La firma digitale come compimento della nuova gestione documentale

L’obiettivo è chiaro: fare in modo che il workflow documentale possa continuare a fluire velocemente, senza nessun ostacolo.
Mancanza di spazio per gli archivi cartacei, lavoro in mobilità e da casa, necessità di accedere sempre a qualsiasi documento, attacchi hacker, riduzione dell’impatto ambientale: queste sono solo alcune delle tematiche da tenere in considerazione quando ci si approccia al concetto di dematerializzazione e digitalizzazione del documento cartaceo per rispondere all’esigenza delle aziende di raccogliere, analizzare, catalogare e archiviare una grande mole di informazioni.
La presenza di un sistema di firma digitale sicuro e affidabile è, in questo contesto, una componente centrale, conditio sine qua non della gestione documentale e della relativa digitalizzazione aziendale, al di là di quanto peraltro imposto a livello normativo.

I vantaggi della firma digitale

Per contratti d’assunzione, per sottoscrivere un ordine, per confermare dei documenti di trasporto, per le indispensabili informative per la privacy: la firma digitale viene utilizzata sempre più spesso, per le attività più differenti.

I vantaggi, infatti, sono molti. Si pensi al minore spreco di tempo, alla semplificazione e all’ottimizzazione dei processi per la raccolta delle firme, nonché al valore aggiunto che si può costruire nei confronti di un cliente quando si offre la possibilità di concludere un contratto a distanza, con pochi clic.
A rendere possibile e vantaggioso l’utilizzo di questo strumento di sottoscrizione sono le sue tre caratteristiche fondamentali, ovvero la possibilità di assicurare per il documento firmato digitalmente:

• legalità;
• integrità – in quanto un documento con una firma digitale non può più essere modificato;
• autenticità del firmatario.

Questi, però, sono termini piuttosto vaghi: come deve essere una firma digitale per poter essere giuridicamente valida, e quindi per poter portare a compimento il processo di gestione documentale?

I criteri fondamentali di una firma elettronica

Quali sono i requisiti tecnici di una firma digitale affinché risulti del tutto valida sia a livello legale che a livello fiscale e civilistico? Il modello a cui guardare è quello della firma elettronica qualificata, ovvero il tipo di sottoscrizione digitale più potente, riconosciuto a livello europeo.

L’aggettivo “qualificata” è da attribuire agli specifici contratti sui quali la firma stessa si basa. Dietro di essa ci deve essere quindi un prestatore di servizi fiduciari qualificato, nonché un dispositivo di firma anch’esso qualificato. Si parla nella maggior parte dei casi di chiavette USB, oppure di smart card o di token, per mezzo dei quali il sottoscrittore può firmare un documento informatico in piena sicurezza, a distanza – da PC, da smartphone o da tablet – così da sottomettere la firma digitale alla convalida e alla successiva archiviazione.

Nel momento in cui la gestione delle firme soddisfa tutti i criteri richiesti, e quindi a partire da una firma digitale efficace, rapida, semplice da utilizzare e con pieno valore giuridico, il passaggio verso dematerializzazione e conservazione sostitutiva diventa pressoché automatico.

 

Fonte: AziendaDigitale.it

Il distanziamento non basta: bisogna puntare sulla qualità dell’aria indoor

Mascherine sempre indossate a coprire naso, bocca e mento, detersione frequente delle mani, eventualmente con l’utilizzo degli appositi gel disinfettanti e, infine, il distanziamento di un metro dalle altre persone. Sono queste le principali misure che, fin dall’inizio dell’emergenza sanitaria, sono state diffuse e messe in campo per ridurre al minimo i contagi.
Senza ombra di dubbio, questi comportamenti hanno contribuito non poco – prima e dopo il lockdown – a contenere la trasmissione del Covid-19. Ma sono davvero delle misure sufficienti? Non proprio, o almeno, non totalmente.

Già con il rapporto n. 5/2020 del 23 marzo 2020 l’Istituto Superiore di Sanità sottolineava infatti la grande importanza della qualità dell’aria indoor, spiegando come fosse necessario «promuovere processi che permettano di acquisire comportamenti e misure di prevenzione della salute» come per esempio lavorare per il miglioramento della qualità dell’aria indoor.
Proprio il discorso intorno alla qualità dell’aria indoor per la prevenzione del Coronavirus è tornato centrale in queste ultime settimane, in relazione alla riapertura delle scuole.

Il vero nodo è la qualità dell’aria indoor

A puntare il dito verso l’importanza di garantire una grande attenzione nei confronti della qualità dell’aria indoor è la Società Italiana di Medicina Ambientale (Sima), che è intervenuta con una posizione ben precisa nella discussione sulla riapertura delle scuole.

