Autore:

FSE 2.0, Fascicolo Sanitario Elettronico 2.0

Posted on by

FSE 2.0 è il Fascicolo Sanitario Elettronico (FSE) 2.0 che sarà pienamente operativo nel 2026. Questo sistema rivoluzionerà l’accesso e la gestione dei dati sanitari, migliorando l’interoperabilità regionale e integrandosi con la telemedicina. Importanti sono le implicazioni per la privacy e la sicurezza dei dati personali

Dal 24 ottobre 2023, è in vigore il Decreto del Ministero della Salute del 7/9/2023 sul Fascicolo Sanitario Elettronico (FSE) 2.0. Questo DM detta una normativa che nel 2026 (quando il nuovo sistema sarà a regime, nel rispetto delle tempistiche definite dal PNRR, che ne ha permesso l’attuazione) avrà una grandissima rilevanza pratica per i cittadini, per gli operatori sanitari e per chi governa e gestisce la sanità.

L’importanza dell’unione tra FSE 2.0 e l’ecosistema della telemedicina

Ciò, anche grazie alla mutua connessione fra il FSE 2.0 (che raccoglie la storia clinica degli assistiti) e l’altra grande piattaforma in corso di progettazione e sviluppo grazie ai fondi del PNRR e sotto la guida dell’AGENAS (Agenzia Nazionale per i Servizi Sanitari Regionali): l’ecosistema della telemedicina, che permetterà di gestire i servizi presa in carico territoriale e domiciliare sulla base dell’infrastruttura FSE.

Prima di fare una carrellata sui contenuti più importanti della disciplina del FSE 2.0, è bene descriverne brevemente la storia, che è stata caratterizzata da un cambio di rotta in sé meritevole di analisi. È una vicenda, quella del DM sul FSE 2.0, indicativa del percorso che il legislatore italiano sta seguendo in tema di sanità digitale: un percorso sinuoso, in cui l’Italia si misura in modo pioneristico con temi che saranno oggetto del Regolamento UE sullo spazio europeo dei dati sanitari, proposto nel 2022 e attualmente in cammino verso una possibile approvazione in questa legislatura europea. Anticipando le conclusioni meglio precisate nel prosieguo, diciamo subito che il DM del 7/9/2023 sul FSE 2.0 è un’architettura normativa ardita e ammirevole, ma – nel momento in cui scriviamo – è ancora un’opera incompiuta.

Genesi e vicende della norma sul FSE 2.0

l FSE è l’insieme dei documenti e di dati di tipo sanitario e sociosanitario relativi a eventi clinici presenti e trascorsi riguardanti un utente di prestazioni sanitarie (“assistito”), generati da strutture sanitarie pubbliche e private. È pensato per essere completo, continuamente aggiornato e sempre a disposizione degli assistiti, degli operatori sanitari e delle istituzioni cui è affidato il governo della sanità. Grazie al FSE, l’assistito viene posto in condizione di consultare tutte le prestazioni ricevute (referti, analisi, ecc.), e di permetterne la consultazione agli operatori sanitari di cui si avvale (medico di base, medici ospedalieri, specialisti, ecc.). Accedendo al FSE, gli operatori sanitari possono assistere meglio gli utenti, cioè i loro pazienti.

Pur essendo stato istituito con Decreto-legge 179/2012, finora il FSE era stato implementato, pubblicizzato e usato solo in alcune Regioni, fra cui l’Emilia-Romagna (che ne aveva sperimentato il prototipo prima ancora che lo strumento venisse istituzionalizzato a livello nazionale), la Lombardia e la Puglia. Inoltre, scontava il limite di essere un mero Repository documentale. Sul piano tecnico, il salto di qualità del FSE 2.0 deriva: a) dalla trasformazione dei documenti in dati ‘strutturati’, che hanno un formato omogeneo e condiviso; b) dalla creazione di un’infrastruttura nazionale per l’interoperabilità (INI) che permette flussi informativi fra Regioni, permettendo la consultazione e l’uso del FSE relativo a un assistito anche da parte di operatori sanitari di Regioni erogatrici della prestazione diverse dalla Regione di assistenza. In particolare, il risultato di cui al punto b) è stato reso possibile da un investimento del PNRR volto ad arricchire e armonizzare i FSE delle varie Regioni, rendendoli interoperabili e collegando tra loro le rispettive infrastrutture.

FSE 2.0, verso un punto unico ed esclusivo di accesso ai servizi del SSN

Il FSE 2.0 è destinato a diventare per i cittadini il punto unico ed esclusivo di accesso ai servizi del SSN. I benefici connessi a questa centralità funzionale del FSE 2.0 saranno numerosi: possibilità per l’assistito di accedere ai propri dati in qualsiasi Regione e di condividerli con i propri operatori sanitari; possibilità per gli operatori sanitari di consultazione e ricomposizione trasversale tra i setting assistenziali; ricostruibilità nel tempo della storia sociosanitaria degli assistiti. A ciò si aggiungerà una fruizione semplificata di servizi sanitari digitali, come la prenotazione e il pagamento on line di prestazioni sanitari, la connessione alle farmacie per la gestione del ciclo del farmaco, la possibilità di esprimere un gradimento sulla qualità dei servizi ricevuti.

Il Decreto-legge 179/2012 era stato seguito dal varo di un Regolamento in materia di FSE (D.P.C.M. 178/2015), che viene abrogato in larga parte (ma, come vedremo, non totalmente) dal DM del 7/9/2023. Quest’ultimo continua ad avere nel Decreto-legge 179/2012, modificato negli anni, la sua fonte primaria di riferimento.

Come accennato, la storia del DM del 7/9/2023 è segnata da un cambio di rotta, che ne ha determinato un perimetro diverso e più limitato rispetto a quello che avrebbe potuto/dovuto avere secondo la strategia legislativa messa a punto nel 2022, anno delle ultime modifiche legislative al Decreto-legge 179/2012.

Nel 2022, il Governo Draghi aveva previsto di battezzare contemporaneamente (in due DM che voleva fare viaggiare insieme) due novità intrecciate fra loro: il FSE 2.0 e l’Ecosistema dei Dati Sanitari (EDS), un’infrastruttura tecnologica centrale alimentata direttamente dai sistemi informativi delle aziende sanitarie. Come necessario, gli schemi dei due DM erano stati sottoposti al Garante, che si era espresso il 22/8/2022 con due pareri non positivi, evidenziando lacune e limiti sul fronte della protezione dei dati personali.

Il cambio di direzione impresso dal Governo Meloni

Mentre il Garante era al lavoro sui pareri su questi due schemi di DM oggettivamente “collegati” fra loro, il Governo Draghi dava le dimissioni. Dopo le elezioni del 25/9/2022, si insediava il Governo Meloni. Quest’ultimo si trovava nella seguente situazione: da un lato, doveva proseguire a tappe forzate verso il varo del DM sul FSE 2.0 (condizione necessaria per avvalersi del finanziamento del PNRR); dall’altro, si trovava con un secondo schema di DM (anch’esso oggetto di un parere non positivo del Garante per i profili di protezione dei dati personali) che affidava allo Stato la responsabilità e la gestione di una nuova infrastruttura (l’EDS) contenente i dati delle prestazioni sanitarie erogate a tutti i cittadini italiani, vale a dire l’intero patrimonio informativo sanitario nazionale. Quanto al trattamento connesso alla gestione dell’EDS, lo schema di DM del Governo Draghi attribuiva la titolarità al Ministero della Salute. Questa impostazione cozzava con quella, consacrata nell’art. 117 della Costituzione, secondo cui in Italia la sanità è competenza delle Regioni.

Il Governo Meloni ha deciso di rivedere l’architettura del FSE 2.0 in un’ottica favorevole alle Regioni e di istituire un EDS non centralizzato, ma federato. Per non perdere i fondi del PNRR, ha deciso di dare la precedenza al varo del DM sul FSE 2.0, ed ha rinviato a un successivo Decreto la disciplina dell’EDS.

Questo cambio di velocità ha avuto una conseguenza anche sul perimetro della disciplina del FSE 2.0. Originariamente, l’obiettivo del Governo era il varo di una disciplina organica volta a definire simultaneamente le condizioni legali e tecniche per perseguire tutti i cinque gli scopi propri del FSE 2.0: cura (comprensiva anche della diagnosi e della riabilitazione), prevenzione, profilassi internazionale, ricerca scientifica e governo sanitario (programmazione sanitaria, verifica della qualità delle cure e valutazione dell’assistenza sanitaria).

I nodi legati a ricerca scientifica e governo sanitario

Forse, di questi cinque scopi, i due che – se realizzati – permetterebbero di imprimere la svolta più rilevante alla sanità italiana sono ricerca scientifica e governo sanitario. Emblematico, in questo senso, quanto spiegato da Mauro Moruzzi del Dipartimento Trasformazione Digitale-Presidenza del Consiglio dei ministri (struttura di supporto al Presidente del Consiglio per la trasformazione digitale e la modernizzazione attraverso le tecnologie digitali che opera in sinergia con il Ministero della Salute, coerentemente con il PNRR): “la sanità è in crisi perché produce un’enorme massa di dati clinici e non li usa, o li usa solo nell’erogazione della prestazione. L’uso di dati clinici strutturati permetterebbe una ristrutturazione dei processi sanitari, nonché una medicina predittiva. Non servono dati sulle organizzazioni sanitarie, ma dati personali, eventualmente resi anonimi. Il vero traguardo è l’incontro del governo sanitario con l’intelligenza artificiale”.

Invece, per velocizzarne i tempi di approvazione bypassando gli scogli più ardui sotto il profilo della protezione dei dati personali (come il possibile uso dei dati del FSE 2.0 per l’addestramento di modelli di intelligenza artificiale e machine learning), nel DM del 7/9/2023 il Governo ha preferito concentrarsi solo su una parte dell’attesa disciplina del FSE 2.0: quella relativa all’uso del Fascicolo Sanitario Elettronico per cura, prevenzione, profilassi internazionale. Per le due finalità (ricerca scientifica e governo sanitario) insieme più ambiziose e più bisognose di un’inedita ponderazione dei rischi per gli interessati e delle misure idonee ad affrontarli, il Governo ha deciso di mantenere in vigore i “vecchi” Capi III e IV del D.P.CM. 178/2015.

Protezione dei dati personali: il rilevante contributo dell’Ufficio del Garante

Il DM del 7/9/2023 sul FSE 2.0 innova la disciplina del FSE nella misura in cui è usato per cura, prevenzione, profilassi internazionale. Esso è il frutto di una collaborazione intensissima fra Ministero della Salute e Ufficio del Garante, ed è composto di 29 articoli e di 3 allegati. Mai prima d’ora un prodotto normativo almeno formalmente “esterno” al corpus del GDPR, del codice privacy e delle fonti secondarie (regole deontologiche, provvedimenti del Garante, codici di condotta) era stato redatto con tanta puntuale aderenza allo spirito, alle definizioni e alle logiche della normativa a protezione dei dati personali. Quest’ultima è al centro del DM: riparto dei ruoli e delle responsabilità nelle operazioni di trattamento di dati personali connesse alla gestione dell’infrastruttura del FSE, diritti degli interessati, obblighi per i Titolari, ecc. Oltre ai dati, gli altri grandi protagonisti del DM sono i documenti (sanitari). Anche qui, il DM si presenta come un modello di buona scrittura normativa per la precisione con cui, per ciascuno di essi, definisce i contenuti obbligatori e per come ha cura di indirizzare la gestione dei metadati, stabilendo chi e come deve gestirli.

In virtù del DM, aziende sanitarie locali, strutture sanitarie pubbliche del SSN, servizi sociosanitari regionali e del SSN, strutture sanitarie accreditate con SSN e servizi sociosanitari, strutture sanitarie autorizzate ed esercenti le professioni sanitarie sono tenuti a caricare sul FSE i dati sanitari degli assistiti entro 5 giorni dall’erogazione delle prestazioni, e sono responsabili della mancata, intempestiva o inesatta alimentazione.

I 5 pilastri del DM del 7/9/2023

L’ossatura del DM del 7/9/2023 è imperniata su cinque pilastri: a) disciplina di tutti i singoli documenti facenti parte del FSE 2.0; b) centralità della persona dell’assistito (sua auto-determinazione informativa, suo controllo sui dati personali e canali per esercitarlo); c) modelli architetturali per le infrastrutture del FSE 2.0 con relative, possibili scelte delle Regioni; d) ruoli e responsabilità di tutti i soggetti coinvolti nell’alimentazione e gestione del FSE 2.0 e della relativa infrastruttura tecnologica; e) misure di sicurezza.

Prima di esaminare questi pilastri, è bene qualificare ciascuna Regione (o Provincia autonoma): la Regione di Assistenza è quella, appunto, di assistenza verso l’assistito, che ha l’onere di memorizzare, e di rendere disponibili agli attori autorizzati, tutti i riferimenti (metadati) ai documenti e dati generati per i propri assistiti, anche se prodotti in altri domini regionali; la Regione di erogazione è quella che eroga una prestazione sanitaria ad un paziente assistito da un’altra Regione.

Documenti facenti parte del FSE 2.0

Fondamentale, nell’ecosistema del FSE 2.0, è l’Allegato A al DM del 7/9/2023. Oltre a individuare i soggetti abilitati all’accesso al FSE 2.0 nonché le modalità e i profili di autorizzazione, e i servizi del FSE, l’Allegato A definisce i contenuti di dettaglio dei dati e dei documenti del FSE 2.0, incluso il Profilo Sanitario Sintetico.

L’Allegato A descrive in modo puntuale i contenuti di: referto di laboratorio, referto di radiologia, referto di specialistica ambulatoriale, referto di anatomia patologica, verbale di pronto soccorso, lettera di dimissione, profilo sanitario sintetico, prescrizione farmaceutica, prescrizione specialistica, cartella clinica, certificato vaccinale, erogazione di prestazioni di assistenza specialistica, taccuino personale dell’assistito, tessera portatore di impianto, lettera di invito per screening, vaccinazione o ad altri percorsi di prevenzione.

La cartella clinica, il profilo sanitario sintetico e il taccuino personale dell’assistito

Fra questi, quello che probabilmente riveste maggiore importanza (per il suo valore legale) è la cartella clinica; due meritano una menzione per la loro utilità, l’uno per l’operatore sanitario, l’altro per l’assistito: il profilo sanitario sintetico e il taccuino personale dell’assistito.

Il primo è un documento sociosanitario informatico redatto e aggiornato dal medico di medicina generale o dal pediatra di libera scelta che riassume la storia clinica dell’assistito e la sua situazione corrente.

Il secondo è una sezione del FSE 2.0 in cui il solo assistito, o eventualmente un suo delegato, può inserire, modificare ed eliminare dati personali (anche generati dai dispositivi medici e/o wearable) e documenti relativi ai propri percorsi di cura, oltre a informazioni integrative. I dati e i documenti inseriti nel taccuino personale dell’assistito non sono certificati e devono essere distinguibili da quelli inserite dagli operatori sanitari pubblici e privati che alimentano il FSE 2.0. L’assistito è responsabile dell’esattezza e dell’eventuale aggiornamento dei dati e documenti inseriti nel taccuino personale.

