Qlocker, dati criptati da ransomware con riscatto in Bitcoin

Posted on 22 Aprile 2021 by

Qlocker, è il nome del ramsonware che attualmente sta effettuando un’enorme campagna di contagi, che ha come obiettivo quello di crittografare i dati degli utenti che utilizzano dispositivi di archiviazione di tipo NAS, in particolare a marchio QNAP.

Gli aggressori utilizzerebbero 7-zip per la compressione dei dati in archivi protetti da password e chiederebbero il pagamento di un riscatto in Bitcoin.

Il ransomware che sta terrorizzando gli utenti QNAP sin dal 19 aprile scorso (2021) viene identificato con il nome di Qlocker. Secondo quanto spiegato dai colleghi di BleepingComputer, il ransomware sarebbe in grado di utilizzare 7-zip per spostare tutti i dati degli utenti all’interno di archivi compressi e protetti da password.

Mentre l’attacco da Qlocker è in corso, il gestore delle risorse dei NAS QNAP mostra numerose istanze di 7-zip (7z) in esecuzione da riga di comando.

Quando il ransomware Qlocker termina la propria procedura, i file del dispositivo QNAP sono memorizzati in archivi 7-zip protetti da password dall’estensione .7z. Per estrarre questi archivi, le vittime devono inserire una password conosciuta solo dall’attaccante.

Dopo che i dispositivi QNAP sono criptati, gli utenti vengono lasciati con una nota di riscatto chiamata “!!!READ_ME.txt” che include una chiave client unica che le vittime devono inserire per accedere al sito di pagamento Tor del ransomware. A tutte le vittime viene detto di pagare 0,01 Bitcoin, l’equivalente di circa 450 euro al momento della scrittura di questo articolo, per ottenere la password necessaria a liberare i propri dati.

Recentemente QNAP ha risolto alcune vulnerabilità critiche che potrebbero consentire agli aggressori di ottenere l’accesso completo a un dispositivo ed eseguire un ransomware. QNAP ha risolto queste due vulnerabilità chiamate CVE-2020-2509 e CVE-2020-36195 il 16 aprile.

QNAP ha risposto alle domande di BleepingComputer affermando che è possibile che Qlocker sfrutti la vulnerabilità CVE-2020-36195 per eseguire il ransomware sui dispositivi vulnerabili. È dunque fortemente raccomandato l’aggiornamento di QTS, Multimedia Console e Media Streaming Add-on alle ultime versioni.

Questo ovviamente non riporterà indietro i vostri file ma vi proteggerà con molta probabilità da futuri attacchi che utilizzano tale vulnerabilità.

Obblighi legali siti WEB

Posted on 15 Aprile 2021 by

obblighi e leggi per non rischiare sanzioni, la normativa sui siti web è chiara

Aprire un sito web è un’avventura fantastica, che però ha i suoi lati noiosi legati alla burocrazia. Quando si deve pubblicare un progetto online è necessario attenersi alla normativa italiana ed europea relativa alle pubblicazione di contenuti web e al commercio elettronico. Facciamo una rapida analisi della disciplina che regolamenta i comportamenti delle aziende che decidono di lavorare online.

I dati della tua azienda: come e dove indicarli sul web

Secondo l’Art. 2250 del Codice Civile, tra gli obblighi troviamo i dati societari devono essere obbligatoriamente comunicati online. Ma quali informazioni bisogna comunicare? Dipende dalla natura giuridica dell’azienda:

Le Ditte individuali devono indicare la Partita Iva nel sito aziendale (inclusi i siti utilizzati per motivi pubblicitari).
Le Società di persone costituite da due o più soci devono comunicare sia negli atti che nella corrispondenza (fatture, DDT) questi dati: la ragione sociale, la sede dell’azienda, codice fiscale/partita Iva, sede del Registro delle Imprese a cui si è registrati e numero di iscrizione e (se esiste) lo stato di liquidazione dell’azienda.
Società di capitali di cui fanno parte le Società per Azioni (S.P.A.), le Società a Responsabilità Limitata (S.R.L.) e le Società in Accomandita per Azioni (S.A.P.A.) devono segnalare negli atti, nel sito web, nella corrispondenza (fatture, DDT ed e-mail), nelle pagine aziendali sui social media:

Cosa Comunicare?

Ragione sociale
Sede della società
Partita Iva/ Codice Fiscale
Dati relativi al Registro delle Imprese ovvero l’ufficio e il numero di registrazione
Capitale sociale relativo all’ultimo bilancio
Eventuale stato di liquidazione o stato di società singola

Se non si rispettano queste disposizioni si rischiano delle sanzioni tra i 206 e 2.065 euro inviate dalla Camera di Commercio. Mica male.

E-Commerce: cosa devi sapere se vuoi vendere online, obblighi da rispettare

Il commercio elettronico è regolato dalla normativa comunitaria a cui sono legati i 28 stati membri dell’Unione Europea, vediamo i punti principali della normativa:

La direttiva europea 2011/83 detta le leggi del risarcimento: il termine per restituire la merce è di 14 giorni. Le merci si possono restituire anche nel caso si cambi idea o per qualsiasi altra ragione. Eventuali costi di restituzione a carico dell’utente devono essere specificati in anticipo ovvero al momento dell’acquisto o in una pagina apposita dell’e-commerce.
I dati del rivenditore e del prestatore devono essere resi pubblici, anche il numero di iscrizione al Registro delle Imprese e l’indicazione degli estremi del responsabile in caso di attività soggette a licenza e altra concessione.
Per eventuali extra è vietato ricorrere a caselle preselezionate, come succedeva una volta. Le caselle che elencano i servizi extra devono essere deselezionate di base, sarà poi il cliente a cliccare sui servizi aggiuntivi che desidera acquistare.
Il prezzo dei prodotti deve essere chiaro. I costi aggiuntivi devono essere specificati al momento dell’ordine e non al momento del pagamento.

Trattamento della Privacy e i Cookie: tutela i tuoi clienti

I dati sensibili dell’utente che accede o acquista sul sito o che rilascia durante telefonate o altra corrispondenza sono assolutamente riservati. Uno spazio del sito web deve essere destinato all’informativa sulla tutela della privacy. La mancata pubblicazione può dare avvio a sanzioni che vanno dai 6.000 ai 36.000 euro. Per utilizzare i dati dell’utente è necessario un consenso informato, che deve essere dato dopo la lettura di tale informativa. Tra gli obblighi troviamo dal 2012 il comunicare l’uso dei cookies, strumenti che memorizzano i dati di navigazione.

Fusioni e scissioni: puoi comunicarle anche online

Ulteriori obblighi porta il Decreto Legislativo n. 123 del 22 Giugno 2012 che tra le più importanti novità che permettono di raggirare la burocrazia e velocizzare il processo di fusione o scissioni di una società. Se prima si potevano realizzare con con una comunicazione al Registro delle Imprese da qualche anno si possono pubblicare sul sito web aziendale ma questi documenti devono essere autentificati con firma digitale e marcatura temporale.

Se desideri gestire un sito web devi conoscere anche questi lati meno divertenti, ma sempre utili per non rischiare brutte sorprese. Per approfondire l’argomento ti consigliamo di visitare la pagina dedicata alla creazione di nuove imprese in Europa, dove potrai trovare tanti spunti per migliorare il tuo progetto imprenditoriale dal punto di vista legislativo.

PSD2, cosa cambia?

Posted on 8 Marzo 2021 by

PSD2, porta diverse novità nella gestione dei pagamenti e del denaro.

