Ho avuto l’opportunità di visitare il Centro Operazioni in Rete della nostra #Difesa e di intervistare il generale Antonio Scalese, persona di grandi qualità che ringrazio per la disponibilità.

Ho potuto vedere la #control#room, parlare con gli addetti, farmi spiegare il loro lavoro e visitare un #Cert all’avanguardia a giudicare dagli strumenti che utilizza.
Bello è stato vedere #Marina, #Aviazione, #Esercito e #Carabinieri lavorare insieme alla protezione delle infrastrutture cibernetiche militari in un periodo così complesso.

Lo racconteremo nei prossimi mesi in televisione a #Codice in una puntata tutta dedicata alla #cybersecurity e alla #guerra#elettronica con molti ospiti del mondo dell’industria, dell’Università e delle Istituzioni.

Parleremo anche di #disinformazione#Osint#autodifesa#digitale#UAV e #APT

Grazie Salvatore Verde

Stay Tuned! #RaiUno

dicorinto.it/articoli/banche-e…

Venerdì 6 maggio presso l’Aula Magna del Dipartimento di Scienze Politiche e della comunicazione dell’Università di Salerno, nell’ambito del progetto #smedataII (organizzato da Università degli studi Roma TRE e E-Lex Studio Legale con il patrocinio di The Italian Data Protection Authority), si terrà un’iniziativa di formazione sul GDPR per le piccole e medie imprese.

Tra i relatori figurano gli avvocati Giovanni Maria Riccio, Ariella Fonsi e Francesco Laviola dello studio E-Lex.

Smedata II è un progetto internazionale che mira a garantire l’effettiva applicazione del Regolamento Generale sulla Protezione dei Dati Personali attraverso la sensibilizzazione, la moltiplicazione della formazione e lo sviluppo sostenibile delle capacità per le PMI e le professioni legali.
Il programma dell’evento di mercoledì è fitto di interventi su temi cruciali per le PMI.

Per seguire l’evento in presenza presso la sede di Salerno è possibile iscriversi qui: lnkd.in/dHw2bHZj

Programma completo: Locandina_Salerno_SMEDATA relatori

Per ulteriori informazioni sul progetto: giurisprudenza.uniroma3.it/ric…

L'articolo Giovanni Maria Riccio, Ariella Fonsi e Francesco Laviola relatori a Smedata II proviene da E-Lex.

Ho avuto l’opportunità di visitare il Centro Operazioni in Rete della nostra #Difesa e di intervistare il generale Antonio Scalese, persona di grandi qualità che ringrazio per la disponibilità.

Ho potuto vedere la #control#room, parlare con gli addetti, farmi spiegare il loro lavoro e visitare un #Cert all’avanguardia a giudicare dagli strumenti che utilizza.
Bello è stato vedere #Marina, #Aviazione, #Esercito e #Carabinieri lavorare insieme alla protezione delle infrastrutture cibernetiche militari in un periodo così complesso.

Lo racconteremo nei prossimi mesi in televisione a #Codice in una puntata tutta dedicata alla #cybersecurity e alla #guerra#elettronica con molti ospiti del mondo dell’industria, dell’Università e delle Istituzioni.

Parleremo anche di #disinformazione#Osint#autodifesa#digitale#UAV e #APT

Grazie Salvatore Verde

Stay Tuned! #RaiUno

Mercoledì 4 maggio, nell’ambito del progetto #smedata II (organizzato da Università degli studi Roma TRE e E-Lex Studio Legale con il patrocinio di The Italian Data Protection Authority), si terrà un’iniziativa di formazione sul GDPR per le piccole e medie imprese.

Tra i relatori figurano gli avvocati Ernesto Belisario, Stefano Aterno e Marilara Coppola dello studio E-Lex.

Smedata II è un progetto internazionale che mira a garantire l’effettiva applicazione del Regolamento Generale sulla Protezione dei Dati Personali attraverso la sensibilizzazione, la moltiplicazione della formazione e lo sviluppo sostenibile delle capacità per le PMI e le professioni legali.
Il programma dell’evento di mercoledì è fitto di interventi su temi cruciali per le PMI.

Per seguire l’evento in presenza presso la sede di Roma Tre è possibile iscriversi qui: https://lnkd.in/dHw2bHZj

Questo, invece, è il link per collegarsi in streaming: lnkd.in/d2B_hi3j

Programma completo: Locandina_Roma_SMEDATA

Per ulteriori informazioni sul progetto: giurisprudenza.uniroma3.it/ric…

L'articolo Ernesto Belisario, Stefano Aterno e Marilara Coppola relatori a Smedata II proviene da E-Lex.

Finalità e contesto: Il PNRR

Il Piano nazionale di ripresa e resilienza (noto anche come “PNRR”) è lo strumento che dovrà dare attuazione, in Italia, al programma Next Generation EU. Lo sforzo di rilancio dell’Italia delineato dal Piano si sviluppa intorno a tre assi strategici condivisi a livello europeo: digitalizzazione e innovazione, transizione ecologica, inclusione sociale.

Il Piano si articola in sedici “Componenti” raggruppate in sei “Missioni”: “Digitalizzazione, innovazione, competitività e cultura”, “Rivoluzione verde e transizione ecologica”, “Infrastrutture per una mobilità sostenibile”, “Istruzione e ricerca”, “Inclusione e coesione”, “Salute”.

