Articoli

Natale “in bianco” per NoiPA: attacchi phishing per rubare stipendi e tredicesime ai dipendenti pubblici

L’attacco Phishing: la Sicurezza non va mai in vacanza

 

NoiPa è il portale per la Pubblica Amministrazione, gestito dal ministero dell’Economia e delle Finanze, che gestisce il trattamento economico e giuridico del personale centrale e periferico della PA, anche per i connessi adempimenti previdenziali e fiscali. Attraverso tale portale, dunque, i pubblici dipendenti possono prendere visione dei propri cedolini e verificare lo stato dei pagamenti accreditati in base alle coordinate bancarie fornite all’amministrazione. Il dipendente pubblico può inoltre modificare il proprio IBAN per l’accredito dello stipendio, attraverso un sistema automatizzato: per effettuare la modifica, il sistema richiede di effettuare una chiamata di sicurezza dal numero di telefono impostato nel sistema, così da verificare l’identità del dipendente, gestita da sistemi informatici (la chiamata viene chiusa dopo uno squillo, senza alcuna risposta).

L’attacco criminale, consumatosi a ridosso delle ferie natalizie, ha comportato la compromissione di alcuni account utente sul portale NoiPa, mediante un possibile attacco phishing; la condotta criminosa risultava finalizzata alla manipolazione del codice IBAN del conto corrente e del numero di telefono associato, al fine di distrarre l’accredito degli emolumenti.

Con un comunicato stampa , il Dipartimento dell’Amministrazione Generale, del Personale e dei Servizi del Ministero delle Economie e delle Finanze ha comunicato che sono stati 15 gli account compromessi su un totale di oltre due milioni di amministrati, che sono stati tutti prontamente gestiti anche grazie all’intervento della Polizia Postale. La questione è attualmente oggetto di indagini da parte della Procura di Roma, nel tentativo di individuare gli autori della condotta criminosa.

 

Attacchi cyber, come difendersi: le proposte Hedya

L’attacco cyber alla piattaforma NoiPa rappresenta l’occasione per ribadire nuovamente l’importanza della formazione del personale in materia di sicurezza informatica, per diffondere una cultura improntata alla effettiva protezione dei dati personali. Quest’ultima lesione ai danni di dipendenti pubblici, infatti, si aggiunge all’ondata di cyber attacchi quotidiani già esaminati in altri post. In tali casi, ricade sul soggetto che detiene i dati (in tal caso, la PA) l’onere della prova di aver posto in essere tutte le misure adeguate per proteggerli diligentemente.

Tra tali misure, è possibile ricomprendere anche l’attivazione di un programma periodico che educhi tutti i soggetti a riconoscere mail e comportamenti sospetti e a diffidare dall’aprire messaggi inattesi, provenienti da mittenti non conosciuti.

 

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Formazione digitale e credito d’imposta: proroga di un anno per maturare competenze digitali

Le novità della Legge di Bilancio

 

La legge di Bilancio 2020 proroga di un anno il bonus formazione 4.0: sin dal disegno di legge, infatti, si è prevista l’applicazione alle spese di formazione sostenute nel periodo d’imposta successivo a quello in corso al 31 dicembre 2019. Con tale misura, inoltre, si intendono valorizzare i percorsi formativi soprattutto a vantaggio soprattutto delle dimensioni imprenditoriali di minori dimensioni.

Dal punto di vista operativo, si tratta del terzo anno di validità del credito d’imposta, applicabile alle attività di formazione finalizzate all’acquisizione e al consolidamento, da parte del personale dipendente dell’impresa, delle competenze nelle tecnologie rilevanti per la realizzazione del processo di trasformazione tecnologica e digitale delle imprese previsto dal “Piano nazionale Impresa 4.0”.

Per essere competitive, le imprese italiane devono adeguarsi alle innovazioni in corso: in tale contesto, la formazione dei dipendenti, soprattutto nel settore Industria 4.0, riveste un ruolo altrettanto fondamentale. La formazione digitale continua si rivela fondamentale per incrementare la qualità del lavoro svolto, ma anche per offrire servizi qualitativamente superiori.

