, , , , , , , , , ,

La protezione dei dati e del segreto aziendale. Riflessi applicativi processuali del principio di accountability

di Giacomo Conti

 

La protezione dei dati personali e delle informazioni riservate aziendali sono temi che, molto spesso, si sovrappongono e completano a vicenda: frequentemente, le misure per limitare l’accesso ai dati dei clienti non solo proteggono la privacy dei clienti da soggetti non autorizzati, ma tutelano anche informazioni che l’organizzazione ha interesse a mantenere segrete.

Pertanto; l’impostare sistemi di protezione delle informazioni aziendali e l’adozione di misure per revocare i privilegi di accesso alle informazioni a un ex dipendente una volta cessato dall’incarico non solo proteggono i dati dei propri clienti, ma anche il patrimonio informativo aziendale. Trattasi di misure di organizzative che, per quanto basilari qualunque impresa dovrebbe adottare anche a tutela dei propri interessi.

Infatti, un’organizzazione che non ha implementato policy di protezione delle informazioni e che non è in grado di dimostrarlo in corso di causa di averle applicate, verosimilmente, arriverà a soccombere in giudizio. Questa è la posizione che si sta affermando in giurisprudenza che sta tracciando dei principi processuali in tema di onere della prova di un principio sostanziale relativo all’organizzazione aziendale.

Un precedente importante è rappresentato dall’ordinanza in data 31 gennaio 2022 nell’ambito del procedimento cautelare 8293/2021 avente ad oggetto la legittimità di un accesso e conseguente scarico di una banca dati da parte di una ex dipendente nell’ambito di una compagnia di intermediazione assicurativa. Nella narrativa del ricorso, i suddetti dati sarebbero stati utilizzati al fine di sviare la clientela verso un concorrente del ricorrente.

La ex dipendente, come emergeva dai fatti di causa, aveva scaricato l’intero contenuto della sua casella e-mail, che conteneva tutte le comunicazioni inerenti ai clienti a lei affidati a seguito della cessazione del rapporto di lavoro. Nello specifico, l’accesso e download riguardavano la banca dati di clienti dell’intermediario assicurativo e il portafoglio di clienti gestito dalla ex dipendente.

Nonostante non fosse oggetto di discussione l’avvenuto download dei dati, come rilevava il Tribunale di Bologna, l’accesso al sistema le era ancora consentito in quanto la società ricorrente aveva chiesto all’ex dipendente di continuare a gestire il portafoglio clienti nelle more delle trattative dirette a cercare l’instaurazione di un nuovo rapporto di collaborazione.

Nel caso di specie, la ex dipendente accedeva liberamente al contenuto della casella di posta aziendale con le proprie credenziali di accesso. Questa circostanza fattuale arrivava a dimostrare, a livello processuale, la mancata adozione di misure ragionevolmente adeguate a mantenere le informazioni segrete.

Per l’effetto della mancata adozione delle misure di protezione del know how adeguate, la ricorrente non riusciva a dare prova della natura segreta delle informazioni sottratte con conseguente impossibilità di applicare gli articoli 98 e 99 del codice della proprietà intellettuale che tutelano il cosiddetto segreto industriale.

L’adozione di adeguate misure di protezione avrebbe dimostrato che i dati scaricati dalla ricorrente ricomprendevano informazioni commerciali segrete e dotate di valore economico in quanto segrete in quanto sottoposte a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

Pertanto, il Tribunale concludeva che non vi fossero elementi che consentissero di accertare una condotta di concorrenza sleale ai sensi dell’art. 2598 n. 3 c.c. e respingeva il ricorso.

La pronuncia in esame mette in evidenza importanti riflessi processuali in materia di accountabilty, sotto il profilo della capacità di dimostrare in sede giudiziale di avere adottato e documentato le procedure e l’attuazione delle stesse.