Grande attenzione, in generale, viene riservata alla digitalizzazione della pubblica amministrazione.

Gli avvisi destinati ai comuni

Il 4 aprile, sulla piattaforma “PA digitale 2026”, sono stati pubblicati i primi tre avvisi previsti dal PNRR destinati ai comuni per rafforzare la diffusione:

– dell’identità digitale SPID/CIE;

– del sistema di pagamento pagoPA;

– dell’app IO.

Successivamente, poi, tra il 19 e 26 aprile, sono stati pubblicati due ulteriori avvisi, destinati ai medesimi enti, con l’intento di:

– rafforzare le attività di migrazione al cloud e

– il miglioramento della user experience del cittadino nei servizi pubblici.

L’investimento, finalizzato dunque alla diffusione di strumenti già consolidati, è, nel complesso, di 1290 milioni di euro.

In particolare, 100 milioni per favorire la diffusione dell’identità digitale, 200 milioni per rafforzare il sistema di pagamento pagoPA, 90 milioni per l’attivazione di nuovi servizi sull’app IO, 500 milioni per l’implementazione di un piano di migrazione al cloud delle basi dati e 400 milioni per realizzare esperienze digitali semplici e accessibili per i cittadini.

Si tratta delle misure previste dalla Missione 1 Componente 1 del PNRR (Digitalizzazione, innovazione e sicurezza nella PA), investimento 1.4.3 (pagoPA e app IO) 1.4.4 (identità digitale), 1.2 (Abilitazione e facilitazione migrazione al Cloud) e 1.4.1. (Esperienza del cittadino nei servizi pubblici).

Il 40% delle risorse è destinato ai Comuni del Sud (Abruzzo, Basilicata, Campania, Calabria, Molise, Puglia, Sardegna, Sicilia), nel rispetto della priorità trasversale del PNRR relativa al superamento dei divari territoriali.

L’Avviso Misura 1.4.4 “Estensione dell’utilizzo delle piattaforme nazionali di identità digitale – SPID CIE”1ha per oggetto la piena adozione delle piattaforme di identità digitale attraverso il raggiungimento dei seguenti obiettivi:

• Adesione alla piattaforma di identità digitale SPID;
• Adesione alla piattaforma di identità digitale CIE;
• Erogazione di un piano formativo su disposizioni normative, linee guida e best practies in caso di integrazione a SPID e CIE con protocollo SAML2.

È inoltre raccomandata l’integrazione al nodo italiano eIDAS.

L’importo riconoscibile alle pubbliche amministrazioni per l’implementazione del pacchetto per l’Identità Digitale è di 14.000,00 euro.

L’Avviso Misura 1.4.3 “Adozione piattaforma pagoPA”2 ha ad oggetto la migrazione e attivazione dei servizi di incasso sulla Piattaforma pagoPA, seguendo una logica di “pacchetti” che identificano il numero minimo di servizi da integrare a fronte di una singola adesione all’Avviso con il fine di agevolare l’integrazione cd. “full” per ciascun Soggetto Attuatore.

In particolare, è previsto un pacchetto minimo di servizi di incasso da migrare sulla piattaforma, in base alla dimensione del comune – minimo 3 servizi per i comuni sotto i 20mila abitanti; minimo 5 servizi per i comuni oltre 20mila abitanti – fino alla migrazione di tutti i servizi. Il listino voucher è diviso in cinque fasce: per ogni singolo servizio 607 euro ai comuni fino a 5mila abitanti, 857 euro fino a 20mila abitanti, 1.821 fino a 100mila, 2.747 euro fino a 250mila e 7.967 oltre 250mila.

L’Avviso Misura 1.4.3 “Adozione app IO”3 ha come obiettivo la migrazione e l’attivazione dei servizi digitali dell’ente sull’APP IO nel rispetto dei “pacchetti minimi” con limite massimo di 50 servizi finanziabili. In questo caso i voucher, sempre per singolo servizio attivato, vanno da 243 euro per i comuni fino a 5.000 abitanti a 3.187 euro per le amministrazioni con più di 250mila abitanti.

L’Avviso Investimento 1.2 “Abilitazione al cloud per le PA Locali”4ha ad oggetto l’implementazione di un piano di migrazione al cloud delle basi dati e delle applicazioni e servizi dell’amministrazione. In particolare, il comune potrà effettuare tali attività, avvalendosi di due modelli di migrazione:

• Trasferimento in sicurezza dell’infrastruttura IT;
• Aggiornamento in sicurezza di applicazioni in cloud.

La prima modalità consente la migrazione al Cloud dell’infrastruttura in uso, replicando il servizio esistente, senza la necessità di reingegnerizzare le applicazioni (c.d. strategia “Lift&Shit” o “Rehost”), con minore aggravio per l’amministrazione.

La scelta del modello di migrazione determina, inoltre, l’entità dell’importo finanziabile.

