smau roma 2011 nicola fabiano

1

Roma, 30-31 marzo – Fiera di Roma !

Il furto dʼidentità nel web!

La privacy e lʼausilio delle tecnologie: dalle PETs alla Privacy by Design"

Avv. Nicola Fabiano!

2


Domanda:

Furto Identità Furto d’identità ?

NO

3


Soggetto

Identità reale

Identità digitale (eID)

4

Roma, 30-31 marzo – Fiera di Roma ! Cosa siamo sulla rete ?

5


Il furto d’identità

può consentire

Frodi finanziarie

Frodi con carte di credito

Terrorismo

Immigrazioni illegali

Frodi creditizie

Commissioni di reati

6


Modalità di realizzazione del F.I.

Da# FTC 2009

7

Roma, 30-31 marzo – Fiera di Roma !Traffico email e spam nel mondo

Fonte: www.radica#.com

8


Tipi di furto

d’identità

Ghosting

Financial identity

theft

Medical identity

theft

Identity cloning

Syntetic identity

theft

Criminal identity

theft

Elencazione non esaustiva!

9


Dati personali

Furto dai database

Keylogger

Ricerca su Internet

Social network

Malware

Phishing Spamming

Guardare le email altrui

Social engeneering

Dati su hard disk

Sniffing via wireless

Indicazione esemplifica=va non esaus=va

FURTO D’IDENTITA’

10

Roma, 30-31 marzo – Fiera di Roma !Principali norme nazionali di riferimento!

➮  Codice privacy riguardo alle misure minime ed eventuali violazioni (artt. 33-36; artt. 167 e segg.);"

➮  Art. 494 c.p. - Sostituzione di persona - Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno.;"

➮  Disegni di legge S.414 e S.507 riuniti – approvato il testo unificato al Senato il 16.9.2009 e trasmesso alla Camera. "

➮  Legge comunitaria 2010 in commissione."

11


Esito: favorevole condizionato il 2 marzo 2011 "

12


Definizione di furto dʼidentità!

1.  Impersonificazione totale: appropriazione indebita dellʼidentità di un altro soggetto mediante lʼutilizzo dei suoi dati personali. Lʼimpersonificazione può riguardare un soggetto realmente esistente, un soggetto inesistente o un soggetto deceduto;"

2.  Impersonificazione parziale: occultamento parziale della propria identità attraverso lʼutilizzo di dati anagrafici falsi e recapiti veri;"

3.  Dichiarazione di caratteri falsi: utilizzo di dati anagrafici e recapiti veri e caratteri falsi, questi ultimi relativi, a titolo indicativo, allʼattività lavorativa, allo stipendio, al bilancio societario."

13

Roma, 30-31 marzo – Fiera di Roma ! Alcuni rilievi critici!

•  Viene fornita una definizione assoluta di “furto dʼidentità” che è riduttiva e non esaustiva rispetto al fenomeno complessivamente considerato;"

•  Lʼambito è ristretto al settore del credito al consumo per operazioni tipizzate (richiesta di dilazione o differimento di pagamento, finanziamenti o altra analoga facilitazione finanziaria);"

•  Le informazioni potranno essere tanto su persone fisiche quanto su quelle giuridiche;"

•  Si tratta di un sistema di prevenzione che dovrebbe costituire un deterrente per ridurre lʼentità del fenomeno."

14


Pronunce giurisprudenziali!

1.  Cass. pen., V Sez., 14/12/2007, n. 46674!(sostituzione di persona mediante lʼutilizzo di indirizzo email)""Oggetto della tutela penale, in relazione al delitto preveduto nellʼart. 494 c.p.,è

lʼinteresse riguardante la pubblica fede, in quanto questa può essere sorpresa da inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi sociali. … con lʼinduzione di taluno in errore, nel caso in esame il soggetto indotto in errore non è tanto lʼente fornitore del servizio di posta elettronica, quanto piuttosto gli utenti della rete, i quali, ritenendo di interloquire con una determinata persona (la A.T.), in realtà inconsapevolmente si sono trovati ad avere a che fare con una persona diversa."

