Dominio, Riassegnazione Nomi

Dominio e la riassegnazione dei nomi, una Procedura che nasce per contrastare il fenomeno del Cybersquatting (accaparramento di nomi a dominio). 
Chi ritiene di aver diritto all'uso di un nome a dominio registrato da altri in malafede, può attivare una procedura per la riassegnazione del dominio in modo semplice, efficace ed economico.

Camera Arbitrale di Milano fornisce un servizio di riassegnazione dei nomi a dominio per l'estensione geografica .IT in quanto accreditata dal Registro del Country Code Top Level Domain .it (Registro del ccTLD "it").
Per le contestazioni riguardanti nomi a dominio aventi altre estensioni (per esempio .com) consulta il database dell'Organizzazione Mondiale Proprietà Intellettuale (OMPI-WIPO).

Scopri chi può attivare la procedura e per quali tipi di controversie.

La MBLI S.a.s. ha trovato per voi questo splendito articolo scritto da Luca Giacopuzzi (avv. del Foro di Verona), che spiega abbastanza semplicemente il fenome dell'accaparramento dei domini.


Articolo Integrale
***

Una parte, coinvolta in un conflitto che ha per oggetto un nome a dominio, ha diverse soluzioni per comporre la lite. La prima, quella più “familiare” ad un giurista, è l’instaurazione di un procedimento giudiziale ordinario. Ma questa, forse, non è l’opzione migliore tra le diverse possibilità che si hanno a disposizione.

Da una lettura complessiva delle decisioni italiane, infatti, si ha la sensazione di trovarsi di fronte ad una giurisprudenza “ondivaga”, di talchè, pur a fronte di identiche situazioni, possono in certi casi ottenersi giudizi discordanti.

Ed allora un soggetto che desideri promuovere una vertenza su un nome a dominio può “guardarsi attorno”, ossia può non rivolgere lo sguardo unicamente verso il Tribunale, perché ci sono dei metodi di risoluzione delle controversie alternativi rispetto alla composizione giudiziale delle liti. Essi sono essenzialmente due: il giudizio arbitrale e la procedura di riassegnazione.

Non mi soffermo sul primo, che – rilevo per inciso – nella realtà concreta dei fatti si è rivelato uno strumento assolutamente insoddisfacente e vado invece ad analizzare la procedura di riassegnazione, la quale è una procedura molto snella e rapida, che – a circa 2 anni dalla sua entrata in vigore – si è messa in luce quale rimedio davvero efficace per combattere il fenomeno del domain grabbing.

Essa ha come scopo esclusivo la verifica del titolo all’uso od alla disponibilità del nome a dominio e l’indagine sulla malafede del registrante: ogni altro tipo di accertamento dovrà essere devoluto ad un giudice od ad un arbitro.

Si tratta, pertanto, di un procedimento speciale col quale si può ottenere solo un provvedimento specifico: la rassegnazione del DN.

La PDR viene gestita da apposite organizzazioni denominate “enti conduttori”, al cui interno operano alcuni professionisti – denominati, con termine piuttosto infelice, Saggi – che materialmente si fanno carico della decisione.

Attualmente gli enti conduttori sono 10 (l’elenco è localizzato in rete a questo URL: http://www.nic.it/NA/maps ), ma va detto che alcuni di essi non hanno ricevuto alcun incarico. In realtà, a voler tracciare un quadro obiettivo della situazione, si deve rilevare che la quasi totalità delle decisioni sono state affidate a 2 solamente: uno che ha sede a Roma, l’altro a Milano. Il primo è CRDD (ex E-Solv), il secondo si chiama Arbitronline.

Per poter chiedere la riassegnazione devono sussistere alcuni presupposti.

Anzitutto, il dominio che si assume essere stato registrato in malafede deve venire “contestato” nei confronti della Registration Authority. E’questo, infatti, il primo “step” che viene imposto a chi voglia intraprendere una PDR. Si tratta, per il vero, di un’azione preliminare molto semplice, che è compiutamente disciplinata dall’art. 14 Reg. Naming. Contestare, in buona sostanza, significa inviare una lettera. Ebbene sì: la contestazione del nome a dominio, infatti, consiste nell’invio di una lettera raccomandata A.R. – debitamente motivata – che il soggetto che assume aver ricevuto pregiudizio dall’assegnazione a terzi di un particolare dominio deve far pervenire alla RA.

La quale, ricevuta la lettera di contestazione, si limita ad aggiungere la annotazione “valore contestato/challenged value” nel RNA; tutto qui, non altro. Ciò però, a ben guardare, comporta conseguenze pratiche di non poco conto, poiché pone seri limiti alla circolazione del dominio, che non sarà più liberamente trasferibile a terzi da parte dell’assegnatario.

Come si ricorderà, per il diritto romano la res litigiosa veniva dichiarata fuori commercio; qualcosa di simile accade nel nostro caso, perché, per effetto della contestazione, il dominio contestato diventa trasferibile unicamente al soggetto che ha posto la contestazione stessa.

Una volta formalizzata la contestazione del DN, entro 6 mesi dovrà essere promossa la procedura di riassegnazione, che – come detto – può portare al trasferimento del nome a dominio che ne è oggetto. Trasferimento – si badi – che verrà disposto solo se venga fornita idonea prova della sussistenza di tutti e tre i presupposti di cui all’art. 16.6 delle Regole di Naming.

Deve, in altre parole, essere dimostrato che:

a) il nome a dominio è identico o tale da indurre confusione con un marchio su cui il ricorrente vanta diritti, o col proprio nome e cognome;

b) il resistente non ha alcun diritto o titolo in relazione al nome a dominio contestato;

c) il dominio è stato registrato e viene usato in mala fede.

Se il ricorrente prova che sussistono assieme le condizioni a) e c) di cui sopra ed il resistente non prova a sua volta di avere diritto o titolo in relazione al nome a dominio contestato, quest’ultimo viene trasferito al ricorrente.

Ciò posto, andiamo a vedere come si faccia in concreto a dar impulso alla presente procedura, avvertendo fin da subito che le modalità operative sono descritte – oltre che nelle Regole di Naming e nei Regolamenti interni predisposti da ciascun Ente Conduttore – anche da un corpo normativo denominato “Procedura di Riassegnazione”, al quale si farà spesso riferimento e che si trova liberamente consultabile in Rete al seguente indirizzo:

https://www.nic.it/NA/riassegnazione-curr.txt

Particolarmente importante l’art. 3 P.d.R, che individua il contenuto del reclamo, che dev’essere inviato dal ricorrente all’Ente prescelto sia in forma cartacea (in duplice copia) sia in formato elettronico. Viene precisato, al 2°comma, che esso può avere ad oggetto anche più nomi a dominio, purchè appartenenti al medesimo titolare.

La 1°parte del reclamo contiene “i dati essenziali” della procedura: si trovano, infatti, le generalità ed i recapiti delle parti.

Nella parte narrativa del reclamo devono invece essere indicati e provati i presupposti sostanziali della procedura la cui prova incombe al ricorrente (e cioè si tratta delle condizioni sub a) e c)). Vanno pertanto indicati i motivi per i quali il nome a dominio risulterebbe identico o confondibile col marchio o col nome e cognome del ricorrente ed i motivi per i quali il resistente avrebbe registrato ed userebbe il dominio in malafede.

In allegato al reclamo devono essere presentati i documenti che lo supportano ed in particolare deve essere fornita la prova della registrazione del segno distintivo o del marchio cui il reclamo si riferisce.

Unitamente al reclamo il ricorrente deve versare il corrispettivo stabilito (il quale varia per ogni Ente Conduttore, che ha facoltà di decidere il prezzo della procedura, col solo limite di non applicare tariffe inferiori a 400 euro). Le spese – è opportuno sottolinearlo – sono ad esclusivo carico del ricorrente, dato che in questa procedura esse non seguono la regola della soccombenza: il resistente, pertanto, non dovrà mai sopportare alcun costo.

Una volta che il reclamo è pervenuto all’Ente Conduttore, questo ne verifica la regolarità formale e, se l’operazione si conclude con esito positivo, procede all’invio del reclamo al resistente.

Il resistente ha così conoscenza del reclamo ed ha da tale momento 25 giorni di tempo per inviare all’Ente Conduttore un proprio scritto difensivo.

Nella replica (che, quanto alle “modalità di trasmissione”, soggiace ai medesimi obblighi già visti per l’invio del reclamo) il resistente deve confutare le affermazioni del ricorrente, evidenziando – in particolare – i motivi per i quali ritenga di avere titolo al mantenimento del dominio già assegnatogli.

Giova ricordare che il resistente non è tenuto ad inviare detta replica, in quanto ha una mera facoltà e non un obbligo di presentare una memoria a sostegno delle proprie ragioni.

“Se il resistente non invia alcuna replica – precisa, infatti, l’ultimo comma dell’art. 5 P.d.R. – il Collegio decide la controversia sulla base del solo reclamo”.

E molto spesso il resistente non presenta alcunché. Trovo, comunque, che sia sempre preferibile far pervenire uno scritto, per mettere il Saggio in condizione di decidere più serenamente. Ovviamente “est modus in rebus”, perché – all’opposto – ci sono irriducibili personaggi che fanno arrivare note difensive davvero bizzarre (giorgio-armani.com: il resistente, giapponese, sosteneva di aver diritto al nome a dominio, perché “giorgio-armani” era il nome… del suo cane!!).

Il Collegio viene formato dall’Ente Conduttore, in forma monocratica o collegiale a seconda della scelta effettuata dal ricorrente che dovrà limitarsi ad indicare il tipo del collegio decidente, senza poter nominare direttamente il Saggio (ciò è peraltro evidente: in caso contrario la parte che promuove la procedura potrebbe praticamente “scegliersi il giudice”. Ed infatti dato che l’elenco dei saggi è pubblico, come pubbliche sono anche le decisioni da costoro rese, sarebbe facile in linea teorica capire quale possa essere l’orientamento più favorevole ad uno specifico caso).

