Tag Archivio per: unione europea

OTTOBRE 2023: Mese della Sicurezza Informatica

/in

Ottobre è il mese che l’Europa dedica al tema della sicurezza informatica: il CyberSecMonth.
L’ECSM (European Cyber Security Month) è coordinato dall’Agenzia europea per la sicurezza informatica (ENISA) e sostenuto dalla Commissione Europea.
Per l’occasione negli Stati membri dell’UE si terranno eventi, seminari e iniziative: in Italia l’organizzazione è curata dall’ACN (Agenzia per la Cybersicurezza Nazionale), supportata da Università e altre organizzazioni.
Questa campagna giunge alla sua 11° edizione per promuovere tra i cittadini la conoscenza delle minacce informatiche e dei metodi per
contrastarle. Il motto di quest’anno è #BeSmarterThanAHacker.

Nell’era digitale, in cui ogni aspetto della vita si intreccia con il web, è sempre più importante avere la giusta percezione riguardo le cyber minacce ed imparare come proteggersi dai criminali informatici.
Utilizzare Internet, strumento straordinario, in modo massiccio, espone inevitabilmente a rischi: questo percorso di divulgazione mira dunque a sensibilizzare verso un uso consapevole e ragionato della rete.

I dati hanno oggi un grandissimo valore (dati aziendali, progetti, dati sensibili, informazioni finanziarie etc).
Per un’azienda essere colpiti da attacchi hacker può portare alla perdita di dati, alla divulgazione di segreti, al blocco di servizi o della produzione, a multe, ad esborsi economici per il ripristino, fino alla perdita di fiducia da parte di clienti.

Proteggersi dagli attacchi informatici è fondamentale anche per le P.A. (di cui sono sempre più spesso vittime) in quanto gestori di enormi volumi di dati sensibili. Le istituzioni poi sono simbolo di affidabilità, dovendo anche garantire la continuità dei servizi ai cittadini.


GLI ATTACCHI INFORMATICI

La varietà di attacchi è vasta e in continua evoluzione. Vediamone alcuni:

Social Engineering: cyberattacco che sfrutta l’ingenuità dei dipendenti di un’azienda: il criminale manipola le persone e carpisce informazioni confidenziali (password, informazioni su conti correnti, etc).

Ransomware: programmi informatici dannosi che “infettano” un dispositivo digitale bloccando l’accesso a tutti o alcuni dei suoi contenuti. Il malintenzionato che li ha creati chiede poi un riscatto (in inglese, “ransom”) per liberarli. Il consiglio è di NON pagare mai.

Phishing: messaggi di posta elettronica provenienti da fonti apparentemente attendibili (banche, assicurazioni, poste) che convincono la vittima a fornire informazioni o codici di accesso.

Malvertising: messaggi pubblicitari che, una volta cliccati, installano programmi malevoli sul dispositivo dell’utente. Il motto della campagna 2022 era proprio #ThinkBeforeYouClick.

Trashing: il criminale fruga nella spazzatura della vittima alla ricerca di bollette, estratti conto, cellulari dismessi, per trovare dati sensibili.


CONSIGLI

Per proteggersi si suggerisce di:

prevenire l’infiltrazione, condividendo dati e files in modo sicuro
– mantenere sempre aggiornati software e sistemi operativi
– prevedere un piano di ripristino dei dati attraverso Backup da conservare in luoghi diversi rispetto ai dati stessi. Ciò può scongiurare il rischio di perdita dei dati e assicurare la continuità aziendale
– attenzione all’autenticazione per evitare il furto di credenziali: scegliere meccanismi forti come lo Spid, non usare password uguali su siti diversi, attivare l’autenticazione a 2 fattori e affidarsi ai PWManager
– attivare strumenti di monitoraggio, come avvisi tramite SMS, notifiche o mail quando si effettua ogni operazione così da rilevare anomalie e poter intervenire subito
– prevenire gli errori umani, lavorando sulla consapevolezza dei rischi e sulla formazione dei dipendenti




Il mese di Ottobre vuole dunque essere un promemoria annuale in quanto la sicurezza informatica non è più un optional ma un investimento necessario. E’ consigliabile però evitare il fai-da-te ed affidarsi ad esperti del settore che abbiano le giuste competenze.



Scopri di più sull’European Cyber Security Months:
www.europarl.europa.eu/thinktank/en/events/details/european-cybersecurity-month-kick-off/20230904EOT07781
www.enisa.europa.eu/news/emerging-technologies-make-it-easier-to-phish
www.acn.gov.it/notizie/contenuti/european-cyber-security-month-contribuisci-con-le-tue-idee
– www.cybersecurythmonth.eu


DIGITAL SERVICE ACT: OGGI LA SCADENZA PER 19 BIG TECH

/in


LE 19 BIG TECH DESIGNATE

Con il Digital Service Act (DSA), Regolamento Europeo in vigore da Novembre ‘22, l’UE mira a creare un ambiente digitale sicuro e affidabile per salvaguardare i diritti dei consumatori, contrastando la disinformazione (es: fake news), i contenuti illegali e la violenza online (es: incitamento all’odio, violenza di genere) ed incentivando la protezione dei minori e la trasparenza su profilazione, pubblicità e modalità di moderazione.

