Cookie, le nuove regole

Cookie, una recente ricerca ha portato alla luce una realtà molto amara: il 97% dei siti web in Europa non rispetta almeno una delle previsioni del GDPR. Il dato è emerso a pochissimi giorni dall’entrata in vigore definitiva delle Nuove Linee Guida del Garante per la protezione dei dati personali in tema di privacy e cookie sui siti web:

le nuove Linee Guida sono già in vigore!

I siti web non in regola sono quindi sanzionabili e webmaster e proprietari possono incorrere in sanzioni fino al 4% del fatturato annuale.

Per approfondire > Garante Italiano: in una pagina a tema tutte le nuove linee guida adottate sui cookie


La conformità in pochi passaggi: con Acconsento.click siamo pronti alla sfida

In vista di questa importante scadenza, ci siamo rimboccati le maniche, abbiamo studiato approfonditamente la nuova normativa e migliorato la nostra soluzione Acconsento.click

Acconsento.click è una soluzione in cloud dotata di uno scan engine che individua i cookie attivi sui siti web e genera un’informativa specifica e personalizzata conforme alle disposizioni del Regolamento Generale di Protezione dei Dati e successive linee guida:

  • dal lato del webmaster, acconsento.click è un piccolo blocco di codice da aggiungere al proprio sito web, generato su misura dopo la scansione automatizzata del sito stesso.
  • per l’utente navigante consente la visualizzazione non solo delle informative, ma anche di esprimere un consenso granulare secondo le proprie volontà. L’utente potrà anche modificare le proprie preferenze in qualsiasi momento, grazie al pannello di controllo che vedrà sempre disponibile sul sito web. Il sito web ne guadagnerà in reputazione verso l’utente, che sentirà tenute davvero in considerazione le proprie preferenze. 

Acconsento.click ha recepito le nuove Linee Guida

Le nuove Linee Guida del Garante sono entrate in vigore il 10 Gennaio 2022: adesso i siti web non conformi sono sanzionabili. Con il supporto di importanti studi legali, abbiamo studiato approfonditamente tutte le novità e le abbiamo integrate in Acconsento.click. Adottare Accosento.click renderà immediatamente conforme alle normative attuali (non solo il GDPR, ma anche le Linee Guida del Garante per la protezione dati personali e dell’ European Data Protection Board).

Le novità che abbiamo introdotto non sono soltanto miglioramenti funzionali, ma vengono incontro a PRECISI OBBLIGHI NORMATIVI.

Ecco tutte le novità introdotte:

    • Cookie banner:
      i pulsanti “Accetta” e “Rifiuta” sono stati resi obbligatori. Le informative che non prevedono la possibilità di rifiutare il consenso non sono più legali.
    • Scelte granulari per l’utente:
      l’utente adesso può esprimere scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare.
    • Preferenze modificabili in qualsiasi momento:
      l’utente adesso può aggiornare le proprie preferenze di tracciamento in qualsiasi momento.
    • Raccolta del consenso per scorrimento:
      il consenso via semplice scorrimento del mouse è stato reso non valido, come previsto dalla Nuova Normativa.
    • Stop al cookie wall:
      il cookie wall è stato eliminato. Le nuove disposizioni hanno infatti reso illegale l’obbligo di accettare i cookie per poter accedere ai contenuti di un sito web.
    • Validità delle preferenze dell’utente relative al consenso:
      dopo aver chiesto il consenso la prima volta, viene mantenuto per 6 mesi prima di poterlo chiedere nuovamente, salvo se viene svuotata la cache o se vengono cambiate le preferenze dall’utente stesso. 
    • Prova del consenso:
      Acconsento.click fornisce tutto il necessario per dimostrare, in caso di bisogno, che il gestore del sito ha ottenuto un consenso al trattamento dei dati valido perchè espresso secondo le previsioni del GDPR e delle Nuove Linee Guida Cookie.

Insomma non si potranno più utilizzare i cookie?
No affatto, Acconsento.click tiene conto dell’utilità e del valore che i cookie possono fornire ai gestori di un sito web: ecco cosa sarà possibile fare rimanendo conformi alla normativa vigente

  • Installazione di Cookie statistici (analytics)
    i cookie statistici di prima parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo).
  • Installazione di Cookie statistici di terza parte
    I cookie statistici di terza parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni, che possiamo valutare assieme.

Il tuo sito web è in regola? E quello dei tuoi clienti?
Contattaci, valutiamolo assieme e risolviamo il problema!

Adottare Accosento.click garantisce la conformità alle normative attuali in fatto di privacy e cookie!

StrongBox Cloud PRO

Strong Box PRO

StrongBox Cloud PRO è la soluzione alla perdita o il furto di dati, eventi sempre più frequenti di quanto si possa pensare: sbalzi di tensione, incendi e allagamenti, per non parlare dei furti, sono tutti eventi che accadono improvvisamente e possono causare gravi perdite di dati nella propria struttura informatica.


Con StrongBox Cloud PRO ti permette di pianificare i backup dei dati gestiti all’interno della tua organizzazione con la massima semplicità e sicurezza mettendo al sicuro i tuoi dati, custodendoli in forma crittografata su server remoti e garantendoti di poterne rientrare in possesso rapidamente in caso di necessità.

StrongBox Cloud PRO rende la tua organizzazione conforme all’Art.32 del GDPR – Sicurezza del trattamento: “il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”

Come funziona StrongBox Cloud PRO

StrongBox Cloud PRO ti libera da qualsiasi preoccupazione perché archivia e protegge i tuoi file dopo averli portati in Cloud.

-Ripristina i tuoi dati: Consente di ripristinare i tuoi file in caso di disastro dovuto a guasto, attacco virus, evento accidentale ed anche in caso di errore umano.

-Crittografia sicura: StrongBox Cloud PRO garantisce la sicurezza dei file conservati 24 ore su 24, tramite l’uso di AES 256, uno dei più potenti algoritmi di crittografia in circolazione.

-Rispetto della Privacy: Una protezione completa dei dati: file, cartelle, posta elettronica. StrongBox Cloud PRO conserva i tuoi dati nel totale rispetto delle normative nazionali ed europee sulla privacy.

-Sempre disponibile: StrongBox Cloud PRO permette di visualizzare e condividere i file archiviati nel cloud, da qualsiasi luogo, da qualsiasi browser e da qualsiasi device – anche dal tuo tablet o smartphone – attraverso l’app dedicata.

Rischi di perdita dei dati

  • Guasto del disco
  • Criptazione da ransomware

  • Furto del device

  • Crash del sistema

  • Errore umano

  • Virus

  • Corruzione dei files

  • Incendio

  • Allagamento

Contattaci per saperne di più del nostro servizio di Backup in Cloud oppure per conoscere altri nostri prodotti e servizi Clicca qui.

Comunicazione DPO

Comunicazione DPO al Garante Privacy, la procedure online semplifica la comunicazione.

La procedura online è disponibile oltre che per pubbliche amministrazioni, anche per le imprese tenute alla nomina del DPO, responsabile della protezione dei dati, devono utilizzare per effettuare le dovute comunicazioni al Garante Privacy. Si tratta, lo ricordiamo, dell’adempimento previsto dall’articolo 37 del GDPR, il tanto atteso Regolamento UE che entra in vigore in tutti gli Stati Membri il 25 maggio.

La procedura per la comunicazione dei dati del DPO (RPD – Responsabile Protezione Dati), è disponibile online sul sito dell’Authority. Nei giorni scorsi, il Garante aveva pubblicato un fac-simile della comunicazione, puramente esemplificativa, per consentire ai soggetti coinvolti di familiarizzare con l’adempimento.

Dati richiesti

Il modulo da compilare si compone di quattro parti. Nella sezione A si inseriscono altri dati relativi al soggetto che effettua la comunicazione. E al momento che il titolare del trattamento è l’impresa o il professionista tenuto alla comunicazione dei dati o la pubblica amministrazione, la comunicazione sarà effettuata dal legale rappresentante dell’azienda o dell’ente, o da un suo delegato. Bisogna indicarne cognome, nome e indirizzo di posta elettronica. Se la comunicazione è effettuata dal rappresentante legale, bisogna indicare anche nome e cognome del delegante.

