Violazione dei dati personali? Vuoi sapere se qualcuno sta violando i tuoi dati? Ecco la soluzione per te. Le informazioni degli account esposte in violazioni di dati possono portare a un furto di identità. F‑Secure ti aiuta a verificare se i tuoi dati personali sono inclusi in violazioni di dati note. Indirizzi e‑mail e informazioni sulle violazioni non verranno archiviati.
Verifica subito se i tuoi dati personali sono a rischio
DOMANDE FREQUENTI
Cos’è una violazione di dati?
Una violazione di dati si verifica quando un criminale informatico accede al database di un servizio o un’azienda che contiene i dati privati degli utenti. Questi dati possono essere nomi utente, password, codici fiscali, indirizzi e persino dati di pagamento. Gli elenchi vengono solitamente venduti online a gruppi criminali che intendono sfruttarli per trarne profitto.
Come può interessarmi una violazione di dati?
Le conseguenze più gravi possono verificarsi quando dati particolarmente sensibili come nomi utente, password o codici fiscali vengono violati. Assicurati di non usare mai la stessa password per più servizio: se uno di questi servizi che usi viene violato, considera come compromessi tutti gli account che usano la stessa password.
Cos’è il furto di identità?
Il furto di identità, specialmente se online, implica che qualcuno si fingerà te sfruttando i tuoi dati privati, solitamente per trarre un profitto. I criminali spesso ottengono questi dati in seguito a furti fisici, accesso a informazioni pubbliche o tramite violazioni di dati.
Il modo migliore per proteggere la tua identità online è proteggere i tuoi dati privati usando password robuste e facendo attenzione a cosa condividi in servizi diversi.
Come faccio a sapere se la mia password è stata violata?
Quando le password vengono violate, significa solitamente che il servizio su cui usi tale password è stato vittima di una violazione di dati, che ha lasciato la tua password e, potenzialmente, altri tuoi dati personali esposti. In molti casi, possono passare anni prima che gli utenti sappiano che una loro password è stata resa pubblica.
Cosa rende robusta una password?
Una password robusta deve essere lunga, in quanto più complessa da indovinare. Avere almeno 8 caratteri è un buon punto di partenza, ma è ancora più importante usare una password univoca per ogni servizio. Se un servizio viene violato e la tua password trafugata, ci saranno rischi molto maggiori se utilizzi lo stesso indirizzo e‑mail e la stessa password per accedere a più servizi.
Dopo il cambiamento dello scorso ottobre, ora Mediaset si appresta a cambiare codifica a tutti i suoi canali: da marzo inizia il passaggio graduale all’MPEG 4, in tutta Italia.
Il 20 ottobre 2021 c’è stata una piccola rivoluzione tra le frequenze del digitale terrestre: ben 15 canali, 6 di Mediaset e 9 della RAI, hanno cambiato codec di trasmissione passando dal vecchio MPEG 2 al nuovo MPEG 4. Era solo l’inizio, perché a breve Mediaset porterà in MPEG 4 tutti i suoi canali.
La data è fissata per l’8 marzo 2022: da quel giorno in poi tutti i canali Mediaset saranno trasmessi con la nuova codifica, che permette di occupare “meno spazio” tra le frequenze TV. Man mano che va avanti il 2022, infatti, di frequenze a disposizione ce ne saranno sempre di meno a causa dell’ormai noto “refarming“, che sta costringendo molte emittenti a liberare le frequenze della banda a 700 MHz e di spostarsi sulle poche frequenze libere rimaste. Nessuno è escluso dal refarming, neanche Mediaset che, infatti, passa all’MPEG 4 per poter continuare a trasmettere tutti i canali.
Cosa succede ai canali Mediaset
L’8 marzo 2022 ci sarà l’unica modifica al codec dei canali, quindi chi oggi ha una TV o un decoder esterno in grado di decodificare l’MPEG 4 non avrà problemi, mentre chi non ce l’ha entrerà in una sorta di limbo.
Questo perché Mediaset, sempre dall’8 marzo, adotterà una strategia di passaggio graduale dalla vecchia alla nuova tecnologia: i tre canali principali Italia 1, Canale 5 e Rete 4, verranno trasmessi anche in MPEG 2, ma su altre numerazioni (106, 105 e 104) e solo per un periodo di tempo determinato (Mediaset parla di qualche mese).
Se dall’8 marzo non vedete più i canali Mediaset alle posizioni 4, 5 e 6 del telecomando, e se la cosa non si risolve risintonizzando la TV, allora è molto probabile che l’impianto non sia in grado di decodificare l’MPEG 4.
Potete saperlo già oggi, provando a vedere uno dei tanti canali HD disponibili: se lo vedete, allora vedrete i canali Mediaset senza problemi. Altrimenti dovrete cambiare TV o decoder. Questo perché l’MPEG 4 è il codec usato per i canali in alta risoluzione.
