Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

La raccolta delle prove dei comportamenti illeciti dei lavoratori

Mercoledì 12 maggio 2021 si terrà il workshop dal titolo “I controlli ‘tecnologici’ sull’attività dei lavoratori”, organizzato dalla società Paradigma, durante la quale verrà analizzato il quadro normativo in materia di controlli a distanza sull’attività dei lavoratori alla luce della recente evoluzione giurisprudenziale, delle indicazioni del Garante Privacy e dei provvedimenti ministeriali in materia.

Un focus particolare sarà dedicato alle peculiarità dei controlli “tecnologici” in caso di smart working e ai controlli sulla performance lavorativa, che possono portare alla copia forense dei dispositivi, analisi tecnica e redazione di una perizia informatica forense per utilizzo in Tribunale. È nota, ad esempio, la problematica dell’attività difensiva in ambito di “dipendenti infedeli”, per i quali l’azienda ha il diritto di difesa e indagine forense, spesso gestita tramite incarico d’indagine difensiva a consulenti informatici forensi o agenzie investigative.

Saranno presentate le corrette modalità di regolamentazione dell’utilizzo degli strumenti di lavoro, al fine di mettere i partecipanti nella condizione di poter valutare la congruità delle privacy policies e dei regolamenti aziendali adottati. Saranno infine individuate le corrette modalità di gestione delle possibili patologie, con specifico riguardo alla corretta impostazione del procedimento disciplinare e del licenziamento.

Controllo dei Lavoratori e Perizia Informatica

Durante il workshop organizzato da Paradigma, porterò il mio piccolo contributo presentando un approfondimento relativo alle attività di perizia informatica svolta in ambito di raccolta delle prove dei comportamenti illeciti dei lavoratori e gli strumenti di forensic investigation, spesso informalmente indicati come parte dell’indagine difensiva dell’azienda in caso di “dipendente infedele“, con il seguente programma di dettaglio dell’intervento di circa un’ora:

  • Le attività illecite condotte dai lavoratori per mezzo di strumenti informatici
  • Le tecniche investigative per l’accertamento di comportamenti illeciti
  • Le criticità delle “ispezioni forensi” e le buone prassi per la loro corretta gestione
  • I limiti dell’utilizzabilità in giudizio di prove digitali erroneamente raccolte
  • Le modalità di cristallizzazione e acquisizione forense dei dispositivi informatici
  • L’analisi forense per la ricostruzione della prova informatica
  • La redazione e produzione in giudizio della perizia informatica forense

Il programma integrale della giornata sul Controllo dei Lavoratori organizzato da Paradigma è scaricabile dal seguente link e viene riportato qui di seguito:

Mercoledì 12 maggio 2021, I controlli “tecnologici” sull’attività dei lavoratori

I limiti ai controlli a distanza sull’attività dei lavoratori, le modalità di effettuazione del monitoraggio “lecito” e i “controlli difensivi”
I limiti del controllo “lecito” alla luce delle disposizioni dell’art. 4 Statuto Lavoratori e della più recente evoluzione giurisprudenziale
Il quadro normativo di riferimento dopo l’entrata in vigore del Regolamento UE 2016/679 (GDPR) e della normativa nazionale di adeguamento del Codice Privacy
Il concetto di “strumento di lavoro” nella norma e nella lettura del Garante Privacy
La legittimità dei “controlli difensivi” alla luce del nuovo quadro normativo e giurisprudenziale
Avv. Annalisa Reale
Chiomenti

Le implicazioni in materia di controlli e di privacy nel remote working e nello smart working
Il lavoro a distanza: telelavoro, remote working e smart working
Il potere disciplinare nell’accordo individuale
Il controllo a distanza e la tutela della privacy dei lavoratori nelle nuove forme di remote working/smart working
Le problematiche connesse agli strumenti utilizzati, alla sicurezza e alla protezione dei dati e del know how aziendale
L’uso autorizzato dei propri dispositivi da parte del dipendente (BYOD)
Gli adempimenti privacy: regolamento interno e informativa ai dipendenti
La regolamentazione del “diritto alla disconnessione”
Avv. Aldo Bottini
Toffoletto De Luca Tamajo e Soci
AGI – Avvocati Giuslavoristi Italiani

