Home
Chi Siamo
Settori
Soluzioni
News
Contatti
Lavora con noi
Area clienti
Academy
v-white.svg

Settembre 2023

Settembre 2023

Settembre 2023

  1. Home
  2. |
  3. Newsletter GDPR
  4. Settembre 2023
Newsletter 09/2023

HISTORIES

Aziende manifatturiere e tecnologiche nel mirino degli hacker
Secondo il report che analizza i principali rischi informatici (ransomware, phishing e malware) tra aprile e giugno scorsi in Italia si sono registrati numerosi attacchi che hanno coinvolto soprattutto aziende di servizi. In Italia l’80% delle vittime sono PMI e il 91% sono aziende con fatturato inferiore a 250 milioni di euro.

Nel secondo trimestre 2023 il fenomeno del ransomware (furto di dati sensibili con richiesta di riscatto) è cresciuto del +34,6% in Italia e del +62% a livello globale rispetto al trimestre precedente. A rilevarlo è l’ultimo report "Threatland" curato dal Security Operation Center (SOC) e dal Team di Cyber Threat Intelligence di Swascan, azienda di Cybersecurity del Polo Cyber del Gruppo Tinexta. Il numero delle aziende vittime di attacchi è aumentato del 185% dall’inizio dell’anno e del 105% rispetto al secondo trimestre del 2022. In Italia, l’80% delle vittime colpite sono PMI e il 91% sono aziende con fatturato inferiore ai 250 milioni di euro.
 
Stando ai dati raccolti da Swascan, sono state 1.451 le vittime (colpite e soggette a pubblicazione di dati rubati) a livello globale di questi attacchi informatici, caratterizzati dalla diffusione di software malevoli che criptano dati per il cui ripristino si chiede il pagamento di un riscatto. Si registra anche un incremento delle gang di cybercriminali dietro questi attacchi il cui numero di è salito da 36 a 43 (+19,4%). Questi attacchi sembrano avere un obiettivo preciso, le aziende. In Italia l'80% di questi ha colpito le PMI, dimostrando come i cybercriminali le ritengono più vulnerabili rispetto alle grandi aziende. Il 91% delle aziende italiane vittime ha un fatturato al di sotto dei €250 milioni.
 
Data: 13 settembre 2023
Report

Lavoro: il dipendente ha diritto di accedere ai dati sulla geolocalizzazione
Il mancato riscontro da parte del datore di lavoro alle richieste dei lavoratori ai propri dati di geolocalizzazione costituisce un illecito che viola la disciplina sulla privacy
Il Garante ha comminato una sanzione di 20mila euro ad una società incaricata della lettura dei contatori di gas, luce e acqua, per non aver dato idoneo riscontro alle istanze di accesso ai dati di tre dipendenti. I tre lavoratori, per verificare la correttezza della propria busta paga, avevano chiesto alla ditta di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, nonché la procedura per stabilire il compenso dovuto.
In particolare, avevano chiesto di poter conoscere i dati raccolti attraverso lo smartphone fornito dalla società sul quale era stato istallato un sistema di geolocalizzazione che permetteva agli operatori di individuare il tragitto da effettuare per raggiungere i contatori. Non avendo ricevuto dall’allora datore di lavoro una risposta soddisfacente si erano rivolti al Garante privacy con un reclamo.
Nel corso dell’istruttoria l’Autorità ha accertato che la società, in qualità di titolare del trattamento, non aveva fornito un riscontro idoneo a quanto richiesto dai reclamanti.
Il Garante ha pertanto ordinato alla società di fornire ai reclamanti i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone e tutte le informazioni ricollegate al trattamento richieste. Il Garante ha infine precisato che la società, anche qualora non avesse ritenuto di poter dare pieno riscontro alle richieste dei dipendenti, avrebbe dovuto indicare almeno i motivi specifici per i quali non poteva soddisfare le istanze di accesso, rammentando il diritto dell’interessato di presentare reclamo al Garante o ricorso giurisdizionale.
 
