138/24, la Cybersecurity nazionale: arriva il Decreto di adeguamento alle regole europee

138/24, la Cybersecurity diventa nazionale, difatti con il DECRETO LEGISLATIVO 4 settembre 2024, n. 138 il Governo recepisce la direttiva (UE) 2022/2555 che contiene le misure per garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Il Decreto in vigore dal 16 ottobre 2024, come abbiamo visto era previsto già nella Legge di Delegazione Europea 2023 per adeguare la normativa interna alla direttiva (UE) 2022/2555, volta ad aumentare la resilienza di soggetti pubblici e privati operanti nell’Unione Europea alle minacce nell’ambito cibernetico (vedi qui tutti i punti della Direttiva 2022/2555 recepita).

Cosa prevede il Decreto e in che modo si intende assicurare la sicurezza cibernetica interna coerentemente con quanto previsto a livello europeo?

All'interno dell'articolo avremo modo di analizzare i seguenti punti:

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138/24 contiene 44 articoli e quattro allegati: nei sei Capi che lo compongono delinea diverse questioni afferenti alla cybersecurity fra le quali:

  • Il Quadro nazionale di sicurezza informatica;
  • Cooperazione a livello dell’Unione europea e internazionale;
  • Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente;
  • Monitoraggio, vigilanza ed esecuzione.

Cybersecurity: le misure principali del D.Lgs. n.138/24

Segnaliamo in particolare nel decreto

  • Art.7 – L’obbligo dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del Decreto di registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale;
  • Art.8 – il riferimento al trattamento dei dati personali conformemente al decreto legislativo 30 giugno 2003, n. 196 e al regolamento (UE) 2016/679;
  • Art. 24 e 25 dettagliano rispettivamente gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e le notifiche di incidente, oltre che volontaria (art.26)
  • Art.29, le regole per la “Banca dei dati di registrazione dei nomi di dominio”;
  • Art.33 – la norma di collegamento con la disciplina del D.Lgs. n.105/2019 per il “Coordinamento con la disciplina del perimetro di sicurezza nazionale cibernetica”;
  • Art-34-39 sul ruolo di monitoraggio svolto dall’Autorità nazionale  competente  NIS  che  valuta  il rispetto da parte dei soggetti essenziali e dei  soggetti  importanti degli obblighi previsti dall’articolo 7 e  dal  capo  IV (artt. 23 e 33)

A chi si applica il Decreto sulla Cybersicurezza nazionale?

Il decreto ed i principi UE che esso porta con sé riguardano (art.3) i soggetti pubblici e privati delle tipologie di cui agli allegati

  • Allegati I, II, soggetti che superano i massimali per le piccole imprese nei settori ritenuti, rispettivamente, altamente critici e critici
  • Allegati III e IV: le categorie di pubbliche amministrazioni

Il decreto si applica anche, indipendentemente dalle dimensioni

  • ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo, che recepisce la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • ai prestatori di servizi fiduciari;
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • ai fornitori di servizi di registrazione dei nomi di dominio;
  •  alle pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III.

Si veda tutte le categorie nel dettaglio dell’articolo 3 del Decreto.

Come garantire un elevato livello di Cibersicurezza

Il D.Lgs. n.138/24 prevede alcuni strumenti volti ad aumentare il livello elevato di sicurezza informatica del paese, ovvero:

  • la Strategia nazionale di cybersicurezza;
  • l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
  • la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità competente NIS (Nucleo per la cybersicurezza) e punti di contatto unico e Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia); inoltre, l’Agenzia dovrebbe ricoprire funzioni di coordinatore delle Autorità nazionali di gestione delle crisi informatiche su vasta scala;
  • l’individuazione di Autorità di settore NIS che collaborano con l’Agenzia per la cybersicurezza nazionale.

Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica

Il Decreto 138/24, richiede l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che i soggetti essenziali utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Queste misure dovranno

  • assicurare un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
  • essere proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.

Nel decreto 138/24, si fa riferimento ad un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti.

Nel valutare quali misure di siano adeguate, i soggetti devono tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

Inoltre devono tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

Obblighi in materia di notifica di incidente

Nell’articolo 25 del decreto 138/24, si riporta che i soggetti essenziali e impostanti a cui si applica il Regolamento dovranno notificare senza ingiustificato ritardo, al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32.

Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente, ma la notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.

Quando un incidente è considerato “Significativo”?

In base al Decreto (art.25 comma 4) un incidente è considerato significativo se:

a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;

b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Nell’articolo si fa riferimento ad una “pre-notifica” nel caso i soggetti essenziali o importanti vengano a conoscenza dell’incidente significativo che possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero.

Ai fini della notifica dell’incidente, i soggetti devono trasmettere al CSIRT Italia, fra l’altro, anche una relazione finale entro un mese dalla trasmissione della notifica dell’incidente che descriva l’incidente ed il tipo di minaccia, la causa e l’impatto transforntaliero,

Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente significativo, all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

La Timeline per il recepimento della Direttiva NIS2


La Timeline per recepimento della NIS2 è pronto, è stato appena pubblicato in Gazzetta Ufficiale l’attesissimo decreto di recepimento in Italia della Direttiva NIS2, il quale stabilisce misure volte a garantire un livello elevato di cybersicurezza in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Nonostante gli inutili allarmismi che – purtroppo da più parti – si sono sollevati in questi ultimi mesi, occorre chiedersi quali siano realmente gli obblighi a cui gli attori privati e pubblici dovranno adempiere e soprattutto la vera timeline e quali i relativi termini.

Negli ultimi mesi è stato spesso veicolato ad aziende e pubbliche amministrazioni il messaggio fuorviante dell’imminente obbligo di implementare – in alcuni casi, addirittura entro il 17 ottobre 2024 – la Direttiva NIS2 e tutti i suoi onerosi e complessi adempimenti. La realtà dei fatti, tuttavia, è completamente differente.

Infatti, al fine di rendere operativi molti degli obblighi che avranno un impatto diretto sulle aziende e sulle pubbliche amministrazioni – come quello di notifica degli incidenti o di implementazione delle misure di sicurezza – il decreto di recepimento della Direttiva NIS2 richiede l’emanazione di ulteriori e successivi atti normativi. Ad esempio, soltanto entro 6 mesi dall’entrata in vigore del decreto appena emanato potremo conoscere i dettagli degli obblighi rivolti agli organi di amministrazione e a quelli direttivi, così come quelli in materia di misure di sicurezza cibernetica e di notifica degli incidenti. Addirittura, alcuni specifici adempimenti non verranno definiti prima di 18 mesi dall’entrata in vigore del decreto.

Alla luce di ciò, è opportuno sintetizzare una timeline con i principali adempimenti derivanti dal decreto, ordinandoli per data.

  • entro il 31 dicembre 2024, aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato;
  • tra il 1° gennaio e il 28 febbraio 2025, i soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa.
  • entro il 17 gennaio 2025, dovrannoregistrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
  • entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
  • tra il 1° aprile 2025 e il 15 aprile 2025, attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elencodei soggetti essenziali o importanti;
  • entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto;
  • tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.

Chiusa questa fase preliminare, le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel decreto. A tal proposito, a titolo esemplificativo:

  • a partire dal 1° gennaio 2026, si dovrà adempiere all’obbligo di notifica degli incidenti;
  • entro il 1° ottobre 2026, si dovrà adempiere:
    • agli obblighi degli organi di amministrazione e direttivi;
    • agli obblighi in materia di misure di sicurezza;
    • all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.

Stefano Mele e Flavia Bavetta ci spiegano la timeline della NIS2 con questo articolo

Supply chain e Nis2, cosa cambia nel rapporto con i fornitori

Supply Chain, la direttiva Nis2 introduce nuove regole per la sicurezza della supply chain delle infrastrutture critiche o importanti, con conseguenti impatti sulla gestione dei rapporti con i fornitori: ecco quali

a Direttiva Nis2 dell’Unione Europea, in arrivo nell’ottobre 2024, stabilisce nuove regole riguardanti la sicurezza delle supply chain delle infrastrutture ritenute critiche o importanti. Si apre una nuova era per queste organizzazioni e i loro rapporti con i fornitori.

Indice degli argomenti:

  1. Supply chain e Nis2, lo scenario
  2. Impatto degli attacchi cyber alla supply chain
  3. Supply chain e Nis2, cosa cambia
  4. Sanzioni
  5. Supply chain e Nis2, consigli per prepararsi

Supply chain e Nis2, lo scenario

Entro il 2024, è imperativo che la sicurezza della supply chain venga elevata a priorità. Vi è un consenso tra gli enti governativi e gli specialisti del settore sulla necessità di dedicare un’attenzione maggiore alla supply chain. È essenziale che le organizzazioni comprendano appieno le conseguenze negative di eventuali vulnerabilità nella sicurezza della supply chain e sviluppino strategie efficaci per migliorarne la protezione. Inoltre, è fondamentale garantire una diffusa consapevolezza dei rischi associati, in particolare per quanto riguarda le infrastrutture critiche o importanti.

Si ritiene che, secondo quanto affermato recentemente da Mark Ostrowski – Responsabile dell’Ingegneria per gli Stati Uniti, zona est, di Check Point – nel 2024 assisteremo ad attacchi di elevata sofisticatezza e impatto scaturiti dall’impiego dell’Intelligenza artificiale (IA) e dal Machine Learning (ML) in grado di causare violazioni dei dati su larga scala. Basti ricordare quanto accaduto lo scorso giugno 2023 con l’attacco alla supply chain del software MOVEit che ha colpito oltre 130 organizzazioni in tutto il mondo, tra cui Shell, Siemens Energy, Schneider Electric, UCLA, Sony, EY, Aer Lingus, PwC, Cognizant e AbbVie, nonché gli studi legali Kirkland & Ellis e K&L Gates. Inoltre, gli esperti del settore ritengono che ci troveremo a gestire cybercriminali che utilizzeranno sempre più vulnerabilità zero-day e tecniche di phishing per orchestrare attacchi sofisticati alla supply chain.

Impatto degli attacchi cyber alla supply chain

Come già menzionato, l’impatto degli attacchi alla supply chain può essere vasto e avere conseguenze significative. In particolare, la compromissione delle infrastrutture critiche può impedire ai cittadini di una nazione di lavorare, frequentare istituzioni educative o accedere alle risorse necessarie per la sopravvivenza.

L’attacco al Colonial Pipeline del 2021 – che ha causato un panico diffuso riguardante le risorse energetiche e messo a rischio aziende e individui – è diventato un esempio emblematico degli attacchi alle infrastrutture critiche e delle relative conseguenze sulla supply chain, evidenziando l’urgenza di affrontarne proattivamente la sicurezza.
Inoltre, gli attacchi che compromettono le infrastrutture critiche costituiscono una minaccia diretta alla sicurezza nazionale, rendendo una nazione suscettibile a un vasto spettro di aggressioni, sia nel dominio cibernetico sia in quello fisico.

Supply chain e Nis2, cosa cambia

La NIS2, all’interno dell’Unione Europea, prevede specifiche normative concernenti la sicurezza della supply chain. Di fatto, la Nis2 è stata progettata principalmente per proteggere le infrastrutture critiche e, nel medio e lungo termine, si ritiene interesserà tutte le aziende che operano in Europa. Inizialmente, però, si applicherà principalmente agli operatori di infrastrutture critiche (essenziali), e organizzazioni vitali (importanti) per il corretto funzionamento dei sistemi economico, legale e sanitario. Di seguito la definizione delle organizzazioni oggetto delle NIS2 e, precisamente:

  1. Infrastrutture essenziali – Si identificano in grandi imprese attive nei settori dell’energia, dei trasporti, bancario, finanziario, sanitario, della gestione delle acque (sia potabili che reflue), delle infrastrutture digitali, della fornitura di servizi ICT in ambito business-to-business (B2B), aerospaziale e della pubblica amministrazione.
  2. Infrastrutture importanti – Si articolano in sette categorie principali: servizi postali e di corriere, gestione dei rifiuti, settore chimico, industria alimentare, settore manifatturiero, servizi digitali e istituti di ricerca.

