Sia la sostenibilità che la sicurezza informatica sono concetti generali, macrocategorie o meglio ancora meta-discipline, costantemente in prima pagina e vitali per la competitività delle imprese e di intere economie.
La fiducia nelle ICT (c.d. Infotecnologie, Tecnologie dell’Informazione e della Comunicazione) è fondamentale per raggiungere gli Obiettivi di Sviluppo Sostenibile delle Nazioni Unite, così come formalizzati all’interno di Agenda 2030.
Il Data Protection Officer (DPO) è una nuova figura professionale introdotta dal Reg. UE n. 679/2016 del Parlamento europeo (c.d. GDPR, General Data Protection Regulation), e oggi prevista anche nel nostro ordinamento, a seguito dell’entrata in vigore del GDPR in data 25.05.2018 in tutto il territorio dell’Unione europea.
In questa pubblicazione cercheremo di approntare una primitiva e superficiale analisi comparata tra le disposizioni chiave del GDPR (il nuovo Regolamento Europeo sulla protezione dei dati) e quelle della “Legge sulla Sicurezza Informatica della Repubblica Popolare Cinese”, nota anche come CSL (acronimo di China’s Cybersecurity Law).
La maggior diffusione e conoscenza delle nuove tecnologie e tecnologie emergenti ha portato, negli ultimi anni, a evidenti cambiamenti non solo nelle abitudini di vita quotidiana, ma anche nel modo di produzione, diffusione e fruizione dei beni di consumo. È ormai un dato di fatto che la digitalizzazione è presente in ogni fase della nostra vita, non solo privata ma anche e soprattutto lavorativa: computers, smartphones, case, automobili, fabbriche, ospedali, città, mostrano come i chips e i softwares oramai ci circondano, aumentando le opportunità di sviluppo di nuovi servizi per i cittadini e nuovi modelli di business per le aziende, ma, al contempo, alimentando i rischi di crimini informatici.
Il Rapporto CLUSIT (Associazione Italiana per la Sicurezza Informatica) sulla sicurezza ICT in Italia, pubblicato nell’aprile 2018, ha stimato che i costi generati globalmente dalle attività di cyber crime e dai vari reati informatici come la frode informatica sono stati, nel 2017, di 500 miliardi di dollari; in particolare, le truffe, le estorsioni, i furti di denaro e di dati personali hanno colpito nel 2017 quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita che è stata stimata in 180 miliardi di dollari.
Per quanto riguarda l’Italia, i dati a disposizione stimano che nel 2016 i danni derivanti dai reati informatici sono stati di quasi dieci miliardi di euro, mentre un’altra ricerca, eseguita da Il Sole 24 Ore all’inizio del 2018 e relativa ai costi medi per un’azienda manifatturiera con 120 milioni di euro di ricavi annui, ha calcolato in 20 milioni di euro l’esborso a cui la società deve far fronte in caso di attacco ransomware o di altro virus informatico che riesca a bloccare l’intera attività aziendale. Il calcolo si basa sull’impiego di risorse e il tempo necessari per far ripartire a pieno regime la produzione aziendale, che gli esperti calcolano fra le 2 e le 52 settimane a seconda della pervasività e gravità dell’intrusione.
Negli ultimi anni, l’esperienza maturata nelle aule di giustizia ha mostrato come gli autori di reati informatici agiscano, quasi sempre, in base a due modelli: individuano come obiettivo sistemi o gadget informatici di privati o istituzioni (pubbliche o private) per diffondere virus informatici o per sottrarre, alterare e riutilizzare dati sensibili; utilizzano apparati o sottosistemi elettronici (come server, database, mainframe, modem, terminali) per porre in essere reati di natura comune come molestie, minacce, estorsioni, atti persecutori, diffamazione, compravendita di beni o servizi illeciti, frodi, scommesse illegali, reati pedopornografici.
Da un punto di vista legale, è utile distinguere, all’interno della macro-categoria dei reati informatici, due sotto-categorie di condotte illecite: i computer crimes, che si riferiscono alle condotte di rilevanza penale che hanno i computer e gli altri devices elettronici come obiettivi primari dell’atto criminoso; i computer facilitated crimes, cioè i crimini comuni realizzati attraverso l’impiego di strumenti informatici.
