Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.
Domenica è andato in onda il servizio dove la iena Nicolò De Devitiis ha presentato un servizio al quale ho dato il mio modesto contributo come esperto di sicurezza e informatica forense per illustrare la problematica dei furti di password che tutti abbiamo prima o poi subito e dei rischi che corriamo, dando alcuni suggerimenti su come difendersi e tutelare la nostra sicurezza online.
Il servizio per Le Iene sulla sicurezza online delle nostre password, con Nicolò De Devitiis, è andato in onda in prima serata su Mediaset e ha avuto un ottimo riscontro da parte del pubblico che ha seguito i suggerimenti mostrati nel video per verificare se il proprio account o la propria password sono stati compromessi e distribuiti in uno dei vari data breach occorsi ai servizi dove ci siamo registrati in passato.
In particolare, nel servizio de Le Iene presentato da Nicolò De Devitiis su Mediaset ha avuto successo il sito Have I Been Pwned che, permettendo a chiunque di verificare le proprie password e i propri account, ha ricevuto durante la serata una così grande quantità di accessi da allarmare l’ideatore del servizio, il ricercatore Troy Hunt, che su Twitter ha segnalato l’anomalia ipotizzando inizialmente un attacco informatico e rilevando poi che invece si trattava di decine di migliaia di accessi provenienti dall’Italia.
Ad accompagnare il servizio de Le Iene sulle password e i data leak, segnalo l’ottimo intervento del Vice Questore Aggiunto della Polizia Postale, Rocco Nardulli, che ha fornito suggerimenti preziosi e indicazioni sulle tipologie di reato che commette chi scarica e diffonde credenziali rubate.
Interessante approfondimento della iena Nicolò De Devitiis e del Vice Questore Aggiunto Rocco Nardulli quello sulle truffe dei bonifici deviati su falsi IBAN, chiamate anche “Man in The Mail”, a causa delle quali aziende e persino squadre di calcio hanno perso milioni di euro a causa di bonifici emessi verso conti dei criminali invece che verso i conti dei reali destinatari, a causa di attacchi alla posta elettronica o attività di social engineering.
Sono iniziate le prime sessioni del corso pratico sulla redazione del modello ex d.Lg.s. n. 231/2001 organizzato da Altalex, durante il quale sarò docente insieme all’Avv. Francesco Meloni e all’Ing. Mario Pizzagalli. Il corso, destinato ad avvocati, manager, impiegati e funzionari di aziende private ed Enti pubblici, Consulenti Tecnici, giuristi d’impresa e laureati in discipline giuridiche sarà organizzato in tre moduli.
Durante il primo modulo sarà fatta un’analisi della disciplina della responsabilità degli Enti attraverso un approccio pratico – casistico, incentrato sull’approfondimento della recente giurisprudenza e sulla disamina delle principali novità legislative.
Il secondo modulo mira a far acquisire le competenze necessarie per la predisposizione del Modello Organizzativo e dei Protocolli di prevenzione, a partire dalle attività di risk analysis e di gap analysis, sino agli adempimenti preordinati alla costituzione, all’insediamento ealla gestione dell’Organismo di Vigilanza.
In occasione del terzo incontro saranno esaminati gli aspetti tecnici relativi al cyber risk, alle procedure e alla prevenzione dei reati informatici nell’ambito dei Modelli 231 e della compliance aziendale, con sezione dedicata alla casistica pratica e processuale.
Il programma del corsosulla redazione del modello organizzativo 231 per Altalex è il seguente:
Principi generali in materia di responsabilità dell’Ente
• Il concetto di “colpa di organizzazione” quale requisito integrativo della responsabilità dell’Ente.
• Autonomia e indipendenza della responsabilità dell’Ente.
• La ratio dell’impianto cautelare e sanzionatorio previsto dal D.Lgs. n. 231/2001.
• Ambito soggettivo di applicazione del D.Lgs. n. 231/2001.
