Articoli

EventBot, il nuovo malware che minaccia i conti correnti: come difendersi?

Bypassa l’autenticazione a due fattori e accede a pagine riservate. Si tratta di un trojan che per le sue capacità di evolversi rapidamente sembra essere sempre in grado di hackerare i sistemi.

EventBot è un trojan che, abusando delle funzionalità di accessibilità di Android, ruba i dati degli utenti dalle applicazioni finanziarie e legge i messaggi SMS per consentire al malware di bypassare l’autenticazione a due fattori e accedere alle pagine riservate del mobile banking. In questo modo, EventBot oltre a raccogliere informazioni finanziarie e bancarie, dati personali e password, consente all’aggressore di accedere direttamente ai conti bancari degli utenti.

Sembra che il malware abbia come obiettivo gli utenti di oltre 200 diverse applicazioni finanziarie, tra cui rientrano Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, Paysafecard.

Il gruppo di studio Cybereason Nocturnus segue EventBot da tempo e ha rilevato la peculiare capacità dello stesso di evolversi rapidamente: dall’inizio di marzo 2020, il team ha riscontrato quattro versioni diverse del malware.

Come difendersi?

In questi casi, le misure da prendere non sono mai sufficienti. Tuttavia, qualche consiglio potrebbe risultare utile. Si potrebbe cominciare con il mantenere il proprio dispositivo mobile sempre aggiornato alle ultime versioni; tenere sempre acceso Google Play Protect; evitare di scaricare applicazioni mobili da fonti non ufficiali o non autorizzate; utilizzare soluzioni di rilevamento delle minacce mobili, per una maggiore sicurezza.

Si raccomanda comunque di utilizzare sempre un pensiero critico quando si scaricano le applicazioni per dispositivi mobili, valutando se è il caso di dare tutti i permessi che vengono richiesti ed analizzando anche la privacy policy.

Avv.ti Vincenzo Colarocco e Marta Cogode

Cyber security: l’AgID mette a disposizione il tool di valutazione del rischio cyber

Avv. Vincenzo Colarocco

L’Agenzia per l’Italia Digitale (AgID) è l’agenzia tecnica della Presidenza del Consiglio che si occupa di presidiare la realizzazione degli obiettivi dell’Agenda digitale italiana e promuovere l’utilizzo delle tecnologie dell’informazione e della comunicazione nell’ottica dell’innovazione e dello sviluppo economico. In particolare, l’AgID supporta e coordina le pubbliche amministrazioni nell’esecuzione del progetto di digitalizzazione di cui al Piano Triennale per l’informatica della P.A.. Nell’esercizio della propria funzione, l’AgID ha sviluppato e messo a disposizione delle P.A. un tool di autovalutazione per il calcolo del rischio cyber.

[Immagine estratta dal sito https://www.sicurezzait.gov.it/cyber/]

Il servizio, conforme al Regolamento Generale sulla protezione dei dati ha l’obiettivo di fornire una prima e indicativa analisi dello stato di compliance in tema di cybersecurity, al solo scopo autovalutativo (pre-assessment), senza sostituirsi agli strumenti messi a disposizione dalle autorità competenti, anche alla luce del generale principio di accountability o responsabilizzazione del titolare del trattamento. È possibile accedere al tool previa autenticazione mediante SPID al sito https://www.sicurezzait.gov.it/cyber/.

Il Data Breach dell’INPS cosa ci insegna?

Avv. Vincenzo Colarocco

Un grande caso di data breach, in vigenza del GDPR ed in piena emergenza Covid-19, ha colpito l’Istituto nazionale della previdenza sociale (INPS), dal cui sito web è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti.

L’evidente deficit di sicurezza informatica, dimostra come, specie per la pubblica amministrazione, non siano stati effettuati sufficienti investimenti e strutturati adeguati processi aziendali per la digitalizzazione. Il Garante privacy italiano, Antonello Soro, ha evidenziato come i descritti accadimenti siano gravissimi, aggiungendo di “aver preso contatto con l’Inps e avviato i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia”. E ancora, “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – ha proseguito il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

In questo momento di forte distanziamento sociale ma di avvicinamento digitale, pare necessaria una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento nella gestione dei dati personali. In questo quadro, l’aderenza alle best practices è un tema rilevante, strategico ed indispensabile, anche in un ottica di accountability del titolare del trattamento; quest’ultimo, infatti, dimostrando di aver adottato concretamente tutte le misure tecniche e organizzative, idonee al caso di specie e volte alla riduzione dei rischi inerenti il trattamento dei dati, adempierà anche agli obblighi di legge.