Come ha spiegato di recente Alessandro Miani, presidente Sima, «la discussione sui banchi e la responsabilità giuridica dei presidi ha fatto passare in secondo piano il vero nodo alla base di una riapertura in sicurezza delle scuole. Il vero punto da affrontare è come garantire una qualità dell’aria ottimale in aula sia dal punto di vista chimico-fisico che microbiologico (assenza di virus)».
Per poter raggiungere un alto grado di qualità dell’aria, in modo da rendere l’ambiente interno salubre e sicuro, è necessario garantire frequenti cambi totali dell’aria, nonché investire «in tecnologie per la ventilazione meccanica controllata (VMC) con filtrazione aria in entrata e con la purificazione dell’aria indoor, grazie a dispositivi in grado di eliminare virus e particelle fino a 0,1 micron».

Secondo Miani non ci sono dubbi: i banchi monoposto e il distanziamento a un metro non sono sufficienti. E per rimarcarlo, il presidente Sima mette in evidenza tra le altre cose che il limite raccomandato dall’OMS sarebbe in realtà di 2 metri, mentre altri ricercatori ancora indicherebbero una distanza minima di 4 metri.

Monitorare in tempo reale l’aria interna

Come riferiscono da Sima, un bambino di circa 10 anni seduto a un banco di scuola emette circa 14 litri di anidride carbonica all’ora; un adolescente arriva invece a 27 litri all’ora.
Si capisce quindi che il problema dell’aria viziata è reale, e che il ricambio completo e frequente dell’aria, in aula come peraltro nei normali spazi di lavoro, diventa essenziale: in questi contesti chiusi infatti la presenza di un solo portatore di virus può essere decisiva, a prescindere dal distanziamento di un metro.

Scuole, uffici, magazzini, strutture sanitarie, laboratori, tutte queste attività sono chiamate a monitorare in tempo reale la qualità dell’aria indoor per poter disporre di dati precisi sui parametri ambientali. Solo utilizzando soluzioni hardware e software per la misurazione della qualità dell’aria interna, accoppiate a tecnologie in grado di filtrare e purificare l’aria, si può affermare di garantire un alto livello di sicurezza negli spazi chiusi.

 

Fonte: AziendaDigitale.it

Pec, scatta l’obbligo per le imprese: dal 1° ottobre rischio multe per 2 mila euro

Ancora pochi giorni e per le imprese sarà necessario avere una Pec o – in senso più ampio – un “domicilio digitale” per svolgere la propria attività. Il decreto semplificazioni, convertito nella legge 120 dell’11 settembre scorso, fissa infatti al 1° ottobre il termine entro il quale tutte le aziende che ancora non lo hanno fatto devono comunicare telematicamente al Registro delle imprese il proprio domicilio digitale (PEC) attivo e univocamente riconducibile all’impresa.

“Possedere un indirizzo di posta elettronica certificata, che facilita i rapporti con la Pubblica amministrazione, era già un obbligo dal 2008 per le società e dal 2012 per le imprese individuali. Ma se la mancata comunicazione prevedeva finora solo una sospensione temporanea per l’invio di pratiche telematiche al Registro imprese, ora invece può comportare una multa compresa tra i 206 e i 2.064 euro per le società, tra i 30 e i 1.548 euro per le imprese individuali”, ricorda Unioncamere. Le sanzioni sono dunque raddoppiate o triplicate rispetto alla norma precedente.

La deroga alle sanzioni prevista dal Semplificazioni riguarda soltanto le imprese alla prima iscrizione: per costoro scatta la sospensione della domanda in caso di mancata indicazione del proprio domicilio digitale. Le sanzioni scattano, in questo caso, se non si provvede a integrare la domanda.

“Per le imprese che dopo la scadenza del termine risulteranno prive di Pec, oltre al pagamento della sanzione amministrativa, è prevista l’assegnazione d’ufficio di un domicilio digitale da parte della Camera di Commercio – ricorda ancora Unioncamere – La comunicazione del domicilio digitale è esente da imposta di bollo e diritti di segreteria. Può essere effettuata dal titolare o legale rappresentante dell’impresa direttamente dal sito ipec-registroimprese.infocamere.it, oppure seguendo le istruzioni sul sito della Camera di commercio del proprio territorio”.

Secondo dati rilasciati da Agid a luglio, dall’inizio del 2019 sono aumentati di oltre un milione gli account di posta elettronica certificata, per un totale di più di 3 miliardi di messaggi inviati e nello stesso periodo è aumentato di oltre un milione il numero di caselle di Posta Elettronica Certificata attive in Italia. A gennaio 2019 risultavano configurati più di 10 milioni di account e ad aprile di quest’anno gli indirizzi PEC hanno toccato quota 11 milioni e 290mila, per un totale di circa 3,1 miliardi di messaggi inviati in un quasi anno e mezzo. Le stime riportate dal Sole24Ore dicono di 1,7 milioni di imprese iscritte che non hanno una Pec valida.

Affidati a Signum se non hai ancora attivato una posta elettronica certificata: in pochi semplici passaggi ti forniremo un account per il tuo domicilio fiscale.

 

Fonte: Repubblica.it – Economia&Finanza

Finta e-mail del direttore dell’Agenzia delle Entrate, la truffa per rubare dati

È stata identificata una nuova campagna malspam indirizzata ad aziende e privati in Italia che sta diffondendo il malware bancario Ursnif/Gozi e che, ancora una volta, sfrutta l’Agenzia delle Entrate come esca ed in particolare una finta e-mail inviata dal Direttore dell’Agenzia delle Entrate. Il primo caso risale a giugno, ma nei giorni scorsi c’è stata una forte recrudescenza.

La truffa della finta e-mail del Direttore dell’Agenzia Entrate

In particolare, il nuovo attacco hacker sfrutta false comunicazioni dell’Ente su “alcune incoerenze” emerse “dall’esame dei dati e dei saldi relativi alla Divulgazione delle eliminazioni periodiche Iva”.

Per rendere più credibile la truffa, le intestazioni dei messaggi riportano una delle seguenti diciture:

• Il Direttore dell’Agenzia delle Entrate
• Gli organi dell’Agenzia delle Entrate
• Posta elettronica agenzia
• Informazione agenzia delle entrate

e altre simili. Nel corpo del messaggio, invece, si fa riferimento diretto al “Cassetto fiscale” del contribuente. Il testo, inoltre, informa il destinatario della finta comunicazione che tutte le “sconvenienze riscontrate” nel controllo fiscale sono riportate in “versione intera” nell’archivio allegato all’e-mail.

Aprendo l’allegato, però, la vittima non fa altro che avviare la catena infettiva del malware che, dalle analisi dei primi campioni isolati, sembra prendere di mira esclusivamente utenze italiane.
Nel dettaglio, l’allegato è un file Microsoft Office Excel in formato .xls contenente una macro malevola. Per aprire e visualizzare il finto foglio di calcolo è necessario inserire la password “agenzia” così come indicato nel testo della finta comunicazione inviata.

A questo punto, l’attivazione della macro avvierà il download via HTTP da risorse Internet con indirizzi IP italiani del file officina.dll contenente l’impianto malware di Ursnif/Gozi utilizzato per acquisire informazioni riservate delle vittime.

Le azioni consigliate per non cadere nella trappola

Le e-mail, ovviamente, non provengono dall’Agenzia delle Entrate che, anzi, in un suo comunicato, invita i contribuenti a cestinare immediatamente i messaggi, precisando che il Direttore dell’Agenzia non invierebbe mai messaggi diretti agli utenti.

Per far fronte a questo nuovo attacco informatico è dunque utile controllare sempre con la massima attenzione le e-mail ricevute, anche se dovessero aver superato i controlli antivirus e antispam.

È importante, inoltre, limitare le funzionalità delle macro presenti nei documenti Office che attivano automaticamente connessioni a Internet.
Per identificare e contrastare campagne malspam come questa delle finte e-mail inviate dal Direttore dell’Agenzia delle Entrate è fondamentale, inoltre, prevedere sessioni di formazione in sicurezza informatica rivolte a tutti gli utenti aziendali mirate a diffondere le conoscenze giuste per riconoscere gli attacchi di tipo phishing.

 

Fonte: CyberSecurity360

Razzismo contro Willy su Facebook, la Polizia ha trovato il colpevole

L’aspetto interessante è come gli inquirenti siano riusciti a identificarlo. Il metodo non è noto – le forze dell’ordine cercano di non divulgare le proprie tecniche per non indebolirne l’efficacia – ma ci sono di fatto solo pochi modi possibili.

I fatti: gli insulti a Willy da Facebook

La storia è interessante anche perché ci conferma quanto siano perseguibili i reati di diffamazione o apologia di reato su Facebook, nonostante le precauzioni tecniche che gli autori possono adoperare.

L’autore ha usato un profilo falso (“Manlio Germanio”), con cui aveva anche detto «inutile segnalare il post che metto – ha scritto ancora sul profilo – tanto ne ho già messi così tanti visibili solo a me che ogni volta che vengono cancellati ricompaiono». La Polizia postale di Roma e di Latina ha rilevato che il 23enne, studente, provava a nascondere le proprie tracce appoggiandosi a provider esteri e usava tecniche di anonimizzazione. Facile così pensare all’uso di una Vpn e di Tor.

Le tracce portavano fino a un albergo di Firenze. Ora il ragazzo rischia fino a otto anni di carcere.

Come possono avere beccato l’autore del reato nonostante il profilo falso e la vpn?

Alcune tecniche possono essere utilizzate.

• La cosa più probabile è che abbiano usato un’esca. Ad esempio, un link in uno dei commenti sotto il suo post o in un messaggio Messenger, per fargli scaricare un trojan, metodo molto efficace anche nelle intercettazioni di comunicazioni criptate (Whatsapp, Skype…)

• Oppure il link porta a documenti che all’apertura ti fanno connettere a indirizzi esterni. Il messaggio può usare metodi di social engineering elementari, per esempio fingendo di simpatizzare per la stessa causa razzista.

• Questi due metodi, peraltro concettualmente anche piuttosto semplici, permettono talvolta l’identificazione nonostante l’uso di strumenti di anonimizzazione, se non configurati e adoperati correttamente, oppure in situazioni promiscue nelle quali il soggetto utilizza diversi dispositivi, account o metodi di connessione alla rete. Un trojan può far togliere la Vpn, ma non se questa è ben configurata. Un trojan fa vedere al suo controllore che cosa c’è nel computer e queste informazioni possono portare all’identificazione del soggetto; chi è esperto quindi si connette non solo con vpn ma anche con una macchina virtuale, che appare vuota all’esterno.

• Inutile dire che il profilo falso non protegge per nulla, di per sé, perché Facebook può fornire i log delle connessioni con cui è possibile identificare il contratto telefonico utilizzato per l’accesso, il dispositivo adoperato.

• Possibile anche che l’autore abbia fatto un errore prima di attivare il profilo falso: magari ha usato una mail o un altro profilo creati in precedenza senza tecniche di anonimizzazione e quindi comunque a lui riconducibile.

• Infine, basta che per una volta l’autore si colleghi al profilo senza Tor/Vpn per finire nella rete dei log Facebook. Un errore è sufficiente per farsi beccare.

 

Fonte: CyberSecurity360

L’sms Amazon truffa che promette un regalo e ruba soldi

Torna la truffa via sms targata Amazon, un tentativo di phishing avvistato per la prima volta nel 2018 e di nuovo oggetto di una campagna massiva in queste settimane. Adesso anche al ritorno dalle vacanze, a settembre, con un messaggio che propone un (finto) regalo di un abbonamento Amazon Prime gratuito.

L’sms truffa “Amazon.it”: regalo o pacco in attesa

L’ultima versione, diversa dalle precedenti, si presenta così: “Ciao [nome utente], abbiamo cercato di contattarti per il tuo regalo. Per richiederlo segui questo link [segue link truffa]”.
La forza della truffa è che arriva via sms – canale che tendiamo a considerare ancora più sicuro e personale delle e-mail – e che conosce il nostro nome associato al nostro numero di cellulare (non è un invio a pioggia a numerazioni random).

In altre versioni l’sms specifica che il regalo è uno smartphone iPhone o altro e che è il frutto di un sorteggio. In alcune versioni diceva di cliccare il link per sbloccare un “pacco in attesa”.
In particolare a settembre la truffa sembra specializzarsi della proposta di un regalo di un abbonamento Amazon Prime. Per il resto, stesse caratteristiche.

Il finto regalo del finto sms Amazon

Il link apre una pagina che ci annuncia di aver vinto un iPhone a un sorteggio; ci chiede dati personali per farcelo arrivare a casa, numero di carta di credito per pagare la sola spedizione (1-3 euro).
In alcune versioni, la truffa chiede i nostri dati di accesso Amazon. Tutte cose che ovviamente finiscono nelle mani dei criminali e che sono utilizzabili per i classici furti di identità o bancari.

“I criminali hanno i nostri dati grazie a un data breach, come quello famoso subito da LinkedIn nel 2012. Ma non c’è servizio internet che non abbia subito una violazione; e può essere anche un hotel, come nel caso Marriott, o una compagnia aerea, come in quello recente di EasyJet“, spiega Alessio Pennasilico, di P4I e responsabile scientifico di Cybersecurity360.it.

“I dati, una volta sottratti da un sito o un servizio Web, finiscono sul mercato nero e possono essere comprati e usati da altri cyber criminali per realizzare campagne malevoli mirate”, continua. Con il nostro nome e numero.

Come difendersi?

“Anche in questo caso si denota una spiccata capacità dei cyber criminali nell’identificare le vulnerabilità a livello di fattore umano, così da massimizzare l’efficacia della campagna malevola e di conseguenza i ricavi”, commenta Alessio Pennasilico, di P4i e responsabile scientifico di Cybersecurity360.it.

“Non solo utilizzano dati personali corretti (es. il nome) ma scelgono come vettore l’sms. L’attenzione che la possibile vittima avrebbe prestato allo stesso messaggio via mail sarebbe stata enormemente maggiore; attribuendo invece, erroneamente, maggiore affidabilità ad altri canali (telefono, sms, chat e programmi di messaggistica istantanea) la soglia di attenzione è drasticamente più bassa e la trasformazione di possibili vittime in vittime molto più efficace”.

“Non si trascuri, inoltre, che un link aperto da un sms viene quasi certamente visualizzato da uno smartphone, abbassando di molto, quindi, la possibilità per la vittima di rendersi conto di eventuali anomalie presenti sul sito web, proprio a causa delle semplificazioni introdotte nella visualizzazione da parte di browser mobile”, aggiunge.

Come fare? “Le nostre organizzazioni, ma ogni utilizzatore in generale, dovrebbe sviluppare una sensibilità non solo verso i tentativi di truffa per riconoscerli (io rabbrividisco ogni volta che leggo “regalo”) ma soprattutto verso il rischio intrinseco di tutti i vettori che i criminali utilizzano per contattarci. Dobbiamo smettere di fidarci ciecamente di ogni canale o mittente, anche se noto, e sviluppare un senso critico orizzontale rispetto agli strumenti che utilizziamo”.

 

Fonte: CyberSecurity360

Braccialetti, maschere e visori: la tecnologia che aiuta le scuole ad affrontare il covid-19

Braccialetti o ciondoli che vibrano se gli alunni stanno troppo vicini tra loro. Semafori che bloccano l’accesso a luoghi ambiti da molti, come il bar, se si è raggiunta la capienza massima. Penne che spruzzano vapore igienizzante. La riapertura delle scuole ha già scatenato la fantasia tecnologica di aziende innovative, spesso startup. Tutte alla ricerca di soluzioni per rendere più sostenibile la sfida che attende docenti, studenti e le loro famiglie.
Alcune scuole hanno cominciato a testare i prodotti, ma sarà certo l’autunno il banco di prova per una loro eventuale adozione di massa. Senza dimenticare l’app Immuni, che potrebbe giocare un nuovo importante ruolo nelle prossime settimane.

Braccialetti e ciondoli che vibrano

L’ultimo arrivato è K-Y-D. Un bracciale bluetooth appena lanciato proprio per il pubblico delle scuole da Rethink Future, startup italiana. Una volta indossato, è in grado di segnalare la presenza di altri K-Y-D nelle immediate vicinanze. K-Y-D (acronimo di “Keep Your Distance”) vibra, si illumina ed emette un bip quando rileva altri dispositivi nel raggio di un metro. Questa tecnologia, come altre simili, cerca di rispondere alla domanda: bene i famosi banchi mobili per tenere le distanze in classe; ma come assicurarle nelle aree comuni, corridoi e (appunto) bar? Abbinato al braccialetto, la scuola può adottare anche una piattaforma web integrata che utilizza K-Y-D per monitorare ingressi e uscite degli studenti e le presenze in una determinata area. E così controllare il rispetto del divieto di assembramento. In questi giorni sono partite le prime sperimentazioni con un liceo classico e un’università, entrambi di Roma. Le scuole possono chiedere di personalizzare il bracciale con vari sensori (opzionali), come quello per rilevare la temperatura corporea. Il dispositivo è costì in grado di generare un alert se si supera la soglia impostata (37,5 gradi, tipicamente). Si noti che queste soluzioni indossabili, per le scuole, non prevedono uso di dati personali né tracciamento del singolo studente.
Simile il funzionamento del ciondolo bluetooth indossabile, creato dalla siciliana Volcanic School. Come spiegano i produttori, “al superamento della distanza di sicurezza il dispositivo può emettere segnali luminosi, sonori e vibrazioni, secondo le preferenze, in modo da avvisare chi lo indossa della prossimità ad un altro compagno. Allo stesso tempo anche l’altro studente viene avvisato indipendentemente”. La soluzione può essere abbinata a hot spot Wi-Fi per controllare il numero di persone che permangono in una certa area. Un’opzione, pensata più gli ospedali ma utilizzabile anche da grandi scuole e università, prevede un sensore che monitora la qualità dell’area. E che, in caso di problemi, manda un alert automatico per attivare impianti di sanificazione degli ambienti (ozonizzatori, purificatori al plasma, aspiratori eccetera).
Tra i pionieri, figura l’Istituto Luzzago, scuola paritaria di Brescia. Per garantire il distanziamento degli studenti quando non si trovano in classe ha già annunciato che fornirà un dispositivo a ciascuno dei suoi circa 350 allievi e al personale. Installerà anche un semaforo per limitare l’accesso al bar (luce rossa, ovviamente, quando si è raggiunta la capienza massima e quindi nessuno vi può più entrare). Luzzago utilizza i prodotti della ferrarese Fidelitas. Tutti i produttori di questi dispositivi sono partite a venderle in ambito business nei giorni del lockdown; per poi passare anche al mercato delle scuole in vista della loro riapertura. Un crescente numero di aziende, soprattutto fabbriche e magazzini, sta infatti cominciando a adottare i dispositivi indossabili di questo tipo. Tra gli altri, quelli prodotti da Engineering o dalla marchigiana Vesta.