Alta qualità, alta risoluzione
Tutto ciò, però, non vuol dire che dall’8 marzo tutti i canali Mediaset passeranno all’HD. Come già è successo ad ottobre dell’anno scorso, si parla nuovamente di “alta qualità” e non di “alta risoluzione“.
La definizione “alta qualità“, dal punto di vista tecnico non vuol dire assolutamente nulla: è una definizione di marketing usata un po’ da tutti gli editori, alla quale non corrisponde però uno standard tecnico condiviso.
Molte volte ci chiediamo che differenza c’è tra SPID e Carta d’Identità Elettronica CIE. Oggi scopriamolo insieme. Per molti potrebbe sembrare la stessa cosa, ma non è così. Per prima cosa, vediamo che cosa sono.
1: SPID
Lo SPID (Sistema Pubblico di Identità Digitale), rappresenta l’Identità Digitale e non è fisica, permette di accedere a diversi servizi online, tra cui quelli inerenti alla PA.
É un servizio creato dalla Pubblica Amministrazione, non può essere utilizzata come sistema di riconoscimento in caso di richiesta da parte delle autorità (Polizia, Carabinieri, ma anche negli aeroporti)
L’identità SPID prevede tre diversi livelli di sicurezza, che consentono di accedere a diverse tipologie di servizi.
Lo SPID, come già detto, permette ai cittadini di accedere ai servizi e alle applicazioni della Pubblica Amministrazione e dei privati aderenti, come amministrazioni locali e centrali, enti pubblici, agenzie e fornitori privati.
Può essere attivato con diversi gestori, sia di persona che tramite webcam.
In termini di accesso ai servizi della pubblica amministrazione online, SPID e CIE sono quasi identiche e danno diritto ad accedere agli stessi pannelli.
Questo perché a partire dallo scorso 19 Ottobre 2021 lo SPID è diventato obbligatorio per accedere ai sistemi online della Pubblica Amministrazione. Nella maggioranza dei casi al fianco del pulsante “Entra con SPID” è anche presente quello che consente di effettuare l’accesso con CIE.
Per validare l’accesso con CIE è necessario però prima associarla a un dispositivo provvisto di chip NFC (come lo smartphone), tramite l’applicazione ufficiale che chiederà il codice PIN ricevuto al momento della consegna della Carta.
In molti continuano a chiedere un’integrazione dello SPID nella CIE, ma al momento ancora non si è andata verso questa direzione.
2: Carta d’identità Elettronica CIE
la Carta d’Identità Elettronica rappresenta il documento di riconoscimento ufficiale dello Stato Italiano, ed è fisica.
Questo documento viene emesso dal Ministero dell’Interno e prodotto dal Poligrafico e Zecca dello stato.
Permette l’accesso ai servizi online delle Pubbliche Amministrazioni sia in Italia che in diversi Paesi dell’Unione Europea.
La validità della CIE varia a seconda dell’età del titolare: 3 anni per i minori che hanno meno di 3 anni di età; 5 anni per i minori con un’età compresa tra i 3 e i 18 anni; 10 anni per tutti gli altri.
Quindi, la differenza tra SPID e Carta d’identità Elettronica (CIE) è che il primo documento è solo digitale e non possiamo identificarci alle autorità con esso.
Mentre con il secondo possiamo identificarci ed è fisico.
Sentiamo parlare ormai sempre più spesso di Spid e identità digitale, ma cos’è e a cosa serve?
Lo SPID è un’identità digitale certificata per accedere ai servizi online delle Pubbliche Amministrazioni e dei soggetti privati aderenti. Dai pagamenti alle informazioni sanitarie, dall’accesso al sito INPS alle pratiche d’impresa. Grazie a SPID (Sistema Pubblico di Identità Digitale) ogni cittadino italiano può accedere con un solo username e password a tutti i portali della PA. Tutto questo senza doversi recare fisicamente ad uno sportello ed evitando lunghe code e tempo perso. Il servizio è gratuito per sempre per le credenziali di livello 1 e 2, mentre per il terzo, rivolto perlopiù alle imprese e ai liberi professionisti, può avere dei costi utili a tenere in vita l’account fornito da uno degli Identity Provider.
Il Sistema Pubblico di Identità Digitale (SPID) è la chiave di accesso semplice, veloce e sicura ai servizi digitali delle amministrazioni locali e centrali.
Un’unica credenziale
Un’unica credenziale (username e password) che rappresenta l’identità digitale e personale di ogni cittadino, con cui è riconosciuto dalla Pubblica Amministrazione per utilizzare in maniera personalizzata e sicura i servizi digitali.
SPID consente anche l’accesso ai servizi pubblici degli stati membri dell’Unione Europea e di imprese o commercianti che l’hanno scelto come strumento di identificazione. Con il sistema di accesso su cui si basa SPID, la Pubblica Amministrazione è ancora più vicina ai cittadini. Garantendo a tutti una modalità di accesso ai servizi online, che è sempre uguale ed intuitiva. SPID facilita la fruizione dei servizi online e semplifica il rapporto dei cittadini con gli uffici pubblici. Anche il settore privato può trarre vantaggi dall’identità digitale, migliorando l’esperienza utente e la gestione dei dati personali dei propri clienti.
Semplice, utile e sicuro, SPID è diventato praticamente indispensabile per accedere con un solo username e una sola password a tutti i servizi online della Pubblica Amministrazione e di alcuni soggetti privati aderenti, riducendo notevolmente i tempi burocratici di varie operazioni e snellendone la gestione
SPID: a cosa serve.
Il sistema nasce per agevolare la diffusione e l’uso dei servizi online della pubblica amministrazione e dei privati aderenti, con una coppia di credenziali (username e password) personali, è gratuito per tutti i cittadini (una volta ottenuto, nessun costo o canone verrà richiesto) e viene gestito dall’AgID, l’Agenzia per l’Italia Digitale. I servizi a cui si può accedere tramite SPID sono oltre 5.300 e sono in continua evoluzione, pertanto è sempre consigliato consultare il sito ufficiale del Governo per avere un quadro completo e aggiornato di quelli disponibili.
Prenotazioni sanitarie, iscrizioni scolastiche, accesso alla rete Wi-Fi pubblica, verifica della posizione INPS o INAIL, pratiche d’impresa con un’unica password, con SPID tutto ciò diventa possibile in maniera rapida e da qualsiasi dispositivo: computer, tablet e smartphone, ogni volta che, su un sito o un’app di servizi, trovi il pulsante “Entra con SPID”. Il Sistema Pubblico di Identità Digitale è anche la chiave di accesso ai servizi pubblici europei. Con l’identità digitale l’utente può infatti accedere ai servizi online degli Stati membri che hanno aderito al nodo eIDAS italiano.
Come attivare lo SPID
L’unica cosa che l’utente deve fare è ottenere un’identità SPID dando nome, cognome, sesso, luogo e data di nascita, codice fiscale, estremi del documento d’identità, mail e numero di cellulare sul sito di uno dei gestori di identità abilitati: alcuni offrono modalità di attivazione completamente gratuite, altre a pagamento. Ma una volta ottenuto, non verrà poi chiesto mai nessun costo o canone all’utente per le credenziali di livello 1 e 2. Lo SPID è pensato per sostituire tutto, per questo vale la pena attivarlo presso uno qualunque dei provider accreditati. L’identità creata è destinata a rimpiazzare tutte le altre e non solo presso le solite code agli sportelli pubblici. Anche quelli privati, come ad esempio le banche.
SPID, gli identity provider accreditati
Al momento sono nove in totale i cosiddetti identity providers a fornire le credenziali, ciascuno con le proprie regole e, in certi casi, prezzi (per il riconoscimento via Internet o extra). Alcune, poi, offrono un’Identità digitale di 1° e 2° livello, altre fino al 3° livello.
Infocert punta su una registrazione online brevettata che, volendo, non necessita di altri passaggi fisici (ma costa 29,90 euro più IVA) altrimenti sono necessarie la firma digitale, la Carta di Identità Elettronica o una Carta Nazionale dei Servizi. In alternativa ci si può recare fisicamente presso una delle agenzie UNAPPA, un CAF abilitato o una tabaccheria convenzionata Mooney, pagando rispettivamente 29,90€, 9,90€ o 7,90€, tutte IVA inclusa.
SPID con Poste Italiane consente di usare la sua applicazione con la ID di Poste, il sistema BancoPosta con lettore, il cellulare certificato per le attività collegate al conto, oltre naturalmente al Cie e CNS, ma ha attivato molti suoi uffici dove è possibile chiedere le credenziali.
Anche TIM sfrutta il web per la creazione di SPID (se non si vuole andare fisicamente presso la sede più vicina), gratis per chi usa la Carta Nazionale dei Servizi o una Tessera Sanitaria (abilitata come CNS), oppure la firma digitale o qualificata. Per il riconoscimento via webcam i privati devono pagare 24,28€, mentre le aziende e i liberi professionisti in possesso di P. IVA rilasciata in Italia, 19,90€, in entrambi i casi IVA inclusa. TIM propone anche un servizio a pagamento per aziende e liberi professionisti a circa 29,00€ annuali. Anche su Register la creazione dello SPID è gratis per i liberi cittadini, ma ha un prezzo di 35,00€ l’anno per società e professionisti.
Questione di sicurezza
Un aspetto interessante dello SPID è il suo triplo livello di profondità che corrisponde anche al livello di sicurezza. Il primo livello, fornito da tutti a titolo gratuito, è quello che consente all’utente di autenticarsi con una user-id e una password (da cambiare due volte l’anno). Il secondo livello, sempre fornito gratuitamente, ma dove i provider mettono in campo le loro soluzioni particolari, richiede anche un codice temporaneo, ad esempio un SMS con una password a tempo (OTP: one time password) o l’uso di una app su smartphone o tablet. Per il terzo livello, ancora non fornito da tutti i provider, l’utente ha bisogno oltre delle credenziali SPID, dell’utilizzo di ulteriori soluzioni di sicurezza e di eventuali dispositivi fisici (es. smart card) che vengono erogati dal gestore dell’identità.
