Privacy & Società Mercoledì, 27 Marzo 2024 08:07 Crescono le credenziali di account compromessi in circolazione sul dark web. Nel 2023, secondo l’ultima edizione dell’Osservatorio Cyber di Crif, si contavano oltre 7,5 miliardi di dati accessibili sul dark web o su piattaforme di messaggistica a livello globale, in rialzo del 44,8% rispetto all’anno precedente. Le segnalazioni di dati rilevati su dark web sono ammontate complessivamente nel 2023 a poco più di 1,8 milioni, con una crescita del 15,9% su base annua. “Ci sono alcuni trend da tenere in considerazione sui rischi cyber: per il furto di dati personali, i cybercriminali utilizzano malware e applicativi che col tempo sono diventati sempre più sofisticati e difficili da distinguere da quelli ufficiali, diventando una trappola per le persone”, ha commentato Beatrice Rubini, executive director di Crif. “Inoltre – prosegue – gli hacker che utilizzano anche l’intelligenza artificiale per colpire i consumatori stanno diventando una vera minaccia a causa di truffe e-mail sempre più sofisticate, caratterizzate da un linguaggio corretto e quindi plausibile, e dalla generazione di codice in continua evoluzione per lo sviluppo di app malevole” Le categorie di dati che risultano maggiormente oggetto di attacco rimangono, anche nel 2023, password, indirizzi e-mail, username, nome e cognome e numero di telefono. Molto spesso le e-mail risultano associate a una password, con una quota del 94,4% (+4,4% rispetto al 2022), così come avviene anche nel caso di password associate a username (65,6%). Il trend è ben evidente anche in Italia. Il numero di consumatori allertati sul dark web ha registrato un aumento del 13,9% su base annua. Il 51,7% degli utenti ha ricevuto almeno un alert nel 2023, con una crescita particolarmente sensibile per quanto riguarda le segnalazioni inviate relativamente al furto di dati monitorati sul dark web. Tra le caratteristiche degli utenti privati italiani che sono stati avvisati, le fasce di età maggiormente coinvolte sono quelle degli over 60 (26,5%) e dei 51-60 anni (25,8%), seguite dagli 41-50 anni (25,3%). Le regioni in cui vengono allertate più persone sono Lazio (19,6%), Lombardia (13,6%) e Sicilia (8,4%). Fonte: Insurance Trade

Il punto di vista Martedì, 05 Marzo 2024 12:10 Non è il fatto che conta, ma il come lo si racconta. L’infantile frase in rima sintetizza la vicenda giudiziaria che – pur mancando al pubblico concreti elementi probatori – appassiona gli italiani intersecando una delicata stagione elettorale. Due le assenze: i dettagli dell’indagine in corso e la competenza a parlarne. Un mix venefico che ha portato autorevoli testate a parlare addirittura di personaggi intercettati abusivamente, dimostrando la potenza inaudita dell’ignoranza dei fatti mescolata all’ignoranza della materia. Mentre “Todos caballeros”, pronti a sparare sui novelli eretici che non si prestano a idolatrare chi è al potere, vale la pena affrontare in maniera meno approssimativa una questione che vede in gioco i poteri degli organi investigativi, la libertà di stampa, il diritto all’informazione e fors’anche la democrazia. Gli ingredienti sono i dati contenuti in archivi istituzionali e nei sistemi che setacciano le movimentazioni finanziarie “meritevoli di attenzioni”. Come nelle ricette, serve un cuoco abilitato ad aprire frigoriferi e cantine (in cui sono stipate le informazioni di interesse) e capace di “cucinare” con quel poco o tanto che la dispensa mette a disposizione. Lo chef è autorizzato a fare la spesa, a frugare nei cassetti e tra gli scaffali, ma deve essere parsimonioso e geloso dei suoi “segreti”. Gli investigatori somigliano parecchio agli artisti dei fornelli e come loro sperimentano nuove combinazioni che possono titillare le papille gustative. L’esperto gastronomo può preparare piatti su ordinazione, come il detective è lieto di lavorare “a la carte” e portare a tavola quel che qualcuno gli chiede. Altrimenti può liberare il proprio estro e seguire l’istinto “culinario” che lo contraddistingue. Nel primo caso ci si trova dinanzi ad una “delega di indagini” che dice cosa fare, definendo ambiti e tempistica. Nel secondo si parla di intuito e di attività svolte di iniziativa da parte della polizia giudiziaria. Non di rado le due tipologie si fondono in un interessante ibrido in cui l’input di un pubblico ministero viene integrato dalle “sensazioni” che guidano lo sbirro a muoversi in questa o quella direzione in modo da arricchire il fascicolo assegnatogli e da aprire eventuali nuovi ulteriori filoni di indagine. La dinamica alla base del lavoro è sviluppare una mappa delle relazioni che costituiscono l’habitat in cui opera un soggetto di interesse investigativo. (Nella foto: Umberto Rapetto, Generale della Guardia di Finanzia, già comandante del GAT Nucleo Speciale Frodi Telematiche) Il personaggio – chiunque sia – deve essere inquadrato in un contesto che non sempre è facile ricostruire, ma che può fornire spunti non di rado molto appassionanti. È quel che qualcuno chiama i “filoni di indagine”. Come le ciliegie per i ghiottoni, un nome tira l’altro. I più bravi cominciano a disegnare vere e proprie “mappe” in cui cercano di tracciare i legami che uniscono individui spesso eterogenei ed inaspettati. Quel sottile filo che lega due o più persone è supportato da elementi informativi che spiegano la ragione della “liason” e che aprono a loro volta ulteriori scenari e innescano altre interrogazioni negli archivi o infinite ricerche sulle fonti aperte. È una sorta di scienza che qualcuno chiama “link analysis”… Un’opera impegnativa che non può escludere nessun itinerario e il cui pervicace approfondimento è indispensabile per acquisire conferme e validazioni della correttezza dell’ipotesi che sta prendendo forma. Uno sforzo titanico che spesso non arriva al risultato auspicato, ma che nel frattempo