Autore:

138/24, la Cybersecurity nazionale: arriva il Decreto di adeguamento alle regole europee

Posted on by

138/24, la Cybersecurity diventa nazionale, difatti con il DECRETO LEGISLATIVO 4 settembre 2024, n. 138 il Governo recepisce la direttiva (UE) 2022/2555 che contiene le misure per garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Il Decreto in vigore dal 16 ottobre 2024, come abbiamo visto era previsto già nella Legge di Delegazione Europea 2023 per adeguare la normativa interna alla direttiva (UE) 2022/2555, volta ad aumentare la resilienza di soggetti pubblici e privati operanti nell’Unione Europea alle minacce nell’ambito cibernetico (vedi qui tutti i punti della Direttiva 2022/2555 recepita).

Cosa prevede il Decreto e in che modo si intende assicurare la sicurezza cibernetica interna coerentemente con quanto previsto a livello europeo?

All'interno dell'articolo avremo modo di analizzare i seguenti punti:

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138/24 contiene 44 articoli e quattro allegati: nei sei Capi che lo compongono delinea diverse questioni afferenti alla cybersecurity fra le quali:

  • Il Quadro nazionale di sicurezza informatica;
  • Cooperazione a livello dell’Unione europea e internazionale;
  • Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente;
  • Monitoraggio, vigilanza ed esecuzione.

Cybersecurity: le misure principali del D.Lgs. n.138/24

Segnaliamo in particolare nel decreto

  • Art.7 – L’obbligo dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del Decreto di registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale;
  • Art.8 – il riferimento al trattamento dei dati personali conformemente al decreto legislativo 30 giugno 2003, n. 196 e al regolamento (UE) 2016/679;
  • Art. 24 e 25 dettagliano rispettivamente gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e le notifiche di incidente, oltre che volontaria (art.26)
  • Art.29, le regole per la “Banca dei dati di registrazione dei nomi di dominio”;
  • Art.33 – la norma di collegamento con la disciplina del D.Lgs. n.105/2019 per il “Coordinamento con la disciplina del perimetro di sicurezza nazionale cibernetica”;
  • Art-34-39 sul ruolo di monitoraggio svolto dall’Autorità nazionale  competente  NIS  che  valuta  il rispetto da parte dei soggetti essenziali e dei  soggetti  importanti degli obblighi previsti dall’articolo 7 e  dal  capo  IV (artt. 23 e 33)

A chi si applica il Decreto sulla Cybersicurezza nazionale?

Il decreto ed i principi UE che esso porta con sé riguardano (art.3) i soggetti pubblici e privati delle tipologie di cui agli allegati

  • Allegati I, II, soggetti che superano i massimali per le piccole imprese nei settori ritenuti, rispettivamente, altamente critici e critici
  • Allegati III e IV: le categorie di pubbliche amministrazioni

Il decreto si applica anche, indipendentemente dalle dimensioni

  • ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo, che recepisce la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • ai prestatori di servizi fiduciari;
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • ai fornitori di servizi di registrazione dei nomi di dominio;
  •  alle pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III.

Si veda tutte le categorie nel dettaglio dell’articolo 3 del Decreto.

Come garantire un elevato livello di Cibersicurezza

Il D.Lgs. n.138/24 prevede alcuni strumenti volti ad aumentare il livello elevato di sicurezza informatica del paese, ovvero:

  • la Strategia nazionale di cybersicurezza;
  • l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
  • la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità competente NIS (Nucleo per la cybersicurezza) e punti di contatto unico e Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia); inoltre, l’Agenzia dovrebbe ricoprire funzioni di coordinatore delle Autorità nazionali di gestione delle crisi informatiche su vasta scala;
  • l’individuazione di Autorità di settore NIS che collaborano con l’Agenzia per la cybersicurezza nazionale.

Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica

Il Decreto 138/24, richiede l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che i soggetti essenziali utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Queste misure dovranno

  • assicurare un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
  • essere proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.

Nel decreto 138/24, si fa riferimento ad un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti.

Nel valutare quali misure di siano adeguate, i soggetti devono tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

Inoltre devono tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

Obblighi in materia di notifica di incidente

Nell’articolo 25 del decreto 138/24, si riporta che i soggetti essenziali e impostanti a cui si applica il Regolamento dovranno notificare senza ingiustificato ritardo, al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32.

Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente, ma la notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.

Quando un incidente è considerato “Significativo”?

In base al Decreto (art.25 comma 4) un incidente è considerato significativo se:

a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;

b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Nell’articolo si fa riferimento ad una “pre-notifica” nel caso i soggetti essenziali o importanti vengano a conoscenza dell’incidente significativo che possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero.

Ai fini della notifica dell’incidente, i soggetti devono trasmettere al CSIRT Italia, fra l’altro, anche una relazione finale entro un mese dalla trasmissione della notifica dell’incidente che descriva l’incidente ed il tipo di minaccia, la causa e l’impatto transforntaliero,

Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente significativo, all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

La Timeline per il recepimento della Direttiva NIS2

Posted on by

La Timeline per recepimento della NIS2 è pronto, è stato appena pubblicato in Gazzetta Ufficiale l’attesissimo decreto di recepimento in Italia della Direttiva NIS2, il quale stabilisce misure volte a garantire un livello elevato di cybersicurezza in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Nonostante gli inutili allarmismi che – purtroppo da più parti – si sono sollevati in questi ultimi mesi, occorre chiedersi quali siano realmente gli obblighi a cui gli attori privati e pubblici dovranno adempiere e soprattutto la vera timeline e quali i relativi termini.

Negli ultimi mesi è stato spesso veicolato ad aziende e pubbliche amministrazioni il messaggio fuorviante dell’imminente obbligo di implementare – in alcuni casi, addirittura entro il 17 ottobre 2024 – la Direttiva NIS2 e tutti i suoi onerosi e complessi adempimenti. La realtà dei fatti, tuttavia, è completamente differente.

Infatti, al fine di rendere operativi molti degli obblighi che avranno un impatto diretto sulle aziende e sulle pubbliche amministrazioni – come quello di notifica degli incidenti o di implementazione delle misure di sicurezza – il decreto di recepimento della Direttiva NIS2 richiede l’emanazione di ulteriori e successivi atti normativi. Ad esempio, soltanto entro 6 mesi dall’entrata in vigore del decreto appena emanato potremo conoscere i dettagli degli obblighi rivolti agli organi di amministrazione e a quelli direttivi, così come quelli in materia di misure di sicurezza cibernetica e di notifica degli incidenti. Addirittura, alcuni specifici adempimenti non verranno definiti prima di 18 mesi dall’entrata in vigore del decreto.

Alla luce di ciò, è opportuno sintetizzare una timeline con i principali adempimenti derivanti dal decreto, ordinandoli per data.

  • entro il 31 dicembre 2024, aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato;
  • tra il 1° gennaio e il 28 febbraio 2025, i soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa.
  • entro il 17 gennaio 2025, dovrannoregistrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
  • entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
  • tra il 1° aprile 2025 e il 15 aprile 2025, attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elencodei soggetti essenziali o importanti;
  • entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto;
  • tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.

Chiusa questa fase preliminare, le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel decreto. A tal proposito, a titolo esemplificativo:

  • a partire dal 1° gennaio 2026, si dovrà adempiere all’obbligo di notifica degli incidenti;
  • entro il 1° ottobre 2026, si dovrà adempiere:
    • agli obblighi degli organi di amministrazione e direttivi;
    • agli obblighi in materia di misure di sicurezza;
    • all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.

Stefano Mele e Flavia Bavetta ci spiegano la timeline della NIS2 con questo articolo

Supply chain e Nis2, cosa cambia nel rapporto con i fornitori

Posted on by

Supply Chain, la direttiva Nis2 introduce nuove regole per la sicurezza della supply chain delle infrastrutture critiche o importanti, con conseguenti impatti sulla gestione dei rapporti con i fornitori: ecco quali

a Direttiva Nis2 dell’Unione Europea, in arrivo nell’ottobre 2024, stabilisce nuove regole riguardanti la sicurezza delle supply chain delle infrastrutture ritenute critiche o importanti. Si apre una nuova era per queste organizzazioni e i loro rapporti con i fornitori.

Indice degli argomenti:

  1. Supply chain e Nis2, lo scenario
  2. Impatto degli attacchi cyber alla supply chain
  3. Supply chain e Nis2, cosa cambia
  4. Sanzioni
  5. Supply chain e Nis2, consigli per prepararsi

Supply chain e Nis2, lo scenario

Entro il 2024, è imperativo che la sicurezza della supply chain venga elevata a priorità. Vi è un consenso tra gli enti governativi e gli specialisti del settore sulla necessità di dedicare un’attenzione maggiore alla supply chain. È essenziale che le organizzazioni comprendano appieno le conseguenze negative di eventuali vulnerabilità nella sicurezza della supply chain e sviluppino strategie efficaci per migliorarne la protezione. Inoltre, è fondamentale garantire una diffusa consapevolezza dei rischi associati, in particolare per quanto riguarda le infrastrutture critiche o importanti.

Si ritiene che, secondo quanto affermato recentemente da Mark Ostrowski – Responsabile dell’Ingegneria per gli Stati Uniti, zona est, di Check Point – nel 2024 assisteremo ad attacchi di elevata sofisticatezza e impatto scaturiti dall’impiego dell’Intelligenza artificiale (IA) e dal Machine Learning (ML) in grado di causare violazioni dei dati su larga scala. Basti ricordare quanto accaduto lo scorso giugno 2023 con l’attacco alla supply chain del software MOVEit che ha colpito oltre 130 organizzazioni in tutto il mondo, tra cui Shell, Siemens Energy, Schneider Electric, UCLA, Sony, EY, Aer Lingus, PwC, Cognizant e AbbVie, nonché gli studi legali Kirkland & Ellis e K&L Gates. Inoltre, gli esperti del settore ritengono che ci troveremo a gestire cybercriminali che utilizzeranno sempre più vulnerabilità zero-day e tecniche di phishing per orchestrare attacchi sofisticati alla supply chain.

Impatto degli attacchi cyber alla supply chain

Come già menzionato, l’impatto degli attacchi alla supply chain può essere vasto e avere conseguenze significative. In particolare, la compromissione delle infrastrutture critiche può impedire ai cittadini di una nazione di lavorare, frequentare istituzioni educative o accedere alle risorse necessarie per la sopravvivenza.

L’attacco al Colonial Pipeline del 2021 – che ha causato un panico diffuso riguardante le risorse energetiche e messo a rischio aziende e individui – è diventato un esempio emblematico degli attacchi alle infrastrutture critiche e delle relative conseguenze sulla supply chain, evidenziando l’urgenza di affrontarne proattivamente la sicurezza.
Inoltre, gli attacchi che compromettono le infrastrutture critiche costituiscono una minaccia diretta alla sicurezza nazionale, rendendo una nazione suscettibile a un vasto spettro di aggressioni, sia nel dominio cibernetico sia in quello fisico.