Centralità della persona dell’assistito

G tutela dell’assistito, alcuni dati sono consultabili esclusivamente da lui: da un lato, le informazioni delle esenzioni per reddito e i relativi codici, dall’altro, dati come l’essere affetti da HIV, l’interruzione volontaria di gravidanza, le conseguenze di atti di violenza sessuale o di pedofilia subìti, l’uso di sostanze stupefacenti, psicotrope e di alcool, il parto in anonimato, dati e documenti riferiti ai servizi offerti dai consultori familiari. In ogni caso, l’assistito può decidere liberamente e in qualsiasi momento di rendere questi dati visibili a terzi, mediante un consenso esplicito, informato e specifico reso al soggetto che eroga la prestazione.

Importante anche il novero dei soggetti che mai, in nessun caso, possono consultare il FSE 2.0 di un assistito: periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, medici legali che devono accertare l’idoneità lavorativa o rilasciare certificazioni necessarie al conferimento di permessi o abilitazioni.

L’informativa all’assistito

L’informativa all’assistito circa i trattamenti connessi al FSE 2.0 deve essere rilasciata da ciascuna Regione. Attualmente, le Regioni stanno rendendo disponibile – ciascuna attraverso i propri canali – l’informativa preventivamente verificata dal Garante. Ad esempio, la Regione Lombardia ha pubblicato la nuova informativa nella sezione “Che cos’è il Fascicolo.

Al fine di assicurare una piena comprensione degli elementi indicati nell’informativa, il Titolare deve formare adeguatamente il personale coinvolto nel trattamento dei dati sugli aspetti rilevanti della disciplina relativa alla protezione dei dati, anche al fine di un più efficace rapporto con gli assistiti.

La base giuridica del trattamento dei dati personali

Base giuridica del trattamento dei dati personali per le tre finalità coperte dal DM (cura, prevenzione, profilassi internazionale) è necessariamente il consenso, che l’assistito è libero di conferire o no. La richiesta di consenso deve essere specifica per ciascuna delle tre finalità. L’interessato può fare scelte differenziate, ad es. rilasciando il consenso per finalità di cura e negandolo per finalità di profilassi internazionale. Il consenso per la prevenzione deve essere specifico per i singoli soggetti abilitati a farsene carico, che sono autonomi Titolari (soggetti del SSN e dei servizi sociosanitari regionali della Regione di Assistenza, esercenti le professioni sanitarie che hanno in cura l’assistito o comunque gli prestano assistenza sanitaria, Regioni attraverso gli uffici competenti in materia di prevenzione sanitaria nonché il Ministero della salute attraverso la Direzione generale competente in materia di prevenzione sanitaria).

Il consenso è altresì revocabile in qualsiasi momento, con conseguente disabilitazione dell’accesso ai dati da parte di terzi. La revoca del consenso non pregiudica il diritto all’erogazione della prestazione sanitaria.

In casi di emergenza (impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessato oppure rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dell’interessato che non abbia espresso il consenso alla consultazione dei dati del proprio FSE).

Il potere di controllo dell’interessato sui propri dati personali

Il potere di controllo dell’interessato sui propri dati personali si esprime attraverso tre diritti: il diritto di accesso ai dati e documenti del FSE 2.0 utilizzando i servizi del portale nazionale FSE 2.0, i diritti di integrazione, rettifica e aggiornamento dei propri dati, il diritto di oscuramento dei propri dati nel FSE 2.0. Quest’ultimo può riguardare i dati relativi a singole prestazioni sulle quali l’assistito intende mantenere massima riservatezza e può essere esercitato (anche on line) al momento dell’erogazione della prestazione (prima che il FSE 2.0 venga alimentato) verso il soggetto che eroga la prestazione, oppure dopo, con un’istanza specifica verso il soggetto erogante. Se viene esercitato l’oscuramento, chi accede al FSE 2.0 non deve avere né visibilità dei dati oggetto di oscuramento, né evidenza che il diritto di oscuramento è stato esercitato.

Modelli architetturali per le infrastrutture del FSE 2.0

Ciascun sistema regionale FSE è basato su un modello architetturale che ha come obiettivi gestire il contenuto del FSE 2.0 in maniera sicura ed interoperabile e garantire l’accesso agli aventi diritto. Le principali componenti del modello architetturale sono due: il Repository, che consente la memorizzazione e l’accesso a documenti sanitari prodotti dai soggetti alimentanti, e il Registry, che permette l’indicizzazione dei documenti memorizzati nei Repository attraverso metadati (tipologia del documento, autore del documento, ecc.).

Ciascuna Regione può scegliere uno fra i seguenti possibili modelli: distribuito (con Repository distribuiti e Registry centralizzato) e centralizzato (Repository centralizzato e Registry centralizzato). Come vedremo meglio fra poco parlando dei ruoli e delle responsabilità, se la Regione sceglie il modello distribuito, responsabilizza maggiormente le strutture sanitarie ed i professionisti che alimentano il FSE.

Ruoli e responsabilità dei soggetti coinvolti

La corretta attribuzione dei ruoli ai sensi del GDPR attraversa l’intero DM e ne determina l’impatto sui soggetti coinvolti in termini di obblighi (ad es. misure di sicurezza da adottare) e il grado di responsabilità nel trattamento dei dati personali, compresa l’esposizione ad eventuali sanzioni in caso di inadempimento.

Aziende sanitarie locali, strutture sanitarie pubbliche del SSN, servizi sociosanitari regionali e del SSN, strutture sanitarie accreditate con SSN e servizi sociosanitari, strutture sanitarie autorizzate ed esercenti le professioni sanitarie sono Titolari del trattamento per finalità di cura.

Soggetti del SSN e dei servizi sociosanitari regionali della Regione di Assistenza, esercenti le professioni sanitarie che hanno in cura l’assistito o comunque gli prestano assistenza sanitaria sono Titolari del trattamento per finalità di prevenzione.

La Regione di Assistenza

La Regione di Assistenza è Titolare: a) del trattamento connesso al profilo sanitario sintetico (ma, a differenza delle ASL, non può consultare i dati in esso contenuti) b) dei trattamenti connessi ai documenti del taccuino personale (ma non può consultarli), c) dei trattamenti di raccolta e registrazione dei consensi; d) dei trattamenti necessari a consentire l’identificazione e l’autenticazione informatica dell’assistito o di un suo delegato, l’accesso ai dati e documenti del FSE da parte dello stesso, nonché il relativo tracciamento; e) del trattamento con finalità di prevenzione; f) dei trattamenti del Registry.

Il Ministero della Salute

Per quanto di sua competenza, il Ministero della Salute è Titolare: a) dei trattamenti di raccolta e registrazione dei consensi, b) dei trattamenti necessari a consentire l’identificazione e l’autenticazione informatica dell’assistito o di un suo delegato, l’accesso ai dati e documenti del FSE da parte dello stesso, nonché il relativo tracciamento; c) del trattamento con finalità di prevenzione; d) dei trattamenti necessari a consentire l’identificazione e l’autenticazione informatica del soggetto che accede ai dati e documenti del FSE per finalità di prevenzione; e) del trattamento dei dati e documenti del FSE per finalità di profilassi internazionale.

Il Titolare del Portale nazionale FSE

Il Titolare del Portale nazionale FSE è Titolare dei trattamenti necessari a consentire l’identificazione e l’autenticazione informatica del personale del Ministero della salute che accede, tramite il Portale medesimo, ai dati e documenti del FSE per finalità di profilassi internazionale.

Misure di sicurezza

Per tutti i trattamenti sopra indicati, i Titolari sono tenuti ad implementare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Nell’utilizzo di sistemi di memorizzazione o archiviazione dei dati, i Titolari devono introdurre idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi. Per il trattamento dei dati del FSE 2.0 i Titolari devono garantire: a) il rispetto delle disposizioni di cui all’art. 51 del Codice dell’Amministrazione Digitale in materia di sicurezza e disponibilità dei dati, dei sistemi e delle infrastrutture delle Pubbliche amministrazioni, nonché delle linee guida rese disponibili da AGID in materia di sviluppo e gestione dei sistemi informativi; b) idonei sistemi di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento; c) procedure per la verifica periodica dei profili di autorizzazione assegnati agli incaricati; d) protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati; e) la cifratura o la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali; f) tracciabilità degli accessi e delle operazioni effettuate; g) sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie; h) procedure di pseudonimizzazione.

Oltre all’articolazione dei profili per quanto concerne la classificazione delle tipologie di informazioni sanitarie indispensabili in relazione alle finalità per cui vengono trattate, la struttura e l’organizzazione dei dati del FSE deve garantire, anche quella relativa ai diversi livelli autorizzativi dei soggetti abilitati all’accesso.

Ai fini di garantire il corretto impiego del FSE 2.0 da parte degli utilizzatori e di renderli edotti dei rischi che incombono sui dati, nonché delle misure di sicurezza adottate, devono essere organizzate apposite sessioni di formazione, anche con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento all’accessibilità delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati, inclusi i rischi di erroneo inserimento dei dati per omonimia degli interessati.

In caso di incidenti di sicurezza che possano comportare rischi per gli interessati, anche in relazione a trattamenti effettuati da altri soggetti, ciascun Titolare del trattamento dovrà fornire tempestivamente a a questi altri soggetti ogni informazione utile ad agevolare l’adempimento degli obblighi in materia di violazioni dei dati personali dettati dagli articoli 33 e 34 del GDPR.

Quanto alle basi dati del FSE 2.0, sono state previste queste misure: 1) per i metadati, la cifratura dei dati idonei a rivelare lo stato di salute e la vita sessuale o la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali; 2) per i documenti, la loro cifratura; 3) i canali di comunicazione sono cifrati e mutuamente autenticati per l’accesso a dati personali (comuni e sensibili) ‘in motion’.

Prossimi passi

Gravosi e importanti gli adempimenti – a carico delle Regioni e delle Province autonome – per i primi mesi dall’entrata in vigore del DM sul FSE 2.0, come il rilascio della nuova informativa, lo svolgimento della DPIA. Su come le Regioni si siano mosse nell’adempiere a questi obblighi, è prematuro dare un giudizio.

Infine, un cenno all’impegno che il DM prevede per fare conoscere il nuovo sistema. Il Ministero della salute e le Regioni e Province autonome dovranno effettuare campagne di informazione in materia di alimentazione e consultazione del FSE 2.0. Entro il 24/4/2024, dovranno fare una campagna per l’alimentazione automatica del FSE con i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate dal SSN fino al 18 maggio 2020. Dopo quella data, il FSE sarà alimentato con i dati e documenti digitali sanitari disponibili, generati da eventi clinici riferiti alle prestazioni erogate dal SSN fino al 18 maggio 2020 e riferiti ai soli assistiti che non hanno espresso la loro opposizione. Viceversa, i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate al di fuori del SSN fino al 18 maggio 2020 potranno essere inseriti nel FSE su iniziativa dell’assistito attraverso il Taccuino personale.

Si ringrazia per lo splendido articolo scritto su Agenda Digitale da Diego Fulco, che riportiamo qui di seguito.

Fascicolo Sanitario Elettronico 2.0: cosa cambia e con quali effetti per i dati personali

RMM, ed MSPs che cosa sono?

Posted on by

RMM è l’abbreviazione di Remote Monitoring Management (monitoraggio e gestione remota). Il software RMM viene utilizzato per due operazioni: a) raccogliere informazioni da endpoint remoti e reti per valutarne l’integrità; b) eseguire varie attività di gestione IT da remoto su tali endpoint e reti senza necessità di interruzioni.

Poiché un numero sempre maggiore di organizzazioni di tutti i settori utilizza i prodotti RMM per aumentare l’efficienza e trarre vantaggio dai suoi servizi flessibili e versatili, è diventato ancora più importante capire in che modo funziona il software e cosa è necessario sapere prima di scegliere il miglior software RMM per la tua organizzazione.

In particolare per il 2024, è necessario considerare il Cyber Defense Plan for Remote Monitoring and Management (RMM) pubblicato lo scorso anno dalla Cybersecurity and Infrastructure Security Agency (CISA). Si tratta del primo piano proattivo sviluppato da partner industriali e governativi attraverso la Joint Cyber Defense Collaboration (JCDC) per informare e proteggere il pubblico dall’uso dannoso degli RMM ed educare i clienti sui fattori chiave da considerare nella scelta di uno strumento RMM.

Chi utilizza un software di monitoraggio e gestione remota?

Le soluzioni RMM sono usate in misura maggiore dai fornitori di servizi gestiti (MSP, Managed Services Provider). Questi professionisti hanno bisogno di un modo veloce e affidabile per fornire supporto IT ai clienti in diverse località e posizioni, senza dover essere fisicamente presenti nei loro uffici per un supporto in sede.

Tuttavia, con la crescente tendenza a una distribuzione della forza lavoro, tra ufficio e smart working, sta diventando sempre più comune l’uso di strumenti RMM anche da parte di reparti IT interni, che risulta sensato in quanto combina molte delle funzioni fondamentali dell’IT in un’unica soluzione.

Perché gli MSP hanno bisogno di RMM?

I leader delle aziende IT utilizzano l’RMM per rilevare e risolvere in modo proattivo i problemi prima che si aggravino. Importante: il monitoraggio proattivo è una caratteristica essenziale di ogni ottimo RMM.

Lo strumento giusto utilizza un approccio unificato alla gestione dell’IT per offrire un monitoraggio e una gestione dei rischi efficaci, il tutto eseguito in background. Questo comporta una maggiore sicurezza della rete IT, che contribuisce a rafforzare la soddisfazione dei clienti e a incrementare le entrate.

Punti chiave

  • RMM è una tecnologia proattiva che ti permette di osservare e mantenere la tua infrastruttura IT.
  • Il software riduce la complessità della rete offrendo molteplici funzionalità da un’unica console.
  • Aiuta gli MSP a fornire un servizio migliore ai clienti e a rispettare gli SLA in tempo.
  • Poiché un numero sempre maggiore di organizzazioni utilizza l’RMM, è importante tenersi aggiornati sui più recenti piani e avvisi di cybersecurity rilasciati dal CISA, dall’Agenzia per la Sicurezza Nazionale e dal Multi-State Information Sharing and Analysis Center (MS-ISAC).

La storia dell’RMM

Il modo tradizionale in cui i team IT affrontavano i problemi quando si presentavano seguiva il modello break/fix. Quando l’hardware o il software si guastavano o funzionavano male, i tecnici dovevano recarsi in sede per indagare sulla causa del problema e infine risolverlo, il che poteva richiedere molto tempo. Il modello break/fix, inoltre, non prevedeva contratti o abbonamenti per garantire ai tecnici un reddito costante e i clienti non avevano un’assistenza continua da parte dei tecnici. Break/fix era una situazione lose-lose sia per gli utenti finali che per i fornitori di servizi.

Successivamente è stato introdotto il software RMM, che ha permesso ai tecnici di monitorare e gestire attivamente le risorse IT da una posizione completamente diversa. Invece di fornire servizi reattivi, i tecnici potrebbero lavorare proattivamente per risolvere i problemi che si presentano. Il software RMM fornisce ai tecnici le informazioni e gli strumenti necessari per garantire la manutenzione preventiva delle risorse IT degli utenti.

