Crimini informatici e lotta al terrorismo, accordo tra Polizia e Sogei

Accordo tra Polizia di Stato e Sogei per la prevenzione e il contrasto dei crimini informatici che hanno per oggetto i sistemi e i servizi informatici critici gestiti da Sogei. L'intesa è stata siglata oggi venerdì 27 febbraio a Roma.

Cybercrime: aumenta la gravità degli attacchi

Cybercrime: aumenta la gravità degli attacchi Valentina Bucci Attacchi più gravi e più impattanti: aumenta la quantità e il valore economico dei dati sottratti e l’ampiezza delle conseguenze nel caso di sabotaggi e minacce del tipo “denial of service”. Il Rapporto Clusit 2014 rileva un gap in crescita tra attaccanti e difensori: i primi sono più sofisticati, gli altri, soprattutto quando si parla di cloud e social

Lo spamming a fini di profitto è un reato

Inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge. Se questa attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il fatto può essere denunciato all'autorità giudiziaria. Sono previste varie sanzioni e, nei casi più gravi, la reclusione. La normativa sulla privacy non permette di utilizzare indirizzi di posta elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario

Corte di giustizia europea: Google deve cancellare dai risultati delle ricerche le pagine che violano la privacy. Ecco il testo della sentenza

Secondo quanto disposto da una sentenza della Corte di Giustizia Europea, resa nella causa C-131/12, Google è tenuta alla rimozione dei contenuti che ledono ingiustamente la privacy.
Secondo la Corte, infatti, il gestore di un motore di ricerca è "responsabile del trattamento da esso effettuato dei dati personali che appaiono su pagine web pubblicate da terzi".

Costruito il primo computer senza silicio Ora è realtà, ottenuto utilizzando le nanotecnologie

Il primo computer senza silicio diventa realtà: le sue componenti sono state realizzate utilizzando le nanotecnologie e sono interamente fatte con nanotubi di carbonio, il materiale 'tuttofare' che apre le porte ad una miniaturizzazione finora inimmaginabile. Il prototipo, cui la rivista Nature dedica la copertina, funziona con transistor mille volte più piccoli di quelli in commercio ed è stato realizzato da un gruppo di ricercatori dell'Università di Stanford. Dalla nascita dell'elettronica, la ricerca tecnologica ha permesso una graduale ma rapida riduzione delle dimensioni dei transistor, i 'mattoni' principali dei microprocessori. Questa corsa alla miniaturizzazione, parallelamente ad un miglioramento delle prestazioni, si sta però sempre più avvicinando al 'capolinea'. Il limite invalicabile è infatti rappresentato dalle dimensioni stesse del silicio, il materiale che costituisce i transistor utilizzati per i computer. Proprio per questo è partita da anni la corsa alla ricerca nel settore delle nanotecnologia per sviluppare valide alternative all'uso di questo materiale. Sfruttando le enormi potenzialità offerte dai nanotubi di carbonio, costituiti da un foglio di singoli atomi di carbonio piegato a formare un 'tubo', i ricercatori statunitensi sono riusciti a realizzare un intero computer. Riuscendo a superare una serie di ostacoli tecnici, i ricercatori sono riusciti a sfruttare i nanotubi per realizzare transistor di appena 8 millesimi di millimetro (micrometri), il diametro di un globulo rosso. I nanodispositivi sono stati realizzati prendendo a modello un tipo di transistor molto semplice e oggi considerato desueto. Una volta realizzati i 'mattoni', i ricercatori hanno poi disegnato l'intero computer nel modo più semplice possibile, creando così un elaboratore in grado di lavorare con un unico bit, contro i 64 bit dei processori moderni. Seppur estremamente semplice, il ''nanocomputer'' è in grado di far 'girare' un sistema operativo e ha la capacità di eseguire più di un'operazione simultaneamente. Ovviamente le sue prestazioni non possono essere paragonate a quelle dei pc più moderni, ma le potenzialità della tecnica potrebbero essere enormi. Il computer costruito sfruttando le nanotecnologie è il più complesso dispositivo funzionante con un'elettronica basata sul carbonio e considerando i progressi che stanno avvenendo nel settore, concludono i ricercatori, queste tecnologie potrebbero aprire la strada a nuovi dispositivi elettronici. http://www.ansa.it/web/notizie/rubriche/tecnologia/2013/09/25/Costruito-primo-computer-senza-silicio-_9360093.html

Crimini online, arrivano le "volanti virtuali"

Proprio come le pattuglie "in carne e ossa", quelle virtuali circoleranno online, tenendo d'occhio social network e stando pronte a intervenire in caso di abusi
Contro il boom dei crimini commessi in Rete, la polizia è pronta a scendere in campo con una sorta di 113 del web. "Pensate alle volanti che girano per le strade, ecco nasceranno anche dellevolanti virtuali" racconta Antionio Apruzzese, comandante della polizia postale. Proprio come le pattuglie "in carne e ossa", quelle virtuali circoleranno online, tenendo d'occhio social network e stando pronte a intervenire in caso di abusi.
Con l'aumentare dei crimini sul web, che comprendono dalladiffamazione al furto di identità passando per la diffusione di immagini o mail private, anche la polizia si è dovuta adattare, creando nuovi strumenti. In particolare, come spiega Apruzzese al "Corriere della Sera", il prossimo passo in questa direzione, sarà quella di una task force che "circolerà" e controllerà la Rete.

Per far fronte a questi nuovi crimini, la polizia è ponta inoltre a lanciare anche un "113 online", potenziamento ulteriore del già esistente "Commissariato di PS online" che, grazie a una finestra di dialogo interattiva, faciliterà evelocizzerà la denuncia di abusi sul web.

"Dobbiamo confrontarci con una nuova criminalità organizzata - continua il comandante della Postale -, che può contare su scienziati matematici capaci di concepire virus efficacissimi. Questi criminali del web sono sempre più bravi e hanno scoperto armi "letali", come ad esempio certi virus, capaci di controllare milioni di apparecchiature"
http://www.tgcom24.mediaset.it/cronaca/articoli/1093793/crimini-online-arrivano-le-volanti-virtuali-.shtml

La mappa dei cyberattacchi

Il Paese più «aggressivo» è la Russia: 2,4 milioni di azioni  in un mese. Italia nona con 290 mila attacchi a febbraio . 
Da dove attaccano gli hacker? Soprattutto dalla Russia. Solamente negli ultimi 30 giorni sono arrivati da qui 2,4 milioni di cyberattacchi. Da qualche giorno è online una mappa interattiva che visualizza, in tempo reale, tutti gli attacchi informatici nel mondo. Il progetto di Deutsche Telekom è stato presentato in occasione della CeBIT di Hannover, il salone di riferimento per il settore dell'information communication technology.

MINACCIA - La CeBIT è tra le più grandi fiere dell’innovazione al mondo e richiama ogni anno migliaia di curiosi e maniaci dell’hi-tech. Non solo cloud, smartphone e tablet, in Germania si sono ritrovati oltre quattromila espositori da una settantina di Paesi. Ciò nonostante, nell'ultimo periodo tutto il settore ha dovuto fare i conti con due minacce abbastanza serie: crisi economica e hacker. Dopo Facebook, Microsoft, Twitter, Google, la Federal Reserve anche Apple è stata recentemente vittima di un attacco informatico. I cyberattacchi sono per loro stessa natura transnazionali e anonimi. La nuova mappa documenta ora quali obiettivi vengono presi di mira dai cosiddetti «cracker», mentre delle statistiche evidenziano i Paesi d’origine degli attacchi più frequenti.

WINDOWS - Sicherheitstacho.eu registra circa 450.000 attacchi al giorno; la maggior parte provengono, come detto, dalla Russia. Seguono Taiwan e Germania. La Cina risulta essere al 12esimo posto in questa classifica mentre l’Italia sarebbe nona, con circa 290 mila attacchi registrati negli ultimi 30 giorni. Bisogna aggiungere che ciò non significa necessariamente che anche gli hacker provengano da questi stati. Anche dall’Italia, per esempio, i pirati informatici possono facilmente entrare nei server cinesi o dell’Europa dell’est per attaccare imprese o enti negli Usa. I bersagli preferiti restano gli apparecchi Windows. Dietro a questi attacchi, tuttavia, non si nascondono per forza persone in carne e ossa: generalmente si tratta di software automatizzati in grado di individuare lacune e punti deboli dei software più utilizzati (Windows, Wordpress, Java, iTunes, Flash).

VIRUS - Nel mese di febbraio gli attacchi più frequenti (circa 27,3 milioni) sono stati registrati al protocollo usato dai sistemi Windows "SMB" (server message block); NetBIOS (930.000); la porta 33434 (690.000) e il protocollo di rete SSH (670.000). I dati registrati dalla Telekom tedesca vengono raccolti al fine di proteggere gli utenti del Web da virus, trojan o i fastidiosi messaggi di phishing. I quasi 100 sensori che registrano gli attacchi informatici, cosidetti honeypot, sono gestiti da Telekom e dai suoi partner sparsi mondo.

http://www.corriere.it/tecnologia/cyber-cultura/13_marzo_08/cyberattacchi-mappa-italia-hacker-cracker_91ee4f56-87e1-11e2-ab53-591d55218f48.shtml

Tessere con chip e sensori ovunque Gli uffici dei dipendenti «tracciabili»

