RIPAM 3997

GDPR · NIS2 · eIDAS · OWASPv1.0 - 06/05/2026

Sicurezza Sistemi e Reti

Report 5000 ufficiale: triade CIA / Defense in Depth, crittografia / PKI / eIDAS, MFA / SPID, TLS / VPN / firewall, OWASP / malware, NIS2 / GDPR / ACN + 25 numeri chiave + 15 trabocchetti.

1 Principi fondamentali: triade CIA

CIA — Confidentiality, Integrity, Availability

  1. Riservatezza (Confidentiality) — solo soggetti autorizzati accedono alle informazioni
  2. Integrità (Integrity) — i dati non sono alterati in modo non autorizzato
  3. Disponibilità (Availability) — risorse accessibili quando servono

Estensione moderna AAA: Authentication, Authorization, Accounting (audit). Aggiunte ulteriori: Non-Repudiation (non ripudio), Privacy.

Modello Parkerian Hexad (1998)

Estende CIA aggiungendo: Possession/Control, Authenticity, Utility.

Defense in Depth

Strategia a livelli multipli sovrapposti: fisico → rete → host → applicazione → dato → utente. Nessun singolo controllo deve essere unico baluardo.

Principi di base

  • Least Privilege: minimi privilegi necessari
  • Need to Know: accesso solo a info indispensabili
  • Separation of Duties: separazione compiti critici
  • Fail Secure / Fail Closed: in caso di errore → bloccare
  • Zero Trust: "never trust, always verify" (modello NIST SP 800-207)

2 Crittografia

Crittografia simmetrica

Stessa chiave per cifratura e decifratura. Veloce ma problema scambio chiave.

  • DES (deprecato — 56 bit)
  • 3DES (deprecato 2024 — 168 bit effettivi)
  • AES (Advanced Encryption Standard, 2001) — 128/192/256 bit, standard attuale
  • ChaCha20 — alternativa software-friendly

Crittografia asimmetrica (chiave pubblica)

Chiave pubblica per cifrare / privata per decifrare. Risolve scambio chiave.

  • RSA (Rivest-Shamir-Adleman, 1977) — fattorizzazione interi (≥ 2048 bit oggi)
  • ECC (Elliptic Curve Cryptography) — curve ellittiche, chiavi più corte (256 bit ECC ≈ 3072 bit RSA)
  • Diffie-Hellman — solo scambio chiave (no cifratura messaggi)

Hash crittografico

Funzione monodirezionale: input arbitrario → output fisso.

  • MD5 (DEPRECATO — 128 bit, collisioni note dal 2004)
  • SHA-1 (DEPRECATO — 160 bit, collisioni dimostrate 2017)
  • SHA-256 / SHA-512 (famiglia SHA-2) — standard attuale
  • SHA-3 (Keccak, 2015) — alternativa basata su sponge construction
  • bcrypt / Argon2 / scrypt — password hashing (lenti per design)

Firma digitale

Hash del messaggio cifrato con chiave privata del firmatario. Verifica con chiave pubblica → garantisce autenticità + integrità + non ripudio.

PKI (Public Key Infrastructure)

Sistema di gestione certificati digitali X.509:

  • CA (Certification Authority) — emette certificati
  • RA (Registration Authority) — verifica identità
  • CRL (Certificate Revocation List) / OCSP — verifica revoche
  • Trust chain: Root CA → Intermediate CA → End-entity certificate

eIDAS (Reg. UE 910/2014, agg. eIDAS 2 — Reg. UE 2024/1183)

Quadro europeo identità digitale:

  • Firma elettronica semplice / avanzata / qualificata
  • Sigillo elettronico (per persone giuridiche)
  • Marca temporale qualificata
  • Servizi fiduciari qualificati
  • eIDAS 2: introduce EUDI Wallet (European Digital Identity Wallet) entro 2026

3 Autenticazione e identità

Fattori di autenticazione

  1. Qualcosa che sai (password, PIN)
  2. Qualcosa che hai (token hardware, smartcard, smartphone)
  3. Qualcosa che sei (biometria: impronta, viso, iride)
  4. Qualcosa che fai (comportamento: digitazione, andatura)
  5. Dove sei (geolocalizzazione)

MFA / 2FA

Multi-Factor Authentication = combinazione di 2+ fattori diversi. 2FA comune: password + OTP via app/SMS/token.

Standard moderni

  • OAuth 2.0 (autorizzazione delegata) — RFC 6749
  • OpenID Connect (OIDC) — identità su OAuth 2.0
  • SAML 2.0 (Security Assertion Markup Language) — SSO enterprise
  • FIDO2 / WebAuthn — passwordless authentication, chiavi hardware
  • Passkey — implementazione consumer FIDO2 (Apple/Google/Microsoft)

Identità digitale italiana

  • SPID (Sistema Pubblico Identità Digitale) — 9 IdP accreditati AgID, 3 livelli sicurezza (L1/L2/L3)
  • CIE (Carta Identità Elettronica) — chip con certificati, autenticazione FSE/PA
  • CNS (Carta Nazionale dei Servizi) — smartcard PA

4 Sicurezza di rete

Firewall

  • Packet filter (livello 3-4) — regole su IP/porta/protocollo
  • Stateful — traccia sessioni (connessioni stabilite)
  • Application gateway (proxy livello 7) — ispezione contenuto
  • Next-Generation Firewall (NGFW) — IDS/IPS integrato, deep packet inspection, threat intelligence

IDS / IPS

  • IDS (Intrusion Detection System) — rileva e logga
  • IPS (Intrusion Prevention System) — rileva e blocca
  • Tecniche: signature-based, anomaly-based, heuristic-based

VPN (Virtual Private Network)

Tunnel cifrato su rete pubblica:

  • IPsec (livello 3) — site-to-site, AH (autenticazione) + ESP (cifratura)
  • OpenVPN / WireGuard — moderni, software-friendly
  • TLS-VPN (es. SSL VPN) — accesso remoto via browser

TLS / HTTPS

Transport Layer Security (evoluzione SSL):

  • SSL 2.0/3.0 — DEPRECATI
  • TLS 1.0/1.1 — DEPRECATI (RFC 8996, 2021)
  • TLS 1.2 — ancora supportato
  • TLS 1.3 (RFC 8446, 2018) — standard attuale, handshake più veloce, perfect forward secrecy
  • HTTPS = HTTP su TLS, porta 443

Network Segmentation

  • VLAN (IEEE 802.1Q) — segmentazione livello 2
  • Subnet + ACL — livello 3
  • DMZ (Demilitarized Zone) — area perimetrale per servizi pubblici
  • Microsegmentazione — granularità a livello applicazione (Zero Trust)

5 Minacce e attacchi

Tipologie attacchi rete

  • DoS / DDoS (Denial of Service) — saturazione risorse (volumetrico, protocol, application)
  • MITM (Man In The Middle) — intercettazione comunicazione
  • ARP spoofing / DNS spoofing
  • Port scanning (Nmap)
  • Sniffing (Wireshark) — intercettazione passiva
  • Replay attack — riproduzione messaggi catturati

Malware

TipoCaratteristica
VirusSi replica infettando file ospite
WormAuto-replica via rete senza intervento utente
TrojanSoftware apparentemente legittimo
RansomwareCifra dati e chiede riscatto (LockBit, BlackCat)
SpywareRaccoglie info utente (Pegasus)
AdwarePubblicità invasiva
RootkitSi nasconde a livello kernel
BotnetRete bot controllati C2 (Mirai)
CryptominerSfrutta CPU/GPU vittima per minare crypto

Attacchi password

  • Brute force — tutte le combinazioni
  • Dictionary attack — wordlist
  • Rainbow table — hash precalcolati (mitigato da salt)
  • Credential stuffing — credenziali rubate da altri data breach
  • Phishing — ingegneria sociale via email/sito fake
  • Spear phishing — phishing mirato

Vulnerabilità applicative — OWASP Top 10 (2021)

  1. A01 Broken Access Control
  2. A02 Cryptographic Failures
  3. A03 Injection (SQLi, NoSQLi, OS command)
  4. A04 Insecure Design
  5. A05 Security Misconfiguration
  6. A06 Vulnerable and Outdated Components
  7. A07 Identification and Authentication Failures
  8. A08 Software and Data Integrity Failures
  9. A09 Security Logging and Monitoring Failures
  10. A10 Server-Side Request Forgery (SSRF)

XSS (Cross-Site Scripting)

  • Stored — script salvato sul server (commento malevolo)
  • Reflected — script in URL
  • DOM-based — manipolazione DOM lato client

Mitigazione: output encoding + CSP (Content Security Policy).

CSRF (Cross-Site Request Forgery)

Forza utente loggato a eseguire azione non voluta. Mitigazione: token CSRF + SameSite cookie.

