Oggi ho partecipato come relatore alla conferenza Internet Governance Forum Italia di Torino, con tema videosorveglianza, sicurezza e protezione dei dati nelle città: dall’ Intelligenza Artificiale, al riconoscimento facciale, alle telecamere termiche e ai droni ai tempi del Covid: decisori, imprese e cittadini.
Il panel all’interno del quale ho portato il mio piccolo contributo verteva su un’analisi delle novità tecniche e regolatorie che hanno riguardato il sistema di controllo della videosorveglianza nelle città. Il tema è di estrema attualità anche per i rapporti con la trasparenza, la protezione dei dati, la cybersecurity, il rapporto con i cittadini, la sicurezza informatica e l’informatica forense.
Durante il panel della conferenza IGF di Torino, i relatori hanno analizzato i rischi e benefici delle tecnologie e illustrato come installare e gestire impianti nelle città nel rispetto delle garanzie dei cittadini e come conciliare la videosorveglianza con le aspettative di riservatezza delle persone.
Il mio intervento è stato orientato agli aspetti legati alla gestione dei data breach in ambito di nuove tecnologie e videosorveglianza, mostrando come anche in tale ambito risulta spesso strategica un’attività preparatoria all’indagine informatica, definita ormai da alcuni anni forensic readiness.
Si tratta, in sostanza, dell’attitudine e preparazione dell’azienda a gestire una eventuale attività d’indagine digitale, composta da acquisizione forense delle prove, analisi tecnica volta a estrarre le evidenze digitali strategiche per un’eventuale procedimento penale o causa civile, la produzione di una relazione tecnica o perizia informatica che ne documenti i passaggi. Spesso la produzione in giudizio a fini legali di prove viene realizzata con approcci e metodologie errate, è quindi importante che la catena di custodia, la strumentazione e le modalità operative siano quelle corrette, così da conferire maggiore validità alla prova informatica poterla utilizzare in Tribunale o in una eventuale notifica di data breach al Garante della Privacy o agli interessati.
Il video della conferenza su videosorveglianza è disponibile su YouTube al seguente link.
Alla giornata di conferenza sulla videosorveglianza a Torino hanno partecipato:
Moderatore
Chiara Bellosono
Relatori
Mauro Alovisio (Università Statale di Milano)
Lara Merla (dottoranda Università di Torino)
Alessandro Del Ninno (Università LUISS Guido Carli di Roma)
Stefano Luca Tresoldi
Paolo Dal Checco (Università di Torino)
Stefano Manzelli (esperto sistemi di videosorveglianza) (giovane)
Promotore
Mauro Alovisio (Presidente dell’associazione Centro Studi di Informatica Giuridica di Ivrea)
Continua anche quest’anno l’attività di training per CEPOL e Guardia di Finanza in ambito di Anti Money Laundering, specificatamente per ciò che riguarda “Crypto currencies, Financial Investigation and asset recovery“.
Il corso, che si tiene tradizionalmente presso la sede CEPOL del Lido di Ostia, all’interno della Scuola di Polizia Economico Finanziaria della Guardia di Finanza di Roma, sarà per questa edizione online e verrà condotto attraverso piattaforma di videoconferenza.
Gli argomenti di questa edizione del Corso CEPOL saranno le tecniche di anti money laundering, sequestro e confisca di beni e criptomonete, darknet e monete virtuali, finanziamento al terrorismo.
Durante la lezione, verranno illustrati i concetti fondamentali delle criptomonete, in particolare dei bitcoin, ponendo le basi di ciò che servirà a comprendere le metodologie e gli strumenti utilizzati in ambito di sequestro di bitcoin e confisca di bitcoin e criptocurrency. A differenza degli strumenti che vengono utilizzati quotidianamente in ambito di perizia informatica, le metodologie utilizzate per sequestrare bitcoin e criptomonete sono ancora in fase embrionale, vi sono stati già diversi sequestri ma spesso sono stati portati avanti con sistemi diversi, strumenti, prodotti, protocolli che invece si ritiene probabile che prima poi vengano in qualche modo uniformati.
Prima di arrivare a illustrare come vengono sequestrati i bitcoin, wallet e indirizzi si procederà con la formazione sulle tecniche di bitcoin forensics e intelligence, utili per comprendere come si può arrivare a identificare i wallet in uso ai criminali, talvolta procedendo anche a deanonimizzazione o quantomeno tracciamento delle transazioni, anche mediante sistemi di clusterizzazione degli indirizzi in wallet più ampi.