Analisi dei recenti orientamenti giurisprudenziali e delle indicazioni del Garante privacy e dell’INL e gli impatti sulla gestione del procedimento disciplinare
I recenti orientamenti giurisprudenziali
Le recenti indicazioni del Garante privacy e dell’INL
L’utilizzo degli strumenti di lavoro e le possibili implicazioni in materia disciplinare
L’esercizio del potere disciplinare: modalità e limiti
Tecniche di redazione delle lettere di contestazione
Le prove nel procedimento disciplinare e le giustificazioni
Tecniche di redazione delle lettere di licenziamento
Il licenziamento per condotte accertate attraverso gli strumenti di controllo a distanza: l’inadempimento contrattuale
Avv. Enrico Barraco
Studio Legale Barraco

I controlli sulla performance lavorativa effettuati tramite applicativi e strumenti informatici e i limiti imposti dalla disciplina dei controlli a distanza
Differenza tra controllo sulla produttività e classico controllo difensivo
I controlli sulla produttività e i limiti dell’art. 4 dello Statuto dei Lavoratori
I limiti al controllo del rendimento della prestazione e i cd controlli difensivi occulti
Il controllo sulla produttività del lavoratore in smart working
I sistemi di controllo sulle chiamate e sui volumi gestiti: la posizione del Garante
L’utilizzabilità in sede disciplinare dei dati raccolti
L’adeguata informazione
Prof. Avv. Arturo Maresca
Sapienza Università di Roma

L’implementazione e l’aggiornamento delle policy e dei regolamenti aziendali sull’utilizzo degli “strumenti di lavoro” e sui social network
La necessità della policy aziendale
Il contenuto degli accordi finalizzati a consentire un utilizzo promiscuo, personale e professionale, delle dotazioni aziendali
L’informativa ai dipendenti sul corretto utilizzo degli strumenti di lavoro
La tensione tra rapporto di lavoro e vita privata: i limiti alla disciplina dell’utilizzo dei social network da parte dei dipendenti
Il fil rouge tra l’art. 4 (divieto di controlli a distanza) e l’art. 8 dello Statuto dei Lavoratori (divieto di indagine sulle opinioni): i dati raccolti occasionalmente sui social e il loro possibile utilizzo nei confronti dei lavoratori
Schemi applicativi di policy e regolamenti aziendali
Le conseguenze in caso di violazione dell’obbligo di informativa: casistica giurisprudenziale
Avv. Alessandro Paone
LabLaw Studio Legale

La raccolta delle prove dei comportamenti illeciti dei lavoratori e gli strumenti di forensic investigation
Le attività illecite condotte dai lavoratori per mezzo di strumenti informatici
Le tecniche investigative per l’accertamento di comportamenti illeciti
Le criticità delle “ispezioni forensi” e le buone prassi per la loro corretta gestione
I limiti dell’utilizzabilità in giudizio di prove digitali erroneamente raccolte
Le modalità di cristallizzazione e acquisizione forense dei dispositivi informatici
L’analisi forense per la ricostruzione della prova informatica
La redazione e produzione in giudizio della perizia informatica forense
Dott. Paolo Dal Checco
Consulente Informatico Forense

Emergenza Sanitaria e Cybersecurity per AIGA

Giovedì 6 maggio dalle ore 16:00 alle 18:30 si terrà il seminario organizzato da AMGA – Associazione Monzese Giovani Avvocati, destinato a tutti gli Avvocati, con precedenza ai soci IGA, dal titolo “Emergenza Sanitaria e Cybersecurity – dal rapporto Clusit 2021 al GDPR”.