Ferma l’aderenza al criterio dei pacchetti minimi per ciascuna delle 7 fasce individuate (vanno da un minimo di 7 servizi ad un massimo di 9 – anche con modalità differenti – per comuni fino a 2.500 abitanti, fino un minimo di 17 ad un massimo di 21 per comuni con più di 250.000), anche l’importo dei voucher è definito in funzione della classe di popolazione residente nel comune istante. In particolare, l’importo dei voucher, in questo caso, per ogni singolo servizio migrato con modello sub a) va da 1.528 euro (per comuni con meno di 2.500 abitanti) a 46.634 euro (per comuni con più di 250.000 abitanti) e con il modello sub b) da 4.603 euro (per comuni con meno di 2.500 abitanti) a 75.816 euro (per comuni con più di 250.000 abitanti).

L’importo totale sarà definitivamente calcolato sulla base della sommatoria dei servizi che saranno migrati. Inoltre, insieme al totale disponibile per i servizi, all’Ente sarà aggiunto al calcolo 1 anno di canone di servizio cloud per un importo massimo erogabile determinato, altresì, secondo le fasce demografiche definite.

L’Avviso Misura 1.4.1 “Esperienza del Cittadino nei servizi pubblici”5ha ad oggetto la realizzazione di interventi di miglioramento dei siti web delle PA e dei servizi digitali per il cittadino, secondo modelli e sistemi progettuali con interfacce coerenti, fruibili e accessibili. Il modello di riferimento, messo a disposizione all’indirizzo designers.italia.it/modello/co… comprende due strumenti fondamentali: l’architettura dell’informazione del sito comunale e i template html del sito comunale.

L’avviso consente diverse modalità di adesione:

• Pacchetto cittadino informato: Il soggetto attuatore dovrà obbligatoriamente implementare il modello citato per il sito web. Per il riconoscimento dell’obiettivo conseguito, l’Ente dovrà, infatti, provvedere a rendere disponibile il proprio sito comunale e attenersi ai criteri di conformità descritti.
• Pacchetto cittadino attivo: Definisce la possibilità di selezionare, a seconda della dimensione del comune, un numero massimo di servizi da implementare, selezionabili dalla lista di servizi digitali per il cittadino. In questo caso, l’Ente dovrà provvedere al ridisegno dei servizi scelti, utilizzando le tipologie di flussi di interfaccia rappresentanti le principali interazioni del cittadino con il comune (Vantaggi economici, iscrizione graduatoria, permessi e autorizzazioni, pagamenti dovuti, servizi a pagamento) o comunque garantire i criteri di conformità descritti dall’avviso.

L’importo finanziabile è determinato secondo le tipiche fasce demografiche, per un totale tra 28.902 euro (per i comuni fino a 5mila abitanti) e 500.243 euro (per i comuni con più di 400mila abitanti), in caso di rifacimento del sito web (sub a) e tra 12.755 euro (per i comuni fino a 5mila abitanti) e 77.684 euro (per i comuni con più di 400mila abitanti) in caso di singoli servizi implementati (sub b).

La presentazione della domanda

La candidatura può essere presentata esclusivamente in modalità telematica su PA digitale 2026, previa registrazione alla piattaforma.

Solo una volta registrati, sarà possibile aderire agli avvisi, sempre tramite la piattaforma, accedendo all’area riservata e previa autenticazione tramite identità digitale. L’accesso tramite identità digitale (SPID, CIE) è obbligatorio sia per il rappresentante legale dell’amministrazione che per eventuali altri utenti della piattaforma relativi all’amministrazione di riferimento. Alla fine della procedura di candidatura il sistema permette di creare la domanda di partecipazione, che deve essere firmata digitalmente dal legale rappresentante della PA e ricaricata in piattaforma. Alla PEC scelta in fase di primo accesso, l’ente riceverà una ricevuta di trasmissione.

Non è necessario presentare progetti e sono, inoltre, finanziabili anche attività già poste in essere, purché siano state avviate a decorrere dal 01 aprile 2021 (dal 01 febbraio 2020 per gli Avvisi PagoPa, Cloud, ed Esperienza del Cittadino) e finanziate con risorse proprie. Una tale previsione è conforme all’obbligo di assenza del c.d. doppio finanziamento ai sensi dell’art. 9 del regolamento (UE) 2021/241.

Salvo per l’avviso 1.2, per il quale è previsto come termine di scadenza il 22 luglio 2022, c’è tempo fino al 2 settembre 2022 per candidare la propria amministrazione.

Dalla pubblicazione dell’avviso in poi sono previste delle finestre temporali di 30 giorni al termine delle quali il Dipartimento provvederà a finanziare le istanze pervenute nel periodo di riferimento.

I primi esiti saranno pubblicati dal 3 maggio 2022 (18 maggio per l’avviso 1.2).

L’erogazione dei fondi

L’erogazione dei fondi avverrà per ordine di prenotazione con la modalità voucher, come previsto per le misure che prevedono l’adozione di soluzioni standard.

Ad ogni ente aderente, dunque, verrà assegnato un voucher economico predefinito, il cui ammontare sarà determinato sulla base di due variabili: la dimensione dell’ente e le scelte fatte in fase di candidatura (per esempio, il numero di servizi da attivare su app IO o da migrare su pagoPA).

L’erogazione delle risorse sarà poi legata al raggiungimento di determinati obiettivi.