Continua la collaborazione con la Scuola Superiore di Magistratura per le attività di formazione nell’ambito dei corsi per magistrati, funzionari di Polizia e avvocati: quest’anno ho avuto l’onore di partecipare a come coordinatore del gruppo di lavoro su “Internet of things: la ricostruzione indiretta delle responsabilità” insieme alla Dott. ssa Liana Esposito, Sost. Procuratore della Repubblica presso il Tribunale di Napoli.
Il gruppo di lavoro rientrava all’interno del corso SSM su “Tecnologie informatiche e telematiche e mezzi di ricerca della prova. I limiti posti dalla tutela della libertà, della privacy e dei diritti individuali“, organizzato con cura e attenzione al particolare dal responsabile del corso Dott.Giuseppe Corasaniti e dagli esperti formatori Dott. Franco Pizzetti e Dott. Cesare Parodi.
Durante il corso sulle “Tecnologie informatiche e telematiche e mezzi di ricerca della prova“, sono intervenuti nomi autorevoli provenienti da diversi ambiti legati alla Giustizia hanno parlato di argomenti come tutela della persona, GDPR, diritti della difesa, prova digitale, cooperazione internazionale, IoT Forensics, perquisizione, ispezione, sequestro informatico, giurisdizione penale e competenze per i reati commessi in rete, captatore informatico, strumenti di ricerca e analisi della prova digitale, analisi di log e tabulati, indagini su siti web esteri, indagini su dark web e deep web, analisi e ricerca su posta elettronica e messaggistica, tutela dell’identità personale e contrasto ai sistemi di anonimizzazione online.
ore 8:45 – Connessione a teams e prove tecniche Ore 9:00 – Apertura lavori ed illustrazione contenuti formativi del corso – Giuseppe Corasaniti – Componente del Comitato Direttivo della Scuola Superiore della Magistratura Ore 9:15 – Saluti e presentazione degli esperti formatori – Franco Pizzetti e Cesare Parodi TEMATICHE INTRODUTTIVE COMUNI Prof.Franco PIZZETTI Il delicato equilibro tra tutela della riservatezza, diritto di difesa, diritto all’informazione ed esigenze di indagine 9.45 -Tutela della persona, riservatezza ed esigenze investigative: il rispetto del GDPR nelle indagini tecnologiche ( con esempi pratici). Avv. Giuseppe VACIAGO- Milano Ore 10:15 – Tutela della riservatezza e diritti della difesa Prof. Luca Luparia Donati 11.00 Dibattito con prenotazione delle domande dei partecipanti tramite la chat di Teams ORE 11.15 – LA PROVA DIGITALE Intervengono: 11.15 dr.ssa Valentina Sellaroli, Sost. Procura Torino L’acquisizione della prova digitale: strumenti procedimentali e tecniche investigative 11.45 dr. Luca Pistorelli consigliere Corte di cassazione ; La valutazione della prova digitale, tra evoluzione tecnologica e atipicità. ore 12.15 – Dibattito con prenotazione delle domande dei partecipanti tramite la chat di teams ore 12:30 – Sospensione dei lavori Ore 14,30 – ricollegamento dei partecipanti a teams e riapertura dei lavori APPROFONDIMENTI PER GRUPPI DI LAVORO Ore 14:45 a) Le richieste di dati (attinenti le comunicazioni elettroniche) agli Internet service provider americani e la cooperazione internazionale con gli Stati Uniti in materia di cybercrime INTERVENGONO Kristina Ponce – magistrato del Cyber Team – Dipartimento di Giustizia a Washington Christian PERRELLA, Trust and Safety EMEA Facebook b- Internet of things: la ricostruzione indiretta delle responsabilità intervengono Dr.ssa Liana ESPOSITO, sost. Procura Repubblica presso Tribunale di Napoli Paolo DAL CHECCO , consulente informatico c- Perquisizione, ispezione, sequestro informatico. Problematiche tecnico-giuridiche. interviene dott. Luigi CUOMO , sost. Procuratore generale Corte di Cassazione Ore 16,30 – report dei coordinatori dei gruppi di lavoro in videocollegamento con tutti i partecipanti Ore 17,30 – Dibattito finale con prenotazione delle domande dei partecipanti tramite la chat di teams Ore 18,00 – Chiusura lavori
2 ottobre 2020 ore 8:45 – Connessione a teams e prove tecniche Ore 9:00 – La collaborazione internazionale in tema di indagini informatiche: INTERVENGONO Dr.ssa Teresa MAGNO- rappresentante presso Eurojust Il ruolo di Eurojust Dr. Antonio BALSAMO, presidente della I Sezione della Corte di Assise e della Sezione Misure di Prevenzione presso il tribunale di Caltanissetta. Consigliere giuridico della Rappresentanza permanente di Italia presso le Nazioni Unite La prova digitale e la convenzione di Palermo Dr. Andrea VENEGONI , consigliere Corte di cassazione Internet, giurisdizione penale e competenze : criteri di individuazione, anche in relazione alle possibilità di sequestro/inibizione dei siti. Ore 10:30 – Dibattito con prenotazione delle domande dei partecipanti tramite la chat di teams Ore 10,45- IL CAPTATORE INFORMATICO:PROBLEMI GIURIDICI E TECNICI Intervengono: 10.45 dr. Giuseppe BORRELLI- Procuratore della Repubblica di Salerno Il captatore informatico: problemi tecnici e giuridici 11.15 dr.Luigi GIORDANO, magistrato presso ufficio del massimario Le indicazioni della S.C . in tema di captatore e di tutela della riservatezza in ambito penale Ore 11:45 – Dibattito con prenotazione delle domande dei partecipanti tramite la chat di teams Ore 12:00 – Sospensione dei lavori Ore 14:45 – ricollegamento dei partecipanti a teams e riapertura dei lavori Ore 15,00 – GLI STRUMENTI DI RICERCA E DI ANALISI DELLA PROVA DIGITALE: IL RUOLO DELLA P.G. dr.ssa Nunzia Ciardi, direttore nazionale Polizia Comunicazioni dott. Ivano Gabrielli, direttore del Cnaipic (il centro nazionale per la protezione delle infrastrutture critiche) ing Giuseppe Zuffanti, Polizia Comunicazioni Torino TEMI analisi log e tabulati, intercettazioni telematiche Perquisizioni on line : sequestri su server esteri: problemi esecutivi Indagini su siti web esteri: inibitoria tramite provider italiani Cosa si può fare e non fare sul dark web e sul deep web: aspetti tecnico/operativi ( con riguardo al contrasto ad es al terrorismo) Analisi e ricerca su posta elettronica e messaggistica Analisi per tutela dell’ identità personale: come si identifica l’autore di una condotta on line? Che margini di sicurezza abbiamo? Quali i sistemi di anonimizzazione utilizzati on line e come si contrastano Come tracciare on line operazioni bancarie Ore 16:45 – Dibattito con prenotazione delle domande dei partecipanti tramite la chat di teams Ore 17,15 – Dibattito finale con prenotazione delle domande dei partecipanti tramite la chat di teams Ore 18:00 – Fine Lavori
Giovedì 24 settembre si terrà, in aula virtuale, l’evento in aula virtuale dal titolo “I controlli a distanza sull’attività dei lavoratori tra privacy, tutele lavoristiche ed evoluzione tecnologica“, organizzato dalla società Paradigma Srl di Torino.
Durante l’evento, che si terrà totalmente da remoto, si parlerà di evoluzione giurisprudenziale, orientamenti privacy e INL, protezione dei dati e del know how aziendale, implementazione delle policy e dei regolamenti aziendali, smart working e lavoro flessibile, raccolta delle prove e strumenti di forensic investigation, corretta impostazione dei procedimenti disciplinari.
L’evento sui controlli a distanza sull’attività dei lavoratori, in periodo di Covid-19, smart working e telelavoro, è particolarmente in tema perché copre tematiche attuali che le aziende, in questi mesi, si sono poste, trovandosi in un contesto nuovo e prettamente digitale. Per questo motivo, questioni come i limiti ai controlli, le implicazioni sulla privacy, gli orientamenti giurisprudenziali, l’implementazione e l’aggiornamento delle policy e dei regolamenti aziendali, il procedimento disciplinare e il licenziamento e infine la raccolta delle prove digitali dei comportamenti illeciti dei lavoratori e gli strumenti d’informatica forense per la corretta acquisizione forense delle prove e analisi tecnica delle evidenze informatiche nei casi di controlli informatici sul dipendente infedele o reati commessi dai dipendenti.
