1. La sicurezza informatica
nelle professioni legali
Fondazione Forense Ferrarese
10 giugno 2016
Raffaella Brighi
CIRSFID e Scuola di Giurisprudenza, Università di Bologna
2. Quattro punti
Parte prima
Informatica, professionisti e dati digitali
Parte seconda
Minacce e vulnerabilità
Parte terza
Rischi informatici legati alla professione e il quadro
giuridico di riferimento
Parte quarta
Principi e strumenti per la sicurezza informatica
4. Il professionista
e i nuovi scenari tecnologici
• Dal Personal Computer a un complesso sistema di strumenti
informatici organizzati tra loro: firme digitali, posta elettronica
certificata, marche temporali, console dell’avvocato, bolli on line, ecc.
• A ciò si aggiungono nuove opportunità, in termini di servizi, utilità,
comodità:
– App per smartphone e tablet
– Il Cloud Computing
– Il modello Bring Your Own Device (BYOD)
– … e, in un futuro non molto lontano, cosa porterà l’Internet of
Things al professionista forense?
6. Uso passivo della tecnologia
• Si osserva una certa passività dell’utente che si limita ad utilizzare
le funzioni base con scarsa conoscenza delle funzioni avanzate
• I sistemi operativi moderni tendono a nascondere come operano gli
strumenti per rendere più semplici all’utente ogni operazione
• Degli strumenti impiegati è importante capire:
– Le caratteristiche di funzionamento e le finalità
– Le condizioni d’uso
– I limiti degli strumenti
• Valutare preventivamente le risorse tecnologiche, sia in riferimento
al corretto trattamento e protezione dei dati, sia nell’ottica di
un’eventuale produzione in giudizio degli stessi
7. Il dato digitale
• Le attività di raccolta, organizzazione, conservazione e
trasmissione dei dati costituiscono uno dei principali compiti dei
sistemi informatici
• In molte applicazioni i dati sono più stabili rispetto ai programmi
utilizzati per elaborarli (problema del porting)
• I dati registrati aumentano continuamente, ma la memoria digitale
è assai fragile per ragioni tecniche (obsolescenza di hardware,
software, piattaforme chiuse, ecc) e per vulnerabilità a virus e
cyber attacchi
9. Dato = Valore
• I dati generati dalle nostre attività online – scambiati, integrati e
aggregati dai sistemi informatici (sistemi predittivi, business
analytics, data mining, ecc.) – assumono un ruolo centrale nei
processi di decisione (Data Driven Economy)
• Se è strategico comprendere il valore tutelato
• Valore del dato:
– per l’interessato
– per altri soggetti (governi, aziende, assicurazioni, criminalità, ecc.)
• Nella società della conoscenza, il dato deve essere salvaguardato
attraverso opportune misure tecnologiche e giuridiche
10. La Hidden Data economy:
acquisto di dati personali nel Deep Web
Acquisto
di
dati
personali
Da The Hidden Data Economy (by Intel Security), 2015
http://www.mcafee.com/us/resources/reports/rp-hidden-data-economy.pdf
11. Gli hacker hanno rivelato
le informazioni private dei
clienti per punire l'azienda
sanitaria, colpevole di non
aver pagato il riscatto.