Il Collegio si ritiene costituito con l’accettazione dell’incarico, ricevuta dall’unico Saggio o dal terzo dei tre.

Le modalità di svolgimento della procedura sono stabilite liberamente dal Collegio, il quale deve tuttavia assicurare un trattamento imparziale alle parti, concedendo ad ognuna di esse un uguale diritto di difesa.

Un punto centrale – e che tuttavia non è stato preso in considerazione da parte della dottrina con l’attenzione che invece avrebbe meritato – riguarda l’ampiezza (ed i limiti) dei poteri istruttori del Saggio.

Ci si chiede, in altre parole, se il Saggio, nel decidere la lite, sia vincolato alle allegazioni della parti o possa invece formare il suo convincimento aliunde. La questione, all’evidenza, non è mera disputa accademica, ma problema concreto, pratico. Peraltro molto frequente, perché la parte (che non è tenuta ad avvalersi dell’assistenza di un professionista nella redazione del reclamo o della replica) spesso sorvola su aspetti che avrebbe invece dovuto illustrare compiutamente (per tutti: le ipotesi di malafede). Le regole che disciplinano la procedura sul punto tacciono. Va detto che certa dottrina riconosce al Collegio la possibilità di effettuare d’ufficio le indagini che quest’ultimo ritiene indispensabili per pervenire ad una corretta decisione. Sembra però preferibile – anche per non forzare la lettera delle regole – accogliere l’opposto orientamento e dunque ritenere che il Collegio debba assumere la propria decisione unicamente sulla base delle affermazioni rese dalle parti e dei documenti prodotti (cfr. art. 15 P.d.R).

Potrà il Saggio, eventualmente, richiedere a ciascuna delle parti ulteriori precisazioni e documenti (come previsto ex art. 12 P.d.R.). Anche in questo caso, tuttavia, la laconicità del disposto testè citato non chiarisce se il collegio debba limitarsi a prospettare genericamente ai soggetti in lite di argomentare più diffusamente le rispettive posizioni ovvero se abbia la possibilità di formulare specifici quesiti alle parti (es: se il resistente abbia “fatto incetta” di domini corrispondenti a marchi celebri). Per restare all’esempio fatto, è evidente che, così facendo, il Saggio ricaverebbe preziose informazioni in ordine alla malafede del resistente; e tuttavia non sembra possibile che il Collegio possa arrogarsi tali poteri.

Una caratteristica del procedimento collegiale è la sua celerità, per cui tutti i termini, salvo eccezioni, sono perentori e comportano per chi non li rispetta la decadenza dal potere di compiere quel determinato atto.

Entro 15 giorni dalla sua formazione (30 nel caso in cui siano stati chiesti alle parti chiarimenti) il Collegio rende nota la propria decisione all’Ente Conduttore, che a sua volta provvede, nei 4 giorni successivi, a comunicarla alle parti, alla RA ed al presidente della NA.

E’importante sottolineare che il Collegio può accogliere il ricorso solo nel senso di disporre il trasferimento del DN, mentre null’altro può essere disposto in positivo. Ed infatti nella PDR il ricorrente può solo chiedere il trasferimento del nome a dominio, non anche la cancellazione dello stesso. E’, a mio avviso, un limite della procedura in esame. Sul punto mi limito ad osservare che le “analoghe” procedure amministrative adottate dall’ICANN (le c.d. MAP, che hanno “ispirato” la nostra PDR) prevedono per il ricorrente la sopra evidenziata doppia possibilità (si parla, espressamente, di “transfer” come alternativa alla “cancellation”). E, a quanto mi risulta, in più occasioni il ricorrente opta proprio per la cancellazione (come avvenuto nel caso nokiagirls.com, dominio dal nome equivoco che la Nokia desiderava unicamente venisse “tolto dalla scena”, non essendo evidentemente interessata all’assegnazione dello stesso a proprio nome).

Da noi, come detto, non c’è sulla carta la possibilità della cancellazione del DN, ma un “escamotage” può permettere al ricorrente di ottenere al lato pratico lo stesso risultato. Mi spiego. E’noto infatti che la pronuncia che dispone la riassegnazione non effettua un vero e proprio trasferimento del nome a dominio (cfr. art. 14 Regole di Naming); la RA, ricevuta la decisione, revoca il DN ed invita il ricorrente ad inviare la LAR, per dare così inizio alla richiesta del dominio oggetto di decisione. In particolare, se la procedura per l’assegnazione non viene intrapresa entro 30 giorni il DN può essere nuovamente e liberamente assegnato a chiunque ne faccia richiesta.

Come si vede, se il ricorrente lo desidera può non dar seguito al trasferimento del nome a dominio, lasciando decorrere il periodo di 30 giorni senza attivarsi. Di fatto il dominio è stato cancellato.

Un’altra particolarità della decisione. Se il Saggio ritiene che il reclamo sia stato promosso in malafede (magari per screditare l’assegnatario del DN) nella decisione si fa menzione di tale fatto e questa parte della decisione viene sempre pubblicata, anche qualora la pronuncia non venga resa integralmente disponibile on line.

La ratio di questa previsione è, all’evidenza, quella di disincentivare il c.d. “riverse domain name hijacking”: fenomeno piuttosto diffuso per il quale i titolari di un marchio registrato – il più delle volte “celebre” – hanno tentato di approfittare della loro posizione privilegiata cercando di farsi assegnare un dominio già legittimamente registrato da un terzo, titolare, a sua volta, di un concorrente diritto sul dominio stesso (es.: se Giorgio Armani promuovesse una PDR per armani.it, registrato dall’omonimo timbrificio di Treviglio (BG)). (vedasi, per riferimenti concreti, le decisioni cimone.it, dvditalia.it).

Ricostruito così, nei suoi momenti essenziali, l’iter della presente procedura, andiamo ora ad esaminare più da vicino l’art. 16.6 Reg. Naming, norma davvero centrale per la corretta comprensione della PDR. E’la norma fondamentale, la trave portante dell’impalcatura della PDR, la disposizione che deve avere sempre “sotto gli occhi” il saggio che va a decidere la lite.

Perché, come abbiamo visto, 3 sono i presupposti che sorreggono – da un punto di vista giuridico – il trasferimento del nome a dominio contestato a favore del ricorrente e tutti e 3 tali presupposti sono disciplinati dalla norma poc’anzi citata.

Andiamo, perciò, ad analizzare l’art. 16.6, che individua subito – alla lettera a) – la prima condizione che dev’essere soddisfatta.

a) il nome a dominio contestato dev’essere identico o tale da indurre confusione rispetto ad un marchio su cui il ricorrente vanta diritti, o al proprio nome e cognome.

Il punto a) deve esere dimostrato dal ricorrente nei modi consueti, fornendo prova dell’esistenza di un proprio marchio o del proprio nome e cognome.

Nel silenzio della norma, occorrerà stabilire in concreto se la PDR potrà venire utilizzata, oltre che per tutelare marchi registrati, anche per tutelare marchi di fatto, ragioni sociali o altri segni distintivi (quali il titolo di una testata giornalistica, o uno slogan).

Il fatto che l’art. 16.6 faccia riferimento solo ad un marchio sembrerebbe escludere la possibilità di avvalersi della procedura per difendere ogni tipo di segno distintivo, ma ogni timore viene risolto dalla lettura contestuale dell’art. 3 Proc. Riass., che – nello stabilire il contenuto del reclamo – fa espresso riferimento ai segni distintivi, oltre che ai marchi.

Sempre con riferimento al punto a) devo evidenziare che – a mio parere – a nulla rileva che il marchio sia stato registrato in Italia o altrove, dato che le vigenti regole di Naming richiedono genericamente che il ricorrente vanti diritti su un marchio, indipendentemente dalla Nazione in cui questo è stato registrato.

D’altronde osservo che numerose decisioni relative a TLD “geografici” (e “geografico” è anche il “.it”) hanno disposto il trasferimento di domini in favore di soggetti che avevano dato prova di essere titolari di marchi registrati in Paesi diversi rispetto allo Stato di registrazione del dominio contestato (vedasi – a titolo meramente esemplificativo – le seguenti pronunce, relative al ccTLD “.tv” – Isole Tuvalu, Oceania – nonché al ccTLD “.ws” – Western Samoa, Oceania – : “gomaespuma.tv”, “Halifax.tv”, “nasdaq.tv”, “nokia.ws”, “zippo.ws”). Tutte queste considerazioni sono state esplicitate nella decisione che chi scrive ha reso relativa al dominio “antago.it”, ad oggi l’unica pronuncia italiana che ha dovuto affrontare questo problema.

Passiamo ora all’esame del 2° presupposto richiesto per la riassegnazione del dominio.

La lettera b) testualmente recita: “il resistente non ha alcun diritto o titolo in relazione al dominio contestato”. Sarà, pertanto, onere del resistente dare prova di un proprio concorrente diritto o titolo al nome a dominio, oppure dell’esistenza di una delle circostanze dalle quali l’art. 16.6 u.c. Reg. Naming deduce la presunzione di un legittimo uso del resistente al nome a dominio contestato (es.: egli è conosciuto col nome corrispondente al DN contestato, anche se non ha registrato il relativo marchio, oppure che del DN sta facendo un legittimo uso non commerciale, e così via…).

Come ben affermato dall’Avv.Ziccardi nella decisione “dinersclub.it/dinersclubitalia.it”, le prove previste dalla lett.b) “devono sempre essere tenute in grande considerazione, per evitare che le PDR vengano utilizzate unicamente per garantire al più forte economicamente, quasi d’ufficio, diritti su domini correlatati ai segni distintivi del ricorrente”.

Il 3° presupposto richiede che il DN sia stato registrato e venga usato in mala fede.