ha cumulato una montagna di consultazioni risultate inutili a seguito di valutazioni meno frettolose. Come in ogni processo produttivo, anche in questo settore ci sono inevitabili scarti che non vengono smaltiti e della cui “estrazione” resta comunque traccia nei dettagliatissimi “log” dei sistemi informatici che ne sono stati la fonte. La ricerca di “pepite” impone di passare e ripassare al setaccio quel che è stato pescato, in una progressiva sempre più fine selezione. La ricerca della “materia prima” avviene attraverso archivi elettronici di polizia, banche dati istituzionali in cui confluiscono informazioni economico-finanziarie, database di centri di documentazione, servizi pubblici e privati che gestiscono atti e notizie societarie, fino ad arrivare alle cosiddette “fonti aperte” di cui Internet è lo scrigno. I sistemi che custodiscono informazioni riservate e sensibili sono ovviamente blindati. La loro inviolabilità è garantita da soluzioni architetturali telematiche (che isolano completamente quel mondo dalla galassia ordinaria delle telecomunicazioni) e da rigide procedure di identificazione e autenticazione (che permettono l’accesso solo a chi sia in possesso delle credenziali – account e password – nella disponibilità esclusiva ed individuale degli utenti autorizzati). In un simile quadro è un po’ difficile applicare tout court l’articolo 635 bis del codice penale che punisce «chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza». Nella storia che tanto infervora i nostri connazionali in questi giorni il protagonista non ha “hackerato” alcun computer o server, ma si è presentato alle “macchine” digitando il proprio codice identificativo e inserendo la corrispondente parola chiave, nell’assoluta consapevolezza che ogni sua azione sarebbe stata indelebilmente annotata con data e ora, postazione utilizzata, azioni compiute, risultati ottenuti. Può essere oggetto di doverosa contestazione l’uso improprio dei dati acquisiti nel corso dell’attività di ricerca investigativa e qui si possono innescare mille disquisizioni che andrebbero a intorbidire acque già fin troppo tumultuose. Intercettazioni? Acqua. Dossieraggio? Acqua, e non fuochino come qualcuno sarebbe portato a pensare. Fuga di notizie riservate? Certo e qui va ricostruita la catena, verificando come e quando altri “terminalisti” hanno “interrogato” le banche dati per questo o quel soggetto… Nel frattempo la torrenziale pioggia di soggetti “spiati”, in cui compaiono nomi imprevedibili e folkloristici personaggi dello sport e dello spettacolo o figuranti e comparse della politica nazionale, induce a lasciar scappare il fatidico “che c’entrano?!?”. E se fossero stati solo una cortina fumogena per parare la riservatezza di quello che era il vero lavoro di indagine? E i mandanti? Ricostruiamo in maniera nitida l’accaduto e poi – poco alla volta – risaliamo fino all’eventuale input. Non mettiamo troppa carne al fuoco. Abbiamo visto poi cosa succede…. di Umberto Rapetto (Fonte: Domani)

Privacy & Società Giovedì, 18 Gennaio 2024 07:23 Le perdite derivanti da frodi informatiche sono aumentate nel 2023, rispetto all’anno precedente, per il 73% delle imprese a livello globale, in particolare nel settore dei servizi finanziari in cui la percentuale delle organizzazioni che ha segnalato un aggravarsi della situazione sale al 78%. In Italia la percentuale di imprese che segnala un aumento delle frodi arriva all’80% ed è soprattutto il settore delle telecomunicazioni a soffrirne. A rilevarlo è il report di Experian “Forrester Fraud Research Report 2023” che raccoglie le opinioni di 308 responsabili della gestione delle frodi presso aziende attive nei settori dei servizi finanziari, delle telecomunicazioni e dell’e-commerce in dieci paesi. Inoltre, secondo lo studio “AI research survey” condotto da Onfido, il 61% dei responsabili aziendali in Italia è convinto che le frodi informatiche aumenteranno nell’immediato futuro.Perdite I risultati del report stilato da Forrester Consulting per conto di Experian, società che fornisce servizi di informazione globale, rivelano che i fattori alla base dell’impennata di attacchi fraudolenti vanno dalla persistente pressione finanziaria sui consumatori alle numerose violazioni di dati che fanno trapelare informazioni sensibili nel dark web e alla crescente diffusione presso il pubblico di strumenti di IA generativa che hanno facilitato l’esecuzione di processi fraudolenti, anche in assenza di particolari competenze tecniche.Il volume degli attacchi è aumentato per quasi tutte le categorie In base agli esiti dello studio, a crescere di più sono stati gli attacchi con identità sintetica, con il 64% delle aziende dei servizi finanziari e delle telecomunicazioni che hanno registrato un aumento. Seguono i furti d’identità e gli “account takeover”, ossia accessi illegittimi all’account online di una vittima, con il 60% degli intervistati che segnala un aumento in entrambe le categorie. Nel settore dell’e-commerce, le “friendly fraud”, ossia dispute illegittime aperte dal consumatore stesso, sono cresciute per il 59% dei retailer, seguite da attacchi con identità sintetica nel 54% dei casi. Le sfide legate alla prevenzione – Secondo la ricerca, l’ostacolo più rilevante che limita la capacità delle aziende di prevenire le frodi è la mancanza di strumenti per il “device fingerprinting”, ossia il riconoscimento sicuro dei dispositivi degli utenti. Al secondo posto si piazza la mancanza di una verifica biometrica dell’identità. Entrambe tali funzionalità sono divenute essenziali per prevenire le frodi, infatti i dati dei dispositivi consentono uno screening continuo e passivo dei comportamenti sospetti mentre il riconoscimento facciale consente una verifica attiva dell’identità attraverso la biometrica, considerata il metodo più affidabile per verificare l’identità digitale degli