• La fisionomia della responsabilità dell’Ente nell’ambito dei gruppi societari. Il ruolo della holding.
• L’applicabilità del D.Lgs. n. 231/2001 agli Enti stranieri: dalla pronuncia Siemens AG alla sentenza di primo grado relativa alla strage di Viareggio.
I INCONTRO: Disciplina e Focus casistico – giurisprudenziale
L’analisi dell’apparato sanzionatorio previsto dal D.Lgs. n. 231/2001: in particolare, le misure cautelari e le sanzioni pecuniari e accessorie • Il catalogo delle sanzioni interdittive. • La sanzione pecuniaria. Il principio di proporzionalità e i criteri di commisurazione: le quote. • Il Commissario Giudiziale, la confisca e la pubblicazione della sentenza di condanna.
Analisi degli elementi costitutivi della responsabilità dell’Ente • La realizzazione dei reati-presupposto ricompresi nel catalogo del Decreto. Focus giurisprudenziale sulle principali categorie di reati-presupposto. • La riconducibilità del reato-presupposto a soggetti apicali o da essi dipendenti. • La commissione del reato-presupposto nell’interesse o a vantaggio dell’Ente. L’interesse e il vantaggio nell’ambito dei reati colposi: focus giurisprudenziale in tema di reati previsti dall’art. 25 septies, D.Lgs. n. 231/2001. • Le cause di esclusione della responsabilità dell’Ente e i criteri di riparto dell’onere della prova.
II INCONTRO: Modulo Operativo
La predisposizione del Modello Organizzativo: il Modello quale strumento di tutela processuale • Focus pratico-operativo: analisi della struttura e tecniche di redazione del Modello Organizzativo. • Le fasi della redazione del Modello. Risk analysis (individuazione e mappatura dei processi sensibili e delle aree di rischio), gap analysis (predisposizione e implementazione delle procedure aziendali), Codice Etico e sistema disciplinare. • Struttura del Modello Organizzativo: i rapporti tra parte generale, protocolli di prevenzione, procedure operative e sistemi di gestione.
L’Organismo di Vigilanza: composizione, poteri e attribuzioni • Composizione dell’Organismo di Vigilanza: tra esigenze di indipendenza e autonomia e competenze tecnico-specialistiche. • La sentenza relativa al caso Thyssenkrupp: principi giurisprudenziali in tema di composizione dell’OdV. • Le attribuzioni dell’Organismo di Vigilanza. In particolare, le attività di verifica periodica in merito all’idoneità e all’efficace attuazione del Modello. L’aggiornamento del Modello in relazione alle novità legislative o in conseguenza di mutamenti rilevanti negli assetti organizzativi o nelle attività dell’Ente. • Il sistema di flussi informativi e la ricezione di segnalazioni relative alle violazioni del Modello o del Codice Etico. • I destinatari dell’attività informativa e delle relazioni dell’Organismo di Vigilanza. In particolare, report e segnalazioni all’organo amministrativo. • Focus pratico-operativo: Tecniche di redazione e struttura dei verbali di riunione e delle relazioni periodiche dell’Organismo di Vigilanza. • Focus giurisprudenziale: la responsabilità dei membri dell’Organismo di Vigilanza. Spunti di riflessione a margine della pronuncia Fincantieri Cantieri Navali S.p.A. (Cass. Pen., Sez. I, 2 maggio 2016, n. 18168). • Whistleblowing (art. 6 comma 2 bis, D.Lgs. n. 231/2001) ed esigenze di revisione del sistema di flussi informativi. Tutela della riservatezza del segnalante e adozione di misure antidiscriminatorie.
Interazione e integrazione tra i Sistemi di gestione certificati e il Modello Organizzativo • Focus giurisprudenziale: Rete Ferroviaria S.p.A. (Trib. Catania, 14 aprile 2017, n. 2133). La valorizzazione del Sistema di gestione della sicurezza nel Modello Organizzativo. • L’integrazione del Sistema di gestione ambientale nel Modello Organizzativo e il ruolo dell’Organismo di Vigilanza.