Supply chain e Nis2, cosa cambia

La NIS2, all’interno dell’Unione Europea, prevede specifiche normative concernenti la sicurezza della supply chain. Di fatto, la Nis2 è stata progettata principalmente per proteggere le infrastrutture critiche e, nel medio e lungo termine, si ritiene interesserà tutte le aziende che operano in Europa. Inizialmente, però, si applicherà principalmente agli operatori di infrastrutture critiche (essenziali), e organizzazioni vitali (importanti) per il corretto funzionamento dei sistemi economico, legale e sanitario. Di seguito la definizione delle organizzazioni oggetto delle NIS2 e, precisamente:

  1. Infrastrutture essenziali – Si identificano in grandi imprese attive nei settori dell’energia, dei trasporti, bancario, finanziario, sanitario, della gestione delle acque (sia potabili che reflue), delle infrastrutture digitali, della fornitura di servizi ICT in ambito business-to-business (B2B), aerospaziale e della pubblica amministrazione.
  2. Infrastrutture importanti – Si articolano in sette categorie principali: servizi postali e di corriere, gestione dei rifiuti, settore chimico, industria alimentare, settore manifatturiero, servizi digitali e istituti di ricerca.

Entro ottobre 2024, tutti gli Stati membri dell’Unione Europea dovranno aver recepito i requisiti della Direttiva Nis2 nel loro ordinamento giuridico nazionale, obbligando le organizzazioni interessate a adottare adeguate misure di sicurezza da tale data in poi. Va considerato che l’implementazione di progetti per il rafforzamento della cybersecurity può richiedere tempi significativi, spesso prolungandosi per anni. Attualmente, numerose organizzazioni non sono dotate di un adeguato sistema di gestione della cybersecurity, non raccolgono dati critici per gli indicatori di performance né effettuano audit di sicurezza. Aspetti che assumeranno sempre più un’importanza cruciale in futuro. Pertanto, si raccomanda alle organizzazioni interessate di iniziare immediatamente a prendere seriamente in considerazione l’allineamento ai requisiti della Nis2.

Va enfatizzato, inoltre, che le organizzazioni che trascurano di conformarsi ai dettami della Nis2 rischiano di compromettere le proprie relazioni commerciali. La Direttiva Nis2 sottolinea, infatti, che le misure di sicurezza devono essere estese non solo all’entità stessa, ma anche ai suoi fornitori e subappaltatori che giocano un ruolo essenziale nel garantire l’operatività e la resilienza dell’azienda.

Di conseguenza, qualora un fornitore presenti lacune significative che influenzano la supply chain, l’ente soggetto alla Nis2 sarà costretto a sostituirlo per preservare la sua resilienza operativa.

Inoltre, molte aziende decideranno di interrompere le relazioni con quei fornitori che non dimostrano di poter garantire un adeguato livello di protezione contro gli attacchi informatici.

È doveroso evidenziare che la Direttiva Nis2 estende la sua applicabilità a un numero considerevolmente maggiore di aziende rispetto alle disposizioni attualmente in vigore con la Nis, oltre ad un cambiamento significativo anche per quanto riguarda le dimensioni delle imprese coinvolte, includendo medie e grandi aziende che impiegano 50 o più lavoratori o che registrano un fatturato di almeno 10 milioni di euro, senza distinzione basata sulle prestazioni o sulla struttura organizzativa.

Sanzioni

Il mancato rispetto delle direttive e degli obblighi di segnalazione imposti dalla Direttiva NIS2 comporta l’applicazione di rigide sanzioni. Le aziende che non si adeguano alle disposizioni possono incorrere in multe che possono raggiungere i 10 milioni di euro o il 2% del fatturato globale. Questa misura evidenzia l’alto grado di importanza che l’Unione Europea assegna alla cybersecurity, paragonabile a quella riservata alla tutela dei dati personali.

La Direttiva NIS2, pur introducendo rigide sanzioni e ampliando i requisiti di conformità, rappresenta un notevole passo avanti. Infatti, obbligando le organizzazioni a integrare la cybersecurity nelle strategie operative, consente di mitigare efficacemente le minacce provenienti dal cyberspazio. In prospettiva, questo approccio, non solo rafforza la sicurezza digitale, ma offre anche alle organizzazioni l’opportunità di beneficiare a lungo termine di un ecosistema digitale più protetto e resiliente.

Come garantire la resilienza aziendale

La Direttiva Nis2 supera la mera aspirazione alla prevenzione degli attacchi informatici, un traguardo che si rivela progressivamente utopico di fronte all’aumento degli attacchi e all’evoluzione della sofisticatezza dei cybercriminali. L’essenza della Nis2 risiede nel potenziamento della resilienza aziendale; ciò significa che le organizzazioni devono essere preparate, non solo a resistere agli assalti informatici, ma anche a ripristinare celermente le proprie funzioni, minimizzando gli impatti degli attacchi. In sostanza, l’obiettivo è garantire che gli attacchi informatici, anche quando riescono a penetrare le difese, non abbiano la capacità di compromettere in modo significativo le attività aziendali o governative sul lungo termine. Pertanto, se un’organizzazione si dimostra incapace di offrire tali garanzie, si troverà inevitabilmente esclusa dalla supply chain.

Ne consegue che il top management dovrà riflettere su tre questioni fondamentali, ovvero:

  1. Quando avverrà il prossimo attacco informatico.
  2. Quanto l’organizzazione è sufficientemente resistente e resiliente da poter continuare a operare.
  3. Quanto l’organizzazione sia adeguatamente preparata ad affrontare gli attacchi informatici.

Si tratta, di fatto, di anticipare l’imprevedibile certezza del rischio cyber e strutturarsi adeguatamente

Supply chain e Nis2, consigli per prepararsi

Le organizzazioni interessate, per essere conformi alla Direttiva Nis2, dovranno essere in grado di adottare una risposta proattiva che implica l’adozione di un approccio strutturato e, soprattutto, uno sforzo di preparazione continuo per assicurare che gli attacchi informatici non incidano gravemente sull’operatività aziendale. A tal fine, è essenziale che tali organizzazioni valutino attentamente almeno i seguenti aspetti:

  1. Identificazione degli asset e delle risorse aziendali, comprensione della proprietà, valutazione dei rischi associati e identificazione delle vulnerabilità.
  2. Identificazione dei potenziali bersagli degli hacker all’interno dell’azienda.
  3. Implementazione di sistemi di Identity & Access Management.
  4. Definizione delle modalità e dei luoghi di archiviazione dei dati, nonché delle persone autorizzate al loro utilizzo.
  5. Restrizione dell’accesso agli utenti ai soli dati necessari, con la conservazione di tutti gli altri dati in ambienti protetti.
  6. Valutazione critica dell’opportunità di migrare le informazioni aziendali sul cloud.
  7. Definizione delle procedure e piani di Emergency, Disaster Recovery, Business Continuity Crisis Management, Crisis Communication (che devono sempre essere testati, esercitati e aggiornati) da attuare in caso di attacco informatico 24 ore su 24, 7 giorni su 7.
  8. Analisi dettagliata degli incidenti di sicurezza.
  9. Identificazione di partner in grado di fornire supporto tempestivo in situazioni di emergenza.
  10. Esplorazione di collaborazioni con altre aziende per soddisfare collettivamente i requisiti imposti dalla direttiva.

A fronte di quanto sopra, è quanto mai fondamentale valutare con celerità il livello di maturità informatica di un’organizzazione e procedere alla pianificazione delle strategie di sicurezza e delle capacità di risposta in modo da garantirne una protezione efficace contro gli attacchi informatici e facilitare le lessons learned scaturite da eventuali incidenti pregressi. Ovvero, nell’implementare la Direttiva Nis2, si tratta di adottare un approccio risk-based e resilience-based per garantire la necessaria cyber resilience della supply chain quale intersezione dei principi di Risk Management, Business Continuity e Cybersecurity.

NIS, avrebbe potuto prevenire gli incidenti nell'ultimo anno.

Posted on by

NIS e NIS2, spesso l'UE viene criticata per le tante norme e regole che impone. In alcuni casi, infatti, aziende e intere industrie hanno puntato il dito contro i tanti lacci e laccetti che imbrigliano le imprese, rischiando di porre un freno all'innovazione. Per esempio, è quello che sta accadendo recentemente con l'UE AI Act, contestato dai big del settore (in particolare statunitensi, ma non solo) in quanto considerato troppo limitante per chi sviluppa sistemi di IA. 

Altri regolamenti, però, sono considerati di estrema importanza per il settore di riferimento, come nel caso di NIS 2, un framework di sicurezza progettato per garantire che le aziende che operino in settori critici abbiamo un livello minimo di sicurezza certificato. Secondo un'indagine di Veeam, se già le imprese fosse conformi a NIS 2  lo scorso anno sarebbe stato possibile evitare alcuni incidenti informatici, 

Cosa è NIS 2?

NIS 2 è un set di regole mirato ad assicurare un livello minimo di sicurezza nella aziende che operano in settori critici. NIS 2 non si applica a tutte le imprese, ma solamente quelle sopra una certa dimensione attive in settori specifici: sanità, manifattura, farmaceutico, food & beverage, finanza, Pubblica Amministrazione e via dicendo. E avrà un impatto anche sui fornitori, anche se non direttamente specificati dalla norma. Le aziende che infatti si affidano a questi, dovranno garantire che anche i propri fornitori aderiscano a specifici standard di sicurezza. Sarà in vigore a partire dal 18 ottobre.

Le aziende saranno pronte? Come al solito, no, non tutte per lo meno. Secondo un'indagine svolta da Veeam, infatti, nonostante quasi l'80% delle aziende sia fiducioso nella propria capacità di adeguarsi alle linee guida NIS2, fino a due terzi dichiara che non riuscirà a rispettare questa scadenza. Non è l'unico dato che emerge: secondo l'analisi, solo il 43% dei decision-makers IT dell’area EMEA ritiene che la NIS2 migliorerà significativamente la sicurezza informatica dell'UE, nonostante uno schiacciante 90% abbia segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi. È allarmante notare che il 44% degli intervistati ha subito più di tre incidenti informatici e il 65% di questi è stato classificato come “altamente critico”.

veeam NIS 2

Insomma: ancora oggi, nonostante i dati ci dicano che a livello globale gli attacchi informatici sono sempre più frequenti e impattanti, sono ancora presenti tante aziende che sopravvalutano la loro capacità di reagire a un incidente informatico.

le difficoltà per le aziende durante il processo di adeguamento

Secondo l'analisi di Veeam, condotta su un campione di 500 decision maker in Belgio, Francia, Germania, Paesi Bassi e Regno Unito, le principali sfide includono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l'insufficienza di budget/investimenti (21%). 

Sicuramente la leadership ha le sue responsabilità: NIS 2 non arriva come un fulmine a ciel sereno. Se ne parla da anni, e la sua entrata in vigore era nota da molto tempo. Nonostante questo, molte realtà hanno preferito prendersela con comodo.  Addirittura il 40% degli intervistati ha riferito di aver diminuito i budget IT da quando è stato proclamato l'accordo politico per il NIS2 nel gennaio del 2023. Un atteggiamento decisamente miope, considerati non solo i rischi informatici, ma anche le multe per chi non si adegua, che possono essere molto salate. 

C'è anche un certo scetticismo da parte di numerose imprese: Il 74% degli intervistati ritiene che la NIS2 sia vantaggiosa, ma il 57% dubita che avrà un impatto sostanziale sulla posizione complessiva dell'UE in materia di sicurezza informatica. La sfiducia non è l'unico problema: pesano le tempistiche ristrette (19%), la carenza di competenze specifiche (19%), i silos organizzativi (19%).

Come prevedibile, insomma, in tanti sono arrivati in ritardo all'appuntamento, nonostante le scadenze fossero note da tempo. Un problema dovuto sì alla carenza di budget e competenze interne, ma anche da una consapevolezza ancora bassa sui rischi informatici.

