opera o del materiale proteBo sia controllato dai 5tolari tramite l'applicazione di un disposi5vo di accesso o dì un procedimento di protezione, quale la cifratura, la distorsione o qualsiasi altra trasformazione dell'opera o del materiale proteBo, ovvero sia limitato mediante un meccanismo di controllo delle copie che realizzi l'obieFvo di protezione”.
- 4. Codice dell’amministrazione digitale (D.Lgs. 5 marzo 2005 n. 82) • Art. 51 (Sicurezza dei da5) 1. Le norme di sicurezza definite nelle regole tecniche di cui all’ar5colo 71 garan5scono l’esaBezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei da5. 2. I documen5 informa5ci delle pubbliche amministrazioni devono essere custodi5 e controlla5 con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consen5to o non conforme alle finalità della raccolta.
- 5. Giurisprudenza sui computer crimes (Cass. V Sez. Pen. Sent. 12732/00) “...Certo è necessario che l'accesso al sistema informa5co non sia aperto a tuF, come talora avviene sopraBuBo quando si traF di sistemi telema5ci. Ma deve ritenersi che, ai fini della configurabilità del deli;o, assuma rilevanza qualsiasi meccanismo di selezione dei soggeY abilitaA all'accesso al sistema informaAco, anche quando si traY di strumenA esterni al sistema e meramente organizzaAvi, in quanto desAnaA a regolare l'ingresso stesso nei locali in cui gli impianA sono custodiA. Ed è certamente correBa, in questa prospeFva, la dis5nzione operata dalla corte d'appello tra le banche da5 offerte al pubblico a determinate condizioni e le banche da5 des5nate a un'u5lizzazione privata esclusiva, come i da5 contabili di un'azienda”.
- 6. Cass. Sez. VI Pen. Sent. 46509/04 “[…] 3. Per quanto concerne il reato di cui all'art. 615 ter, comma 2, n. 1, c.p. (capo B) non e' ravvisabile la condoBa contestata in quanto il sistema informaAco nel quale l'imputato si inseriva abusivamente non risulta obieYvamente (ne' la sentenza fornisce la relaAva prova) prote;o da misure di sicurezza, essendo anzi tale sistema a disposizione dell'imputato in virtù delle mansioni affidategli per ragioni di ufficio. Il faBo che il D.C. ne facesse un uso distorto a fini illeci5 e personali, non sposta i termini della ques5one, mancando il presupposto della "protezione" speciale del sistema stesso. Da tale reato pertanto l'imputato deve essere assolto perché il fa;o non sussiste”.
- 7. Norma5va sul processo telema5co (D.M. 14 oBobre 2004) Art. 34. Piano per la sicurezza 3. Il piano per la sicurezza è conforme a quanto previsto dal decreto legisla5vo 30 giugno 2003, n. 196, e può essere adoBato unitamente al documento programma5co per la sicurezza previsto dall'art. 34, comma 1, leBera g), del medesimo decreto legisla5vo Art. 42. Cri;ografia del messaggio 1. Al fine della riservatezza del documento da trasmeBere, il soggeBo abilitato esterno u5lizza un meccanismo di criBografia basato sulla chiave pubblica del gestore locale cui è des5nato il messaggio. 2. Le caraBeris5che tecniche specifiche della criBografia dei documen5 sono definite nell'allegato A del presente decreto. 3. Le chiavi pubbliche dei gestori locali sono pubblicate in un registro del gestore centrale dell'accesso. 4. Il registro di cui al comma 3 è accessibile in modalità LDAP.
- 8. Codice della proprietà industriale (D. Lgs. 30/05) • Art. 98 “1. Cos5tuiscono oggeBo di tutela le informazioni aziendali e le esperienze tecnico-‐ industriali, comprese quelle commerciali, soggeBe al legiFmo controllo del detentore, ove tali informazioni: a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elemen5 generalmente note o facilmente accessibili agli esper5 ed agli operatori del seBore; b) abbiano valore economico in quanto segrete; c) siano so;oposte, da parte delle persone al cui legiYmo controllo sono sogge;e, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete. 2. Cos5tuiscono altresi' oggeBo di protezione i da5 rela5vi a prove o altri da5 segre5, la cui elaborazione compor5 un considerevole impegno ed alla cui presentazione sia subordinata l'autorizzazione dell'immissione in commercio di prodoF chimici, farmaceu5ci o agricoli implican5 l'uso di nuove sostanze chimiche.”