Caratteristiche principali del software RMM

Le soluzioni RMM offrono una serie di funzionalità, ma in sostanza i professionisti IT le utilizzano per svolgere tre attività principali:

  1. Avvisi e monitoraggio da remoto in tempo reale: le soluzioni RMM sono in grado di monitorare l’integrità e le prestazioni di singoli sistemi e di reti intere 24 ore su 24, 7 giorni su 7. I professionisti IT possono essere avvisati di potenziali problemi prima che diventino questioni spinose, creare flussi di lavoro automatizzati per gestire tali avvisi e generare report in grado di fornire un’ottima visibilità sull’attività di rete, sull’inventario delle risorse, sulla conformità e sul valore diretto del supporto IT.
  2. Manutenzione e risoluzione dei problemi da remoto in background Grazie al software RMM, i tecnici possono distribuire softwaregestire gli aggiornamenti, eseguire scriptconnettersi ai computer da remoto per risolvere problemi e correggere errori senza interruzioni per l’utente.
  3. Automazione della gestione IT di routine: Il software RMM consente di ottimizzare i flussi di lavoro IT e automatizzare un’ampia varietà di attività IT comuni, dall’installazione di patch all’esecuzione di script per creare e rispondere a ticket con criteri e azioni predeterminati.

Oltre a queste funzionalità di base, gli RMM vengono in genere utilizzati anche per distribuire e gestire attivamente prodotti per la sicurezza degli endpoint e soluzioni di backup di terze parti.

Con tutte queste funzionalità, non sorprende che la maggior parte degli MSP consideri l’RMM l’applicazione più importante.

Vantaggi del software di monitoraggio e gestione remota

Nelle giuste condizioni e con una gestione adeguata, l’RMM  può aiutare i fornitori di servizi IT a trasformare completamente le loro attività, rendendole più efficienti, più efficaci e, nel caso degli MSP, più redditizie. Ecco alcuni dei vantaggi derivanti dall’utilizzo del software RMM più apprezzato dai provider IT:

  • Visibilità e controllo completi da una posizione centrale: Queste capacità consentono anche a piccoli MSP o reparti IT di supportare, proteggere e gestire un gran numero di sistemi, indipendentemente da dove si trovino.
  • Gestione IT completa tramite un’unica dashboard centralizzata: Grazie alle integrazioni con sicurezza degli endpoint, backup, PSA e altri software, le dashboard RMM sono utilizzate come pannello di controllo centralizzato, riducendo drasticamente il numero di schermate che tecnici e amministratori devono visualizzare durante la giornata.
  • Supporto scalabile grazie all’automazione: La semplificazione e l’automazione dei flussi di lavoro libera i tecnici da lunghe attività manuali e consente loro di supportare più utenti ed endpoint.
  • Supporto proattivo anziché reattivo: Un software RMM consente ai fornitori di servizi IT di sfuggire alla continua attività di assistenza, e li aiuta invece ad anticipare potenziali problemi ed evitare del tutto tempi di inattività e interruzioni (scopri come il giusto software RMM può agevolare il passaggio dalla fornitura di supporto break/fix alla generazione di ricavi ricorrenti con servizi gestiti).

Utilizzi concreti dell’RMM

  • Software e tecnologia. L’RMM è essenziale per qualsiasi trasformazione digitale, in quanto aiuta le aziende tecnologiche a migliorare i risultati dell’assistenza, a favorire la produttività degli utenti finali e a proteggere gli endpoint. Advania, un noto MSP, utilizza lo strumento RMM di NinjaOne per gestire oltre 2.000 server e fornire servizi IT più flessibili ai propri clienti.
  • Settore sanitario. La gestione centralizzata dei dispositivi è inestimabile nel settore sanitario. Il giusto strumento RMM può migliorare la stabilità, l’affidabilità e la sicurezza delle risorse IT sanitarie in una console di gestione IT centralizzata. Per esempio, NinjaOne ha aiutato Horizon Home Care & Hospice a gestire facilmente 1.000 endpoint in meno di due settimane, senza interrompere il lavoro dei suoi assistenti di prima linea.
  • Amministrazione statale e locale. Molte amministrazioni statali e locali utilizzano RMM per monitorare, applicare patch e gestire in modo centralizzato l’intero portafoglio IT.Ninja fornisce il set di strumenti di cui i leader IT nel settore dell’amministrazione hanno bisogno per monitorare, applicare patch e gestire l’intero portafoglio IT. Con l’RMM di NinjaOne la città di North Adams ha risparmiato 20.000 dollari e 20 ore al mese di lavoro manuale.
  • Settore finanziario. L’RMM protegge le istituzioni finanziarie dagli attacchi informatici, rafforzando i loro endpoint e automatizzando varie attività. Ad esempio, Heritage Credit Union utilizza NinjaOne RMM per gestire risorse per oltre 200 milioni di dollari e fornire un servizio eccellente ai residenti della regione Kootenay della British Columbia.
  • Istruzione. Le scuole e le università sono in grado di migliorare la produttività di docenti e personale con un potente strumento RMM in grado di centralizzare e automatizzare la gestione IT. NinjaOne ha aiutato la Park University a gestire oltre 1.000 dispositivi attraverso l’automazione, risparmiando oltre 150 ore all’anno di interventi manuali.

Punti chiave:

  • Un buon software di monitoraggio remoto consente di monitorare e gestire a distanza i dispositivi endpoint in tempo reale.
  • Questi processi sono in genere automatizzati e distribuiti in background, in modo da non disturbare mai gli utenti finali.
  • Uno strumento RMM offre una visibilità completa da un pannello unico centralizzato per consentire ai tecnici IT di osservare, analizzare e agire con facilità sullo stato e sulle prestazioni dei diversi endpoint della tua rete IT.
  • Diversi settori industriali utilizzano l’RMM per monitorare e gestire i propri ambienti IT.

Come funziona il software di monitoraggio e gestione remota?

L’RMM funziona distribuendo agenti RMM sui dispositivi endpoint, che includono desktop, laptop, server, tablet, smartphone, workstation e dispositivi IoT (Internet-of-things). L’agente offre ai tecnici e a coloro che utilizzano il software RMM la possibilità di ottenere dati in tempo reale sulle prestazioni degli endpoint, di gestire i dispositivi, di distribuire e applicare le patch, di automatizzare le attività ripetibili e altro ancora.

 

Valutazione del software di monitoraggio e gestione remota: Criteri fondamentali

Come per qualsiasi altro software, la valutazione delle opzioni RMM dipende in larga misura da esigenze e priorità specifiche. La maggior parte delle soluzioni RMM offre le stesse funzionalità di base, ma l’affidabilità e le prestazioni sono variabili. Sebbene uno strumento possa eccellere in alcune aree, potrebbe rimanere indietro in altre. Questo è uno dei motivi per cui è davvero importante approfittare delle prove gratuite per vedere di persona se i punti forti di una soluzione RMM corrispondono alle esigenze tue principali.

Oltre alle funzionalità del prodotto, gli utenti di RMM tengono conto anche di aspetti cruciali come facilità d’uso, stabilità del prodotto e assistenza clienti.

Requisiti delle funzionalità RMM

  • Monitoraggio e avvisi: Oltre alle workstation e ai server, una buona soluzione RMM dovrebbe essere in grado di monitorare i dispositivi SNMP come router, commutatori, firewall, stampanti e così via. Il monitoraggio del cloud, inclusi i server delle applicazioni e i siti Web, è un’altra funzionalità da ricercare e tutti i dati di monitoraggio devono essere forniti quanto più possibile in tempo reale in modo istantaneo. Gli avvisi dovrebbero essere facili da configurare e personalizzare, con opzioni per la ricezione tramite SMS o e-mail e/o la creazione di ticket nel sistema dedicato.
  • Strumenti di gestione remota: Velocità e affidabilità sono i due fattori più importanti. Molte soluzioni RMM forniscono accesso remoto tramite l’integrazione con software di terze parti come TeamViewer o Splashtop, e le prestazioni sono variabili. Altre opzioni includono ConnectWise ScreenConnect (in precedenza Control) e la creazione di connessioni su RDP abilitato per il cloud.
  • Strumenti di patch management: Una soluzione RMM deve aiutare ad automatizzare l’applicazione di patch per Windows e applicazioni di terze parti, consentendo a tecnici e amministratori di pianificare con facilità gli aggiornamenti in orari non lavorativi per evitare di creare disagi agli utenti finali.
  • Reportistica: Deve essere disponibile un’ampia varietà di report affidabili che è possibile generare facilmente, dai report dettagliati sulla conformità delle patch e sull’inventario delle risorse alle panoramiche sulle prestazioni della rete e riepiloghi di alto livello.
  • Scripting: La capacità di avviare e programmare gli script (con i privilegi appropriati) è fondamentale per sbloccare le opportunità di automazione e aumentare l’efficienza.
  • Integrazioni: Oltre ai prodotti di backup, accesso remoto e sicurezza degli endpoint, le soluzioni RMM devono integrarsi con strumenti come Professional Services Automation (PSA), software di documentazione e altro ancora.

Altri criteri fondamentali

  • Facilità di configurazione: Questo criterio può variare in modo significativo e alcune soluzioni RMM richiedono costi considerevoli di implementazione e formazione. In effetti, esiste un intero ecosistema di consulenti per l’implementazione che è sorto attorno a particolari opzioni RMM legacy. Al contrario, altre soluzioni RMM sono progettate per essere intuitive e ridurre drasticamente tempi e costi di implementazione.
  • Facilità di gestione continua: Il valore effettivo di qualsiasi software non è limitato al costo della licenza, ma occorre tener conto del tempo, dell’impegno e del livello di esperienza necessari per gestirlo.
  • Stabilità e affidabilità: Nelle soluzioni RMM utilizzate come portale di gestione centrale, qualsiasi tempo di inattività può essere estremamente controproducente e dannoso.
  • Assistenza clienti: Quanto è importante avere accesso a un supporto reattivo e competente?

L’importanza dell’assistenza clienti dell’RMM

Il supporto clienti è un fattore fondamentale da considerare quando si sceglie un software RMM. Poiché gli RMM fungono da portale di gestione centrale, qualsiasi tempo di inattività può essere estremamente controproducente e dannoso per le operazioni. Disporre di un’assistenza reattiva e competente può fare una differenza significativa nel risolvere rapidamente i problemi e ridurre al minimo le interruzioni. Inoltre, la facilità di configurazione e di amministrazione continua può variare significativamente tra i vari RMM, sottolineando ulteriormente l’importanza di un supporto clienti di qualità.

138/24, la Cybersecurity nazionale: arriva il Decreto di adeguamento alle regole europee

Posted on by

138/24, la Cybersecurity diventa nazionale, difatti con il DECRETO LEGISLATIVO 4 settembre 2024, n. 138 il Governo recepisce la direttiva (UE) 2022/2555 che contiene le misure per garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Il Decreto in vigore dal 16 ottobre 2024, come abbiamo visto era previsto già nella Legge di Delegazione Europea 2023 per adeguare la normativa interna alla direttiva (UE) 2022/2555, volta ad aumentare la resilienza di soggetti pubblici e privati operanti nell’Unione Europea alle minacce nell’ambito cibernetico (vedi qui tutti i punti della Direttiva 2022/2555 recepita).

Cosa prevede il Decreto e in che modo si intende assicurare la sicurezza cibernetica interna coerentemente con quanto previsto a livello europeo?

All'interno dell'articolo avremo modo di analizzare i seguenti punti:

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138/24 contiene 44 articoli e quattro allegati: nei sei Capi che lo compongono delinea diverse questioni afferenti alla cybersecurity fra le quali:

  • Il Quadro nazionale di sicurezza informatica;
  • Cooperazione a livello dell’Unione europea e internazionale;
  • Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente;
  • Monitoraggio, vigilanza ed esecuzione.

Cybersecurity: le misure principali del D.Lgs. n.138/24

Segnaliamo in particolare nel decreto

  • Art.7 – L’obbligo dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del Decreto di registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale;
  • Art.8 – il riferimento al trattamento dei dati personali conformemente al decreto legislativo 30 giugno 2003, n. 196 e al regolamento (UE) 2016/679;
  • Art. 24 e 25 dettagliano rispettivamente gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e le notifiche di incidente, oltre che volontaria (art.26)
  • Art.29, le regole per la “Banca dei dati di registrazione dei nomi di dominio”;
  • Art.33 – la norma di collegamento con la disciplina del D.Lgs. n.105/2019 per il “Coordinamento con la disciplina del perimetro di sicurezza nazionale cibernetica”;
  • Art-34-39 sul ruolo di monitoraggio svolto dall’Autorità nazionale  competente  NIS  che  valuta  il rispetto da parte dei soggetti essenziali e dei  soggetti  importanti degli obblighi previsti dall’articolo 7 e  dal  capo  IV (artt. 23 e 33)

A chi si applica il Decreto sulla Cybersicurezza nazionale?

Il decreto ed i principi UE che esso porta con sé riguardano (art.3) i soggetti pubblici e privati delle tipologie di cui agli allegati

  • Allegati I, II, soggetti che superano i massimali per le piccole imprese nei settori ritenuti, rispettivamente, altamente critici e critici
  • Allegati III e IV: le categorie di pubbliche amministrazioni

Il decreto si applica anche, indipendentemente dalle dimensioni

  • ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo, che recepisce la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • ai prestatori di servizi fiduciari;
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • ai fornitori di servizi di registrazione dei nomi di dominio;
  •  alle pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III.

Si veda tutte le categorie nel dettaglio dell’articolo 3 del Decreto.

Come garantire un elevato livello di Cibersicurezza

Il D.Lgs. n.138/24 prevede alcuni strumenti volti ad aumentare il livello elevato di sicurezza informatica del paese, ovvero:

  • la Strategia nazionale di cybersicurezza;
  • l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
  • la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità competente NIS (Nucleo per la cybersicurezza) e punti di contatto unico e Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia); inoltre, l’Agenzia dovrebbe ricoprire funzioni di coordinatore delle Autorità nazionali di gestione delle crisi informatiche su vasta scala;
  • l’individuazione di Autorità di settore NIS che collaborano con l’Agenzia per la cybersicurezza nazionale.

Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica

Il Decreto 138/24, richiede l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che i soggetti essenziali utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Queste misure dovranno

  • assicurare un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
  • essere proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.

Nel decreto 138/24, si fa riferimento ad un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti.

Nel valutare quali misure di siano adeguate, i soggetti devono tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

Inoltre devono tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

Obblighi in materia di notifica di incidente

Nell’articolo 25 del decreto 138/24, si riporta che i soggetti essenziali e impostanti a cui si applica il Regolamento dovranno notificare senza ingiustificato ritardo, al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32.

Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente, ma la notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.

Quando un incidente è considerato “Significativo”?

In base al Decreto (art.25 comma 4) un incidente è considerato significativo se:

a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;

b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Nell’articolo si fa riferimento ad una “pre-notifica” nel caso i soggetti essenziali o importanti vengano a conoscenza dell’incidente significativo che possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero.

Ai fini della notifica dell’incidente, i soggetti devono trasmettere al CSIRT Italia, fra l’altro, anche una relazione finale entro un mese dalla trasmissione della notifica dell’incidente che descriva l’incidente ed il tipo di minaccia, la causa e l’impatto transforntaliero,

Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente significativo, all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

La Timeline per il recepimento della Direttiva NIS2

Posted on by

La Timeline per recepimento della NIS2 è pronto, è stato appena pubblicato in Gazzetta Ufficiale l’attesissimo decreto di recepimento in Italia della Direttiva NIS2, il quale stabilisce misure volte a garantire un livello elevato di cybersicurezza in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Nonostante gli inutili allarmismi che – purtroppo da più parti – si sono sollevati in questi ultimi mesi, occorre chiedersi quali siano realmente gli obblighi a cui gli attori privati e pubblici dovranno adempiere e soprattutto la vera timeline e quali i relativi termini.

