di Giacomo Conti

Il caso

La blockchain è il futuro e cambierà il mondo”, “Tutti nel futuro useremo criptovalute”, “Se non investi in criptovalute sei uno sprovveduto ”.
Chi non ha mai sentito parlare di criptovalute, blockchain, di BitCoin, Ethereum alzi pure la mano.

Si faccia avanti, invece, chi ha sentito parlare del caso OneCoin, offerta dai promotori come il nuovo BitCoin e la moneta elettronica del futuro.
Questo caso dovrebbe mettere in guardia ogni investitore che decida, più o meno consapevolmente, di investire i propri in vere e proprie truffe.

Ci tengo a precisare come non ritenga le criptomonete, in sé, delle truffe; tuttavia, molti utilizzano criptomonete, reali o inesistenti, per truffare la gente e questo dato è innegabile.
Mi sforzerò, per esigenza di sintesi di riassumere il caso in breve precisando che i fatti sono stati istruiti dall’Autorità Garante della Concorrenza e del Mercato che ha comminato significative sanzioni per le società che vendevano questa criptomoneta disponendo la cessazione delle attività di vendita.

Lo scopo di queste società era (ed è ancora) quello di promuovere l’adesione al programma di acquisto e di diffusione della “criptomoneta” OneCoin.
La società prometteva, infatti, falsamente ingenti guadagni: ad esempio, l’acquisto del pacchetto da € 27.530 avrebbe consentito di ottenere un controvalore di € 3.000.000 dopo solo due anni dall’adesione al programma!
Addirittura, secondo i promotori di OneCOin, la criptomoneta dovrebbe performare meglio di Amazon, la cui azione era quotata nel 2015 intorno ai Trecento Dollari per arrivare a raggiungere, a distanza di cinque anni, un valore di poco superiore a 1800 dollari.

Per attirare nuovi investitori, i promotori premiavano i membri con dei bonus, che costituivano, in realtà, l’unica, effettiva e reale remunerazione del programma derivante dall’acquisto della criptomoneta.
L’adesione al programma richiedeva, infatti, l’acquisto necessario di un kit di formazione abbinato ad una certa quantità di “moneta” o tokens.

Lo schema piramidale realizzato prevedeva, infatti una fee d’ingresso, da pagarsi in Euro, Dollari o altra moneta reale, necessaria per entrare nel sistema e per convincere altri consumatori della bontà del prodotto e un’attività di indottrinamento degli associati attraverso i pacchetti di formazione.
Il sistema di bonus prevedeva, in questo senso, un bonus diretto per l’adesione di ogni nuovo membro che investe in OneCoin, un network bonus per la creazione di una rete di vendita propria, un matching bonus per chi, in possesso del pacchetto “Trader”, riesca ad avere al primo livello della rete altri due membri che acquistino il suo stesso kit e, infine, altre provvigioni collegate alla grandezza della “piramide” costruita e al volume di vendite effettuate individualmente, erogate su base discrezionale dalla società promotrice per i vertici più in alto dello schema piramidale.
I promotori enfatizzavano, infatti, la circostanza che “OneCoin è un investimento dagli alti rendimenti” e che il suo andamento “sarà uguale al Bitcoin non appena la moneta sarà attiva”, senza tuttavia fornire dettagli circa l’algoritmo su cui si sarebbe dovuta basare la sedicente criptomoneta e l’effettivo funzionamento del processo di mining.
OneLife e gli altri professionisti promuovevano OneCoin sulla base della promessa di incremento di valore correlata al semplice trascorrere del tempo, senza che l’aderente dovesse svolgere alcuna attività.

Come nei più classici dei Ponzie Scheme, le società non fornivano alcuna spiegazione dei meccanismi che porterebbero alla crescita del valore e non ne chiarivano il reale significato, omettendo scientemente di indicare quali siano le ragioni su cui basasse la loro previsione così ottimistica posto che i sistemi di generazione della criptomoneta erano inesistenti.

Infatti, durante l’istruttoria, l’Autorità Garante accertava che la criptomoneta OneCoin, di cui non è stato possibile verificare l’esistenza e la consistenza, era un pretesto per un sistema che aveva esclusivamente come obbiettivo l’inserimento di nuovi consumatori che erano l’unico mezzo di sostentamento.
Dopo avere analizzato i fatti, possiamo trarre le seguenti lezioni per operare scelte oculate e consapevoli quando decidiamo di investire in criptomonete sulla scorta dell’entusiasmo o con poche informazioni a nostra disposizione.


