Articoli

social engineering

Conoscere i reati informatici, primo passo verso la cyber security

La cyber security è uno degli argomenti più attuali del momento ed è, pertanto, utile conoscere con quali strumenti, il nostro legislatore, ha inteso tutelarci contro i reati informatici. In linea generale, possono considerarsi reati informatici tutti quei comportamenti criminosi in cui è coinvolto uno strumento informatico come mezzo o come oggetto dell’azione criminosa. Come il crimine tradizionale, anche il crimine informatico può assumere varie forme ed essere perpetrato praticamente sempre e ovunque. Nel trattato del Consiglio d’Europa sulla criminalità informatica viene utilizzato il termine “cybercrime” per definire i reati contro i dati riservati, contro la violazione di contenuti e il diritto d’autore; alcuni autori, tuttavia, suggeriscono una definizione più ampia, che ricomprenda anche attività criminose come la frode, l’accesso non autorizzato, la pedopornografia e il “cyberstalking“. Comprendere le differenze tra i vari tipi di crimine informatico è il presupposto… Leggi tutto »Conoscere i reati informatici, primo passo verso la cyber security

Geoblocking

Contratti point and click

Nell’ambito dei contratti informatici, un ruolo particolare spetta ai contratti “point and click“, largamente utilizzati nel commercio elettronico. Ognuno di noi ha avuto a che fare con questo tipo di contratti: l’utente manifesta la propria volontà negoziale compilando un modulo elettronico e cliccando sul cosiddettto tasto negoziale virtuale, cioè il pulsante o l’icona di accettazione. Di norma, dato che le specifiche del prodotto o servizio che si acquista sono abbastanza dettagliate, l’offerta commerciale può essere, a tutti gli effetti, considerata un’offerta al pubblico ai sensi dell’art. 1336 c.c., con l’effetto che, il cliente, con la propria adesione all’offerta tramite la selezione del tasto negoziale, determina la conclusione del contratto, in base alle regole generali, nel momento in cui l’accettazione è registrata dal sistema. Per garantire trasparenza al contratto “point and click“, l’art. 13 del D.lgs n. 70/2003 impone al venditore… Leggi tutto »Contratti point and click

Contenuti indispensabili della policy aziendale per l’utilizzo degli strumenti ICT

E’ notorio che, nell’ambito dell’attività d’impresa, l’utilizzo degli strumenti ICT ha un ruolo fondamentale perché garantisce efficienza e riduzione dei costi. L’utilizzo di queste tecnologie espone, tuttavia, il datore di lavoro ad una duplice responsabilità in caso di illeciti nell’ambiente lavorativo: responsabilità diretta verso i lavoratori, nel caso di violazione dei loro diritti; responsabilità, ex art. 2049 c.c., per gli eventuali danni causati da fatti illeciti dei dipendenti nell’esercizio dell’attività lavorativa. E’, pertanto, necessario che l’azienda vigili costantemente sia sulla corretta applicazione di tutte le norme a tutela dei lavoratori sia sul fatto che i dipendenti svolgano la propria attività nel rispetto delle normative vigenti, senza pregiudizio per i terzi. In questo contesto, un importante strumento a disposizione delle aziende è costituito dalla possibilità di predisporre specifiche policy aziendali, tramite le quali individuare le corrette modalità di esecuzione degli incarichi… Leggi tutto »Contenuti indispensabili della policy aziendale per l’utilizzo degli strumenti ICT

categorie particolari

Qual è la vostra policy per la conservazione dei dati personali?

Uno degli adempimenti espressamente richiesti dal GDPR – con un significativo impatto sia dal punto di vista organizzativo (per la necessità di definire delle policy ad hoc) sia dal punto di vista tecnico, per gli interventi richiesti sui sistemi informatici aziendali – è quello legato alla definizione dei tempi di conservazione dei dati personali ed alla loro conseguente cancellazione al termine del periodo previsto per il trattamento. Per esperienza personale, questa previsione normativa coglie quasi tutti i miei interlocutori di sorpresa, generando in loro reazioni varie: di stupore, di incredulità e, per qualcuno, addirittura, di fastidio (quest’ultima sensazione coglie, per lo più, coloro che si prefigurano i costi). Quando, infatti, pongo al cliente la fatidica domanda (“dopo quanto tempo cancellate i dati personali conservati nei vostri database?”), nella migliore delle ipotesi mi rispondono un orgoglioso: “mai!“; il più delle volte,… Leggi tutto »Qual è la vostra policy per la conservazione dei dati personali?

Le insidie della geolocalizzazione

Ognuno di noi conosce i vantaggi della geolocalizzazione, soprattutto quando abbiamo necessità di trovare qualcuno o qualcosa e siamo in un luogo che non conosciamo. Personalmente, attivo la geolocalizzazione sul mio smartphone solo quando ho necessità di utilizzare il navigatore per trovare un luogo che non conosco o farmi indicare la strada migliore e meno trafficata. Ammetto, però, che questa mia scelta deriva, storicamente, dalla necessità di tutelare la durata della batteria del mio smartphone, soprattutto con i modelli precedenti a quello attuale. Sono moltissimi, comunque, gli alert pubblicati sui vari media che mettono in guardia gli utenti del web dalle insidie connesse ad un uso indiscriminato ed incontrollato della funzione di geolocalizzazione, visti i rischi connessi al costante monitoraggio di ogni nostro spostamento. Ma – come dice il proverbio – un’immagine vale più di mille parole. Questa mattina un… Leggi tutto »Le insidie della geolocalizzazione

Trash2Cash

Trash2Cash è un progetto finanziato dall’Unione Europea nell’ambito del Programma Horizon 2020 per lo sviluppo di progetti di ricerca e innovazione in Europea nel periodo 2014 – 2020. L’idea di Trash2Cash è quella di creare nuove fibre rigenerate dagli scarti di tessuti, sia nuovi sia usati, per rimettere nel ciclo produttivo l’unica risorsa che abbiamo in abbondanza crescente: la spazzatura! Il carattere innovativo del progetto di ricerca Trash2Cash consiste nel l’idea di realizzare, utilizzando materiale scartato (in particolare, tessuto e carta), prodotti di prima qualità e non, come avveniva in passato, prodotti di bassa qualità utili, al più, per applicazioni industriali. Obiettivo primario della ricerca è, quindi, ottenere dei materiali ad alto contenuto tecnologico potenzialmente riutilizzabili all’infinito, in base al principio della circular economy, qui di seguito graficamente descritta Il prodotto, cioè, giunto al termine del suo ciclo di vita,… Leggi tutto »Trash2Cash

La cyber security dell’auto connessa è realmente possibile?

In un recente intervento, i Garanti Privacy europei si sono espressi sul tema dell’auto connessa (intesa come quell’auto dotata di sensori e connessa a internet, in grado di comunicare con altre auto e con l’infrastruttura che la circonda) e delle strade intelligenti. Nel loro parere, i Garanti hanno valutato il sistema di trasporto intelligente denominato C-ITS, in base al quale, dal 2019, le autovetture in circolazione in Europa potranno “comunicare” tra loro e con altre infrastrutture di trasporto (segnaletica stradale, stazioni di trasmissione/ricezione, etc.) scambiandosi informazioni utili alla circolazione. Secondo i Garanti, pur riconoscendo la validità al progetto C-ITS, la diffusione su vasta scala di questa nuova tecnologia comporterà la raccolta e l’elaborazione di quantità senza precedenti di dati (tra cui stile di guida, velocità, direzione, geolocalizzazione, etc.), ponendo nuove e importanti sfide ai diritti fondamentali dei cittadini ed alla… Leggi tutto »La cyber security dell’auto connessa è realmente possibile?