NEW YORK - Non solo controllo delle email, dell’uso del computer aziendale, della messaggistica e dei «tweet»: in molte imprese americane è sempre più diffusa l’abitudine di analizzare anche il comportamento fisico dei dipendenti. Compresi gli spostamenti dentro e fuori l’azienda, quando sono in servizio. Gli strumenti, con lo sviluppo delle tecnologie digitali, sono, ormai, i più disparati. Se, fino a qualche anno fa, ci si limitava a controllare l’attività sul web e gli spostamenti di chi aveva un cellulare col gps in tasca, adesso con sensori e telecamere sempre più minuscoli e di costo irrisorio si può fare di tutto: dagli Rfid, sentinelle in miniatura, sparpagliati su scrivanie e scaffali che registrano anche i movimenti in una stanza, ai badge con microchip incorporato che misurano perfino la durata delle soste in bagno. Uso il termine analizzare e non sorvegliare perché, almeno nelle intenzioni annunciate, queste tecnologie dovrebbero essere utilizzate dai datori di lavoro non per controllare i singoli, ma per studiare i comportamenti collettivi dei dipendenti. Cercando, poi, i modi di incentivare quelli che migliorano la produttività del lavoro. E se vieni licenziato perché i tuoi dati personali sono mediocri? Probabilmente non lo scoprirai mai. Alla fine del 2012 ha suscitato grande interesse tra i manager americani un articolo della Harvard Business Review che annunciava l’avvento di «Big Data: the Management Revolution» e un convegno organizzato negli stessi giorni dal Massachusetts Institute of Technology nel quale alcuni docenti di computer science hanno sostenuto che i nuovi strumenti della tecnologia digitale e i software sempre più evoluti sono destinati a cambiare il modo in cui l’attività degli uomini e il funzionamento delle macchine vengono misurati dalle imprese. Aprendo la strada a un vero cambio di paradigma nelle tecniche di gestione aziendale: manager sempre più focalizzati sul pensiero analitico, sulla valutazione di dati di qualunque tipo, rispetto a quello deduttivo, basato sull’intuizione. Dirigenti che usano numeri e sensori non solo per decidere cosa far fare ai loro dipendenti, ma anche per guidare i loro comportamenti e i loro spostamenti in azienda. Giorni fa, ad esempio, il Wall Street Journal ha raccontato di alcune società che stanno usando in via sperimentale sensori e nuovi software di controllo. Una volta compreso che i dipendenti più produttivi sono quelli che interagiscono maggiormente con gli altri e verificato che negli intervalli del pranzo molti restavano in ufficio a consultare le email o consumavano il pasto conversando con un solo collega, queste aziende si sono sforzate di rendere più attraenti le mense e anche di favorire i contatti interpersonali. Come? Ad esempio sostituendo i tavoli da quattro con altri, più grandi, ai quali possono sedersi anche 16 persone. O riducendo volutamente i punti di rifornimento delle bibite per creare, con le file, altre occasioni d’incontro. E anche il «coffee break» supplementare delle 3 del pomeriggio è stato introdotto con lo stesso obiettivo. Ovviamente tutto questo rende piuttosto esile il confine tra «Big Data» e «Big Brother», il «grande fratello». E la fissazione maniacale per i dati analitici, la diffusione di sensori ovunque, l’occhio fisso sul dipendente ogni momento del giorno, possono sfociare facilmente nell’inquietante o nel grottesco: una specie di «Tempi moderni» di Charlie Chaplin in versione XXI secolo. Ma, almeno negli Usa, questo tipo di sorveglianza è legale se esercitata sugli strumenti e nel perimetro aziendale. E questo spiega meglio anche perché Marissa Mayer, il capo di Yahoo!, ha deciso di far tornare in azienda i dipendenti che lavorano da casa. Da madre, spiegano in azienda, comprende i problemi della gente, ma da manager si è accorta che chi è lontano interagisce poco col suo ufficio. Era stata creata anche un’apposita rete Vpn, ma Marissa si è accorta che è poco usata. E ha cancellato il telelavoro con un tratto di penna. Difficile distinguere tra aspetti utili e agghiaccianti di questa ubiquità dei controlli: in molti luoghi di lavoro i dipendenti già hanno cambiato il modo di muoversi e di esprimersi, sentendosi spiati. Ma la tendenza è destinata a diffondersi comunque, per almeno due ordini di ragioni: la necessità delle aziende di ristrutturarsi recuperando efficienza e l’enorme disponibilità di dati a costi irrisori. Per sorvegliare non c’è più bisogno di assumere un investigatore privato: basta affondare le mani in Big Data e disseminare gli uffici di sensori e telecamere che costano qualche spicciolo. Al resto pensa il software.] NEW YORK - Non solo controllo delle email, dell'uso del computer aziendale, della messaggistica e dei «tweet»: in molte imprese americane è sempre più diffusa l'abitudine di analizzare anche il comportamento fisico dei dipendenti. Compresi gli spostamenti dentro e fuori l'azienda, quando sono in servizio. Gli strumenti, con lo sviluppo delle tecnologie digitali, sono, ormai, i più disparati. Se, fino a qualche anno fa, ci si limitava a controllare l'attività sul web e gli spostamenti di chi aveva un cellulare col gps in tasca, adesso con sensori e telecamere sempre più minuscoli e di costo irrisorio si può fare di tutto: dagli Rfid, sentinelle in miniatura, sparpagliati su scrivanie e scaffali che registrano anche i movimenti in una stanza, ai badge con microchip incorporato che misurano perfino la durata delle soste in bagno.

Uso il termine analizzare e non sorvegliare perché, almeno nelle intenzioni annunciate, queste tecnologie dovrebbero essere utilizzate dai datori di lavoro non per controllare i singoli, ma per studiare i comportamenti collettivi dei dipendenti. Cercando, poi, i modi di incentivare quelli che migliorano la produttività del lavoro. E se vieni licenziato perché i tuoi dati personali sono mediocri? Probabilmente non lo scoprirai mai.

Alla fine del 2012 ha suscitato grande interesse tra i manager americani un articolo della Harvard Business Review che annunciava l'avvento di «Big Data: the Management Revolution» e un convegno organizzato negli stessi giorni dal Massachusetts Institute of Technology nel quale alcuni docenti di computer science hanno sostenuto che i nuovi strumenti della tecnologia digitale e i software sempre più evoluti sono destinati a cambiare il modo in cui l'attività degli uomini e il funzionamento delle macchine vengono misurati dalle imprese. Aprendo la strada a un vero cambio di paradigma nelle tecniche di gestione aziendale: manager sempre più focalizzati sul pensiero analitico, sulla valutazione di dati di qualunque tipo, rispetto a quello deduttivo, basato sull'intuizione. Dirigenti che usano numeri e sensori non solo per decidere cosa far fare ai loro dipendenti, ma anche per guidare i loro comportamenti e i loro spostamenti in azienda.

Giorni fa, ad esempio, il Wall Street Journal ha raccontato di alcune società che stanno usando in via sperimentale sensori e nuovi software di controllo. Una volta compreso che i dipendenti più produttivi sono quelli che interagiscono maggiormente con gli altri e verificato che negli intervalli del pranzo molti restavano in ufficio a consultare le email o consumavano il pasto conversando con un solo collega, queste aziende si sono sforzate di rendere più attraenti le mense e anche di favorire i contatti interpersonali. Come? Ad esempio sostituendo i tavoli da quattro con altri, più grandi, ai quali possono sedersi anche 16 persone. O riducendo volutamente i punti di rifornimento delle bibite per creare, con le file, altre occasioni d'incontro. E anche il «coffee break» supplementare delle 3 del pomeriggio è stato introdotto con lo stesso obiettivo.

Ovviamente tutto questo rende piuttosto esile il confine tra «Big Data» e «Big Brother», il «grande fratello». E la fissazione maniacale per i dati analitici, la diffusione di sensori ovunque, l'occhio fisso sul dipendente ogni momento del giorno, possono sfociare facilmente nell'inquietante o nel grottesco: una specie di «Tempi moderni» di Charlie Chaplin in versione XXI secolo. Ma, almeno negli Usa, questo tipo di sorveglianza è legale se esercitata sugli strumenti e nel perimetro aziendale. E questo spiega meglio anche perché Marissa Mayer, il capo di Yahoo!, ha deciso di far tornare in azienda i dipendenti che lavorano da casa. Da madre, spiegano in azienda, comprende i problemi della gente, ma da manager si è accorta che chi è lontano interagisce poco col suo ufficio. Era stata creata anche un'apposita rete Vpn, ma Marissa si è accorta che è poco usata. E ha cancellato il telelavoro con un tratto di penna.

Difficile distinguere tra aspetti utili e agghiaccianti di questa ubiquità dei controlli: in molti luoghi di lavoro i dipendenti già hanno cambiato il modo di muoversi e di esprimersi, sentendosi spiati. Ma la tendenza è destinata a diffondersi comunque, per almeno due ordini di ragioni: la necessità delle aziende di ristrutturarsi recuperando efficienza e l'enorme disponibilità di dati a costi irrisori. Per sorvegliare non c'è più bisogno di assumere un investigatore privato: basta affondare le mani in Big Data e disseminare gli uffici di sensori e telecamere che costano qualche spicciolo. Al resto pensa il software.

http://www.corriere.it/tecnologia/economia-digitale/13_marzo_13/tessere-chip-sensori-ufficio-dipendenti-tracciabili_a3de5bd8-8bbb-11e2-8351-f1dc254821b1.shtml

Rapporto Clusit: allarme sul cybercrime in Italia, il 2012 è l’anno della "mobile security"


La (non) sicurezza informatica è diventata una minaccia sistemica e sul migliaio di classi di attacchi pericolosi individuati, un 41% viene dal cybercrime, un 25% dagli ‘hacktivist’ stile Assange: Andrea Zapparoli Manzoni, membro del National Security Observatory Italiano, parte da questi elementi per illustrare il Rapporto Clusit 2012.

MILANO - Il Rapporto Clusit 2012 offre una panoramica completa di ‘incidenti informatici’, eventi che minacciano la sicurezza (provocati, per esempio ma non solo, dal cybercrime), verificatisi in Italia e nel mondo tra il 2011 e la prima metà del 2012. Gli incidenti sono classificati per tipologia e considerati ‘significativi’ se provocano l’esposizione di un numero minimo di record o account, o se provocano perdite superiori a determinate soglie. Classificazione che produce, tra centinaia di migliaia di incidenti globali con impatto diverso da ‘zero’, ben 982 tipologie di ‘incidenti informatici’ che, soddisfacendo tali criteri, sono considerati davvero pericolosi.

Andrea Zapparoli Manzoni, fondatore e Ceo di iDialoghi, membro del National Security Observatory Italiano, esperto Clusit preposto a temi come Sicurezza del Social Media e Ritorno sugli Investimenti di Sicurezza, commenta alcuni dei risultati emersi dal Rapporto 2012 e lancia l’allarme: “Gli incidenti classificati come pericolosi (le 982 tipologie individuate) hanno mostrato una crescita esponenziale nel tempo, per ben tre semestri consecutivi (figura 1). Nell’arco dei prossimi tre anni (36 mesi) questo problema, se non gestito ora, diventerà ingestibile. Nel primo semestre 2012 si sono classificati più del doppio degli incidenti pericolosi di tutto il 2011. E una crescita del 300% sul semestre precedente (a sua volta vicino al 200% sul primo del 2011), significa una crescita annua del 600 e 400%”.

I toni sono pacati ma pur premettendo di “aver fiducia che il sistema stia cominciando a sviluppare gli anticorpi”, Zapparoli Manzoni lancia due allarmi.

    Primo, la (non) sicurezza informatica è diventata una minaccia sistemica. È sotto tiro ogni settore, non si parla più solo di banking o di spionaggio di realtà industriali. Istituzioni, governi, imprese di vario settore e spesso anche privati si dimostrano impreparati e, peggio, inconsapevoli della velocità evolutiva di questi attacchi e del fatto brutale che firewall e antivirus sono necessari ma, da soli, non più sufficienti ad arginarli.
    "I citati 36 mesi sono il tempo residuo stimato prima di una clamorosa inversione di trend: il dilagare incontrastato della minaccia sistemica renderebbe l’uso di Internet economicamente più controproducente che utile”, afferma Zapparoli Manzoni. “Il ritorno di valore legato alla crescita dell’utilizzo dell’Ict non sarebbe più un valore positivo sovvertendo il dato fin qui esperienziale di valori aggiunti crescenti attesi proprio dalla penetrazione digitale dei business”.
    Il secondo allarme è legato alla tipologia di attacchi. Sempre sul migliaio di classi di attacchi pericolosi individuati, un 41% viene dal cybercrime, un 25% dagli ‘hacktivist’ stile Assange [Julian Assange, giornalista, programmatore e attivista australiano noto principalmente per la sua collaborazione al sito WikiLeaks, del quale è co-fondatore e caporedattore – ndr] (figura 2). “Dire che il 2011 è stato l’anno dell’Hactivism digitale non è corretto”, evidenzia però Zapparoli Manzoni. “I vari Anonymus, LulzSec, AntiSec hanno fatto rumore, ma tranne casi isolati [come quello di Sony, i cui danni causati dall’attacco hacker al Play Station Network sono stati valutati circa 122 milioni di euro ndr] in pratica, si tratta ‘solo’ di ‘vandalismo digitale’. Gli attivisti hanno comunque sempre più strumenti per attacchi di Denial of Service o ‘leakage’ di dati riservati, con pubblicazione di informazioni sensibili (vedi Wikileaks). E per condurli come attacchi di massa, potenzialmente sempre più devastanti”.


È ormai il ‘Cybercrime transnazionale organizzato’ a perpetrare gli attacchi più gravi, vasti, pericolosi e costosi per le vittime. “Con incassi per le ‘famiglie’ (che in alcuni casi sono le stesse delle estorsioni pre-Internet) sui 10-12 miliardi di dollari l’anno”, commenta Zapparoli Manzoni. “E con un drammatico ‘effetto cavallette’: i loro illeciti profitti producono danni, diretti o indiretti, in rapporto 40 a 1, cioè per quasi 400 miliardi di dollari, una cifra ormai confrontabile al Pil della Danimarca”.