"La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione", afferma Andre Troskie, EMEA Field CISO di Veeam. "Sebbene molte aziende riconoscano l'importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell'indagine evidenziano problemi sistemici significativi. La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l'urgenza. Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell'organizzazione e proteggere i dati critici”.

Security Awareness (Cyber)

Posted on by

Security Awareness è la consapevolezza dei dipendenti aziendali di tutte le possibili minacce e rischi nell'ambito della sicurezza delle informazioni, della sicurezza informatica e della privacy. Si tratta di comprendere le potenziali conseguenze di comportamenti non sicuri e irresponsabili nell'ambiente digitale e fisico. Vuol dire adottare misure proattive per garantire la sicurezza dei dati e prevenire gli incidenti.

Un programma di sensibilizzazione alla sicurezza solido e ben congegnato è sempre più importante per le organizzazioni, indipendentemente dalle dimensioni o dal settore. In un'epoca in cui le minacce informatiche cambiano continuamente e diventano sempre più sofisticate, è essenziale che i dipendenti siano consapevoli dei pericoli e dei rischi per la sicurezza. È importante che sappiano come riconoscere e affrontare potenziali incidenti e minacce informatiche. Attraverso la nostra piattaforma di apprendimento della Security Awareness, disponibile in nove lingue, puoi formare i tuoi dipendenti contro le minacce digitali.

Attivare un programma di sensibilizzazione alla sicurezza informatica aziendale

Maggiore sicurezza digitale

Rendendo i dipendenti consapevoli dei potenziali rischi, le aziende possono migliorare la sicurezza dei loro sistemi e dei loro dati. I dipendenti vengono addestrati a riconoscere le e-mail di phishing, utilizzare password forti, segnalare attività sospette e seguire le procedure corrette per prevenire le violazioni dei dati.

Rischi di attacchi alla cyber security ridotti

La mancanza di consapevolezza in materia di sicurezza può portare errori e omissioni non intenzionali che possono causare incidenti di sicurezza. Rendendo i dipendenti consapevoli delle potenziali conseguenze delle loro azioni, le aziende possono ridurre significativamente il rischio di violazioni di dati, attacchi ransomware e altre minacce.

Protezione della reputazione aziendale

Un attacco di sicurezza riuscito può portare non solo a perdite finanziarie, ma anche a gravi danni alla reputazione. Investendo in un solido programma di sensibilizzazione alla sicurezza, le aziende dimostrano di prendere sul serio la protezione dei dati e di meritare la fiducia dei propri clienti.

Sviluppare una cultura della sicurezza

La Security Awareness va oltre la semplice formazione dei dipendenti, crea una cultura della sicurezza in cui tutti nell'organizzazione fanno la loro parte. I dipendenti imparano non solo ad assumersi la responsabilità di proteggere i dati ma sono anche incoraggiati a essere proattivi nello scoprire e segnalare le minacce digitali.

Svantaggi di una mancanta consapevolezza della sicurezza

Violazioni dei dati

La mancanza di consapevolezza della sicurezza può portare alla divulgazione involontaria di dati sensibili (aziendali/personali). Questo accade, ad esempio, quando i dipendenti inviano accidentalmente informazioni riservate alla persona sbagliata o diventano vittime di attacchi di phishing e condividono inconsapevolmente i propri dati di accesso con i criminali informatici.

Perdite finanziarie

Gli incidenti di sicurezza possono avere conseguenze finanziarie significative per le organizzazioni. Si va dal ripristino dei sistemi dopo un attacco ransomware al pagamento di multe per la mancata conformità alle norme sulla privacy.

Danni alla reputazione

Quando un'organizzazione subisce un incidente di sicurezza può causare una perdita di fiducia da parte di clienti o partner. Riparare una reputazione danneggiata può richiedere molto tempo e potrebbe non essere sempre del tutto possibile.

Implicazioni legali

La mancanza di consapevolezza della sicurezza può portare i dipendenti o le organizzazioni a violare involontariamente la legislazione. La mancata osservanza delle leggi e dei regolamenti sulla protezione dei dati può avere conseguenze legali, come multe e procedimenti giudiziari.

Importanza e consapevolezza della sicurezza sul posto di lavoro

La security Awareness è fondamentale per le organizzazioni nell'era digitale. Investendo in un solido programma di Security Awareness, le organizzazioni possono proteggere i propri dati, ridurre i rischi e promuovere una cultura della sicurezza.

Rendi la tua organizzazione meno vulnerabile alle minacce informatiche. Assicurati di avere un personale ben informato e consapevole che prenda sul serio la protezione delle informazioni (sensibili).

 

ISO/IEC 27001

Posted on by

ISO/IEC 27001 è una certificazione di Sicurezza (Sicurezza delle informazioni, cybersecurity e protezione della privacy); la Direttiva NIS2 fa riferimento specifico a tale standard. Sebbene la ISO/IEC 27001 e la Direttiva NIS2 abbiano scopi diversi, si completano a vicenda in modo efficace. ISO 22301, invece, copre aspetti della gestione della continuità operativa (BCM, Business Continuity Management), il che rafforza ulteriormente l'approccio completo all'implementazione della NIS2.

In primo luogo, è importante notare che il nome completo della ISO 27001 è "ISO/IEC 27001 - Tecnologia dell'informazione - Tecniche per la sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti".

È la principale norma internazionale incentrata sulla sicurezza delle informazioni, pubblicata dall’International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppano norme internazionali.

La ISO-27001 fa parte di una serie di norme sviluppate per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000.

L’impianto ISO e lo scopo della ISO 27001

L’impianto ISO è una combinazione di politiche e processi da utilizzare per le organizzazioni. La ISO 27001 fornisce un impianto per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).

ISO 27001 e GDPR

ISO/IEC 27001 è un punto di partenza per raggiungere i requisiti tecnici e operativi richiesti dal Regolamento generale sulla protezione dei dati (GDPR, anche conosciuto come RGPD) per prevenire una violazione dei dati. Infatti, il Regolamento afferma che le imprese devono adottare politiche, procedure e processi appropriati per proteggere i dati personali in loro possesso.

Nello specifico, un’azienda che ha implementato lo Standard ha già fatto almeno la metà del lavoro richiesto per raggiungere la piena conformità al GDPR, minimizzando il rischio di violazione dei dati.

Il GDPR offre indicazioni su come evitare una violazione dei dati?

L’articolo 32 dichiara che sono necessarie misure tecniche per proteggere i dati e richiede specificatamente alle imprese, a seconda dei casi, di:

  • Adottare misure per la pseudonimizzazione e cifratura dei dati personali;
  • Garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
  • Ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico;
  • Implementare un processo per testare e valutare ad intervalli regolari l’efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.

Inoltre, l’articolo 32 prevede che i rischi derivanti “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale o illegale a dati personali” siano identificati e mitigati.

Sebbene fornisca esempi di misure e controlli di sicurezza, l’articolo non fornisce indicazioni dettagliate su cosa si dovrebbe fare per evitare una violazione dei dati.

Nonostante ciò, il GDPR invita le aziende ad adottare le migliori pratiche e raccomandazioni esistenti in materia, come lo standard ISO 27001.

Come ISO 27001 può aiutarti a rispettare il GDPR

ISO 27001 è uno standard di gestione internazionale che fornisce un quadro comprovato per la gestione della sicurezza delle informazioni. Utilizza un insieme integrato di politiche, procedure, documenti e tecnologie raccomandate sotto forma di un Sistema di gestione della sicurezza delle informazioni (ISMS, conosciuto anche come SGSI in italiano).

NIS 2

Posted on by

NIS 2, non è solo una necessità legale, la conformità alla Direttiva NIS 2 rappresenta un’opportunità per ogni azienda di migliorare la sua sicurezza, efficienza operativa e reputazione. In che modo un consulente guida le aziende attraverso questo processo.

L’evoluzione tecnologica – con particolare riferimento agli strumenti di intelligenza artificiale, ma anche alla connessione costante di tutti i device privati e professionali nonché alla modalità di lavoro agile (smart working) sdoganata durante l’emergenza pandemica – implica un cyber risk sempre più elevato. In questo quadro si inserisce la Direttiva (UE) 2022/2555, meglio nota come Direttiva NIS 2 (Network and Information Security Directive), che – pubblicata in Gazzetta Ufficiale dell’Ue il 27 dicembre 2022 ed entrata in vigore il 17 gennaio 2023 – costituisce un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali.

Di fatto, è stata proprio una rilevante accelerazione del rischio di cybersecurity che ha indotto l’Europa a rivedere in modo profondo la precedente Direttiva NIS 2016/1148, emanando la NIS 2. Compiendo un indispensabile passo in avanti nel campo della resilienza digitale e della gestione delle minacce informatiche. Un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali; un quadro normativo volto a rafforzare la cyberscurity all’interno dell’Ue, con particolare attenzione ai settori critici come energia (tra i temi più attuali c’è la vulnerabilità nel comparto Energy & Utilities), trasporti e servizi finanziari.

Le aziende, dunque, sono chiamate a conformarsi a diversi requisiti fondamentali entro il 18 ottobre 2024, adottando una serie di misure tecniche e organizzative adeguate non solo per proteggere i loro sistemi e dati informatici, ma anche per prevenire (o comunque minimizzare) gli impatti degli incidenti informatici. E per segnalare tempestivamente gli incidenti significativi alle autorità competenti.

Sanzioni per le imprese in caso di mancato adempimento

In particolare, le disposizioni normative della NIS 2 si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”. Soggetti che non operano esclusivamente nei comparti in origine previsti dalla Direttiva NIS (dal settore Energy & Utilities a quello dei trasporti alla sanità), ma forniscono anche una serie di servizi altrettanto critici (a titolo di esempio: quelli postali e dei corrieri; di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica. E ancora, dai servizi legali a quelli della grande distribuzione alimentare).

La Direttiva NIS 2 prevede che gli operatori inclusi nel suo campo di applicazione debbano approntare misure tecniche, operative e organizzative consone e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. E le aziende che non si allineano? Per loro i rischi sono molteplici e (potenzialmente) devastanti. In primis, la non conformità può determinare severe sanzioni legali dirette nei confronti di amministratori e finanziarie (sanzioni che possono incidere significativamente sul bilancio aziendale). Senza un sistema di monitoraggio delle normative e compliance adeguato, infatti, le aziende potrebbero non essere in grado di rilevare in modo tempestivo gli incidenti di sicurezza, con conseguenti danni alla reputazione e una riduzione della fiducia di clienti e partner.

Ulteriore, rilevante aspetto è che gli attacchi informatici possono causare interruzioni operative, con conseguenti perdite economiche e inefficienze. Con l’aumento delle cyberminacce, poi, le aziende non conformi diventano bersagli più facili per gli attaccanti. Infine, l’incapacità di predire e prevenire i guasti attraverso l’analisi dei dati e l’intelligenza artificiale può portare a interventi di manutenzione reattivi piuttosto che proattivi, incrementando i tempi di inattività e riducendo la disponibilità dei servizi. Non tralasciando il fatto che la mancanza di integrazione con i sistemi esistenti all’interno dell’azienda rischia di causare discontinuità nella gestione degli asset, complicando ulteriormente il processo di compliance e gestione del rischio.

