DIPARTIMENTO DI ECONOMIA,
INGEGNERIA, SOCIETÀ E IMPRESA
Corso di Laurea in
Scienze Politiche e delle Relazioni Internazionali
Investigazioni e Sicurezza
nell’ambito della cybersecurity.
La tutela dei dati personali
Il caso phishing.
Insegnamento
Istituzioni di Diritto Privato
RELATORE CANDIDATO
Prof. Andrea Genovese Eleonora Perone
801000
Anno Accademico 2020-2021
Andrea GENOVESE
09.12.2021 16:22:02 UTC INDICE
Introduzione ....................................................................................................... 3
CAPITOLO I
CYBERSECURITY
1.1. La sicurezza informatica. .......................................................................................... 7
1.2. La cybersecurity e l’Unione europea. ................................................................... 9
1.3. L’Italia nello scenario europeo e situazione odierna. ..................................... 12
CAPITOLO II
PRIVACY E PROTEZIONE DEI DATI PERSONALI
2.1. Origini e sviluppo. .................................................................................................... 18
2.2. Nuova visione della protezione dei dati: il GDPR. ......................................... 23
2.3. I diritti dell’interessato. ........................................................................................... 29
2.4. La direttiva NIS. ........................................................................................................ 34
CAPITOLO III
LA TUTELA DEI DATI PERSONALI E IL WEB
3.1. La gestione dei dati in internet e la loro sicurezza. ......................................... 39
3.2. I cookie. ....................................................................................................................... 43
3.3. La crittografia. ........................................................................................................... 44
3.5. Un caso pratico: il phishing, “pescatori di dati personali”. ........................... 47
Conclusioni ...................................................................................................... 51
Bibliografia ...................................................................................................... 56
alla voglia di volare, leggera e fragile
alla voglia di raggiungere qualsiasi obiettivo
per sentirmi viva e per splendere.
1
“La sicurezza, è diventata una caratteristica costante e fondamentale del mondo
moderno. Un mondo moderno che per dirla come Bauman è un mondo liquido.
Si parla di modernità liquida come nuovo genere di modernità
intendendola come individualizzata, privatizzata, incerta, flessibile,
vulnerabile. Cittadini, lavoratori, consumatori, navigatori della Rete sono
sempre in movimento spesso privi di certezze ma accettano il rischio che i loro
movimenti vengano monitorati, tracciati, localizzati e profilati. Anche
l’esigenza di sicurezza e la necessità di privacy scivolano a poco a poco in uno
stato fluido. L’esigenza di sicurezza e l’aumento della capacità di sorveglianza
sui dati personali dilaga”.
Discorso trascritto in occasione del convegno “E-privacy” del 2 luglio 2015 presso
l’aula dei gruppi parlamentari della Camera dei deputati.
2
INTRODUZIONE
Le nuove tecnologie hanno spalancato le porte a nuove opportunità.
Prodotti e servizi nuovi prendono parte integrante della quotidianità e fanno
crescere la nostra dipendenza tecnologica. Quanti più dati personali mettiamo
online e quanto più siamo connessi, tanto più è probabile essere vittima di una
qualche forma di criminalità o di attacchi informatici.
Il lavoro è incentrato sulla cybersecurity che non ha una definizione
convenzionale e universale; essa designa il complesso di tutele e misure adottate
per difendere i sistemi informativi e i relativi utenti da accessi non autorizzati,
attacchi e danni al fine di assicurare la riservatezza, l’integrità e la disponibilità
la prevenzione e l’individuazione degli
di dati. Nella cibersicurezza rientrano
incidenti informatici, la risposta agli stessi e il successivo recupero.
Sempre nel primo capitolo si parlerà dell’azione dell’UE in materia di
si è capita l’importanza di questa tematica
cibersicurezza; gradualmente, infatti,
ed i paesi si sono avvalsi di politiche, normative e risorse finanziarie per
accrescere la ciberresilienza. Questa è la prerogativa degli stati membri che
ancora devono sicuramente migliorare e collaborare fra di loro per una maggiore
Si forniranno gli elementi fondamentali dell’approccio europeo alla
fiducia. il perimetro concettuale e l’ordine di priorità delle differenti
cybersecurity:
minacce.
