La sicurezza informaticanelle professioni legali

Fondazione Forense Ferrarese10 giugno 2016

Raffaella BrighiCIRSFID e Scuola di Giurisprudenza, Università di Bologna

Quattro punti

Parte prima

Informatica, professionisti e dati digitaliParte seconda

Minacce e vulnerabilitàParte terza

Rischi informatici legati alla professione e il quadro giuridico di riferimentoParte quarta

Principi e strumenti per la sicurezza informatica

INFORMATICA, PROFESSIONISTI EDATI INFORMATICI

Parte prima

Il professionista e i nuovi scenari tecnologici

• Dal Personal Computer a un complesso sistema di strumentiinformatici organizzati tra loro: firme digitali, posta elettronicacertificata, marche temporali, console dell’avvocato, bolli on line, ecc.

• A ciò si aggiungono nuove opportunità, in termini di servizi, utilità,comodità:

– App per smartphone e tablet– Il Cloud Computing– Il modello Bring Your Own Device (BYOD)– … e, in un futuro non molto lontano, cosa porterà l’Internet ofThings al professionista forense?

http://wearesocial.com/it/blog/2016/01/report-­digital-­social-­mobile-­in-­2016

Uso passivo della tecnologia

• Si osserva una certa passività dell’utente che si limita ad utilizzarele funzioni base con scarsa conoscenza delle funzioni avanzate

• I sistemi operativi moderni tendono a nascondere come operano glistrumenti per rendere più semplici all’utente ogni operazione

• Degli strumenti impiegati è importante capire:– Le caratteristiche di funzionamento e le finalità– Le condizioni d’uso– I limiti degli strumenti

• Valutare preventivamente le risorse tecnologiche, sia in riferimentoal corretto trattamento e protezione dei dati, sia nell’ottica diun’eventuale produzione in giudizio degli stessi

Il dato digitale

• Le attività di raccolta, organizzazione, conservazione etrasmissione dei dati costituiscono uno dei principali compiti deisistemi informatici

• In molte applicazioni i dati sono più stabili rispetto ai programmiutilizzati per elaborarli (problema del porting)

• I dati registrati aumentano continuamente, ma la memoria digitaleè assai fragile per ragioni tecniche (obsolescenza di hardware,software, piattaforme chiuse, ecc) e per vulnerabilità a virus ecyber attacchi

[http://blogs.intel.com/scoop/files/2012/03/infographic_1080_logo.jpg]

Dato = Valore

• I dati generati dalle nostre attività online – scambiati, integrati eaggregati dai sistemi informatici (sistemi predittivi, businessanalytics, data mining, ecc.) – assumono un ruolo centrale neiprocessi di decisione (Data Driven Economy)

• Se è strategico comprendere il valore tutelato

• Valore del dato:– per l’interessato– per altri soggetti (governi, aziende, assicurazioni, criminalità, ecc.)

• Nella società della conoscenza, il dato deve essere salvaguardatoattraverso opportune misure tecnologiche e giuridiche

La Hidden Data economy:acquisto di dati personali nel Deep Web

Acquisto di dati personali

Da The Hidden Data Economy (by Intel Security), 2015 http://www.mcafee.com/us/resources/reports/rp-­hidden-­data-­economy.pdf

Gli hacker hanno rivelato le informazioni private dei clienti per punire l'azienda sanitaria, colpevole di non aver pagato il riscatto.

[Report di McAfee Labsdel 2015]

MINACCE E VULNERABILITÀParte seconda

Minacce e vulnerabilità

• Il tema della sicurezza informatica riguarda tutte le componenti delsistema informativo: l’hardware, il software, i dati e le persone

• La minaccia rappresenta un’azione potenziale, accidentale odeliberata, che può portare alla violazione di uno o più obiettivi disicurezza (agente esterno)

• La vulnerabilità è un punto debole del sistema informativo che, secolpito o sfruttato da una minaccia, porta alla violazione di uno o piùobiettivi di sicurezza

• La misura del rischio cui è esposto un sistema informativo vienedeterminata dalla combinazione del valore dei beni, del livello delleminacce e del livello delle vulnerabilità

Categorizzazione delle minacce

Le minacce a un sistema informativo sono di diverso tipo e difficilmenteenucleabili:

