Mentre si parla di cittadinanza digitale c’è ancora chi usa come password: “1234567”

Mentre si parla di cittadinanza digitale c'è ancora chi usa come password: "1234567"

"L’ultimo attacco di Anonymous Italia ci ha chiarito da dove dovevamo partire con i nostri articoli sulla sicurezza di base e cioè da una corretta gestione delle password."

La posta elettronica certificata di circa trentamila avvocati iscritti all'Ordine di Roma è stata violata da un attacco di Anonymous Italia.

Sicuramente nulla ha funzionato in termini di sicurezza, se è vero che le caselle di posta elettronica a cui erano associati nome utente e password erano in chiaro (cioè non criptate) e che le credenziali (user e password) dei pannelli di controllo erano rimaste quelle di default e cioè “admin/admin”.

Certamente i singoli utenti non avrebbero potuto impedire questo attacco ma sembrerebbe che i dati sottratti da Anonymous siano solo quelli relativi alla prima registrazione e molti potrebbero non aver cambiato la password iniziale.

Molto interessante e, se non si parlasse di sicurezza, anche divertente, è la “Lettera aperta al #Garante sul Leak di Visura.it e dell’Ordine degli Avvocati di Roma” scritta da Matteo FLORA, esperto in sicurezza informatica e comunicazione, che potete leggere in modo integrale cliccando su questo link

L’esperto ha stilato un elenco delle password più utilizzate dagli avvocati romani per registrare la propria pec.

Tra le oltre 12.000 password presenti nel database ve ne sono 87 in cui è stata utilizzata la parola “avvocato”, 32 corrispondono alla difficilissima “1234567”, 25 tifosi hanno ricordato la loro squadra del cuore con un “forzaroma”, altri 118 hanno utilizzato nomi propri come: “lorenzo”, “francesco”, “camilla”, “francesca”, “alessandro”, “federica” e “stefano”.

Come cita sempre Matteo FLORA, la piattaforma non ha fatto rispettare quelli che sono i criteri minimi di sicurezza per una password tra cui la sua lunghezza, infatti ben 2.354 password sono composte da solo 7 caratteri. Anche quella che è detta “entropia” della password, cioè la sua robustezza, lascia esterrefatti, infatti, il 41% delle password pari a 5.160, sono composte da tutti caratteri alfabetici minuscoli.

Volete sapere quante password implementano quella che gli esperti definiscono un’entropia corretta della password cioè che contengono maiuscole, minuscole, numeri e segni grafici: 82 su 12.000 pari allo 0,66% del totale.

 

Ma quali criteri si devono adottare per realizzare una buona password?

Gli esperti ritengono che una buona password debba essere composta da più di 8 caratteri e tra questi vi dovrebbero essere maiuscole, minuscole, numeri e caratteri speciali.

Nelle ultime linee guida per l’identità digitale redatte dal NIST (National Institute for Standards and Technology) che è tra gli enti più autorevoli in materia di sicurezza informatica, in realtà rimane solo la regola degli 8 caratteri facili da ricordare.

Non è più consigliato l’uso di password complesse e da cambiare periodicamente, questa è sembrata essere una resa perché, di fronte a regole così ferree che impediscono di completare la registrazione, l’utente sostituiva la parola “password” con la stringa “Password1” e quando era costretto a cambiare la password avanzava semplicemente di un’unità da “Password1” a “Password2”.

Il NIST suggerisce che almeno le password non siano troppo semplici come sequenze di lettere o numeri, parole inserite in un normale dizionario o  di uso comune, oppure parole che contengano nome o cognome dell’utente oppure il nome del servizio (come ad esempio Gmail seguito dal nome dell’utente come GmailRoberto).

Interessante è anche il consiglio per i gestori dei servizi online di non proporre più metodi di ripristino delle password che si basino su domande personali come il nome del tuo primo animale, infatti, tali informazioni si possono ormai facilmente recuperare tramite i social network.

Qual è il nostro consiglio?

Al momento il consiglio che possiamo dare è quello di continuare ad usare password complesse anche qualora il sistema accettasse delle stringhe più semplici, infatti, gli attacchi riusciti ai sistemi online non usano tecniche cosiddette di “forza bruta” (provare, in serie, ogni combinazione di caratteri, simboli, lettere o numeri fino a quando non viene trovata la chiave giusta) ma sono attacchi basati sul cosiddetto social engineering, cioè sfruttando tutte quelle informazioni che lasciamo ogni giorno in rete.

Nel prossimo articolo parleremo dei password manager, così vi spiegheremo in modo semplice, semplice come usare password forti senza rischio di dimenticarsele.

