CYBERCRIME TRA ECONOMIA E DIRITTO
di Ranieri Razzante e Alessandro Cristallini
L’opera in commento sin dal titolo lascia intendere la portata del tutto innovativa dei temi trattati, in un momento in cui la crucialità dell’elemento informatico si ripercuote in ogni ambito delle nostre vite quotidiane. Il testo in questione, dunque, in ragione delle peculiari caratteristiche di seguito analiticamente esposte, per la verità, è tutt’altro che il classico testo destinato solo agli studi universitari. Esso, infatti, si presenta come un’opera adatta non solo per coloro i quali per la prima volta si approcciano allo studio del fenomeno del Cybercrime, ma anche per gli addetti ai lavori che devono confrontarsi, oggi più che mai, con questa nuova realtà digitalizzata e tutte le ripercussioni che ne conseguono in un’ottica comparatistica di tipo giuseconomico. Ma è solo entrando nel merito degli argomenti trattati che si palesa a pieno la loro spiccata modernità e non ordinarietà.
L’incipit del manuale focalizza l’attenzione sul fenomeno della continua evoluzione tecnologica e delle conseguenti derive criminali che da essa sono scaturite, comportando cambiamenti radicali in ogni ambito delle nostre vite pubbliche e private. Viene dato atto della sussistenza dell’imperversante crisi di un diritto non al passo con i tempi che obbliga a ragionare in un’ottica di rinnovamento e di elaborazione di nuovi diritti emergenti evidenziandone i fattori determinanti. Da tale punto di partenza gli Autori effettuano un’approfondita analisi di una pluralità di problematiche connesse all’utilizzo di tecniche legislative, in un primo momento, non sempre prettamente idonee a contrastare i nuovi fenomeni criminali perpetrati in Rete. Vengono analizzate poi, fra le varie tematiche proposte, le tappe fondamentali che hanno portato la comunità internazionale, l’Europa, ed infine l’Italia, a rispondere a livello normativo a queste nuove sfide presentatesi con l’avvento della digitalizzazione globale e del suo successivo sfruttamento per scopi criminali.
Alla luce di tutte le caratteristiche peculiari sin qui esposte, si può affermare a buon diritto che l’opera appare come un testo innovativo, ideale sia per un primo approccio al mondo del Cybercrime, sia per il perfezionamento della propria conoscenza in un ambito quanto mai attuale, anche in vista degli impervi percorsi che la digitalizzazione della società ci metterà davanti.
I CRIMINALI UTILIZZANO PIÚ CANALI PER TRASFERIRE PROFITTI CRITTOGRAFICI IN CONTANTI
di Francesca Romana Tubili
Le autorità devono aggiornare i loro metodi se vogliono competere con il ritmo del crimine online e trasferire denaro dalle criptovalute ai contanti, ha affermato un esperto. Mentre la pandemia infuria, la migrazione accelerata della criminalità organizzata verso le piattaforme digitali continua, con gran parte dei profitti generati o spostati tramite criptovalute.
Il capo della strategia di sicurezza informatica di VMware e il membro del comitato consultivo per le indagini informatiche dei servizi segreti statunitensi Tom Kellermann, hanno avvertito che le autorità devono diventare più severe. L’applicazione della Lan “ha bisogno di modernizzare la confisca e il congelamento dei beni”, in modo che possano sequestrare i profitti sporchi di criptovaluta dagli scambi in tempo, ha detto al Financial Times. Questi scambi sono le congiunture critiche che collegano le attività criminali all’obiettivo finale di mascherare con successo i profitti risultanti.
Dato il rapido ritmo del cambiamento nella criminalità digitale, i metodi per spostare il denaro attraverso lo spazio digitale stanno cambiando rapidamente. Quando sarà il momento, i profitti delle criptovalute verranno convertiti in denaro contante freddo, eliminando molte delle possibilità che vengano mai recuperati. Uno di questi metodi di conversione del denaro è l’uso di “Treasure Men”, il cui compito è letteralmente quello di nascondere denaro in un determinato luogo affinché un cliente possa ritirarlo.
“Lasceranno pacchi di denaro da qualche parte, che saranno poi raccolti”, ha detto a FT il dottor Tom Robinson, co-fondatore del gruppo di analisi delle transazioni crittografiche Elliptic. “Lo seppelliranno sottoterra o lo nasconderanno dietro un cespuglio, e ti diranno le coordinate. C’è un’intera professione”. Servizi come Treasure Men sono ampiamente disponibili sul dark web, in particolare sul mercato noto come Hydra, il più grande del suo genere in base alle entrate, accessibile solo utilizzando software specializzati. Altri modi per scambiare bitcoin offerti tramite Hydra includono la trasformazione delle criptovalute in buoni regalo o carte di debito prepagate, i tipi di metodi di pagamento che funzioneranno ampiamente ma con pochi controlli di sicurezza o ID.
