SICUREZZA INFORMATICA E STRUTTURE TURISTICHE: LA NIS2

La crescita turistica degli ultimi anni del nostro territorio, e le continue attenzioni e richieste di realizzazione di eventi unici ed esclusivi non ultimo il G7, deve sollevare una maggiore consapevolezza ed attenzine degli operatori tutristici alla sicurezza sia fisica che informatica,e deve far riflettere su alcuni aspetti della cybersicurezza anche in abito turistico. Le aziende turistiche raccolgono una grande quantità di dati personali ma anche relativi a carte di credito e sistemi di pagamento elettronici, e di profilazione, basti pensare alle informazioni relative alle preferenze di viaggio. Questa attitudine  espone le strutture ricettive a potenziali attacchi ransomware, proprio per l’appetibilità di questi dati.

Un approccio alla sicurezza informatica ed alle misure da implementare data l’origine di natura internazionale die dati raccolti, può trovare proprio in una misura Europea una la risposta. Questa può essere la NIS2.

La NIS2 è una direttiva dell’Unione Europea, formalmente conosciuta come “Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione”, che aggiorna la precedente Direttiva NIS (Direttiva sulla sicurezza delle reti e dei sistemi informativi) del 2016. L’obiettivo principale della NIS2 è rafforzare la sicurezza informatica all’interno dell’UE, migliorando la resilienza e le capacità di risposta delle infrastrutture critiche e delle organizzazioni di rilevanza nazionale e europea.

La Direttiva NIS2 si applica a una vasta gamma di settori, sia essenziali che importanti, per rafforzare la resilienza dell’Europa contro le minacce informatiche.

A chi si applica: Settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servizi Tlc b2b, pubblica amministrazione e settore spazio.

Altri settori critici: servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione di alimenti, fabbricazione di dispositivi medici, fabbricazione di computer ed elettronica, fabbricazione di apparecchiature elettriche, fabbricazione di macchinari, fabbricazione di autoveicoli, fornitori di servizi digitali, organizzazioni di ricerca.

Questi settori sono considerati vitali per il funzionamento della società e dell’economia, e quindi la loro protezione è essenziale per la sicurezza collettiva. La NIS2 mira a garantire che queste aree siano adeguatamente protette dalle crescenti minacce alla sicurezza informatica.

Ma secondo la nostra esperienza, l’approccio alle misure della NIS2 può sicuramente essere la risposta all’implementazione di misure idonee di sicurezza informatica anche per il settore turistico e per un territorio come quello di Fasano fortemente orientato in questo settore.

Cosa prevede: Se un’azienda non rispetta i requisiti della Direttiva NIS2, può incorrere in diverse misure di applicazione. Queste possono includere istruzioni vincolanti, la raccomandazione di un audit di sicurezza e multe amministrative. Queste sanzioni significative dimostrano l’importanza che l’Unione Europea attribuisce alla conformità con le normative sulla sicurezza informatica.

I requisiti minimi di sicurezza previsti dalla Direttiva NIS2 includono:

  • Analisi e valutazione dei rischi: le aziende devono eseguire valutazioni approfondite dei rischi per i loro sistemi informativi, comprese operazioni di vulnerability assessment e penetration test
  • Gestione degli incidenti: è necessario avere un piano e un’attività di monitoraggio continuo per rispondere prontamente agli incidenti di sicurezza informatica2.
  • Piani di continuità aziendale: le organizzazioni devono sviluppare piani per garantire la continuità delle operazioni in caso di incidenti o crisi
  • Test di sicurezza: devono essere condotti regolarmente per verificare l’efficacia delle misure di gestione del rischio
  • Compliance nella supply chain: è richiesto che tutti gli attori coinvolti nella supply chain rispettino i requisiti di sicurezza.

Questi requisiti sono fondamentali per assicurare un alto livello di sicurezza informatica e per proteggere le infrastrutture critiche e i servizi essenziali dall’aumento delle minacce cyber.

Obblighi di Sicurezza e Notifica:Gli operatori dei servizi essenziali e i fornitori di servizi digitali devono implementare misure di sicurezza appropriate per gestire i rischi relativi alla sicurezza delle reti e dei sistemi informativi. Inoltre, devono notificare tempestivamente agli organismi competenti eventuali incidenti di sicurezza significativi.

Miglioramento della Cooperazione: La NIS2 prevede un rafforzamento della cooperazione a livello europeo, con la creazione di un quadro di cooperazione più strutturato tra gli Stati membri, la Commissione europea e l’Agenzia dell’Unione europea per la cibersicurezza (ENISA). Questo include la condivisione delle informazioni e la collaborazione in caso di incidenti di sicurezza rilevanti.

In conclusione: La NIS2 rappresenta un passo importante verso un ambiente digitale più sicuro e resiliente nell’UE, rispondendo alle crescenti minacce informatiche e ai rischi associati alla dipendenza crescente dalle tecnologie digitali, mira a migliorare la resilienza delle infrastrutture critiche e delle organizzazioni essenziali attraverso l’adozione di misure di sicurezza più avanzate e la preparazione a rispondere efficacemente agli incidenti di sicurezza.