• catastrofi naturali o incidenti imprevisti

• attacchi esterni di soggetti interessati a compromettere la sicurezza del sistema informativo, per sottrarre informazioni, creare danni rendendo indisponibili dati o strumenti

• software malevolo (virus o malware)

• errori umani: attività scorrette o illecite da parte di personale interno

Le nuove cyber minacce

Tipologie di attacchi esterni

• Attacchi in grado di sfruttare specifiche debolezze di unprogramma software: exploit, buffer overflow, cracking

• Attacchi in grado di sfruttare connessioni di rete e porte diaccesso ai sistemi o di intervenire sul traffico in transito: backdoor,port scanning, sniffing, keylogging, spoofing, DoS/DDooS

• Attacchi condotti con l’utilizzo di software malevolo: virus, trojan,spyware, ransomware

• Attacchi di social engineering, con l’obiettivo di sfruttare la scarsaconsapevolezza da parte del personale di un’organizzazione, peraccedere ad informazioni riservate: phishing, chiavette USB cheveicolano Trojan, ecc.

Profitto del Cybercrime

• Profitto indiretto: costruzione di infrastrutture di attacco affittate e vendute (es. Ransomware, SpyEye);; rivendita di informazioni, codici di accesso, carte di credito– con grande facilità si reperiscono gli strumenti necessari alla generazione dei nuovi software malevoli

– non richieste competenze evolute

• Profitto diretto: frodi automatizzate, ransomware, finti antivirus, ecc.

Alcuni dati -­I

[McAfee Labs, 2016]

Alcuni dati -­II

[McAfee Labs, 2016]

Alcuni dati -­III

[McAfee Labs, 2016]

Alcuni dati -­IV

[McAfee Labs, 2016]

Ransomware

• Sono software malevoli che infettano i pc e ne cifrano i contenutichiedendo un riscatto per consegnare la chiave con cui decifrarli(es. Cryptolocker, Cryptowall o TorrentLocker, CTB-­Locker eTeslaCrypt)

• Modalità di diffusione:– mail di phishing: false fatture o note di credito allegate al messaggio,codici di tracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc) orelative a bollette di gestori di energia (Enel Energia, ecc) oancora operatori telefonici (TIM, Tre, Vodafone,Wind, ecc)

– diffusione tramite siti ”bucati”

– indirizzamento verso una cartella in Cloud da cui viene scaricato ilmalware

Ransom con phishing su inchiesta Procura della Repubblica

[ fonte: http://www.ransomware.it/]

[ fonte: http://www.ransomware.it/]

[ fonte: http://www.ransomware.it/]

[ fonte: http://www.ransomware.it/]

Trojan diffuso tramite falsa querela per diffamazione aggravata

[ fonte: http://www.ransomware.it/]

I rischi del mobile

• Facilità di smarrimento e sottrazione;; scarso impiego di misure diblocco dello schermo e del dispositivo

• Disomogeneità dei sistemi operativi;; numerose release damanutenere e carenza di funzionalità di sicurezza

• Grande quantità di informazioni e funzionalità

• Impiego di app non sempre controllate adeguatamente dai gestoridegli store

• Uso di protocolli di trasmissione (wifi, bluetooth) non riservati espesso condivisi in luoghi pubblici con altri utenti

RISCHI INFORMATICI LEGATI ALLA PROFESSIONE E QUADRO GIURIDICO

Parte terza

Consapevolezza dei rischi informatici legati alla professione

I rischi riguardano tutta la catena degli operatori:• dominio delle tecnologie in possesso dell’avvocato (personali e dello studio)

• dominio dei sistemi informatici imposti dalle istituzioni• capacità di gestire correttamente dati e comportamenti di terzi

[Ziccardi, 2011]

Alcuni casi di cronaca

• LECCE -­ Allarme in Tribunale per il furto di un computer all’interno dell’ufficio del giudice Fabrizio Malagnino, della seconda sezione penale. Nel pc erano contenuti dati sensibili. Indagano carabinieri e polizia [ Corriere del mezzogiorno, 15 ottobre 2015]

• Catania, ladri alla Corte d’Appello, Rubati alcuni computer dell’Unep[La Sicilia.it, 18 ottobre 2015]