Come anticipato, non occorre presentare progetti in fase di candidatura. Sarà sufficiente, infatti, a conclusione dell’iter descritto, presentare al Dipartimento la domanda di erogazione in forma semplificata, a partire dal 15 ottobre 2022.

Il processo di rendicontazione, poi, sarà quindi alleggerito, non sarà necessario rendicontare le singole spese effettuate per ottenere i fondi.

Francesca Ricciulli e Antonello Palasciano

1 Avviso consultabile all’indirizzo: areariservata.padigitale2026.g…

2 Avviso consultabile all’indirizzo: areariservata.padigitale2026.g…

3Avviso consultabile all’indirizzo: areariservata.padigitale2026.g…

4Avviso consultabile all’indirizzo: areariservata.padigitale2026.g…

5Avviso consultabile all’indirizzo: areariservata.padigitale2026.g…

L'articolo 1290 MILIONI DEL PNRR PER LA DIGITALIZZAZIONE DELLA PA – Cinque avvisi destinati alla transizione al digitale dei comuni proviene da E-Lex.

Con la sentenza del 5 aprile1, la Corte di giustizia si è pronunciata nuovamente sul tema della data retention, confermando il suo orientamento in materia.

Il fatto

La Corte suprema irlandese ha interrogato la Corte di giustizia dell’Ue nell’ambito di una causa civile intrapresa da un soggetto condannato all’ergastolo per un omicidio nel 2015. Il ricorrente ha contestato l’ammissibilità delle prove poste a fondamento della decisione di primo grado, nel caso di specie si trattava di dati di traffico e di dati relativi

all’ubicazione riguardanti chiamate telefoniche.

La decisione della Corte

Secondo la Corte, “il diritto dell’Unione osta a misure legislative che prevedano, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione afferenti alle comunicazioni elettroniche, per finalità di lotta ai reati gravi”.

La direttiva relativa alla vita privata e alle comunicazioni elettroniche2 stabilisce il principio del divieto della memorizzazione dei dati relativi al traffico e all’ubicazione. La conservazione rappresenta da una parte un’eccezione alla regola, dall’altra, “un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta”.

Poco più di un anno fa, con la sentenza del 2 marzo 20213, la Corte affermava come l’acquisizione dei dati telefonici e telematici debba essere sottoposta ad un’autorizzazione di un giudice terzo. Pertanto, la decisione della Corte è in linea con i principi di diritto espressi in passato nell’ambito di altre pronunce4, tuttavia fornisce ulteriori indicazioni per delimitare il perimetro della disciplina.

In particolare, si afferma che l’articolo 15 paragrafo 1 della direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE, pur non ammettendo la conservazione generalizzata ed indifferenziata dei dati di traffico e relativi all’ubicazione, “per ragioni di contrasto alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica”, non osta a misure legislative che prevedano:

– la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile;

– la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario;

– la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica, e

– il ricorso a un’ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell’autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione di cui dispongono tali fornitori di servizi,

se tali misure garantiscono, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi.

Inoltre secondo la Corte: “la criminalità, anche particolarmente grave, non può essere equiparata a una minaccia per la sicurezza nazionale”. Coerentemente con quanto stabilito nella pronuncia La Quadrature du Net: “l’obiettivo di preservare la sicurezza nazionale corrisponde all’interesse primario di tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società mediante la prevenzione e la repressione delle attività tali da destabilizzare gravemente le strutture costituzionali, politiche, economiche o sociali fondamentali di un paese”. Viene così esclusa la possibilità di equiparare le esigenze di sicurezza nazionale con quelle derivanti dal contrasto alla criminalità particolarmente grave, risultando inammissibile una conservazione generalizzata in quest’ultimo ambito.

In secondo luogo, la Corte ha ribadito come non risulti compatibile con il diritto dell’Unione: “una normativa nazionale in forza della quale il trattamento centralizzato delle domande di accesso a dati conservati dai fornitori di servizi di comunicazione elettronica, provenienti dalla polizia nell’ambito della ricerca e del perseguimento di reati gravi, è affidato a un funzionario di polizia, assistito da un’unità istituita all’interno della polizia che gode di una certa autonomia nell’esercizio della sua missione e le cui decisioni possono essere successivamente sottoposte a controllo giurisdizionale”.

Infine ha affermato che risulta in contrasto con la normativa Ue, la limitazione nel tempo degli effetti di una declaratoria di invalidità, da parte del giudice nazionale ed in forza del diritto interno, nei confronti di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata ed indifferenziata. Tuttavia l’ammissibilità degli elementi di prova così ottenuti rientra, in linea con il principio di autonomia procedurale degli stati membri, nell’ambito del diritto nazionale, sempreché nel rispetto, dei principi di equivalenza e di effettività.

Effetti della pronuncia e disciplina interna

In Italia ai sensidell’art. 24 della Legge 20 novembre 2017 n. 167 (Legge Europea) entrato in vigore il 12 dicembre 2017 di adeguamento della disciplina nazionale alla Direttiva 2017/541 sulla lotta al terrorismo, è stato stabilito che “per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta, è stabilito in settantadue mesi (6 anni).