utenti. L’Intelligenza Artificiale dà una mano – Anche il machine learning (ML) [N.R. =ML è un sottoinsieme dell’intelligenza artificiale che consente aI computer di apprendere al di fuori della programmazione].giocherà un ruolo importante nella fase di prevenzione. «I risultati della nostra indagine evidenziano come il ML sia diventato essenziale per la prevenzione delle frodi, in quanto consente di analizzare grandi quantità di dati in tempo reale, migliorando l’individuazione sia dei truffatori che dei clienti legittimi» evidenzia Giulio Virnicchi, consulente globale di Experian. «Il ML fornisce anche la struttura analitica per la biometria comportamentale e il device fingerprinting che consente alle aziende di monitorare continuamente e passivamente i clienti senza impattare sull’esperienza utente: è questa la chiave per bilanciare la crescita dei ricavi con un’adeguata prevenzione delle frodi». Dalla lettura del report emerge, inoltre, che il 72% delle aziende ritiene che il futuro della prevenzione delle frodi sarà basato su soluzioni IA/ML. I principali vantaggi derivanti dall’utilizzo di soluzioni di ML sono l’aumento dei tassi di accettazione, la riduzione delle perdite dovute alle frodi, grazie a una maggiore accuratezza nella rilevazione delle stesse, e la diminuzione del volume delle revisioni manuali e dei falsi positivi. A giudizio degli analisti, tale aspetto è di fondamentale importanza, considerato che, ad esempio, il 76% delle aziende in Italia ritiene che i falsi positivi costino alla propria attività più delle perdite dovute alle frodi. La ricerca mostra, infine, che per l’82% degli intervistati il fattore più importante nella prevenzione delle frodi basata sull’IA/ML sarà l’aggiornamento continuo e automatico del modello per essere sempre al passo con l’evoluzione delle minacce. In Italia ancora poca IA per prevenire le frodi – Il successo dell’IA trova conferma anche nello studio “AI research survey” condotto da Onfido, società che opera nel campo dell’IA per la verifica e l’autenticazione dell’identità, secondo cui, a seguito dell’introduzione di ChatGPT, i leader globali stanno toccando con mano i benefici diffusi derivanti dall’implementazione delle nuove tecnologie. In base agli esiti dell’indagine, i responsabili aziendali in Italia stanno implementando le tecnologie di IA soprattutto per aumentare l’efficienza e la produttività attraverso l’automazione dei processi (56%), per aumentare la velocità del servizio (46%) e per ridurre l’errore umano o la parzialità dei processi (43%). Ma, nonostante la convinzione che l’IA generativa rappresenti una minaccia che accelera la velocità e la quantità degli attacchi di frode, solo il 24% dei responsabili aziendali italiani stanno dando priorità al suo utilizzo proprio nella prevenzione delle frodi. Invece, il 37% si concentra sull’utilizzo dell’IA come catalizzatore per ridurre i costi operativi e migliorare i servizi digitali. In tema di frodi, un importante tema che emerge dalla lettura del focus è l’effetto della disponibilità diffusa di strumenti online e il progresso delle tecnologie di intelligenza artificiale che stanno potenziando le tattiche dei truffatori. Con l’ampia adozione della biometria come mezzo di difesa, i truffatori stanno diventando, infatti, sempre più creativi nei loro modi di attaccare. I tassi medi di frode biometrica nel 2023 sono il doppio di quelli del 2022, con un incremento di 31 volte dei deepfake (tecnica utilizzata per la sintesi di immagini umane basata sull’intelligenza artificiale). Tuttavia, solo il 23% dei responsabili aziendali italiani prevede che le frodi perpetrate dall’IA generativa diventino un problema nazionale più serio. L’importanza degli investimenti – Alla luce di questi timori, i responsabili aziendali riconoscono che l’IA può essere la migliore difesa contro sé stessa. Negli Stati Uniti, nel Regno Unito e in Italia il 38% del campione ritiene che le applicazioni di IA generativa siano utili per automatizzare la prevenzione delle frodi e fornire agli specialisti delle frodi la possibilità di affrontare casi più delicati. Inoltre, il 34% degli intervistati italiani ritiene che queste applicazioni offriranno un vantaggio competitivo. Infine, globalmente il 24% dei rispondenti afferma che queste applicazioni renderanno più facile identificare e fermare le frodi, dato che in Italia si ferma al 20%. «Le aziende devono rendersi conto che i recenti sviluppi dell’IA generativa e degli strumenti di deep learning stanno potenziando gli strumenti in mano ai truffatori» osserva Mike Tuchen, Ceo di Onfido. «Se non agiscono subito e non danno priorità agli investimenti nell’IA per combattere le frodi, potrebbero subire perdite catastrofiche. Con il panorama delle minacce che evolve e vede i malintenzionati tentare di sfruttare le vulnerabilità attraverso foto modificate, invio di playback deepfake su schermi, immagini stampate e maschere 2D e 3D, l’IA è fondamentale per le aziende. Con così tante opportunità di attacco online da parte dei truffatori, le aziende devono sviluppare un approccio olistico e multilivello alla prevenzione delle frodi». Fosche nubi all’orizzonte – Peraltro, al cospetto degli scenari delineati, il 61% dei responsabili aziendali in Italia è convinto che le frodi informatiche aumenteranno. Tale preoccupazione è particolarmente elevata nelle aziende fintech [bonifici, pagamenti e qualsiasi servizio di banking e finanziario],(74%), seguite dal settore gaming & gambling [Il giocare ai videogiochi, con particolare riferimento a quelli che si trovano in Rete]  (67%). In Italia, le frodi di identità sintetiche sono la principale preoccupazione, indicata dal 44% degli intervistati. Mentre i responsabili del Regno Unito e degli Stati Uniti hanno indicato la privacy dei dati e le violazioni del consenso come la preoccupazione più urgente per la sicurezza dell’IA (rispettivamente, 56% e 64%, dato che, invece, in Italia si attesta al 43%). Nonostante l’attenzione dell’opinione pubblica sui deepfake sia alta, questa è la minaccia percepita come più bassa in tutti i Paesi: Regno Unito (33%), Stati Uniti (32%) e Italia (27%). Fonte: Italia Oggi – di Fabrizio Milazzo