Negli ultimi mesi è stato spesso veicolato ad aziende e pubbliche amministrazioni il messaggio fuorviante dell’imminente obbligo di implementare – in alcuni casi, addirittura entro il 17 ottobre 2024 – la Direttiva NIS2 e tutti i suoi onerosi e complessi adempimenti. La realtà dei fatti, tuttavia, è completamente differente.

Infatti, al fine di rendere operativi molti degli obblighi che avranno un impatto diretto sulle aziende e sulle pubbliche amministrazioni – come quello di notifica degli incidenti o di implementazione delle misure di sicurezza – il decreto di recepimento della Direttiva NIS2 richiede l’emanazione di ulteriori e successivi atti normativi. Ad esempio, soltanto entro 6 mesi dall’entrata in vigore del decreto appena emanato potremo conoscere i dettagli degli obblighi rivolti agli organi di amministrazione e a quelli direttivi, così come quelli in materia di misure di sicurezza cibernetica e di notifica degli incidenti. Addirittura, alcuni specifici adempimenti non verranno definiti prima di 18 mesi dall’entrata in vigore del decreto.

Alla luce di ciò, è opportuno sintetizzare una timeline con i principali adempimenti derivanti dal decreto, ordinandoli per data.

  • entro il 31 dicembre 2024, aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato;
  • tra il 1° gennaio e il 28 febbraio 2025, i soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa.
  • entro il 17 gennaio 2025, dovrannoregistrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
  • entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
  • tra il 1° aprile 2025 e il 15 aprile 2025, attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elencodei soggetti essenziali o importanti;
  • entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto;
  • tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.

Chiusa questa fase preliminare, le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel decreto. A tal proposito, a titolo esemplificativo:

  • a partire dal 1° gennaio 2026, si dovrà adempiere all’obbligo di notifica degli incidenti;
  • entro il 1° ottobre 2026, si dovrà adempiere:
    • agli obblighi degli organi di amministrazione e direttivi;
    • agli obblighi in materia di misure di sicurezza;
    • all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.

Stefano Mele e Flavia Bavetta ci spiegano la timeline della NIS2 con questo articolo

Supply chain e Nis2, cosa cambia nel rapporto con i fornitori

Posted on by

Supply Chain, la direttiva Nis2 introduce nuove regole per la sicurezza della supply chain delle infrastrutture critiche o importanti, con conseguenti impatti sulla gestione dei rapporti con i fornitori: ecco quali

a Direttiva Nis2 dell’Unione Europea, in arrivo nell’ottobre 2024, stabilisce nuove regole riguardanti la sicurezza delle supply chain delle infrastrutture ritenute critiche o importanti. Si apre una nuova era per queste organizzazioni e i loro rapporti con i fornitori.

Indice degli argomenti:

  1. Supply chain e Nis2, lo scenario
  2. Impatto degli attacchi cyber alla supply chain
  3. Supply chain e Nis2, cosa cambia
  4. Sanzioni
  5. Supply chain e Nis2, consigli per prepararsi

Supply chain e Nis2, lo scenario

Entro il 2024, è imperativo che la sicurezza della supply chain venga elevata a priorità. Vi è un consenso tra gli enti governativi e gli specialisti del settore sulla necessità di dedicare un’attenzione maggiore alla supply chain. È essenziale che le organizzazioni comprendano appieno le conseguenze negative di eventuali vulnerabilità nella sicurezza della supply chain e sviluppino strategie efficaci per migliorarne la protezione. Inoltre, è fondamentale garantire una diffusa consapevolezza dei rischi associati, in particolare per quanto riguarda le infrastrutture critiche o importanti.

Si ritiene che, secondo quanto affermato recentemente da Mark Ostrowski – Responsabile dell’Ingegneria per gli Stati Uniti, zona est, di Check Point – nel 2024 assisteremo ad attacchi di elevata sofisticatezza e impatto scaturiti dall’impiego dell’Intelligenza artificiale (IA) e dal Machine Learning (ML) in grado di causare violazioni dei dati su larga scala. Basti ricordare quanto accaduto lo scorso giugno 2023 con l’attacco alla supply chain del software MOVEit che ha colpito oltre 130 organizzazioni in tutto il mondo, tra cui Shell, Siemens Energy, Schneider Electric, UCLA, Sony, EY, Aer Lingus, PwC, Cognizant e AbbVie, nonché gli studi legali Kirkland & Ellis e K&L Gates. Inoltre, gli esperti del settore ritengono che ci troveremo a gestire cybercriminali che utilizzeranno sempre più vulnerabilità zero-day e tecniche di phishing per orchestrare attacchi sofisticati alla supply chain.

Impatto degli attacchi cyber alla supply chain

Come già menzionato, l’impatto degli attacchi alla supply chain può essere vasto e avere conseguenze significative. In particolare, la compromissione delle infrastrutture critiche può impedire ai cittadini di una nazione di lavorare, frequentare istituzioni educative o accedere alle risorse necessarie per la sopravvivenza.

L’attacco al Colonial Pipeline del 2021 – che ha causato un panico diffuso riguardante le risorse energetiche e messo a rischio aziende e individui – è diventato un esempio emblematico degli attacchi alle infrastrutture critiche e delle relative conseguenze sulla supply chain, evidenziando l’urgenza di affrontarne proattivamente la sicurezza.
Inoltre, gli attacchi che compromettono le infrastrutture critiche costituiscono una minaccia diretta alla sicurezza nazionale, rendendo una nazione suscettibile a un vasto spettro di aggressioni, sia nel dominio cibernetico sia in quello fisico.

Supply chain e Nis2, cosa cambia

La NIS2, all’interno dell’Unione Europea, prevede specifiche normative concernenti la sicurezza della supply chain. Di fatto, la Nis2 è stata progettata principalmente per proteggere le infrastrutture critiche e, nel medio e lungo termine, si ritiene interesserà tutte le aziende che operano in Europa. Inizialmente, però, si applicherà principalmente agli operatori di infrastrutture critiche (essenziali), e organizzazioni vitali (importanti) per il corretto funzionamento dei sistemi economico, legale e sanitario. Di seguito la definizione delle organizzazioni oggetto delle NIS2 e, precisamente:

  1. Infrastrutture essenziali – Si identificano in grandi imprese attive nei settori dell’energia, dei trasporti, bancario, finanziario, sanitario, della gestione delle acque (sia potabili che reflue), delle infrastrutture digitali, della fornitura di servizi ICT in ambito business-to-business (B2B), aerospaziale e della pubblica amministrazione.
  2. Infrastrutture importanti – Si articolano in sette categorie principali: servizi postali e di corriere, gestione dei rifiuti, settore chimico, industria alimentare, settore manifatturiero, servizi digitali e istituti di ricerca.

Entro ottobre 2024, tutti gli Stati membri dell’Unione Europea dovranno aver recepito i requisiti della Direttiva Nis2 nel loro ordinamento giuridico nazionale, obbligando le organizzazioni interessate a adottare adeguate misure di sicurezza da tale data in poi. Va considerato che l’implementazione di progetti per il rafforzamento della cybersecurity può richiedere tempi significativi, spesso prolungandosi per anni. Attualmente, numerose organizzazioni non sono dotate di un adeguato sistema di gestione della cybersecurity, non raccolgono dati critici per gli indicatori di performance né effettuano audit di sicurezza. Aspetti che assumeranno sempre più un’importanza cruciale in futuro. Pertanto, si raccomanda alle organizzazioni interessate di iniziare immediatamente a prendere seriamente in considerazione l’allineamento ai requisiti della Nis2.

Va enfatizzato, inoltre, che le organizzazioni che trascurano di conformarsi ai dettami della Nis2 rischiano di compromettere le proprie relazioni commerciali. La Direttiva Nis2 sottolinea, infatti, che le misure di sicurezza devono essere estese non solo all’entità stessa, ma anche ai suoi fornitori e subappaltatori che giocano un ruolo essenziale nel garantire l’operatività e la resilienza dell’azienda.

Di conseguenza, qualora un fornitore presenti lacune significative che influenzano la supply chain, l’ente soggetto alla Nis2 sarà costretto a sostituirlo per preservare la sua resilienza operativa.

Inoltre, molte aziende decideranno di interrompere le relazioni con quei fornitori che non dimostrano di poter garantire un adeguato livello di protezione contro gli attacchi informatici.

È doveroso evidenziare che la Direttiva Nis2 estende la sua applicabilità a un numero considerevolmente maggiore di aziende rispetto alle disposizioni attualmente in vigore con la Nis, oltre ad un cambiamento significativo anche per quanto riguarda le dimensioni delle imprese coinvolte, includendo medie e grandi aziende che impiegano 50 o più lavoratori o che registrano un fatturato di almeno 10 milioni di euro, senza distinzione basata sulle prestazioni o sulla struttura organizzativa.

Sanzioni

Il mancato rispetto delle direttive e degli obblighi di segnalazione imposti dalla Direttiva NIS2 comporta l’applicazione di rigide sanzioni. Le aziende che non si adeguano alle disposizioni possono incorrere in multe che possono raggiungere i 10 milioni di euro o il 2% del fatturato globale. Questa misura evidenzia l’alto grado di importanza che l’Unione Europea assegna alla cybersecurity, paragonabile a quella riservata alla tutela dei dati personali.

La Direttiva NIS2, pur introducendo rigide sanzioni e ampliando i requisiti di conformità, rappresenta un notevole passo avanti. Infatti, obbligando le organizzazioni a integrare la cybersecurity nelle strategie operative, consente di mitigare efficacemente le minacce provenienti dal cyberspazio. In prospettiva, questo approccio, non solo rafforza la sicurezza digitale, ma offre anche alle organizzazioni l’opportunità di beneficiare a lungo termine di un ecosistema digitale più protetto e resiliente.

Come garantire la resilienza aziendale

La Direttiva Nis2 supera la mera aspirazione alla prevenzione degli attacchi informatici, un traguardo che si rivela progressivamente utopico di fronte all’aumento degli attacchi e all’evoluzione della sofisticatezza dei cybercriminali. L’essenza della Nis2 risiede nel potenziamento della resilienza aziendale; ciò significa che le organizzazioni devono essere preparate, non solo a resistere agli assalti informatici, ma anche a ripristinare celermente le proprie funzioni, minimizzando gli impatti degli attacchi. In sostanza, l’obiettivo è garantire che gli attacchi informatici, anche quando riescono a penetrare le difese, non abbiano la capacità di compromettere in modo significativo le attività aziendali o governative sul lungo termine. Pertanto, se un’organizzazione si dimostra incapace di offrire tali garanzie, si troverà inevitabilmente esclusa dalla supply chain.

Ne consegue che il top management dovrà riflettere su tre questioni fondamentali, ovvero:

  1. Quando avverrà il prossimo attacco informatico.
  2. Quanto l’organizzazione è sufficientemente resistente e resiliente da poter continuare a operare.
  3. Quanto l’organizzazione sia adeguatamente preparata ad affrontare gli attacchi informatici.

Si tratta, di fatto, di anticipare l’imprevedibile certezza del rischio cyber e strutturarsi adeguatamente

Supply chain e Nis2, consigli per prepararsi

Le organizzazioni interessate, per essere conformi alla Direttiva Nis2, dovranno essere in grado di adottare una risposta proattiva che implica l’adozione di un approccio strutturato e, soprattutto, uno sforzo di preparazione continuo per assicurare che gli attacchi informatici non incidano gravemente sull’operatività aziendale. A tal fine, è essenziale che tali organizzazioni valutino attentamente almeno i seguenti aspetti:

  1. Identificazione degli asset e delle risorse aziendali, comprensione della proprietà, valutazione dei rischi associati e identificazione delle vulnerabilità.
  2. Identificazione dei potenziali bersagli degli hacker all’interno dell’azienda.
  3. Implementazione di sistemi di Identity & Access Management.
  4. Definizione delle modalità e dei luoghi di archiviazione dei dati, nonché delle persone autorizzate al loro utilizzo.
  5. Restrizione dell’accesso agli utenti ai soli dati necessari, con la conservazione di tutti gli altri dati in ambienti protetti.
  6. Valutazione critica dell’opportunità di migrare le informazioni aziendali sul cloud.
  7. Definizione delle procedure e piani di Emergency, Disaster Recovery, Business Continuity Crisis Management, Crisis Communication (che devono sempre essere testati, esercitati e aggiornati) da attuare in caso di attacco informatico 24 ore su 24, 7 giorni su 7.
  8. Analisi dettagliata degli incidenti di sicurezza.
  9. Identificazione di partner in grado di fornire supporto tempestivo in situazioni di emergenza.
  10. Esplorazione di collaborazioni con altre aziende per soddisfare collettivamente i requisiti imposti dalla direttiva.

A fronte di quanto sopra, è quanto mai fondamentale valutare con celerità il livello di maturità informatica di un’organizzazione e procedere alla pianificazione delle strategie di sicurezza e delle capacità di risposta in modo da garantirne una protezione efficace contro gli attacchi informatici e facilitare le lessons learned scaturite da eventuali incidenti pregressi. Ovvero, nell’implementare la Direttiva Nis2, si tratta di adottare un approccio risk-based e resilience-based per garantire la necessaria cyber resilience della supply chain quale intersezione dei principi di Risk Management, Business Continuity e Cybersecurity.

NIS, avrebbe potuto prevenire gli incidenti nell'ultimo anno.

Posted on by

NIS e NIS2, spesso l'UE viene criticata per le tante norme e regole che impone. In alcuni casi, infatti, aziende e intere industrie hanno puntato il dito contro i tanti lacci e laccetti che imbrigliano le imprese, rischiando di porre un freno all'innovazione. Per esempio, è quello che sta accadendo recentemente con l'UE AI Act, contestato dai big del settore (in particolare statunitensi, ma non solo) in quanto considerato troppo limitante per chi sviluppa sistemi di IA. 

Altri regolamenti, però, sono considerati di estrema importanza per il settore di riferimento, come nel caso di NIS 2, un framework di sicurezza progettato per garantire che le aziende che operino in settori critici abbiamo un livello minimo di sicurezza certificato. Secondo un'indagine di Veeam, se già le imprese fosse conformi a NIS 2  lo scorso anno sarebbe stato possibile evitare alcuni incidenti informatici, 

Cosa è NIS 2?

NIS 2 è un set di regole mirato ad assicurare un livello minimo di sicurezza nella aziende che operano in settori critici. NIS 2 non si applica a tutte le imprese, ma solamente quelle sopra una certa dimensione attive in settori specifici: sanità, manifattura, farmaceutico, food & beverage, finanza, Pubblica Amministrazione e via dicendo. E avrà un impatto anche sui fornitori, anche se non direttamente specificati dalla norma. Le aziende che infatti si affidano a questi, dovranno garantire che anche i propri fornitori aderiscano a specifici standard di sicurezza. Sarà in vigore a partire dal 18 ottobre.

Le aziende saranno pronte? Come al solito, no, non tutte per lo meno. Secondo un'indagine svolta da Veeam, infatti, nonostante quasi l'80% delle aziende sia fiducioso nella propria capacità di adeguarsi alle linee guida NIS2, fino a due terzi dichiara che non riuscirà a rispettare questa scadenza. Non è l'unico dato che emerge: secondo l'analisi, solo il 43% dei decision-makers IT dell’area EMEA ritiene che la NIS2 migliorerà significativamente la sicurezza informatica dell'UE, nonostante uno schiacciante 90% abbia segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi. È allarmante notare che il 44% degli intervistati ha subito più di tre incidenti informatici e il 65% di questi è stato classificato come “altamente critico”.

veeam NIS 2

Insomma: ancora oggi, nonostante i dati ci dicano che a livello globale gli attacchi informatici sono sempre più frequenti e impattanti, sono ancora presenti tante aziende che sopravvalutano la loro capacità di reagire a un incidente informatico.

le difficoltà per le aziende durante il processo di adeguamento

Secondo l'analisi di Veeam, condotta su un campione di 500 decision maker in Belgio, Francia, Germania, Paesi Bassi e Regno Unito, le principali sfide includono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l'insufficienza di budget/investimenti (21%). 