Successivamente si riassumeranno e valuteranno le iniziative intraprese
a livello di Unione Europea (UE). Alla fine del primo capitolo si analizzerà la
collocazione dell’Italia in termini di rispondenza al quadro europeo ed
e verrà fatto il punto sull’emergenza Covid-19
internazionale che sicuramente
Con l’adozione delle tecnologie
ha contribuito a migliorare la situazione.
emergenti quali intelligenza artificiale, 5G, IoT le organizzazioni si sono viste
di fronte nuove minacce; attacchi sempre più sofisticati che possono
3
coinvolgere migliaia di utenti interconnessi ed offrire nuove opportunità ai
cyber criminali di accedere in maniera illecita ai dati critici per l’azienda e dati
potenziali nuove vulnerabilità all’interno
sensibili per il personale. Sono nate
degli asset informatici aziendali e gli attacchi informatici si avvalgono di
tecniche e strumenti sempre più imprevedibili e sofisticati per esfiltrare dati
sensibili e compromettere sistemi informatici senza essere rilevati.
L’importanza della tutela dei dati personali non si è compresa subito
tuttavia; con lo sviluppo della tecnologia i dati hanno cominciato a diffondersi
sempre di più. Il problema come si capirà gradualmente non è l’uso della
tecnologia di per sé, ma l’uso che se ne fa a creare un problema per i singoli
individui.
Per questo si passa alla spiegazione del nuovo Regolamento europeo
sul trattamento e la gestione dei dati dei cittadini europei che è diventato
applicabile il 25 maggio 2018 prendendo il posto del Codice della Privacy (D.
Lgs. n.196/2003). Il Regolamento, insieme alla Direttive UE 2016/680 e 681,
fa parte del pacchetto di riforma europea sulla protezione dei dati, nello
specifico, per il trattamento dei dati personali svolti nelle attività di indagine
per il perseguimento dei reati.
Verrà fatto un excursus su quelle che sono le tappe importanti in merito
al diritto della privacy, si spiegherà come si è giunti al GDPR e perché si parla
di codice novellato. Il Data Protection Regulation ha portato con sé una serie
di innovazioni in tema di trattamento dei dati. Ebbene, a distanza, ormai, di
quasi tre anni dall’entrata in vigore del suddetto regolamento, proviamo a
ripercorrere, seppur brevemente, l’iter normativo che ha portato all’adozione
del GDPR e che tipo di impatto ha avuto il diritto nella tutela della privacy del
singolo individuo.
Il percorso verso il GDPR è nato dall’esigenza di aggiornare la
disciplina in materia di cybersecurity, facendo della tutela dei dati un diritto
4
fondamentale del cittadino europeo. Numerosi sono progressi tecnologici ed
informatici a cui abbiamo assistito negli ultimi anni, a cui fanno seguito gli
incrementi degli attacchi informatici compiuti con tecniche di phishing e social
engineering.
Così come il GDPR, anche la direttiva NIS è uno dei più importanti
strumenti legislativi dell’Unione Europea in materia di cybersecurity. Il NIS
obbliga l’adozione di misure tecniche e organizzative adeguate alla gestione dei
rischi e alla prevenzione degli incidenti informatici a due categorie in
particolare: gli operatori di servizi essenziali e gli operatori di servizi digitali.
GDPR e NIS sono due normative volte a tutelare differenti beni giuridici, ma
potrebbero risultare, nella pratica, parzialmente sovrapponibili.
Per ultimo viene posta l’attenzione sulla tutela dei dati personali in
relazione a internet. In un contesto come quello dei social network, nel momento
in cui si vanno ad inserire le informazioni personali, queste non solo sono
visibili da tutta la comunità, ma il proprietario del social network può perdere
qualsiasi controllo delle informazioni personali. Il potere di controllo
dell’interessato viene sostanzialmente svuotato, una volta prelevate: foto
personali, video o dati anagrafici. Proprio a tal proposito si parla dei cookie che
sono frammenti di dati sugli utenti che vengono memorizzati sul dispositivo e
utilizzati per migliorare la navigazione. Chiaramente verrà presentata anche
l’altra faccia della medaglia a proposito dei rischi che questo salvataggio dei
Un’altra tecnica alla base della protezione dei dati è la
dati comporta.
crittografia grazie alla quale le informazioni non vengono rubate, violate o lette
per scopi malevoli.