Ai sensi dell’art 132 del codice privacy permane, per tutti i delitti, il periodo di conservazione e di disponibilità dei dati di traffico telefonico per 24 mesi e del traffico telematico di 12 mesi (di 30 giorni nel caso delle chiamate senza risposta), mentrecon la Legge Europea 167/2017 è stato previsto un periodo di conservazione dei dati di 72 mesi (6 anni) per un buon numero di reati, come quelli contemplati dall’art. 407 comma 2 lett. a) c.p.p., considerati dal nostro ordinamento particolarmente gravi5.

Nella sostanza ciò si traduce in un obbligo generico di conservazione da parte dei gestori dei servizi per un lasso di tempo considerevole, non essendo quest’ultimi in grado di valutare ex ante chi fra i propri utenti possa risultare autore di reati gravi.

Ebbene, proprio in questo obbligo generico di conservazione si può individuare il massimo punto di tensione con i principi affermati dalla Corte. Difatti, nella normativa interna è previsto solo un criterio selettivo (gravità del reato) rilevante nel momento dell’acquisizione, tuttavia, proprio per le ragioni di cui sopra, lo stesso criterio non incide sul regime della conservazione.

Inoltre, se da un lato la disciplina interna risulta in linea con la natura stessa di questo strumento di ricerca della prova, il quale prevede una raccolta generalizzata in considerazione di un’acquisizione potenziale, dall’altro lato essa rispecchia il punto di vista della Consulta relativamente alla minore invasività sulla privacy dello strumento della conservazione, in confronto a quella delle intercettazioni, tale da legittimarne una diversa regolamentazione.

Coerentemente con questa interpretazione, è doveroso ricordare come, fino al D.L. 132/2021, il potere di acquisizione era attribuito al solo pubblico ministero. Proprio in virtù di questo Decreto legge di ottobre 2021, l’articolo 132 del decreto legislativo 30 giugno 2003, n. 196 è stato così modificato: “il comma 3 è sostituito dal seguente: Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti ai fini della prosecuzione delle indagini, i dati sono acquisiti presso il fornitore con decreto motivato del giudice su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private”. Dunque, s’intuisce come attraverso tale modifica è stata soddisfatta l’esigenza, sottolineata dalla Corte di giustizia, di introdurre un vaglio, da parte di un’autorità terza, sull’istanza di acquisizione.

Questa nuova formulazione determina come successivamente al vaglio del giudice segua un suo provvedimento autorizzativo che consente al soggetto richiedente (pubblico ministero o difensore) di acquisire i tabulati.

Altra novità da sottolineare è la previsione di una procedura d’urgenza attivabile da parte del pubblico ministero, così recita il nuovo comma 3-bis: “Quando ricorrono ragioni di urgenza e vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati con decreto motivato che e’ comunicato immediatamente, e comunque non oltre quarantotto ore, al giudice competente per il rilascio dell’autorizzazione in via ordinaria. Il giudice, nelle quarantotto ore successive, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati”.

Il nuovo impianto normativo prevede una possibilità per il pubblico ministero che non trova egual riscontro nelle facoltà concesse al difensore. Basti pensare al ruolo cruciale che potrebbe avere in questo contesto il criterio di profondità cronologica su citato, ai fini dell’acquisizione dei dati in questione. Difatti, mentre il pubblico ministero, nelle more per la richiesta di acquisizione, può richiedere i dati direttamente al gestore, anche se il relativo decreto dovrà essere successivamente convalidato, il difensore deve in ogni caso attendere il provvedimento autorizzativo del GIP. È inconfutabile come ciò si possa tradurre in una disparità di trattamento degli attori coinvolti in questa prima fase del procedimento (art. 111 cost.).

A ben vedere questo assetto risulta incompatibile con l’orientamento della Corte, dal quale risulta in maniera evidente la preoccupazione per l’invasività di questo strumento sulla vita privata dei cittadini, indipendentemente da qualsiasi collegamento con una fattispecie delittuosa.

In questo quadro si renderà necessario un intervento del legislatore, il quale “dovrà elaborare una disciplina processuale ad hoc sui tabulati in cui specificare, in una prospettiva futura e non passata, le categorie di soggetti da proteggere e quelli di cui potranno essere forniti i dati ( ad esempio indiziati di gravi reati o persone in procinto di commettere un grave reato), elementi oggettivi e non generici (indizi di colpevolezza di gravi reati già commessi o al fine di prevenire la commissione di gravi reati), il criterio geografico (la zona circostante la scena del delitto), il periodo limitato ma rinnovabile” 6.

Infine, potrebbe risultare tanto più utile prevedere una disciplina per la conservazione rapida e il relativo accesso, specificando condizioni e modalità per l’attuazione dell’ordine di quick freeze.

Domenico Talarico

1 Sentenza del 5 aprile 2022, C-140/20;

2 Direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE;

3 Sentenza del 2 marzo 2021, H.K. c. Prokuratuur, C 746-18;

4 Sentenze del 21 dicembre 2016, Tele2 Sverige et Watson e a., C-203/15 e C-698/15; del 6 ottobre 2020, Privacy International, C-623/17, e La Quadrature du Net e a., C-511/18, C-512/18.

