Ransomware FTCODE, PEC a rischio hacking.

Una pericolosa variante del ransomware FTCODE sta colpendo le caselle di posta certificata (PEC) di aziende e pubbliche amministrazioni italiane. Ecco tutti i dettagli tecnici per riconoscerlo e i consigli pratici per difendersi e prevenire un possibile attacco.

Una variante del ransomware FTCODE sta prendendo di mira le caselle di posta elettronica certificata (PEC) italiane: il malware viene veicolato mediante una massiccia campagna di malspam proveniente da altre caselle di posta elettronica (per lo più PEC) precedentemente compromesse.

Già lo scorso 2 ottobre, il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.

In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.

Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file WindowsIndexingService.js che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware GootKit e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.

FTCODE: i dettagli della nuova variante del ransomware

Gli analisti del CERT-PA (il Computer Emergency Response Team della Pubblica Amministrazione) hanno ora identificato la nuova variante del ransomware FTCODE che continua ad essere una seria minaccia per le caselle PEC italiane.

La nuova versione di FTCODE ha numerose parti di codice in comune con la precedente variante, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo (C&C), quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.

Molto simile anche il codice necessario a gestire il ciclo per l’enumerazione dei file da cifrare. Così come riportato dal bollettino di sicurezza del CERT-PA, in questa nuova variante del ransomware FTCODE i criminal hacker hanno aggiunto alcune “migliorie”:

  • il file di lock usato per garantire una singola istanza del malware è considerato non valido dopo 30 minuti: questo evita possibili “vaccinazioni” o deadlock;
  • FTCODE crea ora un GUID univoco per macchina in un file di lavoro (ma sembra generarlo ad ogni avvio e quindi potrebbe trattarsi di un bug);
  • i file vengono ora rinominati con un’estensione casuale (i primi 6 caratteri di un GUID) e non più con .ftcode;
  • la password è generata tramite Get-Random e non tramite Membership.GeneratePassword: è composta da 50 caratteri alfanumerici e viene sempre inviata in chiaro al C&C;
  • la pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro;
  • le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono cifrate;
  • in caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al server C&C.

Il CERT-PA ha diffuso anche gli IoC del ransomware FTCODE, cioè gli indici di compromissione che possono tornare utili ai responsabili della sicurezza IT aziendale per individuare il codice malevolo del malware:

SHA256

  • 5e0844e082ffc41784a9cbdf34225793a167c8c3f23aa7937fd442e6eaa19e2a
  • 07c226d6e4ab84a586b1a09f09896223412de927513fda6bf13b031dc497e686

SHA1

  • 46090a00ad5e755b0abef6be931086daef9c5651
  • 4cb525212460fedae4820a7cfc39e47db48c4c7b

MD5

  • e299d13f093b20559b62c8b22482bde3
  • be611918fabc12048aeba6e55f6559d7

URL

  • http://ceco.jasonrsheldon.com/
  • http://ceco.myheritageins.com/?need=streetm&vid=vbs4&4643
  • http://ceco.myheritageins.com/?need=aegzfej&vid=vbs4&
  • http://kati.katieebecker.com/?need=aegzfej&vid=vbs4&
  • http://bill.billfergerson.com

DOMINI

  • cdn.unitycareers.com
  • cdn.secure357.com

I consigli per difendersi

Come abbiamo visto, le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.

Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.

Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

E’ importante utilizzare dei sistemi di backup che all’occorrenza siano in grado di salvare e ripristinare i fale in maniera veloce ed affidabile, la soluzione attualmente che consigliamo è l’acquisto di un QNAP.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla formazione non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

Data breach, è cambiata la notifica.

Cambia la notifica di data breach: il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per notificare una violazione di dati personali. Ecco tutte le novità e i consigli per effettuarla al meglio

Cambia la notifica di data breach: con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

In precedenza, il Garante aveva già introdotto modalità e requisiti specifici di notifica dei data breach in diversi settori e con il provvedimento in questione il Garante ha provveduto a razionalizzare ed uniformare i termini, i contenuti e le modalità della notifica.

Come cambia la notifica di data breach

Il GDPR prevede che in caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare tale evento al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Allo stesso modo il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi (artt. 33 e 55 del GDPR, art. 2-bis del Codice Privacy).

A seguito del citato provvedimento 157 l’onerosità di tale notifica è decisamente aumentata, probabilmente anche al fine di permettere al titolare di assumere reale contezza della violazione e, conseguentemente, di valutare in maniera ponderata l’effettiva necessità di comunicare, o meno, la violazione stessa anche alle persone fisiche interessate, nel rispetto di quanto previsto dall’art. 34 del GDPR.

Vediamo quindi come cambia la notifica di data breach.

Per effettuare la notifica il titolare dovrà scaricare il modello disponibile sul sito del Garante e compilare le seguenti sezioni:

  1. Dati del soggetto che effettua la notifica, inserendo i dati anagrafici e di contatto del soggetto che materialmente effettua la notifica (ove nominato, si tratta del DPO del titolare);
  2. Dati relativi al titolare del trattamento, in cui andranno inseriti i dati identificativi del titolare (denominazione, C.F./P.IVA, indirizzo ecc.), i dati di contatto del soggetto da contattare per informazioni (ove nominato il DPO andrà indicato il relativo numero di protocollo assegnato dal Garante alla comunicazione dei dati di contatto tramite la procedura online disponibile sul sito) e i riferimenti di ulteriori soggetti coinvolti con indicazione del ruolo svolto (contitolare o responsabile del trattamento , rappresentante del titolare non stabilito nell’UE);
  3. Informazioni di sintesi sulla violazione, questa è una delle sezioni più critiche in quanto andranno indicate una serie di informazioni di dettaglio relative alla violazione, ivi incluse: la data esatta in cui si è verificata, il momento e le modalità in cui il titolare ne è venuto a conoscenza, i motivi del ritardo in caso di notifica oltre le 72 ore, la natura e la causa del data breach e le categorie di dati personali e soggetti interessati coinvolti, con indicazione dei relativi volumi;
  4. Informazioni di dettaglio sulla violazione, a completamento della sezione precedente, in questa andranno indicati i dettagli relativi alla violazione descrivendo nello specifico l’incidente alla base del breach, le categorie di dati violate, i sistemi e le infrastrutture informatiche coinvolte nell’incidente, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate;
  5. Possibili conseguenze e gravità della violazione, si tratta di una sezione che richiede uno sforzo prognostico da parte del titolare il quale sarà tenuto a identificare i possibili impatti della violazione in base alla sua natura ed i potenziali effetti negativi per gli interessati; occorrerà inoltre effettuare una stima motivata della probabile gravità del data breach;
  6. Misure adottate a seguito della violazione, in cui andranno segnalate tutte le contromisure sia tecniche che organizzative adottate per limitare gli impatti del breach e di futura attuazione onde prevenire incidenti futuri;
  7. Comunicazione agli interessati, in questa sezione occorrerà specificare se la violazione è stata comunicata o meno agli interessati ai sensi dell’art. 34 del GDPR, ed in caso di mancata comunicazione sarà necessario motivare la ragione che ha spinto il titolare prendere una tale decisione;
  8. Altre informazioni, si tratta di una sezione di chiusura in cui inserire i dettagli circa l’impatto transfrontaliero del data breach e le eventuali segnalazioni già effettuate ad altre autorità.