SpecialiMercoledì, 27 Settembre 2023 05:05 C’è privacy anche se gli atti sono pubblici (come gli atti notarili). Non tutto ciò che è contenuto in un atto pubblico è per ciò solo pubblicabile. Soprattutto on line, dove ogni contenuto è facilmente accessibile. Bisogna sempre considerare la finalità della diffusione e diffondere solo i dati pertinenti con quella finalità. Sono questi i principi applicati dal Garante della privacy (ingiunzione n. 366 del 31/8/2023), cha ha irrogato alla società RCS Mediagroup la sanzione di 10 mila euro, per avere diffuso, sull’edizione on line del Corriere della Sera, a corredo di un articolo relativo alle dispute per l’eredità di una famosa attrice, l’immagine del testamento della stessa: in tale immagine, infatti, era possibile leggere nomi, date di nascita e indirizzi di residenza dei testimoni dell’atto di ultime volontà e cioè dati ritenuti eccessivi dal Garante, in quanto non essenziali per la notizia. La vicenda è, tra l’altro, partita proprio dal reclamo di una testimone, subissata, dopo la diffusione del testamento, da richieste di conoscenti e giornalisti. I principi espressi dalla pronuncia, peraltro, non riguardano solo testamenti e mass media, ma si estendono a qualunque altro atto pubblico (come provvedimenti amministrativi, sentenze e così via) e anche a imprese, enti pubblici, professionisti e privati. Nel caso specifico il Garante ha affrontato due problemi: se un atto pubblico possa essere, in quanto tale, liberamente ed integralmente diffuso; se nella vicenda specifica sono stati rispettati i limiti della essenzialità dell’informazione. Ad entrambi i quesiti il Garante ha risposto no. Il primo profilo, in casi di questo tipo, è pregiudiziale: se il Garante avesse risposto affermativamente, la pubblicazione integrale del testamento sarebbe stata per definizione legittima, senza necessità di andare a vagliare il rispetto del principio di essenzialità. Ma la risposta del Garante, come detto, è stata negativa. Al riguardo, infatti, il Garante rileva che ci sono regole selettive su chi possa consultare il registro dei testamenti presso il Ministero della Giustizia. Pertanto, la riproduzione integrale dei testamenti, pur pubblici e lecitamente acquisiti, su testate giornalistiche on-line, scrive il Garante, finisce per rendere disponibili in Internet i dati di singoli individui ad una moltitudine indeterminata di persone. Per i giornali, dunque, si deve passare al secondo quesito e cioè se siano essenziali per le finalità informative i dati, contenuti in atti pubblici, delle persone non note, anche se collegate ai protagonisti di un fatto di interesse pubblico. Il quesito è molto delicato, potendo la risposta limitare il diritto di informare e quello di essere informati. Nella vicenda il Garante ha valutato la non essenzialità dei dati, che, tra l’altro, sono stati rimossi dal giornale nel corso del procedimento di reclamo. Più in generale, conclusivamente, chiunque carica in rete atti, anche se pubblici, non deve farlo a cuore leggero e deve ponderare sempre se la diffusione sia congrua e proporzionata. di Antonio Ciccia Messina (Fonte: Italia Oggi)

SpecialiMartedì, 18 Aprile 2023 05:42 Rebus sanzioni privacy in caso di estinzione della persona giuridica che ricopre il ruolo di titolare del trattamento. In materia di privacy la responsabilità delle sanzioni va attribuita, infatti, al titolare del trattamento e, quindi, quando si parla di un ente, all’ente stesso. Questa regola è seguita dalla giurisprudenza civile (si veda per esempio la Corte di cassazione, con le ordinanze n. 18292/2020 e n. 8184/2014 o, ancora la pronuncia n. 13657/16). Con esse si statuisce che, in materia di privacy, si deroga al principio della imputabilità personale della sanzione e si configura un’autonoma responsabilità della persona giuridica. Cioè risponde l’ente e non un trasgressore persona fisica. Tale responsabilità, spiega la Cassazione, non può, però, ritenersi oggettiva ma, analogamente a quanto previsto dal d.lgs. n. 231 del 2000 in tema di responsabilità da reato degli enti, va configurata come “colpa di organizzazione”. Se la colpa è sempre dell’organizzazione, ci si chiede che cosa capita alle sanzioni irrogare dal Garante della privacy a seguito dell’estinzione, per qualsiasi ragione, dell’ente. Il principio generale è che le sanzioni amministrative a carico di quest’ultima non sono trasmissibili. Anche questo principio è desumibile da pronunce della Corte di cassazione (ord. nn. 30011/2022 e 29112/2021). La regola seguita dalla Cassazione dispone che la responsabilità per l’illecito amministrativo ha natura strettamente personale. Conseguentemente, come la responsabilità penale, anche la responsabilità per l’illecito amministrativo ha natura strettamente personale. Da qui la conclusione per cui l’estinzione del trasgressore comporta l’intrasmissibilità ad altri delle sanzioni irrogate. In particolare, l’estinzione della società cui sia stata elevata la contestazione determina l’intrasmissibilità della sanzione sia ai soci, che al liquidatore. La regola applicata sia dai giudici di merito sia dalla Cassazione è codificata dall’articolo 7 della legge 689/1981 e in alcune leggi speciali. Ma cosa capita nel settore della protezione dei dati? Il Codice della privacy (d.lgs. 196/2003), all’articolo 166, afferma che nell’adozione dei provvedimenti sanzionatori di competenza del Garante della privacy si osservano, in quanto applicabili, tra gli altri, gli articoli da 1 a 9 della legge 689/1981 e, quindi, anche la disposizione sulla non trasmissibilità delle sanzioni. Stando all’orientamento della Cassazione a proposito della responsabilità del titolare del trattamento, se questo titolare non c’è più, allora risulta compatibile, anche nell’ordinamento privacy, la regola dell’intrasmissibilità della sanzione. Fonte: Italia Oggi del 17 aprile 2023 – di Antonio Ciccia Messina