- 9. Teorie sulla sicurezza • Alla sicurezza (in par5colare dei da5 e dei sistemi informa5ci) sono state aBribuite diverse funzioni: • -‐ funzione concorrenziale (faBore di compe55vità per l'azienda); -‐ funzione garanAsta (preservando i da5 personali da usi impropri si tutela anche la dignità della persona); -‐ funzione forense (può prevenire la formazione di faFspecie criminose o, se correBamente implementata, agevolare l'operato delle forze dell'ordine); -‐ funzione efficienAsta (è stato sta5s5camente provato che l’adozione di accorgimen5 in materia di sicurezza ha portato ad una maggiore efficienza dell’intera struBura, sia essa pubblica o privata).
- 10. Quindi… • La sicurezza è un processo, non un prodoBo, nel quale intervengono tre componen5 fondamentali: hardware, soaware e humanware. • La mancata cooperazione di uno solo di ques5 elemen5 rende instabile tuBo il sistema (la robustezza di un sistema si basa sulla robustezza del suo anello più debole). • La sicurezza è un processo asintoAco, ossia necessita di con5nue verifiche ed aggiornamen5 per potersi avvicinare alla perfezione, senza tuBavia mai raggiungerla appieno. • Gli obieFvi che un sistema dovrà raggiungere per potersi definire “sicuro” consistono in: 1) integrità; 2) autenAcità; 3) riservatezza; 4) disponibilità; 5) reaYvità.
- 11.
- 12. Le minacce verso la sicurezza • TuBo ciò che può essere nocivo verso la sicurezza è ben sinte5zzato nella norma5va in materia di privacy (D.Lgs. 196/03) che ravvisa le minacce nella “...distruzione o perdita, anche accidentale, dei da5 stessi, di accesso non autorizzato o di tra;amento non consenAto o non conforme alle finalità della raccolta”. • Vi sono diverse modalità tecnico-‐informa5che mediante le quali si possono realizzare le minacce alla sicurezza. Le più comuni sono: -‐ Distribuited Denial of Service (DDoS) -‐ Man-‐in-‐the-‐middle (MITM) -‐ Buffer overflow -‐ Malware (virus, worms e spyware)
- 13. Principi di Sicurezza Informa5ca NON ESISTONO SISTEMI SICURI • Il sosware non può essere perfeBo (privo di errori); • Il grado di sicurezza è dato dal tempo necessario per violare il sistema, dall'inves5mento necessario e dalla probabilità di successo.
- 14. Principi di Sicurezza Informa5ca UN SISTEMA PIU’ E’ COMPLESSO E PIU’ E’ INSICURO • Per fare sistemi sicuri occorre applicare la KISS rule, cioè Keep It Simple and Stupid. • ABenzione: i sistemi da proteggere possono essere molto complessi ma il sistema di protezione deve essere estremamente semplice. Ogni complessità non necessaria è solamente fonte di possibili errori e falle.
- 15. Principi di Sicurezza Informa5ca L’IMPORTANZA DELLA CONOSCENZA • La conoscenza degli strumen5 di sicurezza e la consapevolezza dei problemi collega5 devono essere patrimonio di tuF gli uten5; • L'illusione di sicurezza è più dannosa della assoluta mancanza di sicurezza; • A un sistema riconosciuto insicuro non si possono affidare informazioni “sensibili”.
- 16. Full disclosure vs. closed disclosure • “La sicurezza di un criBosistema non deve dipendere dalla segretezza dell'algoritmo usato, ma solo dalla segretezza della chiave” (Kerckhoffs, La criptographie militaire, 1883)
- 17. La criBografia • Κρυπτογραφíας (scriBura nascosta) • Definizioni: – l'insieme dei meccanismi u5lizza5 per trasformare messaggi in chiaro (plaintext) in un messaggi cifra5 (ciphertext); – è nata come branca della matema5ca e dell’informa5ca grazie all’u5lizzo di tecniche di teoria dei numeri e di teoria dell’informazione; – è una disciplina an5chissima, le cui origini risalgono forse alle prime forme di comunicazione dell'uomo, anche se si è sviluppata come scienza vera e propria solo dopo la seconda guerra mondiale; – i messaggi cifra5 devono essere leggibili solo a chi possiede le opportune autorizzazioni; – l'autorizzazione assume la forma di un insieme di informazioni (chiave) necessarie per conver5re un messaggio cifrato in un messaggi in chiaro.