E la morale della vicenda? Analizziamo tre secoli di morale raccontata da fiabe e da fatti storici

In primo luogo, non esistono guadagni facili e chi ce li promette è, molto probabilmente, in mala fede o ci sta truffando.
Sin dalla scuola elementare ci insegnano la storia di Pinocchio e del Gatto e della Volpe che invitano l’ingenuo burattino a seminare i suoi zecchini d’oro guadagnati col duro lavoro per poi sottrarglieli nel sonno.
La storia venne scritta da Carlo Collodi a sul finire dell’ottocento e, seppure rivolta a bambini, aveva un significativo messaggio non solo morale, ma anche pratico che si può riassumere, senza banalizzare eccessivamente la storia in un: “Diffidate dal Gatto e la Volpe e tenetevi stretti i vostri zecchini d’oro guadagnati col sudore e con la fatica”.

In secondo luogo, evitiamo di farci abbindolare da parole altisonanti, come blockchain, criptovalute, innovazioni e futuro e tentiamo di investire su cose di cui riusciamo a comprendere, più o meno approfonditamente, il funzionamento.
Già nel secolo scorso Charles Ponzie proponeva, infatti, mirabolanti guadagni da investimenti offshore e da operazioni di alta finanza a investitori non istituzionali e non formati.
Impariamo anche questa lezione oltre a quelle che il Secolo Breve ci ha insegnato e che abbiamo già colto.

Tertium, se alcune persone che ci vendono cose che non riusciamo a capire ci propongono anche attività di formazione è altamente probabile che queste vogliano inserirci in un piano di indottrinamento per fidelizzarci al loro programma e per convincerci a introdurre nuovi membri.
Questo è un processo realizzato comunemente da sette e da fanatici e teso a obnubilare il nostro senso critico che, molte volte, è l’unica cosa che ci può salvare.
Informiamoci bene, anche attraverso Internet e con fonti affidabili a cosa andiamo incontro.

Da ultimo, chi ci promette guadagni semplicemente per coinvolgere altre persone nei suoi schemi è inserito in uno schema piramidale e, se vogliamo davvero bene a chi intendiamo coinvolgere è meglio che ci informiamo bene sull’attività di chi ci ha coinvolto, sperabilmente, prima di essere già indottrinati.

Per chi volesse approfondire ulteriormente il tema, mi riporto al testo del provvedimento dell’AGCM è reperibile al seguente url: https://www.agcm.it/dotcmsDOC/allegati-news/PS10550_scorrsanz.pdf.

