Call Us +39 011 55.84.111

L’Europa si attrezza per combattere il crimine informatico

Nella seduta del 22 e 23 giugno 2017 il Consiglio europeo si è concentrato sul rafforzamento dell'Europa e la protezione dei suoi cittadini mediante misure efficaci volte a combattere il terrorismo e sviluppare la sicurezza e la difesa comuni. Uno dei punti di discussione più sentiti. Le conclusioni adottate dal Consiglio, articolate in sei punti, sono state pubblicate il 19 giugno sul suo portale.

Link alla fonte

Leggi tutto...

Il Tribunale di Padova non segue l’orientamento della Corte di Giustizia dell’Unione Europea in materia di Data Retention

La Corte di Giustizia dell’Unione Europea nell’aprile del 2014 (C‑293/12 e C‑594/12) ha dichiarato invalida la direttiva Europea 2006/24 che determina le regole sulla “data retention” con le quali viene disciplinata la conservazione dei dati di traffico da parte dei provider per motivi di giustizia. Il Tribunale di Padova, nel marzo di quest’anno, ha rigettato l’istanza della difesa che chiedeva l’inutilizzabilità dei dati di traffico sulla base di tale precedente europeo, ha ritenuto, con un’argomentazione poco condivisibile, che, se nel caso di specie sono state ritenute ammissibili le intercettazioni, non si vede perché non possano essere ritenuti utilizzabili i “tabulati”.

Link Penale Contemporaneo

 

Leggi tutto...

Gestore di un sito web è responsabile dei commenti degli utenti se è a conoscenza del contenuto illecito

La Cassazione si occupa della responsabilità del gestore di un sito web per un commento diffamatorio, postato nella community del sito, ai danni dell’allora presidente della Lega Nazionale Dilettanti della FIGC. Secondo la Cassazione la consapevolezza del gestore del sito deriverebbe dal fatto che l’autore del commento diffamatorio, tre giorni dopo la pubblicazione dello stesso nella community del sito, avrebbe inviato una email al gestore con un documento PDF allegato al commento diffamatorio. Conformemente agli artt. 16 e 17 del D.lgs. 70/03, non viene pertanto statuito un principio difforme dall’assenza generale dell’obbligo di sorveglianza per il gestore di un sito che non sia al corrente del contenuto illecito.

Link alla fonte

Leggi tutto...

Il futuro del cyber-rischio e delle cyber-insurance Ten Key Questions on Cyber Risk and Cyber Risk Insurance

In un interessante report dal titolo “Ten Key Questions on Cyber Risk and Cyber Risk Insurance” edito da The Geneva Association viene effettuata un’interessante disamina sul futuro delle cyberinsurance e su quali possono essere i principali ostacoli da superare per poter adeguatamente tutelare le aziende dal cyber-rischio.

Link alla fonte

Leggi tutto...

L’Avv. Giuseppe Vaciago e l’Avv. Marco Tullio Giordano autori dell’inserto Norme e Tributi del Sole 24 ore in tema di Reati informatici

L’Avvocato Vaciago e l’Avv. Giordano hanno contribuito alla realizzazione dell’inserto norme e tributi dal titolo “Come tutelarsi dai reati on line” con degli articoli in tema di truffe on line, data retention e captatori informatici. L’inserto è disponibile per gli abbonati o a pagamento.

Link alla fonte

Leggi tutto...

L’Avv. Giuseppe Vaciago invitato all’Aja per la conferenza finale del Progetto Europeo “Evidence”

  • 03 October 2016 |
  • Pubblicato in News

L’Avvocato Giuseppe Vaciago è stato invitato in qualità di esperto alla conferenza finale di “Evidence”, un progetto europeo che ha avuto il compito di delineare una road map per la gestione, il trasferimento e la raccolta della prova digitale. All’evento erano presenti esponenti di Interpol, Europol e di molte società private leader nel settore delle nuove tecnologie.

