Domenica è andato in onda il servizio dove la iena Nicolò De Devitiis ha presentato un servizio al quale ho dato il mio modesto contributo come esperto di sicurezza e informatica forense per illustrare la problematica dei furti di password che tutti abbiamo prima o poi subito e dei rischi che corriamo, dando alcuni suggerimenti su come difendersi e tutelare la nostra sicurezza online.
Il servizio per Le Iene sulla sicurezza online delle nostre password, con Nicolò De Devitiis, è andato in onda in prima serata su Mediaset e ha avuto un ottimo riscontro da parte del pubblico che ha seguito i suggerimenti mostrati nel video per verificare se il proprio account o la propria password sono stati compromessi e distribuiti in uno dei vari data breach occorsi ai servizi dove ci siamo registrati in passato.
In particolare, nel servizio de Le Iene presentato da Nicolò De Devitiis su Mediaset ha avuto successo il sito Have I Been Pwned che, permettendo a chiunque di verificare le proprie password e i propri account, ha ricevuto durante la serata una così grande quantità di accessi da allarmare l’ideatore del servizio, il ricercatore Troy Hunt, che su Twitter ha segnalato l’anomalia ipotizzando inizialmente un attacco informatico e rilevando poi che invece si trattava di decine di migliaia di accessi provenienti dall’Italia.
Ad accompagnare il servizio de Le Iene sulle password e i data leak, segnalo l’ottimo intervento del Vice Questore Aggiunto della Polizia Postale, Rocco Nardulli, che ha fornito suggerimenti preziosi e indicazioni sulle tipologie di reato che commette chi scarica e diffonde credenziali rubate.
Interessante approfondimento della iena Nicolò De Devitiis e del Vice Questore Aggiunto Rocco Nardulli quello sulle truffe dei bonifici deviati su falsi IBAN, chiamate anche “Man in The Mail”, a causa delle quali aziende e persino squadre di calcio hanno perso milioni di euro a causa di bonifici emessi verso conti dei criminali invece che verso i conti dei reali destinatari, a causa di attacchi alla posta elettronica o attività di social engineering.
Sono iniziate le prime sessioni del corso pratico sulla redazione del modello ex d.Lg.s. n. 231/2001 organizzato da Altalex, durante il quale sarò docente insieme all’Avv. Francesco Meloni e all’Ing. Mario Pizzagalli. Il corso, destinato ad avvocati, manager, impiegati e funzionari di aziende private ed Enti pubblici, Consulenti Tecnici, giuristi d’impresa e laureati in discipline giuridiche sarà organizzato in tre moduli.
Durante il primo modulo sarà fatta un’analisi della disciplina della responsabilità degli Enti attraverso un approccio pratico – casistico, incentrato sull’approfondimento della recente giurisprudenza e sulla disamina delle principali novità legislative.
Il secondo modulo mira a far acquisire le competenze necessarie per la predisposizione del Modello Organizzativo e dei Protocolli di prevenzione, a partire dalle attività di risk analysis e di gap analysis, sino agli adempimenti preordinati alla costituzione, all’insediamento ealla gestione dell’Organismo di Vigilanza.
In occasione del terzo incontro saranno esaminati gli aspetti tecnici relativi al cyber risk, alle procedure e alla prevenzione dei reati informatici nell’ambito dei Modelli 231 e della compliance aziendale, con sezione dedicata alla casistica pratica e processuale.
Il programma del corsosulla redazione del modello organizzativo 231 per Altalex è il seguente:
Principi generali in materia di responsabilità dell’Ente
• Il concetto di “colpa di organizzazione” quale requisito integrativo della responsabilità dell’Ente.
• Autonomia e indipendenza della responsabilità dell’Ente.
• La ratio dell’impianto cautelare e sanzionatorio previsto dal D.Lgs. n. 231/2001.
• Ambito soggettivo di applicazione del D.Lgs. n. 231/2001.
• La fisionomia della responsabilità dell’Ente nell’ambito dei gruppi societari. Il ruolo della holding.
• L’applicabilità del D.Lgs. n. 231/2001 agli Enti stranieri: dalla pronuncia Siemens AG alla sentenza di primo grado relativa alla strage di Viareggio.