• S.M. Capua Vetere. Furto in Tribunale, sparito il computer della Camera Penale [Il Mattino.it, 21 novembre 2015]

• Tribunale di Padova, furto nell’ufficio di un giudice. Rubati il cellulare e il pc portatile con materiale di lavoro [Il mattino di Padova, 29 gennaio 2016]

Obblighi di diligenza, segretezza e riservatezza del Codice di deontologia forense

Un esperimento del 2009

• Caso di hacking verso gli uffici del Tribunale di Milano per verificare la vulnerabilità degli uffici giudiziari dimostra che anche un attaccante di basso profilo può violare la sicurezza del sistema (Cajani, 2009)

• Il patrimonio informativo va pensato come un bene da tutelare con i migliori mezzi tecnologici!

La sicurezza informatica nel quadro giuridico

• L’importanza della sicurezza informatica emerge in modo chiaronella disciplina per la protezione dei dati personali (D.lgs 196 del2003, in particolare Allegato B)

• La sicurezza informatica non è contemplata solo in riferimento alla privacy nel nostro ordinamento ma anche:– dal CAD (d.lgs. n. 82 del 2005), relativamente alle firme elettroniche e digitali e alla continuità operativa della PA (art. 50-­bis)

– relativamente ai crimini informatici (art. 615-­ter c.p., accesso abusivo a sistema informatico o telematico)

– dalla normativa sul diritto d’autore (l. n. 633/41) che prevede misure tecnologiche idonee a proteggere le opere dell’ingegno da usi non consentiti dall’autore

Privacy e obblighi di sicurezza

• Codice Privacy -­ la sicurezza non riguarda i sistemi ma i dati trattati

• Il Codice privacy prevede due livelli di sicurezza: le misure minimedi sicurezza (art 33 e ss.) e le misure idonee e preventive disicurezza (art. 31) finalizzate a ”ridurre al minimo [.…] i rischi didistruzione o perdita, anche accidentale, dei dati [.…], di accessonon autorizzato o di trattamento non consentito o non conforme allefinalità della raccolta”– le misure idonee sono adottate dal titolare tenendo conto di: 1)progresso tecnico, 2) natura dei dati oggetti del trattamento, 3)specifiche caratteristiche del trattamento

– le misure minime sono volte ad assicurare un livello minimo di sicurezza

• Discrimen fra responsabilità civile e responsabilità (anche) penale

[Perri, 2007]

Misure minime di sicurezza(ex art. 34 )

a) Autenticazione informaticab) Adozione di procedure di gestione delle credenziali di autenticazionec) Utilizzazione di un sistema di autorizzazioned) Aggiornamento periodico dell'individuazione dell'ambito del trattamento

consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici

e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici

f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

h Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

Indicazioni specifiche sono contenute nel Disciplinare tecnico (Allegato B)

Nuova normativa EU

• ll 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'UnioneEuropea (GUUE) i testi del Regolamento europeo in materia diprotezione dei dati personali e della Direttiva che regola i trattamenti didati personali nei settori di prevenzione, contrasto e repressione deicrimini

• Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchettoprotezione dati", l'insieme normativo che definisce un quadro comune inmateria di tutela dei dati personali per tutti gli Stati membri dell'UE

• Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione inGUUE, per diventare definitivamente applicabile in via diretta in tutti iPaesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito ilperfetto allineamento fra la normativa nazionale e le disposizioni delRegolamento

• La Direttiva, invece, è vigente dal 5 maggio, e da qual momentoimpegnerà gli Stati membri a recepire le sue disposizioni nel dirittonazionale entro 2 anni [www.garanteprivacy.it]

Un primo sguardo al Regolamento EU

• Protezione by design e by default

Articolo 25Protezione dei dati fin dalla progettazione e protezione per

impostazione predefinita

1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché dellanatura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertàdelle persone fisiche costituiti dal trattamento, sia al momento di determinare imezzi del trattamento sia all'atto del trattamento stesso il titolare deltrattamento mette in atto misure tecniche e organizzative adeguate, quali lapseudonimizzazione, volte ad attuare in modo efficace i principi di protezionedei dati, quali la minimizzazione, e a integrare nel trattamento le necessariegaranzie al fine di soddisfare i requisiti del presente regolamento e tutelare idiritti degli interessati. (segue>)

