Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on aprile 13, 2017

Computer Crimes, data breach

(No comments)

Security_cybercrimePubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”.

Il decreto definisce il workflow istituzionale dedicato alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica, indicando i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione delle vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi.

Con il nuovo decreto che sostituisce il il DPCM 24 gennaio 2013 recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, il Comitato interministeriale per la Sicurezza della Repubblica (Cisr) ha lanciato un programma nazionale per la cyber-security in più fasi.

Il nuovo provvedimento, recependo la direttiva europea Nis (Network and Information Security), rafforza il ruolo del Cisr che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale del cosiddetto Cisr tecnico e del Dipartimento delle informazioni per la sicurezza (Dis).

Il nuovo decreto attribuisce al direttore generale del Dis il compito di definire le  linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità.

Per la realizzazione di queste iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

A livello operativo, il Nucleo sicurezza cibernetica (Nsc), ricondotto all’interno del Dis, assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.

Il Decreto è consultabile a QUESTO link.

Facebook ha annunciato l’introduzione di nuovi strumenti per impedire la diffusione online di immagini intime di persone non consenzienti, una forma di vendetta sempre più diffusa, non solo fra gli adolescenti.

Per le vittime di “revenge porn” le conseguenze, sia psicologiche che sociali, sono spesso devastanti. È tristemente noto, non solo in Italia, il caso di Tiziana, la donna di 31 anni che nel settembre 2016 morta suicida in seguito alla diffusione incontrollata di un video intimo pubblicato da un suo ex-partner per vendetta.

Si tratta di un crimine di difficile contrasto perché la condivisione incontrollata del contenuto non permette la cancellazione dalla memoria della rete.

Nell’ottobre 2016 In Irlanda un giudice della corte suprema di Belfast aveva respinto il tentativo di Facebook di evitare il tribunale nel caso di una 14enne, che nonostante vari tentativi di rimozione, non era riuscita a rimuovere una sua foto intima in una “pagina della vergogna” su social perché altri utenti continuavano a condividerla L’azienda californiana si era difesa spiegando di aver rimosso la foto a ogni segnalazione, ma secondo i legali della minorenne Facebook avrebbe avuto il potere di prevenire ogni ripubblicazione usando un sistema di identificazione dell’immagine.

In quest’ottica, il social network ha studiato un meccanismo che possa evitare tempestivamente la condivisione di un contenuto segnalato.

Funziona così: gli utenti possono segnalare le foto con uno speciale contrassegno che allerta il personale tecnico specializzato per una revisione dell’immagine che possa stabilire se il contenuto viola gli standard della community. In caso di accertata violazione l’immagine viene rimossa e, grazie alla tecnologia di foto-matching, individuata anche sulle bacheche di altri utenti che possono averla già condivisa.

Questo intervento non riguarda solo i post su Facebook, anche Messenger e Instagram sono coinvolti nel sistema di segnalazione e rimozione. Per ora però l’innovazione non riguarda WhatsApp.

Dal punto di vista legislativo la “revenge pornography” è considerata un crimine in diverse giurisdizioni nazionali, come ad esempio in 34 stati degli USA, in Australia e nel Regno Unito. Attualmente in Italia non esiste una legge specifica e la casistica rientra nella fattispecie del reato di diffamazione e di violazione della privacy.

il 27 settembre del 2016 è stata presentata una proposta di legge per l’introduzione dell’articolo 612-ter del codice penale , concernente il reato che si manifesta attraverso la pubblicazione via internet di contenuti pornografici, sia fotografici che video, senza l’esplicito consenso dei soggetti interessati. La proposta prevede che la pubblicazione online di simili contenuti sia punita con la reclusione da uno a tre anni e la pena sia aumentata della metà se il fatto è commesso dal coniuge, anche separato o divorziato, o da persona che è o è stata legata da relazione affettiva alla persona offesa.

