Indice:

  1. Violati i dati personali degli utenti di Linkedin
  2. La Guardia di Finanza è il braccio operativo dell’Autorità Garante della Privacy
  3. I “dispositivi intelligenti” possono compromettere la nostra privacy e la nostra sicurezza personale
  4. Criticità dello smart working per la sicurezza dei dati aziendali e per la privacy dei lavoratori
  5. Collaborazione tra l’Autorità garante della privacy e l’Ispettorato nazionale del lavoro
  6. “Green Pass” nazionale, per spostarci liberamente tra le regioni, nel mirino del Garante
  7. Professionisti e social network
  8. In Europa i diritti e le libertà dei cittadini saranno protetti contro l’uso indiscriminato dell’Intelligenza Artificiale
  9. Una breve “carellata” dei più recenti attacchi informatici
  10. Alcuni tra gli ultimi provvedimenti del Garante privacy

 

Violati i dati personali degli utenti di Linkedin

L’articolo Allarme privacy e rischio truffe per 500 milioni di utenti di Linkedin: dati personali dei profili in vendita online su un forum di hacker informa che, dopo Facebook, adesso è toccato a Linkedin, il social network professionale specifico per le relazioni di lavoro, a subire il furto di dati personali. Sarebbero coinvolti ben 500 milioni di utenti, ciò che rappresenta l’83% del totale mondiale degli iscritti. I dati sottratti e messi in vendita all’asta dagli hacker riguarderebbero i nominativi completi, gli indirizzi email, i numeri di telefono, il sesso, i collegamenti ad altri profili, i titoli professionali e le altre informazioni relative alle attività dichiarate. Una quantità minore di dati (2 milioni di utenti) è invece acquistabile per soli 2,00 $, come prova dell’intera disponibilità.
Non è ancora chiaro se si tratti di dati pregressi o aggiornati. Di fatto non ci sono commenti, da parte di Linkedin, riguardo alla notizia che è stata divulgata dal sito di sicurezza informatica Cyber News, né ci sono state sinora denunce di data breach all’Autorità garante italiana. In tutti i casi, sono consigliabili il cambio della password su Linkedin e particolari attenzioni a possibili attacchi per spear phishing e per SIM swapping (che si rivolgono agli interessati, per email e per messaggi su smartphone rispettivamente, simulando fonti attendibili per entrare in possesso di informazioni riservate e sensibili).
Dai dati compromessi dei professionisti possono derivare inoltre attacchi tramite tecniche di BEC (Business Email Compromise), con le quali vengono approcciate altre funzioni aziendali, comunicando dati dettagliati, in apparenza affidabili, della società e dei suoi rappresentanti, per farsi inviare denaro sul c/c comunicato.
Un altro articolo di Federprivacy ci informa che, dopo il furto dei dati personali sul social Linkedin, il Garante della Privacy ha avviato un’istruttoria nei suoi confronti. Il Garante ha adottato un provvedimento che avverte che l’utilizzo di questi dati, da parte di chiunque ne possa venire in possesso, viola le norme sulla privacy, in quanto provenienti da un illecito. Avverte, infine, tutti gli utenti interessati a prestare particolare attenzione a eventuali anomalie connesse a SMS e al proprio account.

 

La Guardia di Finanza è il braccio operativo dell’Autorità Garante della Privacy

E’ stato siglato il protocollo d’intesa tra il Garante Privacy e Guardia di Finanza. L’accordo è finalizzato alle attività di vigilanza sul rispetto delle norme che disciplinano la tutela dei dati personali ed al potenziamento dei controlli della legalità nel mercato dei beni e dei servizi, a tutela di tutti i cittadini contro le frodi tecnologiche.

 

I “dispositivi intelligenti” possono compromettere la nostra privacy e la nostra sicurezza personale

L’articolo La privacy nelle case 4.0: il caso Amazon Ring e le criticità delle abitazioni ‘intelligenti’ mette in guardia contro le possibili violazioni, anche gravi, della nostra sfera privata per tramite dei cosiddetti “assistenti virtuali” e in genere con i dispositivi digitali “intelligenti” che collegano la nostra abitazione con l’esterno, via Internet.
Persone e anche minori sono state pesantemente tormentate da malintenzionati che hanno sfruttato citofoni e/o telecamere intelligenti dotati di altoparlante per minacce, insulti e tentativi di circuizione. Nello specifico si tratta di apparecchi prodotti dalla società Ring (di Amazon), la quale ha affermato che le violazioni sono dovute alla debolezza delle password utilizzate.
I produttori dovrebbero intensificare i loro sforzi per garantire perimetri di difesa informatica più sicuri, ma anche i consumatori dovrebbero abituarsi ad utilizzare password complesse, rinnovate periodicamente, autenticazioni a due fattori e a non utilizzare la stessa password su più dispositivi, al fine di minimizzare i rischi della “smart home” (casa intelligente).