L’ePrivacy europea del futuro

E’ noto che, nel gennaio del 2017, la Commissione Europea ha presentato una proposta di Regolamento (Regolamento ePrivacy) finalizzata ad aggiornare, modificandola, la Direttiva 2002/58 (Direttiva ePrivacy) per uniformare a livello europeo la disciplina del trattamento dei dati personali nelle comunicazioni elettroniche, quale fisiologico completamento della disciplina introdotta dal GDPR. Il Regolamento ePrivacy dovrebbe essere approvato in tempo utile perché entri in vigore contemporaneamente al GDPR, cioè per il 25 maggio 2018. La bozza del Regolamento ePrivacy ha già raccolto i pareri (sostanzialmente favorevoli) del Gruppo di lavoro Articolo 29 (parere WP29 n. 1/2017 del 4 aprile 2017) e del Garante Europeo per la protezione dei dati (parere GEPD n. 6/2017 del 24 aprile 2017) ma l’iter di approvazione sta subendo ritardi significativi perché i principali attori della rete (i cosiddetti “Over The Top” o “OTT”), stanno esercitando forti pressioni per “ammorbidire”… Leggi tutto »L’ePrivacy europea del futuro

Risk-based approach e GDPR

Uno dei principali compiti posti a carico del titolare del trattamento dal GDPR è quello di vagliare i rischi sottesi alle attività di trattamento dei dati personali: il risk-based approach si pone, quindi, come prerequisito per l’individuazione delle misure tecniche e organizzative adeguate richieste dall’art. 24 per dimostrare il corretto trattamento dei dati personali da parte delle aziende. L’approccio mentale orientato al c.d. risk based thinking è sempre più indispensabile: basti pensare allo standard ISO 9001:2015, che prescrive l’analisi dei rischi in capo ad ogni processo organizzativo, in relazione al contesto ed alle esigenze di volta in volta interessate. Ciò significa che le aziende devono essere in grado di valutare costantemente, per ciascun processo produttivo ed organizzativo, i rischi provenienti dalle fonti interne ed esterne. In materia di data protection, il Garante italiano, trattando il tema del documento programmatico di sicurezza… Leggi tutto »Risk-based approach e GDPR

Italian smart city

Qualche giorno fa è apparsa sui media la notizia che l’Arabia Saudita sta progettando la costruzione della smart city del futuro. Si chiamerà NEOM e “sarà alimentata esclusivamente da sole e vento, sarà intelligente e automatizzata. (…) Il faraonico progetto è stato presentato in occasione del forum “Future investment initiative” dal principe Mohammed Bin Salman che ha descritto il cuore dell’iniziativa come un avanzato hub industriale e commerciale, dedicato a energia, acqua, biotecnologie, intelligenza artificiale, alimentazione e intrattenimento“.  I piani dell’Arabia Saudita “prevedono che NEOM venga realizzata entro il 2030, alimentandola interamente attraverso le fonti rinnovabili; sarà dotata di sistemi di trasporto a guida automatica e droni, offrendo gratuitamente, su tutto il territorio, una connessione internet wifi ad alta velocità. Tutti i servizi e processi saranno completamente automatizzati, con l’obiettivo di diventare la destinazione più efficiente del mondo”. Di questi… Leggi tutto »Italian smart city

GDPR e privacy

La valutazione di impatto (DPIA) secondo le linee guida del WP29

In base all’art. 35 del GDPR, quando si è in presenza di una tipologia di trattamento dei dati personali che – per l’uso di nuove tecnologie o per la natura, l’oggetto, il contesto o le finalità del trattamento – può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare preventivamente una valutazione di impatto dei trattamenti (Data Protection Impact Assessment – DPIA) previsti sulla protezione dei dati personali. Sull’argomento è recentemente intervenuto il Data Protection Working Party ex art. 29 (WP29), aggiornando le proprie Linee Guida proprio allo scopo di offrire un’interpretazione uniforme delle situazioni in cui, in base al GDPR, si deve ritenere integrato il requisito del “rischio elevato per i diritti e le libertà delle persone”. Il WP29 ha, innanzitutto, chiarito che il DPIA è un importante strumento… Leggi tutto »La valutazione di impatto (DPIA) secondo le linee guida del WP29