2. Il titolare del trattamento mette in atto misure tecniche e organizzativeadeguate per garantire che siano trattati, per impostazione predefinita,solo i dati personali necessari per ogni specifica finalità del trattamento.Tale obbligo vale per la quantità dei dati personali raccolti, la portata deltrattamento, il periodo di conservazione e l'accessibilità. In particolare, dettemisure garantiscono che, per impostazione predefinita, non siano resiaccessibili dati personali a un numero indefinito di persone fisiche senzal'intervento della persona fisica.

I principi della Privacy by Design

1) Essere proattivo non reattivo: la PbD ha come scopo la prevenzionepiuttosto che il rimedio

2) La privacy come impostazione di default, ovvero come regola di basedi un sistema IT

3) La privacy incorporata nella progettazione, cioè integrata dei sistemiinformativi

4) Il perseguimento della massima funzionalità, intesa come valorepositivo, non valore zero, quindi vantaggioso per tutti

5) La sicurezza fino alla fine e la piena protezione del ciclo di vita del dato6) La visibilità e la trasparenza, dal momento che componenti ed

operazioni delle tecnologie e delle prassi utilizzate devono sempreessere verificabili

7) Il rispetto per la privacy dell’utente e la centralità dell’utente, potenziateseguendo un approccio user-­centred

Articolo 32 Sicurezza del trattamento

1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché dellanatura, dell'oggetto, del contesto e delle finalità del trattamento, come anchedel rischio di varia probabilità e gravità per i diritti e le libertà delle personefisiche, il titolare del trattamento e il responsabile del trattamento mettono inatto misure tecniche e organizzative adeguate per garantire un livello disicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;;b) la capacità di assicurare su base permanente la riservatezza,l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi ditrattamento;;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;;

d) una procedura per testare, verificare e valutare regolarmentel'efficacia delle misure tecniche e organizzative al fine di garantire lasicurezza del trattamento. (segue >)

2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo deirischi presentati dal trattamento che derivano in particolare dalladistruzione, dalla perdita, dalla modifica, dalla divulgazione nonautorizzata o dall'accesso, in modo accidentale o illegale, a dati personalitrasmessi, conservati o comunque trattati.

3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a unmeccanismo di certificazione approvato di cui all'articolo 42 può essereutilizzata come elemento per dimostrare la conformità ai requisiti di cui alparagrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì chechiunque agisca sotto la loro autorità e abbia accesso a dati personalinon tratti tali dati se non è istruito in tal senso dal titolare del trattamento,salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Data Breach: Articolo 33Notifica di una violazione dei dati personali

all'autorità di controllo• In caso di violazione dei dati personali, il titolare del trattamento notifica la

violazione all'autorità di controllo competente a norma dell'articolo 55senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cuine è venuto a conoscenza

• Tale notifica deve, tra l’altro:– descrivere la natura della violazione dei dati personali compresi, ovepossibile, le categorie e il numero approssimativo di interessati inquestione nonché le categorie e il numero approssimativo diregistrazioni dei dati personali in questione

– descrivere le probabili conseguenze della violazione dei dati personali– descrivere le misure adottate o di cui si propone l'adozione da partedel titolare del trattamento per porre rimedio alla violazione dei datipersonali e anche, se del caso, per attenuarne i possibili effetti negativi

• Quando la violazione dei dati personali è suscettibile di presentare un rischioelevato per i diritti e le libertà delle persone fisiche, il titolare del trattamentocomunica la violazione all'interessato senza ingiustificato ritardo

• Non è richiesta la comunicazione all'interessato se è soddisfatta una delleseguenti condizioni:– il titolare del trattamento ha messo in atto le misure tecniche eorganizzative adeguate di protezione, in particolare quelle destinate arendere i dati personali incomprensibili

– il titolare del trattamento ha successivamente adottato misure atte ascongiurare il sopraggiungere di un rischio elevato per i diritti e lelibertà degli interessati

– detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, siprocede invece a una comunicazione pubblica o a una misura simile,tramite la quale gli interessati sono informati con analoga efficaci