di Guglielmo Marchelli

La graduale introduzione del processo civile telematico, fino alla sua definitiva obbligatorietà a decorrere dal 31/12/2014 per tutti i Tribunali e 30/06/2015 per le Corti d’Appello, ha imposto agli operatori del settore l’adozione di specifici programmi per elaboratore, onde effettuare il deposito e l’estrazione, presso gli uffici competenti, degli atti giudiziari in formato elettronico.
Il sistema prevede la creazione di una cd. “busta telematica”, ovvero, di un archivio (*.enc) contenente gli atti (firmati digitalmente dal professionista) che viene crittografato con la chiave pubblica dell’ufficio giudiziario di destinazione ed inviato a mezzo PEC dall’indirizzo mittente del professionista abilitato.
É altresì previsto un sistema di consultazione dei fascicoli di causa da parte del professionista incaricato, ma anche dal cittadino o del soggetto “parte” del giudizio civile, attraverso appositi “Punti di Accesso” che prevedono un sistema di autenticazione basato su certificato rilasciato da appositi certificatori accreditati, normalmente inserito nel dispositivo di firma elettronica.
Svariate critiche si potrebbero muovere al sistema di deposito telematico anzi descritto.
In effetti, per fare un paragone con il passato, sarebbe come dire che l’avvocato (o il CTU), per depositare i propri atti, dovesse ogni volta spedire al Tribunale un plico raccomandato a/r, in luogo di recarsi personalmente in Cancelleria.
È lecito domandarsi se fosse stato più opportuno implementare il deposito degli atti mediante autenticazione sul Punto di Accesso e caricamento diretto dei file (upload) sul server ministeriale, in combinazione con strumenti tecnici di tracciatura (log), tali da consentire la riferibilità del deposito al professionista titolare del dispositivo di autenticazione e l’apposizione della data certa alla busta (es. mediante marcatura temporale della busta).
Si sarebbe potuto così evitare l’inutile consumo di risorse che oggi avviene con lo scambio di messaggi PEC di svariate decine di Megabyte fra professionista e Cancelleria (allo stato il PCT prevede ben 4 ricevute PEC, fra cui la prima che restituisce al mittente l’intero archivio .enc).
Dopo l’introduzione del processo telematico si è potuto assistere al proliferare di programmi per elaboratore più o meno avanzati, sviluppati quasi esclusivamente per il sistemi operativi MS Windows e rilasciati con licenza “closed source”.
Tali applicativi, oltre a non essere multi-piattaforma, vengono distribuiti ad un prezzo molto elevato rispetto alle funzionalità effettivamente offerte.
Molte software house produttrici hanno adottato una strategia commerciale consistente nel “fidelizzare” numerosi utenti mediante la stipula di convenzioni pluriennali con gli ordini professionali, concedendo in un primo momento il proprio software ad un importo “scontato”, per poi alzare notevolmente i prezzi e/o recedere dalla convenzione, onde imporre il proprio prezzo all’utente ormai abituato ad utilizzare quel determinato “prodotto”.
La conservazione e la gestione dei dati mediante questi programmi avviene, molto spesso, mediante formati proprietari sviluppati dalla stessa software house, con evidente rischio per la portabilità dei dati stessi (anche personali), qualora il professionista volesse migrare verso altri applicativi (cd. “lock-in”).
Certamente, non è questa la sede per sindacare la liceità o l’eticità di tali strategie commerciali (Mi limito ad osservare che l’Antitrust nel 2016 ha aperto un’istruttoria tesa ad “accertare eventuali condotte abusive che avrebbero riguardato l’intera filiera dei sistemi informatici per lo svolgimento di servizi che attengono alla funzione giudiziaria”.).
In verità, parliamo di programmi piuttosto semplici che uniscono gli schemi ministeriali per creazione ed invio telematico delle cd. “buste” a mezzo pec, con il servizio gratuito di consultazione dei fascicoli (il tutto eventualmente condito con un gestionale un po’ datato per l’amministrazione delle pratiche dello studio).
Quello che, tuttavia, è bene chiarire, è che tutti i programmi per elaboratore atti ad effettuare il deposito telematico e/o la consultazione dei fascicoli PCT, non erogano, né potrebbero erogare funzionalità e/o servizi diversi e più avanzati rispetto a quelli messi a disposizione ed implementati sul server ministeriale.
In verità, tutte le operazioni essenziali di deposito e di consultazione e di estrazione atti, possono essere effettuate gratuitamente, con la combinazione di applicativi liberamente reperibili sul web.
La consultazione e l’estrazione di “duplicati” e di copie di atti e provvedimenti dai fascicoli telematici possono essere effettuati, previa autenticazione con il proprio certificato, mediante l’accesso diretto al portale del Ministero, pst.giustizia.it (all’interno del quale sono anche elencati numerosi altri punti di accesso privati e pubblici).
Le funzionalità di deposito telematico possono invece essere effettuate mediante l’installazione dell’applicativo SLPCT (www.slpct.it): un software redattore e creatore di buste completamente gratuito, che opera in combinazione con i più diffusi client di posta elettronica.
Detto software -rilasciato con licenza “open source”- viene costantemente aggiornato con l’evolversi degli schemi ministeriali del PCT ed è liberamente installabile su tutti i computer all’interno del proprio studio.
SLPCT è perfettamente multi-piattaforma poiché è sviluppato per i principali S.O. desktop (Ms Windows, Linux, MacOS).
Non possiamo soffermarci sulla differenza fra “freeware” da un lato e “free software” / “open source” dall’altro (nelle loro svariate e sottili distinzioni), tuttavia, vorrei da ultimo sottolineare che le considerazioni che precedono non sono limitate al PCT ma possono essere estese a tutti gli strumenti software dedicati alle professioni legali.

di Alessandro Bottonelli

 

Secondo la Commissione Europea, parrebbe di si (V. risposta ufficiale). Eppure chi avesse interpretato che da solo un Indirizzo IP è “dato personale” ha forse preso una abbaglio? Notare che si considerano dati personali tutte le informazioni relative a una persona vivente identificata o identificabile. Anche le varie informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona costituiscono i dati personali”. Notare il raccolte insieme. Dopo la premessa, segue una lista esemplificativa di possibili dati personali, fra cui spicca: “un indirizzo IP”. Le informazioni della lista d’esempio sono individualmente “dati personali”? O sono tali quando sono informazioni che assemblate fra loro identificano una persona fisica? (v. ancora il raccolte insieme).

La tesi dell’autore è che da solo un indirizzo IP non identifica una persona fisica. Nella migliore delle ipotesi, e non sempre, identifica una macchina o meglio un sistema (PC, Server, Stampante, Disco di Rete, Router, qualunque cosa). Di per sè l’indirizzo IP non ci dice nulla della “persona” (fisica!) dietro al o ai sistemi¦ quando una persona c’è! (v. IoT, domotica ed altro).