Entro ottobre 2024, tutti gli Stati membri dell’Unione Europea dovranno aver recepito i requisiti della Direttiva Nis2 nel loro ordinamento giuridico nazionale, obbligando le organizzazioni interessate a adottare adeguate misure di sicurezza da tale data in poi. Va considerato che l’implementazione di progetti per il rafforzamento della cybersecurity può richiedere tempi significativi, spesso prolungandosi per anni. Attualmente, numerose organizzazioni non sono dotate di un adeguato sistema di gestione della cybersecurity, non raccolgono dati critici per gli indicatori di performance né effettuano audit di sicurezza. Aspetti che assumeranno sempre più un’importanza cruciale in futuro. Pertanto, si raccomanda alle organizzazioni interessate di iniziare immediatamente a prendere seriamente in considerazione l’allineamento ai requisiti della Nis2.

Va enfatizzato, inoltre, che le organizzazioni che trascurano di conformarsi ai dettami della Nis2 rischiano di compromettere le proprie relazioni commerciali. La Direttiva Nis2 sottolinea, infatti, che le misure di sicurezza devono essere estese non solo all’entità stessa, ma anche ai suoi fornitori e subappaltatori che giocano un ruolo essenziale nel garantire l’operatività e la resilienza dell’azienda.

Di conseguenza, qualora un fornitore presenti lacune significative che influenzano la supply chain, l’ente soggetto alla Nis2 sarà costretto a sostituirlo per preservare la sua resilienza operativa.

Inoltre, molte aziende decideranno di interrompere le relazioni con quei fornitori che non dimostrano di poter garantire un adeguato livello di protezione contro gli attacchi informatici.

È doveroso evidenziare che la Direttiva Nis2 estende la sua applicabilità a un numero considerevolmente maggiore di aziende rispetto alle disposizioni attualmente in vigore con la Nis, oltre ad un cambiamento significativo anche per quanto riguarda le dimensioni delle imprese coinvolte, includendo medie e grandi aziende che impiegano 50 o più lavoratori o che registrano un fatturato di almeno 10 milioni di euro, senza distinzione basata sulle prestazioni o sulla struttura organizzativa.

Sanzioni

Il mancato rispetto delle direttive e degli obblighi di segnalazione imposti dalla Direttiva NIS2 comporta l’applicazione di rigide sanzioni. Le aziende che non si adeguano alle disposizioni possono incorrere in multe che possono raggiungere i 10 milioni di euro o il 2% del fatturato globale. Questa misura evidenzia l’alto grado di importanza che l’Unione Europea assegna alla cybersecurity, paragonabile a quella riservata alla tutela dei dati personali.

La Direttiva NIS2, pur introducendo rigide sanzioni e ampliando i requisiti di conformità, rappresenta un notevole passo avanti. Infatti, obbligando le organizzazioni a integrare la cybersecurity nelle strategie operative, consente di mitigare efficacemente le minacce provenienti dal cyberspazio. In prospettiva, questo approccio, non solo rafforza la sicurezza digitale, ma offre anche alle organizzazioni l’opportunità di beneficiare a lungo termine di un ecosistema digitale più protetto e resiliente.

Come garantire la resilienza aziendale

La Direttiva Nis2 supera la mera aspirazione alla prevenzione degli attacchi informatici, un traguardo che si rivela progressivamente utopico di fronte all’aumento degli attacchi e all’evoluzione della sofisticatezza dei cybercriminali. L’essenza della Nis2 risiede nel potenziamento della resilienza aziendale; ciò significa che le organizzazioni devono essere preparate, non solo a resistere agli assalti informatici, ma anche a ripristinare celermente le proprie funzioni, minimizzando gli impatti degli attacchi. In sostanza, l’obiettivo è garantire che gli attacchi informatici, anche quando riescono a penetrare le difese, non abbiano la capacità di compromettere in modo significativo le attività aziendali o governative sul lungo termine. Pertanto, se un’organizzazione si dimostra incapace di offrire tali garanzie, si troverà inevitabilmente esclusa dalla supply chain.

Ne consegue che il top management dovrà riflettere su tre questioni fondamentali, ovvero:

  1. Quando avverrà il prossimo attacco informatico.
  2. Quanto l’organizzazione è sufficientemente resistente e resiliente da poter continuare a operare.
  3. Quanto l’organizzazione sia adeguatamente preparata ad affrontare gli attacchi informatici.

Si tratta, di fatto, di anticipare l’imprevedibile certezza del rischio cyber e strutturarsi adeguatamente

Supply chain e Nis2, consigli per prepararsi

Le organizzazioni interessate, per essere conformi alla Direttiva Nis2, dovranno essere in grado di adottare una risposta proattiva che implica l’adozione di un approccio strutturato e, soprattutto, uno sforzo di preparazione continuo per assicurare che gli attacchi informatici non incidano gravemente sull’operatività aziendale. A tal fine, è essenziale che tali organizzazioni valutino attentamente almeno i seguenti aspetti:

  1. Identificazione degli asset e delle risorse aziendali, comprensione della proprietà, valutazione dei rischi associati e identificazione delle vulnerabilità.
  2. Identificazione dei potenziali bersagli degli hacker all’interno dell’azienda.
  3. Implementazione di sistemi di Identity & Access Management.
  4. Definizione delle modalità e dei luoghi di archiviazione dei dati, nonché delle persone autorizzate al loro utilizzo.
  5. Restrizione dell’accesso agli utenti ai soli dati necessari, con la conservazione di tutti gli altri dati in ambienti protetti.
  6. Valutazione critica dell’opportunità di migrare le informazioni aziendali sul cloud.
  7. Definizione delle procedure e piani di Emergency, Disaster Recovery, Business Continuity Crisis Management, Crisis Communication (che devono sempre essere testati, esercitati e aggiornati) da attuare in caso di attacco informatico 24 ore su 24, 7 giorni su 7.
  8. Analisi dettagliata degli incidenti di sicurezza.
  9. Identificazione di partner in grado di fornire supporto tempestivo in situazioni di emergenza.
  10. Esplorazione di collaborazioni con altre aziende per soddisfare collettivamente i requisiti imposti dalla direttiva.

A fronte di quanto sopra, è quanto mai fondamentale valutare con celerità il livello di maturità informatica di un’organizzazione e procedere alla pianificazione delle strategie di sicurezza e delle capacità di risposta in modo da garantirne una protezione efficace contro gli attacchi informatici e facilitare le lessons learned scaturite da eventuali incidenti pregressi. Ovvero, nell’implementare la Direttiva Nis2, si tratta di adottare un approccio risk-based e resilience-based per garantire la necessaria cyber resilience della supply chain quale intersezione dei principi di Risk Management, Business Continuity e Cybersecurity.

NIS, avrebbe potuto prevenire gli incidenti nell'ultimo anno.

NIS e NIS2, spesso l'UE viene criticata per le tante norme e regole che impone. In alcuni casi, infatti, aziende e intere industrie hanno puntato il dito contro i tanti lacci e laccetti che imbrigliano le imprese, rischiando di porre un freno all'innovazione. Per esempio, è quello che sta accadendo recentemente con l'UE AI Act, contestato dai big del settore (in particolare statunitensi, ma non solo) in quanto considerato troppo limitante per chi sviluppa sistemi di IA. 

Altri regolamenti, però, sono considerati di estrema importanza per il settore di riferimento, come nel caso di NIS 2, un framework di sicurezza progettato per garantire che le aziende che operino in settori critici abbiamo un livello minimo di sicurezza certificato. Secondo un'indagine di Veeam, se già le imprese fosse conformi a NIS 2  lo scorso anno sarebbe stato possibile evitare alcuni incidenti informatici, 

Cosa è NIS 2?

NIS 2 è un set di regole mirato ad assicurare un livello minimo di sicurezza nella aziende che operano in settori critici. NIS 2 non si applica a tutte le imprese, ma solamente quelle sopra una certa dimensione attive in settori specifici: sanità, manifattura, farmaceutico, food & beverage, finanza, Pubblica Amministrazione e via dicendo. E avrà un impatto anche sui fornitori, anche se non direttamente specificati dalla norma. Le aziende che infatti si affidano a questi, dovranno garantire che anche i propri fornitori aderiscano a specifici standard di sicurezza. Sarà in vigore a partire dal 18 ottobre.

Le aziende saranno pronte? Come al solito, no, non tutte per lo meno. Secondo un'indagine svolta da Veeam, infatti, nonostante quasi l'80% delle aziende sia fiducioso nella propria capacità di adeguarsi alle linee guida NIS2, fino a due terzi dichiara che non riuscirà a rispettare questa scadenza. Non è l'unico dato che emerge: secondo l'analisi, solo il 43% dei decision-makers IT dell’area EMEA ritiene che la NIS2 migliorerà significativamente la sicurezza informatica dell'UE, nonostante uno schiacciante 90% abbia segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi. È allarmante notare che il 44% degli intervistati ha subito più di tre incidenti informatici e il 65% di questi è stato classificato come “altamente critico”.

veeam NIS 2

Insomma: ancora oggi, nonostante i dati ci dicano che a livello globale gli attacchi informatici sono sempre più frequenti e impattanti, sono ancora presenti tante aziende che sopravvalutano la loro capacità di reagire a un incidente informatico.

le difficoltà per le aziende durante il processo di adeguamento

Secondo l'analisi di Veeam, condotta su un campione di 500 decision maker in Belgio, Francia, Germania, Paesi Bassi e Regno Unito, le principali sfide includono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l'insufficienza di budget/investimenti (21%). 

Sicuramente la leadership ha le sue responsabilità: NIS 2 non arriva come un fulmine a ciel sereno. Se ne parla da anni, e la sua entrata in vigore era nota da molto tempo. Nonostante questo, molte realtà hanno preferito prendersela con comodo.  Addirittura il 40% degli intervistati ha riferito di aver diminuito i budget IT da quando è stato proclamato l'accordo politico per il NIS2 nel gennaio del 2023. Un atteggiamento decisamente miope, considerati non solo i rischi informatici, ma anche le multe per chi non si adegua, che possono essere molto salate. 

C'è anche un certo scetticismo da parte di numerose imprese: Il 74% degli intervistati ritiene che la NIS2 sia vantaggiosa, ma il 57% dubita che avrà un impatto sostanziale sulla posizione complessiva dell'UE in materia di sicurezza informatica. La sfiducia non è l'unico problema: pesano le tempistiche ristrette (19%), la carenza di competenze specifiche (19%), i silos organizzativi (19%).

Come prevedibile, insomma, in tanti sono arrivati in ritardo all'appuntamento, nonostante le scadenze fossero note da tempo. Un problema dovuto sì alla carenza di budget e competenze interne, ma anche da una consapevolezza ancora bassa sui rischi informatici.

"La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione", afferma Andre Troskie, EMEA Field CISO di Veeam. "Sebbene molte aziende riconoscano l'importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell'indagine evidenziano problemi sistemici significativi. La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l'urgenza. Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell'organizzazione e proteggere i dati critici”.

Security Awareness (Cyber)

Security Awareness è la consapevolezza dei dipendenti aziendali di tutte le possibili minacce e rischi nell'ambito della sicurezza delle informazioni, della sicurezza informatica e della privacy. Si tratta di comprendere le potenziali conseguenze di comportamenti non sicuri e irresponsabili nell'ambiente digitale e fisico. Vuol dire adottare misure proattive per garantire la sicurezza dei dati e prevenire gli incidenti.

Un programma di sensibilizzazione alla sicurezza solido e ben congegnato è sempre più importante per le organizzazioni, indipendentemente dalle dimensioni o dal settore. In un'epoca in cui le minacce informatiche cambiano continuamente e diventano sempre più sofisticate, è essenziale che i dipendenti siano consapevoli dei pericoli e dei rischi per la sicurezza. È importante che sappiano come riconoscere e affrontare potenziali incidenti e minacce informatiche. Attraverso la nostra piattaforma di apprendimento della Security Awareness, disponibile in nove lingue, puoi formare i tuoi dipendenti contro le minacce digitali.

Attivare un programma di sensibilizzazione alla sicurezza informatica aziendale

Maggiore sicurezza digitale

Rendendo i dipendenti consapevoli dei potenziali rischi, le aziende possono migliorare la sicurezza dei loro sistemi e dei loro dati. I dipendenti vengono addestrati a riconoscere le e-mail di phishing, utilizzare password forti, segnalare attività sospette e seguire le procedure corrette per prevenire le violazioni dei dati.

Rischi di attacchi alla cyber security ridotti

La mancanza di consapevolezza in materia di sicurezza può portare errori e omissioni non intenzionali che possono causare incidenti di sicurezza. Rendendo i dipendenti consapevoli delle potenziali conseguenze delle loro azioni, le aziende possono ridurre significativamente il rischio di violazioni di dati, attacchi ransomware e altre minacce.