Data: 10 ottobre 2023
Leggi l'articolo sulla Newsletter del Garante
Leggi il Provvedimento

 


OSSERVATORIO VECOMP

Gestione dei cookie del sito web aziendale
La corretta impostazione di un sito passa anche dal rispetto di specifici obblighi normativi in materia di protezione dei dati personali.
Dotarsi di un sito comporta per l’azienda lo svolgimento di una preliminare analisi riguardo alla sua struttura e finalità di utilizzo, nonché alle informazioni non solo fornite ma anche raccolte per tramite del sito stesso. Ciò può accadere, ad esempio, attraverso un form di richiesta informazioni o di contatto, nell’eventuale area del sito deputata a raccogliere i curricula di soggetti richiedenti impiego o, più in generale, tramite i cosiddetti cookie.
Con riferimento ai “cookie e agli altri strumenti di tracciamento” l’Autorità Garante privacy ha emanato apposite linee guida nel provvedimento n. 231 del 10 giugno 2021 [link], allo scopo di fornire ai titolari del trattamento indicazioni sulle corrette modalità per la fornitura dell’informativa e l’acquisizione del consenso online degli interessati, laddove ciò venga previsto, nel pieno rispetto della normativa in materia di protezione dei dati personali. Con riferimento ai cookie, la prima attività da compiere è quella di stabilire quale tipologia è stata implementata dal sito:

  • Nel caso in cui il sito faccia ricorso soltanto a cookie “tecnici”, il titolare del trattamento è assoggettato al solo obbligo di fornire una specifica informativa (eventualmente inserendola in quella generale del sito), senza tuttavia dover provvedere all’acquisizione del consenso da parte dell’utente.
  • Nel caso vi siano ulteriori tipi di cookie (es. cookie di profilazione) potranno essere utilizzati esclusivamente previa acquisizione del consenso informato dell’interessato (cfr. art. 122 del Codice privacy). 

In questo secondo caso, il titolare del sito web deve anche prevedere un banner a comparsa immediata e di adeguate dimensioni all’apertura del sito, comprensivo almeno delle seguenti caratteristiche:

  • La presenza di una “X” posizionata, di regola e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, così da consentire all’utente di chiudere immediatamente il banner mantenendo impostazioni di default. Queste ultime devono prevedere la continuazione della navigazione senza l’installazione di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
  • Un’informativa breve, attraverso la quale indicare che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento con specificazione delle relative finalità.
  • Il link alla privacy policy contenente l’informativa completa (eventualmente accessibile tramite hyperlink), con indicazioni complete anche riguardo ai predetti cookie o altri strumenti tecnici.
  • Un comando che consenta all’utente di accettare direttamente tutti i cookie o altre tecniche di tracciamento;
  • L’accesso a un’ulteriore area dedicata nella quale poter selezionare in modo analitico le sole funzionalità, i soggetti di terze parti e i cookie al cui utilizzo l’utente scelga di acconsentire. 

Infine, va ricordato che l’utente deve essere posto in ogni momento nella condizione di poter modificare le scelte effettuate e, dunque, revocare il consenso precedentemente prestato. Ciò deve avvenire “in maniera semplice, immediata e intuitiva, attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga”.
 
Data: 10 giungo 2021
Fonte: Provvedimento Garante n. 231 del 10 giugno 2021


Garante privacy: 20 seminari gratuiti dedicati alle PMI
Sono stati organizzati 20 seminari gratuiti sulla protezione dei dati. Al fine di raggiungere il maggior numero possibile di aziende, i seminari si terranno sia in presenza, sia da remoto. L'obiettivo è aiutare le PMI ad adempiere agli obblighi del GDPR.
I 10 seminari in presenza si terranno nelle seguenti città: Cagliari, Firenze, Salerno Torino e Vicenza. Le sessioni mattutine saranno tenute da relatori dell’Università degli Studi di Firenze, mentre quelle pomeridiane da relatori del Garante. I 10 seminari da remoto saranno tenuti esclusivamente da relatori del Garante. Al termine di ogni seminario (sia in presenza che da remoto) è prevista una sessione di domande e risposte di massimo un’ora.
Qui l’elenco completo dei seminari: link.
Questi i seminari da remoto:

  • 23 ottobre 2023 (10,00 – 12,00): il Responsabile della Protezione dati (dpo)
  • 6 novembre 2023 (10,00 – 12,00): il registro dei trattamenti
  • 20 novembre 2023 (10,00 – 12,00): i diritti degli interessati
  • 4 dicembre 2023 (10,00 – 12,00): il trasferimento dei dati
  • 11 dicembre 2023 (10,00 – 12,00): le attività di marketing e di profilazione
  • 15 gennaio 2024 (10,00 – 12,00): le app e i siti web aziendali
  • 29 gennaio 2024 (10,00 – 12,00): la videosorveglianza
  • 12 febbraio 2024 (10,00 – 12,00): sanità e innovazione digitale
  • 4 marzo 2024 (10,00 – 12,00): la gestione dei dati dei dipendenti
  • 8 aprile 2024 (10,00 – 12,00): i data breach 