I INCONTRO: Disciplina e Focus casistico – giurisprudenziale
L’analisi dell’apparato sanzionatorio previsto dal D.Lgs. n. 231/2001: in particolare, le misure cautelari e le sanzioni pecuniari e accessorie • Il catalogo delle sanzioni interdittive. • La sanzione pecuniaria. Il principio di proporzionalità e i criteri di commisurazione: le quote. • Il Commissario Giudiziale, la confisca e la pubblicazione della sentenza di condanna.
Analisi degli elementi costitutivi della responsabilità dell’Ente • La realizzazione dei reati-presupposto ricompresi nel catalogo del Decreto. Focus giurisprudenziale sulle principali categorie di reati-presupposto. • La riconducibilità del reato-presupposto a soggetti apicali o da essi dipendenti. • La commissione del reato-presupposto nell’interesse o a vantaggio dell’Ente. L’interesse e il vantaggio nell’ambito dei reati colposi: focus giurisprudenziale in tema di reati previsti dall’art. 25 septies, D.Lgs. n. 231/2001. • Le cause di esclusione della responsabilità dell’Ente e i criteri di riparto dell’onere della prova.
II INCONTRO: Modulo Operativo
La predisposizione del Modello Organizzativo: il Modello quale strumento di tutela processuale • Focus pratico-operativo: analisi della struttura e tecniche di redazione del Modello Organizzativo. • Le fasi della redazione del Modello. Risk analysis (individuazione e mappatura dei processi sensibili e delle aree di rischio), gap analysis (predisposizione e implementazione delle procedure aziendali), Codice Etico e sistema disciplinare. • Struttura del Modello Organizzativo: i rapporti tra parte generale, protocolli di prevenzione, procedure operative e sistemi di gestione.
L’Organismo di Vigilanza: composizione, poteri e attribuzioni • Composizione dell’Organismo di Vigilanza: tra esigenze di indipendenza e autonomia e competenze tecnico-specialistiche. • La sentenza relativa al caso Thyssenkrupp: principi giurisprudenziali in tema di composizione dell’OdV. • Le attribuzioni dell’Organismo di Vigilanza. In particolare, le attività di verifica periodica in merito all’idoneità e all’efficace attuazione del Modello. L’aggiornamento del Modello in relazione alle novità legislative o in conseguenza di mutamenti rilevanti negli assetti organizzativi o nelle attività dell’Ente. • Il sistema di flussi informativi e la ricezione di segnalazioni relative alle violazioni del Modello o del Codice Etico. • I destinatari dell’attività informativa e delle relazioni dell’Organismo di Vigilanza. In particolare, report e segnalazioni all’organo amministrativo. • Focus pratico-operativo: Tecniche di redazione e struttura dei verbali di riunione e delle relazioni periodiche dell’Organismo di Vigilanza. • Focus giurisprudenziale: la responsabilità dei membri dell’Organismo di Vigilanza. Spunti di riflessione a margine della pronuncia Fincantieri Cantieri Navali S.p.A. (Cass. Pen., Sez. I, 2 maggio 2016, n. 18168). • Whistleblowing (art. 6 comma 2 bis, D.Lgs. n. 231/2001) ed esigenze di revisione del sistema di flussi informativi. Tutela della riservatezza del segnalante e adozione di misure antidiscriminatorie.
Interazione e integrazione tra i Sistemi di gestione certificati e il Modello Organizzativo • Focus giurisprudenziale: Rete Ferroviaria S.p.A. (Trib. Catania, 14 aprile 2017, n. 2133). La valorizzazione del Sistema di gestione della sicurezza nel Modello Organizzativo. • L’integrazione del Sistema di gestione ambientale nel Modello Organizzativo e il ruolo dell’Organismo di Vigilanza.
Cenni processuali • Il procedimento di accertamento della responsabilità dell’Ente: la valutazione dell’idoneità del Modello Organizzativo in sede processuale e la fase di applicazione delle sanzioni amministrative.
III INCONTRO: Modulo tecnico e operativo
Principi generali in tema di sicurezza informatica • Introduzione alla Sicurezza Informatica. • Princìpi, metodologie e strumenti. • Business Continuity e Disaster Recovery. • Mappatura dei rischi informatici. • La gestione del rischio informatico in caso di affidamento in outsourcing del servizio di IT.
