Riportiamo come di consueto la rassegna degli articoli più interessanti pubblicati sul sito di Federprivacy in settembre 2021.

Indice:

    1. Misure di sicurezza per l’utilizzo del PC personale per lavoro
    2. Il ransomware diventa più capillare, con maggior diffusione e minori importi dei riscatti
    3. Dati personali dei dipendenti e GDPR
    4. Attacchi ransomware e phishing: cosa sono e come contrastarli
    5. Occorre diligenza nel trattamento dei dati personali dei dipendenti
    6. La verifica del green pass non è invasiva nei confronti dei dati sensibili
    7. L’attenzione alla privacy ampia il bacino della potenziale clientela
    8. Quali precauzioni per attuare i cosiddetti “controlli difensivi”
  1. E’ essenziale formare adeguatamente gli incaricati al trattamento dei dati personali
  2. Un link per approfondimenti relativi alla privacy nell’ambito del riconoscimento facciale
  3. Un riepilogo circa il controllo del green pass nelle aziende
  4. Una breve guida alla sicurezza dei dati nelle piccole e medie imprese
  5. No a formulari e applicazioni standard per la gestione della privacy
  6. Violazioni di dati personali e sanzioni, in breve

 

Misure di sicurezza per l’utilizzo del PC personale per lavoro

Già in articoli di Federprivacy degli scorsi mesi di dicembre 2020 ed aprile 2021 aprile, di cui si è riferito nelle nostre newsletter, trattavano la pratica del BYOD (Bring Your Own Device), che riguardo l’utilizzo di dispositivi privati per l’esecuzione di attività lavorative, specie in smart working e dei rischi per le aziende a causa della minor sicurezza dei dispositivi stessi e del fatto che eventuali violazioni dei dati personali ricadono comunque sul titolare del trattamento.

L’articolo BYOD, necessario gestire e pianificare l’uso dei dispositivi per mettersi in salvo arriva a prospettare l’esigenza di una Byod Impact Assessment, o brevemente Bia, per definire se e come far utilizzare i dispositivi dei dipendenti, nell’ottica di proteggersi dagli attacchi informatici e dalle sanzioni per violazione della privacy.

E’ il datore di lavoro che deve eventualmente autorizzare l’utilizzo di strumenti non appartenenti all’azienda, sia come dispositivi fisici che come servizi e applicativi (ad es. il servizio di posta elettronica). Nella Bia dovranno essere valutate le possibili interferenze tra l’utilizzo provato e quello lavorativo.

E’ sempre il datore di lavoro che deve stabilire le modalità di archiviazione sul dispositivo del dipendente delle informazioni relative all’attività di lavoro. La Bia dovrà, inoltre, individuare le misure tecniche per archiviare in modo separato i dati relativi alle attività lavorative da quelli relativi alla sfera privata. Il dipendente dovrà essere vincolato a mantenere le cautele necessarie a evitare che i dati siano accessibili da terzi, compresi i conviventi. Dovranno esserci istruzioni tecniche relative alla manutenzione, nonché alla eventuale dismissione del dispositivo utilizzato.

La Bia dovrà essere redatta, possibilmente con il DPO, per garantire l’osservanza di tutti i requisiti pertinenti del GDPR, ma dovrà tener conto anche delle possibili trattative sindacali e delle autorizzazioni amministrative necessarie in base allo Statuto dei lavoratori.

 

Il ransomware diventa più capillare, con maggior diffusione e minori importi dei riscatti

L’articolo Come sta cambiando l’economia del ransomware e come difendersi dal contagio riferisce che negli ultimi tempi, gli attacchi ransomware si stanno diffondendo con un modello che prevede attacchi ad alto volume e a basso riscatto. Kit ransomware preconfezionati e facili da usare vengono venduti e consentono di attaccare le proprie vittime anche ai criminali informatici meno esperti.

Coloro che hanno creato il Ransomware as Service traggono profitto dalle commissioni che ottengono dalla vendita dei loro pacchetti, senza però legarsi direttamente all’attacco, senza sferrarlo direttamente, evitando così le conseguenze peggiori, quale l’arresto, in caso fossero individuati.

D’altro canto, chi sferra l’attacco ha l’opportunità di rendere più credibili i messaggi di phishing, scrivendoli nella propria lingua con un testo sintatticamente corretto.

Il lato (parzialmente) positivo è che questi ransomware sono distribuiti in pacchetti molto ampi, contro una quantità di vittime, per cui una volta che sono resi noti è più facile riconoscerli. [In ogni caso non si deve abbassare la guardia, tenendo conto che si può essere oggetto di attacco anche se si è una piccolissima impresa o un singolo. Ndr]

 

Dati personali dei dipendenti e GDPR

L’esercizio dei rapporti di lavoro comporta il trattamento dei dai personali, in parte anche sensibili, dei lavoratori, da parte del datore di lavoro.

L’articolo Rapporto di lavoro: quali sono i princìpi che il datore di lavoro deve rispettare nel trattamento dei dati personali dei propri dipendenti? costituisce un breve promemoria.

In base al GDPR, questo trattamento deve essere ridotto al minimo, limitandolo ai dati necessari per lo scopo perseguito nel singolo caso.

Devono essere attuate le opportune misure per garantire il rispetto concreto dei principi e degli obblighi connessi al trattamento stesso, in relazione alla quantità e tipologia dei dati trattati, per la salvaguardia dei diritti e delle libertà fondamentali dei dipendenti.

Deve essere fornita l’informativa sul trattamento ai dipendenti, rispettando i requisiti previsti nei casi di raccolta dati in presenza o in assenza degli interessati.

Dalla minimizzazione dei dati discende che questi devono essere pertinenti e non eccedenti, tenuto conto del tipo di lavoro e delle reali e legittime esigenze del datore di lavoro.

Tra questi dati necessari agli scopi lavorativi vi saranno, generalmente, anche quelli di carattere sanitario, appartenenti perciò a categoria di dati particolari, che potranno essere raccolti a fronte di consenso esplicito, libero ed informato, ovvero se previsti per adempimenti ad obblighi di legge o accordi collettivi. [Vale forse la pena di precisare che la raccolta e la conservazione dei dati sanitari potrà avvenire solo da parte del medico competente, designato dall’azienda, il quale provvederà poi ad informare il datore di lavoro esclusivamente in merito alle idoneità del lavoratore in relazione alle mansioni previste. Ndr]

La liceità del trattamento richiesta dal GDPR, deriva, nel caso dei dati personali connessi al rapporto di lavoro, dalle seguenti condizioni:

  • esecuzione del contratto concluso con la persona interessata;
  • adempimento di obblighi legali e obblighi derivanti da contratti collettivi;
  • perseguimento dell´interesse legittimo del titolare del trattamento oppure dei terzi cui vengono comunicati i dati, a condizione che non prevalgano sui diritti e le libertà fondamentali degli interessati;
  • consenso inequivocabile del lavoratore.

[Queste clausole possono applicarsi separatamente alle diverse tipologie di dati trattati. Ndr]

 

Attacchi ransomware e phishing: cosa sono e come contrastarli

[L’articolo Ransomware e phishing, come difendersi dal contagio digitale torna su due tipologie, a volte correlate, di attacco informatico già illustrate da numerosi altri precedenti articoli. Tuttavia, la loro pericolosità e la loro diffusione sempre più ampia rendono pur sempre apprezzabile questo ennesimo promemoria. Ndr]

Il ransomware è un programma informatico dannoso che infetta un dispositivo digitale (PC, tablet, smartphone, smart TV) bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) attraverso la cifratura delle informazioni. L’hacker richiede quindi un riscatto alla vittima per fornirgli i codici di decifratura [NB: il pagamento, che dovrebbe avvenire con cripto valuta, non garantisce in assoluto di riceverli! Ndr].

L'”infezione” può essere contratta scaricando giochi, utilità e addirittura falsi antivirus offerti gratuitamente in rete. Può avvenire anche cliccando su link o banner pubblicitari su siti web o social network, oppure navigando su siti web creati ad hoc o compromessi.