Link alla fonte

Leggi tutto...

I dipendenti infedeli o “disattenti” sono la causa del 43% degli attacchi informatici

Un recente studio di Intel Security ha evidenziato che il 43% dei furti di dati è da imputarsi ai dipendenti e nella metà dei casi le cause sono addirittura fortuite. Lo studio inoltre evidenzia che i dati rubati sono principalmente le informazioni commerciali come la lista clienti e i segreti industriali (brevetti, know how e altre informazioni confidenziali).

Link alla fonte

Leggi tutto...

CEO Fraud: Symantec annuncia più di 400 aziende colpite al giorno

Symantec ha annunciato che oltre 400 imprese ogni giorno sono vittime di una banalissima frode attraverso cui i dipendenti del reparto finanziario ricevono finte email in cui il loro CEO chiede urgentemente trasferimento all’estero di ingenti somme di denaro. Ovviamente non è il loro CEO, ma il trasferimento ormai è fatto. In questo caso, diventa molto interessante valutare il rispetto delle procedure aziendali (ad esempio quelle previste dal d.lgs. 231/01) del dipendente che crede di agire su indicazione del suo CEO.

Link alla fonte

Leggi tutto...

Nella guerra virtuale contro l’ISIS anche Anonymous si schiera

A poche ore dai tragici fatti di Parigi, anche il gruppo Anonymous si è apertamente schierato contro l’ISIS offrendo piena collaborazione all’autorità giudiziaria. Dal loro comunicato apparso anche sull’account twitter creato per l’occasione (https://twitter.com/opparisofficial) emerge che Ogni singola informazione verrà raccolta, schedata e indirizzata agli organi competenti. Dall'attentato a Charlie Hebdo, che causò la morte di 14 persone, è stato chiaro il nostro intento: distruggere ogni forma di comunicazione, propaganda che si appoggiasse al califfato intaccando la libertà del mondo intero”. In poche ore gli account di presunti jihadisti trovati sono stati più di 200, per un bilancio iniziale di almeno 15 sospesi.

Link alla fonte

Leggi tutto...

Lo Stato nei PC dei cittadini: legittima compressione della privacy?

Lo scorso febbraio un avvocato statunitense ha denunciato di essere stato vittima di un’elaborata frode informatica tramite la quale degli hacker sarebbero riusciti a impadronirsi di circa 300 mila dollari sottraendoli dal conto intestato al suo studio professionale (qui la notizia). La frode sarebbe stata perpetrata nel modo seguente: il professionista riceve una email apparentemente spedita da un ufficio postale statunitense; la email contiene delle istruzioni con l’indicazione di aprire un documento allegato per proseguire nella lettura, cosa che il professionista fa cliccando sul documento allegato che si apre dopo essersi scaricato in automatico sul suo computer. Successivamente l’avvocato, dopo essere tornato al lavoro, cerca tramite il suo computer di accedere al conto corrente bancario dello studio, non riuscendoci immediatamente perchè dirottato su un’altra pagina internet che, invece di chiedergli la propria password di accesso (come usualmente richiesto dal servizio bancario online) gli chiede di inserire il suo codice PIN. Contemporaneamente, l’avvocato viene contattato telefonicamente da un signore che si spaccia per un tecnico della banca il quale dice di aver verificato che il professionista ha delle difficoltà di accesso, e gli chiede quindi di ridigitare il suo codice PIN e il suo “token”, cioè un ulteriore codice di sicurezza di solito associato ai servizi bancari online che prevedono trasferimento di denaro; l’operazione tuttavia porta il professionista verso una nuova pagina internet in cui si afferma che il servizio è temporaneamente fuori uso per manutenzione. Due giorni dopo, l’avvocato viene nuovamente contattato dall’apparente tecnico della banca e viene richiesto di ripetere nuovamente l’operazione di inserimento dei codici, venendo però nuovamente informato che il sistema non funzionava e che avrebbe avuto l’accesso disabilitato per 24 ore. Qualche ora dopo, il professionista scopre che dal conto corrente online a cui aveva cercato di accedere erano stati sottratti quasi 300 mila dollari.