 

Criticità dello smart working per la sicurezza dei dati aziendali e per la privacy dei lavoratori

L’articolo Modalità semplificata di attivazione dello smart working, senza accordi individuali a rischio privacy dei lavoratori e sicurezza dati aziendali ripropone l’attenzione sulle criticità dello smart working (argomenti già trattati in precedenza), anche rispetto alla non omogeneità delle norme cui dovrebbe esser fatto riferimento (DPCM del 1 marzo 2020 in deroga all’art. 18 della L. 81/2017 e con scadenza, salvo proroghe, al 30 aprile 2021; la Legge 26 febbraio 2021, n. 21; le regole previste dal Capo II (“lavoro agile”) della stessa L. 81/2017; l’art. 4, L. 300/1970).
I punti critici: la garanzia dell’integrità dei dati aziendali, le strumentazioni in dotazione al dipendente, il controllo (monitoraggio) da parte del datore di lavoro sulle attività svolte, le misure di sicurezza informatica, la formazione specifica da erogare ai dipendenti, le piattaforme di condivisione dei dati, la tutela della privacy dei dipendenti, l’informativa sulle modalità del monitoraggio.
L’autore conclude consigliando una valutazione di impatto (a maggior ragione nel caso in cui per il lavoro aziendale siano utilizzati dispositivi elettronici personali, quali computer, tablet o smartphone) e auspicando l’obbligatorietà dell’accordo individuale quantomeno con riguardo all’esercizio del potere di controllo.

 

Collaborazione tra l’Autorità garante della privacy e l’Ispettorato nazionale del lavoro

L’articolo Firmato protocollo d’intesa tra Garante Privacy e Ispettorato nazionale del lavoro ci informa che al protocollo d’intesa, rinnovato lo scorso marzo, tra il Garante per la privacy e la Guardia di Finanza per rafforzare la vigilanza sul rispetto delle norme per la tutela dei dati personali, si aggiunge ora un protocollo d’intesa dello stesso Garante con l’Ispettorato del lavoro.
Quest’ultimo accordo scaturisce fra l’altro per la diffusione del lavoro a distanza, che permarrà almeno in parte anche in condizioni post crisi pandemica, e per l’utilizzo di applicativi per dispositivi mobili atti a contenere i rischi di contagio.Gli obiettivi dell’intesa sono la collaborazione nelle tematiche di competenza dei due enti, con particolare riferimento all’utilizzo degli strumenti tecnologici connessi allo svolgimento del rapporto di lavoro, e alla diffusione di buone prassi per prevenire trattamenti di dati personali non conformi alle norme sulla privacy e sul controllo a distanza dei lavoratori.

 

“Green Pass” nazionale, per spostarci liberamente tra le regioni, nel mirino del Garante

L’articolo Covid-19 e ‘certificazioni verdi’: perché violano il Gdpr affronta un argomento che ci interessa come privati cittadini.
Il Garante per la privacy ha emanato un avvertimento formale contro l’impostazione attuale dei pass vaccinali, o “certificazioni verdi”, di cui al decreto legge del 22 aprile 2021, n. 52, in quanto non conforme al GDPR.
Le criticità sarebbero relative a:
1. Mancata consultazione del Garante
2. Inidoneità della base giuridica
3. Violazione del principio di minimizzazione dei dati
4. Violazione del principio di esattezza
5. Violazione del principio di trasparenza
6. Violazione del principio di limitazione della conservazione e di integrità e riservatezza.
Per la tutela dei diritti e delle libertà degli interessati avrebbe dovuto essere condotta una una preventiva valutazione di impatto.

[Chi gradisse ulteriori dettagli può far riferimento anche all’articolo Il Garante Privacy invia un avvertimento formale al Governo: ‘Gravi criticità per i pass vaccinali nel decreto riaperture’].

 

Professionisti e social network

Gli ordini professionali hanno sentito l’esigenza di ribadire [qualora ce ne fosse stato bisogno, ndr], nella fattispecie dell’utilizzo dei social, il principio deontologico circa la necessità, da parte degli iscritti, di “agire con rispetto e considerazione e preservare l’immagine e il decoro della professione, assicurando l’osservanza dei doveri di integrità e comportamento professionale nonché il rispetto dei colleghi e degli organi di categoria”.
Il Consiglio nazionale dei commercialisti e quello dei consulenti del lavoro hanno previsto sanzioni per gli inadempienti. La Federazione nazionale degli ordini delle professioni infermieristiche era già su questa linea e la Federazione nazionale degli ordini dei medici e degli odontoiatri si sta allineando. Il Consiglio nazionale forense richiede il rispetto dei doveri di verità, correttezza, trasparenza, segretezza e riservatezza, in riferimento alla natura e ai limiti dell’obbligazione professionale, nell’ambito della pubblicità online.
Quanto sopra è tratto dall’articolo Ordini professionali, uso dei social network nel mirino con regole e sanzioni per la condotta online degli iscritti.