Laddove il titolare del trattamento non sia in possesso di tutte le informazioni richieste dal modulo, potrà avviare il processo di notifica pur in assenza di un quadro completo della violazione con riserva di effettuare una successiva notifica integrativa.

Come inviare la notifica di data breach

Il modulo di notifica, una volta completato con le informazioni richieste, deve essere inviato al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritto digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

È opportuno ricordare che la notifica non deve includere i dati personali oggetto di violazione (ad esempio, non fornire i nomi dei soggetti interessati dalla violazione).

In ogni caso l’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

I prossimi passi

Il nuovo modulo di notifica richiede al titolare di raccogliere una folta serie di informazioni relative alla violazione. Per essere in grado di effettuare la notifica il titolare dovrà pertanto assicurarsi di aver implementato le adeguate procedure organizzative – sia interne che esterne nei confronti dei responsabili – che gli consentano di ottenere in maniere tempestiva tutte le notizie necessarie per compilare effettuare la notifica.

Il procedimento di notifica deve essere supportato dalla tenuta, da parte dei titolari del trattamento, del cosiddetto “registro delle violazioni”: un documento che ha la duplice funzione di consentire, al titolare, un agevole monitoraggio e controllo di tutte le violazioni di dati personali avvenute nel corso delle proprie attività di trattamento e, al Garante Privacy, di verificare il rispetto dell’obbligo di notifica tempestiva.

Questo registro andrà predisposto in linea con i requisiti del modulo di notifica per raccogliere tutte le informazioni necessarie al fine di documentare adeguatamente qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Lo scenario dei data breach in Europa e in Italia

Il provvedimento con cui il Garante privacy ha introdotto il nuovo modello di notifica di data breach è l’occasione giusta anche per ricordare quanto il fenomeno dei data breach sia in costante aumento in Europa.

Il Comitato Europeo per la protezione dei dati ha pubblicato un report sullo stato di implementazione del GDPR a 9 mesi dalla sua piena applicabilità, in cui si rileva che le autorità Garanti in Europa hanno registrato circa 64.684 notifiche di data breach, ed è ragionevole ritenere che dalla pubblicazione del report ad oggi tale cifra sia cresciuta ulteriormente.

In tal senso è significativo quanto espresso dal World Economic Forum, secondo cui gli attacchi informatici sono la maggiore minaccia per le imprese che operano in Europa.

Durante gli ultimi anni il nostro continente è stato difatti teatro di una lunga serie di grandi attacchi cyber, il cui numero è aumentato di circa un terzo nel primo trimestre 2018, rispetto allo stesso periodo dell’anno scorso.

Tali stime trovano conferma nel rapporto presentato dalla Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) secondo cui, a fronte di un aumento moderatamente significativo del numero di attacchi, si è registrato un incremento esponenziale della efficacia e pericolosità degli stessi.

Nella prima metà del 2018 sono stati compromessi, infatti, circa 4.500 milioni di record a causa delle violazioni di dati, in forte crescita rispetto al 2017 in cui, nello stesso periodo, erano stati registrati «solo» 2,7 milioni di record violati.

Risparmiare con Fritz

Risparmiare la corrente con FRITZ! – opzioni per la casa intelligente

I prodotti FRITZ! non facilitano solo l’uso di Internet e la telefonia bensì ti aiutano anche a ridurre le spese: con la prese intelligenti FRITZ!DECT 200 e FRITZ!DECT 210 puoi integrare i dispositivi elettrici nella rete domestica e venire informato in qualsiasi momento del relativo consumo anche mediante un’analisi significativa e un bilancio di emissioni di CO2.

FRITZ!DECT 200 – molto di più di una presa

Una connessione DECT sicura ti permette di integrare la presa intelligente nella tua rete domestica. Il consumo dei dispositivi ad essa collegati si legge comodamente nell’interfaccia del FRITZ!Box o si può far inviare ai dispositivi mobili tramite e-mail del servizio Push. Grazie a ciò, puoi eseguire misurazioni precise a casa e farti mostrare il consumo, in kilowattora e euro, per ogni ora, giorno, mese o anno.

Powerline con funzione Smart Home

Approfitta di questi vantaggi per risparmiare con il FRITZ!Powerline 546E: questo adattatore non si limita a trasmettere il segnale LAN attraverso la linea elettrica, bensì è dotato anche di una presa con funzione Smart Home. Collega via cavo il tuo nuovo televisore alla rete domestica tramite l’adattatore Powerline e controllane il consumo con la presa. Fai diventare intelligente la tua casa!

Configurazione facilissima

Sia il FRITZ!Powerline 546E sia il FRITZ!DECT 200 sono configurati e pronti all’uso in un attimo. Per creare la connessione basta premere un tasto. Integra altri dispositivi nella tua rete domestica e approfitta delle opzioni che ti offre la tecnologia Smart Home.

Semplice commutazione automatica

Nella modalità automatica il FRITZ!DECT 200 offre molteplici opzioni: imposta un piano orario e il tuo FRITZ!DECT gestirà l’accensione e lo spegnimento dei dispositivi come evento unico oppure ogni giorno, nei giorni feriali, con cadenza regolare o casuale. È anche possibile sincronizzare la commutazione tramite il calendario di Google. La funzione Astro, infine, permette di attivare e disattivare l’alimentazione all’alba e al tramonto.

Misurazione dei consumi

Il FRITZ!DECT 200 non è solo un sistema di commutazione, ma anche di misurazione del consumo energetico dei dispositivi. L’intensità è indicata in watt e la tensione in volt. Le misurazioni si possono effettuare su base oraria, giornaliera, mensile e annuale, sia in kWh che in euro, elaborando anche un bilancio di emissioni di CO2.

Risparmiare non è stato mai così facile ed efficace

Autorizzazione videosorveglianza

L’istanza di autorizzazione per la videosorveglianza permette di installare le telecamere di sicurezza rispettando le norme di legge previste.

Sempre più spesso privati e aziende sentono il bisogno di dotarsi di sistemi di videosorveglianza per aumentare il grado di sicurezza dell’ambiente domestico o di quello lavorativo, ma devono fare i conti con alcune attenzioni necessarie per il rispetto della privacy.

Così come molte altre informazioni (nome e cognome, residenza, codice fiscale, numero di telefono, ecc), anche le immagini sono a tutti gli effetti dei dati personali e, come tali, sono soggette alla normativa della privacy: in questo articolo ecco alcuni aspetti da tenere in considerazione.