In un mondo sempre più complesso, consumatori e aziende sono alla ricerca di servizi finanziari che possano aiutarli a perseguire i propri obiettivi.
La rivoluzione del settore dei servizi finanziari è appena cominciata: l’open banking consente ai provider di trasformare il modo in cui persone e imprese gestiscono il denaro.
I clienti potranno avere offerte personalizzate e costi inferiori, mentre i sistemi bancari dovranno abbracciare il concetto di apertura e digitalizzazione.
Non solo, saranno notevolmente rafforzate le misure di sicurezza. Questo grazie a nuovi standard di autenticazione per limitare il rischio frodi.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco. Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l'indirizzo di spedizione, l'ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

La MBLI S.a.s. di Marchese Daniele Rosario, è partner di player attivi in UE, Aruba Enterprise è Qualified Trust Service Provider nella OBE Directory con CA Actalis e Aruba PEC, per la fornitura di QWAC e QSealC service.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

PSD2, vantaggi e tecnologia

Clienti, banche, operatori terzi

La sicurezza, tutti i giorni

E-commerce: maggiore sicurezza nelle transazioni online

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l'indirizzo di spedizione, l'ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

VPN, cos'è e come funziona

Posted on 20 Marzo 2020 by

Le Virtual Private Network (VPN) rappresentano un modo per estendere l’accessibilità delle reti aziendali anche a utenti remoti e altri siti dell’impresa in modo il più possibile sicuro, flessibile ed economico. Possono essere oggi implementate in diverse modalità per venire incontro alle specifiche esigenze degli utenti.

Quasi tutte le aziende che hanno una rete informatica interna, con computer, server e sistemi di archiviazione dei dati, hanno anche anche dipendenti o collaboratori che si trovano a lavorare (stabilmente o temporaneamente) in mobilità o da casa. Molte hanno anche sedi distaccate, più piccole di quella centrale, quali uffici periferici, punti vendita, magazzini o stabilimenti. Da anni esiste la tecnologia VPN (Virtual Private Network) per risolvere queste problematiche. Vediamo di cosa si tratta.

Cos’è una VPN e a cosa serve

Il significato di VPN è Virtual private network ed essa consente alle aziende di ampliare praticamente senza limiti geografici la propria rete privata centrale, creando una “rete virtuale privata”, che permette a utenti e siti periferici (branch) di connettersi al “major network” aziendale attraverso reti IP geografiche noleggiate da provider di telecomunicazioni, basate sul protocollo Mpls (Multiprotocol Label Swithcing), o reti pubbliche e condivise come Internet e le piattaforme cloud.

Grazie alle VPN Mpls o quelle over Internet, gli utenti remoti o i siti esterni di un’azienda possono collegarsi, da qualsiasi parte del mondo, in qualunque momento e con i dispositivi più disparati, alla LAN (Local area network) delle proprie sedi aziendale, in modo sicuro e il più possibile economico. Nell’ambito di queste connessioni, i client possono stabilire comunicazioni con un singolo computer o con tecnologie condivise con altri utenti quali un server applicativo, un database, un NAS (Network Attached Storage), stampanti e così via.

Cosa significa tunneling?

Alla base del funzionamento di una Virtual Private Network vi è la creazione di un tunnel (ovviamente virtuale) all’interno del quale due o più partecipanti a una sessione virtual private network possono scambiarsi dati al riparo da occhi indiscreti. Per la creazione di questo canale privato, pur utilizzando un’infrastruttura condivisa, è necessario un protocollo di tunneling. Di queste tecnologie oggi ne esistono di diverse, ma tutte hanno in comune alcuni aspetti.

Ecco come funziona una VPN

Innanzitutto nel data center dell’azienda, o nel suo private cloud (nel caso si abbia optato per questa soluzione) deve essere installato un server VPN, chiamato anche Virtual private network Hub o Central Hub, su cui sono gestiti tutti e tre i livelli del framework di sicurezza di una Virtual Private Network:

un sistema di autenticazione degli utenti,
un layer per la gestione dei metodi di cifratura dei dati scambiati fra i vari nodi della rete,
un firewall che controlla gli accessi alle diverse porte delle reti.

Il VPN Hub deve essere anche connesso a un router e a uno o più switch che permettono l’assegnazione di indirizzi IP pubblici (statici o dinamici) a tutti i partecipanti della VPN (dati che devono necessariamente essere presenti negli header dei pacchetti incapsulati nei tunnel).

Quindi, tutti i dispositivi che gli utenti intendono utilizzare devono essere dotati di un client VPN, che può anche essere:

un’applet nativa del sistema operativo del dispositivo;
un software o un estensione per il browser scaricabile dal sito del gestore di servizi VPN;
un agente software fornito insieme a un hardware che supporti la creazione di queste reti (router, firewall, NAS, etc);
un programma sviluppato da un vendor di sicurezza.

Tipi di VPN per topologia

Virtual Private Network è un modo di utilizzare le reti condivise e pubbliche globali per ampliare in modo controllato e protetto i confini di un major network aziendale privato, ma non significa un unico tipo di tecnologia e di implementazione.

Da un punto di vista delle topologie di VPN possiamo identificarne due tipi, spesso compresenti nella stessa azienda:

le VPN remote access, è la tipologia più semplice e comune e prevede esclusivamente la possibilità che alcuni utenti possano connettersi da remoto al major network dell’azienda.
le VPN site-to-site permettono di creare tunnel, attraverso reti pubbliche e condivise, fra siti aziendali diversi.

Questo tipo di VPN, dal punto di vista topologico, utilizza solitamente il modello hub-and-spokes. Il nome deriva dall’analogia con la ruota di una bicicletta. In questo caso l’hub (mozzo) è il major network aziendale, presso il quale si trova il server VPN. Gli spoke (raggi) sono le reti geografiche (MPLS o Internet) utilizzate per connettere al major network le sedi remote. Anche presso quest’ultime possono essere implementate soluzioni di Virtual Private Network che permettono l’accesso ai loro server da parte di utenti remoti o ulteriori branch che – a cascata – possono anche essere reinstradati verso il major network della sede centrale.

Tipologie di soluzioni per sicurezza, amministrazione e flessibilità

Oltre alle differenze topologie, esistono fra le Virtual Private Network anche diversità in funzione del livello di security e non solo. In particolare le VPN si suddividono in tre principali categorie: Trusted VPN, Secure VPN e Hybrid VPN.

Trusted VPN

Le Trusted VPN sono reti private virtuali in cui non è previsto un tunneling crittografato. Tradizionalmente appartengono a questa categoria le Virtual Private LAN create all’interno di un’azienda. I Virtual Private LAN Services si basano sul sul livello 2 (data link) del modello OSI e permettono di creare reti virtuali che condividono lo stesso network fisico ma i cui rispettivi host non possono sconfinare da una rete all’altra.

Come abbiamo già segnalato, le VPN non necessariamente utilizzano Internet come rete geografica: possono utilizzare anche le WAN MPLS. Questi fornitori sono in grado di offrire percorsi alle reti virtuali predefiniti, controllati, protetti e con una qualità del servizio (quality of service) garantite. Nel loro armamentario, quindi, ci sono le tecnologie utilizzate dal Trusted VPN.

Secure VPN

Il vantaggio principale delle Secure VPN è che i tunnel VPN sono creati utilizzando protocolli di cifratura e sicurezza quali IPsec, TSL/SSL, PPTP (Point to Point Tunneling Protocol) o SSH. Tali protocolli sono utilizzati da entrambi i nodi di una VPN. Di conseguenza, se un hacker riuscisse a intercettare i pacchetti di un traffico di rete, vi troverebbe dentro solo dati illeggibili. A differenza di una Trusted VPN, una Secure VPN consente di utilizzare Internet in modo estremamente flessibile: quello che conta è solo avere a disposizione delle connessioni, anche Wi-Fi pubbliche.

Hybrid VPN

Oggi sta emergendo il modello Hybrid VPN, che consente di coniugare i vantaggi delle Trusted VPN (come il controllo dei percorsi) e delle Secure VPN (la crittografia dei contenuti e dei tunnel). Molte Trusted VPN si stanno aggiornando con l’aggiunta di funzionalità Secure Virtual private network come security overlay sulle tecnologie già utilizzate.

VPN e sicurezza informatica

Sono molti i vantaggi delle VPN in termini di sicurezza. Innanzitutto, l’autenticazione degli utenti, che oggi può non avvenire solo con l’utilizzo di username e password, ma anche con smartcard, riconoscimento biometrico e altri metodi ancora.

Quindi la privacy dei dati. I principali protocolli utilizzati per creare VPN utilizzano algoritmi e protocolli crittografici molto robusti. E questo vale tanto per prodotti open source quali OpenVPN e SoftEther VPN, quanto per le tecnologie non a sorgente libero come SSTP, introdotto da Microsoft nel 2007, che sfrutta la tecnologia SSL 3.0, e IKEv2 , sviluppato da Microsoft e Cisco, che punta invece sulla tecnologia IPsec.

Dal punto di vista della sicurezza, va segnalato che il protocollo di tunneling MPPE è ormai da considerarsi obsoleto. Vi è poi il protocollo L2TP, che funziona a livello 2, non include un sistema di crittografia specifico, ma permette di creare tunnel che possono trasportare comunicazioni cifrate con diversi protocolli. Una sua evoluzione è L2TP/IPsec, in cui IPsec viene utilizzato per l’autenticazione. Un aspetto di security che va considerato, nel caso un’azienda optasse per servizi in cloud, è se il provider raccoglie o no informazioni sull’utilizzo dei servizi virtual private network, e che uso ne fa.

Come scegliere una Virtual Private Network

La scelta della soluzione giusta non può non richiedere un’attenta valutazione dei pro e dei contro dei diversi tipi di VPN, dei protocolli di sicurezza utilizzati e del fornitore della tecnologia o dei servizi gestiti.

Per creare Virtual private network con i metodi tradizionali, utilizzando i software più diffusi (e spesso nativi) e poco hardware, non si spende molto: l’importante è avere risorse competenti. Sul mercato ci sono anche ottimi fornitori di VPN as a service, utilizzati anche da molti utenti consumer, che offrono tariffe competitive che partono da pochi dollari al mese per utente, con molti gigabyte a disposizione e la possibilità di utilizzare più dispositivi contemporaneamente. Di certo salgono se si desidera implementare, on-premises o in cloud, soluzioni scalabili, affidabili, con funzionalità di amministrazione e sicurezza avanzate come la central client administration e il security policy enforcement.

Inoltre, va tenuto presente l’emergere delle VPN layer 3. Sempre più aziende desiderano connettere un numero crescente di siti e di relative LAN, al major network e fra di loro, in modalità virtual private network. Questo comporta un esplosione di indirizzi IP da gestire, moltissimi dei quali inevitabilmente identici. Diventa necessario quindi affrontare la situazione a livello di internetworiking, e quindi di livello 3 del modello OSI (network). I provider di servizi MPLS, grazie all’esperienza nella connettività site-to-site, sono avvantaggiati nel fornire soluzioni layer 3, che se sfruttano le proprie infrastrutture, sono chiamate MPLS Layer 3 VPN. Ma in molti casi anche le L2 sono e resteranno sufficienti.

Alcuni criteri per scegliere le VPN migliori

Per scegliere le VPN migliori è necessario basarsi sulle proprie reali esigenze, valutare le funzioni opzionali disponibili, tenendo presente che una buona opzione deve essere caratterizzata da riservatezza, sicurezza e dalla capacità di proteggere le informazioni. Può essere necessario rivolgersi a soluzioni premium.

Tra le funzioni da valutare la possibilità di fruire del servizio di split tunneling per accedere in modo trasparente a più domini di sicurezza; la garanzia che eventuali errori DNS siano risolti; la disponibilità del servizio kill switch che permette di mantenere sempre aperta la connessione virtual private network anche nel caso di interruzione di Internet.

Breve riepilogo dei protocolli utilizzati da virtual private network sicure

Ecco qui di seguito i protocolli più conosciuti che implementano una virtual private network sicura, esse solitamente utilizzano protocolli crittografici, anche se non sempre.

IPsec (IP security), comunemente usate su IPv4 (parte obbligatoria dell’IPv6);
PPTP (point-to-point tunneling protocol) di Microsoft;
SSL/TLS, utilizzate sia per il tunneling dell’intera rete sia per assicurarsi che sia essenzialmente un web proxy;
VPN Quarantine: la macchina del cliente terminale della VPN potrebbe essere una fonte di attacco, cosa che non dipende dal progetto della VPN;
MPVPN (Multi Path Virtual Private Network), è il trademark registrato da Ragula System Development Company.

Alcune reti VPN sicure non usano algoritmi di cifratura, in quanto partono dal presupposto che un singolo soggetto fidato possa gestire l’intera rete condivisa e che quindi l’impossibilità di accedere al traffico globale della rete renda i singoli canali sicuri, dato che il gestore della rete fornisce ad ogni soggetto solamente la sua VPN. I protocolli che si basano su questa filosofia sono per esempio:

L2F (layer 2 Forwarding), sviluppato da Cisco;
L2TP (Layer 2 Tunneling Protocol), sviluppato da Microsoft e Cisco;
L2TPv3 (layer 2 Tunneling Protocol version 3);
Multi Protocol Label Switching (MPLS), spesso usato per costruire una Trusted VPN.

VPN e il Fritz 7590

Posted on 20 Marzo 2020 by

In Rete siamo costantemente bombardati da offerte di VPN, ovvero Virtual private network. Spiegato semplicemente si tratta di collegare il vostro dispositivo, che sia uno smartphone ovvero un computer o altro dispositivo che supporti questa possibilità, ad un server che gestirà tutte le vostre richieste di rete, sia in entrata che in uscita. Ad esempio se il vostro fornitore VPN si trova in Australia, se provate a collegarvi ad un sito, risulterà che vi state collegando dall’Australia. Questo ha indubbi vantaggi anche per servizi che hanno restrizioni geografiche sui loro servizi, provate a collegarvi al sito della RAI dall’estero, oppure Netflix, vedrete che i contenuti saranno differenti!. Le Virtual Private Networ tecnicamente dovrebbero fornirvi anche il massimo della sicurezza e della privacy, soprattutto se vi collegate ad un wifi pubblico. Eventuali malintenzionati non possono intercettare il vostro traffico. Per quanto riguarda la privacy, ci sono delle ombre, nessuno vi assicura che il provider della VPN non controlli il vostro traffico. La soluzione migliore sarebbe utilizzare una Virtual Private Network creata sul vostro router. Il Fritz!Box 7590 vi offre questa possibilità.

VPN con MyFRITZ!App

Con MyFRITZ!App è possibile stabilire connessioni VPN in Android in modo particolarmente semplice. Installare la MyFRITZ!App sul proprio smartphone o tablet, registrarsi sul proprio FRITZ!Box e configurare con un solo clic la connessione VPN nel menu "Rete locale" oppure "Rete domestica" della App.

E' possibile stabilire in qualsiasi momento da fuori una connessione VPN con il proprio FRITZ!Box dal menu "Rete locale" oppure "Rete domestica" nella MyFRITZ!App. Non appena viene stabilita la connessione, è possibile accedere tramite link diretto nella MyFRITZ!App al proprio FRITZ!Box e ad altri dispositivi dotati di una propria interfaccia web, ad esempio un sistema NAS.

Configurare VPN su fritz!Box

Sul Fritz!Box la prima cosa da fare è creare l’Account MyFritz!. Dall’interfaccia del dispositivo selezionare “Account MyFritz!” e seguire la procedura guidata.

Dopo la creazione dell’account MyFritz, bisogna creare un utente abilitato all’accesso VPN. Per fare ciò, nell’interfaccia del modem sotto la voce “Sistema”, c’è Utenti Fritz!Box, selezionatelo e create l’utente assicurandovi di spuntare l’accesso da remoto e l’abilitazione alla Virtual Private Networ. Alla fine della procedura apparirà una finestra con le istruzioni per configurare uno smartphone Android o iOS per l’accesso alla vostra Virtual Private Network. Le istruzioni sono molto semplici e potete anche stamparle. Potete recuperarle anche in Internet -> Abilitazioni, sempre all’interno dell’interfaccia del Fritz.

Assistenza Wizard VPN

Coronavirus, phishing e malware

Posted on 20 Marzo 2020 by

Sul fatto che il Coronavirus abbia messo in allerta l’intero pianeta non vi è più alcun dubbio, così come sul fatto che molti malintenzionati puntino a far leva sullo stato d’animo delle persone, mettendo in atto speculazioni incentrate sul contagio da coronavirus, come avvenuto nei giorni scorsi per la vendita di Amuchina e mascherine protettive da viso, e come sta accadendo in queste ore con il diffondersi di nuove minacce informatiche che sfruttano la fame di informazioni inerenti l’argomento.