[Report di McAfee Labs
del 2015]
13. Minacce e vulnerabilità
• Il tema della sicurezza informatica riguarda tutte le componenti del
sistema informativo: l’hardware, il software, i dati e le persone
• La minaccia rappresenta un’azione potenziale, accidentale o
deliberata, che può portare alla violazione di uno o più obiettivi di
sicurezza (agente esterno)
• La vulnerabilità è un punto debole del sistema informativo che, se
colpito o sfruttato da una minaccia, porta alla violazione di uno o più
obiettivi di sicurezza
• La misura del rischio cui è esposto un sistema informativo viene
determinata dalla combinazione del valore dei beni, del livello delle
minacce e del livello delle vulnerabilità
14. Categorizzazione delle minacce
Le minacce a un sistema informativo sono di diverso tipo e difficilmente
enucleabili:
• catastrofi naturali o incidenti imprevisti
• attacchi esterni di soggetti interessati a compromettere la sicurezza
del sistema informativo, per sottrarre informazioni, creare danni
rendendo indisponibili dati o strumenti
• software malevolo (virus o malware)
• errori umani: attività scorrette o illecite da parte di personale interno
16. Tipologie di attacchi esterni
• Attacchi in grado di sfruttare specifiche debolezze di un
programma software: exploit, buffer overflow, cracking
• Attacchi in grado di sfruttare connessioni di rete e porte di
accesso ai sistemi o di intervenire sul traffico in transito: backdoor,
port scanning, sniffing, keylogging, spoofing, DoS/DDooS
• Attacchi condotti con l’utilizzo di software malevolo: virus, trojan,
spyware, ransomware
• Attacchi di social engineering, con l’obiettivo di sfruttare la scarsa
consapevolezza da parte del personale di un’organizzazione, per
accedere ad informazioni riservate: phishing, chiavette USB che
veicolano Trojan, ecc.
17. Profitto del Cybercrime
• Profitto indiretto: costruzione di infrastrutture di attacco affittate e
vendute (es. Ransomware, SpyEye);; rivendita di informazioni, codici
di accesso, carte di credito
– con grande facilità si reperiscono gli strumenti necessari alla
generazione dei nuovi software malevoli
– non richieste competenze evolute
• Profitto diretto: frodi automatizzate, ransomware, finti antivirus,
ecc.
22. Ransomware
• Sono software malevoli che infettano i pc e ne cifrano i contenuti
chiedendo un riscatto per consegnare la chiave con cui decifrarli
(es. Cryptolocker, Cryptowall o TorrentLocker, CTB-Locker e
TeslaCrypt)
• Modalità di diffusione:
– mail di phishing: false fatture o note di credito allegate al messaggio,
codici di tracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc) o
relative a bollette di gestori di energia (Enel Energia, ecc) o
ancora operatori telefonici (TIM, Tre, Vodafone, Wind, ecc)
– diffusione tramite siti ”bucati”
– indirizzamento verso una cartella in Cloud da cui viene scaricato il
malware
23. Ransom con phishing su inchiesta
Procura della Repubblica
[ fonte: http://www.ransomware.it/]
27. Trojan diffuso tramite falsa querela
per diffamazione aggravata
[ fonte: http://www.ransomware.it/]
28. I rischi del mobile
• Facilità di smarrimento e sottrazione;; scarso impiego di misure di
blocco dello schermo e del dispositivo
• Disomogeneità dei sistemi operativi;; numerose release da
manutenere e carenza di funzionalità di sicurezza
• Grande quantità di informazioni e funzionalità
• Impiego di app non sempre controllate adeguatamente dai gestori
degli store
• Uso di protocolli di trasmissione (wifi, bluetooth) non riservati e
spesso condivisi in luoghi pubblici con altri utenti
30. Consapevolezza dei rischi
informatici legati alla professione
I rischi riguardano tutta la catena degli operatori:
• dominio delle tecnologie in possesso dell’avvocato
(personali e dello studio)
• dominio dei sistemi informatici imposti dalle istituzioni
• capacità di gestire correttamente dati e comportamenti di
terzi
[Ziccardi, 2011]
31. Alcuni casi di cronaca
• LECCE - Allarme in Tribunale per il furto di un computer all’interno
dell’ufficio del giudice Fabrizio Malagnino, della seconda sezione
penale. Nel pc erano contenuti dati sensibili. Indagano carabinieri e
polizia [ Corriere del mezzogiorno, 15 ottobre 2015]
• Catania, ladri alla Corte d’Appello, Rubati alcuni computer dell’Unep
[La Sicilia.it, 18 ottobre 2015]
• S.M. Capua Vetere. Furto in Tribunale, sparito il computer della
Camera Penale [Il Mattino.it, 21 novembre 2015]
• Tribunale di Padova, furto nell’ufficio di un giudice. Rubati il cellulare
e il pc portatile con materiale di lavoro [Il mattino di Padova, 29
gennaio 2016]
Obblighi di diligenza, segretezza e riservatezza del Codice di
deontologia forense
32. Un esperimento del 2009
• Caso di hacking verso gli uffici del Tribunale di Milano per verificare
la vulnerabilità degli uffici giudiziari dimostra che anche un
attaccante di basso profilo può violare la sicurezza del sistema
(Cajani, 2009)
• Il patrimonio informativo va pensato come un bene da tutelare con i
migliori mezzi tecnologici!