“La difesa qui deve puntare oltre che sulle barriere, su forme drasticamente più efficaci di contrasto e disincentivazione: serve capire che con un Adsl, un Pc e 3000 dollari di malware comprati su un Forum russo, in modo non tracciabile, un investimento minimale consente attività criminali con ritorni del 750% al mese. Con questi numeri altri gruppi si uniranno a quelli in attività, alimentando la crescita esponenziale dei crimini informatici, sia nativi sia tradizionali ma veicolati con l’ausilio di sistemi informatici”, riflette il membro del Clusit. “C’è poi un preoccupante 25% di attacchi che è ‘unknown’: resiste a tutto quanto si riesce legalmente a mettere in campo (analisi, informazioni dall’underground, open source intelligence). Infine, vengono alla luce del sole attacchi di Spionaggio o Sabotaggio (4%) o di Cyber warfare vera e propria (1%), sponsorizzati da Stati, a livello governativo, che altro non sono che atti di guerra cibernetica”.

Il Cyber Espionage è stato definito “il più grande trasferimento di ricchezza della storia dell’umanità: attacchi sempre più sofisticati sponsorizzati da governi, corporation e gruppi criminali in un contesto ‘tutti contro tutti’, il valore di Proprietà Intellettuale rubata nel 2010 è di un trilione di dollari, una percentuale significativa del Gdp (Pil) mondiale, stimava l’Onu nel 2011”, spiega Zapparoli Manzoni. “Quanto al Cyberwarfare, almeno per altri 2-3 anni non ci sarà (anche se Stuxnet, il primo worm che spia e riprogramma Pc industriali, mirato alle centrali di arricchimento dell’uranio iraniano è un primo pericoloso avvertimento), ma ci si prepara a combatterla, investendo ingenti risorse”.

Quando incontriamo Zapparoli Manzoni ci parla di una recente conferenza, a Zagabria, cui hanno partecipato Ministri di difesa ed esteri dei paesi del South East Europe, dalla Croazia a Serbia, Turchia e Grecia, paesi che non possono certo definirsi grandi alleati tra loro: “Sono susseguite varie sessioni sui ‘cyber weapon’ (vere e proprie armi informatiche di distruzione di massa) per descrivere e capire come si usano, chi decide se e come usarle, gli effetti collaterali, ecc. E una cyberwar vera, di tutti contro tutti, sia pure in senso lato è già in atto nello high speed trading, dove i grandi trader, in tre secondi, guadagnano o perdono miliardi di dollari con sistemi informatici tra loro in competizione”.

E gli anticorpi? “All’evento ‘Interpol’ di Lione c’erano tutte le polizie e law enforcement che stanno già lavorando alle ‘risposte’. Purtroppo la velocità degli attaccanti è per ora assai superiore a quella con cui si muovono i difensori, ma l’importante è che il sistema della nostra civiltà tecnologica cominci a reagire di fronte alla minaccia sistemica della insicurezza. L’awareness, la consapevolezza della gravità della minaccia è il primo passo, per auto proteggersi”, conclude Zapparoli Manzoni.
http://www.zerounoweb.it/osservatori/securityjournal/rapporto-clusit-allarme-sul-cybercrime-in-italia-il-2012-l-anno-della-mobile-in-security.html

Notifiche via mail nulle se manca l'avvenuta ricezione

Le comunicazioni processuali fatte per posta elettronica devono essere riscontrate dalla parte destinataria con un atto di avvenuta ricezione, a pena di nullità. La Corte di cassazione (sentenza 6635/12, depositata il 30 aprile) torna sulle notifiche sostitutive del biglietto di cancelleria, con una decisione che riguarda il periodo tra il 2005 (legge 263, che aggiungeva la possibilità di eseguire le comunicazioni con fax e posta elettronica) e il 2011 (la legge 183 del 12 novembre – "Stabilità" - che obbliga i professionisti a dotarsi di indirizzo dedicato di Pec comunicandolo all'Ordine). La questione affrontata dalla Seconda civile riguarda un'ordinanza fuori udienza emessa dal Tribunale di Prato nel dicembre del 2007 nell'ambito di una controversia su una compravendita immobiliare; l'atto, stando al ricorso poi accolto, era stato oggetto di trasmissione via posta elettronica tra i difensori, ma senza autorizzazione all'uso della modalità elettronica da parte del destinatario, inviato inoltre a un indirizzo mail non più attivo e, soprattutto, mai arrivato a destinazione e quindi privo di ogni riscontro di ricezione. Per la Cassazione, in accordo a una lunga serie di precedenti uniformi (dalla sentenza 8002/09 a ritroso fino alla 1690/1982) lo scopo della comunicazione delle ordinanze fuori udienza è di «rendere edotte le parti del provvedimento del giudice e della data della nuova udienza fissata» e «costituisce un requisito formale indispensabile perchè il provvedimento stesso raggiunga il suo scopo». La mancata comunicazione al procuratore costituito di una delle parti è pertanto causa di nullità dell'ordinanza stessa (articolo 156 del codice di procedura) e soprattutto della nullità conseguente degli atti successivi del processo (articolo 159 del cpc), nullità che pertanto travolge anche la sentenza eventualmente pronunciata nel frattempo. In sostanza, secondo la Corte, la mancata comunicazione elettronica nei termini di efficacia richiesti dal codice e dalla giurisprudenza determina un'insanabile violazione del principio del contraddittorio. Un'ulteriore postilla della sentenza riguarda le modalità del riscontro del destinatario: non basta ottenere una qualsiasi risposta, ma questa deve pervenire al mittente in una forma che non sia un "replay" automatico, e la parte nel cui interesse è fatta la comunicazione dovrà anche avere la cura di stampare e conservare la risposta "consapevole" del destinatario. Nella formulazione originaria dell'articolo 136 del codice di procedura, le comunicazioni andavano eseguite con il biglietto di cancelleria. Il decreto legge 35 del 14 marzo 2005, convertito nella legge 80/2005, aveva aggiunto la possibilità del telefax o posta elettronica. Con il Dl 138/2011 (convertito nella legge n. 148) questi ultimi diventavano obbligatori nei confronti delle parti, cancellando l'alternativa della notifica con ufficiale giudiziario. La legge di stabilità dello scorso novembre, infine, riordinando la disciplina obbliga il difensore a dotarsi di un indirizzo Pec da comunicare al proprio Ordine, indirizzo da indicare negli atti processuali per le comunicazioni. MASSIMA Secondo il costante orientamento di questa Corte, la comunicazione, a cura del cancelliere, dell'ordinanza pronunciata fuori udienza, è diretta a rendere edotte le parti del provvedimento del giudice e della data delle nuova udienza fissata, e costituisce un requisito formale indispensabile perchè il provvedimento stesso raggiunga il suo scopo. La mancata comunicazione al procuratore costituito di una delle parti, pertanto, determina la nullità ex articolo 156 del codice di procedura civile dell'ordinanza e la conseguente nullità ex articolo 159 dello stesso codice, degli atti successivi del processo e della sentenza impugnata – rispetto ai quali il provvedimento e la sua comunicazione costituiscono antecedenti indispensabili – per violazione del principio del contraddittorio. Cassazione, Seconda sezione civile, sentenza 6635/12 http://www.ilsole24ore.com/art/norme-e-tributi/2012-05-01/notifiche-mail-nulle-manca-064310.shtml?uuid=AbZzsyVF

Specifiche tecniche sul processo telematico.

Ministero della Giustizia - Provedimento del 18 luglio 2011.
Introduzione di specifiche tecniche previste dall’articolo 4, comma 1 del decreto del Ministro della giustizia in data 21 febbraio 2011 n. 44, recante regolamento concernente le regole tecniche per l’adozione, nel processo civile e nel processo penale, delle tecnologie dell’informazione e della comunicazione, in attuazione dei principi previsti dal decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, ai sensi dell’articolo 4, commi 1 e 2 del decreto-legge 29 dicembre 2009, n. 193, convertito nella legge 22 febbraio 2010, n. 24.


CAPO I - Principi generali

ART. 1 (Ambito di applicazione)
1. Il presente provvedimento stabilisce le specifiche tecniche previste dall’articolo 34, comma 1, del regolamento concernente le regole tecniche per l’adozione nel processo civile e nel processo penale delle tecnologie dell’informazione e della comunicazione, in attuazione dei principi previsti dal decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, ai sensi dell’articolo 4, commi 1 e 2, del decreto-legge 29 dicembre 2009, n. 193, convertito nella legge 22 febbraio 2010 n.24.


ART. 2 (Definizioni)
1. Ai fini del presente provvedimento, oltre alle definizioni contenute nell’articolo 2 del regolamento, si intende:
a) regolamento: il decreto del Ministro della giustizia in data 21 febbraio 2011, n. 44, portante “Regolamento concernente le regole tecniche per l’adozione nel processo civile e nel processo penale delle tecnologie dell’informazione e della comunicazione, in attuazione dei principi previsti dal decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, ai sensi dell’articolo 4, commi 1 e 2, del decreto-legge 29 dicembre 2009, n. 193, convertito nella legge 22 febbraio 2010 n.24;
b) CEC-PAC: Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadini, di cui al D.P.C.M. 6 maggio 2009;
c) CNS: Carta Nazionale dei Servizi;
d) CSV: Comma-separated values;
e) DTD: Document Type Definition;
f) DGSIA: Direzione Generale per i Sistemi Informativi Automatizzati del Ministero della Giustizia, responsabile per i sistemi informativi automatizzati;
g) GSU: Sistema di gestione informatizzata dei registri per gli uffici notifiche e protesti;
h) HSM: Hardware Security Module;
i) HTTPS: HyperText Transfer Protocol over Secure Socket Layer;
j) IMAP: Internet Message Access Protocol;
k) PdA: Punto di Accesso, come definito all’art. 23 del regolamento;
l) PEC: Posta Elettronica Certificata;
m) POP: Post Office Protocol;
n) PP.AA.: Pubbliche Amministrazioni;
o) RdA: Ricevuta di Accettazione della Posta Elettronica Certificata;
p) RdAC: Ricevuta di Avvenuta Consegna della Posta Elettronica Certificata;
q) ReGIndE: Registro Generale degli Indirizzi Elettronici, come definito all’art. 7 del regolamento;
r) SMTP: Simple Mail Transfer Protocol;
s) UU.GG.: Uffici Giudiziari;
t) WSDL: Web Services Definition Language;
u) XML; eXtensible Markup Language;
v) XSD: XML Schema Definition;
w) SPC: Sistema Pubblico di Connettività;
x) PKCS#11: interfaccia di programmazione che consente di accedere alle funzionalità crittografiche del token; tramite l’opportuna sequenza di chiamate al token per mezzo dell’interfaccia PKCS#11 è possibile implementare la procedura di identificazione.
y) CAdES (CMS Advanced Electronic Signature): formato di busta crittografica definito nella norma ETSI TS 101 733 V1.7.4 e basata a sua volta sulle specifiche RFC 3852 e RFC 2634 e successive modificazioni.
z) PAdES (PDF Advanced Electronic Signature): formato di busta crittografica definito nella norma ETSI TS 102 778 basata a sua volta sullo standard ISO/IEC 32000 e successive modificazioni.
aa) OID (Object IDentifier): codice univoco basato su una sequenza ordinata di numeri per l’identificazione di evidenze informatiche utilizzate per la rappresentazione di oggetti come estensioni, attributi, documenti e strutture di dati in genere nell’ambito degli standard internazionali relativi alla interconnessione dei sistemi aperti che richiedono un’identificazione univoca in ambito mondiale.