La sezione B è dedicata al titolare o responsabile del trattamento. In base alla definizione contenuta nel GDPR, il titolare del trattamento è:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il responsabile del trattamento è :

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Si barra la casella relativa all’iscrizione o meno agli indici nazionali dei domicili digitali e poi si compilano i campi seguenti: denominazione, codice fiscale o partita IVA, e via dicendo. Se il soggetto risulta iscritto agli indici nazionali, è obbligatorio indicare l’indirizzo PEC (posta elettronica certificata), mentre la mail ordinaria è facoltativa. Viceversa, per coloro che non sono iscritti agli indici nazionali, o che operano in altri stati, è obbligatorio compilare il campo dedicato all’e-mail mentre è facoltativa la PEC.

I gruppi imprenditoriali, dovranno compilare anche l’apposita sezione B1, segnalando se il soggetto che effettua la comunicazione è la controllante, una controllata, o se non fa parte di un gruppo imprenditoriale che si è avvalso della designazione del RPD di gruppo.

 

La sezione C riguarda il Responsabile della Protezione Dati (Data Protection Officer). Si indica innanzitutto se il soggetto è interno o esterno (in questo caso, bisogna anche specificare se si tratta di persona fisica o giuridica) e quindi si compilano i campi relativi alle sue generalità e ai dati di contatto.

 

Infine, la sezione D è dedicata alle modalità con cui il titolare dei dati decide di pubblicare i dati di contatto del DPO (sito web o altro).

 

Dopo aver compilato e inviato il file digitale, arriva una mail con un file allegato, che va sottoscritto con firma digitale o firma elettronica qualificata e inviato in formato CAdES, il tutto entro 48 ore. Il file così inviato costituisce l’avvenuta comunicazione: verrà analizzata dal Garante, che può rigettarla o accoglierla.

Attenzione: è molto importante che il file firmato digitalmente corrisponda perfettamente a quello contenuto nella mail inviata, quindi il consiglio è di non aprire il file ricevuto, limitandosi a salvarlo in locale e ad apporre la firma digitale, per non rischiare di vedersi rifiutare la domanda. L’eventuale rigetto è comunicato via mail (all’indirizzo indicato nella sezione A del modulo).

Se invece la comunicazione viene considerata valida, il soggetto che ha effettuato la comunicazione riceve (sempre via mail), un numero di protocollo utilizzato per la registrazione dei dati comunicati. Il titolare del trattamento riceve, all’indirizzo di posta elettronica indicato nella sezione B, un documento informatico con le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati. Il soggetto designato come responsabile del dati riceverà, mediante comunicazione inviata all’indirizzo PEC indicato al punto 5 della sezione C, un documento informatico contenente le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati.

Il numero di protocollo diventa il riferimento per tutte le successive comunicazioni con il Garante privacy.

Green Pass, la soluzione

Green Pass, il famigerato “biglietto verde”, sta facendo impazzire imprenditori e pubbliche amministrazioni.

I consulenti inviano continuamente registri e modelli, i responsabili del G.D.P.R., informative e lettere di incarico, alcuni favorevoli al registro dei controlli, altri sfavorevoli.

La maggiore difficoltà si incontra per il titolare, nel dover/poter verificare nel più breve tempo possibile l’effettiva validità del Grenn Pass.

La soluzione oltre ad esistere, è anche facilmente percorribile ad un costo accessibilissimo. Viene in nostro aiuto una soluzione sviluppata da una azienda Leader nel settore della gestione delle presenze.

Parliamo di Libemax S.r.l., azienda Bergamasca, specializzata nella gestione delle problematiche legate alle timbrature, presenze, controllo accessi e gestione.

Libemax ha ideato svariate modalità per supportare, sistemi che non richiedono la presenza di un operatore dedicato (a differenza di App Verifica C19).

Usando l’algoritmo della validazione europea, il Lettore Green Pass consente la verifica di tutti i certificati rilasciati in Europa e, garantendo al 100% la tutela della privacy, non memorizza in alcun modo i dati sanitari e sensibili.

Come da DPCM del 12 ottobre 2021:
Oltre all’app “VerificaC19”, saranno rese disponibili per i datori di lavoro, pubblici e privati, specifiche funzionalità che consentono una verifica quotidiana e automatizzata del possesso delle certificazioni. Tali verifiche potranno avvenire attraverso: l’integrazione del sistema di lettura e verifica del QR code del certificato verde nei sistemi di controllo agli accessi fisici, inclusi quelli di rilevazione delle presenze, o della temperatura;

Grazie all’integrazione con App Rilevazione Presenze, prima di ogni timbratura di ingresso al dipendente viene richiesto il Green Pass. Se il certificato è memorizzato sul dispositivo della persona, il processo è automatico.

Ecco le due soluzioni cheil nostro partner Libemax ha ideato:

Funzionalità Presenze

Ogni giorno, alla prima timbratura, verrà richiesto al dipendente di scansionare il QR Code o di caricarlo da galleria (immagine o PDF).

Per tutte le successive timbrature della giornata non sarà più richiesto nulla.

Il giorno successivo, alla prima timbratura, verrà selezionato in automatico il Green Pass verificato il giorno precedente (non viene memorizzato sui nostri server, ma sul dispositivo del dipendente). Se valido non verrà segnalato nulla, al contrario sarà richiesto di aggiornarlo.

Da pannello web sarà possibile vedere lo stato dei certificati dei dipendenti della giornata e i dati anonimizzati dei giorni precedenti.

Sono a disposizione API per collegamenti con sistemi esterni.

Timbratrice mobile

Dopo aver passato il badge, ad ogni timbratura di ingresso verrà richiesto di mostrare il Green Pass. Se il certificato non è valido verrà impedita la timbratura.

Da pannello web sarà possibile vedere lo stato dei Green Pass dei dipendenti della giornata e i dati anonimizzati dei giorni precedenti.

Sono a disposizione API per collegamenti con sistemi esterni.

Non esitare a contattare i nostri esperti per fissare un appuntamento gratuito ed una dimostrazione pratica, potete anche inviare una email a greenpass@mbli.it, sarete ricontattati al più presto.

Telemarketing selvaggio: il Garante sanziona tre call center

Telemarketing selvaggio, il Garante sanziona tre Call Center, questo è il titolo che oggi compare tra le news del sito del Garante della Privacy.

Si iniziano a vedere il primi controlli dell’organo di controllo che per vari fattori ancora non sono entrati nel vivo; un pò per la pandemia, un pò per il ritardo nella partenza, di fatto le aziende che oggi si sono adeguate al G.D.P.R., sono veramente poche, in particolare qui al “SUD”, dove tutto è sempre più “complicato”.

Riportiamo per comodità il testo integrale riportato tra le news del sito del Garante, ricordando che il telemarketing è un servizio sempre più a rischio di violazione privacy.

Telemarketing selvaggio, il Garante sanziona Call Center, il titolo che compare tra le news del sito del Garante della Privacy.

Telemarketing selvaggio: il Garante sanziona tre call center

I primi provvedimenti dell’Autorità dopo quelli sulle compagnie telefoniche

Rispettare la volontà degli utenti di non essere più disturbati, effettuare telefonate di marketing solo con preventivo specifico consenso, adottare adeguate misure tecniche e organizzative per rispettare la privacy degli utenti. Queste sono alcune delle prescrizioni, in aggiunta a sanzioni pecuniarie, che il Garante per la protezione dei dati personali ha imposto a tre società di call center che disturbavano con offerte commerciali indesiderate decine di migliaia di utenti.

[VEDI PROVVEDIMENTI DOC. WEB N. 9577042, 9577065 E 9577371] .

Dopo le sanzioni alle compagnie telefoniche che avevano commissionato ai call center campagne promozionali senza adeguate istruzioni e controlli, l’Autorità ha effettuato verifiche sull’operato delle società incaricate delle attività di telemarketing.