Quale miglior approccio allora per le strutture ricettive, che anche se no obbligate possono ritrovare in queste misure delle liee guida per orientarsi nella materia della sicurezza informatica, ma non solo queste l’attenzione alla materia della sicurezza informatica  può anche diventare un plus per reputazione della struttura stessa ed un motivo di valutazione da parte di ospiti e agenzie che organizzano eventi esclusivi.

Link utili:

https://www.enisa.europa.eu/

https://www.csirt.gov.it/

7 Consigli per adottare regole di Cybersecurity: come proteggersi

Anche le piccole imprese, come le medie e le grandi, devono dedicare attenzione alla cybersecurity, essendo anche loro a rischio attacco da parte di hacker anonimi o ransomware. Ecco cinque consigli pratici da implementare con minimo sforzo per fare un pò di sicurezza informatica.

Il primo consiglio: il più semplici da adottare è sicuramente l’utilizzo di password lunghe e senza dati personali, non condivise da tutti all’interno dell’azienda ma diversificate per ogni utente. Quest’ultima si ritiene infatti la scelta migliore attraverso l’attivazione di accessi personali sulle varie piattaforme, perché account condivisi usati da più persone potrebbero sfuggire al controllo e diventare una falla di sicurezza.

Fondamentale è quindi essere consapevoli di questa problematica.

Un altro utilissimo consiglio riguarda gli account non più utilizzati o in disuso per un periodo prolungato: occorre bloccare, nel primo caso, o sospendere temporaneamente l’utente, nel secondo, per evitare che il tutto cada nelle mani di malintenzionati e consentire loro l’accesso alle risorse dell’organizzazione.

Terzo consiglio: accade anche che si utilizzino computer e cellulari personali in contesti aziendali, sui quali non c’è alcun controllo. In questa situazione, si consiglia di bloccare o filtrare la navigazione dei PC non aziendali e spostare i device degli ospiti in una rete separata.

Quarto consiglio: vitale è il backup dei dati per poterli sempre salvare in caso di problematica riguardanti il server: è sempre necessario avere più copie di dati ed è meglio che almeno una di queste sia offline.

Secondo la regola del 3-2-1 è necessario conservare 3 copie dei dati, su 2 differenti storage di backup, con 1 copia mantenuta off-site.

Consiglio n. 5:  da non sottovalutare è la sicurezza fisica all’interno dell’azienda. In particolare controllando che:

  • non ci sia libero accesso agli armadi di rete o alle prese di rete

  • la porta della sala macchine non sia aperta a chiunque

  • le chiavi di accesso siano in mano solo a persone autorizzate

Bisogna anche fare attenzione alla sicurezza di tutti dispositivi aziendali fissi e mobili: evitare di lasciare incustoditi i device mobili, di lasciare la postazione senza login o senza blocco all’accesso, sono alcune pratiche vantaggiose.

Consiglio n. 6: si consiglia inoltre di controllare le piattaforme cloud, soprattutto da quando si è diffusa la pratica dello smart working che ha spinto molto l’adozione del cloud, poter far lavorare i collaboratori da remoto e accedere in maniera veloce ai servizi SaaS.
Anche in questo caso, i sistemi in cloud devono avere un backup e una verifica precisa del ciclo di vita degli utenti.

Consiglio n. 7: in azienda è importante formare i dipendenti in materia di cybersecurity e privacy per cercare di prevenire l’errore umano, anticipando e correggendo pratiche pericolose.

Il consiglio di fondo è semplice: cercare e condividere le informazioni con le persone in azienda per creare quella cultura sulla cybersecurity che serve per minimizzare i richi e le minaccie informatiche.

Il Garante Privacy blocca l’uso di Google Analytics

Google Analytics viola la normativa sulla protezione dei dati. È il Garante per la privacy ad affermarlo a seguito di un’istruttoria eseguita in coordinamento con altre autorità privacy europee.

Dopo una serie di reclami, il Garante ha avviato una indagine da cui è emerso che i dati degli utenti che navigano su siti web che implementano le funzionalità di Google Analytics, vengono trasferiti negli Stati Uniti, Paese privo di un adeguato livello di protezione.

In particolare, i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti dei siti, le singole pagine visitate e, soprattutto, l’indirizzo IP del dispositivo dell’utente (considerato dato personale) con le informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.

L’Autorità, quindi, richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’ illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA e invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, nel rispetto della normativa in materia di protezione dei dati personali Reg UE 2016/679.

Al termine dei 90 giorni assegnati alla società destinataria del provvedimento, il Garante dopo attività ispettive, procederà a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Come consulenti, per lo sviluppo di siti ecommerce e corporate, il nostro compito è quello di seguire ed affiancare le imprese in questo mondo, ed uno degli aspetti più importanti per chi gestisce un ecommerce è sicuramente l’analisi dei dati degli utenti che navigano il proprio sito.
Per questo abbiamo messo a punto una strategia che permette di integrare soluzioni open source o a pagamento per continuare ad analizzare i dati di traffico e degli utenti dei siti, e nel pieno rispetto dell‘ Autorità e delle normativi di riferimento.

Compila il form per un’ analisi gratuita del tuo sito.

