INDICE pag. Premessa di Giovanni Ziccardi .............................. . XVII Gli autori ........................................... . XXI Parte I IL SETTORE LEGALE SOTTO ATTACCO INFORMATICO E LE VULNERABILITÀ TIPICHE DELLO STUDIO, DEI COLLEGHI, DEI CLIENTI E DEI FORNITORI 1. La sicurezza informatica propria, dei clienti e dei colleghi di Giovanni Ziccardi 1. Un approccio iniziale corretto all’idea di cybersecurity ....... . 3 2. Le regole di Embroker per la cybersecurity negli studi legali ... . 4 3. La necessità di dotarsi di attrezzature professionali ......... . 8 4. La comprensione dei concetti di multiutenza, di autenticazione e di profili di autorizzazione ........................... . 9 5. L’aggiornamento costante del sistema ................. . 11 6. La differenza tra strumenti (e applicazioni) “personali” e “professionali” ..................................... . 12 7. La protezione tramite gli antivirus .................... . 13 8. La centralità della ridondanza dei dati e del backup ........ . 14 9. La cifratura dei dati e delle comunicazioni ............... . 14 10. L’uso intelligente del cloud computing ................. . 15 11. La necessità di nuovi comportamenti .................. . 15 12. L’uso corretto della posta elettronica .................. . 16 13. Una proposta di “piano di spesa” razionale per il professionista (che voglia dirsi) tecnologico ........................... . 16 2. Gli attacchi a studi legali nella società digitale tra realtà e fiction di Gabriele Suffia 1. I principali attacchi informatici a studi legali e avvocati negli ultimi anni ........................................ . 19 2. Il caso dei Panama Papers ......................... . 22 V pag. 3. Alcuni casi che hanno coinvolto la Cina ................ . 23 4. Il caso del data breach di DLA ...................... . 24 5. Lo studio legale a rischio di attacchi informatici nella fiction ... . 25 3. Le vulnerabilità tipiche di uno studio legale di Alessandro Rodolfi 1. La protezione dei dati e della rete dello studio, dei clienti e dei colleghi ..................................... . 29 2. La vulnerabilità della posta elettronica e della corrispondenza . . . 32 3. La vulnerabilità dei canali di comunicazione ............. . 36 4. La vulnerabilità dei server e dei computer ............... . 38 5. La vulnerabilità delle applicazioni .................... . 40 6. La vulnerabilità del cloud e dei dati in mobilità ............ . 41 7. La vulnerabilità del “perimetro” fisico dei dati ............ . 44 8. La vulnerabilità nelle relazioni con i fornitori ............. . 45 Parte II LA VULNERABILITÀ INFORMATICA CAUSATA DA COMPORTAMENTI SBAGLIATI E LA HUMAN SECURITY 4. La human security e le vulnerabilità del comportamento umano di Giovanni Ziccardi 1. La centralità dei comportamenti nel mondo della cybersecurity . . 49 2. L’insicurezza per “ignoranza” tecnologica od organizzativa .... . 49 3. L’insicurezza per ingenuità ......................... . 51 4. L’insicurezza per leggerezza e distrazione nei comportamenti o per cattive abitudini ................................ . 51 5. L’insicurezza causata da disagio nei confronti della tecnologia . . 52 6. L’insicurezza del dipendente/collaboratore .............. . 53 5. La difesa dagli attacchi di phishing nel settore legale di Giulia Pesci 1. La natura degli attacchi di phishing.................... . 55 2. Alcuni dati interessanti sul fenomeno .................. . 58 3. La componente psicologica sottesa agli attacchi di phishing ... . 59 4. Prevenire e difendersi dal phishing .................... . 61 5. La casistica ................................... . 65 Indice VI pag. 6. La redazione di una policy in tema di phishing di Giovanni Ziccardi 1. Prepararsi all’attacco informatico più comune ............ . 69 2. La cultura, prima di tutto .......................... . 69 3. La semantica e l’analisi del testo ..................... . 70 4. Prestare attenzione al phishing mirato ................. . 71 5. Dedicare particolare cura alla gestione delle credenziali ...... . 72 6. Diffidare delle richieste di dati bancari e di carte di credito .... . 72 7. Non farsi attirare dai link .......................... . 73 8. Gestire in maniera diffidente tutti gli allegati ............. . 73 9. Evitare di rispondere a mittenti (s)conosciuti ............. . 