E’una condizione molto importante, un aspetto cruciale, e rivela che non ogni ipotesi di contraffazione del marchio sia ritenuta illecita ai fini della presente procedura. In altre parole, non si può colpire con lo strumento della PDR una contraffazione di marchio attuata in buona fede. Si potrà, volendo, adire l’Autorità Giudiziaria ordinaria per vedere applicata la legge marchi, che reprime fenomeni di contraffazione più ampi, perché non dà rilevanza all’elemento soggettivo. Ma questo è un altro discorso, che esula dalla tematica di cui ci stiamo occupando.

Ciò posto, va detto che l’art. 16.7 Reg. Nam. elenca una serie di circostanze che, se dimostrate dal ricorrente, saranno ritenute prova della registrazione e dell’uso del dominio in malafede da parte del resistente (es.:il dominio è stato registrato per essere trasferito a caro prezzo al ricorrente, oppure per impedire al titolare di identico marchio di registrare in proprio tale nome a dominio, ecc.).

La disposizione poc’anzi citata, all’ultimo comma, si affretta però a precisare che l’elencazione delle “presunzioni di malafede” è meramente esemplificativa. Il Collegio potrà, pertanto, rilevare anche da altre circostanze elementi di malafede. Mi sembra corretto. Anzi, personalmente ritengo che, ai fini della procedura in esame, il termine “malafede” vada inteso nella sua accezione più ampia. Il che, per così dire, impone un’indagine “a 360° gradi” sul comportamento del titolare del dominio, al fine di indagare se emerga un “agire scorretto” di quest’ultimo, indice della sua consapevolezza di ledere diritti di terzi.

Così, passando in rassegna la giurisprudenza sul tema, annoto che è stato ritenuto essere in malafede chi registra un DN al solo scopo di impedire al ricorrente di portare sul web il proprio segno distintivo (cioè, come si legge di frequente, di impedire al ricorrente di riflettere sul DN il proprio nome o il proprio segno distintivo legittimamente registrato). (cfr. decisione aol.it)

Altre volte viene vista come indice di malafede – unita ad altre risultanze – la circostanza che il resistente abbia registrato altri domini in nessun modo riferibili alla sua attività, ma relativi a marchi e denominazioni di imprese famose. (barbie.it, pursennid.it, antago.it, ecomusei.it)

In certi casi, è stato considerato sintomo di malafede la detenzione passiva di un nome a dominio (c.d. “passive holding”, termine tecnico utilizzato anche da noi in Italia per definire correttamente tale fattispecie ): la detenzione, cioè, di un dominio cui non sono collegati contenuti raggiungibili tramite il protocollo http. Detto altrimenti – ed in termini più semplici –si tratta della mancata attivazione del sito (classica ipotesi, certamente nota a tutti, è la “pagina bianca” in cui campeggia la scritta “sito in costruzione”). (aol.it, guidasposi.it)

O ancora, per restare in tema, l’attivazione del sito solo in un momento successivo alla comunicazione del reclamo. E’un caso realmente accaduto, e ci si riferisce al dominio avid.it, nel quale – a seguito del reclamo del ricorrente (AVID, multinazionale leader nel settore della fornitura di strumenti audio e video digitali) – il resistente ha attivato un’improbabile pagina web che faceva riferimento ad un ipotetico “Avid – antiarrhytmics versus implantable defribrillators”, a dire del resistente il titolo di un articolo medico pubblicato sul New England Journal of Medicine. Ma anche questo, all’evidenza, si è rivelato uno “stratagemma” davvero poco astuto, ritenuto, invece, elemento di malafede.

Talora, poi, sono le pagine stesse del sito a provare – ictu oculi – la malafede del resistente (spesso, infatti, il sito è stato predisposto con il preciso intento di far credere all’ignaro visitatore di essere entrato nel sito ufficiale del ricorrente). (antago.it)

Tirando ora le fila di quanto fin qui detto sulla procedura di riassegnazione – ed avviandoci a concludere – va osservato che l’ambito della cognizione attribuita al Collegio è limitata all’accertamento della sussistenza dei presupposti richiesti dall’art. 16.6 Reg. Naming per il trasferimento del nome a dominio contestato. Deve essere chiaro, in altre parole, che la PDR è un’alternativa differente, in tutto e per tutto, rispetto alla composizione giudiziale delle liti.

Presentata così, la PDR sembra essere la “panacea” di tutti i mali che attualmente affliggono i domain names, in relazione al domain grabbing.

Indubbiamente, che sia uno strumento efficace è ormai assodato e ciò è testimoniato anche dal crescente successo che la procedura sta incontrando presso il pubblico (ad oggi si contano circa 100 decisioni).

Ovviamente presenta lati negativi (tra cui la possibilità che l’attuazione della decisione sia vanificata dall’instaurazione – entro 15 giorni dalla pronuncia del saggio – di una causa ordinaria dinanzi all’Autorità Giudiziaria), ma senz’altro superiori sono i “punti di forza”: la competenza del saggio, i costi contenuti e la celerità della procedura, abissale se paragonata ai tempi della giustizia ordinaria.

Quindi – e per concludere – invito a considerare che, nell’ambito di una contesa su un dominio, oltre alla composizione giudiziale delle liti, ci sono strumenti di risoluzione alternativi: il giudizio arbitrale e la procedura di riassegnazione, che presenta senza dubbio profili di assoluto interesse.

Cancellazione Sicura

Cancellazione Sicura grazie all’introduzione del GDPR (General Data Protection Regulation, regolamento generale sulla protezione dei dati) maggio 2016, ha portato alla ribalta le strategie di distruzione dei dati e l'obbligo della cancellazione sicura.

Grazie alle multe potenzialmente punitive per la mancanza di conformità e per la responsabilità ora in capo al team dei leader senior, lo storage dei dati è ora fermamente in cima alle priorità per molte organizzazioni.

Tuttavia, conoscere il problema e intraprendere delle azioni pragmatiche per affrontarlo sono chiaramente due cose diverse.

Il problema è che le organizzazioni non sempre sanno dove si trovano i loro dati, così rispondere alle richieste di accesso per soggetto (subject access requests, SAR) in relazione alle informazioni personali è destinato a diventare un processo complesso e dispendioso in termini di tempo e denaro.

Ai sensi dell’Articolo 17 del GDPR, le organizzazioni devono essere in grado di dimostrare di utilizzare processi di cancellzione sicura dei dati in maniera permanente.

Una volta intrapresa la verifica iniziale dei dati (la maggior parte delle organizzazioni dovrebbe essere a buon punto nel completamento di questo processo in preparazione al GDPR) la fase successiva consiste nell’eliminare i dati personali che non sono più rilevanti, che non sono più utilizzati per uno scopo specifico o che si riferiscono a minori di anni 16.

Cancellare sicura dei dati

In ogni caso, eliminare semplicemente i dati o riformattare i supporti magnetici (inclusi hard disk e nastri) non sarà sufficiente per garantire che non siano presenti dati personali inesatti in qualche parte dell’attività.

Se i dati vengono eliminati da qualsiasi tipo di supporto, in molti casi possono essere recuperati, anche quando l’hardware è danneggiato da acqua o fuoco.

Fortunatamente, sono disponibili molte soluzioni software che ripuliscono completamente i dispositivi in modo che essi possono essere riutilizzati, rivenduti o riciclati in modo sicuro.

Esistono anche soluzioni che assicurano la cancellazione sicura, sia in maniera permanente solo file specifici e mirati. Esistono ovviamente anche soluzioni di cancellazione più definitive, come il degaussing, che smagnetizza i nastri magnetici e rende il dispositivo completamente illeggibile (e inutilizzabile), il processo è chiamato cancellazione sicura.

I dischi virtuali dovrebbero anche essere considerati come parte di qualsiasi processo di eliminazione dei dati. I fornitori di servizi di terze parti in particolare utilizzano l’infrastruttura virtualizzata per ripartire lo spazio storage su più clienti, al fine di ottenere delle economie di scala.

Molti fornitori si trovano quindi a dover affrontare il problema di eliminare in maniera sicura determinate aree dell’infrastruttura di storage virtuale lasciando il resto intatto, per esempio in caso di scadenza per un cliente del contratto dei servizi gestiti.

I rischi delle unità fisiche

Un’altra importante fonte di rischio sono le unità fisiche, che tendono a essere riciclate e riutilizzate dalle organizzazioni che cercano di contenere i costi dello storage.

Se non si utilizzano gli strumenti e i software adeguati per la cancellazione dei dati, le organizzazioni non possono avere la certezza che siano stati rimossi i dati sensibili prima che il dispositivo venga reimplementato o rispedito al produttore.

In una ricerca condotta su 64 dischi acquistati online da diversi paesi, tra cui Stati Uniti, Germania, Francia, Italia, regione Asia-Pacifico, Polonia e Regno Unito, una azienda leader nel settore ha rilevato che 30 dischi contenevano ancora tracce di dati personali.

Uno dei dischi, in particolare, ha fatto scattare un allarme. Apparteneva a una società che si avvaleva di un service provider per cancellare e rivendere vecchi dischi.

Nonostante questo, il disco conteneva un’elevata quantità di informazioni altamente sensibili, tra cui nomi utente, indirizzi di abitazioni, numeri di telefono e dettagli delle carte di credito.

Conteneva un elenco di dipendenti di circa 100 nomi che includeva informazioni relative a esperienza lavorativa, titoli professionali, numeri di telefono, conoscenza delle lingue, periodi di ferie e 1 MB di rubrica offline.

Quasi un terzo (21 dischi) conteneva foto personali, documenti privati, e-mail, video, audio o musica. Su otto dischi sono state trovate informazioni relative ad account utente, compresi dati di accesso come nomi e cognomi, dettagli di contatto, indirizzi e-mail, nomi e password di account online.