Legare un IP pubblico ad un interessato (persona fisica: individuo appartenente alla specie homo-sapiens) richiede molti altri dati da correlare fra loro temporalmente e logicamente. E quasi mai oltre ogni ragionevole dubbio. Molti di questi altri dati sono accessibili solo alle c.d. “LEA” (Law Enforcemente Agencies) a fronte di specifiche circostanze e mandati. Da notare che le “LEA” sono escluse dal campo di applicazione (o “scope“) del GDPR. Anche per un’azienda di qualunque dimensione è difficile legare con assoluta certezza un IP privato delle proprie reti interne ad una persona fisica. Anche quando (quando?) si raccolgano a norma i log.

In sintesi: un indirizzo IP da solo non è, di per sé, dato personale: difficile da esso identificare univocamente una persona fisica. Servono altri dati.

A supporto di questa tesi occorre una spiegazione tecnica: che si spera d’aver reso il più possibile accessibile a tutti. Un indirizzo IP è ¨ la proprietà   di uno o più sistemi. Non è una proprietà dell’interessato che forse sta usando il sistema: se c’è¨ almeno un umano dietro al sistema. Non è neanche una proprietà della o delle macchine che compongono il sistema. E spesso è una proprietà volatile, non fissa nel tempo (i c.d. “ip dinamici”). Per parafrasare: sarebbe come sostenere che la “targa”, e non necessariamente permanente, di una automobile identifichi il suo guidatore. O, peggio, sostenere che la targa, mutevole, di un autobus identifichi tutti i suoi passeggeri (quando più¹ sistemi condivisi da più¹ persone condividono lo stesso IP).Per esemplificare e semplificare, prendete il vostro PC (ma vale per qualunque sistema/macchina: un server, una WebCam, un Televisore, ecc.).

Fig. 1 – la “pila” o “catena” apri in nuova scheda

Fate riferimento alla figura 1. Pensate al PC o qualunque altro oggetto di rete. Da spenta la macchina è un semplice “pezzo di ferro”, senza alcuna proprietà e men che meno un indirizzo IP. Da acceso il pezzo di ferro diventa sistema grazie al Sistema Operativo “OS” installato sulla macchina, non importa quale OS, anzi, una singola macchina potrebbe diventare più sistemi (questione qui non approfondita) che condividono lo stesso indirizzo IP. Fra le tante cose che fa, l’OS inizializza la c.d. Scheda di Rete (NIC o “Network Interface Card“), di qualunque natura essa sia: wifi, cablata o altro. Per i puristi: la NIC ha, anzi avrebbe, una proprietà unica di fabbrica chiamata MAC-Address, peccato che esso sia riprogrammabile dall’OS e serva solo alla rete locale, quindi è un’informazione che va perduta oltre il primo router: quindi la NIC non identifica neanche il pezzo di ferro. Finita di inizializzare la NIC, il Sistema Operativo (forse!) associa alla NIC un “indirizzo IP” della rete locale, ma anche due, tre o dieci indirizzi IP: nulla lo impedisce. Concluso tutto questo processo, il sistema (non la macchina, non i suoi utenti!) ha uno o più indirizzi IP. Che sia stato o meno riprogrammato, il MAC-Address è “informazione perduta”: non arriva ad InterNet. È probabile che il sistema o sistemi della rete locale subiscano il c.d. “NATting”: tutto e tutti si presentano ad internet con un solo indirizzo IP pubblico. Le informazioni MAC-Address e IP address della rete locale sono andate perdute.

In conclusione. Organizzazioni con uno o migliaia di sistemi “dentro” la propria rete locale si presentano ad Internet con un unico indirizzo IP: come si lega quell’indirizzo al o agli umani, se ce ne sono, che stanno usando quell’indirizzo? Come anticipato, si può fare: ma è¨ un esercizio difficile proprio come provare a legare la targa (mutevole!) di un autobus a tutti i suoi passeggeri! O, peggio, tentare di legare il codice radio di una nave traghetto che trasporta più autobus prima agli autobus e poi ai passeggeri di ogni autobus.

In realtà , la parafrasi è imperfetta. È più facile per una “LEA” (Law Enforcement Agency”) legare il codice radio della nave traghetto agli autobus attraverso il manifesto di carico della nave e con qualche altro passaggio arrivare ai passeggeri degli autobus. Il codice radio del traghetto e le targhe degli autobus sono statici. Invece gli indirizzi IP (le targhe e codici radio della parafrasi) sono spesso volatili: rendendo l’esercizio ben più complicato.

di Paolo Montali

 

L’overflow del buffer può essere attivato nei chip Wi-Fi Realtek

Qualsiasi Software, allo stato attuale delle cose, presenta delle vulnerabilità. Per vulnerabilità, si intendono delle debolezze che vengono (spesso) inconsapevolmente create dagli sviluppatori e che possono essere utilizzate da parte di malintenzionati per entrare all’interno di un sistema.