Nella prima categoria rientrano gli attacchi informatici a infrastrutture digitali di privati e aziende tramite computer viruses, denial-of-service attacks, malware (maliciouscode) con l’obiettivo primario di danneggiare un sistema informatico, quasi sempre a scopo di lucro. Nella seconda categoria possono rientrare svariati esempi di condotte criminali, come il furto o il trattamento illecito di dati, l’appropriazione indebita, il riciclaggio di denaro, la clonazione di carte di credito, lo stalking informatico, le molestie, le ingiurie, la diffamazione e il cyberbullismo, la pornografia, l’estorsione, la frode informatica, l’information warfare, il phishing, il dialer, lo spam. Quest’ultima categoria ricomprende, quindi, una serie di condotte che possono avere le finalità illecite più disparate, non solo di danneggiamento.
Da un punto di vista criminal-sociologico, invece, è interessante la classificazione effettuata dall’UNODC (United Nations Office on Drugs and Crime) nel documento del febbraio 2013 dal titolo Comprehensive Study on Cybercrime. In esso, i reati informatici vengono distinti in base all’oggetto dell’offesa e al modus operandi del criminale, nel modo seguente:
reati informatici contro la confidenzialità, l’integrità e la disponibilità dei dati di un computer o di altro sistema elettronico (Acts against the confidentiality, integrity and availability of computer data or systems), in cui si possono ricomprendere condotte come l’accesso abusivo a un sistema informatico; l’intercettazione o acquisizione di dati informatici; la manomissione abusiva di dati; la produzione, distribuzione o possesso di strumenti che favoriscano l’abuso informatico; la violazione delle misure di tutela dellaprivacy o di dati personali;
reati informatici con modus operandi finalizzato al guadagno personale o al danneggiamento di un’altra persona (Computer-related acts for personal or financial gain or harm), come la frode informatica o le falsificazioni tramite sistema informatico, (tra cui il c.d. phishing); furti di identità; violazioni di copyright o di marchi registrati; spamming; mobbing e stalking informatici; trolling (invio di messaggi o immagini contenenti minacce); cyberbullismo; adescamento di minori on-line (c.d. grooming);
reati informatici relativi al contenuto del materiale digitale prodotto e/o distribuito (Computer content-related acts), come i comportamenti che coinvolgono razzismo o xenofobia; la produzione, distribuzione o semplice possesso di materiale pedo-pornografico (tra cui anche il c.d. sexting); i comportamenti informatici a sostegno di reati di terrorismo.
In Italia, il primo provvedimento normativo volto a punire i crimini informatici risale alla legge 23 dicembre 1993 n. 547 in tema di “Modificazioni e integrazioni alle norme del Codice Penale e del Codice di Procedura Penale in tema di criminalità informatica”. Successivamente, il legislatore italiano ha recepito le indicazioni derivanti dalla normativa europea, in particolare la Convenzione di Budapest del 2001 sui reati informatici, ratificata dall’Italia nel 2008.
Attualmente, nel nostro ordinamento possono individuarsi i seguenti comportamenti illeciti, da ricomprendersi nella categoria concettuale dei crimini informatici:
accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.);
detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615-quater c.p.);
diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (vale a dire la diffusione di virus e malware) (art. 615-quinquies c.p.);
intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche; installazione di apparecchiature dirette a intercettare, interrompere o impedire comunicazioni informatiche o telematiche; falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (articoli 617-quater, 617-quinquies e 617-sexies c.p.);
danneggiamento di sistemi informatici o telematici (articoli 635-bis, 635-ter, 635- quater e 635-quinquies c.p.);
frode informatica (art. 640-ter c.p.);
falsificazione di documenti informatici (art. 491-bis c.p.);
il c.d. Spamming (disciplinato dall’art. 130 del Codice in materia di protezione dei dati personali, intitolato “Comunicazioni indesiderate”);
il c.d. grooming (art. 609-undecies c.p.) ovvero l’adescamento di minori attraverso la rete;
il fenomeno del cyber-bullismo, definito dalla legge n. 71 del 29 maggio 2017 come “qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti on line aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo”;
la produzione, il possesso e la diffusione di materiale pedo-pornografico, riscontrabili anche all’interno del fenomeno del c.d. sexting, regolato dagli articoli 600-ter c.p. (“Produzione di materiale pedo-pornografico”) e 600-quater c.p. (“Detenzione di materiale pornografico riguardante i minori”).
Non vi è da dimenticare, poi, il diffusissimo fenomeno del c.d. Phishing, vale a dire una tecnica di social engineering, finalizzata a estorcere informazioni personali e riservate oppure abitudini e stili di vita. Nel nostro ordinamento non vi è una norma specifica che incrimina tale fenomeno, ma la copertura legislativa si ottiene attraverso il ricorso a varie norme penali: sostituzione di persona (art. 494 c.p.); detenzione abusiva di codici di accesso informatico (art. 615 quater c.p.); accesso abusivo a sistema informatico (art. 615 ter c.p.), per citare quelle maggiormente usate nelle aule di giustizia.