Per maggiori approfondimenti v. il testo del provvedimento: ordinanzaBLIND

/da
, , , , , , , , , , , , , , , , , , , , ,

Lineamenti di diritto delle piattaforme digitali – Volume 1 Le tutele del consumatore e dell’utente commerciale nei confronti del cybermediary

Autore: Giacomo Conti

Editore: Maggioli Editore

Pubblicazione: Ottobre 2020 (I Edizione)

ISBN / EAN 8891643452 / 9788891643452

Collana: Collana Legale

 

Prefazione: Il World Wide Web come la spezia di Dune. L’estensione della conoscenza e l’annullamento dello spazio tra realtà e fantascienza. Gilde spaziali e cybermediary.

L’estensione della conoscenza e l’annullamento dello spazio tra realtà e fantascienza. Gilde spaziali e cybermediary.

Siamo nell’Universo di Dune creato da Frank Herbert nel 1965, ambientato nell’Anno Domini 10191: l’universo conosciuto è governato dall’imperatore Padishah Shaddam IV e, per l’umanità, la più preziosa e vitale sostanza dell’u-niverso è il Melange, la spezia.

La spezia allunga il corso della vita.

La spezia aumenta la conoscenza.

La spezia è essenziale per annullare lo spazio.

La potente Gilda spaziale e i suoi navigatori, che la spezia ha trasformato nel corso di oltre 4000 anni, usano il gas arancione della spezia che conferisce loro la capacità di annullare lo spazio, e cioè, di viaggiare in qualsiasi parte dell’universo senza mai muoversi.

La spezia esiste su un solo pianeta nell’intero universo conosciuto. Un arido e desolato pianeta con vasti deserti.

Il pianeta Arrakis è conosciuto anche come Dune (1).”

Senza troppa speculazione e inventiva e togliendo l’aspetto esotico che caratterizza il celeberrimo romanzo: l’umanità, correva l’anno 1989, inventava quanto più di simile esiste alla spezia, ossia la Rete. Il World Wide Web, per come noi lo conosciamo, è al pari della spezia di Frank Herbert un formidabile strumento che in poche decadi ha rivoluzionato i rapporti economici e sociali, cambiando profondamente la società in cui viviamo.

A differenza della spezia, tuttavia, è estremamente facile accedere al World Wide Web: è, infatti, sufficiente munirsi di un dispositivo collegato alla Rete e di una connessione Internet offerta dagli operatori telefonici a costi sempre più economici.

Lungi dall’esistere su un solo remoto e desolato pianeta, sempre più persone sul globo terrestre hanno accesso a questa formidabile tecnologia da cui sono sempre più dipendenti.

La Rete, al pari del Melange, assuefà chi vi si connette che ne diventa sempre più dipendente, a prescindere dal fatto che la connessione al Web sia operata per esigenze personali oppure legate allo svolgimento di un’attività di impresa.

Nell’Universo di Dune, solamente la Gilda Spaziale detiene il monopolio sul commercio della spezia e anche questo dato si presta a un’analogia con il nostro universo.

Nel nostro universo, gli intermediari digitali, al pari della Gilda Spaziale, hanno un monopolio di fatto sui servizi della società dell’informazione nell’ambito dei quali dispensano benefici, punizioni ed erogano giustizia sulla base di termini e condizioni che loro stessi hanno stabilito. Si pensi a Google per i servizi di motori di ricerca, ad Amazon per l’E-commerce o, ancora, a Microsoft per i sistemi operativi e gestionali per consumatori e imprese.

La Rete ha cancellato precedenti confini e limiti dettati dallo spazio fisico e ha costruito modalità nuove di produzione e utilizzazione della conoscenza al pari della spezia. I rapporti di produzione, distribuzione e consumo sono stati, quindi, rivoluzionati dalle fondamenta proprio grazie alla possibilità che la Rete offre di condividere informazioni, abbattere spazi e creare occasioni di contatti fra persone fisiche e fra imprese.

L’annullamento dello spazio fisico ha dato luogo ai fenomeni, in contraddizione solo apparente, di disintermediazione e di intermediazione online e ha permesso la concentrazione di un potere economico prima inimmaginabile nelle mani di pochissimi cybermediary che gestiscono piattaforme online il cui utilizzo è diventato fondamentale nelle nostre vite.