Dalla complessa attività istruttoria e ispettiva del Garante è emerso che i tre call center avevano chiamato numerose persone non incluse nelle liste ufficiali fornite dal committente, utilizzando delle cosiddette utenze ‘fuori lista’.

I numeri telefonici fuori lista erano spesso riferibili a utenti che non avevano fornito un libero e specifico consenso a essere contattati per promozioni commerciali o si erano appositamente iscritti nel Registro pubblico delle opposizioni. In molti, tra l’altro, avevano più volte manifestato agli operatori dei call center o della società committente la volontà di non essere più disturbati e di essere inseriti nelle cosiddette black list.

Alcuni numeri telefonici utilizzati per le chiamate commerciali, inoltre, non appartenevano a utenze “referenziate”, ovvero suggerite da qualche familiare o conoscente, ma erano di provenienza incerta o non verificata e documentata.

Il Garante ha poi rilevato la violazione del principio di privacy by design, ossia la mancanza di un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati previsti dal Regolamento Ue (Gdpr).

Nel calcolare l’ammontare delle sanzioni, l’Autorità ha tenuto conto, tra i vari aspetti, del differente livello di gravità delle violazioni commesse dai tre call center e della cooperazione offerta all’Autorità, ma anche del periodo di grave crisi socio-economica collegata all’emergenza pandemica.

Il primo call center ha commesso il maggior numero di violazioni. Ha, tra l’altro, disturbato un numero più significativo di persone e con un’elevata frequenza, tanto che un utente è stato contattato, nonostante la sua opposizione, anche 155 volte in un mese. Dovrà quindi pagare una sanzione di 80.000 euro.

Anche il secondo call center ha presentato criticità di sistema, relative in particolare alla carente verifica della liceità dei dati contenuti nelle liste di contatto acquistate da imprese terze, anche in relazione alla validità dei consensi forniti per il marketing. Durante l’istruttoria il call center ha, però, affermato di aver proceduto alla nomina di un nuovo Dpo e di aver intrapreso un percorso di complessiva revisione della propria strategia commerciale e della privacy policy. Alla società è stata comminata una sanzione di 15.000 euro.

Al terzo call center è stata contestata una sanzione minore, essendosi adoperato per gestire il problema delle liste di utenze telefoniche “referenziate” tenendo traccia di alcuni elementi come l’origine dei dati e gli operatori che avevano lavorato sulle specifiche utenze. La società, in fase di cessazione delle attività e di liquidazione volontaria, dovrà pagare una sanzione di 5.000 euro.

In tutti e tre i casi, il Garante non ha ritenuto validamente utilizzata la base giuridica del legittimo interesse, ha vietato l’ulteriore utilizzo per il marketing dei dati trattati illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto trattamento, con particolare riguardo ai dati ‘fuori lista’ e a quelli presenti in black list.

Qlocker, dati criptati da ransomware con riscatto in Bitcoin


Qlocker, è il nome del ramsonware che attualmente sta effettuando un’enorme campagna di contagi, che ha come obiettivo quello di crittografare i dati degli utenti che utilizzano dispositivi di archiviazione di tipo NAS, in particolare a marchio QNAP.

Gli aggressori utilizzerebbero 7-zip per la compressione dei dati in archivi protetti da password e chiederebbero il pagamento di un riscatto in Bitcoin.

Il ransomware che sta terrorizzando gli utenti QNAP sin dal 19 aprile scorso (2021) viene identificato con il nome di Qlocker. Secondo quanto spiegato dai colleghi di BleepingComputer, il ransomware sarebbe in grado di utilizzare 7-zip per spostare tutti i dati degli utenti all’interno di archivi compressi e protetti da password.

Mentre l’attacco da Qlocker è in corso, il gestore delle risorse dei NAS QNAP mostra numerose istanze di 7-zip (7z) in esecuzione da riga di comando.

 

Quando il ransomware Qlocker termina la propria procedura, i file del dispositivo QNAP sono memorizzati in archivi 7-zip protetti da password dall’estensione .7z. Per estrarre questi archivi, le vittime devono inserire una password conosciuta solo dall’attaccante.

Dopo che i dispositivi QNAP sono criptati, gli utenti vengono lasciati con una nota di riscatto chiamata “!!!READ_ME.txt” che include una chiave client unica che le vittime devono inserire per accedere al sito di pagamento Tor del ransomware. A tutte le vittime viene detto di pagare 0,01 Bitcoin, l’equivalente di circa 450 euro al momento della scrittura di questo articolo, per ottenere la password necessaria a liberare i propri dati.

 

Recentemente QNAP ha risolto alcune vulnerabilità critiche che potrebbero consentire agli aggressori di ottenere l’accesso completo a un dispositivo ed eseguire un ransomware. QNAP ha risolto queste due vulnerabilità chiamate CVE-2020-2509CVE-2020-36195 il 16 aprile.

QNAP ha risposto alle domande di BleepingComputer affermando che è possibile che Qlocker sfrutti la vulnerabilità CVE-2020-36195 per eseguire il ransomware sui dispositivi vulnerabili. È dunque fortemente raccomandato l’aggiornamento di QTS, Multimedia Console e Media Streaming Add-on alle ultime versioni.

Questo ovviamente non riporterà indietro i vostri file ma vi proteggerà con molta probabilità da futuri attacchi che utilizzano tale vulnerabilità.

Obblighi legali siti WEB

obblighi e leggi per non rischiare sanzioni, la normativa sui siti web è chiara

Aprire un sito web è un’avventura fantastica, che però ha i suoi lati noiosi legati alla burocrazia. Quando si deve pubblicare un progetto online è necessario attenersi alla normativa italiana ed europea relativa alle pubblicazione di contenuti web e al commercio elettronico. Facciamo una rapida analisi della disciplina che regolamenta i comportamenti delle aziende che decidono di lavorare online. 

I dati della tua azienda: come e dove indicarli sul web

Secondo l’Art. 2250 del Codice Civile, tra gli obblighi troviamo i dati societari devono essere obbligatoriamente comunicati online. Ma quali informazioni bisogna comunicare? Dipende dalla natura giuridica dell’azienda:

  • Le Ditte individuali devono indicare la Partita Iva nel sito aziendale (inclusi i siti utilizzati per motivi pubblicitari).
  • Le Società di persone costituite da due o più soci devono comunicare sia negli atti che nella corrispondenza (fatture, DDT) questi dati: la ragione sociale, la sede dell’azienda, codice fiscale/partita Iva, sede del Registro delle Imprese a cui si è registrati e numero di iscrizione e (se esiste) lo stato di liquidazione dell’azienda.
  • Società di capitali di cui fanno parte le Società per Azioni (S.P.A.), le Società a Responsabilità Limitata (S.R.L.) e le Società in Accomandita per Azioni (S.A.P.A.) devono segnalare negli atti, nel sito web, nella corrispondenza (fatture, DDT ed e-mail), nelle pagine aziendali sui social media:

Cosa Comunicare?

  • Ragione sociale
  • Sede della società
  • Partita Iva/ Codice Fiscale
  • Dati relativi al Registro delle Imprese ovvero l’ufficio e il numero di registrazione
  • Capitale sociale relativo all’ultimo bilancio
  • Eventuale stato di liquidazione o stato di società singola

Se non si rispettano queste disposizioni si rischiano delle sanzioni tra i 206 e 2.065 euro inviate dalla Camera di Commercio. Mica male.

E-Commerce: cosa devi sapere se vuoi vendere online, obblighi da rispettare

Il commercio elettronico è regolato dalla normativa comunitaria a cui sono legati i 28 stati membri dell’Unione Europea, vediamo i punti principali della normativa:

  • La direttiva europea 2011/83 detta le leggi del risarcimento: il termine per restituire la merce è di 14 giorni. Le merci si possono restituire anche nel caso si cambi idea o per qualsiasi altra ragione. Eventuali costi di restituzione a carico dell’utente devono essere specificati in anticipo ovvero al momento dell’acquisto o in una pagina apposita dell’e-commerce.
  • I dati del rivenditore e del prestatore devono essere resi pubblici, anche il numero di iscrizione al Registro delle Imprese e l’indicazione degli estremi del responsabile in caso di attività soggette a licenza e altra concessione.
  • Per eventuali extra è vietato ricorrere a caselle preselezionate, come succedeva una volta. Le caselle che elencano i servizi extra devono essere deselezionate di base, sarà poi il cliente a cliccare sui servizi aggiuntivi che desidera acquistare.
  • Il prezzo dei prodotti deve essere chiaro. I costi aggiuntivi devono essere specificati al momento dell’ordine e non al momento del pagamento.