Cenni processuali • Il procedimento di accertamento della responsabilità dell’Ente: la valutazione dell’idoneità del Modello Organizzativo in sede processuale e la fase di applicazione delle sanzioni amministrative.
III INCONTRO: Modulo tecnico e operativo
Principi generali in tema di sicurezza informatica • Introduzione alla Sicurezza Informatica. • Princìpi, metodologie e strumenti. • Business Continuity e Disaster Recovery. • Mappatura dei rischi informatici. • La gestione del rischio informatico in caso di affidamento in outsourcing del servizio di IT.
I reati informatici nell’ambito del D.Lgs. n. 231/2001 • La Convenzione di Budapest del 2001. • La Legge n. 48 del 2008. • L’art. 24 bis, D.Lgs. n. 231/2001: Delitti informatici e trattamento illecito di dati. • Casistica processuale ed esempi di reati informatici commessi nell’interesse o a vantaggio dell’Ente.
La prevenzione dei reati informatici • Penetration Test e Vulnerability Assessment. • Sistemi di end-point protection. • IDS, IPS, AD, firewall. • Formazione e consapevolezza del dipendente.
La prevenzione nel rispetto dei diritti del lavoratore • La Policy di utilizzo dei sistemi informativi: princìpi, esempi e importanza ai fini della genuinità nell’acquisizione della prova. • Limitazioni mediante misure tecniche e disciplinari. • Il rispetto della privacy: posta elettronica e Internet. • Postazioni di lavoro e monitoraggio in ottica di sicurezza.
Le verifiche in ottica D.Lgs. n. 231/2001 • Metodologie e strumenti di verifica dell’aderenza del Modello Organizzativo con la realtà aziendale. • File di log, monitoraggio, backup. • Condotta, ipotesi di reato, previsione e controllo. • Best Practices.
L’informatica forense e la gestione degli incidenti informatici • Introduzione alla DFIR – Digital Forensics & Incident Response. • Metodologie e strumenti. • Acquisizione delle evidenze digitali a fini probatori. • Focus pratico: Redazione di una perizia informatica.
Date e orari del corso sul Modello Organizzativo Dlgs 231
Le date dei moduli del corso sulla redazione del MOG Dlgs 231 per Altalex sono le seguenti:
I INCONTRO:
Milano, venerdì 8 febbraio 2019 (9.30-17.30) Roma, venerdì 22 marzo 2019 (9.30-17.30) Catania, venerdì 5 aprile 2019 (9.30-17.30) Rimini, venerdì 17 maggio 2019 (9.30-17.30) Reggio Emilia, venerdì 7 giugno 2019 (9.30-17.30) Ancona, venerdì 5 luglio 2019 (9.30-17.30)
II INCONTRO: Modulo Operativo
Milano, sabato 9 febbraio 2019 (9.30-17.30) Roma, sabato 23 marzo 2019 (9.30-17.30) Catania, sabato 6 aprile 2019 (9.30-17.30) Rimini, sabato 18 maggio 2019 (9.30-17.30) Reggio Emilia, sabato 8 giugno 2019 (9.30-17.30) Ancona, sabato 6 luglio 2019 (9.30-17.30)
III INCONTRO: MODULO TECNICO E OPERATIVO
Milano, venerdì 15 febbraio 2019 (9.30-17.30) Roma, venerdì 29 marzo 2019 (9.30-17.30) Catania, venerdì 12 aprile 2019 (9.30-17.30) Rimini, venerdì 24 maggio 2019 (9.30-17.30) Reggio Emilia, venerdì 14 giugno 2019 (9.30-17.30) Ancona, venerdì 12 luglio 2019 (9.30-17.30)
Si terrà a Torino mercoledì 6 Febbraio dalle ore 18.00 alle ore 19:30, presso il Dipartimento di Informatica dell’Università degli Studi di Torino, il secondo incontro UTBI gratuito sul tema blockchain e criptomonete, dal titolo “Blockchain Security & Forensics”.