Il potere economico di cui dispongono i cybermediary, lungi dal rappresentare sempre un’opportunità per i destinatari dei servizi, può essere utilizzato abusivamente in danno agli utenti commerciali e con effetti non necessariamente benefici per i consumatori. In questo quadro di sviluppo tecnologico ed economico è entrato in crisi il ruolo tradizionale dei cybermediary: prima fornitori passivi di un servizio tecnico, ora più che mai si trovano ad avere un ruolo attivo nella gestione dei contenuti caricati e condivisi dai propri utenti.

Il cybermediary, oltre ad avere un enorme potere economico, diventa anche giudice ultimo e supremo all’interno dei servizi che gestisce e le sue decisioni incidono significativamente sulle sfere personali e professionali degli utenti che si servono dei suoi servizi.

Inoltre, la Rete ha riequilibrato il rapporto a favore del consumatore, accordandogli un potere prima inimmaginabile: condividere feedback, recensioni, valutazioni in merito alle proprie esperienze di consumo.

Come la spezia ha mutato nel fisico e nella psiche i navigatori, i servizi basati sulla Rete hanno mutato profondamente la figura stessa del consumatore che non è più un mero acquirente passivo di beni o servizi.

Si è assistito, in questo quadro complesso, alla nascita della nuova figura del prosumer digitale, che è una persona fisica sempre più informata che acquista in rete beni e servizi e che condivide, tramite i servizi della società dell’informazione, le proprie esperienze di consumo, incidendo in maniera sostanziale sull’asimmetria informativa. Lo scambio di informazioni sul Web 2.0, infatti, opera sulla base di dinamiche che si fondano su una partecipazione attiva non solo dei fornitori di servizi della società dell’informazione o degli operatori economici, ma anche dei consumatori stessi.

Si aggiunga, peraltro, che di fronte alla velocità attraverso la quale le informazioni circolano in rete il rimedio giudiziale ha perso di centralità, essendo i formalismi del processo civile e della tutela giudiziale incompatibili con la necessità di tutela e presidio immediata dell’imprenditore in rete.

Molte vertenze sono, pertanto, affidate a strumenti di Alternative Dispute Resolution che presentano vantaggi in termini di costi ed efficienza rispetto al tradizionale rimedio giudiziale o vengono gestite con sistemi che il cybermediary ha creato e plasmato. Nonostante l’introduzione del Regolamento Platform2Business, la tutela apprestata dal Regolamento (UE) 2019/1150 risulta molto più formale rispetto al quadro dettato, ad esempio, in tema di tutela e protezione del consumato-re (2) o della persona fisica nell’ambito dei trattamenti di dati personali che la riguardano, avente un’ampia, corposa e sostanziale tutela all’interno del General Data Protection Regulation (3).

Pertanto, il nuovo impianto normativo risulta indicativo della persistente scarsa sensibilità delle Istituzioni europee alle esigenze di tutela delle imprese che si trovano in posizione di dipendenza economica verso i cybermediary.

Nel nostro universo come in quello di Dune, il potere non è quindi distribuito in ugual misura e, sebbene a differenza della spezia la Rete sia accessibile agevolmente, la distribuzione del potere attraverso i servizi online ha creato un vero e proprio feudalesimo digitale.

La rete allunga il corso della vita.

La rete aumenta la conoscenza.

La rete è essenziale per annullare lo spazio.

I potenti cybermediary e i loro navigatori, che la rete ha trasformato nel corso di poche decadi, usano i servizi basati sulla rete che conferiscono loro la capacità di annullare lo spazio, e cioè, di viaggiare in qualsiasi parte dell’universo senza mai muoversi.

La rete esiste intorno a noi e siamo noi”.

Giacomo Conti

 

Per informazioni sul testo v. https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-1.html

 

(1) Si riporta la citazione della Principessa Irulan Corrino, figlia dell’imperatore Padi-shah Shaddam IV e futura sposa del protagonista del romanzo Paul Atreided Muad’Dhib. La citazione è tratta non dal testo, ma dal film di Dune scritto e diretto da David Linch nel 1984 e basato sul celeberrimo romanzo di Frank Herbert del 1965.