Benefici della conformità alla NIS 2

Allinearsi alla Direttiva NIS 2 non solo evita i rischi potenziali, ma offre anche alle aziende una serie di vantaggi strategici e operativi. Certificando un impegno concreto nella protezione dei dati e dei sistemi e aumentando la fiducia di clienti, partner e investitori. Implementare le misure previste dalla NIS 2 – grazie a strumenti e soluzioni tecnologiche mirati –, equivale a rafforzare significativamente la protezione contro gli attacchi informatici, migliorando la resilienza dell’infrastruttura aziendale.

Tra i principali benefici raggiungibili c’è il monitoraggio in tempo reale degli asset aziendali IT (Information Technology), OT (Operational Technology) e IoT (Internet of Things), finalizzato a fornire una visibilità immediata sullo stato dei dispositivi e delle reti (la visibilità costituisce le basi della sicurezza, e offre alle organizzazioni gli strumenti per monitorare, analizzare e tutelare la loro infrastruttura digitale in modo efficiente). Ciò permette di rispondere velocemente ad eventuali problemi, automatizzando le remediation sugli asset aziendali, riducendo i tempi di inattività e migliorando l’efficienza operativa.

La conformità alla NIS 2 da parte delle aziende facilita poi l’adozione di misure avanzate – come la gestione di accessi e identità (IAM) e l’autenticazione a più fattori (MFA) –, che migliorano la sicurezza operativa e riducono i rischi di accessi non autorizzati. L’uso di strumenti specifici per questo contesto permette un’analisi degli eventi e predizione di guasti mediante l’intelligenza artificiale, a vantaggio di interventi preventivi e di una maggiore disponibilità dei servizi.

Inoltre, sarebbe semplificata l’automatizzazione sulla valutazione del rischio (Risk Management), riducendo il carico di lavoro e migliorando la precisione delle valutazioni. Senza dimenticare che, per un’azienda, essere conforme alla NIS 2 agevola anche l’adeguamento ad altre normative di sicurezza e standard internazionali, come l’IEC 62443 (lo standard internazionale per la cybersicurezza dei sistemi di controllo industriale) oppure il NERC CIP (il “Programma di protezione delle infrastrutture critiche della North American Electric Reliability Corporation”, costituito da una serie di requisiti internazionali mirati ad assicurare l’infrastruttura critica per il Bulk Electric System del Nord America).

Affrontare le sfide della cybersecurity

Le imprese sono dunque chiamate a ricoprire un ruolo attivo nella protezione dei propri sistemi informativi, per limitare il rischio di attacchi informatici e assicurare la continuità operativa aziendale. Grazie alla sua vasta esperienza e alla partnership con fornitori di soluzioni tecnologiche avanzate, la MBLI S.a.s. è in grado di assistere le aziende nel percorso di conformità alla Direttiva NIS 2, effettuando – attraverso strumenti automatizzati per il risk scoring delle reti OT – una valutazione completa dei rischi e della conformità Cyber Security. La business unit volta a fornire ai propri clienti e partner una serie di attività e soluzioni che permettano di elevare il livello di sicurezza delle loro infrastrutture, collabora con i fornitori leader per implementare soluzioni di monitoraggio continuo, gestione delle anomalie e segmentazione IT/OT.

MBLI S.a.s. offre soluzioni e consulenza per migliorare la consapevolezza sull’utilizzo dei sistemi informatici all’interno delle organizzazioni (security awareness) e le pratiche da seguire per ridurre al minimo i rischi di cybersecurity. Fornisce supporto costante per il mantenimento della conformità, inclusa la gestione degli accessi ai dati e la loro protezione attraverso crittografia. Un esempio concreto delle soluzioni offerte da Sielte comprende l’adozione di strumenti per il monitoraggio continuativo delle infrastrutture e la rilevazione di cyberminacce industriali, come i sistemi di controllo centrale e i collettori intelligenti per reti industriali distribuite.

Strumenti, questi, che non solo facilitano la conformità alla NIS 2 e ad altri standard di sicurezza, ma offrono anche la possibilità di remediation automatica dell’IT, permettendo di identificare e risolvere rapidamente le minacce. Naturalmente, correlati a questo servizio, MBLI S.a.s. è in grado di erogare i suoi servizi gestiti in ambito cybersecurity e networking, forte delle competenze e partnership di primo livello che caratterizzano l’azienda.

Whistleblowing e GDPR: tutela reciproca, rafforza la privacy

Posted on by

Whistleblowing (Fischietto) e GDPR, con la prossima entrata in vigore, a partire dal 15 luglio, del decreto legislativo n. 24/2023 (DLWB24) di recepimento della normativa UE che aggiorna le disposizioni sulle segnalazioni whisteblowing (WB), entrerà in vigore anche una nuova forma di tutela per la privacy.

Infatti, fra le materie che potranno essere oggetto di segnalazione in ambito whistleblowing rientrano anche espressamente le violazioni inerenti alla tutela della vita privata e protezione dei dati personali (art. 2 comma 1.a.3); peraltro, le norme WB in scadenza, pur nella loro sinteticità non escludono la possibilità di segnalazioni afferenti a violazioni della privacy.

Quello che muta sostanzialmente è che con la normativa europea recepita dal DLWB24, l’ambito di applicazione viene ampliato in maniera notevole (in generale: settore pubblico e privato, diritto nazionale e diritto UE) e le segnalazioni assumono una duplice natura: 1) di strumento di lotta agli illeciti e 2) di diritto alla segnalazione.

Il GDPR è ampiamente richiamato nelle norme sul whistleblowing , ai fini della tutela dei soggetti che effettueranno segnalazioni su presunti illeciti.

Quindi, sotto il profilo privacy, siamo di fronte ad una tutela reciproca e che rafforza la possibilità per chi opera in un contesto lavorativo pubblico o privato, ai sensi dell’art. 3 DLWB24, di contribuire al perseguimento di eventuali violazioni di disposizioni normative nazionali o dell'Unione europea tali da ledere, come recita l’art. 1, “l’interesse pubblico o l'integrita' dell'amministrazione pubblica o dell'ente privato”.

Posta questa cornice, proviamo ad approfondire dal punto di vista privacy quali siano i percorsi per la tutela dei diritti degli interessati.
In generale il GDPR mette a disposizione di ciascun interessato strumenti per la tutela dei propri diritti. L’Autorità Garante, elettivamente, è il soggetto che può provvedere a una prima tutela, mediante gli strumenti:

- i) del reclamo, sulla base dell’art. 77 GDPR e dell’art. 140-bis del Codice privacy (CP), per questioni che attengono a lesioni individuali del diritto alla privacy,
-ii) della segnalazione di questioni attinenti alla privacy ai sensi dell’art. 144 CP, che il Garante potrà considerare per l’esercizio dei propri poteri ai sensi dell’art. 58 GDPR.

Adire il Garante con un reclamo è alternativo per l’interessato, al ricorso all’autorità giudiziaria (cfr anche art. 152 CP) e viceversa. Avverso i provvedimenti del Garante, l’interessato potrà comunque proporre ricorso all’autorità giudiziaria ai sensi dell’art. 10, comma 4, del decreto legislativo 1° settembre 2011, n. 150.

Il CP regolamenta la trattazione di illeciti penali attinenti alla privacy, all’art. 144 bis il revenge porn e agli artt. 167 – 168 talune fattispecie che possono, a seconda delle loro connotazioni, configurare illecito penale, attinenti a: trattamento, comunicazione e diffusione illecita di dati personali, acquisizione fraudolenta di dati personali su larga scala, falsità nelle dichiarazioni al Garante e comunque impedimento ai suoi compiti ed esercizio dei poteri, l’inosservanza di provvedimenti del Garante e violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 38 dello Statuto dei lavoratori - l. n. 300/1970).

Il CP prevede i casi di illeciti penali per i quali è prevista reciproca comunicazione fra Garante e Pubblico ministero.

Il DLWB24 ha fra l’altro aggiornato il CP, che all’art. 2-undecies prevede (a valere dal 15 luglio 2023) la tutela della riservatezza dell’identità della persona che effettua segnalazioni - oltre che ai sensi del DLWB24 - anche ai sensi delle analoghe norme sul whistleblowing previste dal Testo unico delle leggi in materia bancaria e creditizia (d. lgs. n. 385/1993 - artt. 52-bis e ter ) e dal Testo unico delle disposizioni in materia di intermediazione finanziaria (d. lgs. n. 58/1998 – artt. 4 undecies e duodecies).

Il processo delle segnalazioni di whistleblowing, che le organizzazioni pubbliche e private interessate sono tenute ad ammodernare con decorrenza dal prossimo 15 luglio, dovrà essere tale - come prima - da garantire la tutela del segnalante anche sotto il profilo della privacy, oltre a tutelarlo ovviamente da ritorsioni.

Ma quali segnalazioni afferenti alla privacy potrebbero essere veicolate tramite whistleblowing ? Non le questioni lesive della privacy che attengono a un interesse prettamente personale seppur collegato al rapporto di lavoro ma, come evidenziato in premessa, quelle che attengono alla tutela dell'interesse pubblico o dell'integrita' dell'amministrazione pubblica o dell'ente privato (art. 1 DL24).

Quindi, volendo ipotizzare alcune ipotesi per una tassonomia, si potrebbero indicare a titolo esemplificativo i seguenti casi in cui, con le protezioni previste dal whistleblowing , il soggetto legittimato (ovvero, è utile ricordarlo, chi a diverso titolo opera chi opera in un contesto lavorativo pubblico o privato) potrebbe segnalare violazioni whistleblowing :

-i) trattamenti di dati personali esperiti in spregio alle fattispecie penali previste dal CP;
-ii) trattamenti di dati personali particolari per asseriti motivi di pubblico interesse non rientranti nelle previsioni dell’art. 2-sexies del CP;
-iii) trattamenti di dati personali attinenti al rapporto di lavoro con modalità che non siano privacy compliant;
-iv) architettura organizzativa privacy carente (ad es.: mancata o irregolare nomina del RPD nel settore pubblico e, quando previsto, nel settore privato; mancata emanazione delle informative sui trattamenti svolti; sistemi informativi non protetti; mancata cancellazione dei dati personali nei termini previsti; divulgazione dei dati a terzi – magari in Paesi extra-UE, in assenza di idonei accordi; …);
-v) impostazione del WB (canali di comunicazione, gestione delle segnalazioni, tutela della riservatezza,…) tale da non garantire il segnalante.

Certo, alcune delle possibili fattispecie potrebbero interessare direttamente anche il singolo ma la valenza generale renderebbe la questione ammissibile a segnalazione WB.

Una volta fatta la segnalazione, questa andrà trattata secondo le indicazioni del WB e le Linee guida ANAC (che ai sensi del DLWB24 dovrà emanare ulteriori Linee guida per le segnalazioni esterne).

Va da sé che il vaglio delle segnalazioni potrebbe poi avere esito non risolvibile all’interno dell’organizzazione e, quindi, la questione andrebbe rimessa alle Autorità competenti, a seconda della loro natura.

In generale verrebbe coinvolto anche il Garante privacy quando la competenza venisse ritenuta (anche o solo) di sua pertinenza oppure quando, per il tramite dell’A.G., ove la questione venisse segnalata alla stessa e riguardasse le fattispecie penali sopra menzionate.