33. La sicurezza informatica
nel quadro giuridico
• L’importanza della sicurezza informatica emerge in modo chiaro
nella disciplina per la protezione dei dati personali (D.lgs 196 del
2003, in particolare Allegato B)
• La sicurezza informatica non è contemplata solo in riferimento alla
privacy nel nostro ordinamento ma anche:
– dal CAD (d.lgs. n. 82 del 2005), relativamente alle firme elettroniche e
digitali e alla continuità operativa della PA (art. 50-bis)
– relativamente ai crimini informatici (art. 615-ter c.p., accesso abusivo a
sistema informatico o telematico)
– dalla normativa sul diritto d’autore (l. n. 633/41) che prevede misure
tecnologiche idonee a proteggere le opere dell’ingegno da usi non
consentiti dall’autore
34. Privacy e obblighi di sicurezza
• Codice Privacy - la sicurezza non riguarda i sistemi ma i dati trattati
• Il Codice privacy prevede due livelli di sicurezza: le misure minime
di sicurezza (art 33 e ss.) e le misure idonee e preventive di
sicurezza (art. 31) finalizzate a ”ridurre al minimo [.…] i rischi di
distruzione o perdita, anche accidentale, dei dati [.…], di accesso
non autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta”
– le misure idonee sono adottate dal titolare tenendo conto di: 1)
progresso tecnico, 2) natura dei dati oggetti del trattamento, 3)
specifiche caratteristiche del trattamento
– le misure minime sono volte ad assicurare un livello minimo di sicurezza
• Discrimen fra responsabilità civile e responsabilità (anche) penale
[Perri, 2007]
35. Misure minime di sicurezza
(ex art. 34 )
a) Autenticazione informatica
b) Adozione di procedure di gestione delle credenziali di autenticazione
c) Utilizzazione di un sistema di autorizzazione
d) Aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici
e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di
dati, ad accessi non consentiti e a determinati programmi informatici
f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi
h Adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari
Indicazioni specifiche sono contenute nel Disciplinare tecnico (Allegato B)
36. Nuova normativa EU
• ll 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione
Europea (GUUE) i testi del Regolamento europeo in materia di
protezione dei dati personali e della Direttiva che regola i trattamenti di
dati personali nei settori di prevenzione, contrasto e repressione dei
crimini
• Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto
protezione dati", l'insieme normativo che definisce un quadro comune in
materia di tutela dei dati personali per tutti gli Stati membri dell'UE
• Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in
GUUE, per diventare definitivamente applicabile in via diretta in tutti i
Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il
perfetto allineamento fra la normativa nazionale e le disposizioni del
Regolamento
• La Direttiva, invece, è vigente dal 5 maggio, e da qual momento
impegnerà gli Stati membri a recepire le sue disposizioni nel diritto
nazionale entro 2 anni [www.garanteprivacy.it]
37. Un primo sguardo
al Regolamento EU
• Protezione by design e by default
Articolo 25
Protezione dei dati fin dalla progettazione e protezione per
impostazione predefinita
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della
natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,
come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà
delle persone fisiche costituiti dal trattamento, sia al momento di determinare i
mezzi del trattamento sia all'atto del trattamento stesso il titolare del
trattamento mette in atto misure tecniche e organizzative adeguate, quali la
pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione
dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie
garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati. (segue>)
38. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative
adeguate per garantire che siano trattati, per impostazione predefinita,
solo i dati personali necessari per ogni specifica finalità del trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del
trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette
misure garantiscono che, per impostazione predefinita, non siano resi
accessibili dati personali a un numero indefinito di persone fisiche senza
l'intervento della persona fisica.
