Articoli

Domicili Digitali, Agid lancia una consultazione sulle nuove Linee Guida

Domicili digitali: quali regole per garantire la PA Digitale?

La grave emergenza sanitaria ha accelerato processo di digitalizzazione della Pubblica Amministrazione e dei servizi digitali erogati, richiedendo il ricorso soluzioni e strumenti capaci di assicurare il processo di trasformazione digitale.

Nel corso degli ultimi mesi, pertanto, le Pubbliche Amministrazioni hanno cercato di dare attuazione alle prescrizioni ed indirizzi contenuti nel Codice dell’Amministrazione Digitale (CAD). Il Codice, all’articolo 6 – quater, prevede la predisposizione dell’indice dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese (INAD).

Per implementare correttamente tale Indice, l’Agid ha realizzato le Linee guida dell’indice dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese (INAD), proposte in consultazione dall’8 giugno al 10 luglio.

In armonia con quanto disposto dall’articolo 60 del CAD, e coerentemente con il Piano Triennale, l’AgID ha inserito l’INAD nelle Basi dati di interesse nazionale: per tali ragioni (come ribadito nel  punto 2.8 delle Linee guida in consultazione), ne garantisce il pieno utilizzo secondo standard e criteri di sicurezza e di gestione adeguati.

Il sistema INAD, anche attraverso il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri di cui all’articolo 64-bis, comma 1, del CAD, rende disponibili:

  • Il domicilio digitale dei soggetti che lo hanno eletto;
  • Le funzioni necessarie per la gestione del proprio domicilio digitale;
  • Le istruzioni per accedere all’assistenza.

 

Le Linee guida individuano come destinatari principali di questa consultazione:

  • Le pubbliche amministrazioni;
  • I cittadini e gli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese;
  • I professionisti iscritti in albi professionali.

 

Tale documento definisce:

 

  • le informazioni relative all’elezione, modifica, cancellazione del domicilio digitale che i soggetti preposti potranno inserire all’interno dell’INAD, così come previsto dal CAD (art. 6-quater);

 

  • la storicizzazione dei suddetti contenuti e la loro gestione.

 

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

Le recenti Linee guida Agid in consultazione dimostrano che per poter operare correttamente sul web e nei luoghi di lavoro, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Indennità Covid-19 nel mirino hacker: clonato il portale INPS

L’Inps nel mirino malware: quali condotte adottate dagli hacker?

Come abbiamo esaminato nei precedenti post, nel corso degli ultimi mesi si sono verificati numerosi attacchi malevoli, che hanno sfruttato il timore del contagio e lo stato di necessità economica della popolazione.

Da ultimo, infatti, il portale dell’Inps è stato oggetto di un importante data breach, classificato dal Garante per la protezione dei dati personali come un episodio a rischio “elevato” per i diritti e le libertà dei soggetti coinvolti.

La popolarità e la centralità che l’Inps ha assunto nel corso degli ultimi due mesi, in ragione delle massicce richieste di sussidi economici, hanno costituito gli indispensabili presupposti per il lancio di una nuova campagna malevola. Al fine di indurre i contribuenti in inganno, è stato predisposto un portale che richiamava graficamente ed intuitivamente il sito dell’Istituto di previdenza; l’unica più spiccata differenza con il sito ufficiale consiste nel dominio della pagina fake, creato in data 25 maggio 2020 e registrato come “inps-it[.]top”.

In particolare, sfruttando la richiesta di indennità Covid-19, gli hacker hanno esposto una pagina clone del sito INPS sul dominio fake, proponendo in download una sedicente “domanda per la nuova indennità COVID-19”: il file, in realtà, restituisce un file APK malevolo per utenti Android (con Build$VERSION.SDK_INT < 26). Il malware così veicolato è dunque destinato esclusivamente agli utenti Android.

Dalla prima analisi svolta da Cert-AgID, si è verificato che il download della domanda determina l’installazione sul dispositivo del file “acrobatreader.apk”, contenente un malware di tipo TrojanBanker. Come esaminato nei precedenti post, una volta installati, i Banking Troyan possono osservare e tracciare le azioni compiute dall’utente: in tal caso, il malware propone le istruzioni per abilitare il servizio di accessibilità, al fine di sfruttare le legittime funzioni di tale servizio e quindi consentire al malware un accesso più ampio alle API di sistema per dialogare con altre app presenti sul dispositivo, al fine di carpire password ovvero informazioni bancarie e della carta di credito.

L’attività fraudolenta così realizzata si aggiunge alla nota campagna di phishing dello scorso aprile, causata ai danni degli utenti Inps.

Le minacce informatiche costituiscono una costante sfida nel trattamento dati. Esse richiedono, in capo al Titolare del trattamento, il rispetto dei principi e delle regole imposte dal GDPR, in particolare:

  • La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
  • L’implementazione di misure che garantiscano la privacy by default e by design;
  • Il rispetto dei diritti dell’interessato;

 

Si ricorda, inoltre, che il primo fattore di vulnerabilità dei sistemi – ivi compreso quello relativo alla data protection – è costituito dall’errore umano, causato da un’errata valutazione o da una scarsa percezione del problema e delle criticità conseguibili.