Dominio, Riassegnazione Nomi

Posted on by

Dominio e la riassegnazione dei nomi, una Procedura che nasce per contrastare il fenomeno del Cybersquatting (accaparramento di nomi a dominio). 
Chi ritiene di aver diritto all'uso di un nome a dominio registrato da altri in malafede, può attivare una procedura per la riassegnazione del dominio in modo semplice, efficace ed economico.

Camera Arbitrale di Milano fornisce un servizio di riassegnazione dei nomi a dominio per l'estensione geografica .IT in quanto accreditata dal Registro del Country Code Top Level Domain .it (Registro del ccTLD "it").
Per le contestazioni riguardanti nomi a dominio aventi altre estensioni (per esempio .com) consulta il database dell'Organizzazione Mondiale Proprietà Intellettuale (OMPI-WIPO).

Scopri chi può attivare la procedura e per quali tipi di controversie.

La MBLI S.a.s. ha trovato per voi questo splendito articolo scritto da Luca Giacopuzzi (avv. del Foro di Verona), che spiega abbastanza semplicemente il fenome dell'accaparramento dei domini.

Articolo Integrale
***

Una parte, coinvolta in un conflitto che ha per oggetto un nome a dominio, ha diverse soluzioni per comporre la lite. La prima, quella più “familiare” ad un giurista, è l’instaurazione di un procedimento giudiziale ordinario. Ma questa, forse, non è l’opzione migliore tra le diverse possibilità che si hanno a disposizione.

Da una lettura complessiva delle decisioni italiane, infatti, si ha la sensazione di trovarsi di fronte ad una giurisprudenza “ondivaga”, di talchè, pur a fronte di identiche situazioni, possono in certi casi ottenersi giudizi discordanti.

Ed allora un soggetto che desideri promuovere una vertenza su un nome a dominio può “guardarsi attorno”, ossia può non rivolgere lo sguardo unicamente verso il Tribunale, perché ci sono dei metodi di risoluzione delle controversie alternativi rispetto alla composizione giudiziale delle liti. Essi sono essenzialmente due: il giudizio arbitrale e la procedura di riassegnazione.

Non mi soffermo sul primo, che – rilevo per inciso – nella realtà concreta dei fatti si è rivelato uno strumento assolutamente insoddisfacente e vado invece ad analizzare la procedura di riassegnazione, la quale è una procedura molto snella e rapida, che – a circa 2 anni dalla sua entrata in vigore – si è messa in luce quale rimedio davvero efficace per combattere il fenomeno del domain grabbing.

Essa ha come scopo esclusivo la verifica del titolo all’uso od alla disponibilità del nome a dominio e l’indagine sulla malafede del registrante: ogni altro tipo di accertamento dovrà essere devoluto ad un giudice od ad un arbitro.

Si tratta, pertanto, di un procedimento speciale col quale si può ottenere solo un provvedimento specifico: la rassegnazione del DN.

La PDR viene gestita da apposite organizzazioni denominate “enti conduttori”, al cui interno operano alcuni professionisti – denominati, con termine piuttosto infelice, Saggi – che materialmente si fanno carico della decisione.

Attualmente gli enti conduttori sono 10 (l’elenco è localizzato in rete a questo URL: http://www.nic.it/NA/maps ), ma va detto che alcuni di essi non hanno ricevuto alcun incarico. In realtà, a voler tracciare un quadro obiettivo della situazione, si deve rilevare che la quasi totalità delle decisioni sono state affidate a 2 solamente: uno che ha sede a Roma, l’altro a Milano. Il primo è CRDD (ex E-Solv), il secondo si chiama Arbitronline.

Per poter chiedere la riassegnazione devono sussistere alcuni presupposti.

Anzitutto, il dominio che si assume essere stato registrato in malafede deve venire “contestato” nei confronti della Registration Authority. E’questo, infatti, il primo “step” che viene imposto a chi voglia intraprendere una PDR. Si tratta, per il vero, di un’azione preliminare molto semplice, che è compiutamente disciplinata dall’art. 14 Reg. Naming. Contestare, in buona sostanza, significa inviare una lettera. Ebbene sì: la contestazione del nome a dominio, infatti, consiste nell’invio di una lettera raccomandata A.R. – debitamente motivata – che il soggetto che assume aver ricevuto pregiudizio dall’assegnazione a terzi di un particolare dominio deve far pervenire alla RA.

La quale, ricevuta la lettera di contestazione, si limita ad aggiungere la annotazione “valore contestato/challenged value” nel RNA; tutto qui, non altro. Ciò però, a ben guardare, comporta conseguenze pratiche di non poco conto, poiché pone seri limiti alla circolazione del dominio, che non sarà più liberamente trasferibile a terzi da parte dell’assegnatario.

Come si ricorderà, per il diritto romano la res litigiosa veniva dichiarata fuori commercio; qualcosa di simile accade nel nostro caso, perché, per effetto della contestazione, il dominio contestato diventa trasferibile unicamente al soggetto che ha posto la contestazione stessa.

Una volta formalizzata la contestazione del DN, entro 6 mesi dovrà essere promossa la procedura di riassegnazione, che – come detto – può portare al trasferimento del nome a dominio che ne è oggetto. Trasferimento – si badi – che verrà disposto solo se venga fornita idonea prova della sussistenza di tutti e tre i presupposti di cui all’art. 16.6 delle Regole di Naming.

Deve, in altre parole, essere dimostrato che:

a) il nome a dominio è identico o tale da indurre confusione con un marchio su cui il ricorrente vanta diritti, o col proprio nome e cognome;

b) il resistente non ha alcun diritto o titolo in relazione al nome a dominio contestato;

c) il dominio è stato registrato e viene usato in mala fede.

Se il ricorrente prova che sussistono assieme le condizioni a) e c) di cui sopra ed il resistente non prova a sua volta di avere diritto o titolo in relazione al nome a dominio contestato, quest’ultimo viene trasferito al ricorrente.

Ciò posto, andiamo a vedere come si faccia in concreto a dar impulso alla presente procedura, avvertendo fin da subito che le modalità operative sono descritte – oltre che nelle Regole di Naming e nei Regolamenti interni predisposti da ciascun Ente Conduttore – anche da un corpo normativo denominato “Procedura di Riassegnazione”, al quale si farà spesso riferimento e che si trova liberamente consultabile in Rete al seguente indirizzo:

https://www.nic.it/NA/riassegnazione-curr.txt

Particolarmente importante l’art. 3 P.d.R, che individua il contenuto del reclamo, che dev’essere inviato dal ricorrente all’Ente prescelto sia in forma cartacea (in duplice copia) sia in formato elettronico. Viene precisato, al 2°comma, che esso può avere ad oggetto anche più nomi a dominio, purchè appartenenti al medesimo titolare.

La 1°parte del reclamo contiene “i dati essenziali” della procedura: si trovano, infatti, le generalità ed i recapiti delle parti.

Nella parte narrativa del reclamo devono invece essere indicati e provati i presupposti sostanziali della procedura la cui prova incombe al ricorrente (e cioè si tratta delle condizioni sub a) e c)). Vanno pertanto indicati i motivi per i quali il nome a dominio risulterebbe identico o confondibile col marchio o col nome e cognome del ricorrente ed i motivi per i quali il resistente avrebbe registrato ed userebbe il dominio in malafede.

In allegato al reclamo devono essere presentati i documenti che lo supportano ed in particolare deve essere fornita la prova della registrazione del segno distintivo o del marchio cui il reclamo si riferisce.

Unitamente al reclamo il ricorrente deve versare il corrispettivo stabilito (il quale varia per ogni Ente Conduttore, che ha facoltà di decidere il prezzo della procedura, col solo limite di non applicare tariffe inferiori a 400 euro). Le spese – è opportuno sottolinearlo – sono ad esclusivo carico del ricorrente, dato che in questa procedura esse non seguono la regola della soccombenza: il resistente, pertanto, non dovrà mai sopportare alcun costo.

Una volta che il reclamo è pervenuto all’Ente Conduttore, questo ne verifica la regolarità formale e, se l’operazione si conclude con esito positivo, procede all’invio del reclamo al resistente.

Il resistente ha così conoscenza del reclamo ed ha da tale momento 25 giorni di tempo per inviare all’Ente Conduttore un proprio scritto difensivo.

Nella replica (che, quanto alle “modalità di trasmissione”, soggiace ai medesimi obblighi già visti per l’invio del reclamo) il resistente deve confutare le affermazioni del ricorrente, evidenziando – in particolare – i motivi per i quali ritenga di avere titolo al mantenimento del dominio già assegnatogli.

Giova ricordare che il resistente non è tenuto ad inviare detta replica, in quanto ha una mera facoltà e non un obbligo di presentare una memoria a sostegno delle proprie ragioni.

“Se il resistente non invia alcuna replica – precisa, infatti, l’ultimo comma dell’art. 5 P.d.R. – il Collegio decide la controversia sulla base del solo reclamo”.

E molto spesso il resistente non presenta alcunché. Trovo, comunque, che sia sempre preferibile far pervenire uno scritto, per mettere il Saggio in condizione di decidere più serenamente. Ovviamente “est modus in rebus”, perché – all’opposto – ci sono irriducibili personaggi che fanno arrivare note difensive davvero bizzarre (giorgio-armani.com: il resistente, giapponese, sosteneva di aver diritto al nome a dominio, perché “giorgio-armani” era il nome… del suo cane!!).

Il Collegio viene formato dall’Ente Conduttore, in forma monocratica o collegiale a seconda della scelta effettuata dal ricorrente che dovrà limitarsi ad indicare il tipo del collegio decidente, senza poter nominare direttamente il Saggio (ciò è peraltro evidente: in caso contrario la parte che promuove la procedura potrebbe praticamente “scegliersi il giudice”. Ed infatti dato che l’elenco dei saggi è pubblico, come pubbliche sono anche le decisioni da costoro rese, sarebbe facile in linea teorica capire quale possa essere l’orientamento più favorevole ad uno specifico caso).

Il Collegio si ritiene costituito con l’accettazione dell’incarico, ricevuta dall’unico Saggio o dal terzo dei tre.

Le modalità di svolgimento della procedura sono stabilite liberamente dal Collegio, il quale deve tuttavia assicurare un trattamento imparziale alle parti, concedendo ad ognuna di esse un uguale diritto di difesa.

Un punto centrale – e che tuttavia non è stato preso in considerazione da parte della dottrina con l’attenzione che invece avrebbe meritato – riguarda l’ampiezza (ed i limiti) dei poteri istruttori del Saggio.

Ci si chiede, in altre parole, se il Saggio, nel decidere la lite, sia vincolato alle allegazioni della parti o possa invece formare il suo convincimento aliunde. La questione, all’evidenza, non è mera disputa accademica, ma problema concreto, pratico. Peraltro molto frequente, perché la parte (che non è tenuta ad avvalersi dell’assistenza di un professionista nella redazione del reclamo o della replica) spesso sorvola su aspetti che avrebbe invece dovuto illustrare compiutamente (per tutti: le ipotesi di malafede). Le regole che disciplinano la procedura sul punto tacciono. Va detto che certa dottrina riconosce al Collegio la possibilità di effettuare d’ufficio le indagini che quest’ultimo ritiene indispensabili per pervenire ad una corretta decisione. Sembra però preferibile – anche per non forzare la lettera delle regole – accogliere l’opposto orientamento e dunque ritenere che il Collegio debba assumere la propria decisione unicamente sulla base delle affermazioni rese dalle parti e dei documenti prodotti (cfr. art. 15 P.d.R).