CAPO II - Sistemi informatici del dominio giustizi

ART. 3 (Infrastrutture informatiche - art. 3 del regolamento)
1) Il sistema informatico del Ministero della giustizia è articolato, salvo le infrastrutture unitarie e comuni, a livello interdistrettuale e distrettuale. In fase transitoria e quando ragioni tecniche lo rendono assolutamente necessario, possono essere mantenute strutture a livello locale.
2) Fermo quanto previsto da altre disposizioni, costituiscono infrastrutture unitarie e comuni le banche dati e i sistemi informatici indicati nell’allegato 1.
3) Il sistema di posta elettronica certificata è gestito dal fornitore presso la propria sala server, collegata ad SPC secondo le relative regole di interoperabilità e sicurezza.
4) Il dispiegamento di detti sistemi rispetta le disposizioni di cui al decreto del Ministro della giustizia in data 27 aprile 2009, recante “Nuove regole procedurali relative alla tenuta dei registri informatizzati dell’amministrazione della giustizia”.
5) Il Responsabile S.I.A. emana ed aggiorna periodicamente, con proprio decreto, le linee guida per la organizzazione e gestione del sistema informatico, sentito il Garante per la protezione dei dati personali. Le linee guida sono rese note con gli opportuni strumenti di comunicazione ed in ogni caso sul sito internet dell’Amministrazione.
6) Le strutture elaborative serventi ed i dati sono allocati in corrispondenza delle componenti di cui ai commi precedenti.


ART. 4 (Gestore della posta elettronica certificata del Ministero della giustizia - art. 4 del regolamento)
1. Il Ministero della giustizia si avvale del proprio gestore di posta elettronica certificata, che rilascia e gestisce apposite caselle di PEC degli uffici giudiziari e degli UNEP da utilizzare esclusivamente per i servizi previsti dal regolamento, nel rispetto delle specifiche tecniche riportate in questo provvedimento.
2. Le caselle appartengono ad apposito sotto-dominio (civile.ptel.giustiziacert.it e penale.ptel.giustiziacert.it) e possono ricevere unicamente messaggi di posta elettronica certificata. I messaggi di posta elettronica ordinaria vengono automaticamente scartati.
3. Il gestore dei servizi telematici utilizza i protocolli POP3, POP3S, IMAP, IMAPS e SMTP per collegarsi al gestore di posta elettronica certificata del Ministero.
4. La codifica dei singoli uffici, comprensiva del relativo indirizzo di PEC, è contenuta nel catalogo dei servizi telematici di cui all’articolo 5, comma 3.
5. Non possono essere utilizzate diverse caselle di PEC per la trasmissione e il deposito di atti processuali.
6. Il Ministero della giustizia conserva il log dei messaggi, transitati attraverso il proprio gestore di posta elettronica certificata, per dieci anni. A tal fine, il gestore di PEC del Ministero invia giornalmente, a una casella di posta di sistema, il log in formato CSV. Il log, sottoscritto con firma digitale o firma elettronica qualificata, è relativo a tutti gli indirizzi del sotto-dominio delle caselle del processo telematico e contiene tutti gli eventi relativi ai messaggi pervenuti, conservando le seguenti informazioni:
a) il codice identificativo univoco assegnato al messaggio originale;
b) la data e l’ora dell’evento;
c) il mittente del messaggio originale;
d) i destinatari del messaggio originale;
e) l’oggetto del messaggio originale;
f) il tipo di evento (accettazione, ricezione, consegna, emissione ricevute, errore, ecc.);
g) il codice identificativo dei messaggi correlati generati (ricevute, errori, ecc.);
h) il gestore mittente.
7. Un apposito modulo nell’ambito del portale dei servizi telematici comprende i componenti funzionali necessari per l’acquisizione, il salvataggio e l’interrogazione dei log prodotti dal servizio di PEC.
8. I web service d’interrogazione dei log PEC sono disponibili ai sistemi interni al dominio Giustizia.
9. Le comunicazioni di atti e documenti tra l’ufficio del pubblico ministero e gli ufficiali ed agenti di polizia giudiziaria nella fase delle indagini preliminari, avvengono mediante i gestori di posta elettronica certificata delle forze di polizia, le cui caselle sono rese disponibili unicamente agli utenti abilitati; in questo caso il gestore dei servizi telematici utilizza un canale sicuro progetto da un meccanismo di crittografia ai sensi di quanto previsto dall’articolo 20.


ART. 5 (Portale dei servizi telematici - art. 6 del regolamento)
1. Il portale dei servizi telematici è accessibile all’indirizzo www.processotelematico.giustizia.it ed è composto di una “area pubblica” e di una “area riservata”.
2. L’”area pubblica”, dal titolo “Servizi online Uffici Giudiziari”, è composta da tutte le pagine web e i servizi del portale disponibili ad accesso senza l’impiego di apposite credenziali, sistemi di identificazione e requisiti di legittimazione;
in essa sono disponibili le seguenti tipologie d’informazione:
a) Informazioni e documentazione sui servizi telematici del dominio giustizia;
b) Raccolte giurisprudenziali;
c) Informazioni essenziali sullo stato dei procedimenti pendenti, rese disponibili in forma anonima; in questo caso, i parametri e i risultati di ricerca riportano unicamente i dati identificativi dei procedimenti (numero di ruolo, numero di sentenza, ecc.), senza riferimenti in chiaro ai nomi o ai dati personali delle parti e tali per cui non sia possibile risalire all’identità dell’interessato. Il canale di comunicazione per l’accesso a tali informazioni è cifrato (HTTPS).
3. Nell’area pubblica è consultabile il catalogo dei servizi telematici, che si compone di una serie di file aventi lo scopo di censire, in forma strutturata, tutte le informazioni relative ai servizi telematici, secondo gli XSD di cui all’Allegato 10.
4. Per “area riservata” s’intende il contenitore di tutte le pagine e i servizi del portale disponibili previa identificazione informatica, come disciplinata dall’articolo 6.
5. Nell’area riservata sono disponibili informazioni, dati e provvedimenti giudiziari in formato elettronico, secondo quanto previsto all’art. 27 del regolamento, nonché i servizi di pagamento telematico e di richiesta copie.


ART. 6 (Identificazione informatica - art. 6 del regolamento)
1. L’identificazione informatica avviene sul portale dei servizi telematici mediante carta d’identità elettronica o carta nazionale dei servizi e sul punto di accesso mediante token crittografico (smart card, chiavetta USB o altro dispositivo sicuro); in quest’ultimo caso, l’identificazione avviene nel rispetto dei seguenti requisiti:
a) Il certificato deve essere rilasciato da una Certification Authority (CA), accreditata da DigitPA, che si fa garante dell’identità del soggetto.
b) Il certificato deve rispettare il profilo del certificato previsto dalla Carta Nazionale dei Servizi (CNS), facendo riferimento all’Appendice 1 del documento rilasciato dal CNIPA: “Linee guida per l’emissione e l’utilizzo della Carta Nazionale dei Servizi”. L’estensione Certificate Policy (2.5.29.32) può essere valorizzata con un Object Identifier (OID) definito dalla CA.
c) In termini di sicurezza, i dispositivi ammessi sono i dispositivi personali consentiti per la firma elettronica qualificata e quindi smart card e token USB, secondo quanto previsto dalla normativa vigente. I dispositivi sicuri devono essere certificati Common Criteria EAL4+ con traguardo di sicurezza o profilo di protezione conforme alle disposizioni comunitarie.
d) In termini d’interoperabilità, sono ammissibili dispositivi che consentano la disponibilità di entrambe le interfacce PKCS#11 e CSP; in particolare entrambe le interfacce devono consentire l’accesso alla procedura d’identificazione forte mediante digitazione del PIN da parte dell’utente; il dispositivo deve inoltre rispettare la strutturazione del file system come da specifiche CNS.
2. In fase di identificazione, il punto di accesso o il portale dei servizi telematici verifica la validità del certificato presente nel token crittografico utilizzato dall’utente che accede; prima di consentire qualunque operazione, inoltre, il punto di accesso verifica che il token crittografico sia collegato alla postazione; in caso contrario, invalida e termina la sessione.
3. Il Ministero della giustizia verifica, anche attraverso opportune visite ispettive, che i punti di accesso rispettino i predetti requisiti.
4. La violazione di queste regole di sicurezza comporta per il punto di accesso la sospensione dell’autorizzazione a erogare i servizi, fino al definitivo rispetto dei requisiti.
5. Possono essere utilizzati certificati di autenticazione non conformi alle specifiche di cui sopra, purché emessi entro il 30 settembre 2011.


ART. 7 (Registro generale degli indirizzi elettronici - art. 7 del regolamento)
1. Il Registro Generale degli Indirizzi Elettronici (ReGIndE) è gestito dal Ministero della giustizia e contiene i dati identificativi nonché l’indirizzo di PEC dei soggetti abilitati esterni.
2. Il ReGIndE censisce i soggetti abilitati esterni che intendono fruire dei servizi telematici di cui al presente regolamento.
3. I sistemi di gestione informatizzata dei registri di cancelleria utilizzano il ReGIndE al fine di evitare l’inserimento manuale dei dati.
4. Le categorie di soggetti (nel prosieguo anche enti) il cui profilo anagrafico alimenta il ReGIndE sono:
a) soggetti appartenenti ad un ente pubblico che svolgano uno specifico ruolo nell’ambito di procedimenti (ad esempio avvocati e funzionari dell’INPS e dell’Avvocatura dello Stato, avvocati e funzionari delle PP.AA.);
b) professionisti iscritti in albi ed elenchi istituiti con legge (ad esempio consiglio dell’ordine degli avvocati o consiglio nazionale del Notariato);
c) professionisti non iscritti ad alcun albo: tutti quei soggetti nominati dal giudice come consulenti tecnici d’ufficio - o più in generale ausiliari del giudice - non appartenenti ad un ordine di categoria o che appartengono ad ente/ordine professionale che non abbia ancora inviato l’albo al Ministero della giustizia (ad eccezione degli avvocati).
5. Il ReGIndE non gestisce informazioni già presenti in registri disponibili alle PP.AA., qualora questi siano accessibili in via telematica ai sensi dell’articolo 16 del decreto-legge 29 novembre 2008 n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009 n. 2, il cui contenuto occorre ai sistemi del dominio Giustizia; da tali registri (tra cui il registro delle imprese, delle pubbliche amministrazioni e dei cittadini) sono recuperati gli indirizzi di PEC dei professionisti e delle imprese, nonché gli indirizzi CEC-PAC dei cittadini ivi censiti.
6. Il ReGIndE è direttamente accessibile dai sistemi interni al dominio giustizia, attraverso un apposito web service.
7. Il ReGIndE è consultabile dai soggetti abilitati esterni tramite il proprio punto di accesso o tramite il Portale dei Servizi Telematici (area riservata), su connessioni sicure (SSL v3), attraverso un apposito web service; i relativi WSDL sono pubblicati nell’area pubblica del portale dei servizi telematici.


ART. 8 (Alimentazione del registro generale degli indirizzi elettronici - art. 7 del regolamento)
1. L’alimentazione del ReGIndE avviene previo invio al responsabile per i sistemi informativi automatizzati di un documento di censimento contenente le informazioni necessarie ad identificare:
a) l’ente stesso attraverso: codice ente, descrizione, codice fiscale/partita iva;
b) il nominativo e il codice fiscale del delegato all’invio dell’albo, che dovrà sottoscrivere con firma digitale o firma elettronica qualificata l’albo in trasmissione;
c) la casella di PEC utilizzata per l’invio dell’albo.
2. Il documento di censimento di cui al comma precedente aderisce al modello reperibile nell’area pubblica del portale e viene inviato all’indirizzo di posta elettronica certificata del responsabile per i sistemi informativi automatizzati: prot.dgsia.dog@giustiziacert.it it.
3. Terminate le operazioni di censimento da parte del responsabile per i sistemi informativi automatizzati, l’ente mittente del documento di censimento riceve una risposta; in caso di esito positivo, l’ente può procedere all’invio dell’albo secondo le seguenti specifiche:
a) il messaggio deve essere di posta elettronica certificata; non sono considerati i messaggi di posta ordinaria;
b) non vi sono vincoli sull’oggetto né sul body del messaggio;
c) l’indirizzo di PEC mittente deve essere censito tra quelli delegati all’invio e riportati nel documento di censimento;
d) deve essere allegato un solo file (ComunicazioniSoggetti.xml), sottoscritto con firma digitale o firma elettronica qualificata;
e) la firma digitale o firma elettronica qualificata deve appartenere al soggetto delegato di cui al comma 1, lettera b, sulla base del codice fiscale censito;
f) il file ComunicazioniSoggetti.xml deve essere conforme all’XML-Schema di cui all’Allegato 2;
g) il codice ente specificato nel file deve essere tra quelli censiti.
4. Il mancato rispetto di uno o più dei vincoli di cui all’articolo precedente comporta un messaggio automatico di esito negativo; in questo caso l’allegato ComunicazioniSoggetti.xml viene scartato.
5. A ogni invio corrisponde una risposta tramite PEC; il messaggio ha come oggetto la medesima descrizione del messaggio originale con il suffisso “- Esito” e riporta in allegato l’esito dell’elaborazione del messaggio con le eventuali eccezioni; il formato del messaggio di esito, inviato come allegato al messaggio di PEC, è descritto nell’Allegato 3.
6. L’esito si riferisce sia ad errori presenti sui dati e, quindi riconducibili alle informazioni dei singoli soggetti (come ad esempio codice fiscale inesistente), sia ad errori legati a vincoli e prerequisiti che presuppongono la validità dell’invio di un albo (ad esempio: censimento dell’ente richiedente e dei soggetti abilitati all’invio dell’albo).
7. Ad ogni nuovo indirizzo di PEC registrato nelle anagrafiche a seguito dell’inserimento di un nuovo soggetto o di modifica di uno esistente, viene inviato un messaggio di PEC di cortesia in cui si attesta l’avvenuta registrazione.