Il 25 Aprile la Commissione Europea ha designato 19 giganti del Web che saranno i primi a doversi adeguare. Sono stati scelti in base al loro bacino d’utenza: ogni mese offrono servizi ad almeno il 10% della popolazione dell’UE, cioè 45 milioni* di persone). Proprio oggi, 25 agosto, scadono i termini per queste 19 piattaforme per adeguarsi, c che rischiano multe fino al 6% del fatturato o il blocco temporaneo dell’attività.

Questi colossi, insigniti ora di responsabilità, sono:
Motori di ricerca: Bing e Google Search
E-Commerce: Alibaba AliExpress, Amazon Store, Apple AppStore, Zalando (unica europea)
Social Media: Facebook, Instagram, Twitter (X), TikTok, Snapchat, LinkedIn, Pinterest
Servizi Google: Google Play, Google Maps e Google Shopping
Altro: Booking.com, Wikipedia e YouTube

Queste big tech hanno avuto 4 mesi di tempo per consegnare all’UE i rapporti di valutazione dei rischi sistemici delle proprie piattaforme e stabilire come intervenire in proposito.

GLI OBBLIGHI IMPOSTI DAL DSA

– TRASPARENZA: I social dovranno rivelare il funzionamento dei propri algoritmi, ovvero i meccanismi che regolano l’organizzazione e la visualizzazione dei contenuti. Da adesso gli utenti europei di FB, Instagram, Tiktok etc avranno l’occasione di stabilire autonomamente l’importanza di ogni contenuto: potranno scegliere di visualizzare post, stories e reels ordinati in modo alternativo a quello stabilito dagli algoritmi, per es. scegliendo l’ordine cronologico o mostrando i più popolari nel Paese o nel mondo, anziché per “rilevanza personalizzata”.
Questa, per TikTok, è una novità di grande importanza visto che il suo successo deriva proprio da un algoritmo che fin’ora, per tenere gli utenti incollati allo schermo, ha proposto contenuti sempre in linea con i loro interessi.

Le piattaforme dovranno anche rendere pubblici i repertori di tutti gli annunci pubblicitari apparsi sulle interfacce.

– NOTIFICA DI CONTENUTI ILLECITI: permettere agli utenti di segnalare contenuti illeciti, valutarli ed eventualmente rimuoverli (notificando i sospetti reati alle autorità).

– MODERAZIONE: I social network dovranno fare guerra alle fake news, ai contenuti violenti o illegali, ai discorsi d’odio e alle molestie, gli e-commerce dovranno dare la caccia alle recensioni false o a prodotti vietati o contraffatti, rimuovendo contenuti.
Le piattaforme dovranno informare gli utenti della decisione di moderare o rimuovere un loro contenuto, motivandola e permettendo la contestazione.

– PROFILAZIONE: nasce l’obbligo di fornire all’utente l’opzione di non ricevere suggerimenti basati sulla profilazione.
Il DSA impone di non mostrare annunci basati su orientamento sessuale, religione, idee politiche o dati sensibili e vieta quelli personalizzati verso i minori. Impone anche di rendere noto agli utenti il perché vedono una pubblicità o sapere chi la finanzia e dare la possibilità di nasconderla e disattivare gli annunci personalizzati.

– CHIAREZZA nei termini di servizio, che devono essere facilmente comprensibili per chiunque.

I PRIMI RICORSI

Amazon si è appellata alla Corte di Giustizia per essere esclusa dall’elenco delle 19 very large company, in quanto il DSA deve colpire solo le compagnie che hanno la pubblicità come prima fonte di reddito e che distribuiscono informazioni, ma Amazon non corrisponde a questa descrizione: i suoi ricavi provengono per la maggior parte dalla vendita al dettaglio. Anzi, se la compagnia di Seattle dovesse conformarsi al DSA, avrebbe onerosi obblighi amministrativi che alla fine danneggerebbero i consumatori europei.

Anche Zalando (unica azienda europea delle 19) ha lamentato l’inclusione nella lista ed ha fatto ricorso, spiegando che il proprio business si basa sul retail e che il numero di visitatori europei è molto inferiore alla soglia fissata dal DSA.

Wikipedia, dal canto suo, ritiene di funzionare in modo diverso dalle altre 18 piattaforme: è l’unica realtà no-profit, dove la lotta alle false informazioni viene già intrapresa grazie alle comunità di redattori volontari che decidono in collaborazione contenuti e regole. Sono loro a comporre in modo neutrale le voci dell’enciclopedia, riportando le fonti. Il sito è già trasparente e il pubblico può vedere ogni modifica su una voce nello storico della pagina.