73 10. Confidare nella buona azione degli antivirus ............. . 74 11. Non farsi condizionare dal senso di vergogna per l’accaduto . . . 74 7. Proteggersi dai furti d’identità e dalle estorsioni a fini sessuali di Andrea Scirpa 1. Dall’identità personale all’identità digitale ............... . 75 2. Il rischio del furto d’identità ........................ . 76 3. Le estorsioni a fini sessuali ......................... . 81 8. Formare bene chiunque tratti i dati: elaborare una prima policy di cybersecurity di Giovanni Ziccardi 1. Premessa: il dato al centro del processo di sicurezza ........ . 85 2. La necessaria attenzione ai dati cartacei e allo smaltimento/ distruzione dei rifiuti non elettronici ................... . 85 3. Adottare particolare cura nella gestione delle credenziali e di dati identificativi e prestare attenzione ai sempre più frequenti attacchi di phishing.................................... . 87 4. Rendere l’autenticazione a più fattori obbligatoria ......... . 87 5. Verificare in ogni momento che i profili di autorizzazione informatica dei dipendenti e dei collaboratori siano rigidamente correlati alle specifiche mansioni .......................... . 88 6. Prestare particolare attenzione a eventuali sistemi/impianti di videosorveglianza ................................ . 89 7. Prestare particolare attenzione al campo “cc” delle e-mail e alla gestione degli allegati ............................ . 90 8. Prestare attenzione al furto di chiavette USB, dischi esterni e computer portatili .............................. . 90 Indice VII pag. 9. Prestare particolare attenzione a non mescolare dati di terzi (“mix- up” di dati) soprattutto in ambito contabile e sanitario ...... . 91 10. Prestare particolare attenzione a evadere con cura, e in tempi molto rapidi, qualsiasi richiesta di esercizio dei diritti che possa provenire da clienti o terzi ......................... . 91 11. Limitare il più possibile l’utilizzo di strumenti pensati per un utilizzo personale, quali iCloud e WhatsApp, e prediligere strumenti di comunicazione e di cloud pensati per un uso sicuro e professionale . 92 12. Prestare particolare attenzione a non esporre nei locali dello studio, o in prossimità dello stesso, elenchi con dati o indirizzi che possano essere fotografati e diffusi, ad esempio, sui social network .... . 92 13. La gestione di eventuali data breach e incidenti informatici deve partire dal basso, dal singolo utente, di qualsiasi profilo ...... . 93 14. Nelle realtà professionali più grandi, comprendere il ruolo del Data Protection Officer e la sua centralità con riferimento alla cybersecurity .................................. . 94 15. Prestare attenzione a che non siano pubblicate, su web e riviste, notizie relative a soggetti identificabili o contenenti dati personali . 94 16. Evitare di utilizzare gruppi di indirizzi, archivi di clienti e contenuti di banche dati di cui si ha la disponibilità per finalità private o, comunque, differenti da quelle stabilite in origine ........... . 95 17. Prestare particolare attenzione nel momento in cui si trattano dati cosiddetti “sensibili” ............................. . 95 18. Tenere sempre sotto controllo il proprio sistema di autenticazione e quello altrui, verificare la presenza di proprie credenziali nel deep web e aggiornare le proprie procedure di ingresso nei sistemi . . 96 19. In caso di problemi di sicurezza, prevedere tempi di reazione e di contenimento/limitazione dei danni accurati ma rapidi ....... . 97 20. Prestare particolare attenzione quando si effettuano test e riavvii di applicazioni e sistemi informativi, migrazioni di database effettuate da esperti interni ed esterni e formare con particolare cura (“training”) chiunque tratti i dati dello studio ................ . 98 9. Insegnare al giurista le basi della cybersecurity di Giovanni Ziccardi 1. Un documento specifico sulla cybersecurity negli studi legali della International Bar Association........................ . 101 2. La parte tecnologica ............................. . 101 3. Le misure organizzative di cybersecurity ................ . 103 4. La formazione dello staff .......................... . 104 Indice VIII pag. 10. Il delicato rapporto tra cybersecurity e pandemia e tra sicurezza informatica e mobilità di Giovanni Ziccardi 1. Come comportarsi in periodo di pandemia .............. . 