Data Breach: Articolo 34Comunicazione di una violazione dei dati personali all'interessato

PRINCIPI E STRUMENTI PER LA SICUREZZA INFORMATICA

Parte quarta

Obiettivi della sicurezza informatica

• “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche edei piani operativi volti a prevenire, fronteggiare e superare eventi inprevalenza di natura dolosa e/o colposa, che possono danneggiare le risorsemateriali, immateriali ed umane di cui l'azienda dispone e necessita pergarantirsi un'adeguata capacità concorrenziale nel breve, medio e lungoperiodo” (UNI/EN ISO 104559)

• Requisiti:– Disponibilità– Integrità– Riservatezza

• Finalità: garantire la continuità operativa, proteggere dati personali e sensibili,proteggere il know how legato alla professione, salvaguardare la Reputation

Una politica per la sicurezza

• Per garantire la sicurezza in un sistema complesso, nel qualeinteragiscono più soggetti, occorre:– individuare correttamente le azioni lecite che ciascun soggetto può eseguire in riferimento agli oggetti informatici

– definire il sistema in tutti i suoi aspetti (tecnici, procedurali,organizzativi, ecc.), in modo tale da contrastare le possibili azioni illecite

• Un politica della sicurezza deve valutare, con una metodologia dianalisi e gestione dei rischi e le contromisure di tipo tecnico,logico, fisico, procedurale e sul personale che permettano di ridurrea livelli accettabili il rischio residuo globale

Contromisure

• Contromisure di prevenzione, che hanno l’obiettivo di impedire che il rischio si manifesti, controllando i punti di vulnerabilità del sistema e proteggendolo dagli attacchi

• Contromisure di rilevazione/monitoraggio, finalizzate a rilevare, in seguito ad un attacco, le conseguenze dannose e ad accertare eventuali responsabilità

• Contromisure di ripristino, che consentono di minimizzare i danni con la riattivazione tempestiva del sistema e delle sue funzionalità, senza perdita di dati. Si parla di Business continuity planning e Disaster recovery

Gestione della sicurezza

• La dimensione dello studio non determina la modalità di governo del dato, quanto piuttosto l’entità dell’investimento per gestire una complessità maggiore

• Ci sono valutazioni che non si possono omettere:– Disponibilità di specifiche, di documentazione e di codice sorgente degli strumenti che ci propongono

– Valutare licenza d’uso per prodotti commerciali e le condizioni d’uso e qualora di decida di ricorrere a servizi “gratuiti”

– Portabilità dei dati– Dove e come sono memorizzati dati personali, sensibili – Tempo di ripristino– Punto di ripristino

Esempio di architettura esternalizzata

[Cfr. Studio Previti e ITnet (gruppo ItaliaOnline)]

[Cfr. Studio Previti e ITnet (gruppo ItaliaOnline)]

Dieci punti di attenzione

1. Fattore umano: stampe incustodite, password non robuste, evitaredi lasciare il proprio computer in disponibilità di terzi,consapevolezza delle tracce delle nostre attività, phishing, wi-­fiaperte, ecc. Può essere utile la redazione di policy di sicurezza pertutte le persone dello studio

2. Autorizzazioni: decidere quali autorizzazioni concedere ad unprefissato soggetto, valutare, per ogni bene e per ogni tipo diinterazione con esso, quali eventuali danni possano derivare dallaconcessione o dalla negazione della corrispondente autorizzazione(Allegato B Codice Privacy, 12-­14)

3. Autenticazione o codici di accesso: impostare adeguate regoleper imporre la scelta di pwd robuste, organizzare la scadenza dellepwd, adottare eventuali sistemi di autenticazione robusta(biometrica, token hw, ecc), attivazione di funzionalità di bloccoanche per i dispositivi mobili (Allegato B Codice Privacy, 1-­10)

Dieci punti di attenzione

4. Difesa perimetrale: per collegarsi a un access point, a un cavo direte, a una connessione di terze parti è opportuno interporre unastrumento di difesa perimetrale (il firewall) che filtra il traffico inbase a regole predefinite

5. Aggiornamento sw: verificare il periodico aggiornamento deisistemi operativi e del software di tutti i dispositivi, disattivare lefunzioni non utilizzate