Il mio intervento come relatore ospite dell’incontro sulla blockchain accompagnerà i talk di Federico Corradino, cybersecurity Analyst presso Accenture, appassionato di tecnologie e di come esse possono cambiare il mondo, interessato alla Blockchain dal 2013 e Francesco Polacchi, co-Founder di 319 Consulting, società di consulenza Blockchain con sede a Torino, da sempre appassionato di Computer Science, AI, e nuove tecnologie.
Durante il seminario sulla blockchain si parlerà di problemi di sicurezza delle criptomonete e dei wallet, dei rischi che si corrono nel conservare e utilizzare le cryptocurrencies e degli aspetti investigativi delle indagini sulla blockchain, in particolare relativamente alla bitcoin forensics e intelligence. Gli aspetti del rischio dell’utilizzo del bitcoin vanno dai furti di criptomonete alle truffe, alle problematiche relative al sequestro di bitcoin e criptovalute, alle truffe, riciclaggio, estorsione, e tante altre questioni che sempre più spesso tendono ad acquisire importanza in ambito giuridico e investigativo. Dal punto di vista del consulente informatico forense, infatti, è sempre più alto il livello d’interesse per le attività di perizia informatica in ambito blockchain, bitcoin e criptomonete, per il fatto che diversi processi civili e penali contemplano già attività illecite svolte tramite monete matematiche o attività lecite dove però, all’interno, le cryptomonete rivestono un ruolo di rilevanza.
Per partecipare all’incontro, ci si può registrare onlinesulla pagina Facebook dell’evento oppure sulla pagina EventBrite, le aule del Dipartimento d’Informatica in via Pessinetto 12 a Torino sono piuttosto capienti e non ci dovrebbero essere problemi di esaurimento posti, si consiglia in ogni caso chi fosse interessato all’evento sulla sicurezza della blockchai ndi registrarsi al più presto.
UTBI – University of Turin Blockchain Initiative – è una iniziativa universitaria dedicata alla ricerca, studio e divulgazione delle tecnologie relative al mondo blockchain, attiva in ambito di formazione grazie a seminari destinati a diversi livelli di pubblico, con contenuti da introduttivi ad altamente tecnici. Le iniziative del gruppo UTBI sono consultabili sulla pagina ufficiale UTBI, grazie alla quale si può rimanere aggiornati su eventi e notizie relative al mondo delle criptomonete, smart contract, bitcoin, ethereum e quanto vi gravita intorno.
Continua la collaborazione dello Studio alla come docente a contratto per la Scuola di Perfezionamento per le Forze di Polizia nell’ambito delle attività formative per la Scuola Internazionale di Alta Formazione per la Prevenzione e il Contrasto al Crimine Organizzato di Caserta.
Ho avuto il piacere anche quest’anno di tenere la lezione su “OSINT e investigazioni nel deep e dark web” e Dark Web all’interno del modulo su “Cyber Crimes and Digital Investigation”, dove ho potuto apprezzare – oltre all’organizzazione precisa e minuziosa che contraddistingue la Scuola – la presenza personale interforze di numerosi paesi, interessati all’argomento e piuttosto preparati.
Il contesto in cui si svolgono i corsi – la Caserma “Mignona” – è spettacolare e al suo interno vengono organizzati con cura ed erogati ogni mese numerosi corsi per supportare le Forze di Polizia di tutto il mondo nel contrasto alla criminalità, al terrorismo, alla corruzione e al traffico di migranti.
Il corso OSINT – che le Forze dell’Ordine richiedono sempre più spesso – tratta argomenti di analisi delle fonti aperte, tramite metodologie e strumenti ormai considerati standard come Maltego, anche in ambiti nei quali OSINT sta ultimamente rivestendo un ruolo strategico come la Bitcoin Intelligence e la Social Media Intelligence (SOCMINT).