Convegno sulla Cybersecurity per AIGA Monza e Como

Durante il seminario, introdotto e moderato dall’Avv. Gaia Michela Sala, Consigliere AIGA Monza, interverranno l’Ing. Marco Raimondi (Product Marketing Fastweb), il Dott. Paolo Dal Checco (Consulente Informatico Forense), l’Avv. Raffaele Colombo (Vice Presidente AIGA Como) con argomenti legati alla Cybersecurity.

In particolare, il mio intervento sarà focalizzato sull’introduzione di alcune pratiche di autodifesa digitale per Avvocati e Studi Legali, basate su numerose esperienze di attacchi informatici e data breach occorse in ambito giudiziario. Spesso, infatti, durante le attività di cristallizzazione delle prove e analisi forense finalizzate alla realizzazione di una perizia informatica tramite tecniche di digital forensics emergono situazioni nelle quali una struttura anche minimale di personal security avrebbe potuto ridurre, mitigare o talvolta persino evitare problemi di accesso abusivo, perdita di dati o danneggiamento.

L’evento è stato accreditato con n. 2 crediti formativi in materia non obbligatoria dell’Associazione Italiana Giovani Avvocati (AIGA).

OSINT Day 2021

Venerdì 30 Aprile 2021, dalle ore 15:00, si terrà il primo OSINT Day italiano, conferenza interamente dedicata all’Open Source Intelligence tutta italiana, organizzata dall’Associazione di Promozione Sociale “OSINTItalia“.

OSINT Day 2021

In un mondo sempre più sommerso d’informazioni, spesso nascoste e non facili da trovare, le tecniche di OSINT e ricerca online possono firnire un fondamentale contributo in ogni ambito, dal pubblico al privato, dalle investigazioni digitali al mondo solidale.

Il primo OSINT Day italiano, organizzato dall’Associazione OSINTITALIA in collaborazione con il Corso di Perfezionamento in Criminalità informatica e investigazioni digitali dell’Università degli studi di Milano tratterà proprio di tematiche quali l’applicazione dell’OSINT alla privacy e data protection, studio di attività criminali, sicurezza aziendale, analisi societarie, supporto alla digital forensics, contrasto alla disinformazione digitale, OSINT solidale.

Speaker e programma dell’evento OSINT Day

Durante le 4 ore dell’evento OSINT Day si altereranno professionisti, volontari e rappresentanti delle istituzioni che ogni giorno operano nel campo, che ci aiuteranno a scoprire cos’è l’OSINT, come può essere utilizzato a fini sociali, iniziative internazionali aperte a volontari in tutto il mondo ed esempi pratici di attività.

ORE 15.00
SALUTI INTRODUTTIVI
con: GIOVANNI ZICCARDI / Università degli Studi di Milano

ORE 15.10
INTRODUZIONE ALL’OSINT SOLIDALE E AL PROGETTO OSINTITALIA
con: MIRKO LAPI / Presidente OSINTITALIA

ORE 15.30
IL CONCETTO DI PRIVACY NELLE ATTIVITÀ OSINT
con: GUIDO SCORZA / Componente del Garante per la protezione dei dati personali

ORE 16.00
L’OSINT NELL’AZIONE DI CONTRASTO ALLE ATTIVITÀ CRIMINALI
con: NUNZIA CIARDI / Direttore della Polizia Postale e delle Comunicazioni

ORE 16.30
APPLICAZIONI DELLE ATTIVITÀ OSINT NELLA SECURITY AZIENDALE
con: ANDREA CHITTARO / Senior Vice President Global Security & Cyber Defence Snam – Presidente AIPSA

ORE 16.50
L’OSINT PER LE ANALISI SOCIETARIE (CASO STUDIO)
con: ANTONIO ROSSI / Membro Consiglio Direttivo OSINTITALIA

ORE 17.20
IL SUPPORTO DELL’OSINT ALLE ATTIVITÀ DI DIGITAL FORENSICS
con: PAOLO DAL CHECCO / Consulente Tecnico in ambito di Perizia Informatica Forense e Indagini Digitali

