Il 26 e il 30 settembre 2019 si terranno a Torino, dalle ore 15:00 alle 19:30, due giornate di del Convegno su GDPR e Sicurezza Informatica organizzate dall’Associazione CSIG Ivrea ed ELSA. Le giornate di conferenza su GDPR e Sicurezza si terranno presso la Sala Lauree Blu del Campus Luigi Einaudi (CLE) in Lungo Dora Siena 100/A a Torino.
Il seminario è gratuito e verterà sugli impatti applicativi del regolamento privacy europeo GDPR con tavola rotonda su PA e tavola rotonda su imprese, con partecipazione di professori universitari, esperti e testimonial aziendali, con possibilità di porre domande.
Per informazioni o iscrizioni al convegno organizzato dall’Associazione Centro studi di Informatica di Ivrea Torino, si prega di fare riferimento alla pagina Eventbrite dell’evento che si terrà a Torino presso il Campus Luigi Einaudi oppure scaricare la locandina in PDF.
Il programma della prima giornata su GDPR e Sicurezza Informatica del 26 settembre 2019 a Torino, dalle 15:00 alle 19:30, è il seguente:
Saluti del prof. Raffale Caterina – Direttore del Dipartimento di Giurisprudenza
GDPR e pubblica amministrazione (Prof. Sergio Foà e Dott. Diego Giorio)
I diritti degli interessati: modera il Prof. Massimo Durante, con Avv. Chiara Ponti e Prof. Marco Orofino
GDPR e imprese, con Avv. Laura Marengo (Unione industriale), Dott.ssa Silvia Giordanino (Lavazza), Avv. Mauro Alovisio e Avv. Ivan Tosco
Testimonianza gruppo di lavoro Unione Industriale
Il programma della seconda giornata suGDPR e Sicurezza del 30 settembre 2019 dalle 15:00 alle 19:30 a Torino, organizzata da CSIG Ivrea ed ELSA è il seguente:
Saluti dell’Ass. Matteo Marnati – già Assessore all’Innovazione della Regione Piemonte
Impatto e scenari del regolamento privacy europeo (Prof. Francesco Pizzetti, già Presidente dell’Autorità Garante per la Protezione dei Dati Personali)
Tavola rotonda su “GDPR e sanità“, Testimonianze gruppo di lavoro A.S.L. (Dott.ssa Pinuccia Carena, Dott.ssa Alessandra Migliore, Dott. ssa Filomena Polito, Avv. Ivan Tosco, Avv. Mauro Alovisio)
Tavola rotonda sulla “GDPR e Sicurezza Informatica” con il Prof. Guido Boella (Direttore del Dipartimento di Informatica), il Dr. Paolo Dal Checco, l’Ing. Nicola Di Mare, l’Ing. Enzo Veiluva e la moderazione dell’Avv. Mauro Alovisio.
Tavola rotonda su “GDPR e professioni in ambito giuridico e informatico” con la moderazione della Dott.ssa Paola Zambon e la partecipazione di Federico Altea, Donatella Ardemagni, Avv. Cinzia Grimaldi, Dott. ssa Lara Merla, Gabriella Molinelli e Dott. Stefano Tresoldi
Martedì 17 settembre 2019 si terrà a Milano il seminario Paradigma sui controlli preventivi e investigativi sulle frodi aziendali, durante il quale saranno analizzate e presentate la disciplina e la struttura dei controlli preventivi e investigativi che le aziende possono mettere in atto per contrastare frodi, reati economico-finanziari e violazioni dei segreti industriali.
Sarà presentato il ruolo dei controlli preventivi e investigativi nell’ambito di un modello evoluto per la prevenzione degli illeciti, approfondendone i profili organizzativi, i profili giuridici e i profili connessi alla tutela dei dati personali. Saranno inoltre analizzati i profili tecnologici, presentando i nuovi strumenti a supporto delle indagini interne.
L’evento si rivolge agli Internal Auditors, ai Responsabili dell’Area Legale e Compliance, ai Risk Manager, ai Componenti dell’Organismo di Vigilanza, ai Responsabili Antifrode, ai Componenti del Collegio Sindacale e, in generale, ai professionisti che intendono approfondire le tematiche di controllo e gestione del rischio di frodi aziendali come Avvocati e Giuristi d’impresa.
