Privacy e GDPR: nuovi adempimenti normativi (generici)

A fine maggio 2018 entrerà in vigore il GDPR, ovvero il Regolamento sulla Protezione dei Dati, approvato direttamente dal Parlamento Europeo. Sebbene in alcuni casi sia meno stringente della nostra normativa sulla privacy, vi sono sostanziali modifiche. Proviamo a schematizzare le variazioni che toccano direttamente le aziende e come queste devono gestire le informazioni.

• Cambiano i concetti e gli assiomi di partenza. Non si parla più di privacy, ma di protezione dei dati come componente primaria della privacy dei dati stessi. E non vi è più il concetto di "misura minima" ma subentra quello di "misura adeguata" nella protezione delle infrastrutture IT.

• Tutte le aziende che trattano dati sensibili di cittadini Europei devono adeguarsi, anche se non hanno sede all'interno della UE.

• Le aziende devono redirigere un registro delle attività di trattamento in cui sia ben esplicitato la finalità del trattamento stesso, il ciclo di gestione e le misure di sicurezza adottate per proteggere i dati (qualcosa di simile al vecchio DPSS).

• Solo i dati sensibili veramente indispensabili devono essere processati, e limitatamente a chi li deve elaborare. Questo sostanzialmente comporta nella maggior parte dei casi una riprogettazione dei sistemi che trattano i dati e di come questi debbano essere gestiti nel quotidiano.

• In caso di fuga di informazioni, l'azienda è obbligata a comunicarlo agli interessati entro e non oltre 72 ore dall'identificazione dell'accaduto.

• Le aziende avranno una nuova figura (l'equivalente del nostro "Responsabile della Privacy"), ovvero il DPO (Data Protector Officier), un esperto in materia giuridica, indipendente, che vigilerà anche sui processi aziendali. Il ruolo è obbligatorio in determinate casistiche (PA, società con più di 250 dipendenti o aziende che del trattamento dei dati fanno il loro core business).

• Similarmente a quanto accade ora, le aziende dovranno garantire la possibilità di cancellare i dati personali degli utenti in ogni momento. Cambia, tuttavia, la sanzione che può arrivare al 4% del fatturato annuo globale o ad un massimo di 20 milioni di euro.

• I sistemi informatici devono essere oggetto di un'analisi di rischio preventiva.

• I sistemi IT devono essere protetti da professionisti e consulenti. Seppur sia noto a tutti che una "medicina universale" non esista e che l'attacco informatico sia sempre in agguato, è necessario che le aziende dimostrino di aver investito nell'IT Security ed abbiano gestito la problematica con adeguata attenzione. La normativa italiana prevedeva l'adozione di misure di sicurezza perimetrale (un firewall, ad esempio) e di sicurezza dei client (un antivirus), è evidente tuttavia che questo adempimento risulta oramai perlopiù insufficiente. 

• Proprio il concetto di "misura adeguata" espone il titolare del trattamento a dimostrare, in caso di fuga di informazioni, perchè le misure adottate siano state reputate sufficienti. 

• Il titolare del trattamento dovrà occuparsi di formare tutti i collaboratori aziendali circa le tematiche in oggetto. Proviamo a dare una sfaccettatura più informatica: è opportuno che le risorse aziendali sappiano riconoscere un attacco di tipo Social Engineering in cui, ad esempio, un attaccante cerca di reperire informazioni via telefono.

• I locali ove risiedono i dati, anche elettronici, andranno adeguatamente protetti.

• Le tecnologie di backup e disaster recovery assumono un ruolo estremamente importante, soprattutto in ottica anti-estorsiva. La normativa attuale prevede già degli adeguamenti (ad esempio che i backup siano locati in plessi differenti), tuttavia il GDPR estende questi adeguamenti ad un'analisi più completa di tutto il processo di disaster recovery.

• I dati devono essere cifrati e la profilazione non deve essere riconducibile al singolo.

• Gli accessi illeciti ai dati devono essere obbligatoriamente notificati agli organi di competenza.

In un prossimo articolo andremo nel dettaglio degli adempimenti tecnologici riguardanti i responsabili IT e dell'infrastruttura informatica, entrando nel merito di come si stanno muovendo i vari vendor.


Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.

Alterazione del campo IBAN nelle fatture: nuove superfici di attacco alle aziende

A volte un'operazione normale come inviare una fattura via email può trasformarsi in un problema.

Immaginate di inviare una fattura in PDF ed immaginate che il vostro interlocutore riceva la stessa identica fattura, sempre in formato PDF, ma con il campo IBAN cambiato o popolato da un codice bancario non vostro.

Questo è quanto accaduto di recente in un caso che ho avuto modo di seguire.


Fattura originaria (in questo caso senza IBAN):

Fattura alterata, pervenuta all'interlocutore:

Una telefonata del destinatario, insospettito da un IBAN insolito (seppur italiano!), ha messo in luce la problematica prima che potesse essere dannosa.

E' bene precisare che il destinatario utilizza un dominio generico erogato da un noto ISP italiano ed oggetto di innumerevoli recenti attacchi e problemi di sicurezza. Utilizzare email con domini aziendali non è mai un errore, oltre ad essere sinonimo di professionalità.

Va aggiunto che il proprietario dell'IBAN italiano su cui avviene materialmente la truffa spesso è coinvolto con la formula "ci giri il denaro che ti arriva e ti trattieni una percentuale", nella classica formula "vuoi guadagnare soldi online?" che spesso si legge su qualche banner. Ciò non toglie che il reato sia e rimanga quello di riciclaggio, che lo si faccia con o meno cognizione di causa, non si scherza.

Si consiglia la massima attenzione, spesso una telefonata può salvare migliaia di euro.


Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.