ORE 17.50
L’OSINT NEL CONTRASTO ALLA DISINFORMAZIONE DIGITALE
con: ROSITA RIJTANO / Giornalista lavialibera

ORE 18.10
GAMIFICATION DELLE INVESTIGAZIONI ONLINE PER L’OSINT SOLIDALE
con: ALESSIA GIANAROLI, VALENTINA LAVORE / Rispettivamente Vice Presidente e Segretario OSINTITALIA

ORE 18.30
SOCIAL NETWORK, RISCHI E OPPORTUNITÀ DELL’OSINT
con: MATTIA VICENZI / Membro Consiglio Direttivo OSINTITALIA

ORE 19.00
SALUTI CONCLUSIVI
con: MIRKO LAPI / Presidente OSINTITALIA

La locandina dell’evento OSINT Day 2021 è scaricabile dal seguente link.

Locandina OSINT Day 2021Download

Account Instagram, Facebook e Whatsapp hackerati: nuovo servizio per Le Iene

Continua la collaborazione con Le Iene come consulente tecnico: questa sera è andata in onda la puntata de Le Iene durante la quale Nicolò De Devitiis ha presentato alcuni casi di hackeraggio di account Instagram, Facebook e Whatsapp che hanno portato alla perdita dell’account da parte dei legittimi proprietari, che spesso lo utilizzavano anche per attività lavorativa, oltre che per diletto.

Il mio piccolo contributo al servizio come consulente informatico de Le Iene sugli account Instagram, Facebook e Whatsapp hackerati è stato quello d’illustrare tecnicamente come vengono attaccati i profili e come ci si può difendere. Il problema dell’hacking di account e conseguente hijack, cioè appropriazione da parte di terzi e dirottamento, è sempre più frequente e spesso colpisce negozianti, aziende, VIP che utilizzando il Facebook Business Manager gestiscono le proprie pagine o il proprio advertising e di colpo vengono tagliati fuori dal proprio account, spesso trovandone un altro al suo posto, con conseguente perdita anche delle pagine gestite tramite Facebook Business Manager o dei profili Instagram. Lo stesso avviene anche per gli account Whatsapp, che ultimamente subiscono furti e attacchi da parte di soggetti che inviano il codice a sei cifre di accesso a utenti ignari che poi lo comunicano perdendo così il proprio profilo, che rimane a volte fino a sette giorni in uso agli attaccanti.

Paolo Dal Checco a Le Iene su Hack di Profili Instagram e Facebook

In diversi casi, a seguito del furto e hacking dei profili Facebook e Instagram sono arrivate alle vittime richieste di riscatto in bitcoin per poter riavere accesso al proprio account. Nel servizio dove ho svolto attività di consulente informatico de Le Iene Nicolò De Devitiis ha provato a contattare uno dei ricattatori che, una volta rubato un profilo Instagram, chiedeva il riscatto di 300 dollari per restituire il maltolto.

In sostanza, esistono diverse maniere di hackerare un profilo Facebook o Instagram, in genere quella più semplice è tramite riutilizzo di password, ma anche il furto di cookies che spesso avviene tramite pagine di phishing o App che simulano l’accesso con identficazione tramite Facebook ma in realtà procedono con la sottrazione dei token di autenticazione.

Le Iene - Hackerati Profili Instagram, Facebook e Whatsapp

Una delle possibili contromisure è quella d’impostare un secondo fattore di autenticazione – detto anche 2FA – che permetta agli utenti di proteggersi anche nel caso in cui la loro password venisse resa nota agli attaccanti tramite phishing, brute force oppure riutilizzo di credenziali.

Ovviamente l’autenticazione a due fattori non è la panacea ma in diversi casi un semplice messaggio SMS sul cellulare, una App di autenticazione o una chiavetta Yubikey possono proteggere dal furto dell’account Instagram, Facebook ma anche Linkedin, Twitter o di posta elettronica.