Quello che è successo al malcapitato avvocato è un banale caso di phishing dove, tuttavia, i cybercriminali hanno utilizzato uno strumento prodigioso: il key-logger. Cosa è il keylogger? Non è altro che una sorta di “cimice” che, una volta installata occultamente all’interno del computer “bersaglio” supera qualsiasi misura di sicurezza presente sul device e permette di intercettare ogni singolo tasto digitato sulla tastiera del computer da parte dell’utente. Questo tipo di strumento permette di avere un controllo totale sull’attività svolta da un soggetto all’interno del suo personal computer, tablet o smartphone. Da alcuni anni si dibatte a livello politico, legislativo e giudiziario se tale strumento possa essere utilizzato anche dalle forze dell’ordine per poter svolgere la loro attività investigativa. Secondo alcuni, il key-logger non è altro che una “cimice informatica” anche definito “captatore informatico” che potrebbe tranquillamente essere disciplinato dalla normativa relativa alle intercettazioni telematiche e/o ambientali. Secondo altri, invece, il captatore informatico rappresenta un quid pluris, in quanto attraverso il pieno controllo del computer è possibile analizzare le attività svolte dall’indagato per un arco temporale ben più ampio di quello previsto in caso di un’intercettazione telefonica o ambientale.
Si pensi ad esempio ad una persona che non abbia mai cancellato la propria posta elettronica dal 2003: in questo caso, attraverso l’utilizzo del captatore informatico sarebbe possibile ricostruire più di dieci anni di storia della sua vita leggendo le sue email. Qualcuno potrebbe sostenere che attraverso il sequestro del personal computer si ottiene lo stesso risultato. Questo è vero, ma è anche vero che il sequestro è un atto effettuato con la piena consapevolezza dell’indagato e non in modo occulto come invece avviene con il “captatore informatico”.
In questo contesto, il recente disegno di legge “antiterrorismo” teso a “rafforzare gli strumenti di prevenzione delle nuove minacce terroristiche, anche di matrice internazionale” aveva previsto una modifica all’art. 266-bis in tema di intercettazioni telematiche che consentiva “l'impiego di strumenti o di programmi informatici per l'acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico”.
In parole povere, il decreto antiterrorismo aveva inizialmente legittimato l’utilizzo del “captatore informatico” consentendone un ampio utilizzo. L’aspetto più inquietante era che non veniva previsto l’utilizzo di tale strumento per i soli reati con finalità terroristiche, ma per tutti i reati anche quelli comuni come truffa, diffamazione o violazione della privacy (qui un approfondimento).
La previsione normativa è stata osteggiata da alcuni esperti e il Primo Ministro ha suggerito un provvidenziale stralcio posticipando la decisione durante la discussione del disegno di legge in tema di intercettazioni (qui un approfondimento).
Una previsione normativa quindi posticipata, ma che sicuramente dovrà essere presa in seria considerazione nei prossimi mesi. La ragione è semplice: chi combatte il crimine non può avere strumenti tecnologici inferiori a chi li commette. La preoccupazione però è che tali strumenti siano potenzialmente in grado di generare una sorveglianza massiva di portata anche più ampia di quella avuta nel noto scandalo “DataGate”.
In conclusione, ritengo personalmente comprensibile l’esigenza di dotare l’autorità giudiziaria di un key-logger nella fase investigativa a condizione che siano ben definite le tipologie di illecito per cui ne è ammissibile un suo utilizzo e che venga garantita la privacy del cittadino attraverso, ad esempio, la distruzione dei dati non pertinenti alle indagini che potrebbero venire acquisiti attraverso l’utilizzo del captatore informatico.

Leggi tutto...
Sottoscrivi questo feed RSS

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy