Recentemente, WhatsApp ha denunciato un’operazione di cyberspionaggio che ha coinvolto circa 90 utenti in oltre venti paesi, tra cui l’Italia. Secondo l’azienda, che va detto, ha sempre indicato i propri social inattaccabili con crittografia end to end, lo spyware di Paragon è stato distribuito attraverso l’invio di file PDF nelle chat di gruppo, consentendo l’accesso non autorizzato ai dispositivi delle vittime.

In risposta a queste preoccupazioni, il Garante per la protezione dei dati personali in Italia ha emesso un avvertimento riguardo ai rischi associati all’uso di Graphite, sottolineando le potenziali violazioni della privacy e della sicurezza informatica.

Graphite è uno spyware progettato per infiltrarsi nei dispositivi mobili e ottenere accesso completo ai dati, comprese le comunicazioni su applicazioni crittografate come WhatsApp e Signal*. Una volta installato, Graphite può estrarre foto, video, contatti e messaggi, e persino trasformare il telefono in un microfono ambientale per ascoltare le conversazioni in tempo reale.

Nel frattempo, il governo italiano ha smentito le accuse di utilizzo illecito dello spyware contro giornalisti e attivisti, affermando che la tecnologia è stata impiegata esclusivamente per scopi legittimi legati alla sicurezza nazionale. (quindi ammettendo implicitamente che un uso ancorché “lecito” di tali software viene fatto.)

Si è aperto un ampio dibattito sull’uso dei software di sorveglianza e sulle implicazioni etiche della loro adozione. La questione solleva interrogativi importanti sul bilanciamento tra sicurezza e tutela della privacy, evidenziando la necessità di una maggiore regolamentazione nel settore della sorveglianza digitale.

* Grazie alla crittografia end-to-end e alle funzionalità utilizzate per proteggere i messaggi e i contatti, Signal era considerata l’alternativa a WhatsApp (e Telegram) più sicura in assoluto.

Quali considerazioni possiamo trarre:

La riservatezza dei nostri dati personali è un bene da preservare e, al di fuori di legittime indagini a tutela della pubblica sicurezza, nessuno dovrebbe essere in grado di infiltrarsi nelle nostre comunicazioni private.

Pertanto, affidarsi ai servizi di chat per trasmettere informazioni riservate, o anche solo private, non deve mai essere ritenuto un’opzione valida. Non esiste infatti ad oggi certezza assoluta della tutela della vostra riservatezza, quando trasmettete informazioni personali, immagini e documenti attraverso la rete.

Il Consiglio dei Ministri n. 111 del 14 gennaio 2025 ha approvato il Disegno di Legge annuale sulle piccole e medie imprese, introducendo misure significative per il settore. Il provvedimento modifica il D.Lgs. 81/2008, in materia di salute e sicurezza sul luogo di lavoro, disponendo che per l’attività di lavoro prestata con modalità di lavoro agile (Smart Working) in ambienti di lavoro che non rientrano nella disponibilità giuridica del datore di lavoro, l’assolvimento degli obblighi di sicurezza.

Il datore di lavoro dovrà fornire un’informativa scritta sui rischi generali e specifici ai lavoratori agili e al Rappresentante dei Lavoratori per la Sicurezza (RLS). Inoltre l’attività di smart working deve essere presa in esame nell’ambito del Documento di Valutazione dei Rischi.

Si prevede che in caso di omissione dell’obbligo informativo, il datore di lavoro è punito con l’arresto da due a quattro mesi o con l’ammenda da 1.200 a 5.200 euro.

Per informazioni, potete contattare i nostri uffici.

Foto di Moondance da Pixabay

La DPIA (acronimo di Data Protection Impact Assessment, in italiano Valutazione d’Impatto sulla Protezione dei Dati) è uno strumento previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Serve a identificare e mitigare i rischi che un trattamento di dati personali potrebbe comportare per i diritti e le libertà delle persone coinvolte.