Primo Piano – Articolo pubblicato sul sito di FEDERPRIVACYLunedì, 02 Gennaio 2023 08:41 La cyberwar è intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico si parla di cyberwarfare per fare riferimento ad attacchi informatici condotti non contro singole aziende, ma contro intere nazioni. Tali attacchi creano danni diretti e indiretti di vario tipo, sconvolgimento di funzioni sociali vitali e, in casi estremi, anche perdite di vite umane. (Nella foto: Michele Iaselli, coordinatore del Comitato Scientifico di Federprivacy) La cyberwar è tipica della terza rivoluzione industriale (o postindustriale), come la guerra elettronica lo è stata della seconda. Possiede aspetti tecnico-operativi sia offensivi che difensivi e viene utilizzata sia in tempo di pace che nel corso di conflitti armati. Dal punto di vista offensivo, l’attacco cibernetico può utilizzare diverse tecniche e tattiche e proporsi diversi obiettivi: intercettazione di dati; inabilitazione delle reti e degli equipaggiamenti informatici nemici; attacco alle infrastrutture critiche (elettricità, gasdotti e oleodotti, rete delle telecomunicazioni commerciali e finanziarie, trasporti ecc.). Le modalità di attuazione degli attacchi vanno dal superamento dei sistemi protettivi e dall’entrata nelle reti informative e nelle banche dati, con finalità varie (dall’acquisizione di informazioni al vandalismo di hacker individuali), all’attacco massiccio condotto da unità specializzate, alla diffusione di virus informatici o di worm, per neutralizzare reti, sistemi d’arma o di comando, di controllo e di comunicazione. Molti preferiscono parlare di cyberwarfare per esprimere meglio un concetto equivalente al “campo di battaglia digitale”, un nuovo scenario nel quale la guerra fra Stati si sposta dal piano reale a quello virtuale. Usare il termine “virtuale” non deve però trarre in inganno. Nel mondo odierno praticamente tutti gli elementi della nostra vita dipendono da una qualche forma di strumento digitale: dai trasporti alla produzione dell’energia, dalla sanità alla comunicazione, dal lavoro allo svago. Attaccare le nostre infrastrutture digitali, impedendogli di funzionare correttamente, significa allora attaccare le nostre infrastrutture reali, in modo non dissimile a un attacco terroristico. Non stupisce quindi che la guerra si stia trasferendo sempre più su questo nuovo piano, creando scenari del tutto nuovi che richiedono conoscenze precise e misure adeguate alla minaccia. Nello specifico per cyberwarfare si intende: 1 – Attacco a infrastrutture –  Si tratta di attacchi contro il sistema informatico che gestisce infrastrutture critiche per il funzionamento di uno stato, come i sistemi idrici, energetici, sanitari, dei trasporti e militari. 2 – Attacco ad apparecchiature –  Questo tipo di attacco, più militare in senso classico, ha l’obiettivo di compromettere il funzionamento di sistemi di comunicazione militari come satelliti o computer. 3 – Guerriglia Web –  In questo caso l’attacco consiste in rapidi atti vandalici contro server e pagine web, creando più scompiglio che veri e propri danni informatici. 4 – Cyberspionaggio – Proprio come lo spionaggio classico, questa attività cerca di rubare informazioni sensibili, siano esse di carattere militare che aziendale, avendo spesso come obiettivo grandi compagnie nazionali. 5 – Propaganda – Questo tipo di attacco è più nascosto e subdolo: il suo scopo è quello di infondere dubbi nella popolazione e creare malcontento attraverso la divulgazione di messaggi politici e fake news, soprattutto attraverso i social. Naturalmente per approfondire la conoscenza di questa nuova realtà è necessario acquisire ed approfondire le nozioni essenziali di cybersecurity e quindi cosa si intende per cyber risk, come è possibile difendersi da attacchi informatici o prevenire gli stessi. il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena). I rischi di natura endogena sono: – Naturali: incendi, calamità naturali, inondazioni, terremoti.– Finanziari: variazione dei prezzi e dei costi, inflazione.– Strategici: concorrenza, progressi scientifici, innovazioni tecnologiche.– Errori umani: modifica e cancellazione dei dati, manomissione volontaria dei dati. I rischi di natura esogena, o di natura operativa sono i rischi connessi alle strutture informatiche che compongono i sistemi. Essi sono: – Danneggiamento di hardware e software.– Errori nell’esecuzione delle operazioni nei sistemi.– Malfunzionamento dei sistemi.– Programmi indesiderati. Tali rischi possono verificarsi a causa dei cosiddetti programmi “virus” destinati ad alterare od impedire il funzionamento dei sistemi informatici. Ma vi sono anche le truffe informatiche, la pedo-pornografica, il cyberbullismo, i ricatti a sfondo sessuale derivanti da video chat on line e solo una piena consapevolezza del concetto di sicurezza informatica può davvero metterci al riparo da sgradevoli sorprese. Ogni giorno vengono compiuti migliaia di attacchi informatici attraverso le tecniche più varie e termini come malware, ransomware, trojan horse, account cracking, phishing, 0-dayvulnerability sono diventati parte del vocabolario anche per i non esperti. Per evitare attacchi informatici, o almeno per limitarne le conseguenze, è necessario adottare delle contromisure; i calcolatori e le reti di telecomunicazione necessitano di protezione anche se come in qualsiasi ambiente la sicurezza assoluta non è concretamente realizzabile. Il modo per proteggersi è imparare a riconoscere le origini