Su circa 9 dischi sono stati recuperati dei dati commerciali, tra cui nomi di società, buste paga, numeri di carte di credito, informazioni sui conti correnti bancari, dettagli di investimento e dichiarazioni dei redditi.

Il problema si estende al mondo business, dato che gli accessi agli account aziendali degli utenti vengono effettuati dai dispositivi mobili personali. Nel corso di questa indagine, abbiamo rilevato che sei dischi contenevano dati di business critichi come file CAD, PDF, JPG e password.

Abbiamo inoltre trovato configurazioni complete di store online, file di configurazione e video di training per POS nella nostra valutazione di questi sei dischi. Altri cinque includevano ulteriori dati relativi al lavoro: fatture e ordini di acquisto, la maggior parte dei quali riportava informazioni personali sensibili.

Gli utenti non conoscono i rischi

In un sondaggio precedente condotto su 2.000 consumatori del Regno Unito, abbiamo scoperto che molti utenti non sono consapevoli dei rischi derivanti dal mancato backup dei dati o da uno scorretto riciclo dei propri dispositivi.

Quasi 1 su 10 (11%) ha ammesso di non essere sicuro che i dati fossero stati cancellati in maniera permanente nel momento di riutilizzare o gettare via vecchi cellulari, tablet o computer.

Solo il 32% ha affermato di effettuare regolarmente il backup dei dati sui propri dispositivi elettronici, mentre il restante 68% rischia la perdita di informazioni personali o lascia i dati sui propri dispositivi che possono essere persi, danneggiati, rivenduti o smaltiti.

Indagini forensi

Nel mondo si è verificata una proliferazione di gadget, dagli smartphone agli iPad fino ai digital assistant con comando vocale, televisori e frigoriferi in grado di registrare e trasmettere dati.

I sensori industriali e le telecamere CCTV contribuiscono a produrre dati così estesi e complessi che è necessario un nuovo approccio per archiviarli, proteggerli e cancellarli su richiesta dei singoli.

Gli esperti di informatica forense possono utilizzare i dati per costruire o fare a pezzi una causa. Un esempio di tale possibilità si è registrato quando la pubblica accusa ha scoperto che i dati Fitbit di una donna assassinata non combaciavano con l’alibi del marito.

In base alle posizioni registrate dal Fitbit e dal controllo dell’attività, gli investigatori hanno potuto compilare una cronologia degli spostamenti che ha dimostrato che la donna non era nel luogo indicato dal marito al momento dell’omicidio. Richard Dabate è ora fuori su cauzione, in attesa del processo per aver ucciso la moglie.

Questo caso serve a dimostrare che un esperto di informatica forense caparbio sarà in grado di recuperare i dati da quasi tutti i dispositivi, indipendentemente dallo stato in cui si trovano.

I numerosi studi che abbiamo condotto nel corso degli anni sui dispositivi persi o riciclati mostrano spesso una mancanza di attenzione, che espone gli individui e le organizzazioni per cui lavorano a un elevato livello di rischio.

L’effetto GDPR

Con l’entrata in vigore della nuova legislazione GDPR, le società, sia del settore pubblico che di quello privato, dovranno dimostrare che i dati sono stati cancellati in maniera sicura, in linea con le nuove linee guida, e documentare di essere completamente affidabili per il monitoraggio, la revisione e l’accesso alle relative procedure di trattamento.

Dovranno mostrare disponibilità a ridurre al minimo l’elaborazione e la conservazione non necessaria dei dati, oltre a implementare misure di protezione per tutte le attività correlate ai dati stessi.

Molte organizzazioni stanno già considerando il GDPR come un motivo per applicare le best practice alle proprie strategie di data storage.

Implementare una politica di cancellazione end-to-end comporta parecchi vantaggi di business, non derivanti semplicemente dall’attenzione che viene ora dedicata alla legislazione rivista in ambito europeo.

Costi – il data storage, sia fisico che virtuale, è costoso. Essere in grado di cancellare i dati in maniera sicura consente alle società di riciclare e riutilizzare i supporti di archiviazione senza il timore di mettere inavvertitamente i dati sensibili nelle mani di altri.

Sicurezza – La differenza tra eliminazione e cancellazione è spesso fraintesa e talvolta si pensa che siano la stessa cosa. È importante per le società comprendere che se i dati vengono eliminati, essi possono essere recuperati. Al contrario, se sono adeguatamente cancellati, saranno irrecuperabili.

Restare aggiornati – L’attenzione sulla conservazione e la cancellazione dei dati non è una novità (PCI DSS, ISO 270001), ma dato che il mondo diventa sempre più dipendente dai dati, è comprensibile che si avverta l’esigenza di regolamenti maggiormente focalizzati e applicati a livello mondiale.

Il GDPR regolerà anche importanti aspetti come la globalizzazione o sviluppi tecnologici popolari, come Facebook, Twitter, Google+ e altre piattaforme di social media. La nuova legislazione comprenderà tutte le nuove modalità di comunicazione dell’era digitale e le relative informazioni che vengono generate dalla nostra interazione con questa tecnologia.

In base alla nostra esperienza, sembra che i professionisti nella protezione dei dati siano in generale ben informati in relazione alla nuova legislazione GDPR.

La sfida per loro è quella di colmare il divario tra i requisiti teorici e le attività pratiche di implementazione, oltre a gestire l’impatto che tutto ciò avrà sulle aziende per cui lavorano. Ciò include la capacità di cancellare i dati in maniera sicura e con un processo verificabile.

Al contrario, ci sono ancora parecchie organizzazioni che non hanno assegnato le attività associate alla protezione dei dati all’interno del proprio business, che si tratti di un singolo addetto alla protezione dei dati o un team. Per queste società, il tempo sta scadendo.

Cosa sta facendo la tua organizzazione per smaltire i dati in maniera adeguata e perché? Credi di essere preparato per il GDPR?

Cancellare i dati in modo certo e definitivo al momento della dismissione del device o della sostituzione dell'unità di memoria è un obbligo ripetutamente indicato dal GDPR:


Art. 4 del GDPR 2016/679

Nella definizione di "trattamento" sono incluse la cancellazione o la distruzione dei dati.


Art. 5 del GDPR 2016/679

Si specifica che i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.


Art. 17 del GDPR 2016/679

Si obbliga ad avvalersi di sistemi di rimozione certificata per rimuoverli in modo permanente nel rispetto della loro Privacy (diritto all'oblio).

PSD2, cosa cambia?

PSD2, porta diverse novità nella gestione dei pagamenti e del denaro.

In un mondo sempre più complesso, consumatori e aziende sono alla ricerca di servizi finanziari che possano aiutarli a perseguire i propri obiettivi.
La rivoluzione del settore dei servizi finanziari è appena cominciata: l’open banking consente ai provider di trasformare il modo in cui persone e imprese gestiscono il denaro.
I clienti potranno avere offerte personalizzate e costi inferiori, mentre i sistemi bancari dovranno abbracciare il concetto di apertura e digitalizzazione.
Non solo, saranno notevolmente rafforzate le misure di sicurezza. Questo grazie a nuovi standard di autenticazione per limitare il rischio frodi.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco.  Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l'indirizzo di spedizione, l'ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

La MBLI S.a.s. di Marchese Daniele Rosario, è partner di player attivi in UE, Aruba Enterprise è Qualified Trust Service Provider nella OBE Directory con CA Actalis e Aruba PEC, per la fornitura di QWAC e QSealC service.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco.  Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l'indirizzo di spedizione, l'ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

VPN, cos'è e come funziona

Le Virtual Private Network (VPN) rappresentano un modo per estendere l’accessibilità delle reti aziendali anche a utenti remoti e altri siti dell’impresa in modo il più possibile sicuro, flessibile ed economico. Possono essere oggi implementate in diverse modalità per venire incontro alle specifiche esigenze degli utenti.

Quasi tutte le aziende che hanno una rete informatica interna, con computer, server e sistemi di archiviazione dei dati, hanno anche anche dipendenti o collaboratori che si trovano a lavorare (stabilmente o temporaneamente) in mobilità o da casa. Molte hanno anche sedi distaccate, più piccole di quella centrale, quali uffici periferici, punti vendita, magazzini o stabilimenti. Da anni esiste la tecnologia VPN (Virtual Private Network) per risolvere queste problematiche. Vediamo di cosa si tratta.

Cos’è una VPN e a cosa serve

Il significato di VPN è Virtual private network ed essa consente alle aziende di ampliare praticamente senza limiti geografici la propria rete privata centrale, creando una “rete virtuale privata”, che permette a utenti e siti periferici (branch) di connettersi al “major network” aziendale attraverso reti IP geografiche noleggiate da provider di telecomunicazioni, basate sul protocollo Mpls (Multiprotocol Label Swithcing), o reti pubbliche e condivise come Internet e le piattaforme cloud.

Grazie alle VPN Mpls o quelle over Internet, gli utenti remoti o i siti esterni di un’azienda possono collegarsi, da qualsiasi parte del mondo, in qualunque momento e con i dispositivi più disparati, alla LAN (Local area network) delle proprie sedi aziendale, in modo sicuro e il più possibile economico. Nell’ambito di queste connessioni, i client possono stabilire comunicazioni con un singolo computer o con tecnologie condivise con altri utenti quali un server applicativo, un database, un NAS (Network Attached Storage), stampanti e così via.

Cosa significa tunneling?

Alla base del funzionamento di una Virtual Private Network vi è la creazione di un tunnel (ovviamente virtuale) all’interno del quale due o più partecipanti a una sessione virtual private network possono scambiarsi dati al riparo da occhi indiscreti. Per la creazione di questo canale privato, pur utilizzando un’infrastruttura condivisa, è necessario un protocollo di tunneling. Di queste tecnologie oggi ne esistono di diverse, ma tutte hanno in comune alcuni aspetti.