6 Gestione incidenti e normative

Incident Response (NIST SP 800-61)

  1. Preparation — policy, training, tool
  2. Detection & Analysis — SIEM, alert
  3. Containment — isolare sistemi
  4. Eradication — rimuovere causa
  5. Recovery — ripristino operativo
  6. Lessons Learned — post-mortem

SOC e SIEM

  • SOC (Security Operations Center) — team monitoraggio 24/7
  • SIEM (Security Information and Event Management) — Splunk, QRadar, Sentinel, Elastic SIEM
  • SOAR (Security Orchestration, Automation, Response) — automatizza risposte
  • EDR/XDR — endpoint/extended detection & response

NIS2 (Direttiva UE 2022/2555)

Recepita in Italia con D.Lgs. 138/2024. Estende perimetro cybersecurity a:

  • Settori essenziali e importanti
  • Obblighi: misure tecniche, governance, notifica incidenti entro 24h (early warning) + 72h (notifica completa)
  • Sanzioni fino a 10 mln € o 2% fatturato globale
  • Autorità: ACN (Agenzia Cybersicurezza Nazionale, istituita 2021)

GDPR e sicurezza dati personali

  • Reg. UE 2016/679 — Art. 32: misure tecniche e organizzative adeguate
  • Data Breach — notifica al Garante entro 72h (Art. 33)
  • Privacy by Design / by Default (Art. 25)

Perimetro Sicurezza Cibernetica Nazionale

  • D.L. 105/2019 + DPCM 30/07/2020
  • Identifica soggetti pubblici/privati che svolgono funzioni essenziali
  • Obblighi: notifica acquisti ICT, audit, valutazione CVCN

Codice dell'Amministrazione Digitale

  • D.Lgs. 82/2005 (CAD) — Art. 51 sicurezza dei dati
  • AgID Linee Guida sicurezza ICT PA
  • Misure minime di sicurezza ICT per le PA (AgID 2017)

7 25 numeri chiave

#DatoValore
1Triade sicurezzaCIA (Confidentiality/Integrity/Availability)
2Standard cifratura simmetrica attualeAES (128/192/256)
3Lunghezza minima RSA oggi2048 bit
4SHA standard modernoSHA-256 / SHA-3
5Hash deprecatiMD5, SHA-1
6TLS versione attuale1.3 (RFC 8446, 2018)
7Porta HTTPS443
8Fattori autenticazione5 (sai/hai/sei/fai/dove)
9Livelli SPID3 (L1, L2, L3)
10OWASP Top 10 anno corrente2021
11Notifica data breach GDPR72 h
12Notifica incidente NIS2 (early)24 h
13Notifica completa NIS272 h
14Sanzione max NIS210 mln € o 2% fatturato
15Anno istituzione ACN2021
16Direttiva NIS2UE 2022/2555
17D.Lgs. recepimento NIS2 IT138/2024
18eIDAS Regolamento baseUE 910/2014
19eIDAS 2 RegolamentoUE 2024/1183
20EUDI Wallet entro2026
21Standard MFA modernoFIDO2 / WebAuthn
22Standard SSO enterpriseSAML 2.0 / OIDC
23Modello Zero Trust NISTSP 800-207
24Fasi Incident Response NIST6 (Prep/Detect/Contain/Eradic/Recovery/LL)
25Strategia difesaDefense in Depth

8 15 trabocchetti d'esame

#TrabocchettoRisposta corretta
1"MD5 e SHA-1 sono ancora sicuri"FALSO — entrambi DEPRECATI (collisioni note)
2"AES è crittografia asimmetrica"FALSO — AES è simmetrica; RSA/ECC sono asimmetriche
3"TLS 1.0 e 1.1 sono ancora supportati"FALSO — DEPRECATI da RFC 8996 (2021)
4"Firma digitale garantisce solo integrità"FALSO — garantisce integrità + autenticità + non ripudio
5"MFA = solo password lunga"FALSO — MFA richiede 2+ fattori diversi
6"Notifica data breach entro 24 h"FALSO — GDPR: 72 h al Garante
7"NIS2 sostituisce GDPR"FALSO — sono normative diverse, complementari
8"DDoS è un attacco al dato"FALSO — DDoS attacca disponibilità, non integrità/riservatezza
9"Trojan si auto-replica"FALSO — il worm si auto-replica; il trojan no
10"XSS e injection sono lo stesso attacco"FALSO — XSS è iniezione client-side; injection (SQLi) lato server
11"Zero Trust = nessuna autenticazione"FALSO — Zero Trust = never trust, always verify (autentica sempre)
12"ACN istituita nel 2018"FALSO — istituita nel 2021 (D.L. 82/2021)
13"eIDAS 2 obbliga EUDI Wallet entro 2030"FALSO — entro 2026 (Reg. UE 2024/1183)
14"WPA2 è lo standard sicurezza Wi-Fi attuale"FALSO — WPA3 (2018) è lo standard attuale
15"OWASP Top 10 cambia ogni anno"FALSO — pubblicazione periodica (ultima 2021, prossima 2025)