39. I principi
della Privacy by Design
1) Essere proattivo non reattivo: la PbD ha come scopo la prevenzione
piuttosto che il rimedio
2) La privacy come impostazione di default, ovvero come regola di base
di un sistema IT
3) La privacy incorporata nella progettazione, cioè integrata dei sistemi
informativi
4) Il perseguimento della massima funzionalità, intesa come valore
positivo, non valore zero, quindi vantaggioso per tutti
5) La sicurezza fino alla fine e la piena protezione del ciclo di vita del dato
6) La visibilità e la trasparenza, dal momento che componenti ed
operazioni delle tecnologie e delle prassi utilizzate devono sempre
essere verificabili
7) Il rispetto per la privacy dell’utente e la centralità dell’utente, potenziate
seguendo un approccio user-centred
40. Articolo 32
Sicurezza del trattamento
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della
natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche
del rischio di varia probabilità e gravità per i diritti e le libertà delle persone
fisiche, il titolare del trattamento e il responsabile del trattamento mettono in
atto misure tecniche e organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;;
b) la capacità di assicurare su base permanente la riservatezza,
l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di
trattamento;;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso
dei dati personali in caso di incidente fisico o tecnico;;
d) una procedura per testare, verificare e valutare regolarmente
l'efficacia delle misure tecniche e organizzative al fine di garantire la
sicurezza del trattamento.
(segue >)
41. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei
rischi presentati dal trattamento che derivano in particolare dalla
distruzione, dalla perdita, dalla modifica, dalla divulgazione non
autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali
trasmessi, conservati o comunque trattati.
3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un
meccanismo di certificazione approvato di cui all'articolo 42 può essere
utilizzata come elemento per dimostrare la conformità ai requisiti di cui al
paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che
chiunque agisca sotto la loro autorità e abbia accesso a dati personali
non tratti tali dati se non è istruito in tal senso dal titolare del trattamento,
salvo che lo richieda il diritto dell'Unione o degli Stati membri.
42. Data Breach: Articolo 33
Notifica di una violazione dei dati personali
all'autorità di controllo
• In caso di violazione dei dati personali, il titolare del trattamento notifica la
violazione all'autorità di controllo competente a norma dell'articolo 55
senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui
ne è venuto a conoscenza
• Tale notifica deve, tra l’altro:
– descrivere la natura della violazione dei dati personali compresi, ove
possibile, le categorie e il numero approssimativo di interessati in
questione nonché le categorie e il numero approssimativo di
registrazioni dei dati personali in questione
– descrivere le probabili conseguenze della violazione dei dati personali
– descrivere le misure adottate o di cui si propone l'adozione da parte
del titolare del trattamento per porre rimedio alla violazione dei dati
personali e anche, se del caso, per attenuarne i possibili effetti negativi
43. • Quando la violazione dei dati personali è suscettibile di presentare un rischio
elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento
comunica la violazione all'interessato senza ingiustificato ritardo
• Non è richiesta la comunicazione all'interessato se è soddisfatta una delle
seguenti condizioni:
– il titolare del trattamento ha messo in atto le misure tecniche e
organizzative adeguate di protezione, in particolare quelle destinate a
rendere i dati personali incomprensibili
– il titolare del trattamento ha successivamente adottato misure atte a
scongiurare il sopraggiungere di un rischio elevato per i diritti e le
libertà degli interessati
– detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si
procede invece a una comunicazione pubblica o a una misura simile,
tramite la quale gli interessati sono informati con analoga efficaci
Data Breach: Articolo 34
Comunicazione di una violazione
dei dati personali all'interessato
45. Obiettivi
della sicurezza informatica
• “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e
dei piani operativi volti a prevenire, fronteggiare e superare eventi in
prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse
materiali, immateriali ed umane di cui l'azienda dispone e necessita per
garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo
periodo” (UNI/EN ISO 104559)
• Requisiti:
– Disponibilità
– Integrità
– Riservatezza
• Finalità: garantire la continuità operativa, proteggere dati personali e sensibili,
proteggere il know how legato alla professione, salvaguardare la Reputation
46. Una politica per la sicurezza
• Per garantire la sicurezza in un sistema complesso, nel quale
interagiscono più soggetti, occorre:
– individuare correttamente le azioni lecite che ciascun soggetto può
eseguire in riferimento agli oggetti informatici
– definire il sistema in tutti i suoi aspetti (tecnici, procedurali,
organizzativi, ecc.), in modo tale da contrastare le possibili azioni illecite
• Un politica della sicurezza deve valutare, con una metodologia di
analisi e gestione dei rischi e le contromisure di tipo tecnico,
logico, fisico, procedurale e sul personale che permettano di ridurre
a livelli accettabili il rischio residuo globale
47. Contromisure
• Contromisure di prevenzione, che hanno l’obiettivo di impedire che
il rischio si manifesti, controllando i punti di vulnerabilità del sistema
e proteggendolo dagli attacchi
• Contromisure di rilevazione/monitoraggio, finalizzate a rilevare, in
seguito ad un attacco, le conseguenze dannose e ad accertare
eventuali responsabilità
• Contromisure di ripristino, che consentono di minimizzare i danni
con la riattivazione tempestiva del sistema e delle sue funzionalità,
senza perdita di dati. Si parla di Business continuity planning e
Disaster recovery
48. Gestione della sicurezza
• La dimensione dello studio non determina la modalità di governo del
dato, quanto piuttosto l’entità dell’investimento per gestire una
complessità maggiore
• Ci sono valutazioni che non si possono omettere:
– Disponibilità di specifiche, di documentazione e di codice sorgente degli
strumenti che ci propongono
– Valutare licenza d’uso per prodotti commerciali e le condizioni d’uso e
qualora di decida di ricorrere a servizi “gratuiti”
– Portabilità dei dati
– Dove e come sono memorizzati dati personali, sensibili
– Tempo di ripristino
– Punto di ripristino
51. Dieci punti di attenzione
1. Fattore umano: stampe incustodite, password non robuste, evitare
di lasciare il proprio computer in disponibilità di terzi,
consapevolezza delle tracce delle nostre attività, phishing, wi-fi
aperte, ecc. Può essere utile la redazione di policy di sicurezza per
tutte le persone dello studio
2. Autorizzazioni: decidere quali autorizzazioni concedere ad un
prefissato soggetto, valutare, per ogni bene e per ogni tipo di
interazione con esso, quali eventuali danni possano derivare dalla
concessione o dalla negazione della corrispondente autorizzazione
(Allegato B Codice Privacy, 12-14)
3. Autenticazione o codici di accesso: impostare adeguate regole
per imporre la scelta di pwd robuste, organizzare la scadenza delle
pwd, adottare eventuali sistemi di autenticazione robusta
(biometrica, token hw, ecc), attivazione di funzionalità di blocco
anche per i dispositivi mobili (Allegato B Codice Privacy, 1-10)
52. Dieci punti di attenzione
4. Difesa perimetrale: per collegarsi a un access point, a un cavo di
rete, a una connessione di terze parti è opportuno interporre una
strumento di difesa perimetrale (il firewall) che filtra il traffico in
base a regole predefinite
5. Aggiornamento sw: verificare il periodico aggiornamento dei
sistemi operativi e del software di tutti i dispositivi, disattivare le
funzioni non utilizzate
6. Protezione da virus e malware: installare programmi specifici e
occuparsi della loro manutenzione
7. Gestione della memoria: tenere in considerazione l’usura dei
supporti e l’evoluzione dei formati dati, custodire correttamente i
supporti per evitare accessi non autorizzati (es. soluzione di cloud
storage)
53. Dieci punti di attenzione
8. Cancellazione sicura dei dati: Allegato B al Codice privacy
(regole 21 e 22) e provvedimento del Garante sulla dismissione di
rifiuti di apparecchiature elettriche e elettroniche del 2008. La
cancellazione sicura di informazioni si ottiene con:
– programmi informatici (wiping) che riscrivono ripetutamente sequenze
casuali di 0 e 1 sopra allo spazio liberato (es. Eraser, WipeDisk,
Permanet Eraser, DBAN ecc.)