Autorizzazione per videosorveglianza privata

Chi vuole installare telecamere di sorveglianza nella propria casa è soggetto a molte meno restrizioni rispetto all’ambiente lavorativo, a patto di rispettare alcune indicazioni.

Secondo quanto stabilito dal Garante della Privacy, con il parere n. drep/ac/113990 del 7 marzo 2017, per la videosorveglianza privata non è previsto l’obbligo di autorizzazioni (né da parte della Polizia, né da parte, eventualmente, del condominio).

Ci sono, tuttavia, alcune condizioni da rispettare, che valgono indistintamente per le telecamere con o senza registrazione delle immagini:

 – evitare di riprendere zone di pubblico passaggio (strada o spazi comuni)
 – qualora ciò non fosse possibile, evitare il riconoscimento dei soggetti (limitando il raggio di ripresa alle sole scarpe)

In sostanza, è possibile fare a meno dell’autorizzazione per videosorveglianza quando le telecamere non sono rivolte su zone pubbliche (compresi gli spazi comuni di un condominio, dove passano i vicini). Fondamentale, inoltre, che le immagini riprese non vengano diffuse a terzi.

Nel caso in cui queste condizioni non dovessero essere rispettate, la videosorveglianza non avrebbe più i caratteri di finalità esclusivamente personali: scatterebbero, dunque, tutti gli obblighi previsti dal codice della privacy, con tanto di richiesta di autorizzazione obbligatoria.

Autorizzazione per videosorveglianza sul luogo di lavoro

L’autorizzazione per videosorveglianza sul luogo di lavoro è sempre obbligatoria per aziende e attività commerciali e, secondo quanto stabilito all’art. 4 della Legge 300 del 1970 (Statuto dei Lavoratori), impianti audiovisivi e altri strumenti, dai quali deriva la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati esclusivamente per:

 – esigenze organizzative e produttive
 – la sicurezza del lavoro
 – tutela del patrimonio aziendale.

Recentemente l’art. 4 dello Statuto dei Lavoratori ha subìto rilevanti modifiche, ad opera del Jobs Act (art. 23 del D.Lgs. n. 151/2015) prima e del D.Lgs. n. 185/2016 (art. 5, comma 2) dopo, adeguando così l’impianto normativo e le procedure preesistenti alle più recenti innovazioni tecnologiche.

A tal proposito, l’Ispettorato Nazionale del Lavoro, con la circolare n.5 del 19 febbraio 2018, ha fornito alcune indicazioni operative sull’installazione e utilizzo degli impianti di videosorveglianza e degli altri strumenti di controllo. Tra le novità principali, il fatto che il focus delle istruttorie debba riguardare più le finalità e le motivazioni per cui si richiede l’autorizzazione che non una descrizione tecnica della strumentazione.

Anche sul luogo di lavoro, in ogni caso, andrà posta particolare attenzione al posizionamento delle telecamere: la legge prevede che non possano essere inquadrate postazioni di lavoro fisse o aree dedicate all’attività lavorativa.

In sostanza, le immagini non devono focalizzarsi sui dipendenti, che possono però essere ripresi con criteri di occasionalità. Per il resto, le telecamere possono essere orientate anche su ingressi o zone di passaggio di pertinenza dell’azienda (ad esempio i corridoi, parcheggi, ecc).

Prima di poter installare un impianto di videosorveglianza sul luogo di lavoro, dunque, è necessario avere uno specifico accordo con le organizzazioni sindacali (se presenti in azienda) o, appunto, l’autorizzazione rilasciata dall’Ispettorato Territoriale del Lavoro, previa apposita istanza, in marca da bollo.

Videosorveglianza senza autorizzazione: sanzioni

Installare sistemi di videosorveglianza senza autorizzazione può costare alle imprese un esborso economico considerevole e/o, nei casi più gravi, anche dei provvedimenti di tipo penale (come da sentenza della Cassazione n. 4331 del 30 gennaio 2014).

Le sanzioni prevedono come minimo multe da 154,00 a 1.549,00 euro o l’arresto da 15 giorni a un anno (salvo che il fatto non costituisca reato), ma in alcuni casi possono essere anche superiori a tali importi.

Possono scattare le sanzioni, inoltre, anche qualora vengano installate telecamere finte non autorizzate, al solo scopo dissuasivo.

Vuoi sapere cosa fare per ottenere l’autorizzazione per la videosorveglianza della tua azienda? Scopri il nostro servizio di consulenza sulla privacy e richiedi oggi stesso il nostro supporto!

FRITZBox 7530

L’introduzione ideale al profilo 35b

Con il FRITZBox 7530 disponi di primo accesso ideale alla rete domestica veloce con il profilo 35b. Oltre al modem ADSL/VDSL e a un router wireless riuniti in un solo dispositivo, il FRITZ!Box 7530 dispone anche di un centralino telefonico DECT integrato, di Ethernet a Gigabit, di una porta USB e del media server.

WiFi Mesh con FRITZ!

Per consentire l’accesso continuo a video, musica e foto nella rete domestica, fino all’angolino più remoto di ogni stanza, il FRITZ!Box 7530 si affida alla WiFi Mesh. I dispositivi FRITZ! distribuiti nella casa sono operativi in un’unica rete, si scambiano i dati tra loro e ottimizzano le prestazioni di tutti i dispositivi nella rete wireless. 

Con la rete mesh si può godere molto semplicemente della massima velocità nella navigazione, nella visualizzazione di video o nel gaming. Adesso, sono i programmi mozzafiato in HD e la tua musica favorita ad aspettare te, e non al contrario!

Scoprite di più sulla WiFi Mesh

Massima sicurezza con il FRITZ!Box

Con il FRITZ!Box di AVM, vai sul sicuro! Le sue caratteristiche di sicurezza proteggono la tua comunicazione. Viene testato e migliorato continuamente. Grazie agli aggiornamenti gratuiti sei sempre al sicuro.

Centralino per connessioni basate su IP

Il FRITZBox 7530 contiene un centralino per le moderne connessioni basate su IP. Puoi collegare via DECT fino a sei telefoni cordless. C’è posto anche per il telefono analogico o il fax. Sono inoltre disponibili diverse segreterie telefoniche, rubriche online e numerose funzioni comfort.

FRITZ!OS

Svariate possibilità di connessione

Il FRITZBox 7530 è disponibile direttamente per la connessione al profilo 35b. Offre inoltre wireless AC veloce e wireless N in modalità duale. Sul router stesso si trovano inoltre quattro porte LAN Gigabit e una porta USB. Tramite queste porte puoi non solo integrare tutti i tuoi terminali nella rete senza fatica, ma anche integrare la tua stampante e predisporre una memoria USB. Potrai così vedere film, immagini e ascoltare musica quando e dove desideri.