5 Cfr. S. Aterno, Data retention: la sentenza della Corte di Giustizia europea sull’acquisizione dei dati di traffico (telefonico e telematico). Uno sguardo alla situazione italiana, disponibile al sito: e-lex.it/it/data-retention-la-…

6 Confronta V. Stella, Spangher: «La Corte di Giustizia della Ue ha sancito la fine del regime dei tabulati», in IL DUBBIO disponibile al sito www.ildubbio.news/2022/04/20/spangher-intercettazioni/

L'articolo La Corte di Giustizia ritorna sul tema della data retention proviene da E-Lex.

Venerdì 29 aprile, a partire dalle ore 15, il prof. Giovanni Maria Riccio terrà una lezione presso il Master in Diritto e Management dei servizi socio-sanitari dell’Università di Roma Tre su intelligenza artificiale e dispositivi medici.

L'articolo Il prof. Giovanni Maria Riccio terrà una lezione presso il Master in Diritto e Management dei servizi socio-sanitari dell’Università di Roma Tre proviene da E-Lex.

Ogni mese “Orizzonti idee dalla Basilicata” organizza un incontro su una tematica di attualità e di interesse per il territorio.

Giovedì 28 aprile, alle ore 16.00, Ernesto Belisario interverrà al talk “La Sfida dell’innovazione: la transizione digitale per un Paese all’avanguardia”.

Si discuterà del modello Basilicata che, anche grazie al Piano digitale lucano, può ricoprire il ruolo di un vero e proprio hub digitale per il Mezzogiorno e, in virtù della sua posizione strategica, per tutto il Mediterraneo.

Per la diretta streaming: eni.com/eni-basilicata/it-IT/s…

L'articolo Ernesto Belisario al talk di Orizzonti: “La Sfida dell’innovazione” proviene da E-Lex.

dicorinto.it/eventi/arte-intel…

dicorinto.it/articoli/arte-int…

Il debito della cybersecurity

HACKER’S DICTIONARY. Secondo una ricerca di CyberArk i programmi e gli strumenti di protezione informatica sono cresciuti ma spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili

di ARTURO DI CORINTO per Il Manifesto del 21 Aprile 2022

In base a una ricerca di Cyberark che ha coinvolto 1.750 responsabili della sicurezza IT a livello mondiale, il 72% dei professionisti italiani intervistati ritiene che per sostenere la trasformazione digitale negli ultimi 12 mesi le aziende italiane abbiano privilegiato l’operatività del business rispetto alla sicurezza informatica.

Eppure è in ragione di questa accelerazione digitale che, secondo una differente ricerca di Veeam, i leader IT si aspettano che il budget per la protezione dei dati della loro organizzazione aumenti di circa il 6% anche se i dati Gartner stimano una crescita della spesa del 5.1% dal 2021 al 2022.
Questa differenza dell’1% equivale a miliardi di dollari in termini reali e contribuisce a incrementare un «debito di sicurezza». Un debito che, secondo l’Identity Security Threat Landscape Report di CyberArk, è legato però soprattutto all’identità digitale.

Spieghiamoci meglio: per i professionisti della sicurezza le iniziative digitali a livello di organizzazione hanno un costo, definito «Cybersecurity Debt», ovvero debito di sicurezza: significa che i programmi e gli strumenti di protezione sono cresciuti, ma non hanno tenuto il passo con le iniziative attuate per guidarne l’operatività e la crescita, spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili.

L’aumento di identità umane e non-umane, cioè le centinaia di migliaia di macchine in esecuzione in ogni organizzazione, espone però le aziende a un maggiore rischio perché ogni grande iniziativa IT o digitale comporta un aumento delle interazioni tra persone, applicazioni e processi. Un rischio aggravato dalle tensioni geopolitiche che si sommano alle minacce »ransomware» e alla vulnerabilità nella «supply chain» del software, nonostante gli investimenti fatti per soddisfare clienti e reclutare forza lavoro.

Il tema secondo CyberArk è evidente nei numeri:

• Il 68% di identità non umane o bot ha accesso a dati e risorse sensibili.
• Ogni dipendente ha in media più di 30 identità digitali.
• Le identità delle macchine in azienda oggi superano quelle umane di 45 volte.
• L’87% archivia dati sensibili in più luoghi all’interno degli ambienti DevOps, mentre l’80% afferma che gli sviluppatori hanno in genere più privilegi del necessario per i loro ruoli.

Se a questo aggiungiamo che trasformazione digitale, migrazione al «cloud »e aggressività degli attaccanti stanno ampliando la superficie di attacco capiamo che la situazione è critica soprattutto in relazione ad alcuni elementi evidenziati nel rapporto:

• L’accesso alle credenziali è stato identificato come l’area di rischio principale dagli intervistati (40%), seguita da elusione delle difese (31%), esecuzione (31%), accesso iniziale (29%) ed escalation dei privilegi (27%).
• Oltre il 70% delle organizzazioni intervistate ha subito attacchi «ransomware» nell’ultimo anno, con una media di due ciascuna.
• Il 62% non ha avviato alcuna iniziativa per proteggere la «supply chain software» dopo l’attacco SolarWinds e la maggior parte (64%) ha ammesso che la compromissione di un fornitore software non permetterebbe di bloccare un attacco alla loro azienda.