Obiettivi della DPIA

1. Analizzare i rischi: Valutare il potenziale impatto che un trattamento di dati personali potrebbe avere sulla privacy degli interessati.
2. Mitigare i rischi: Proporre misure per ridurre o eliminare i rischi individuati.
3. Dimostrare conformità: Fornire evidenza che l’organizzazione adotta un approccio proattivo per rispettare il GDPR.

Quando è obbligatoria la DPIA?

La DPIA è obbligatoria quando un trattamento:

• Utilizza nuove tecnologie.
• È potenzialmente rischioso per i diritti e le libertà degli interessati.
• Include dati sensibili (ad esempio, origine etnica, salute, opinioni politiche).
• Prevede il monitoraggio sistematico e su larga scala di un’area accessibile al pubblico (es. videosorveglianza).
• Coinvolge decisioni automatizzate con effetti significativi (es. profilazione).

Elementi chiave di una DPIA

1. Descrizione del trattamento: Obiettivi, tipologia di dati trattati, base giuridica.
2. Valutazione dei rischi: Identificazione dei rischi per i diritti e le libertà degli interessati.
3. Misure di mitigazione: Soluzioni per minimizzare i rischi (es. crittografia, anonimizzazione).

Responsabilità

La DPIA è responsabilità del titolare del trattamento, ma può coinvolgere altre figure come il DPO (Data Protection Officer) e i responsabili del trattamento.

Sanzioni

Il mancato adempimento dell’obbligo di effettuare una DPIA, quando necessario, può portare a sanzioni amministrative significative, previste dal GDPR.

E voi, avete mai fatto redigere una DPIA? Sicures è in grado di supportarvi in questa attività e nel valutare correttamente i rischi per la privacy della vostra organizzazione.

Per informazioni ed approfondimenti potete contattare l’Ufficio Privacy e DPO al seguente indirizzo mail: aggiornamenti@sicures.it

L’OSINT (acronimo di Open Source Intelligence, o “intelligence da fonti aperte”) è un processo di raccolta, analisi e utilizzo di informazioni disponibili pubblicamente per scopi investigativi, di sicurezza, decisionali o per semplice curiosità. Queste informazioni provengono da fonti accessibili a chiunque, come:

Social media (Facebook, Twitter, LinkedIn, ecc.), siti web, blog, archive on line, registry aziendali e banche dati pubbliche, google maps, podcast e youtube e molte altre fonti aperte a chiunque.

Caratteristiche principali dell’OSINT sono il costo ridotto o l’assenza di costo e la legalità, dato che sono informazioni già rese pubbliche dai soggetti interessati, in maniera più o meno consapevole.

L’OSINT, sebbene si basi su informazioni pubblicamente disponibili, comporta alcuni rischi per la privacy, sia per gli individui oggetto di indagine, sia per chi utilizza queste tecniche in modo inappropriato. Ecco i principali rischi legati alla privacy:

Esposizione di Dati Sensibili: Molti utenti pubblicano inconsapevolmente informazioni personali sui social media, forum o altre piattaforme online, come indirizzi, numeri di telefono, abitudini, posizione geografica, relazioni personali o professionali.

Conseguenze: Furto di identità, profilazione non autorizzata per scopi commerciali, utilizzo malevolo delle informazioni (phishing, stalking, doxxing), attacco alla reputazione, cyberbullismo e persecuzioni online, sorveglianza invasiva, violazione della privacy a livello personale o aziendale, diffamazione o danni personali

Come Mitigare i Rischi

1. Consapevolezza personale:
   • Limitare le informazioni condivise pubblicamente online.
   • Utilizzare le corrette impostazioni di privacy sui social media.
2. Monitoraggio:
   • Utilizzare strumenti per verificare quali dati personali sono accessibili pubblicamente.

E voi come controllate quali informazioni circolano in rete su di voi e sulla vostra organizzazione?

Lo sapevate che il 70% delle informazioni circolano nel dark web?

Sicures è in grado di aiutarvi a tracciare un profilo su di voi e sull’immagine che trasmettete on line.

Essere consapevoli è il primo passo per la sicurezza delle informazioni e per la tutela della vostra privacy!

Per informazioni ed approfondimenti potete contattare l’Ufficio Privacy e DPO al seguente indirizzo mail: aggiornamenti@sicures.it