Recentemente, WhatsApp ha denunciato un’operazione di cyberspionaggio che ha coinvolto circa 90 utenti in oltre venti paesi, tra cui l’Italia. Secondo l’azienda, che va detto, ha sempre indicato i propri social inattaccabili con crittografia end to end, lo spyware di Paragon è stato distribuito attraverso l’invio di file PDF nelle chat di gruppo, consentendo l’accesso non autorizzato ai dispositivi delle vittime.

In risposta a queste preoccupazioni, il Garante per la protezione dei dati personali in Italia ha emesso un avvertimento riguardo ai rischi associati all’uso di Graphite, sottolineando le potenziali violazioni della privacy e della sicurezza informatica.

Graphite è uno spyware progettato per infiltrarsi nei dispositivi mobili e ottenere accesso completo ai dati, comprese le comunicazioni su applicazioni crittografate come WhatsApp e Signal*. Una volta installato, Graphite può estrarre foto, video, contatti e messaggi, e persino trasformare il telefono in un microfono ambientale per ascoltare le conversazioni in tempo reale.

Nel frattempo, il governo italiano ha smentito le accuse di utilizzo illecito dello spyware contro giornalisti e attivisti, affermando che la tecnologia è stata impiegata esclusivamente per scopi legittimi legati alla sicurezza nazionale. (quindi ammettendo implicitamente che un uso ancorché “lecito” di tali software viene fatto.)

Si è aperto un ampio dibattito sull’uso dei software di sorveglianza e sulle implicazioni etiche della loro adozione. La questione solleva interrogativi importanti sul bilanciamento tra sicurezza e tutela della privacy, evidenziando la necessità di una maggiore regolamentazione nel settore della sorveglianza digitale.

* Grazie alla crittografia end-to-end e alle funzionalità utilizzate per proteggere i messaggi e i contatti, Signal era considerata l’alternativa a WhatsApp (e Telegram) più sicura in assoluto.

Quali considerazioni possiamo trarre:

La riservatezza dei nostri dati personali è un bene da preservare e, al di fuori di legittime indagini a tutela della pubblica sicurezza, nessuno dovrebbe essere in grado di infiltrarsi nelle nostre comunicazioni private.

Pertanto, affidarsi ai servizi di chat per trasmettere informazioni riservate, o anche solo private, non deve mai essere ritenuto un’opzione valida. Non esiste infatti ad oggi certezza assoluta della tutela della vostra riservatezza, quando trasmettete informazioni personali, immagini e documenti attraverso la rete.

La DPIA (acronimo di Data Protection Impact Assessment, in italiano Valutazione d’Impatto sulla Protezione dei Dati) è uno strumento previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Serve a identificare e mitigare i rischi che un trattamento di dati personali potrebbe comportare per i diritti e le libertà delle persone coinvolte.

Obiettivi della DPIA

1. Analizzare i rischi: Valutare il potenziale impatto che un trattamento di dati personali potrebbe avere sulla privacy degli interessati.
2. Mitigare i rischi: Proporre misure per ridurre o eliminare i rischi individuati.
3. Dimostrare conformità: Fornire evidenza che l’organizzazione adotta un approccio proattivo per rispettare il GDPR.

Quando è obbligatoria la DPIA?

La DPIA è obbligatoria quando un trattamento:

• Utilizza nuove tecnologie.
• È potenzialmente rischioso per i diritti e le libertà degli interessati.
• Include dati sensibili (ad esempio, origine etnica, salute, opinioni politiche).
• Prevede il monitoraggio sistematico e su larga scala di un’area accessibile al pubblico (es. videosorveglianza).
• Coinvolge decisioni automatizzate con effetti significativi (es. profilazione).

Elementi chiave di una DPIA

1. Descrizione del trattamento: Obiettivi, tipologia di dati trattati, base giuridica.
2. Valutazione dei rischi: Identificazione dei rischi per i diritti e le libertà degli interessati.
3. Misure di mitigazione: Soluzioni per minimizzare i rischi (es. crittografia, anonimizzazione).

Responsabilità

La DPIA è responsabilità del titolare del trattamento, ma può coinvolgere altre figure come il DPO (Data Protection Officer) e i responsabili del trattamento.

Sanzioni

Il mancato adempimento dell’obbligo di effettuare una DPIA, quando necessario, può portare a sanzioni amministrative significative, previste dal GDPR.

E voi, avete mai fatto redigere una DPIA? Sicures è in grado di supportarvi in questa attività e nel valutare correttamente i rischi per la privacy della vostra organizzazione.

Per informazioni ed approfondimenti potete contattare l’Ufficio Privacy e DPO al seguente indirizzo mail: aggiornamenti@sicures.it

L’OSINT (acronimo di Open Source Intelligence, o “intelligence da fonti aperte”) è un processo di raccolta, analisi e utilizzo di informazioni disponibili pubblicamente per scopi investigativi, di sicurezza, decisionali o per semplice curiosità. Queste informazioni provengono da fonti accessibili a chiunque, come:

Social media (Facebook, Twitter, LinkedIn, ecc.), siti web, blog, archive on line, registry aziendali e banche dati pubbliche, google maps, podcast e youtube e molte altre fonti aperte a chiunque.

