Tutela dei dati personali nell’ambito della cybersecurity. Il caso phishing

La crescente digitalizzazione della nostra società ha reso la cybersicurezza un pilastro fondamentale per la protezione di individui, aziende e infrastrutture critiche. In questo contesto, il phishing emerge come una delle minacce più pervasive e insidiose. Questa tesi ha esplorato il complesso panorama della cybersicurezza, ponendo particolare attenzione al fenomeno del phishing.

Attraverso un'analisi approfondita, il lavoro ha investigato le tattiche evolute utilizzate dagli attaccanti, le vulnerabilità psicologiche e tecniche che rendono il phishing così efficace, e le conseguenze devastanti che può generare, dal furto di credenziali e dati sensibili alla compromissione di interi sistemi.

Inoltre, la tesi ha esaminato le strategie e le contromisure più efficaci per contrastare questa minaccia, sia a livello tecnologico – attraverso l'implementazione di sistemi di autenticazione robusti, filtri antispam e soluzioni di intelligenza artificiale – sia a livello umano, sottolineando l'importanza cruciale della formazione e della consapevolezza degli utenti. L'obiettivo ultimo è fornire una panoramica chiara delle sfide attuali e delle soluzioni innovative per costruire un ambiente digitale più sicuro e resiliente di fronte a attacchi sempre più sofisticati.

Esame Diritto e procedura penale

Facoltà Scienze politiche

Dal corso del Prof. Parlato Enrico

Università Università degli Studi della Tuscia

Publisher Eleonora_Perone1

A.A. 2021-2022

63 pagine

Tesi

Vota

Scarica

Estratto del documento

LA TUTELA DEI DATI PERSONALI E IL WEB

3.1. La gestione dei dati in internet e la loro sicurezza. ......................................... 39

3.2. I cookie. ....................................................................................................................... 43

3.3. La crittografia. ........................................................................................................... 44

3.5. Un caso pratico: il phishing, “pescatori di dati personali”. ........................... 47

Conclusioni ...................................................................................................... 51

Bibliografia ...................................................................................................... 56

alla voglia di volare, leggera e fragile

alla voglia di raggiungere qualsiasi obiettivo

per sentirmi viva e per splendere.

“La sicurezza, è diventata una caratteristica costante e fondamentale del mondo

moderno. Un mondo moderno che per dirla come Bauman è un mondo liquido.

Si parla di modernità liquida come nuovo genere di modernità

intendendola come individualizzata, privatizzata, incerta, flessibile,

vulnerabile. Cittadini, lavoratori, consumatori, navigatori della Rete sono

sempre in movimento spesso privi di certezze ma accettano il rischio che i loro

movimenti vengano monitorati, tracciati, localizzati e profilati. Anche

l’esigenza di sicurezza e la necessità di privacy scivolano a poco a poco in uno

stato fluido. L’esigenza di sicurezza e l’aumento della capacità di sorveglianza

sui dati personali dilaga”.

Discorso trascritto in occasione del convegno “E-privacy” del 2 luglio 2015 presso

l’aula dei gruppi parlamentari della Camera dei deputati.

INTRODUZIONE

Le nuove tecnologie hanno spalancato le porte a nuove opportunità.

Prodotti e servizi nuovi prendono parte integrante della quotidianità e fanno

crescere la nostra dipendenza tecnologica. Quanti più dati personali mettiamo

online e quanto più siamo connessi, tanto più è probabile essere vittima di una

qualche forma di criminalità o di attacchi informatici.

Il lavoro è incentrato sulla cybersecurity che non ha una definizione

convenzionale e universale; essa designa il complesso di tutele e misure adottate

per difendere i sistemi informativi e i relativi utenti da accessi non autorizzati,

attacchi e danni al fine di assicurare la riservatezza, l’integrità e la disponibilità

la prevenzione e l’individuazione degli

di dati. Nella cibersicurezza rientrano

incidenti informatici, la risposta agli stessi e il successivo recupero.

Sempre nel primo capitolo si parlerà dell’azione dell’UE in materia di

si è capita l’importanza di questa tematica

cibersicurezza; gradualmente, infatti,

ed i paesi si sono avvalsi di politiche, normative e risorse finanziarie per

accrescere la ciberresilienza. Questa è la prerogativa degli stati membri che

ancora devono sicuramente migliorare e collaborare fra di loro per una maggiore

Si forniranno gli elementi fondamentali dell’approccio europeo alla

fiducia. il perimetro concettuale e l’ordine di priorità delle differenti

cybersecurity:

minacce.

Successivamente si riassumeranno e valuteranno le iniziative intraprese

a livello di Unione Europea (UE). Alla fine del primo capitolo si analizzerà la

collocazione dell’Italia in termini di rispondenza al quadro europeo ed

e verrà fatto il punto sull’emergenza Covid-19

internazionale che sicuramente

Con l’adozione delle tecnologie

ha contribuito a migliorare la situazione.

emergenti quali intelligenza artificiale, 5G, IoT le organizzazioni si sono viste

di fronte nuove minacce; attacchi sempre più sofisticati che possono

coinvolgere migliaia di utenti interconnessi ed offrire nuove opportunità ai

cyber criminali di accedere in maniera illecita ai dati critici per l’azienda e dati

potenziali nuove vulnerabilità all’interno

sensibili per il personale. Sono nate

degli asset informatici aziendali e gli attacchi informatici si avvalgono di

tecniche e strumenti sempre più imprevedibili e sofisticati per esfiltrare dati

sensibili e compromettere sistemi informatici senza essere rilevati.

L’importanza della tutela dei dati personali non si è compresa subito

tuttavia; con lo sviluppo della tecnologia i dati hanno cominciato a diffondersi

sempre di più. Il problema come si capirà gradualmente non è l’uso della

tecnologia di per sé, ma l’uso che se ne fa a creare un problema per i singoli

individui.

Per questo si passa alla spiegazione del nuovo Regolamento europeo

sul trattamento e la gestione dei dati dei cittadini europei che è diventato

applicabile il 25 maggio 2018 prendendo il posto del Codice della Privacy (D.

Lgs. n.196/2003). Il Regolamento, insieme alla Direttive UE 2016/680 e 681,

fa parte del pacchetto di riforma europea sulla protezione dei dati, nello

specifico, per il trattamento dei dati personali svolti nelle attività di indagine

per il perseguimento dei reati.

Verrà fatto un excursus su quelle che sono le tappe importanti in merito

al diritto della privacy, si spiegherà come si è giunti al GDPR e perché si parla

di codice novellato. Il Data Protection Regulation ha portato con sé una serie

di innovazioni in tema di trattamento dei dati. Ebbene, a distanza, ormai, di

quasi tre anni dall’entrata in vigore del suddetto regolamento, proviamo a

ripercorrere, seppur brevemente, l’iter normativo che ha portato all’adozione

del GDPR e che tipo di impatto ha avuto il diritto nella tutela della privacy del

singolo individuo.

Il percorso verso il GDPR è nato dall’esigenza di aggiornare la

disciplina in materia di cybersecurity, facendo della tutela dei dati un diritto

fondamentale del cittadino europeo. Numerosi sono progressi tecnologici ed

informatici a cui abbiamo assistito negli ultimi anni, a cui fanno seguito gli

incrementi degli attacchi informatici compiuti con tecniche di phishing e social

engineering.

Così come il GDPR, anche la direttiva NIS è uno dei più importanti

strumenti legislativi dell’Unione Europea in materia di cybersecurity. Il NIS

obbliga l’adozione di misure tecniche e organizzative adeguate alla gestione dei

rischi e alla prevenzione degli incidenti informatici a due categorie in

particolare: gli operatori di servizi essenziali e gli operatori di servizi digitali.

GDPR e NIS sono due normative volte a tutelare differenti beni giuridici, ma

potrebbero risultare, nella pratica, parzialmente sovrapponibili.

