Appunti di Diritto penale dell'informatica

CSIRT: COMPUTER SECURITY INCIDENT RESPONSE TEAM

Questi sono una serie di acronimi ufficiali utilizzati dai tecnici.

Gli incidenti sono classificati sulla base del dato temporale, ovvero l'urgenza del tempo che genera.

FASI DELLA RISPOSTA AD UN INCIDENTE:

1. Preparation: piano per agire
2. Identification: Identificare l'incidente
3. Containment & escalation: Limitare l'incidente
4. Fase eventuale: se vi è stato un data breach si deve andare a notificare la breccia nel sistema con diffusione di dati al garante per la privacy e quindi mandare un responso ex post.
5. Analysis & eradication: analisi del sistema e la rimozione della causa dell'incidente (remove root cause)
   • se operato da un tecnico da solo può portare a conseguenze negative
   • vengono eliminate prove magari che servivano in giudizio, per questo servirebbe un legale
6. Recovery: ripristino del sistema
7. Lessons learned: preparare nuovi piani per il futuro per evitare

nuoviattacchi.

INVESTIGAZIONE:

• Raccolta delle evidenze
• Identificare la natura dell'attacco
• Definizione degli ambiti dell'incidente

Questa fase può coincidere con l'analisi tecnica, ma non per forza. Anzi talvolta può entrare con essa in conflitto.

Chain of custody: mantenere le evidenze in modalità da poter utilizzare queste ultime in una fase processuale. Nella fase investigativa è necessaria una chain of custody, in modo da sapere chi ha avuto accesso e ha modificato il sistema e le prove -> dovrebbe farlo un legale, perché sa le prove che possono essere portate in giudizio.

ANALISI FORENSE: la disciplina italiana nell'ambito dell'analisi forense si è appoggiata al NIST. Il NIST come si pone nell'ambito delle fonti normative? Il NIST è un framework di riferimento: linee guida e altre regole per l'analisi forense e in particolare per la digital e network forensics.

L'analisi forense deve riuscire

A identificare, collezionare, esaminare e analizzare tutti i dati utili per il processo. Un'analisi forense può essere effettuata tramite un programma che mi permette un'analisi approfondita di un computer che ho davanti, come per esempio oxygenforensics che mi permette di individuare tutti gli username e password che sono registrati su un computer.

STANDARD ISO: Sono degli standard internazionali: un insieme di regole che le imprese possono rispettare, così da evidenziare il loro impegno nel garantire elevati standard di sicurezza.

STANDARD ISO 27037 - fasi di trattamento del reperto informatico:

• Identificazione: fase nella quale si ricercano i supporti e i dati di interesse nel rispetto dei casi
• Raccolta: fase nella quale occorre prendere fisicamente i supporti informatici contenenti i dati digitali individuati
• Acquisizione: fase nella quale si procede all'esecuzione delle copie forensi possibilmente in maniera integra e completa al fine di produrre un

duplicato->slide che deve ancora mettere online

Gli standard individuano le varie fasi per l’analisi forensi e anche come effettuare nellospecifico ogni fase-> questo è utile per le indagini informatiche da parte della procurae dalle indagini difensive-> non farlo fa si che la polizia postale abbia più difficoltànelle sue indagini.

La Guardia di Finanza sta formando un nucleo apposito per l’acquisizione dei datiinformatici nel rispetto del suddetto standard ISO. Tale standard richiede anche ilrispetto della catena di custodia, indicando tutta una serie di condizioni tecniche darispettare.

IT – GRUNDSCHUTZ:standard tedesco in ambito di sicurezza informatica ecc -> mostra soprattutto ledebolezze dei sistemi ed è abbastanza completo.

Nel 2000 c’è stato un primo BOOM nella diffusione dei CERT -> poi c’è stato unperiodo di vuoto e negli ultimi anni c’è stato una riscoperta dei CERT

Rendendoli obbligatori per ogni Stato e anche per altri enti.

Quando avviene un incidente informatico, il gruppo di risposta deve in un breve tempo coordinare l'azione tecnica, legale e operativa. Per questo serve un piano d'azione e per averlo in breve tempo è necessario adottare delle linee guida o un piano in anticipo come quello del NIST.

Nel nostro ordinamento esiste l'art. 4 dello SDL che vieta il controllo a distanza del lavoratore, a tutela della dignità del lavoratore stesso, per assicurare che la prestazione lavorativa sia fatta in maniera tale da non ledere la dignità del lavoratore. L'articolo 4 è stato modificato di recente, al comma 2 stabilisce che gli strumenti utilizzati dal singolo lavoratore e per l'accesso e la registrazione delle presenze non sono sottoposte al regime autorizzativo di cui al comma 1.

In questo tema si inserisce un riferimento sovranazionale molto interessante: Barbulescu vs Romania della CEDU.

è una presa di posizione della corte europea molto significativa. Questa è la sentenza più recente nell’ambito della tutela della corrispondenza, che ricopre i passi dell’orientamento comunitario in materia. Nella lettura delle fonti ora dobbiamo tener conto anche del dato sovranazionale-> CdG, CEDU ecc. Questo rappresenta evidentemente un elemento di complessità-> maggiori fonti da valutare e controllare ai fini dell’applicazione della norma.