Questi tre livelli sono legati anche a servizi via via più complessi: per una semplice registrazione basterà il livello uno, per servizi che contengono documentazione di valore viene richiesto un livello superiore, e così via, fino al livello tre, nel caso di dati personali molto sensibili (per esempio quelli sanitari e medici). Ad ogni modo, per l’accesso ai servizi per il cittadino, questo grado di sicurezza non è richiesto.
Quali sono i documenti che servono per lo SPID
Alla richiesta dello SPID, sono poche le cose che bisogna avere a portata. Un numero di telefono cellulare, un indirizzo email attivo, il proprio codice fiscale e un documento di identità in corso di validità.
Non c’è un documento che vada meglio di un altro: si può quindi presentare la carta di identità come, ad esempio, il passaporto. Si può anche ricorrere, in alternativa, alla Carta d’Identità Elettronica, che ha le stesse funzioni e dà lo stesso risultato.
Serve lo SPID all’estero?
Lo SPID è un servizio studiato e creato per tutti i cittadini italiani che abbiano raggiunto la maggiore età. Con questa affermazione si capisce che il servizio è anche rivolto ai cittadini italiani residenti all’estero. Ma perché mai un cittadino italiano residente all’estero dovrebbe avere bisogno dello SPID?
Innanzitutto, il cittadino potrebbe avere bisogno di regolare le proprie posizioni previdenziali, tanto per fare un esempio. Oppure potrebbe dover interagire con qualche ente della Pubblica Amministrazione del suo Paese d’origine per interessi personali o professionali. Per questo motivo dotarsi di uno SPID può essere utile anche nelle interazioni dall’estero con gli enti italiani.
Oggi tratteremo in questo articolo un argomento legato ai tanti aspetti della security policy e i rischi reali per i dati.
Il dipendente licenziato, arrabbiato con il suo ormai ex datore di lavoro, scaricò su una pen drive USB l’elenco di tutti i clienti che, nel corso degli anni si erano lamentati dei prodotti dell’azienda e lo offrì alla concorrenza. Sperava di essere assunto ma, in ogni caso, voleva danneggiare il suo precedente datore di lavoro.
Il socio con cui avevano condiviso anni di attività decise di mettersi in proprio e, dopo aver aperto la sua azienda, contattò tutti i clienti della società da cui si era staccato per offrire i suoi prodotti a prezzi decisamente più convenienti.
Durante la pausa pranzo, il consulente che si recava in visita verso i potenziali clienti, si fermò in un noto ristorante di campagna. Una volta qui, utilizzò la connessione del locale per inviare le copie dei contratti che aveva fatto firmare ma, a causa della scarsa protezione della rete, non si accorse di una mail ingannevole. Scaricò un ransomware che fece lo stesso percorso dei contratti e si accomodò nel server aziendale criptandolo. La successiva richiesta di riscatto in bitcoin che giunse ai vertici aziendali giunse anche alle orecchie di alcuni clienti. Questi, non ricevendo i prodotti e servizi del fornitore, avevano telefonato per chiedere spiegazioni date da una segretaria. Questa aveva ingenuamente comunicato come si trattasse “solo di un blocco del sistema a causa di un attacco informatico.”
I rischi del data breach
Potrei continuare con gli esempi ma credo che questi siano sufficienti per far capire non solo le possibili ed impensabili sfaccettature sotto cui si può presentare un data breach, ma anche come ormai non si possa pensare di ridurre la protezione dati solo ad un antivirus o ad un’informativa magari scaricata online o collocata su una piattaforma di un’azienda fornitrice. Evidente come sia ai confini dell’impossibile prevedere ogni possibile minaccia che corrono i dati di cui ogni azienda deve essere gelosa custode per evitarne la perdita e le conseguenze.
In tutti gli esempi sopra citati il Titolare del Trattamento, oltre a dover fronteggiare nei primi due casi le conseguenze del danno di immagine e dell’illecita concorrenza e nel terzo quello di decidere se cedere al riscatto o recuperare diversamente i dati, devono affrontare l’Autorità Garante cui il data breach deve essere riportato entro settantadue ore dal suo rilevamento. Andare a dichiarare l’accaduto è un dovere, sottrarsi al quale vuol dire già essere oggetto di una sanzione magari pesante e, inoltre, si sostanzia in una confessione di non essere stati in grado di prevenire l’accaduto.
Inutile sostenere la buona fede o il fatto inevitabile o, ancora, scaricare le colpe su dipendenti sleali, incapaci o altro. Le responsabilità ricadono in capo al Titolare che sarà chiamato a pagarne le conseguenze.