(2) V. direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori, recante modifica della direttiva 93/13/CEE del Consiglio e della direttiva 1999/44/CE del Parlamento europeo e del Consiglio e che abroga la direttiva 85/577/CEE del Consiglio e la direttiva 97/7/CE del Parlamento europeo e del Consiglio.

(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

/da
, , , , ,

MySQLInjection: gestione dei rischi e corretta configurazione dei form nelle pagine html

di Jacopo Sabbadini

Uno degli attacchi più semplici che si possono portare contro un database è sicuramente il cosiddetto SQLInjection, che consiste nel utilizzare il linguaggio SQL per accedere ai dati di un database.
Facciamo un attimo di chiarezza su cosa sia un form e come funzioni a livello di backend del database; in poche parole, il form è l’interfaccia che vede l’utente, in cui inserisce i propri dati (ad esempio nome, cognome, data di nascita, password e via discorrendo) al momento della registrazione su un sito, o al momento del login sul sito stesso. Questi dati inseriti dall’utente vengono trattati dal database ed inseriti all’interno dello stesso, utilizzando la sintassi propria del database in esame (nel nostro caso SQL per un database scritto in MySQL).
Appare immediatamente evidente un problema: come fa la macchina a distinguere nel momento in cui viene digitata una stringa nel campo del form, tra una stringa che deve inserire all’interno del database (ad esempio il nome) e un comando nel proprio linguaggio?
Qui è necessaria la corretta configurazione del form, vi sono vari tools che permettono di filtrare quanto viene scritto dall’utente, in modo tale che qualsiasi cosa scriva non verrà mai interpretata come un comando.
Se questa precauzione però non viene presa, si rende l’intero database vulnerabile ad un injection, cioè l’inserimento dall’esterno di un comando.
A titolo dimostrativo useremo una macchina virtuale appositamente costruita con questa vulnerabilità.
Iniziamo con registrare un nuovo utente, lo chiameremo Pippo, password Topolino, signature Paperino

 

Una volta creato il nostro nuovo utente, vediamo come normalmente risponde il database ad una query normale, cioè inserendo i corretti parametri per username e password

 

Come si può vedere, nulla di strano, mi viene restituito a video un riepilogo delle informazioni inserite.
Vediamo però cosa succede se cambiamo leggermente il nostro username, e aggiungiamo un ‘, cioè un apice, alla fine del nome. Se il form fosse correttamente settato, dovrebbe semplicemente restituirci un errore in quanto non esiste nessun utente con lo username Pippo’.

 

 

In realtà ci viene restituita una videata in cui ci dice che il codice che abbiamo inserito contiene un errore, nello specifico: Query: SELECT * FROM accounts WHERE username=’Pippo ” AND password=” (0) [Exception]
Questo ci fa capire che in realtà il form non era correttamente configurato, e il database va in errore in quanto il comando che gli è stato dato non era sintatticamente corretto.
A questo punto, possiamo provare a passare un comando che riconosca come sintatticamente corretto, ad esempio dicendogli di cercare tutti i campi in cui il nome utente sia Pippo, oppure di mostrare a video tutti i campi in cui una condizione che sappiamo essere sempre vera (nell’es 1=1) appaia; questa condizione sarà ovviamente vera per ogni riga del database, e questo è il risultato:

 

Andando in errore il database, stampa a video TUTTE le linee al suo interno, comprensive di username e password. Questa tecnica può essere utilizzata per carpire non solo informazioni dalle tabelle di un database, ma anche per portare ulteriori attacchi al server stesso; la prima linea che ci viene stampata è infatti un utente con username admin e password admin; si potrebbe provare a connettersi direttamente al server usando queste credenziali, per prenderne il controllo, e per iniziare un’escalation di permessi.

Per concludere quindi, sempre controllare che le interfacce utente siano correttamente settate, altrimenti il backend più sicuro al mondo può essere bypassato con estrema semplicità.

/da
, , ,

Furti di credenziali online attraverso SSO (Single Sign On)

di Paolo Montali

 

Forse non tutti sanno che vi è un fenomeno crescente di creazione di pagine malevole che sfruttano il Single Sign-On (SSO) per rubare le credenziali degli utenti.
Questa forma di attacco di phishing è cresciuta con la popolarità e la semplificazione del processo di login tra i siti Web che utilizzano il Single Sign-On, sempre più ampiamente utilizzati.