FRITZ!OS: un concentrato di funzione

FRITZ!OS, il sistema operativo del FRITZ!Box, mette regolarmente a tua disposizione nuove funzioni. Grazie alle FRITZ!App puoi accedere ai tuoi dati con lo smartphone anche quando sei fuori casa, telefonare nella rete domestica o controllare la tua smart home. Oltre ai dispositivi Smart Home FRITZ!, il FRITZBox 7530 supporta anche dispositivi di terzi con la tecnologia DECT-ULE/HAN-FUN. E ricorda: tutti gli aggiornamenti e tutte le app per i prodotti FRITZ! sono gratuiti.

GDPR: da fine maggio le sanzioni

Verso il primo anno dall’entrata in vigore del Regolamento Privacy 679/2016: in vista ispezioni e sanzioni in caso di violazioni relative a GDPR.

Recentemente, il Garante della protezione dei dati personali ha definito il regolamento europeo come “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale”.

La nuova normativa ha avuto un impatto positivo nella sensibilità dei cittadini. Infatti, secondo i dati pubblicati dall’Autorità Garante nel bilancio relativo al primo anno dall’entrata in vigore del GDPR.

Al 31 marzo scorso sono stati registrati 7.219 reclami, in costante aumento dal 2018, e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi, a questi dati si aggiungono il numero dei contatti con l’Ufficio relazioni del Garante, quasi 10.000 e le comunicazioni dei dati di contatto dei Responsabili Protezione Dati quasi 50.000.

GDPR: controlli Privacy e GdF nelle imprese, la novità adesso è data dalla dall’immediatezza della scadenza del periodo di tolleranza per le inadempienze previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101, dal 20 maggio il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati.

Al termine del periodo di tolleranza prenderanno il via le ispezioni in collaborazione con la Guardia di Finanza.

In ambito privato destinatari delle ispezioni saranno i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala e chi tratta i dati sulla salute. In ambito pubblico, si porrà l’attenzione sul funzionamento di SPID (Sistema Pubblico di Identità Digitale) e sulle grandi banche dati.

In presenza di una violazione si possono avere varie conseguenze:

  • l’autorità di controllo può imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell’immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;
  • se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali;
  • la violazione può portare a danni reputazionali a carico del titolare  con gravi conseguenze sull’attività dell’azienda;
  • la violazione può comportare responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari;
  • la violazione può portare all’applicazione di sanzioni amministrative da parte dell’autorità di controllo;
  • la violazione può portare all’applicazione di eventuali sanzioni penali.

Il regolamento europeo distingue due gruppi di violazioni.

Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:

  • inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
  • inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
  • inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:

  • inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
  • inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.

L’autorità di controllo ha il potere di irrogare sanzioni correttive.

Essi consistono nel:

  • rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
  • rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
  • ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
  • ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
  • imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
  • ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
  • revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
  • infliggere le sanzioni amministrative pecuniarie;
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Il timore dell’erogazione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia, ma è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.

Secondo una ricerca pubblicata a febbraio 2019 dall’Information Security & Privacy della School of Management del Politecnico di Milano solo il 23% delle imprese italiane si è adeguata al GDPR, la nuova normativa Ue sulla privacy in vigore da fine maggio 2018, il 59% ha progetti in corso, l’88% ha un budget dedicato.

Nel workshop organizzato da PrivacyLab a metà aprile 2019 sono numerosi i siti istituzionali ancora senza informativa privacy aggiornata, uno studio di Federprivacy evidenzia fenomeno più grave ed esteso: il 47% dei siti web dei comuni italiani utilizza protocolli non sicuri, e il 36% non rende noti i recapiti per contattare il DPO, figura obbligatoria per tutte le pubbliche amministrazioni.

Online navigare sicuri

Online navigare in sicurezza? Ecco come fare con i browser più sicuri.

La Techwarn, per i nostri lettori ha messo a disposizione questo interessante articolo.

Tutti noi accediamo ad internet almeno una volta al giorno. E non ci rendiamo nemmeno conto di quanti dati lasciamo in giro sul web, non solo attraverso messaggi, mail e social, ma anche semplicemente con la navigazione e l’apertura di siti web.

Lo strumento conosciuto a tutti e che usiamo maggiormente per navigare online è il browser, un software che ci permette di impostare un motore di ricerca, cercare direttamente siti web e salvare i preferiti, tra le varie cose.

Come ben sappiamo però non tutti i browser sono uguali e non tutti ci garantiscono gli stessi servizi e le stesse caratteristiche. Se i più usati sono sicuramente Chrome di Google, Safari per i sistemi iOS e Mozilla Firefox, esistono altri browser che ci permettono di navigare online in completa sicurezza e migliorando di molto la nostra privacy.

Certo, da una parte abbiamo la certezza che tutto sia compatibile, di poter avere le migliori estensioni e di poter sincronizzare diversi dispositivi, dall’altra abbiamo la possibilità di migliorare la nostra sicurezza online.

Nonostante i continui miglioramenti da parte dei browser più famosi, c’è ancora molto da fare in questo ambito, ecco perché esistono delle alternative valide e a costo zero. Andiamo dunque a vedere quali sono browser alternativi e più sicuri.

TOR

Sicuramente uno dei browser più attenti alla privacy e alla sicurezza dell’utente. Questo software infatti garantisce una crittografia totale della rete mentre navighiamo, inoltre protegge i nostri dati personali e ci rende anonimi anche mentre comunichiamo.

È disponibile in download gratuito per Windows, Mac e anche Linux e si tratta di un’applicazione open source.

OPERA
Opera è sicuramente più conosciuto di Tor e in molti casi si trova anche già preinstallato su alcuni dispositivi, soprattutto PC (mentre nei dispositivi mobili è presente la versione mini). Con questo browser, oltre ad essere molto veloce, avrete a disposizione un blocco annunci, il blocco del tracciamento della posizione, l’anonimato e una VPN integrata. Che cos’è una VPN? È un tunnel virtuale ultra sicuro in cui connettervi e tenere lontano possibili infiltrazioni di virus e malware vari.

EPIC BROWSER

Invece questo browser, al contrario di Opera, è dedicato interamente ai sistemi iOS, dunque ai Mac. Anche in questo caso, il browser non salva i dati della cronologia, non ha perdite DNS; non consente i coolie di terze parti e tutti i dati vengono eliminati immediatamente al momento della chiusura del browser.

Questi browser sono tutti completamente gratuiti e – come molti altri browser non famosi quanto la triade Chrome, Safari e Firefox – consentono all’utente di proteggersi da alcune insidie del web a cui siamo esposti molto facilmente ogni volta che ci colleghiamo ad internet.

Articolo di Stefania Grosso di Techwarn

Compilance, ottemperare al G.D.P.R.

La nostra suluzione per la compilance G.D.P.R.

Ottemperare correttamente alle disposizioni ed essere compliant al GDPR, le aziende devono definire un percorso di adeguamento e poter dimostrare le azioni implementate e quelle ancora da fare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento consigliato è articolato in 7 step, vediamoli nel dettaglio.