Trattamento della Privacy e i Cookie: tutela i tuoi clienti

I dati sensibili dell’utente che accede o acquista sul sito o che rilascia durante telefonate o altra corrispondenza sono assolutamente riservati. Uno spazio del sito web deve essere destinato all’informativa sulla tutela della privacy. La mancata pubblicazione può dare avvio a sanzioni che vanno dai 6.000 ai 36.000 euro. Per utilizzare i dati dell’utente è necessario un consenso informato, che deve essere dato dopo la lettura di tale informativa. Tra gli obblighi troviamo dal 2012 il comunicare l’uso dei cookies, strumenti che memorizzano i dati di navigazione.

Fusioni e scissioni: puoi comunicarle anche online

Ulteriori obblighi porta il Decreto Legislativo n. 123 del 22 Giugno 2012 che tra le più importanti novità che permettono di raggirare la burocrazia e velocizzare il processo di fusione o scissioni di una società. Se prima si potevano realizzare con con una comunicazione al Registro delle Imprese da qualche anno si possono pubblicare sul sito web aziendale ma questi documenti devono essere autentificati con firma digitale e marcatura temporale.

Se desideri gestire un sito web devi conoscere anche questi lati meno divertenti, ma sempre utili per non rischiare brutte sorprese. Per approfondire l’argomento ti consigliamo di visitare la pagina dedicata alla creazione di nuove imprese in Europa, dove potrai trovare tanti spunti per migliorare il tuo progetto imprenditoriale dal punto di vista legislativo.

PSD2, cosa cambia?

PSD2, porta diverse novità nella gestione dei pagamenti e del denaro.

In un mondo sempre più complesso, consumatori e aziende sono alla ricerca di servizi finanziari che possano aiutarli a perseguire i propri obiettivi.
La rivoluzione del settore dei servizi finanziari è appena cominciata: l’open banking consente ai provider di trasformare il modo in cui persone e imprese gestiscono il denaro.
I clienti potranno avere offerte personalizzate e costi inferiori, mentre i sistemi bancari dovranno abbracciare il concetto di apertura e digitalizzazione.
Non solo, saranno notevolmente rafforzate le misure di sicurezza. Questo grazie a nuovi standard di autenticazione per limitare il rischio frodi.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco.  Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l’indirizzo di spedizione, l’ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

La MBLI S.a.s. di Marchese Daniele Rosario, è partner di player attivi in UE, Aruba Enterprise è Qualified Trust Service Provider nella OBE Directory con CA Actalis e Aruba PEC, per la fornitura di QWAC e QSealC service.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco.  Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l’indirizzo di spedizione, l’ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

VPN, cos’è e come funziona

Le Virtual Private Network (VPN) rappresentano un modo per estendere l’accessibilità delle reti aziendali anche a utenti remoti e altri siti dell’impresa in modo il più possibile sicuro, flessibile ed economico. Possono essere oggi implementate in diverse modalità per venire incontro alle specifiche esigenze degli utenti.

Quasi tutte le aziende che hanno una rete informatica interna, con computer, server e sistemi di archiviazione dei dati, hanno anche anche dipendenti o collaboratori che si trovano a lavorare (stabilmente o temporaneamente) in mobilità o da casa. Molte hanno anche sedi distaccate, più piccole di quella centrale, quali uffici periferici, punti vendita, magazzini o stabilimenti. Da anni esiste la tecnologia VPN (Virtual Private Network) per risolvere queste problematiche. Vediamo di cosa si tratta.

Cos’è una VPN e a cosa serve

Il significato di VPN è Virtual private network ed essa consente alle aziende di ampliare praticamente senza limiti geografici la propria rete privata centrale, creando una “rete virtuale privata”, che permette a utenti e siti periferici (branch) di connettersi al “major network” aziendale attraverso reti IP geografiche noleggiate da provider di telecomunicazioni, basate sul protocollo Mpls (Multiprotocol Label Swithcing), o reti pubbliche e condivise come Internet e le piattaforme cloud.

Grazie alle VPN Mpls o quelle over Internet, gli utenti remoti o i siti esterni di un’azienda possono collegarsi, da qualsiasi parte del mondo, in qualunque momento e con i dispositivi più disparati, alla LAN (Local area network) delle proprie sedi aziendale, in modo sicuro e il più possibile economico. Nell’ambito di queste connessioni, i client possono stabilire comunicazioni con un singolo computer o con tecnologie condivise con altri utenti quali un server applicativo, un database, un NAS (Network Attached Storage), stampanti e così via.

Cosa significa tunneling?

Alla base del funzionamento di una Virtual Private Network vi è la creazione di un tunnel (ovviamente virtuale) all’interno del quale due o più partecipanti a una sessione virtual private network possono scambiarsi dati al riparo da occhi indiscreti. Per la creazione di questo canale privato, pur utilizzando un’infrastruttura condivisa, è necessario un protocollo di tunneling. Di queste tecnologie oggi ne esistono di diverse, ma tutte hanno in comune alcuni aspetti.

Ecco come funziona una VPN

Innanzitutto nel data center dell’azienda, o nel suo private cloud (nel caso si abbia optato per questa soluzione) deve essere installato un server VPN, chiamato anche Virtual private network Hub o Central Hub, su cui sono gestiti tutti e tre i livelli del framework di sicurezza di una Virtual Private Network:

  • un sistema di autenticazione degli utenti,
  • un layer per la gestione dei metodi di cifratura dei dati scambiati fra i vari nodi della rete,
  • un firewall che controlla gli accessi alle diverse porte delle reti.

Il VPN Hub deve essere anche connesso a un router e a uno o più switch che permettono l’assegnazione di indirizzi IP pubblici (statici o dinamici) a tutti i partecipanti della VPN (dati che devono necessariamente essere presenti negli header dei pacchetti incapsulati nei tunnel).

Quindi, tutti i dispositivi che gli utenti intendono utilizzare devono essere dotati di un client VPN, che può anche essere:

  • un’applet nativa del sistema operativo del dispositivo;
  • un software o un estensione per il browser scaricabile dal sito del gestore di servizi VPN;
  • un agente software fornito insieme a un hardware che supporti la creazione di queste reti (router, firewall, NAS, etc);
  • un programma sviluppato da un vendor di sicurezza.

Tipi di VPN per topologia

Virtual Private Network è un modo di utilizzare le reti condivise e pubbliche globali per ampliare in modo controllato e protetto i confini di un major network aziendale privato, ma non significa un unico tipo di tecnologia e di implementazione.

Da un punto di vista delle topologie di VPN possiamo identificarne due tipi, spesso compresenti nella stessa azienda:

  • le VPN remote access, è la tipologia più semplice e comune e prevede esclusivamente la possibilità che alcuni utenti possano connettersi da remoto al major network dell’azienda.
  • le VPN site-to-site permettono di creare tunnel, attraverso reti pubbliche e condivise, fra siti aziendali diversi.

Questo tipo di VPN, dal punto di vista topologico, utilizza solitamente il modello hub-and-spokes. Il nome deriva dall’analogia con la ruota di una bicicletta. In questo caso l’hub (mozzo) è il major network aziendale, presso il quale si trova il server VPN. Gli spoke (raggi) sono le reti geografiche (MPLS o Internet) utilizzate per connettere al major network le sedi remote. Anche presso quest’ultime possono essere implementate soluzioni di Virtual Private Network che permettono l’accesso ai loro server da parte di utenti remoti o ulteriori branch che – a cascata – possono anche essere reinstradati verso il major network della sede centrale.