Per ultimo, sempre in relazione ai dati personali che sembrerebbero il nuovo
petrolio, viene illustrato un caso pratico: il phishing. 5
“La nostra tecnologia è diventata così potente che stiamo diventando un
pericolo per noi stessi”.
Carl Sagan
6
CAPITOLO I
CYBERSECURITY
1.1. La sicurezza informatica. l’insieme
Con il termine sicurezza informatica si intende delle analisi delle
minacce, delle vulnerabilità e del rischio associato agli asset digitali o telematici
al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero
provocare danni diretti o indiretti, come tali intollerabili (per esempio
economico, reputazionale, politico- sociale). Il termine è spesso sostituito con
il neologismo cybersecurity, che rappresenta una sottoclasse del più ampio
Nell’utilizzare questa
concetto di information security. espressione s’intende, in
particolare, un approccio mirato ad enfatizzare non tanto le misure di
prevenzione (ovvero quelle misure che agiscono riducendo la probabilità di
accadimento di una minaccia), quanto quelle di protezione, ossia quelle misure
che agiscono riducendo la gravità del danno realizzato da una minaccia.
l’approccio odierno alla “cosa
In altre parole, cybersecurity si focalizza sul
fare dopo il realizzarsi di un incidente di sicurezza. L’importanza
e come” società dell’informazione porta alla necessità di garantire
conseguita oggi dalla all’interno del quale tali dati vengono trattati.
la sicurezza del contesto digitale,
La capillare diffusione dei personal computer nel tessuto sociale e la
creazione di banche dati sempre più efficienti nell’attività di aggregazione di
informazioni e della loro elaborazione hanno determinato un bisogno di
sicurezza che talvolta trascende in veri e propri stati d’ansia 1 . Il mutamento
tecnologico provoca cambiamenti economici e trasformazioni nelle istituzioni
sociali. Allo stesso tempo, i cambiamenti sociali e culturali modificano i contesti
Il diritto nell’era digitale,
1 Cfr. G. Pascuzzi, Il Mulino, Bologna, 2016, pp. 59-65. 7
digitali: la fiducia o la diffidenza nei confronti del nuovo mondo globalizzato
sono in grado di condizionare l’evoluzione dell’ambiente telematico 2 .
Con il termine sicurezza si può, in prima battuta, intendere una situazione di
affidabilità che induce un soggetto a sentirsi protetto rispetto all’ambiente
esterno e difeso in situazioni di pericolo e di aggressioni che possano
compromettere la sua sfera d’azione. L’analisi di questo concetto può essere
affrontata sul piano informatico ma anche su quello sociale, economico e
3
giuridico .
In via stipulativa, è possibile affermare che la cybersecurity riguarda
l’insieme di precauzioni ed interventi “che si possono prendere per proteggere
4
il ciberdominio , in campo sia civile che militare, nei confronti delle minacce
associate o che possono nuocere alle loro reti e infrastrutture di informazione
interdipendenti” 5 , al fine di preservare la disponibilità ed integrità delle reti e
delle infrastrutture e la riservatezza delle informazioni ivi contenute.
Questa precisazione risulta essere opportuna per chiarire il significato del
concetto di cybersecurity nel contesto europeo, considerata la riscontrata
ambiguità del termine a livello generale.
Infatti, ad oggi non esiste una definizione di cybersecurity universalmente
accettata o normativamente imposta e questo contribuisce a complicare non solo
l’attività di raccordo politico, ma anche quella di ricerca scientifica.
2 N. N , Essere digitali, Sperling & Kupfer, Milano, 1995, p. 241.
EGROPONTE
3 K.A. T , Technology, Security and Privacy: The fear of Frankenstein, The Mythology of Privacy
AIPALE
and the Lessons of King Ludd, in International Journal of Communications Law & Policy, 8, 2005.
Si tratta di un dominio globale e dinamico, soggetto a un cambiamento continuo, caratterizzato dall’uso
4
combinato di uno spettro elettronico ed elettromagnetico, con lo scopo di creare, immagazzinare,
modificare, scambiare, condividere ed estrarre, utilizzare, eliminare informazioni, gestire e
compromettere beni fisici.