Il regolamento generale sulla protezione dei dati personali UE 2016/679 (GDPR), già in vigore ma pienamente applicabile dal 25 maggio 2018, ha introdotto un vero e proprio cambio di filosofia attraverso il superamento di un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (per esempio elenco delle misure minime di sicurezza da adottare) e la definizione di un sistema articolato di governance dei dati personali.

Il “nuovo” sistema si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection.

In questo contesto, è fondamentale per ciascuna delle organizzazioni che deve adeguarsi definire un percorso strutturato e sostenibile per essere GDPR compliant entro maggio 2018 e, allo stesso tempo, essere in grado di dimostrare sia le azioni implementate, e le relative motivazioni, sia le azioni ancora da implementare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento al regolamento europeo sulla privacy consigliato è articolato in 7 step:

  1. identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di funzionamento, mettendo in evidenza eventuali legami con normative settoriali (es. settore bancario – circolare n.285 del 17 dicembre 2013) e tenendo costantemente monitorata l’emanazione di nuove disposizioni e linee guida delle competenti Autorità nazionali ed europee;
  2. individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo «attivo» in fase di pianificazione, esecuzione e monitoraggio di tale percorso, ma anche nella gestione del modello di funzionamento a regime (potrebbe essere importante coinvolgere, per esempio, le funzioni Legale, Organizzazione e Risorse Umane, Sistemi Informativi, Sicurezza e Compliance);
  3. analisi delle attuali modalità di gestione della Data Protection in relazione ai requisiti del GDPR e individuazione del livello di maturità dell’organizzazione in materia di protezione dei dati personali, evidenziando gli assi del modello per i quali sono già state implementate delle azioni GDPR compliant, almeno in parte (per esempio nomina di responsabili esterni del trattamento, adozione di procedure per la gestione dei diritti degli interessati);
  4. mappatura preliminare dei trattamenti e creazione del registro dei trattamenti (vedi articolo 30 del GDPR), con riferimento al duplice ruolo di titolare e responsabile del trattamento potenzialmente ricopribile dall’organizzazione, e identificazione del livello di rischio associato al singolo trattamento, da legare a variabili quali le categorie di dati trattati e di interessati coinvolti, l’utilizzo di sistemi automatizzati e il trasferimento di dati extra UE;
  5. identificazione e classificazione dei gap da colmare per essere GDPR compliance, sia a livello di modello di funzionamento della Data Protection sia a livello di singoli trattamenti censiti all’interno dei registri dei trattamenti, per i quali è necessario valutare attentamente i rischi di non conformità (sanzioni, perdite finanziarie rilevanti o danni reputazionali);
  6. definizione del piano di adeguamento complessivo (Action Plan), comprensivo di un elenco di azioni finalizzate a colmare i gap evidenziati da chi deve adeguarsi, organizzate in funzione di cantieri e sotto-cantieri di lavoro facilmente riconducibili ai requisiti del regolamento (es. cantiere “Legale” e sotto-cantieri “Diritti degli interessati”, “Informative e consensi”, “Fornitori e contratti”), ai quali è necessario attribuire un accountability univoca e condivisa tra i vari attori coinvolti nel percorso;
  7. implementazione del piano di adeguamento al GDPR precedentemente definito che, a titolo esemplificativo e non esaustivo, includerà: introduzione della figura del Data Protection Officer; stesura o aggiornamento di informative, consensi e lettere di nomina; predisposizione o aggiornamento di procedure (es. gestione dei diritti degli interessati), progettazione ed erogazione di iniziative volte sensibilizzare e formare dipendenti e collaboratori; revisione delle misure di sicurezza per la protezione dei dati personali

Per la buona riuscita del percorso, inoltre, occorre non sottovalutare la necessità di assicurare il coordinamento complessivo dello stesso attraverso: l’introduzione di un PMO (Program Management Officer); la realizzazione di allineamenti periodici, sia di natura operativa sia di natura strategica (Steering Committee); la raccolta, condivisione e archiviazione della documentazione prodotta all’interno di un unico repository.

Per concludere, è importante sottolineare che nell’ottica dell’accountability il percorso progettuale di adeguamento al GDPR costituisce già un elemento importante per la valutazione della compliance. È importante che tutte le decisioni rilevanti siano opportunamente documentate e consentano di ricostruire l’iter seguito. Andranno documentate, a titolo puramente esemplificativo, le decisioni di dotarsi o meno di un Data Protection Officer, le valutazioni circa l’adeguatezza delle misure di sicurezza adottate, le scelte di effettuare o meno una valutazione di impatto su un trattamento di dati personali.

Articolo preso da zerounoweb

Obbligo formazione, col Gdpr.

Obbligo della formazione per il nuovo regolamento privacy, il GDPR introduce l’obbligo della formazione a tutti i livelli, all’interno di società e P.A. Chi non si adegua rischia grosse sanzioni. Vediamo impatti, soluzioni e opportunità.

Il Regolamento privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).

La base normativa

Si tratta di una novità rilevante in quanto il decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. aveva abrogato nel 2012 l’obbligo di formazione previsto al punto 19.6 del Disciplinare tecnico in materia di misure minime (allegato B al D.Lgs, 196 del 2004 “Codice della privacy) che prevedeva: “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

La formazione privacy restava e resta obbligatoria nel settore sanitario v. art. 83 del Codice della Privacy che prevede l’obbligo delle strutture di attivare “ la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute” e di prevedere “la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

L’art. 29 del sopra citato regolamento prevede, infatti, che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare ”.

Il Gruppo di lavoro ex 29 nel parere n. 3/2010 aveva individuato tra le misure comuni concernenti la responsabilità “un’adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.

La centralità della formazione è confermata anche dall’art. 32 “Sicurezza del trattamento” paragrafo 4 che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Come sarà la formazione

La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.  Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguardare tutti i soggetti.

La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle pubbliche amministrazioni e delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

L’adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.

Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).

La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori.

Che devono fare PA e aziende

Gli Enti pubblici le imprese, pertanto, devono:

– pianificare quanto prima un percorso ed un piano di formazione;

– accantonare adeguate risorse in sede di approvazione di bilancio, al fine di arrivare preparati alla scadenza del 25 maggio 2018, data in cui il Regolamento, già in vigore, esplicherà i suoi effetti;

– prevedere prove finali nel percorso formativo, e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche;

– individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica;

Nella progettazione dei corsi di formazione, occorre esaminare ed individuare: i fabbisogni formativi, la struttura dell’Ente o dell’impresa, i profili organizzativi, il target, i prerequisiti, le finalità generali e specifiche di ciascuna sessione formativa nonché le relative modalità di erogazione (in aula o a distanza) ed i precedenti corsi predisposti in materia.

Occorrerebbe, inoltre, stabilire aree di priorità di intervento, a titolo esemplificativo ma non esaustivo le figure apicali, gli amministratori di sistema, i nuovi assunti ed infine le persone autorizzate al trattamento.