Protezione della reputazione aziendale

Un attacco di sicurezza riuscito può portare non solo a perdite finanziarie, ma anche a gravi danni alla reputazione. Investendo in un solido programma di sensibilizzazione alla sicurezza, le aziende dimostrano di prendere sul serio la protezione dei dati e di meritare la fiducia dei propri clienti.

Sviluppare una cultura della sicurezza

La Security Awareness va oltre la semplice formazione dei dipendenti, crea una cultura della sicurezza in cui tutti nell'organizzazione fanno la loro parte. I dipendenti imparano non solo ad assumersi la responsabilità di proteggere i dati ma sono anche incoraggiati a essere proattivi nello scoprire e segnalare le minacce digitali.

Svantaggi di una mancanta consapevolezza della sicurezza

Violazioni dei dati

La mancanza di consapevolezza della sicurezza può portare alla divulgazione involontaria di dati sensibili (aziendali/personali). Questo accade, ad esempio, quando i dipendenti inviano accidentalmente informazioni riservate alla persona sbagliata o diventano vittime di attacchi di phishing e condividono inconsapevolmente i propri dati di accesso con i criminali informatici.

Perdite finanziarie

Gli incidenti di sicurezza possono avere conseguenze finanziarie significative per le organizzazioni. Si va dal ripristino dei sistemi dopo un attacco ransomware al pagamento di multe per la mancata conformità alle norme sulla privacy.

Danni alla reputazione

Quando un'organizzazione subisce un incidente di sicurezza può causare una perdita di fiducia da parte di clienti o partner. Riparare una reputazione danneggiata può richiedere molto tempo e potrebbe non essere sempre del tutto possibile.

Implicazioni legali

La mancanza di consapevolezza della sicurezza può portare i dipendenti o le organizzazioni a violare involontariamente la legislazione. La mancata osservanza delle leggi e dei regolamenti sulla protezione dei dati può avere conseguenze legali, come multe e procedimenti giudiziari.

Importanza e consapevolezza della sicurezza sul posto di lavoro

La security Awareness è fondamentale per le organizzazioni nell'era digitale. Investendo in un solido programma di Security Awareness, le organizzazioni possono proteggere i propri dati, ridurre i rischi e promuovere una cultura della sicurezza.

Rendi la tua organizzazione meno vulnerabile alle minacce informatiche. Assicurati di avere un personale ben informato e consapevole che prenda sul serio la protezione delle informazioni (sensibili).

 

ISO/IEC 27001

ISO/IEC 27001 è una certificazione di Sicurezza (Sicurezza delle informazioni, cybersecurity e protezione della privacy); la Direttiva NIS2 fa riferimento specifico a tale standard. Sebbene la ISO/IEC 27001 e la Direttiva NIS2 abbiano scopi diversi, si completano a vicenda in modo efficace. ISO 22301, invece, copre aspetti della gestione della continuità operativa (BCM, Business Continuity Management), il che rafforza ulteriormente l'approccio completo all'implementazione della NIS2.

In primo luogo, è importante notare che il nome completo della ISO 27001 è "ISO/IEC 27001 - Tecnologia dell'informazione - Tecniche per la sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti".

È la principale norma internazionale incentrata sulla sicurezza delle informazioni, pubblicata dall’International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppano norme internazionali.

La ISO-27001 fa parte di una serie di norme sviluppate per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000.

L’impianto ISO e lo scopo della ISO 27001

L’impianto ISO è una combinazione di politiche e processi da utilizzare per le organizzazioni. La ISO 27001 fornisce un impianto per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).

ISO 27001 e GDPR

ISO/IEC 27001 è un punto di partenza per raggiungere i requisiti tecnici e operativi richiesti dal Regolamento generale sulla protezione dei dati (GDPR, anche conosciuto come RGPD) per prevenire una violazione dei dati. Infatti, il Regolamento afferma che le imprese devono adottare politiche, procedure e processi appropriati per proteggere i dati personali in loro possesso.

Nello specifico, un’azienda che ha implementato lo Standard ha già fatto almeno la metà del lavoro richiesto per raggiungere la piena conformità al GDPR, minimizzando il rischio di violazione dei dati.

Il GDPR offre indicazioni su come evitare una violazione dei dati?

L’articolo 32 dichiara che sono necessarie misure tecniche per proteggere i dati e richiede specificatamente alle imprese, a seconda dei casi, di:

  • Adottare misure per la pseudonimizzazione e cifratura dei dati personali;
  • Garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
  • Ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico;
  • Implementare un processo per testare e valutare ad intervalli regolari l’efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.

Inoltre, l’articolo 32 prevede che i rischi derivanti “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale o illegale a dati personali” siano identificati e mitigati.

Sebbene fornisca esempi di misure e controlli di sicurezza, l’articolo non fornisce indicazioni dettagliate su cosa si dovrebbe fare per evitare una violazione dei dati.

Nonostante ciò, il GDPR invita le aziende ad adottare le migliori pratiche e raccomandazioni esistenti in materia, come lo standard ISO 27001.

Come ISO 27001 può aiutarti a rispettare il GDPR

ISO 27001 è uno standard di gestione internazionale che fornisce un quadro comprovato per la gestione della sicurezza delle informazioni. Utilizza un insieme integrato di politiche, procedure, documenti e tecnologie raccomandate sotto forma di un Sistema di gestione della sicurezza delle informazioni (ISMS, conosciuto anche come SGSI in italiano).

NIS 2

NIS 2, non è solo una necessità legale, la conformità alla Direttiva NIS 2 rappresenta un’opportunità per ogni azienda di migliorare la sua sicurezza, efficienza operativa e reputazione. In che modo un consulente guida le aziende attraverso questo processo.

L’evoluzione tecnologica – con particolare riferimento agli strumenti di intelligenza artificiale, ma anche alla connessione costante di tutti i device privati e professionali nonché alla modalità di lavoro agile (smart working) sdoganata durante l’emergenza pandemica – implica un cyber risk sempre più elevato. In questo quadro si inserisce la Direttiva (UE) 2022/2555, meglio nota come Direttiva NIS 2 (Network and Information Security Directive), che – pubblicata in Gazzetta Ufficiale dell’Ue il 27 dicembre 2022 ed entrata in vigore il 17 gennaio 2023 – costituisce un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali.

Di fatto, è stata proprio una rilevante accelerazione del rischio di cybersecurity che ha indotto l’Europa a rivedere in modo profondo la precedente Direttiva NIS 2016/1148, emanando la NIS 2. Compiendo un indispensabile passo in avanti nel campo della resilienza digitale e della gestione delle minacce informatiche. Un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali; un quadro normativo volto a rafforzare la cyberscurity all’interno dell’Ue, con particolare attenzione ai settori critici come energia (tra i temi più attuali c’è la vulnerabilità nel comparto Energy & Utilities), trasporti e servizi finanziari.

Le aziende, dunque, sono chiamate a conformarsi a diversi requisiti fondamentali entro il 18 ottobre 2024, adottando una serie di misure tecniche e organizzative adeguate non solo per proteggere i loro sistemi e dati informatici, ma anche per prevenire (o comunque minimizzare) gli impatti degli incidenti informatici. E per segnalare tempestivamente gli incidenti significativi alle autorità competenti.

Sanzioni per le imprese in caso di mancato adempimento

In particolare, le disposizioni normative della NIS 2 si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”. Soggetti che non operano esclusivamente nei comparti in origine previsti dalla Direttiva NIS (dal settore Energy & Utilities a quello dei trasporti alla sanità), ma forniscono anche una serie di servizi altrettanto critici (a titolo di esempio: quelli postali e dei corrieri; di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica. E ancora, dai servizi legali a quelli della grande distribuzione alimentare).

La Direttiva NIS 2 prevede che gli operatori inclusi nel suo campo di applicazione debbano approntare misure tecniche, operative e organizzative consone e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. E le aziende che non si allineano? Per loro i rischi sono molteplici e (potenzialmente) devastanti. In primis, la non conformità può determinare severe sanzioni legali dirette nei confronti di amministratori e finanziarie (sanzioni che possono incidere significativamente sul bilancio aziendale). Senza un sistema di monitoraggio delle normative e compliance adeguato, infatti, le aziende potrebbero non essere in grado di rilevare in modo tempestivo gli incidenti di sicurezza, con conseguenti danni alla reputazione e una riduzione della fiducia di clienti e partner.

Ulteriore, rilevante aspetto è che gli attacchi informatici possono causare interruzioni operative, con conseguenti perdite economiche e inefficienze. Con l’aumento delle cyberminacce, poi, le aziende non conformi diventano bersagli più facili per gli attaccanti. Infine, l’incapacità di predire e prevenire i guasti attraverso l’analisi dei dati e l’intelligenza artificiale può portare a interventi di manutenzione reattivi piuttosto che proattivi, incrementando i tempi di inattività e riducendo la disponibilità dei servizi. Non tralasciando il fatto che la mancanza di integrazione con i sistemi esistenti all’interno dell’azienda rischia di causare discontinuità nella gestione degli asset, complicando ulteriormente il processo di compliance e gestione del rischio.

Benefici della conformità alla NIS 2

Allinearsi alla Direttiva NIS 2 non solo evita i rischi potenziali, ma offre anche alle aziende una serie di vantaggi strategici e operativi. Certificando un impegno concreto nella protezione dei dati e dei sistemi e aumentando la fiducia di clienti, partner e investitori. Implementare le misure previste dalla NIS 2 – grazie a strumenti e soluzioni tecnologiche mirati –, equivale a rafforzare significativamente la protezione contro gli attacchi informatici, migliorando la resilienza dell’infrastruttura aziendale.

Tra i principali benefici raggiungibili c’è il monitoraggio in tempo reale degli asset aziendali IT (Information Technology), OT (Operational Technology) e IoT (Internet of Things), finalizzato a fornire una visibilità immediata sullo stato dei dispositivi e delle reti (la visibilità costituisce le basi della sicurezza, e offre alle organizzazioni gli strumenti per monitorare, analizzare e tutelare la loro infrastruttura digitale in modo efficiente). Ciò permette di rispondere velocemente ad eventuali problemi, automatizzando le remediation sugli asset aziendali, riducendo i tempi di inattività e migliorando l’efficienza operativa.

La conformità alla NIS 2 da parte delle aziende facilita poi l’adozione di misure avanzate – come la gestione di accessi e identità (IAM) e l’autenticazione a più fattori (MFA) –, che migliorano la sicurezza operativa e riducono i rischi di accessi non autorizzati. L’uso di strumenti specifici per questo contesto permette un’analisi degli eventi e predizione di guasti mediante l’intelligenza artificiale, a vantaggio di interventi preventivi e di una maggiore disponibilità dei servizi.

Inoltre, sarebbe semplificata l’automatizzazione sulla valutazione del rischio (Risk Management), riducendo il carico di lavoro e migliorando la precisione delle valutazioni. Senza dimenticare che, per un’azienda, essere conforme alla NIS 2 agevola anche l’adeguamento ad altre normative di sicurezza e standard internazionali, come l’IEC 62443 (lo standard internazionale per la cybersicurezza dei sistemi di controllo industriale) oppure il NERC CIP (il “Programma di protezione delle infrastrutture critiche della North American Electric Reliability Corporation”, costituito da una serie di requisiti internazionali mirati ad assicurare l’infrastruttura critica per il Bulk Electric System del Nord America).

Affrontare le sfide della cybersecurity

Le imprese sono dunque chiamate a ricoprire un ruolo attivo nella protezione dei propri sistemi informativi, per limitare il rischio di attacchi informatici e assicurare la continuità operativa aziendale. Grazie alla sua vasta esperienza e alla partnership con fornitori di soluzioni tecnologiche avanzate, la MBLI S.a.s. è in grado di assistere le aziende nel percorso di conformità alla Direttiva NIS 2, effettuando – attraverso strumenti automatizzati per il risk scoring delle reti OT – una valutazione completa dei rischi e della conformità Cyber Security. La business unit volta a fornire ai propri clienti e partner una serie di attività e soluzioni che permettano di elevare il livello di sicurezza delle loro infrastrutture, collabora con i fornitori leader per implementare soluzioni di monitoraggio continuo, gestione delle anomalie e segmentazione IT/OT.