È evidente come la situazione di crisi possa essere strumentalizzata dagli hacker per sfruttare le vulnerabilità derivanti dall’attuale situazione di emergenza correlata al Coronavirus ed al conseguente maggior ricorso alla digitalizzazione. Tuttavia, pare doveroso sottolineare come per il caso di specie non si sia trattato di un attacco perpetrato da terzi malintenzionati.

In questo contesto, le aziende e/o organizzazioni dovranno garantire la sicurezza dei dati personali dei cittadini. Al fine di limitare i rischi, sarà necessario, a questo proposito, attuare rapidamente azioni di prevenzione, informazione e formazione e redigere istruzioni interne.

Sarà opportuno:

  • facilitare la trasmissione delle informazioni istituendo, se necessario, canali dedicati per garantire la sicurezza e la riservatezza dei dati;
  • aumentare le misure tecniche e organizzative adottate (misure di contenimento, telelavoro, ecc.);
  • individuare adeguate contromisure in funzione dei parametri indicati negli articoli 25 e 32 del GDPR;
  • predisporre procedure di verifica periodica delle misure adottate per assicurarne l’efficacia;
  • sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali verificando le vulnerabilità del sistema informatico e la consapevolezza di tutte le persone fruitori di detti servizi.

Si ritiene che l’importanza della questione della digitalizzazione assuma un rilievo non solo per gli addetti ai lavori ma anche per la politica, specie se si guarda alla pubblica amministrazione. Quanto è accaduto, è sintomo di una forte criticità insita nel Sistema Paese, dove le evidenti carenze tecniche rendono ancor più vulnerabili i diritti fondamentali dei cittadini.

È, quindi, opportuno cambiare assicurando l’adeguato investimento in competenza e formazione tenendo anche in considerazione che l’isolamento cui la popolazione è attualmente soggetta ha determinato un maggior ricorso agli strumenti informatici.

La ripartenza inizia anche da qui, assumendosi le responsabilità soprattutto nelle strategie politiche, investendo in cyber security, in competenze strutturate e nella cultura del dato, puntando già da subito allo sviluppo del contact tracing. In quest’ottica, è necessario che soprattutto la pubblica amministrazione si attivi per la predisposizione di infrastrutture di connettività, cloud, cyber security, big data e competenze ICT, pilastri su cui investire per sostenere la ricostruzione e modernizzazione del tessuto economico e sociale del nostro Paese, per rilanciare non solo l’economia ma anche l’ordinario vivere dello stesso.

Il Data Brech lycamobile e la diffusione di dati sensibili online

Avv. Vincenzo Colarocco

Se è vero che i dati personali, costituiscono il nuovo petrolio è altresì vero che le violazioni di dati personali tendono a imporsi quali veri e propri attentati ai diritti e alla libertà delle persone fisiche, rivendicati dagli artefici, al fine di far conoscere le finalità della propria azione, oltre che diffondere una regime di “terrore” volto a minare i paradigmi adottati dalle aziende per rafforzare la cybersecurity, quale responsabilità condivisa che deve essere affrontata in modo sinergico, tra aziende, istituzioni e utenti. Nel solco di tali attacchi e rivendicazioni, sempre più frequenti, lo scorso 5 novembre, il gruppo di hacker LulzSec (Lulz Security) annunciava sul proprio profilo Twitter di essere entrato in possesso di una grande quantità di informazioni di natura sensibile, relative ai clienti dell’operatore telefonico low cost Lycamobile. In particolare, il data breach perpetrato ai danni dei migliaia di Clienti di Lycamobile ha avuto ad oggetto dati personali di natura particolare estratti da carte di identità, tessere sanitarie, passaporti, carte di credito, moduli di attivazione SIM, oltreché credenziali di accesso dei rivenditori. Alla violazione di sicurezza è poi seguita la diffusione online, sulla piattaforma MEGA, di un’esigua entità dei dati sensibili raccolti illecitamente, che in tal modo sono stati resi accessibili a qualsivoglia soggetto potenzialmente predisposto a porre in essere futura attività illecita proprio a mezzo di tali dati. Nei casi di data breach analoghi a quello summenzionato, a norma degli artt. 33 e 34 del Regolamento UE 2016/679, il Titolare del trattamento ha l’obbligo di notificare l’avvenuta violazione all’Autorità competente nel termine di 72 ore dalla scoperta dell’evento, scaduto il quale è necessario corredare la notifica dei motivi del ritardo. Nel caso di specie, avendo la violazione comportato un rischio elevato per i diritti delle persone è altresì richiesto dalla normativa di riferimento che il titolare del trattamento la comunichi a tutti gli interessati, utilizzando i canali più idonei, a meno che non abbia già adottato misure tali da ridurne l’impatto. Considerato che, senza le giuste competenze e risorse, però, la rilevazione di violazioni dei dati e la loro tempestiva segnalazione rappresentano una seria sfida nell’ambito della cybersecurity, si rileva, ad oggi, che tale specifica comunicazione, la quale vedrebbe come destinatari i clienti di Lycamobile, non sarebbe avvenuta, né direttamente a mezzo di Short Message Service sulle singole utenze, né indirettamente, a mezzo del sito web ufficiale dell’operatore telefonico.