Conseguenze
Quali possono essere queste conseguenze? Le sanzioni emesse dal Garante possono andare da una censura fino a poche migliaia di euro, ma quelle economiche potrebbero rivelarsi le meno dolorose. Il procedimento e le necessarie attività di valutazione e adeguamento si risolvono in costi non solo economici ma anche in ore di attività sottratte alla produzione. Il Garante potrebbe imporre misure correttive che possono richiedere ulteriori costi se non addirittura lo stravolgimento di procedure operative e di fasi di lavorazione. Inoltre, non si dimentichi, è necessario informare gli interessati di quanto accaduto e in tal senso non è sufficiente un comunicato sulle pagine web aziendali. Ogni cliente deve ricevere una comunicazione dei rischi che corre a causa del data breach. Anche l’immagine di un’azienda potrebbe essere pregiudicata.
Quando si parla di sicurezza dei dati è necessario in ogni azienda un cambio di prospettiva rispetto al passato. A partire dalla consapevolezza ormai necessaria e che i dati sono un patrimonio aziendale fondamentale e non adeguarsi al GDPR può avere conseguenze addirittura disastrose.
ProtonMail è uno dei servizi di posta elettronica più sicuri al mondo, in quanto utilizza la crittografia end-to-end e quindi non è possibile accedere ai dati degli utenti, rispettando la loro privacy. Tuttavia, la casa di sviluppo svizzera è stata obbligata a comunicare alle autorità svizzere l’indirizzo IP di un utente, attivista del movimento Youth For Climate, che è stato arrestato a Parigi. Il CEO Andy Yen ha pubblicato un post per spiegare l’accaduto.
ProtonMail: privacy non a prova di legge
La software house che sviluppa il servizio di posta elettronica e la nota VPN ha sede legale a Ginevra, quindi deve rispettare le leggi svizzere. Questo significa che può essere obbligata a fornire informazioni sugli account degli utenti sotto indagine da parte delle autorità locali. Come specificato sul sito di ProtonMail, per impostazione predefinita, il servizio non conserva nessun log degli indirizzi IP.
Nel report sulla trasparenza si può leggere tuttavia che, in seguito all’ordine del giudice, Proton deve fornire ogni informazione utile all’identificazione dei soggetti sotto indagine. In casi estremi, l’azienda potrebbe essere obbligata a monitorare gli indirizzi IP usati per accedere all’account.
Protonmail si è ritrovata al centro di polemiche per avere fornito ad autorità francesi gli indirizzi IP di militanti ambientalisti nell’ambito di un’indagine, una scelta che cozza con la riservatezza vantata dal servizio e la “privacy svizzera” vantata nella homepage.
La questione riguarda il cosiddetto “Climate Camp” del 2020. Alcuni manifestanti avevano occupato alcuni edifici privati per manifestare contro la “gentrificazione” (il progressivo cambiamento socioculturale di un’area urbana con conseguente rivalutazione sul mercato da parte di soggetti abbienti ai danni della classe operaia) ed erano stati poi sgomberati.
La software house svizzera ha fornito l’indirizzo IP dell’attivista del movimento Youth For Climate, arrestato a Parigi, in seguito all’ordine emesso da Europol.
Il CEO Andy Yen
Il CEO Andy Yen sottolinea che in nessun caso è possibile accedere al contenuto delle email, essendo protette dalla crittografia end-to-end. La software house non conosce il nome dell’utente, ma non può opporsi alla richiesta delle autorità svizzere. In base alla legge locale è comunque obbligatorio informare l’utente che una terza parte ha chiesto i suoi dati perché c’è un’indagine in corso.
Some thoughts on the French “climate activist” incident. It’s deplorable that legal tools for serious crimes are being used in this way. But by law, @ProtonMail must comply with Swiss criminal investigations. This is obviously not done by default, but only if legally forced.
Il CEO ha inoltre evidenziato la differenza tra sicurezza/privacy e anonimato. Quest’ultima condizione si può ottenere con ProtonVPN (in base alla legge attuale non c’è obbligo di registrazione dei dati) o tramite l’accesso al protocollo di rete onion (Tor).
Banca dati: la cassaforte più importante di un’impresa. Vediamo attraverso questo articolo l’importanza di questa risorsa.
Non a caso la corretta traduzione in italiano del database è banca dati: in banca si tengono le cose preziose, i valori, forse anche i ricordi importanti. Oggi per un’azienda i dati personali sono un valore fondamentale non certo perché il GDPR impone di trattarli e conservarli come tali. Ma piuttosto perché sono un asset fondamentale per l’organizzazione e la gestione di ogni azienda: piccola o grande che sia.
Numeri di telefono, mail, indirizzi di clienti e fornitori sono niente se pensiamo a che cosa consideriamo oggi “dato personale”, sia dalla legge che dagli analisti. Questi infatti li usano per migliorare le performance aziendali sia per programmare strategie e futuro. Per dati, in questo contesto, non parliamo quindi solo di mere schede anagrafiche. Ma piuttosto di tutto quell’insieme di elementi che sono sempre più indispensabili in una economia di mercato sempre più globale e digitale.