In Rete, infatti, cominciano a “fioccare” operazioni di phishing e malware a tema Covid-19. A lanciare l’allarme è stata Reason Labs, azienda che si occupa di sicurezza online e antivirus, mediante un apposito report recentemente diffuso.

Per quel che concerne le campagne phishing, il riferimento è in primo luogo alle aziende. Giungono direttamente nelle caselle di posta elettronica, sotto forma di email tramite cui viene chiesto di effettuare il prima possibile un pagamento per completare l’ordine di materiale sanitario, nella speranza che qualche dipendente più sprovveduto ceda.

Riguardo la questione malware, sono stati messi in piedi siti Internet ad hoc che mostrano aggiornamenti relativi al contagio, con tanto di mappa al seguito (la cui versione ufficiale è quella disponibile sulla piattaforma ArcGIS, basata sui numeri dell’Organizzazione Mondiale della Sanità), e che propongono il download di un file eseguibile per soli computer Windows, il quale viene spacciato come strumento che dovrebbe permettere agli utenti di rimanere al corrente sull’andamento dell’ormai conclamata pandemia ma che, invece, ha come obiettivo quello di sottrarre informazioni sensibili, quali dati di login, dati relativi a carte di credito e conti bancari e altri dettagli strettamente riservati.

I malware che, in tal modo, vanno ad “insediarsi” sul computer degli internauti, non sono però cosa nuova. Si tratterebbe, infatti, di virus già noti, come nel caso di AZORult che è in circolazione dal 2016, usati in passato per compiere altri attacchi miranti al furto di password, credenziali bancarie e via discorrendo, al fine di di rivendere il tutto a terzi mediante il deep Web.

Continuando a parlare di minacce informatiche a tematica Covid-19, una ricerca pubblicata a inizio mese dalla società di sicurezza Check Point ha evidenziato come i domini registrati con nomi o URL con riferimento al virus hanno il 50% di probabilità in più di diffondere codice maligno.

Tenendo conto della situazione, se in genere è bene mantenere gli occhi aperti e prestare la massima attenzione alle insidie che Internet può riservare, in questo particolare e concitato periodo occorre essere ancora più prudenti del solito e scegliere di affidarsi in via esclusiva alle fonti ufficiali per restare informati disponibili sul Web (e non solo) in merito all’evolversi della patologia.

In particolare, Check Point mette in guardia da mail di questo tipo

Inkedcorona-2_LI

L’e-mail contiene un file di documento dannoso, denominato f ###########.doc (# = cifra) e con l’oggetto dell’e-mail “Coronavirus: Informazioni importanti su precauzioni” e l’e-mail è firmata da un medico dell’Organizzazione mondiale della sanità (OMS) con sede in Italia. Tuttavia – dicono a Check Point, “abbiamo effettuato una ricerca online e non è stato possibile trovare un medico di nome Penelope Marchetti presso l’OMS o Organizzazione Mondiale della Sanità (OMS). Inoltre, gli indirizzi email dei mittenti non provengono da domini ufficiali OMS o OMS e la maggior parte di essi non era affatto italiana”.

Ecco uno scatto dal file doc dannoso:

Check Point

Fare clic su “abilita modifica” e “abilita contenuto” porterà al download di Ostap Trojan-Downloader, un downloader di Trickbot, un malware.

Ransomware FTCODE, PEC a rischio hacking.

Posted on 13 Ottobre 2019 by

Una pericolosa variante del ransomware FTCODE sta colpendo le caselle di posta certificata (PEC) di aziende e pubbliche amministrazioni italiane. Ecco tutti i dettagli tecnici per riconoscerlo e i consigli pratici per difendersi e prevenire un possibile attacco.

Una variante del ransomware FTCODE sta prendendo di mira le caselle di posta elettronica certificata (PEC) italiane: il malware viene veicolato mediante una massiccia campagna di malspam proveniente da altre caselle di posta elettronica (per lo più PEC) precedentemente compromesse.

Già lo scorso 2 ottobre, il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.

In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.

Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file WindowsIndexingService.js che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware GootKit e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.

FTCODE: i dettagli della nuova variante del ransomware

Gli analisti del CERT-PA (il Computer Emergency Response Team della Pubblica Amministrazione) hanno ora identificato la nuova variante del ransomware FTCODE che continua ad essere una seria minaccia per le caselle PEC italiane.

La nuova versione di FTCODE ha numerose parti di codice in comune con la precedente variante, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo (C&C), quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.

Molto simile anche il codice necessario a gestire il ciclo per l’enumerazione dei file da cifrare. Così come riportato dal bollettino di sicurezza del CERT-PA, in questa nuova variante del ransomware FTCODE i criminal hacker hanno aggiunto alcune “migliorie”:

il file di lock usato per garantire una singola istanza del malware è considerato non valido dopo 30 minuti: questo evita possibili “vaccinazioni” o deadlock;
FTCODE crea ora un GUID univoco per macchina in un file di lavoro (ma sembra generarlo ad ogni avvio e quindi potrebbe trattarsi di un bug);
i file vengono ora rinominati con un’estensione casuale (i primi 6 caratteri di un GUID) e non più con .ftcode;
la password è generata tramite Get-Random e non tramite Membership.GeneratePassword: è composta da 50 caratteri alfanumerici e viene sempre inviata in chiaro al C&C;
la pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro;
le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono cifrate;
in caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al server C&C.

Il CERT-PA ha diffuso anche gli IoC del ransomware FTCODE, cioè gli indici di compromissione che possono tornare utili ai responsabili della sicurezza IT aziendale per individuare il codice malevolo del malware:

SHA256

5e0844e082ffc41784a9cbdf34225793a167c8c3f23aa7937fd442e6eaa19e2a
07c226d6e4ab84a586b1a09f09896223412de927513fda6bf13b031dc497e686

SHA1

46090a00ad5e755b0abef6be931086daef9c5651
4cb525212460fedae4820a7cfc39e47db48c4c7b

MD5

e299d13f093b20559b62c8b22482bde3
be611918fabc12048aeba6e55f6559d7

URL

http://ceco.jasonrsheldon.com/
http://ceco.myheritageins.com/?need=streetm&vid=vbs4&4643
http://ceco.myheritageins.com/?need=aegzfej&vid=vbs4&
http://kati.katieebecker.com/?need=aegzfej&vid=vbs4&
http://bill.billfergerson.com

DOMINI

cdn.unitycareers.com
cdn.secure357.com

I consigli per difendersi

Come abbiamo visto, le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.

Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.

Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

E' importante utilizzare dei sistemi di backup che all'occorrenza siano in grado di salvare e ripristinare i fale in maniera veloce ed affidabile, la soluzione attualmente che consigliamo è l'acquisto di un QNAP.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla formazione non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

Data breach, è cambiata la notifica.

Posted on 13 Ottobre 2019 by

Cambia la notifica di data breach: il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per notificare una violazione di dati personali. Ecco tutte le novità e i consigli per effettuarla al meglio

Cambia la notifica di data breach: con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

In precedenza, il Garante aveva già introdotto modalità e requisiti specifici di notifica dei data breach in diversi settori e con il provvedimento in questione il Garante ha provveduto a razionalizzare ed uniformare i termini, i contenuti e le modalità della notifica.

Come cambia la notifica di data breach

Il GDPR prevede che in caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare tale evento al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Allo stesso modo il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi (artt. 33 e 55 del GDPR, art. 2-bis del Codice Privacy).

A seguito del citato provvedimento 157 l’onerosità di tale notifica è decisamente aumentata, probabilmente anche al fine di permettere al titolare di assumere reale contezza della violazione e, conseguentemente, di valutare in maniera ponderata l’effettiva necessità di comunicare, o meno, la violazione stessa anche alle persone fisiche interessate, nel rispetto di quanto previsto dall’art. 34 del GDPR.

Vediamo quindi come cambia la notifica di data breach.