Queste ultime, corrispondono agli ex incaricati del codice privacy e sono, sostanzialmente, tutti coloro che trattano dati personali. Essi dovranno essere appositamente nominati mediante una lettera di designazione contenete le istruzioni sui trattamenti che dovranno svolgere.

Nelle previsioni di budget è necessario considerare anche risorse specifiche per la formazione de Data protection Officer e dei componenti del team.

Il data protection officer, figura obbligatoria nelle pubbliche amministrazioni e organo di presidio e di controllo deve anch’esso, ai sensi dell’art. 39 del regolamento, occuparsi della “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.

La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione che potrà nella logica del regolamento anche essere oggetto di specifici audit.

La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, la pietra angolare del trattamento e sul quale ricade ogni responsabilità.

La previsione di eventi formativi diretti al personale e ai collaboratori concretizza il principio di “accountability” ossia di responsabilizzazione del Titolare del trattamento, previsto dal Regolamento europeo n. 679/16.

Ed invero, il titolare deve dimostrare che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano, inoltre, rispettati i principi di minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate.

I dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni impartite dal titolare, il quale potrà comunque avvalersi come intermediario di altro soggetto debitamente autorizzato.

Il programma ed il piano formativo costituiscono, pertanto, dei tasselli rilevanti del cd sistema di gestione privacy in grado di concretizzare il principio di accountability inteso come capacità di dimostrare di avere adottato misure di sicurezza adeguate.

Si suggerisce, per tale ragione, di pubblicare il piano ed i relativi materiali formativi nella sezione intranet aziendale al fine di costituire un presidio di informazione e aggiornamento a beneficio di tutta l’organizzazione e di inserire i sopra citati atti come allegati al registro del trattamento.

In ambito pubblico la formazione sulla protezione dei dati non potrà non integrarsi con la digitalizzazione dei processi, con la riforma del Codice di Amministrazione digitale, con i codici di comportamento degli enti e con le ultime recenti novità normative in materia di trasparenza, prevenzione della corruzione, Foia e whistleblowing.

Nell’ottica di un miglioramento continuo e di una gestione in qualità del sistema privacy, sarebbe consigliabile, come alcuni enti stanno progettando, prevedere sessioni informative on line per sensibilizzare anche gli utenti sul valore della protezione dei dati personali, come diritto collettivo e sull’utilizzo consapevole e responsabile di Internet.

La formazione non deve essere considerata, pertanto, un mero adempimento burocratico ma come un’opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza, per migliorare i processi organizzativi e i servizi erogati, evitare danni reputazionali, ridurre i rischi di sanzioni amministrative e rendere più competitiva l’organizzazione.

Pseudonimizzazione

Che cos’è e cosa viene richiesto dal GDPR

La pseudonimizzazione è una tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive.

Il presente articolo è stato pubblicato sul sito www.infogdpr.eu e qui sotto riportato.

Sommario

Pseudonimizzazione al centro del GDPR

Il GDPR, in applicazione dal 25 Maggio 2018, pone tra gli aspetti principali la pseudonimizzazione, una parola difficile da pronunciare, poco chiara ai più ma essenziale. Infatti, la quessto è uno strumento fondamentale per proteggere i dati personali e sensibili di persone fisiche e giuridiche al fine di garantire loro piena e totale riservatezza.

Questa tecnica consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive.

Al fine di limitare il rischio di violazioni di privacy e furti d’identità, il GDPR spinge le organizzazioni a pseudonimizzare i propri dati.

Cosa dice il nuovo regolamento europeo sulla protezione dei dati? Download del regolamento formato PDF.

La situazione in Europa

Fin qui tutto chiaro, peccato però, che non tutte le aziende europee siano pienamente consapevoli di questa richiesta.

L’analisi condotta da Delphix evidenzia che fra gli stati membri analizzati nello studio, la Francia vanta un 38% di rispondenti che dichiarano di avere compreso il principio della pseudonimizzazione. Nel Regno Unito e in Germania questa quota diminuisce al 21%. In Italia non si è neanche riusciti a produrre una quantificazione percentuale e Delphix ha evidenziato una situazione “preoccupante”.

Proviamo a fare chiarezza

La pseudonimizzazione, o cifratura, consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica al fine di non renderli direttamente e facilmente attribuibili allo stesso senza l’utilizzo di informazioni aggiuntive.

Risulta evidente che il dato e le informazioni aggiuntive, comunemente chiamate chiavi, debbano essere materialmente conservati in zone differenti, ad esempio server distinti, al fine di impedire un facile ricongiungimento.

Questa tecnica consente quindi di aumentare la protezione di un dato.

Si parla di pseudonimizzazione o cifratura e non di anonimizzazione poiché non esistono tecniche informatiche per rendere completamente anonimo un dato: in verità ci sarebbero anche ma se implementate non si avrebbe più la possibilità di leggere il dato originale.

Vi sono due tipologie di pseudonimizzazione in base alle chiavi utilizzate:

Pseudonimizzazione simmetrica o asimmetrica

Nella pseudonimizzazione simmetrica si utilizza la stessa chiave per cifrare, o mascherare, il dato e per renderlo nuovamente leggibile. Ovviamente questa tecnica crea il problema di come condividere la chiave senza che questa venga scoperta.

Nella pseudonimizzazione asimmettrica si utilizzano due chiavi distinte: la prima per cifrare il dato, la seconda per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.

La pseudonimizzazione è sicura al 100%?

Purtroppo non è una tecnica infallibile: eventuali malintenzionati potrebbero tentare di identificare una chiave mediante tecniche di forza bruta (brute-force attack).

L’attacco brute-force consiste nell’uso di un algoritmo che prova teoricamente tutte le possibili chiavi di lettura fino a scoprire quella effettivamente corretta.

Questa motivazione ha portato allo sviluppo nuove tecniche ancora più sicure, tra cui la tokenizzazione.

Procedura comunicazione dati RPD

Qui, la procedura descrita, per la comunicazione del RPD, infatti, in base all’articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati (RPD), in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 – punto 2.6).

Si ricorda, infatti, che in base all’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

Sul sito dell’Autorità è disponibile una procedura online per la comunicazione del nominativo.

Per facilitare i soggetti tenuti all’adempimento, nella sezione dedicata alla procedura, è presente anche un facsimile in formato .pdf – da non utilizzare per la comunicazione al Garante – che consente di familiarizzare con l’adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste.

FAQ riportate dal sito del Garante Privacy

1. Chi è tenuto ad apporre la firma digitale?

La firma digitale deve essere apposta dal soggetto che materialmente effettua la comunicazione ed i cui dati (cognome, nome e indirizzo email) sono stati indicati nella sezione A del modulo.