    Nome
    Cognome
    Email
    Telefono
    Link sito web

    Transizione 4.0 Credito d’imposta 2021

    Il beneficio Transizione 4.0 ha sostituito l’ Industria 4.0, ed è stato introdotto dal 2021. Con il nuovo piano Transizione sono state anche aumentate le aliquote ed il massimale annuo. Circolare 4E del 30/03/2017 AdE e MISE, L. di Bilancio 2021 n,178/2020 Art1, commi da 1051 a 1064. Beni strumentali interconnessi. Credito di imposta beni strumentali interconnessi aliquote:

    – 50% (40% nel 2020) del valore dei beni materiali acquistati fino a 2,5 Milioni di euro

    – 30% del valore dei beni materiali
    acquistati oltre i 2,5 Milioni di euro

    – 10% del valore dei beni materiali
    per acquisti olter i 10ml fino a 20ml di euro.

    – 20% (15% nel 2020) dei beni
    immateriali (software) fino ad 1ml di euro.

    Il credito di imposta può essere usato già del nell’anno dell’investimento, subito dopo l’avvenuta interconnessione dei beni. La misura non è tassata e può essere cumulata con altre agevolazioni a condizione che il cumulo non faccia superare il totale del costo sostenuto.

    Adempimenti:

    • le imprese
      che godono delle agevolazioni 2021 devono effettuare una
      comunicazione
      al Ministero dello sviluppo economico
      ;
    • la perizia
      giurata
      è
      obbligatoria per beni di valore superiore o uguale a 300.000 euro
      (nel 2020 era perizia semplice);
    • le fatture e
      gli altri documenti relativi all’acquisizione dei beni agevolati
      devono contenere l’espresso
      riferimento
      alle
      disposizioni dei commi da 1054 a 1058 dell’art.1 della Legge 178 del
      30 dicembre 2020.

    “Beni
    agevolabili secondo l’art. 1 della legge n.160 del 2019 e legge 178
    del 2020”

    Compensazione:

    F24 con codice
    tributo istituito dalla AdE n. 3/E del 2021

    Quote 3
    annuali dall’anno di intreta in funzione dei beni.

    Caratteristiche
    dei beni e dei macchinari:

    • beni
      materiali (macchine, attrezzature, ecc.) elencati in allegato A
      della legge;
    • beni
      immateriali (licenze, software, sistemi) elencati in allegato B
      della legge, indispensabili per fare funzionare i beni materiali in
      allegato A.
    • L’Allegato
      A (beni materiali
      elenca
      3 CATEGORIE di beni:
    • A1: beni
      strumentali con funzionamento controllato da sistemi computerizzati
      e/o gestiti tramite opportuni sensori e azionamenti (ad esempio
      macchine per la produzione, imballaggio, lavorazione, macchine
      utensili, ecc.);
    • A2: sistemi
      per l’assicurazione della qualità e della sostenibilità (ad
      esempio sistemi di sensori, sistemi per la tracciabilità dei
      prodotti, ecc.);
    • A3:
      dispositivi per l’interazione uomo macchina e per il miglioramento
      dell’ergonomia e della sicurezza del posto di lavoro in logica 4.0
      (ad esempio sistemi di sicurezza per prevenire infortuni, diminuire
      errori ed aumentare l’efficienza).
    • L’Allegato
      B (beni immateriali)
      ,
      invece, come beni ammortizzabili prevede programmi e applicazioni
      acquistati da aziende che già investono in beni materiale in logica
      industria 4.0 (ad esempio software, sistemi e system integration,
      piattaforme e applicazioni).
    • All’allegato
      B
      originario, la legge di bilancio 2018, ha aggiunto i seguenti beni:
    • sistemi di
      gestione della supply chain finalizzata al drop shipping
      nell’e-commerce;
    • software e
      servizi digitali per la fruizione immersiva, interattiva e
      partecipativa, ricostruzioni 3D, realtà aumentata;
    • software,
      piattaforme e applicazioni per la gestione e il coordinamento della
      logistica con elevate caratteristiche di integrazione delle attività
      di servizio.

    Le macchine in
    elenco A1 devono avere tutte e 5 queste caratteristiche:

    1. controllo per
      mezzo di CNC e/o PLC (vedi nota 1 sotto);
    2. interconnessione
      ai sistemi informatici di fabbrica;
    1. integrazione
      con il sistema logistico della fabbrica e/o altre macchine;
    2. interfaccia
      uomo macchina semplice ed intuitiva;
    3. rispondenza
      ai più recenti standard in termini di sicurezza.

    Caratteristiche
    aggiuntive:

    La macchina
    deve avere almeno 2 caratteristiche tra queste 3 elencate:

    1. sistemi di
      telemanutenzione e/o telediagnosi e/o controllo in remoto;
    2. monitoraggio
      in continuo delle condizioni di lavoro e dei parametri di processo
      mediante opportuni set di sensori e adattività alle derive di
      processo;
    3. caratteristiche
      di integrazione tra macchina fisica e/o impianto con la
      modellizzazione e/o la simulazione del proprio comportamento nello
      svolgimento del processo (sistema cyberfisico) (vedi nota 2 sotto).

    La Circolare
    4E del 30/03/2017 ha chiarito che la caratteristica
    dell’interconnessione ai sistemi informatici di fabbrica con
    caricamento da remoto di istruzioni e/o part program è soddisfatta
    se:

    • il bene
      scambia informazioni con sistemi interni (es.: sistema gestionale,
      sistemi di pianificazione, sistemi di progettazione e sviluppo del
      prodotto, monitoraggio, anche in remoto, e controllo, altre macchine
      dello stabilimento, ecc.) per mezzo di un collegamento basato su
      specifiche documentate, disponibili pubblicamente e
      internazionalmente riconosciute (esempi: TCP-IP, HTTP, MQTT, ecc.);
    • inoltre, il
      bene deve essere identificato univocamente, al fine di riconoscere
      l’origine delle informazioni, mediante l’utilizzo di standard di
      indirizzamento internazionalmente riconosciuti (es.: indirizzo IP).

    Come
    accedere al beneficio:

    L’impresa
    deve acquistare i beni, materiali o immateriali, dal 16
    novembre 2020
    fino
    al 31 dicembre 2021,
    oppure deve emettere l’ ordine e pagare un acconto maggiore del 20%
    entro il 31 dicembre 2021 e mettere in funzione il bene entro il 30
    giugno 2022.

    Le imprese
    che si avvalgono di tali misure effettuano una comunicazione al
    Ministero dello Sviluppo Economico
    (MISE).
    Con apposito decreto direttoriale del Ministero dello sviluppo
    economico sono stabiliti il modello, il contenuto, le modalità e i
    termini di invio della comunicazione in relazione a ciascun periodo
    d’imposta agevolabile.

    L’agevolazione
    verrà poi goduta dall’impresa come credito di imposta utilizzabile,
    solo in compensazione con il mod. F24, in 3
    quote annuali
    (erano
    5 nel 2020) di pari importo a decorrere dall’anno di entrata in
    funzione dei beni.

    Per una spesa
    fino a 300K euro basta una dichiarazione di atto notorio del legale
    rappresentante

    Per una spesa
    superiore ai 300k euro serve una perizia tecnica asseverata o un
    atestato di certificazione.

    Occorre una
    attestazione per ogni singolo bene.

    L’attestazione
    va fatta entro il periodo di imposta in cui il bene entra in funzione
    e dal momento dell’interconnessione per beneficiare del 50% del
    credito di imposta.

    Voucher MISE per consulenza in innovazione

    La tua impresa è pronta ad affrontare i cambiamenti del digitale?

    Arriva una nuova opportunità dal Ministero per lo Sviluppo Economico: VOUCHER PER CONSULENZA IN INNOVAZIONE.

    Grazie all’esperienza acquisita negli anni, ed essendo Innovation Manager regolarmente iscritto, possiamo aiutarti per la consulenza e la presentazione della tua domanda.

    Di seguito ti forniamo una breve presentazione del progetto, i servizi e le categorie alle quali è rivolto.

    Il Ministero dello Sviluppo Economico (MISE), mette a disposizione per le imprese degli incentivi volti a sostenere i processi di trasformazione tecnologica e digitale delle PMI e delle reti di impresa.

    Le risorse a disposizione dei Voucher Innovation Manager per il 2019 e il 2020 ammontano a 50 milioni di euro,  per finanziare l’inserimento nella tua azienda (o rete d’impresa) una figura professionale altamente specializzata  (INNOVATION MANAGER) in grado di implementare  processi volti a:

    1. cyber security;
    2. integrazione e sviluppo digitale dei processi aziendali;

    Ma anche  per consulenze volte ad orientare i processi di ammodernamento degli assetti gestionali e organizzativi, compreso l’accesso ai mercati finanziari e dei capitali.

    il contributo concedibile è differenziato in funzione della tipologia di beneficiario e  sotto forma di Voucher ed è pari a:

    • Micro e piccole: contributo pari al 50% dei costi sostenuti fino ad un massimo di 40 mila euro
    • Medie imprese: contributo pari al 30% dei costi sostenuti fino ad un massimo di 25 mila euro
    • Reti di imprese: contributo pari al 50% dei costi sostenuti fino ad un massimo di 80 mila euro

    Le spese ammissibili al contributo devono essere sostenute a titolo di compenso per le prestazioni di consulenza specialistica rese da un manager dell’innovazione qualificato, indipendente e inserito temporaneamente, con un contratto di consulenza di durata non inferiore a nove mesi, nella struttura organizzativa dell’impresa o della rete.

    Il contributo è in regime “de minimis” ai sensi del Regolamento (UE) n. 1407/2013.

    Chi può ricoprire il ruolo di Innovation Manager?

    Il manager dell’innovazione è un professionista che si occupa di favorire processi di digitalizzazione e riorganizzazione aziendale e per sviluppare competenze, sul piano tecnico e manageriale, in grado di consentire la gestione dei profili di complessità organizzativa e produttiva che impone la trasformazione tecnologica.

    L’innovation manager è un professionista, o una organizzazione,  che  deve avere ampia, recente e provata esperienza manageriale maturata in contesti che hanno sviluppato innovazione, in particolare relativamente ad alcuni ambiti chiave del digitale e dell’industria 4.0; deve essere qualificato, indipendente e inserito temporaneamente nell’impresa o nel network di imprese che richiede il voucher, tramite un contratto di durata non inferiore ai nove mesi.

    Come richiedere i voucher.

    Dal 7 al 26 novembre è possibile richiedere il voucher attraverso la figura dell’ Innovation Manager.