Questi sono i metodi più utilizzati poiché quelli tradizionali per incassare le criptovalute stanno diventando meno attraenti per i criminali. Altri metodi che stanno diventando più comuni includono broker da banco, bancomat crittografici e investimenti in portafogli di gioco d’azzardo online. Mentre le autorità e le società di analisi del settore privato intensificano gli sforzi per tracciare e tracciare gli scambi di bitcoin, la loro abilità è eguagliata dall’altra parte dalla nuova tecnologia dei criminali, che presenta un problema nei confronti delle forze dell’ordine. La prospettiva di avere un approccio più collaborativo – ad esempio un sistema di allerta basato su “liste nere condivise di portafogli” – è stata propagandata come una possibile soluzione da Kemba Walden, assistente consigliere generale presso la Digital Crimes Unit di Microsoft. Queste misure di condivisione dei dati erano state proposte in passato, ma “forse ora è il momento migliore per riconsiderare alcune di queste iniziative politiche”, ha detto al Financial Times. Il modo esatto in cui queste misure si armonizzerebbero con le rigorose normative sulla privacy dei dati, in particolare nell’UE, è una domanda che potrebbe innescare un dibattito se si concretizzassero alcune proposte.
LA STRADA PER LA DIGITALIZZAZIONE DELL’ITALIA PASSA ATTRAVERSO
LA NUOVA STRATEGIA PER IL CLOUD NAZIONALE
di Alessandro Cristallini
Agli inizi di settembre è stata ufficializzata la nuova Strategia Cloud Italia per il cloud nazionale, presentata dal Sottosegretario con delega all’intelligence e alla sicurezza Franco Gabrielli, dal direttore dell’Agenzia per la cybersicurezza nazionale (Acn) Roberto Baldoni, dal ministro della Transizione digitale Vittorio Colao e Paolo de Rosa, chief Technology Officer del Dipartimento per la Trasformazione digitale (Dtd); il documento di indirizzo sarà strategico per l’implementazione e il controllo del cosiddetto cloud di Stato sul quale trasferire in assoluta sicurezza tutti i dati e i servizi strategici della Pubblica Amministrazione.
La migrazione sul cloud dei dati di almeno il 75% degli uffici pubblici italiani entro il 2025, è questo l’obiettivo finale che si è dato il governo Draghi nella sua prima traccia della strategia per il cloud nazionale. Nel documento vengono fissati i principi e le linee guida degli interventi per trasferire sulla “nuvola” la mole di informazioni oggi parcheggiata in 11mila data center, il 95% dei quali, dall’ultimo censimento dell’Agenzia per l’Italia digitale, ha “carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza”. Inoltre sempre al suo interno viene tracciata la road map della strategia che prevede la pubblicazione del bando per il Psn “al più tardi entro la fine del 2021”, l’aggiudicazione entro la fine del 2022, e la migrazione dei servizi della PA, “da concludersi entro la fine del 2025”.
I pilastri di questa nuova strategia possono essere riassunti nell’introduzione di una classificazione delle informazioni in mano alla pubblica amministrazione, per decidere a quali garantire le maggiori protezioni. La realizzazione del “Polo strategico nazionale” (Psn), “un’infrastruttura nazionale per l’erogazione di servizi cardine per il Cloud, al servizio di ministeri, enti pubblici nazionali, regioni, aziende sanitarie e città metropolitane, la cui gestione e controllo di indirizzo siano autonomi da fornitori extra UE”. Stabilire un “percorso di qualificazione” dei fornitori di cloud pubblico per “garantire che le caratteristiche e i livelli di servizio dichiarati siano in linea con le condizioni necessarie di sicurezza, affidabilità e rispetto delle normative rilevanti” così da certificare le aziende che forniscono i servizi cloud, stabilendo una serie di requisiti da rispettare a seconda del dato da archiviare”. Infine, la migrazione di dati e servizi della PA italiana “verso la soluzione Cloud più opportuna”. La classificazione e la redazione del piano di migrazione saranno definiti e supportati, a seconda delle rispettive competenze, dall’Agenzia per la Cybersicurezza Nazionale (Acn) e del Dipartimento per la Trasformazione Digitale (Dtd).
L’obiettivo della creazione di un cloud nazionale è portare a termine la transizione digitale e l’efficienza digitale della Pubblica Amministrazione, così come prevede anche il PNRR (Piano Nazionale di Ripresa e Resilienza) approvato lo scorso 24 aprile dal Consiglio dei Ministri e che destinerà oltre 620 milioni di euro alla cyber security delle PA, per potenziare personale e strutture, consolidare i data center, attuare la migrazione dei dati e degli applicativi informatici delle singole amministrazioni verso un ambiente cloud.