ART. 9 (Professionisti non iscritti in albi - art. 7 del regolamento)
1. I professionisti non iscritti all’albo, oppure per i quali il proprio ordine di appartenenza non abbia provveduto all’invio di copia dell’albo (ad eccezione degli avvocati), si registrano al ReGIndE attraverso un Punto di Accesso (PdA) o attraverso il Portale dei Servizi Telematici, previa identificazione, effettuando altresì l’inserimento (upload) del file che contiene copia informatica, in formato PDF, dell’incarico di nomina da parte del giudice; tale file è sottoscritto con firma digitale o firma elettronica qualificata dal soggetto che intende iscriversi.
2. Il PdA provvede a trasmettere l’avvenuta registrazione con le medesime modalità di cui all’articolo precedente, con la differenza che il file ComunicazioniSoggetti.xml è digitalmente sottoscritto con firma digitale o firma elettronica qualificata dal PdA.
3. Qualora il professionista di cui al comma 1 s’iscriva ad un albo, oppure pervenga copia dell’albo da parte dell’ordine di appartenenza, prevalgono i dati trasmessi dall’ordine stesso; in questo caso il sistema cancella la prima iscrizione e invia un messaggio PEC di cortesia al professionista.


ART. 10 (Sistemi informatici per i soggetti abilitati interni - art. 8 del regolamento)
1. I sistemi informatici a disposizione dei soggetti abilitati interni sono conformi alle regole di cui al D.M. 27 aprile 2009 e mettono a disposizione le funzioni relative a:
a) ricezione, accettazione e trasmissione dei dati e dei documenti informatici;
b) consultazione e gestione del fascicolo informatico.
2. Per l’accesso ai sistemi di cui al comma precedente dall’interno degli uffici giudiziari, l’identificazione è effettuata mediante coppia di credenziali “nome utente/password” ovvero mediante identificazione informatica ai sensi dell’articolo 6.
3. Per l’accesso ai sistemi di cui al comma 1 dall’esterno della Rete Giustizia, l’identificazione è effettuata dal portale dei servizi telematici sulla base del sistema “Active Directory Nazionale” (ADN) e secondo le specifiche di cui all’articolo 6; ai soli fini del recupero dall’esterno delle informazioni di registro da parte dei sistemi a disposizione dei magistrati in ambito civile, è sufficiente l’identificazione sulla base del sistema ADN purché l’interrogazione dei dati finalizzati al recupero preveda l’indicazione del numero di ruolo generale nonché del codice fiscale dell’attore principale e del convenuto principale del procedimento.


ART. 11 (Fascicolo informatico - art. 9 del regolamento)
1. Il fascicolo informatico raccoglie i documenti (atti, allegati, ricevute di posta elettronica certificata) da chiunque formati, nonché le copie informatiche dei documenti; raccoglie altresì le copie informatiche dei medesimi atti quando siano stati depositati su supporto cartaceo.
2. Il sistema di gestione del fascicolo informatico, realizzato secondo quanto previsto all’articolo 41 del CAD, è la parte del sistema documentale del Ministero della giustizia che si occupa di archiviare e reperire tutti i documenti informatici, prodotti sia all’interno che all’esterno; fornisce pertanto ai sistemi fruitori (sistemi di gestione dei registri di cancelleria, gestore dei servizi telematici e strumenti a disposizione dei magistrati) tutte le primitive - esposte attraverso appositi web service - necessarie per il recupero, l’archiviazione e la conservazione dei documenti informatici, secondo le normative in vigore; l’accesso al sistema di gestione documentale avviene soltanto per il tramite dei sistemi fruitori, che gestiscono le logiche di profilazione e autorizzazione.
3. Le operazioni di accesso al fascicolo informatico sono registrate in un apposito file di log che contiene le seguenti informazioni:
a) il codice fiscale del soggetto che ha effettuato l’accesso;
b) il riferimento al documento prelevato o consultato (codice identificativo del documento nell’ambito del sistema documentale);
c) la data e l’ora dell’accesso.
Il suddetto file di log è sottoposto a procedura di conservazione, sempre nell’ambito del sistema documentale, per cinque anni.


CAPO III - Trasmissione di atti e documenti informatici

ART. 12 (Formato dell’atto del processo in forma di documento informatico - art. 11 del regolamento)
1. L’atto del processo in forma di documento informatico rispetta i seguenti requisiti:
a) è in formato PDF;
b) è privo di elementi attivi;
c) è ottenuto da una trasformazione di un documento testuale, senza restrizioni per le operazioni di selezione e copia di parti; non è pertanto ammessa la scansione di immagini;
d) è sottoscritto con firma digitale o firma elettronica qualificata esterna, pertanto il file ha la seguente denominazione: .pdf.p7m;
e) è corredato da un file in formato XML, che contiene le informazioni strutturate nonché tutte le informazioni della nota di iscrizione a ruolo, e che rispetta gli XSD riportati nell’Allegato 5; esso è denominato DatiAtto.xml ed è sottoscritto con firma digitale o firma elettronica qualificata.
2. La struttura del documento firmato è CAdES; il certificato di firma è inserito nella busta crittografica La modalità di apposizione della firma digitale o della firma elettronica qualificata è del tipo “firme multiple indipendenti” o parallele, e prevede che uno o più soggetti firmino, ognuno con la propria chiave privata, lo stesso documento (o contenuto della busta). L’ordine di apposizione delle firme dei firmatari non è significativo e un’alterazione dell’ordinamento delle firme non pregiudica la validità della busta crittografica; il file generato si presenta con un’unica estensione p7m. Il meccanismo qui descritto è valido sia per l’apposizione di una firma singola che per l’apposizione di firme multiple.


ART. 13 (Formato dei documenti informatici allegati - art. 12 del regolamento)
1. I documenti informatici allegati sono privi di elementi attivi, tra cui macro e campi variabili, e sono consentiti nei seguenti formati:
a).pdf
b).odf
c).rtf
d).txt
e).jpg
f).gif
g).tiff
h).xml.
2. È consentito l’utilizzo dei seguenti formati compressi purché contenenti file nei formati previsti al comma precedente:
a).zip
b).rar
c).arj.
3. Gli allegati possono essere sottoscritta con firma digitale o firma elettronica qualificata; nel caso di formati compressi la firma digitale, se presente, deve essere applicata dopo la compressione.


ART. 14 (Trasmissione dei documenti da parte dei soggetti abilitati esterni e degli utenti privati - art. 13 del regolamento)
1. L’atto e gli allegati sono contenuti nella cosiddetta “busta telematica”, ossia un file in formato MIME che riporta tutti i dati necessari per l’elaborazione da parte del sistema ricevente (gestore dei servizi telematici); in particolare la busta contiene il file Atto.enc, ottenuto dalla cifratura del file Atto.msg, il quale contiene a sua volta:
a) IndiceBusta.xml: il DTD è riportato nell’Allegato 4.
b) DatiAtto.xml: gli XSD sono riportati nell’Allegato 5.
c) .pdf.p7m: atto vero e proprio, in formato PDF, sottoscritto con firma digitale o firma elettronica qualificata (firma esterna).
d) AllegatoX.xxx[.p7m]: uno o più allegati nei formati di file di cui all’articolo 13, eventualmente sottoscritti con firma digitale o firma elettronica qualificata; il nome del file può essere scelto liberamente.
2. La cifratura di Atto.msg è eseguita con la chiave di sessione (ChiaveSessione) cifrata con il certificato del destinatario; IssuerDname è il Distinguished Name della CA che ha emesso il certificato dell’ufficio giudiziario o dell’UNEP destinatario, SerialNumber è il numero seriale del certificato dell’ufficio giudiziario o dell’UNEP destinatario; l’algoritmo utilizzato per l’operazione di cifratura simmetrica del file è il 3DES e le chiavi simmetriche di sessione sono cifrate utilizzando la chiave pubblica contenuta nel certificato del destinatario; le chiavi di cifratura degli uffici giudiziari sono disponibili nell’area pubblica del portale dei servizi telematici (il relativo percorso e nome file è indicato nel catalogo dei servizi telematici); lo standard previsto è il CAdES.
3. La dimensione massima consentita per la busta telematica è pari a 30 Megabyte.
4. La busta telematica viene trasmessa all’ufficio giudiziario destinatario in allegato ad un messaggio di posta elettronica certificata che rispetta le specifiche su mittente, destinatario, oggetto, corpo e allegati come riportate nell’Allegato 6.
5. Il gestore dei servizi telematici scarica il messaggio dal gestore della posta elettronica certificata del Ministero della giustizia ed effettua le verifiche formali sul messaggio; le eccezioni gestite sono le seguenti:
a) T001: l’indirizzo del mittente non è censito in ReGIndE;
b) T002: Il formato del messaggio non è aderente alle specifiche;
c) T003: la dimensione del messaggio eccede la dimensione massima consentita.
6. Il gestore dei servizi telematici, nel caso in cui il mittente sia un avvocato, effettua l’operazione di certificazione, ossia recupera lo status del difensore da ReGIndE; nel caso in cui lo status non sia “attivo”, viene segnalato alla cancelleria.
7. Il gestore dei servizi telematici effettua i controlli automatici (formali) sulla busta telematica; le possibili anomalie all’esito dell’elaborazione della busta telematica sono codificate secondo le seguenti tipologie:
a) WARN: anomalia non bloccante; si tratta in sostanza di segnalazioni, tipicamente di carattere giuridico (ad esempio manca la procura alle liti allegata all’atto introduttivo);
b) ERROR: anomalia bloccante, ma lasciata alla determinazione dell’ufficio ricevente, che può decidere di intervenire forzando l’accettazione o rifiutando il deposito (esempio: certificato di firma non valido o mittente non firmatario dell’atto);
c) FATAL: eccezione non gestita o non gestibile (esempio: impossibile decifrare la busta depositata o elementi della busta mancanti ma fondamentali per l’elaborazione).
8. La codifica puntuale degli errori indicati al comma precedente è pubblicata e aggiornata nell’area pubblica del portale dei servizi telematici.
9. All’esito dei controlli di cui ai commi precedenti, il gestore dei servizi telematici invia al depositante un messaggio di posta elettronica certificata riportante eventuali eccezioni riscontrate.
10. Il gestore dei servizi telematici, all’esito dell’intervento dell’ufficio, invia al depositante un messaggio di posta elettronica certificata contenente l’esito dell’intervento di accettazione operato dalla cancelleria o dalla segreteria dell’ufficio giudiziario destinatario.


ART. 15 (Documenti probatori e allegati non informatici - art. 14 del regolamento)
1. I documenti probatori e gli allegati depositati in formato analogico, sono identificati e descritti in un’apposita sezione dell’atto del processo in forma di documento informatico e comprendono, per l’individuazione dell’atto di riferimento, i seguenti dati:
a) numero di ruolo della causa;
b) progressivo dell’allegato;
c) indicazione della prima udienza successiva al deposito.


ART. 16 (Deposito dell’atto del processo da parte dei soggetti abilitati interni - art. 15 del regolamento)
1. I soggetti abilitati interni utilizzano appositi strumenti per la redazione degli atti del processo in forma di documento informatico e per la loro trasmissione alla cancelleria o alla segreteria dell’ufficio giudiziario.
2. L’atto è inserito nella medesima busta telematica di cui all’articolo 14 e viene trasmesso su canale sicuro (SSL v3) al gestore dei servizi telematici, tramite collegamento sincrono (http/SOAP); si applicano le disposizioni di cui all’articolo 10, comma 2.
3. Se il provvedimento del magistrato è in formato cartaceo, il cancelliere o il segretario dell’ufficio giudiziario ne estrae copia informatica in formato PDF, e lo sottoscrive con firma digitale o firma elettronica qualificata.


ART. 17 (Comunicazioni per via telematica - art. 16 del regolamento)
1. Il gestore dei servizi telematici provvede ad inviare le comunicazioni per via telematica, provenienti dall’ufficio giudiziario, alla casella di posta elettronica certificata del soggetto abilitato esterno destinatario, recuperando il relativo indirizzo sul ReGIndE; il formato del messaggio è riportato nell’Allegato 8; la comunicazione è riportata nel corpo del messaggio nonché nel file allegato Comunicazione.xml (il relativo DTD è riportato nell’Allegato 4.
2. La cancelleria o la segreteria dell’ufficio giudiziario, attraverso apposite funzioni messe a disposizione dai sistemi informatici di cui all’articolo 10, provvede ad effettuare una copia informatica in formato PDF di eventuali documenti cartacei da comunicare; la copia informatica è conservata nel fascicolo informatico.
3. Il gestore dei servizi telematici recupera le ricevute della posta elettronica certificata e gli avvisi di mancata consegna dal gestore di PEC del Ministero e li conserva nel fascicolo informatico; la ricevuta di avvenuta consegna è di tipo breve.


ART. 18 (Comunicazioni contenenti dati sensibili - art. 16 del regolamento)
1. La comunicazione che contiene dati sensibili è effettuata per estratto: in questo caso al destinatario viene recapitato l’avviso disponibilità della comunicazione di cancelleria, secondo il formato riportato nell’Allegato 8; il destinatario effettua il prelievo dell’atto integrale accedendo all’indirizzo (URL) contenuto nel suddetto messaggio di PEC di avviso.
2. Il prelievo di cui al comma precedente avviene attraverso l’apposito servizio proxy del portale dei servizi telematici, su canale sicuro (protocollo SSL); tale servizio effettua l’identificazione informatica dell’utente, ai sensi dell’articolo 6; il prelievo è consentito unicamente se l’utente è registrato nel ReGIndE.
3. Il prelievo di cui al comma precedente avviene da un’apposita area di download del gestore dei servizi telematici, dove viene gestita e mantenuta un’apposita tabella recante le seguenti informazioni:
a) il codice fiscale del soggetto che ha effettuato il prelievo o la consultazione;
b) il riferimento al documento prelevato o consultato (codice univoco inserito nell’URL inviato nell’avviso di cui al comma 4);
c) la data e l’ora di invio dell’avviso;
d) la data e l’ora del prelievo o della consultazione.
4. Le informazioni di cui al comma precedente vengono conservate per cinque anni.


ART. 19 (Notificazioni per via telematica - art. 17 del regolamento)
1. Al di fuori dei casi previsti dall’articolo 51, del decreto legge 5 giugno 2008 n. 112 (convertito con modificazioni dalla legge 6 agosto 2008, n. 133) e successive modificazioni, le richieste telematiche di un’attività di notificazione da parte di un ufficio giudiziario sono inoltrate al sistema informatico dell’UNEP in formato XML, attraverso un colloquio diretto, via web service, tra i rispettivi gestori dei servizi telematici, su canale sicuro (SSL v3).
2. Le richieste di notifica effettuate dai soggetti abilitati esterni sono inoltrate all’UNEP tramite posta elettronica certificata, nel rispetto dei requisiti tecnici di cui agli articoli 12, 13 e 14; all’interno della busta telematica è inserito il file RichiestaParte.xml, il cui XML-Schema è riportato nell’Allegato 5.
3. All’UNEP può essere inviata, sempre all’interno della busta telematica, la richiesta di pignoramento il cui XML-Schema è riportato nell’Allegato 5.
4. Alla notificazione per via telematica da parte dell’UNEP si applicano le specifiche della comunicazione per via telematica di cui all’articolo 17; il formato del messaggio di posta elettronica certificata è riportato nell’Allegato 7.
5. Ai fini della notificazione per via telematica, il sistema informatico dell’UNEP recupera l’indirizzo di posta elettronica del destinatario a seconda della sua tipologia:
a) soggetti abilitati esterni e professionisti iscritti in albi o elenchi costituiti ai sensi dell’articolo 16 del decreto-legge 29 novembre 2008, n. 185 convertito con legge del 28 gennaio 2009, n. 2: dal registro generale degli indirizzi elettronici, ai sensi dell’articolo 7, comma 6;
b) imprese iscritte nel relativo registro: ai sensi dell’articolo 7, comma 5;
c) cittadini: ai sensi dell’articolo 7, comma 5.
6. Il sistema informatico dell’UNEP, eseguita la notificazione, trasmette - per via telematica a chi ha richiesto il servizio - il documento informatico con la relazione di notificazione sottoscritta mediante firma digitale o firma elettronica qualificata e congiunta all’atto cui si riferisce, nonché le ricevute di posta elettronica certificata. La relazione di notificazione è in formato XML e rispetta l’XML-Schema riportato nell’Allegato 5; se il richiedente è un soggetto abilitato esterno, la trasmissione avviene via posta elettronica certificata; il formato del messaggio è riportato nell’Allegato 7.


ART. 20 (Disposizioni particolari per la fase delle indagini preliminari - art. 19 del regolamento)
1. Nelle indagini preliminari le comunicazioni tra l’ufficio del pubblico ministero e gli ufficiali ed agenti di polizia giudiziaria avvengono su canale sicuro protetto da un meccanismo di crittografia (SSL v3).
2. Il sistema di gestione del registro e il sistema documentale garantiscono la tracciabilità delle attività, attraverso appositi file di log, conservati nel sistema documentale stesso.
3. L’atto del processo rispetta le specifiche di cui agli articoli 12 e 13.
4. La comunicazione di atti e documenti nella fase di indagini preliminari avviene tramite posta elettronica certificata, secondo le specifiche di cui all’articolo 17; le caselle di PEC dell’ufficio del pubblico ministero sono attivate presso i gestori di posta elettronica certificata della forze di polizia.
5. Il gestore dei servizi telematici si collega alle caselle di cui al comma precedente su canale sicuro, utilizzando i protocolli POP3Ss o HTTPS, al fine di evitare la trasmissione in chiaro delle credenziali di accesso e dei messaggi.
6. La comunicazione degli atti del processo alle forze di polizia è effettuata per estratto, secondo le specifiche di cui all’articolo 18; l’atto è protetto da meccanismo di crittografia a chiavi asimmetriche, con le medesime specifiche di cui all’articolo 14 comma 2.
7. Gli atti contenuti nel fascicolo informatico, relativi alle indagini preliminari, sono custoditi in una sezione distinta del sistema documentale; ciascun atto potrà essere protetto da un meccanismo di crittografia basato su chiavi asimmetriche, custodite e gestite nell’ambito di un sistema HSM (hardware security module) appositamente dedicato alle operazioni di cifratura e decifratura, invocato dalle applicazioni di gestione dei registri. Ogni istanza della piattaforma di gestione documentale è dotata di apparati HSM dedicati.
8. La trasmissione telematica delle informazioni relative alle notizie di reato avviene tramite cooperazione applicativa tra il sistema di gestione informatizzata dei registri presso l’ufficio del pubblico ministero e il Sistema Informativo Interforze del Ministero dell’Interno, secondo le specifiche del Sistema Pubblico di Cooperazione (SPCoop), su canale cifrato attraverso l’uso di certificati server. Le informazioni contenute nella busta di e-Government prevista dalle specifiche SPCoop sono in formato XML.


ART. 21 (Requisiti della casella di PEC del soggetto abilitato esterno - art. 20 del regolamento)
1. La casella di posta elettronica certificata di un soggetto abilitato esterno deve disporre di uno spazio disco minimo pari a 1 Gigabyte.


ART. 22 (Richiesta delle copie di atti e documenti - art. 21 del regolamento)
1. Per la richiesta telematica di copie di atti e documenti relativi al procedimento è disponibile, sul punto di accesso e sul portale dei servizi telematici, un servizio sincrono attraverso il quale individuare i documenti di cui richiedere copia e, in seguito al perfezionamento del pagamento, inoltrare la richiesta effettiva della copia stessa.
2. Il soggetto che ne ha diritto può richiedere:
a) copia semplice in formato digitale;
b) copia semplice per l’avvocato non costituito in formato digitale;
c) copia autentica in formato digitale;
d) copia esecutiva in formato digitale;
e) copia semplice in formato cartaceo;
f) copia autentica in formato cartaceo;
g) copia esecutiva in formato cartaceo.
3. I dati relativi alla richiesta sono inoltrati all’ufficio giudiziario attraverso l’invocazione di un apposito web service; al richiedente è restituito l’identificativo univoco della richiesta inoltrata. Tale identificativo univoco è associato all’intero flusso di gestione della richiesta e di rilascio della copia.
4. Nel caso in cui la copia non possa essere rilasciata il sistema, in maniera automatica, comunica al richiedente l’impossibilità di evadere la richiesta.


ART. 23 (Rilascio delle copie di atti e documenti - art. 21 del regolamento)
1. Il rilascio della copia in formato digitale di atti e documenti viene eseguito secondo le specifiche di cui all’articolo 16 del regolamento e dell’art. 23-ter, comma 5 del CAD; la copia è inviata al richiedente in allegato ad un messaggio di posta elettronica certificata, secondo il formato riportato nell’Allegato 9.
2. Nel caso di copia di documenti contenenti dati sensibili o nel caso di copia di documenti che eccedono il massimo consentito dalla posta elettronica certificata, il messaggio di cui al comma precedente contiene l’avviso di disponibilità della copia, secondo il formato riportato nell’Allegato 9; il prelievo avviene secondo le specifiche di cui all’articolo 18, commi 2, 3 e 4.
3. La copia, informatica o analogica, di documento informatico è corredata del contrassegno di cui all’articolo 23-ter, comma 5, del CAD, al fine di assicurare la provenienza e la conformità all’originale.
4. Il contrassegno di cui al comma precedente è generato elettronicamente su ognuna delle pagine del documento e contiene, nella forma di codice bidimensionale, la pagina del documento informatico di cui si rilascia copia sottoscritta dal cancelliere con firma digitale o firma elettronica qualificata al fine di attestarne la conformità all’originale.
5. Il contrassegno di cui al comma 3 consente la verifica automatica della conformità della copia rilasciata, qualora riprodotta a stampa, al documento informatico da cui è tratta nonché la verifica della firma digitale o firma elettronica qualificata apposta sulla copia al momento del rilascio; tale verifica può essere effettuata dal soggetto richiedente nonché dal soggetto destinatario o beneficiario dell’atto tramite un software di visualizzazione e verifica scaricabile gratuitamente dall’area pubblica del portale dei servizi telematici e configurato per riconoscere esclusivamente i contrassegni generati attraverso strumenti informatici della Giustizia.
6. Il codice bidimensionale di cui al comma 4 è generato tramite codifica Data Matrix definita nello standard ISO/IEC (16022:2006).


CAPO IV - Consultazione delle informazioni del dominio giustizia

ART. 24 (Requisiti di sicurezza - art. 26 del regolamento)
1. L’architettura dei servizi di consultazione aderisce al modello MVC (Model View Controller) e prevede il disaccoppiamento del front-end, localizzato sul punto di accesso o sul portale dei servizi telematici, dal back-end, localizzato sul gestore dei servizi telematici, incaricato di esporre i servizi sottoforma di web service (http/SOAP).
2. Il portale dei servizi telematici espone, attraverso un apposito servizio proxy, i web service forniti dal gestore dei servizi telematici, a beneficio dei punti di accesso e di applicazioni esterne.
3. I punti di accesso realizzano autonomamente la parte di front-end, che deve essere localizzata all’interno della intranet del PdA stesso e non deve essere accessibile direttamente dall’esterno.
4. I punti di accesso possono a loro volta esporre i web service forniti dal gestore dei servizi telematici, a beneficio di applicazioni esterne.
5. Il protocollo di trasporto tra il punto di accesso e il proxy è HTTPS; la serializzazione dei messaggi è nel formato XML/SOAP.
6. Le funzionalità fornite dai web service realizzati, nonché le relative regole di invocazione, sono descritte tramite i WSDL pubblicati sull’area pubblica del portale dei servizi telematici.
7. L’accesso ai servizi di consultazione avviene previa identificazione informatica su di un punto di accesso o sul portale dei servizi telematici, secondo le specifiche di cui all’articolo 6; a seguito di tale identificazione, il punto di accesso o il portale dei servizi telematici attribuiscono all’utente un ruolo di consultazione, a seconda del registro di cancelleria; eseguita tale operazione, viene trasmesso al proxy di cui al comma 2 il codice fiscale del soggetto che effettua l’accesso (nell’header http) e il ruolo di consultazione stesso (nel messaggio SOAP); il proxy verifica che il soggetto sia presente nel Re- GIndE e in caso trattasi di un avvocato che lo status non sia “radiato” o “cancellato”; qualora la verifica abbia esito positivo, trasmette la richiesta al web service del gestore dei servizi telematici.
8. In base al ruolo di consultazione di cui al comma precedente, il sistema fornisce le autorizzazioni all’accesso rispetto alle informazioni anagrafiche contenute nei sistemi di gestione dei registri o sulla base dell’atto di delega previsto dal regolamento.
9. In fase di richiesta di attivazione, il punto di accesso può adottare meccanismi di identificazione basati sulla gestione federata delle identità digitali (modello GFID), secondo le specifiche di DigitPA; in questo caso, il responsabile per i sistemi informativi automatizzati, valutata la soluzione proposta e opportunamente descritta nel piano della sicurezza, approva il meccanismo di identificazione che soddisfa il livello di sicurezza richiesto.
10. Fuori dai casi previsti ai commi 1 e 9, l’architettura dei servizi di consultazione prevede in via residuale che il punto di accesso o il portale dei servizi telematici effettuino, a seguito dell’identificazione di cui al comma 7, un link diretto dalle proprie pagine alla pagina principale del sito web che rende disponibili i servizi su canale sicuro (HTTPS); in questo caso i dati identificativi del soggetto vengono inseriti nell’header HTTP della richiesta.
11. I servizi di consultazione attivi sono elencati, per singolo ufficio, nel catalogo dei servizi telematici, di cui all’articolo 5, comma 5.
12. L’elenco dei punti di accesso autorizzati è pubblicato nell’area pubblica del portale dei servizi telematici e nel catalogo dei servizi telematici, di cui all’articolo 5, comma 5.
13. Il punto di accesso si dota di un piano della sicurezza, depositato al responsabile per i sistemi informativi automatizzati unitamente all’istanza di iscrizione all’elenco pubblico dei punti di accesso, che prevede la trattazione, esaustiva e dettagliata, dei seguenti argomenti:
a) struttura logistica e operativa dell’organizzazione;
b) ripartizione e definizione delle responsabilità del personale addetto;
c) descrizione dei dispositivi installati;
d) descrizione dell’infrastruttura di protezione, per ciascun immobile interessato (e rilevante ai fini della sicurezza);
e) descrizione delle procedure di registrazione delle utenze;
f) descrizione relativa all’implementazione dei meccanismi di identificazione informatica;
g) qualora il PdA integri la gestione delle caselle di PEC dei propri utenti, descrizione delle modalità di integrazione;
h) procedura di gestione delle copie di sicurezza dei dati;
i) procedura di gestione dei disastri;
j) analisi dei rischi e contromisure previste;
14. Ai fini dell’iscrizione nel suddetto elenco, il responsabile per i sistemi informativi automatizzati verifica il piano della sicurezza di cui al comma precedente e può disporre apposite verifiche in loco, in particolare per accertare il rispetto delle prescrizioni di sicurezza riportate nel presente provvedimento.
15. Il punto di accesso abilita i propri iscritti unicamente a usufruire dei servizi esplicitamente autorizzati dal responsabile per i sistemi informativi automatizzati e riportati nel catalogo dei servizi telematici.
16. Il punto di accesso si dota di una casella di posta elettronica certificata, che comunica al responsabile per i sistemi informativi automatizzati, da utilizzarsi per inviare e ricevere comunicazioni con il Ministero della giustizia.


ART. 25 (Registrazione dei soggetti abilitati esterni e degli utenti privati - art. 28 del regolamento)
1. L’utente accede ai servizi di consultazione previa registrazione presso un punto di accesso autorizzato o presso il portale dei servizi telematici.
2. Il punto di accesso o il portale dei servizi telematici effettuano la registrazione del soggetto abilitato esterno o dell’utente privato, prelevando il codice fiscale dal token crittografico dell’utente; attraverso un’apposita maschera web, l’utente (senza poter modificare il codice fiscale) completa i propri dati, inserendo almeno le seguenti informazioni:
a) nome e cognome
b) luogo e data di nascita
c) residenza
d) domicilio
e) ruolo
f) consiglio dell’ordine o ente di appartenenza
g) casella di posta elettronica certificata
3. I dati di cui al comma precedente, unitamente alla data in cui è avvenuta la registrazione, sono archiviati e conservati per dieci anni.
4. Gli esperti e gli ausiliari del giudice, non iscritti ad alcun albo professionale o per i quali il proprio ordine non abbia provveduto all’invio dell’albo, presentano, all’atto della registrazione, copia elettronica in formato PDF dell’incarico di nomina da parte del giudice; tale copia è sottoscritta con firma digitale o firma elettronica qualificata dal soggetto che s’iscrive.
5. Qualora il professionista sia iscritto ad un albo dei consulenti tecnici, istituito presso un tribunale (ai sensi del Capo II, sezione 1, delle disposizioni di attuazione del codice di procedura civile), al PdA viene presentata copia elettronica in formato PDF del provvedimento di iscrizione all’albo stesso da parte del comitato; tale copia è sottoscritta con firma digitale o firma elettronica qualificata dal soggetto che s’iscrive.
6. Il punto di accesso è tenuto a conservare i documenti informatici di cui ai commi precedenti, e a renderli disponibili, su richiesta, al Ministero della giustizia.
7. I punti di accesso trasmettono al Ministero della giustizia le informazioni relative ai propri utenti registrati secondo le modalità di cui all’allegato 11.


CAPO V - Pagamenti telematici

ART. 26 (Requisiti relativi al processo di pagamento telematico - art. 30 del regolamento)
1. Al fine di comunicare in via telematica all’ufficio giudiziario l’avvenuto pagamento delle spese, dei diritti e del contributo unificato, la ricevuta di versamento è inserita come allegato della busta telematica nel caso di inoltro via PEC, oppure è associata alla richiesta telematica nel caso di istanza gestita tramite un flusso sincrono.
2. Nel caso di pagamento eseguito in modalità non telematica, la ricevuta di versamento è costituita dalla copia informatica dell’originale cartaceo ottenuta per scansione e sottoscritta con firma digitale o firma elettronica qualificata da chi ne fa uso, mentre nel caso di pagamento in modalità telematica la ricevuta è costituita dal documento originale informatico in formato XML, come disciplinato all’articolo 28, comma 2.
3. Il servizio di pagamento in modalità telematica è messo a disposizione dei soggetti abilitati nell’ambito delle funzionalità del punto di accesso e del portale dei servizi telematici, con lo scopo di permettere il versamento attraverso strumenti telematici e di ricevere l’attestazione del versamento attraverso il medesimo canale telematico; l’accesso ai servizi di pagamento avviene previa identificazione informatica di cui all’articolo 6.
4. Nell’ambito del flusso per il pagamento telematico sono individuati i seguenti componenti architetturali:
a) Sistema dei Pagamenti (SP): infrastruttura del sistema finanziario costituta dall’insieme di tutti gli strumenti con i quali possono essere acquistati beni e servizi nell’economia, nonché dalle attività e dagli intermediari che consentono l’effettivo trasferimento di tali strumenti da un operatore ad un altro;
b) Sistema del Prestatore dei servizi di Pagamento (Psp): piattaforma tecnologica operante presso gli istituti di credito, Poste Italiane o altri soggetti abilitati che, ai sensi della normativa vigente e nell’ambito del Sistema dei Pagamenti, mettono a disposizione degli utenti gli strumenti atti ad effettuare il pagamento richiesto;
c) Front-End con il Sistema dei Pagamenti (FESP): componente infrastrutturale (middleware) atto a facilitare lo scambio di informazioni tra i soggetti attraverso la condivisione dei protocolli di colloquio (sia applicativi, che di trasporto), l’implementazione delle logiche di elaborazione della richiesta di pagamento e della ricevuta telematica nonché l’erogazione di eventuali servizi aggiuntivi, tra cui la firma digitale dei documenti scambiati. Le funzioni del componente possono essere integrate in un PdA, integrate nel sistema offerto dal prestatore di servizi (Psp) o condivise (anche da più amministrazioni) essendo messe a fattor comune nell’ambito dell’infrastruttura di sistema della Pubblica Amministrazione (Nodo PA all’interno di SPC);
d) Nodo PA: infrastruttura condivisa all’interno del SPC che gestisce il colloquio con i prestatori dei servizi di pagamento (Psp) e può anchesvolgere le funzioni previste per il FESP.
5. Le modalità tecniche d’interazione tra le componenti di cui al comma precedente devono essere caratterizzate dall’adozione di protocolli sicuri. Nel caso in cui l’interazione avvenga tramite la rete SPC, il requisito è garantito dalla natura riservata della rete stessa. In tutti gli altri casi, il colloquio avviene attraverso l’utilizzo di certificati “server” rilasciati da Certification Authority qualificate.
6. Le funzioni svolte dal portale dei servizi telematici integrano al loro interno le funzioni di pagamento informatico, al fine di offrire all’utente un servizio unico e completo. Le applicazioni offerte dai punti accesso si uniformano a tale principio.
7. Per dare corso al pagamento il prestatore di servizi di pagamento (Psp) concede “fiducia” all’identificazione, operata ai sensi del comma 3, dal punto di accesso o dal portale dei servizi telematici. Ai fini del completamento del processo di pagamento, il prestatore del servizio (Psp) può richiedere all’utente di autenticarsi sul proprio sistema attraverso l’immissione di ulteriori credenziali allo scopo rilasciate.
8. Il processo consente all’utente di scegliere tra diverse modalità di pagamento messe a sua disposizione da una molteplicità di prestatori di servizi di pagamento (Psp).
9. La ricevuta telematica restituita all’utente a fronte del pagamento effettuato in via telematica costituisce prova del trasferimento dell’importo versato sul conto corrente intestato alla Tesoreria dello Stato.
10. I versamenti in Tesoreria sono effettuati in modalità telematica attraverso quanto previsto dalla normativa vigente.
11. Per il recupero delle somme erroneamente versate si procede secondo le modalità previste dalla legge.


