FORENSICS E FRODI AZIENDALE 21 NOVEMBRE 2001 AIEA, Sessione di Studiio.
-
Upload
vitalia-scognamiglio -
Category
Documents
-
view
216 -
download
0
Transcript of FORENSICS E FRODI AZIENDALE 21 NOVEMBRE 2001 AIEA, Sessione di Studiio.
FORENSICS E FRODI AZIENDALE
21 NOVEMBRE 2001
AIEA, Sessione di Studiio
”L’applicazione di computer science al processo investigativo”
Però…
Non esiste una definizione universalmente accettata
Sotto-discipline incluse: Computer media analysis Imagery e Video/Audio enhancement DB visualization
Non esiste una Procedura Operativa definita di Computer Forensics Una checklist di 17 punti per il processo investigativo
degli hard drives dei computers redatta da IACIS è disponibile solo per le forze di polizia giudiziaria
Computer Forensics: una definizione
Investigare che cosa? 3 livelli di rischio “Italiano”:
DipendentiConsulenti esterniTerze parti
4 tipi di reati:
Reati “contro” dati (access/interception/interference/misuse)
Reati legati ai sistemi informativi (frodi ecc.)Reati legati ai contenutiViolazione del diritto d’autore e affini
Draft Convention on Cyber CrimeJune 29 2001European Committee on Crime Problems
INTERNETINTERNET
INTRANET CORPORATEINTRANET CORPORATE
VPNVPNAPP 3ORDER
FULFILLMENT
APP 3ORDER
FULFILLMENT
APP 2INVENTORY
APP 2INVENTORY
APP 4SUPPLY CHAIN
APP 4SUPPLY CHAIN
APP 1CRMAPP 1CRM
APP 5LOGISTICA
APP 5LOGISTICA
APP 6HR/AMMIN
APP 6HR/AMMIN
Customer/Customer/Supply ChainSupply ChainTransactionsTransactions
Customer InquiriesCustomer InquiriesSupply ChainSupply ChainTransactionsTransactions
Customer TransactionsCustomer Transactions
Mobile/Remote Mobile/Remote EmployeesEmployees
Customer InquiriesCustomer InquiriesSupply ChainSupply ChainTransactionsTransactions
ExtranetExtranetNetwork/ApplicationNetwork/Application
SecuritySecurity Application securityApplication security
LIVELLI DI ACCESOLIVELLI DI ACCESO
I DANNI
La Sfida: Come gestire il rischioLa Sfida: Come gestire il rischio
LE TRE ZONE DI RISCHIO PER OGNI BUSINESS
COMMERCIALE TECNOLOGICO LEGALE
LA SICUREZZAI REATI EI DIRITTI
++ ++
L’INDIVIDUO V. L’AZIENDA
Che dicono le aziende? 9%: violazione della sicurezza negli ultimi 12 mesi
50%: le minacce più consistenti sono dovute ad hackers e inadeguatezza dei sistemi di sicurezza
79%: la violazione sarà perpetrata attraverso internet o altri accessi esterni
50%: procedure per contrastare le violazioni
22%: includono linee guida per il forensic response
Non è stata intrapresa azione legale per: inadeguatezza delle soluzioni legali, impossibilità di “recovery”, e mancanza di prove
(KPMG 2001 e-Fraud Survey di 12 paesi)
Panorama giuridico-legislativo
Decreto Legislativo 29 dicembre 1992, n. 518“tutela giuridica dei programmi per elaboratore”
Legge 23 dicembre 1993, n. 547“modificazioni ed integrazioni alle norme
del codice penale e del codice di procedure in tema di criminalità informatica”
Direttiva UE 85/46/CE del 24 ottobre 1995 e Legge 31 dicembre 1996 n. 675 : “privacy”
Considera che…
“chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”
Legge 547/1993 Art. 615-ter
“chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni”
Legge 547/1993 Art. 615-quater
Considera inoltre che…
“chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici…è punito con la reclusione da sei mesi fino a tre anni” 635-bis Codice Penale
“chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico…è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni” CP Art. 615-quiquies
“chiunque,…installa apparecchiatura atte ad intercettare, impedire, o interrompere comunicazioni relative ad un sistema informatico…è punito con la reclusione da uno a quattro anni” CP art. 617-quinquies
Art 2049 c.c. e Art 40 c.p.: datore di lavoro è responsabile delle azioni del dipendente; “reati omissivi”
La Formula Vincente
SICUREZZA
ASSICURAZIONE
+
Competenza
Diritti
RischioResiduo
Documentazione
90° Minuto
Corte di Cassazione n. 1675 del 7.11.2000:
una duplicazione abusiva dei dati di uno studio commerciale da parte di un ex-socio. La Cassazione afferma la perseguibilità penale dell’accesso abusivo ex art. 615 ter c.p. anche nel caso in cui sia posto in essere da soggetto precedentemente autorizzato.
“Il Ladro e La Telecamera”
Il Password per una vita!
Conclusioni e domande
Grazie per l’attenzione
Avv. Robert A. RosenAmministratore Delegato WebComm
WebComm
PUOPOLO SISTILLI GEFFERS& LUISE
WEBCOMMWEBCOMMWEBCOMMWEBCOMMCATALYST
CONSULTING GROUP
XO SOFT
Our WebCommunity
IL GRUPPO E-Mkt
In Italy Global Alliances
www.webcomm.it