I reati informatici nell’ambito del D.Lgs. n. 231/2001 • La Convenzione di Budapest del 2001. • La Legge n. 48 del 2008. • L’art. 24 bis, D.Lgs. n. 231/2001: Delitti informatici e trattamento illecito di dati. • Casistica processuale ed esempi di reati informatici commessi nell’interesse o a vantaggio dell’Ente.
La prevenzione dei reati informatici • Penetration Test e Vulnerability Assessment. • Sistemi di end-point protection. • IDS, IPS, AD, firewall. • Formazione e consapevolezza del dipendente.
La prevenzione nel rispetto dei diritti del lavoratore • La Policy di utilizzo dei sistemi informativi: princìpi, esempi e importanza ai fini della genuinità nell’acquisizione della prova. • Limitazioni mediante misure tecniche e disciplinari. • Il rispetto della privacy: posta elettronica e Internet. • Postazioni di lavoro e monitoraggio in ottica di sicurezza.
Le verifiche in ottica D.Lgs. n. 231/2001 • Metodologie e strumenti di verifica dell’aderenza del Modello Organizzativo con la realtà aziendale. • File di log, monitoraggio, backup. • Condotta, ipotesi di reato, previsione e controllo. • Best Practices.
L’informatica forense e la gestione degli incidenti informatici • Introduzione alla DFIR – Digital Forensics & Incident Response. • Metodologie e strumenti. • Acquisizione delle evidenze digitali a fini probatori. • Focus pratico: Redazione di una perizia informatica.
Date e orari del corso sul Modello Organizzativo Dlgs 231
Le date dei moduli del corso sulla redazione del MOG Dlgs 231 per Altalex sono le seguenti:
I INCONTRO:
Milano, venerdì 8 febbraio 2019 (9.30-17.30) Roma, venerdì 22 marzo 2019 (9.30-17.30) Catania, venerdì 5 aprile 2019 (9.30-17.30) Rimini, venerdì 17 maggio 2019 (9.30-17.30) Reggio Emilia, venerdì 7 giugno 2019 (9.30-17.30) Ancona, venerdì 5 luglio 2019 (9.30-17.30)
II INCONTRO: Modulo Operativo
Milano, sabato 9 febbraio 2019 (9.30-17.30) Roma, sabato 23 marzo 2019 (9.30-17.30) Catania, sabato 6 aprile 2019 (9.30-17.30) Rimini, sabato 18 maggio 2019 (9.30-17.30) Reggio Emilia, sabato 8 giugno 2019 (9.30-17.30) Ancona, sabato 6 luglio 2019 (9.30-17.30)
III INCONTRO: MODULO TECNICO E OPERATIVO
Milano, venerdì 15 febbraio 2019 (9.30-17.30) Roma, venerdì 29 marzo 2019 (9.30-17.30) Catania, venerdì 12 aprile 2019 (9.30-17.30) Rimini, venerdì 24 maggio 2019 (9.30-17.30) Reggio Emilia, venerdì 14 giugno 2019 (9.30-17.30) Ancona, venerdì 12 luglio 2019 (9.30-17.30)
Si terrà a Torino mercoledì 6 Febbraio dalle ore 18.00 alle ore 19:30, presso il Dipartimento di Informatica dell’Università degli Studi di Torino, il secondo incontro UTBI gratuito sul tema blockchain e criptomonete, dal titolo “Blockchain Security & Forensics”.
Il mio intervento come relatore ospite dell’incontro sulla blockchain accompagnerà i talk di Federico Corradino, cybersecurity Analyst presso Accenture, appassionato di tecnologie e di come esse possono cambiare il mondo, interessato alla Blockchain dal 2013 e Francesco Polacchi, co-Founder di 319 Consulting, società di consulenza Blockchain con sede a Torino, da sempre appassionato di Computer Science, AI, e nuove tecnologie.