Il programma del seminario è il seguente:
I controlli preventivi e investigativi nell’implementazione di un modello evoluto per la prevenzione, identificazione e gestione delle frodi, Dott. Fabrizio Santaloia (EY)
L’interazione tra Modello 231, sistemi di risk assessment e prevenzione delle frodi
I modelli organizzativi a confronto nelle aziende e nelle istituzioni finanziarie
La gestione del piano rimediale in caso di commissione di un illecito 231
I controlli preventivi: filtri e deterrenti
Gli indicatori di anomalia e i red flag a sistema
La prevenzione dei reati informatici e la conduzione delle indagini Avv. Marco Tullio Giordano ( LT42)
L’evoluzione di reati informatici: il cybercrime
I reati informatici e il Modello 231
Il ruolo delle policy aziendali: dall’uso degli strumenti alla segnalazione degli incidenti
La gestione dei log: profondità e retention
Gli elementi chiave nelle indagini sui reati informatici
L’organizzazione di un’indagine interna: fasi operative, gestione delle informazioni e esecuzione dell’indagine, Dott. Enrico Cimpanelli (Grant Thornton Financial Advisory Services)
La gestione iniziale della crisi
Le fasi operative del processo
La raccolta delle informazioni interne ed esterne necessarie
L’esecuzione dell’indagine
L’attività di reporting
Il processo di Fraud Investigation in un caso concreto
La fase post frode
I principali profili giuridici nella conduzione delle indagini interne, Avv. Giuseppe Vaciago (R&P Legal)
Vantaggi e svantaggi di un’indagine difensiva
I controlli difensivi
La necessità di un mandato difensivo
La legittimazione dei soggetti deputati alle indagini
L’utilizzabilità delle prove digitali acquisite in violazione dell’art. 4 dello St. Lav.
Lo svolgimento di indagini interne alla luce dell’applicazione del GDPR: regole pratiche e processi rilevanti, Prof. Avv. Alessandro Del Ninno (LUISS Guido Carli di Roma, Studio Legale Tonucci & Partners)
Controlli difensivi e controlli/monitoraggi preventivi leciti: le differenze nell’ottica della disciplina privacy
Il monitoraggio a scopo di controllo dell’utilizzo degli strumenti di lavoro: regolamenti e disciplinare interno
La casistica del Garante privacy sui controlli
Gli illeciti che comportano violazione dei dati personali: GDPR, data breach e processi pratici di gestione delle segnalazioni
Lo svolgimento della Valutazione di Impatto (DPIA) nell’ambito delle procedure interne di controllo
Le nuove tecnologie forensi a supporto delle indagini interne, Dott. Luca Marzegalli (EY)
Forensic data analytics: collegare le informazioni nascoste nei sistemi aziendali
Una brutta notizia per chi esegue attività di OSINT su protocollo Telegram: in risposta alla richiesta di aiuto lanciata su Twitter degli attivisti di Hong Kong, Telegram ha rafforzato ulteriormente il livello di privacy permettendo di nascondere il proprio numero di cellulare a tutti, non soltanto agli sconosciuti o a chi non ha tale numero in rubrica.
A maggio di quest’anno Telegram aveva già rafforzato la privacy delle impostazioni relative ai numeri di telefono dei propri utenti permettendo di scegliere chi potesse visionare il proprio numero con l’opzione “Chi può vedere il mio numero?”. Questa impostazione, descritta in modo poco chiaro nel blog di Telegram, seppur certamente utile aveva lasciato delusi molti esperti di sicurezza dato che permetteva (e permette ancora, essendo tutt’ora attivabile) semplicemente di mostrare il nostro numero anche a chi non ci ha inserito nella sua rubrica e magari condivide con noi un gruppo. Non permette, cioè, di nascondere il proprio numero a tutti: al contrario, aggiunge la possibilità di mostrarlo anche a chi senza quella impostazione non lo avrebbe potuto visionare, proprio a causa di recenti modifiche alla sicurezza di Telegram che avevano modificato il comportamento dei gruppi.