Ecco come funziona una VPN

Innanzitutto nel data center dell’azienda, o nel suo private cloud (nel caso si abbia optato per questa soluzione) deve essere installato un server VPN, chiamato anche Virtual private network Hub o Central Hub, su cui sono gestiti tutti e tre i livelli del framework di sicurezza di una Virtual Private Network:

  • un sistema di autenticazione degli utenti,
  • un layer per la gestione dei metodi di cifratura dei dati scambiati fra i vari nodi della rete,
  • un firewall che controlla gli accessi alle diverse porte delle reti.

Il VPN Hub deve essere anche connesso a un router e a uno o più switch che permettono l’assegnazione di indirizzi IP pubblici (statici o dinamici) a tutti i partecipanti della VPN (dati che devono necessariamente essere presenti negli header dei pacchetti incapsulati nei tunnel).

Quindi, tutti i dispositivi che gli utenti intendono utilizzare devono essere dotati di un client VPN, che può anche essere:

  • un’applet nativa del sistema operativo del dispositivo;
  • un software o un estensione per il browser scaricabile dal sito del gestore di servizi VPN;
  • un agente software fornito insieme a un hardware che supporti la creazione di queste reti (router, firewall, NAS, etc);
  • un programma sviluppato da un vendor di sicurezza.

Tipi di VPN per topologia

Virtual Private Network è un modo di utilizzare le reti condivise e pubbliche globali per ampliare in modo controllato e protetto i confini di un major network aziendale privato, ma non significa un unico tipo di tecnologia e di implementazione.

Da un punto di vista delle topologie di VPN possiamo identificarne due tipi, spesso compresenti nella stessa azienda:

  • le VPN remote access, è la tipologia più semplice e comune e prevede esclusivamente la possibilità che alcuni utenti possano connettersi da remoto al major network dell’azienda.
  • le VPN site-to-site permettono di creare tunnel, attraverso reti pubbliche e condivise, fra siti aziendali diversi.

Questo tipo di VPN, dal punto di vista topologico, utilizza solitamente il modello hub-and-spokes. Il nome deriva dall’analogia con la ruota di una bicicletta. In questo caso l’hub (mozzo) è il major network aziendale, presso il quale si trova il server VPN. Gli spoke (raggi) sono le reti geografiche (MPLS o Internet) utilizzate per connettere al major network le sedi remote. Anche presso quest’ultime possono essere implementate soluzioni di Virtual Private Network che permettono l’accesso ai loro server da parte di utenti remoti o ulteriori branch che – a cascata – possono anche essere reinstradati verso il major network della sede centrale.

Tipologie di soluzioni per sicurezza, amministrazione e flessibilità

Oltre alle differenze topologie, esistono fra le Virtual Private Network anche diversità in funzione del livello di security e non solo. In particolare le VPN si suddividono in tre principali categorie: Trusted VPN, Secure VPN e Hybrid VPN.

Trusted VPN

Le Trusted VPN sono reti private virtuali in cui non è previsto un tunneling crittografato. Tradizionalmente appartengono a questa categoria le Virtual Private LAN create all’interno di un’azienda. I Virtual Private LAN Services si basano sul sul livello 2 (data link) del modello OSI e permettono di creare reti virtuali che condividono lo stesso network fisico ma i cui rispettivi host non possono sconfinare da una rete all’altra.

Come abbiamo già segnalato, le VPN non necessariamente utilizzano Internet come rete geografica: possono utilizzare anche le WAN MPLS. Questi fornitori sono in grado di offrire percorsi alle reti virtuali predefiniti, controllati, protetti e con una qualità del servizio (quality of service) garantite. Nel loro armamentario, quindi, ci sono le tecnologie utilizzate dal Trusted VPN.

Secure VPN

Il vantaggio principale delle Secure VPN è che i tunnel VPN sono creati utilizzando protocolli di cifratura e sicurezza quali IPsec, TSL/SSL, PPTP (Point to Point Tunneling Protocol) o SSH. Tali protocolli sono utilizzati da entrambi i nodi di una VPN. Di conseguenza, se un hacker riuscisse a intercettare i pacchetti di un traffico di rete, vi troverebbe dentro solo dati illeggibili. A differenza di una Trusted VPN, una Secure VPN consente di utilizzare Internet in modo estremamente flessibile: quello che conta è solo avere a disposizione delle connessioni, anche Wi-Fi pubbliche.

Hybrid VPN

Oggi sta emergendo il modello Hybrid VPN, che consente di coniugare i vantaggi delle Trusted VPN (come il controllo dei percorsi) e delle Secure VPN (la crittografia dei contenuti e dei tunnel). Molte Trusted VPN si stanno aggiornando con l’aggiunta di funzionalità Secure Virtual private network come security overlay sulle tecnologie già utilizzate.

VPN e sicurezza informatica

Sono molti i vantaggi delle VPN in termini di sicurezza. Innanzitutto, l’autenticazione degli utenti, che oggi può non avvenire solo con l’utilizzo di username e password, ma anche con smartcard, riconoscimento biometrico e altri metodi ancora.

Quindi la privacy dei dati. I principali protocolli utilizzati per creare VPN utilizzano algoritmi e protocolli crittografici molto robusti. E questo vale tanto per prodotti open source quali OpenVPN e SoftEther VPN, quanto per le tecnologie non a sorgente libero come SSTP, introdotto da Microsoft nel 2007, che sfrutta la tecnologia SSL 3.0, e IKEv2 , sviluppato da Microsoft e Cisco, che punta invece sulla tecnologia IPsec.

Dal punto di vista della sicurezza, va segnalato che il protocollo di tunneling MPPE è ormai da considerarsi obsoleto. Vi è poi il protocollo L2TP, che funziona a livello 2, non include un sistema di crittografia specifico, ma permette di creare tunnel che possono trasportare comunicazioni cifrate con diversi protocolli. Una sua evoluzione è L2TP/IPsec, in cui IPsec viene utilizzato per l’autenticazione. Un aspetto di security che va considerato, nel caso un’azienda optasse per servizi in cloud, è se il provider raccoglie o no informazioni sull’utilizzo dei servizi virtual private network, e che uso ne fa.

Come scegliere una Virtual Private Network

La scelta della soluzione giusta non può non richiedere un’attenta valutazione dei pro e dei contro dei diversi tipi di VPN, dei protocolli di sicurezza utilizzati e del fornitore della tecnologia o dei servizi gestiti.

Per creare Virtual private network con i metodi tradizionali, utilizzando i software più diffusi (e spesso nativi) e poco hardware, non si spende molto: l’importante è avere risorse competenti. Sul mercato ci sono anche ottimi fornitori di VPN as a service, utilizzati anche da molti utenti consumer, che offrono tariffe competitive che partono da pochi dollari al mese per utente, con molti gigabyte a disposizione e la possibilità di utilizzare più dispositivi contemporaneamente. Di certo salgono se si desidera implementare, on-premises o in cloud, soluzioni scalabili, affidabili, con funzionalità di amministrazione e sicurezza avanzate come la central client administration e il security policy enforcement.

Inoltre, va tenuto presente l’emergere delle VPN layer 3. Sempre più aziende desiderano connettere un numero crescente di siti e di relative LAN, al major network e fra di loro, in modalità virtual private network. Questo comporta un esplosione di indirizzi IP da gestire, moltissimi dei quali inevitabilmente identici. Diventa necessario quindi affrontare la situazione a livello di internetworiking, e quindi di livello 3 del modello OSI (network). I provider di servizi MPLS, grazie all’esperienza nella connettività site-to-site, sono avvantaggiati nel fornire soluzioni layer 3, che se sfruttano le proprie infrastrutture, sono chiamate MPLS Layer 3 VPN. Ma in molti casi anche le L2 sono e resteranno sufficienti.

Alcuni criteri per scegliere le VPN migliori

Per scegliere le VPN migliori è necessario basarsi sulle proprie reali esigenze, valutare le funzioni opzionali disponibili, tenendo presente che una buona opzione deve essere caratterizzata da riservatezza, sicurezza e dalla capacità di proteggere le informazioni. Può essere necessario rivolgersi a soluzioni premium.

Tra le funzioni da valutare la possibilità di fruire del servizio di split tunneling per accedere in modo trasparente a più domini di sicurezza; la garanzia che eventuali errori DNS siano risolti; la disponibilità del servizio kill switch che permette di mantenere sempre aperta la connessione virtual private network anche nel caso di interruzione di Internet.

Breve riepilogo dei protocolli utilizzati da virtual private network sicure

Ecco qui di seguito i protocolli più conosciuti che implementano una virtual private network sicura, esse solitamente utilizzano protocolli crittografici, anche se non sempre.

  • IPsec (IP security), comunemente usate su IPv4 (parte obbligatoria dell’IPv6);
  • PPTP (point-to-point tunneling protocol) di Microsoft;
  • SSL/TLS, utilizzate sia per il tunneling dell’intera rete sia per assicurarsi che sia essenzialmente un web proxy;
  • VPN Quarantine: la macchina del cliente terminale della VPN potrebbe essere una fonte di attacco, cosa che non dipende dal progetto della VPN;
  • MPVPN (Multi Path Virtual Private Network), è il trademark registrato da Ragula System Development Company.

Alcune reti VPN sicure non usano algoritmi di cifratura, in quanto partono dal presupposto che un singolo soggetto fidato possa gestire l’intera rete condivisa e che quindi l’impossibilità di accedere al traffico globale della rete renda i singoli canali sicuri, dato che il gestore della rete fornisce ad ogni soggetto solamente la sua VPN. I protocolli che si basano su questa filosofia sono per esempio:

  • L2F (layer 2 Forwarding), sviluppato da Cisco;
  • L2TP (Layer 2 Tunneling Protocol), sviluppato da Microsoft e Cisco;
  • L2TPv3 (layer 2 Tunneling Protocol version 3);
  • Multi Protocol Label Switching (MPLS), spesso usato per costruire una Trusted VPN.