Durante il seminario sulla blockchain si parlerà di problemi di sicurezza delle criptomonete e dei wallet, dei rischi che si corrono nel conservare e utilizzare le cryptocurrencies e degli aspetti investigativi delle indagini sulla blockchain, in particolare relativamente alla bitcoin forensics e intelligence. Gli aspetti del rischio dell’utilizzo del bitcoin vanno dai furti di criptomonete alle truffe, alle problematiche relative al sequestro di bitcoin e criptovalute, alle truffe, riciclaggio, estorsione, e tante altre questioni che sempre più spesso tendono ad acquisire importanza in ambito giuridico e investigativo. Dal punto di vista del consulente informatico forense, infatti, è sempre più alto il livello d’interesse per le attività di perizia informatica in ambito blockchain, bitcoin e criptomonete, per il fatto che diversi processi civili e penali contemplano già attività illecite svolte tramite monete matematiche o attività lecite dove però, all’interno, le cryptomonete rivestono un ruolo di rilevanza.
Per partecipare all’incontro, ci si può registrare onlinesulla pagina Facebook dell’evento oppure sulla pagina EventBrite, le aule del Dipartimento d’Informatica in via Pessinetto 12 a Torino sono piuttosto capienti e non ci dovrebbero essere problemi di esaurimento posti, si consiglia in ogni caso chi fosse interessato all’evento sulla sicurezza della blockchai ndi registrarsi al più presto.
UTBI – University of Turin Blockchain Initiative – è una iniziativa universitaria dedicata alla ricerca, studio e divulgazione delle tecnologie relative al mondo blockchain, attiva in ambito di formazione grazie a seminari destinati a diversi livelli di pubblico, con contenuti da introduttivi ad altamente tecnici. Le iniziative del gruppo UTBI sono consultabili sulla pagina ufficiale UTBI, grazie alla quale si può rimanere aggiornati su eventi e notizie relative al mondo delle criptomonete, smart contract, bitcoin, ethereum e quanto vi gravita intorno.
Venerdì 14 dicembre si è tenuto a Rovereto il convegno di fine anno per Avvocati su informatica e diritto, fatturazione elettronica e informatica forense, organizzato dagli Ordini del Distretto di Bolzano, Rovereto e Trento, con il patrocinio del Triveneto, per fare il punto della normativa in materia fornendo spunti utili per una miglior gestione dello studio professionale e dei documenti informatici.
L’evento è stato egregiamente moderato dall’Avv. Valentina Carollo, Consigliere e Referente per l’Informatica presso l’Ordine Avvocati di Rovereto, che ha aperto il convegno dando la parola per i saluti istituzionali degli avvocati Mauro Bondi, Patrizia Corona, Andrea De Bertolini dell’Ordine degli Avvocati di Trento e Elohim Rudolph Ramirez.
L’Avv. Maurizio Reale ha quindi parlato del ruolo dell’informatica in ambito del diritto mostrando come il gli Avvocati debbano ormai confrontarsi con termini come informatica forense, deposito telematico, documento informatico, hash, firma elettronica, XML, CADES, PADES, P7M necessari per poter gestire fascicoli per i clienti. Ulteriore considerazione strategica che l’Avv. Maurizio Reale ha esposto è quella della digital reputation, la tutela della reputazione digitale cui anche i legali devono dare il giusto peso, in particolare quando pubblicano informazioni in aree pubbliche sul web o sui social network come Facebook.
Per l’intervento successivo ho dato il mio piccolo contributo parlando di digital forensics, la disciplina che in Italia viene conosciuta come informatica forense e che comprende lo studio delle modalità e strumenti di acquisizione della prova informatica, con successiva analisi forense e produzione di perizia informatica finalizzata a un utilizzo in Tribunale in ambito civile, penale o stragiudiziale. In particolare, ho focalizzato l’attenzione sulla fase di raccolta e preservazione delle evidenze digitali, durante la quale l’Avvocato ha un ruolo strategico poiché è il primo che spesso interagisce con il cliente che intende fare valere un suo diritto, utilizzando come prova quanto contenuto sul suo smartphone come chat Whatsapp o Facebook, registrazioni audio, SMSo ancora pagine web o siti Internet da cristallizzare come prova in maniera forense ma anche email o PEC da produrre in giudizio come dimostrazione di un credito, diffamazione, stalking o minaccia. Ho quindi illustrato in breve come acquisire le prove da Internet, dagli smartphone o dai PC, hard disk o pendrive, da chat Whatsapp con l’ausilio di strumentazione o software a uso forense. Per concludere, ho accennato come le tecniche di OSINT, che in genere illustro in dettaglio durante il mio corso OSINT, permettono di verificare la digital reputation del professionista facendo emergere dati pubblici che spesso si ritengono invece protetti dalle impostazioni sulla privacy dei profili sui social network come ad esempio Facebook.
