Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on aprile 29, 2013

Computer Crimes

(No comments)

È stato reso noto che Facebook ha aperto l’accesso ai suoi server in California alla magistratura italiana per permettere di indagare su un caso di sospetta pedofilia.

La concessione ha fatto seguito a una rogatoria richiesta dal gup di Milano Andrea Salemme per risalire al contenuto di chat intercorse sul social network tra un uomo sospettato di pedofilia e decine di ragazzine italiane. Si tratterebbe della prima volta che l’azienda californiana concede ai magistrati del nostro Paese la possibilità di accedere ai contenuti dei propri server centrali.

La notizia è emersa dalle motivazioni della sentenza del giudice Salemme che lo scorso 20 marzo ha condannato un allenatore di pallavolo femminile di Milano a 11 anni e 4 mesi di carcere per reati a sfondo sessuale nei confronti di minori. A quanto si apprende dalla stampa, l’allenatore avrebbe indotto “un numero imprecisato di minori degli anni 18″, tra le quali quattro ragazze identificate, “a partecipare ad esibizioni pornografiche ed in particolare, fingendosi un ragazzo sedicenne e contattando ragazze sui social networks (Facebook e Netlog)” le avrebbe convinte a spogliarsi e compiere atti sessuali “davanti alla webcam”.

Nel corso del processo con rito abbreviato, il giudice, dopo aver disposto una perizia informatica, ha inoltrato una richiesta rogatoriale “all’Autorità giudiziaria statunitense, per il tramite del Ministero della Giustizia, con parallelo interessamento del magistrato di collegamento sedente presso l’Ambasciata degli Stati Uniti d’America a Roma” per poter accedere ai server di Facebook per esaminare il contenuto delle chat. I magistrati milanesi hanno ottenuto copia delle conversazioni su CD tramite l’Fbi.

Il giudice ha anche riconosciuto l’imputato colpevole del reato di inosservanza delle pene accessorie delle sentenze penali. L’uomo infatti era già stato condannato definitivamente per reati a sfondo sessuale e gli era stata imposta l’interdizione perpetua da incarichi a contatto con minori, ma nonostante questo continuava ad allenare giovani, tra cui minori di 12 anni.

posted by admin on aprile 26, 2013

Miscellanee

(No comments)

Vi proponiamo in questo post l’articolo di Giusella Finocchiaro, pubblicato su Il Sole 24 Ore di venerdì 26 aprile 2013, che sollecita l’emanazione delle regole tecniche in materia di firme elettroniche. Oltre a richiedere la pronta pubblicazione in Gazzetta delle attese regole tecniche, l’articolo rilancia anche il Manifesto dell’Italia digitale, che ha l’obiettivo di favorire lo sviluppo del quadro normativo che regola il processo di digitalizzazione nel nostro Paese. Per ulteriori informazioni sul Manifesto vi rimandiamo alla pagina di Omat 2013.

“Firma elettronica ancora limitata”

La disciplina della firma elettronica avanzata, dopo l’emanazione del Dl 179/2012, si arricchisce di due nuove norme che la rendono operativamente più efficace e utilizzabile. Peccato, però, che a oggi si attende ancora l’emanazione delle relative regole tecniche che potrebbero veramente abilitare il suo ampio ricorso sia a livello di imprese che di cittadini. Per quanto riguarda le novità normative esse riguardano:

1) il disconoscimento della firma elettronica avanzata e

2) l’idoneità ad integrare il requisito della forma scritta degli atti e dei contratti con questa firmati.

Questo il testo dell’art. 9 del d.l. sviluppo bis che modifica l’art. 21 del Codice dell’amministrazione digitale (CAD), d. lgs. 7 marzo 2005, n. 82, qui oggetto di commento:

«Oa) all’articolo 21, comma 2, secondo periodo, dopo le parole “dispositivo di firma” sono inserite le seguenti: “elettronica qualificata o digitale”;

Ob) all’articolo 21, comma 2-bis, è aggiunto, in fine, il seguente periodo: “Gli atti di cui all’articolo 1350, primo comma, numero 13, del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale”».

La prima importante novità è che il disconoscimento del documento informatico con firma elettronica avanzata non è più basato sulla prova del mancato utilizzo del dispositivo di firma da parte del titolare del dispositivo e che ora, invece, quel disconoscimento, con relativa inversione dell’onere probatorio, è limitato alla firma elettronica qualificata o digitale. Viene quindi eliminata una rilevante incongruenza prima contenuta nel Codice dell’amministrazione digitale, più volte segnalata, dal momento che la firma elettronica avanzata non richiede necessariamente un dispositivo di firma. Ad esempio, nel caso di firma c.d. “grafometrica”, cioè della sottoscrizione autografa apposta su tablet informatico con una particolare penna, il dispositivo di firma non esiste, a meno di non voler considerare tale la mano, con evidenti effetti paradossali nell’applicazione della norma previgente.

La firma elettronica qualificata e la firma digitale richiedono una necessaria mediazione tecnologica: qualcosa che si sostituisca alla mano per apporre la firma, un “dispositivo” di firma, appunto. Ma la firma grafometrica non richiede alcun dispositivo, essendo in realtà una sottoscrizione autografa e quindi apposta con la mano: dunque il riferimento al dispositivo, semplicemente, in questo caso non ha ragion d’essere.

La seconda rilevante novità è costituita da un importante chiarimento interpretativo. Ora non può più esservi alcun dubbio sull’idoneità del documento con firma elettronica avanzata ad integrare il requisito della forma scritta di cui all’art. 1350 c.c. Ciò si applica a tutti gli atti e i contratti che richiedano la forma scritta ad substantiam cioè per la validità dell’atto o del contratto: ad esempio, contratti bancari, consenso privacy per i dati sensibili. In sintesi, il documento con firma elettronica avanzata integra la forma scritta per tutti gli atti e i contratti, tranne quelli aventi ad oggetto beni immobili.

Questo chiarimento è assai opportuno, benché l’interpretazione prevalente fosse già in questo senso, non essendo la norma previgente formulata in modo chiarissimo.

Ciò che ancora manca, come evidenziato all’inizio, per la completa definizione del quadro normativo è la pubblicazione delle regole tecniche in materia di firme. La richiesta di una pronta emanazione di tali regole è stata formulata da professionisti, autorità e imprese nel manifesto per l’Italia digitale.

Il testo del decreto, disponibile on line nel sito dell’Agenzia digitale per l’Italia, già Digitpa, ha raccolto i pareri previsti dalla normativa vigente e avrebbe potuto essere pubblicato in Gazzetta Ufficiale fin dal maggio 2012. La pubblicazione del decreto è il tassello che manca perché la firma elettronica avanzata possa avere gli effetti giuridici sopra illustrati, giusta il richiamo contenuto nell’art. 21 alle regole tecniche, e quindi per sbloccare gli investimenti nei progetti che prevedono l’utilizzo di questa firma in molti settori, ad esempio in ambito bancario, assicurativo e sanitario.

Giusella Finocchiaro

Il Garante per la protezione dei dati personali ha adottato un provvedimento generale che obbliga i fornitori di servizi di comunicazione elettronica a comunicare al Garante, e a tutti i soggetti direttamente coinvolti, eventuali “data breach”, violazioni ai database nei quali vengono archiviate le informazioni sugli utenti.

Com’è noto, attacchi informatici, malfunzionamenti, incendi o altre calamità possono mettere a rischio i dati archiviati nei database delle società che gestiscono servizi di comunicazione elettronica come Internet provider e compagnie telefoniche. La cosiddetta direttiva europea sull’e-privacy (direttiva 2002/58/Ce ) afferma che i fornitori di servizi di comunicazione elettronica devono adottare “appropriate misure tecniche e organizzative” per assicurare “un livello di sicurezza adeguato al rischio esistente” (art. 4, comma 1). La direttiva 2009/136/Ce, che ha modificato la direttiva e-privacy,  sottolinea, in particolare, che un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale al contraente (o alle altre persone interessate), tra cui l’usurpazione d’identità (cfr. considerando 61).

Il decreto legislativo 28 maggio 2012, n. 69, che recepisce la direttiva, obbliga i fornitori di servizi di comunicazione elettronica a comunicare senza indebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre persone interessate, l’occorrenza dei predetti eventi, qualificati come “violazioni di dati personali”. In seguito a consultazione pubblica il Garante  ha fissato gli adempimenti per i casi in cui si dovessero verificare tali violazioni.

Il provvedimento stabilisce che l’obbligo di comunicare le violazioni di dati personali, contenuti in archivi elettronici o cartacei, spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet, e non a diversi soggetti quali ad esempio content provider, motori di ricerca, internet point o gestori di reti aziendali.

I fornitori sono tenuti a comunicare al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione) entro 24 ore dalla scoperta dell’evento, attraverso un modello di comunicazione disponibile sul sito www.garanteprivacy.it.

La comunicazione agli utenti non è dovuta se il fornitore dimostra all’Authority di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, ma il Garante può comunque imporla nei casi più gravi. In tali circostanze le società telefoniche e gli Isp dovranno informare entro tre giorni ciascun utente coinvolto, con riferimento a alcuni parametri fondamentali: il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione); l’ “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità (finanziari, sanitari, giudiziari etc.) e la quantità dei dati coinvolti.

La mancata o ritardata comunicazione al Garante può comportare per le società di servizi di comunicazione elettronica una sanzione amministrativa da 25mila a 150mila euro. Sono previste sanzioni anche per la omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata. La mancata tenuta dell’inventario aggiornato può invece costare da 20mila a 120mila euro.

posted by admin on aprile 23, 2013

Computer Crimes

(No comments)

Pubblicato il “Verizon 2013 Data Breach Investigations Report”, lo studio che ogni anno delinea lo scenario della sicurezza informatica mondiale. Anche quest’anno il cyber crime finanziario risulta essere il reato informatico più diffuso.

621 violazioni accertate e più di 47.000 incidenti di sicurezza segnalati, questi sono i dati analizzati dal rapporto annuale di Verizon sulle violazioni d’accesso ai dati digitali. Il risultato sembra molto chiaro: il crimine informatico più diffuso riguarda l’ambito economico, dal momento che 75 crimini informatici su 100 sono legati al settore finanziario.

Al secondo posto in calssifica si attesta lo spionaggio governativo che rappresenta il 20% del totale delle violazioni. Tra i reati di spionaggio rientrano anche le violazioni finalizzate ai furti di proprietà intellettuale, quali informazioni governative secretate, risorse tecniche e segreti industriali.

Lo studio di Verizon, giunto alla sua sesta edizione, ha, inoltre, rilevato come “la proporzione di incidenti che vede protagonisti gli hacktivisti, ovvero coloro che agiscono per ragioni ideologiche o per puro divertimento, si sia mantenuta stabile; la quantità di dati sottratti però si è ridotta in quanto molti di essi hanno utilizzato altri metodi, quali attacchi DDoS (distributed denial of service). [...] Questi attacchi, volti a paralizzare i sistemi o provocarne malfunzionamenti, hanno anche un forte impatto sui costi delle aziende e sulle loro attività”.

posted by admin on aprile 22, 2013

Responsabilità dei provider

(No comments)

La vicenda dei tre dirigenti di Google condannati a sei mesi di carcere dal Tribunale di Milano nel 2010 e assolti in appello nel 2012 sembrerebbe non essersi ancora conclusa. A quanto si apprende, il pubblico ministero avrebbe recentemente presentato il ricorso in Cassazione.

Com’è noto, il caso  si era concluso lo scorso dicembre quando la Corte d’Appello di Milano ha assolto con formula piena i tre dirigenti di Google, accusati di violazione della legge sulla privacy per aver “permesso” la pubblicazione su YouTube di un video in cui un minorenne disabile veniva umiliato dai compagni di classe, .

Uno dei tre menager condannati, Peter Fleischer, responsabile delle privacy policy per l’Europa, ha annunciato sul suo blog che il pubbico ministero italiano ha presentato il ricorso in Cassazione, sostenendo che le piattaforme come YouTube devono essere obbligate ad effettuare un controllo preventtivo sui video caricati dagli utenti e ottenere la liberatoria delle persone riprese nei filmati.

Fleischer ribadisce che si tratterebbe di una minaccia alla libera espressione su Internet ma si dichiara comunque fiducioso per il buon esito della vicenda giudiziaria.

posted by admin on aprile 20, 2013

Eventi

2 comments

OMAT_visual_2013Nel corso dell’evento OMAT che si è tenuto a Milano il 17 e il 18 aprile è stato presentato, in anteprima al pubblico, il Manifesto per l’Italia digitale, un’iniziativa che ha l’obiettivo di favorire lo sviluppo del quadro normativo che regola il processo di digitalizzazione nel nostro Paese.

Il Manifesto si propone di aggregare quanti considerano l’innovazione un fattore chiave per un Paese più efficiente e competitivo, in Europa e nel mondo.

L’iniziativa non vuole essere in alcun modo polemica, ma costruttiva, per realizzare piccoli passi condivisi.

Lo scopo dichiarato è quello di “rendere effettivo e concreto l’obiettivo che tutti vogliono: traghettare l’Italia verso un mondo completamente digitale, con più efficienza, meno sprechi e più opportunità per tutti”.

Per leggere il Manifesto e sottoscrivere l’iniziativa è sufficiente entrare nel sito di OMAT e compilare i tre campi richiesti; un’operazione di un minuto, che potrebbe dare all’iniziativa lo slancio per essere presentata sui diversi tavoli istituzionali.

posted by admin on aprile 19, 2013

Computer Crimes

(No comments)

La procura della Repubblica di Bolzano ha disposto l’oscuramento di Holywar.org e Holywar.tv, due portali accusati di incitamento verso l’odio razziale, etnico e religioso.

A pochi giorni dalla condanna ai gestori del sito neonazista Stormfront, due nuovi portali antisemiti sono al centro di un’indagine per aver pubblicato due liste nere con i nominativi di numerose personalità di fede ebraica accusate di complicità nei confronti di Israele.

In esecuzione del decreto di sequestro preventivo del Gip di Bolzano, Holywar.org e Holywar.tv, i cui contenuti incitavano alla discriminazione del popolo ebraico per motivi religiosi, sono stati oscurati tramite inibizione all’accesso dall’Italia tanto agli indirizzi web quanto agli  IP statici.

Secondo quanto appurato dalle indagini, i siti sequestrati sarebbero  intestati  al norvegese Alfred Olsen, cattolico tradizionalista e fondatore di un “Movimento di Resistenza Popolare L’Alternativa Cristiana”. A quanto si apprende dalla stampa,  l’amministratore dei portali operava in Italia, mentre i contenuti antisemiti sarebbero stati forniti da collaboratori residenti in Norvegia.

Per risalire ai responsabili la  Procura di Bolzano ha avviato una rogatoria internazionale.

L’operazione è stata condotta dalla Digos di Bolzano, guidata dal Vice Questore Aggiunto Giorgio Augusto Porroni, sotto il coordinamento dalla Direzione Centrale della Polizia di Prevenzione del Dipartimento della Pubblica Sicurezza, con l’ausilio di  operatori appartenenti alle Digos ed ai Compartimenti della Polizia Postale e delle Comunicazioni di Roma, Napoli, Caserta, Lecce e Ferrara.

I dispositivi mobili, com’è noto, espongono la privacy dei loro utenti ad un numero di rischi maggiore rispetto ai tradizionali desktop computer.

Oltre agli attacchi hacker e alla clonazione, che possono colpire qualunque dispositivo informatico, smartphone e tablet sono maggiormente esposti al rischio di furto, di smarrimento e ai rischi connessi all’utilizzo di reti dati non protette. A queste minacce vanno poi aggiunte le criticità legate ai frequenti passaggi di proprietà e alla condivisione d’uso.

Sottovalutare i pericoli ai quali è esposta la nostra privacy quando utilizziamo dispositivi mobili può causare spiacevoli inconvenienti, che possono portare serie conseguenze tanto nella vita privata quanto nella sfera sociale e professionale.

Per diffondere maggiormente la consapevolezza delle criticità e per ridurre significatamente i rischi è sufficiente tenere a mente una serie di semplici indicazioni. A questo scopo, il Garante per la protezione dei dati personali ha recentemente diffuso un video-tutorial di animazione, che vi proponiamo qui.

Immagine anteprima YouTube

posted by admin on aprile 15, 2013

Diritto d'autore e copyright

2 comments

Su ordine del GIP della Procura di Roma la polizia postale ha avviato un’operazione di sequestro preventivo nei confronti di un gruppo di 27 portali di file sharing italiani ed internazionali tra cui Nowdownload, Videopremium, Rapidgator, Bitshare e Cyberlocker.

L’ordine è scaturito in seguito ad un’indagine avviata da una denuncia per violazione di copyright da parte della Sunshine Pictures, la casa di distribuzione italiana del film d’animazione francese Un Monstre à Paris (Un Mostro a Parigi).

L’indagine della Polizia Postale romana è durata circa un mese e si è conclusa con la richiesta del PM di oscurare i domini mediante il blocco dei relativi riferimenti DNS da parte dei provider italiani.

Vista l’entità dei portali coinvolti nel sequestro, tra cui alcune delle maggiori piattaforme di file sharing internazionali con milioni di utenti in tutto il mondo, si tratterebbe della più grande operazione di oscuramento sul web  mai adottata in Italia.

I 27 portali a cui è stato inibito l’accesso sono piattaforme cloud nelle quali gli utenti possono “affittare” uno spazio virtuale per archiviare file personali o scambiare con altri utenti file di grandi dimensioni, con o senza condivisione pubblica. Nonostante questi portali vengano notoriamente utilizzati anche per la condivisione illecita di contenuti protetti da diritto d’autore, l’oscuramento impedirà a migliaia di utenti italiani l’impossibilità di accedere ai file privati della propria casella personale. Per questa ragione diversi commentatori hanno sollevato la questione del bilanciamento d’interessi fra una società commerciale che reclama la protezione del diritto d’autore di una singola opera audiovisiva e il diritto degli utenti ad accedere ai propri file personali.

posted by admin on aprile 12, 2013

Eventi

(No comments)

e79f8d5c-628b-4a93-bd2c-a66f2679c8f5_webbanner departures_webbannerSarà dedicato al mondo dell’open source il workshop di apertura delle conferenze internazionali TILTing Perspectives, organizzate dal Tilburg Institute for Law, Technology and Society (TILT) all’Università di Tilburg, nei Paesi Bassi.

Il TILT conduce da anni ricerche sugli aspetti legali e le implicazioni sociali delle tecnologie emergenti, dall’ICT alla biotecnologia e dalle neurotecnologie alla robotica, applicate a una varietà di settori, tra cui sanità e giustizia.

L’incontro, in programma per il 24 aprile, esplorerà gli aspetti etici e legali dell’utilizzo e della produzione dei software Open Source. L’apertura del workshop sarà affidata ad un intervento della Prof. Giusella Finocchiaro che affronterà le questioni giuridiche legate al tema. L’evento è organizzato dal progetto VIRTUOSO (Versatile InfoRmation Toolkit for end-Users oriented Open-Sources explOitations) sostenuto dalla Commissione Europea all’interno dell’EC Security Research Call 2 of 7th Framework Programme.

Il workshop precede di un giorno il consueto ciclo biennale di conferenze TILTing Perspective che quest’anno è dedicato alle tecnologie volte a colmare le distanze di spazio tempo. Per ulteriori informazioni si rimanda al sito della Tilburg University.