Potrà il Saggio, eventualmente, richiedere a ciascuna delle parti ulteriori precisazioni e documenti (come previsto ex art. 12 P.d.R.). Anche in questo caso, tuttavia, la laconicità del disposto testè citato non chiarisce se il collegio debba limitarsi a prospettare genericamente ai soggetti in lite di argomentare più diffusamente le rispettive posizioni ovvero se abbia la possibilità di formulare specifici quesiti alle parti (es: se il resistente abbia “fatto incetta” di domini corrispondenti a marchi celebri). Per restare all’esempio fatto, è evidente che, così facendo, il Saggio ricaverebbe preziose informazioni in ordine alla malafede del resistente; e tuttavia non sembra possibile che il Collegio possa arrogarsi tali poteri.

Una caratteristica del procedimento collegiale è la sua celerità, per cui tutti i termini, salvo eccezioni, sono perentori e comportano per chi non li rispetta la decadenza dal potere di compiere quel determinato atto.

Entro 15 giorni dalla sua formazione (30 nel caso in cui siano stati chiesti alle parti chiarimenti) il Collegio rende nota la propria decisione all’Ente Conduttore, che a sua volta provvede, nei 4 giorni successivi, a comunicarla alle parti, alla RA ed al presidente della NA.

E’importante sottolineare che il Collegio può accogliere il ricorso solo nel senso di disporre il trasferimento del DN, mentre null’altro può essere disposto in positivo. Ed infatti nella PDR il ricorrente può solo chiedere il trasferimento del nome a dominio, non anche la cancellazione dello stesso. E’, a mio avviso, un limite della procedura in esame. Sul punto mi limito ad osservare che le “analoghe” procedure amministrative adottate dall’ICANN (le c.d. MAP, che hanno “ispirato” la nostra PDR) prevedono per il ricorrente la sopra evidenziata doppia possibilità (si parla, espressamente, di “transfer” come alternativa alla “cancellation”). E, a quanto mi risulta, in più occasioni il ricorrente opta proprio per la cancellazione (come avvenuto nel caso nokiagirls.com, dominio dal nome equivoco che la Nokia desiderava unicamente venisse “tolto dalla scena”, non essendo evidentemente interessata all’assegnazione dello stesso a proprio nome).

Da noi, come detto, non c’è sulla carta la possibilità della cancellazione del DN, ma un “escamotage” può permettere al ricorrente di ottenere al lato pratico lo stesso risultato. Mi spiego. E’noto infatti che la pronuncia che dispone la riassegnazione non effettua un vero e proprio trasferimento del nome a dominio (cfr. art. 14 Regole di Naming); la RA, ricevuta la decisione, revoca il DN ed invita il ricorrente ad inviare la LAR, per dare così inizio alla richiesta del dominio oggetto di decisione. In particolare, se la procedura per l’assegnazione non viene intrapresa entro 30 giorni il DN può essere nuovamente e liberamente assegnato a chiunque ne faccia richiesta.

Come si vede, se il ricorrente lo desidera può non dar seguito al trasferimento del nome a dominio, lasciando decorrere il periodo di 30 giorni senza attivarsi. Di fatto il dominio è stato cancellato.

Un’altra particolarità della decisione. Se il Saggio ritiene che il reclamo sia stato promosso in malafede (magari per screditare l’assegnatario del DN) nella decisione si fa menzione di tale fatto e questa parte della decisione viene sempre pubblicata, anche qualora la pronuncia non venga resa integralmente disponibile on line.

La ratio di questa previsione è, all’evidenza, quella di disincentivare il c.d. “riverse domain name hijacking”: fenomeno piuttosto diffuso per il quale i titolari di un marchio registrato – il più delle volte “celebre” – hanno tentato di approfittare della loro posizione privilegiata cercando di farsi assegnare un dominio già legittimamente registrato da un terzo, titolare, a sua volta, di un concorrente diritto sul dominio stesso (es.: se Giorgio Armani promuovesse una PDR per armani.it, registrato dall’omonimo timbrificio di Treviglio (BG)). (vedasi, per riferimenti concreti, le decisioni cimone.it, dvditalia.it).

Ricostruito così, nei suoi momenti essenziali, l’iter della presente procedura, andiamo ora ad esaminare più da vicino l’art. 16.6 Reg. Naming, norma davvero centrale per la corretta comprensione della PDR. E’la norma fondamentale, la trave portante dell’impalcatura della PDR, la disposizione che deve avere sempre “sotto gli occhi” il saggio che va a decidere la lite.

Perché, come abbiamo visto, 3 sono i presupposti che sorreggono – da un punto di vista giuridico – il trasferimento del nome a dominio contestato a favore del ricorrente e tutti e 3 tali presupposti sono disciplinati dalla norma poc’anzi citata.

Andiamo, perciò, ad analizzare l’art. 16.6, che individua subito – alla lettera a) – la prima condizione che dev’essere soddisfatta.

a) il nome a dominio contestato dev’essere identico o tale da indurre confusione rispetto ad un marchio su cui il ricorrente vanta diritti, o al proprio nome e cognome.

Il punto a) deve esere dimostrato dal ricorrente nei modi consueti, fornendo prova dell’esistenza di un proprio marchio o del proprio nome e cognome.

Nel silenzio della norma, occorrerà stabilire in concreto se la PDR potrà venire utilizzata, oltre che per tutelare marchi registrati, anche per tutelare marchi di fatto, ragioni sociali o altri segni distintivi (quali il titolo di una testata giornalistica, o uno slogan).

Il fatto che l’art. 16.6 faccia riferimento solo ad un marchio sembrerebbe escludere la possibilità di avvalersi della procedura per difendere ogni tipo di segno distintivo, ma ogni timore viene risolto dalla lettura contestuale dell’art. 3 Proc. Riass., che – nello stabilire il contenuto del reclamo – fa espresso riferimento ai segni distintivi, oltre che ai marchi.

Sempre con riferimento al punto a) devo evidenziare che – a mio parere – a nulla rileva che il marchio sia stato registrato in Italia o altrove, dato che le vigenti regole di Naming richiedono genericamente che il ricorrente vanti diritti su un marchio, indipendentemente dalla Nazione in cui questo è stato registrato.

D’altronde osservo che numerose decisioni relative a TLD “geografici” (e “geografico” è anche il “.it”) hanno disposto il trasferimento di domini in favore di soggetti che avevano dato prova di essere titolari di marchi registrati in Paesi diversi rispetto allo Stato di registrazione del dominio contestato (vedasi – a titolo meramente esemplificativo – le seguenti pronunce, relative al ccTLD “.tv” – Isole Tuvalu, Oceania – nonché al ccTLD “.ws” – Western Samoa, Oceania – : “gomaespuma.tv”, “Halifax.tv”, “nasdaq.tv”, “nokia.ws”, “zippo.ws”). Tutte queste considerazioni sono state esplicitate nella decisione che chi scrive ha reso relativa al dominio “antago.it”, ad oggi l’unica pronuncia italiana che ha dovuto affrontare questo problema.

Passiamo ora all’esame del 2° presupposto richiesto per la riassegnazione del dominio.

La lettera b) testualmente recita: “il resistente non ha alcun diritto o titolo in relazione al dominio contestato”. Sarà, pertanto, onere del resistente dare prova di un proprio concorrente diritto o titolo al nome a dominio, oppure dell’esistenza di una delle circostanze dalle quali l’art. 16.6 u.c. Reg. Naming deduce la presunzione di un legittimo uso del resistente al nome a dominio contestato (es.: egli è conosciuto col nome corrispondente al DN contestato, anche se non ha registrato il relativo marchio, oppure che del DN sta facendo un legittimo uso non commerciale, e così via…).

Come ben affermato dall’Avv.Ziccardi nella decisione “dinersclub.it/dinersclubitalia.it”, le prove previste dalla lett.b) “devono sempre essere tenute in grande considerazione, per evitare che le PDR vengano utilizzate unicamente per garantire al più forte economicamente, quasi d’ufficio, diritti su domini correlatati ai segni distintivi del ricorrente”.

Il 3° presupposto richiede che il DN sia stato registrato e venga usato in mala fede.

E’una condizione molto importante, un aspetto cruciale, e rivela che non ogni ipotesi di contraffazione del marchio sia ritenuta illecita ai fini della presente procedura. In altre parole, non si può colpire con lo strumento della PDR una contraffazione di marchio attuata in buona fede. Si potrà, volendo, adire l’Autorità Giudiziaria ordinaria per vedere applicata la legge marchi, che reprime fenomeni di contraffazione più ampi, perché non dà rilevanza all’elemento soggettivo. Ma questo è un altro discorso, che esula dalla tematica di cui ci stiamo occupando.

Ciò posto, va detto che l’art. 16.7 Reg. Nam. elenca una serie di circostanze che, se dimostrate dal ricorrente, saranno ritenute prova della registrazione e dell’uso del dominio in malafede da parte del resistente (es.:il dominio è stato registrato per essere trasferito a caro prezzo al ricorrente, oppure per impedire al titolare di identico marchio di registrare in proprio tale nome a dominio, ecc.).

La disposizione poc’anzi citata, all’ultimo comma, si affretta però a precisare che l’elencazione delle “presunzioni di malafede” è meramente esemplificativa. Il Collegio potrà, pertanto, rilevare anche da altre circostanze elementi di malafede. Mi sembra corretto. Anzi, personalmente ritengo che, ai fini della procedura in esame, il termine “malafede” vada inteso nella sua accezione più ampia. Il che, per così dire, impone un’indagine “a 360° gradi” sul comportamento del titolare del dominio, al fine di indagare se emerga un “agire scorretto” di quest’ultimo, indice della sua consapevolezza di ledere diritti di terzi.

Così, passando in rassegna la giurisprudenza sul tema, annoto che è stato ritenuto essere in malafede chi registra un DN al solo scopo di impedire al ricorrente di portare sul web il proprio segno distintivo (cioè, come si legge di frequente, di impedire al ricorrente di riflettere sul DN il proprio nome o il proprio segno distintivo legittimamente registrato). (cfr. decisione aol.it)

Altre volte viene vista come indice di malafede – unita ad altre risultanze – la circostanza che il resistente abbia registrato altri domini in nessun modo riferibili alla sua attività, ma relativi a marchi e denominazioni di imprese famose. (barbie.it, pursennid.it, antago.it, ecomusei.it)

In certi casi, è stato considerato sintomo di malafede la detenzione passiva di un nome a dominio (c.d. “passive holding”, termine tecnico utilizzato anche da noi in Italia per definire correttamente tale fattispecie ): la detenzione, cioè, di un dominio cui non sono collegati contenuti raggiungibili tramite il protocollo http. Detto altrimenti – ed in termini più semplici –si tratta della mancata attivazione del sito (classica ipotesi, certamente nota a tutti, è la “pagina bianca” in cui campeggia la scritta “sito in costruzione”). (aol.it, guidasposi.it)

O ancora, per restare in tema, l’attivazione del sito solo in un momento successivo alla comunicazione del reclamo. E’un caso realmente accaduto, e ci si riferisce al dominio avid.it, nel quale – a seguito del reclamo del ricorrente (AVID, multinazionale leader nel settore della fornitura di strumenti audio e video digitali) – il resistente ha attivato un’improbabile pagina web che faceva riferimento ad un ipotetico “Avid – antiarrhytmics versus implantable defribrillators”, a dire del resistente il titolo di un articolo medico pubblicato sul New England Journal of Medicine. Ma anche questo, all’evidenza, si è rivelato uno “stratagemma” davvero poco astuto, ritenuto, invece, elemento di malafede.