I PROSSIMI PASSI

La Commissione europea valuterà ora le risposte delle 19 piattaforme e gli interventi da loro attuati.
Queste saranno poi soggette annualmente e a loro spese a un controllo indipendente che valuti la compliance delle misure.

E’ previsto inoltre che queste piattaforme versino una fee annuale calcolata sul loro numero di utenti europei (per un massimo dello 0,05% del fatturato annuo globale), per far funzionare la macchina dei controlli.
L’UE conta di incassare circa 45 milioni l’anno prossimo.

E poi… da febbraio 2024 il regolamento si applicherà anche a piattaforme più piccole: 10mila in totale.
Siamo molto curiosi di scoprire quali saranno!

*Google Search: 332 milioni – Wikipedia: 151 milioni – Facebook: 255 milioni – TikTok: 125 milioni – Snapchat: 96,8 milioni




PEC, ADDIO: arriva la REM

/in


Conosciamo tutti la PEC (Posta Elettronica Certificata): uno strumento indispensabile per professionisti e imprese per inviare o ricevere comunicazioni istituzionali o da parte della pubblica amministrazione.
La PEC entrò in vigore nel 2005 (ma solo in Italia) e da allora di strada ne ha fatta: ad oggi vengono scambiati ogni giorno circa 7 milioni di messaggi via PEC, aventi lo stesso valore legale di una Raccomandata con ricevuta di ritorno.

Ebbene, questo strumento sta per essere dismesso: verrà infatti sostituito dalla REM (Registered Electronic Mail), un nuovo meccanismo di certificazione della posta elettronica che l’UE ha voluto far proprio e che rispetterà gli standard europei.



LE DIFFERENZE

Viene spontaneo chiedersi cosa c’è che non vada nella Italianissima PEC.

In effetti la PEC non soddisfarequisiti stabiliti dal Regolamento Europeo* per il servizio elettronico di recapito certificato qualificato, ovvero garantisce l’invio, la ricezione, il contenuto e la data di un messaggio, ma NON verifica le identità di mittente e destinatario, in quanto i gestori del servizio non sono tenuti a effettuare controlli in questo senso.

La REM, farà esattamente quel che fa la PEC, ma in più confermerà le identità dei titolari delle caselle di posta (attraverso SPID, Carta d’Identità Elettronica o firma digitale).
Un esempio per capire meglio: inviando un messaggio confidenziale a un soggetto si avrà la certezza che questo arrivi proprio e solo al destinatario scelto, senza il rischio che venga letto da altri che potrebbero avere accesso al suo PC.



IL PASSAGGIO

Con il passaggio al nuovo sistema di e-mail certificata non ci saranno variazioni nelle modalità di utilizzo e nelle funzioni: non a caso la REM era stata definita anche “PEC Europea” (nome che è stato poi cambiato per non confonderle).

La migrazione da PEC a REM sarà molto semplice per gli utenti: non dovranno fare quasi nulla in quanto la trasformazione sarà gestita dai provider delle caselle attive ad oggi (più di 14 milioni), che aggiorneranno i meccanismi di accesso ai loro servizi per riconoscere chi è il titolare della PEC (verificando il documento d’identità) ed attivando la verifica a due fattori. Questa fase potrà eventualmente essere delicata.

Gli indirizzi delle caselle di posta, inoltre, rimarranno uguali.



I VANTAGGI

– Sarà ora possibile inviare posta elettronica certificata in tutti gli Stati membri dell’UE e non più solo in Italia, mantenendo lo stesso indirizzo. Ad oggi, invece, un messaggio spedito da PEC verso l’estero perde valore legale.
– L’accesso tramite autenticazione a due fattori (con smartphone o con OTP, tramite un generatore di password temporanee) offrirà maggior sicurezza contro possibili attacchi informatici.
– Si riceveranno direttamente sulla REM anche tutte le comunicazioni da parte delle P.A. (multe, notifiche di atti giudiziari, comunicazioni dell’Agenzia delle Entrate, etc).



LE TEMPISTICHE

Chi è già in possesso della PEC dovrà passare alla REM obbligatoriamente entro il 2024.
Sostanzialmente bisognerà effettuare la migrazione entro la fine del 2023, dunque c’è ancora tempo per cambiare sistema.
Chi invece non ha avuto mai la PEC, dal prossimo anno attiverà direttamente una REM.
Non possedere una REM non comporta sanzioni, ma sarà necessaria per ogni scambio di posta elettronica certificata dal 2024 in poi.



Ci prepariamo insomma a salutare la PEC – che dopo quasi 20 anni dalla sua creazione può andare in pensione – e ad accogliere uno strumento equivalente che spazierà oltre i nostri confini nazionali, nell’ottica di favorire sempre più il potenziamento del mercato europeo e dell’UE.




*Regolamento Europeo eIDAS UE n° 910/2014