Per ovviare a questi problemi però non è detto che spendere di più sia la strada migliore, forse è più importante capire come si allocano le risorse e come si implementano le strategie di difesa, dall’elencazione esatta delle componenti software da proteggere, alla gestione strategica dei dati sensibili, fino all’aumento dei controlli di sicurezza, l’importante è metterle in pratica per creare ecosistemi digitali più solidi e resilienti.

dicorinto.it/testate/il-manife…

Il debito della cybersecurity

HACKER’S DICTIONARY. Secondo una ricerca di CyberArk i programmi e gli strumenti di protezione informatica sono cresciuti ma spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili

di ARTURO DI CORINTO per Il Manifesto del 21 Aprile 2022

In base a una ricerca di Cyberark che ha coinvolto 1.750 responsabili della sicurezza IT a livello mondiale, il 72% dei professionisti italiani intervistati ritiene che per sostenere la trasformazione digitale negli ultimi 12 mesi le aziende italiane abbiano privilegiato l’operatività del business rispetto alla sicurezza informatica.

Eppure è in ragione di questa accelerazione digitale che, secondo una differente ricerca di Veeam, i leader IT si aspettano che il budget per la protezione dei dati della loro organizzazione aumenti di circa il 6% anche se i dati Gartner stimano una crescita della spesa del 5.1% dal 2021 al 2022.
Questa differenza dell’1% equivale a miliardi di dollari in termini reali e contribuisce a incrementare un «debito di sicurezza». Un debito che, secondo l’Identity Security Threat Landscape Report di CyberArk, è legato però soprattutto all’identità digitale.

Spieghiamoci meglio: per i professionisti della sicurezza le iniziative digitali a livello di organizzazione hanno un costo, definito «Cybersecurity Debt», ovvero debito di sicurezza: significa che i programmi e gli strumenti di protezione sono cresciuti, ma non hanno tenuto il passo con le iniziative attuate per guidarne l’operatività e la crescita, spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili.

L’aumento di identità umane e non-umane, cioè le centinaia di migliaia di macchine in esecuzione in ogni organizzazione, espone però le aziende a un maggiore rischio perché ogni grande iniziativa IT o digitale comporta un aumento delle interazioni tra persone, applicazioni e processi. Un rischio aggravato dalle tensioni geopolitiche che si sommano alle minacce »ransomware» e alla vulnerabilità nella «supply chain» del software, nonostante gli investimenti fatti per soddisfare clienti e reclutare forza lavoro.

Il tema secondo CyberArk è evidente nei numeri:

• Il 68% di identità non umane o bot ha accesso a dati e risorse sensibili.
• Ogni dipendente ha in media più di 30 identità digitali.
• Le identità delle macchine in azienda oggi superano quelle umane di 45 volte.
• L’87% archivia dati sensibili in più luoghi all’interno degli ambienti DevOps, mentre l’80% afferma che gli sviluppatori hanno in genere più privilegi del necessario per i loro ruoli.

Se a questo aggiungiamo che trasformazione digitale, migrazione al «cloud »e aggressività degli attaccanti stanno ampliando la superficie di attacco capiamo che la situazione è critica soprattutto in relazione ad alcuni elementi evidenziati nel rapporto:

• L’accesso alle credenziali è stato identificato come l’area di rischio principale dagli intervistati (40%), seguita da elusione delle difese (31%), esecuzione (31%), accesso iniziale (29%) ed escalation dei privilegi (27%).
• Oltre il 70% delle organizzazioni intervistate ha subito attacchi «ransomware» nell’ultimo anno, con una media di due ciascuna.
• Il 62% non ha avviato alcuna iniziativa per proteggere la «supply chain software» dopo l’attacco SolarWinds e la maggior parte (64%) ha ammesso che la compromissione di un fornitore software non permetterebbe di bloccare un attacco alla loro azienda.

Per ovviare a questi problemi però non è detto che spendere di più sia la strada migliore, forse è più importante capire come si allocano le risorse e come si implementano le strategie di difesa, dall’elencazione esatta delle componenti software da proteggere, alla gestione strategica dei dati sensibili, fino all’aumento dei controlli di sicurezza, l’importante è metterle in pratica per creare ecosistemi digitali più solidi e resilienti.

dicorinto.it/testate/il-manife…

Il debito della cybersecurity | il manifesto

^{Matteo Bartocci (il manifesto)}

L’AGCOM sanziona tre società di telefonia per mancato barring di alcuni servizi offerti

L’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”), lo scorso 21 aprile ha reso noto di aver emesso tre ordinanze di ingiunzione nei confronti di tre società di telefonia per mancato blocco preventivo – cosiddetto “barring” – di alcuni servizi digitali offerti sulle rispettive piattaforme.

Inoltre, l’Autorità ha contestato alle tre società l’inesatta osservanza degli obblighi informativi nei confronti dei propri clienti.

Fonte: sito ufficiale dell’AGCOM

L’AGCM sanziona una nota società di trasporto marittimo per circa 4 milioni di euro

Con un comunicato dello scorso 12 aprile, l’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha reso noto di aver irrogato una sanzione di oltre 3,7 milioni di euro a una storica società privata di trasporto marittimo attiva sullo Stretto di Messina.

