Paolo Galdieri / Cybersecurity

Cybersecurity

Cos'è la cybersecurity: analisi commentata del codice penale e cosa fare in caso di coinvolgimento in minacce e attacchi informatici. Paolo Galdieri, avvocato, da anni specializzato in tale settore, esplora la legislazione italiana alla luce delle sfide poste dall'aumento di crimini informatici.
cybersecurity
Il reato

Cos’è la cybersecurity


La cybersecurity, o sicurezza informatica, è il campo dedicato alla protezione dei sistemi informatici, delle reti, dei dati e delle infrastrutture digitali da minacce, attacchi e intrusioni malevoli. Si occupa di garantire la riservatezza, l’integrità e la disponibilità delle informazioni digitali, nonché di proteggere i sistemi informatici dagli attacchi informatici, dal furto di dati, dal malware, dal phishing e da altre minacce informatiche.

I reati riconducibili al tema della cybersecurity sono sia quelli rivolti contro i sistemi ed i dati ivi contenuti, sia , dove previsto dalla legge, quelli relativi alla falsa od omessa informazione sulla sicurezza dei sistemi.

Tipologie

Alcune delle principali tipologie di cybersecurity sono:

  • Sicurezza delle reti:
    Si concentra sulla protezione delle reti informatiche da accessi non autorizzati, attacchi malware e intrusioni. Include l’implementazione di firewall, sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS) e altre misure per garantire che solo gli utenti autorizzati possano accedere alla rete.
  • Sicurezza delle applicazioni:
    Mirata a proteggere le applicazioni software da vulnerabilità e attacchi. Include test di sicurezza delle applicazioni (AST), codifica sicura, autenticazione multi-fattore e gestione dei privilegi per ridurre i rischi di exploit delle applicazioni.
  • Sicurezza dei dati:
    Si concentra sulla protezione dei dati sensibili da accessi non autorizzati, furto e perdita. Include la crittografia dei dati, il controllo degli accessi, la gestione delle chiavi e la sicurezza dei dispositivi di archiviazione per garantire la riservatezza e l’integrità dei dati.
  • Sicurezza delle informazioni:
    Coinvolge la protezione delle informazioni sensibili, comprese le informazioni personali identificabili (PII), da minacce interne ed esterne. Include politiche di gestione delle informazioni, classificazione dei dati, monitoraggio delle attività degli utenti e formazione sulla sicurezza informatica.
  • Sicurezza fisica:
    Si occupa di proteggere l’accesso fisico ai dispositivi e alle infrastrutture informatiche. Include la sicurezza degli edifici, il controllo degli accessi fisici, la videosorveglianza e la protezione dei dispositivi hardware.
  • Sicurezza cloud:
    Si concentra sulla protezione dei dati e delle risorse memorizzate e elaborate nei servizi cloud. Include la gestione delle identità e degli accessi, il monitoraggio della sicurezza del cloud, la crittografia dei dati e la gestione dei rischi legati alla migrazione verso il cloud.
  • Sicurezza mobile:
    Mirata a proteggere i dispositivi mobili e le applicazioni mobili da minacce come malware, phishing e perdita fisica. Include la gestione dei dispositivi mobili (MDM), la crittografia dei dati, le reti private virtuali (VPN) e le politiche di sicurezza delle app.
  • Sicurezza degli endpoint:
    Si concentra sulla protezione dei dispositivi endpoint, come computer, laptop e smartphone, da minacce informatiche. Include l’installazione di software antivirus, il rilevamento e la risposta agli endpoint (EDR), la gestione dei patch e il controllo degli accessi agli endpoint.

Articoli di riferimento

Articolo 1, comma 11 ( Decreto-Legge 105/2019, convertito, con modificazioni, dalla L. 18 novembre 2019, n. 133)

Chiunque, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attività ispettive e di  vigilanza previste dal comma 6,  lettera  c), fornisce  informazioni, dati o elementi di  fatto non  rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi di cui al comma  2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attività ispettive e di vigilanza  di cui al comma 6), lettera c) od omette di comunicare entro  i  termini prescritti i predetti dati, informazioni  o  elementi  di  fatto, è punito  con  la  reclusione  da  uno  a  tre anni.