    L’iter di presentazione della domanda è articolato in tre fasi.

     la documentazione necessaria dovrà pervenire entro e non oltre il 22 novembre, in modo da poter valutare entro la scadenza del 26 novembre, la fattibilità e predisporre il progetto da inserire nella tua azienda.

    Erogazione del contributo.

    Una volta ammessi all’agevolazione, l’erogazione del voucher avverrà in due quote.

    Il soggetto beneficiario potrà richiedere l’erogazione della prima quota, pari al 50% delle agevolazioni concesse, successivamente alla realizzazione di almeno il 25% delle attività previste dal contratto e al pagamento delle relative spese.

     L’erogazione del saldo, invece, potrà essere richiesta dopo la conclusione delle attività previste dal contratto e al pagamento delle relative spese e comunque entro 60 giorni dalla data di emissione del titolo di spesa a saldo.

    Contattaci per eventuali informazioni e documentazione.

    Blockchain o DLT e Smart Contract, dal DL Semplificazioni 2019 agli usi pratici.

    Chiunque oggi ha sentito parlare almeno una volta di Blockchain o ancor peggio ha partecipato o ha dato inizio a conversazioni su questo argomento senza sapere realmente di cosa si stesse parlando. Oggi la parola Blockchain riconduce quasi sempre le discussioni alle cryptovalute ed è forse proprio questo il motivo di tanto scetticismo e reticenza legate a questa che, oltre ad essere una parola è una tecnologia ed è a quelli meno informati o più lontani da questa tecnologia, che questa parola fa paura. Effettivamente la prima Blockchain usata nella storia di questa tecnologia è legata alla famosa cryptovaluta Bitcoin, ed associata al fascino del mistero legato al nome di Sathosi Nakamoto che ne parlò per primo in un suo articolo del 2008 anche se con due parole separate block e chain.

    https://bitcoin.org/bitcoin.pdf https://it.wikipedia.org/wiki/Blockchain

    Come funziona?

    L’ obiettivo di questo articolo è quello di mostrare agli occhi dei molti la questione da un altro punto di vista e cioè da quello delle DLT (Distribution Ledge Thecnology) ovvero la tecnologia dei registri distribuiti. Ebbene la Blockchain altro non è che una tecnologia DLT, un registro costituito da un libro mastro distribuito fra più nodi di una rete, in questo caso quella di internet, dove ogni nodo grazie allo scambio crittografato di una chiave pubblica ed una privata può garantire l’autenticità delle scritture delle informazioni nel blocco minimo di dati, senza la necessità di un ente certificatore. Ogni scrittura o blocco di dati aggiunto al registro viene poi sottoscritto secondo le regole del consenso dagli altri nodi della rete, rendendo il blocco non più modificabile e garantendone la sua originalità.

    Rappresentato così ecco che ci troviamo difronte ad una sorta di registro pubblico dove tutti possono sapere come e quando sono state aggiunte delle scritture, ma non solo, tutti i nodi certificano l’originalità e la regolarità delle stesse, conservando inoltre ogni nodo una copia dello stesso registro. Ad ogni operazione viene poi associata anche una sorta di marca temporale o timestamp che certifica anche il giorno e l’ora della scrittura.

    Fatto proprio il concetto di immutabilità delle operazioni grazie ai protocolli crittografici ed al consenso dei nodi, con questo esempio, ecco espresso e rappresentato il concetto delle tecnologie distribuite DLT.

    Bene, adesso pensiamo a quanti registri pubblici conosciamo e a quanti ne consultiamo quotidianamente o quante informazioni scambiamo che vorremo venissero cristallizzate nel tempo per essere conservate e magari per sempre. Pensiamo alla possibilità che questi registri possano essere governati in modo tale da definire prima chi sono i nodi che ne devono dare il consenso e registrare le informazioni, ed ecco realizzate delle DLT basate su Blockchain private o permissioned, dove le regole vengono definite dalla governance alla base della Blockchain stessa, definendo i criteri di accesso e comportamento.

    Con questa tecnologia tutti i nodi sanno sempre ed in qualsiasi momento tutto di tutti e di tutte le transazioni o scritture registrate, garantendo un grado di fiducia, di tracciabilità e sicurezza unici.

    DLT, valore legale e riconoscimento giuridico.

    Sono diverse le aperture delle istituzioni verso questa tecnologia, in tutto il mondo. In Europa, già dal 2017 la Comunità Europea ha iniziato ad interessarsi al tema, affidando uno studio al CEN ed al CENELEC, che ha portato alla pubblicazione del manuale “Raccomandazioni per adottare standard comuni in Europa sulla Blockchain e sui registri distribuiti” disponibile al download a questo link: https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2018/12/14/blockchain-raccomandazioni-europee-sviluppo-servizi-basati-dlt.

    Lo studio analizza l’impatto di queste tecnologie nel mondo delle istituzioni, della finanza, della salute, della sicurezza e dei dati, oltre che per il trasferimento degli stessi fra i paesi membri. Nel 2018 la commissione ha istituito l’ “Osservatorio e Forum europeo sulla Blockchain” creando ed aderendo inoltre alla “Blockchain Partnership” siglata dagli stati membri. Per l’Italia il coordinamento del piano è stato affidato all’ Agenzia per l’Italia del Digitale AGID.

    L’attenzione verso queste tecnologie è stata calamitata anche grazie allo studio ed alla pubblicazione del GDPR.