Per effettuare la notifica il titolare dovrà scaricare il modello disponibile sul sito del Garante e compilare le seguenti sezioni:

Dati del soggetto che effettua la notifica, inserendo i dati anagrafici e di contatto del soggetto che materialmente effettua la notifica (ove nominato, si tratta del DPO del titolare);
Dati relativi al titolare del trattamento, in cui andranno inseriti i dati identificativi del titolare (denominazione, C.F./P.IVA, indirizzo ecc.), i dati di contatto del soggetto da contattare per informazioni (ove nominato il DPO andrà indicato il relativo numero di protocollo assegnato dal Garante alla comunicazione dei dati di contatto tramite la procedura online disponibile sul sito) e i riferimenti di ulteriori soggetti coinvolti con indicazione del ruolo svolto (contitolare o responsabile del trattamento , rappresentante del titolare non stabilito nell’UE);
Informazioni di sintesi sulla violazione, questa è una delle sezioni più critiche in quanto andranno indicate una serie di informazioni di dettaglio relative alla violazione, ivi incluse: la data esatta in cui si è verificata, il momento e le modalità in cui il titolare ne è venuto a conoscenza, i motivi del ritardo in caso di notifica oltre le 72 ore, la natura e la causa del data breach e le categorie di dati personali e soggetti interessati coinvolti, con indicazione dei relativi volumi;
Informazioni di dettaglio sulla violazione, a completamento della sezione precedente, in questa andranno indicati i dettagli relativi alla violazione descrivendo nello specifico l’incidente alla base del breach, le categorie di dati violate, i sistemi e le infrastrutture informatiche coinvolte nell’incidente, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate;
Possibili conseguenze e gravità della violazione, si tratta di una sezione che richiede uno sforzo prognostico da parte del titolare il quale sarà tenuto a identificare i possibili impatti della violazione in base alla sua natura ed i potenziali effetti negativi per gli interessati; occorrerà inoltre effettuare una stima motivata della probabile gravità del data breach;
Misure adottate a seguito della violazione, in cui andranno segnalate tutte le contromisure sia tecniche che organizzative adottate per limitare gli impatti del breach e di futura attuazione onde prevenire incidenti futuri;
Comunicazione agli interessati, in questa sezione occorrerà specificare se la violazione è stata comunicata o meno agli interessati ai sensi dell’art. 34 del GDPR, ed in caso di mancata comunicazione sarà necessario motivare la ragione che ha spinto il titolare prendere una tale decisione;
Altre informazioni, si tratta di una sezione di chiusura in cui inserire i dettagli circa l’impatto transfrontaliero del data breach e le eventuali segnalazioni già effettuate ad altre autorità.

Laddove il titolare del trattamento non sia in possesso di tutte le informazioni richieste dal modulo, potrà avviare il processo di notifica pur in assenza di un quadro completo della violazione con riserva di effettuare una successiva notifica integrativa.

Come inviare la notifica di data breach

Il modulo di notifica, una volta completato con le informazioni richieste, deve essere inviato al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritto digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

È opportuno ricordare che la notifica non deve includere i dati personali oggetto di violazione (ad esempio, non fornire i nomi dei soggetti interessati dalla violazione).

In ogni caso l’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

I prossimi passi

Il nuovo modulo di notifica richiede al titolare di raccogliere una folta serie di informazioni relative alla violazione. Per essere in grado di effettuare la notifica il titolare dovrà pertanto assicurarsi di aver implementato le adeguate procedure organizzative – sia interne che esterne nei confronti dei responsabili – che gli consentano di ottenere in maniere tempestiva tutte le notizie necessarie per compilare effettuare la notifica.

Il procedimento di notifica deve essere supportato dalla tenuta, da parte dei titolari del trattamento, del cosiddetto “registro delle violazioni”: un documento che ha la duplice funzione di consentire, al titolare, un agevole monitoraggio e controllo di tutte le violazioni di dati personali avvenute nel corso delle proprie attività di trattamento e, al Garante Privacy, di verificare il rispetto dell’obbligo di notifica tempestiva.

Questo registro andrà predisposto in linea con i requisiti del modulo di notifica per raccogliere tutte le informazioni necessarie al fine di documentare adeguatamente qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Lo scenario dei data breach in Europa e in Italia

Il provvedimento con cui il Garante privacy ha introdotto il nuovo modello di notifica di data breach è l’occasione giusta anche per ricordare quanto il fenomeno dei data breach sia in costante aumento in Europa.

Il Comitato Europeo per la protezione dei dati ha pubblicato un report sullo stato di implementazione del GDPR a 9 mesi dalla sua piena applicabilità, in cui si rileva che le autorità Garanti in Europa hanno registrato circa 64.684 notifiche di data breach, ed è ragionevole ritenere che dalla pubblicazione del report ad oggi tale cifra sia cresciuta ulteriormente.

In tal senso è significativo quanto espresso dal World Economic Forum, secondo cui gli attacchi informatici sono la maggiore minaccia per le imprese che operano in Europa.

Durante gli ultimi anni il nostro continente è stato difatti teatro di una lunga serie di grandi attacchi cyber, il cui numero è aumentato di circa un terzo nel primo trimestre 2018, rispetto allo stesso periodo dell’anno scorso.

Tali stime trovano conferma nel rapporto presentato dalla Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) secondo cui, a fronte di un aumento moderatamente significativo del numero di attacchi, si è registrato un incremento esponenziale della efficacia e pericolosità degli stessi.

Nella prima metà del 2018 sono stati compromessi, infatti, circa 4.500 milioni di record a causa delle violazioni di dati, in forte crescita rispetto al 2017 in cui, nello stesso periodo, erano stati registrati «solo» 2,7 milioni di record violati.

Risparmiare con Fritz

Posted on 12 Settembre 2019 by

Risparmiare la corrente con FRITZ! – opzioni per la casa intelligente

I prodotti FRITZ! non facilitano solo l'uso di Internet e la telefonia bensì ti aiutano anche a ridurre le spese: con la prese intelligenti FRITZ!DECT 200 e FRITZ!DECT 210 puoi integrare i dispositivi elettrici nella rete domestica e venire informato in qualsiasi momento del relativo consumo anche mediante un'analisi significativa e un bilancio di emissioni di CO₂.

FRITZ!DECT 200 – molto di più di una presa

Una connessione DECT sicura ti permette di integrare la presa intelligente nella tua rete domestica. Il consumo dei dispositivi ad essa collegati si legge comodamente nell'interfaccia del FRITZ!Box o si può far inviare ai dispositivi mobili tramite e-mail del servizio Push. Grazie a ciò, puoi eseguire misurazioni precise a casa e farti mostrare il consumo, in kilowattora e euro, per ogni ora, giorno, mese o anno.

Powerline con funzione Smart Home

Approfitta di questi vantaggi per risparmiare con il FRITZ!Powerline 546E: questo adattatore non si limita a trasmettere il segnale LAN attraverso la linea elettrica, bensì è dotato anche di una presa con funzione Smart Home. Collega via cavo il tuo nuovo televisore alla rete domestica tramite l'adattatore Powerline e controllane il consumo con la presa. Fai diventare intelligente la tua casa!

Configurazione facilissima

Sia il FRITZ!Powerline 546E sia il FRITZ!DECT 200 sono configurati e pronti all'uso in un attimo. Per creare la connessione basta premere un tasto. Integra altri dispositivi nella tua rete domestica e approfitta delle opzioni che ti offre la tecnologia Smart Home.

Semplice commutazione automatica

Nella modalità automatica il FRITZ!DECT 200 offre molteplici opzioni: imposta un piano orario e il tuo FRITZ!DECT gestirà l'accensione e lo spegnimento dei dispositivi come evento unico oppure ogni giorno, nei giorni feriali, con cadenza regolare o casuale. È anche possibile sincronizzare la commutazione tramite il calendario di Google. La funzione Astro, infine, permette di attivare e disattivare l'alimentazione all'alba e al tramonto.