6. Protezione da virus e malware: installare programmi specifici eoccuparsi della loro manutenzione

7. Gestione della memoria: tenere in considerazione l’usura deisupporti e l’evoluzione dei formati dati, custodire correttamente isupporti per evitare accessi non autorizzati (es. soluzione di cloudstorage)

Dieci punti di attenzione

8. Cancellazione sicura dei dati: Allegato B al Codice privacy(regole 21 e 22) e provvedimento del Garante sulla dismissione dirifiuti di apparecchiature elettriche e elettroniche del 2008. Lacancellazione sicura di informazioni si ottiene con:– programmi informatici (wiping) che riscrivono ripetutamente sequenzecasuali di 0 e 1 sopra allo spazio liberato (es. Eraser, WipeDisk,Permanet Eraser, DBAN ecc.)

– formattazione (inizializzazione) a basso livello del supporto dimemorizzazione

– demagnetizzazione (degaussing)dei dispositivi magnetici– distruzione dei supporti (punzonatura, deformazione meccanica, ecc.)Ci sono strumenti di sync and share che garantiscono una disponibilitàillimitata del dato!

Dieci punti di attenzione

9. Cifratura dei dati: è possibile cifrare, un file, una cartella, unaparte di disco, una chiavetta USB, un intero hard disk. Alcuni s.o.dispongono di funzione di cifratura (FileVault, Bitlocker) che inmaniera trasparente cifrano tutti i dati sul disco, programmi specifici(come TrueCypt, PGP) offrono maggiore flessibilità. Alcuni sistemidi Cloud pubblico nelle versioni professionali offrono servizi dicifratura dati del tutto trasparenti all’utente

10. Il backup: Stabilire cadenza temporale, quali dati, tempo dicustodia dei dati, dove fare il backup (su Cloud, on line, su server,ecc.). Esistono dispositivi sofisticati che consentono un alto gradodi automazione delle procedure di back up e restore. Attenzione: isistemi di sync and share gratuiti effettuano il backup dei dati perun periodo limitato!

Apertura e trasparenza come requisiti di sicurezza

• Apertura e trasparenza delle tecnologie utilizzate: maggiorcontrollo del codice sorgente, peer review, non presenza dibackdoor, conoscenza delle logiche nel trattamento e nellamemorizzazione dei dati personali. La sicurezza viene daprocedure robuste e non dalla segretezza

• Evitare il lock in: passare dall’una all’altra soluzione informaticacomporta costi elevati e di conseguenza l’utente tende a diventareprigioniero della tecnologia che ha adottato

Alcuni riferimenti bibliografici• AA. VV. Rapporto Clusit 2015 sulla sicurezza ICT in Italia • AA.VV. Da The Hidden Data Economy (by Intel Security), 2015• Bardari U.(2016) Le nuove frontiere del crimine informatico, www.informaticaforense.it• Brighi R. (2012) Sicurezza informatica e amministratore di sistema in Informatica

giuridica per le relazioni aziendali, Giappichelli• Cavoukian, A. (2009) Privacy by Design. The 7 Foundational Principles. Toronto

http://www.privacybydesign.ca/index.php/about-­pbd/7-­foundationalprinciples/• Federici C. (2016) Cloud Computing: principi generali, benefici e criticità,

www.informaticaforense.it.• Floridi, L. (2012), La rivoluzione dell’informazione. Codice Edizioni• Maioli C. 2015, (a cura di) Questioni di informatica forense, Aracne• Perri P, 2011, Sicurezza giuridica e sicurezza informatica in Manuale di informatica

giuridica e diritto delle nuove tecnologie, Utet• Perri, P. 2007, Privacy, Diritto e Sicurezza informatica. Giuffré Editore, Milano• Santucci G. (a cura di), 2006 Linee guida alla continuita operativa nella Pubblica

Amministrazione, i Quaderni, CNIPA, n. 28• Sartor G. (2012). Internet e il diritto in Temi di diritto dell’informatica, Giappichelli Editore• Ziccardi G. (2012). L’avvocato Hacker. Per un uso consapevole delle tecnologie.

Giuffré.

Raffaella BrighiCIRSFID – Università di Bologna

raffaella.brighi@unibo.it

www.unibo.it