105 2. La sicurezza in mobilità: il computer portatile e lo smartphone dell’avvocato ................................. . 106 11. Una prima proposta/griglia di percorso di formazione per lo staff di uno studio legale (venti ore di “corso immaginario”) di Giovanni Ziccardi 1. Programmare un piano di formazione accurato per lo studio legale ...................................... . 109 2. Una proposta di “griglia” formativa applicabile a tutti i tipi di realtà (venti ore di formazione) .......................... . 109 Parte III GDPR, DATA PROTECTION E DATA GOVERNANCE NELL’ATTIVITÀ LEGALE 12. La data protection nello studio professionale di Samanta Stanco 1. Il GDPR nelle micro, piccole, medie e grandi realtà legali ..... . 115 2. La trasparenza nei confronti dei clienti ................. . 117 3. Le misure adeguate di sicurezza ..................... . 118 4. Il sito web del professionista ....................... . 120 5. La gestione delle newsletter legali .................... . 121 13. L’analisi e la mappatura del rischio di Alessandra Salluce 1. L’importanza e la funzione dell’analisi del rischio .......... . 123 2. Fare un’analisi del rischio di uno studio legale ............ . 125 3. La valutazione di impatto .......................... . 129 14. Il registro dei trattamenti di uno studio legale di Giulia Escurolle 1. L’importanza del registro dei trattamenti e le sue finalità ..... . 135 2. I soggetti obbligati alla redazione del registro ............ . 138 Indice IX pag. 3. Le informazioni che deve contenere il registro del titolare e il registro del responsabile del trattamento ............... . 140 4. L’aggiornamento del registro ....................... . 143 5. La tenuta del registro negli studi legali di piccole e grandi dimensioni ....................................... . 143 15. La gestione della sicurezza dello studio professionale tramite le policy di Chiara Ciccia Romito 1. Un’introduzione al tema e il processo di elaborazione di policy di sicurezza .................................... . 151 2. Un esempio/modello di policy per l’uso degli strumenti informatici . 156 3. Un esempio/modello di policy per l’uso della posta elettronica e delle risorse di rete dello studio legale ................. . 159 4. Un esempio/modello di policy per la corretta gestione degli attacchi di phishing ................................. . 161 5. Un esempio/modello di social media policy con riferimento alla presenza dei professionisti sui social network ............ . 163 6. Un esempio/modello di policy per la corretta gestione dei data breach nello studio legale ......................... . 164 Parte IV SEGRETO, CONTROLLO DEI DATI, INFORMAZIONI SU FONTI APERTE, DIFESA DAGLI ATTACCHI 16. Segreto professionale “informatico” e deontologia di Marcello Bergonzi Perrone 1. Il rapporto tra sicurezza dello studio e deontologia ......... . 169 2. L’aggiornamento informatico, il rapporto sicuro con i clienti e il segreto professionale digitale ....................... . 174 17. OSINT e informazioni rilasciate (e ricercate) su fonti aperte di Pierluigi Perri 1. L’idea di OSINT ................................ . 181 2. Il non lasciare tracce ............................. . 185 3. L’OSINT “attivo” nell’attività professionale e nella ricerca d’infor- mazioni ..................................... . 190 Indice X pag. 18. La difesa e le tecniche per sfuggire agli attacchi di Giuseppe Battaglia 1. Avvocati e cybersecurity........................... . 193 2. Il ransomware ................................. . 194 3. Lo spyware ................................... . 200 4. Il servizio informatico in outsourcing................... . 204 5. L’utilizzo degli antivirus in ambito legale ................ . 207 6. Come scegliere un buon antivirus? ................... . 208 7. La gestione dei profili di autorizzazione e la “2 Factor Authentication” ....................................... . 209 Parte V PROTEGGERE UNA REALTÀ LEGALE NELL’ERA DEL LEGAL TECH, DELLE RETI, DEL CLOUD E DEI SOCIAL NETWORK 19. Il problema degli insiders e degli attacchi dall’interno di Simone Icardi 1. Introduzione .................................. . 217 2. Insiders: come agiscono all’interno dell’azienda ........... . 218 3. Tipologie di insiders ............................. . 