La funzione di ricerca a partire dal numero di telefono è sempre rimasta attiva e anzi, proprio questo – che gli attivisti di Hong Kong hanno definito “bug” – ha permesso per parecchio tempo a organizzazioni ed esperti OSINT di poter identificare utenze Telegram. Era infatti sufficiente inserire in rubrica parecchi numeri telefonici, anche a caso, per poter verificare chi tra quelli aveva un utenza Telegram e persino appurare se ci fossero gruppi in comune, cosa appunto piuttosto rischiosa per chi ha motivo di temere di essere identificato personalmente a seguito dell’appartenenza a un gruppo Telegram. Dal punto di vista investigativo, indagini OSINT e perizie informatiche, allo stesso modo era possibile – una volta identificata una rosa di sospetti – verificarne l’appartenenza a gruppi Telegram o risalire in ogni caso al nome utente, spesso con risultati di rilievo.
Con la modifica di settembre, anche questo limite viene rimosso ed è ora possibile nascondere il proprio telefono a chiunque, potendo quindi contare su un livello di privacy che si può definire elevato. Con disappunto di chi utilizzava tecniche OSINT su Telegram per trovare utenze a fini investigativi, infatti, compare ora una nuova voce “Chi può trovare il mio numero” che permette a chiunque di scegliere chi può verificare l’appartenenza a Telegram e i dettagli di un’utenza telefonica.
In sostanza, con la funzione di Telegram “Chi può trovarmi con il mio numero”, si può decidere cosa far vedere a chi il nostro numero lo ha, ovviamente non necessariamente perché glie lo abbiamo dato noi. Non andiamo infatti a impattare sugli sconosciuti che possono essere all’interno di un gruppo Telegram insieme a noi e non sanno chi siamo né hanno la nostra utenza telefonica. Andiamo invece a modificare ciò che vedrà chi il nostro numero lo possiede all’interno della sua rubrica, in particolare se anche noi lo abbiamo inserito nella nostra.
Le due voci disponibili per l’opzione “Chi può trovarmi con il mio numero” sono infatti le seguenti:
“Tutti“, che Telegram spiega precisando che: “Gli utenti che hanno il tuo numero salvato in rubrica lo vedranno anche su Telegram“;
“I miei contatti“, che Telegram spiega precisando che “Gli utenti che aggiungono il tuo numero ai loro contatti lo vedranno su Telegram solo se sono tuoi contatti“.
Questa scelta condiziona anche ciò che gli utenti vedranno quando, nella propria rubrica, accederanno al contatto telefonico dove è memorizzato un numero di telefono con il quale è stato registrato un account Telegram. Se l’impostazione è su “Tutti”, che siano nella nostra rubrica o meno, vedranno che abbiamo un account Telegram e potranno accedervi. Se l’impostazione è su “I miei contatti”, vedranno il nostro account Telegram solamente se sono stati inseriti esplicitamente, da noi, nei nostri contatti.
Selezionando “Tutti” alla voce “Chi può trovarmi con il mio numero” il comportamento rimane quello precedente di Telegram, cioè chiunque abbia a disposizione il nostro numero di telefono può scoprire il nostro account Telegram e sapere se ci sono gruppi in comune.
Da precisare che l’opzione “Condividi con”, presente nelle “Eccezioni” riguarda la scelta di “Chi può vedere il mio numero” e non “Chi può trovarmi con il mio numero”.
La scelta su chi può visionare il nostro profilo Telegram a partire dal numero di telefono, quindi, si fa in fin dei conti sia impostando correttamente le nuove opzioni fornite da Telegram, sia selezionando opportunamente chi inserire o meno nella propria rubrica dello Smartphone o di Telegram.
Il menù di Telegram che permette di operare la scelta sulla privacy e sicurezza del proprio numero cellulare o di telefono è raggiungibile tramite l’opzione “Impostazioni -> Privacy e Sicurezza -> Numero di Telefono” e soltanto chi ha aggiornato l’App per smartphone o Desktop la può utilizzare: se non la vedete, significa che non avete ancora aggiornato il software.