Per partecipare accedere al modulo di registrazione: LINK
 
Data: 10 ottobre 2023
Fonte: Garante della Privacy



 

PRIMO PIANO

Unione europea: relazione sullo stato del decennio digitale
È stata pubblicata la prima relazione sullo stato del decennio digitale, che presenta un'analisi dei progressi compiuti verso la realizzazione di una trasformazione digitale volta a rafforzare la sovranità digitale, la resilienza e la competitività dell'Unione europea.
La relazione fornisce una valutazione dei progressi compiuti dall'UE verso gli obiettivi e i traguardi della strategia 2030 dell'Europa, concentrandosi su quattro pilastri principali:
  • competenze digitali
  • infrastrutture digitali
  • digitalizzazione delle imprese, compreso l'uso dell'intelligenza artificiale (IA),
  • digitalizzazione dei servizi pubblici.
La strategia prevede anche il monitoraggio della dichiarazione europea sui diritti e i principi digitali, che riflette l'impegno dell'UE a favore di una trasformazione digitale sostenibile e sicura, incentrata sulle persone. La relazione 2023, la prima di una serie di relazioni annuali, invita gli Stati membri all'azione collettiva per colmare le attuali carenze di investimenti, accelerare la trasformazione digitale in Europa e intensificare gli sforzi per conseguire gli obiettivi del programma strategico per il decennio digitale (DDPP). Il programma strategico per il decennio digitale è stato adottato dal Parlamento europeo e dal Consiglio ed è entrato in vigore il 9 gennaio 2023. Esso comprende un sistema di governance collaborativa tra l'UE e le autorità nazionali.
 
Data: 27 settembre 2023
Comunicato Stampa
Relazione
 





DOMANDE E RISPOSTE

Cos’è il ransomware?
Il ransomware è un malware che sequestra i dati o i sistemi informatici di un’organizzazione o di un individuo, crittografandoli e chiedendo un riscatto (in inglese ransom) per rilasciare la chiave di decrittazione. I dati infettati sono inutilizzabili e costringono spesso i malcapitati a pagare una somma (spesso in bitcoin) affinché vengano ripristinati e restituiti.
 
Come avviene un attacco ransomware?
Il ransomware si diffonde solitamente tramite:
  • email di phishing: che invitano a cliccare su determinati file o su alcuni link;
  • siti compromessi: un ransomware si può prendere anche visitando siti infetti (in questo caso si parla di drive-by-download che significa scaricamento all’insaputa);
  • siti fake: siti che riproducono fedelmente le caratteristiche di quelli originali;
  • supporti di memorizzazione: anche una chiavetta USB può rappresentare un rischio e contenere un link malevolo. Questa tecnica prende il nome di “baiting” (esca) e fa leva sulla curiosità delle persone che trovando una chiavetta o un hard disk incustoditi, spinte dalla curiosità, li inseriscono nel loro dispositivo per sapere cosa contengono;
  • programmi gratuiti da scaricare online: un ransomware potrebbe essere nascosto anche nei programmi gratuiti che ci permettono di “crackare” dei software;
Dietro un attacco ransomware vi sono spesso vere e proprie organizzazioni criminali che spesso guidano la vittima addirittura fino alla fase della transazione.
 
Cosa fare se si viene attaccati?
In caso di attacco è necessario rivolgersi ad un’azienda che si occupa di sicurezza informatica. Si può tentare un ripristino dei dati da un backup oppure recuperarli dal cloud o ancora cercare un decryptor online valido.
 

Certificazioni di qualità

  • Sistemi
  • Microsoft
Vecomp Spa Società Benefit
Verona, Via Dominutti 2
Bolzano, Via Lancia 6/A
Trento, Viale del Commercio 21

Sostenibilità e Rating di Legalità

  • Family Audit
  • Rating di Legalità
Certificazione Parità di Genere
Rating di Legalità ★★★
Scopri la sostenibilità secondo Vecomp
Bilancio di Sostenibilita 2023
 

Via A. Dominutti 2 - 37135 Verona

Tel: 045 8378311

P.Iva: 01336920234

Privacy
Modello organizzativo
Documentazione
Whistleblowing
Creato da Vecomp con SelfComposer CMS