219 4. La motivazione degli insiders........................ . 221 5. Incidenti informatici: un po’ di numeri ................. . 222 6. La risposta al problema dell’insider.................... . 223 7. Osservazioni e consigli pratici ....................... . 225 20. La comprensione e gestione dei data breach in ambito legale di Giovanni Ziccardi 1. Cosa sono i data breach ........................... . 227 2. Come reagire ai data breach ........................ . 228 3. Preparare una policy per prevenire i data breach........... . 229 21. La cifratura dei dati di Gabriele Suffia 1. L’importanza della cifratura dei dati in ambito professionale ... . 231 2. La cifratura dei dati dei computer .................... . 232 3. La cifratura dei dati degli smartphone e dei supporti esterni ... . 235 4. La cifratura delle comunicazioni ..................... . 237 5. La mappatura dei processi ......................... . 240 Indice XI pag. 22. Le analisi interne (digital forensics) allo studio legale di Pierluigi Spera 1. La forensics interna per la rilevazione di comportamenti criminali . 241 2. Le competenze dell’analista forense .................. . 243 3. Le fasi dell’analisi forense ......................... . 244 4. Le migliori modalità per l’acquisizione e conservazione della fonte di prova digitale ................................ . 245 5. I processi di esame ed analisi dei dati ................. . 247 6. La reportistica e le relazioni ........................ . 249 23. La sicurezza nei processi telematici di Scott Dennis Ward 1. Introduzione .................................. . 251 2. La sicurezza della Posta Elettronica Certificata ............ . 253 3. La sicurezza della firma digitale ...................... . 256 24. Lo studio sicuro nell’era del legal tech di Scott Dennis Ward 1. Introduzione .................................. . 263 2. Produzione legale automatizzata (Document Automation) .... . 264 3. Transaction Management .......................... . 264 4. Knowledge Management (KM) ...................... . 264 5. Project Management ............................. . 265 6. Piattaforme per l’amministrazione dello studio legale o Practice Management System ............................. . 265 7. CRM (Customer Relations Management) ................ . 265 8. Intelligenza artificiale (o IA) ........................ . 266 9. Chi popola il mondo Legal Tech? ..................... . 267 10. La sicurezza nelle Legal Collaboration Technology .......... . 269 11. Modello di sicurezza per l’adozione di strumenti Legal Tech ... . 275 25. Il professionista del diritto, lo studio legale e il cloud computing di Valerio Edoardo Vertua 1. Introduzione .................................. . 283 2. Il “computer di un altro” .......................... . 285 3. Il quadro normativo ............................. . 287 4. Cosa e come scegliere ........................... . 290 Indice XII pag. 5. Il cloud e i device del professionista ................... . 295 6. Alcune brevi considerazioni finali .................... . 297 26. Il rischio reputazionale per l’avvocato: casistica e possibili strategie di Simone Bonavita ed Elisabetta Stringhi 1. Il problema: il rischio reputazionale per l’avvocato ......... . 299 2. Casistica ..................................... . 302 3. Strategie preventive e reattive ...................... . 307 4. Strategie per la prevenzione ........................ . 308 5. Risposte a un incidente reputazionale ................. . 310 6. Copertura assicurativa a trasferimento del rischio .......... . 312 7. Il codice deontologico italiano ed europeo .............. . 313 8. Conclusioni ................................... . 315 Parte VI IL GIURISTA E IL MESTIERE DI DATA PROTECTION OFFICER (DPO): IMPOSTARE UN PERCORSO CULTURALE, FORMATIVO E TECNICO 27. Il mestiere di Data protection Officer e la corretta comprensione dell’attuale “mercato” dei dati e dei metadati (e dei relativi rischi) di Giovanni Ziccardi 1. Il DPO come conoscitore dell’attuale mercato di dati e di metadati delle persone ................................. . 319 2. Il DPO e la comprensione dell’importanza dei big data ....... . 320 3. Il DPO e la comprensione della necessità di proteggere i (meta)- dati ........................................ . 322 4. Il DPO e la comprensione dell’automatizzazione dell’analisi e del controllo dei dati ............................... . 