Misurazione dei consumi

Il FRITZ!DECT 200 non è solo un sistema di commutazione, ma anche di misurazione del consumo energetico dei dispositivi. L'intensità è indicata in watt e la tensione in volt. Le misurazioni si possono effettuare su base oraria, giornaliera, mensile e annuale, sia in kWh che in euro, elaborando anche un bilancio di emissioni di CO₂.

Risparmiare non è stato mai così facile ed efficace

Autorizzazione videosorveglianza

Posted on 11 Settembre 2019 by

L'istanza di autorizzazione per la videosorveglianza permette di installare le telecamere di sicurezza rispettando le norme di legge previste.

Sempre più spesso privati e aziende sentono il bisogno di dotarsi di sistemi di videosorveglianza per aumentare il grado di sicurezza dell’ambiente domestico o di quello lavorativo, ma devono fare i conti con alcune attenzioni necessarie per il rispetto della privacy.

Così come molte altre informazioni (nome e cognome, residenza, codice fiscale, numero di telefono, ecc), anche le immagini sono a tutti gli effetti dei dati personali e, come tali, sono soggette alla normativa della privacy: in questo articolo ecco alcuni aspetti da tenere in considerazione.

Autorizzazione per videosorveglianza privata

Chi vuole installare telecamere di sorveglianza nella propria casa è soggetto a molte meno restrizioni rispetto all’ambiente lavorativo, a patto di rispettare alcune indicazioni.

Secondo quanto stabilito dal Garante della Privacy, con il parere n. drep/ac/113990 del 7 marzo 2017, per la videosorveglianza privata non è previsto l’obbligo di autorizzazioni (né da parte della Polizia, né da parte, eventualmente, del condominio).

Ci sono, tuttavia, alcune condizioni da rispettare, che valgono indistintamente per le telecamere con o senza registrazione delle immagini:

- evitare di riprendere zone di pubblico passaggio (strada o spazi comuni)
- qualora ciò non fosse possibile, evitare il riconoscimento dei soggetti (limitando il raggio di ripresa alle sole scarpe)

In sostanza, è possibile fare a meno dell’autorizzazione per videosorveglianza quando le telecamere non sono rivolte su zone pubbliche (compresi gli spazi comuni di un condominio, dove passano i vicini). Fondamentale, inoltre, che le immagini riprese non vengano diffuse a terzi.

Nel caso in cui queste condizioni non dovessero essere rispettate, la videosorveglianza non avrebbe più i caratteri di finalità esclusivamente personali: scatterebbero, dunque, tutti gli obblighi previsti dal codice della privacy, con tanto di richiesta di autorizzazione obbligatoria.

Autorizzazione per videosorveglianza sul luogo di lavoro

L’autorizzazione per videosorveglianza sul luogo di lavoro è sempre obbligatoria per aziende e attività commerciali e, secondo quanto stabilito all'art. 4 della Legge 300 del 1970 (Statuto dei Lavoratori), impianti audiovisivi e altri strumenti, dai quali deriva la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere impiegati esclusivamente per:

- esigenze organizzative e produttive
- la sicurezza del lavoro
- tutela del patrimonio aziendale.

Recentemente l’art. 4 dello Statuto dei Lavoratori ha subìto rilevanti modifiche, ad opera del Jobs Act (art. 23 del D.Lgs. n. 151/2015) prima e del D.Lgs. n. 185/2016 (art. 5, comma 2) dopo, adeguando così l’impianto normativo e le procedure preesistenti alle più recenti innovazioni tecnologiche.

A tal proposito, l’Ispettorato Nazionale del Lavoro, con la circolare n.5 del 19 febbraio 2018, ha fornito alcune indicazioni operative sull'installazione e utilizzo degli impianti di videosorveglianza e degli altri strumenti di controllo. Tra le novità principali, il fatto che il focus delle istruttorie debba riguardare più le finalità e le motivazioni per cui si richiede l'autorizzazione che non una descrizione tecnica della strumentazione.

Anche sul luogo di lavoro, in ogni caso, andrà posta particolare attenzione al posizionamento delle telecamere: la legge prevede che non possano essere inquadrate postazioni di lavoro fisse o aree dedicate all'attività lavorativa.

In sostanza, le immagini non devono focalizzarsi sui dipendenti, che possono però essere ripresi con criteri di occasionalità. Per il resto, le telecamere possono essere orientate anche su ingressi o zone di passaggio di pertinenza dell’azienda (ad esempio i corridoi, parcheggi, ecc).

Prima di poter installare un impianto di videosorveglianza sul luogo di lavoro, dunque, è necessario avere uno specifico accordo con le organizzazioni sindacali (se presenti in azienda) o, appunto, l'autorizzazione rilasciata dall'Ispettorato Territoriale del Lavoro, previa apposita istanza, in marca da bollo.

Videosorveglianza senza autorizzazione: sanzioni

Installare sistemi di videosorveglianza senza autorizzazione può costare alle imprese un esborso economico considerevole e/o, nei casi più gravi, anche dei provvedimenti di tipo penale (come da sentenza della Cassazione n. 4331 del 30 gennaio 2014).

Le sanzioni prevedono come minimo multe da 154,00 a 1.549,00 euro o l’arresto da 15 giorni a un anno (salvo che il fatto non costituisca reato), ma in alcuni casi possono essere anche superiori a tali importi.

Possono scattare le sanzioni, inoltre, anche qualora vengano installate telecamere finte non autorizzate, al solo scopo dissuasivo.

Vuoi sapere cosa fare per ottenere l’autorizzazione per la videosorveglianza della tua azienda? Scopri il nostro servizio di consulenza sulla privacy e richiedi oggi stesso il nostro supporto!

FRITZBox 7530

Posted on 21 Giugno 2019 by

L'introduzione ideale al profilo 35b

Con il FRITZBox 7530 disponi di primo accesso ideale alla rete domestica veloce con il profilo 35b. Oltre al modem ADSL/VDSL e a un router wireless riuniti in un solo dispositivo, il FRITZ!Box 7530 dispone anche di un centralino telefonico DECT integrato, di Ethernet a Gigabit, di una porta USB e del media server.

WiFi Mesh con FRITZ!

Per consentire l'accesso continuo a video, musica e foto nella rete domestica, fino all'angolino più remoto di ogni stanza, il FRITZ!Box 7530 si affida alla WiFi Mesh. I dispositivi FRITZ! distribuiti nella casa sono operativi in un'unica rete, si scambiano i dati tra loro e ottimizzano le prestazioni di tutti i dispositivi nella rete wireless.

Con la rete mesh si può godere molto semplicemente della massima velocità nella navigazione, nella visualizzazione di video o nel gaming. Adesso, sono i programmi mozzafiato in HD e la tua musica favorita ad aspettare te, e non al contrario!

Scoprite di più sulla WiFi Mesh

Massima sicurezza con il FRITZ!Box

Con il FRITZ!Box di AVM, vai sul sicuro! Le sue caratteristiche di sicurezza proteggono la tua comunicazione. Viene testato e migliorato continuamente. Grazie agli aggiornamenti gratuiti sei sempre al sicuro.

Centralino per connessioni basate su IP

Il FRITZBox 7530 contiene un centralino per le moderne connessioni basate su IP. Puoi collegare via DECT fino a sei telefoni cordless. C'è posto anche per il telefono analogico o il fax. Sono inoltre disponibili diverse segreterie telefoniche, rubriche online e numerose funzioni comfort.

Svariate possibilità di connessione

Il FRITZBox 7530 è disponibile direttamente per la connessione al profilo 35b. Offre inoltre wireless AC veloce e wireless N in modalità duale. Sul router stesso si trovano inoltre quattro porte LAN Gigabit e una porta USB. Tramite queste porte puoi non solo integrare tutti i tuoi terminali nella rete senza fatica, ma anche integrare la tua stampante e predisporre una memoria USB. Potrai così vedere film, immagini e ascoltare musica quando e dove desideri.

FRITZ!OS: un concentrato di funzione

FRITZ!OS, il sistema operativo del FRITZ!Box, mette regolarmente a tua disposizione nuove funzioni. Grazie alle FRITZ!App puoi accedere ai tuoi dati con lo smartphone anche quando sei fuori casa, telefonare nella rete domestica o controllare la tua smart home. Oltre ai dispositivi Smart Home FRITZ!, il FRITZBox 7530 supporta anche dispositivi di terzi con la tecnologia DECT-ULE/HAN-FUN. E ricorda: tutti gli aggiornamenti e tutte le app per i prodotti FRITZ! sono gratuiti.