2. Qualora la comunicazione venga effettuata su delega del rappresentante legale, è necessario allegare la delega?

No. È necessario indicare che la comunicazione viene effettuata su delega selezionando la corrispondente voce e indicando il cognome e nome del soggetto delegante.

3. Nel caso di più aziende appartenenti a un gruppo imprenditoriale, va effettuata una comunicazione per ogni azienda del gruppo?

Sì, in quanto l’obbligo di comunicazione è in capo al singolo titolare/responsabile del trattamento, sempre in presenza delle condizioni di cui all’art. 37, par. 1, lett. b) e c) del Regolamento.

4. Nel caso di comunicazione effettuata da parte di un gruppo imprenditoriale, è necessario compilare la sezione B1 del modulo?

La sezione B1 del modulo deve essere compilata solo nei casi previsti dall’art. 37, par. 2, del Regolamento, ossia solo nel caso in cui il gruppo abbia deciso di nominare un unico RPD.

5. In caso di nomina a RPD di una persona giuridica, come possono essere inseriti i relativi dati?

È necessario selezionare nella sezione C, al punto 1 “esterno” e al punto 2 “persona giuridica”.

6. Come mai, pur avendo compilato correttamente il modulo online, non si è ricevuta la mail con le istruzioni?

La mail con le istruzioni viene inviata alla casella di posta indicata nella sezione A del modulo. Occorre quindi verificare che la casella indicata sia abilitata alla ricezione di messaggi di posta elettronica ordinaria (molto spesso le caselle di posta elettronica certificata sono configurate in modo da non ricevere messaggi di posta elettronica ordinaria). Si consiglia, inoltre, di verificare che il messaggio non sia stato spostato automaticamente o per errore nella cartella “spam” o “posta indesiderata”.

7. Dopo aver effettuato il download del file da firmare, cosa si deve fare?

Occorre seguire le istruzioni ricevute con l’email. Si ricorda che in ogni caso il suddetto file non va inviato via email, ma solo caricato sulla piattaforma seguendo le istruzioni.

8. È possibile aprire il file scaricato al termine della compilazione del modulo?

Il file scaricato è in formato .xml e può essere aperto soltanto tramite appositi programmi. In ogni caso, come chiarito nelle istruzioni, “la minima modifica al file ricevuto comporterà il rigetto della comunicazione; pertanto, si raccomanda di non aprire il file ricevuto ma esclusivamente di procedere alla sua sottoscrizione digitale, previo salvataggio in locale”.

9. Perchè, pur avendo seguito le istruzioni di compilazione del modulo, si riceve un messaggio di comunicazione rigettata per un file non corrispondente a quello trasmesso?

Alcuni sistemi di posta elettronica possono alterare i file allegati, inserendo caratteri speciali: può così succedere che il file su cui è apposta la firma risulti difforme da quello che il sistema è impostato per riconoscere, con il conseguente rigetto della comunicazione. Per evitare questo tipo di problematiche, si consiglia di evitare di trasmettere il file da firmare mediante posta elettronica al soggetto che apporrà la firma digitale. E’ invece consigliabile completare la procedura di comunicazione e successiva applicazione della firma digitale dalla stessa postazione di lavoro del soggetto firmatario, che come indicato nelle istruzioni, deve coincidere con il soggetto che effettua la comunicazione (vedi sez. A del modulo).

10. In che modo è possibile correggere eventuali inesattezze o errori inseriti nella comunicazione una volta che la procedura è terminata?

In questo caso è necessario ripetere la procedura. La nuova comunicazione sostituirà la precedente, come chiarito nelle istruzioni: “Eventuali ulteriori comunicazioni effettuate per conto dello stesso Titolare/Responsabile, qualora accettate, saranno intese come integrale sostituzione di quanto già comunicato in precedenza”.

11. Cosa occorre fare se, una volta compilato il modulo e fatto l’upload del file firmato, si riceve una e-mail con l’avviso che la comunicazione è stata rigettata e, successivamente, se si tenta un nuovo upload, viene segnalato il testo di errore: “upload già effettuato”?

In questi casi, è necessario ripetere la procedura partendo dall’inizio, cioè effettuando una nuova compilazione dei dati (a cui seguirà l’attribuzione di un nuovo ID provvisorio di comunicazione, con l’invio di un nuovo file da firmare).

12. Cosa occorre fare se è stato effettuato l’upload del file ma non si riceve l’e-mail con il riscontro di avvenuta comunicazione?

Terminato l’upload, la piattaforma procede alle verifiche indicate nelle istruzioni e quindi all’invio del riscontro o del rigetto, seguendo l’ordine di arrivo delle comunicazioni. Tenuto conto delle numerose comunicazioni che stanno pervenendo in questi giorni, la procedura potrebbe richiedere anche qualche ora e l’arrivo dell’e-mail di riscontro potrebbe tardare un pò. Eventuali informazioni possono essere richieste inviando una mail all’URP del Garante, indicando l’ID provvisorio di comunicazione.

A.I.P.

A.I.P., acronimo di Accademia Italiana Privacy, da un idea di due DPO e consulenti privacy, Alessandro Papini e Pierpaolo Benzi e ramificatasi nel tempo in una rete di contatti di colleghi sparsi per l’Italia, così nasce l’Accademia Italiana Privacy, un gruppo di esperti indipendenti del settore privacy che prendendo atto dell’inesistenza di un albo o di un associazione di categoria riconosciuta hanno deciso di mettere insieme il proprio know-how per scambiarsi pareri, esperienze e condivisioni di business.

Lo scopo principale della A.I.P. è coprire capillarmente tutta l’Italia e dare la possibilità a qualsiasi azienda operante sul nostro territorio di avere uno specialista vicino e un portale in grado di dare tutte le informazioni necessarie.

Riteniamo fondamentale in un’ottica di continua metamorfosi e implementazione del Codice Europeo avere costantemente un contraddittorio tra addetti ai lavori che ci permetta di crescere professionalmente e di andare uniti verso una direzione interpretativa condivisa.

L’A.I.P. ha un portale, un gruppo whatsapp e i nostri riferimenti sempre a portata di mano per condividere e consigliarci a vicenda. Ma soprattutto quando saranno richiesti particolari requisiti o certificazioni avremo un potere di contrattazione maggiore.

FORMAZIONE

Le attività che comportano un trattamento di dati personali, possono essere svolte solamente da soggetti designati Incaricato Privacy, che abbiamo ricevuto specifiche istruzioni privacy e adeguata formazione privacy.

Il Corso Privacy per Incaricato Trattamento Dati è un Corso Certificato, che può essere svolto direttamente presso la sede della tua azienda, nelle nostre aule formative oppure online in diretta attraverso la piattaforma Go To Webinar.

Queste tre possibilità sono state sviluppate per offrire 3 prezzi diversi e dare al possibilità a tutti di poter formare i propri dipendenti.

