La sicurezza informatica: regole e prassi Introduzione. Roberto Caso

Transcript

1 La sicurezza informatica: regole e prassi Introduzione Roberto Caso

2 Minority Report PHILIP K. DICK, STEVEN SPIELBERG Il sistema di prevenzione perfetto di una società futura ed inquietante ovvero la metafora del: tanto più insicuri, tanto più felici e liberi Attualmente [per fortuna!] non esiste un sistema di prevenzione perfetta 2

3 La (non) sicurezza digitale Un adagio informatico: per rendere davvero sicuro un PC bisogna scollegarlo da tutto e chiuderlo in un bunker protetto da guardie armate 3

4 La promessa (o l incubo) di un architettura digitale sicura Trusted Computing (TC) The Trusted Computing Group, or TCG, develops and promotes open specifications. Computing industry vendors use these specifications in products that protect and strengthen the computing platform against software-based attacks. In contrast, traditional security approaches have taken a moat approach and are software-based, making them vulnerable to malicious attacks, virtual or physical theft, and loss 4

5 Qualcosa di simile alla Precrime Prevenire è meglio che curare A che prezzo? Controllo centralizzato della sicurezza (e del computer) attraverso Internet L applicazione infetta non funziona, il software non certificato non funziona Differenze rispetto alla Precrime: non è lo Stato che garantisce la sicurezza; le regole sono incorporate negli standard tecnologici e contano di più del braccio (più o meno violento) della legge; tutto è già deciso prima dai tecnici; l enforcement è rigido e di natura tecnologica 5

6 Un architettura informatica sicura: per chi? A quale prezzo (giuridico)? Disintegrazione (potenziale) della privacy Autotutela (unilaterale e dispotica) mediante il braccio implacabile della tecnologia Problemi di diritto della concorrenza Polverizzazione della dinamica (elastica) del legal process Etc. 6

7 Eppure Le intenzioni del TC sono buone e giuridicamente giustificabili: Mettere al sicuro password, certificati digitali, dati personali Migliorare la sicurezza della rete Proteggere i contratti on-line Proteggere l identità digitale Etc. 7

8 Missione impossibile? Un difficile bilanciamento di interessi e valori Diritto dell era predigitale: ad es. privacy v. sicurezza nazionale Il bilanciamento passa per meccanismi elastici: in particolare il sistema democratico e delle corti E possibile pensare ad un bilanciamento di interessi nell ambito delle regole tecnologiche? Il diritto può restituire elasticità ad un meccanismo per sua natura rigido? 8

9 Le molte dimensioni legislative della sicurezza informatica nella dimensione unica del codice Le dimensioni legislative della sicurezza [riflesso politiche comunitarie e internazionali]: Privacy e trattamento dei dati personali Reati informatici Firma digitale e documento informatico Commercio elettronico (pagamenti on-line) Processo telematico Copyright 9

10 Un esempio: tutela giuridica delle misure tecnologiche di protezione del copyright Digital Millennium Copyright Act del 1998 e Direttiva 29/2001 sul diritto d autore nella società dell informazione: Divieto di elusione di efficaci misure tecnologiche Divieto di fabbricazione, importazione, distribuzione, di tecnologie che non abbiano, se non in misura limitata, altra finalità o uso commercialmente rilevante, oltre quello di eludere o siano principalmente progettate, prodotte, adattate o realizzate con la finalità di rendere possibile o di facilitare l'elusione di efficaci misure tecnologiche 10

11 Cosa rende sicura una società? Consapevolezza del rischio Consapevolezza del costo della prevenzione Conoscenza del rischio Solidarietà Diffusione delle informazioni (libertà di pensiero) 11

12 Siamo (mediamente) consapevoli del rischio informatico? Una recente indagine della National Cyber Security Alliance Un campione di utenti (navigatori ultrasettennali): 80 % antivirus; 71 % convinto che l update era automatico di default; 80 % spyware; 1/3 firewall Un test casereccio: cosa è il file index.dat? A letto con il nemico: ciò che preoccupa non è ciò che viene dall esterno, ma ciò che abbiamo in casa (cioè sul nostro computer) 12

13 Un società informaticamente sicura Una grande questione culturale Insegnare che al di là delle finestre c è un mondo complesso, duro e cattivo: il lato oscuro della forza La forza del controllo decentrato (e la logica del software libero e aperto) Insegnare agli informatici (reincarnazione) del mito ottocentesco del legislatore onnipotente che la tecnica è regola (il che pone il problema dei valori sottostanti) Insegnare ai giuristi l importanza del diritto dell informatica 13

14 Il diritto dell era digitale Dematerializzazione, deterittorializzazione, tecnologicizzazione, destatualizzazione Tecnologicizzazione: La tecnica è regola La tecnica è fonte di regole La tecnica tutela le regole E un diritto nuovo: nuove regole, nuove categorie, ma non necessariamente nuovi valori 14

15 L esperienza trentina Diritto Privato dell Informatica Informatica e Documentazione Giuridica Diritto Penale dell Informatica Diritto Pubblico di Internet 15

16 Il Presidio ITM di Giurisprudenza Un manipolo di informatici vicini alle esigenze generiche, ma anche specifiche della didattica e della ricerca dei giuristi 16

17 La squadra del Presidio ITM Giuseppe Chiasera: Responsabile tecnico Arianna Dorigatti; Banche dati on line e su cd-rom; Sviluppo progetti Giuseppe Oss: Pc manager, multimedia, Linux Albert Tyszkiewicz: NT system manager, rete pc, sviluppo DB 17

18 L organizzazione dei lavori Regole tecnologiche e regole giuridiche La visione degli informatici La visione dei giuristi La prassi La visione degli informatici La visione dei giuristi La visione degli operatori della sicurezza (tavola rotonda) 18

19 BUON LAVORO! 19