GDPR: da fine maggio le sanzioni

Posted on 19 Giugno 2019 by

Verso il primo anno dall'entrata in vigore del Regolamento Privacy 679/2016: in vista ispezioni e sanzioni in caso di violazioni relative a GDPR.

Recentemente, il Garante della protezione dei dati personali ha definito il regolamento europeo come “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale”.

La nuova normativa ha avuto un impatto positivo nella sensibilità dei cittadini. Infatti, secondo i dati pubblicati dall’Autorità Garante nel bilancio relativo al primo anno dall’entrata in vigore del GDPR.

Al 31 marzo scorso sono stati registrati 7.219 reclami, in costante aumento dal 2018, e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi, a questi dati si aggiungono il numero dei contatti con l’Ufficio relazioni del Garante, quasi 10.000 e le comunicazioni dei dati di contatto dei Responsabili Protezione Dati quasi 50.000.

GDPR: controlli Privacy e GdF nelle imprese, la novità adesso è data dalla dall’immediatezza della scadenza del periodo di tolleranza per le inadempienze previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101, dal 20 maggio il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati.

Al termine del periodo di tolleranza prenderanno il via le ispezioni in collaborazione con la Guardia di Finanza.

In ambito privato destinatari delle ispezioni saranno i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala e chi tratta i dati sulla salute. In ambito pubblico, si porrà l’attenzione sul funzionamento di SPID (Sistema Pubblico di Identità Digitale) e sulle grandi banche dati.

In presenza di una violazione si possono avere varie conseguenze:

l’autorità di controllo può imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell’immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;
se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali;
la violazione può portare a danni reputazionali a carico del titolare con gravi conseguenze sull’attività dell’azienda;
la violazione può comportare responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari;
la violazione può portare all’applicazione di sanzioni amministrative da parte dell’autorità di controllo;
la violazione può portare all’applicazione di eventuali sanzioni penali.

Il regolamento europeo distingue due gruppi di violazioni.

Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:

inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:

inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.

L’autorità di controllo ha il potere di irrogare sanzioni correttive.

Essi consistono nel:

rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
infliggere le sanzioni amministrative pecuniarie;
ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Il timore dell’erogazione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia, ma è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.

Secondo una ricerca pubblicata a febbraio 2019 dall’Information Security & Privacy della School of Management del Politecnico di Milano solo il 23% delle imprese italiane si è adeguata al GDPR, la nuova normativa Ue sulla privacy in vigore da fine maggio 2018, il 59% ha progetti in corso, l’88% ha un budget dedicato.

Nel workshop organizzato da PrivacyLab a metà aprile 2019 sono numerosi i siti istituzionali ancora senza informativa privacy aggiornata, uno studio di Federprivacy evidenzia fenomeno più grave ed esteso: il 47% dei siti web dei comuni italiani utilizza protocolli non sicuri, e il 36% non rende noti i recapiti per contattare il DPO, figura obbligatoria per tutte le pubbliche amministrazioni.

Online navigare sicuri

Posted on 14 Giugno 2019 by

Online navigare in sicurezza? Ecco come fare con i browser più sicuri.

La Techwarn, per i nostri lettori ha messo a disposizione questo interessante articolo.

Tutti noi accediamo ad internet almeno una volta al giorno. E non ci rendiamo nemmeno conto di quanti dati lasciamo in giro sul web, non solo attraverso messaggi, mail e social, ma anche semplicemente con la navigazione e l’apertura di siti web.

Lo strumento conosciuto a tutti e che usiamo maggiormente per navigare online è il browser, un software che ci permette di impostare un motore di ricerca, cercare direttamente siti web e salvare i preferiti, tra le varie cose.

Come ben sappiamo però non tutti i browser sono uguali e non tutti ci garantiscono gli stessi servizi e le stesse caratteristiche. Se i più usati sono sicuramente Chrome di Google, Safari per i sistemi iOS e Mozilla Firefox, esistono altri browser che ci permettono di navigare online in completa sicurezza e migliorando di molto la nostra privacy.

Certo, da una parte abbiamo la certezza che tutto sia compatibile, di poter avere le migliori estensioni e di poter sincronizzare diversi dispositivi, dall’altra abbiamo la possibilità di migliorare la nostra sicurezza online.

Nonostante i continui miglioramenti da parte dei browser più famosi, c’è ancora molto da fare in questo ambito, ecco perché esistono delle alternative valide e a costo zero. Andiamo dunque a vedere quali sono browser alternativi e più sicuri.

TOR

Sicuramente uno dei browser più attenti alla privacy e alla sicurezza dell’utente. Questo software infatti garantisce una crittografia totale della rete mentre navighiamo, inoltre protegge i nostri dati personali e ci rende anonimi anche mentre comunichiamo.

È disponibile in download gratuito per Windows, Mac e anche Linux e si tratta di un’applicazione open source.

OPERA
Opera è sicuramente più conosciuto di Tor e in molti casi si trova anche già preinstallato su alcuni dispositivi, soprattutto PC (mentre nei dispositivi mobili è presente la versione mini). Con questo browser, oltre ad essere molto veloce, avrete a disposizione un blocco annunci, il blocco del tracciamento della posizione, l’anonimato e una VPN integrata. Che cos’è una VPN? È un tunnel virtuale ultra sicuro in cui connettervi e tenere lontano possibili infiltrazioni di virus e malware vari.

EPIC BROWSER

Invece questo browser, al contrario di Opera, è dedicato interamente ai sistemi iOS, dunque ai Mac. Anche in questo caso, il browser non salva i dati della cronologia, non ha perdite DNS; non consente i coolie di terze parti e tutti i dati vengono eliminati immediatamente al momento della chiusura del browser.

Questi browser sono tutti completamente gratuiti e - come molti altri browser non famosi quanto la triade Chrome, Safari e Firefox - consentono all’utente di proteggersi da alcune insidie del web a cui siamo esposti molto facilmente ogni volta che ci colleghiamo ad internet.

Articolo di Stefania Grosso di Techwarn

Compilance, ottemperare al G.D.P.R.

Posted on 19 Maggio 2019 by

La nostra suluzione per la compilance G.D.P.R.

Ottemperare correttamente alle disposizioni ed essere compliant al GDPR, le aziende devono definire un percorso di adeguamento e poter dimostrare le azioni implementate e quelle ancora da fare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento consigliato è articolato in 7 step, vediamoli nel dettaglio.

Il regolamento generale sulla protezione dei dati personali UE 2016/679 (GDPR), già in vigore ma pienamente applicabile dal 25 maggio 2018, ha introdotto un vero e proprio cambio di filosofia attraverso il superamento di un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (per esempio elenco delle misure minime di sicurezza da adottare) e la definizione di un sistema articolato di governance dei dati personali.

Il “nuovo” sistema si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection.

In questo contesto, è fondamentale per ciascuna delle organizzazioni che deve adeguarsi definire un percorso strutturato e sostenibile per essere GDPR compliant entro maggio 2018 e, allo stesso tempo, essere in grado di dimostrare sia le azioni implementate, e le relative motivazioni, sia le azioni ancora da implementare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento al regolamento europeo sulla privacy consigliato è articolato in 7 step:

identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di funzionamento, mettendo in evidenza eventuali legami con normative settoriali (es. settore bancario – circolare n.285 del 17 dicembre 2013) e tenendo costantemente monitorata l’emanazione di nuove disposizioni e linee guida delle competenti Autorità nazionali ed europee;
individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo «attivo» in fase di pianificazione, esecuzione e monitoraggio di tale percorso, ma anche nella gestione del modello di funzionamento a regime (potrebbe essere importante coinvolgere, per esempio, le funzioni Legale, Organizzazione e Risorse Umane, Sistemi Informativi, Sicurezza e Compliance);
analisi delle attuali modalità di gestione della Data Protection in relazione ai requisiti del GDPR e individuazione del livello di maturità dell’organizzazione in materia di protezione dei dati personali, evidenziando gli assi del modello per i quali sono già state implementate delle azioni GDPR compliant, almeno in parte (per esempio nomina di responsabili esterni del trattamento, adozione di procedure per la gestione dei diritti degli interessati);
mappatura preliminare dei trattamenti e creazione del registro dei trattamenti (vedi articolo 30 del GDPR), con riferimento al duplice ruolo di titolare e responsabile del trattamento potenzialmente ricopribile dall’organizzazione, e identificazione del livello di rischio associato al singolo trattamento, da legare a variabili quali le categorie di dati trattati e di interessati coinvolti, l’utilizzo di sistemi automatizzati e il trasferimento di dati extra UE;
identificazione e classificazione dei gap da colmare per essere GDPR compliance, sia a livello di modello di funzionamento della Data Protection sia a livello di singoli trattamenti censiti all’interno dei registri dei trattamenti, per i quali è necessario valutare attentamente i rischi di non conformità (sanzioni, perdite finanziarie rilevanti o danni reputazionali);
definizione del piano di adeguamento complessivo (Action Plan), comprensivo di un elenco di azioni finalizzate a colmare i gap evidenziati da chi deve adeguarsi, organizzate in funzione di cantieri e sotto-cantieri di lavoro facilmente riconducibili ai requisiti del regolamento (es. cantiere “Legale” e sotto-cantieri “Diritti degli interessati”, “Informative e consensi”, “Fornitori e contratti”), ai quali è necessario attribuire un accountability univoca e condivisa tra i vari attori coinvolti nel percorso;
implementazione del piano di adeguamento al GDPR precedentemente definito che, a titolo esemplificativo e non esaustivo, includerà: introduzione della figura del Data Protection Officer; stesura o aggiornamento di informative, consensi e lettere di nomina; predisposizione o aggiornamento di procedure (es. gestione dei diritti degli interessati), progettazione ed erogazione di iniziative volte sensibilizzare e formare dipendenti e collaboratori; revisione delle misure di sicurezza per la protezione dei dati personali

Per la buona riuscita del percorso, inoltre, occorre non sottovalutare la necessità di assicurare il coordinamento complessivo dello stesso attraverso: l’introduzione di un PMO (Program Management Officer); la realizzazione di allineamenti periodici, sia di natura operativa sia di natura strategica (Steering Committee); la raccolta, condivisione e archiviazione della documentazione prodotta all’interno di un unico repository.

Per concludere, è importante sottolineare che nell’ottica dell’accountability il percorso progettuale di adeguamento al GDPR costituisce già un elemento importante per la valutazione della compliance. È importante che tutte le decisioni rilevanti siano opportunamente documentate e consentano di ricostruire l’iter seguito. Andranno documentate, a titolo puramente esemplificativo, le decisioni di dotarsi o meno di un Data Protection Officer, le valutazioni circa l’adeguatezza delle misure di sicurezza adottate, le scelte di effettuare o meno una valutazione di impatto su un trattamento di dati personali.

Articolo preso da zerounoweb

Obbligo formazione, col Gdpr.

Posted on 19 Maggio 2019 by

Obbligo della formazione per il nuovo regolamento privacy, il GDPR introduce l’obbligo della formazione a tutti i livelli, all’interno di società e P.A. Chi non si adegua rischia grosse sanzioni. Vediamo impatti, soluzioni e opportunità.

Il Regolamento privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).

La base normativa

Si tratta di una novità rilevante in quanto il decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. aveva abrogato nel 2012 l’obbligo di formazione previsto al punto 19.6 del Disciplinare tecnico in materia di misure minime (allegato B al D.Lgs, 196 del 2004 “Codice della privacy) che prevedeva: “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

La formazione privacy restava e resta obbligatoria nel settore sanitario v. art. 83 del Codice della Privacy che prevede l’obbligo delle strutture di attivare “ la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute” e di prevedere “la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

L’art. 29 del sopra citato regolamento prevede, infatti, che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …”.

Il Gruppo di lavoro ex 29 nel parere n. 3/2010 aveva individuato tra le misure comuni concernenti la responsabilità “un’adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.

La centralità della formazione è confermata anche dall’art. 32 “Sicurezza del trattamento” paragrafo 4 che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Come sarà la formazione

La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni. Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguardare tutti i soggetti.

La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle pubbliche amministrazioni e delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

L’adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.

Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).

La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori.

Che devono fare PA e aziende

Gli Enti pubblici le imprese, pertanto, devono:

– pianificare quanto prima un percorso ed un piano di formazione;

– accantonare adeguate risorse in sede di approvazione di bilancio, al fine di arrivare preparati alla scadenza del 25 maggio 2018, data in cui il Regolamento, già in vigore, esplicherà i suoi effetti;

– prevedere prove finali nel percorso formativo, e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche;

– individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica;

Nella progettazione dei corsi di formazione, occorre esaminare ed individuare: i fabbisogni formativi, la struttura dell’Ente o dell’impresa, i profili organizzativi, il target, i prerequisiti, le finalità generali e specifiche di ciascuna sessione formativa nonché le relative modalità di erogazione (in aula o a distanza) ed i precedenti corsi predisposti in materia.

Occorrerebbe, inoltre, stabilire aree di priorità di intervento, a titolo esemplificativo ma non esaustivo le figure apicali, gli amministratori di sistema, i nuovi assunti ed infine le persone autorizzate al trattamento.

Queste ultime, corrispondono agli ex incaricati del codice privacy e sono, sostanzialmente, tutti coloro che trattano dati personali. Essi dovranno essere appositamente nominati mediante una lettera di designazione contenete le istruzioni sui trattamenti che dovranno svolgere.

Nelle previsioni di budget è necessario considerare anche risorse specifiche per la formazione de Data protection Officer e dei componenti del team.

Il data protection officer, figura obbligatoria nelle pubbliche amministrazioni e organo di presidio e di controllo deve anch’esso, ai sensi dell’art. 39 del regolamento, occuparsi della “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.

La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione che potrà nella logica del regolamento anche essere oggetto di specifici audit.

La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, la pietra angolare del trattamento e sul quale ricade ogni responsabilità.

La previsione di eventi formativi diretti al personale e ai collaboratori concretizza il principio di “accountability” ossia di responsabilizzazione del Titolare del trattamento, previsto dal Regolamento europeo n. 679/16.

Ed invero, il titolare deve dimostrare che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano, inoltre, rispettati i principi di minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate.

I dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni impartite dal titolare, il quale potrà comunque avvalersi come intermediario di altro soggetto debitamente autorizzato.

Il programma ed il piano formativo costituiscono, pertanto, dei tasselli rilevanti del cd sistema di gestione privacy in grado di concretizzare il principio di accountability inteso come capacità di dimostrare di avere adottato misure di sicurezza adeguate.

Si suggerisce, per tale ragione, di pubblicare il piano ed i relativi materiali formativi nella sezione intranet aziendale al fine di costituire un presidio di informazione e aggiornamento a beneficio di tutta l’organizzazione e di inserire i sopra citati atti come allegati al registro del trattamento.

In ambito pubblico la formazione sulla protezione dei dati non potrà non integrarsi con la digitalizzazione dei processi, con la riforma del Codice di Amministrazione digitale, con i codici di comportamento degli enti e con le ultime recenti novità normative in materia di trasparenza, prevenzione della corruzione, Foia e whistleblowing.

Nell’ottica di un miglioramento continuo e di una gestione in qualità del sistema privacy, sarebbe consigliabile, come alcuni enti stanno progettando, prevedere sessioni informative on line per sensibilizzare anche gli utenti sul valore della protezione dei dati personali, come diritto collettivo e sull’utilizzo consapevole e responsabile di Internet.

La formazione non deve essere considerata, pertanto, un mero adempimento burocratico ma come un’opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza, per migliorare i processi organizzativi e i servizi erogati, evitare danni reputazionali, ridurre i rischi di sanzioni amministrative e rendere più competitiva l’organizzazione.