Maschere e visiere

E se invece delle mascherine, che dovrebbero arrivare in massa nelle scuole, gli studenti e i docenti indossassero visiere? Sono più costose, ma anche più comode. E questo aspetto farà la differenza, soprattutto per i bambini. Ne sono convinti alcuni esperti, come Massimo Clementi, ordinario di Microbiologia e Virologia all’università Vita-Salute San Raffaele di Milano. Per lo stesso motivo ha scelto le visiere la scuola primaria di Kinugawa a Nikko, circa 100 chilometri a nord di Tokyo. Le consiglia a scuola anche uno studio di ricercatori americani, pubblicato sulla rivista scientifica Jama. Un po’ di ricerca italiana c’è anche sulle visiere. Nasce così Drop, che integra anche una mascherina, della ragusana Cappello Group. È realizzata anche grazie a fondi europei, che hanno permesso l’acquisto delle risorse tecnologiche necessarie a realizzare il prodotto, più sofisticato della tipica mascherina o di una comune visiera. È in materiale termoplastico, morbida, leggera e trasparente. Tutte le sue parti sono riutilizzabili all’infinito.
Ma anche le semplici mascherine diventano meno semplici quando vi si applica un po’ di ricerca e sviluppo. Italiana anche in questo caso. Cappello Group ha lanciato anche una mascherina fatta ad hoc per la scuola. In varie versioni. Drop Joy, disegnata per i volti dei bambini dai tre-quattro anni sino agli 11 anni. Drop Small e Drop Large sono realizzate per gli alunni di età superiore e per tutto il personale della scuola. Tutti i prodotti Drop sono dispositivi medici, in morbida gomma anallergica con filtri intercambiabili. Italiana è anche iMask, della siciliana iMask Srl. La mascherina è di materiale termoplastico, di tipo FFP3 (standard di protezione più elevato), e trasparente; può essere utilizzata all’infinito (bisogna solo cambiarne il filtro, una volta al mese) e costa 15 euro. Lo scopo di queste soluzioni riutilizzabili è anche evitare l’impatto ambientale delle mascherine usa e getta.

Penna igienizzante

A corredo dei prodotti utilizzabili a scuola, stanno apparendo penne igienizzanti, di varie marche. Oltre a scrivere, possono spruzzare nell’ambiente e sulle mani un vapore disinfettante.

Immuni

Infine, per quanto la si tenda a sottovalutare, anche l’app Immuni può essere uno strumento utile a bloccare focolai covid-19 che possono nascere nelle scuole. È il parere ufficiale del Comitato tecnico scientifico istituito dal Governo per affrontare l’emergenza. “Il Cts – si legge in una nota inviata pochi giorni fa al ministero dell’Istruzione – ritiene che l’impiego congiunto di azioni di sistema, di monitoraggio clinico laboratoristico, dell’applicazione Immuni costituisca uno dei punti chiave della strategia complessiva di prevenzione e monitoraggio del mondo della scuola”.

 

Fonte: Repubblica Tecnologia

Da Immuni alla tedesca CovApp. La pagella di AlgorithmWatch stronca le app anti covid

L’efficacia sarebbe dubbia e a volte mancherebbe anche la trasparenza. Il nuovo rapporto di AlgorithmWatch, organizzazione no-profit con sede a Berlino, mette sotto accusa le app anti pandemia per il tracciamento dei contatti. O meglio, sottolinea come l’uso dell’automazione nei processi decisionali durante l’emergenza sanitaria avrebbe prodotto risultati discutibili.

“La nostra è un’analisi che cerca di restituire un quadro di massima dell’impiego di processi automatici per affrontare il covid, iniziando dalle app per il tracciamento della prossimità”, spiega Fabio Chiusi, uno dei firmatari della ricerca che copre sedici Paesi dell’area europea. Dalla Svizzera alla Norvegia, dalla Spagna alla Grecia fino all’Italia, per AlgorithmWatch gli strumenti tecnologici messi in campo sono stati realizzati con troppa fretta senza pensare ai rischi che comporterebbero.

Del resto, la stessa no-profit tedesca nasce dalla volontà di “valutare e far luce sui processi decisionali algoritmici che hanno una rilevanza sociale”, ovvero su tutti quei sistemi digitali che vengono impiegati per prevedere o indirizzare l’azione umana o ancora che possono prendere decisioni automaticamente. Non si guarda solo alle forme di intelligenza artificiale usate in ambito pubblico, ma anche alle semplici raccolte dati senza l’intervento umano. In inglese viene chiamato “automated decision-making” (Adm) e la paura di AlgorithmWatch è che si possa scivolare in un baratro alla 1984, il romanzo di George Orwell, se non si fa attenzione.

L’Europa però nella sua quasi totalità, se escludiamo casi come la Polonia e l’Ungheria, questo rischio non lo ha corso. Le linee guida della Commissione sulle app per il tracciamento, messe a punto a partire dell’8 aprile, hanno posto subito la questione del rispetto della privacy, della volontarietà, della raccolta dati decentralizzata, degli standard da adottare in modo che le app dei diversi Paesi fossero compatibili fra loro. “La paura iniziale che fossero il cavallo di troia per far passare il modello cinese di un controllo sociale basato sugli algoritmi si è rivelata infondata”, conferma Chiusi. “Ma questo non vuole dire che siano soluzioni che hanno funzionato”.

In realtà per funzionare davvero queste app avrebbero dovuto esser istallate da almeno metà della popolazione e questo non è avvenuto da nessuna parte anche se per motivi diversi. In Inghilterra, Liechtenstein e Norvegia, le cugine di Immuni sono state abbandonate perché sviluppate male o per l’essersi dimostrate troppo invasive. In Italia siamo ancora a cinque milioni di download, che significa il 13 per cento degli italiani che la possono istallare. La situazione è migliore in Germania dove CovApp è stata scaricata da un quarto della popolazione, che però è ancora poco. La francese Stop Covid invece non ha superato i due milioni di utenti. In Belgio useranno il modello tedesco e la app dovrebbe vedere la luce a fine settembre. In Estonia potrebbe arrivare prima, così come in Olanda.

Più che il fallimento tecnologico, almeno allo stato attuale, il quadro che emerge dalla ricerca è una conferma da un lato della poca fiducia nelle istituzioni che ha generato un tasso elevato di diffidenza, dall’altro il miraggio di avere un’app volontaria istallata su più della metà degli smartphone in ogni Paese. Obbiettivo davvero difficile da raggiungere.

Per AlgorithmWatch importa però il quadro di fondo: siamo in una società nella quale si adotterebbero con troppa superficialità strumenti digitali mentre alla fine il contenimento della pandemia è stato fatto dalle tradizionali strutture sanitarie e dall’adozione del distanziamento sociale e dell’uso della mascherina. Vivremmo in pratica in quello che Evgeny Morozov, sociologo dei nuovi media, chiama “tecno soluzionismo” fin dal 2014. Con l’aggravate di una classe politica che di digitale spesso sa poco e quindi fraintende spesso pericoli e potenzialità. Tornando alle app per il tracciamento dei contatti, un filosofo come Luciano Floridi ricordava di recente che siamo solo al primo passo in una pandemia che sembra essere destinata a durare. E’ una dei tanti strumenti che possono aiutare a contenere la pandemia ed è altrettanto ovvio che per arrivare alla soluzione migliore si compiano degli errori.

 

Fonte: Repubblica Tecnologia

Cancellazione e distruzione sicura dei dati

Vademecum per capire come procedere alla cancellazione e distruzione sicura e in modo adeguato dei dati, alla luce del GDPR che contempla questa possibilità sia per le richieste degli interessati sia per la “scadenza” dei termini di conservazione dei dati stessi

Non si può spaccare il computer. La cancellazione e la distruzione sicura dei dati vanno approcciate con le giuste tecniche, per garantire la compliance alle regole e fare in modo che risulti efficace. Importante, quindi, dotarsi degli strumenti giusti, oltre a organizzare un sistema di governance adeguato.

Normativa di riferimento

Innanzitutto, va sottolineato che il problema della cancellazione e distruzione sicura dei dati riguarda diversi ambiti disciplinari in rapporto alla tipologia di informazione. Questo aspetto è soggetto alla disciplina del GDPR, che all’articolo 17 prevede che l’interessato possa chiedere al titolare del trattamento dati la cancellazione. Di conseguenza, il titolare (salvo particolari casi) deve provvedere a soddisfare tale richiesta.

In primis, è bene ricordare che i dati personali sono soggetti “a scadenza”, infatti, sulla base dell’art. 13, comma 2, lettera a) del Regolamento UE 2016/67, ogni titolare deve indicare un periodo di conservazione degli stessi indicandolo nell’informativa che deve rendere nota agli interessati prima di iniziare il trattamento.

Doveroso citare anche il principio di minimizzazione, in base al quale ogni titolare è tenuto a trattare solamente i dati di cui ha bisogno in maniera limitata (oltre che adeguata e pertinente), vale a dire, solamente per soddisfare la finalità del trattamento previsto.

L’ambito sicurezza

Il problema della cancellazione è altresì strettamente connesso, in un più ampio spettro alla sicurezza delle informazioni, si pensi per esempio alle tempistiche di conservazione e di cancellazione, ai tempi di disponibilità di dati in backup.

Intervengono, infine, anche considerazioni che riguardano la cybersecurity. Un dato, non solo personale, è comunque prezioso per i malintenzionati che intendono sfruttarne la potenzialità per carpire informazioni riguardanti l’azienda: credenziali di accesso ma non solo: anche segreti industriali e tutte quelle informazioni che potrebbero facilitarli nell’ingresso indebito ad altre organizzazioni collegate o concatenate al contesto aziendale facendo dei lateral movement allargati estesi oltre i perimetri dell’organizzazione.

La necessità di una governance centralizzata

Generalmente le organizzazioni hanno mediamente, al loro interno, due diversi ambienti per la raccolta e conservazione dei dati: uno pubblico (intranet, e documenti in condivisione su cartelle pubbliche) e uno privato dove il singolo dipendente può allocare, parcheggiare o conservare i dati. Così anche per gli account aziendali tuttavia, mentre su account di gruppo l’azienda ha un certo controllo, nulla può (o quasi) quando i dati sono aggregati e conservati in un account personale o spazio privato di un dipendente.

Il controllo centralizzato dei dati risulta quindi fondamentale. In quest’ottica, il settore IT dovrebbe regolarmente monitorare quei file o cartelle allocate in spazi comuni che non vengono movimentati da anni e invitare i gestori al loro esame e successiva eventuale cancellazione come pure favorire la cultura della minimizzazione del dato attraverso una formazione allargata a tutti i collaboratori.