 

In Europa i diritti e le libertà dei cittadini saranno protetti contro l’uso indiscriminato dell’Intelligenza Artificiale

L’articolo Commissione Europea, proposta di regolamento sull’Intelligenza Artificiale ci dà notizia che la Commissione europea ha consegnato una proposta di regolamento sull’Intelligenza Artificiale. Il fine è di pervenire ad un atto giuridico diretto a regolare i sistemi di Intelligenza Artificiale, nell’ambito di un coordinamento tra i vari Stati membri, bilanciando l’esigenza di preservare un’elevata tutela dei diritti e delle libertà individuali e quella di non scoraggiare e deprimere lo sviluppo e l’evoluzione delle tecnologie emergenti.

 

Una breve “carellata” dei più recenti attacchi informatici

  • È stato subito un attacco ransomware da Axos Italia, una delle aziende che offrono il servizio di Registro Elettronico alle scuole italiane. Il servizio, cui hanno accesso insegnanti ed alunni, non è stato disponibile per 7 giorni, dopodiché Axios Italia ha comunicato che il Registro Elettronico è stato ripristinato e che sono in corso i monitoraggi sulla funzionalità di tutti i sistemi.
  • Una piattaforma online di food delivery è stata colpita colpita da attacco hacker e sono stati trafugati i dati personali di 21 milioni di utenti.
  • E’ stato perpetrato un altro furto di dati personali degli utenti di Facebook, con il coinvolgimento di mezzo miliardo di persone, di cui 37 milioni di italiani.
  • Il sistema informativo del Comune di Brescia è stato paralizzato da ransomware; gli hacker hanno chiesto un riscatto in bitcoin pari a 1,3 milioni di euro. La normalità deve ancora essere ripristinata, con la speranza che i backup dei dati siano sufficientemente aggiornati.
  • Una notizia in controtendenza è che i pirati informatici che hanno portato a segno gli attacchi con il ransomware “Ziggy” hanno fornito gratuitamente alle vittime le chiavi per decriptare i dati compromessi ed hanno promesso la restituzione delle somme versate a chi aveva già pagato il riscatto. La motivazione potrebbe essere la paura di essere scoperti dalle forze dell’ordine, che hanno intensificato le indagini.
  • 43 terabyte di dati gestiti dall’Agenzia Territoriale per la Casa di Torino sono stati compromessi da un attacco ransomware. Gli hacker hanno chiesto un riscatto di 700mila dollari per restituire i dati rubati e criptati. L’Agenzia non ha intenzione di pagare, ma i tempi di recupero saranno lunghi. Intanto il data breach è stato denunciato alla Polizia Postale e notificato al Garante della Privacy.
  • Sono stati trafugati progetti industriali dei nuovi MacBook, gli hacker ricattano Apple chiedendo 50 milioni di dollari.
  • La nuova piattaforma social Clubhouse è finita nel mirino degli aggressori con un apparente data leak che coinvolge più di 1 milione di utenti.

 

Alcuni tra gli ultimi provvedimenti del Garante privacy

  • Il Garante per la protezione dei dati personali ha chiarito con un provvedimento che il furto di un hard disk contenente dati personali comporta una sanzione, nonostante sia fatta una regolare denuncia.
  • E’ stata ammonita e sanzionata una società la quale non aveva dato corso alle richieste di utenti che si erano opposti al marketing diretto non volendo più ricevere email pubblicitarie. Di fatto il tasto unsubscribe posto in fondo alle email non era funzionante e l’azienda aveva tralasciato la lettura dei messaggi ricevuti dagli utenti. Scaturiscono due osservazioni [ndr]: per le aziende verificare gli automatismi e non trascurare la posta in ingresso; per gli utenti utilizzare gli indirizzi pec rintracciabili nei pubblici registri.
  • L’editore di un quotidiano nazionale online non ha cancellato un articolo pregresso su richiesta di un interessato che reclamava il diritto all’oblio. Senza entrare nei dettagli, la mancata cancellazione nel caso specifico è stata giudicata legittima. Tuttavia è da rimarcare che l’editore è stato comunque sanzionato per non aver dato risposta, pur negativa, all’interessato.
  • A proposito di una diatriba legale tra Telecom e Garante della privacy, la Cassazione ha confermato il divieto di ricorrere a campagne di telefonate per chiedere agli interessati, che in precedenza hanno negato o ritirato il consenso a ricevere informazioni promozionali, se desiderano darlo di nuovo. In sostanza tale indagine è vista essa stessa come un’attività di marketing e quindi non lecita verso chi si è già opposto.

 

ing. Michele Lopardo

Responsabile Qualità @ Wondersys