Telegram ha fatto questa scelta certamente “sofferta” (perché se tutti gli utenti la applicassero, l’utilizzo di Telegram come Instant Messenger da integrare alla propria rubrica diventerebbe più complesso almeno per la maggior parte degli utenti. Scelta “sofferta” ma debitamente pesata e limitata, perché come si vede, non è stata inserita l’opzione “Nessuno” nella scelta su “Chi può trovarmi con il mio numero”, cosa che invece è presente nella scelta su “Chi può vedere il mio numero”: in pratica, anche rafforzando al massimo le opzioni di sicurezza di Telegram, possiamo nasconderci da tutti ma non da chi ha il nostro numero in rubrica.
Le altre App di messaggistica non hanno ancora avuto tanto coraggio e per fortuna (per gli investigatori ed esperti di OSINT) o per sfortuna (per gli amanti della privacy) applicazioni come Whatsapp e Signal forniscono ancora la possibilità di ottenere informazioni dagli account a partire dai numeri di telefono.
Per chi ha Telegram configurato in inglese, le stesse voci si trovano nel menù “Settings -> Privacy and Security -> Phone Number” e le scelte del menù “Who can see my phone number” sono “Everybody”, “My Contacts” o “Nobody” mentre nella voce “Who can find me by my number” possiamo scegliere tra “Everybody” (“Users who have your number saved in their contacts will also see it on Telegram“) e “My Contacts” (“Users who add your number to their contacts will see it on Telegram only if they are your contacts.“).
Venerdì 13 settembre 2019 si terrà a Milano la quarta lezione del modulo “Modulo IV: Privacy, comunicazioni elettroniche e internet” del Master Universitario di secondo livello per “Data Protection Officer (DPO)” organizzato dal Politecnico di Milano tramite il Consorzio Poliedra.
Come parte del corpo docenti del Master DPO, durante la lezione di venerdì parlerò degli attacchi a sistemi informatici e delle misure minime di sicurezza nelle pubbliche amministrazioni, con cenni sulle tecniche di valutazione d’impatto, l’integrità e sicurezza dei dati e le nuove infrastrutture critiche.
L’obiettivo del Master per Data Protection Officer è quello di fornire un quadro della disciplina in tema di protezione dei dati, a seguito dell’entrata in vigore del Regolamento Europeo (679/2016) in luogo del Codice Privacy (d.lgs. 196/2003). In questo scenario aziende, autorità ed enti pubblici dovrebbero essersi adeguati alla nuova normativa, assegnando all’interno della propria struttura o rivolgendosi a professionisti esterni, la funzione di “responsabile della protezione dei dati”, il quale, oltre ad un bagaglio di conoscenze normative di settore, dovrà assicurare conoscenze avanzate di security e di sistemi informativi.
Il Master DPO che si terrà a Milano, organizzato dal Politecnico e da Poliedra, mira a formare un profilo specialistico di Responsabile della protezione dei dati, il Data Protection Officer – DPO, figura di riferimento in materia di protezione dei dati personali per tutti gli Enti Pubblici e le Pubbliche Amministrazioni (centrali e locali), e, dove previsto, nel settore privato.
Per il master universitario di secondo livello sono previsti sei moduli specialistici, con un tirocinio/stage finale presso enti:
La protezione dei dati personali nell’ordinamento italiano ed europeo;
Modalità organizzative e prime indicazioni operative per l’adeguamento alle previsioni del regolamento UE e n. 2016/679 (GDPR) nel settore privato;
Strumenti tecnici per l’adeguamento alle previsioni del regolamento ue n. 2016/679;
Privacy, comunicazioni elettroniche e internet;
Il trattamento dei dati personali in ambito pubblico e la conoscibilità delle informazioni pubbliche;
Privacy e smart cities.
Il programma di dettaglio della lezione del Master DPO di Milano sarà il seguente:
Gli attacchi ai sistemi informatici e il crescente fabbisogno di misure minime di sicurezza delle pubbliche amministrazioni – Parte 1
Il DPO e la valutazione di impatto nelle PA: una nuova opportunità per riprogettare la diffusione dei dati digitali
Integrità e sicurezza delle reti digitali
Le nuove infrastrutture critiche
Gli attacchi ai sistemi informatici e il crescente fabbisogno di misure minime di sicurezza delle pubbliche amministrazioni – Parte 2
Venerdì 11 ottobre 2019 dalle 09:30 alle 17:30 si terrà a Brescia il corso di una giornata su OSINT e l’acquisizione delle fonti di prova online. Il corso, parte della serie Digital Forensics Café organizzata dallo Studio d’Ingegneria Forense di Brescia, è rivolto ad Avvocati (l’accreditamento è in corso), Consulenti Tecnici, Investigatori e Forze dell’Ordine.