    Altro aspetto che denota il fatto che l’argomento stia molto a cuore alla Comunità Europea è dato dagli investimenti che la stessa sta facendo nel risolvere il problema della identità internazionale dei cittadini degli stati membri e negli scambi transfrontalieri. Chissà se proprio DLT e Blockchain non riescano a risolvere quest’ultimo problema e a garantire processi di trasferimento e sicurezza dell’identità e dei dati.

    L’Italia ha avuto al riguardo un atteggiamento cauto come la maggior parte dei paesi membri, ma è fondamentale nel quadro giuridico del nostro paese, che si sia dato atto con il DL Semplificazioni 2019 al riconoscimento legale e quindi agli effetti giuridici della validazione temporale dei documenti informatici memorizzati tramite registri distribuiti. Certo questa apertura è fondamentale in un processo di evoluzione nel riconoscimento di queste tecnologie come strumenti utili per garantire la trasparenza per esempio nelle attività di pubblica amministrazione o di un pubblico registro, ma per questo occorrono delle norme specifiche che permettano di regolamentare Blockchain, DLT e smart contract, cosa che in maniera audace ha fatto Malta e la Confederazione Elvetica. C’è da scommettere che fra non molto gli stati membri o la stessa UE dovranno adottare ed approvare norme specifiche condivise per regolamentare a livello europeo queste tecnologie, ed il valore legale delle stesse nei rapporti fra cittadini e con le istituzioni.

    Usi pratici

    Il sistema Blockchain rappresenta oggi grazie a queste tecnologie, un sistema autonomo ed indipendente. Ecco il motivo di tanto scetticismo e di tanto antagonismo ma allo stesso tempo la grande opportunità che questa tecnologia può rappresentare. Pensate all’impatto economico per il sistema finanziario senza l’obbligo di istituti che devono garantire transazioni, o scritture economiche, o a qualsiasi altro ente o provider che debba garantire lo scambio di informazioni e/o certificare le operazioni.

    DLT e Blockchain rappresentano oggi una sfida volta alla ricerca della migliore applicazione pratica, da quelle di uso quotidiano (pubblica amministrazione, finanza e banche, assicurazioni, tracciabilità dei prodotti, pagamenti elettronici, copyright ecc.) ma la vera sfida è nelle applicazioni tecnologiche (IoT, industria, sanità e smart contract).

    Esistono diverse applicazioni pratiche, ed alcune di queste anche di estremo interesse per l’uso quotidiano e per la rilevanza dell’ interazione per i cittadini. Uno di questi è la FoodChain (https://food-chain.it/) che ha come obiettivo quello di tracciare in maniera univoca un prodotto alimentare in tutto il percorso che questo compie finchè non viene reso disponibile a scaffale per essere acquistato dall’utente finale. Ma il mondo dei prodotti alimentari è ricco di diverse esperienze come quella di alcune cantine italiane che hanno affidato la tracciabilità dei loro prodotti in bottiglia alla DNV GL con il progetto My Story (https://www.dnvgl.it/mystory/index.html). Un altro progetto tutto italiano è quello della Ez Lab (https://www.ezlab.it/it/i-nostri-progetti/agriopendata-progetto/ ) che permette di orientare gli agricoltori alla traccibilità e certificazine dei prodotti grazie alla blockchian e gli smart contract.

    Il mondo che ha però subito la maggiore influenza, probabilmente per la vicinanza alle cryptovalute è stato quello finanziario e delle assicurazioni. Un esempio pratico che usa smart contract e blockchein è quello del gruppo AXA, che ha ideato un servizio che permette di registrare il contratto di assicurazione (https://fizzy.axa/it/ ) del proprio volo tramite la Blockchain Etherum per garantire il contratto e la sua immutabilità ed avviare il rimborso automatico se previsto. Altro esempio tutto italiano è dato dalla SIA (https://www.sia.eu/it/innovazione/siachain ) che ha sviluppato in collaborazione con R3 una rete di 580 nodi in tutta Europa per sviluppare e rivendere servizi basati su Blockchain, ed ecco a tal proposito un esempio di uso pratico per le PA, è di febbraio di quest’anno infatti l’accordo fra SIA e Comune di Bari per (https://www.sia.eu/it/media-eventi/news-comunicati/pa-digitale-comune-di-bari-avvia-con-sia-primo-progetto-blockchain-in-italia-per-gestire-le-fideiussioni ) garantire l’autenticità ed il rilascio di polizze fideiussorie, basato proprio sulla SiaChain.

    Di esempi ce ne sono ancora diversi tutti interessanti, e quotidianamente se ne presentano sempre di nuovi.

    Una scommessa basata sulla trasparenza e la fiducia

    Certo oggi questa tecnologia rappresenta una scommessa, ma ci sono ancora diverse problematiche da superare, in primis quello di dar vita ad un quadro normativo che permetta l’uso delle stesse e che normizzi i rapporti fra chi le implementa, i nodi e gli utilizzatori. Altro problema non di poco conto, è dato dalla necessità di garantire in qualche modo le piattaforme per permettere di identificare un adeguato livello di fiducia da parte degli utilizzatori verso le stesse, ed in ultimo ma non meno importante, quello della trasparenza, che è legato all’uso di sistemi che possano garantire a tutti gli utenti, in qualsiasi istante ed anche senza competenze specifiche, di verificare quello che è stato riportato nelle singole scritture, per garantire la trasparenza delle stesse e nella piattaforma e perché no, con l’accesso ad una Blockchain delle Blockchain con nodi distribuiti e garantiti dalla possibilità di poter essere implementatati e consultati da parte di chiunque lo voglia.