L’Autorità di controllo tedesca vieta l’uso di Office 365 nelle scuole

Avv. Vincenzo Colarocco

Il commissario distrettuale per la protezione dei dati e la libertà di informazione (HBDI) dello stato dell’Assia (Germania) ha inibito l’uso di Microsoft Office 365 nelle scuole in ragione della scarsa garanzia sulla protezione dei dati personali rappresentata dal servizio.

Già nell’agosto 2017, a seguito di un’indagine sul cloud di Microsoft, la protezione dei dati veniva stimata come insufficiente secondo le regole comunitarie, poiché si appoggiava a server negli Stati Uniti, con ogni conseguenza sul trasferimento dei dati all’estero (si consideri, infatti, come ad oggi il Privacy Shield – decisione di adeguatezza sugli USA – seppur vigente sia al vaglio delle istituzioni comunitarie per la sua rinnovazione).

Nonostante Microsoft abbia dato evidenza di aver spostato i propri server in Europa, il garante tedesco ha comunque scelto di proibire il ricorso a tale servizio proprio in ragione del difetto di trasparenza del Cloud Act: tale normativa consente, infatti, alle autorità statunitensi, alle forze dell’ordine ed alle agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dalla loro collocazione.

Le perplessità sulla compliance del Cloud Act alla normativa europea non giungono solo dalla Germania, ma anche dal Comitato europeo per la protezione dei dati, che ha inviato una lettera di risposta alla commissione per le libertà civili, la giustizia e gli affari interni (LIBE) del Parlamento europeo con una valutazione giuridica sull’impatto Cloud Act degli Stati Uniti sul quadro giuridico europeo della protezione dei dati.

Si resta in attesa di conoscere l’impostazione che intenderanno assumere le autorità di controllo degli altri Paesi membri, le quali, si ricorda, in forza del principio di assistenza e cooperazione introdotto dal GDPR, dovranno motivare compiutamente in caso di avvisi contrastanti ed opposti dal parere tedesco.

Il Cybersecurity Act e il nuovo quadro europeo per la sicurezza dei dati personali

Avv. Vincenzo Colarocco

Lo scorso 7 giugno 2019 è stato pubblicato in Gazzetta Ufficiale il Cybersecurity Act, un Regolamento UE volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali. Il 27 giugno, il testo entrerà formalmente in vigore e trattandosi di un Regolamento, sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che si propone di rafforzare la resilienza dell’Unione agli attacchi informatici, creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e accrescere la fiducia dei consumatori nelle tecnologie digitali. Esso si compone di due parti nelle quali, da un lato, viene specificato il ruolo e il mandato dell’ENISA (European Network and Information Security Agency),  dall’altro, viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali. Ebbene, se fino ad oggi il ruolo dell’ENISA è stato principalmente quello di coadiuvare da un punto di vista tecnico gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi con l’obbiettivo di rafforzare le capacità di prevenzione e reazione agli incidenti informatici, il nuovo Regolamento intende ulteriormente rafforzare tale ruolo, garantendo un mandato permanente e consentendo di svolgere non solo compiti di consulenza tecnica, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. Nell’ottica del Cybersecurity Act il rafforzamento del ruolo dell’ENISA è strumentale all’adozione di un quadro complessivo di regole in grado di disciplinare gli schemi europei di certificazione della sicurezza informatica. A rigore è bene precisare che il Regolamento non istituisce schemi di certificazione direttamente operativi, creando piuttosto una “cornice” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali (e.g. dispositivi medici, sistemi di controllo industriali, veicoli automatizzati), validi e riconosciuti in tutti gli Stati membri. Tali schemi europei di certificazione saranno predisposti, in prima battuta, dall’ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione.