Pensato per Professionisti del settore Informatico, Tecnico, Investigativo e Legale, il corso su OSINT e sulla cristallizzazione delle evidenze digitali provenienti dalla rete che si terrà in Lombardia, a Brescia, è destinato a chi è interessato ad approfondire le proprie conoscenze sulle procedure teoriche/pratiche di analisi e raccolta delle informazioni provenienti dalle fonti aperte (OSINT), acquisizione forense di siti web, pagine web, social network o cloud a fini legali con qualche cenno sull’acquisizione di prove digitali in ambito di criptomonete, in particolare i Bitocoin.
Lo scopo del corso che si terrà a Brescia è quello di fornire degli spunti per avvicinarsi al mondo dell’OSINT (Open Source Intelligence) adottando, una volta trovati gli elementi di prova, la corretta procedura di acquisizione forense e cristallizzazione delle prove online da siti e pagine web, email, profili Facebook, Twitter, Linkedin, chat come Telegram o Whatsapp o gruppi per uso in Tribunale fino ad arrivare ad accennare alcuni principi che permettono di operare anche in ambito d’indagini sulle criptomonete, tramite tecniche di bitcoin forensics.
Durante il corso di Brescia i partecipanti impareranno le principali tecniche di ricerca da fonti aperte tramite metodologie e strumenti di OSINT, ascolteranno alcuni cenni su cosa sono i Bitcoin, come si producono, trasferiscono, convertono e come si possono fare attività investigative informatiche nel complesso mondo delle cryptomonete, nello specifico dei Bitcoin. Delle nozioni apprese verranno mostrati test ed esempi di attività in tempo reale.
I destinatari del corso su OSINT a Brescia sono Consulenti Informatici Forensi, Ingegneri o Esperti in Ingegneria Forense, Investigatori Privati, Forze dell’Ordine, Avvocati, CTU, CTP, CT del PM, Periti, Responsabili dei Sistemi Informativi, Responsabili di Sistemi di Pagamento, Responsabili di Progetti Internet/Intranet, Responsabili E-Commerce, Sistemisti e operatori del settore ICT, Responsabili della Sicurezza Informatica, Responsabili EDP e CED, Responsabili di Rete, Amministratori di Rete, Responsabili di Siti Web, Studenti Universitari, Consulenti Tecnici, appassionati di Cyebr Crime, Informatici Forensi.
A tutti i partecipanti verrà rilasciata una pergamena con attestato di frequenza a firma del Docente e del Direttore Scientifico valevole per ogni uso di legge.
La durata del corso è dalle 9.30 alle 17:30 con coffee break gratuito e pausa pranzo libera a metà giornata. La sede del corso su OSINT e acquisizione delle prove da Internet è a Brescia, in Via Cefalonia, 70, presso lo Studio d’Ingegneria Informatica Forense. Il costo del corso è indicato alla pagina d’iscrizione, mentre è gratuito per le Forze dell’Ordine.
L’aula che ospiterà il corso a Brescia, in Lombardia, ha una capienza di 30 persone, oltre le quali non saranno accettate ulteriori iscrizioni.
Il programma di dettaglio del corso di Brescia su OSINT e cristallizzazione di pagine e siti web è il seguente:
Introduzione all’OSINT;
Le basi del web e dei motori di ricerca;
Metodologie e strumenti principali di analisi;
OSINT su siti web;
Ricerche su profili e social network;
Analisi di indirizzi di posta e numeri di telefono;
Le basi dell’informatica forense;
Principi di acquisizione delle evidenze digitali;
La raccolta di prove su web;
Strumenti e metodologie di acquisizione forense di pagine web;
Raccolta di contenuti dinamici o protetti da autenticazione;