- 18. CaraBeris5che della criBografia • La criBografia viene u5lizzata principalmente per implementare le seguen5 operazioni: autenCcazione, riservatezza, integrità, anonimato. • L'autenCcazione è l'operazione che consente di assicurare l'iden5tà di un utente in un processo di comunicazione. • La riservatezza è l'operazione più conosciuta della criBografia perchè è quella che storicamente è nata per prima e che consiste nel proteggere le informazioni da occhi indiscre5. • L'integrità è l'operazione che consente di cer5ficare l'originalità di un messaggio o di un documento. In pra5ca si cer5fica che il messaggio non è stato modificato in nessun modo. • L'anonimato è l'operazione che consente di non rendere rintracciabile una comunicazione, è una delle operazioni più complesse da realizzare.
- 19. Esempi di u5lizzo della criBografia • Nei bancomat come sistema di protezione delle comunicazioni tra POS (Point Of Sale, punto di vendita) e banca. • Nella telefonia mobile, ad esempio nel protocollo GSM tramite l'algoritmo A5/2* o nel procotollo UMTS, per la protezione delle comunicazioni vocali. • Nelle comunicazioni satellitari per l'auten5cazione e la protezione delle trasmissioni da5 satellitari, ad esempio con lo standard NDS. • Su Internet per la protezione del commercio eleBronico e delle comunicazioni riservate (protocollo SSL). • Nelle applicazioni di firma dei documen5 digitali (firma digitale).
- 20. CriBografia simmetrica • Si parla di criBografia simmetrica perchè si u5lizza la stessa chiave sia per le operazioni di cifratura che per quelle di decifrazione. • La robustezza del cifrario dipende, quindi, esclusivamente dalla segretezza della chiave.
- 22. CriBografia asimmetrica e a chiave pubblica • U5lizza una coppia di chiavi per le operazioni di cifratura (encrypCon) e decifrazione (decrypCon). • Una chiave deBa pubblica (public key) viene u5lizzata per le operazioni di encrypCon. • L’altra chiave, deBa privata (private key), viene u5lizzata per le operazioni di decrypCon. • A differenza dei cifrari simmetrici non è più presente il problema della trasmissione delle chiavi. • E’ intrinsecamente sicura poiché u5lizza tecniche di 5po matema5co basate sulla teoria dei numeri, sulla teoria delle curve elliFche, etc.
- 24. Esempio di u5lizzo quo5diano della criBografia • Mol5 browser web, per indicare che la connessione sta avvenendo su un canale criBografato, usano meBere in basso a destra un’icona raffigurante un luccheBo; • Tale circostanza ci viene confermata dall’u5lizzo del prefisso hBps:// invece del più noto hBp://.
- 25. CriBografia=sicurezza? • In nessun caso, almeno da un punto di vista “tecnico” l’adozione di un accorgimento può essere da solo sufficiente a garan5re la sicurezza. • Da un punto di vista giuridico, tuBavia, si rileva che il Legislatore ha previsto l’uso della criBografia per tuBe quelle applicazioni che necessitano di eleva5 livelli di sicurezza (firma digitale, traBamento di da5 sanitari o giudiziari).
- 26. LA CRYPTO CONTROVERSY :-‐)
- 27. LA VERA CRYPTO CONTROVERSY Da tempo, gli studiosi si interrogano su un dilemma: la criBografia è -‐uno strumento volto a tutelare la privacy dei ciBadini? -‐ uno strumento volto a eludere i controlli e, quindi, ad agevolare la commissione di illeci5?
- 28. I DUAL-‐USE GOODS Con questa espressione si vogliono indicare gli strumen5 che possono avere un doppio u5lizzo. Nel caso della criBografia, questa può essere intesa come strumento adaBo a proteggere la propria riservatezza o come vera e propria arma bellica. Ciò comporta che, per la criBografia, gli scenari da considerare sono molteplici.