Coronavirus, phishing e malware

Sul fatto che il Coronavirus abbia messo in allerta l’intero pianeta non vi è più alcun dubbio, così come sul fatto che molti malintenzionati puntino a far leva sullo stato d’animo delle persone, mettendo in atto speculazioni incentrate sul contagio da coronavirus, come avvenuto nei giorni scorsi per la vendita di Amuchina e mascherine protettive da viso, e come sta accadendo in queste ore con il diffondersi di nuove minacce informatiche che sfruttano la fame di informazioni inerenti l’argomento.

In Rete, infatti, cominciano a “fioccare” operazioni di phishing e malware a tema Covid-19. A lanciare l’allarme è stata Reason Labs, azienda che si occupa di sicurezza online e antivirus, mediante un apposito report recentemente diffuso.

Per quel che concerne le campagne phishing, il riferimento è in primo luogo alle aziende. Giungono direttamente nelle caselle di posta elettronica, sotto forma di email tramite cui viene chiesto di effettuare il prima possibile un pagamento per completare l’ordine di materiale sanitario, nella speranza che qualche dipendente più sprovveduto ceda.

Riguardo la questione malware, sono stati messi in piedi siti Internet ad hoc che mostrano aggiornamenti relativi al contagio, con tanto di mappa al seguito (la cui versione ufficiale è quella disponibile sulla piattaforma ArcGIS, basata sui numeri dell’Organizzazione Mondiale della Sanità), e che propongono il download di un file eseguibile per soli computer Windows, il quale viene spacciato come strumento che dovrebbe permettere agli utenti di rimanere al corrente sull’andamento dell’ormai conclamata pandemia ma che, invece, ha come obiettivo quello di sottrarre informazioni sensibili, quali dati di login, dati relativi a carte di credito e conti bancari e altri dettagli strettamente riservati.

I malware che, in tal modo, vanno ad “insediarsi” sul computer degli internauti, non sono però cosa nuova. Si tratterebbe, infatti, di virus già noti, come nel caso di AZORult che è in circolazione dal 2016, usati in passato per compiere altri attacchi miranti al furto di password, credenziali bancarie e via discorrendo, al fine di di rivendere il tutto a terzi mediante il deep Web.

Continuando a parlare di minacce informatiche a tematica Covid-19, una ricerca pubblicata a inizio mese dalla società di sicurezza Check Point ha evidenziato come i domini registrati con nomi o URL con riferimento al virus hanno il 50% di probabilità in più di diffondere codice maligno.

Tenendo conto della situazione, se in genere è bene mantenere gli occhi aperti e prestare la massima attenzione alle insidie che Internet può riservare, in questo particolare e concitato periodo occorre essere ancora più prudenti del solito e scegliere di affidarsi in via esclusiva alle fonti ufficiali per restare informati disponibili sul Web (e non solo) in merito all’evolversi della patologia.

In particolare, Check Point mette in guardia da mail di questo tipo

Inkedcorona-2_LI

L’e-mail contiene un file di documento dannoso, denominato f ###########.doc (# = cifra) e con l’oggetto dell’e-mail “Coronavirus: Informazioni importanti su precauzioni” e l’e-mail è firmata da un medico dell’Organizzazione mondiale della sanità (OMS) con sede in Italia. Tuttavia – dicono a Check Point, “abbiamo effettuato una ricerca online e non è stato possibile trovare un medico di nome Penelope Marchetti presso l’OMS o Organizzazione Mondiale della Sanità (OMS). Inoltre, gli indirizzi email dei mittenti non provengono da domini ufficiali OMS o OMS e la maggior parte di essi non era affatto italiana”.

Ecco uno scatto dal file doc dannoso:

Check Point

Fare clic su “abilita modifica” e “abilita contenuto” porterà al download di Ostap Trojan-Downloader, un downloader di Trickbot, un malware.

Ransomware FTCODE, PEC a rischio hacking.

Una pericolosa variante del ransomware FTCODE sta colpendo le caselle di posta certificata (PEC) di aziende e pubbliche amministrazioni italiane. Ecco tutti i dettagli tecnici per riconoscerlo e i consigli pratici per difendersi e prevenire un possibile attacco.

Una variante del ransomware FTCODE sta prendendo di mira le caselle di posta elettronica certificata (PEC) italiane: il malware viene veicolato mediante una massiccia campagna di malspam proveniente da altre caselle di posta elettronica (per lo più PEC) precedentemente compromesse.

Già lo scorso 2 ottobre, il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.

In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.

Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file WindowsIndexingService.js che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware GootKit e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.

FTCODE: i dettagli della nuova variante del ransomware

Gli analisti del CERT-PA (il Computer Emergency Response Team della Pubblica Amministrazione) hanno ora identificato la nuova variante del ransomware FTCODE che continua ad essere una seria minaccia per le caselle PEC italiane.

La nuova versione di FTCODE ha numerose parti di codice in comune con la precedente variante, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo (C&C), quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.

Molto simile anche il codice necessario a gestire il ciclo per l’enumerazione dei file da cifrare. Così come riportato dal bollettino di sicurezza del CERT-PA, in questa nuova variante del ransomware FTCODE i criminal hacker hanno aggiunto alcune “migliorie”:

  • il file di lock usato per garantire una singola istanza del malware è considerato non valido dopo 30 minuti: questo evita possibili “vaccinazioni” o deadlock;
  • FTCODE crea ora un GUID univoco per macchina in un file di lavoro (ma sembra generarlo ad ogni avvio e quindi potrebbe trattarsi di un bug);
  • i file vengono ora rinominati con un’estensione casuale (i primi 6 caratteri di un GUID) e non più con .ftcode;
  • la password è generata tramite Get-Random e non tramite Membership.GeneratePassword: è composta da 50 caratteri alfanumerici e viene sempre inviata in chiaro al C&C;
  • la pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro;
  • le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono cifrate;
  • in caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al server C&C.

Il CERT-PA ha diffuso anche gli IoC del ransomware FTCODE, cioè gli indici di compromissione che possono tornare utili ai responsabili della sicurezza IT aziendale per individuare il codice malevolo del malware:

SHA256

  • 5e0844e082ffc41784a9cbdf34225793a167c8c3f23aa7937fd442e6eaa19e2a
  • 07c226d6e4ab84a586b1a09f09896223412de927513fda6bf13b031dc497e686

SHA1

  • 46090a00ad5e755b0abef6be931086daef9c5651
  • 4cb525212460fedae4820a7cfc39e47db48c4c7b

MD5

  • e299d13f093b20559b62c8b22482bde3
  • be611918fabc12048aeba6e55f6559d7

URL

  • http://ceco.jasonrsheldon.com/
  • http://ceco.myheritageins.com/?need=streetm&vid=vbs4&4643
  • http://ceco.myheritageins.com/?need=aegzfej&vid=vbs4&
  • http://kati.katieebecker.com/?need=aegzfej&vid=vbs4&
  • http://bill.billfergerson.com

DOMINI

  • cdn.unitycareers.com
  • cdn.secure357.com

I consigli per difendersi

Come abbiamo visto, le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.

Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.

Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

E' importante utilizzare dei sistemi di backup che all'occorrenza siano in grado di salvare e ripristinare i fale in maniera veloce ed affidabile, la soluzione attualmente che consigliamo è l'acquisto di un QNAP.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla formazione non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

Risparmiare con Fritz

Risparmiare la corrente con FRITZ! – opzioni per la casa intelligente

I prodotti FRITZ! non facilitano solo l'uso di Internet e la telefonia bensì ti aiutano anche a ridurre le spese: con la prese intelligenti FRITZ!DECT 200 e FRITZ!DECT 210 puoi integrare i dispositivi elettrici nella rete domestica e venire informato in qualsiasi momento del relativo consumo anche mediante un'analisi significativa e un bilancio di emissioni di CO2.

FRITZ!DECT 200 – molto di più di una presa

Una connessione DECT sicura ti permette di integrare la presa intelligente nella tua rete domestica. Il consumo dei dispositivi ad essa collegati si legge comodamente nell'interfaccia del FRITZ!Box o si può far inviare ai dispositivi mobili tramite e-mail del servizio Push. Grazie a ciò, puoi eseguire misurazioni precise a casa e farti mostrare il consumo, in kilowattora e euro, per ogni ora, giorno, mese o anno.

Powerline con funzione Smart Home

Approfitta di questi vantaggi per risparmiare con il FRITZ!Powerline 546E: questo adattatore non si limita a trasmettere il segnale LAN attraverso la linea elettrica, bensì è dotato anche di una presa con funzione Smart Home. Collega via cavo il tuo nuovo televisore alla rete domestica tramite l'adattatore Powerline e controllane il consumo con la presa. Fai diventare intelligente la tua casa!

Configurazione facilissima

Sia il FRITZ!Powerline 546E sia il FRITZ!DECT 200 sono configurati e pronti all'uso in un attimo. Per creare la connessione basta premere un tasto. Integra altri dispositivi nella tua rete domestica e approfitta delle opzioni che ti offre la tecnologia Smart Home.

Semplice commutazione automatica

Nella modalità automatica il FRITZ!DECT 200 offre molteplici opzioni: imposta un piano orario e il tuo FRITZ!DECT gestirà l'accensione e lo spegnimento dei dispositivi come evento unico oppure ogni giorno, nei giorni feriali, con cadenza regolare o casuale. È anche possibile sincronizzare la commutazione tramite il calendario di Google. La funzione Astro, infine, permette di attivare e disattivare l'alimentazione all'alba e al tramonto.

Misurazione dei consumi

Il FRITZ!DECT 200 non è solo un sistema di commutazione, ma anche di misurazione del consumo energetico dei dispositivi. L'intensità è indicata in watt e la tensione in volt. Le misurazioni si possono effettuare su base oraria, giornaliera, mensile e annuale, sia in kWh che in euro, elaborando anche un bilancio di emissioni di CO2.

