Smau Roma 2011 Walter Paolicelli

1

Roma, 30-31 marzo – Fiera di Roma

Avv. Eustachio Walter Paolicelli

ANALISI E VALUTAZIONE DEI RISCHI NEL BUSINESS INFORMATICOPercezione e prevenzione dei rischi dell’innovazione tecnologica

Tutti i diritti sono riservati, è vietata la riproduzione e l’utilizzo senza autorizzazione

2


Struttura del reato informatico

Computer crimes:Condotte antigiuridiche nelle quali il computer assume ruolo fondamentale attivo epassivo.


3


Attivo:Quale strumento utile e necessarioalla commissione del reato


4


Passivo:Quale oggetto tutelato dall’ordinamento edestinatario della condotta illecita


5


Finalità:

• Profitto• Danneggiamento• Avversione


6


Alcune considerazioni...

-Diffusione radicale di strumenti informatici e telematici

-Mancata previsione di strumenti di alfabetizzazione e prevenzione


7


Effetti...

-Stravolgimento delle teorie dell’evoluzione criminale

-Aumento indiscriminato delle condotte antigiuridiche


8


Rimedi...

Timidi tentativi di inquadramento delle nuove fattispecie criminose(Es.: in tema di attentato ad impianti di elaborazione dati; Raccomandazione sulla Criminalità Informatica del Consiglio D’Europa del 13 settembre 1989)

Analogia come principale strumento di riempimento delle lacune normative


9


Interventi...

-Prime definizioni di pirateria informatica: condotta antigiuridica da reprimere (Es.: D.Lgs. n. 518/92)

-Primo grande intervento in tema di condotte antigiuridiche poste in essere in ambito informatico o telematico (L. n. 547/93)


10


Rimedi...

Timidi tentativi di inquadramento delle nuove fattispecie criminose(Es.: in tema di attentato ad impianti di elaborazione dati; Raccomandazione sulla Criminalità Informatica del Consiglio D’Europa del 13 settembre 1989)

Analogia come principale strumento di riempimento delle lacune normativeAvv. Eustachio Walter Paolicelli

11


Categorie...

-Truffe informatiche -Protezione dei dati personali -Integrità-Manomissioni


12


Contenuti...

-I beni comunemente protetti trovano tutela nella loro nuova incarnazione digitale

-Nascono posizioni divergenti in merito alla terminologia impiegata dalle norme introdotte


13


Integrazione...

-23 novembre 2001 entrata in vigore della Convenzione di Budapest del Consiglio d’Europa sulla Criminalità Informatica

-18 marzo 2008 L. 48, l’Italia ratifica la Convenzione


14



Le indagini investigative devono

affrontare le difficoltà legate alla

“dematerializzazione” quale fenomeno che priva della

dimensionemateriale i beni che siamo

abituati a considerare per lo spazio

che occupano nella realtà

quotidiana.

15



Mendelsohn utilizzò per primo il termine “vittimologia” (1949)

Era un avvocato penalista che iniziò ad interessarsi alla vittimologia proprio durante lo

svolgimento dell’attività forense.

La sua prima interpretazione della vittimologia si riferiva esclusivamente al grado di contributo

apportato dal comportamento della vittima stessa

16


Ha ipotizzato un vero e proprio “concorso di colpa” del soggetto passivo del reato.

Classificazione delle seguenti categorie di vittime: Del tutto innocente;Con colpa lieve;Colpevole;Maggiormente colpevole del delinquente;Con altissimo grado di colpa o unica colpevole


17


Con riferimento ai crimini informatici la vittima offre una collaborazione

Attiva

Passiva

Del tutto inconsapevole

Preferenziale

Rappresentativa o simbolica


18

Roma, 30-31 marzo – Fiera di Roma Attiva:

La stessa vittima o persona vicina ad essa (nel caso di

azienda si parla di collaboratori o dipendenti) collabora

dolosamente con il criminale fornendo tutte le informazioni

e i mezzi occorrenti a portare a termine l’azione criminosa.


19

Roma, 30-31 marzo – Fiera di Roma Passiva:

La stessa vittima o persona vicina ad essa (nel caso di

azienda si parla di collaboratori o dipendenti) collabora

dolosamente o colposamente con il criminale omettendo di

segnalare condotte sospette o fornendo informazioni e

mezzi occorrenti a portare a termine l’azione criminosa.


20

Roma, 30-31 marzo – Fiera di Roma Inconsapevole:

La vittima o persona vicina ad essa (nel caso di azienda si

parla di collaboratori o dipendenti) non percepisce l’attacco

o la condotta criminosa se non dopo che la stessa sia

portata a termine.


21


Preferenziale:


parla di collaboratori o dipendenti) viene scelta per le

caratteristiche di vulnerabilità


22


Rappresentativa o simbolica:


parla di collaboratori o dipendenti) viene ad essere colpita

per ciò che essa rappresenta


23


Con riferimento alla tipologia di vittima si parla di:

• Vittime fungibili: non legate in alcun modo all’offender il quale non aveva premeditato la scelta di quel determinato soggetto. Sono soggetti che diventano vittime per caso, a causa della ricezione di files malevoli, scelta casuale oppure per collaborazione inconsapevole

• Vittime infungibili: caratterizzate da qualche legame con il criminale come rapporti lavorativi, aziende concorrenti, vincoli familiari ecc.


24


Predisposizione:

Non tutte le aziende sono parimenti predisposte agli attacchi informatici, parliamo di:

Predisposizione tecnologica: dotazioni hardware e software di cui dispone l’azienda

Predisposizione strutturale: il modello organizzativo, i soggetti autorizzati, la catena di custodia dei dati, i manutentori


25


Procedimento di Profiling6 interrogativi le cui risposte assumono la medesima

valenza dei tasselli di un puzzle

1Cosa – What?

1Cosa – What?

2Come – How?

2Come – How?

3Quando – When?

3Quando – When?

5Perché – Why?

5Perché – Why?

6Chi – Who?

4Dove – Where?

4Dove – Where?


26


Rimedi:

A causa della discordanza di normativa sovranazionale il

crimine informatico difficilmente concede buon esito agli

investigatori


27


Occorre:

Investire in nuove tecnologie

Investire in tecnologie di sicurezza

Investire in formazione e consulenza


28


I crimini informatici devono essere prevenuti non

perseguiti


29


GRAZIE PER L’ATTENZIONE


Smau Roma 2011 Walter Paolicelli

Technology

Transcript of Smau Roma 2011 Walter Paolicelli