Commissione europea, Strategia dell’Unione europea
5 per la cibersicurezza: un ciberspazio aperto e
sicuro, JOIN (2013), 7 febbraio 2013, p. 3, nota 4. 8
1.2. La cybersecurity e l’Unione europea.
In seguito alla crescente e sempre più significativa penetrazione delle
tecnologie dell’informazione e delle comunicazioni in tutte le funzioni della
società moderna, il tema della cybersecurity ha gradualmente acquisito
un’importanza strategica, ai fini della sicurezza nazionale e della crescita
economica degli stati. Le nuove minacce che emergono dal cyberspazio mettono
a dura prova la capacità degli stati di fronteggiarle adeguatamente, necessitando
di un continuo adeguamento normativo e della pronta predisposizione degli
6
opportuni strumenti di contrasto .
La cibernetica, quindi, è la nostra nuova dimensione. Se, da un lato, lo
dall’altro è
7
sviluppo del settore ICT ha incrementato le opportunità lavorative,
cresciuto il tasso di rischio. Nessuno può dirsi esente dalla vulnerabilità, le
economie dei paesi in primis.
Il crimine informatico costituisce la piaga maggiore della sicurezza delle reti e
delle informazioni ed è in continua crescita. Le politiche europee e degli stati
membri dovrebbero proteggere lo spazio cibernetico al fine di assicurare la
crescita economica e favorire l’uso consapevole e responsabile dei mezzi
informatici da parte degli utenti.
La sicurezza della rete e dei sistemi ICT per il legislatore europeo sono
una priorità e ancora molto è il lavoro da fare sia in Europa che in Italia. La
Commissione europea si prefigge di sviluppare le capacità e la cooperazione in
di rafforzare il ruolo dell’UE quale attore della
materia di cybersicurezza, stessa
e di integrare questo aspetto nelle altre politiche.
6 C. C , Nuova cultura, Cybersecurity: Unione Europea e Italia prospettive a confronto, 2004.
ENCETTI
7 Acronimo di Information Communication Technology, è la scienza che studia in modo integrato i
sistemi di elaborazione, trasformazione e trasmissione dell’informazione. 9
Per l’Unione 8
europea la prima priorità riguarda il concetto di resilienza , ossia
la capacità di una rete o di un sistema di preservare le proprie capacità ed i propri
servizi, in caso di attacco. In modo tale che, indipendentemente dai tempi, di
norma solleciti, di intervento delle autorità, gli attacchi non influiscono
comunque in modo significativo sulla funzionalità dei sistemi informatici e sulla
sicurezza dei dati personali dagli stessi trattati.
La seconda priorità consiste nella lotta massiva al cybercrime, il quale
rappresenta oggi la causa maggiore di perdite di tipo economico, soprattutto a
Consiste in un’attività
danno del settore privato. criminosa, caratterizzata
dall’abuso di componenti della tecnologia dell’informazione. Ridurre il
è probabilmente l’obiettivo più urgente in questo ambito, poiché è
cybercrime
necessario per garantire la protezione dei cittadini, dal punto di vista economico
e non solo. Frodi telematiche, violazione dei dati personali, furto della proprietà
intellettuale e dell’identità digitale, spionaggio industriale: questi fenomeni
sono all’ordine del giorno e causano danni economici estremamente rilevanti e
probabilmente sottostimati.
La terza priorità apre all’ambizione di creare una politica di cyberdefence
(cyber-defence policy) ossia un meccanismo di difesa della rete informatica che
include la risposta alle azioni, la protezione delle infrastrutture critiche e la
garanzia delle informazioni per organizzazioni, enti governativi e altre possibili
reti. l’importanza di progredire dal lato
La quarta priorità rammenta
tecnologico, per essere in grado di gestire le situazioni di crisi grazie alle risorse
tecnologiche. è la capacità di un’organizzazione di
8 La cyber resilience fornire continuamente i servizi, le operazioni
e i risultati previsti nonostante il verificarsi di eventi informatici. 10
La quinta priorità proietta la questione della cybersecurity sul piano
internazionale, a testimonianza del fatto che solo una proficua collaborazione a
livello globale può portare a risultati importanti, nella sfida contro le minacce
asimmetriche provenienti dal cyber spazio (international cyberspace policy).
Ormai la guerra tradizionale si verifica sempre meno, in co
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
Tutela antidiscriminatoria
-
Tutela dati personali, Diritto dell'informatica
-
Tutela giurisdizionale
-
La tutela dei diritti dell'asilante