""2.  Cass. civ., III Sez., 11/2/2009, n. 3350!(utilizzo di un documento dʼidentità di altro soggetto per operazioni bancarie)""Risultando in fatto dimostrato il furto dʼidentità era onere della Banca fornire la

prova della scusabilità del suo errore (per la somiglianza delle persone o per altra causa)"

15


Nel 1995 con un documento congiunto la Commissioner dell’Ontario (Canada)

e la Dutch DPA (Autorità Olandese)

iniziano a parlare di

PET

16


Codice privacy – D.Lgs 196/2003!

Art. 3. Principio di necessità nel traGamento dei da=

1. I sistemi informa#vi e i programmi informa#ci sono configura= riducendo al minimo l'u=lizzazione di da= personali e di da= iden=fica=vi, in modo da escluderne il traLamento quando le finalità perseguite nei singoli cas i possono essere rea l i z za te med iante , rispeOvamente, da# anonimi od opportune modalità che permeGano di iden=ficare l'interessato solo in caso di necessità.

17


Tecnologie Privacy

L’interessato deve essere sempre in grado di poter controllare

l’u=lizzo delle informazioni personali

invasive

migliora#ve

PETs

18


La 32ma Conferenza mondiale dei Garanti ha adottato la risoluzione – proposta dalla Commissioner dell’Ontario Ann Cavoukian – sulla Privacy by Design."!La Commissione Europea con un comunicato stampa del 4.11.2010 propone una strategia per rafforzare le norme sulla protezione dei dati dell'UE e, in particolare:!"rafforzare i diritti delle persone di modo che la raccolta e l'utilizzo dei dati personali siano limitati allo stretto necessario. "Gli interessati devono essere informati in modo chiaro e trasparante su come, perché e da chi i loro dati sono raccolti e utilizzati. "Essi dovrebbero essere in grado di esprimere un consenso informato al trattamento, ad esempio quando surfano in internet, e avere il "diritto all'oblio" quando i propri dati non sono più necessari o se vogliono farli cancellare."

La Privacy by Design

19


Privacy by Design

Trilogia di applicazioni

1)  Sistemi IT

2)  Pra=che commerciali correGe

3)  ProgeGazione struGurale e infrastruGure di rete

20


1)  Proactive: approccio proattivo piuttosto che reattivo; l’obiettivo è quello di anticipare gli eventi e non attendere che essi si verifichino per proporre rimedi alle soluzioni. "

2)  By Default: salvaguardia del soggetto poiché il bene “privacy” va considerato a priori; nessuna azione è richiesta all’interessato per proteggere la propria privacy."

3)  Embedded: è incorporata nell’architettura dei sistema e delle pratiche commerciali e non costituisce un quid pluris."

4)  Positive – Sum: mira a conciliare tutti gli interessi legittimi e gli obiettivi in una somma positiva del tipo “win-win” dove sono inutili i compromessi e non attraverso un approccio datato del tipo “zero-sum”."

7 Principi della PbD

21


5)  Lifecycle Protection: incorporati i dati all’inizio non c’è rischio sino alla fine del processo di trattamento dei dati (distruzione in modo sicuro)."

6)  Visibility and Transparency: garantisce che tutti i soggetti interessati in qualsiasi momento effettuare potranno effettuare le verifiche più opportune in assoluta trasparenza."

7)  Respect of user privacy: richiede agli operatori che gli interessi dei soggetti siano preminenti; approccio user-centric. !

7 Principi della PbD

22


Grazie per l’aGenzione

Avv. Nicola Fabiano

Patrocinante in Cassazione Specialista in Diri2o Civile

www.studiolegalefabiano.eu [email protected]

Facebook: nicfab TwiGer: nicfab

Linkedin: nfabiano

smau roma 2011 nicola fabiano

Technology