Caratteristiche principali dell’OSINT sono il costo ridotto o l’assenza di costo e la legalità, dato che sono informazioni già rese pubbliche dai soggetti interessati, in maniera più o meno consapevole.

L’OSINT, sebbene si basi su informazioni pubblicamente disponibili, comporta alcuni rischi per la privacy, sia per gli individui oggetto di indagine, sia per chi utilizza queste tecniche in modo inappropriato. Ecco i principali rischi legati alla privacy:

Esposizione di Dati Sensibili: Molti utenti pubblicano inconsapevolmente informazioni personali sui social media, forum o altre piattaforme online, come indirizzi, numeri di telefono, abitudini, posizione geografica, relazioni personali o professionali.

Conseguenze: Furto di identità, profilazione non autorizzata per scopi commerciali, utilizzo malevolo delle informazioni (phishing, stalking, doxxing), attacco alla reputazione, cyberbullismo e persecuzioni online, sorveglianza invasiva, violazione della privacy a livello personale o aziendale, diffamazione o danni personali

Come Mitigare i Rischi

1. Consapevolezza personale:
   • Limitare le informazioni condivise pubblicamente online.
   • Utilizzare le corrette impostazioni di privacy sui social media.
2. Monitoraggio:
   • Utilizzare strumenti per verificare quali dati personali sono accessibili pubblicamente.

E voi come controllate quali informazioni circolano in rete su di voi e sulla vostra organizzazione?

Lo sapevate che il 70% delle informazioni circolano nel dark web?

Sicures è in grado di aiutarvi a tracciare un profilo su di voi e sull’immagine che trasmettete on line.

Essere consapevoli è il primo passo per la sicurezza delle informazioni e per la tutela della vostra privacy!

Per informazioni ed approfondimenti potete contattare l’Ufficio Privacy e DPO al seguente indirizzo mail: aggiornamenti@sicures.it

Nel 2025 sarà pubblicata la nuova edizione della norma ISO 9001, lo standard del Sistema di Gestione per la Qualità.

Sarà possibile conoscere i contenuti della bozza (draft international standard) solo qualche mese prima della pubblicazione definitiva della Norma (final draft international standard).
Nel febbraio 2024 è già stata introdotta una modifica alla norma ISO 9001:2015 che adesso richiede alle organizzazioni di valutare e affrontare il tema del cambiamento climatico nelle loro attività e nella pianificazione strategica.
Questa modifica nasce dalla volontà di far riflettere le organizzazioni sui propri rischi e opportunità in considerazione al cambiamento climatico. Non è escluso che prima della pubblicazione definitiva, possano essere introdotti o menzionati nuovi temi come l’etica o l’utilizzo dell’Intelligenza Artificiale.

Le organizzazioni avranno un periodo di transizione di 2 anni, dalla data di pubblicazione della nuova norma, per allinearsi al nuovo standard.

Per maggiori informazioni scrivici a segreteria@sicures.it o contattaci al numero 055/4939921

Foto di Gerd Altmann da Pixabay

11/02/2025 e 12/02/2025

Foto di Nurdin Bekkeldiev da Pixabay

La Regione Toscana, con Delibera n. 540/2024, ha approvato le “Linee di indirizzo inerenti alla formazione degli alimentaristi”.

La formazione deve essere idonea alla mansione del lavoratore.

La normativa suddivide il personale alimentarista in base alla mansione in:

• Soggetti di livello 1 (attività di sola vendita, somministrazione, deposito e trasporto ma NON di manipolazione diretta)
• Soggetti di livello 2 (attività di manipolazione diretta)
• Operatori, Responsabili del Piano di autocontrollo o preposti

I corsi si articolano in uno o più moduli formativi:

➢ Modulo A – Modulo accesso alimentare (M.A.A.) – per Addetti di cui all’elenco soggetti del livello 1

➢ Modulo B – per Addetti alimentaristi di cui all’elenco soggetti del livello 2

➢ Modulo C – per Operatori, Responsabili del Piano di autocontrollo o preposti.

L’aggiornamento periodico, per tutte le mansioni, si deve effettuare ogni 5 anni e deve avere una durata di almeno 3 ore.

Gli attestati di formazione rilasciati ai sensi della D.G.R. n. 559/2008 si ritengono validi come assolvimento del corso di formazione dei Modulo A, Modulo B e dell’Unità Formativa 1 del Modulo C.

Entro il 05/06/2026 (entro 2 anni dalla pubblicazione delle linee guida) gli Operatori o i Responsabili del piano di auto controllo che hanno assolto all’obbligo formativo ai sensi della DGR 559/2008, dovranno integrare la loro formazione relativamente alla sola Unità Formativa 2 del Modulo C (di 4 ore) per acquisire le conoscenze delle tematiche gestionali, secondo le modalità indicate nelle stesse.

Per informazioni contattate lo 0554939921 o scrivete alla nostra mail formazione@sicures.it

Foto di NinoDonkervoort da Pixabay