Portaluppi Cyber&Privacy Blog

regulation, gdpr, data, protection, security, general, privacy, law, european, digital, identity, secure, communication, legal, protect, access, blue data, blue community, blue digital, blue communication, blue security, blue law, gdpr, gdpr, gdpr, data, security, security, privacy, privacy, privacy, privacy, privacy, law, legal
GDPR e NormativeGovernance e CompliancePortaluppi Cyber&PrivacyPrivacy
Ottobre 25, 2025

La sicurezza informatica (in inglese cyber security)

È l’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di confidenzialitàintegrità e disponibilità, dei beni o asset informatici.Un sinonimo che trova talvolta impiego in questo contesto è cybersicurezza, essendo quell’ambito della sicurezza informatica che dipende solo dalla tecnologia: con esso si enfatizzano spesso qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance. Nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani.

person using laptop computers

Per valutare la sicurezza solitamente è necessario individuare le minacce, le vulnerabilità e i rischi associati ai beni informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc…) a un’organizzazione. Oltre alle tre fondamentali proprietà (disponibilità, riservatezza, integrità) possono essere considerate anche: autenticità, non ripudiabilità, responsabilità, affidabilità. La sicurezza informatica è un problema molto sentito in ambito economico-informatico per via della crescente informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela diffusione e specializzazione degli attaccanti. L’interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni, proporzionalmente alla loro diffusione e al ruolo da essi svolto nella collettività. La Sicurezza informatica non coincide con sicurezza delle informazioni (InfoSec). La prima si rivolge agli asset informatici (impianti, reti, dispositivi, sistemi, applicazioni, servizi), la seconda mira a mettere in sicurezza l’asset “informazione” nelle dimensioni: organizzazione, fisica ed ambientale, logica (cioè tecnologia informatica o telematica). Per la sicurezza delle informazioni la sicurezza informatica è una parte ed è un mezzo, non è la finalità. Si può sommariamente osservare che quando le informazioni sono non digitali allora non riguardano la sicurezza informatica, mentre la sicurezza delle informazioni è interessata; un’informazione orale (o materializzata unicamente su carta) rimane un’informazione che potrebbe essere necessario mettere in sicurezza senza dover o poter ricorrere alla sicurezza informatica. Esiste a livello internazionale la norma ISO 27001 finalizzata alla standardizzazione delle modalità adatte a proteggere le informazioni da minacce di ogni tipo, al fine di assicurarne la riservatezza, l’integrità e la disponibilità (proprietà identificate con l’acronimo RID). Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI: in inglese Information security management system o ISMS) finalizzato a una corretta gestione delle informazioni dell’organizzazione. Una fase indispensabile di ogni pianificazione della sicurezza è la valutazione del rischio e la gestione del rischio. Le organizzazioni (di qualsiasi natura, settore, dimensione) possono far certificare ISO 27001 il proprio SGSI.

Certificazioni in ambito GDPR10 marzo 2025

EA e EDPBL’EA-European Accreditation e l’EDPB-European Data Protection Board sono due organismi europei con ruoli ben distinti, entrambi con un impatto significativo sulla certificazione in ambito GDPR. L’EA è l’organizzazione che coordina gli organismi nazionali di accreditamento degli stati membri UE, con lo scopo principale di garantire che gli organismi di certificazione, ispezione e verifica operino secondo standar comuni e riconosciuti a livello europeo, seguendo il Regolamento (CE) n.765/2008, che stabilisce un quadro per l’accreditamento e la vigilanza del mercato UE. Si occupa di garantire che le certificazioni rilasciate da organismi accreditati siano riconosciute nell’UE, mantenendo così la fiducia del mercato unico. L’EDPB è un organismo indipendente che garantisce l’applicazione del Regolamento Generale sulla Protezione dei Dati-GDPR, fornendo linee guida e pareri. Supervisiona il funzionamento delle autorità nazionali di protezione dei dati-DPA, assicurando che le loro decisioni siano coerenti tra gli Stati membri, per garantire che i meccanismi di certificazione siano conformi al GDPR. L’EA assicura che questi organismi operino secondo standard ISO/IEC riconosciuti a livello internazionale, come ISO/IEC 17065 per gli organismi di certificazione di prodotti, processi e servizi. L’EDPB non accredita direttamente, ma definisce i criteri di certificazione, fornendo orientamenti per la valutazione della conformità al GDPR. Controlla che le certificazioni relative al GDPR siano coerenti e non contraddicano i principi fondamentali della protezione dei dati.Le differenze sono: l’EA si occupa di accreditare gli organismi di certificazione e garantire che operino in modo affidabile secondo gli standard internazionali, l”EDPB si occupa della protezione dei dati e fornisce linee guida per la certificazione GDPR. L’EA è il punto di riferimento per la qualità e l’affidabilità della certificazione in generale, l’EDPB si occupa di garantire che la certificazione nell’ambito della protezione dei dati sia coerente con il GDPR.