del rischio. Gli strumenti di difesa informatica sono molteplici, si pensi antivirus, antispyware, blocco popup, firewall ecc., ma tuttavia non sempre si rivelano efficienti, in quanto esistono codici malevoli in grado di aggirare facilmente le difese, anche con l’inconsapevole complicità degli stessi utenti. Un altro aspetto di notevole importanza del rischio informatico è il risk management (gestione del rischio) che è quel processo attraverso il quale si misura o si stima il rischio e successivamente si sviluppano le strategie per fronteggiarlo. La gestione del rischio, così come descritto nella Convenzione Interbancaria per i problemi dell’Automazione (CIPA) nel rapporto sul rischio informatico si articola in diverse fasi: – Identificazione del rischio;– Individuazione delle minacce;– Individuazione dei danni che posso derivare dal concretizzarsi delle minacce e la loro valutazione;– Identificazione delle possibili contromisure per contrastare le minacce arrecate alle risorse informatiche. Diverse sono le modalità di gestione del rischio. A seconda del livello di rischio che un soggetto sia esso un’azienda, persona o ente ritiene accettabile si distinguono: – Evitare: si modificano i processi produttivi, modalità di gestione ed amministrazione con lo scopo di eliminare il rischio.– Trasferire il rischio ad un altro soggetto: il trasferimento del rischio avviene nei confronti di assicurazioni, partner e si tratta principalmente di rischi economici perché più facilmente quantificabili.– Mitigare: consiste nel ridurre, attraverso processi di controllo e verifica, la probabilità del verificarsi del rischio o nel limitarne la gravità delle conseguenze nel caso in cui si verifichino.– Accettare: ossia assumersi il rischio ed i relativi costi. NOTE AUTORE Michele Iaselli Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS – dipartimento di giurisprudenza. Specializzato presso l’Università degli Studi di Napoli Federico II in “Tecniche e Metodologie informatiche giuridiche”. Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa – Twitter: @miasell

SpecialiDomenica, 15 Gennaio 2023 18:35 La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale. Il contesto in cui agiscono le barriere – Le barriere servono a proteggere i dati minacciati dagli agenti (persone malintenzionate, persone non malintenzionate, infrastrutture tecnologiche, eventi naturali). Le barriere agiscono, in scenari negativi che devono essere evitati riducendo/eliminando la possibilità di azione da parte dell’agente di minaccia il quale sfrutta una vulnerabilità ovvero una debolezza. In altri termini le barriere riducono il rischio ovvero il verificarsi dello scenario negativo, innescato da una vulnerabilità che si vuole evitare. I sistemi di gestione forniscono, anche grazie ad un frame basato sul rischio, una serie di misure riconducibili ad altrettante barriere. I tipi di barriere – A volte la differenza tra i vari tipi di barriere che si possono adottare non è netta, ma in ogni caso l’aspetto rilevante consiste nell’individuare quelle più efficaci in relazione ai dati che si vogliono proteggere; qui di seguito, sono illustrate le caratteristiche delle principali tipologie. – Barriera di inaccessibilità: rende inaccessibili i dati ad un agente di minaccia; ad esempio: sistemi ad accesso protetto (sala server, quadro elettrico), un sistema di canali per isolare i cavi di rete. – Barriera di contenimento dell’agente di minaccia: trattiene l’agente di minaccia all’interno di un sistema chiuso affinché esso non possa esprimere, in tutto o in parte, il suo potenziale dannoso; ad esempio: archivio contenente dati non accessibile dall’esterno, una VPN, [ (Virtual Private Network) è una rete privata virtuale che garantisce privacy, anonimato e sicurezza attraverso un canale di comunicazione] . procedure per la disattivazione dei server e per la loro dismissione, un software antivirus, o un firewall installato a difesa perimetrale di una rete informatica – Barriera di contenimento della vulnerabilità: agisce per limitare i danni salvando quanto possibile; si deve adottare quando non è più possibile annullare il danno, ma solo contenerne gli effetti; ad esempio: sistema sprinkler per contenere gli effetti di un incendio. – Barriera di riduzione della vulnerabilità: è orientata a ridurre le vulnerabilità operando sulla differenziazione; ad esempio più back-up archiviati in sistemi e luoghi diversi, prove di restore condotte ad intervalli pianificati, più fornitori in grado di effettuare le medesime attività, matrice di back-up del personale. – Barriera di riduzione della quantità: ha la finalità di ridurre la quantità di dati esposta ad un pericolo; ad esempio: parcellizzazione dei dati su più server ed in località diverse, dispersore di terra negli impianti elettrici. – Barriera comportamentale: si riferisce al comportamento umano che ci si può ragionevolmente attendere in uno specifico scenario negativo; tale barriera è un mix di misure organizzative (formazione, regolamenti), esperienza delle persone (affinata anche con prove e simulazioni), valutazione del loro stato emotivo, efficacia dei sistemi di sorveglianza/vigilanza. – Barriera di allarme: fornisce, ad un’entità in grado di ricevere e comprendere il messaggio, l’avviso dell’insorgenza di una minaccia; ad esempio: cartello di divieto di accesso, impianto di rilevazione dei fumi. – Barriera di sostituzione: sostituzione di un componente altamente vulnerabile con uno meno vulnerabile; ad esempio: server che può funzionare anche a temperature ambientali elevate, sistemi informatici più efficienti nel rilevare intrusioni di malintenzionati. – Barriera di contemporaneità della minaccia: realizzata per impedire che due eventi avvengano contemporaneamente o in capo ad un unico agente di minaccia, in quanto tale condizione potrebbe evidentemente rendere