Articolo 1, comma 11bis (introdotto dalla L. 18 novembre 2019, n. 133)

All’articolo 24-bis, comma 3, del  decreto  legislativo  8 giugno 2001, n. 231, dopo le parole: “di altro ente  pubblico,”  sono inserite le seguenti: “e dei delitti di cui all’articolo 1, comma 11,del decreto-legge 21 settembre 2019, n. 105.

Il commento di: Avv. Paolo Galdieri

L’evolversi delle minacce informatiche, che vanno dall’attività di cyberterroristi a quella di privati, ha posto la sicurezza dei sistemi come una priorità, riflessa in documenti internazionali e nazionali. Le Direttive NIS 1 e 2 dell’Unione Europea sono cruciali in questo contesto. La NIS 1 (UE 2016/1148) mira a migliorare la cooperazione tra gli Stati membri e a promuovere l’armonizzazione delle norme sulla sicurezza cibernetica. Identifica due categorie di soggetti, operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD), imponendo loro misure di sicurezza proporzionate ai rischi e la notifica tempestiva degli incidenti alle autorità competenti. La NIS 2 (UE 2022/2555), abrogando la NIS 1, rafforza gli obblighi di sicurezza e amplia la portata della direttiva, introducendo nuove categorie di soggetti “essenziali” e “importanti” e definendo criteri uniformi per identificarli.

In Italia, la legislazione sulla sicurezza informatica è centrale, con il Regolamento europeo 2016/679 e il Decreto Legislativo 101/2018 che prevedono strategie di sicurezza per la protezione dei dati personali. Il Decreto Legislativo 65/2018, attuativo della NIS 1, impone obblighi di sicurezza agli OSE e ai FSD, evidenziando l’aspetto giuridico della sicurezza informatica. La Legge 133/2019 introduce misure volte a garantire la sicurezza delle reti e dei sistemi informatici pubblici e privati. Il Decreto Legislativo 105/2019, convertito nella Legge 133/2019, punisce chi fornisce informazioni false o omette di comunicarle riguardo alla sicurezza cibernetica, con conseguenze anche per l’ente coinvolto.

Il comma 11-bis dell’art. 1 del Decreto Legislativo 105/2019, introdotto dalla Legge 133/2019, prevede la responsabilità amministrativa degli enti, ai sensi del Decreto Legislativo 231/2001, per i reati informatici elencati. La Legge 109/2021 definisce l’architettura nazionale di cybersicurezza e istituisce l’Agenzia Nazionale per la Cybersecurity, il Comitato interministeriale e il Nucleo per la cybersicurezza. Con la normativa sulla cybersecurity ancora in fase embrionale, non ci sono ancora pronunce giudiziarie, ma alcune decisioni civili evidenziano la responsabilità bancaria o del correntista in caso di violazioni legate alla sicurezza.

Richiedi consulenza

Cosa dicono i giudici

In caso di phishing, l’istituto di credito può essere esonerato dalla responsabilità risarcitoria se dimostra di aver adottato tutti i sistemi di sicurezza ragionevolmente richiesti e se il correntista ha commesso una colpa grave nell’utilizzare in modo scorretto lo strumento di pagamento o nel proteggere le credenziali di accesso.