Il programma della conferenza organizzato dalla società Paradigma di Torino sui controlli dei lavoratori è il seguente:
I limiti ai controlli a distanza sull’attività dei lavoratori, le modalità di effettuazione del monitoraggio “lecito” e i “controlli difensivi” I limiti del controllo “lecito” alla luce delle disposizioni dell’art. 4 Statuto Lavoratori e della più recente evoluzione giurisprudenziale Il quadro normativo di riferimento dopo l’entrata in vigore del Regolamento UE 2016/679 (GDPR) e della normativa nazionale di adeguamento del Codice Privacy Le implicazioni in materia di privacy derivanti dall’uso degli strumenti di lavoro: il concetto di “strumento di lavoro” nella norma e nella lettura del Garante Privacy La legittimità dei “controlli difensivi” alla luce del nuovo quadro normativo e giurisprudenziale Prof. Avv. Arturo Maresca Sapienza Università di Roma
Le implicazioni in materia di controlli e di privacy nel telelavoro, nel “remote working” e nello “smart working” Il progressivo superamento dei limiti del controllo derivanti dall’uso del badge e di altri strumenti di registrazione di presenze e accessi dei lavoratori Il progresso tecnologico e le nuove forme di rilevazione della “presenza” Il controllo a distanza e la tutela della privacy dei lavoratori nel telelavoro e nelle nuove forme di remote working/smart working Il controllo sulla produttività del lavoratore in smart working Le problematiche connesse agli strumenti utilizzati, alla sicurezza e alla protezione dei dati e del know how aziendale L’uso autorizzato dei propri dispositivi da parte del dipendente (BYOD) Gli adempimenti privacy: regolamento interno e informativa ai dipendenti La regolamentazione del “diritto alla disconnessione” Avv. Alessandro Paone LabLaw Studio Legale
Analisi dei recenti orientamenti giurisprudenziali e delle indicazioni del Garante privacy e dell’INL con riferimento alla principale casistica dei “controlli a distanza” L’utilizzo di internet, posta elettronica e social network per fini estranei all’attività lavorativa: le Linee Guida del Garante Privacy Il ricorso a videocamere e sistemi di videosorveglianza Il ricorso a strumenti di rilevazione delle attività (strumenti di geolocalizzazione GPS, App, ecc.) Il ricorso a strumenti di rilevazione delle presenze e dei movimenti all’interno dell’azienda (badge, impronta digitale e biometria facciale) Avv. Annalisa Reale Chiomenti
L’implementazione e l’aggiornamento delle policy e dei regolamenti aziendali sull’utilizzo degli “strumenti di lavoro” e sui social network La necessità della policy aziendale Il contenuto degli accordi finalizzati a consentire un utilizzo promiscuo, personale e professionale, delle dotazioni aziendali L’informativa ai dipendenti sul corretto utilizzo degli strumenti di lavoro La tensione tra rapporto di lavoro e vita privata: i limiti alla disciplina dell’utilizzo dei social network da parte dei dipendenti Il fil rouge tra l’art. 4 (divieto di controlli a distanza) e l’art. 8 dello Statuto dei Lavoratori (divieto di di indagine sulle opinioni): i dati raccolti occasionalmente sui social e il loro possibile utilizzo nei confronti dei lavoratori Schemi applicativi di policy e regolamenti aziendali Avv. Enrico Barraco Studio Legale Barraco
La raccolta delle prove dei comportamenti illeciti dei lavoratori e gli strumenti di forensic investigation Le attività illecite condotte dai lavoratori per mezzo di strumenti informatici Le tecniche investigative per l’accertamento di comportamenti illeciti L’perizia forense dei dispositivi informatici fissi, mobili e “in cloud” per la prova dei comportamenti illeciti dei lavoratori e/o per l’individuazione di eventuali soggetti terzi responsabili di tali comportamenti Le criticità delle “ispezioni forensi” e le buone prassi per la loro corretta gestione Le criticità dell’analisi forense e le buone prassi per la loro corretta gestione Il problema della “prova atipica” I limiti dell’utilizzabilità in giudizio di sms, mms e conversazioni Whatsapp Dott. Paolo Dal Checco Consulente Informatico Forense
Il procedimento disciplinare e il licenziamento: disciplina e contenuto delle lettere L’utilizzo degli strumenti di lavoro e le possibili implicazioni in materia disciplinare La rilevazione delle informazioni necessarie all’esercizio del potere disciplinare alla luce degli orientamenti del Garante Privacy e della giurisprudenza L’esercizio del potere disciplinare: modalità e limiti Tecniche di redazione delle lettere di contestazione e di licenziamento Il licenziamento in caso di utilizzo dei social network: implicazioni e limiti alla luce della più recente giurisprudenza Avv. Renato Scorcelli Scorcelli & Partners Studio Legale
Per scaricare la brochure pdf del corso sui controlli a distanza sull’attività dei lavoratori è disponibile al seguente link.