Come sopra detto, l’Italia non è messa bene. Il nostro Paese è il quarto al mondo per incidenza di attacchi informatici, e analizzando più approfonditamente i dati del già citato Rapporto CLUSIT, si scopre che l’utilizzo dimalware, creati con costi sempre più bassi a livello industriale, è un vettore di attacco il cui utilizzo nel 2017 è aumentato del 95% rispetto al 2016, quando già era cresciuto del 116% rispetto al 2015. Gli attacchi più articolati, definiti come “Multiple Threats/APT” sono invece cresciuti del 6%, così come gli attacchi basati su tecniche di “Account Cracking”, mentre le tecniche di Phishing hanno avuto un incremento del 34%.
Considerato che il Rapporto CLUSIT analizza i dati ricavati dagli attacchi informatici più gravi del periodo, compiuti contro primarie aziende del settore pubblico e privato a livello mondiale, si evidenzia il fatto che la somma delle tecniche di attacco più banali (SQLi, DDoS, Vulnerabilità note, Phishing, malware “semplice”) rappresenta addirittura il 68% del totale (l’anno precedente era il 56%), considerazione che porta necessariamente a rilevare come gli hacker riescano, più che in passato, a realizzare attacchi di successo contro le loro vittime con relativa semplicità e a costi sempre più bassi.
A tal proposito, gli esperti di sicurezza informatica (assolutamente da non confondere con l’attività di IT management) suggeriscono una serie di punti chiave che l’imprenditore, ma anche il privato cittadino, dovrebbe seguire per sentirsi maggiormente cyber-sicuro:
rendersi conto che il cyber-crimine può colpire chiunque, anche la semplice (e preziosa) casalinga;
essere sempre aggiornato in tema di cybersecurity – meno se ne sa, e più si è esposti alle minacce on-line;
avere una buona conoscenza delle competenze informatiche presenti nella propria realtà aziendale;
informare e formare adeguatamente il proprio personale e i propri collaboratori in tema di sicurezza informatica, per evitare di essere vittime involontarie degli hackers;
tenere ben distinti i concetti di cybersecurity e di IT management;
sapere che un attacco informatico da parte di hackers potrebbe anche far fallire l’azienda;
dare valore primario ai dati del cliente (come fossero un lingotto d’oro), perché chi li perde, mette in pericolo il proprio business;
essere coscienti che più si è connessi alla rete informatica, maggiori sono i rischi di attacchi criminali;
dare molta importanza agli aggiornamenti dei devices e degli altri strumenti informatici utilizzati dall’azienda.
Come buona pratica, dunque, ogni imprenditore dovrebbe curare la formazione del proprio personale aziendale in tema di cybersecurity, fornendo corsi sul tema e manuali pratici ai propri dipendenti, per far capire che il rischio di reati informatici, oramai, fa parte della nostra vita quotidiana, e che il rischio di esserne vittima da parte di coloro che usano internet è costante, sia in ambiente di lavoro che a casa, sul divano, mentre si sta guardando un film sulla propria Smart-TV.
Un profilo interessante, trascurato da molti esperti, è quello della convergenza e dalla fusione delle tecnologie, che stanno assottigliando il confine tra la sfera fisica, quella biologica e quella digitale; a causa di ciò, le tematiche di cybersecurity assumono una importanza ed un impatto estremo anche per le cosiddette Life Sciences, dove si parla più correttamente di CYBERBIOSECURITY.
Su questo affascinante tema, abbiamo realizzato una pubblicazione per la rivista “Cyber & Security Affairs Magazine” qui di seguito linkato.
In proposito al tema della sicurezza informatica, P&S Legal offre a privati cittadini e aziende, assistenza legale sia nella fase di prevenzione che di reazione (Incident Response) alle aggressioni informatiche, oltre che di consulenza strategica e assistenza allaformazione del personale aziendale.
Lo Studio Legale, altresì, offre assistenza giudiziale specifica sia in sede civile che penale, con la possibilità di affiancamento di tecnici informatici in grado di effettuare qualificate indagini forensi, comprensive di analisi e recupero dati informatici.
Nell’ultima decade, la tecnologia di stampa 3d (3d printing o additive manufacturing) ha catturato l’immaginazione del grande pubblico, di ingegneri e visionari ambientali.