L’avv. Valentina Carollo ha quindi riassunto in modo efficace come i nuovi adempimenti relativi alla fattura elettronica coinvolgono gli avvocati così come le altre aziende e professionisti soggetti al passaggio dal cartaceo all’XML, rispondendo ad alcune domande che in genere vengono poste sull’argomento.
Per l’ultimo intervento, Giuseppe Ceccarelli di Lextel ha mostrato il software di fatturazione elettronica Lextel dedicato a professionisti e aziende che intendono avvalersi di un servizio centralizzato per la creazione di fatture elettroniche, conversione in XML, invio allo SDI e conservazione telematica.
La locandina dell’evento organizzato dagli Ordini del Distretto di Rovereto, Trento e Bolzano tenuto a Rovereto, su informatica e diritto, informatica forense e fatturazione elettronica B2B è scaricabile da questo link
“Acquisizione e Produzione in Giudizio della Prova Digitale” sarà il titolo dell’intervento che terrò giovedì 29 novembre 2018, durante il convegno su “Tools, Applicativi e Piattaforme che semplificano la Professione“, organizzato dalla Commissione Informatica del C.O.A. di Verona che ringrazio per il cortese invito.
Il mio talk di Verona verterà specificatamente sull’importanza della fase di acquisizione forense delle prove digitali alla luce di una produzione delle stesse in Giudizio, nell’ambito di processi penali o civili ma anche in caso di utilizzo stragiudiziale delle prove informatiche. Molto spesso gli Studi Legali sono i primi a entrare in contatto con evidenze elettroniche di ogni tipo, che richiedono un’attenta fase di copia conforme precedente a quella di visione o analisi. La perizia informatica a uso legale, svolta ad esempio da consulenti tecnici di parte, implica una rigida metodologia di acquisizione delle prove per poterle poi produrre in Giudizio, metodologia che deve essere ben nota anche dai legali che in genere entrano in contatto per primi con il cliente, sia esso parte offesa o richieda un consulente della difesa come indagato o imputato.
La presentazione illustrerà le tecniche base d’informatica forense applicate alla raccolta di prove da supporti come pendrive, hard disk, dvd, cloud, internet, social network, siti web, smartphone, cellulare, email, PEC. Veranno indicate con metodo le fasi della perizia informatica che il consulente informatico forense esegue ad esempio tramite una copia conforme a uso legale di chat Whatsapp, pagine o profili Facebook (ad esempio per acquisire le prove una diffamazione via Facebook), siti Internet, registrazioni ambientali o telefoniche, SMS, fotografie, video, etc…
Il seminario, che si terrà presso l’Auditorium Banco BPM in Via della Nazioni, 4, Verona, durerà dalle 14:30 alle 17:30 e avrà il seguente programma:
Avv. Nicol aManzini – Delegato per l’informatica del C.O.A. Verona
Avv. Franco Zumerle – Coordinatore Comm. Informatica c/o C.O.A. Verona
Dr. Paolo Dal Checco – Consulente Informatico Forense
Prova Digitale: Acquisizione E Produzione In Giudizio
Avv. Claudio De Stasio – Avvocato in Grosseto
Dirittopratico.It: Utilità Pronte All’uso Per Il Professionista
Dr. Stefano Baldoni – Consulente IT in ambito legale
Slpct: L’alternativa Open Source Per Il Processo Telematico
Avv. Gianni Casale – Avvocato in Modena
Anthea: Un’applicazione Per Eliminare I Contrasti Familiari
Agenzia Entrate – Dr. Felice Ungheri – CapoUfficio Tecnologie e Innovazione Dir. Prov. Venezia
Fatturazione Elettronica: Il Punto Di Vista Dell’agenzia Delle Entrate
La locandina in PDF della Conferenza organizzata a Verona durante il quale parlerò di acquisizione forense delle prove informatiche è scaricabile da questo link. Ai partecipanti verranno conferiti 3 crediti formativi in materia obbligatoria, a seguito d’iscrizione su piattaforma Riconosco. Si ringrazia il Banco BPM per la concessione della sala.