Questo è noto agli sviluppatori, per cui le case di software si preoccupano, nei loro reparti di ricerca e sviluppo, di miigliorare gli aspetti di sicurezza e in generale di andare ad eliminare mano a mano le vulnerabilità e in generale qualsiasi tipo di “bug” che si sia manifestato o sia stato rilevato, in fase di testing, così come a seguito delle segnalazioni da parte dei Clienti/utilizzatori.

I “bug” sono ancora più pericolosi nei sistemi di connettività o di networking, in quanto, vista la loro funzione di apparati per l’interconnessione di computer, possono consentire di aprire delle porte che dovrebbero restare chiuse.

Questo è il motivo per cui è fondamentale tenere aggiornati tutti i sistemi ad ogni livello, dai BIOS o firmware dei Computer e dei vari dispositivi di networking, ai Sistemi Operativi, a tutti gli applicativi utilizzati sui computer, fino agli ERP o sistemi gestionali.

Oggi ci occupiamo del problema del mancato aggiornamento degli apparati Wi-FI con CHIP Realtek.

Le reti Wi-Fi sono una grande comodità, ma spesso ci dimentichiamo che anche questi apparati sono dotati di software per funzionare. A bordo hanno un sistema operativo (Linux) sul quale vengono implementati dei software per l’implementazione degli standard di comunicazione e per la gestione delle regole di connettività.

E’ stato verificato che gli Access Point con CHIP Realtek non patchati possono essere attaccati sfruttando le onde Wi-Fi, causando l’overflow nel buffer del nucleo (kernel) del Sistema Operativo Linux e creando il blocco o il controllo totale da parte dell’attaccante, dei computer connessi.

Il bug rilevato, si trova nel driver RTLWIFI, che viene utilizzato per gestire i chip Wi-Fi Realtek. La vulnerabilità causa un overflow del buffer nel kernel Linux quando una macchina con un chip Wi-Fi Realtek si trova nel raggio di azione di un dispositivo “malevolo”.

E’ stato verificato che come minimo, gli exploit possono causare un arresto anomalo del sistema operativo e possono consentire a un hacker di ottenere il controllo completo del computer connessi. Il difetto risale alla versione 3.10.1 del kernel Linux rilasciato nel 2013.

Purtroppo sappiamo bene che ci sono molti dispositivi che non vengono aggiornati, per cui potremmo avere nei nostri uffici o nelle nostre case dispositivi con questo bug.

‘Il problema è serio’, ha detto ad Ars Nico Waisman, un ingegnere capo della sicurezza presso Github. ‘È una vulnerabilità che, nei sistemi che utilizzano il driver Realtek (RTLWIFI), attiva un overflow in remoto tramite Wi-Fi sul kernel Linux.

La vulnerabilità è stata denominata CVE-2019-17666. Gli sviluppatori hanno proposto una correzione intorno alla metà del mese di Ottobre 2019, che probabilmente verrà incorporata nel kernel del sistema operativo nei prossimi giorni o settimane. Solo dopo ciò la correzione si farà strada in varie distribuzioni Linux.

di Giacomo Conti

 

Il GDPR è stata una norma, per molti aspetti, molto mal compresa che ha destato una significativa ed ingiustificata paura e incomprensione fra titolari e responsabili del trattamento nonché fra gli stessi consulenti ed operatori del diritto.

Si è assistito, infatti, a prassi poco virtuose – per usare un eufemismo – fra cui spiccano consulenze difensive finalizzate a creare inutili e vuoti scudi di carta e inutile formazione, nonché terrorismo psicologico operato al solo fine di lucrare sulla paura innestata da questa nuova norma. Molti hanno anche sospeso trattamenti pienamente legittimi per paura di improbabili sanzioni.

Questa paura è frutto, principalmente, di una cattiva interpretazione e, soprattutto, del temutissimo art. 83 GDPR il quale stabilisce che le sanzioni derivanti da una violazione della normativa possono raggiungere cifre molto significative che possono ammontare fino a 20 Milioni di Euro oppure al 4% del fatturato mondiale annuo.

Molti hanno interpretato la disposizione nel senso che anche la PMI con un fatturato annuo di qualche milione di Euro che si limita a trattare i dati dei propri dipendenti su scala non elevata potrebbe essere sanzionata per milioni e milioni di Euro in caso di violazione del GDPR e pertanto: “Guai a voi che non vi adeguate!”.

Giusto?” In realtà non può esserci un’interpretazione peggiore della disposizione in esame e, è doveroso precisarlo, una veloce lettura delle Guidelines on Fines dell’EPBD (ai tempi Working Party 29) e una comprensione sommaria del case based aproach alla base dell’applicazione della sanzione avrebbe dovuto condurre chiunque a giungere a differenti conclusioni.