Sicuramente la leadership ha le sue responsabilità: NIS 2 non arriva come un fulmine a ciel sereno. Se ne parla da anni, e la sua entrata in vigore era nota da molto tempo. Nonostante questo, molte realtà hanno preferito prendersela con comodo.  Addirittura il 40% degli intervistati ha riferito di aver diminuito i budget IT da quando è stato proclamato l'accordo politico per il NIS2 nel gennaio del 2023. Un atteggiamento decisamente miope, considerati non solo i rischi informatici, ma anche le multe per chi non si adegua, che possono essere molto salate. 

C'è anche un certo scetticismo da parte di numerose imprese: Il 74% degli intervistati ritiene che la NIS2 sia vantaggiosa, ma il 57% dubita che avrà un impatto sostanziale sulla posizione complessiva dell'UE in materia di sicurezza informatica. La sfiducia non è l'unico problema: pesano le tempistiche ristrette (19%), la carenza di competenze specifiche (19%), i silos organizzativi (19%).

Come prevedibile, insomma, in tanti sono arrivati in ritardo all'appuntamento, nonostante le scadenze fossero note da tempo. Un problema dovuto sì alla carenza di budget e competenze interne, ma anche da una consapevolezza ancora bassa sui rischi informatici.

"La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione", afferma Andre Troskie, EMEA Field CISO di Veeam. "Sebbene molte aziende riconoscano l'importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell'indagine evidenziano problemi sistemici significativi. La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l'urgenza. Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell'organizzazione e proteggere i dati critici”.

Security Awareness (Cyber)

Posted on by

Security Awareness è la consapevolezza dei dipendenti aziendali di tutte le possibili minacce e rischi nell'ambito della sicurezza delle informazioni, della sicurezza informatica e della privacy. Si tratta di comprendere le potenziali conseguenze di comportamenti non sicuri e irresponsabili nell'ambiente digitale e fisico. Vuol dire adottare misure proattive per garantire la sicurezza dei dati e prevenire gli incidenti.

Un programma di sensibilizzazione alla sicurezza solido e ben congegnato è sempre più importante per le organizzazioni, indipendentemente dalle dimensioni o dal settore. In un'epoca in cui le minacce informatiche cambiano continuamente e diventano sempre più sofisticate, è essenziale che i dipendenti siano consapevoli dei pericoli e dei rischi per la sicurezza. È importante che sappiano come riconoscere e affrontare potenziali incidenti e minacce informatiche. Attraverso la nostra piattaforma di apprendimento della Security Awareness, disponibile in nove lingue, puoi formare i tuoi dipendenti contro le minacce digitali.

Attivare un programma di sensibilizzazione alla sicurezza informatica aziendale

Maggiore sicurezza digitale

Rendendo i dipendenti consapevoli dei potenziali rischi, le aziende possono migliorare la sicurezza dei loro sistemi e dei loro dati. I dipendenti vengono addestrati a riconoscere le e-mail di phishing, utilizzare password forti, segnalare attività sospette e seguire le procedure corrette per prevenire le violazioni dei dati.

Rischi di attacchi alla cyber security ridotti

La mancanza di consapevolezza in materia di sicurezza può portare errori e omissioni non intenzionali che possono causare incidenti di sicurezza. Rendendo i dipendenti consapevoli delle potenziali conseguenze delle loro azioni, le aziende possono ridurre significativamente il rischio di violazioni di dati, attacchi ransomware e altre minacce.

Protezione della reputazione aziendale

Un attacco di sicurezza riuscito può portare non solo a perdite finanziarie, ma anche a gravi danni alla reputazione. Investendo in un solido programma di sensibilizzazione alla sicurezza, le aziende dimostrano di prendere sul serio la protezione dei dati e di meritare la fiducia dei propri clienti.

Sviluppare una cultura della sicurezza

La Security Awareness va oltre la semplice formazione dei dipendenti, crea una cultura della sicurezza in cui tutti nell'organizzazione fanno la loro parte. I dipendenti imparano non solo ad assumersi la responsabilità di proteggere i dati ma sono anche incoraggiati a essere proattivi nello scoprire e segnalare le minacce digitali.

Svantaggi di una mancanta consapevolezza della sicurezza

Violazioni dei dati

La mancanza di consapevolezza della sicurezza può portare alla divulgazione involontaria di dati sensibili (aziendali/personali). Questo accade, ad esempio, quando i dipendenti inviano accidentalmente informazioni riservate alla persona sbagliata o diventano vittime di attacchi di phishing e condividono inconsapevolmente i propri dati di accesso con i criminali informatici.

Perdite finanziarie

Gli incidenti di sicurezza possono avere conseguenze finanziarie significative per le organizzazioni. Si va dal ripristino dei sistemi dopo un attacco ransomware al pagamento di multe per la mancata conformità alle norme sulla privacy.

Danni alla reputazione

Quando un'organizzazione subisce un incidente di sicurezza può causare una perdita di fiducia da parte di clienti o partner. Riparare una reputazione danneggiata può richiedere molto tempo e potrebbe non essere sempre del tutto possibile.

Implicazioni legali

La mancanza di consapevolezza della sicurezza può portare i dipendenti o le organizzazioni a violare involontariamente la legislazione. La mancata osservanza delle leggi e dei regolamenti sulla protezione dei dati può avere conseguenze legali, come multe e procedimenti giudiziari.

Importanza e consapevolezza della sicurezza sul posto di lavoro

La security Awareness è fondamentale per le organizzazioni nell'era digitale. Investendo in un solido programma di Security Awareness, le organizzazioni possono proteggere i propri dati, ridurre i rischi e promuovere una cultura della sicurezza.

Rendi la tua organizzazione meno vulnerabile alle minacce informatiche. Assicurati di avere un personale ben informato e consapevole che prenda sul serio la protezione delle informazioni (sensibili).

 

ISO/IEC 27001

Posted on by

ISO/IEC 27001 è una certificazione di Sicurezza (Sicurezza delle informazioni, cybersecurity e protezione della privacy); la Direttiva NIS2 fa riferimento specifico a tale standard. Sebbene la ISO/IEC 27001 e la Direttiva NIS2 abbiano scopi diversi, si completano a vicenda in modo efficace. ISO 22301, invece, copre aspetti della gestione della continuità operativa (BCM, Business Continuity Management), il che rafforza ulteriormente l'approccio completo all'implementazione della NIS2.

In primo luogo, è importante notare che il nome completo della ISO 27001 è "ISO/IEC 27001 - Tecnologia dell'informazione - Tecniche per la sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti".

È la principale norma internazionale incentrata sulla sicurezza delle informazioni, pubblicata dall’International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppano norme internazionali.

La ISO-27001 fa parte di una serie di norme sviluppate per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000.

L’impianto ISO e lo scopo della ISO 27001

L’impianto ISO è una combinazione di politiche e processi da utilizzare per le organizzazioni. La ISO 27001 fornisce un impianto per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).

ISO 27001 e GDPR

ISO/IEC 27001 è un punto di partenza per raggiungere i requisiti tecnici e operativi richiesti dal Regolamento generale sulla protezione dei dati (GDPR, anche conosciuto come RGPD) per prevenire una violazione dei dati. Infatti, il Regolamento afferma che le imprese devono adottare politiche, procedure e processi appropriati per proteggere i dati personali in loro possesso.

Nello specifico, un’azienda che ha implementato lo Standard ha già fatto almeno la metà del lavoro richiesto per raggiungere la piena conformità al GDPR, minimizzando il rischio di violazione dei dati.

Il GDPR offre indicazioni su come evitare una violazione dei dati?

L’articolo 32 dichiara che sono necessarie misure tecniche per proteggere i dati e richiede specificatamente alle imprese, a seconda dei casi, di:

  • Adottare misure per la pseudonimizzazione e cifratura dei dati personali;
  • Garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
  • Ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico;
  • Implementare un processo per testare e valutare ad intervalli regolari l’efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.

Inoltre, l’articolo 32 prevede che i rischi derivanti “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale o illegale a dati personali” siano identificati e mitigati.

Sebbene fornisca esempi di misure e controlli di sicurezza, l’articolo non fornisce indicazioni dettagliate su cosa si dovrebbe fare per evitare una violazione dei dati.

Nonostante ciò, il GDPR invita le aziende ad adottare le migliori pratiche e raccomandazioni esistenti in materia, come lo standard ISO 27001.

Come ISO 27001 può aiutarti a rispettare il GDPR

ISO 27001 è uno standard di gestione internazionale che fornisce un quadro comprovato per la gestione della sicurezza delle informazioni. Utilizza un insieme integrato di politiche, procedure, documenti e tecnologie raccomandate sotto forma di un Sistema di gestione della sicurezza delle informazioni (ISMS, conosciuto anche come SGSI in italiano).

NIS 2

Posted on by

NIS 2, non è solo una necessità legale, la conformità alla Direttiva NIS 2 rappresenta un’opportunità per ogni azienda di migliorare la sua sicurezza, efficienza operativa e reputazione. In che modo un consulente guida le aziende attraverso questo processo.

L’evoluzione tecnologica – con particolare riferimento agli strumenti di intelligenza artificiale, ma anche alla connessione costante di tutti i device privati e professionali nonché alla modalità di lavoro agile (smart working) sdoganata durante l’emergenza pandemica – implica un cyber risk sempre più elevato. In questo quadro si inserisce la Direttiva (UE) 2022/2555, meglio nota come Direttiva NIS 2 (Network and Information Security Directive), che – pubblicata in Gazzetta Ufficiale dell’Ue il 27 dicembre 2022 ed entrata in vigore il 17 gennaio 2023 – costituisce un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali.

Di fatto, è stata proprio una rilevante accelerazione del rischio di cybersecurity che ha indotto l’Europa a rivedere in modo profondo la precedente Direttiva NIS 2016/1148, emanando la NIS 2. Compiendo un indispensabile passo in avanti nel campo della resilienza digitale e della gestione delle minacce informatiche. Un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali; un quadro normativo volto a rafforzare la cyberscurity all’interno dell’Ue, con particolare attenzione ai settori critici come energia (tra i temi più attuali c’è la vulnerabilità nel comparto Energy & Utilities), trasporti e servizi finanziari.

Le aziende, dunque, sono chiamate a conformarsi a diversi requisiti fondamentali entro il 18 ottobre 2024, adottando una serie di misure tecniche e organizzative adeguate non solo per proteggere i loro sistemi e dati informatici, ma anche per prevenire (o comunque minimizzare) gli impatti degli incidenti informatici. E per segnalare tempestivamente gli incidenti significativi alle autorità competenti.

Sanzioni per le imprese in caso di mancato adempimento

In particolare, le disposizioni normative della NIS 2 si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”. Soggetti che non operano esclusivamente nei comparti in origine previsti dalla Direttiva NIS (dal settore Energy & Utilities a quello dei trasporti alla sanità), ma forniscono anche una serie di servizi altrettanto critici (a titolo di esempio: quelli postali e dei corrieri; di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica. E ancora, dai servizi legali a quelli della grande distribuzione alimentare).

La Direttiva NIS 2 prevede che gli operatori inclusi nel suo campo di applicazione debbano approntare misure tecniche, operative e organizzative consone e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. E le aziende che non si allineano? Per loro i rischi sono molteplici e (potenzialmente) devastanti. In primis, la non conformità può determinare severe sanzioni legali dirette nei confronti di amministratori e finanziarie (sanzioni che possono incidere significativamente sul bilancio aziendale). Senza un sistema di monitoraggio delle normative e compliance adeguato, infatti, le aziende potrebbero non essere in grado di rilevare in modo tempestivo gli incidenti di sicurezza, con conseguenti danni alla reputazione e una riduzione della fiducia di clienti e partner.

Ulteriore, rilevante aspetto è che gli attacchi informatici possono causare interruzioni operative, con conseguenti perdite economiche e inefficienze. Con l’aumento delle cyberminacce, poi, le aziende non conformi diventano bersagli più facili per gli attaccanti. Infine, l’incapacità di predire e prevenire i guasti attraverso l’analisi dei dati e l’intelligenza artificiale può portare a interventi di manutenzione reattivi piuttosto che proattivi, incrementando i tempi di inattività e riducendo la disponibilità dei servizi. Non tralasciando il fatto che la mancanza di integrazione con i sistemi esistenti all’interno dell’azienda rischia di causare discontinuità nella gestione degli asset, complicando ulteriormente il processo di compliance e gestione del rischio.

Benefici della conformità alla NIS 2

Allinearsi alla Direttiva NIS 2 non solo evita i rischi potenziali, ma offre anche alle aziende una serie di vantaggi strategici e operativi. Certificando un impegno concreto nella protezione dei dati e dei sistemi e aumentando la fiducia di clienti, partner e investitori. Implementare le misure previste dalla NIS 2 – grazie a strumenti e soluzioni tecnologiche mirati –, equivale a rafforzare significativamente la protezione contro gli attacchi informatici, migliorando la resilienza dell’infrastruttura aziendale.

Tra i principali benefici raggiungibili c’è il monitoraggio in tempo reale degli asset aziendali IT (Information Technology), OT (Operational Technology) e IoT (Internet of Things), finalizzato a fornire una visibilità immediata sullo stato dei dispositivi e delle reti (la visibilità costituisce le basi della sicurezza, e offre alle organizzazioni gli strumenti per monitorare, analizzare e tutelare la loro infrastruttura digitale in modo efficiente). Ciò permette di rispondere velocemente ad eventuali problemi, automatizzando le remediation sugli asset aziendali, riducendo i tempi di inattività e migliorando l’efficienza operativa.

La conformità alla NIS 2 da parte delle aziende facilita poi l’adozione di misure avanzate – come la gestione di accessi e identità (IAM) e l’autenticazione a più fattori (MFA) –, che migliorano la sicurezza operativa e riducono i rischi di accessi non autorizzati. L’uso di strumenti specifici per questo contesto permette un’analisi degli eventi e predizione di guasti mediante l’intelligenza artificiale, a vantaggio di interventi preventivi e di una maggiore disponibilità dei servizi.

Inoltre, sarebbe semplificata l’automatizzazione sulla valutazione del rischio (Risk Management), riducendo il carico di lavoro e migliorando la precisione delle valutazioni. Senza dimenticare che, per un’azienda, essere conforme alla NIS 2 agevola anche l’adeguamento ad altre normative di sicurezza e standard internazionali, come l’IEC 62443 (lo standard internazionale per la cybersicurezza dei sistemi di controllo industriale) oppure il NERC CIP (il “Programma di protezione delle infrastrutture critiche della North American Electric Reliability Corporation”, costituito da una serie di requisiti internazionali mirati ad assicurare l’infrastruttura critica per il Bulk Electric System del Nord America).

Affrontare le sfide della cybersecurity

Le imprese sono dunque chiamate a ricoprire un ruolo attivo nella protezione dei propri sistemi informativi, per limitare il rischio di attacchi informatici e assicurare la continuità operativa aziendale. Grazie alla sua vasta esperienza e alla partnership con fornitori di soluzioni tecnologiche avanzate, la MBLI S.a.s. è in grado di assistere le aziende nel percorso di conformità alla Direttiva NIS 2, effettuando – attraverso strumenti automatizzati per il risk scoring delle reti OT – una valutazione completa dei rischi e della conformità Cyber Security. La business unit volta a fornire ai propri clienti e partner una serie di attività e soluzioni che permettano di elevare il livello di sicurezza delle loro infrastrutture, collabora con i fornitori leader per implementare soluzioni di monitoraggio continuo, gestione delle anomalie e segmentazione IT/OT.

MBLI S.a.s. offre soluzioni e consulenza per migliorare la consapevolezza sull’utilizzo dei sistemi informatici all’interno delle organizzazioni (security awareness) e le pratiche da seguire per ridurre al minimo i rischi di cybersecurity. Fornisce supporto costante per il mantenimento della conformità, inclusa la gestione degli accessi ai dati e la loro protezione attraverso crittografia. Un esempio concreto delle soluzioni offerte da Sielte comprende l’adozione di strumenti per il monitoraggio continuativo delle infrastrutture e la rilevazione di cyberminacce industriali, come i sistemi di controllo centrale e i collettori intelligenti per reti industriali distribuite.

Strumenti, questi, che non solo facilitano la conformità alla NIS 2 e ad altri standard di sicurezza, ma offrono anche la possibilità di remediation automatica dell’IT, permettendo di identificare e risolvere rapidamente le minacce. Naturalmente, correlati a questo servizio, MBLI S.a.s. è in grado di erogare i suoi servizi gestiti in ambito cybersecurity e networking, forte delle competenze e partnership di primo livello che caratterizzano l’azienda.

Whistleblowing e GDPR: tutela reciproca, rafforza la privacy

Posted on by

Whistleblowing (Fischietto) e GDPR, con la prossima entrata in vigore, a partire dal 15 luglio, del decreto legislativo n. 24/2023 (DLWB24) di recepimento della normativa UE che aggiorna le disposizioni sulle segnalazioni whisteblowing (WB), entrerà in vigore anche una nuova forma di tutela per la privacy.

Infatti, fra le materie che potranno essere oggetto di segnalazione in ambito whistleblowing rientrano anche espressamente le violazioni inerenti alla tutela della vita privata e protezione dei dati personali (art. 2 comma 1.a.3); peraltro, le norme WB in scadenza, pur nella loro sinteticità non escludono la possibilità di segnalazioni afferenti a violazioni della privacy.

Quello che muta sostanzialmente è che con la normativa europea recepita dal DLWB24, l’ambito di applicazione viene ampliato in maniera notevole (in generale: settore pubblico e privato, diritto nazionale e diritto UE) e le segnalazioni assumono una duplice natura: 1) di strumento di lotta agli illeciti e 2) di diritto alla segnalazione.

Il GDPR è ampiamente richiamato nelle norme sul whistleblowing , ai fini della tutela dei soggetti che effettueranno segnalazioni su presunti illeciti.

Quindi, sotto il profilo privacy, siamo di fronte ad una tutela reciproca e che rafforza la possibilità per chi opera in un contesto lavorativo pubblico o privato, ai sensi dell’art. 3 DLWB24, di contribuire al perseguimento di eventuali violazioni di disposizioni normative nazionali o dell'Unione europea tali da ledere, come recita l’art. 1, “l’interesse pubblico o l'integrita' dell'amministrazione pubblica o dell'ente privato”.

Posta questa cornice, proviamo ad approfondire dal punto di vista privacy quali siano i percorsi per la tutela dei diritti degli interessati.
In generale il GDPR mette a disposizione di ciascun interessato strumenti per la tutela dei propri diritti. L’Autorità Garante, elettivamente, è il soggetto che può provvedere a una prima tutela, mediante gli strumenti:

- i) del reclamo, sulla base dell’art. 77 GDPR e dell’art. 140-bis del Codice privacy (CP), per questioni che attengono a lesioni individuali del diritto alla privacy,
-ii) della segnalazione di questioni attinenti alla privacy ai sensi dell’art. 144 CP, che il Garante potrà considerare per l’esercizio dei propri poteri ai sensi dell’art. 58 GDPR.

Adire il Garante con un reclamo è alternativo per l’interessato, al ricorso all’autorità giudiziaria (cfr anche art. 152 CP) e viceversa. Avverso i provvedimenti del Garante, l’interessato potrà comunque proporre ricorso all’autorità giudiziaria ai sensi dell’art. 10, comma 4, del decreto legislativo 1° settembre 2011, n. 150.

Il CP regolamenta la trattazione di illeciti penali attinenti alla privacy, all’art. 144 bis il revenge porn e agli artt. 167 – 168 talune fattispecie che possono, a seconda delle loro connotazioni, configurare illecito penale, attinenti a: trattamento, comunicazione e diffusione illecita di dati personali, acquisizione fraudolenta di dati personali su larga scala, falsità nelle dichiarazioni al Garante e comunque impedimento ai suoi compiti ed esercizio dei poteri, l’inosservanza di provvedimenti del Garante e violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 38 dello Statuto dei lavoratori - l. n. 300/1970).

Il CP prevede i casi di illeciti penali per i quali è prevista reciproca comunicazione fra Garante e Pubblico ministero.

Il DLWB24 ha fra l’altro aggiornato il CP, che all’art. 2-undecies prevede (a valere dal 15 luglio 2023) la tutela della riservatezza dell’identità della persona che effettua segnalazioni - oltre che ai sensi del DLWB24 - anche ai sensi delle analoghe norme sul whistleblowing previste dal Testo unico delle leggi in materia bancaria e creditizia (d. lgs. n. 385/1993 - artt. 52-bis e ter ) e dal Testo unico delle disposizioni in materia di intermediazione finanziaria (d. lgs. n. 58/1998 – artt. 4 undecies e duodecies).

Il processo delle segnalazioni di whistleblowing, che le organizzazioni pubbliche e private interessate sono tenute ad ammodernare con decorrenza dal prossimo 15 luglio, dovrà essere tale - come prima - da garantire la tutela del segnalante anche sotto il profilo della privacy, oltre a tutelarlo ovviamente da ritorsioni.

Ma quali segnalazioni afferenti alla privacy potrebbero essere veicolate tramite whistleblowing ? Non le questioni lesive della privacy che attengono a un interesse prettamente personale seppur collegato al rapporto di lavoro ma, come evidenziato in premessa, quelle che attengono alla tutela dell'interesse pubblico o dell'integrita' dell'amministrazione pubblica o dell'ente privato (art. 1 DL24).

Quindi, volendo ipotizzare alcune ipotesi per una tassonomia, si potrebbero indicare a titolo esemplificativo i seguenti casi in cui, con le protezioni previste dal whistleblowing , il soggetto legittimato (ovvero, è utile ricordarlo, chi a diverso titolo opera chi opera in un contesto lavorativo pubblico o privato) potrebbe segnalare violazioni whistleblowing :

-i) trattamenti di dati personali esperiti in spregio alle fattispecie penali previste dal CP;
-ii) trattamenti di dati personali particolari per asseriti motivi di pubblico interesse non rientranti nelle previsioni dell’art. 2-sexies del CP;
-iii) trattamenti di dati personali attinenti al rapporto di lavoro con modalità che non siano privacy compliant;
-iv) architettura organizzativa privacy carente (ad es.: mancata o irregolare nomina del RPD nel settore pubblico e, quando previsto, nel settore privato; mancata emanazione delle informative sui trattamenti svolti; sistemi informativi non protetti; mancata cancellazione dei dati personali nei termini previsti; divulgazione dei dati a terzi – magari in Paesi extra-UE, in assenza di idonei accordi; …);
-v) impostazione del WB (canali di comunicazione, gestione delle segnalazioni, tutela della riservatezza,…) tale da non garantire il segnalante.

Certo, alcune delle possibili fattispecie potrebbero interessare direttamente anche il singolo ma la valenza generale renderebbe la questione ammissibile a segnalazione WB.

Una volta fatta la segnalazione, questa andrà trattata secondo le indicazioni del WB e le Linee guida ANAC (che ai sensi del DLWB24 dovrà emanare ulteriori Linee guida per le segnalazioni esterne).

Va da sé che il vaglio delle segnalazioni potrebbe poi avere esito non risolvibile all’interno dell’organizzazione e, quindi, la questione andrebbe rimessa alle Autorità competenti, a seconda della loro natura.

In generale verrebbe coinvolto anche il Garante privacy quando la competenza venisse ritenuta (anche o solo) di sua pertinenza oppure quando, per il tramite dell’A.G., ove la questione venisse segnalata alla stessa e riguardasse le fattispecie penali sopra menzionate.

Dominio, Riassegnazione Nomi

Posted on by

Dominio e la riassegnazione dei nomi, una Procedura che nasce per contrastare il fenomeno del Cybersquatting (accaparramento di nomi a dominio). 
Chi ritiene di aver diritto all'uso di un nome a dominio registrato da altri in malafede, può attivare una procedura per la riassegnazione del dominio in modo semplice, efficace ed economico.

Camera Arbitrale di Milano fornisce un servizio di riassegnazione dei nomi a dominio per l'estensione geografica .IT in quanto accreditata dal Registro del Country Code Top Level Domain .it (Registro del ccTLD "it").
Per le contestazioni riguardanti nomi a dominio aventi altre estensioni (per esempio .com) consulta il database dell'Organizzazione Mondiale Proprietà Intellettuale (OMPI-WIPO).

Scopri chi può attivare la procedura e per quali tipi di controversie.

La MBLI S.a.s. ha trovato per voi questo splendito articolo scritto da Luca Giacopuzzi (avv. del Foro di Verona), che spiega abbastanza semplicemente il fenome dell'accaparramento dei domini.

Articolo Integrale
***

Una parte, coinvolta in un conflitto che ha per oggetto un nome a dominio, ha diverse soluzioni per comporre la lite. La prima, quella più “familiare” ad un giurista, è l’instaurazione di un procedimento giudiziale ordinario. Ma questa, forse, non è l’opzione migliore tra le diverse possibilità che si hanno a disposizione.

Da una lettura complessiva delle decisioni italiane, infatti, si ha la sensazione di trovarsi di fronte ad una giurisprudenza “ondivaga”, di talchè, pur a fronte di identiche situazioni, possono in certi casi ottenersi giudizi discordanti.

Ed allora un soggetto che desideri promuovere una vertenza su un nome a dominio può “guardarsi attorno”, ossia può non rivolgere lo sguardo unicamente verso il Tribunale, perché ci sono dei metodi di risoluzione delle controversie alternativi rispetto alla composizione giudiziale delle liti. Essi sono essenzialmente due: il giudizio arbitrale e la procedura di riassegnazione.

Non mi soffermo sul primo, che – rilevo per inciso – nella realtà concreta dei fatti si è rivelato uno strumento assolutamente insoddisfacente e vado invece ad analizzare la procedura di riassegnazione, la quale è una procedura molto snella e rapida, che – a circa 2 anni dalla sua entrata in vigore – si è messa in luce quale rimedio davvero efficace per combattere il fenomeno del domain grabbing.

Essa ha come scopo esclusivo la verifica del titolo all’uso od alla disponibilità del nome a dominio e l’indagine sulla malafede del registrante: ogni altro tipo di accertamento dovrà essere devoluto ad un giudice od ad un arbitro.

Si tratta, pertanto, di un procedimento speciale col quale si può ottenere solo un provvedimento specifico: la rassegnazione del DN.

La PDR viene gestita da apposite organizzazioni denominate “enti conduttori”, al cui interno operano alcuni professionisti – denominati, con termine piuttosto infelice, Saggi – che materialmente si fanno carico della decisione.

Attualmente gli enti conduttori sono 10 (l’elenco è localizzato in rete a questo URL: http://www.nic.it/NA/maps ), ma va detto che alcuni di essi non hanno ricevuto alcun incarico. In realtà, a voler tracciare un quadro obiettivo della situazione, si deve rilevare che la quasi totalità delle decisioni sono state affidate a 2 solamente: uno che ha sede a Roma, l’altro a Milano. Il primo è CRDD (ex E-Solv), il secondo si chiama Arbitronline.

Per poter chiedere la riassegnazione devono sussistere alcuni presupposti.

Anzitutto, il dominio che si assume essere stato registrato in malafede deve venire “contestato” nei confronti della Registration Authority. E’questo, infatti, il primo “step” che viene imposto a chi voglia intraprendere una PDR. Si tratta, per il vero, di un’azione preliminare molto semplice, che è compiutamente disciplinata dall’art. 14 Reg. Naming. Contestare, in buona sostanza, significa inviare una lettera. Ebbene sì: la contestazione del nome a dominio, infatti, consiste nell’invio di una lettera raccomandata A.R. – debitamente motivata – che il soggetto che assume aver ricevuto pregiudizio dall’assegnazione a terzi di un particolare dominio deve far pervenire alla RA.

La quale, ricevuta la lettera di contestazione, si limita ad aggiungere la annotazione “valore contestato/challenged value” nel RNA; tutto qui, non altro. Ciò però, a ben guardare, comporta conseguenze pratiche di non poco conto, poiché pone seri limiti alla circolazione del dominio, che non sarà più liberamente trasferibile a terzi da parte dell’assegnatario.

Come si ricorderà, per il diritto romano la res litigiosa veniva dichiarata fuori commercio; qualcosa di simile accade nel nostro caso, perché, per effetto della contestazione, il dominio contestato diventa trasferibile unicamente al soggetto che ha posto la contestazione stessa.

Una volta formalizzata la contestazione del DN, entro 6 mesi dovrà essere promossa la procedura di riassegnazione, che – come detto – può portare al trasferimento del nome a dominio che ne è oggetto. Trasferimento – si badi – che verrà disposto solo se venga fornita idonea prova della sussistenza di tutti e tre i presupposti di cui all’art. 16.6 delle Regole di Naming.

Deve, in altre parole, essere dimostrato che:

a) il nome a dominio è identico o tale da indurre confusione con un marchio su cui il ricorrente vanta diritti, o col proprio nome e cognome;

b) il resistente non ha alcun diritto o titolo in relazione al nome a dominio contestato;

c) il dominio è stato registrato e viene usato in mala fede.

Se il ricorrente prova che sussistono assieme le condizioni a) e c) di cui sopra ed il resistente non prova a sua volta di avere diritto o titolo in relazione al nome a dominio contestato, quest’ultimo viene trasferito al ricorrente.

Ciò posto, andiamo a vedere come si faccia in concreto a dar impulso alla presente procedura, avvertendo fin da subito che le modalità operative sono descritte – oltre che nelle Regole di Naming e nei Regolamenti interni predisposti da ciascun Ente Conduttore – anche da un corpo normativo denominato “Procedura di Riassegnazione”, al quale si farà spesso riferimento e che si trova liberamente consultabile in Rete al seguente indirizzo:

https://www.nic.it/NA/riassegnazione-curr.txt

Particolarmente importante l’art. 3 P.d.R, che individua il contenuto del reclamo, che dev’essere inviato dal ricorrente all’Ente prescelto sia in forma cartacea (in duplice copia) sia in formato elettronico. Viene precisato, al 2°comma, che esso può avere ad oggetto anche più nomi a dominio, purchè appartenenti al medesimo titolare.

La 1°parte del reclamo contiene “i dati essenziali” della procedura: si trovano, infatti, le generalità ed i recapiti delle parti.

Nella parte narrativa del reclamo devono invece essere indicati e provati i presupposti sostanziali della procedura la cui prova incombe al ricorrente (e cioè si tratta delle condizioni sub a) e c)). Vanno pertanto indicati i motivi per i quali il nome a dominio risulterebbe identico o confondibile col marchio o col nome e cognome del ricorrente ed i motivi per i quali il resistente avrebbe registrato ed userebbe il dominio in malafede.

In allegato al reclamo devono essere presentati i documenti che lo supportano ed in particolare deve essere fornita la prova della registrazione del segno distintivo o del marchio cui il reclamo si riferisce.

Unitamente al reclamo il ricorrente deve versare il corrispettivo stabilito (il quale varia per ogni Ente Conduttore, che ha facoltà di decidere il prezzo della procedura, col solo limite di non applicare tariffe inferiori a 400 euro). Le spese – è opportuno sottolinearlo – sono ad esclusivo carico del ricorrente, dato che in questa procedura esse non seguono la regola della soccombenza: il resistente, pertanto, non dovrà mai sopportare alcun costo.

Una volta che il reclamo è pervenuto all’Ente Conduttore, questo ne verifica la regolarità formale e, se l’operazione si conclude con esito positivo, procede all’invio del reclamo al resistente.

Il resistente ha così conoscenza del reclamo ed ha da tale momento 25 giorni di tempo per inviare all’Ente Conduttore un proprio scritto difensivo.

Nella replica (che, quanto alle “modalità di trasmissione”, soggiace ai medesimi obblighi già visti per l’invio del reclamo) il resistente deve confutare le affermazioni del ricorrente, evidenziando – in particolare – i motivi per i quali ritenga di avere titolo al mantenimento del dominio già assegnatogli.

Giova ricordare che il resistente non è tenuto ad inviare detta replica, in quanto ha una mera facoltà e non un obbligo di presentare una memoria a sostegno delle proprie ragioni.

“Se il resistente non invia alcuna replica – precisa, infatti, l’ultimo comma dell’art. 5 P.d.R. – il Collegio decide la controversia sulla base del solo reclamo”.

E molto spesso il resistente non presenta alcunché. Trovo, comunque, che sia sempre preferibile far pervenire uno scritto, per mettere il Saggio in condizione di decidere più serenamente. Ovviamente “est modus in rebus”, perché – all’opposto – ci sono irriducibili personaggi che fanno arrivare note difensive davvero bizzarre (giorgio-armani.com: il resistente, giapponese, sosteneva di aver diritto al nome a dominio, perché “giorgio-armani” era il nome… del suo cane!!).

Il Collegio viene formato dall’Ente Conduttore, in forma monocratica o collegiale a seconda della scelta effettuata dal ricorrente che dovrà limitarsi ad indicare il tipo del collegio decidente, senza poter nominare direttamente il Saggio (ciò è peraltro evidente: in caso contrario la parte che promuove la procedura potrebbe praticamente “scegliersi il giudice”. Ed infatti dato che l’elenco dei saggi è pubblico, come pubbliche sono anche le decisioni da costoro rese, sarebbe facile in linea teorica capire quale possa essere l’orientamento più favorevole ad uno specifico caso).

Il Collegio si ritiene costituito con l’accettazione dell’incarico, ricevuta dall’unico Saggio o dal terzo dei tre.

Le modalità di svolgimento della procedura sono stabilite liberamente dal Collegio, il quale deve tuttavia assicurare un trattamento imparziale alle parti, concedendo ad ognuna di esse un uguale diritto di difesa.

Un punto centrale – e che tuttavia non è stato preso in considerazione da parte della dottrina con l’attenzione che invece avrebbe meritato – riguarda l’ampiezza (ed i limiti) dei poteri istruttori del Saggio.

Ci si chiede, in altre parole, se il Saggio, nel decidere la lite, sia vincolato alle allegazioni della parti o possa invece formare il suo convincimento aliunde. La questione, all’evidenza, non è mera disputa accademica, ma problema concreto, pratico. Peraltro molto frequente, perché la parte (che non è tenuta ad avvalersi dell’assistenza di un professionista nella redazione del reclamo o della replica) spesso sorvola su aspetti che avrebbe invece dovuto illustrare compiutamente (per tutti: le ipotesi di malafede). Le regole che disciplinano la procedura sul punto tacciono. Va detto che certa dottrina riconosce al Collegio la possibilità di effettuare d’ufficio le indagini che quest’ultimo ritiene indispensabili per pervenire ad una corretta decisione. Sembra però preferibile – anche per non forzare la lettera delle regole – accogliere l’opposto orientamento e dunque ritenere che il Collegio debba assumere la propria decisione unicamente sulla base delle affermazioni rese dalle parti e dei documenti prodotti (cfr. art. 15 P.d.R).

Potrà il Saggio, eventualmente, richiedere a ciascuna delle parti ulteriori precisazioni e documenti (come previsto ex art. 12 P.d.R.). Anche in questo caso, tuttavia, la laconicità del disposto testè citato non chiarisce se il collegio debba limitarsi a prospettare genericamente ai soggetti in lite di argomentare più diffusamente le rispettive posizioni ovvero se abbia la possibilità di formulare specifici quesiti alle parti (es: se il resistente abbia “fatto incetta” di domini corrispondenti a marchi celebri). Per restare all’esempio fatto, è evidente che, così facendo, il Saggio ricaverebbe preziose informazioni in ordine alla malafede del resistente; e tuttavia non sembra possibile che il Collegio possa arrogarsi tali poteri.

Una caratteristica del procedimento collegiale è la sua celerità, per cui tutti i termini, salvo eccezioni, sono perentori e comportano per chi non li rispetta la decadenza dal potere di compiere quel determinato atto.

Entro 15 giorni dalla sua formazione (30 nel caso in cui siano stati chiesti alle parti chiarimenti) il Collegio rende nota la propria decisione all’Ente Conduttore, che a sua volta provvede, nei 4 giorni successivi, a comunicarla alle parti, alla RA ed al presidente della NA.

E’importante sottolineare che il Collegio può accogliere il ricorso solo nel senso di disporre il trasferimento del DN, mentre null’altro può essere disposto in positivo. Ed infatti nella PDR il ricorrente può solo chiedere il trasferimento del nome a dominio, non anche la cancellazione dello stesso. E’, a mio avviso, un limite della procedura in esame. Sul punto mi limito ad osservare che le “analoghe” procedure amministrative adottate dall’ICANN (le c.d. MAP, che hanno “ispirato” la nostra PDR) prevedono per il ricorrente la sopra evidenziata doppia possibilità (si parla, espressamente, di “transfer” come alternativa alla “cancellation”). E, a quanto mi risulta, in più occasioni il ricorrente opta proprio per la cancellazione (come avvenuto nel caso nokiagirls.com, dominio dal nome equivoco che la Nokia desiderava unicamente venisse “tolto dalla scena”, non essendo evidentemente interessata all’assegnazione dello stesso a proprio nome).

Da noi, come detto, non c’è sulla carta la possibilità della cancellazione del DN, ma un “escamotage” può permettere al ricorrente di ottenere al lato pratico lo stesso risultato. Mi spiego. E’noto infatti che la pronuncia che dispone la riassegnazione non effettua un vero e proprio trasferimento del nome a dominio (cfr. art. 14 Regole di Naming); la RA, ricevuta la decisione, revoca il DN ed invita il ricorrente ad inviare la LAR, per dare così inizio alla richiesta del dominio oggetto di decisione. In particolare, se la procedura per l’assegnazione non viene intrapresa entro 30 giorni il DN può essere nuovamente e liberamente assegnato a chiunque ne faccia richiesta.

Come si vede, se il ricorrente lo desidera può non dar seguito al trasferimento del nome a dominio, lasciando decorrere il periodo di 30 giorni senza attivarsi. Di fatto il dominio è stato cancellato.

Un’altra particolarità della decisione. Se il Saggio ritiene che il reclamo sia stato promosso in malafede (magari per screditare l’assegnatario del DN) nella decisione si fa menzione di tale fatto e questa parte della decisione viene sempre pubblicata, anche qualora la pronuncia non venga resa integralmente disponibile on line.

La ratio di questa previsione è, all’evidenza, quella di disincentivare il c.d. “riverse domain name hijacking”: fenomeno piuttosto diffuso per il quale i titolari di un marchio registrato – il più delle volte “celebre” – hanno tentato di approfittare della loro posizione privilegiata cercando di farsi assegnare un dominio già legittimamente registrato da un terzo, titolare, a sua volta, di un concorrente diritto sul dominio stesso (es.: se Giorgio Armani promuovesse una PDR per armani.it, registrato dall’omonimo timbrificio di Treviglio (BG)). (vedasi, per riferimenti concreti, le decisioni cimone.it, dvditalia.it).

Ricostruito così, nei suoi momenti essenziali, l’iter della presente procedura, andiamo ora ad esaminare più da vicino l’art. 16.6 Reg. Naming, norma davvero centrale per la corretta comprensione della PDR. E’la norma fondamentale, la trave portante dell’impalcatura della PDR, la disposizione che deve avere sempre “sotto gli occhi” il saggio che va a decidere la lite.

Perché, come abbiamo visto, 3 sono i presupposti che sorreggono – da un punto di vista giuridico – il trasferimento del nome a dominio contestato a favore del ricorrente e tutti e 3 tali presupposti sono disciplinati dalla norma poc’anzi citata.

Andiamo, perciò, ad analizzare l’art. 16.6, che individua subito – alla lettera a) – la prima condizione che dev’essere soddisfatta.

a) il nome a dominio contestato dev’essere identico o tale da indurre confusione rispetto ad un marchio su cui il ricorrente vanta diritti, o al proprio nome e cognome.

Il punto a) deve esere dimostrato dal ricorrente nei modi consueti, fornendo prova dell’esistenza di un proprio marchio o del proprio nome e cognome.

Nel silenzio della norma, occorrerà stabilire in concreto se la PDR potrà venire utilizzata, oltre che per tutelare marchi registrati, anche per tutelare marchi di fatto, ragioni sociali o altri segni distintivi (quali il titolo di una testata giornalistica, o uno slogan).

Il fatto che l’art. 16.6 faccia riferimento solo ad un marchio sembrerebbe escludere la possibilità di avvalersi della procedura per difendere ogni tipo di segno distintivo, ma ogni timore viene risolto dalla lettura contestuale dell’art. 3 Proc. Riass., che – nello stabilire il contenuto del reclamo – fa espresso riferimento ai segni distintivi, oltre che ai marchi.

Sempre con riferimento al punto a) devo evidenziare che – a mio parere – a nulla rileva che il marchio sia stato registrato in Italia o altrove, dato che le vigenti regole di Naming richiedono genericamente che il ricorrente vanti diritti su un marchio, indipendentemente dalla Nazione in cui questo è stato registrato.

D’altronde osservo che numerose decisioni relative a TLD “geografici” (e “geografico” è anche il “.it”) hanno disposto il trasferimento di domini in favore di soggetti che avevano dato prova di essere titolari di marchi registrati in Paesi diversi rispetto allo Stato di registrazione del dominio contestato (vedasi – a titolo meramente esemplificativo – le seguenti pronunce, relative al ccTLD “.tv” – Isole Tuvalu, Oceania – nonché al ccTLD “.ws” – Western Samoa, Oceania – : “gomaespuma.tv”, “Halifax.tv”, “nasdaq.tv”, “nokia.ws”, “zippo.ws”). Tutte queste considerazioni sono state esplicitate nella decisione che chi scrive ha reso relativa al dominio “antago.it”, ad oggi l’unica pronuncia italiana che ha dovuto affrontare questo problema.

Passiamo ora all’esame del 2° presupposto richiesto per la riassegnazione del dominio.

La lettera b) testualmente recita: “il resistente non ha alcun diritto o titolo in relazione al dominio contestato”. Sarà, pertanto, onere del resistente dare prova di un proprio concorrente diritto o titolo al nome a dominio, oppure dell’esistenza di una delle circostanze dalle quali l’art. 16.6 u.c. Reg. Naming deduce la presunzione di un legittimo uso del resistente al nome a dominio contestato (es.: egli è conosciuto col nome corrispondente al DN contestato, anche se non ha registrato il relativo marchio, oppure che del DN sta facendo un legittimo uso non commerciale, e così via…).

Come ben affermato dall’Avv.Ziccardi nella decisione “dinersclub.it/dinersclubitalia.it”, le prove previste dalla lett.b) “devono sempre essere tenute in grande considerazione, per evitare che le PDR vengano utilizzate unicamente per garantire al più forte economicamente, quasi d’ufficio, diritti su domini correlatati ai segni distintivi del ricorrente”.

Il 3° presupposto richiede che il DN sia stato registrato e venga usato in mala fede.

E’una condizione molto importante, un aspetto cruciale, e rivela che non ogni ipotesi di contraffazione del marchio sia ritenuta illecita ai fini della presente procedura. In altre parole, non si può colpire con lo strumento della PDR una contraffazione di marchio attuata in buona fede. Si potrà, volendo, adire l’Autorità Giudiziaria ordinaria per vedere applicata la legge marchi, che reprime fenomeni di contraffazione più ampi, perché non dà rilevanza all’elemento soggettivo. Ma questo è un altro discorso, che esula dalla tematica di cui ci stiamo occupando.

Ciò posto, va detto che l’art. 16.7 Reg. Nam. elenca una serie di circostanze che, se dimostrate dal ricorrente, saranno ritenute prova della registrazione e dell’uso del dominio in malafede da parte del resistente (es.:il dominio è stato registrato per essere trasferito a caro prezzo al ricorrente, oppure per impedire al titolare di identico marchio di registrare in proprio tale nome a dominio, ecc.).

La disposizione poc’anzi citata, all’ultimo comma, si affretta però a precisare che l’elencazione delle “presunzioni di malafede” è meramente esemplificativa. Il Collegio potrà, pertanto, rilevare anche da altre circostanze elementi di malafede. Mi sembra corretto. Anzi, personalmente ritengo che, ai fini della procedura in esame, il termine “malafede” vada inteso nella sua accezione più ampia. Il che, per così dire, impone un’indagine “a 360° gradi” sul comportamento del titolare del dominio, al fine di indagare se emerga un “agire scorretto” di quest’ultimo, indice della sua consapevolezza di ledere diritti di terzi.

Così, passando in rassegna la giurisprudenza sul tema, annoto che è stato ritenuto essere in malafede chi registra un DN al solo scopo di impedire al ricorrente di portare sul web il proprio segno distintivo (cioè, come si legge di frequente, di impedire al ricorrente di riflettere sul DN il proprio nome o il proprio segno distintivo legittimamente registrato). (cfr. decisione aol.it)

Altre volte viene vista come indice di malafede – unita ad altre risultanze – la circostanza che il resistente abbia registrato altri domini in nessun modo riferibili alla sua attività, ma relativi a marchi e denominazioni di imprese famose. (barbie.it, pursennid.it, antago.it, ecomusei.it)

In certi casi, è stato considerato sintomo di malafede la detenzione passiva di un nome a dominio (c.d. “passive holding”, termine tecnico utilizzato anche da noi in Italia per definire correttamente tale fattispecie ): la detenzione, cioè, di un dominio cui non sono collegati contenuti raggiungibili tramite il protocollo http. Detto altrimenti – ed in termini più semplici –si tratta della mancata attivazione del sito (classica ipotesi, certamente nota a tutti, è la “pagina bianca” in cui campeggia la scritta “sito in costruzione”). (aol.it, guidasposi.it)

O ancora, per restare in tema, l’attivazione del sito solo in un momento successivo alla comunicazione del reclamo. E’un caso realmente accaduto, e ci si riferisce al dominio avid.it, nel quale – a seguito del reclamo del ricorrente (AVID, multinazionale leader nel settore della fornitura di strumenti audio e video digitali) – il resistente ha attivato un’improbabile pagina web che faceva riferimento ad un ipotetico “Avid – antiarrhytmics versus implantable defribrillators”, a dire del resistente il titolo di un articolo medico pubblicato sul New England Journal of Medicine. Ma anche questo, all’evidenza, si è rivelato uno “stratagemma” davvero poco astuto, ritenuto, invece, elemento di malafede.