In assenza di un’orchestrazione di processi e procedure e in assenza di policy adeguate le informazioni che può generare un utente aziendale potrebbero “proliferare” in tempi brevissimi: si pensi al dipendente che potrebbe salvare un dato su una cartella personale, su un supporto esterno, inviarlo a terze parti o conservarlo in forma di allegato nel proprio account di posta personale.

Il risultato è che il dato considerato “cancellato” di fatto viene solo parzialmente eliminato in assenza di un monitoraggio nelle varie diramazioni e percorsi che ha intrapreso nel suo ciclo di vita.
Ad accentuare il problema della governance dei dati vi è l’ambiente cloud considerando anche che spesso l’azienda non detiene un controllo diretto, ma si avvale di spazi di terze parti, è infatti possibile il caso in cui, anche una volta distrutto dall’ambiente cloud, il dato continua a permanere, magari su copie di backup di cui l’azienda non ha chiara visione e consapevolezza.

Il problema della cancellazione/distruzione del dato è stato accentuato ed aggravato nella fase di lockdown e, in alcuni contesti, ancor ora, con il lavoro in modalità smart working in quanto i dati sono sostati sui PC e device dei dipendenti. Molte le aziende che, a causa della Covid-19 hanno permesso ai loro dipendenti di utilizzare i propri dispositivi personali, spesso privi di funzionalità crittografiche o di software aggiuntivi in grado di garantire sia la memorizzazione sicura sia la successiva cancellazione. Il titolare detiene comunque la responsabilità dai dati trattati che non devono essere acquisiti da malintenzionati o comunque da estranei.

Le tecniche per la cancellazione efficace

Nella mentalità comune dell’utente medio e in assenza di una cyber cultura, i dati, una volta svuotato il cestino, vengono considerati cancellati in maniera indelebile: niente di più errato, a volte possono essere ripristinati, in alcuni casi, persino dopo una formattazione. Se le parti dell’hard disk non sono state sovrascritte, rimangono presenti nei device lasciando tracce.

Non è infrequente il caso in cui anche il settore IT non presti la dovuta attenzione quando assegna un device aziendale ad altro utente o quando sostituisce un drive non più funzionante. Per cancellare completamente un dato occorre agire anche sulle memorie, in particolare, sulla memoria ROM implementando ad una sovrascrittura per evitare che i dati cancellati che finiscono in un’area di memoria non più visibile all’utente possano essere ripristinati. Esistono numerose tecniche di cancellazione sicura.

Per i supporti CD e DVD, nella maggior parte dei casi, a livello tecnico basta una distruzione fisica tramite distruggi documenti simili a quelli idonei a distruggere i documenti cartacei.

Per quanto riguarda i device, esistono numerosi software di cifratura automatica che intervengono su volumi o partizioni o file system con successiva possibilità di cancellazione sicura. Sono numerosi i software di data shredding attualmente in commercio.

Alcuni eseguono il disk cleaner: tramite sanificazione dell’hard disk sono in grado di liberare i settori del drive che contengono ancora quei dati invisibile ma ancora presenti. Vi sono poi i software di file shredding in grado di riscrivere sulla posizione di memoria precedentemente utilizzata da file esistenti, dei byte random. Maggiori saranno i passaggi di sovrascrittura, minori le possibilità che i dati possano essere ripristinati.

Conclusione

In conclusione, dopo aver toccato alcune tematiche in merito alla distruzione/cancellazione ed aver fatto cenno all’e-waste dei dispositivi elettrici/elettronici riporto il focus sulla questione a mio parere, più importante: la centralità dell’organizzazione aziendale. Senza una struttura organizzativa adeguata a poco serviranno i software e le procedure di cancellazione/rimozione se non si sa esattamente dove sono allocati i dati.

Ogni organizzazione dovrà dedicare risorse sempre maggiori, all’inevitabile aumentare della mole dei dati di ogni azienda digitale, dedicate alla loro gestione e al loro stoccaggio. Essenziale è avere delle policy, processi e procedure chiaramente definiti che permettano di avere una roadmap dei dati: solo così le aziende potranno gestire l’articolata e complessa filiera della gestione delle informazioni.

La cultura in tema data protection, che non deve tralasciare neppure la gestione dei documenti cartacei la cui distruzione risulta meno critica, ma soprattutto, dev’essere sempre più integrata nei comportamenti individuali e nelle prassi di gestione del dato.

Solamente un mix di sistemi sociali e sistemi tecnici, in accordo con le normative in materia, consentirà la progettazione e l’ottimizzazione congiunta della gestione del ciclo di vita dei dati. In assenza di questa “armonizzazione congiunta” trattare i dati significa immettere un’informazione in un labirinto dove sarà difficile, a volte impossibile, capirne il percorso e effettuare un trattamento logico.

 

Fonte: CyberSecurity360

Buone vacanze, i nostri uffici saranno chiusi dal 10 al 28 agosto

Gli uffici della Signum Srl saranno chiusi dal 10 al 28 agosto. Auguriamo a tutti buone vacanze.

Per qualsiasi richiesta è possibile inviare una email a info@signumonline.it o compilare il form di contatto web