Tra questi, rientra anche il download di installer che, fraudolentemente, si spacciano per applicazioni molto conosciute: questi, in realtà, contengono varie minacce, come quelle adware “advertising supported software” (software sovvenzionato da pubblicità).  Si tratta software che adoperano metodologie subdole, che possono determinare il trasferimento su un altro programma, al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da

Nuove Linee Guida AgID sul Procurement ICT: la sicurezza ICT passa per la formazione

Sicurezza nel Procurement ICT: quali regole?

Il tema della sicurezza costituisce un tassello imprescindibile per la corretta realizzazione dell’Amministrazione Digitale: la sicurezza informatica rappresenta un elemento necessario per garantire la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica amministrazione; più in generale, occorre realizzare un sistema amministrativo capace di ispirare fiducia nei cittadini, presupposto per la diffusione dei servizi digitali.

Per tali ragioni, l’AgID ha emanato lo scorso 20 maggio le Linee Guida sulla sicurezza nel Procurement ICT, che erano in consultazione dal 14 maggio al 13 giugno 2019, assieme alle “Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali”.

Si tratta di un documento orientativo, destinato in misura prevalente a tutti coloro che all’interno delle pubbliche amministrazioni si occupano a vario titolo di acquisizione di strumenti informatici, come ad esempio dirigenti, funzionari, RUP delle gare pubbliche, responsabili della transizione al digitale, responsabili dell’organizzazione, pianificazione e sicurezza. Purtuttavia, le Linee Guida hanno un respiro molto ampio, offrendo altresì indicazioni utili per gli operatori di mercato che forniscono soluzioni Ict alle Pubbliche Amministrazioni.

Le Linee Guida propongono una serie di azioni per strutturare e formalizzare i futuri procedimenti di acquisizione: l’intento consiste nel minimizzare il rischio di trovarsi in situazioni inaspettate ed inattese, dovendo ricorrere a soluzioni estemporanee e, spesso, non adeguate ad eliminare il problema.

In particolare, il documento ha la finalità di:

  • illustrare in modo semplice la problematica della sicurezza nel procurement ICT;
  • formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per migliorarne la qualità.

Dal punto di vista organizzativo, le Linee Guida richiamano la necessità di continua formazione e coordinamento tra le figure maggiormente coinvolte in tali processi, in particolare conseguendo competenze aggiornate di Procurement Management, Gestione Progetti, Asset Management, Change Management, Risk Management, Sicurezza e Protezione dei Dati.

Al contempo, l’AgID ritiene che la promozione della sicurezza costituisca un fattore essenziale: infatti, è essenziale che le amministrazioni mantengano al loro interno un adeguato livello di consapevolezza sulla tematica della sicurezza nel procurement ICT, anche attraverso l’inserimento di sessioni formative nella normale attività di formazione verso i dipendenti (ad esempio, nel calendario della formazione obbligatoria sulla sicurezza dei luoghi di lavoro e sulla privacy).

 

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da

La sicurezza sul lavoro ai tempi dello smart working: il pericolo è cyber

Smart working e rischio cyber: quali tutele?

Con l’inizio della Seconda Fase dell’emergenza sanitaria dal prossimo 4 maggio, le modalità previste dalla legge n. 81/2017 sullo smart working costituiranno la regola, per garantire la tutela della salute e la sicurezza dei lavoratori.

Ai tempi del Coronavirus, la sicurezza dei lavoratori si sposta dunque sul campo informatico: l’impiego di dispositivi personali, spesso non protetti, può essere veicolo di contagio cyber.  L’utilizzo di dispositivi personali e non forniti dall’azienda, come visto nel precedente post, tende a far trascurare l’adozione di opportune misure di sicurezza, e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità.

Come sottolineato dalla indagine condotta da Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, il 71% ha segnalato un aumento delle minacce o degli attacchi dall’inizio dell’epidemia: tra questi, i tentativi di phishing sono stati identificati come la principale minaccia.

Per fornire utili informazioni a tutti gli operatori pubblici e privati, al fine di ridurre il rischio di contagio cyber, l’Inail ha diramato un documento dal titolo “Informativa sulla salute e sicurezza nel lavoro agile ai sensi dell’art. 22, comma 1, L. 81/2017”.

Il Protocollo suggerisce i comportamenti di prevenzione generale che lo smart worker deve realizzare. In particolare:

  • Il datore di lavoro è tenuto a garantire la salute e la sicurezza del lavoratore, che svolge la prestazione in modalità di lavoro agile: a tal fine consegna al lavoratore e al rappresentante dei lavoratori per la sicurezza, con cadenza almeno annuale, un’informativa scritta, nella quale sono individuati i rischi generali e i rischi specifici connessi alla particolare modalità di esecuzione del rapporto di lavoro.
  • Il lavoratore, di converso, è tenuto a cooperare all’attuazione delle misure di prevenzione predisposte dal datore di lavoro per fronteggiare i rischi connessi all’esecuzione della prestazione all’esterno dei locali aziendali.