Come si evince da una lettura, sempre superficiale dei considerando al GDPR, emerge come la norma sia espressione di un basilare principio di civiltà e sia nata per garantire la circolazione del dato personale nel rispetto dei diritti fondamentali della persona fisica in una società sempre più tecnologica che si basa sempre di più su uno scambio di dati personali contro servizi.

Tenuto conto di queste coordinate interpretative è autoevidente come non sia la sanzione pecuniaria il principale pericolo che corrono titolari e responsabili di trattamento posto che il GDPR, evidentemente, non è nato per punire imprenditori ed operatori economici che trattano dati personali.

Del resto, è evidente come sia facile per grandi realtà e per operatori OTT accantonare fondi e risorse per fare fronte ad eventuali sanzioni oppure rincarare il prezzo di alcuni dei loro beni o servizi senza subire un grande danno.

Se, da un lato, l’art. 83 GDPR è sopravvalutato; dall’altro, si parla troppo poco dell’art. 58 GDPR e dei poteri conformativi e inibitori di cui sono dotate le Autorità Garanti che possono anche imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.

Una sanzione di questo tipo, al contrario di una sanzione pecuniaria, ha un effetto letteralmente paralizzante sul business e può determinare un vero e proprio fallimento di società e startup che si basano su un trattamento illecito dei dati personali.

Si pensi, ad esempio, ad un’applicazione che raccoglie online dati di natura medica senza chiedere il consenso per il trattamento di dati idonei a rivelare la salute dell’interessato e senza informare adeguatamente gli interessati (magari addirittura omettendo un’informativa in lingua italiana) e senza valutare in alcun modo i rischi per i soggetti coinvolti nel trattamento.

Inutile dire come nessuna sanzione economica potrebbe essere adeguatamente punitiva e come solo un divieto di trattamento, con conseguente chiusura del business, potrebbe tutelare adeguatamente gli interessati. Ugualmente, un eventuale ordine di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale può avere conseguenze disastrose per un’organizzazione aziendale.

Si pensi, in secondo luogo a un grosso gruppo che perde il controllo dei dati dei propri clienti rischia di perdere la fiducia di questi e di vedere pregiudicata la sua immagine e reputazione se i clienti arrivano a percepire che le loro informazioni personali non sono adeguatamente protette.

Un pregiudizio reputazionale e una perdita di clientela, sicuramente, rappresenta un pregiudizio per il business più significativo di una qualunque sanzione pecuniaria.

di Paolo Montali

 

Forse non tutti sanno che vi è un fenomeno crescente di creazione di pagine malevole che sfruttano il Single Sign-On (SSO) per rubare le credenziali degli utenti.
Questa forma di attacco di phishing è cresciuta con la popolarità e la semplificazione del processo di login tra i siti Web che utilizzano il Single Sign-On, sempre più ampiamente utilizzati.

Ma che cos’è il Single Sign-On?
Il Single Sign-On (SSO) è appunto un sistema per semplificare il processo di login, consentendo agli utenti di utilizzare un’unica credenziale per accedere a più applicazioni.
Il SSO non richiede all’utente di ricordare più credenziali di account diversi (ognuna per accedere ad ogni applicazione). Questo sistema consente di eliminare la necessità di introdurre userid e password per ogni applicazione durante una sessione, migliorando la user experience.
IL sistema SSO viene realizzato autenticando l’utente rispetto ad una Directory, un DB che lega lo User e le sue authority relativamente alle applicazioni a cui può accedere. Questo tipo di repository viene definito Lightweight Directory Access Protocol (più brevemente LDAP).
Google, Facebook e Twitter sono tra le applicazioni popolari che offrono sistemi SSO agli utenti.
Il sistema di SSO può anche essere esteso a servizi di terze parti. Ad esempio, molte applicazioni consentono agli utenti di accedere al proprio account utilizzando l’autenticazione di Google o Facebook.

Ma come può essere utilizzato in modo fraudolento il sistema SSO?
La disponibilità di SSO è in costante aumento tra le applicazioni, il che ha portato molti hacker a tentare di sfruttarne le potenzialità. In pratica sono state realizzate delle pagine dannose che fingono di essere le pagine di accesso di applicazioni come Dropbox o la stessa Google, Facebook o altro sito / social.
Quando gli utenti immettono le proprie credenziali, i dati vengono raccolti dalla pagina malevole anziché essere utilizzati nell’applicazione desiderata.
Prima dell’avvento del sistema di SSO, gli hacker dovevano creare una pagina separata per ogni servizio del quale volevano rubare le credenziali. Invece con il SSO possono creare un’unica pagina di phishing.