- 29. ESPORTAZIONE DI TECNICHE E STRUMENTI CRITTOGRAFICI
- 30. IMPORTAZIONE DI TECNICHE E STRUMENTI CRITTOGRAFICI
- 31. CONTROLLO INTERNO SULLE TECNICHE E SUGLI STRUMENTI CRITTOGRAFICI
- 32. IL WASSENAAR ARRANGEMENT Questo accordo nasce per regolamentare l esportazione delle tecnologie legate alla criBografia. Con5ene le previsioni rela5ve all esportazione di soHware criBografici. Sono liberamente esportabili tuF i prodoF criBografici a chiave simmetrica fino a 56 bit e quelli a chiave asimmetrica fino a 512 bit e tuF i prodoF basa5 su criBografia fino a 112 bit.
- 33. • Ѐ libera l esportazione dei prodoF che u5lizzano sistemi criBografici per la protezione della proprietà intelleBuale. • TuBo quanto non è specificato può essere esportato dietro licenza da parte degli organi competen5 (in Italia è il Ministero per il Commercio) • Non tuF gli Sta5 firmatari, però, rispeBano le prescrizioni in esso contenute.
- 34. Il panorama europeo • In Europa, vigono sommariamente queste regole: – L esportazione verso i Paesi dell UE è libera, eccezion faBa per par5colari strumen5 quali, ad esempio, quelli adopera5 per la criBanalisi; – Per gli altri Paesi, si può oBenere o una Community General Export AuthorizaCon o una General NaConal License
- 35. Il panorama italiano • Tutela della riservatezza – 24. Gli organismi sanitari e gli esercen5 le professioni sanitarie effeBuano il traBamento dei da5 idonei a rivelare lo stato di salute e la vita sessuale contenu5 in elenchi, registri o banche di da5 con le modalità di cui all'ar5colo 22, comma 6, del codice, anche al fine di consen5re il traBamento disgiunto dei medesimi da5 dagli altri da5 personali che permeBono di iden5ficare direBamente gli interessa5. I da5 rela5vi all'iden5tà gene5ca sono traBa5 esclusivamente all'interno di locali proteF accessibili ai soli incarica5 dei traBamen5 ed ai soggeF specificatamente autorizza5 ad accedervi; il trasporto dei da5 all'esterno dei locali riserva5 al loro traBamento deve avvenire in contenitori muni5 di serratura o disposi5vi equipollen5; il trasferimento dei da5 in formato eleBronico è cifrato.
- 36. • Tutela del diriBo d autore (art. 102-‐quater l. 633/41) – 2. Le misure tecnologiche di protezione sono considerate efficaci nel caso in cui l'uso dell'opera o del materiale proteBo sia controllato dai 5tolari tramite l'applicazione di un disposi5vo di accesso o dì un procedimento di protezione, quale la cifratura, la distorsione o qualsiasi altra trasformazione dell'opera o del materiale proteBo, ovvero sia limitato mediante un meccanismo di controllo delle copie che realizzi l'obieFvo di protezione .
- 37. • Codice dellAmministrazione Digitale (art. 1 D.Lgs. 82/05) – s. firma digitale: un par5colare 5po di firma eleBronica qualificata basata su un sistema di chiavi criBografiche, una pubblica e una privata, correlate tra loro, che consente al 5tolare tramite la chiave privata e al des5natario tramite la chiave pubblica, rispeFvamente, di rendere manifesta e di verificare la provenienza e l integrità di un documento informa5co o di un insieme di documen5 informa5ci;
- 38. • Processo telema5co (D.M. 14 oBobre 2004) – Art. 42. CriBografia del messaggio 1. Al fine della riservatezza del documento da trasmeBere, il soggeBo abilitato esterno u5lizza un meccanismo di criBografia basato sulla chiave pubblica del gestore locale cui è des5nato il messaggio. 2. Le caraBeris5che tecniche specifiche della criBografia dei documen5 sono definite nell'allegato A del presente decreto. 3. Le chiavi pubbliche dei gestori locali sono pubblicate in un registro del gestore centrale dell'accesso. 4. Il registro di cui al comma 3 è accessibile in modalità LDAP.