Parallelamente, lo scorso 24 aprile è stato inoltre aggiornato il Protocollo condiviso di “regolamentazione delle misure per il contrasto e il contenimento della diffusione del  coronavirus negli ambienti di lavoro”: tale documento, che aggiorna il precedente del 14 marzo, intende garantire la tutela della salute e le condizioni di sicurezza dei lavoratori che ritorneranno sui luoghi di lavoro, sulla base delle indicazioni del Ministero della Salute.

Il Protocollo si sofferma anche sul rapporto tra tutela della privacy dei lavoratori e contenimento del contagio.

In particolare, il datore di lavoro potrà rilevare la temperatura dei propri dipendenti, segnalando all’autorità sanitaria le eventuali anomalie riscontrate. Ciò pone la necessità di:

  • Identificare la corretta base giuridica;
  • Predisporre idonea informativa;
  • Valutare di procedere a valutazione d’impatto.

 

La necessità di formazione in materia di Smart working e Sicurezza: Hedya propone i percorsi formativi innovativi

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

La Didattica a distanza nell’era del Covid-19: la privacy non va in “quarantena”

Didattica a distanza e GDPR: quali regole?

L’emergenza sanitaria che l’Italia sta attraversando ha reso necessari, nell’arco di pochi giorni, provvedimenti che hanno richiesto l’attivazione, da parte di tutte le Università (ma anche di tutti gli Istituti scolastici, come precisato dal Miur con apposita nota) di apposite modalità di didattica a distanza.

Di conseguenza, attraverso l’impiego di molteplici piattaforme di e –learning a disposizione, i docenti procederanno all’erogazione dei propri corsi in forma asincrona o in streaming in tempo reale.

In tali casi, tuttavia, l’esigenza di somministrare percorsi formativi generalmente erogati offline non deve tradursi in una compromissione della protezione dati non solo degli studenti, ma anche dei docenti. Come osservato dal Comitato europeo per la protezione dati personali in una Dichiarazione resa lo scorso 19 marzo, il GDPR è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.

In tale contesto, le modalità di erogazione delle lezioni in tempo reale, attraverso aule virtuali, costituiscono l’ipotesi più critica quanto alle molteplici tutele che devono essere costantemente garantite sia per gli studenti, che per i docenti impegnati nelle attività didattiche. L’emergenza sanitaria, infatti, pone questioni di ampio respiro connesse al GDPR, come ad esempio l’obbligo di effettuare valutazioni di impatto, o anche l’obbligo di fornire garanzie di sicurezza adeguate, che si collegano alle questioni più generali in materia di smart working.

  • Per quanto concerne la tutela degli studenti, bisogna rammentare che il GDPR prevede precisi oneri informativi agli articoli 13 e 14 sulle condizioni di liceità e le modalità di trattamento corretto, come ad esempio l’indicazione – in tali casi – del responsabile del trattamento ai sensi dell’art. 28 GDPR, che tratta i dati personali per le finalità connesse alla didattica.

Inoltre, occorre prestare attenzione alle modalità di utilizzo della piattaforma, come ad esempio alla gestione degli accessi, ma soprattutto all’utilizzo delle webcam e dell’audio, per evitare trasmissioni non consentite e riproduzioni illecite.

  • Per quanto concerne la posizione dei docenti, il discorso risulta più ampio. In tali casi, infatti, il rispetto del GDPR si interseca con ulteriori fonti normative, come ad esempio:
    • La disciplina sul controllo a distanza dei lavoratori;
    • La disciplina a tutela del diritto d’autore (nella duplice dimensione del diritto morale e patrimoniale d’autore).

Dal confronto con le diverse discipline citate, si pongono molteplici dubbi in merito alla possibilità di registrazione delle lezioni erogate in tempo reale, alle tutele che devono essere apprestate anche nei confronti del docente (si pensi, ad esempio, ai casi di condivisione dello schermo del pc personale del docente).

Inoltre, si pongono questioni in merito alle misure di sicurezza, che dovrebbero essere predisposte.

 

In conclusione, l’emergenza sanitaria ha spinto il settore pubblico e privato ad una fase di “smart working” forzato, in cui permangono ancora molteplici criticità, connessi all’impiego di un dispositivo personale per l’erogazione delle lezioni, ivi inclusi le connessioni personali (Wifi, Adsl, etc.). In questi casi, si pongono questioni:

  • sulle misure relative allasicurezza dei sistemi utilizzati da remoto;
  • sull’adozione o sull’adeguatezza di sistemi antivirus o antimalaware.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Elementi di portfolio