più probabile, e grave, il danno; ad esempio: autorizzazione fornita, in sequenza o simultaneamente, da due diversi soggetti, abilitati a cancellare dei dati. – Barriera composita: formata da due o più barriere tra loro combinate; ad esempio: barriera comportamentale associata a barriera di contemporaneità. Ruolo del DPO – Le barriere devono essere messe in atto per prevenire situazioni di emergenza; il Data Protection Officer ed il Titolare del trattamento devono valutare l’efficacia di risposta da parte delle barriere. Queste ultime devono essere in grado di resistere a sollecitazioni dovute anche a situazioni anomale, e non solo a quelle ordinarie in cui può avvenire il trattamento; per fare ciò non solo deve valutare che esse siano applicate, ma anche che siano efficaci (si veda anche Art. 32 1d del Regolamento UE 2016/679); tale controllo è opportuno che sia eseguito tramite audit. Ai collaboratori aziendali, nel loro ruolo di responsabili della valutazione ed applicazione delle misure previste dalle barriere, fa capo il loro controllo delle stesse. Conclusione – Le barriere sono un altro modo di classificazione delle misure di sicurezza da attuare per la compliance al GDPR (rispetto della normativa sulla Privacy di quel complesso di flussi, informazioni, trattamenti dei dati, software e sistemi che avviene in azienda); definirle per tipologia non è un esercizio fine a se stesso, ma un’occasione per valutarne l’efficacia con il supporto dei collaboratori aziendali, nonché per evidenziare l’eventuale necessità di introdurne di nuove o di modificare quelle esistenti, ricordando sempre che una barriera che non è in grado di resistere nemmeno alle situazioni ordinarie, è come se non ci fosse.

SpecialiMartedì, 18 Ottobre 2022 08:39 In data 6 ottobre 2022 l’Avvocato Generale presso la Corte di Giustizia europea ha presentato le proprie conclusioni nella causa C-300/21, avente ad oggetto la risarcibilità dei danni non patrimoniali in conseguenza ad una violazione del diritto alla protezione dei dati personali. La vicenda ha origine in Austria, dove una società editrice aveva raccolto dati personali sulle preferenze politiche di una parte di cittadini. In particolare, tramite un algoritmo, essa individuava gli indirizzi di gruppi di destinatari della pubblicità elettorale dei partiti stessi. Uno degli interessati destinatari delle comunicazioni ricorreva in Tribunale dolendosi di non aver prestato il consenso al trattamento dei propri dati, chiedendo un risarcimento equitativo di euro 1.000 a titolo di danni non patrimoniali subiti in conseguenza dell’illecito trattamento dei dati stessi. Nei primi due gradi di giudizio la domanda dell’interessato era respinta. Giunti al terzo grado di giudizio, la Suprema Corte austriaca domandava alla Corte di Giustizia europea di pronunciarsi in via pregiudiziale per stabilire se la mera violazione delle disposizioni del Regolamento europeo 679/2016 (c.d. GDPR) desse diritto a un risarcimento per così dire automatico, a prescindere dalla circostanza che si fosse verificato un danno. La Corte di Giustizia è quindi chiamata ad accertare se la violazione delle disposizioni del GDPR provochi necessariamente un danno che fa sorgere il diritto al risarcimento, oppure se il danno debba essere dimostrato, raggiungendo una soglia minima di lesività. Nelle proprie conclusioni l’Avvocato Generale ha condivisibilmente rilevato che ai fini del riconoscimento di un risarcimento per danni subiti da una persona in conseguenza di una violazione del GDPR non è sufficiente la mera violazione della norma, se essa non è accompagnata dall’allegazione del relativo danno, patrimoniale o non patrimoniale. Il risarcimento del danno disciplinato dal GPDR non si estenderebbe, dunque, alla mera irritazione o fastidio che l’interessato possa provare. Sotto questo profilo la posizione dell’Avvocato Generale è coerente con la giurisprudenza italiana. La Corte di Cassazione afferma da tempo (recentemente, con l’ordinanza 16402/2021) che il danno da violazione del diritto alla protezione dei dati personali non sussiste in re ipsa, dacché il pregiudizio risarcibile non s’identifica con la mera lesione del diritto tutelato dall’ordinamento, bensì con le conseguenze pregiudizievoli causate dalla lesione stessa, le quali devono essere allegate e dimostrate dalla vittima dell’illecito, raggiungendo una soglia di lesività seria ed effettiva. Identificare la nozione di “violazione” con quella di “risarcimento” in assenza di danno, non sarebbe conforme al testo dell’articolo 82 del GDPR, in materia di diritto al risarcimento e responsabilità, che opera espresso riferimento all’esistenza del danno, e neppure alle rationes del GDPR. Sotto quest’ultimo profilo, infatti, due sono gli obiettivi del GDPR, enunciati fin dal suo titolo: i) da un lato, la protezione delle persone fisiche con riguardo al trattamento dei dati personali; ii) dall’altro, che tale protezione si articoli in modo che la libera circolazione di tali dati all’interno dell’Unione non sia né vietata né limitata. Ci si potrebbe tuttavia domandare se vi sia spazio, in quegli ordinamenti che lo consentono, di ritenere che la risarcibilità del danno alla protezione dei dati personali possa avere carattere punitivo, prescindendo dall’esistenza di un danno. Ebbene, nelle conclusioni dell’Avvocato Generale si è giustamente rilevato come il GDPR non contenga alcun riferimento alla natura sanzionatoria del risarcimento dei danni patrimoniali o non patrimoniali, né al fatto che il calcolo del suo ammontare debba riflettere tale natura o che detto risarcimento debba essere dissuasivo (qualità che esso attribuisce invece alle sanzioni penali e alle sanzioni amministrative pecuniarie). Dal punto di vista letterale, pertanto, il GDPR non consentirebbe di prevedere un risarcimento di carattere punitivo. Le considerazioni dell’Avvocato Generale sono pienamente condivisibili, e riflettono l’orientamento prevalente in dottrina e in giurisprudenza nazionale. Del resto, la prospettiva di ottenere un risarcimento indipendentemente da qualsiasi danno stimolerebbe la proliferazione di controversie civili strumentali, disincentivando l’attività stessa di trattamento e di conseguenza quella circolazione dei dati che il legislatore europeo ha inteso assicurare. Fonte: Il Sole 24 Ore del 17 ottobre 2022 – di Alessandro Candini

Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza degli stessi, riducendo la probabilità di errori. Se il Registro è ben strutturato, gli autorizzati hanno quindi accesso a varie informazioni: durata del trattamento, modalità di cancellazione/distruzione dei dati, ragioni sociali dei Responsabili designati, ecc. Possono quindi anche segnalare eventuali errori o modifiche (ad esempio la variazione di un Responsabile), in modo da far sì che il documento sia costantemente aggiornato.Ovviamente l’accesso deve avvenire per la versione in vigore, opportunamente datata, mentre le versioni storicizzate devono essere gestite ad accesso limitato, di norma sotto la Responsabilità del Privacy Officer. Quest’ultimo dovrà informare gli Autorizzati dell’emissione di una nuova versione del documento rendendola disponibile, ad esempio sulla intranet aziendale. In ogni caso i contenuti del Registro non devono essere comunicati all’esterno dell’Organizzazione. La Valutazione dei rischi – La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Non va inoltre dimenticato che il documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Un esempio po’ aiutare a comprendere: Per il trattamento X effettuato tramite un software è documentata, come misura di mitigazione, l’accesso regolamentato da password in possesso solo degli autorizzati che ricoprono il ruolo ALFA e BETA. Sulla base di tale informazione, un malintenzionato potrebbe: – dedurre che i dati presenti nel software non sono criptati e questo evidenzia una debolezza– contattare gli autorizzati che ricoprono il ruolo ALFA e BETA attivando tecniche di social engineering per carpire la password o per ricattarli al fine di poter accedere ai dati Inoltre, il malintenzionato, analizzando le minacce descritte dalla Valutazione dei rischi, potrebbe dedurre che alcune non sono state “considerate” o meglio “documentate”. Ciò peraltro non implica necessariamente che non siano state approntate delle misure in relazione a tali minacce. Alla luce di quanto sopra, la Valutazione di rischi dovrebbe essere un documento con un accesso molto limitato, e dovrebbero essere poste in atto ulteriori misure per rendere difficoltosa la consultazione, come ad esempio: – archiviazione del documento in un’area non accessibile dall’esterno– criptazione del documento– suddivisione del documento in più parti, in modo che l’accesso ad una sola di esse non ne permetta la comprensione La problematica assume ancora più rilevanza nel caso in cui l’Organizzazione agisca come Responsabile del trattamento e quindi le misure che pone in capo debbano essere poste a tutela del Titolare. Quest’ultimo potrebbe indicare, nell’ambito dell’atto di designazione, anche il livello di accesso e di protezione della Valutazione dei rischi per la parte dei dati che deve trattare il Responsabile. Considerazioni simili a quelle effettuate per la Valutazione dei rischi possono essere svolte per quanto riguarda il MOP – Modello Organizzativo Privacy che, per quanto non contenga, di norma, elementi vulnerabili come nel caso della Valutazione dei rischi, è opportuno resti riservato. Il caso della Pubblica amministrazione – Per le Pubbliche amministrazioni vi è anche l’esigenza di bilanciare le informazioni contenute nel Registro dei trattamenti e nella Valutazione dei rischi, a fronte delle seguenti normative: – Decreto legislativo 14 marzo 2013, n. 33 – amministrazione trasparente– Legge n. 241/1990 – accesso agli atti La disponibilità/accesso a tali documenti, dovrebbe essere attentamente valutata in quanto sono molte le vulnerabilità a cui l’Amministrazione si espone permettendo la consultazione in rete o l’accesso a seguito di una richiesta (vari esperti hanno peraltro posizioni diverse a riguardo). Riguardo alla normativa sull’amministrazione trasparente, è stata effettuata una ricerca nel sito dell’Anac per verificare quali documenti riguardanti la protezione dei dati sono presenti; risulta presente solo l’elenco: “Banche dati Anac Autorità Nazionale Anticorruzione”. Per quanto riguarda invece il diritto di accesso si rimanda alla definizione di “documento amministrativo”, vedi legge n. 241/1990. L’art. 22, lettera d) e successivamente modificato dalla legge n. 15/2015. Si definisce documento amministrativo “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Il Titolare quindi determinerà, secondo il principio di autotutela, se la Valutazione dei rischi collide con il principio di trasparenza, dato il rischio di utilizzo delle informazioni in modo lesivo degli interessi della Pubblica Amministrazione. Analoga considerazione può essere effettuata per quanto riguarda l’esercizio del diritto di accesso. Conclusioni – Il Titolare del trattamento, in mancanza di indicazioni al riguardo nel GDPR, deve considerare che la conoscenza da parte degli autorizzati di informazioni afferenti alle attività che svolgono aumenta la loro consapevolezza; d’altra parte egli deve tutelare i diritti e le libertà degli interessati, nonché l’ambito professionale ed il segreto industriale, non solo della sua impresa, ma anche di quelle dei suoi clienti nel ruolo di Titolari del trattamento, altrimenti potrebbe anche incorrere in richieste di risarcimento danni oltre ad essere contrattualmente inadempiente

FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”

Primo Piano Venerdì, 15 Dicembre 2023 08:32