Il phishing è un’altra tecnica malevola ed illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda, quali username e password, codici di accesso (come il pin del cellulare), numeri di conto corrente, dati del bancomat e della carta di credito. La vittima viene circuita facendole credere che il richiedente sia un soggetto conosciuto oppure autorevole ed ed affidabile ed inducendola così a fornire (anche attraverso un form cui si accede con un link) le proprie credenziali, che saranno poi essere utilizzate dai criminali informatici per fare acquisti a spese del soggetto, utilizzando per esempio la sua carta di credito, prelevando denaro dal suo conto  corrente o per compiere attività illecite utilizzando il suo nome. [I codici di accesso al dispositivo della vittima possono permettere altresì di perpetrare lo stesso ransomware. Ndr]

La prima forma di difesa è la prudenza.

[Per quanto riguarda azioni e comportamenti specifici è opportuno riportare il testo integrale dell’articolo, senza riassumere, per non sminuire alcun suggerimento.]

<<< Sia per quanto riguarda il ransomware che il phishing, occorre evitare di aprire messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti (ad es. un operatore telefonico di cui non si è cliente, un corriere espresso da cui non si aspettano consegne, ecc.) e, in ogni caso, se si hanno dubbi, non si deve cliccare su link o banner sospetti e non si devono aprire allegati di cui si ignora il contenuto.

Anche se i messaggi provengono da soggetti a noi noti, è comunque bene adottare alcune accortezze, suggerite anche dal Garante della protezione dei dati personali nella pagina dedicata alla cybersecurity, ad esempio:

  • non aprire mai allegati con estensioni “strane” (ad esempio, allegati con estensione “.exe” sono a rischio, perché potrebbero installare applicazioni di qualche tipo nel dispositivo);
  • non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento);
  • scaricare preferibilmente app e programmi da market ufficiali, i cui gestori effettuano controlli sui prodotti e dove è eventualmente possibile leggere i commenti di altri utenti che contengono avvisi sui potenziali rischi;
  • se si usa un pc, si può passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli (così, in basso nella finestra del browser, si può vedere l’anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: nel caso in cui non corrispondano, c’è ovviamente un rischio).

Naturalmente è vivamente consigliato di installare su tutti i dispositivi un antivirus con estensioni anti-malware e anti-phishing e mantenere costantemente aggiornati sia il sistema operativo, che i software e le app che vengono utilizzati più spesso.

Con riferimento in particolare al rischio da ransomware, è buona norma utilizzare dei sistemi di backup che salvino, anche in maniera automatica, una copia dei dati. Con un corretto backup, in caso di un eventuale attacco ransomware, si potranno così ripristinare i dati contenuti nel dispositivo, almeno fino all’ultimo salvataggio.

In relazione specificatamente al phishing, occorre sempre tenere presente che, in generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e-mail, sms, social media o chat, pertanto se tali richieste arrivano su tali canali occorre sempre prudenzialmente dubitare della loro “bontà” ed autenticità.

Inoltre, occorre sempre diffidare dei messaggi con toni intimidatori, che ad esempio contengono minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente; spesso tali “intimidazioni” rappresentano subdole strategie per spingere il destinatario a fornire le informazioni personali illecitamente richieste.

Sempre al fine di arginare i rischi legati al phishing, è meglio non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online, ed è buona prassi impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato: banca online, e-mail, social network, ecc., se non si dispone di sistemi di autenticazione forte (strong authentication). >>>

[A quanto sopra si aggiunge che

  • file eseguibili sono anche quelli che contengono macro, come i file di MS Office con estensione “xlsm” o “docm” (potenzialmente pericolosi a meno che non sia disattivata l’esecuzione delle macro), nonché vari altri file dipendenti dal S.O.,
  • con il S.O. Windows la visualizzazione delle estensioni dei file deve essere abilitata affinché la si possa leggere,
  • è opportuno scansionare con l’antivirus i file delle app scaricate prima di eseguirli o utilizzarli,
  • contro il ransomware, è necessario che i backup siano effettuati su supporti diversi da quelli degli originali e con differenti credenziali di accesso.]

 

Occorre diligenza nel trattamento dei dati personali dei dipendenti

Ce lo dice il titolo stesso dell’articolo Lavoratori e privacy, necessario evitare una gestione approssimativa o meramente burocratica.

