martedì 10 luglio 2018

Caso Gmail, la crittografia per mail sicure

“Ognuno di noi vuole affidabilità e sicurezza quando si parla di strumenti e supporti che ci permettono di scambiare dati e informazioni via e-mail. L’unico modo per averle è sfruttare la crittografia”. 

Lo afferma Valerio Pastore, fondatore e Chief Sofware Architect di Boole Server, primo vendor italiano di soluzioni per la protezione dei dati sensibili, commentando la notizia riportata dal Wall Street Journal secondo cui gli sviluppatori di app esterne a Google possono leggere i messaggi di posta elettronica inviati con Gmail. “La richiesta del consenso al trattamento e gestione delle e-mail non basta per tutelarne la riservatezza”, dichiara Pastore. 

“Il contenuto delle e-mail resta infatti in chiaro sia durante la composizione che nella fase di invio e ricezione e ciò rappresenta una vulnerabilità di cui è facile accorgersi attraverso l’utilizzo dei più popolari servizi di posta elettronica”. Il fondatore di Boole Server spiega infatti che “se nel testo scriviamo che allegheremo un file alla mail senza però farlo, al momento dell’invio verremo avvertiti della mancanza dell’allegato. Il sistema ha dunque visto e letto la nostra mail. 

Un modo per impedire anche al provider stesso di leggere il contenuto delle nostre mail è quello di cifrarne i contenuti e renderli accessibili solo ai destinatari rigorosamente scelti dall’utente”. “Cosi come proteggiamo i nostri beni di valore depositandoli in banca o mettendoli al sicuro sottochiave, lo stesso dobbiamo fare con i nostri dati sensibili”, aggiunge Pastore, che dopo la recente operazione sulle frodi informatiche “Sim Swap” della Polizia Postale di Catania e il caso Google, sottolinea l’importanza di essere sempre più consapevoli dei rischi connessi al web e di informarsi e attuare le soluzioni più adatte per difendersi.

martedì 26 giugno 2018

Non aprite queste mail!!

Nuova campagna di email di spam inviate per diffondere una raffica di malware. I messaggi utilizzati sono indirizzati ad indirizzi di posta elettronica italiani con lo scopo di far credere ai destinatari di avere in ballo una serie di pagamenti di fatture. E' quanto ha rilevato il Cert per la Pa (Computer Emergency Response Team per la Pubblica amministrazione), pubblicando gli screenshot delle mail con oggetto 'Re: Fatture vendita privata' e 'Richiesta Iban per pagamento fatture'.

"Le organizzazioni maggiormente coinvolte in questa campagna - si legge - sono quelle legate ai settori delle Telecomunicazioni, Statali, Costruzioni, Educazione e Tecnologia. La caratteristica comune delle comunicazioni è il corretto utilizzo della lingua italiana, oltre alla medesima infrastruttura di rete". Gli invii sono effettuati utilizzando in un caso un account PEC e in un altro una casella di posta convenzionale.

"In entrambi i casi il metodo di propagazione del malware è affidato ad allegati con estensione '.xls' (Microsoft Excel) contenenti codice macro malevolo offuscato. Una volta aperto il file e abilitato il contenuto dinamico - avvertono gli esperti - la catena di infezione determina il download locale di un file eseguibile PE contenente un malware appartenente alla famiglia Sharik, un trojan con funzionalità di downloader conosciuto anche come Smoke Loader o Dofoil". Al momento, la capacità di individuazione di questo malware da parte dei più diffusi antivirus risulta abbastanza elevata.

lunedì 11 giugno 2018

Privacy, scende l'età per usare i social?

E' partita la 'rivoluzione privacy'. Con il nuovo Regolamento Ue 2016/679, conosciuto come GDPR (General Data Protection Regulation), cambiano e cambieranno alcune delle normative in merito a protezione e controllo dei dati personali.