Risparmiare non è stato mai così facile ed efficace

FRITZBox 7530

L'introduzione ideale al profilo 35b

Con il FRITZBox 7530 disponi di primo accesso ideale alla rete domestica veloce con il profilo 35b. Oltre al modem ADSL/VDSL e a un router wireless riuniti in un solo dispositivo, il FRITZ!Box 7530 dispone anche di un centralino telefonico DECT integrato, di Ethernet a Gigabit, di una porta USB e del media server.

WiFi Mesh con FRITZ!

Per consentire l'accesso continuo a video, musica e foto nella rete domestica, fino all'angolino più remoto di ogni stanza, il FRITZ!Box 7530 si affida alla WiFi Mesh. I dispositivi FRITZ! distribuiti nella casa sono operativi in un'unica rete, si scambiano i dati tra loro e ottimizzano le prestazioni di tutti i dispositivi nella rete wireless. 

Con la rete mesh si può godere molto semplicemente della massima velocità nella navigazione, nella visualizzazione di video o nel gaming. Adesso, sono i programmi mozzafiato in HD e la tua musica favorita ad aspettare te, e non al contrario!

Scoprite di più sulla WiFi Mesh

Massima sicurezza con il FRITZ!Box

Con il FRITZ!Box di AVM, vai sul sicuro! Le sue caratteristiche di sicurezza proteggono la tua comunicazione. Viene testato e migliorato continuamente. Grazie agli aggiornamenti gratuiti sei sempre al sicuro.

Centralino per connessioni basate su IP

Il FRITZBox 7530 contiene un centralino per le moderne connessioni basate su IP. Puoi collegare via DECT fino a sei telefoni cordless. C'è posto anche per il telefono analogico o il fax. Sono inoltre disponibili diverse segreterie telefoniche, rubriche online e numerose funzioni comfort.

FRITZ!OS

Svariate possibilità di connessione

Il FRITZBox 7530 è disponibile direttamente per la connessione al profilo 35b. Offre inoltre wireless AC veloce e wireless N in modalità duale. Sul router stesso si trovano inoltre quattro porte LAN Gigabit e una porta USB. Tramite queste porte puoi non solo integrare tutti i tuoi terminali nella rete senza fatica, ma anche integrare la tua stampante e predisporre una memoria USB. Potrai così vedere film, immagini e ascoltare musica quando e dove desideri.

FRITZ!OS: un concentrato di funzione

FRITZ!OS, il sistema operativo del FRITZ!Box, mette regolarmente a tua disposizione nuove funzioni. Grazie alle FRITZ!App puoi accedere ai tuoi dati con lo smartphone anche quando sei fuori casa, telefonare nella rete domestica o controllare la tua smart home. Oltre ai dispositivi Smart Home FRITZ!, il FRITZBox 7530 supporta anche dispositivi di terzi con la tecnologia DECT-ULE/HAN-FUN. E ricorda: tutti gli aggiornamenti e tutte le app per i prodotti FRITZ! sono gratuiti.

Online navigare sicuri

Online navigare in sicurezza? Ecco come fare con i browser più sicuri.

La Techwarn, per i nostri lettori ha messo a disposizione questo interessante articolo.

Tutti noi accediamo ad internet almeno una volta al giorno. E non ci rendiamo nemmeno conto di quanti dati lasciamo in giro sul web, non solo attraverso messaggi, mail e social, ma anche semplicemente con la navigazione e l’apertura di siti web.

Lo strumento conosciuto a tutti e che usiamo maggiormente per navigare online è il browser, un software che ci permette di impostare un motore di ricerca, cercare direttamente siti web e salvare i preferiti, tra le varie cose.

Come ben sappiamo però non tutti i browser sono uguali e non tutti ci garantiscono gli stessi servizi e le stesse caratteristiche. Se i più usati sono sicuramente Chrome di Google, Safari per i sistemi iOS e Mozilla Firefox, esistono altri browser che ci permettono di navigare online in completa sicurezza e migliorando di molto la nostra privacy.

Certo, da una parte abbiamo la certezza che tutto sia compatibile, di poter avere le migliori estensioni e di poter sincronizzare diversi dispositivi, dall’altra abbiamo la possibilità di migliorare la nostra sicurezza online.

Nonostante i continui miglioramenti da parte dei browser più famosi, c’è ancora molto da fare in questo ambito, ecco perché esistono delle alternative valide e a costo zero. Andiamo dunque a vedere quali sono browser alternativi e più sicuri.

TOR

Sicuramente uno dei browser più attenti alla privacy e alla sicurezza dell’utente. Questo software infatti garantisce una crittografia totale della rete mentre navighiamo, inoltre protegge i nostri dati personali e ci rende anonimi anche mentre comunichiamo.

È disponibile in download gratuito per Windows, Mac e anche Linux e si tratta di un’applicazione open source.

OPERA
Opera è sicuramente più conosciuto di Tor e in molti casi si trova anche già preinstallato su alcuni dispositivi, soprattutto PC (mentre nei dispositivi mobili è presente la versione mini). Con questo browser, oltre ad essere molto veloce, avrete a disposizione un blocco annunci, il blocco del tracciamento della posizione, l’anonimato e una VPN integrata. Che cos’è una VPN? È un tunnel virtuale ultra sicuro in cui connettervi e tenere lontano possibili infiltrazioni di virus e malware vari.

EPIC BROWSER

Invece questo browser, al contrario di Opera, è dedicato interamente ai sistemi iOS, dunque ai Mac. Anche in questo caso, il browser non salva i dati della cronologia, non ha perdite DNS; non consente i coolie di terze parti e tutti i dati vengono eliminati immediatamente al momento della chiusura del browser.

Questi browser sono tutti completamente gratuiti e - come molti altri browser non famosi quanto la triade Chrome, Safari e Firefox - consentono all’utente di proteggersi da alcune insidie del web a cui siamo esposti molto facilmente ogni volta che ci colleghiamo ad internet.

Articolo di Stefania Grosso di Techwarn

https, chrome chiede i siti sicuri

HTTPS entro 22 luglio 2018?, perché passare?

protocollo https

Iperius Remote

Iperius Remote, un Desktop remoto semplice, veloce, completo.

La MBLI S.a.s. di Marchese Daniele Rosario, dopo attente valutazioni ha deciso di utilizzare Iperius Remote un software leggero e versatile per collegamento remoto a qualsiasi computer o server Windows. Nessuna installazione o configurazione di firewall richiesta, trasferimento file, sessioni multiple, accesso automatico non presidiato, presentazioni e condivisione schermo. Una utility di controllo remoto semplicissima da usare, sicura, affidabile e ad un costo imbattibile.

Continua a Leggere→

KB4074588

KB4074588, Mouse e tastiera non funzionano più!.

Come risolvere il bug dell’update KB4074588

Microsoft ha recentemente rilasciato un update per Windows 10, codice KB4074588, che sta causando diversi preblemi agli utenti per non parlare dei system admin ed a tutto lo staff IT.

Al momento in cui si redige il presente articolo troviamo già tra i nostri clienti già 11 PC aggiornati che hanno il problema: qualsiasi periferica USB smette di funzionare, beh, cosa non da poco, infatti basti pensare che tastiera e mouse oggi sono esclusivamente USB ed è abbastanza difficile trovare adattatori ed anche trovandoli, ormai moltissimi PC e/o Laptop, ne sono privi.

Risultato: non si può più accedere alla macchina, almeno che non si riesca ad eseguire un punto di ripristino che riporti il sistema a prima dell'aggiornamento, che comunque non è procedura facile se non è possibile ne digitare al PC ne muove un mouse perchè non vengono più visti dal sistema. 

Non è chiaro cosa faccia scaturire il problema, ma l'aggiornamento KB4074588, nei sistemi affetti, compromette le porte USB impedendo a mouse e tastiera di funzionare.

L’utente viene lasciato senza la possibilità di interagire col proprio PC, in nessun modo.

Come risolvere questo gran casino?, questa è qualche soluzione:

Riprendere il controllo della macchina

Se il PC/server ha le porte PS/2, usatele per controllare la macchina. In caso contrario, una soluzione percorribile è l’accesso remoto con un remote desktop software come Supremo – se presente – o attraverso Remote Desktop (RDP).

Se persino questa strada non fosse disponibile, potete forzare la Safe Mode (mouse e tastiera funzionano in safe) causando diversi hard-shutdown del sistema. Sconsigliamo vivamente questo metodo in quanto è pericoloso e può compromettere definitivamente il sistema operativo.

Risolvere il problema

Eseguite il comando appwiz.cpl:

KB4074588 bug - appwizcpl command

Disinstallate l’aggiornamento KB4074588:

KB4074588 bug - uninstall update

Aprite le impostazioni di Windows e selezionate Update & Security:

KB4074588 bug - control panel

Cliccate su Advanced options:

KB4074588 bug - windows updates

Attivate Pause Updates:

KB4074588 bug - pause updates

Ora potete riavviare la macchina e riprendere ad utilizzare mouse e tastiera. L’opzione Pause Updates impedirà a Windows di aggiornarsi per qualche settimana, dando tempo a Microsoft di risolvere il problema.

Non esitate a contattarci per ulteriori ragguagli.

3CX il centralino Cloud

 
Centralino telefonico IP - 3CX Management Console3CX è una suite completa di funzionalità di telecomunicazioni unificiata (Unified Communication) che non necessità di downloads addizionali o acquisto di moduli aggiuntivi.
 
La videoconferenza WebRTC integrata su browser open-standard o via app per iOS/Android consente di incontrarsi ovunque vi troviate. L’impulso alla produttività garantito da funzionalità come la Presence, la chat aziendale, la lavagna condivisa, screensharing ed altro ancora, consentono al personale di collaborare meglio e lavorare con più efficienza.
 