Cosa si può fare per essere più al sicuro?
Per il momento il modo migliore per proteggersi dagli attacchi di phishing SSO è di abilitare l’autenticazione a due fattori. Questo tipo di autenticazione secondaria, rende più difficile agli hacker, l’accesso al vostro account. Questo oggi sembra essere il sistema migliore che però non è comunque sicuro al 100% e a seconda di come viene implementato può essere più o meno sicuri. Tra i tanti sistemi di dual factor authentication vi sono soluzioni che utilizzano il canale SMS per ricevere i codici di validazione. Questo tipo di soluzione sconsigliare, poiché non è sicuro come altri metodi.

di Giacomo Conti

 

Il consenso è solo una fra le basi giuridiche che il GDPR prevede come condizione di liceità del trattamento. Esso non è, tuttavia, né la principale né, tantomeno, è indispensabile per legittimare ogni trattamento operato dall’organizzazione aziendale.

Se è vero che il vecchio Codice della privacy dava al consenso una particolare importanza al consenso, nel nuovo impianto normativo il consenso è solo una delle basi giuridiche e, a ben vedere, anche la più difficile da gestire.

In primo luogo, il consenso deve esprimersi una libera manifestazione di volontà, specifica informata e inequivocabile e presuppone che venga fornita all’interessato un’informativa resa con modalità idonee.

Un consenso non può essere generico, ma è un’operazione delicata che presuppone un’analisi specifica dei trattamenti realizzati. Raccogliere consenso è, pertanto, un’operazione ben più gravosa che non limitarsi a rendere idonea informativa all’interessato.

Il consenso, infatti, non è un atto del titolare, ma un atto di volontà dell’interessato che deve essere raccolto e adeguatamente documentato dal Titolare tenuto conto del contesto in cui si articola del trattamento.

La raccolta del consenso non è, pertanto, in alcun modo sostitutivo dell’obbligo di trasparenza e di informativa, ma è un obbligo ulteriore che deve essere adeguatamente gestito da parte del titolare del trattamento e che non può prescindere da una corretta informativa.

Fondare un trattamento sul consenso fa, inoltre, sorgere l’obbligo in capo al titolare di mettere l’interessato nelle condizioni di poterlo liberamente revocare in ogni momento.

Basare un trattamento sul consenso espone, pertanto, il titolare al rischio che l’interessato, liberamente e in qualsiasi momento, possa revocarlo facendo venire meno la base di legittimità del trattamento.

Particolarmente rischioso è, quindi, basare il trattamento sul consenso se questo è necessario per eseguire una misura contrattuale oppure risponde a esigenze di legittimo interesse del titolare come, ad esempio, la conservazione dei dati nei propri archivi.

In queste ipotesi, nel caso in cui l’interessato revocasse il proprio consenso al trattamento, l’organizzazione avrebbe il non trascurabile problema di individuare una nuova base giuridica per continuare a trattare i dati dell’interessato con la conseguenza che ogni dato trattato rischierebbe, in ogni caso, di essere inutilizzabile.

Emerge, pertanto, come il consenso più che panacea per risolvere ogni mal di GDPR, dovrebbe essere, al contrario, richiesto solamente dopo un’analisi approfondita della base giuridica del trattamento ed essere utilizzato in via residuale dove il trattamento non sia giustificato dall’esecuzione di misure contrattuali o precontrattuali o non si fondi su un legittimo interesse del titolare.

di Nadia Zabbeo

 

L’art. 32 del GDPR impone al titolare di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che riguardano non solo gli asset tecnologici, ma anche le risorse umane.

Le misure organizzative non devono, quindi, limitarsi alla semplice modifica dell’organigramma con l’inserimento delle divisione privacy.

Il dipendente è, molto spesso, “l’anello debole della catena” nella protezione dei dati in azienda.

L’errore umano, infatti, può essere dovuto ad una mancanza di idonea cultura e formazione o mancanza di chiare istruzioni da parte del titolare (carenze organizzative), altre per disonestà o per spirito di ritorsione nei confronti dell’organizzazione aziendale.

Quest’ultima affermazione merita indubbiamente una considerazione a sé stante in quanto, secondo il Verizon Insider Threat Report, i dipendenti sono spesso gli autori di data breach rendendosi colpevoli consapevolmente o meno, di azioni illecite quali: accessi abusivi; violazione e diffusione di dati comuni e particolari mettendo a repentaglio le misure di sicurezza adottate dall’azienda.

Il report di Verizon ha messo in evidenza che, tra altre cause (negligenza, distrazione, competenze non idonee, scopi di lucro), l’insider che abusa dei privilegi di accesso per compire azioni illecite è spesso un dipendente insoddisfatto, che si ritiene in qualche modo leso nei suoi diritti, o non sufficientemente considerato e, di conseguenza, desideroso di arrecare danno all’organizzazione.