    Non resta che aspettare gli sviluppi che questa tecnologia porterà nelle case, nelle imprese, nelle comunità e nella PA, sempre che non rappresenti un’ utopia. Oggi siamo ancora agli albori nella ricerca del migliore uso di questa tecnologia ed il confronto è altissimo ed a tutti i livelli. Il nostro paese ha ancora da recuperare terreno e l’ Unione Europea sta cercando di trascinare tutti i paesi in una direzione unica e condivisa. A questo punto…non ci resta che attendere…

    Garante Privacy: prescrizioni relative al trattamento di categorie particolari di dati nell’ambito delle investigazioni private.

    Con il Provvedimento n. 146 del 5 giugno 2019 (link) pubblicato nella news letter n, 456 del 22 Luglio 2019 e sulla Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2019, il Garante per la privacy ha dettato le nuove prescrizioni relative al trattamento dei dati particolari/sensibili (art. 9 del Regolamento).

    Nello specifico, l’attenzione posta dal Garante, riguarda gli obblighi che dovranno essere rispettati sia da soggetti pubblici, che da soggetti privati nel trattamento di dati particolari, giustificato dalle finalità per cui essi vengono raccolti.

    Le prescrizioni sono relative: ai rapporti di lavoro; all’uso da parte di associazioni, fondazioni, associazioni,  chiese e comunità religiose; le investigazioni private; dati genetici e sperimentazioni cliniche.

    Per quanto concerne le investigazioni private il trattamento delle categorie particolari di dati personali può essere effettuato unicamente per l’espletamento dell’incarico ricevuto ed in particolare:

    a) per permettere a chi conferisce uno specifico incarico, di fare accertare, esercitare o difendere un proprio diritto in sede giudiziaria che, quando concerne dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona, deve essere di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero consistere in un diritto della personalità o in un altro diritto o libertà fondamentale;

    b) su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell’esercizio del diritto alla prova.

    Gli investigatori privati non possono intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta dati. Tali attività devono essere conferite sulla base di un apposito incarico conferito per iscritto.

    Il Garante specifica inoltre che l’atto dell’incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l’investigazione è collegata, nonché i principali elementi di fatto che giustificano l’investigazione e il termine ragionevole entro cui questa deve essere conclusa.

    Deve inoltre essere fornita all’interessato l’informativa di cui gli articoli 13 e 14 del Regolamento (UE) 2016/679, salvo che questa rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento.Una volta terminata l’attività difensiva, il trattamento deve cessare in ogni sua forma, fatta eccezione per l’immediata comunicazione al difensore o al soggetto che ha conferito l’incarico i quali possono acconsentire all’eventuale conservazione temporanea al solo fine di dimostrare la correttezza e la liceità del proprio operato. 

    ADEGUAMENTO AL GDPR DELLE PAGINE FACEBOOK

    Tutti gli amministratori di fanpage Facebook si chiederanno cosa mai potrà esserci di così importante da gestire nel rispetto del GDPR sulle pagine social se ogni utente che accede a Facebook ha già espresso il consenso informato al trattamento dei sui dati durante la fase di registrazione al famoso social.

    Un argomento di cui si discute poco in questi giorni riguardo al “GDPR” è la gestione della Privacy nelle pagine Facebook, gestite per uso commerciale e di marketing. Ecco un breve focus sugli aspetti chiave di questo argomento, ed un modulo pronto per adeguare l’informativa delle pagine Facebook.

    Un aiuto per capire questo tema e quali sono gli aspetti importanti relativi all’adeguamento necessario nella gestione delle fanpage, arriva dalla sentenza della Corte di Giustizia UE con il caso Wirtschaftsakademie.Non vi annoierò con i dettagli della questioni e dei passaggi giuridici di merito, ma passerò subito ad analizzare le questioni chiave.

    Ogni pagina Facebook, installa sul pc degli utenti che interagiscono con essa dei Cookyes usati per raccogliere informazioni personali utilizzate ed elaborate per diverse finalità.

    Fra queste finalità una in particolare è di uso esclusivo degli amministratori delle fanpage, il “Facebook Insights”. Con questa funzione si raccolgono in forma anonima ed aggregata i dati degli utenti che interagiscono con la pagina.

    Secondo la Corte di Giustizia UE sono due le figure che usufruiscono di questi dati, una sicuramente Facebook Inc. in quanto “titolare e responsabile del trattamento” ma allo stesso modo l’amministratore della pagina può determinare con il suo intervento il target di pubblico, determinando quindi le finalità del tipo di trattamento. Pertanto anche l’amministratore della pagina ed il Titolare della pagina dovranno rispettare le norme di tutela del diritto degli interessati, nel raggiungimento delle loro finalità.