Talora, poi, sono le pagine stesse del sito a provare – ictu oculi – la malafede del resistente (spesso, infatti, il sito è stato predisposto con il preciso intento di far credere all’ignaro visitatore di essere entrato nel sito ufficiale del ricorrente). (antago.it)

Tirando ora le fila di quanto fin qui detto sulla procedura di riassegnazione – ed avviandoci a concludere – va osservato che l’ambito della cognizione attribuita al Collegio è limitata all’accertamento della sussistenza dei presupposti richiesti dall’art. 16.6 Reg. Naming per il trasferimento del nome a dominio contestato. Deve essere chiaro, in altre parole, che la PDR è un’alternativa differente, in tutto e per tutto, rispetto alla composizione giudiziale delle liti.

Presentata così, la PDR sembra essere la “panacea” di tutti i mali che attualmente affliggono i domain names, in relazione al domain grabbing.

Indubbiamente, che sia uno strumento efficace è ormai assodato e ciò è testimoniato anche dal crescente successo che la procedura sta incontrando presso il pubblico (ad oggi si contano circa 100 decisioni).

Ovviamente presenta lati negativi (tra cui la possibilità che l’attuazione della decisione sia vanificata dall’instaurazione – entro 15 giorni dalla pronuncia del saggio – di una causa ordinaria dinanzi all’Autorità Giudiziaria), ma senz’altro superiori sono i “punti di forza”: la competenza del saggio, i costi contenuti e la celerità della procedura, abissale se paragonata ai tempi della giustizia ordinaria.

Quindi – e per concludere – invito a considerare che, nell’ambito di una contesa su un dominio, oltre alla composizione giudiziale delle liti, ci sono strumenti di risoluzione alternativi: il giudizio arbitrale e la procedura di riassegnazione, che presenta senza dubbio profili di assoluto interesse.

AnyViewer

Posted on by

Software di Desktop Remoto per Windows

AnyViewer, software di desktop remoto gratuito per Windows 11/10/8.1/8/7 e Windows Server 2022/2019/2016/2012 R2, ti consente di accedere in remoto al tuo PC o server su Internet in qualsiasi momento e ovunque.

Sicuro & Affidabile

Per l'attività di connessione remota, la sicurezza può essere la prima cosa che preoccupano gli utenti. AnyViewer è protetto dalla crittografia Elliptic Curve Cryptography (ECC), il che protegge i tuoi dati da perdite.

Veloce & Stablile

Sviluppato da un forte team tecnico, AnyViewer può aiutarti a completare la connessione remota stabile e veloce da un computer a un altro PC o più PC allo stesso tempo con alta qualità dell'immagine.

Flessibile & Premuroso

L'interfaccia intuitiva e concisa ti aiuta ad accedere il computer a distanza facilmente. Nel frattempo, questo gestore ha i metodi di connessione flessibili, aggiornamenti automatici e supporta lingue multiple.

Hai bisogno di utilizzare i dati essenziali memorizzati sul PC di lavoro quando non sei in ufficio? Non preoccuparti, lo strumento di connessione desktop remoto può essere utile! L'utilità di accesso remoto ti permette di accedere al tuo computer di lavoro da qualsiasi luogo e quindi è possibile utilizzare i file e le cartelle salvate sul PC in ufficio.

Supporto remoto per i tuoi amici o clienti

Hai mai chiesto di insegnare ai vostri amici o clienti a usare un'applicazione quando sei lontani da loro? Perché non utilizzare il gestore di Desktop Remoto per stabilire una connessione desktop remota? Poi, puoi accedere e controllare il computer del tuo amico o cliente e poi offrire loro supporto tecnico direttamente piuttosto che spiegare oralmente.

Controllare a distanza un altro PC

Quando hai bisogno di controllare un altro PC per eseguire applicazioni o giocare, con un software di controllo remoto affidabile e sicuro, si può facilmente accedere e controllare il computer remoto dal desktop o dal laptop e poi si può operare il computer controllato come al solito.

Clicca per scaricare

Cookie, le nuove regole

Posted on by

Cookie, una recente ricerca ha portato alla luce una realtà molto amara: il 97% dei siti web in Europa non rispetta almeno una delle previsioni del GDPR. Il dato è emerso a pochissimi giorni dall’entrata in vigore definitiva delle Nuove Linee Guida del Garante per la protezione dei dati personali in tema di privacy e cookie sui siti web:

le nuove Linee Guida sono già in vigore!

I siti web non in regola sono quindi sanzionabili e webmaster e proprietari possono incorrere in sanzioni fino al 4% del fatturato annuale.

Per approfondire > Garante Italiano: in una pagina a tema tutte le nuove linee guida adottate sui cookie


La conformità in pochi passaggi: con Acconsento.click siamo pronti alla sfida
In vista di questa importante scadenza, ci siamo rimboccati le maniche, abbiamo studiato approfonditamente la nuova normativa e migliorato la nostra soluzione Acconsento.click

Acconsento.click è una soluzione in cloud dotata di uno scan engine che individua i cookie attivi sui siti web e genera un'informativa specifica e personalizzata conforme alle disposizioni del Regolamento Generale di Protezione dei Dati e successive linee guida:

  • dal lato del webmaster, acconsento.click è un piccolo blocco di codice da aggiungere al proprio sito web, generato su misura dopo la scansione automatizzata del sito stesso.
  • per l'utente navigante consente la visualizzazione non solo delle informative, ma anche di esprimere un consenso granulare secondo le proprie volontà. L'utente potrà anche modificare le proprie preferenze in qualsiasi momento, grazie al pannello di controllo che vedrà sempre disponibile sul sito web. Il sito web ne guadagnerà in reputazione verso l'utente, che sentirà tenute davvero in considerazione le proprie preferenze. 

Acconsento.click ha recepito le nuove Linee Guida

Le nuove Linee Guida del Garante sono entrate in vigore il 10 Gennaio 2022: adesso i siti web non conformi sono sanzionabili. Con il supporto di importanti studi legali, abbiamo studiato approfonditamente tutte le novità e le abbiamo integrate in Acconsento.click. Adottare Accosento.click renderà immediatamente conforme alle normative attuali (non solo il GDPR, ma anche le Linee Guida del Garante per la protezione dati personali e dell' European Data Protection Board).

Le novità che abbiamo introdotto non sono soltanto miglioramenti funzionali, ma vengono incontro a PRECISI OBBLIGHI NORMATIVI.

Ecco tutte le novità introdotte:

    • Cookie banner:
      i pulsanti “Accetta” e “Rifiuta” sono stati resi obbligatori. Le informative che non prevedono la possibilità di rifiutare il consenso non sono più legali.
    • Scelte granulari per l'utente:
      l'utente adesso può esprimere scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare.
    • Preferenze modificabili in qualsiasi momento:
      l'utente adesso può aggiornare le proprie preferenze di tracciamento in qualsiasi momento.
    • Raccolta del consenso per scorrimento:
      il consenso via semplice scorrimento del mouse è stato reso non valido, come previsto dalla Nuova Normativa.
    • Stop al cookie wall:
      il cookie wall è stato eliminato. Le nuove disposizioni hanno infatti reso illegale l'obbligo di accettare i cookie per poter accedere ai contenuti di un sito web.
    • Validità delle preferenze dell’utente relative al consenso:
      dopo aver chiesto il consenso la prima volta, viene mantenuto per 6 mesi prima di poterlo chiedere nuovamente, salvo se viene svuotata la cache o se vengono cambiate le preferenze dall'utente stesso. 
    • Prova del consenso:
      Acconsento.click fornisce tutto il necessario per dimostrare, in caso di bisogno, che il gestore del sito ha ottenuto un consenso al trattamento dei dati valido perchè espresso secondo le previsioni del GDPR e delle Nuove Linee Guida Cookie.

Insomma non si potranno più utilizzare i cookie?
No affatto, Acconsento.click tiene conto dell'utilità e del valore che i cookie possono fornire ai gestori di un sito web: ecco cosa sarà possibile fare rimanendo conformi alla normativa vigente

  • Installazione di Cookie statistici (analytics)
    i cookie statistici di prima parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo).
  • Installazione di Cookie statistici di terza parte
    I cookie statistici di terza parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni, che possiamo valutare assieme.

Il tuo sito web è in regola? E quello dei tuoi clienti?
Contattaci, valutiamolo assieme e risolviamo il problema!

Adottare Accosento.click garantisce la conformità alle normative attuali in fatto di privacy e cookie!

StrongBox Cloud PRO

Posted on by

Strong Box PRO

StrongBox Cloud PRO è la soluzione alla perdita o il furto di dati, eventi sempre più frequenti di quanto si possa pensare: sbalzi di tensione, incendi e allagamenti, per non parlare dei furti, sono tutti eventi che accadono improvvisamente e possono causare gravi perdite di dati nella propria struttura informatica.


Con StrongBox Cloud PRO ti permette di pianificare i backup dei dati gestiti all'interno della tua organizzazione con la massima semplicità e sicurezza mettendo al sicuro i tuoi dati, custodendoli in forma crittografata su server remoti e garantendoti di poterne rientrare in possesso rapidamente in caso di necessità.

StrongBox Cloud PRO rende la tua organizzazione conforme all'Art.32 del GDPR - Sicurezza del trattamento: "il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico"

Come funziona StrongBox Cloud PRO

StrongBox Cloud PRO ti libera da qualsiasi preoccupazione perché archivia e protegge i tuoi file dopo averli portati in Cloud.

-Ripristina i tuoi dati: Consente di ripristinare i tuoi file in caso di disastro dovuto a guasto, attacco virus, evento accidentale ed anche in caso di errore umano.

-Crittografia sicura: StrongBox Cloud PRO garantisce la sicurezza dei file conservati 24 ore su 24, tramite l'uso di AES 256, uno dei più potenti algoritmi di crittografia in circolazione.

-Rispetto della Privacy: Una protezione completa dei dati: file, cartelle, posta elettronica. StrongBox Cloud PRO conserva i tuoi dati nel totale rispetto delle normative nazionali ed europee sulla privacy.

-Sempre disponibile: StrongBox Cloud PRO permette di visualizzare e condividere i file archiviati nel cloud, da qualsiasi luogo, da qualsiasi browser e da qualsiasi device - anche dal tuo tablet o smartphone - attraverso l'app dedicata.

Rischi di perdita dei dati

  • Guasto del disco

  • Criptazione da ransomware

  • Furto del device

  • Crash del sistema

  • Errore umano

  • Virus

  • Corruzione dei files

  • Incendio

  • Allagamento

Contattaci per saperne di più del nostro servizio di Backup in Cloud oppure per conoscere altri nostri prodotti e servizi Clicca qui.

Comunicazione DPO

Posted on by

Comunicazione DPO al Garante Privacy, la procedure online semplifica la comunicazione.

La procedura online è disponibile oltre che per pubbliche amministrazioni, anche per le imprese tenute alla nomina del DPO, responsabile della protezione dei dati, devono utilizzare per effettuare le dovute comunicazioni al Garante Privacy. Si tratta, lo ricordiamo, dell’adempimento previsto dall’articolo 37 del GDPR, il tanto atteso Regolamento UE che entra in vigore in tutti gli Stati Membri il 25 maggio.

La procedura per la comunicazione dei dati del DPO (RPD – Responsabile Protezione Dati), è disponibile online sul sito dell’Authority. Nei giorni scorsi, il Garante aveva pubblicato un fac-simile della comunicazione, puramente esemplificativa, per consentire ai soggetti coinvolti di familiarizzare con l’adempimento.

Dati richiesti

Il modulo da compilare si compone di quattro parti. Nella sezione A si inseriscono altri dati relativi al soggetto che effettua la comunicazione. E al momento che il titolare del trattamento è l’impresa o il professionista tenuto alla comunicazione dei dati o la pubblica amministrazione, la comunicazione sarà effettuata dal legale rappresentante dell’azienda o dell’ente, o da un suo delegato. Bisogna indicarne cognome, nome e indirizzo di posta elettronica. Se la comunicazione è effettuata dal rappresentante legale, bisogna indicare anche nome e cognome del delegante.

La sezione B è dedicata al titolare o responsabile del trattamento. In base alla definizione contenuta nel GDPR, il titolare del trattamento è:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il responsabile del trattamento è :

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Si barra la casella relativa all’iscrizione o meno agli indici nazionali dei domicili digitali e poi si compilano i campi seguenti: denominazione, codice fiscale o partita IVA, e via dicendo. Se il soggetto risulta iscritto agli indici nazionali, è obbligatorio indicare l’indirizzo PEC (posta elettronica certificata), mentre la mail ordinaria è facoltativa. Viceversa, per coloro che non sono iscritti agli indici nazionali, o che operano in altri stati, è obbligatorio compilare il campo dedicato all’e-mail mentre è facoltativa la PEC.

I gruppi imprenditoriali, dovranno compilare anche l’apposita sezione B1, segnalando se il soggetto che effettua la comunicazione è la controllante, una controllata, o se non fa parte di un gruppo imprenditoriale che si è avvalso della designazione del RPD di gruppo.

 

La sezione C riguarda il Responsabile della Protezione Dati (Data Protection Officer). Si indica innanzitutto se il soggetto è interno o esterno (in questo caso, bisogna anche specificare se si tratta di persona fisica o giuridica) e quindi si compilano i campi relativi alle sue generalità e ai dati di contatto.

 

Infine, la sezione D è dedicata alle modalità con cui il titolare dei dati decide di pubblicare i dati di contatto del DPO (sito web o altro).

 

Dopo aver compilato e inviato il file digitale, arriva una mail con un file allegato, che va sottoscritto con firma digitale o firma elettronica qualificata e inviato in formato CAdES, il tutto entro 48 ore. Il file così inviato costituisce l’avvenuta comunicazione: verrà analizzata dal Garante, che può rigettarla o accoglierla.

Attenzione: è molto importante che il file firmato digitalmente corrisponda perfettamente a quello contenuto nella mail inviata, quindi il consiglio è di non aprire il file ricevuto, limitandosi a salvarlo in locale e ad apporre la firma digitale, per non rischiare di vedersi rifiutare la domanda. L’eventuale rigetto è comunicato via mail (all’indirizzo indicato nella sezione A del modulo).

Se invece la comunicazione viene considerata valida, il soggetto che ha effettuato la comunicazione riceve (sempre via mail), un numero di protocollo utilizzato per la registrazione dei dati comunicati. Il titolare del trattamento riceve, all’indirizzo di posta elettronica indicato nella sezione B, un documento informatico con le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati. Il soggetto designato come responsabile del dati riceverà, mediante comunicazione inviata all’indirizzo PEC indicato al punto 5 della sezione C, un documento informatico contenente le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati.

Il numero di protocollo diventa il riferimento per tutte le successive comunicazioni con il Garante privacy.