Dopo la pausa estiva e l’emergenza Covid19 riprendono le lezioni del “Corso pratico sulla redazione del modello ex d.Lg.s. n. 231/2001” organizzato da Altalex con un programma suddiviso in tre moduli.
Il primo modulo casistico-giurisprudenziale tratta dei Principi generali in materia di responsabilità dell’Ente, Analisi dell’apparato sanzionatorio: le misure cautelari, le sanzioni pecuniari e accessorie, Analisi degli elementi costitutivi della responsabilità dell’Ente e delle principali categorie di reati-presupposto con un focus pratico sull’analisi della struttura e tecniche di redazione del modello organizzativo e un’esercitazione in aula virtuale su esercitazione in aula virtuale su risk assessment e gap analysis con riferimento a un caso pratico, un ulteriore focus pratico sulle tecniche di redazione e struttura dei verbali di riunione e delle relazioni periodiche dell’organismo di vigilanza, un focus giurisprudenziale sulla responsabilità dei membri dell’organismo di vigilanza. spunti di riflessione a margine della pronuncia fincantieri cantieri navali s.p.a. e una esercitazione in aula virtuale sulla predisposizione di un verbale di riunione di un organismo di vigilanza.
Il terzo modulo, tecnico operativo, tratterà dei rincipi generali in tema di sicurezza informatica, con una introduzione alla Sicurezza Informatica, Business Continuity e Disaster Recovery, Mappatura dei rischi informatici, I reati informatici nell’ambito del D.Lgs. n. 231/2001, L’art. 24 bis, D.Lgs. n. 231/2001: Delitti informatici e trattamento illecito di dati, Casistica processuale ed esempi di reati informatici commessi nell’interesse o a vantaggio dell’Ente.
Si parlerà poi di prevenzione dei reati informatici, Penetration Test e Vulnerability Assessment, Sistemi di end-point protection, IDS, IPS, AD, firewall, Formazione e consapevolezza del dipendente, La prevenzione nel rispetto dei diritti del lavoratore, consigli su indagini informatiche sul dipendente infedele, concorrenza sleale e appropriazione indebita. Verrà mostrata l’importanza di una completa ed esaustiva policy di utilizzo dei sistemi informativi, con un esempio concreto di policy, si parlerà di princìpi, esempi e importanza ai fini della genuinità nell’acquisizione della prova, limitazioni mediante misure tecniche e disciplinari.
Ulteriori argomenti del terzo modulo tecnico operativo saranno Il rispetto della privacy: posta elettronica e Internet, Postazioni di lavoro e monitoraggio in ottica di sicurezza Le verifiche in ottica D.Lgs. n. 231/2001, Metodologie e strumenti di verifica dell’aderenza del Modello Organizzativo con la realtà aziendale, File di log, monitoraggio, backup, Best practices.
Per concludere, verranno presentate le basi della informatica forense e la gestione degli incidenti informatici, con una introduzione alla Digital Forensics & Incident Response, Metodologie e strumenti di acquisizione e copia forense delle evidenze digitali a fini probatori, catena di custodia dei reperti e delle prove informatiche con successiva analisi forense delle copie conformi, con un focus pratico sulla redazione di una perizia informatica, durante il quale verrà presentato un template di esempio di perizia informatica con un esempio pratico delle problematiche cui possono incorrere i consulenti informatici forensi nella redazione della perizia forense.
I corsi si terranno inizialmente online, tramite webinar, successivamente – emergenza Covid permettendo – di persona nelle principali città d’Italia come Milano, Roma, Padova e Parma. Il corso è pensato per avvocati, manager, impiegati e funzionari di aziende private ed Enti pubblici, Consulenti Tecnici, Periti, CTP informatici e CTU informatici.