Tipologie di soluzioni per sicurezza, amministrazione e flessibilità

Oltre alle differenze topologie, esistono fra le Virtual Private Network anche diversità in funzione del livello di security e non solo. In particolare le VPN si suddividono in tre principali categorie: Trusted VPN, Secure VPN e Hybrid VPN.

Trusted VPN

Le Trusted VPN sono reti private virtuali in cui non è previsto un tunneling crittografato. Tradizionalmente appartengono a questa categoria le Virtual Private LAN create all’interno di un’azienda. I Virtual Private LAN Services si basano sul sul livello 2 (data link) del modello OSI e permettono di creare reti virtuali che condividono lo stesso network fisico ma i cui rispettivi host non possono sconfinare da una rete all’altra.

Come abbiamo già segnalato, le VPN non necessariamente utilizzano Internet come rete geografica: possono utilizzare anche le WAN MPLS. Questi fornitori sono in grado di offrire percorsi alle reti virtuali predefiniti, controllati, protetti e con una qualità del servizio (quality of service) garantite. Nel loro armamentario, quindi, ci sono le tecnologie utilizzate dal Trusted VPN.

Secure VPN

Il vantaggio principale delle Secure VPN è che i tunnel VPN sono creati utilizzando protocolli di cifratura e sicurezza quali IPsec, TSL/SSL, PPTP (Point to Point Tunneling Protocol) o SSH. Tali protocolli sono utilizzati da entrambi i nodi di una VPN. Di conseguenza, se un hacker riuscisse a intercettare i pacchetti di un traffico di rete, vi troverebbe dentro solo dati illeggibili. A differenza di una Trusted VPN, una Secure VPN consente di utilizzare Internet in modo estremamente flessibile: quello che conta è solo avere a disposizione delle connessioni, anche Wi-Fi pubbliche.

Hybrid VPN

Oggi sta emergendo il modello Hybrid VPN, che consente di coniugare i vantaggi delle Trusted VPN (come il controllo dei percorsi) e delle Secure VPN (la crittografia dei contenuti e dei tunnel). Molte Trusted VPN si stanno aggiornando con l’aggiunta di funzionalità Secure Virtual private network come security overlay sulle tecnologie già utilizzate.

VPN e sicurezza informatica

Sono molti i vantaggi delle VPN in termini di sicurezza. Innanzitutto, l’autenticazione degli utenti, che oggi può non avvenire solo con l’utilizzo di username e password, ma anche con smartcard, riconoscimento biometrico e altri metodi ancora.

Quindi la privacy dei dati. I principali protocolli utilizzati per creare VPN utilizzano algoritmi e protocolli crittografici molto robusti. E questo vale tanto per prodotti open source quali OpenVPN e SoftEther VPN, quanto per le tecnologie non a sorgente libero come SSTP, introdotto da Microsoft nel 2007, che sfrutta la tecnologia SSL 3.0, e IKEv2 , sviluppato da Microsoft e Cisco, che punta invece sulla tecnologia IPsec.

Dal punto di vista della sicurezza, va segnalato che il protocollo di tunneling MPPE è ormai da considerarsi obsoleto. Vi è poi il protocollo L2TP, che funziona a livello 2, non include un sistema di crittografia specifico, ma permette di creare tunnel che possono trasportare comunicazioni cifrate con diversi protocolli. Una sua evoluzione è L2TP/IPsec, in cui IPsec viene utilizzato per l’autenticazione. Un aspetto di security che va considerato, nel caso un’azienda optasse per servizi in cloud, è se il provider raccoglie o no informazioni sull’utilizzo dei servizi virtual private network, e che uso ne fa.

Come scegliere una Virtual Private Network

La scelta della soluzione giusta non può non richiedere un’attenta valutazione dei pro e dei contro dei diversi tipi di VPN, dei protocolli di sicurezza utilizzati e del fornitore della tecnologia o dei servizi gestiti.

Per creare Virtual private network con i metodi tradizionali, utilizzando i software più diffusi (e spesso nativi) e poco hardware, non si spende molto: l’importante è avere risorse competenti. Sul mercato ci sono anche ottimi fornitori di VPN as a service, utilizzati anche da molti utenti consumer, che offrono tariffe competitive che partono da pochi dollari al mese per utente, con molti gigabyte a disposizione e la possibilità di utilizzare più dispositivi contemporaneamente. Di certo salgono se si desidera implementare, on-premises o in cloud, soluzioni scalabili, affidabili, con funzionalità di amministrazione e sicurezza avanzate come la central client administration e il security policy enforcement.

Inoltre, va tenuto presente l’emergere delle VPN layer 3. Sempre più aziende desiderano connettere un numero crescente di siti e di relative LAN, al major network e fra di loro, in modalità virtual private network. Questo comporta un esplosione di indirizzi IP da gestire, moltissimi dei quali inevitabilmente identici. Diventa necessario quindi affrontare la situazione a livello di internetworiking, e quindi di livello 3 del modello OSI (network). I provider di servizi MPLS, grazie all’esperienza nella connettività site-to-site, sono avvantaggiati nel fornire soluzioni layer 3, che se sfruttano le proprie infrastrutture, sono chiamate MPLS Layer 3 VPN. Ma in molti casi anche le L2 sono e resteranno sufficienti.

Alcuni criteri per scegliere le VPN migliori

Per scegliere le VPN migliori è necessario basarsi sulle proprie reali esigenze, valutare le funzioni opzionali disponibili, tenendo presente che una buona opzione deve essere caratterizzata da riservatezza, sicurezza e dalla capacità di proteggere le informazioni. Può essere necessario rivolgersi a soluzioni premium.

Tra le funzioni da valutare la possibilità di fruire del servizio di split tunneling per accedere in modo trasparente a più domini di sicurezza; la garanzia che eventuali errori DNS siano risolti; la disponibilità del servizio kill switch che permette di mantenere sempre aperta la connessione virtual private network anche nel caso di interruzione di Internet.

Breve riepilogo dei protocolli utilizzati da virtual private network sicure

Ecco qui di seguito i protocolli più conosciuti che implementano una virtual private network sicura, esse solitamente utilizzano protocolli crittografici, anche se non sempre.

  • IPsec (IP security), comunemente usate su IPv4 (parte obbligatoria dell’IPv6);
  • PPTP (point-to-point tunneling protocol) di Microsoft;
  • SSL/TLS, utilizzate sia per il tunneling dell’intera rete sia per assicurarsi che sia essenzialmente un web proxy;
  • VPN Quarantine: la macchina del cliente terminale della VPN potrebbe essere una fonte di attacco, cosa che non dipende dal progetto della VPN;
  • MPVPN (Multi Path Virtual Private Network), è il trademark registrato da Ragula System Development Company.

Alcune reti VPN sicure non usano algoritmi di cifratura, in quanto partono dal presupposto che un singolo soggetto fidato possa gestire l’intera rete condivisa e che quindi l’impossibilità di accedere al traffico globale della rete renda i singoli canali sicuri, dato che il gestore della rete fornisce ad ogni soggetto solamente la sua VPN. I protocolli che si basano su questa filosofia sono per esempio:

  • L2F (layer 2 Forwarding), sviluppato da Cisco;
  • L2TP (Layer 2 Tunneling Protocol), sviluppato da Microsoft e Cisco;
  • L2TPv3 (layer 2 Tunneling Protocol version 3);
  • Multi Protocol Label Switching (MPLS), spesso usato per costruire una Trusted VPN.

VPN e il Fritz 7590

In Rete siamo costantemente bombardati da offerte di VPN, ovvero Virtual private network. Spiegato semplicemente si tratta di collegare il vostro dispositivo, che sia uno smartphone ovvero un computer o altro dispositivo che supporti questa possibilità, ad un server che gestirà tutte le vostre richieste di rete, sia in entrata che in uscita. Ad esempio se il vostro fornitore VPN si trova in Australia, se provate a collegarvi ad un sito, risulterà che vi state collegando dall’Australia. Questo ha indubbi vantaggi anche per servizi che hanno restrizioni geografiche sui loro servizi, provate a collegarvi al sito della RAI dall’estero, oppure Netflix, vedrete che i contenuti saranno differenti!. Le Virtual Private Networ tecnicamente dovrebbero fornirvi anche il massimo della sicurezza e della privacy, soprattutto se vi collegate ad un wifi pubblico. Eventuali malintenzionati non possono intercettare il vostro traffico. Per quanto riguarda la privacy, ci sono delle ombre, nessuno vi assicura che il provider della VPN non controlli il vostro traffico. La soluzione migliore sarebbe utilizzare una Virtual Private Network creata sul vostro router. Il Fritz!Box 7590 vi offre questa possibilità.

VPN con MyFRITZ!App

Con MyFRITZ!App è possibile stabilire connessioni VPN in Android in modo particolarmente semplice. Installare la MyFRITZ!App sul proprio smartphone o tablet, registrarsi sul proprio FRITZ!Box e configurare con un solo clic la connessione VPN nel menu “Rete locale” oppure “Rete domestica” della App.

E’ possibile stabilire in qualsiasi momento da fuori una connessione VPN con il proprio FRITZ!Box dal menu “Rete locale” oppure “Rete domestica” nella MyFRITZ!App. Non appena viene stabilita la connessione, è possibile accedere tramite link diretto nella MyFRITZ!App al proprio FRITZ!Box e ad altri dispositivi dotati di una propria interfaccia web, ad esempio un sistema NAS.

Configurare VPN su fritz!Box

Sul Fritz!Box la prima cosa da fare è creare l’Account MyFritz!. Dall’interfaccia del dispositivo selezionare “Account MyFritz!” e seguire la procedura guidata.

vpn

Dopo la creazione dell’account MyFritz, bisogna creare un utente abilitato all’accesso VPN. Per fare ciò, nell’interfaccia del modem sotto la voce “Sistema”, c’è Utenti Fritz!Box, selezionatelo e create l’utente assicurandovi di spuntare l’accesso da remoto e l’abilitazione alla Virtual Private Networ. Alla fine della procedura apparirà una finestra con le istruzioni per configurare uno smartphone Android o iOS per l’accesso alla vostra Virtual Private Network. Le istruzioni sono molto semplici e potete anche stamparle. Potete recuperarle anche in Internet -> Abilitazioni, sempre all’interno dell’interfaccia del Fritz.

utenti

Assistenza Wizard VPN

Coronavirus, phishing e malware

Sul fatto che il Coronavirus abbia messo in allerta l’intero pianeta non vi è più alcun dubbio, così come sul fatto che molti malintenzionati puntino a far leva sullo stato d’animo delle persone, mettendo in atto speculazioni incentrate sul contagio da coronavirus, come avvenuto nei giorni scorsi per la vendita di Amuchina e mascherine protettive da viso, e come sta accadendo in queste ore con il diffondersi di nuove minacce informatiche che sfruttano la fame di informazioni inerenti l’argomento.

In Rete, infatti, cominciano a “fioccare” operazioni di phishing e malware a tema Covid-19. A lanciare l’allarme è stata Reason Labs, azienda che si occupa di sicurezza online e antivirus, mediante un apposito report recentemente diffuso.

Per quel che concerne le campagne phishing, il riferimento è in primo luogo alle aziende. Giungono direttamente nelle caselle di posta elettronica, sotto forma di email tramite cui viene chiesto di effettuare il prima possibile un pagamento per completare l’ordine di materiale sanitario, nella speranza che qualche dipendente più sprovveduto ceda.

Riguardo la questione malware, sono stati messi in piedi siti Internet ad hoc che mostrano aggiornamenti relativi al contagio, con tanto di mappa al seguito (la cui versione ufficiale è quella disponibile sulla piattaforma ArcGIS, basata sui numeri dell’Organizzazione Mondiale della Sanità), e che propongono il download di un file eseguibile per soli computer Windows, il quale viene spacciato come strumento che dovrebbe permettere agli utenti di rimanere al corrente sull’andamento dell’ormai conclamata pandemia ma che, invece, ha come obiettivo quello di sottrarre informazioni sensibili, quali dati di login, dati relativi a carte di credito e conti bancari e altri dettagli strettamente riservati.

I malware che, in tal modo, vanno ad “insediarsi” sul computer degli internauti, non sono però cosa nuova. Si tratterebbe, infatti, di virus già noti, come nel caso di AZORult che è in circolazione dal 2016, usati in passato per compiere altri attacchi miranti al furto di password, credenziali bancarie e via discorrendo, al fine di di rivendere il tutto a terzi mediante il deep Web.

Continuando a parlare di minacce informatiche a tematica Covid-19, una ricerca pubblicata a inizio mese dalla società di sicurezza Check Point ha evidenziato come i domini registrati con nomi o URL con riferimento al virus hanno il 50% di probabilità in più di diffondere codice maligno.

Tenendo conto della situazione, se in genere è bene mantenere gli occhi aperti e prestare la massima attenzione alle insidie che Internet può riservare, in questo particolare e concitato periodo occorre essere ancora più prudenti del solito e scegliere di affidarsi in via esclusiva alle fonti ufficiali per restare informati disponibili sul Web (e non solo) in merito all’evolversi della patologia.

In particolare, Check Point mette in guardia da mail di questo tipo

Inkedcorona-2_LI

L’e-mail contiene un file di documento dannoso, denominato f ###########.doc (# = cifra) e con l’oggetto dell’e-mail “Coronavirus: Informazioni importanti su precauzioni” e l’e-mail è firmata da un medico dell’Organizzazione mondiale della sanità (OMS) con sede in Italia. Tuttavia – dicono a Check Point, “abbiamo effettuato una ricerca online e non è stato possibile trovare un medico di nome Penelope Marchetti presso l’OMS o Organizzazione Mondiale della Sanità (OMS). Inoltre, gli indirizzi email dei mittenti non provengono da domini ufficiali OMS o OMS e la maggior parte di essi non era affatto italiana”.

Ecco uno scatto dal file doc dannoso:

Check Point

Fare clic su “abilita modifica” e “abilita contenuto” porterà al download di Ostap Trojan-Downloader, un downloader di Trickbot, un malware.

Ransomware FTCODE, PEC a rischio hacking.

Una pericolosa variante del ransomware FTCODE sta colpendo le caselle di posta certificata (PEC) di aziende e pubbliche amministrazioni italiane. Ecco tutti i dettagli tecnici per riconoscerlo e i consigli pratici per difendersi e prevenire un possibile attacco.

Una variante del ransomware FTCODE sta prendendo di mira le caselle di posta elettronica certificata (PEC) italiane: il malware viene veicolato mediante una massiccia campagna di malspam proveniente da altre caselle di posta elettronica (per lo più PEC) precedentemente compromesse.

Già lo scorso 2 ottobre, il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.

In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.

Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file WindowsIndexingService.js che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware GootKit e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.

FTCODE: i dettagli della nuova variante del ransomware

Gli analisti del CERT-PA (il Computer Emergency Response Team della Pubblica Amministrazione) hanno ora identificato la nuova variante del ransomware FTCODE che continua ad essere una seria minaccia per le caselle PEC italiane.

La nuova versione di FTCODE ha numerose parti di codice in comune con la precedente variante, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo (C&C), quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.

Molto simile anche il codice necessario a gestire il ciclo per l’enumerazione dei file da cifrare. Così come riportato dal bollettino di sicurezza del CERT-PA, in questa nuova variante del ransomware FTCODE i criminal hacker hanno aggiunto alcune “migliorie”:

  • il file di lock usato per garantire una singola istanza del malware è considerato non valido dopo 30 minuti: questo evita possibili “vaccinazioni” o deadlock;
  • FTCODE crea ora un GUID univoco per macchina in un file di lavoro (ma sembra generarlo ad ogni avvio e quindi potrebbe trattarsi di un bug);
  • i file vengono ora rinominati con un’estensione casuale (i primi 6 caratteri di un GUID) e non più con .ftcode;
  • la password è generata tramite Get-Random e non tramite Membership.GeneratePassword: è composta da 50 caratteri alfanumerici e viene sempre inviata in chiaro al C&C;
  • la pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro;
  • le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono cifrate;
  • in caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al server C&C.

Il CERT-PA ha diffuso anche gli IoC del ransomware FTCODE, cioè gli indici di compromissione che possono tornare utili ai responsabili della sicurezza IT aziendale per individuare il codice malevolo del malware:

SHA256

  • 5e0844e082ffc41784a9cbdf34225793a167c8c3f23aa7937fd442e6eaa19e2a
  • 07c226d6e4ab84a586b1a09f09896223412de927513fda6bf13b031dc497e686

SHA1

  • 46090a00ad5e755b0abef6be931086daef9c5651
  • 4cb525212460fedae4820a7cfc39e47db48c4c7b

MD5

  • e299d13f093b20559b62c8b22482bde3
  • be611918fabc12048aeba6e55f6559d7

URL

  • http://ceco.jasonrsheldon.com/
  • http://ceco.myheritageins.com/?need=streetm&vid=vbs4&4643
  • http://ceco.myheritageins.com/?need=aegzfej&vid=vbs4&
  • http://kati.katieebecker.com/?need=aegzfej&vid=vbs4&
  • http://bill.billfergerson.com

DOMINI

  • cdn.unitycareers.com
  • cdn.secure357.com

I consigli per difendersi

Come abbiamo visto, le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.

Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.

Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

E’ importante utilizzare dei sistemi di backup che all’occorrenza siano in grado di salvare e ripristinare i fale in maniera veloce ed affidabile, la soluzione attualmente che consigliamo è l’acquisto di un QNAP.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla formazione non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

Data breach, è cambiata la notifica.

Cambia la notifica di data breach: il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per notificare una violazione di dati personali. Ecco tutte le novità e i consigli per effettuarla al meglio

Cambia la notifica di data breach: con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

In precedenza, il Garante aveva già introdotto modalità e requisiti specifici di notifica dei data breach in diversi settori e con il provvedimento in questione il Garante ha provveduto a razionalizzare ed uniformare i termini, i contenuti e le modalità della notifica.

Come cambia la notifica di data breach

Il GDPR prevede che in caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare tale evento al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Allo stesso modo il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi (artt. 33 e 55 del GDPR, art. 2-bis del Codice Privacy).

A seguito del citato provvedimento 157 l’onerosità di tale notifica è decisamente aumentata, probabilmente anche al fine di permettere al titolare di assumere reale contezza della violazione e, conseguentemente, di valutare in maniera ponderata l’effettiva necessità di comunicare, o meno, la violazione stessa anche alle persone fisiche interessate, nel rispetto di quanto previsto dall’art. 34 del GDPR.

Vediamo quindi come cambia la notifica di data breach.

Per effettuare la notifica il titolare dovrà scaricare il modello disponibile sul sito del Garante e compilare le seguenti sezioni:

  1. Dati del soggetto che effettua la notifica, inserendo i dati anagrafici e di contatto del soggetto che materialmente effettua la notifica (ove nominato, si tratta del DPO del titolare);
  2. Dati relativi al titolare del trattamento, in cui andranno inseriti i dati identificativi del titolare (denominazione, C.F./P.IVA, indirizzo ecc.), i dati di contatto del soggetto da contattare per informazioni (ove nominato il DPO andrà indicato il relativo numero di protocollo assegnato dal Garante alla comunicazione dei dati di contatto tramite la procedura online disponibile sul sito) e i riferimenti di ulteriori soggetti coinvolti con indicazione del ruolo svolto (contitolare o responsabile del trattamento , rappresentante del titolare non stabilito nell’UE);
  3. Informazioni di sintesi sulla violazione, questa è una delle sezioni più critiche in quanto andranno indicate una serie di informazioni di dettaglio relative alla violazione, ivi incluse: la data esatta in cui si è verificata, il momento e le modalità in cui il titolare ne è venuto a conoscenza, i motivi del ritardo in caso di notifica oltre le 72 ore, la natura e la causa del data breach e le categorie di dati personali e soggetti interessati coinvolti, con indicazione dei relativi volumi;
  4. Informazioni di dettaglio sulla violazione, a completamento della sezione precedente, in questa andranno indicati i dettagli relativi alla violazione descrivendo nello specifico l’incidente alla base del breach, le categorie di dati violate, i sistemi e le infrastrutture informatiche coinvolte nell’incidente, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate;
  5. Possibili conseguenze e gravità della violazione, si tratta di una sezione che richiede uno sforzo prognostico da parte del titolare il quale sarà tenuto a identificare i possibili impatti della violazione in base alla sua natura ed i potenziali effetti negativi per gli interessati; occorrerà inoltre effettuare una stima motivata della probabile gravità del data breach;
  6. Misure adottate a seguito della violazione, in cui andranno segnalate tutte le contromisure sia tecniche che organizzative adottate per limitare gli impatti del breach e di futura attuazione onde prevenire incidenti futuri;
  7. Comunicazione agli interessati, in questa sezione occorrerà specificare se la violazione è stata comunicata o meno agli interessati ai sensi dell’art. 34 del GDPR, ed in caso di mancata comunicazione sarà necessario motivare la ragione che ha spinto il titolare prendere una tale decisione;
  8. Altre informazioni, si tratta di una sezione di chiusura in cui inserire i dettagli circa l’impatto transfrontaliero del data breach e le eventuali segnalazioni già effettuate ad altre autorità.

Laddove il titolare del trattamento non sia in possesso di tutte le informazioni richieste dal modulo, potrà avviare il processo di notifica pur in assenza di un quadro completo della violazione con riserva di effettuare una successiva notifica integrativa.

Come inviare la notifica di data breach

Il modulo di notifica, una volta completato con le informazioni richieste, deve essere inviato al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritto digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

È opportuno ricordare che la notifica non deve includere i dati personali oggetto di violazione (ad esempio, non fornire i nomi dei soggetti interessati dalla violazione).

In ogni caso l’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

I prossimi passi

Il nuovo modulo di notifica richiede al titolare di raccogliere una folta serie di informazioni relative alla violazione. Per essere in grado di effettuare la notifica il titolare dovrà pertanto assicurarsi di aver implementato le adeguate procedure organizzative – sia interne che esterne nei confronti dei responsabili – che gli consentano di ottenere in maniere tempestiva tutte le notizie necessarie per compilare effettuare la notifica.

Il procedimento di notifica deve essere supportato dalla tenuta, da parte dei titolari del trattamento, del cosiddetto “registro delle violazioni”: un documento che ha la duplice funzione di consentire, al titolare, un agevole monitoraggio e controllo di tutte le violazioni di dati personali avvenute nel corso delle proprie attività di trattamento e, al Garante Privacy, di verificare il rispetto dell’obbligo di notifica tempestiva.

Questo registro andrà predisposto in linea con i requisiti del modulo di notifica per raccogliere tutte le informazioni necessarie al fine di documentare adeguatamente qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Lo scenario dei data breach in Europa e in Italia

Il provvedimento con cui il Garante privacy ha introdotto il nuovo modello di notifica di data breach è l’occasione giusta anche per ricordare quanto il fenomeno dei data breach sia in costante aumento in Europa.

Il Comitato Europeo per la protezione dei dati ha pubblicato un report sullo stato di implementazione del GDPR a 9 mesi dalla sua piena applicabilità, in cui si rileva che le autorità Garanti in Europa hanno registrato circa 64.684 notifiche di data breach, ed è ragionevole ritenere che dalla pubblicazione del report ad oggi tale cifra sia cresciuta ulteriormente.

In tal senso è significativo quanto espresso dal World Economic Forum, secondo cui gli attacchi informatici sono la maggiore minaccia per le imprese che operano in Europa.

Durante gli ultimi anni il nostro continente è stato difatti teatro di una lunga serie di grandi attacchi cyber, il cui numero è aumentato di circa un terzo nel primo trimestre 2018, rispetto allo stesso periodo dell’anno scorso.

Tali stime trovano conferma nel rapporto presentato dalla Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) secondo cui, a fronte di un aumento moderatamente significativo del numero di attacchi, si è registrato un incremento esponenziale della efficacia e pericolosità degli stessi.

Nella prima metà del 2018 sono stati compromessi, infatti, circa 4.500 milioni di record a causa delle violazioni di dati, in forte crescita rispetto al 2017 in cui, nello stesso periodo, erano stati registrati «solo» 2,7 milioni di record violati.

Risparmiare con Fritz

Risparmiare la corrente con FRITZ! – opzioni per la casa intelligente

I prodotti FRITZ! non facilitano solo l’uso di Internet e la telefonia bensì ti aiutano anche a ridurre le spese: con la prese intelligenti FRITZ!DECT 200 e FRITZ!DECT 210 puoi integrare i dispositivi elettrici nella rete domestica e venire informato in qualsiasi momento del relativo consumo anche mediante un’analisi significativa e un bilancio di emissioni di CO2.

FRITZ!DECT 200 – molto di più di una presa

Una connessione DECT sicura ti permette di integrare la presa intelligente nella tua rete domestica. Il consumo dei dispositivi ad essa collegati si legge comodamente nell’interfaccia del FRITZ!Box o si può far inviare ai dispositivi mobili tramite e-mail del servizio Push. Grazie a ciò, puoi eseguire misurazioni precise a casa e farti mostrare il consumo, in kilowattora e euro, per ogni ora, giorno, mese o anno.

Powerline con funzione Smart Home

Approfitta di questi vantaggi per risparmiare con il FRITZ!Powerline 546E: questo adattatore non si limita a trasmettere il segnale LAN attraverso la linea elettrica, bensì è dotato anche di una presa con funzione Smart Home. Collega via cavo il tuo nuovo televisore alla rete domestica tramite l’adattatore Powerline e controllane il consumo con la presa. Fai diventare intelligente la tua casa!

Configurazione facilissima

Sia il FRITZ!Powerline 546E sia il FRITZ!DECT 200 sono configurati e pronti all’uso in un attimo. Per creare la connessione basta premere un tasto. Integra altri dispositivi nella tua rete domestica e approfitta delle opzioni che ti offre la tecnologia Smart Home.

Semplice commutazione automatica

Nella modalità automatica il FRITZ!DECT 200 offre molteplici opzioni: imposta un piano orario e il tuo FRITZ!DECT gestirà l’accensione e lo spegnimento dei dispositivi come evento unico oppure ogni giorno, nei giorni feriali, con cadenza regolare o casuale. È anche possibile sincronizzare la commutazione tramite il calendario di Google. La funzione Astro, infine, permette di attivare e disattivare l’alimentazione all’alba e al tramonto.

Misurazione dei consumi

Il FRITZ!DECT 200 non è solo un sistema di commutazione, ma anche di misurazione del consumo energetico dei dispositivi. L’intensità è indicata in watt e la tensione in volt. Le misurazioni si possono effettuare su base oraria, giornaliera, mensile e annuale, sia in kWh che in euro, elaborando anche un bilancio di emissioni di CO2.

Risparmiare non è stato mai così facile ed efficace

Autorizzazione videosorveglianza

L’istanza di autorizzazione per la videosorveglianza permette di installare le telecamere di sicurezza rispettando le norme di legge previste.

Sempre più spesso privati e aziende sentono il bisogno di dotarsi di sistemi di videosorveglianza per aumentare il grado di sicurezza dell’ambiente domestico o di quello lavorativo, ma devono fare i conti con alcune attenzioni necessarie per il rispetto della privacy.

Così come molte altre informazioni (nome e cognome, residenza, codice fiscale, numero di telefono, ecc), anche le immagini sono a tutti gli effetti dei dati personali e, come tali, sono soggette alla normativa della privacy: in questo articolo ecco alcuni aspetti da tenere in considerazione.

Autorizzazione per videosorveglianza privata

Chi vuole installare telecamere di sorveglianza nella propria casa è soggetto a molte meno restrizioni rispetto all’ambiente lavorativo, a patto di rispettare alcune indicazioni.

Secondo quanto stabilito dal Garante della Privacy, con il parere n. drep/ac/113990 del 7 marzo 2017, per la videosorveglianza privata non è previsto l’obbligo di autorizzazioni (né da parte della Polizia, né da parte, eventualmente, del condominio).

Ci sono, tuttavia, alcune condizioni da rispettare, che valgono indistintamente per le telecamere con o senza registrazione delle immagini:

 – evitare di riprendere zone di pubblico passaggio (strada o spazi comuni)
 – qualora ciò non fosse possibile, evitare il riconoscimento dei soggetti (limitando il raggio di ripresa alle sole scarpe)

In sostanza, è possibile fare a meno dell’autorizzazione per videosorveglianza quando le telecamere non sono rivolte su zone pubbliche (compresi gli spazi comuni di un condominio, dove passano i vicini). Fondamentale, inoltre, che le immagini riprese non vengano diffuse a terzi.

Nel caso in cui queste condizioni non dovessero essere rispettate, la videosorveglianza non avrebbe più i caratteri di finalità esclusivamente personali: scatterebbero, dunque, tutti gli obblighi previsti dal codice della privacy, con tanto di richiesta di autorizzazione obbligatoria.

Autorizzazione per videosorveglianza sul luogo di lavoro

L’autorizzazione per videosorveglianza sul luogo di lavoro è sempre obbligatoria per aziende e attività commerciali e, secondo quanto stabilito all’art. 4 della Legge 300 del 1970 (Statuto dei Lavoratori), impianti audiovisivi e altri strumenti, dai quali deriva la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati esclusivamente per:

 – esigenze organizzative e produttive
 – la sicurezza del lavoro
 – tutela del patrimonio aziendale.

Recentemente l’art. 4 dello Statuto dei Lavoratori ha subìto rilevanti modifiche, ad opera del Jobs Act (art. 23 del D.Lgs. n. 151/2015) prima e del D.Lgs. n. 185/2016 (art. 5, comma 2) dopo, adeguando così l’impianto normativo e le procedure preesistenti alle più recenti innovazioni tecnologiche.

A tal proposito, l’Ispettorato Nazionale del Lavoro, con la circolare n.5 del 19 febbraio 2018, ha fornito alcune indicazioni operative sull’installazione e utilizzo degli impianti di videosorveglianza e degli altri strumenti di controllo. Tra le novità principali, il fatto che il focus delle istruttorie debba riguardare più le finalità e le motivazioni per cui si richiede l’autorizzazione che non una descrizione tecnica della strumentazione.

Anche sul luogo di lavoro, in ogni caso, andrà posta particolare attenzione al posizionamento delle telecamere: la legge prevede che non possano essere inquadrate postazioni di lavoro fisse o aree dedicate all’attività lavorativa.

In sostanza, le immagini non devono focalizzarsi sui dipendenti, che possono però essere ripresi con criteri di occasionalità. Per il resto, le telecamere possono essere orientate anche su ingressi o zone di passaggio di pertinenza dell’azienda (ad esempio i corridoi, parcheggi, ecc).

Prima di poter installare un impianto di videosorveglianza sul luogo di lavoro, dunque, è necessario avere uno specifico accordo con le organizzazioni sindacali (se presenti in azienda) o, appunto, l’autorizzazione rilasciata dall’Ispettorato Territoriale del Lavoro, previa apposita istanza, in marca da bollo.

Videosorveglianza senza autorizzazione: sanzioni

Installare sistemi di videosorveglianza senza autorizzazione può costare alle imprese un esborso economico considerevole e/o, nei casi più gravi, anche dei provvedimenti di tipo penale (come da sentenza della Cassazione n. 4331 del 30 gennaio 2014).

Le sanzioni prevedono come minimo multe da 154,00 a 1.549,00 euro o l’arresto da 15 giorni a un anno (salvo che il fatto non costituisca reato), ma in alcuni casi possono essere anche superiori a tali importi.

Possono scattare le sanzioni, inoltre, anche qualora vengano installate telecamere finte non autorizzate, al solo scopo dissuasivo.

Vuoi sapere cosa fare per ottenere l’autorizzazione per la videosorveglianza della tua azienda? Scopri il nostro servizio di consulenza sulla privacy e richiedi oggi stesso il nostro supporto!