MBLI S.a.s. offre soluzioni e consulenza per migliorare la consapevolezza sull’utilizzo dei sistemi informatici all’interno delle organizzazioni (security awareness) e le pratiche da seguire per ridurre al minimo i rischi di cybersecurity. Fornisce supporto costante per il mantenimento della conformità, inclusa la gestione degli accessi ai dati e la loro protezione attraverso crittografia. Un esempio concreto delle soluzioni offerte da Sielte comprende l’adozione di strumenti per il monitoraggio continuativo delle infrastrutture e la rilevazione di cyberminacce industriali, come i sistemi di controllo centrale e i collettori intelligenti per reti industriali distribuite.

Strumenti, questi, che non solo facilitano la conformità alla NIS 2 e ad altri standard di sicurezza, ma offrono anche la possibilità di remediation automatica dell’IT, permettendo di identificare e risolvere rapidamente le minacce. Naturalmente, correlati a questo servizio, MBLI S.a.s. è in grado di erogare i suoi servizi gestiti in ambito cybersecurity e networking, forte delle competenze e partnership di primo livello che caratterizzano l’azienda.

Dominio, Riassegnazione Nomi

Dominio e la riassegnazione dei nomi, una Procedura che nasce per contrastare il fenomeno del Cybersquatting (accaparramento di nomi a dominio). 
Chi ritiene di aver diritto all'uso di un nome a dominio registrato da altri in malafede, può attivare una procedura per la riassegnazione del dominio in modo semplice, efficace ed economico.

Camera Arbitrale di Milano fornisce un servizio di riassegnazione dei nomi a dominio per l'estensione geografica .IT in quanto accreditata dal Registro del Country Code Top Level Domain .it (Registro del ccTLD "it").
Per le contestazioni riguardanti nomi a dominio aventi altre estensioni (per esempio .com) consulta il database dell'Organizzazione Mondiale Proprietà Intellettuale (OMPI-WIPO).

Scopri chi può attivare la procedura e per quali tipi di controversie.

La MBLI S.a.s. ha trovato per voi questo splendito articolo scritto da Luca Giacopuzzi (avv. del Foro di Verona), che spiega abbastanza semplicemente il fenome dell'accaparramento dei domini.


Articolo Integrale
***

Una parte, coinvolta in un conflitto che ha per oggetto un nome a dominio, ha diverse soluzioni per comporre la lite. La prima, quella più “familiare” ad un giurista, è l’instaurazione di un procedimento giudiziale ordinario. Ma questa, forse, non è l’opzione migliore tra le diverse possibilità che si hanno a disposizione.

Da una lettura complessiva delle decisioni italiane, infatti, si ha la sensazione di trovarsi di fronte ad una giurisprudenza “ondivaga”, di talchè, pur a fronte di identiche situazioni, possono in certi casi ottenersi giudizi discordanti.

Ed allora un soggetto che desideri promuovere una vertenza su un nome a dominio può “guardarsi attorno”, ossia può non rivolgere lo sguardo unicamente verso il Tribunale, perché ci sono dei metodi di risoluzione delle controversie alternativi rispetto alla composizione giudiziale delle liti. Essi sono essenzialmente due: il giudizio arbitrale e la procedura di riassegnazione.

Non mi soffermo sul primo, che – rilevo per inciso – nella realtà concreta dei fatti si è rivelato uno strumento assolutamente insoddisfacente e vado invece ad analizzare la procedura di riassegnazione, la quale è una procedura molto snella e rapida, che – a circa 2 anni dalla sua entrata in vigore – si è messa in luce quale rimedio davvero efficace per combattere il fenomeno del domain grabbing.

Essa ha come scopo esclusivo la verifica del titolo all’uso od alla disponibilità del nome a dominio e l’indagine sulla malafede del registrante: ogni altro tipo di accertamento dovrà essere devoluto ad un giudice od ad un arbitro.

Si tratta, pertanto, di un procedimento speciale col quale si può ottenere solo un provvedimento specifico: la rassegnazione del DN.

La PDR viene gestita da apposite organizzazioni denominate “enti conduttori”, al cui interno operano alcuni professionisti – denominati, con termine piuttosto infelice, Saggi – che materialmente si fanno carico della decisione.

Attualmente gli enti conduttori sono 10 (l’elenco è localizzato in rete a questo URL: http://www.nic.it/NA/maps ), ma va detto che alcuni di essi non hanno ricevuto alcun incarico. In realtà, a voler tracciare un quadro obiettivo della situazione, si deve rilevare che la quasi totalità delle decisioni sono state affidate a 2 solamente: uno che ha sede a Roma, l’altro a Milano. Il primo è CRDD (ex E-Solv), il secondo si chiama Arbitronline.

Per poter chiedere la riassegnazione devono sussistere alcuni presupposti.

Anzitutto, il dominio che si assume essere stato registrato in malafede deve venire “contestato” nei confronti della Registration Authority. E’questo, infatti, il primo “step” che viene imposto a chi voglia intraprendere una PDR. Si tratta, per il vero, di un’azione preliminare molto semplice, che è compiutamente disciplinata dall’art. 14 Reg. Naming. Contestare, in buona sostanza, significa inviare una lettera. Ebbene sì: la contestazione del nome a dominio, infatti, consiste nell’invio di una lettera raccomandata A.R. – debitamente motivata – che il soggetto che assume aver ricevuto pregiudizio dall’assegnazione a terzi di un particolare dominio deve far pervenire alla RA.

La quale, ricevuta la lettera di contestazione, si limita ad aggiungere la annotazione “valore contestato/challenged value” nel RNA; tutto qui, non altro. Ciò però, a ben guardare, comporta conseguenze pratiche di non poco conto, poiché pone seri limiti alla circolazione del dominio, che non sarà più liberamente trasferibile a terzi da parte dell’assegnatario.

Come si ricorderà, per il diritto romano la res litigiosa veniva dichiarata fuori commercio; qualcosa di simile accade nel nostro caso, perché, per effetto della contestazione, il dominio contestato diventa trasferibile unicamente al soggetto che ha posto la contestazione stessa.

Una volta formalizzata la contestazione del DN, entro 6 mesi dovrà essere promossa la procedura di riassegnazione, che – come detto – può portare al trasferimento del nome a dominio che ne è oggetto. Trasferimento – si badi – che verrà disposto solo se venga fornita idonea prova della sussistenza di tutti e tre i presupposti di cui all’art. 16.6 delle Regole di Naming.

Deve, in altre parole, essere dimostrato che:

a) il nome a dominio è identico o tale da indurre confusione con un marchio su cui il ricorrente vanta diritti, o col proprio nome e cognome;

b) il resistente non ha alcun diritto o titolo in relazione al nome a dominio contestato;

c) il dominio è stato registrato e viene usato in mala fede.

Se il ricorrente prova che sussistono assieme le condizioni a) e c) di cui sopra ed il resistente non prova a sua volta di avere diritto o titolo in relazione al nome a dominio contestato, quest’ultimo viene trasferito al ricorrente.

Ciò posto, andiamo a vedere come si faccia in concreto a dar impulso alla presente procedura, avvertendo fin da subito che le modalità operative sono descritte – oltre che nelle Regole di Naming e nei Regolamenti interni predisposti da ciascun Ente Conduttore – anche da un corpo normativo denominato “Procedura di Riassegnazione”, al quale si farà spesso riferimento e che si trova liberamente consultabile in Rete al seguente indirizzo:

https://www.nic.it/NA/riassegnazione-curr.txt

Particolarmente importante l’art. 3 P.d.R, che individua il contenuto del reclamo, che dev’essere inviato dal ricorrente all’Ente prescelto sia in forma cartacea (in duplice copia) sia in formato elettronico. Viene precisato, al 2°comma, che esso può avere ad oggetto anche più nomi a dominio, purchè appartenenti al medesimo titolare.

La 1°parte del reclamo contiene “i dati essenziali” della procedura: si trovano, infatti, le generalità ed i recapiti delle parti.

Nella parte narrativa del reclamo devono invece essere indicati e provati i presupposti sostanziali della procedura la cui prova incombe al ricorrente (e cioè si tratta delle condizioni sub a) e c)). Vanno pertanto indicati i motivi per i quali il nome a dominio risulterebbe identico o confondibile col marchio o col nome e cognome del ricorrente ed i motivi per i quali il resistente avrebbe registrato ed userebbe il dominio in malafede.

In allegato al reclamo devono essere presentati i documenti che lo supportano ed in particolare deve essere fornita la prova della registrazione del segno distintivo o del marchio cui il reclamo si riferisce.

Unitamente al reclamo il ricorrente deve versare il corrispettivo stabilito (il quale varia per ogni Ente Conduttore, che ha facoltà di decidere il prezzo della procedura, col solo limite di non applicare tariffe inferiori a 400 euro). Le spese – è opportuno sottolinearlo – sono ad esclusivo carico del ricorrente, dato che in questa procedura esse non seguono la regola della soccombenza: il resistente, pertanto, non dovrà mai sopportare alcun costo.

Una volta che il reclamo è pervenuto all’Ente Conduttore, questo ne verifica la regolarità formale e, se l’operazione si conclude con esito positivo, procede all’invio del reclamo al resistente.

Il resistente ha così conoscenza del reclamo ed ha da tale momento 25 giorni di tempo per inviare all’Ente Conduttore un proprio scritto difensivo.

Nella replica (che, quanto alle “modalità di trasmissione”, soggiace ai medesimi obblighi già visti per l’invio del reclamo) il resistente deve confutare le affermazioni del ricorrente, evidenziando – in particolare – i motivi per i quali ritenga di avere titolo al mantenimento del dominio già assegnatogli.

Giova ricordare che il resistente non è tenuto ad inviare detta replica, in quanto ha una mera facoltà e non un obbligo di presentare una memoria a sostegno delle proprie ragioni.

“Se il resistente non invia alcuna replica – precisa, infatti, l’ultimo comma dell’art. 5 P.d.R. – il Collegio decide la controversia sulla base del solo reclamo”.

E molto spesso il resistente non presenta alcunché. Trovo, comunque, che sia sempre preferibile far pervenire uno scritto, per mettere il Saggio in condizione di decidere più serenamente. Ovviamente “est modus in rebus”, perché – all’opposto – ci sono irriducibili personaggi che fanno arrivare note difensive davvero bizzarre (giorgio-armani.com: il resistente, giapponese, sosteneva di aver diritto al nome a dominio, perché “giorgio-armani” era il nome… del suo cane!!).

Il Collegio viene formato dall’Ente Conduttore, in forma monocratica o collegiale a seconda della scelta effettuata dal ricorrente che dovrà limitarsi ad indicare il tipo del collegio decidente, senza poter nominare direttamente il Saggio (ciò è peraltro evidente: in caso contrario la parte che promuove la procedura potrebbe praticamente “scegliersi il giudice”. Ed infatti dato che l’elenco dei saggi è pubblico, come pubbliche sono anche le decisioni da costoro rese, sarebbe facile in linea teorica capire quale possa essere l’orientamento più favorevole ad uno specifico caso).

Il Collegio si ritiene costituito con l’accettazione dell’incarico, ricevuta dall’unico Saggio o dal terzo dei tre.

Le modalità di svolgimento della procedura sono stabilite liberamente dal Collegio, il quale deve tuttavia assicurare un trattamento imparziale alle parti, concedendo ad ognuna di esse un uguale diritto di difesa.

Un punto centrale – e che tuttavia non è stato preso in considerazione da parte della dottrina con l’attenzione che invece avrebbe meritato – riguarda l’ampiezza (ed i limiti) dei poteri istruttori del Saggio.

Ci si chiede, in altre parole, se il Saggio, nel decidere la lite, sia vincolato alle allegazioni della parti o possa invece formare il suo convincimento aliunde. La questione, all’evidenza, non è mera disputa accademica, ma problema concreto, pratico. Peraltro molto frequente, perché la parte (che non è tenuta ad avvalersi dell’assistenza di un professionista nella redazione del reclamo o della replica) spesso sorvola su aspetti che avrebbe invece dovuto illustrare compiutamente (per tutti: le ipotesi di malafede). Le regole che disciplinano la procedura sul punto tacciono. Va detto che certa dottrina riconosce al Collegio la possibilità di effettuare d’ufficio le indagini che quest’ultimo ritiene indispensabili per pervenire ad una corretta decisione. Sembra però preferibile – anche per non forzare la lettera delle regole – accogliere l’opposto orientamento e dunque ritenere che il Collegio debba assumere la propria decisione unicamente sulla base delle affermazioni rese dalle parti e dei documenti prodotti (cfr. art. 15 P.d.R).