Ma che cos’è il Single Sign-On?
Il Single Sign-On (SSO) è appunto un sistema per semplificare il processo di login, consentendo agli utenti di utilizzare un’unica credenziale per accedere a più applicazioni.
Il SSO non richiede all’utente di ricordare più credenziali di account diversi (ognuna per accedere ad ogni applicazione). Questo sistema consente di eliminare la necessità di introdurre userid e password per ogni applicazione durante una sessione, migliorando la user experience.
IL sistema SSO viene realizzato autenticando l’utente rispetto ad una Directory, un DB che lega lo User e le sue authority relativamente alle applicazioni a cui può accedere. Questo tipo di repository viene definito Lightweight Directory Access Protocol (più brevemente LDAP).
Google, Facebook e Twitter sono tra le applicazioni popolari che offrono sistemi SSO agli utenti.
Il sistema di SSO può anche essere esteso a servizi di terze parti. Ad esempio, molte applicazioni consentono agli utenti di accedere al proprio account utilizzando l’autenticazione di Google o Facebook.

Ma come può essere utilizzato in modo fraudolento il sistema SSO?
La disponibilità di SSO è in costante aumento tra le applicazioni, il che ha portato molti hacker a tentare di sfruttarne le potenzialità. In pratica sono state realizzate delle pagine dannose che fingono di essere le pagine di accesso di applicazioni come Dropbox o la stessa Google, Facebook o altro sito / social.
Quando gli utenti immettono le proprie credenziali, i dati vengono raccolti dalla pagina malevole anziché essere utilizzati nell’applicazione desiderata.
Prima dell’avvento del sistema di SSO, gli hacker dovevano creare una pagina separata per ogni servizio del quale volevano rubare le credenziali. Invece con il SSO possono creare un’unica pagina di phishing.

Cosa si può fare per essere più al sicuro?
Per il momento il modo migliore per proteggersi dagli attacchi di phishing SSO è di abilitare l’autenticazione a due fattori. Questo tipo di autenticazione secondaria, rende più difficile agli hacker, l’accesso al vostro account. Questo oggi sembra essere il sistema migliore che però non è comunque sicuro al 100% e a seconda di come viene implementato può essere più o meno sicuri. Tra i tanti sistemi di dual factor authentication vi sono soluzioni che utilizzano il canale SMS per ricevere i codici di validazione. Questo tipo di soluzione sconsigliare, poiché non è sicuro come altri metodi.

/da
, ,

Sostituzione di persona e profili falsi online. Quando la condotta è reato?

La Cassazione ha, in una recente pronuncia, ritenuto che integra il reato di sostituzione di persona (494 Cod. Pen.) la condotta di colui che crei ed utilizzi un account ed una casella di posta elettrica o si iscriva ad un sito e-commerce servendosi dei dati anagrafici di un diverso soggetto.

Nel caso affrontato, il soggetto sostituito era inconsapevole del fatto che il reato era stato commesso ai suoi danni per fare ricadere le conseguenze derivanti dall’inadempimento delle obbligazioni conseguenti all’avvenuto acquisto di beni mediante la partecipazione ad aste in rete o altri strumenti contrattuali.

Questa pronuncia, senza essere particolarmente innovativa, rispecchia un consolidato orientamento della Suprema Corte secondo il quale la partecipazione di un soggetto ad aste on-line con l’uso di uno pseudonimo attribuendosi falsamente le generalità di un diverso soggetto integra il reato di sostituzione di persona.

Peraltro, la creazione e l’utilizzo di account falso e la conseguente realizzazione del reato può comportare, nei casi più gravi, anche lo sfruttamento abusivo dell’immagine reale e delle sembianze di un terzo soggetto.

Sotto il profilo soggettivo, infine, il dolo specifico del reato di sostituzione di persona viene integrato quando vi è coscienza e volontà di sostituirsi a un terzo con l’ulteriore scopo di arrecare a questi un danno o di assicurarsi un vantaggio anche non necessariamente economico.

 

di Giacomo Conti

/da