3CX trasforma la gestione del centralino in una passeggiata. La gestione ordinaria è ridotta praticamente a zero, grazie all’automazione dei compiti quotidiani e la possibilità di controllare gli eventi critici da un unico pannello di controllo. Gli aggiornamenti del centralino e gli ultimi firmware supportati sono scaricati automaticamente e attivabili in pochi click del mouse. La configurazione Plug&Play del telefoni IP e dei SIP
Trunk garantisce una semplice attivazione e scalabilità. L’eliminazione di noiosi compiti gestionali fa risparmiare tempo all’Amministratore di sistema e la sua nuova console, moderna intuitiva e user-friendly, rende la configurazione facile e indolore.
 
Sicuro, semplice, direttoAbbiamo integrato i protocolli di sicurezza più avanzati, proteggendo le vostre telecomunicazioni contro ogni tipo di attacco. Il centralino offre funzionalità di sicurezza facili da attivare e da gestire, come il blacklisting di indirizzi IP, la crittazione SRTP, il rilevamento automatico di attacchi SIP, l’approvvigionamento dei telefoni via HTTPS, connettività SSL ed un rating A+ da SSL Labs.
Tutto questo in combinazione con un webservera prova di bomba per consentirvi di dormire sonni tranquilli.
 
I softphones per Windows e Mac e le app per iOS e Android lavorano in abbinamento al Web Client per garantirvi una imbattibile connettività e mobilità. Gli utenti possono fare e ricevere chiamate, vedere lo stato di Presence dei colleghi, programmare videoconferenze, partecipare a web meetings, trasferire chiamate e molto altro dal palmo della loro mano. L’integrazione della tecnologia PUSH significa la garanzia di non perdere più nessuna chiamata e di risparmiare batteria.
 
L’integrazione con le altre piattaforme aziendali è più facile che mai; connetti 3CX con i CRM più diffusi come Salesforce, Google Contacts, Office 365 e altri ancora. Il personale risparmierà tempo e aumenterà la produttività, grazie più semplice gestione e reportistica delle chiamate. Oltre a questo, l’extension per Chrome 3CX ClicktoCall consente agli utenti di digitare i numeri direttamente dalle pagine web o dal sistema CRM semplicemente cliccando sul numero evidenziato.
 
Chiedo oggi stesso di potere usufruire della Prova 3CX .
 
Taglia i costi, aumenta i profitti e abbatti le barriere della sede, inizia a pensare e lavorare in maniera globale, risparmia sulla bolletta ed elimina i costi sulle chiamate interne collegando le diverse sedi aziendali e consentendo ai collaboratori esterni di usare il proprio interno ovunque essi siano.
 
In aggiunta, essendo un software, 3CX consente di installare il centralino su un hardware già presente in azienda, senza l’obbligo di acquisto di costose appliance proprietarie. Infine, i costi di trasferta non sono più un problema: gli utenti potranno partecipare a videoconferenze con un click del mouse invece di doversi recare sul posto.

GDPR (Privacy, 679/2016)

http://nethive.it/wp-content/uploads/2017/11/regolamento-GDPR.pngGDPR, l'Italia, insieme al resto delle nazioni europee, dovrà prepararsi ad un nuovo cambiamento rilevante relativo al trattamento dei dati personali ed alla loro protezione. Questa volta è l'Unione Europea a dettare un nuovo approccio che farà registrare, senza distinzioni, un forte impatto su legislazioni, aziende, cittadini, authority di tutto il continente europeo.
Il nuovo regolamento europeo entrerà in vigore nel 2018 e coinvolgerà tutti coloro che producono, conservano o cancellano dati, promuovendo, addirittura, la creazione di nuove figure professionali specifiche.
Tutti abbiamo appreso del recente provvedimento del garante per la protezione dei dati personali relativo alla necessità di implementare una serie e informazioni e/o comunicazioni relativamente alla presenza di cookie all'interno di portali e siti web (argomento ben noto a tutti i web designer o web agency che si occupano di realizzazione si siti web). 
L’ultimo intervento dell’UE, assolutamente indispensabile nell’era digitale e del web, ha invece come obiettivo la previsione di una regolamentazione comune tra i vari Stati ai quali verrà concesso un periodo di almeno due anni per cercare di coordinare le normative esistenti con il nuovo assetto giuridico di riferimento.

Il Regolamento dell’Unione Europea sulla protezione dei dati (GDPR, 679/2016), è stato approvato nel dicembre 2016 e porterà significativi cambiamenti nel corso di 2/3 anni. Il testo presenta, infatti, alcune novità molto interessanti per il nostro quadro giuridico.

Nell'era di Internet occorreva una regolamentzione dei dati che circolano sui cloud, delle banche dati delle forze dell’ordine intercomunicanti tra loro e dei social network, nasce la GDPR, si era manifestata da tempo l’esigenza di prevedere una regolamentazione che fosse comune tra i vari Paesi, soprattutto, in caso di scambio di dati oltre le frontiere.

Al contempo, tuttavia, alcuni interpreti hanno messo in evidenza la forse eccessiva libertà che il Regolamento lascia agli Stati di integrare e dettagliare il quadro giuridico con il rischio di perdere l’attenzione verso l’uniformità sovranazionale.

L’attenzione del legislatore europeo ha reso necessario l'introduzione della nuova GDPR, rivolta ai privati, alle aziende e al settore pubblico, e mira a garantire un ambiente dei dati sicuro. Riassumendo, le novità che hanno più attirato gli operatori del settore sono le seguenti:

  • il diritto all’oblio;
  • la portabilità dei dati;
  • l'analisi del rischio e la valutazione dell’impatto sulla privacy;
  • l'informativa più dettagliata con maggiori tutele per l’interessato (nonché, obblighi per i controller);
  • la cosiddetta privacy by design;
  • la nascita del Data Protection Officer.

Il regolamento generale sulla protezione dei dati (GDPR) mira sia a rafforzare il livello della loro protezione per le persone fisiche i cui dati personali sono oggetto di trattamento, sia a migliorare le opportunità per le imprese nel mercato unico digitale attraverso la riduzione di oneri amministrativi.

Il rafforzamento dei diritti di protezione offrirà, sicuramente, un maggiore controllo sui dati personali. Si avranno, infatti, norme più specifiche che consentiranno ai responsabili del trattamento di trattare i dati attraverso l'obbligo di consenso delle persone interessate ed una migliore informazione su quanto accade ai dati personali una volta condivisi. Inoltre, se un giovane di meno di 16 anni desidererà utilizzare servizi in linea, il prestatore dovrà verificare il consenso dei genitori.

Per quanto riguarda le imprese, il regolamento prevede un insieme unico di regole valido in tutta l'UE al fine di evitare situazioni in cui norme nazionali possano ostacolare lo scambio di dati transfrontaliero.
Si creeranno, in questo modo, condizioni di concorrenza leale e le imprese saranno incoraggiate a trarre beneficio dal mercato unico digitale.

Aumenteranno le responsabilità, inoltre, dei responsabili del trattamento dei dati. Le autorità pubbliche e le imprese dovranno designare un responsabile della protezione dei dati incaricato di garantire il rispetto delle norme. Il regolamento, inoltre, mira a proteggere i dati personali trattati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

Lo scorso 29 gennaio, durante il convegno organizzato da Europrivacy a Milano, si è discusso circa l'importanza del pianificare la GDPR per essere pronti entro i 24 mesi. Sei grandi campi come risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo.

Un punto particolaremente interessante è quello che impone, alle realtà che controllanti, obblighi sia di analisi del rischio e di previsione sull’impatto che certi tipi di trattamenti possono avere sulla privacy, sia di creazione di nuove figure professionali quali, ad esempio, il Data Protection Officer che si dovrà occupare di valutare la situazione della privacy e delle misure di sicurezza sia nel pubblico sia nel privato.

Notevole anche l’attenzione posta sulla privacy by design, ovvero, sulla valutazione del livello di privacy di un prodotto o di un servizio già al momento della sua creazione o attivazione così da radicare il principio di protezione dei dati personali nel prodotto o servizio stesso.
Le misure di privacy by design imposte dalla direttiva europea sono impegnative e chi non si adeguerà a tale regolamento e violerà il trattamento dei dati personali dei cittadini rischia multe parecchio "salate".

Dal 2018, dunque, i cittadini potranno affidarsi alle autorità nazionali per il cosiddetto 'data breache', ovvero, la notificazione delle violazioni. Quello che possiamo affermare sin d'ora è che tutte le novità apportate dal nuovo regolamento europeo avranno, senza alcun dubbio, effetti pratici su tutti i sistemi informatici dal momento che tutti i soggetti che trattano dati personali, piattaforme web comprese, dovranno occuparsi di minimizzare tali trattamenti garantendo, in modo prioritario ed in misura ancora maggiore di quanto fatto sinora, trasparenza, compatibilità e sicurezza

Qui alcuni link utili:

Gazzetta Ufficiale Legge L119

Regolamento EU GDPR 2016/679 Italiano

Il GDPR in Italiano 2016-679UE testo integrale - CyberLaws

Slide Powerpoint nuovo regolamento GDPR L119

Petya o WannaCry

© ANSA Petya, decodificato il ransomware, si leggeva solo il 13 Aprile dello scorso anno (2016)

Uno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica

Roma - Analizzando il "sequestro" crittografico del disco fisso operato da Petya, un ricercatore noto come leostone è riuscito a crackare il codice del malware e a permettere agli utenti infetti di riprendere il controllo dei dischi fissi.

Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.

A quanto ha scoperto leostone, però, il payload di codifica del ransomware non è perfetto, anzi tutt'altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all'avvio del malware tramite un apposito sito Web.L'estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.

Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone, anche se le cose potrebbero cambiare piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.

 

Continua a Leggere→