324 5. Paranoici vs. esibizionisti del dato .................... . 326 6. Il DPO nel mercato dei dati personali .................. . 329 7. L’esposizione in corso del nostro lato più intimo .......... . 331 8. L’intervento necessario del diritto .................... . 332 9. Le attività di profilazione segreta e i data breach non segnalati . . 333 10. La violazione dei diritti in corso ...................... . 334 11. Le tecnologie come strumento di protezione ............. . 335 12. La necessità di cambiare i comportamenti .............. . 335 13. La necessaria protezione dei dati altrui ................. . 336 14. È un discorso non adatto a questi tempi? ............... . 337 Indice XIII pag. 28. Il DPO e la comprensione dell’attuale società della sorveglianza e del controllo di Giovanni Ziccardi 1. Il cosiddetto “neoliberalismo digitale” e le nuove forme di controllo dell’individuo ................................. . 343 2. I risvolti della vicenda di Edward Snowden e del Datagate .... . 348 3. La profilazione “selvaggia” e l’importanza del caso “Cambridge Analytica” .................................... . 355 29. Il DPO e la sua necessaria formazione giuridica specifica di Giovanni Ziccardi 1. Lo studio accurato del Regolamento Europeo del 2016 (GDPR) . . 359 2. La comprensione dell’importanza dei vari adempimenti ...... . 361 3. La centralità dell’informativa e della corretta raccolta del consenso ...................................... . 365 4. Il ruolo del dato “personale” nell’intero sistema del GDPR .... . 371 5. La necessaria, costante attenzione ai diritti dell’individuo ..... . 374 6. La portabilità dei dati: un nuovo, interessante diritto ........ . 377 7. La “morte” del dato come diritto fondamentale ........... . 378 8. I ruoli e le responsabilità dei vari soggetti ............... . 379 9. Il DPO: lo sceriffo che protegge i dati .................. . 380 10. L’idea di “accountability” e il nuovo approccio anglosassone . . . 383 11. Elaborare una “mappa” del trattamento dei dati ........... . 385 12. L’importanza dei dati dei minori nella società dell’informazione . 386 13. Oscurare i dati per avere sicurezza: cifratura e pseudonimizzazione ..................................... . 387 14. Il costante timore di una violazione dei dati .............. . 388 15. L’importanza di stabilire regole ...................... . 390 16. Comprendere il nuovo quadro sanzionatorio ............. . 390 30. Il DPO e la cybersecurity (anche personale) di Giovanni Ziccardi 1. Comprendere il quadro attorno al dato digitale e alla sua sicurezza ......................................... . 393 2. Comprendere, in primis, il “peso” del dato .............. . 396 3. Interpretare sempre il dato come qualcosa di “vivo” ........ . 399 4. Comprendere l’importanza di avere il dato in più “luoghi” .... . 402 5. Comprendere i rischi connessi ai vari tipi di malware ........ . 404 6. Comprendere l’importanza della protezione delle credenziali . . . 407 7. L’attenzione costante ai comportamenti umani ........... . 409 Indice XIV pag. 8. L’importanza di suggerire sempre la cifratura e l’oscuramento dei dati ........................................ . 412 9. Comprendere il ruolo delle macchine virtuali per creare ambienti sicuri ....................................... . 413 10. Mantenere costantemente il tracking (“tracciamento”) delle infor- mazioni ..................................... . 414 11. L’importanza di avere regole chiare iniziali circa il quadro di cybersecurity della realtà in cui ci si trova ad operare ........... . 415 12. Comprendere l’importanza delle “migliori pratiche” da seguire nell’attività quotidiana .............................. . 416 13. Avere sempre chiaro il quadro del mercato relativo a PEC, cloud e altri servizi sicuri per lo storage e la comunicazione dei dati ... . 418 14. Acquisire competenze di base circa le modalità migliori per gestire gli incidenti informatici (digital forensics) ............... . 419 15. L’importanza che il DPO imposti e pianifichi percorsi di conoscenza e di formazione (sia propri, sia altrui) .................. . 421 16. Un’ultima considerazione: la centralità dello smartphone nel sistema attuale di governance dei dati .................. . 422 Conclusioni ......................................... . 425