Nel passato i dati relativi alla gestione del personale erano archiviati in forma cartacea in archivi fisici. Adesso si ricorre principalmente alla archiviazione elettronica.

Tuttavia la più veloce modalità di trattamento non è esente da criticità, dal punto di vista del rispetto dei requisiti GDPR. Lo dimostra il fatto che in Italia, dall’inizio dell’anno, sono già state comminate sanzioni complessivamente per 5 milioni di Euro, per infrazioni relative alla protezione dei dati personali dei dipendenti.

L’autore dell’articolo sollecita quindi la massima attenzione, soprattutto in relazione al principio di “accountability” [per cui si deve essere, responsabilmente, anche in grado di poter dimostrare, a mezzo di registrazioni, la bontà dell’operato. Ndr]

 

La verifica del green pass non è invasiva nei confronti dei dati sensibili

L’ordinanza n. 5130 del Consiglio di Stato, come riporta l’articolo Consiglio di Stato: la richiesta del green pass non viola la privacy, afferma inequivocabilmente che a richiesta del green pass non comporta la violazione della riservatezza dei dati sanitari. Questa decisione si basa sui seguenti punti.

Il rischio di compromissione della sicurezza nel trattamento dei dati sensibili riveste un carattere meramente potenziale, dal momento che l’attuale sistema non sembra rendere conoscibili ai terzi le ragioni della certificazione (vaccinazione o attestazione della negatività al virus).

Il green pass rientra in un ambito di misure concordate e definite a livello europeo e dunque non eludibili.

La generica affermazione secondo cui ‘allo stato delle conoscenze scientifiche’ non vi sarebbe piena immunizzazione, e quindi si creerebbe un ‘lasciapassare falso di immunità’, è pienamente smentita da ampi e approfonditi studi e ricerche su cui si sono basate le decisioni europee e nazionali volte a mitigare le restrizioni anti covid a fronte di diffuse campagne vaccinali. Proprio la graduale estensione della certificazione verde ha oggettivamente accelerato il percorso di riapertura delle attività economiche, sociali e istituzionali.

 

L’attenzione alla privacy amplia il bacino della potenziale clientela

L’articolo Marketing digitale: il doppio delle possibilità di aumentare la propria market share per chi mostra attenzione alla privacy degli utenti riporta che da diversi autorevoli studi è emerso che i professionisti di marketing hanno il doppio delle possibilità di aumentare la propria market share rispetto a chi presenta una minore esperienza nel campo della privacy.

La protezione dei dati personali è un elemento essenziale per gli utenti, che sono disposti a condividere i propri dati, ma a condizione che vi sia trasparenza su quali dati vengono raccolti, come sono utilizzati e quali sono i vantaggi se stessi.

I marchi che non curano gli aspetti della privacy rischiano di perdere la fiducia e il rispetto dei loro clienti. Mostrarsi sensibili al problema della privacy ed offrire le corrette informazioni non implica di rinunciare a creare campagne di comunicazione di impatto, bensì si rivela una condizione vincente.

 

Quali precauzioni per attuare i cosiddetti “controlli difensivi”

L’articolo Controlli difensivi e indagini su dipendenti infedeli da disporre e proporzionare con rigore fa riferimento ad un pronunciamento della Grande Camera della Corte di Strasburgo (Corte Europea dei Diritti dell’Uomo, in breve CEDU), da cui deriva che l’utilizzo di controlli difensivi sul lavoro (atti cioè ad accertare/prevenire condotte illecite, penalmente rilevanti, da parte dei propri dipendenti), tramite impianti ed apparecchiature di controllo, è ammissibile purché ne sia preliminarmente e rigorosamente determinata la loro proporzionalità e non eccedenza, tramite un un bilanciamento degli interessi/diritti contrapposti.

Anche il Garante per la Privacy italiano ha affermato che la videosorveglianza occulta è ammissibile, anche se soltanto quale extrema risorsa a fronte di gravi illeciti e con modalità, nello spazio e nel tempo, tali da limitare al massimo l’incidenza del controllo sul lavoratore, e non può essere adottata come una prassi ordinaria.