    Un altro aspetto non preso in considerazione ma che sicuramente necessita di un ulteriore spunto di riflessione è dato dalle interazioni degli utenti con la fanpage. Tramite la pagina, e possibile inviare messaggi o scrivere commenti che possono permettere la raccolta involontaria di dati personali soggetti a tutela della privacy, specie si tratta di pagine dedicate ad attività di promozione commerciale di servizi e prodotti o di marketing di qualsiasi genere.

    Alla luce del Regolamento UE 2016/679 si profilano pertanto nella gestione della pagina Facebook alcune responsabilità per l’admin della stessa, e il suo Titolare. Il primo determina le finalità del Titolare e pertanto è da inquadrarsi come Incaricato del trattamento dei dati, o di Responsabile esterno nel caso di Agenzie di Comunicazione esterne al Titolare.  Mentre il Titolare della pagina sarà chiaramente il Titolare del trattamento dei dati.

    Questi due aspetti, quello relativo alla consultazione di dati in forma aggregata per il raggiungimento di finalità specifiche e quello della raccolta di eventuali altri dati forniti liberamente dagli interessati che interagiscono con la pagina, impongo l’uso di una informativa sul trattamento dei dati secondo l’art. 13 del Regolamento UE 2016/679.

    E’ quindi d’obbligo l’uso di una informativa specifica per l’uso dei dati in forma aggregata, acquisiti tramite la fanpage, permettendo a tutti gli interessati di apprendere le informazioni complete relativa al trattamento dei dati effettuata dal Titolare qual’ora un interessato voglia inviare sui dati personali tramite la stessa.

    Ricevi un esempio di informativa da utilizzare per le tua Pagine Facebook, compila il form e nel campo messaggio scrivi “informativa pagina Facebook”

    DALLA LEGGE SULLA PRIVACY AL GDPR – IL REGOLAMENTO EU 2016/679

    Il Regolamento EU 2016/679 oggi non rappresenta solo la necessità di adeguarsi ai cambiamenti imposti dall’evoluzione tecnologica che hanno generato oggi un livello di raccolta e di elaborazione dati senza precedenti, ma una opportunità per le imprese. Da una indagine pubblicata da PwC – Global Economic Crime and Fraud Survey 2018 Summary Italia, emerge che più della meta delle imprese italiane intervistate, ha subito negli ultimi 24 mesi, frodi informatiche con danni superiori a 50 mila USD, e il 24% ,addirittura superiori al milione di dollari. Il 54% delle frodi subite, sono da attribuirsi ad attacchi esterni derivanti principalmente da Malware e frodi di Phishing.

    Se si tiene in conto che il più delle volte la valutazione dei rischi e l’implementazione di misure tecniche ed organizzative, per la protezione e la sicurezza informatica dei dati di una imprese costa molto meno di quello che potrebbe costare un attacco stesso, tanto vale prendere di buon grado il nuovo Regolamento EU 2016/679 e fare un minimo di sicurezza per il proprio patrimonio informatico.
    Con il nuovo Regolamento Europeo, viene introdotto un nuovo approccio alla valutazione ed ai criteri per la scelta delle misure da implementare per la protezione dei dati. Viene introdotto il concetto di privacy by default e by design e la condizioni necessaria di liceità del trattamento. Molteplici le novità anche nei confronti degli interessati al trattamento, maggiormente tutelati grazie alla necessità di predisporre una informativa estesa che integra anche ulteriori diritti quali: accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità dei dati.
    Ulteriori cambiamenti invece, concentrano l’attenzione sull’organigramma delle figure chiave che a vario titolo sono chiamate ad interagire con un approccio basato sul rischio del trattamento e sul principio di accountability del trattamento effettuato. Alla figura del Titolare del trattamento e del Responsabile, viene affiancata quella del RDP-DPO. Viene introdotto inoltre il concetto di valutazione d’impatto e la redazione di un Registro del Trattamenti oltre alla definizione di trasferimento e portabilità dei dati all’interno della Comunità Europea ed all’esterno e all’adozione dei Codici di Condotta.

    Cosa cambia
    Molta attenzione va posta proprio sugli aspetti valutativi per determinare in maniera corretta a quali adempimenti attenersi e quali introdurre.

    Come adeguarsi (misure minime e misure tecniche per adeguarsi)
    L’adeguamento al GDPR rappresenta un passaggio fondamentale per professionisti ed imprese, tale adeguamento, dovrà essere adeguato anche in relazione alla tipologia di dati trattati.
    L’approccio migliore in questo senso è dato da una buona valutazione ed analisi sui tipi di dati trattati e della loro apetibilità, e dall’impiego di alcune misure tecniche ormai di uso frequente, come il cloud, per le procedure di backup, o l’uso della crittografia dei dischi degli elaboratori e dei device mobili (ntbk e hard disk usb), oltre che all’uso di software antivirus e di protezioni firewall.
    Molta attenzione va rivolta anche alle misure organizzative interne che riguardano l’uso stesso dei dati e la gestione e manutenzione continua dei dispositivi con i quali vengono trattati e gestiti.
    Ma la vera chiave del successo per la sicurezza di una impresa resta il monitoraggio continuo dei sistemi e dei dispositivi, ed una attenta politica di auditing, che consentono l’intercettazione delle anomalie ed una buona prevenzione, oltre che ad arginare i rischi.

    SCARICA I DOCUMENTI
    DISPENSE GDPR
    PwC – Global Economic Crime and Fraud Survey 2018 Summary Italia