A seguito del reclamo presentato dalla madre di Tiziana Cantone, il Garante per la protezione dei dati personali ha avviato un’istruttoria chiedendo ai principali motori di ricerca?, ?Google e Yahoo?, ?di giustificare le ragioni per le quali sugli stessi risultino ancora indicizzate pagine sulle quali sono pubblicate immagini o video pornografici associati al nome della donna.

Il 24 marzo 2016 il Gruppo di Alto livello della Commission’s Scientific Advice Mechanism (SAM) dell’Unione Europea ha pubblicato un’opinione sulla cybersicurezza con raccomandazioni su come migliorare la sicurezza degli accessi online per privati e aziende europee.

In considerazione dell’aumento dei cyber-attacchi e della crescente complessità che mettono in atto, il tema della cyber-sicurezza è diventato cruciale per il Mercato Unico Digitale. In quest’ottica lo studio scientifico indipendente offre contenuti di supporto per progettare le future azioni legislative.

Il documento risponde alla necessità di rendere più sicuri i sistemi di sicurezza, dare più potere agli utenti e rafforzare l’industria della sicurezza informatica europea e migliorare il coordinamento delle azioni di contrasto agli incidenti informatici. Si auspica una governance globale in materia di cybersicurezza in cui l’Unione Europea possa giocare un ruolo di guida.

Il documento è disponibile sulla pagina Ricerca e Innovazione del sito web della Comunità Europea.

posted by admin on febbraio 24, 2017

Computer Crimes

(No comments)

L’ultimo rapporto del Clusit, Associazione Italiana per la Sicurezza Informatica ha delineato il 2016 come  l’anno peggiore di sempre in termini di evoluzione delle cyber minacce cyber e del relativo impatto. Il Comitato interministeriale per la Sicurezza presieduto dal premier Gentiloni ha già stabilito un programma nazionale per la cyber-security

Il Clusit ha posto l’accento è l’enorme aumento (+1.166%) degli attacchi compiuti con il phishing, attraverso cui truffatori fingendosi un ente affidabile ingannano le vittime via email convincendole a fornire dati personali, finanziari o codici di accesso, e il social engineering, ovvero le tecniche di studio del comportamento individuale delle persone al fine di carpire informazioni. In crescita anche  il comune “malware” (+116%), virus malevoli usati non solo per compiere attacchi di piccola entità ma anche contro bersagli importanti e con impatti significativi.

In forte crescita anche gli attacchi riferibili ad attività di “cyber warfare” (+117%), volti a crescere la pressione in ambito geopolitico o a manipolare l’opinione pubblica. In questo ambito rientrano, ad esempio, gli attacchi alle mail di un partito o di una istituzione, ma potenziali obiettivi sono anche le infrastrutture critiche come i servizi energetici, idrici, di comunicazioni e dei trasporti, verso i quali gli attacchi gravi sono aumentati del 15% rispetto allo scorso anno.

Il cosiddetto cybercrime – ovvero i reati compiuti con l’obiettivo di estorcere denaro alle vittime o di sottrarre informazioni per ricavarne denaro – è causa del 72% degli attacchi verificatisi nel 2016 a livello globale. Si tratta di un trend di crescita costante dal 2011, quando si attestava al 36% del totale. Il 32% degli attacchi viene sferrato con tecniche sconosciute, il 45% in più rispetto al 2015.

Il settore della sanità ha registrato il maggior aumento percentuale di attacchi gravi  (+102%), attraverso i ransomware (virus malevoli che criptano i dati dei dispositivi vittime e li rilasciano solo in cambio di un riscatto) o il furto di dati. Imponente anche la crescita di attacchi alla Grande Distribuzione Organizzata (+70%) e in ambito bancario e finanza (+64%).

A livello geografico, sono cresciti nel secondo semestre 2016 gli attacchi verso realtà basate in Europa (dal 13% al 16%) e in Asia (dal 15% al 16%), mentre sembrano diminuire leggermente le vittime negli Stati Uniti che però restano il paese più colpito dai cyber attacchi. Viene confermata la tendenza a colpire bersagli sempre più importanti, di natura transnazionale. Tra gli attacchi più significativi a livello globale c’è anche quello subito dalla Farnesina.

Con un nuovo decreto che sostituisce il il DPCM 24 gennaio 2013 recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, il Comitato interministeriale per la Sicurezza della Repubblica (Cisr) ha lanciato un programma nazionale per la cyber-security in più fasi.

Il nuovo provvedimento, recependo la direttiva europea Nis (Network and Information Security), rafforza il ruolo del Cisr che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale del cosiddetto Cisr tecnico e del Dipartimento delle informazioni per la sicurezza (Dis).

Il nuovo decreto attribuisce al direttore generale del Dis il compito di definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità. Per la realizzazione di queste iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

A livello operativo, il Nucleo sicurezza cibernetica (Nsc),  ricondotto all’interno del Dis, assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.

posted by admin on gennaio 26, 2016

Computer Crimes, data breach

(No comments)

Le nuove regole puntano a superare l’attuale frammentazione normativa e stabiliscono un alto livello di sicurezza per le reti e i sistemi informatici comune a tutti i paesi dell’Unione.

Le aziende che si occupano di servizi indispensabili come quelle del settore dell’energia, del trasporto, della salute e dei servizi bancari e le compagnie che operano nell’area dei servizi informativi e delle risorse digitali dovranno intraprendere una serie di azioni volte a contenere possibili cyber-attacchi che possano minarne la sicurezza e la conservazione dei dati. È quanto stabiliscono le nuove regole approvate dai Membri della Commissione Mercato Interno del Parlamento Europeo e dai negoziatori del Consiglio, che devono ora essere confermate dall’intero Parlamento e dal Consiglio Europeo.

La nuova Direttiva è stata ideata per uniformare le singole normative dei 28 stati membri nei settori industriali di importanza critica in cui le aziende dovranno garantire di essere sufficientemente protette e dovranno impegnarsi a comunicare tempestivamente alle autorità nazionali qualunque breccia nei sistemi di sicurezza.

Assicurare la prevenzione di questo tipo di incidenti e garantire una risposta efficiente in caso di attacchi è un tema da tempo dibattuto in sede europea. La prima proposta della Direttiva risale al 2013. La Direttiva creerà un “gruppo di coordinazione” tra gli Stati, istituendo un Segretariato all’interno della Commissione, allo scopo di sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra le nazioni, sviluppando fiducia reciproca e affidabilità.

Dopo l’approvazione formale del testo la Direttiva sarà pubblicata nella Gazzetta ufficiale Europea ed entrerà in vigore. Da quel momento gli Stati Membri avranno 21 mesi per integrare la Direttiva nella legislazione nazionale e 6 mesi in più per identificare gli operatori dei servizi essenziali dei settori coinvolti.

La nuova normativa richiede agli Stati comunitari di definire politiche, misure regolatorie e obiettivi strategici per la sicurezza delle reti e dei sistemi informativi (Network and Information systems – NIS). Ogni singolo stato dovrà designare un’ autorità competente nazionale  per l’implementazione e l’enforcement della Direttiva, così come dovrà organizzare le squadre speciali (Computer Security Incident Response Teams – CSIRTs) responsabili di gestire gli incidenti e i rischi.

Le squadre CSIRT di ogni stato si coordineranno all’interno di una rete comunitaria, la CSIRTs Network, allo scopo di promuovere gli scambi e la cooperazione effettiva sulla cybersicurezza, condividendo le informazioni sui rischi. L’ENISA si occuperà del Segretariato del CSIRTs Network.

Ulteriori informazioni sulla Direttiva sono disponibili sul sito del Parlamento Europeo. La bozza di testo approvata è disponibile QUI.

posted by admin on aprile 27, 2015

Computer Crimes, data breach

(No comments)

Documenti non riservati della Casa Bianca sarebbero stati raggiunti da una azione di hackeraggio.

Il New York Times ha recentemente riferito di un attacco informatico, presumibilmente operato da hacker russi, eseguito a danno degli account del presidente degli Stati Uniti. L’azione, che sarebbe stata compiuta l’anno scorso, è stata individuata e bloccata dal Joint Worldwide Intelligence Communications System (Jwics), il sistema di difesa governativo per le informazioni classificate della Casa Bianca.

Stando a quanto riferito al quotidiano da un rappresentate dell’amministrazione, non esiste prova di intrusione nell’account che il presidente Obama usa abitualmente tramite il suo BlackBerry, i cui server sono protetti. Ad essere colpito sarebbe stato un indirizzo di posta elettronica utilizzato dallo staff del presidente per la comunicazione con l’esterno, riguardante informazioni non riservate, e perciò non coperto dal sofisticato sistema di sicurezza della Casa Bianca. Attraverso questo account, gli hacker avrebbero avuto accesso a mail inviate e ricevute da persone che si relazionano quotidianamente con Obama.

I contenuti violati comprendono “appuntamenti, scambi di mail con ambasciatori e diplomatici, discussioni riguardo strategie” che coinvolgono inevitabilmente l’attività politica del presidente. Il NYT sottolinea come l’attacco appaia “più invasivo e preoccupante di quanto pubblicamente dichiarato”. Non è al momento noto il numero e il contenuto delle mail a cui gli hacker hanno avuto accesso.

All’inizio di aprile, l’amministrazione Obama aveva diffuso la notizia di un attacco informatico che aveva coinvolto i sistemi del Dipartimento di Stato nel corso del 2014, senza però specificarne l’obiettivo e senza offrire notizie più dettagliate degli autori.

Negli Stati uniti la notizia ha riaperto il dibattito sulla sicurezza nazionale: già nel dicembre 2014 l’FBI aveva indicato la Corea del Nord responsabile dell’azione che a novembre aveva interessato la casa di produzione Sony Pictures, mentre nel 2008 era stata la stessa campagna elettorale di Obama ad essere colpita da hacker cinesi.

Il NYT riferisce di una inchiesta in corso che riconduce ad hacker “presumibilmente legati al governo russo, se non addirittura suoi dipendenti”. In proposito, il portavoce della Casa Bianca Josh Earnest, ha espresso l’intenzione degli investigatori di non voler precisare l’identità degli hacker.

Il caso, verificatosi in un momento di tensione diplomatica con il governo russo, rappresenta un ulteriore elemento critico nei rapporti fra i due paesi.

revengepornCondannato per furto di identità ed estorsione l’ideatore di un sito che permetteva ai suoi utenti la pubblicazione di foto imbarazzanti degli ex partner.

Le immagini degli ignari cittadini venivano rese pubbliche, accompagnate da informazioni che ne permettevano agevolmente l’identificazione, al fine di umiliare pubblicamente le vittime e distruggerne la vita sociale. Questo lo scopo del cosiddetto “revenge porn” termine che definisce i contenuti sessualmente espliciti che vengono resi pubblici online senza il permesso delle persone coinvolte.

L’attività del sito ugotposted.com, ideato dal giovane californiano Kevin Christopher Bollaert, si basava sulla raccolta di file postati da utenti disposti a pubblicare le foto dei momenti di intimità passati con i rispettivi ex partner, con l’inequivocabile intento di procurare loro più danno possibile. Il sito d’archivio delle “vendette”, attivo dal dicembre 2012 al settembre 2013, aveva pubblicato oltre 10.000 immagini online.

Bollaert aveva inoltre avviato in parallelo un secondo sito, changemyreputation.com, che offriva come unico servizio quello di permettere alle vittime delle pubblicazioni di ugotposted.com di ottenere la rimozione delle proprie immagini, dietro un compenso di 300/350 dollari. In questo modo, il ventisettenne californiano amministratore dei due domini avrebbe ricavato circa 30.000 dollari.

Il 21 Febbraio 2015, i giudici della Corte di San Diego (California) hanno riconosciuto Bollaert colpevole di sei casi di estorsione e 21 di furto d’identità. È stato condannato a 18 anni di carcere e al pagamento di 10.000 dollari di multa.

La sentenza, ha specificato il procuratore generale K. D. Harris, è un precedente importante, che rende chiare “le conseguenze gravi a cui andranno incontro coloro che tenteranno di trarre profitto dallo sfruttamento di vittime online”.

Il procuratore, definendo il revenge porn un atto “vile e criminale”, ha poi confermato l’impegno “a vigilare e indagare e perseguire coloro che commettono simili deplorevoli atti”.

posted by admin on febbraio 18, 2015

Computer Crimes, Miscellanee

(No comments)

È stato definito il più grande furto perpetrato a mezzo informatico: si stima che il gruppo di hacker abbia sottratto alle banche oltre 1 miliardo di dollari in due anni.

Il furto è stato reso noto dalla compagnia di sicurezza informatica Kaspersky, che in collaborazione con l’Interpol, l’Europol e le agenzie di sicurezza nazionali di diversi paesi, ha portato alla luce un’operazione criminale senza precedenti, che ha colpito gli istituti bancari di  30 stati.

Secondo quanto scoperto, l’attività criminale avrebbe avuto inizio nel 2013 e avrebbe colpito, oltre alle banche, anche sistemi di pagamento elettronici e istituti finanziari.

Il denaro è stato sottratto attraverso un sofisticato sistema di hacking che si basa su un malware denominato Carbanak.

Sergey Golovanov, Principal Security Researcher presso il Kaspersky Lab ha reso noto che l’indagine ha avuto origine dalle riprese di una telecamera di sicurezza che mostravano un individuo che ritirava soldi da un bancomat senza toccare la macchina. Il bancomat li emetteva infatti in automatico, come se fosse controllato da remoto. Il misterioso furto si replicava su diversi bancomat della stessa banca, che ha richiesto al team di Kaspersky di iniziare ad investigare.

Le indagini inizialmente si sono concentrate sulla rete di bancomat della banca colpita dal furto ma in breve tempo hanno portato alla scoperta che tutta la rete informatica bancaria presentava una configurazione modificata da terzi attraverso due “malicious code” open-source, Carberp e Anunak.

Seguendo le tracce di questi codici non autorizzati i cyber-investigatori hanno individuato Carbanak, un malware presente nella rete aziendale interna di una banca di di Mosca. Il codice “criminale” aveva infettato il sistema bancario attraverso email di phishing inavvertitamente aperte dagli impiegati.

Alla luce di questa scoperta, il team di Kaspersky ha analizzato i sistemi bancari di tutte le banche del mondo che negli ultimi anni avevano registrato misteriosi furti ai bancomat, trasferimenti bancari non autorizzati e conti correnti fantasma. Il malware Carbanak è stato trovato in tutti i sistemi analizzati.

Il funzionamento della truffa perpetrata attraverso Carbanak è stato ampiamente riportato dalla stampa per la sua ingegnosità. Una volta infettato un sistema, il malware si diffonde attraverso le reti aziendali fino ad individuare i computer degli addetti ai trasferimenti di denaro. Su queste macchine Carbanak installa dei sistemi di registrazione delle attività compiute sullo schermo per permettere ai criminali di osservare le procedure degli impiegati al lavoro.

Attraverso lo studio del lavoro quotidiano degli addetti bancari, i criminali hanno acquisito tutte le informazioni per replicare le procedure e trasferire denaro tra i conti correnti. Tuttavia, nessun furto ha colpito direttamente i clienti delle banche. Il sistema di frode infatti si basava sull’individuazione di conti controllati raramente dai proprietari. Questi conti venivano poi “gonfiati” per via telematica con l’aggiunta di svariati zeri alle cifre depositate. La somma effettivamente aggiunta al conto corrente veniva poi trasferita elettronicamente su conti di banche cinesi e americane intestati ai criminali. In questo modo, i proprietari dei conti correnti usati per trasferire il denaro non si accorgevano dell’intrusione e, di fatto, a rimetterci erano solo gli istituti bancari.

L’altra modalità con cui i criminali informatici si impossessavano dei fondi bancari passava attraverso l’utilizzo di bancomat infettati con codice malware. In questi casi, il denaro non veniva dirottato verso altri conti correnti ma direttamente presso postazioni bancomat, dove erano appostati membri dell’organizzazione criminale ad attendere il contante.

È stato calcolato che grazie a Carbanak i cyber-ladri sono riusciti a trafugare oltre 1 miliardo di dollari in due anni. I “colpi” più redditizi, perpetrati unicamente per via telematica, fruttavano ai criminali oltre 10 milioni di dollari alla volta. In media, ogni rapina richiedeva un lavoro dai due ai 4 mesi, dall’inizio dell’infezione informatica al momento del furto vero e proprio.

Gli investigatori hanno ipotizzato che i criminali siano originari dell’Europa dell’est o della Cina. Le banche vittime di furto sono principalmente statunitensi, inglesi, australiane, canadesi e di Hong Kong. I criminali ad oggi non sono stati identificati e rimangono potenzialmente attivi.

Qui, il video del Corriere.it che ricostruisce la dinamica dei furti al bancomat:

posted by admin on febbraio 6, 2015

Computer Crimes, Eventi

(No comments)

Schermata 2015-02-09 alle 19.14.44In occasione del Safer Internet Day 2015, l’Accademia Italiana del Codice di Internet organizza presso la Corte Suprema di Cassazione un convegno dedicato al delicato tema del bilanciamento tra i diritti dei cittadini e la sicurezza della rete.

I drammatici episodi di Parigi e i conseguenti annunci di nuove misure antiterrorismo da parte dei governi occidentali hanno riaperto il dibattito su quali strumenti possano garantire, da un lato una maggiore sicurezza sulle reti informatiche e dall’altro la tutela dei diritti dei cittadini. Una tematica di rilievo ricordata anche dal nuovo Presidente della Repubblica, Sergio Mattarella, durante il suo discorso di insediamento.

Dalle reti inter-istituzionali alla criptazione dei dati, dalla repressione della propaganda estremista alla sicurezza informatica in senso stretto, non mancano temi e strumenti sui quali incardinare e sviluppare un dibattito al quale l’Accademia Italiana del Codice di Internet mira a contribuire promuovendo “Cybersecurity e tutela dei cittadini: strumenti normativi, modelli d’intervento e interessi in gioco”, convegno previsto nel pomeriggio del prossimo 11 febbraio a Roma presso l’Aula Giallombardo della Suprema Corte di Cassazione.

L’evento riunirà giuristi, esperti della materia, rappresentanti delle istituzioni e stakeholder in un confronto che sarà introdotto dal Prof. Alberto Gambino, Presidente dell’Accademia e Ordinario di Diritto privato presso l’Università Europea di Roma, e moderato dalla Prof.ssa Giusella Finocchiaro, Socio Fondatore dell’Accademia e Presidente del gruppo lavoro sul commercio elettronico della Commissione Uncitral.

La prima parte “Quali strumenti normativi che garantiscano i diritti fondamentali?” sarà animata dagli interventi del Min. Plen. Giovanni Brauzzi (Vice Direttore Generale per gli Affari Politici e Direttore Centrale per la Sicurezza), dell’Avv. Giuseppe Busia (Segretario Generale Autorità Garante per la protezione dei dati personali), del Tenente Colonnello Antonio Colella (Presidenza del Consiglio dei Ministri – Ufficio del Consigliere Militare), di Corrado Giustozzi (membro del Permanent Stakeholders’ Group ENISA), di Alessandro Politi (direttore NATO Defense College Foundation) e dell’Ing. Mario Terranova (Area Sistemi e Tecnologie – AgID).