Potrà il Saggio, eventualmente, richiedere a ciascuna delle parti ulteriori precisazioni e documenti (come previsto ex art. 12 P.d.R.). Anche in questo caso, tuttavia, la laconicità del disposto testè citato non chiarisce se il collegio debba limitarsi a prospettare genericamente ai soggetti in lite di argomentare più diffusamente le rispettive posizioni ovvero se abbia la possibilità di formulare specifici quesiti alle parti (es: se il resistente abbia “fatto incetta” di domini corrispondenti a marchi celebri). Per restare all’esempio fatto, è evidente che, così facendo, il Saggio ricaverebbe preziose informazioni in ordine alla malafede del resistente; e tuttavia non sembra possibile che il Collegio possa arrogarsi tali poteri.

Una caratteristica del procedimento collegiale è la sua celerità, per cui tutti i termini, salvo eccezioni, sono perentori e comportano per chi non li rispetta la decadenza dal potere di compiere quel determinato atto.

Entro 15 giorni dalla sua formazione (30 nel caso in cui siano stati chiesti alle parti chiarimenti) il Collegio rende nota la propria decisione all’Ente Conduttore, che a sua volta provvede, nei 4 giorni successivi, a comunicarla alle parti, alla RA ed al presidente della NA.

E’importante sottolineare che il Collegio può accogliere il ricorso solo nel senso di disporre il trasferimento del DN, mentre null’altro può essere disposto in positivo. Ed infatti nella PDR il ricorrente può solo chiedere il trasferimento del nome a dominio, non anche la cancellazione dello stesso. E’, a mio avviso, un limite della procedura in esame. Sul punto mi limito ad osservare che le “analoghe” procedure amministrative adottate dall’ICANN (le c.d. MAP, che hanno “ispirato” la nostra PDR) prevedono per il ricorrente la sopra evidenziata doppia possibilità (si parla, espressamente, di “transfer” come alternativa alla “cancellation”). E, a quanto mi risulta, in più occasioni il ricorrente opta proprio per la cancellazione (come avvenuto nel caso nokiagirls.com, dominio dal nome equivoco che la Nokia desiderava unicamente venisse “tolto dalla scena”, non essendo evidentemente interessata all’assegnazione dello stesso a proprio nome).

Da noi, come detto, non c’è sulla carta la possibilità della cancellazione del DN, ma un “escamotage” può permettere al ricorrente di ottenere al lato pratico lo stesso risultato. Mi spiego. E’noto infatti che la pronuncia che dispone la riassegnazione non effettua un vero e proprio trasferimento del nome a dominio (cfr. art. 14 Regole di Naming); la RA, ricevuta la decisione, revoca il DN ed invita il ricorrente ad inviare la LAR, per dare così inizio alla richiesta del dominio oggetto di decisione. In particolare, se la procedura per l’assegnazione non viene intrapresa entro 30 giorni il DN può essere nuovamente e liberamente assegnato a chiunque ne faccia richiesta.

Come si vede, se il ricorrente lo desidera può non dar seguito al trasferimento del nome a dominio, lasciando decorrere il periodo di 30 giorni senza attivarsi. Di fatto il dominio è stato cancellato.

Un’altra particolarità della decisione. Se il Saggio ritiene che il reclamo sia stato promosso in malafede (magari per screditare l’assegnatario del DN) nella decisione si fa menzione di tale fatto e questa parte della decisione viene sempre pubblicata, anche qualora la pronuncia non venga resa integralmente disponibile on line.

La ratio di questa previsione è, all’evidenza, quella di disincentivare il c.d. “riverse domain name hijacking”: fenomeno piuttosto diffuso per il quale i titolari di un marchio registrato – il più delle volte “celebre” – hanno tentato di approfittare della loro posizione privilegiata cercando di farsi assegnare un dominio già legittimamente registrato da un terzo, titolare, a sua volta, di un concorrente diritto sul dominio stesso (es.: se Giorgio Armani promuovesse una PDR per armani.it, registrato dall’omonimo timbrificio di Treviglio (BG)). (vedasi, per riferimenti concreti, le decisioni cimone.it, dvditalia.it).

Ricostruito così, nei suoi momenti essenziali, l’iter della presente procedura, andiamo ora ad esaminare più da vicino l’art. 16.6 Reg. Naming, norma davvero centrale per la corretta comprensione della PDR. E’la norma fondamentale, la trave portante dell’impalcatura della PDR, la disposizione che deve avere sempre “sotto gli occhi” il saggio che va a decidere la lite.

Perché, come abbiamo visto, 3 sono i presupposti che sorreggono – da un punto di vista giuridico – il trasferimento del nome a dominio contestato a favore del ricorrente e tutti e 3 tali presupposti sono disciplinati dalla norma poc’anzi citata.

Andiamo, perciò, ad analizzare l’art. 16.6, che individua subito – alla lettera a) – la prima condizione che dev’essere soddisfatta.

a) il nome a dominio contestato dev’essere identico o tale da indurre confusione rispetto ad un marchio su cui il ricorrente vanta diritti, o al proprio nome e cognome.

Il punto a) deve esere dimostrato dal ricorrente nei modi consueti, fornendo prova dell’esistenza di un proprio marchio o del proprio nome e cognome.

Nel silenzio della norma, occorrerà stabilire in concreto se la PDR potrà venire utilizzata, oltre che per tutelare marchi registrati, anche per tutelare marchi di fatto, ragioni sociali o altri segni distintivi (quali il titolo di una testata giornalistica, o uno slogan).

Il fatto che l’art. 16.6 faccia riferimento solo ad un marchio sembrerebbe escludere la possibilità di avvalersi della procedura per difendere ogni tipo di segno distintivo, ma ogni timore viene risolto dalla lettura contestuale dell’art. 3 Proc. Riass., che – nello stabilire il contenuto del reclamo – fa espresso riferimento ai segni distintivi, oltre che ai marchi.

Sempre con riferimento al punto a) devo evidenziare che – a mio parere – a nulla rileva che il marchio sia stato registrato in Italia o altrove, dato che le vigenti regole di Naming richiedono genericamente che il ricorrente vanti diritti su un marchio, indipendentemente dalla Nazione in cui questo è stato registrato.

D’altronde osservo che numerose decisioni relative a TLD “geografici” (e “geografico” è anche il “.it”) hanno disposto il trasferimento di domini in favore di soggetti che avevano dato prova di essere titolari di marchi registrati in Paesi diversi rispetto allo Stato di registrazione del dominio contestato (vedasi – a titolo meramente esemplificativo – le seguenti pronunce, relative al ccTLD “.tv” – Isole Tuvalu, Oceania – nonché al ccTLD “.ws” – Western Samoa, Oceania – : “gomaespuma.tv”, “Halifax.tv”, “nasdaq.tv”, “nokia.ws”, “zippo.ws”). Tutte queste considerazioni sono state esplicitate nella decisione che chi scrive ha reso relativa al dominio “antago.it”, ad oggi l’unica pronuncia italiana che ha dovuto affrontare questo problema.

Passiamo ora all’esame del 2° presupposto richiesto per la riassegnazione del dominio.

La lettera b) testualmente recita: “il resistente non ha alcun diritto o titolo in relazione al dominio contestato”. Sarà, pertanto, onere del resistente dare prova di un proprio concorrente diritto o titolo al nome a dominio, oppure dell’esistenza di una delle circostanze dalle quali l’art. 16.6 u.c. Reg. Naming deduce la presunzione di un legittimo uso del resistente al nome a dominio contestato (es.: egli è conosciuto col nome corrispondente al DN contestato, anche se non ha registrato il relativo marchio, oppure che del DN sta facendo un legittimo uso non commerciale, e così via…).

Come ben affermato dall’Avv.Ziccardi nella decisione “dinersclub.it/dinersclubitalia.it”, le prove previste dalla lett.b) “devono sempre essere tenute in grande considerazione, per evitare che le PDR vengano utilizzate unicamente per garantire al più forte economicamente, quasi d’ufficio, diritti su domini correlatati ai segni distintivi del ricorrente”.

Il 3° presupposto richiede che il DN sia stato registrato e venga usato in mala fede.

E’una condizione molto importante, un aspetto cruciale, e rivela che non ogni ipotesi di contraffazione del marchio sia ritenuta illecita ai fini della presente procedura. In altre parole, non si può colpire con lo strumento della PDR una contraffazione di marchio attuata in buona fede. Si potrà, volendo, adire l’Autorità Giudiziaria ordinaria per vedere applicata la legge marchi, che reprime fenomeni di contraffazione più ampi, perché non dà rilevanza all’elemento soggettivo. Ma questo è un altro discorso, che esula dalla tematica di cui ci stiamo occupando.

Ciò posto, va detto che l’art. 16.7 Reg. Nam. elenca una serie di circostanze che, se dimostrate dal ricorrente, saranno ritenute prova della registrazione e dell’uso del dominio in malafede da parte del resistente (es.:il dominio è stato registrato per essere trasferito a caro prezzo al ricorrente, oppure per impedire al titolare di identico marchio di registrare in proprio tale nome a dominio, ecc.).

La disposizione poc’anzi citata, all’ultimo comma, si affretta però a precisare che l’elencazione delle “presunzioni di malafede” è meramente esemplificativa. Il Collegio potrà, pertanto, rilevare anche da altre circostanze elementi di malafede. Mi sembra corretto. Anzi, personalmente ritengo che, ai fini della procedura in esame, il termine “malafede” vada inteso nella sua accezione più ampia. Il che, per così dire, impone un’indagine “a 360° gradi” sul comportamento del titolare del dominio, al fine di indagare se emerga un “agire scorretto” di quest’ultimo, indice della sua consapevolezza di ledere diritti di terzi.

Così, passando in rassegna la giurisprudenza sul tema, annoto che è stato ritenuto essere in malafede chi registra un DN al solo scopo di impedire al ricorrente di portare sul web il proprio segno distintivo (cioè, come si legge di frequente, di impedire al ricorrente di riflettere sul DN il proprio nome o il proprio segno distintivo legittimamente registrato). (cfr. decisione aol.it)

Altre volte viene vista come indice di malafede – unita ad altre risultanze – la circostanza che il resistente abbia registrato altri domini in nessun modo riferibili alla sua attività, ma relativi a marchi e denominazioni di imprese famose. (barbie.it, pursennid.it, antago.it, ecomusei.it)

In certi casi, è stato considerato sintomo di malafede la detenzione passiva di un nome a dominio (c.d. “passive holding”, termine tecnico utilizzato anche da noi in Italia per definire correttamente tale fattispecie ): la detenzione, cioè, di un dominio cui non sono collegati contenuti raggiungibili tramite il protocollo http. Detto altrimenti – ed in termini più semplici –si tratta della mancata attivazione del sito (classica ipotesi, certamente nota a tutti, è la “pagina bianca” in cui campeggia la scritta “sito in costruzione”). (aol.it, guidasposi.it)

O ancora, per restare in tema, l’attivazione del sito solo in un momento successivo alla comunicazione del reclamo. E’un caso realmente accaduto, e ci si riferisce al dominio avid.it, nel quale – a seguito del reclamo del ricorrente (AVID, multinazionale leader nel settore della fornitura di strumenti audio e video digitali) – il resistente ha attivato un’improbabile pagina web che faceva riferimento ad un ipotetico “Avid – antiarrhytmics versus implantable defribrillators”, a dire del resistente il titolo di un articolo medico pubblicato sul New England Journal of Medicine. Ma anche questo, all’evidenza, si è rivelato uno “stratagemma” davvero poco astuto, ritenuto, invece, elemento di malafede.

Talora, poi, sono le pagine stesse del sito a provare – ictu oculi – la malafede del resistente (spesso, infatti, il sito è stato predisposto con il preciso intento di far credere all’ignaro visitatore di essere entrato nel sito ufficiale del ricorrente). (antago.it)

Tirando ora le fila di quanto fin qui detto sulla procedura di riassegnazione – ed avviandoci a concludere – va osservato che l’ambito della cognizione attribuita al Collegio è limitata all’accertamento della sussistenza dei presupposti richiesti dall’art. 16.6 Reg. Naming per il trasferimento del nome a dominio contestato. Deve essere chiaro, in altre parole, che la PDR è un’alternativa differente, in tutto e per tutto, rispetto alla composizione giudiziale delle liti.