La Fondazione Corti a Villa Reale a Monza per il Lacor Hospital

Ieri sera si è tenuta, nello splendido contesto di Villa Reale a Monza, la serata benefica della Fondazione Corti per il Lacor Hospital di Gulu (Uganda), nel corso della quale sono state esposte le bellissime fotografie di Mauro Fermariello, scattate durante il suo ultimo viaggio.       La serata è stata anche l’occasione per illustrare agli invitati – che, con la loro numerosa partecipazione hanno decretato il successo dell’evento –  l’importanza dell’attività Fondazione Corti in Italia sia per l’esistenza dell’Ospedale sia, in generale, per lo sviluppo dell’intero distretto del nord Uganda. La Presidente della Fondazione, Dominique Corti, ha, poi, ricordato il forte legame con il territorio della Brianza da cui, nei primi anni ’60 è partito il padre, Piero Corti, insieme alla madre, Lucille Teasdale, per dar vita a quello che sarebbe divenuto l’odierno Lacor Hospital. Dominique Corti ha,… Leggi tutto »La Fondazione Corti a Villa Reale a Monza per il Lacor Hospital

Quali norme per KITT?

Chiunque abbia vissuto gli anni ’80, ricorda senz’altro la famosa serie tv americana che aveva come protagonista un giovane David Hasselhoff e la sua incredibile auto sportiva nera K.I.T.T., dotata di ogni futuristica tecnologia (allora) immaginabile, tra le quali spiccava l’autopilota che, tramite il comando auto-cruise, le permetteva di essere la prima auto a guida autonoma della storia a circolare liberamente (benché segretamente) per le nostre strade. K.I.T.T. era progettata per combattere il crimine e, rispetto alle attuali auto a guida autonoma, era assai più evoluta perché poteva raggiungere il suo proprietario da sola; era anche assai meno ligia alle regole del Codice della Strada, dato che spesso si concedeva corse a tutta velocità sulle strade urbane; inoltre, era senziente al punto tale da essere piuttosto volubile e ironica e, in certe occasioni, provava addirittura veri e propri sentimenti. Insomma,… Leggi tutto »Quali norme per KITT?

Social Innovation Forum 2017: l’uomo al centro della tecnologia

Ieri ho partecipato al Social Innovation Forum 2017 organizzato da Hitachi nel bellissimo contesto della Sala dei Sette Palazzi Celesti presso il Pirelli Hangar Bicocca. E’ stato un momento di confronto davvero molto interessante per comprendere verso quale futuro la tecnologia ci sta portando. Com’era immaginabile, le tecnologie a cui più si è fatto riferimento sono state le AI, Internet of Things (IoT) e i Big Data. Scopo principale del Social Innovation Forum è la discussione in merito a come le nuove tecnologie cambiano e cambieranno il nostro mondo: ci si domanda, cioè, se le novità tecnologiche che vengono prodotte e introdotte sul mercato dalle aziende, oltre a generare utili per le stesse, sono anche in grado di avere un significativo ritorno sociale in termini di qualità della vita delle popolazioni coinvolte. Nell’analisi di come le attività produttive di Hitachi… Leggi tutto »Social Innovation Forum 2017: l’uomo al centro della tecnologia

GDPR e privacy

Anonimizzazione dei dati personali

E’ noto che l’art. 4 del Regolamento UE 679/2016 (GDPR) definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile“ e che il requisito dell’identificabilità si ravvisa quando una “persona fisica può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Da tale definizione discende il corollario che il dato anonimo, cioè l’informazione che non si riferisce ad una persona identificata o identificabile o quel dato che è stato reso sufficientemente anonimo da non consentire più l’identificazione del soggetto, non cade sotto la disciplina del GDPR (così dispone, in modo esplicito, il considerando n. 26). Occorre, pertanto, domandarsi quando un dato può ragionevolmente considerarsi anonimo? E’ notizia… Leggi tutto »Anonimizzazione dei dati personali