Spazio poi a “Quali modelli d’intervento efficaci per il contemperamento degli interessi in gioco?”, alla quale parteciperanno il Prof. Francesco Saverio Romolo (Université de Lausanne), Anna Cataleta (H3G), Roberto Fermani (Telecom Italia) e Andrea Stazi (Google). È stato richiesto l’accreditamento per 4 crediti formativi al Consiglio dell’Ordine degli Avvocati di Roma.

La partecipazione al Convegno è gratuita per maggiori informazioni si rimanda al sito IAIC.

phishingSecondo una recente ricerca online sul furto d’identità, la maggioranza degli italiani non è consapevole dei rischi che comporta la diffusione incontrollata dei propri dati personali online. Eppure ogni anno decine di migliaia di persone sono vittima della sottrazione dei dati personali o dei dati delle carte di credito, che vengono poi utilizzati per effettuare acquisti, chiedere finanziamenti o aprire conti correnti.

La ricerca, condotta online da Smart Research e commissionata da Crif, ha rivelato la propensione degli utenti a sottovalutare i pericoli a cui si sottopone chi lascia tracce di sé sul web.

Dai dati emersi intervistando un campione significativo della popolazione compresa tra i 18 e i 64 anni, selezionato per genere e area geografica, il 58% degl intervistati si dichiara poco o per niente attento alla diffusione dei propri dati online, e il 28% non si pone neppure il problema, rinunciando a qualsiasi tipo di tutela.

Risultato che pare ancora più eclatante se confrontato al fatto che 4 intervistati su 5 confermano di ricevere almeno una volta al mese e-mail di phishing: messaggi che, copiando la grafica e lo stile comunicativo di banche ed enti, tentano di carpire dati personali. Una tecnica che può risultare vincente, come dimostra il fatto che il 7,7% dei rispondenti ha dichiarato di aver risposto almeno una volta ad un messaggio fraudolento.

Anche la clonazione delle carte di pagamento è un fenomeno diffuso: il 13,1% degli intervistati ha dichiarato di esserne stato vittima. Circa le modalità con le quali sono stati rubati i dati della carta, il 39,7% delle vittime ha dichiarato che i dati sono stati clonati durante un acquisto su internet, il 20,4% ha dichiarato che la clonazione è avvenuta durante una transazione su un POS, mentre il 33% delle vittime ha ammesso di non sapere come sia avvenuto il fatto.

Due italiani su tre dichiarano di essere a conoscenza del fenomeno dei furti di identità per richiedere finanziamenti sotto falso nome, e ne individuano la modalità nella sottrazione di documenti o di strumenti di pagamento nel mondo reale, nelle transazioni online e nell’accesso non autorizzato alle caselle di posta elettronica. Il 33% degli intervistati individua come un fattore di rischio anche la pubblicazione dei dati personali su social network.

I comportamenti più comuni assunti per la tutela di questi furti si attuano evitando di accedere a siti sospetti (59% dei casi), attivando l’uso di antivirus gratuiti (49%) e a pagamento (36%). Il 5,8% degli intervistati, invece dichiara di non fare nulla in proposito.

Chi ha dichiarato di essere stato vittima di furto d’identità volto a richiedere finanziamenti, nel 57,1% dei casi ha successivamente assunto comportamenti di prevenzione attivi, tra cui una maggiore cautela nella diffusione delle informazioni personali sul web (21%), l’attivazione di sistemi di allerta via sms per finanziamenti richiesti a proprio nome (12,5%), e una maggiore attenzione al momento di lasciare in custodia i propri documenti o fornire dati personali a terzi.

Dati evidentemente preoccupanti, che se attestano una crescente consapevolezza dei rischi legati al furto di identità evidenziano la propensione a sottovalutarne il rischio. Una leggerezza che, stando ai dati forniti, coinvolge maggiormente i giovani, e chi si concentra sull’utilizzo ludico del web.

Per un approfondimento si rimanda alla pagina della ricerca.