 

Dovere di vigilanza e privacy del minore

Dovere di vigilanza e privacy del minore

"La legge impone ai genitori il controllo dei figli ma poi è sempre la legge a dire che i figli hanno diritto alla protezione della loro “privacy”: quindi, riassumendo, i figli si devono ma non si possono controllare ?"

Papà contro Perry Mason

Nel corso di un incontro tenuto in una primaria, l’affermazione di un bambino mi ha sorpreso particolarmente. Mentre parlavo dell’uso dei cellulari, il fanciullo mi ha chiesto se suo padre potesse controllargli il telefono, aggiungendo che questo violava la sua privacy.

Se anche i bambini ne parlano, è giunto il momento di chiarire alcuni concetti.

Il papà del bambino, nel controllargli il telefono, ha voluto adempiere ai suoi obblighi e, in particolare, a quelli di educazione e vigilanza.

Il genitore, anche senza saperlo, ha applicato quanto previsto dall’art.147 c.c. che lo obbliga a mantenere, istruire, educare e assistere moralmente suo figlio, nel rispetto delle sue capacità, inclinazioni naturali e aspirazioni.

Forse il padre ha agito con estrema coscienza senza neppure conoscere le tante sentenze che condannano i genitori al pagamento di importanti cifre per i danni causati dai figli.

Una di queste è la sentenza della Corte di Cassazione n.24475 del 18.11.2014 che ha confermato il pagamento di oltre 35.000 euro per i danni subiti da un ragazzo, il quale aveva subito la perdita quasi totale della capacità visiva dell’occhio destro.

Interessante è la motivazione che viene in parte riportata: “Va ribadito il principio (Cass., n. 20322 del 20/10/2005) secondo cui in relazione all’interpretazione della disciplina prevista nell’art. 2048 cod. civ., è necessario che i genitori, al fine di fornire una sufficiente prova liberatoria per superare la presunzione di colpa dalla suddetta norma desumibile, offrano non la prova legislativamente predeterminata di non aver potuto impedire il fatto (atteso che si tratta di prova negativa), ma quella positiva di aver impartito al figlio una buona educazione e di aver esercitato su di lui una vigilanza adeguata; il tutto in conformità alle condizioni sociali, familiari, all’età, al carattere e all’indole del minore. L’inadeguatezza dell’educazione impartita e della vigilanza esercitata su un minore, fondamento della responsabilità dei genitori per il fatto illecito dal suddetto commesso, può essere desunta, in mancanza di prova contraria, dalle modalità dello stesso fatto illecito, che ben possono rivelare il grado di maturità e di educazione del minore, conseguenti al mancato adempimento dei doveri incombenti sui genitori, ai sensi dell’art. 147 cod. civ.”

La Corte di Cassazione si è concentrata sulle conseguenze civili della condotta del minore, ed applicando l’art. 2048 c.c., ha condannato i genitori del responsabile al risarcimento perché, pur essendo il minore capace d’intendere e di volere, gli mancava la capacità di agire. Il genitore è stato quindi ritenuto responsabile per non aver adeguatamente sorvegliato il figlio minore (colpa in vigilando) e per non averlo ben educato (colpa in educando). È giusto ricordare che tra la colpa in vigilando e quella in educando vi è una relazione inversamente proporzionale, ovvero, tanto maggiore sarà l’educazione impartita e quindi il grado di maturità raggiunto, tanto minore sarà l’obbligo di vigilare, e viceversa.

Per capire se il minore sia stato adeguatamente educato, il giudice può ammettere anche la prova per presunzioni, ovvero potrebbe essere sufficiente la gravità del fatto commesso per far presumere che vi sia stata una non adeguata educazione.

Come risolvere il conflitto di interessi?

Appare evidente che nel caso del controllo del cellulare da parte del genitore vi sia uno scontro tra “Il diritto alla segretezza e alla tutela della vita privata del minore” e il “diritto/dovere di vigilanza dei genitori”. È giusto ricordare che qualora vi siano più interessi confliggenti e di pari livello, occorre realizzare un contemperamento tra gli stessi per individuare quello prevalente.

Sempre la Cassazione con la sentenza n. 41192 del 3 ottobre 2014 è intervenuta in merito applicando proprio il principio appena menzionato, affermando che “il diritto/dovere di vigilare sulle comunicazioni del minore da parte del genitore non giustifica indiscriminatamente qualsiasi altrimenti illecita intrusione nella sfera di riservatezza del primo (espressamente riconosciutagli dall’art. 16 della Convenzione sui diritti del fanciullo approvata a New York il 20 novembre 1989 e ratificata dallo Stato italiano con la legge 27 maggio 1991, n. 176), ma solo quelle interferenze che siano determinate da un'effettiva necessità, da valutare secondo le concrete circostanze del caso e comunque nell’ottica della tutela dell’interesse preminente del minore e non già di quello del genitore“.