In questo quadro, si inserisce anche un aspetto che riguarda il rapporto tra minori e social network. Il Garante della Privacy, infatti, ha dato il via libera allo schema di decreto legislativo per l'adeguamento della normativa nazionale alle disposizioni del nuovo Regolamento europeo, entrato pienamente in vigore il 25 maggio, ricordando però che potrebbe sembrare "incoerente" ammettere un 14enne a "prestare il proprio consenso per essere adottato, ma non per iscriversi a un social network".

E' quanto si legge in un passaggio del provvedimento n. 312 del 22 maggio 'Parere sullo schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento Ue 2016/679 (LEGGI) in cui viene espresso appunto un parere - su richiesta della presidenza del Consiglio dei ministri - in merito allo schema di decreto per adeguare la normativa nazionale. Norme alla luce delle quali si è aperta la discussione sull'eventuale scelta del legislatore di fissare il limite a 16 anni per i social.

Nel documento del Garante della Privacy, "al fine di rendere il decreto pienamente conforme ai principi e alle disposizioni del Regolamento, perfezionandolo in alcuni punti anche sotto il profilo formale", viene quindi indicata "l'opportunità di alcune modifiche e integrazioni".

E così - scorrendo il documento al capitolo 2 ('Trattamenti particolari') fino ad arrivare al paragrafo 4 dello stesso ('Consenso del minore') - si legge che "con riferimento all'art. 2-quinquies del Codice come modificato dallo schema di decreto, si osserva, in relazione ai servizi della società dell'informazione, che l'indicazione in base alla quale in tale ambito è consentito 'il trattamento dei dati personali del minore di età inferiore a sedici anni' non appare coerente con altre disposizioni dell'ordinamento che individuano, invece, a quattordici anni il limite di età consentito per esercitare determinate azioni giuridiche".

"Si pensi, fra le tante - aggiunge il Garante - alle disposizioni in materia di cyberbullismo che consentono al minore ultraquattordicenne di esercitare i diritti previsti a propria tutela contro atti di cyberbullismo nei suoi confronti (v. art. 2, c. 1, l. n. 71 del 2017). O si pensi al diritto del minore ultraquattordicenne di prestare il proprio consenso all'adozione (art. 7, c. 2, l. n. 184 del 1983)".

E qui la notazione importante: "Parrebbe pertanto incoerente ammettere il quattordicenne a prestare il proprio consenso per essere adottato, ma non per iscriversi a un social network".

In sostanza, facendo riferimento a servizi della società dell'informazione, secondo il Garante sarebbe più coerente che sia 14 anni (e non 16) l'età minima per iscriversi ad un social network. Perché se a 14 anni un ragazzo può denunciare atti di bullismo e dare il suo consenso all'adozione, sarebbe incoerente non consentirgli anche di iscriversi ai social.

venerdì 25 maggio 2018

E-commerce, in Italia vale 24 miliardi


L’e-commerce in Italia vale 24 miliardi di euro, con crescite medie a due cifre ogni anno negli ultimi 12 anni, ed è più che raddoppiato negli ultimi 4 anni. 

E’ quanto emerge dal report sulle vendite online realizzato da Confcommercio. In alcuni settori come il turismo (principalmente biglietteria, ma anche soggiorni e vacanze) gli acquisti online hanno raggiunto incidenze significative (il 31% degli acquisti di turismo avviene online), mentre in altri come l’alimentare, per difficoltà logistiche, di mantenimento della catena del freddo e per la grande frammentazione a livello di produzione, l’online è ancora marginale, pur presentando tassi di crescita molto elevati. 

La grande rivoluzione, per le dimensioni del settore e per le caratteristiche del prodotto, che necessita più di altri di un contatto fisico, sta avvenendo nell’abbigliamento (2,5 miliardi di acquisti online con una incidenza del 7%), e dimostra, qualora ce ne fosse ancora bisogno, che nessun settore sarà esente dall’impatto dell’e-commerce. Analizzando il profilo degli acquirenti online si scopre che non si tratta solo di giovanissimi (che restano i maggiori utilizzatori di internet in generale), perché è necessario guadagnare un certo reddito da spendere per essere un heavy spender (altospendente), anche online. 