Nuove tecnologie e interessi tutelati19 febbraio 2025

Nel XX secolo col diffondersi dei mezzi di comunicazione, è sorta l’esigenza di tutela dei diritti della personalità. Stampa, radio e televisione, dapprima, e i computer e l’internet successivamente, contribuiscono efficacemente all’informazione, all’intrattenimento e all’educazione degli utenti, costituendo i maggiori fautori dell’invasione della vita privata. È evidente che l’esigenza di intrattenimento e di informazione entra spesso in conflitto con l’interesse del soggetto ad evitare la divulgazione di fatti personali, o non veritieri, o addirittura lesivi dell’onore e della reputazione. Una particolare esigenza di tutela contro le indiscrezioni è collegata ai progressi delle tecniche di informazione.
La raccolta e diffusione dei dati, si incrementa l’attitudine lesiva delle banche dati: ad esempio, richiedendo interventi tesi a proteggere la riservatezza, il diritto all’identità personale, all’immagine, all’informazione e alla diffusione del pensiero.
Il rapido evolversi delle tecnologie dell’informazione ha preteso una costante definizione di nuovi parametri di tutela della persona.
L’evoluzione tecnologica recente ha innegabilmente modificato le modalità con cui i soggetti percepiscono la propria identità, l’immagine e le relazioni sociali, i vari aspetti della personalità.
La più recente capillare diffusione di internet, con i relativi strumenti di comunicazione più utilizzati, quali ad esempio i social network, ha comportato l’ulteriore esigenza di coinvolgere anche la realtà virtuale nel modello di tutela tradizionalmente apprestato alla personalità.
In tale nuovo contesto, il giurista ha il compito di rispolverare le tradizionali categorie e riadattarle alle nuove attitudini lesive ma, al contempo, l’obbligo di misurarsi con nuove problematiche, quali ad esempio il diritto all’oblio in rete, la cui peculiarità sfugge alle vecchie definizioni e soluzioni.
La sfera della riservatezza si presta a essere la più vulnerata dai moderni mezzi di comunicazione e, pertanto, la definizione di privacy si arricchisce di nuovi significati partendo dal “diritto a essere lasciati soli” tipico del diciannovesimo secolo, sino alle più recenti istanze di tutela dei dati e dei mezzi tecnologici di protezione.
Parallelamente, anche le definizioni di diritto all’identità si arricchisce del paradigma digitale, e l’immagine conosce violazioni e sfruttamenti strettamente connessi alle tecnologie informatiche.
La conoscenza delle attitudini lesive e delle prospettive di tutela dei diritti della persona nella società dell’informazione è utile al giurista sia per l’interessante approccio teorico e sia per i risvolti di immediata concretezza cui anche i fatti di cronaca ci rimandano.
La prospettiva di lavoro tiene conto dell’evoluzione dei diritti della personalità generalmente intesi e declinati nella tutela della riservatezza, immagine, identità, manifestazione del pensiero e diritto d’autore, alla luce delle più moderne tesi di indagine.
I giuristi sono ora chiamati a verificare se, e a quali condizioni, i vecchi metodi siano sufficienti ad apprestare tutela ai nuovi danni o ai vecchi danni commessi con nuovi strumenti. Nell’affrontare il tema dei danni alla persona connessi ai mezzi tecnologici di comunicazione è utile precisare che i mass media amplificano la portata lesiva degli
atteggiamenti lesivi tradizionali.
Basti pensare alla portata di una frase diffamatoria divulgata su internet piuttosto che a una lettera scritta, oppure a una violazione della privacy per mezzo della pubblicazione di dati personali su un social network.

Chain-locked book, phone, and laptop symbolizing digital and intellectual security.

Nel prossimo articolo approfondiremo alcuni aspetti, quali ad esempio:

La libertà di espressione in internet, la tutela dell’onore e della reputazione, la violazione dell’identità personale, il rapporto tra l’identità personale e i mezzi tecnologici di comunicazione. Potremmo definire questo Blog una sorta di Agenda Cyber & Privacy. A secondo dei vari argomenti che siano di vostro interesse, potreste leggere ed informarvi sulle relative argomentazioni.

Buona Lettura.

Tags:

Previous
Next