Come si dice: “Pari e patta, palla al centro”.

In realtà non è proprio così, pur nel rispetto di quanto prospettato dal giovane “Perry Mason”, soprattutto in questo momento, è assolutamente necessario controllare quello che fanno i nostri figli in rete.

Ciò che bisogna instaurare sin dall’inizio è un dialogo, bisogna far capire al bambino le potenzialità e le pericolosità di certi mezzi, è necessario far comprendere che ci sono regole e limiti.

Tra l’altro, le poche sentenze che trattano casi di violazione della privacy del minore, nascono in genere da conflitti tra genitori separati e il controllo sul figlio esercitato da uno dei due genitori serve in realtà non a verificare il comportamento del bambino ma dal cercare di acquisire più informazioni possibili sul conto del proprio ex.

Esistono tanti modi per controllare i propri figli e saranno oggetto dei prossimi approfondimenti.

 

Siamo davvero certi che sia meglio utilizzare la parola bullismo?

“Gli incontri avuti con bambini, ragazzi, genitori e insegnanti ci hanno creato un dubbio, è corretto parlare di bullismo anche quando si tratta di reati e, in molti casi, di reati gravi?

Ce lo siamo chiesti analizzando qual è il significato di bullismo, ripescando alcune sentenze della Corte di Cassazione e analizzando brevemente i fatti di Manduria.”

Due diversi titoli

Gli incontri avuti con bambini, ragazzi, genitori e insegnanti ci hanno creato un dubbio, è corretto parlare di bullismo anche quando si tratta di reati e, in molti casi, di reati gravi?

Giochiamo creando due diversi titoli giornalistici sulla stessa notizia:

“Baby bullo minaccia il compagno di scuola per sottrargli il cellulare.”

“Minorenne sottrae il cellulare al compagno di scuola, denunciato per rapina aggravata.”

Qual è la percezione di un messaggio rispetto a un altro?

Come lo percepisce un preadolescente o un adolescente che non ha ancora sviluppato la riflessione e la valutazione delle conseguenze delle sue azioni?

E se i messaggi sono letti da un genitore, ha la stessa percezione di gravità dell’azione compiuta dal figlio?

La grande confusione sul termine “bullismo”

Il termine bullismo è spesso utilizzato in modo improprio ma la sua sovraesposizione ha comunque ottenuto il risultato che tale parola è ormai recepita con un significato negativo mentre, prima, poteva esprimere anche i significati di scherzo o di dispetto.

Non utilizzando il termine in modo corretto ha però generato confusione così che viene definito atto di bullismo una singola azione, due ragazzi che litigano ma anche reati gravi come estorsioni, furti e rapine.

Per molti il bullismo è una fattispecie propria di reato e a questo errato convincimento contribuiscono soprattutto la rete ma anche i media tradizionali.

Basta una breve ricerca per imbattersi in frasi del tipo: “Al Grande Fratello Francesca De Andrè denunciata per bullismo” oppure “Lesioni, violenza e minacce: 15 ragazzini denunciati per bullismo”.

Considerando qual è la diffusione di certe trasmissioni e di alcune notizie, è facile comprendere perché molte persone siano convinte che il bullismo sia un reato ma, solo associando alla parola “bullismo” gli ultimi gravi episodi come quello di “Manduria”, si incomincia a percepire il bullismo come “reato” grave.

Proviamo a definire il “bullismo”

Il bullismo non è un fenomeno dei giorni nostri perché è studiato da più di quarant’anni. Infatti, nei primi anni ’70, fu il dottor Dan Olweus ad avviare la prima ricerca sistematica del mondo del bullismo. Due testi potrebbero aiutare a comprendere gli studi dello psicologo: “Aggression in the Schools: Bullies and Whipping Boys” editore John Wiley & Sons Inc – anno 1978 e “Bullismo a scuola. Ragazzi oppressi, ragazzi che opprimono” editore Giunti – anno 2007.