1. Corso formazione presso le nostre aule:

  • Limite a 30 partecipanti
  • 600€ x 5 partecipanti + 90€ per ogni partecipanti aggiuntivo
  • Un modulo di 2 ore + 1 ora di domande e risposte
  • Consegna materiali cartacei
  • Consegna attestato cartaceo

2. Corso Formazione in azienda:

  • Nessun limite di partecipanti
  • 1000€ x 5 partecipanti + 130€ per ogni partecipanti aggiuntivo
  • Un modulo di 2 ore + 1 ora di domande e risposte
  • Consegna materiali cartacei
  • Consegna attestato cartaceo

3. Corso Tramite Go To Webinar:

  • Limite a 100 partecipanti
  • 250€ x 5 partecipanti + 30€ per ogni partecipanti aggiuntivo
  • Un modulo di 2 ore + 1 ora di domande e risposte
  • Consegna materiali cartacei
  • Consegna attestato cartaceo

Al termine del Corso per Incaricato Privacy i partecipanti verranno in possesso delle conoscenze legali, organizzative e tecnologiche necessarie per ricoprire il ruolo di Incaricato del Trattamento, oltre ovviamente ad avere un diploma certificato di formazione sulla privacy.

 

Posted in aip

Fattura24

Fattura24 online e fatturazione elettronica privati e PA in cloud

MBILI S.a.s. di Marchese Daniele Rosario, ha selezionato tra le varie offerte disponibili sul mercato “Fatture24”, per la scelta in CLOUD di fatturazione, scelta dettata oltre che dall’ottimo rapporto qualità/prezzo/funzioni, anche dalla possibilità di essere integrato con i sistemi di commercio elettronico, tramite semplici plug-in.

 

Funzioni intuitive e un design moderno ti permetteranno di creare fatture elettroniche online (verso PA e privati – B2B e B2C) in pochi minuti. Utilizzabile con qualsiasi programma (Windows,OS X, Linux, etc.) e browser: (Safari, Chrome, Firefox, Internet Explorer, etc.)

Web App Fattura24
Fatturazione elettronica
 

Tutte le fatture sempre a portata di mano

La possibilità di accedere al tuo profilo di fatturazione sia da portale web che da smartphone e tablet (iOS ed Android) rende Fattura24 la soluzione in cloud ideale per gestire preventivi e fatture.

Scegli l’abbonamento più adatto alle tue esigenze, non esitare a contattarci, o richiedi l’account di prova gratuito.

 
 

Clicca sul link e richiedi il tuo account gratuito

Videosorveglianza il GDPR in merito

La videosorveglianza secondo il GDPR deve rendere più chiaro il processo di trattamento delle immagini e il rispetto dei diritti degli interessati. Le sanzioni invece inaspriscono.

Prima dell’entrata in vigore del GDPR, il tema della videosorveglianza è stato trattato approfonditamente dal Garante della Privacy, il quale ha emesso diversi documenti e provvedimenti in materia di protezione dei dati personali.

Le attività da svolgere per essere a norma non cambiano ma diventano molto più precise e soggette a sanzioni.

Segnalare l’area videosorvegliata con un cartello

Il GDPR impone l’obbligo di segnalare il sistema di videosorveglianza: le persone devono essere a conoscenza che l’area è monitorata prima di accedervi.

Il cartello “area videosorvegliata” è da porre in ogni area monitorata dalle telecamere.

Il cartello deve essere posto sia se la videosorveglianza presuppone una registrazione, sia se la videosorveglianza è solo a scopo di fruizione.

Il cartello area videosorvegliata va compilato con il nome dell’organizzazione e lo scopo dell’attività di monitoraggio video.

L’informativa sulla privacy

Vicino alla zona di ripresa è necessario applicare un’informativa circostanziale, in grado di illustrare in modo generico la titolarità dei dati, la descrizione delle apparecchiature di videosorveglianza e il trattamento dei dati raccolti.

Dove posizionare le telecamere

I sistemi di ripresa possono essere installati solo in particolari luoghi, dai quali sono esclusi i bagni, aulee scolastiche, spogliatoi, ecc.

All’interno di un luogo di lavoro è necessario richiedere i permessi sindacali e all’Ispettorato del Lavoro.

La durata delle registrazioni video

Le registrazioni delle telecamere possono essere mantenute per un tempo che va dalle 24h a massimo 72h: in caso di permessi e situazioni particolari, questo range temporale può essere esteso a tempo determinato.

Modalità di accesso ai dati personali

La videosorveglianza è un metodo di acquisizione del dato da trattare, pertanto è necessario rispettare i diritti dell’interessato.

Si consiglia la nomina di un DPO in grado di rendere la compliance GDPR attendibile e “certificata”.

 

Articolo a cura di Elisa Garioni – del

Nomina DPO, usuale il conflitto di interesse

Nomina del DPO, è ormai usuale la regola di riconoscimento che devono seguire tutte le pubbliche amministrazioni e le migliaia di aziende private che hanno l’obbligo di dotarsi di un “data protection officer” (DPO) è chiaramente espresso nell’art. 37 del Regolamento UE 2016/679, dove è prescritto che il responsabile della protezione dei dati deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida  243 approvate dal Gruppo dei Garanti europei, ora tradotte in italiano a cura dell’Authority italiana.

Eppure, in base ai risultati che stanno emergendo da uno studio attualmente in corso, sembra che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficoltà nella identificazione e nomina non riuscendo a distinguere perfino la differenza sostanziale tra la conformità alla normativa sulla protezione dei dati personali e la security, ramo dell’informatica che si occupa invece delle analisi delle minacce, delle vulnerabilità e dei rischi associati agli asset informatici al fine di proteggere i dati dai potenziali attacchi. Non sono infatti poche le società italiane che affidano l’incarico di data protection officer ad una risorsa del proprio reparto IT, o addirittura in alcuni casi a soci e/o componenti del direttivo, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d’altra parte le conoscenze giuridiche, indispensabili per districarsi trai meandri della normativa per evitare sanzioni che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Tuttavia, che la scelta della nomina di un informatico puro come data protection officer, o addirittura la designazione come tale di una risorsa che appartiene alla funzione IT, siano prassi che comportano elevati rischi di violazione della stessa normativa, è dimostrato dal caso emblematico di una società tedesca che è stata sanzionata dal Garante per la privacy bavarese perché aveva nominato DPO il proprio IT manager, configurando una situazione di palese incompatibilità. A spiegare come evitare simili violazioni, è il presidente di Federprivacy, Nicola Bernardi: “Un titolare del trattamento che designa il proprio IT manager come data protection officer, non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perché altrimenti il DPO dovrebbe in pratica controllare se stesso – sottolinea il presidente di federprivacy.

Il soggetto individuato e investito della nomina come DPO può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, etc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).

È chiaro come l’introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato. Il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della privacy e del trattamento dei dati (soprattutto in campo digitale e tramite web) sta sempre più acquisendo. Fonte: Osservatorio Privacy Avv. Cristiano Cominotto 

Continua a Leggere→