E’ stata definita come la nuova rivoluzione nella manifattura, nonchè grande opportunità collettiva per significativi miglioramenti ambientali.
Un primo vantaggio evidente è quello della minima generazione di rifiuti, rispetto alle tecniche di manifattura tradizionale.
La presenza a livello mondiale di stampanti 3ddomestiche, negozi specializzati che offrono servizi di stampa, biblioteche, scuole e centri di aggregazione consentono la realizzazione di prodotti onsite, riducendo la dipendenza dal trasporto e dalla logistica.
Ad oggi però mancano analisi quantitative sulle prestazioni ambientali della stampa tridimensionale.
I pochi studi presenti si concentrano unicamente sul consumo energetico nella fase di produzione, senza considerare nè gli impatti connessi alla produzione delle materie prime, nè all’utilizzo dei prodotti finali, nè alla gestione dei rifiuti.
A seguire alcuni spunti di riflessione sulle criticità ambientali delle tecnologie di stampa 3d.
Paradosso di Jevons.La produzione on-demand e onsite, insieme alle possibilità di personalizzazione illimitata dei prodotti auto-realizzati, rischiano di incrementare drasticamente il numero di prodotti consumer usa-e-getta, che vengono definiti “scrapjects” (oggetti-rottami).
Anche a livello industriale, l’aumento dell’efficienza d’uso dei materiali abbassa i costi di produzione e conseguentemente i prezzi di vendita. Ne consegue una promozione dell’aumento dei consumi (ergo aumento della produzione e del consumo di risorse). Focalizzarsi unicamente sull’efficienza delle risorse e dei materiali nei prodotti minaccia la sostenibilità del modello di Economia Circolare.
Sempre a livello industriale, ad oggi la manifattura additiva rappresenta un complemento ai tradizionali processi manufatturieri, non un sostituto.
Esposizione prolungata alle microparticelle prodotte dai macchinari: gli effetti di medio-lungo periodo sono da valutare in ottica EHS (ambiente, salute e sicurezza).
Ad oggi non è un processo integralmente “wasteless”: ad esempio alcune tecnologie richiedono l’utilizzo di strutture di supporto temporaneo che non possono essere reimpiegate nel processo e vengono eliminate.
In conclusione, ad oggi la produzione decentralizzata e personalizzata legata alla tecnologia di stampa 3d rappresenta una grande ed intrigante opportunità ambientale: la vision è quella di consentire la produzione di oggetti a livello domestico, nelle fattorie, in azienda, realizzando esclusivamente il prodotto desiderato, anzichè in lotto e a distanza dal punto di utilizzo finale, eliminando la necessità di trasporti, stoccaggio e logistica su grandi volumi di merce che rischiano di rimanere invenduti ed inutilizzati.
Allo stato dell’arte, tuttavia, la maggior parte dei prodotti che potrebbero essere realizzati in questa maniera dovrebbero essere sufficientemente semplici da essere realizzabili anche sui modelli base delle stampanti 3d, solitamente partendo da un singolo materiale.
Si tenga presente che i trattamenti di lavorazione delle materie prime, finalizzati a renderle idonee alla stampa tridimensionale, possono consumare più energia rispetto a quella necessaria alla realizzazione con metodi di produzione tradizionale, compresa la spedizione all’utilizzatore finale!
Un grande vantaggio potenziale, derivante dall’utilizzo della tecnologia di manifattura additiva, è quello del prolungamento del ciclo di vita dei prodotti, tramite la realizzazione di parti di ricambio con stampa tridimensionale.
In questo senso però, un grosso limite strutturale potrebbe essere rappresentato dalla proprietà intellettuale, la cui attuale disciplina andrebbe modificata al fine di non costituire un limite alle potenzialità tecnologiche legate alla stampa 3d; gli utilizzatori interessati a stampare parti di ricambio del prodotto, potrebbero incorrere in violazioni dei diritti IP dei produttori originali, i quali potrebbero non volere condividere i design delle parti di ricambio per ragioni di ordine economico.
Un’ultima osservazione sui potenziali benefici ambientali legati alla manifattura additiva, in merito alle potenzialità legate alla produzione di oggetti di forme e strutture estremamente complesse, che consentirebbero maggiore efficienza energetica nell’utilizzo dei prodotti realizzati con stampa 3d. Si pensi ad esempio alla realizzazione di componenti specialistiche nell’industria aeronautica ed aerospaziale, che consentirebbero minori consumi e minori emissioni in atmosfera.
(6 votes, average: 4,83 out of 5)
Loading...