Gli Ordini degli Avvocati nel mirino di Anonymous

Avv. Vincenzo Colarocco

Già dall’inizio del mese si era diffusa sul web la notizia di un imminente attacco “multiplo” organizzato da parte di Anonymous Italia nei confronti degli Ordini degli avvocati: cinque giorni di progressivi attacchi aventi ad oggetto credenziali di autenticazione che hanno colpito gli Ordini di Matera, Piacenza, Caltagirone e Roma in data 7 maggio 2019, gli hacker di Anonymous hanno reso noto sul loro blog di aver  violato la posta elettronica certificata (PEC) di 30.000 avvocati iscritti all’Ordine di Roma: trattasi di un attacco organizzato per celebrare l’anniversario della cattura di alcuni di loro, avvenuta nel maggio 2015.

La vicenda ha suscitato particolare preoccupazione tra i professionisti dal momento che l’accesso è avvenuto su caselle di posta certificata (mediante inserimento del nome utente e della password assegnata in fase di prima registrazione) con una conseguente violazione del segreto professionale (artt. 13 e 28 del Codice deontologico forense). Difatti, l’avvocato –in qualità di titolare del trattamento- deve prevedere tutte le misure necessarie per garantire la confidenzialità, integrità e disponibilità dei dati personali. Ancor di più, se la stragrande maggioranza dei trasferimenti di dati (anche personali) avviene, proprio attraverso l’utilizzo della posta elettronica. Per tale motivo, occorre che gli utilizzatori assicurino un livello di sicurezza adeguato al rischio (art. 32 del GDPR) in un’ottica di accountability, verificando la sicurezza del sistema informatico sul quale i file sono memorizzati in formato digitale. A mero titolo esemplificativo, con la previsione di una password minima di 8 caratteri contenenti maiuscole, lettere minuscole, numeri e caratteri speciale; non condividerla; non scriverla chiaramente su un foglio; evitare la pre-registrazione; cambiarla regolarmente, etc. Ciò significa, ad esempio, che anche l’adozione di criteri e procedure di trattamento certe e di una formazione adeguata allo studio legale o sul singolo professionista, può precostituire una prova della conformità del trattamento al fine di evitare pesanti sanzioni e/o violazione dei dati personali (art. 33 e 34 del GDPR).

Nel caso di specie, al momento non si ha notizia dell’apertura di un fascicolo di indagine da parte della Procura della Repubblica. Sulla vicenda si è già espresso il vice presidente del Consiglio dell’Ordine degli Avvocati di Roma Antonino Galletti: “L’attacco informatico subito dall’Ordine degli Avvocati di Roma rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’Istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria”.

Di certo, la vicenda mette in allerta gli avvocati del foro romano -titolari del trattamento di dati personali- tra i quali in pochi ad oggi possono affermare di aver portato a termine compiutamente l’adeguamento al GDPR, e mette sotto il riflettore il delicato tema della cybersecurity: come dichiara Anonymous “nessuno è invulnerabile a questo mondo”.

Il Garante privacy ha avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati.

Cyber security: anche le istituzioni italiane sotto attacco

Avv. Vincenzo Colarocco

Anche i ministeri dello Stato italiano, gli enti locali e le aziende, si ritrovano ad affrontare il dilagante fenomeno degli attacchi informatici.

Questi “attacchi” risulterebbero essere dei tentativi di spionaggio da parte di soggetti legati ad apparati governativi esteri, che hanno riguardato prevalentemente sistemi informatici di amministrazioni pubbliche centrali e locali, con un sensibile aumento di attacchi contro le reti ministeriali, i quali nel 2018 sono risultati essere più che quintuplicati rispetto al 2017.

Ciò che più preoccupa è l’innalzamento nella qualità e nella complessità degli attacchi, che abbinato ad una poca conoscenza e consapevolezza da parte delle vittime, li rende ancora più minacciosi, se poi a maggior ragione questi si riferiscono a figure di primo piano delle istituzioni o anche del settore privato.

Sicuramente, una delle cose che più preoccupa è la competizione politico ed economica che potrebbe essere alla base di queste minacce.

Non a caso, il Dipartimento delle informazioni per la sicurezza (Dis), al pari delle altre intelligence dei partner internazionali, sembrerebbe aver riattivato, in vista del rinnovo del Parlamento europeo, l’ufficio istituito agli inizi del 2018 per individuare eventuali indizi di influenza, interferenza o condizionamento del processo elettorale del 4 marzo. Del resto ormai da mesi si parla di cyber diplomazia.

Il phishing è inarrestabile!

Avv. Vincenzo Colarocco

L’8 marzo 2019, Microsoft Corporation ha rilasciato la 24° edizione del Microsoft Security Intelligence Report (SIR), un report che offre una panoramica delle minacce informatiche patite nel 2018. Il SIR, che è il risultato dell’analisi di 6.500 miliardi di minacce transitanti ogni giorno nel Cloud di Microsoft, da evidenza di come il phishing si confermi tra il metodo d’attacco più usato dai cyber criminali (nel 2018 è aumentata al 250% la percentuale di messaggi malevoli ricevuti dagli utenti), crollino i ransomwere e crescano, infine, i criptominer.