I numeri degli acquirenti per fascia d’età e, soprattutto, le penetrazioni sul totale della popolazione italiana, indicano la pervasività del fenomeno, certamente più radicato tra i consumatori tra i 25 e i 55 anni, ma decisamente non marginale anche tra gli over 65 e, per le dinamiche demografiche, destinato a crescere anche nelle fasce d’età più elevate, mano a mano che gli attuali grandi utilizzatori invecchieranno.

mercoledì 16 maggio 2018

Il nuovo Regolamento Europeo sulla privacy

Dal 25 maggio sarà operativo il nuovo Regolamento Europeo sulla protezione dei dati personali, fortemente voluto dall'UE con obiettivo dichiarato di creare un "clima di fiducia per lo sviluppo dell'economia digitale in tutto il mercato interno", ma i risultati di una ricerca condotta dall'Osservatorio di Federprivacy evidenziano che buona parte dei più importanti siti web italiani stentano ancora a fare della privacy e della sicurezza online una virtù.

Da uno studio svolto sui principali trecento siti web italiani, è infatti emerso che il 39% di questi, anziché ricorrere a protocolli sicuri con cifratura SSL/TLS, (facilmente riconoscibili perchè contrassegnati sul browser dal prefisso "https" ed un lucchettino verde), continuano ad utilizzare invece connessioni non sicure che consentono potenzialmente a dei malintenzionati di intercettare dati personali inviati o ricevuti tramite un form di contatto, o di carpire i dati della carta di credito digitati durante un acquisto online.

Altro elemento rilevato dallo studio che concorre a frenare il decollo dell'e-commerce made in Italy, è che ben 252 siti sui trecento analizzati (84%), sebbene siano dotati di una informativa sulla privacy, non forniscono poi in essa i recapiti per l'esercizio dei diritti dell'interessato o i dati di contatto del data protection officer, informazioni che peraltro dal 25 maggio sarà obbligatorio pubblicare per tutte le p.a. e per le aziende che trattano dati su larga scala o che profilano gli interessati, tecnica quest'ultima che risulta peraltro attiva nell'85% dei siti italiani esaminati, i quali utilizzano cookies di terza parte che servono proprio a memorizzare e tracciare gusti e preferenze online degli utenti.

"Se da una parte la maggioranza di questi siti mettono il naso nei dispositivi degli utenti per monitorare i loro comportamenti online, al tempo stesso rendono difficile anche solo chiedere delle informazioni su come essi utilizzano tali dati - afferma il presidente di Federprivacy Nicola Bernardi - e questa scarsa trasparenza penalizza paradossalmente non solo i diritti degli interessati ma anche le stesse aziende che finiscono per macchiare la propria reputazione sprecando molte delle opportunità del mercato digitale"

Anche se gli scenari attuali non sembrerebbero rassicuranti circa la possibilità di vedere Internet come un ambiente migliore in cui navigare senza essere spiati in ogni click e dove poter fare tranquillamente shopping online senza timore di essere frodati, qualcosa in realtà si sta muovendo e ci sono realtà che stanno puntando molto sulla fiducia dell'utente, come Ferrero che ha ottenuto il marchio di qualità "Privacy OK" in tutti i principali siti web italiani del Gruppo, incluso quello di Nutella.

Altro caso è quello di Qwant, motore di ricerca che promette di tutelare la privacy dei propri utenti senza tracciarli né con i cookies nè con altra tecnica di tracciamento. E anche Federprivacy ha realizzato il proprio sito web utilizzando un protocollo sicuro e senza alcun cookie di profilazione con l'auspicio di creare un modello da imitare per dimostrare che creare un web migliore è davvero possibile, e proprio la privacy come valore per guadagnarsi la fiducia degli utenti sarà al centro del dibattito al 7° Privacy Day Forum del 25 maggio.