Per ultimo viene posta l’attenzione sulla tutela dei dati personali in

relazione a internet. In un contesto come quello dei social network, nel momento

in cui si vanno ad inserire le informazioni personali, queste non solo sono

visibili da tutta la comunità, ma il proprietario del social network può perdere

qualsiasi controllo delle informazioni personali. Il potere di controllo

dell’interessato viene sostanzialmente svuotato, una volta prelevate: foto

personali, video o dati anagrafici. Proprio a tal proposito si parla dei cookie che

sono frammenti di dati sugli utenti che vengono memorizzati sul dispositivo e

utilizzati per migliorare la navigazione. Chiaramente verrà presentata anche

l’altra faccia della medaglia a proposito dei rischi che questo salvataggio dei

Un’altra tecnica alla base della protezione dei dati è la

dati comporta.

crittografia grazie alla quale le informazioni non vengono rubate, violate o lette

per scopi malevoli.

Per ultimo, sempre in relazione ai dati personali che sembrerebbero il nuovo

petrolio, viene illustrato un caso pratico: il phishing. 5

“La nostra tecnologia è diventata così potente che stiamo diventando un

pericolo per noi stessi”.

Carl Sagan

CAPITOLO I

CYBERSECURITY

1.1. La sicurezza informatica. l’insieme

Con il termine sicurezza informatica si intende delle analisi delle

minacce, delle vulnerabilità e del rischio associato agli asset digitali o telematici

al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero

provocare danni diretti o indiretti, come tali intollerabili (per esempio

economico, reputazionale, politico- sociale). Il termine è spesso sostituito con

il neologismo cybersecurity, che rappresenta una sottoclasse del più ampio

Nell’utilizzare questa

concetto di information security. espressione s’intende, in

particolare, un approccio mirato ad enfatizzare non tanto le misure di

prevenzione (ovvero quelle misure che agiscono riducendo la probabilità di

accadimento di una minaccia), quanto quelle di protezione, ossia quelle misure

che agiscono riducendo la gravità del danno realizzato da una minaccia.

l’approccio odierno alla “cosa

In altre parole, cybersecurity si focalizza sul

fare dopo il realizzarsi di un incidente di sicurezza. L’importanza

e come” società dell’informazione porta alla necessità di garantire

conseguita oggi dalla all’interno del quale tali dati vengono trattati.

la sicurezza del contesto digitale,

La capillare diffusione dei personal computer nel tessuto sociale e la

creazione di banche dati sempre più efficienti nell’attività di aggregazione di

informazioni e della loro elaborazione hanno determinato un bisogno di

sicurezza che talvolta trascende in veri e propri stati d’ansia 1 . Il mutamento

tecnologico provoca cambiamenti economici e trasformazioni nelle istituzioni

sociali. Allo stesso tempo, i cambiamenti sociali e culturali modificano i contesti

Il diritto nell’era digitale,

1 Cfr. G. Pascuzzi, Il Mulino, Bologna, 2016, pp. 59-65. 7

digitali: la fiducia o la diffidenza nei confronti del nuovo mondo globalizzato

sono in grado di condizionare l’evoluzione dell’ambiente telematico 2 .

Con il termine sicurezza si può, in prima battuta, intendere una situazione di

affidabilità che induce un soggetto a sentirsi protetto rispetto all’ambiente

esterno e difeso in situazioni di pericolo e di aggressioni che possano

compromettere la sua sfera d’azione. L’analisi di questo concetto può essere

affrontata sul piano informatico ma anche su quello sociale, economico e

giuridico .

In via stipulativa, è possibile affermare che la cybersecurity riguarda

l’insieme di precauzioni ed interventi “che si possono prendere per proteggere

il ciberdominio , in campo sia civile che militare, nei confronti delle minacce

associate o che possono nuocere alle loro reti e infrastrutture di informazione

interdi

Anteprima

Vedrai una selezione di 14 pagine su 63