Olweus definì gli elementi qualificanti l’azione di bullismo

  • nell’intenzionalità (volontà di arrecare un danno all’altro)
  • nella persistenza (la continuità nel tempo)
  • nel disequilibrio (cioè vi deve essere una relazione di tipo asimmetrico tra i partner e la vittima è in una situazione di impotenza)

Cercando tra le nostre leggi una definizione di bullismo non la troviamo, però è interessante la definizione che fu inserita nel testo del disegno di legge 1261. In tale contesto fu definito bullismo: “l’aggressione o la molestia reiterate, da parte di una singola persona o di un gruppo di persone, a danno di una o più vittime, idonee a provocare in esse sentimenti di ansia, di timore, di isolamento o di emarginazione, attraverso atti o comportamenti vessatori, pressioni o violenze fisiche o psicologiche ….”.

Confrontando tale definizione con quanto indicato nel reato di atti persecutori (stalking) ci accorgiamo subito che le condotte e le conseguenze sono le stesse.

Atti persecutori 612 bis c.p.

Salvo che il fatto costituisca più grave reato, è punito con la reclusione da sei mesi a cinque anni chiunque, con condotte reiterate, minaccia o molesta taluno in modo da cagionare un perdurante e grave stato di ansia o di paura ovvero da ingenerare un fondato timore per l’incolumità propria o di un prossimo congiunto o di persona al medesimo legata da relazione affettiva ovvero da costringere lo stesso ad alterare le proprie abitudini di vita.

Ma allora il bullismo è stalking?

Nel caso esaminato dalla Corte vi sono tutti gli elementi previsti dal delitto di atti persecutori, ad iniziare dalla reiterazione di aggressioni (condotte vessatorie) che si sono protratte per tutto l’anno scolastico. In realtà per la configurabilità del reato di stalking sarebbero bastate due sole condotte di minaccia o molestia, come tali idonee a costituire la reiterazione richiesta dalla norma incriminatrice.

Il fatto che il ragazzo sia stato costretto da quei comportamenti dapprima a interrompere la frequenza scolastica, per poi abbandonare definitivamente la scuola, integra l’altro elemento necessario affinché si configuri il delitto di stalking e cioè l’alterazione delle sue abitudini di vita. Anche se lo studente non avesse abbandonato la scuola, il solo fondato timore per la propria incolumità o il perdurante stato di ansia o di paura avrebbero comunque configurato il reato di atti persecutori.

Uno scherzo che coinvolga la sessualità è comunque uno scherzo.

Non è così, come già abbiamo visto con lo stalking, delle azioni che vengono spesso definite come atti di bullismo, sono in realtà qualificabili come violenza sessuale.

Secondo la Cassazione (Sezione III Penale 9 novembre 2012, n. 43495) “nel concetto di atti sessuali deve essere ricondotto ogni atto comunque coinvolgente la corporeità sessuale della persona offesa, e posto in essere con la coscienza e la volontà di compiere un atto invasivo e lesivo della libertà sessuale della persona non consenziente, sicché resta non rilevante, ai fini del perfezionamento del reato, l’eventuale fine ulteriore, sia esso di concupiscenza, ludico o d’umiliazione, propostosi dal soggetto agente”.

Inoltre, la stessa Corte ha precisato che “ai fini della configurabilità del reato di violenza sessuale di gruppo, per la cui realizzazione è sufficiente il numero di due persone, non è necessario l’accordo preventivo dei partecipanti, essendo sufficiente la consapevole adesione, anche estemporanea, all’altrui progetto criminoso e che ricorre la fattispecie di violenza sessuale di gruppo, pur quando non tutti i componenti del gruppo compiano atti di violenza sessuale, essendo sufficiente che dal compartecipe sia comunque fornito un contributo causale alla commissione del reato, anche nel senso del rafforzamento della volontà criminosa dell’autore dei comportamenti tipici di cui all’art. 609 bis c.p.

Ritornando alla questione iniziale: “siamo ancora certi che sia corretto utilizzare la parola bullismo?”

Abbiamo visto che nelle cosiddette azioni di bullismo rientrano reati molto gravi: atti persecutori, violenza sessuale, lesioni, ecc.

Quanto successo a Manduria ha fatto riflettere tutti noi non solo sul comportamento dei ragazzi ma anche su quello degli adulti.

In un’intervista, il Procuratore del Tribunale per i minorenni di Taranto, Pina MONTANARI, ha dichiarato che le azioni commesse dal quel gruppo di criminali giravano su chat presenti nella quasi totalità della cittadina manduriana.

Forse se quelle azioni fossero state chiamate subito con i loro veri nomi che sono tortura, furto, lesioni, violenza privata, violazione di domicilio, anziché considerarle delle “bravate” o degli atti di “bullismo”, qualcuno si sarebbe reso conto della gravità della situazione e una persona oggi sarebbe ancora viva.