ART. 27 (Oggetti informatici interessati nel pagamento telematico - art. 30 del regolamento)
1. La Richiesta di Pagamento Telematico (RPT), relativa al versamento di una o più spettanze legate ad un medesimo servizio, è costituita da un file XML, il cui XSD è riportato nell’Allegato 5, che:
a) definisce gli elementi necessari a caratterizzare i pagamenti, in particolare qualifica il versamento con un identificativo univoco del versamento di cui al successivo comma 5;
b) contiene i dati identificativi, variabili a seconda dell’operazione per cui è richiesto il pagamento;
c) contiene una parte riservata (Dati Specifici Riscossione) per inserire informazioni elaborabili automaticamente dai sistemi della Giustizia;
d) viene predisposta dal soggetto richiedente (portale dei servizi telematici o punto di accesso) ed inviata al sistema del prestatore dei servizi di pagamento (Psp) direttamente ovvero attraverso la componente architetturale FESP;
e) può essere sottoscritta o meno con firma digitale ovvero con firma elettronica qualificata dal soggetto pagatore, a seconda degli accordi intercorsi con il Prestatore di Servizi di pagamento (PsP).
2. La Ricevuta Telematica (RT) è predisposta dal sistema del prestatore dei servizi di pagamento (Psp) anche attraverso l’utilizzo della componente architetturale FESP ed è restituita al soggetto richiedente a fronte di ogni singola RPT: essa è costituita da un file XML, il cui XSD è riportato nell’Allegato 5, che:
a) definisce gli elementi necessari a qualificare il pagamento, tra cui l’esito del pagamento stesso e, in caso positivo, l’identificativo univoco del pagamento assegnato dal sistema del prestatore dei servizi di pagamento (Psp);
b) trasferisce inalterate le stesse informazioni ricevute in ingresso (RPT) relative alla parte riservata (Dati Specifici Riscossione) a disposizione della PA 3. Il soggetto che emette la Ricevuta Telematica (RT) di cui al comma 2, la sottoscrive- ai sensi dell’art 30, comma 5 del regolamento- con firma digitale o firma elettronica qualificata in formato CAdES; a tal fine possono essere utilizzati certificati emessi da una autorità di certificazione allo scopo messa a disposizione da DigitPA.
4. Al fine di qualificare in maniera univoca il versamento, è definito l’ identificativo di erogazione del servizio (CRS) che identifica univocamente una richiesta di erogazione servizio da parte dei sistemi informatici del dominio giustizia.
5. Il CRS è generato dal portale dei servizi telematici su specifica richiesta del soggetto richiedente attraverso un servizio sincrono (tramite web service i cui WSDL sono pubblicati sull’area pubblica del portale dei servizi telematici) e ha il seguente formato: , dove:
a) costituisce il codice numerico di controllo (2 posizioni);
b) è rappresentato da 33 posizioni alfanumeriche così strutturate: < codice univoco operazione>; la sezione (4 caratteri alfanumerici) assicura flessibilità nella emissione del CRS; la sezione (4 caratteri alfanumerici) rappresenta il sistema a cui è destinata la ricevuta; la sezione (25 caratteri alfanumerici) contiene un codicènon ambiguò all’interno del dominio entro il quale viene generato.
6. Il CRS viene inserito nella struttura RPT (elemento identificativoUnivoco- Versamento) e viene restituito al punto di accesso o al portale dei servizi telematici all’interno della RT (elemento identificativoUnivocoVersamento).
7. Al momento dell’accettazione della ricevuta di pagamento, il sistema informatico dell’ufficio giudiziario controlla che il CRS non sia stato già utilizzato in altre ricevute e, in tal caso, lo stesso viene annullato al fine di non permettere il riutilizzo della stessa RT.


ART. 28 (Riscontro del pagamento telematico - art. 30 del regolamento)
1. Allo scopo di permettere all’Amministrazione di verificare e riscontrare le ricevute generate a seguito di pagamento telematico, nell’ambito del dominio giustizia è configurato un sottosistema per la memorizzazione e gestione delle Ricevute Telematiche di cui all’articolo 27; il sottosistema è denominato Repository Ricevute Telematiche (RRT) ed è accessibile a tutte le applicazioni e ai sistemi del dominio Giustizia interessate dai pagamenti telematici.
2. Il punto di accesso o il portale dei servizi telematici provvede ad inviare la RT al sistema RRT contestualmente al rilascio della stessa al soggetto abilitato esterno richiedente.
3. Per l’invio della RT al Repository Ricevute Telematiche è messo a disposizione un apposto servizio (web service) esposto nell’ambito del portale dei servizi telematici; i relativi WSDL sono pubblicati nell’area pubblica del portale dei servizi telematici.
4. Il sistema RRT permette la gestione delle RT e dei relativi CRS secondo le modalità indicate nell’articolo 27.
5. Le informazioni relative ai pagamenti contenute nel sistema di cui al comma 1 sono messe a disposizione, sulla base di specifica convenzione da sottoscriversi con il responsabile per i sistemi informativi automatizzati, degli enti e delle agenzie pubbliche per l’adempimento dei propri compiti di verifica, controllo e contrasto all’evasione ed elusione.
6. I soggetti abilitati che hanno effettuato i versamenti in via informatica possono consultare sul portale dei servizi telematici, previa identificazione informatica di cui all’articolo 6, le informazioni relative ai pagamenti contenute nel sistema di cui al comma 1.


ART. 29 (Diritto di copia - art. 31 del regolamento)
1. Il sistema informatico del Ministero della giustizia comunica all’interessato l’importo da versare per i diritti di copia; tale importo è calcolato, sulla base delle vigenti disposizioni normative e regolamentari, in base alle indicazioni fornite dall’interessato al momento dell’individuazione dei documenti di cui richiedere copia. L’informazione è messa a disposizione dell’interessato attraverso il servizio di richiesta copie attivo sul punto di accesso e sul portale dei servizi telematici; unitamente all’importo dei diritti ed oneri viene comunicato all’interessato anche l’identificativo univoco associato alla richiesta, associato all’intero flusso di gestione della richiesta e rilascio della copia.
2. La richiesta di copia è soddisfatta solo dopo che è pervenuta la ricevuta di versamento di cui all’articolo 27, comma 2.


CAPO VI - Disposizioni finali e transitorie

ART. 30 (Gestione del transitorio - art. 35 del regolamento)
1. Al momento dell’attivazione, sul ReGIndE di cui all’articolo 7, dell’indirizzo di posta elettronica certificata del soggetto abilitato esterno, il portale dei servizi telematici invia un messaggio di PEC al medesimo soggetto comunicando l’avvenuta attivazione. La comunicazione riporta espressa avvertenza che il soggetto abilitato esterno dovrà usare per le successive trasmissioni unicamente la casella PEC.
2. Contestualmente all’invio della comunicazione di cui al comma 1, il portale invia un messaggio di PEC alla casella di servizio del PdA, prevista dall’articolo 25, comma 16.
3. A decorrere dalla comunicazione di cui al comma 1, il soggetto abilitato esterno utilizza unicamente il sistema di trasmissione della posta elettronica certificata, così come disciplinato nel presente provvedimento.
4. A decorrere dalla comunicazione di cui al comma 1, il gestore dei servizi telematici:
a) Invia comunicazioni e notificazioni solamente alla casella di PEC ivi indicata;
b) Consente la ricezione di atti solo tramite PEC, rifiutando automaticamente il deposito tramite altro canale.


ART. 31 (Efficacia)
1. Il presente decreto acquista efficacia decorsi 15 giorni dalla sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Sms 'ruba' chiave elettronica dell'auto

Il sistema, realizzato da due scienziati americani, permette di forzare la serratura e mettere in moto.
Con un sms è possibile forzare la serratura di un'auto e metterla in moto. Lo hanno dimostrato alla conferenza BlackHat di Las Vegas sulla sicurezza elettronica due scienziati americani presentando una nuova tecnica da loro messa a punto e che hanno battezzato "War-texting". Don Bailey e Matthew Solnik, ricercatori della iSec Partners, specializzata nella scoperta di "brecce" informatiche, hanno sperimentato il sistema attivando una mini-rete cellulare GSM nei pressi di una vettura Subaru, che gli ha permesso di intercettare le password di autenticazione dell'auto trasmesse dalla chiave elettronica in formato Sms. Il segnale intercettato dal loro dispositivo (uno smartphone Android) gli ha comunque permesso, nel giro di poche ore, di carpire informazioni sufficienti per aprire l'auto e anche per avviare il motore senza chiavi. Gli esperti non sono entrati nel dettaglio del loro 'esercizio' di pirateria elettronica, come "atto di cortesia nei confronti delle case produttrici. Secondo Bailey e Solnik si tratta di un problema di sicurezza serio. La trasmissione dei dati via reti Gsm viene usata dalle case costruttrici per aggiornare o modificare il software dei congegni di sicurezza elettronici non solo automobilistici. Gli esperti hanno spiegato che il sistema per piratare le password può essere usato in molti altri campi, poiché i software di molti dispositivi elettronici (dalle telecamere ai sistemi di monitoraggio del traffico, ai sistemi di monitoraggio della sicurezza di gallerie autostradali e di impianti industriali solo per fare pochi esempi) si aggiornano appunto tramite i sistemi di messaggistica.
http://www.ansa.it/web/notizie/rubriche/mondo/2011/08/09/visualizza_new.html_757293460.html

Come ci si difende in Italia dalle diffamazioni a mezzo Facebook

Se qualcuno crea un gruppo contro di noi, pubblica frasi offensive o crea profili falsi utilizzando la nostra identità è possibile sporgere querela anche personalmente, senza bisogno di un avvocato, direttamente all polizia postale o alla Procura della repubblica.

È bene sapere, però, che la querela deve essere ben articolata, contenere copia delle frasi offensive o illecite (per agevolare l'attività di indagine) ed eventuali dichiaraizoni testimoniali, oltre alla prova dei danni (anche economici) subiti. È possibile, poi, segnalare la pagina illecita o diffamatoria ai gestori di Facebook, chiedendone la rimozione.

Le indagini
Se l'utente si muove sotto falso nome o si cela dietro l'anonimato, i periti e la polizia postale, coordinati dal magistrato che conduce l'inchiesta, hanno bisogno di avere accesso ai server di Facebook, sui quale la pagina è stata creata, cercando così di individuare l'indirizzo IP dell'autore dell'illecito. La direzione di Facebook, quando c'è un indagine penale in corso, collabora con le forze dell'ordine per individuare tempestivamente gli autori degli illeciti. Facebook ha la sua sede operativa in California, ma nei suoi uffici europei ci sono referenti legali anche per l'Italia che si occupano proprio di mantenere i contatti con i magistrati e le forze dell'ordine. Attraverso questa collaborazione sono stati già individuati molti autori di diffamazioni a mezzo Facebook.

Come contattare Facebook
Se non c'è un'indagine penale in corso, tuttavia non è facile ottenere la rimozione di un contenuto diffamatorio o di un gruppo illecito. Da qualche anno Facebook ha una sede commerciale anche a Milano, nascosta dietro il massimo riserbo. Gli uffici italiani, infatti, sarebbero stati presi di mira non solo da molti candidati in cerca di lavoro, ma anche da aziende a caccia dei dati personali degli utenti. Tuttavia, la sede legale cui Facebook fa riferimento sarebbe in Irlanda, reperibile a questo indirizzo: Facebook Ireland Limited, Hanover Reach, 5-7 Hanover Quay, Dublin 2, Ireland.
Facebook interviene direttamente nei casi più gravi, quando ad esempio gli utenti creano pagine oscene o con incitamenti alla violenza. Negli altri casi, è bene sapere che, a tutela degli iscritti, scende in campo direttamente la direzione del social network, almeno quando siano stati commessi reati a mezzo Facebook.

http://www.ilsole24ore.com/art/tecnologie/2011-07-09/come-difende-italia-diffamazioni-102656.shtml?uuid=AanakUmD