– formattazione (inizializzazione) a basso livello del supporto di
memorizzazione
– demagnetizzazione (degaussing)dei dispositivi magnetici
– distruzione dei supporti (punzonatura, deformazione meccanica, ecc.)
Ci sono strumenti di sync and share che garantiscono una disponibilità
illimitata del dato!
54. Dieci punti di attenzione
9. Cifratura dei dati: è possibile cifrare, un file, una cartella, una
parte di disco, una chiavetta USB, un intero hard disk. Alcuni s.o.
dispongono di funzione di cifratura (FileVault, Bitlocker) che in
maniera trasparente cifrano tutti i dati sul disco, programmi specifici
(come TrueCypt, PGP) offrono maggiore flessibilità. Alcuni sistemi
di Cloud pubblico nelle versioni professionali offrono servizi di
cifratura dati del tutto trasparenti all’utente
10. Il backup: Stabilire cadenza temporale, quali dati, tempo di
custodia dei dati, dove fare il backup (su Cloud, on line, su server,
ecc.). Esistono dispositivi sofisticati che consentono un alto grado
di automazione delle procedure di back up e restore. Attenzione: i
sistemi di sync and share gratuiti effettuano il backup dei dati per
un periodo limitato!
55. Apertura e trasparenza come
requisiti di sicurezza
• Apertura e trasparenza delle tecnologie utilizzate: maggior
controllo del codice sorgente, peer review, non presenza di
backdoor, conoscenza delle logiche nel trattamento e nella
memorizzazione dei dati personali. La sicurezza viene da
procedure robuste e non dalla segretezza
• Evitare il lock in: passare dall’una all’altra soluzione informatica
comporta costi elevati e di conseguenza l’utente tende a diventare
prigioniero della tecnologia che ha adottato
56. Alcuni riferimenti bibliografici
• AA. VV. Rapporto Clusit 2015 sulla sicurezza ICT in Italia
• AA.VV. Da The Hidden Data Economy (by Intel Security), 2015
• Bardari U.(2016) Le nuove frontiere del crimine informatico, www.informaticaforense.it
• Brighi R. (2012) Sicurezza informatica e amministratore di sistema in Informatica
giuridica per le relazioni aziendali, Giappichelli
• Cavoukian, A. (2009) Privacy by Design. The 7 Foundational Principles. Toronto
http://www.privacybydesign.ca/index.php/about-pbd/7-foundationalprinciples/
• Federici C. (2016) Cloud Computing: principi generali, benefici e criticità,
www.informaticaforense.it.
• Floridi, L. (2012), La rivoluzione dell’informazione. Codice Edizioni
• Maioli C. 2015, (a cura di) Questioni di informatica forense, Aracne
• Perri P, 2011, Sicurezza giuridica e sicurezza informatica in Manuale di informatica
giuridica e diritto delle nuove tecnologie, Utet
• Perri, P. 2007, Privacy, Diritto e Sicurezza informatica. Giuffré Editore, Milano
• Santucci G. (a cura di), 2006 Linee guida alla continuità operativa nella Pubblica
Amministrazione, i Quaderni, CNIPA, n. 28
• Sartor G. (2012). Internet e il diritto in Temi di diritto dell’informatica, Giappichelli Editore
• Ziccardi G. (2012). L’avvocato Hacker. Per un uso consapevole delle tecnologie.
Giuffré.