Talora, poi, sono le pagine stesse del sito a provare – ictu oculi – la malafede del resistente (spesso, infatti, il sito è stato predisposto con il preciso intento di far credere all’ignaro visitatore di essere entrato nel sito ufficiale del ricorrente). (antago.it)

Tirando ora le fila di quanto fin qui detto sulla procedura di riassegnazione – ed avviandoci a concludere – va osservato che l’ambito della cognizione attribuita al Collegio è limitata all’accertamento della sussistenza dei presupposti richiesti dall’art. 16.6 Reg. Naming per il trasferimento del nome a dominio contestato. Deve essere chiaro, in altre parole, che la PDR è un’alternativa differente, in tutto e per tutto, rispetto alla composizione giudiziale delle liti.

Presentata così, la PDR sembra essere la “panacea” di tutti i mali che attualmente affliggono i domain names, in relazione al domain grabbing.

Indubbiamente, che sia uno strumento efficace è ormai assodato e ciò è testimoniato anche dal crescente successo che la procedura sta incontrando presso il pubblico (ad oggi si contano circa 100 decisioni).

Ovviamente presenta lati negativi (tra cui la possibilità che l’attuazione della decisione sia vanificata dall’instaurazione – entro 15 giorni dalla pronuncia del saggio – di una causa ordinaria dinanzi all’Autorità Giudiziaria), ma senz’altro superiori sono i “punti di forza”: la competenza del saggio, i costi contenuti e la celerità della procedura, abissale se paragonata ai tempi della giustizia ordinaria.

Quindi – e per concludere – invito a considerare che, nell’ambito di una contesa su un dominio, oltre alla composizione giudiziale delle liti, ci sono strumenti di risoluzione alternativi: il giudizio arbitrale e la procedura di riassegnazione, che presenta senza dubbio profili di assoluto interesse.

AnyViewer

Posted on by

Software di Desktop Remoto per Windows

AnyViewer, software di desktop remoto gratuito per Windows 11/10/8.1/8/7 e Windows Server 2022/2019/2016/2012 R2, ti consente di accedere in remoto al tuo PC o server su Internet in qualsiasi momento e ovunque.

Sicuro & Affidabile

Per l'attività di connessione remota, la sicurezza può essere la prima cosa che preoccupano gli utenti. AnyViewer è protetto dalla crittografia Elliptic Curve Cryptography (ECC), il che protegge i tuoi dati da perdite.

Veloce & Stablile

Sviluppato da un forte team tecnico, AnyViewer può aiutarti a completare la connessione remota stabile e veloce da un computer a un altro PC o più PC allo stesso tempo con alta qualità dell'immagine.

Flessibile & Premuroso

L'interfaccia intuitiva e concisa ti aiuta ad accedere il computer a distanza facilmente. Nel frattempo, questo gestore ha i metodi di connessione flessibili, aggiornamenti automatici e supporta lingue multiple.

Hai bisogno di utilizzare i dati essenziali memorizzati sul PC di lavoro quando non sei in ufficio? Non preoccuparti, lo strumento di connessione desktop remoto può essere utile! L'utilità di accesso remoto ti permette di accedere al tuo computer di lavoro da qualsiasi luogo e quindi è possibile utilizzare i file e le cartelle salvate sul PC in ufficio.

Supporto remoto per i tuoi amici o clienti

Hai mai chiesto di insegnare ai vostri amici o clienti a usare un'applicazione quando sei lontani da loro? Perché non utilizzare il gestore di Desktop Remoto per stabilire una connessione desktop remota? Poi, puoi accedere e controllare il computer del tuo amico o cliente e poi offrire loro supporto tecnico direttamente piuttosto che spiegare oralmente.

Controllare a distanza un altro PC

Quando hai bisogno di controllare un altro PC per eseguire applicazioni o giocare, con un software di controllo remoto affidabile e sicuro, si può facilmente accedere e controllare il computer remoto dal desktop o dal laptop e poi si può operare il computer controllato come al solito.

Clicca per scaricare

Cookie, le nuove regole

Posted on by

Cookie, una recente ricerca ha portato alla luce una realtà molto amara: il 97% dei siti web in Europa non rispetta almeno una delle previsioni del GDPR. Il dato è emerso a pochissimi giorni dall’entrata in vigore definitiva delle Nuove Linee Guida del Garante per la protezione dei dati personali in tema di privacy e cookie sui siti web:

le nuove Linee Guida sono già in vigore!

I siti web non in regola sono quindi sanzionabili e webmaster e proprietari possono incorrere in sanzioni fino al 4% del fatturato annuale.

Per approfondire > Garante Italiano: in una pagina a tema tutte le nuove linee guida adottate sui cookie


La conformità in pochi passaggi: con Acconsento.click siamo pronti alla sfida
In vista di questa importante scadenza, ci siamo rimboccati le maniche, abbiamo studiato approfonditamente la nuova normativa e migliorato la nostra soluzione Acconsento.click

Acconsento.click è una soluzione in cloud dotata di uno scan engine che individua i cookie attivi sui siti web e genera un'informativa specifica e personalizzata conforme alle disposizioni del Regolamento Generale di Protezione dei Dati e successive linee guida:

  • dal lato del webmaster, acconsento.click è un piccolo blocco di codice da aggiungere al proprio sito web, generato su misura dopo la scansione automatizzata del sito stesso.
  • per l'utente navigante consente la visualizzazione non solo delle informative, ma anche di esprimere un consenso granulare secondo le proprie volontà. L'utente potrà anche modificare le proprie preferenze in qualsiasi momento, grazie al pannello di controllo che vedrà sempre disponibile sul sito web. Il sito web ne guadagnerà in reputazione verso l'utente, che sentirà tenute davvero in considerazione le proprie preferenze. 

Acconsento.click ha recepito le nuove Linee Guida

Le nuove Linee Guida del Garante sono entrate in vigore il 10 Gennaio 2022: adesso i siti web non conformi sono sanzionabili. Con il supporto di importanti studi legali, abbiamo studiato approfonditamente tutte le novità e le abbiamo integrate in Acconsento.click. Adottare Accosento.click renderà immediatamente conforme alle normative attuali (non solo il GDPR, ma anche le Linee Guida del Garante per la protezione dati personali e dell' European Data Protection Board).

Le novità che abbiamo introdotto non sono soltanto miglioramenti funzionali, ma vengono incontro a PRECISI OBBLIGHI NORMATIVI.

Ecco tutte le novità introdotte:

    • Cookie banner:
      i pulsanti “Accetta” e “Rifiuta” sono stati resi obbligatori. Le informative che non prevedono la possibilità di rifiutare il consenso non sono più legali.
    • Scelte granulari per l'utente:
      l'utente adesso può esprimere scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare.
    • Preferenze modificabili in qualsiasi momento:
      l'utente adesso può aggiornare le proprie preferenze di tracciamento in qualsiasi momento.
    • Raccolta del consenso per scorrimento:
      il consenso via semplice scorrimento del mouse è stato reso non valido, come previsto dalla Nuova Normativa.
    • Stop al cookie wall:
      il cookie wall è stato eliminato. Le nuove disposizioni hanno infatti reso illegale l'obbligo di accettare i cookie per poter accedere ai contenuti di un sito web.
    • Validità delle preferenze dell’utente relative al consenso:
      dopo aver chiesto il consenso la prima volta, viene mantenuto per 6 mesi prima di poterlo chiedere nuovamente, salvo se viene svuotata la cache o se vengono cambiate le preferenze dall'utente stesso. 
    • Prova del consenso:
      Acconsento.click fornisce tutto il necessario per dimostrare, in caso di bisogno, che il gestore del sito ha ottenuto un consenso al trattamento dei dati valido perchè espresso secondo le previsioni del GDPR e delle Nuove Linee Guida Cookie.

Insomma non si potranno più utilizzare i cookie?
No affatto, Acconsento.click tiene conto dell'utilità e del valore che i cookie possono fornire ai gestori di un sito web: ecco cosa sarà possibile fare rimanendo conformi alla normativa vigente

  • Installazione di Cookie statistici (analytics)
    i cookie statistici di prima parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo).
  • Installazione di Cookie statistici di terza parte
    I cookie statistici di terza parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni, che possiamo valutare assieme.

Il tuo sito web è in regola? E quello dei tuoi clienti?
Contattaci, valutiamolo assieme e risolviamo il problema!

Adottare Accosento.click garantisce la conformità alle normative attuali in fatto di privacy e cookie!

StrongBox Cloud PRO

Posted on by

Strong Box PRO

StrongBox Cloud PRO è la soluzione alla perdita o il furto di dati, eventi sempre più frequenti di quanto si possa pensare: sbalzi di tensione, incendi e allagamenti, per non parlare dei furti, sono tutti eventi che accadono improvvisamente e possono causare gravi perdite di dati nella propria struttura informatica.


Con StrongBox Cloud PRO ti permette di pianificare i backup dei dati gestiti all'interno della tua organizzazione con la massima semplicità e sicurezza mettendo al sicuro i tuoi dati, custodendoli in forma crittografata su server remoti e garantendoti di poterne rientrare in possesso rapidamente in caso di necessità.

StrongBox Cloud PRO rende la tua organizzazione conforme all'Art.32 del GDPR - Sicurezza del trattamento: "il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico"

Come funziona StrongBox Cloud PRO

StrongBox Cloud PRO ti libera da qualsiasi preoccupazione perché archivia e protegge i tuoi file dopo averli portati in Cloud.

-Ripristina i tuoi dati: Consente di ripristinare i tuoi file in caso di disastro dovuto a guasto, attacco virus, evento accidentale ed anche in caso di errore umano.

-Crittografia sicura: StrongBox Cloud PRO garantisce la sicurezza dei file conservati 24 ore su 24, tramite l'uso di AES 256, uno dei più potenti algoritmi di crittografia in circolazione.

-Rispetto della Privacy: Una protezione completa dei dati: file, cartelle, posta elettronica. StrongBox Cloud PRO conserva i tuoi dati nel totale rispetto delle normative nazionali ed europee sulla privacy.

-Sempre disponibile: StrongBox Cloud PRO permette di visualizzare e condividere i file archiviati nel cloud, da qualsiasi luogo, da qualsiasi browser e da qualsiasi device - anche dal tuo tablet o smartphone - attraverso l'app dedicata.

Rischi di perdita dei dati

  • Guasto del disco

  • Criptazione da ransomware

  • Furto del device

  • Crash del sistema

  • Errore umano

  • Virus

  • Corruzione dei files

  • Incendio

  • Allagamento

Contattaci per saperne di più del nostro servizio di Backup in Cloud oppure per conoscere altri nostri prodotti e servizi Clicca qui.

Comunicazione DPO

Posted on by

Comunicazione DPO al Garante Privacy, la procedure online semplifica la comunicazione.

La procedura online è disponibile oltre che per pubbliche amministrazioni, anche per le imprese tenute alla nomina del DPO, responsabile della protezione dei dati, devono utilizzare per effettuare le dovute comunicazioni al Garante Privacy. Si tratta, lo ricordiamo, dell’adempimento previsto dall’articolo 37 del GDPR, il tanto atteso Regolamento UE che entra in vigore in tutti gli Stati Membri il 25 maggio.