In particolare, l’Autorità ha accertato che la Società, abusando della sua posizione di dominanza nel mercato, ha applicato prezzi ingiustificatamente gravosi per i passeggeri con auto al seguito.

Nel valutare la gravità dell’illecito concorrenziale, l’Autorità ha tenuto conto, oltre che del potere economico della società e della tipologia di servizio erogato (essenziale per molti consumatori), altresì dell’area geografica interessata, ossia lo Stretto di Messina.

Fonte: sito ufficiale dell’AGCM

L’AGCM avvia due procedimenti istruttori nei confronti per pratiche commerciali scorrette su e-commerce

Lo scorso 1° aprile, l’AGCM ha reso noto di aver avviato due procedimenti istruttori nei confronti di due note società di e-commerce al fine di indagare su presunte pratiche aggressive ed ingannevoli perpetrate dalle due società.

In particolare, le condotte oggetto dei procedimenti sarebbero state poste in essere dalle società nell’ambito dell’attività di vendita on-line attraverso i rispettivi siti internet, su cui sarebbero state pubblicate informazioni ingannevoli circa le caratteristiche principali dei prodotti commercializzati, nonché sul processo di vendita e spedizione del prodotto.

Fonte: sito ufficiale dell’AGCM

Il Governo approva il d.d.l. di revisione del Codice di Proprietà Industriale

Lo scorso 6 aprile, il Consiglio dei Ministri ha approvato il disegno di legge di revisione del Codice di Proprietà Industriale (D.lgs 30/2005), in attuazione del Piano strategico di riforma della materia definito nel giugno 2021 dal ministro dello sviluppo economico, Giancarlo Giorgetti.

Il d.d.l. punta ad un intervento organico a tutela della proprietà industriale, nell’ottica di un rafforzamento della competitività tecnologica e digitale delle imprese e dei centri di ricerca nazionali, facilitando e valorizzando la conoscenza, l’uso e la diffusione del sistema di protezione di brevetti.

Fonte: sito ufficiale dell’UIBM

L’AGCOM approva il Piano triennale di prevenzione della corruzione e della trasparenza

Lo scorso 7 aprile, l’AGCOM ha pubblicato, sul proprio sito istituzionale, la delibera n. 95/22/CONS con la quale è stato adottato in via definitiva il Piano triennale di prevenzione della corruzione e della trasparenza 2022-2024.

Nel Piano è delineata la strategia di prevenzione che sarà attuata dall’AGCOM, conformemente alle previsioni della legge n. 190 del 6 novembre 2012.

Fonte: sito ufficiale dell’AGCOM

L'articolo What’s new in Italy on <br>IP, Competition and Innovation <BR> n.3 – Aprile 2022 proviene da E-Lex.

Educazione Americana è un libro che tratta le confessioni di agente operativo italiano infiltrato della Cia americana, l’agenzia governativa che come da sua propria definizione è la prima linea di difesa degli Usa, dato che opera all’estero per difendere il paese e gli interessi americani. Nel corso degli anni abbiamo visto sullo schermo e letto tantissimo sulla Cia che specialmente in Italia è usata come capro espiatorio per tantissimi accadimenti anche nostrani, anche perché la sua presenza nel nostro paese è stata abbastanza ingombrante.

iyezine.com/fabrizio-gatti-edu…

Fabrizio Gatti - Educazione Americana - La Nave DI Teseo 2019

Fabrizio Gatti - Educazione Americana - La Nave DI Teseo 2019 : educazione Americana è un libro che tratta le confessioni di agente operativo italiano infiltrato della Cia americana, l’agenzia governativa che come da sua propria definizione è la prim…

^{In Your Eyes ezine}

Si è concluso mercoledì 12 aprile il primo meeting in presenza del consorzio del progetto Arcadian-IoT, tenutosi presso l’Instituto Pedro Nunes di Coimbra, in Portogallo.
E-Lex è partner del progetto, finanziato nell’ambito del programma Horizon 2020 e volto a sviluppare un quadro innovativo per la gestione della fiducia, della sicurezza e della #privacy per i sistemi IoT.
Al meeting hanno partecipato Adriana Peduto e Ariella Fonsi.
Per maggiori informazioni sul progetto Arcadian-IoT: https://www.arcadian-iot.eu/
#security #IA #blockchain #gdpr #EU

linkedin.com/posts/arcadian-io…

L'articolo Concluso il primo meeting in presenza del consorzio del progetto Arcadian-IoT proviene da E-Lex.

Intervista ad Arturo di Corinto: tra identità digitale e cyber attacchi

7 Aprile 2022

youtube.com/embed/wv-EQVQpO-0?…

Arturo di Corinto e’ giornalista e docente di identita’ digitale, privacy e cybersecurity all’Universita’ Sapienza di Roma. In Rai ha presentato Codice: la vita e’ digitale e pillole di Inclusione Digitale su RaiPlay. Ci svela la portata dei recenti attacchi cyber al nostro governo, ad aziende pubbliche e privati. Ci insegna i principi della cybersecurity, come difenderci e come raggiungere una consapevolezza digitale.

dicorinto.it/tipologia/intervi…