Presentata così, la PDR sembra essere la “panacea” di tutti i mali che attualmente affliggono i domain names, in relazione al domain grabbing.

Indubbiamente, che sia uno strumento efficace è ormai assodato e ciò è testimoniato anche dal crescente successo che la procedura sta incontrando presso il pubblico (ad oggi si contano circa 100 decisioni).

Ovviamente presenta lati negativi (tra cui la possibilità che l’attuazione della decisione sia vanificata dall’instaurazione – entro 15 giorni dalla pronuncia del saggio – di una causa ordinaria dinanzi all’Autorità Giudiziaria), ma senz’altro superiori sono i “punti di forza”: la competenza del saggio, i costi contenuti e la celerità della procedura, abissale se paragonata ai tempi della giustizia ordinaria.

Quindi – e per concludere – invito a considerare che, nell’ambito di una contesa su un dominio, oltre alla composizione giudiziale delle liti, ci sono strumenti di risoluzione alternativi: il giudizio arbitrale e la procedura di riassegnazione, che presenta senza dubbio profili di assoluto interesse.

StrongBox Cloud PRO

Strong Box PRO

StrongBox Cloud PRO è la soluzione alla perdita o il furto di dati, eventi sempre più frequenti di quanto si possa pensare: sbalzi di tensione, incendi e allagamenti, per non parlare dei furti, sono tutti eventi che accadono improvvisamente e possono causare gravi perdite di dati nella propria struttura informatica.


Con StrongBox Cloud PRO ti permette di pianificare i backup dei dati gestiti all'interno della tua organizzazione con la massima semplicità e sicurezza mettendo al sicuro i tuoi dati, custodendoli in forma crittografata su server remoti e garantendoti di poterne rientrare in possesso rapidamente in caso di necessità.

StrongBox Cloud PRO rende la tua organizzazione conforme all'Art.32 del GDPR - Sicurezza del trattamento: "il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico"

Come funziona StrongBox Cloud PRO

StrongBox Cloud PRO ti libera da qualsiasi preoccupazione perché archivia e protegge i tuoi file dopo averli portati in Cloud.

-Ripristina i tuoi dati: Consente di ripristinare i tuoi file in caso di disastro dovuto a guasto, attacco virus, evento accidentale ed anche in caso di errore umano.

-Crittografia sicura: StrongBox Cloud PRO garantisce la sicurezza dei file conservati 24 ore su 24, tramite l'uso di AES 256, uno dei più potenti algoritmi di crittografia in circolazione.

-Rispetto della Privacy: Una protezione completa dei dati: file, cartelle, posta elettronica. StrongBox Cloud PRO conserva i tuoi dati nel totale rispetto delle normative nazionali ed europee sulla privacy.

-Sempre disponibile: StrongBox Cloud PRO permette di visualizzare e condividere i file archiviati nel cloud, da qualsiasi luogo, da qualsiasi browser e da qualsiasi device - anche dal tuo tablet o smartphone - attraverso l'app dedicata.

Rischi di perdita dei dati

  • Guasto del disco
  • Criptazione da ransomware

  • Furto del device

  • Crash del sistema

  • Errore umano

  • Virus

  • Corruzione dei files

  • Incendio

  • Allagamento

Contattaci per saperne di più del nostro servizio di Backup in Cloud oppure per conoscere altri nostri prodotti e servizi Clicca qui.

Qlocker, dati criptati da ransomware con riscatto in Bitcoin


Qlocker, è il nome del ramsonware che attualmente sta effettuando un’enorme campagna di contagi, che ha come obiettivo quello di crittografare i dati degli utenti che utilizzano dispositivi di archiviazione di tipo NAS, in particolare a marchio QNAP.

Gli aggressori utilizzerebbero 7-zip per la compressione dei dati in archivi protetti da password e chiederebbero il pagamento di un riscatto in Bitcoin.

Il ransomware che sta terrorizzando gli utenti QNAP sin dal 19 aprile scorso (2021) viene identificato con il nome di Qlocker. Secondo quanto spiegato dai colleghi di BleepingComputer, il ransomware sarebbe in grado di utilizzare 7-zip per spostare tutti i dati degli utenti all’interno di archivi compressi e protetti da password.

Mentre l’attacco da Qlocker è in corso, il gestore delle risorse dei NAS QNAP mostra numerose istanze di 7-zip (7z) in esecuzione da riga di comando.

 

Quando il ransomware Qlocker termina la propria procedura, i file del dispositivo QNAP sono memorizzati in archivi 7-zip protetti da password dall’estensione .7z. Per estrarre questi archivi, le vittime devono inserire una password conosciuta solo dall’attaccante.

Dopo che i dispositivi QNAP sono criptati, gli utenti vengono lasciati con una nota di riscatto chiamata “!!!READ_ME.txt” che include una chiave client unica che le vittime devono inserire per accedere al sito di pagamento Tor del ransomware. A tutte le vittime viene detto di pagare 0,01 Bitcoin, l’equivalente di circa 450 euro al momento della scrittura di questo articolo, per ottenere la password necessaria a liberare i propri dati.

 

Recentemente QNAP ha risolto alcune vulnerabilità critiche che potrebbero consentire agli aggressori di ottenere l’accesso completo a un dispositivo ed eseguire un ransomware. QNAP ha risolto queste due vulnerabilità chiamate CVE-2020-2509CVE-2020-36195 il 16 aprile.

QNAP ha risposto alle domande di BleepingComputer affermando che è possibile che Qlocker sfrutti la vulnerabilità CVE-2020-36195 per eseguire il ransomware sui dispositivi vulnerabili. È dunque fortemente raccomandato l’aggiornamento di QTS, Multimedia Console e Media Streaming Add-on alle ultime versioni.

Questo ovviamente non riporterà indietro i vostri file ma vi proteggerà con molta probabilità da futuri attacchi che utilizzano tale vulnerabilità.

Cancellazione Sicura

Cancellazione Sicura grazie all’introduzione del GDPR (General Data Protection Regulation, regolamento generale sulla protezione dei dati) maggio 2016, ha portato alla ribalta le strategie di distruzione dei dati e l'obbligo della cancellazione sicura.

Grazie alle multe potenzialmente punitive per la mancanza di conformità e per la responsabilità ora in capo al team dei leader senior, lo storage dei dati è ora fermamente in cima alle priorità per molte organizzazioni.

Tuttavia, conoscere il problema e intraprendere delle azioni pragmatiche per affrontarlo sono chiaramente due cose diverse.

Il problema è che le organizzazioni non sempre sanno dove si trovano i loro dati, così rispondere alle richieste di accesso per soggetto (subject access requests, SAR) in relazione alle informazioni personali è destinato a diventare un processo complesso e dispendioso in termini di tempo e denaro.

Ai sensi dell’Articolo 17 del GDPR, le organizzazioni devono essere in grado di dimostrare di utilizzare processi di cancellzione sicura dei dati in maniera permanente.

Una volta intrapresa la verifica iniziale dei dati (la maggior parte delle organizzazioni dovrebbe essere a buon punto nel completamento di questo processo in preparazione al GDPR) la fase successiva consiste nell’eliminare i dati personali che non sono più rilevanti, che non sono più utilizzati per uno scopo specifico o che si riferiscono a minori di anni 16.

Cancellare sicura dei dati

In ogni caso, eliminare semplicemente i dati o riformattare i supporti magnetici (inclusi hard disk e nastri) non sarà sufficiente per garantire che non siano presenti dati personali inesatti in qualche parte dell’attività.

Se i dati vengono eliminati da qualsiasi tipo di supporto, in molti casi possono essere recuperati, anche quando l’hardware è danneggiato da acqua o fuoco.

Fortunatamente, sono disponibili molte soluzioni software che ripuliscono completamente i dispositivi in modo che essi possono essere riutilizzati, rivenduti o riciclati in modo sicuro.

Esistono anche soluzioni che assicurano la cancellazione sicura, sia in maniera permanente solo file specifici e mirati. Esistono ovviamente anche soluzioni di cancellazione più definitive, come il degaussing, che smagnetizza i nastri magnetici e rende il dispositivo completamente illeggibile (e inutilizzabile), il processo è chiamato cancellazione sicura.

I dischi virtuali dovrebbero anche essere considerati come parte di qualsiasi processo di eliminazione dei dati. I fornitori di servizi di terze parti in particolare utilizzano l’infrastruttura virtualizzata per ripartire lo spazio storage su più clienti, al fine di ottenere delle economie di scala.

Molti fornitori si trovano quindi a dover affrontare il problema di eliminare in maniera sicura determinate aree dell’infrastruttura di storage virtuale lasciando il resto intatto, per esempio in caso di scadenza per un cliente del contratto dei servizi gestiti.

I rischi delle unità fisiche

Un’altra importante fonte di rischio sono le unità fisiche, che tendono a essere riciclate e riutilizzate dalle organizzazioni che cercano di contenere i costi dello storage.

Se non si utilizzano gli strumenti e i software adeguati per la cancellazione dei dati, le organizzazioni non possono avere la certezza che siano stati rimossi i dati sensibili prima che il dispositivo venga reimplementato o rispedito al produttore.

In una ricerca condotta su 64 dischi acquistati online da diversi paesi, tra cui Stati Uniti, Germania, Francia, Italia, regione Asia-Pacifico, Polonia e Regno Unito, una azienda leader nel settore ha rilevato che 30 dischi contenevano ancora tracce di dati personali.

Uno dei dischi, in particolare, ha fatto scattare un allarme. Apparteneva a una società che si avvaleva di un service provider per cancellare e rivendere vecchi dischi.

Nonostante questo, il disco conteneva un’elevata quantità di informazioni altamente sensibili, tra cui nomi utente, indirizzi di abitazioni, numeri di telefono e dettagli delle carte di credito.

Conteneva un elenco di dipendenti di circa 100 nomi che includeva informazioni relative a esperienza lavorativa, titoli professionali, numeri di telefono, conoscenza delle lingue, periodi di ferie e 1 MB di rubrica offline.

Quasi un terzo (21 dischi) conteneva foto personali, documenti privati, e-mail, video, audio o musica. Su otto dischi sono state trovate informazioni relative ad account utente, compresi dati di accesso come nomi e cognomi, dettagli di contatto, indirizzi e-mail, nomi e password di account online.

Su circa 9 dischi sono stati recuperati dei dati commerciali, tra cui nomi di società, buste paga, numeri di carte di credito, informazioni sui conti correnti bancari, dettagli di investimento e dichiarazioni dei redditi.

Il problema si estende al mondo business, dato che gli accessi agli account aziendali degli utenti vengono effettuati dai dispositivi mobili personali. Nel corso di questa indagine, abbiamo rilevato che sei dischi contenevano dati di business critichi come file CAD, PDF, JPG e password.

Abbiamo inoltre trovato configurazioni complete di store online, file di configurazione e video di training per POS nella nostra valutazione di questi sei dischi. Altri cinque includevano ulteriori dati relativi al lavoro: fatture e ordini di acquisto, la maggior parte dei quali riportava informazioni personali sensibili.

Gli utenti non conoscono i rischi

In un sondaggio precedente condotto su 2.000 consumatori del Regno Unito, abbiamo scoperto che molti utenti non sono consapevoli dei rischi derivanti dal mancato backup dei dati o da uno scorretto riciclo dei propri dispositivi.

Quasi 1 su 10 (11%) ha ammesso di non essere sicuro che i dati fossero stati cancellati in maniera permanente nel momento di riutilizzare o gettare via vecchi cellulari, tablet o computer.

Solo il 32% ha affermato di effettuare regolarmente il backup dei dati sui propri dispositivi elettronici, mentre il restante 68% rischia la perdita di informazioni personali o lascia i dati sui propri dispositivi che possono essere persi, danneggiati, rivenduti o smaltiti.

Indagini forensi

Nel mondo si è verificata una proliferazione di gadget, dagli smartphone agli iPad fino ai digital assistant con comando vocale, televisori e frigoriferi in grado di registrare e trasmettere dati.

I sensori industriali e le telecamere CCTV contribuiscono a produrre dati così estesi e complessi che è necessario un nuovo approccio per archiviarli, proteggerli e cancellarli su richiesta dei singoli.

Gli esperti di informatica forense possono utilizzare i dati per costruire o fare a pezzi una causa. Un esempio di tale possibilità si è registrato quando la pubblica accusa ha scoperto che i dati Fitbit di una donna assassinata non combaciavano con l’alibi del marito.