Sono ammissibili al credito d’imposta solo le attività di formazione svolte per acquisire o consolidare le conoscenze delle tecnologie previste dal Piano Nazionale Impresa 4.0 quali:

  • big data e analisi dei dati;
  • cloud e fog computing;
  • cyber security, sistemi cyber-fisici, prototipazione rapida;
  • sistemi di visualizzazione e realtà aumentata, robotica avanzata e collaborativa, interfaccia uomo macchina, manifattura additiva;
  • internet delle cose e delle macchine e integrazione digitale dei processi aziendali.

Cosa fare?

 

Si suggeriscono, in relazione alle differenti esigenze formative, alcuni percorsi caratterizzanti:

  • Formazione breve: consente ai partecipanti di ottenere un’adeguata formazione in materia di gestione dei dati personali. Tale percorso risulta particolarmente rilevante per il settore pubblico, ove l’obbligo di formazione per le Pubbliche Amministrazioni le imprese in materia di protezione dei dati personaliper tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
  • Formazione avanzata: fornisce ai partecipanti, che hanno già acquisito le conoscenze di base di natura giuridica e organizzativa, le nozioni pratico-applicative di base per lo svolgimento effettivo delle attività. Tale percorso è particolarmente utile per le attività che competono al Responsabile per la protezione dei dati personali (Data Protection Officer o DPO), proponendosi come approfondimento – in chiave tecnica – delle conoscenze di base già acquisite in precedenza.
  • Servizi di consulenzarivolta ad operatori pubblici e privati.
/da

Il GDPR in pratica: Hedya propone formazione e consulenza per operatori pubblici e privati

GDPR e D.lgs. 101/2018 : cosa è cambiato ?

Con la piena entrata in vigore del GDPR e il Decreto legislativo n. 101/2018, sono state introdotte sostanziali modifiche al Codice Privacy. Con il D.lgs. 101/2018, infatti, sono state abrogate tutte le disposizioni del d.lgs. n.196/2003 non più compatibili con il GDPR.

Con il passaggio dalla direttiva 95/46/CE al GDPR, la disciplina della protezione dei dati personali è stata oggetto di una riforma sostanziale: con il Regolamento è mutato radicalmente l’approccio stesso alla materia, attualmente incentrata sul principio dell’accountability. Questo nuovo modello si discosta dalla logica del Codice Privacy, orientata al formalismo documentale, rimettendo in capo al titolare del trattamento un ruolo proattivo: il titolare del trattamento è ora tenuto ad effettuare valutazioni, ad assumere decisioni e a provare di avere adottato misure proporzionate ed efficaci per garantire la protezione dei dati personali oggetto di trattamento.

Inoltre, molteplici criticità sono state evidenziate da associazioni, fondazioni e, più in generale, Enti del Terzo Settore: in base al previgente art. 26 del Codice privacy, i trattamenti aventi ad oggetto dati “sensibili” potevano essere effettuati esclusivamente previa autorizzazione del Garante.

Con l’entrata in vigore dell’art. 21 del d.lgs. n. 101/2018, si è posto così il problema di verificare la compatibilità delle prescrizioni contenute nelle autorizzazioni generali già adottate: tale norma, in attuazione delle disposizioni di cui al Regolamento, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice, provvedendo altresì al loro aggiornamento ove occorrente.

Quale formazione? Le proposte di Hedya in tema di formazione e consulenza

 

Le profonde modifiche operate dal GDPR impongono in capo a tutti i soggetti coinvolti nelle operazioni di trattamento una adeguata conoscenza:

  • della normativa generale di cui al GDPR e al D.lgs.101/2018;
  • della prassi applicativa di settore, sulla base dei Provvedimenti del Garante Privacy.

 

Per tali ragioni, Hedya propone molteplici servizi a disposizione delle aziende e degli operatori pubblici.

In particolare:

  • Percorsi formativi rivolti a tutti i soggetti coinvolti nel processo di gestione dei dati digitali e agli operatori economici che collaborano con le PA.
  • Servizi di consulenza rivolta ad operatori pubblici e privati.

 

Ulteriori informazioni sono disponibili qui.

/da