I dati, una risorsa vitale
Già per qualcuno, forse, un like su un post della pagina aziendale dice molto di più del nome di chi lo ha messo. La provenienza geografica dei follower di un personaggio politico o dello spettacolo è essenziale per decidere dove promuovere di più, o di meno la sua presenza. Per un’azienda che produce qualsiasi prodotto lo scoprire che in una data città c’è un calo di vendite e un contestuale aumento di commenti social negativi su un dato prodotto diventa essenziale scoprire il perché. E di conseguenza poter inviare un sondaggio agli interessati è di assoluta vitale importanza.
Il problema è che per poterlo fare oggi il consumatore deve avere preventivamente autorizzato l’utilizzo della sua mail per ricevere le domande. Inoltre deve essere anche consapevole di averlo fatto.
Questo è soltanto uno degli aspetti disciplinati dal GDPR. Il Regolamento Europeo in vigore dal 2016 e che dal 25 maggio 2018 dovrebbe trovare piena applicazione da parte di ogni azienda e professionista. Se non si adempie a ciò, anche il semplice detenere numeri di telefono e anagrafiche configura trattamento illecito di dati personali. Per giunta sanzionabile a livello economico da parte del Garante con cifre anche a sei zeri, oltre che con misure interdittive quali, ad esempio, la chiusura di un sito internet che ha una privacy e una cookie policy non conformi alla disciplina. Magari che l’hanno copiata da internet ritenendo che siano tutte uguali come quando era possibile acquistare contratti prestampati in cartoleria.
Il rischio di data breach
Per ogni singolo dato e per ogni forma di trattamento il GDPR impone che venga raccolto uno specifico consenso informato. Inoltre che anche la forma di manifestazione del consenso venga conservata insieme ai dati.
Ma che cosa accade quando una cassaforte viene scassinata dai soliti ignoti o dalla Banda Bassotti di turno che, oggi, invece di essere dei simpatici imbranati sono degli hacker di primissimo livello?
Quello che la norma definisce data breach, inoltre, non è solo la perdita di dati a causa dell’attacco di un hacker che cripta i database aziendali e chiede un più o meno pingue riscatto per restituirli. Data breach è anche la perdita accidentale di un computer o di una memory portatile. In queste ipotesi, che sappiamo non essere un semplice rischio, bisogna prendere le misure necessarie non solo a recuperare i dati prima di perdere definitivamente una parte dell’efficienza aziendale, ma anche avere previsto una procedura per avvisare la propria clientela e i fornitori dei rischi che corrono.
Riusciamo ad immaginare, ad esempio, le conseguenze di una mail inviata a tutti i vostri clienti con la quale, in prossimità di un pagamento, ricevono da un indirizzo mail assolutamente riferibile alla vostra azienda, con cui si comunica un diverso iban? Ecco perché il GDPR deve essere applicato: non solo per proteggere quel valore aziendale che sono i dati, ma anche per proteggere voi stessi.
Il Regno Unito vuole la modifica dell’attuale legge sulla privacy ed eliminazione dei pop-up legati ai cookie visualizzati sui siti per chiedere il consenso al tracciamento.
Da oltre un anno si parla delle possibili conseguenze della Brexit sul trattamento dei dati personali degli utenti del Regno Unito. Il governo ha ora annunciato che apporterà alcune modifiche alla legge attuale basata sul GDPR (Regolamento generale sulla protezione dei dati) e metterà dunque fine agli irritanti pop-up per il consenso dei cookie.
Nuova legge sulla privacy nel Regno Unito
Il GDPR è in vigore dal 25 maggio 2018. Il Regno Unito è uscito dall’Unione europea il 1 gennaio 2021. Il governo guidato da Theresa May ha introdotto il Data Protection Act nel 2018 che contiene regole equivalenti al GDPR. Oliver Dowden, Segretario di Stato per il digitale, la cultura, i media e lo sport, ha dichiarato che è arrivato il momento di riscrivere la legge sulla privacy e di sottoscrivere accordi internazionali per lo scambio dei dati.
Tuttavia qualsiasi modifica dovrà adeguarsi all’Unione europea, altrimenti partirà il blocco del trasferimento dei dati degli utenti tra Regno Unito e altri paesi. L’importante cambiamento sarà affidato alla supervisione del nuovo commissario. Il governo ha proposto come candidato John Edwards, attualmente garante della privacy in Nuova Zelanda.
Anche se il famoso consenso per i cookie è previsto dalla direttiva ePrivacy del 2002 (quindi precedente al GDPR), il Regno Unito approfitterà dell’occasione per eliminare i fastidiosi pop-up dai siti web. Non è chiaro però come ciò verrà attuato in pratica, visto che il consenso è obbligatorio nell’Unione europea. I siti potrebbero considerare la posizione geografica (tramite indirizzo IP). Ma tuttavia potrebbero continuare a mostrare i pop-up agli utenti del Regno Unito, anche se non più necessario.
Facciamo chiarezza su una scoperta di questi giorni che riguarderebbe i messaggi Whatsapp, che sembrerebbero essere letti da Facebook
WhatsApp forse non è così privato come pensiamo che sia, né come dichiara di essere, ma c’è (in parte) una spiegazione.
In queste ore una scoperta di ProPublica ha consentito di fare chiarezza relativamente ad un importante aspetto relativo alla sicurezza dei messaggi veicolati tramite WhatsApp. Sebbene Facebook abbia sempre professato massimo rispetto della privacy degli utenti, infatti, la cosa sembra in contraddizione con quanto scoperto: Menlo Park e altre sedi a livello internazionale ospiterebbero oltre 1000 lavoratori a contratto la cui funzione è quella di analizzare un grande numero di messaggi per vagliarne la potenziale pericolosità.
1000 persone al lavoro sulla moderazione, insomma, con speciale potere di accedere a messaggi privati. Tutto ok, quindi?
La spiegazione
Il dubbio è dunque lecito: se nessuno può leggere i messaggi WhatsApp inviati, tranne mittente e destinatario (così come spiegato a titolo ufficiale da Mark Zuckerberg in apposita seduta pubblica), come possono i lavoratori assunti da Facebook venire a conoscenza del loro contenuto? Come può un lavoro di crittografia end-to-end essere tale se nel mezzo si configura un elemento censorio in grado di accedere a qualsiasi messaggio per carpirne i contenuti?
Più di mille moderatori leggono i messaggi che vengono segnalati come inappropriati o violenti. Secondo Facebook questa pratica non è incompatibile con la crittografia end-to-end della piattaforma
La spiegazione è quella fornita da Facebook secondo cui il meccanismo non andrebbe in contraddizione con la crittografia: semplicemente quando un utente segnala un messaggio come potenzialmente pericoloso o inopportuno, il processo si configura come un invio del messaggio stesso a Facebook. Di fatto è come un tradizionale “inoltra”, aprendo una nuova comunicazione end-to-end tra l’utente e l’azienda. A questo punto il messaggio può essere letto e vagliato, così da poter intraprendere le azioni previste per la casistica specifica.
WhatsApp, sulla stessa falsa riga, ha confermato questo tipo di disamina spiegando che il lavoro operato su spam e abusi non rappresenta certo una violazione della privacy degli utenti, ma una collaborazione offerta agli stessi per “ripulire” le bacheche ed i contatti.
Il caso ha consentito di far luce sul meccanismo. Offrendo ulteriore chiarezza sui modi in cui il gruppo agisce nella verifica dei contenuti, nella gestione delle segnalazioni e nel rispetto della privacy.
Problema di metodo
C’è però qualche piccolo problema anche con questo metodo. I moderatori di WhatsApp hanno detto a ProPublica che il programma di intelligenza artificiale dell’app invia loro un numero eccessivo di post innocui.
Oltre a questo, una volta flaggato un contenuto, come detto, anche i quattro messaggi precedenti nella chat raggiungono i moderatori e le informazioni sulle “recenti interazioni con l’utente segnalato”, che potrebbero però includere anche dati sensibili come numeri di telefono, email e foto del profilo, tra le altre cose. WhatsApp inoltre raccoglie i metadati delle nostre conversazioni e non fa mistero di condividerli con le forze dell’ordine. A differenza di app come Signal che salvano solo le informazioni di contatto.
In un’audizione al Senato del 2018, Mark Zuckerberg aveva assicurato che “non vediamo nessuno dei contenuti in WhatsApp, è completamente crittografato”. Alla luce delle nuove informazioni e da quello che ammette la stessa Facebook lo scenario è ben diverso. WhatsApp può effettivamente leggere i nostri messaggi senza il nostro consenso.
Da ieri, alcuni utenti stanno ricevendo una comunicazione direttamente da TIM. Al prossimo accesso a MyTIM saranno obbligati a cambiare la password del loro account, a causa dell’attacco di hacker che hanno violato i server dell’azienda. Questo ha costretto di fatto i clienti a cambiare le loro credenziali di accesso.
La comunicazione
L’attacco ha portato alla sottrazione dei dati degli utenti. E così, in via precauzionale, TIM ha preferito bloccare gli account coinvolti. Accedendo alla pagina principale dell’Area Privata di MyTIM costoro devono seguire le procedure per la reimpostazione della password.
Qui la comunicazione inviata dall’operatore via mail ai clienti.
Gentile Cliente,
desideriamo informarti che, a fronte delle attività di controllo di sicurezza sui nostri sistemi, sono state rilevate attività anomale, svolte da parte di soggetti terzi ignoti, che potrebbero mettere a rischio la riservatezza delle tue credenziali di accesso a MyTIM.
Per tua tutela e per garantire la sicurezza delle tue informazioni, stiamo provvedendo a disabilitare in via precauzionale le tue credenziali MyTIM, utilizzate anche per l’accesso ad alcuni servizi TIM correlati (TIM Party, TIM Personal), rendendo obbligatorio il cambio password al primo accesso all’Area privata MyTIM, da effettuare al seguente indirizzo https://mytim.tim.it/auth/recupero-password.html
Se hai già provveduto a modificare la password successivamente alla disabilitazione, ti consigliamo di valutarne la struttura ai fini di una maggiore sicurezza e nel caso di eseguire la procedura di modifica della stessa in occasione del prossimo accesso a MyTIM ed alla tua casella di posta elettronica. Al riguardo, riteniamo opportuno raccomandarti di non utilizzare più la vecchia password, né una simile, nonché di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online, qualora coincidente o simile a quella precedentemente utilizzata su MyTIM.
Con l’occasione ti ricordiamo, quali misure idonee a prevenire abusi o frodi, di custodire accuratamente e non divulgare mai sul web le credenziali di autenticazioni a portali o sistemi, utilizzare password “strutturate” (es. composte da numeri, lettere maiuscole e minuscole, caratteri speciali) da cambiare periodicamente, di fare attenzione ad azioni di phishing, di aggiornare periodicamente il software sul tuo PC e cellulare e di utilizzare un Antivirus.
La compromissione delle credenziali di autenticazione potrebbe infatti comportare l’accesso da parte di terzi a servizi online ai quali ti sei registrato, con conseguente perdita di controllo sui tuoi dati personali, possibile acquisizione fraudolenta di informazioni che ti riguardano o anche eventuali situazioni di furto di identità.
Scegliere più password diverse
TIM coglie inoltre l’occasione per invitare gli utenti a considerare la robustezza della password scelta. E inoltre le giuste modalità di utilizzo. Quella nuova non deve essere troppo simile a quella vecchia (poiché, altrimenti, sarebbe facilmente indovinabile). Cosa fondamentale, deve anche essere possibilmente unica.
Infatti adoperando una password presso più servizi, associata al medesimo indirizzo email, chi riesce a impossessarsene può accedere a tutti i servizi ad essa connessi.
I dati rubati dagli autori dell’attacco non includono informazioni relative ai pagamenti. Tuttavia ciò non significa che il furto non avrà ulteriori conseguenze. E’ facile, per esempio, prevedere che presto inizierà una campagna di phishing che li sfrutterà.
TIM al momento non ha indicato il numero degli utenti coinvolti nella violazione dei server, che pare non essere stata per ora rivendicata.
Data Breach
La comunicazione non è delle migliori che il cliente pagante si potrebbe aspettare. In effetti è sempre colpa dell’hacker di turno, considerando che TIM sottolinea anche il fatto di sentirsi parte lesa nella vicenda. L’unico problema è che, avendo i dati dei clienti, il loro lavoro, oltre a erogare servizi telefonici, deve anche essere quello di proteggere tali dati.
Come gli esperti insegnano, in questi casi di crisi, ci si aspetta per lo meno delle scuse. Quest’ultime inesistenti nella loro comunicazione. Perché che lo si voglia o no, la colpa è anche del gestore (TIM) che non ha lavorato abbastanza bene per proteggere la propria struttura.
Nel rispetto della normativa vigente, TIM dichiara di aver comunicato informazioni sull’attacco hacker al Garante Privacy, tramite l’invio di una notifica formale.
Questo sito consente l'invio di Cookie di terze parti al fine di migliorare la navigazione offrendo servizi correlati. Premendo il tasto "Accetta" Cookie accetti l'utilizzo dei cookie. Per ulteriori informazioni su come questo portale utilizza i Cookie puoi selezionare il tasto Leggi di più. Puoi modificare il consenso premendo il tasto Impostazioni.
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito Web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Ma la disattivazione di alcuni di questi cookie potrebbe influire sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questa categoria include solo i cookie che garantiscono funzionalità di base e caratteristiche di sicurezza del sito web. Questi cookie non memorizzano alcuna informazione personale.
Cookie
Durata
Descrizione
__hssrc
sessione
This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA
6 mesi
This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement
1 anno
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 mesi
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary
11 mesi
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others
11 mesi
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
Qualsiasi cookie che potrebbe non essere particolarmente necessario per il funzionamento del sito Web e viene utilizzato specificamente per raccogliere dati personali dell'utente tramite analisi, pubblicità, altri contenuti incorporati sono definiti come cookie non necessari. È obbligatorio ottenere il consenso dell'utente prima di eseguire questi cookie sul tuo sito web.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Cookie
Durata
Descrizione
__cf_bm
30 minuti
This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc
sessione
HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Cookie
Durata
Descrizione
__hstc
sessione
This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga
2 anni
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_78N9WP2E3X
2 anni
This cookie is installed by Google Analytics
CONSENT
2 anni
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk
sessione
HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Cookie
Durata
Descrizione
VISITOR_INFO1_LIVE
6 mesi
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
sessione
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt.innertube::requests
Mai
This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