La procedura per la comunicazione dei dati del DPO (RPD – Responsabile Protezione Dati), è disponibile online sul sito dell’Authority. Nei giorni scorsi, il Garante aveva pubblicato un fac-simile della comunicazione, puramente esemplificativa, per consentire ai soggetti coinvolti di familiarizzare con l’adempimento.

Dati richiesti

Il modulo da compilare si compone di quattro parti. Nella sezione A si inseriscono altri dati relativi al soggetto che effettua la comunicazione. E al momento che il titolare del trattamento è l’impresa o il professionista tenuto alla comunicazione dei dati o la pubblica amministrazione, la comunicazione sarà effettuata dal legale rappresentante dell’azienda o dell’ente, o da un suo delegato. Bisogna indicarne cognome, nome e indirizzo di posta elettronica. Se la comunicazione è effettuata dal rappresentante legale, bisogna indicare anche nome e cognome del delegante.

La sezione B è dedicata al titolare o responsabile del trattamento. In base alla definizione contenuta nel GDPR, il titolare del trattamento è:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il responsabile del trattamento è :

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Si barra la casella relativa all’iscrizione o meno agli indici nazionali dei domicili digitali e poi si compilano i campi seguenti: denominazione, codice fiscale o partita IVA, e via dicendo. Se il soggetto risulta iscritto agli indici nazionali, è obbligatorio indicare l’indirizzo PEC (posta elettronica certificata), mentre la mail ordinaria è facoltativa. Viceversa, per coloro che non sono iscritti agli indici nazionali, o che operano in altri stati, è obbligatorio compilare il campo dedicato all’e-mail mentre è facoltativa la PEC.

I gruppi imprenditoriali, dovranno compilare anche l’apposita sezione B1, segnalando se il soggetto che effettua la comunicazione è la controllante, una controllata, o se non fa parte di un gruppo imprenditoriale che si è avvalso della designazione del RPD di gruppo.

 

La sezione C riguarda il Responsabile della Protezione Dati (Data Protection Officer). Si indica innanzitutto se il soggetto è interno o esterno (in questo caso, bisogna anche specificare se si tratta di persona fisica o giuridica) e quindi si compilano i campi relativi alle sue generalità e ai dati di contatto.

 

Infine, la sezione D è dedicata alle modalità con cui il titolare dei dati decide di pubblicare i dati di contatto del DPO (sito web o altro).

 

Dopo aver compilato e inviato il file digitale, arriva una mail con un file allegato, che va sottoscritto con firma digitale o firma elettronica qualificata e inviato in formato CAdES, il tutto entro 48 ore. Il file così inviato costituisce l’avvenuta comunicazione: verrà analizzata dal Garante, che può rigettarla o accoglierla.

Attenzione: è molto importante che il file firmato digitalmente corrisponda perfettamente a quello contenuto nella mail inviata, quindi il consiglio è di non aprire il file ricevuto, limitandosi a salvarlo in locale e ad apporre la firma digitale, per non rischiare di vedersi rifiutare la domanda. L’eventuale rigetto è comunicato via mail (all’indirizzo indicato nella sezione A del modulo).

Se invece la comunicazione viene considerata valida, il soggetto che ha effettuato la comunicazione riceve (sempre via mail), un numero di protocollo utilizzato per la registrazione dei dati comunicati. Il titolare del trattamento riceve, all’indirizzo di posta elettronica indicato nella sezione B, un documento informatico con le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati. Il soggetto designato come responsabile del dati riceverà, mediante comunicazione inviata all’indirizzo PEC indicato al punto 5 della sezione C, un documento informatico contenente le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati.

Il numero di protocollo diventa il riferimento per tutte le successive comunicazioni con il Garante privacy.

Green Pass, la soluzione

Posted on by

Green Pass, il famigerato "biglietto verde", sta facendo impazzire imprenditori e pubbliche amministrazioni.

I consulenti inviano continuamente registri e modelli, i responsabili del G.D.P.R., informative e lettere di incarico, alcuni favorevoli al registro dei controlli, altri sfavorevoli.

La maggiore difficoltà si incontra per il titolare, nel dover/poter verificare nel più breve tempo possibile l'effettiva validità del Grenn Pass.

La soluzione oltre ad esistere, è anche facilmente percorribile ad un costo accessibilissimo. Viene in nostro aiuto una soluzione sviluppata da una azienda Leader nel settore della gestione delle presenze.

Parliamo di Libemax S.r.l., azienda Bergamasca, specializzata nella gestione delle problematiche legate alle timbrature, presenze, controllo accessi e gestione.

Libemax ha ideato svariate modalità per supportare, sistemi che non richiedono la presenza di un operatore dedicato (a differenza di App Verifica C19).

Usando l'algoritmo della validazione europea, il Lettore Green Pass consente la verifica di tutti i certificati rilasciati in Europa e, garantendo al 100% la tutela della privacy, non memorizza in alcun modo i dati sanitari e sensibili.

Come da DPCM del 12 ottobre 2021:
Oltre all’app "VerificaC19", saranno rese disponibili per i datori di lavoro, pubblici e privati, specifiche funzionalità che consentono una verifica quotidiana e automatizzata del possesso delle certificazioni. Tali verifiche potranno avvenire attraverso: l’integrazione del sistema di lettura e verifica del QR code del certificato verde nei sistemi di controllo agli accessi fisici, inclusi quelli di rilevazione delle presenze, o della temperatura;

Grazie all'integrazione con App Rilevazione Presenze, prima di ogni timbratura di ingresso al dipendente viene richiesto il Green Pass. Se il certificato è memorizzato sul dispositivo della persona, il processo è automatico.

Ecco le due soluzioni cheil nostro partner Libemax ha ideato:

Funzionalità Presenze

Ogni giorno, alla prima timbratura, verrà richiesto al dipendente di scansionare il QR Code o di caricarlo da galleria (immagine o PDF).

Per tutte le successive timbrature della giornata non sarà più richiesto nulla.

Il giorno successivo, alla prima timbratura, verrà selezionato in automatico il Green Pass verificato il giorno precedente (non viene memorizzato sui nostri server, ma sul dispositivo del dipendente). Se valido non verrà segnalato nulla, al contrario sarà richiesto di aggiornarlo.

Da pannello web sarà possibile vedere lo stato dei certificati dei dipendenti della giornata e i dati anonimizzati dei giorni precedenti.

Sono a disposizione API per collegamenti con sistemi esterni.

Timbratrice mobile

Dopo aver passato il badge, ad ogni timbratura di ingresso verrà richiesto di mostrare il Green Pass. Se il certificato non è valido verrà impedita la timbratura.

Da pannello web sarà possibile vedere lo stato dei Green Pass dei dipendenti della giornata e i dati anonimizzati dei giorni precedenti.

Sono a disposizione API per collegamenti con sistemi esterni.

Non esitare a contattare i nostri esperti per fissare un appuntamento gratuito ed una dimostrazione pratica, potete anche inviare una email a greenpass@mbli.it, sarete ricontattati al più presto.

Telemarketing selvaggio: il Garante sanziona tre call center

Posted on by

Telemarketing selvaggio, il Garante sanziona tre Call Center, questo è il titolo che oggi compare tra le news del sito del Garante della Privacy.

Si iniziano a vedere il primi controlli dell’organo di controllo che per vari fattori ancora non sono entrati nel vivo; un pò per la pandemia, un pò per il ritardo nella partenza, di fatto le aziende che oggi si sono adeguate al G.D.P.R., sono veramente poche, in particolare qui al “SUD”, dove tutto è sempre più “complicato”.

Riportiamo per comodità il testo integrale riportato tra le news del sito del Garante, ricordando che il telemarketing è un servizio sempre più a rischio di violazione privacy.

Telemarketing selvaggio, il Garante sanziona Call Center, il titolo che compare tra le news del sito del Garante della Privacy.

Telemarketing selvaggio: il Garante sanziona tre call center

I primi provvedimenti dell’Autorità dopo quelli sulle compagnie telefoniche

Rispettare la volontà degli utenti di non essere più disturbati, effettuare telefonate di marketing solo con preventivo specifico consenso, adottare adeguate misure tecniche e organizzative per rispettare la privacy degli utenti. Queste sono alcune delle prescrizioni, in aggiunta a sanzioni pecuniarie, che il Garante per la protezione dei dati personali ha imposto a tre società di call center che disturbavano con offerte commerciali indesiderate decine di migliaia di utenti.

[VEDI PROVVEDIMENTI DOC. WEB N. 9577042, 9577065 E 9577371] .

Dopo le sanzioni alle compagnie telefoniche che avevano commissionato ai call center campagne promozionali senza adeguate istruzioni e controlli, l’Autorità ha effettuato verifiche sull’operato delle società incaricate delle attività di telemarketing.

Dalla complessa attività istruttoria e ispettiva del Garante è emerso che i tre call center avevano chiamato numerose persone non incluse nelle liste ufficiali fornite dal committente, utilizzando delle cosiddette utenze ‘fuori lista’.

I numeri telefonici fuori lista erano spesso riferibili a utenti che non avevano fornito un libero e specifico consenso a essere contattati per promozioni commerciali o si erano appositamente iscritti nel Registro pubblico delle opposizioni. In molti, tra l’altro, avevano più volte manifestato agli operatori dei call center o della società committente la volontà di non essere più disturbati e di essere inseriti nelle cosiddette black list.

Alcuni numeri telefonici utilizzati per le chiamate commerciali, inoltre, non appartenevano a utenze “referenziate”, ovvero suggerite da qualche familiare o conoscente, ma erano di provenienza incerta o non verificata e documentata.

Il Garante ha poi rilevato la violazione del principio di privacy by design, ossia la mancanza di un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati previsti dal Regolamento Ue (Gdpr).

Nel calcolare l’ammontare delle sanzioni, l’Autorità ha tenuto conto, tra i vari aspetti, del differente livello di gravità delle violazioni commesse dai tre call center e della cooperazione offerta all’Autorità, ma anche del periodo di grave crisi socio-economica collegata all’emergenza pandemica.

Il primo call center ha commesso il maggior numero di violazioni. Ha, tra l’altro, disturbato un numero più significativo di persone e con un’elevata frequenza, tanto che un utente è stato contattato, nonostante la sua opposizione, anche 155 volte in un mese. Dovrà quindi pagare una sanzione di 80.000 euro.

Anche il secondo call center ha presentato criticità di sistema, relative in particolare alla carente verifica della liceità dei dati contenuti nelle liste di contatto acquistate da imprese terze, anche in relazione alla validità dei consensi forniti per il marketing. Durante l’istruttoria il call center ha, però, affermato di aver proceduto alla nomina di un nuovo Dpo e di aver intrapreso un percorso di complessiva revisione della propria strategia commerciale e della privacy policy. Alla società è stata comminata una sanzione di 15.000 euro.

Al terzo call center è stata contestata una sanzione minore, essendosi adoperato per gestire il problema delle liste di utenze telefoniche “referenziate” tenendo traccia di alcuni elementi come l’origine dei dati e gli operatori che avevano lavorato sulle specifiche utenze. La società, in fase di cessazione delle attività e di liquidazione volontaria, dovrà pagare una sanzione di 5.000 euro.

In tutti e tre i casi, il Garante non ha ritenuto validamente utilizzata la base giuridica del legittimo interesse, ha vietato l’ulteriore utilizzo per il marketing dei dati trattati illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto trattamento, con particolare riguardo ai dati ‘fuori lista’ e a quelli presenti in black list.