Questi ultimi sono virus installati sui computer delle vittime a loro insaputa, rubando la potenza di calcolo utile per coniare valute digitali come i bitcoin. Questo tipo di software funziona in background e, fino al momento in cui e prestazioni della macchina colpita non degradano sensibilmente, è difficile accorgersi della sua presenza. Può, quindi, continuare a lavorare per molto tempo indisturbato, assicurando così agli hacker profitti senza rischi esorbitanti. Il programma spesso di attiva con la semplice visita ad un sito web contraffatto.

Si chiude invece il periodo d’oro del ransomware. Questo tipo di attacco, il quale si realizza mediante la diffusione di programmi in grado di cifrare il contenuto dei dischi, ha subito un crollo del 60% tra il marzo del 2017 ed il dicembre del 2018. Tale diminuzione è imputabile allo sviluppo delle tecnologie di difesa, nonché, alla crescente sensibilizzazione degli utenti al problema, facendo dirottare, così, i cyber criminali verso altre tipologie d’attacco. Ad ogni modo, i ransomware sono ancora oggi uno dei primi vettori d’attacco per le aziende pubbliche italiane le quali, ad oggi, resistono ad utilizzare le nuove tecnologie di difesa.

Infine, il phishing, ossia l’adescamento via mail di potenziali vittime, si conferma il metodo d’attacco favorito dai cyber criminali. Tra gennaio e dicembre 2018, infatti, il quantitativo di messaggi segnalati come phishing è aumentato del 250%. L’obiettivo principale dei pirati informatici è quello di distribuire payload zero-day agli utenti, compromettendo così più o meno seriamente i sistemi colpiti.

In questo caso, gli hacker hanno cambiato le proprie tattiche in risposta ai tool e alle tecniche di rilevamento sempre più sofisticati.

Le campagne di phishing continuano a cambiare forma e sfruttano sempre con maggior frequenza più Url, domini e indirizzi IP per inviare le mail, appoggiandosi anche alle infrastrutture Cloud e utilizzando piattaforme di collaboration online per distribuire codice maligno e moduli di login fasulli per ottenere le credenziali delle vittime.

Digital Crime: GDPR e Direttiva NIS richiedono interpretazione uniforme e coordinata

Avv. Vincenzo Colarocco

Regolamento europeo n. 679/2016 e Direttiva NIS UE 2016/1148: due provvedimenti differenti per finalità e contenuti (primo è dedicato alla protezione dei dati personali e si rivolge ad un’ampia categoria di soggetti obbligati, mentre la seconda, recepita nel nostro ordinamento mediante il D. Lgs. n. 65/2018, si propone la difesa delle reti e dei sistemi informativi e si rivolge esclusivamente agli operatori di servizi essenziali ed ai fornitori di servizi digitali).

Tali diversità non devono trarre in inganno, in quanto si tratta di provvedimenti strettamente collegati, posto che uno disciplina il “contenuto” e l’altro il “contenitore”: entrambi hanno come fine ultimo la uniformazione delle legislazioni in materia mediante cooperazione tra autorità nazionali. Questa complementarietà è fondamentale che venga assunta dalle imprese al fine di evitare interventi mirati ad assolvere il singolo adempimento.

È, inoltre, da ricordare che il complesso normativo inerente la cyber security si è andato sempre più ad allargare; basti ricordare: il Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica”; il Piano nazionale per la protezione cibernetica e la sicurezza informatica del maggio 2017; la Circolare Agid n.2/2017 sostitutiva della n.1/2017,  recante misure minime di sicurezza ICT per le pubbliche amministrazioni.

A questo complesso di normative va aggiunto il Decreto legislativo 231/2001(Responsabilità amministrativa delle società e degli enti) che prevede la responsabilità delle imprese per reati informatici commessi dai vertici e dipendenti a seguito della legge 48/2008 ( Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno).

Rispetto il suddetto articolato sistema normativo ci si chiede come reagiranno le aziende, auspicando la creazione di modelli ad hoc che pure con le loro differenze consentano di rispondere alle esigenze di privacy e cybersecurity .

Una strategia questa che può essere attuata superando l’idea della distinzione tra esperto in sicurezza e giurista. È infatti necessario che gli informatici tengano presente le norme e che il giurista consideri le nuove tecnologie in modo tale da poter cooperare verso un nuovo sistema regolatorio completo.