Il contratto di assunzione non è solo una formalità burocratica e una definizione di qualifica, job description, retribuzione che regola solo aspetti economici, ma ha forti ripercussioni psicologiche sul soggetto assunto che si forma aspettative di carriera in sede di assunzione piuttosto che durante l’esecuzione del rapporto o durante gli avanzamenti di carriera.

Pertanto, una promessa disattesa, la mancanza di prospettive di carriera, di avanzamenti o incrementi salariali, o, nel peggiore dei casi, oggetto di mobbing/bossing generano insoddisfazione e, per l’effetto, un potenziale inside hacker.

L’utilizzo di molestie psicologiche per indurre un dipendente alle dimissioni è espressione di una carenza culturale e organizzativa ed opera in base a modelli che enfatizzano valori estremamente accentrati ai vertici in modalità top-down suscettibile, peraltro, di conseguenze significative per il datore di lavoro e per l’ente sul piano civile e penale.

In casi come questi, ci troviamo di fronte, quasi sempre, a modello organizzativi obsoleti, spesso funzionali con enfatizzazione di ruoli di comando e di potere, molto gerarchici, con numerosi ruoli di staff privi di ogni iniziativa decisionale e compiti di ausilio operativo, mansioni ripetitive e alienanti. Il modello organizzativo funzionale è il più “datato” ma anche il più conosciuto ed adottato specie dalle PMI, tuttavia, è destinato ad entrare in crisi con il GDPR.

Per avere una catena solida a livello di sicurezza e di valore occorre rafforzare gli “anelli deboli”.

Questi vengono sfruttati, infatti, dai pirati informatici come vulnerabilità e le azioni intraprese da questi criminali possono riguardare, anche, la corruzione dei dipendenti scontenti.

È necessario, pertanto, riprogrammare l’organizzazione, cominciando  dall’analisi di clima condotta attraverso l’ausilio di consulenti esterni che abbiano un approccio “olistico” e competenze che  spaziano dall’organizzazione aziendale, alla gestione risorse umane fino ad una approfondita conoscenza del  GDPR.

di Giacomo Conti

 

Per gestire a norma di Legge un servizio di e-commerce è necessario essere trasparenti verso i consumatori ed evitare comportamenti che possono realizzare pratiche commerciali scorrette, ossia idonee a indurre il consumatore “medio” ad operare scelte che commerciali e di consumo che, laddove l’informazione fosse stata completa e trasparente, non avrebbe preso.

I professionisti sono tenuti a mantenere standard di diligenza particolarmente elevati, tali da consentire al consumatore di determinarsi consapevolmente e liberamente in un mercato concorrenziale.

L’omessa indicazione nel prezzo pubblicizzato all’inizio del contatto, di tutti gli oneri non evitabili che sono successivamente addebitati al consumatore è sicuramente una pratica commerciale scorretta.

Ugualmente, integrano pratiche commerciali scorrette l’aver fornito ai consumatori informazioni non veritiere sui tempi di consegna dei prodotti offerti, l’aver consegnato prodotti diversi da quelli ordinati, ovvero giunti a destinazione oltre i tempi pattuiti, l’aver opposto ostacoli all’esercizio di diritti contrattuali da parte dei consumatori come la difficoltà di contattare i fornitori del servizio o la mancata sostituzione del prodotto diverso da quello ordinato, l’avere invitato all’acquisto di prodotti a un determinato prezzo senza rivelare l’esistenza di prevedibili ragioni che avrebbero impedito la consegna degli stessi a quel prezzo.

Ugualmente, la semplice indicazione “composizione tipo”, se non indicata in tutti i suoi elementi e in più accostata ad una illustrazione fotografica che raffigura una composizione completa può essere considerata una pratica commerciale scorrettezza.

Se al consumatore non vengono fornite informazioni puntuali, precise e concrete il consumatore può essere indotto a credere che la composizione tipo si riferisca all’immagine in foto ed essere, conseguentemente, indotto ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso.

Integra pratica commerciale scorretta, quindi, anche il non essere in grado di fare fronte a tutte le richieste di acquisto da parte dei consumatori.

Per contro, la scelta del metodo di adesione del consumatore all’offerta mediante meccanismo opt out anziché opt in, dato che la prassi non incide in misura apprezzabile sul comportamento economico del consumatore, non è, invece, una pratica scorretta in quanto non incide sulla possibilità del consumatore di autodeterminarsi.

Nell’ottica di tentare di massimizzare i profitti è facile incorrere, anche inconsapevolmente, in comportamenti scorretti che comportano significative conseguenze per l’operatore economico che le ha realizzate.