L’amico Stefano Fratepietro ha poi spiegato come sia difficile recuperare un account Instagram o Facebook rubato e hackerato, perché ci sono così tante richieste di ripristino di account hackerati che Facebook e Instagram – essendo servizi gratuiti – non riescono a stare dietro a tutti. La soluzione quindi è cercare di evitare di farsi sottrarre i profili Instagram e Facebook proteggendoli ad esempio con autenticazione a due fattori, che però essendo facoltativa e non obbligatoria spesso non viene utilizzata.

Servizio sulle truffe bancarie con Striscia La Notizia

Oggi è andato in onda il servizio di Max Laudadio per Striscia La Notizia dal titolo “Il raggiro del finto call center Banca Intesa” dove il conduttore intervista diverse vittime di una truffa ben nota al termine della quale i conti correnti vengono svuotati tramite bonifici fraudolenti immessi da criminali che hanno avuto accesso al conto bancario tramite App o web banking.

Questo tipo di truffe è ormai nota alle Forze dell’Ordine ma purtroppo ancora sconosciuta a molti correntisti che, fidandosi delle telefonate o degli SMS apparentemente provenienti dai numeri della banca, comunicano credenziali o accettano d’installare software non verificato sul proprio smartphone, con il risultato che i delinquenti hanno la possibilità, a un certo punto, di disporre bonifici o persino fare ricariche di carte di credito o prelievi di contanti al bancomat.

Paolo Dal Checco a Striscia La Notizia

Durante il servizio per Striscia La Notizia ho dato il mio piccolo contributo con alcune considerazioni tecniche sulle modalità con le quali i truffatori riescono a telefonare alle vittime o inviare SMS fingendosi la loro banca, facendo comparire come mittente il numero di telefono o il nome esatto dell’istituto bancario e traendo così in inganno i correntisti.

Esistono infatti diverse App e servizi online – così come conferma anche Banca Intesa San Paolo in un comunicato ufficiale a Striscia La Notizia – che permettono di fare telefonate o inviare messaggi di testo SMS mascherando il mittente con numeri di telefono o nomi a scelta, agevolando così purtroppo le truffe definite “vishing” (voice phishing) e “smishing” (SMS phishing) basate proprio sul mascheramento del numero o dell’identità del chiamante.

Spiegazione fornita da Intesa San Paolo a Striscia La Notizia delle truffe tramite telefonate o sms fraudolenti.

La truffa delle telefonate e degli SMS provenienti da finti call center colpisce non soltanto Banca Intesa San Paolo e i suoi correntisti, ma anche clienti di altre banche, proprio perché purtroppo chi riceve una telefonata non ha modo di verificare se il numero del chiamante è autentico oppure mascherato tramite uno dei servizi di caller id spoofing.

Per questo motivo, i consigli che vengono proposti da Banca Intesa San Paolo e riportati a Striscia La Notizia sono da seguire alla lettera:

  1. mai fornire codici ricevuti via SMS o telefonata a presunti operatori che chiamano o inviano SMS, con la minaccia di “chiudere il conto” in caso di mancata comunicazione;
  2. mai fornire credenziali del proprio profilo online via telefono o messaggio;
  3. mai inserire nome utente e password in siti ove si è arrivati cliccando su link ricevuti via email, sms o indicati tramite call center;
  4. mai installare App su richiesta di operatori della banca, soprattutto App non presenti all’interno dello store ufficiale.
Consigli di Intesa San Paolo per evitare le truffe

A questi consigli forniti da Banca Intesa San Paolo per rendere consapevoli i propri clienti dei rischi delle telefonate e degli SMS fraudolenti, possiamo aggiungere anche l’indicazione di non cliccare mai su link ricevuti via email o telefono, di chiamare sempre la banca digitando il numero ufficiale (non richiamando il numero da cui si è ricevuta una chiamata o un messaggio di testo), di non fidarsi di chi contatta insistendo sulla comunicazione di dati, codici, cifre, nominativi o altro che possa permettere ai delinquenti di accedere al proprio conto bancario e disporre bonifici, fare versamenti tramite carte di credito o prelevare contanti al posto.nostro.