Barbulescu vs Romania

Il lavoratore perde in primo e secondo grado in Romania e anche in primo grado alla CEDU. La Grande Camera della CEDU però gli dà ragione. Questo lavoratore presta l’attività di servizio per un’azienda in qualità di ingegnere delle vendite, sulla base della richiesta del datore di lavoro apre un canale di yahoo messanger-> chat di risposta veloce (supporto veloce a clientela) in modo da rispondere celermente alla clientela. In un clima

Aziendale non troppo favorevole a questo lavoratore viene fatto sottoscrivere un documento per cui l'utilizzo di strumenti tecnologici non possono essere utilizzati per motivi personali, ma solo per ragioni dell'esercizio della propria attività aziendale. Dopo di che viene fatta girare una circolare in cui si riafferma questo principio, nella quale viene detto che il datore ha un controllo sui suoi strumenti e che la loro utilizzazione per uso personale comporta il licenziamento.

A questo lavoratore viene contestato che il suo account Messenger registra un numero di messaggi superiore rispetto a quello dei suoi colleghi. Il lavoratore dice che lo usa solo per lavoro, ma l'impresa gli mostra 45 pagine di messaggi copiati dal suo account con la morosa e il suo amico. Pagine che una volta stampate sono state tenute per 2 ore dal datore (le ha lette tutte - lesione della privacy). Il giudice interno valorizza le regole interne dell'azienda sull'uso degli strumenti tecnologici.

strumenti informatici e quindi rigetta la pretesa del lavoratore. Questo avviene in primo grado e in 2 grado e anche in 1 grado alla CEDU. La grande camera della CEDU prende però in considerazione il ricorso sulla base dell'art 7 CEDU (dignità umana). L'aspetto centrale sul quale si concentra la pronuncia è quello per cui vede contrapposti l'interesse del datore di lavoro a controllare l'attività lavorativa (e ne ha potere) e dall'altra c'è l'interesse del cittadino a che tali controlli non siano in contrasto con l'art 8 (riservatezza della corrispondenza e della vita privata). Il ricorso viene accolto, però ci sono 2 dissenting opinion. 1 afferma che il ricorrente avrebbe diritto anche ad un risarcimento (la corte non prevede il risarcimento ma afferma solo che vi è stata una violazione dei principi indicati dal ricorrente). L'altra afferma che il datore aveva segnalato al lavoratore la

Condotta lecita e illecita derivante dall'utilizzo della strumentazione tecnologica e quindi non c'era stata violazione dei suddetti principi -> dissenting opinion scritta da 6 giudici. È pur vero che il datore aveva detto che doveva utilizzare gli strumenti solo per lavoro e che avrebbe effettuato dei controlli, ma non aveva indicato quali, quando e come avrebbe effettuato i controlli. Il lavoratore non era stato abbastanza garantito in ordine alle modalità del controllo. La corte dice che non è più sufficiente dire come ti controllo, ma anche quanto e come ti controllo, per quanto tempo terrò i dati e chi tratta i dati. L'aspetto più importante di questa sentenza è che in vari passaggi della sentenza la corte scrive che l'accesso ad Internet è messo a disposizione dal datore ai lavoratori e per svolgere la loro attività e quindi ha il diritto al controllo dei lavoratori, perché questi potrebbero

danneggiare i SI dell'azienda, divulgare segreti aziendali, commettere attività illecite di cui l'azienda dovrebbe rispondere. Quindi non siamo davanti a soli 2 interessi: diritto a controllare e diritto alla riservatezza, ma c'è anche un obbligo di controllo del datore di lavoro per evitare attività illegali che possono essere imputate all'azienda. C'è un intreccio di 2 mondi che in questa tematica tendono a confluire. Quando la corte sovranazionale rimanda al fatto che il datore deve prevenire il rischio della commissione di reati riporta alla responsabilità degli enti e delle persone giuridiche. Il problema è che dal 2001 in avanti nel nostro ordinamento c'è un profilo di responsabilità della persona giuridica -> l. 241/2001 responsabilità amministrativa degli enti. Questa responsabilità funziona in modo che l'ente risponde (sanzioni interdittive e pecuniarie) nel caso in cui ci

Siano presupposti oggettivi e soggettivi. Il reato di cui l'ente risponde deve essere previsto dalla legge (elemento oggettivo) -> è la legge ad indicare il numero chiuso di reati di cui l'ente può rispondere -> catalogo chiuso dei reati -> quasi tutti i reati informatici sono inclusi in tale elenco. Inoltre il reato deve essere commesso dal soggetto in posizione apicale o sottoposto diretto e controllato dal soggetto in posizione apicale. Infine, ci deve essere un vantaggio o un interesse per l'ente alla commissione di quel reato.

L'ente non risponde se prova di aver adottato e attuato prima della commissione del reato un modello organizzativo che sia funzionale alla prevenzione della commissione del reato medesimo. Il modello organizzativo è un insieme di regole, procedure, regole comportamentali funzionali ad evitare che ci siano soggetti interni all'ente che in qualche modo possono esporre l'ente a rischio della commissione di reati.