Come tutelarsi

Per tutelarsi in materia di cyber security:

  • Utilizzare software di sicurezza: Installare e mantenere aggiornati software antivirus e antimalware sul dispositivo.
  • Aggiornare regolarmente i software: Mantenere sempre aggiornati i sistemi operativi, i programmi e le applicazioni per proteggersi da vulnerabilità note.
  • Usare password sicure: Utilizzare password lunghe e complesse, che includano lettere maiuscole e minuscole, numeri e caratteri speciali. Evitare di utilizzare la stessa password per più account e cambiarle regolarmente.
  • Evitare link sospetti: Non fare clic su link o allegati da fonti sconosciute o non attendibili, specialmente se ricevuti tramite email o messaggi di testo.
  • Essere cauti sui social media: Limitare le informazioni personali che si condividono online e controllare le impostazioni sulla privacy dei propri account sui social media.
  • Fare backup dei dati: Eseguire regolarmente il backup dei dati importanti e conservarli in un luogo sicuro.
  • Navigare in modo sicuro: Utilizzare connessioni sicure (ad esempio, VPN) quando ci si connette a reti Wi-Fi pubbliche e cercare di visitare solo siti web sicuri con il protocollo HTTPS.
  • Essere consapevoli delle minacce: Mantenersi aggiornato sulle ultime minacce informatiche e sui metodi utilizzati dagli hacker, e imparare a riconoscere e evitare le tecniche di phishing e di social engineering.

Consulenza legale Cybersecurity

La consulenza legale in materia di cybersecurity si occupa di fornire assistenza legale e consulenza specialistica per affrontare le sfide legate alla sicurezza informatica. Questo tipo di consulenza può includere diversi servizi, tra cui:

  • Valutazione del rischio: Analisi dettagliata delle vulnerabilità e dei rischi di sicurezza informatica dell’azienda o dell’individuo, con identificazione delle potenziali minacce e valutazione delle conseguenze.
  • Conformità normativa: Assicurarsi che l’azienda sia conforme alle normative e ai regolamenti relativi alla sicurezza informatica, come il GDPR (Regolamento Generale sulla Protezione dei Dati) o le leggi settoriali sulla privacy e la sicurezza dei dati.
  • Sviluppo di politiche e procedure: Creazione e implementazione di politiche e procedure interne per garantire la sicurezza delle informazioni, comprese politiche di gestione delle password, procedure di accesso e controllo degli accessi.
  • Gestione degli incidenti: Assistenza nella gestione degli incidenti di sicurezza informatica, inclusa la risposta agli attacchi informatici, l’analisi forense digitale e la notifica delle violazioni dei dati alle autorità competenti e agli interessati.
  • Contratti e accordi: Revisione e negoziazione di contratti con fornitori di servizi IT e di sicurezza informatica, per garantire che siano inclusi adeguati requisiti di sicurezza e protezione dei dati.
  • Risoluzione delle controversie: Assistenza legale nella risoluzione di controversie legali legate alla sicurezza informatica, comprese azioni legali contro hacker o fornitori di servizi IT inadeguati.
  • Consulenza su tecnologie emergenti: Consulenza su nuove tecnologie e tendenze nel campo della sicurezza informatica, per garantire che l’azienda rimanga al passo con le minacce informatiche in evoluzione.

Formazione

L’avvocato Paolo Galdieri offre corsi di formazione avanzati in Cybersecurity, corsi che non solo approfondiscono le questioni legali legate alla sicurezza dei dati, ma forniscono anche competenze tecniche essenziali.

Progettati per riflettere le specifiche realtà aziendali dei partecipanti, i corsi sono strutturati per essere immediatamente applicabili al contesto lavorativo quotidiano. Ogni modulo formativo è frutto di un’attenta analisi delle esigenze del settore, garantendo un metodo pratico e al contempo teorico, in equilibrio tra la normativa vigente e le ultime innovazioni tecnologiche nel campo della cybersecurity.

Affidati all'avvocato Galdieri

Paolo Galdieri

Avvocato penalista, Paolo Galdieri è esperto nella gestione di controversie in materia di Cybersecurity.

Scopri di più su: Avv. Paolo Galdieri

Richiedi consulenza legale in materia di Cybersecurity

Richiedi ora

Ambiti di consulenza legale


Come possiamo esserti di aiuto?

Ci contatti per le sue esigenze specifiche