Viceversa, per l’utilizzo di impianti audiovisivi per esigenze di carattere organizzativo e produttivo, di sicurezza del lavoro e di tutela del patrimonio aziendale, è necessario che vi sia un accordo sindacale, ovvero la previa autorizzazione della Direzione Territoriale del Lavoro o del Ministero del Lavoro.

 

È essenziale formare adeguatamente gli incaricati al trattamento dei dati personali

Si sintetizza l’articolo Istruzione, formazione e aggiornamento degli autorizzati: prerequisito fondamentale per la compliance al Gdpr.

Nel GDPR non compare la dicitura di incaricato del trattamento dati personali, ma ciò appare una mera omissione lessicale, in quanto si parla di “personale che partecipa ai trattamenti, di chi “ha accesso ai dati” e di chi “agisce sotto l’autorità del titolare e del responsabile del trattamento”.

Ebbene, l’incaricato del trattamento deve, anche in rispetto del principio di accountability, essere adeguatamente istruito, non solo con informazioni teoriche, ma anche a fronte di formazione pratica.

Tra gli aspetti da curare vi sono la minimizzazione e la pseudonimizzazione del trattamento, unitamente alle necessità di evitare ridondanze e di agire in relazione alla peculiarità e importanza dei dati e delle operazioni. Rilevanti poi sia le misure di sicurezza preventive che le procedure di recovery. La formazione dovrebbe essere verificata tramite un test di valutazione delle competenze acquisite.

La formazione, infine, dovrebbe prevedere aggiornamenti, ad esempio per una corretta gestione dei trattamenti in ambito dello smart working e dell’emergenza sanitaria conseguenti alla pandemia.

 

Un link per approfondimenti relativi alla privacy nell’ambito del riconoscimento facciale

Si cita l’articolo Riconoscimento facciale: le linee guida del Comitato Consultivo della Convenzione 108+ e si rimanda direttamente all’originale chi fosse interessato all’argomento, rammentando solo che il 28/01/2021 sono state pubblicate e Linee guida sul riconoscimento facciale e che le Autorità di controllo sono vigili riguardo a possibili infrazioni della privacy (sono già state comminate sanzioni milionarie).

 

Un riepilogo circa il controllo del green pass nelle aziende

L’articolo Green pass in azienda, necessari regolamenti ad hoc ci rammenta le disposizioni date dal Decreto Legge 127 del 21/09/2021.

Compiti del datore di lavoro:

  1. entro ill 15/10/2021 verificare il rispetto della limitazione dell’accesso ai luoghi di lavoro a chi possieda e, su richiesta, possa esibire la certificazione verde Covid-19;
  2. definire preliminarmente le modalità operative; i controlli possono essere anche a campione, purché ciò sia giustificato in ragione della rappresentatività del campione stesso; e devono essere preferibilmente effettuati all’accesso, salvo motivare le ragioni di una scelta diversa; la verifica dell’identità, a mezzo documento, delle persone di cui si controlla il green pass non è rilevante quando questa è già nota; [E’ necessario aggiungere che qualsiasi forma, manuale o elettronica, di archiviazione e gestione dei dati dei green pass, al fine di agevolare gli ingressi, costituirebbe una violazione delle leggi sulla privacy, come ben fa presente l’articolo Green Pass e accesso al luogo di lavoro, la conservazione dei dati si configura come trattamento illecito. Ndt]
  3. i soggetti incaricati dei controlli all’accesso e delle eventuali violazioni devono essere individuati con atto formale; l’incarico include il trattamento dei dati personali, con la limitazione che non possono essere raccolti dati oltre quelli relativi al possesso  e alla validità del green pass [se si utilizza la app “verificaC19”, messa a disposizione dal Ministero della Sanità, questa esclude, oltre che la raccolta dei dati dell’intestatario, la determinazione della base della certificazione -vaccino, guarigione dal COVID-19 o tampone-. Ndr]

Sanzioni:

  1. dal 15/10/2021 le mancate verifiche e/o la mancata adozione delle misure organizzative comporta, per il datore di lavoro, sanzioni da 400 a 1000 Euro [che raddoppiano in caso di ripetizione della violazione; ndr]
  2. l’accesso ai luoghi di lavoro in assenza di green pass valido è punito con la sanzione da 600 a 1.500 euro [raddoppiabili in caso di recidiva; ndr], in aggiunta alle conseguenze disciplinari secondo gli ordinamenti di settore.