In base alle posizioni registrate dal Fitbit e dal controllo dell’attività, gli investigatori hanno potuto compilare una cronologia degli spostamenti che ha dimostrato che la donna non era nel luogo indicato dal marito al momento dell’omicidio. Richard Dabate è ora fuori su cauzione, in attesa del processo per aver ucciso la moglie.

Questo caso serve a dimostrare che un esperto di informatica forense caparbio sarà in grado di recuperare i dati da quasi tutti i dispositivi, indipendentemente dallo stato in cui si trovano.

I numerosi studi che abbiamo condotto nel corso degli anni sui dispositivi persi o riciclati mostrano spesso una mancanza di attenzione, che espone gli individui e le organizzazioni per cui lavorano a un elevato livello di rischio.

L’effetto GDPR

Con l’entrata in vigore della nuova legislazione GDPR, le società, sia del settore pubblico che di quello privato, dovranno dimostrare che i dati sono stati cancellati in maniera sicura, in linea con le nuove linee guida, e documentare di essere completamente affidabili per il monitoraggio, la revisione e l’accesso alle relative procedure di trattamento.

Dovranno mostrare disponibilità a ridurre al minimo l’elaborazione e la conservazione non necessaria dei dati, oltre a implementare misure di protezione per tutte le attività correlate ai dati stessi.

Molte organizzazioni stanno già considerando il GDPR come un motivo per applicare le best practice alle proprie strategie di data storage.

Implementare una politica di cancellazione end-to-end comporta parecchi vantaggi di business, non derivanti semplicemente dall’attenzione che viene ora dedicata alla legislazione rivista in ambito europeo.

Costi – il data storage, sia fisico che virtuale, è costoso. Essere in grado di cancellare i dati in maniera sicura consente alle società di riciclare e riutilizzare i supporti di archiviazione senza il timore di mettere inavvertitamente i dati sensibili nelle mani di altri.

Sicurezza – La differenza tra eliminazione e cancellazione è spesso fraintesa e talvolta si pensa che siano la stessa cosa. È importante per le società comprendere che se i dati vengono eliminati, essi possono essere recuperati. Al contrario, se sono adeguatamente cancellati, saranno irrecuperabili.

Restare aggiornati – L’attenzione sulla conservazione e la cancellazione dei dati non è una novità (PCI DSS, ISO 270001), ma dato che il mondo diventa sempre più dipendente dai dati, è comprensibile che si avverta l’esigenza di regolamenti maggiormente focalizzati e applicati a livello mondiale.

Il GDPR regolerà anche importanti aspetti come la globalizzazione o sviluppi tecnologici popolari, come Facebook, Twitter, Google+ e altre piattaforme di social media. La nuova legislazione comprenderà tutte le nuove modalità di comunicazione dell’era digitale e le relative informazioni che vengono generate dalla nostra interazione con questa tecnologia.

In base alla nostra esperienza, sembra che i professionisti nella protezione dei dati siano in generale ben informati in relazione alla nuova legislazione GDPR.

La sfida per loro è quella di colmare il divario tra i requisiti teorici e le attività pratiche di implementazione, oltre a gestire l’impatto che tutto ciò avrà sulle aziende per cui lavorano. Ciò include la capacità di cancellare i dati in maniera sicura e con un processo verificabile.

Al contrario, ci sono ancora parecchie organizzazioni che non hanno assegnato le attività associate alla protezione dei dati all’interno del proprio business, che si tratti di un singolo addetto alla protezione dei dati o un team. Per queste società, il tempo sta scadendo.

Cosa sta facendo la tua organizzazione per smaltire i dati in maniera adeguata e perché? Credi di essere preparato per il GDPR?

Cancellare i dati in modo certo e definitivo al momento della dismissione del device o della sostituzione dell'unità di memoria è un obbligo ripetutamente indicato dal GDPR:


Art. 4 del GDPR 2016/679

Nella definizione di "trattamento" sono incluse la cancellazione o la distruzione dei dati.


Art. 5 del GDPR 2016/679

Si specifica che i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.


Art. 17 del GDPR 2016/679

Si obbliga ad avvalersi di sistemi di rimozione certificata per rimuoverli in modo permanente nel rispetto della loro Privacy (diritto all'oblio).

PSD2, cosa cambia?

PSD2, porta diverse novità nella gestione dei pagamenti e del denaro.

In un mondo sempre più complesso, consumatori e aziende sono alla ricerca di servizi finanziari che possano aiutarli a perseguire i propri obiettivi.
La rivoluzione del settore dei servizi finanziari è appena cominciata: l’open banking consente ai provider di trasformare il modo in cui persone e imprese gestiscono il denaro.
I clienti potranno avere offerte personalizzate e costi inferiori, mentre i sistemi bancari dovranno abbracciare il concetto di apertura e digitalizzazione.
Non solo, saranno notevolmente rafforzate le misure di sicurezza. Questo grazie a nuovi standard di autenticazione per limitare il rischio frodi.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco.  Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l'indirizzo di spedizione, l'ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

La MBLI S.a.s. di Marchese Daniele Rosario, è partner di player attivi in UE, Aruba Enterprise è Qualified Trust Service Provider nella OBE Directory con CA Actalis e Aruba PEC, per la fornitura di QWAC e QSealC service.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco.  Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l'indirizzo di spedizione, l'ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

VPN, cos'è e come funziona

Le Virtual Private Network (VPN) rappresentano un modo per estendere l’accessibilità delle reti aziendali anche a utenti remoti e altri siti dell’impresa in modo il più possibile sicuro, flessibile ed economico. Possono essere oggi implementate in diverse modalità per venire incontro alle specifiche esigenze degli utenti.

Quasi tutte le aziende che hanno una rete informatica interna, con computer, server e sistemi di archiviazione dei dati, hanno anche anche dipendenti o collaboratori che si trovano a lavorare (stabilmente o temporaneamente) in mobilità o da casa. Molte hanno anche sedi distaccate, più piccole di quella centrale, quali uffici periferici, punti vendita, magazzini o stabilimenti. Da anni esiste la tecnologia VPN (Virtual Private Network) per risolvere queste problematiche. Vediamo di cosa si tratta.

Cos’è una VPN e a cosa serve

Il significato di VPN è Virtual private network ed essa consente alle aziende di ampliare praticamente senza limiti geografici la propria rete privata centrale, creando una “rete virtuale privata”, che permette a utenti e siti periferici (branch) di connettersi al “major network” aziendale attraverso reti IP geografiche noleggiate da provider di telecomunicazioni, basate sul protocollo Mpls (Multiprotocol Label Swithcing), o reti pubbliche e condivise come Internet e le piattaforme cloud.

Grazie alle VPN Mpls o quelle over Internet, gli utenti remoti o i siti esterni di un’azienda possono collegarsi, da qualsiasi parte del mondo, in qualunque momento e con i dispositivi più disparati, alla LAN (Local area network) delle proprie sedi aziendale, in modo sicuro e il più possibile economico. Nell’ambito di queste connessioni, i client possono stabilire comunicazioni con un singolo computer o con tecnologie condivise con altri utenti quali un server applicativo, un database, un NAS (Network Attached Storage), stampanti e così via.

Cosa significa tunneling?

Alla base del funzionamento di una Virtual Private Network vi è la creazione di un tunnel (ovviamente virtuale) all’interno del quale due o più partecipanti a una sessione virtual private network possono scambiarsi dati al riparo da occhi indiscreti. Per la creazione di questo canale privato, pur utilizzando un’infrastruttura condivisa, è necessario un protocollo di tunneling. Di queste tecnologie oggi ne esistono di diverse, ma tutte hanno in comune alcuni aspetti.

Ecco come funziona una VPN

Innanzitutto nel data center dell’azienda, o nel suo private cloud (nel caso si abbia optato per questa soluzione) deve essere installato un server VPN, chiamato anche Virtual private network Hub o Central Hub, su cui sono gestiti tutti e tre i livelli del framework di sicurezza di una Virtual Private Network:

  • un sistema di autenticazione degli utenti,
  • un layer per la gestione dei metodi di cifratura dei dati scambiati fra i vari nodi della rete,
  • un firewall che controlla gli accessi alle diverse porte delle reti.

Il VPN Hub deve essere anche connesso a un router e a uno o più switch che permettono l’assegnazione di indirizzi IP pubblici (statici o dinamici) a tutti i partecipanti della VPN (dati che devono necessariamente essere presenti negli header dei pacchetti incapsulati nei tunnel).

Quindi, tutti i dispositivi che gli utenti intendono utilizzare devono essere dotati di un client VPN, che può anche essere:

  • un’applet nativa del sistema operativo del dispositivo;
  • un software o un estensione per il browser scaricabile dal sito del gestore di servizi VPN;
  • un agente software fornito insieme a un hardware che supporti la creazione di queste reti (router, firewall, NAS, etc);
  • un programma sviluppato da un vendor di sicurezza.

Tipi di VPN per topologia

Virtual Private Network è un modo di utilizzare le reti condivise e pubbliche globali per ampliare in modo controllato e protetto i confini di un major network aziendale privato, ma non significa un unico tipo di tecnologia e di implementazione.

Da un punto di vista delle topologie di VPN possiamo identificarne due tipi, spesso compresenti nella stessa azienda:

  • le VPN remote access, è la tipologia più semplice e comune e prevede esclusivamente la possibilità che alcuni utenti possano connettersi da remoto al major network dell’azienda.
  • le VPN site-to-site permettono di creare tunnel, attraverso reti pubbliche e condivise, fra siti aziendali diversi.

Questo tipo di VPN, dal punto di vista topologico, utilizza solitamente il modello hub-and-spokes. Il nome deriva dall’analogia con la ruota di una bicicletta. In questo caso l’hub (mozzo) è il major network aziendale, presso il quale si trova il server VPN. Gli spoke (raggi) sono le reti geografiche (MPLS o Internet) utilizzate per connettere al major network le sedi remote. Anche presso quest’ultime possono essere implementate soluzioni di Virtual Private Network che permettono l’accesso ai loro server da parte di utenti remoti o ulteriori branch che – a cascata – possono anche essere reinstradati verso il major network della sede centrale.

Tipologie di soluzioni per sicurezza, amministrazione e flessibilità

Oltre alle differenze topologie, esistono fra le Virtual Private Network anche diversità in funzione del livello di security e non solo. In particolare le VPN si suddividono in tre principali categorie: Trusted VPN, Secure VPN e Hybrid VPN.

Trusted VPN

Le Trusted VPN sono reti private virtuali in cui non è previsto un tunneling crittografato. Tradizionalmente appartengono a questa categoria le Virtual Private LAN create all’interno di un’azienda. I Virtual Private LAN Services si basano sul sul livello 2 (data link) del modello OSI e permettono di creare reti virtuali che condividono lo stesso network fisico ma i cui rispettivi host non possono sconfinare da una rete all’altra.

Come abbiamo già segnalato, le VPN non necessariamente utilizzano Internet come rete geografica: possono utilizzare anche le WAN MPLS. Questi fornitori sono in grado di offrire percorsi alle reti virtuali predefiniti, controllati, protetti e con una qualità del servizio (quality of service) garantite. Nel loro armamentario, quindi, ci sono le tecnologie utilizzate dal Trusted VPN.

Secure VPN

Il vantaggio principale delle Secure VPN è che i tunnel VPN sono creati utilizzando protocolli di cifratura e sicurezza quali IPsec, TSL/SSL, PPTP (Point to Point Tunneling Protocol) o SSH. Tali protocolli sono utilizzati da entrambi i nodi di una VPN. Di conseguenza, se un hacker riuscisse a intercettare i pacchetti di un traffico di rete, vi troverebbe dentro solo dati illeggibili. A differenza di una Trusted VPN, una Secure VPN consente di utilizzare Internet in modo estremamente flessibile: quello che conta è solo avere a disposizione delle connessioni, anche Wi-Fi pubbliche.

Hybrid VPN

Oggi sta emergendo il modello Hybrid VPN, che consente di coniugare i vantaggi delle Trusted VPN (come il controllo dei percorsi) e delle Secure VPN (la crittografia dei contenuti e dei tunnel). Molte Trusted VPN si stanno aggiornando con l’aggiunta di funzionalità Secure Virtual private network come security overlay sulle tecnologie già utilizzate.

VPN e sicurezza informatica

Sono molti i vantaggi delle VPN in termini di sicurezza. Innanzitutto, l’autenticazione degli utenti, che oggi può non avvenire solo con l’utilizzo di username e password, ma anche con smartcard, riconoscimento biometrico e altri metodi ancora.

Quindi la privacy dei dati. I principali protocolli utilizzati per creare VPN utilizzano algoritmi e protocolli crittografici molto robusti. E questo vale tanto per prodotti open source quali OpenVPN e SoftEther VPN, quanto per le tecnologie non a sorgente libero come SSTP, introdotto da Microsoft nel 2007, che sfrutta la tecnologia SSL 3.0, e IKEv2 , sviluppato da Microsoft e Cisco, che punta invece sulla tecnologia IPsec.

Dal punto di vista della sicurezza, va segnalato che il protocollo di tunneling MPPE è ormai da considerarsi obsoleto. Vi è poi il protocollo L2TP, che funziona a livello 2, non include un sistema di crittografia specifico, ma permette di creare tunnel che possono trasportare comunicazioni cifrate con diversi protocolli. Una sua evoluzione è L2TP/IPsec, in cui IPsec viene utilizzato per l’autenticazione. Un aspetto di security che va considerato, nel caso un’azienda optasse per servizi in cloud, è se il provider raccoglie o no informazioni sull’utilizzo dei servizi virtual private network, e che uso ne fa.

Come scegliere una Virtual Private Network

La scelta della soluzione giusta non può non richiedere un’attenta valutazione dei pro e dei contro dei diversi tipi di VPN, dei protocolli di sicurezza utilizzati e del fornitore della tecnologia o dei servizi gestiti.

Per creare Virtual private network con i metodi tradizionali, utilizzando i software più diffusi (e spesso nativi) e poco hardware, non si spende molto: l’importante è avere risorse competenti. Sul mercato ci sono anche ottimi fornitori di VPN as a service, utilizzati anche da molti utenti consumer, che offrono tariffe competitive che partono da pochi dollari al mese per utente, con molti gigabyte a disposizione e la possibilità di utilizzare più dispositivi contemporaneamente. Di certo salgono se si desidera implementare, on-premises o in cloud, soluzioni scalabili, affidabili, con funzionalità di amministrazione e sicurezza avanzate come la central client administration e il security policy enforcement.

Inoltre, va tenuto presente l’emergere delle VPN layer 3. Sempre più aziende desiderano connettere un numero crescente di siti e di relative LAN, al major network e fra di loro, in modalità virtual private network. Questo comporta un esplosione di indirizzi IP da gestire, moltissimi dei quali inevitabilmente identici. Diventa necessario quindi affrontare la situazione a livello di internetworiking, e quindi di livello 3 del modello OSI (network). I provider di servizi MPLS, grazie all’esperienza nella connettività site-to-site, sono avvantaggiati nel fornire soluzioni layer 3, che se sfruttano le proprie infrastrutture, sono chiamate MPLS Layer 3 VPN. Ma in molti casi anche le L2 sono e resteranno sufficienti.

Alcuni criteri per scegliere le VPN migliori

Per scegliere le VPN migliori è necessario basarsi sulle proprie reali esigenze, valutare le funzioni opzionali disponibili, tenendo presente che una buona opzione deve essere caratterizzata da riservatezza, sicurezza e dalla capacità di proteggere le informazioni. Può essere necessario rivolgersi a soluzioni premium.

Tra le funzioni da valutare la possibilità di fruire del servizio di split tunneling per accedere in modo trasparente a più domini di sicurezza; la garanzia che eventuali errori DNS siano risolti; la disponibilità del servizio kill switch che permette di mantenere sempre aperta la connessione virtual private network anche nel caso di interruzione di Internet.

Breve riepilogo dei protocolli utilizzati da virtual private network sicure

Ecco qui di seguito i protocolli più conosciuti che implementano una virtual private network sicura, esse solitamente utilizzano protocolli crittografici, anche se non sempre.

  • IPsec (IP security), comunemente usate su IPv4 (parte obbligatoria dell’IPv6);
  • PPTP (point-to-point tunneling protocol) di Microsoft;
  • SSL/TLS, utilizzate sia per il tunneling dell’intera rete sia per assicurarsi che sia essenzialmente un web proxy;
  • VPN Quarantine: la macchina del cliente terminale della VPN potrebbe essere una fonte di attacco, cosa che non dipende dal progetto della VPN;
  • MPVPN (Multi Path Virtual Private Network), è il trademark registrato da Ragula System Development Company.

Alcune reti VPN sicure non usano algoritmi di cifratura, in quanto partono dal presupposto che un singolo soggetto fidato possa gestire l’intera rete condivisa e che quindi l’impossibilità di accedere al traffico globale della rete renda i singoli canali sicuri, dato che il gestore della rete fornisce ad ogni soggetto solamente la sua VPN. I protocolli che si basano su questa filosofia sono per esempio:

  • L2F (layer 2 Forwarding), sviluppato da Cisco;
  • L2TP (Layer 2 Tunneling Protocol), sviluppato da Microsoft e Cisco;
  • L2TPv3 (layer 2 Tunneling Protocol version 3);
  • Multi Protocol Label Switching (MPLS), spesso usato per costruire una Trusted VPN.

Coronavirus, phishing e malware

Sul fatto che il Coronavirus abbia messo in allerta l’intero pianeta non vi è più alcun dubbio, così come sul fatto che molti malintenzionati puntino a far leva sullo stato d’animo delle persone, mettendo in atto speculazioni incentrate sul contagio da coronavirus, come avvenuto nei giorni scorsi per la vendita di Amuchina e mascherine protettive da viso, e come sta accadendo in queste ore con il diffondersi di nuove minacce informatiche che sfruttano la fame di informazioni inerenti l’argomento.

In Rete, infatti, cominciano a “fioccare” operazioni di phishing e malware a tema Covid-19. A lanciare l’allarme è stata Reason Labs, azienda che si occupa di sicurezza online e antivirus, mediante un apposito report recentemente diffuso.

Per quel che concerne le campagne phishing, il riferimento è in primo luogo alle aziende. Giungono direttamente nelle caselle di posta elettronica, sotto forma di email tramite cui viene chiesto di effettuare il prima possibile un pagamento per completare l’ordine di materiale sanitario, nella speranza che qualche dipendente più sprovveduto ceda.

Riguardo la questione malware, sono stati messi in piedi siti Internet ad hoc che mostrano aggiornamenti relativi al contagio, con tanto di mappa al seguito (la cui versione ufficiale è quella disponibile sulla piattaforma ArcGIS, basata sui numeri dell’Organizzazione Mondiale della Sanità), e che propongono il download di un file eseguibile per soli computer Windows, il quale viene spacciato come strumento che dovrebbe permettere agli utenti di rimanere al corrente sull’andamento dell’ormai conclamata pandemia ma che, invece, ha come obiettivo quello di sottrarre informazioni sensibili, quali dati di login, dati relativi a carte di credito e conti bancari e altri dettagli strettamente riservati.

I malware che, in tal modo, vanno ad “insediarsi” sul computer degli internauti, non sono però cosa nuova. Si tratterebbe, infatti, di virus già noti, come nel caso di AZORult che è in circolazione dal 2016, usati in passato per compiere altri attacchi miranti al furto di password, credenziali bancarie e via discorrendo, al fine di di rivendere il tutto a terzi mediante il deep Web.

Continuando a parlare di minacce informatiche a tematica Covid-19, una ricerca pubblicata a inizio mese dalla società di sicurezza Check Point ha evidenziato come i domini registrati con nomi o URL con riferimento al virus hanno il 50% di probabilità in più di diffondere codice maligno.

Tenendo conto della situazione, se in genere è bene mantenere gli occhi aperti e prestare la massima attenzione alle insidie che Internet può riservare, in questo particolare e concitato periodo occorre essere ancora più prudenti del solito e scegliere di affidarsi in via esclusiva alle fonti ufficiali per restare informati disponibili sul Web (e non solo) in merito all’evolversi della patologia.

In particolare, Check Point mette in guardia da mail di questo tipo

Inkedcorona-2_LI

L’e-mail contiene un file di documento dannoso, denominato f ###########.doc (# = cifra) e con l’oggetto dell’e-mail “Coronavirus: Informazioni importanti su precauzioni” e l’e-mail è firmata da un medico dell’Organizzazione mondiale della sanità (OMS) con sede in Italia. Tuttavia – dicono a Check Point, “abbiamo effettuato una ricerca online e non è stato possibile trovare un medico di nome Penelope Marchetti presso l’OMS o Organizzazione Mondiale della Sanità (OMS). Inoltre, gli indirizzi email dei mittenti non provengono da domini ufficiali OMS o OMS e la maggior parte di essi non era affatto italiana”.

Ecco uno scatto dal file doc dannoso:

Check Point

Fare clic su “abilita modifica” e “abilita contenuto” porterà al download di Ostap Trojan-Downloader, un downloader di Trickbot, un malware.

Ransomware FTCODE, PEC a rischio hacking.

Una pericolosa variante del ransomware FTCODE sta colpendo le caselle di posta certificata (PEC) di aziende e pubbliche amministrazioni italiane. Ecco tutti i dettagli tecnici per riconoscerlo e i consigli pratici per difendersi e prevenire un possibile attacco.

Una variante del ransomware FTCODE sta prendendo di mira le caselle di posta elettronica certificata (PEC) italiane: il malware viene veicolato mediante una massiccia campagna di malspam proveniente da altre caselle di posta elettronica (per lo più PEC) precedentemente compromesse.

Già lo scorso 2 ottobre, il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.

In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.

Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file WindowsIndexingService.js che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware GootKit e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.

FTCODE: i dettagli della nuova variante del ransomware

Gli analisti del CERT-PA (il Computer Emergency Response Team della Pubblica Amministrazione) hanno ora identificato la nuova variante del ransomware FTCODE che continua ad essere una seria minaccia per le caselle PEC italiane.

La nuova versione di FTCODE ha numerose parti di codice in comune con la precedente variante, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo (C&C), quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.

Molto simile anche il codice necessario a gestire il ciclo per l’enumerazione dei file da cifrare. Così come riportato dal bollettino di sicurezza del CERT-PA, in questa nuova variante del ransomware FTCODE i criminal hacker hanno aggiunto alcune “migliorie”:

  • il file di lock usato per garantire una singola istanza del malware è considerato non valido dopo 30 minuti: questo evita possibili “vaccinazioni” o deadlock;
  • FTCODE crea ora un GUID univoco per macchina in un file di lavoro (ma sembra generarlo ad ogni avvio e quindi potrebbe trattarsi di un bug);
  • i file vengono ora rinominati con un’estensione casuale (i primi 6 caratteri di un GUID) e non più con .ftcode;
  • la password è generata tramite Get-Random e non tramite Membership.GeneratePassword: è composta da 50 caratteri alfanumerici e viene sempre inviata in chiaro al C&C;
  • la pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro;
  • le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono cifrate;
  • in caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al server C&C.

Il CERT-PA ha diffuso anche gli IoC del ransomware FTCODE, cioè gli indici di compromissione che possono tornare utili ai responsabili della sicurezza IT aziendale per individuare il codice malevolo del malware:

SHA256

  • 5e0844e082ffc41784a9cbdf34225793a167c8c3f23aa7937fd442e6eaa19e2a
  • 07c226d6e4ab84a586b1a09f09896223412de927513fda6bf13b031dc497e686

SHA1

  • 46090a00ad5e755b0abef6be931086daef9c5651
  • 4cb525212460fedae4820a7cfc39e47db48c4c7b

MD5

  • e299d13f093b20559b62c8b22482bde3
  • be611918fabc12048aeba6e55f6559d7

URL

  • http://ceco.jasonrsheldon.com/
  • http://ceco.myheritageins.com/?need=streetm&vid=vbs4&4643
  • http://ceco.myheritageins.com/?need=aegzfej&vid=vbs4&
  • http://kati.katieebecker.com/?need=aegzfej&vid=vbs4&
  • http://bill.billfergerson.com

DOMINI

  • cdn.unitycareers.com
  • cdn.secure357.com

I consigli per difendersi

Come abbiamo visto, le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.

Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.

Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

E' importante utilizzare dei sistemi di backup che all'occorrenza siano in grado di salvare e ripristinare i fale in maniera veloce ed affidabile, la soluzione attualmente che consigliamo è l'acquisto di un QNAP.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla formazione non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.