Il programma di digitalizzazione per la Pubblica Amministrazione, di cui parla il PNRR, vuole, infatti, come prima cosa, offrire efficacia, velocità e sicurezza ai cittadini e alle imprese nella fruizione dei servizi, pertanto infrastrutture, interoperabilità, piattaforme e servizi, e cyber security. Inoltre, verranno inserite “misure propedeutiche alla piena realizzazione delle riforme chiave delle Amministrazioni Centrali, quali lo sviluppo e l’acquisizione di, nuove, competenze per il personale della PA, anche con il miglioramento dei processi di upskilling e di aggiornamento delle competenze stesse, e una significativa semplificazione/sburocratizzazione delle procedure chiave, incluso uno sforzo dedicato al Ministero della Giustizia per lo smaltimento del backlog di pratiche”.
IMPORTANTE INIZIATIVA SULLA SICUREZZA INFORMATICA ADOTTATA DAL GOVERNO USA NEL 2021
di Benedetto Palombo
I governi stanno dando sempre più importanza alle minacce alla sicurezza informatica, come dimostrano tutte le nuove iniziative messe in campo dai governi dei Paesi di quasi tutto il mondo.
La sicurezza informatica si è costantemente insinuata nell’agenda dei Governi di tutto il mondo. Ciò ha portato a iniziative progettate per affrontare i problemi di sicurezza informatica che minacciano individui e organizzazioni.
“Le iniziative di sicurezza informatica guidate dal governo sono fondamentali per affrontare problemi di sicurezza informatica come attacchi distruttivi, massicce violazioni dei dati, cattiva posizione di sicurezza e attacchi a infrastrutture critiche”, afferma Steve Turner, analista di sicurezza e rischio di Forrester. “Queste iniziative forniscono una guida coerente su come le organizzazioni e i consumatori possono proteggersi, fornire servizi alle aziende che non hanno le conoscenze o i mezzi monetari per proteggersi, leve legislative che possono essere utilizzate, mezzi per intraprendere azioni offensive contro gli avversari dello Stato nazionale, e soprattutto indagini su incidenti informatici significativi abbinati alla condivisione di informazioni critiche durante o dopo tali incidenti”.
Di seguito, l’iniziativa sulla sicurezza informatica introdotta dal Governo statunitense nel 2021.
Il Dipartimento della Difesa degli Stati Uniti pubblica la certificazione del modello di “maturità” della sicurezza informatica
A gennaio, il Dipartimento della Difesa degli Stati Uniti (DoD) ha rilasciato la “Cybersecurity Maturity Model Certification” (CMMC), uno standard unificato per l’implementazione della sicurezza informatica in tutta la base industriale della difesa (DIB), che comprende oltre 300.000 aziende nella catena di approvvigionamento. Il CMMC esamina e combina vari standard e le migliori pratiche di sicurezza informatica, mappando controlli e processi su diversi livelli di “maturità” che vanno dall’igiene informatica di base a quella avanzata.
“Per un dato livello di CMMC, i controlli e i processi associati, una volta implementati, ridurranno il rischio contro una serie specifica di minacce informatiche”, si legge sul sito web dell’”Ufficio del Sottosegretario alla Difesa per l’acquisizione e il sostegno”. “Lo sforzo del CMMC si basa sulla normativa esistente (DFARS 252.204-7012) che si basa sulla fiducia, aggiungendo una componente di verifica rispetto ai requisiti di sicurezza informatica”. Il CMMC è progettato per essere conveniente per tutte le organizzazioni, con terze parti CMMC autorizzate e accreditate che conducono valutazioni e rilasciano certificati CMMC alle società DIB (Base Industriale per la Difesa) al livello appropriato.
Per Tom Brennan, CIO di Mandelbaum Salsburg PC e Presidente statunitense di CREST, il CMMC è forse la più importante iniziativa di sicurezza informatica del governo del 2021 negli Stati Uniti. “Per molto tempo, il Dipartimento della Difesa ha detto agli appaltatori DIB che devono conformarsi agli standard NIST, ma non c’è stato alcun accreditamento, applicazione o controllo associato a questo particolare controllo, e ha fallito miseramente”, dice a CSO. Il CMMC è così importante perché comporta valutazioni legali per verificare che gli appaltatori del Governo stiano facendo ciò che dicono di fare dal punto di vista della sicurezza e, se non soddisfano i requisiti CMMC, perderanno i loro contratti, afferma.
“Se stai cercando nuovi contratti DoD, quei contatti dichiareranno chiaramente che un’azienda deve essere conforme al livello CMMC 1, 2, 3, 4 o 5 (a seconda del livello di “maturità” necessario per il progetto) prima di stipulare nuovi contratti”. Il CMMC “sta diventando di maggiore interesse anche per il settore della sicurezza informatica perché molte società di revisione e fornitori di servizi si rendono conto che si tratta di una vacca da mungere”, afferma Brennan.