 

Una breve guida alla sicurezza dei dati nelle piccole e medie imprese

L’articolo Cybersecurity: le 12 azioni dell’Enisa applicabili anche agli studi professionali informa che l’Enisa, Agenzia dell’Unione Europea per la cybersicurezza, ha pubblicato, il 28/06/2021, un report denominato “Cybersecurity per le PMI – Sfide e raccomandazioni”, accompagnato dalla “Guida alla cibersicurezza per le pmi: 12 azioni per rendere sicura la propria impresa”.

Questa guida, consultabile e scaricabile online al link fornito, può essere un ausilio anche per studi professionali di varia natura, che gestiscano e archivino dati personali mediante processi e supporti informatici.

 

No a formulari e applicazioni standard per la gestione della privacy

Nell’articolo MOP: l’importanza di una solida architettura del modello organizzativo privacy in azienda sin dall’instaurazione del rapporto di lavoro si afferma che, nel tentativo di eliminare il costo del data protection officer (DPO o RPD), molte aziende sono ricorse all’acquisto di formulari e software per la gestione della privacy secondo il Regolamento Europeo 2016/679 (GDPR).

Tuttavia siffatta burocratizzazione travisa le finalità e gli adempimenti del GDPR stesso. Con l’introduzione della normativa antiriciclaggio (D.lgs. 231/2007 e successive modifiche e integrazioni) è successo qualcosa di analogo.

Gli adempimenti devono essere trasferiti nella realtà aziendale in modo preciso e concreto, ritagliato secondo la specificità della propria organizzazione. Ciò trova la sua realizzazione nel MOP -Modello Organizzativo Privacy- (così come nei Modelli Organizzativi di Gestione e Controllo ex D.lgs. 231/2001), con cui viene definita la struttura aziendale per la gestione della privacy, in ottemperanza ai principi di privacy by design e privacy by default, e alle misure per il data security e agli interventi per i data breach. In questo ambito sono da inquadrare i ruoli che deve coprire il personale aziendale, nonché le nomine (preferibilmente) formali in relazione agli incarichi assegnati.

 

Violazioni di dati personali e sanzioni, in breve

  • Un’università polacca è stata sanzionata con un’ammenda di 11000 Euro a causa di furto di dati dal computer personale di un dipendente, utilizzato per lavoro. [Se si esamina un articolo dello scorso maggio di Federprivacy, si riscontra che, in base al decreto legge 18/2020, quando il dipendente pubblico in lavoro agile usa il proprio computer o altri suoi dispositivi, il datore di lavoro non è legalmente responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici; ciò che sembra in contrasto con la sentenza emessa dal tribunale amministrativo di Varsavia a seguito del provvedimento del Garante della privacy polacco, ma in accordo con l’obbligo di scrivere una Byod Impact Assessment, secondo il precedente articolo “BYOD, necessario gestire e pianificare l’uso dei dispositivi per mettersi in salvo”. Ndr]
  • E’ stata comminata, dal Garante per la Privacy spagnolo, una sanzione da 2,5 milioni di euro ad una catena di supermercati che usava il riconoscimento facciale per scovare i clienti con pendenze con la giustizia e bloccare loro l’accesso.
  • Sanzione di 225 milioni di euro, inflitta dall’Autorità di controllo irlandese, a WhatsApp, che non avrebbe “assolto ai suoi obblighi di trasparenza” richiesti dal GDPR per quanto riguarda la comunicazione agli utenti sull’utilizzo dei loro dati personali.
  • Due Ordini professionali sono stati sanzionati, l’uno per aver trattato dati personali oltre la legittimità fornita dall’adempimento ad obblighi legali o per l’esecuzione di un compito di interesse pubblico, l’altro per non aver risposto tempestivamente alle richieste degli interessati.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys