Cryptojacking, piacere (ma non troppo)

Cryptojacking, piacere (ma non troppo)

Da Malware a Mining

I criminali informatici cercano sempre nuove strade per compromettere i nostri dispositivi. La posta in gioco è ottenere un tornaconto finanziario: gli attori delle minacce  mirano all’ottimizzazione dei costi, cercando di ottenere il tornaconto più elevato con sforzo e rischio minimi.


Tipicamente il malware ha lo scopo di sottrarre informazioni confidenziali, spiare gli utenti, registrare le loro azioni o prendere il controllo dei loro dispositivi. Più sta nascosto, maggiore il danno. In molti casi, un malware può agire senza essere scoperto per settimane, mesi o addirittura anni. Un rapporto del Ponemon Institute indica che nel 2017 il un tempo di permanenza medio è stato di 191 giorni.

Negli ultimi anni, tuttavia, gli attori delle minacce hanno fatto ricorso sempre più al ransomware come opzione altamente efficace. Diversamente dal malware ‘tradizionale’, un ransomware si annuncia in modo plateale con una schermata intesa provocare paura e shock. In altre parole, è essenziale per il suo successo non rimanere nascosto.

Per gli attaccanti, il ransomware ha alcuni vantaggi fondamentali: invece di cercare compratori di informazioni sulle carte di credito sul dark web, possono riempire i loro wallet elettronici con la piccola percentuale di vittime che infettano e ciò può fruttare parecchio. Alcune campagne ransomware offrono persino la possibilità di ottenere una fattura e mettono a disposizione call center per aiutare le loro vittime ad effettuare il pagamento. Il profitto non è l’unico beneficio, comunque: i bitcoin riducono il rischio degli attaccanti perché minimizzano le interazioni.

Sembra la soluzione ideale, se non fosse per un problema di fondo: la sua efficacia infatti diminuisce non appena diventa di dominio pubblico. Se la signature di un ransomware viene rilevata due giorni dopo il suo rilascio, il ROI (return on investment) degli attaccanti può essere significativamente inferiore alle attese o del tutto marginale. Come qualunque altra attività redditizia, i criminali informatici hanno costante bisogno di trovare nuovi metodi per raggiungere i propri obiettivi di business. E qui entra in scena lui, il Cryptojacking.

L’Attrattiva Cryptomining

Le operazioni di Cryptomining sono diventate sempre più popolari con un consumo di energia elettrica pari a circa la metà di quello globale. Sebbene influenzato da brusche fluttuazioni ed attualmente tendente al ribasso, il prezzo dei Bitcoin resta superiore ai 6400 dollari nel momento in cui scriviamo.

Considerato tale valore, i criminali informatici vedono grossi incentivi a generare bitcoin ed il  cryptomining effettuato sfruttando risorse altrui – il cosiddetto Cryptojacking – è un’attività praticamente libera da rischi. Infettare 10 macchine con un Cryptominer può fruttare 100 dollari al giorno, cosicché la sfida per i Cryptojackers è duplice: in primo luogo, infettare il maggior numero di macchine possibile e, secondariamente, contrariamente al ransomware ed in modo più simile al malware tradizionale, evitare la rilevazione per il maggior tempo possibile.

Risolvere entrambi i problemi – quantità e persistenza – è più semplice se si possiede una patina di legittimità: alcuni si sono affermati come modello di business, ad esempio PirateBay. Altri pretendono persino di poter sostituire o affiancarsi all’advertisement per generare profitto dagli utenti. Persino gli sviluppatori software hanno tentato di entrare in azione. Nel marzo 2018, nell’app store di Apple  è stato possibile scaricare una versione di un’app gratuita chiamata ‘Calendar 2’ che coniava la criptovaluta Monero durante la sua esecuzione. Si riporta che abbia fruttato 2000 dollari in un paio di giorni prima che Apple la eliminasse dal suo store.

Alcuni utenti home potrebbero cercare di installare un software di cryptomining per uso personale, ma il comune hardware destinato ad un pubblico consumer non è in realtà adatto al lavoro di coniare bitcoin in modo redditizio, a meno che un gran numero di computer non venga cablato insieme: perfetto per una botnet e perfetto per dei siti web molto frequentati e nessun rimorso dovuto al fatto di sottrarre ai loro utenti corrente ed elettricità per generare profitti per i proprietari dei siti. Questa forma non voluta o inintenzionale di cryptomining è quello a cui ci riferiamo parlando di Cryptojacking.

Caratteristiche del Cryptojacking

I ‘Cryptojackers’ usano tecniche analoghe al malware per intrufolarsi in un endpoint: download incrociati, campagne di phishing, vulnerabilità e plugin dei browser, tanto per citarne alcune. Sempre, ovviamente, fanno affidamento sull’anello più debole – le persone – tramite tecniche di ingegneria sociale.

Siti web che distribuiscono miner come CoinHive possono inserire del codice JavaScript, più probabilmente nell’header o ne footer.

Il codice può specificare quante risorse CPU utilizzare sulla postazione dell’utente e persino quanti cicli  eseguire.

Come scoprire se si è stati infettati.

Questa è la parte più difficile: molto cryptominer fanno di tutto per sottrarsi alla rilevazione sia da parte dei software che degli utenti.

Impatto sulle Prestazioni: 
Come abbiamo visto, i cryptominer sono interessati alla tua potenza computazionale, e i Cryptojackers devono bilanciare segretezza e profitto. Quante risorse sottrarre è una loro scelta – la rilevazione è più difficili se la quantità di risorse è bassa, il profitto è maggiore se alta. In entrambi i casi ci sarà un impatto sulle prestazioni ma se la soglia è abbastanza bassa potrebbe essere molto arduo distingure un cryptominer da un software legittimo.

Gli amministratori di sistema possono ricercare nel loro ambiente processi ignoti e gli utenti Windows dovrebbero utilizzare Sysinternals per vedere che cosa c’è in esecuzione. Gli utenti Linux e macOS dovrebbero esaminare System Monitor e Activity Monitor per gli stessi motivi.

Attività di Rete: 
Utenti più avanzati dovrebbero essere in grado di notare un aumento del traffico di rete.

Come difendersi dai Cryptominers

Utilizza un prodotto di endpoint security, ma assicurati che sia in grado di utilizzare la rilevazione dei comportamenti. I Cryptominers possono lavorare all’interno dei browser, e pertanto una soluzione tradizionale che individua soltanto malware inserito in file sarebbe completamente cieca.

Come abbiamo visto, i vettori d’infenzione per il Cryptojacking sono simili ad altro malware per cui utilizzare una robusta soluzione di endpoint protection come SentinelOne può proteggere i tuoi endpoint dalle infezioni.

In secondo luogo, dal momento che il comportamento dei Cryptominers non è molto differente da quello di software legittimi, la rilevazione deve avvenire in modo accurato in modo da evitare falsi positivi.

Ramnit: trojan bancario protagonista di una campagna su larga scala

Ramnit: trojan bancario protagonista di una campagna su larga scala
Il Global Threat Index di Check Point Software Technologies relativo al mese di agosto ha rivelato una significativa presenza del trojan bancario Ramnit, protagonista di una campagna su larga scala. Negli ultimi mesi Ramnit ha raddoppiato il proprio impatto globale, trasformando i computer delle vittime in server proxy malevoli.


Ramnit


Durante il mese di agosto, Ramnit, giunto al sesto posto nel Threat Index, è diventato così il trojan bancario più diffuso, ripetendo il trend di giugno, mese che aveva visto raddoppiare questa tipologia di attacchi.

“Questa è stata la seconda estate in cui abbiamo registrato un uso massiccio dei trojan bancari da parte dei criminali con lo scopo di ottenere un rapido profitto”, ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Non dobbiamo ignorare questi trend che ci fanno vedere come le abitudini di navigazione nel web degli utenti, durante i mesi estivi, li rendano più esposti ai trojan bancari: gli hacker, infatti, sanno bene quali sono i vettori d’attacco che hanno più probabilità di successo in un momento preciso. Questo fenomeno dimostra come i criminali siano sofisticati e tenaci nell’estorcere denaro.”

Horowitz ha poi aggiunto: “Per impedire il diffondersi dei trojan bancari e di altri tipi di attacchi, è fondamentale che le aziende adottino una strategia di sicurezza informatica multilivello, che protegga sia da famiglie di malware già note, sia dalle nuove minacce.”

Per tutto agosto, Coinhive è rimasto il malware più diffuso, colpendo il 17% delle organizzazioni a livello globale. Dorkbot e Andromeda sono al secondo e terzo posto, ciascuno con un impatto globale del 6%.

Anche in Italia, Conhive si mantiene al primo posto per l’ottavo mese consecutivo con un impatto di quasi il 14% sulle imprese locali, seguito da Conficker e Cryptoloot.

I tre malware più diffusi ad agosto 2018 sono stati:

  1. Coinhive (stabile) – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. Dorkbot (in salita) – IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto. Si tratta di un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service.
  3. Andromeda (in salita) – bot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti, e può essere modificato per creare diversi tipi di botnet.

Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, è stato il malware per mobile più diffuso e utilizzato per attaccare i dispositivi delle organizzazioni, seguito da Lotoor e Triada.

I tre malware per dispositivi mobili più diffusi ad agosto 2018:

  1. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati
  3. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing.

I ricercatori di hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 47%. Al secondo posto troviamo OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto del 41%; mentre al terzo posto si posiziona, invece, la vulnerabilità CVE-2017-5638 che ha interessato il 36% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di agosto 2018 sono state:

  1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269, stabile) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346, in salita) – si tratta di una vulnerabilità legata all’intercettazione di informazioni personali in OpenSSL. La vulnerabilità è dovuta a un errore durante la gestione dei pacchetti heartbeat TLS / DTLS. Un hacker può sfruttare questa vulnerabilità per divulgare il contenuto della memoria di un client o server connesso.
  3. D-Link DSL-2750B Remote Command Execution (in salita) – Una vulnerabilità legata all’esecuzione remota di un codice, segnalata nei router D-Link DSL-2750B. Lo sfruttamento di questa falla porterebbe all’esecuzione di un codice illegittimo sul dispositivo.


Piattaforme VoIP: ecco quello che c'è (davvero) da sapere

Piattaforme VoIP: ecco quello che c'è (davvero) da sapere
3CX spiega cosa significa telefonia IP, quali opportunità  apre e quali timori si sono tramutati nel tempo in falsi miti da sfatare

Sebbene il numero di aziende che opta per la telefonia IP in Italia sia in costante aumento, confusione e pregiudizi sul funzionamento dei sistemi VoIP e sul tipo di utenti per i quali le nuove piattaforme IP sono una valida alternativa la fanno ancora da padrone.

Attualmente ci troviamo in piena fase di transizione dalla telefonia tradizionale (analogica o ISDN) verso tecnologie “All-IP”. Mentre gli altri mercati europei si sono dati precise scadenze (tra la fine del 2018 e il 2020) per completare la migrazione, in Italia questa ha luogo in maniera più o meno silente ma progressiva. In combinazione con le nuove tecnologie basate sul cloud, oggi il VoIP sta rivoluzionando il settore delle telecomunicazioni e presenta un enorme potenziale di sviluppo sia per gli operatori, sia per gli utenti finali. Proprio per questo è importante capire esattamente cosa significa telefonia IP, quali opportunità  apre e quali timori si sono tramutati nel tempo in falsi miti da sfatare.
3CX, noto produttore di piattaforme per le Unified Communications ne ha identificati sei.

Mito 1: il VoIP richiede professionisti specializzati

Sbagliato — I moderni sistemi telefonici come le soluzioni 3CX sono progettati per rendere installazione e gestione delle telecomunicazioni il più semplice possibile. Inoltre, 3CX nello specifico, offre corsi di formazione gratuiti e documentazione completa a supporto assicurando all’IT manager la fruibilità  di tutti gli strumenti di cui possa necessitare. Non è più necessario essere un professionista specializzato in telefonia VoIP o investire le proprie risorse in formazione per configurare e amministrare con successo un sistema completo di Unified Communications.

Mito 2: il VoIP non è sicuro

Sbagliato — Negli ultimi anni i produttori di soluzioni VoIP hanno sviluppato valide misure di sicurezza contro possibili attacchi informatici. Strumenti di crittografia quali SRTP, TLS e SSL garantiscono comunicazioni sicure e protette. Le soluzioni 3CX integrano persino strumenti anti-hacking e anti-frode che proteggono la piattaforma UC contro le metodologie di attacco più comuni.

Mito 3: solo le grandi aziende possono permettersi il VoIP

Sbagliato — Contrariamente all’ipotesi diffusa secondo cui solo le grandi aziende siano i maggiori beneficiari del boom del VoIP, sono in realtà  le piccole e medie imprese che traggono i maggiori vantaggi dalla migrazione alla telefonia IP. Uno dei più grandi benefici della nuova tecnologia è rappresentato dal considerevole e immediato risparmio sui costi: grazie alla telefonia IP ci si allontana da modelli commerciali che implicano ingenti investimenti in hardware e terminali proprietari per rivolgersi a sistemi basato su software e interoperabili con i più diversi marchi di telefoni IP, riducendo l’impatto dovuto all’acquisto di hardware obsoleto e non adattabile a fronte di un ”sistema aperto” che assicura una maggior flessibilità  per le future esigenze di comunicazione.

Mito 4: la migrazione all’IP è accompagnata dalla perdita del numero di telefono

Sbagliato — Nella maggior parte dei casi l’operatore che offre linee SIP (SIP Trunk) offre anche la “portabilità ” del numero di telefono, in pratica i numeri esistenti vengono trasferiti al nuovo sistema telefonico IP. Tuttavia, questo servizio potrebbe comportare costi aggiuntivi. è opportuno Informarsi in anticipo, se un fornitore offre tale funzione e se questo servizio ha un costo.

Mito 5: la migrazione al VoIP rende i telefoni attualmente impiegati inutilizzabili

Sbagliato — A seconda della tecnologia impiegata in azienda, è possibile continuare a utilizzare i dispositivi esistenti. I telefoni analogici o ISDN, ad esempio, possono essere integrati nei nuovi sistemi VoIP tramite gateway e fruire (anche se limitatamente) delle nuove funzionalità  offerte dai nuovi centralini IP. Qualora si opti per l’installazione di telefoni IP, esistono terminali che soddisfano le più diverse esigenze integrando diverse funzionalità  in base al modello e alla fascia di prezzo. è davvero molto semplice per identificare il giusto telefono IP che si confaccia a qualsiasi tipologia d’impresa e a qualsivoglia budget.

Mito 6: VoIP è una soluzione prettamente per uffici

Sbagliato — Uno dei maggiori vantaggi della telefonia IP è la possibilità  di essere raggiungibili sempre e ovunque ad un unico recapito telefonico. Basta assicurarsi l’accesso al Wi-Fi o alla rete mobile. Utilizzando client softphone per smartphone e notebook, i dipendenti sono in grado di effettuare chiamate o videoconferenze in mobilità  come se fossero seduti alla propria scrivania. Chi si affida a VoIP consente alla propria organizzazione di accedere a un moderno sistema di comunicazioni unificate, intuitivo e ricco di funzionalità , che migliora la comunicazione, la collaborazione e la produttività  dell’azienda in modo sostenibile e aumenta quindi la competitività  della stessa.



10 miti sul GDPR che la tua azienda dovrebbe sapere

10 miti sul GDPR che la tua azienda dovrebbe sapere
L'obbligo di notifica di una violazione è un punto del GDPR male interpretato
Se il tuo business si svolge in Europa, ormai saprai che devi adeguarti alle norme indicate nel Regolamento Generale per la Protezione dei Dati dell'UE entro il 25 maggio 2018. Una delle prescrizioni del GDPR che deve essere ben compresa riguarda l'obbligo di notifica delle violazioni. E' il punto più frainteso del nuovo regolamento. Ma ci sono anche altri miti che vanno sfatati: Erka Koivunen, Cyber Security Advisor di F-Secure, ne analizza 10.

1 mito: chi fa le leggi vuole vederti fallire
Uno degli scopi delle leggi che riguardano l'obbligo di notifica delle violazioni come il GDPR, è incentivare le aziende a migliorare le proprie capacità  di rilevazione delle violazioni e a mitigare in modo efficace l'impatto negativo che ne deriva. Il legislatore non intende punire le aziende che sono state vittime di un crimine, ma portarle a dotarsi di soluzioni che le proteggano nel caso di una violazione.

2° mito: la notifica di una violazione vale solo per i dati personali
Il GDPR introduce l'obbligo di notificare ai clienti e alle autorità  violazioni che riguardino i dati personali. Ma non ci si ferma solo ai dati relativi alla privacy. Il regolamento richiede anche che tu dia informazioni per aiutare le autorità  a valutare ciò che ha reso possibile la violazione. Le autorità vogliono anche sapere quali azioni correttive hai messo in atto, come è stata scoperta la violazione, quanto tempo è servito per accorgersene, e come valuti il suo danno. Queste informazioni permetteranno alle persone esterne alla tua azienda di valutare le tue capacità  di proteggere ogni aspetto del tuo business.

3° mito: essere conformi al GDPR previene le violazioni
Nessuna legge può mettere fine miracolosamente alle attività criminali. il GDPR incentiverà  tutte le aziende a diventare dei leader nella cybersecurity. Il GDPR, piuttosto, intende alzare il livello minimo di protezione della sicurezza e della privacy. Le protezioni minime aiuteranno ad affrontare le perdite accidentali e a impedire che ogni incidente si trasformi in un caos, faranno però ben poco per ostacolare i criminali. Non cadiamo in questo errore: i criminali continueranno a tentare di violare la tua azienda.
Questo è il momento per fare della tua strategia difensiva un punto di forza. Andare oltre le misure minime è un valore per la continuità  del tuo business che riduce il costo delle cyber-assicurazioni e permette di risparmiare quando è necessario attivare il piano di gestione degli incidenti.

4° mito: l'Europa sta guidando il regolamento di notifica delle violazioni
I media in Europa stanno parlando del GDPR come di una novità  e di qualcosa di cui non si è mai sentito parlare nel resto del mondo, ma non è così. Anche senza una legge federale, 47 Stati negli USA hanno già  norme relative alla notifica di violazioni. Ecco perchè ci sono tanti annunci pubblici di violazioni della sicurezza negli USA. Non è che le aziende americane si difendano meno bene di quelle europee, sono solamente più aperte nel far sapere se hanno subito una violazione.

5° mito: il monitoraggio gratuito del credito è una cura per tutto
Negli USA, ai clienti interessati da un data breach sono offerti servizi di monitoraggio gratuito del credito. Con una logica ben precisa: nella maggior parte dei casi, l'uso dei dati sottratti riguarda frodi finanziarie in cui il criminale cerca di ottenere credito o di acquistare beni da pagare in rate mensili. Le vittime di una violazione così corrono il rischio reale di non poter più ottenere altro credito. L'offerta di servizi di monitoraggio del credito, seppur per un periodo di tempo limitato, aiuta l'azienda a dimostrare che sta prendendo misure adeguate a seguito dell'incidente di sicurezza. Inoltre, mitiga il rischio di cause legali da parte dei clienti interessati.

cloud sicurezza

6° mito: il cybercrime è come una forza della natura, niente ti eviterà  di essere attaccato
Nel 2012 Robert S. Mueller III, allora direttore del FBI, dichiarà che in futuro la differenza sarebbe stata tra aziende che sono state violate e aziende che lo saranno di nuovo. Sottolineava ciò che le forze dell'ordine avevano già visto in pratica: a separare vincitori e perdenti nella cybersecurity è il modo in cui le organizzazioni si preparano alle inevitabili violazioni.
Ci saranno tentativi di attaccare i tuoi sistemi. Molto probabilmente un giorno gli attaccanti riusciranno nel loro intento. Il tuo approccio alla cybersecurity sarà valutato sulla base di come avrai saputo, nel tempo, imparare dagli errori e provvedere a migliorare le tue misure di protezione. Solo con un'accurata analisi di ciascun incidente e tentativo di violazione si può valutare quali controlli di sicurezza hanno funzionato e quali sono i gap che gli hacker hanno potuto sfruttare.

7° mito: saprai quando la tua azienda è stata attaccata
Dopo che il GDPR sarà  entrato in vigore, ciò che non sarà  più tollerabile è non sapere che la tua azienda è stata attaccata e le tue protezioni hanno fallito il loro compito. Dotarsi di un sistema efficiente e affidabile di rilevazione e risposta agli incidenti sarà  molto importante. Meglio se il sistema combina intelligenza umana e intelligenza artificiale. Un simile sistema ridurrà  al minimo i falsi positivi, così da concentrarsi solo sugli incidenti reali. Molte aziende preferiranno affidarsi a servizi gestiti, poichè offrono il modo più veloce e conveniente per proteggersi sfruttando l'esperienza di esperti di cyber security.

8° mito: saprai cosa devi fare quando la tua azienda verrà  attaccata
Molte organizzazioni sono impreparate e gestire l'eventualità  di una violazione della sicurezza. La loro capacità  di rilevare qualcosa di diverso dagli attacchi basati su malware è insufficiente, il personale non è addestrato o è inesperto. La maggior parte di chi cade vittima di un attacco per la prima volta improvviserà  una risposta, prendendo decisioni affrettate che possono distruggere o alterare le prove e finiscono per danneggiare gli affari.
Il GDPR richiederà  alle aziende di far sapere alle autorità  quali azioni di mitigazione si intendono mettere in atto e come queste azioni risponderanno al problema. Autorità , clienti e media chiederanno quali sono la rilevanza e l'efficacia di ciascuna azione intrapresa dopo la violazione. Ecco perchè è il momento giusto per pensare a un piano di risposta adeguato e non si può pensare di attendere che una violazione si verifichi.

9° mito: saprai quali incidenti devono essere denunciati
Il GDPR è un regolamento, non una direttiva: sarà direttamente applicabile e gli Stati membri non possono interpretarlo a livello locale, devono seguire le linee guida paneuropee. Al momento, nessuno in Europa è in grado di definire quali saranno le soglie per le notifiche. Data la situazione, la tua miglior difesa consisterà  nell'iniziare a costruire una mappatura dei tipi di incidente che la tua azienda potrebbe affrontare e nello sviluppare definizioni di soglia. Se avrai a che fare con autorità che non saranno d'accordo su quali incidenti devono essere notificati, avrai già  sviluppato un'idea di cosa costituisca un serio incidente e sarai più preparato ad affrontare la questione.
Ci sono situazioni in cui le autorità  verranno informate di una potenziale violazione e si avvicineranno alla tua azienda per avere informazioni. In simili casi, vorranno una spiegazione del perchè non sono stati informati dalla tua azienda della violazione subita.

10° mito: il GDPR sarà un regolamento all-in-one in Europa
Il GDPR è stato definito come un unico insieme di regole europee. Non è così Per una multinazionale, il GDPR deve essere consultato insieme alle regolamentazioni nazionali su argomenti chiave come la libertà  di informazione, le esenzioni per le informazioni ottenute per scopi giornalistici e accademici, la definizione di minore, e via dicendo.
Le cose diventeranno ancora più complicate se le imminenti implementazioni nazionali della direttiva NIS introdurranno requisiti di notifica delle violazioni che sono incompatibili con il GDPR. Oltre a questo, certi business verticali hanno già  regolamentazioni pre-esistenti settoriali (e incompatibili) per le notifiche di violazioni. Occorre quindi avere un quadro d'insieme per il settore in cui si opera.


Email fraudolente: Italia sotto attacco?

Email fraudolente: Italia sotto attacco?

Yoroi ha rilevato oltre 6.600 indirizzi di posta elettronica aziendali a rischio di infezione da malware

Si chiama DMOSK il malware individuato da Yoroi che sta mettendo a rischio gli indirizzi IP di numerose aziende italiane.

Si tratta di una pericolosa campagna che si diffonde tramite email fraudolente appositamente create per simulare la condivisione di un documento tramite la piattaforma Google Drive ma che reindirizza l'utente verso destinazioni malevole.
Ad oggi Yoroi ha rilevato 6.617 indirizzi email che potrebbero essere compromessi da momento in cui hanno cliccato sull'Url malevola.

Nel dettaglio, le comunicazioni fraudolente contengono un link a un sito di distribuzione malware collegato a servizi di Content Distribution di CloudFlare. Una volta cliccato, dal collegamento si scarica un archivio personalizzato contenente uno script è in grado di infettare l'host vittima. Il malware individuato è riconducibile alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire un accesso backdoor all'attaccante, intercettare digitazioni e attività  utente (e.g. attività  su portali web). 

La campagna di attacco risulta di particolare rilievo in quanto inganna l'utente proponendo un link verso servizi noti e nel contempo sfrutta la buona reputazione degli indirizzi di rete della CDN CloudFlare.

L'analisi effettuata da Yoroi ha potuto rilevare i contenuti dell'attacco e i dettagli sulle prime vittime colpite.

Gli analisti di Yoroi hanno scoperto che l'attaccante ha dimenticato il LOG.TXT scaricabile dall'URL di innesco della minaccia e da questo sono riusciti a risalire agli indirizzi IP che hanno cliccato sull'url che costituisce la prima fase dell'attacco. Dagli indirizzi IP è poi possibile risalire alle aziende che potrebbero essere state infettate, che Yoroi sta provvedendo a informare direttamente e tramite la notifica della minaccia ai CERT nazionali.


SSD disco a stato solido: perchè tutti lo scelgono?

SSD disco a stato solido: perchè tutti lo scelgono?
Quali sono le caratteristiche e i vantaggi degli SSD a stato solido?

L'evoluzione delle memorie flash in termini di prestazioni e costi di produzione ha consentito la diffusione degli hard disk drive ssd su tutti gli ultrabook, netbook e notebook.

Assistiamo inoltre ad un notevole flusso di upgrade dei computer portatili dotati di hard disk tradizionale verso SSD, in quanto questo tipo di dispositivo rende il personal computer estremamente reattivo e performante.

La scelta di un drive ssd viene fatta essenzialmente per il beneficio prestazionale, associata a minore consumo energetico e assembly ipercompatto.

Se pensiamo ad un ultrabook o un MacBook Air lo immaginiamo sottile e superleggero.

In questo gli SSD sono insuperabili, compatti, veloci e dal basso consumo, e non soggetti a danneggiamento da urti, non avendo elementi in movimento all'interno.

L'incremento della produzione industriale delle memorie flash che equipaggiano i dischi a stato solido ha consentito una importante riduzione del costo per l'utente finale, consentendone un'alta diffusione .

Come sono fatti gli SSD

Gli SSD sono costituiti da una scheda elettronica, un microchip di controllo e le memorie FLASH.

Le memorie flash moderne sono eccezionali in quanto sono completamente immuni da trauma da caduta e possono offrire capacità di memorizzazione soddisfacenti per qualsiasi tipo di utilizzo.

La possibilità offerta dagli SSD che sfruttano le celle di memoria in RAID 0 rende inoltre possibili prestazioni di lettura e scrittura di altissimo livello, irraggiungibili da qualsiasi hard disk drive tradizionale in quanto sono assenti le latenze dovute alle operazioni fisiche di SEEK delle testine magnetiche.

Caratteristiche principali di un SSD

La memoria flash è composta da planes, che contengono blocks, che, a loro volta, contengono pages. Le pages si compongono di celle di dati.

Ogni operazione di lettura e scrittura avviene nelle pages.  Le operazioni di cancellazione avvengono al livello di blocchi, e vanno ad interessare pagine multiple.
Per far sì che una memoria flash sia friendly ed affidabile all'interno della memoria vi è un meccanismo detto FLT (Flash translator layer).

Tale meccanismo fa sì che tutte le informazioni aggiornate siano scritte e poi lette in una nuova pagina vuota; si assicura che tutte le pagine programmate siano distribuite in maniera uniforme su tutta la memoria così da essere utilizzate in maniera uniforme;  mantiene un elenco delle pages vecchie non valide, così che possano essere riutilizzate.

La caratteristica principale al livello infrastrutturale di un disco a stato solido è, come abbiamo detto, la completa assenza di componenti meccaniche (principale differenza infrastrutturale con un disco rigido standard).
Non esistono parti in movimento come negli hard disk con la loro componente meccanica; questo oltre a significare velocità  nelle prestazioni, equivale, anche e soprattutto, ad una completa resistenza agli urti e alle cadute (un disco a stato solido infatti non si danneggia se cade), nonchè ad un basso consumo energetico ed una velocità  notevoli.

Le unità  a stato solido hanno però una ulteriore caratteristica che li differenzia da un hard disk, e da qualsiasi altra tipologia di memoria: una memoria flash ha un ciclo vitale predefinito, è soggetta ad usura e degradazione. Ciò avviene perchè una cella di memoria flash non può essere modificata, il che vale a dire che, ogni volta che si avvia una nuova scrittura sul disco, la memoria viene riscritta ex novo, tramite un processo in background. Tale caratteristica la rende quindi sensibile ad usurarsi nel tempo. La memoria flash andrà  a rallentarsi via via in maniera più significativa, fino a quando la memoria morirà  definitivamente.

La tecnologia flash assicura il massimo prestazionale in termini di velocità  in lettura e scrittura del drive.
L'infrastruttura semplice, la compattezza e la maneggevolezza di queste memorie ne giustificano la notevole diffusione a cui si assiste, unitamente al basso consumo energetico.

Le stesse caratteristiche, in particolar modo la compattezza di tali memorie, sono motivo di complessità  nella malaugurata ipotesi via sia una perdita di dati contenuti in essa.

Salvare i dati su un SSD è davvero così sicuro?

L'incremento di utenti che hanno abbandonato il vecchio hard disk per passare al disco a stato solido desta qualche preoccupazione tra chi interviene per il recupero dati da tutti i dispositivi di archiviazione, e ne conosce per ognuno alla perfezione le caratteristiche più intrinseche, infrastrutturali e prestazionali.

Chi credeva di aver messo al sicuro i propri dati scegliendo un disco a stato solido resterà  purtroppo deluso. Nessun utente è davvero consapevole della pericolosità  di salvare i dati su un SSD.
Intervenire su una memoria flash è decisamente più complesso rispetto ad un recupero dati da un hard disk nelle condizioni peggiori.
Certamente nessun produttore ci informerà in merito al fatto che un SSD abbia vita breve rispetto ad un hard disk, ma ne esalterà  probabilmente  le sole qualità  (innegabili) in termini di performance.
Memorie flash, come quella dell'SSD, hanno riscontrato massimo impiego tra i nostri dispositivi di archiviazione tra cui smartphone, pennette usb e sd card.
Un hard disk non è affatto concepito per avere un ciclo vitale predefinito. Può funzionare in maniera impeccabile anche a distanza di molti anni. A fronte di quanto approfondito sopra, non possiamo dire lo stesso di una memoria flash.


Datagate, che cos'è il GDPR e come l'Europa vuole proteggere i nostri dati

Datagate, che cos'è il GDPR e come l'Europa vuole proteggere i nostri dati

Mentre Facebook è alle prese con il caso Cambridge Analytica, si attende l'entrata in vigore (in maggio) del regolamento UE sul trattamento dei dati personali, che obbliga le aziende a maggiori responsabilità  e prevede sanzioni. Ma può aiutarle a crescere. Come? Ponendo l'accento su sicurezza, qualità  e competenze

Mentre Facebook fa discutere tutto il mondo per il datagate, in Europa le aziende si preparano alle nuove regole in arrivo sui dati. Il 25 Maggio 2018 entrerà  in vigore il GDPR (General Data Protection Regulation), l'adeguamento al Regolamento UE n. 679/2016 sul trattamento e la protezione dei dati personali. Si tratta di una normativa che obbliga le organizzazioni ad assumersi maggiori responsabilità  sui dati degli utenti e a compiere ogni sforzo per proteggerli. In che modo? Per esempio rendendo obbligatoria la loro cifratura o la notifica entro 72 ore all'Autorità  di protezione dei dati di una qualsiasi possibile violazione (data breach). Le sanzioni per comportamenti scorretti possono arrivare sino al 4% del fatturato globale o a 20 milioni di euro. La General Data Protection Regulation sarà  applicata a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell'Unione Europea. Le norme si applicano dunque anche alle imprese situate fuori dall'Unione europea che offrono servizi o prodotti all'interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno rispettare le nuove regole.

In estrema sintesi con il GDPR:

  • Si introducono regole più chiare su informativa e consenso
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali
  • Vengono poste le basi per l'esercizio di nuovi diritti
  • Vengono stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell'Ue
  • Vengono fissate norme rigorose per i casi di violazione dei dati (data breach).

Su questo argomento si svolgerà  GDPR-Ultima chiamata, evento organizzato il 19 aprile a Milano da Agendadigitale.eu, con il patrocinio del Garante per la Protezione dei Dati Personali e del Cini (Consorzio Interuniversitario Nazionale dell'informatica). (QUI è possibile registrarsi all'evento).

Se alcune imprese vedono la GDPR come l'applicazione di una serie di adempimenti burocratici che comporteranno ulteriori costi, in realtà  le nuove regole sono in grado di portare anche vantaggi alle aziende. Vediamo quali.

PIU CYBERSECURITY NELLE IMPRESE

La futura adozione del GDPR ha gia avuto tra le conseguenze un aumento degli stanziamenti destinati alla sicurezza nelle aziende. Secondo l'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, nel 2017 il mercato delle soluzioni di information security in Italia ha raggiunto un valore di 1,09 miliardi di euro, in crescita del 12% rispetto al 2016. La spesa si concentra prevalentemente fra le grandi imprese (il 78% del totale), trainata dai progetti di cyber security e, appunto, dall'adeguamento al GDPR, che contribuiscono ad oltre metà  della crescita registrata. In oltre un'impresa italiana su due (il 51%), è in corso un progetto strutturato di adeguamento alla nuova regolamentazione Ue. Un altro 34% sta analizzando nel dettaglio requisiti e piani di attuazione. Contemporaneamente cresce al 58% (rispetto al 15% di un anno fa) la percentuale di aziende che hanno già  un budget dedicato all'adeguamento al Gdpr. Tutto questo dovrebbe tradursi in aziende in grado di proteggere meglio i propri dati.

La nuova normativa scrive Anna Italiano, Legal Consultant di P4I Partners4Innovation contiene un serie di novità  destinate ad avere un riflesso immediato sulle modalità  e sui fattori di valutazione in base ai quali le aziende selezioneranno i cloud provider e contrattualizzeranno i servizi da essi offerti. Basti pensare all'aggravamento della posizione del data processor (e, quindi, del cloud provider che, normalmente, agisce per l'appunto in qualità  di responsabile del trattamento), all'aumentata attenzione ai profili relativi alla sicurezza o ai maggiori oneri di formalizzazione degli obblighi correlati al trattamento dati, che, inevitabilmente, renderanno gli accordi di servizio più dettagliati e trasparenti. La spinta all'esternalizzazione si traduce in spinta all'accentramento della gestione della sicurezza, con l'obbiettivo di innalzare i livelli generali di protezione contro le minacce.

PIU CONSAPEVOLEZZA DELLE INTRUSIONI

Fra gli aspetti che avranno un maggiore impatto sulla gestione della sicurezza, scrive su Agenda Digitale Claudio Telmon di Clusit, c'è il tema della notifica dei data breach. La necessità  di rilevare e notificare i data breach, come minimo per limitare le sanzioni, richiederà  alle aziende prima di tutto una maggiore capacità  di rilevare gli incidenti, attraverso un monitoraggio efficace degli eventi di sicurezza all'interno del proprio sistema informativo. Questa capacità  di monitoraggio porterà molte aziende ad una maggiore coscienza dello stato della sicurezza delle proprie informazioni.

MAGGIORE QUALITA DEI DATI

Per motivi anche storicamente legati alla non sempre felice storia della privacy europea scrive su Agenda Digitale Franco Pizzetti, professore ordinario di Diritto Costituzionale presso la Facoltà  di Giurisprudenza Università di Torino operatori, imprese e anche decisori pubblici non riescono a comprendere fino in fondo che proteggere i dati significa anche assicurarne la qualità , verificarne l'origine, controllare che la loro utilizzazione avvenga secondo regole che garantiscano il corretto raggiungimento delle finalità  per le quali, spesso affrontando anche costi molto elevati, essi sono raccolti e utilizzati. Dovrebbe essere invece chiaro a tutti che se una attività  produttiva, o finalizzata all'erogazione di servizi, utilizza dati di cattiva qualità , sbagliati, non aggiornati, e, soprattutto, non adatti alle finalità  per le quali si vogliono usare, tutta l'attività  svolta è a rischio e i servizi forniti possono dimostrarsi scadenti, con tutte le conseguenze economiche che possono derivarne.

UNA SPINTA VERSO L'INTELLIGENZA ARTIFICIALE

Attualmente i professionisti della sicurezza possono fare ricorso all'AI (Artificial Intelligence) per prevedere le minacce ed adattarsi ad esse, identificare ed eliminare le vulnerabilità  esistenti, rilevare ed arrestare cyberattacchi con una velocità  e un'efficienza che non è sempre possibile ottenere con l'analisi umana.

Nel settore del monitoraggio di sicurezza, spiega Telmon, potrebbero esserci gli sviluppi più interessanti dal punto di vista tecnologico. Negli ultimi anni infatti, c'è stata molta innovazione nell'ambito dell'intelligenza artificiale, grazie soprattutto allo sviluppo delle tecniche di riconoscimento di immagini.

Una maggiore trasparenza nella progettazione e nell'utilizzo dell'intelligenza artificiale è senza dubbio necessaria, scrive Guglielmo Troiano, avvocato, P4I, su Agenda Digitale. L'ideazione e lo sviluppo delle architetture hardware e software dell'AI dovrebbero essere governate e rese conformi a tutti gli obblighi previsti dalla legge, dal principio della data protection e della security by design, alle misure di sicurezza tecniche e organizzative, alle valutazioni di rischio e d'impatto. Tutti obblighi previsti già  dal nuovo GDPR, regolamento che quindi può rispondere già  concretamente alla esigenze di creare e immettere sul mercato prodotti e servizi AI conformi alla legge e che non comportano rischi per gli individui.

NUOVE OPPORTUNITà DI LAVORO

Il GDPR  ( scrive CorCom ) rende obbligatoria la figura aziendale del Data Protection Officer, che dovrà  essere ben più di un mero garante della compliance normativa. In un mondo in cui i dati diventano un asset fondamentale per qualsiasi impresa, la loro amministrazione si traduce in un'attività  strategica, per la quale la consulenza, l'audit, il patrocinio e l'accrescimento della cultura digitale sono alla base della creazione di valore e vantaggio competitivo, in qualsiasi mercato.

Si aprono dunque interessanti opportunità  di carriera per profili specializzati nelle tematiche legali e informatiche ma anche se corredati da formazione ed esperienza sul campo per curricula costruiti sulle materie umanistiche, sulle scienze della comunicazione e sul marketing. La parola d'ordine, infatti, quando si parla di corretta gestione dei dati, è multidisciplinarietà . Senza contare che solo il lavoro di squadra può mettere a punto una proposizione consulenziale talmente completa e flessibile da affrontare le sfide che pone e porrà  sempre più frequentemente la Data Protection. (L.M.)







GDPR: compliance, responsabilità e sanzioni

GDPR: compliance, responsabilità e sanzioni

Tutto quello che c'è da sapere sulla regolamentazione che entrerà  in vigore il 25 maggio. La tua azienda è pronta?

La Farnesina, Università  Bicocca, UniCredit, Saint Gobain, Sogei, Deloitte, Yahoo e Uber.  Cosa accomuna tutte queste aziende? Hanno tutte subìto una violazione e la perdita dei dati a causa di un attacco informatico. A queste realtà  purtroppo però se ne aggiungono altre centinaia di migliaia, appartenenti ad ogni settore, nazione, sia pubbliche che private e di qualunque dimensione (basti pensare che nel 2017 il 47% delle PMI sono state attaccate). La sicurezza informatica sta pertanto velocemente diventando una vera problematica di business per le aziende che, oltre a subire ingenti danni economici e la perdita di reputazione, vedono inoltre compromessi tutti i dati da loro posseduti, sia interni che di clienti, ma anche di terze parti, con gravi conseguenze per il proseguo dell'attività .

Al fine di garantire una maggior sicurezza delle informazioni, l'Unione Europea ha introdotto nel 2016 il GDPR, normativa alla quale le imprese devono adeguarsi entro 2 anni, con scadenza ultima il 25 maggio 2018, senza proroga alcuna.

Il trattamento dei dati è lecito, il loro utilizzo deve però essere protetto, autorizzato e con il consenso espresso dell'interessato ha dichiarato l'avvocato Giovanna Ianni, in occasione dell'evento GDPR: un dato di fatto, un fatto di dati, organizzato ieri a Milano da BBTech e Risk Solver, nato con l'obiettivo di approfondire le tematiche legati alla nuova regolamentazione.

GDPR

IMG_3734 Il General Data Protection Regulation si basa essenzialmente su 3 pilastri:

1) Principio di Accountability o di responsabilizzazione: i dati devono essere trattati sotto la responsabilità  del Titolare, che deve dimostrare per ciascuna operazione di aver agito in conformità  alle disposizioni del GDPR. Al contrario di come avveniva in passato infatti, si passa ad un approccio proattivo e non più reattivo, con focus su obblighi e comportamenti che prevengano in modo effettivo il possibile evento di danno.

2) Privacy by Design: si intende la necessità  di prevedere già  in fase di progettazione dei sistemi informatici e applicativi, di sistemi che tengano costantemente sotto controllo i rischi che il trattamento può comportare per la tutela degli interessati

3) Privacy by Default: tutte le volte in cui un soggetto cede i propri dati ad un terzo, deve sempre esistere una procedura interna che preveda e disciplini le modalità  di acquisizione, trattamento, protezione e modalità  di diffusione. 

GDPR vs Regolamento Italiano

Il GDPR prevede che ogni Nazione emetta una legge di coordinamento (entro il 21 maggio 2018) tra il Regolamento Europeo e le normative nazionali vigenti, soprattutto in riferimento alle materie sulle quali gli Stati Membri hanno competenza legislativa esclusiva (es. penale), con anche l'obiettivo di evitare che vi siano contrasti tra le due legislazioni. La suddetta legge di coordinamento non è però ancora stata emessa, ma solo dei provvedimenti intermedi. Il rischio è quindi che ci siano in essere leggi contrastanti in vigore.

Quali aziende devono essere compliance al GDPR?

Si devono adeguare alla normativa tutte le imprese, le organizzazioni e le Pubbliche Amministrazioni presenti negli stati membri dell'Unione Europea (indipendentemente dal fatto che il trattamento sia effettuato in UE), ma anche società  extra UE che offrono servizi o prodotti a persone fisiche nel territorio dell'UE o che semplicemente monitorano il comportamento di soggetti all'interno dell'Unione.

Quali dati sono soggetti al GDPR?

L'introduzione della normativa non fa più riferimento a quelli che si chiamavano fino a poco tempo fa dati sensibili, ma a qualunque informazione riguardante una persona fisica identificata  o identificabile, direttamente o indirettamente (non solo nome e cognome, ma anche indirizzi IP, cookies, dati di geolocalizzazione, dati bancari, ecc.) e trattabili con mezzi automatizzati e non.

Esistono pero delle esclusioni per le quali il trattamento è libero: informazioni anonime, quelle utilizzate per scopi personali o domestiche, quelle rientranti nella politica estera, nella sicurezza comune, nella sicurezza pubblica e giustizia, oltre che quelle aventi finalità  esterne al diritto UE.

Chi può trattare i dati personali?

Il Titolare del trattamento, ossia qualsiasi persona fisica o giuridica, Autorità  pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità  e i mezzi del trattamento dei dati personali. Il titolare può a sua volta nominare un Responsabile del trattamento che tratta le informazioni per conto del Titolare e anche un Autorizzato al trattamento, cioè chiunque agisca sotto l'autorità  del Titolare o del Responsabile del trattamento, che sia da lui istruito e abbia accesso ai dati personali oggetto del trattamento.

Trasferimento dei dati all'estero. è possibile?

Il GDPR vieta il trasferimento verso Paesi situati al di fuori dell'UE o organizzazioni internazionali se effettuato in assenza di adeguati standard di tutela. Al contrario, invece, è permesso in caso di presenza di adeguate garanzie come clausole contrattuali tra titolari autorizzate dal Garante, accordi e provvedimenti vincolanti tra autorità  pubbliche amministrative e giudiziarie, clausole tipo adottate dal Garante, adesione a codici di condotta e/o meccanismi di certificazione.
E' inoltre permesso il trasferimento oltre UE in caso di decisioni di adeguatezza della Commissione UE (es.
Privacy Shield EU/USA», Svizzera, Argentina, Australia, Canada, ecc.), norme vincolanti di impresa (Binding Corporate Rules ) e casi in deroga (consenso informato dell'Interessato, necessità  per esecuzione adempimenti contrattuali e precontrattuali, interesse pubblico, diritto di difesa, interessi vitali, dati tratti da registro pubblico, ecc.)

DATA BREACH

Una delle tematiche affrontate dal GDPR riguarda il Data Breach, definito come qualsiasi attività  che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Le aziende, entro 72 ore dalla venuta a conoscenza della violazione subita (eventuali ritardi devono essere giustificati) devono comunicare all'Authority la natura della violazione, le possibili conseguenze, le misure adottate per rimediare o ridurre l'impatto del danno subito, ma anche fornire il nome e i dati di contatto del DPO.

Qualora sussistesse un rischio elevato per i diritti e le libertà  della persona fisica i cui dati sono compromessi, la comunicazione dovrà  avvenire anche agli interessati con le stesse modalità  fornite all'Autorità . Esistono però alcuni casi per i quali la notifica all'interessato non è necessaria, ossia quando i dati non sono stati compromessi a seguito della violazione, se sono state adottate misure successive atte a scongiurare il sopraggiungere un rischio elevato dei diritti dell'interessato o qualora l'invio della comunicazione richieda sforzi sproporzionati.

Responsabilità 

Sono passibili della responsabilità  e quindi tenuti al risarcimento soltanto il titolare del trattamento ed il responsabile incaricato: mentre il titolare deve risarcire qualsiasi danno abbia cagionato in virtù della violazione del Regolamento nel trattamento dei dati, il responsabile risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare.

SANZIONI

Il GDPR prevede sanzioni pecuniarie e penali a seconda della gravità  della violazione e delle strategie messe in atto dall'azienda per minimizzare il rischio di perdita dei dati.

Sanzioni Pecuniarie

Sono stabilite multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell'azienda dell'esercizio precedente, se superiore alla predetta cifra, qualora non vegano adottati accorgimenti strutturali e formali, come ad esempio non essere conformi al privacy by design/ by default, non aver assegnato ruoli specifici nel trattamento dei dati così come del DPO, non aver realizzato i registri delle attività  di trattamento o il non aver comunicato la violazione del Data Breach all'Autority e all'interessato.

Le sanzioni salgono a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore alla predetta cifra, qualora si attestino violazioni ai principi e alle norme che provocano dei danni sugli interessati.

Come si può notare le sanzioni predisposte sono graduali e definiscono un tetto massimo al quale le multe possono arrivare poichè spetterà  all'organo competente stabilirne l'esatto ammontare. Sarà  infatti valutata la natura, gravità  e durata della violazione, se vi è responsabilità  dolosa o colposa, quali sono state le misure adottate per limitare il danno, il grado di cooperazione con l'Authority e la tempestività  o meno della notifica della violazione, ma anche quali dati sono stati sottratti, il rispetto di precedenti ammonimenti, provvedimenti, ingiunzioni ed altre circostanze aggravanti o attenuanti (benefici finanziari, perdite evitate, ecc.). Anche le organizzazioni no profit e di volontariato, ad esempio, sono soggette a sanzioni, le cui multe saranno appunto valutate dall'Authority, consapevole della loro particolare struttura.

Sanzioni Penali

Il GDPR prevede anche sanzioni penali (che saranno stabilite da una normativa non ancora esistente, ma che dovrà  essere introdotta entro il 21 maggio 2018) qualora si accertasse il trattamento illecito dei dati, la falsità  nelle dichiarazioni e notificazioni al Garante, oltre che l'inosservanza di misure di sicurezza e dei provvedimenti del Garante.

Oltre le Sanzioni

Secondo l'articolo 58, le autorità  possono avvalersi inoltre di una serie di poteri correttivi come la possibilità  di limitare o addirittura vietare un trattamento dei dati da parte dell'azienda. Tutto ciò potrebbe portare l'organizzazione ad interrompere l'erogazione di un servizio o un'attività , a danno dei clienti che potrebbero richiedere un risarcimento. Si potrebbe pertanto in casi estremi ad arrivare a compromettere l'esistenza stessa dell'azienda.

Il DATA PROTECTION OFFICER (DPO)

Anche se già  obbligatoriamente presente in alcune nazioni europee, il GDPR ha introdotto la figura del DPO in tutti i membri dell'Unione. Si tratta di un soggetto indipendente (interno o esterno alle organizzazioni e un gruppo di imprese o soggetti pubblici può nominare un unico DPO) il cui compito è quello di osservare, valutare e organizzare la gestione e protezione del trattamento di dati personali in conformità  alla legge. La sua nomina deve essere obbligatoria per tutti le amministrazioni ed enti pubblici (tranne le autorità  giudiziarie), per i soggetti la cui attività  principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati e per tutti i soggetti la cui attività  principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. AL fine di riuscire nel proprio compito, il Titolare o il Responsabile del trattamento dovranno mettere a disposizione del DPO le risorse umane e finanziarie necessarie.

Il registro dei Trattamenti

Si tratta di due documenti che censiscono le caratteristiche principali dell'attività  del Titolare del trattamento e del Responsabile del trattamento. La tabella successiva evidenza quali realtà  sono obbligate ad avere questo documento

MA A CHE PUNTO SONO LE IMPRESE?

Secondo un nuovo sondaggio condotto da SAS, nonostante la consapevolezza dell'entrata del GDPR, meno della metà  (45%) delle organizzazioni intervistate ha un piano strutturato per adeguarsi alla normativa e il 58% sostiene che la propria azienda non è del tutto consapevole delle conseguenze derivanti dalla mancata conformità  al regolamento.

Un altro studio Trend Micro, mostra un po' di confusione su come debbano essere esattamente protetti i dati personali: Il 64% del campione, ad esempio, non è a conoscenza che la data di nascita di un cliente è classificata come dato personale. Inoltre, il 42% non classificherebbe i database di e-mail come dati sensibili, il 32% non lo farebbe con gli indirizzi di domicilio e il 21% con l'indirizzo e-mail personale. Le aziende non sono così preparate come credono, sebbene il 79% sia convinto che i propri dati siano già  protetti al meglio.

Ad oggi nessuna azienda è compliance al 100%  ha concluso l'avvocato Ianni  Neppure i grandi colossi americani come Google o Microsoft che pubblicizzano i loro servizi cloud sono perfettamente allineati alla legge. Sebbene abbiano le tecnologie, competenze e risorse per poterlo essere, non esiste ancora una normativa completa a causa di incongruenze tra il GDPR e quella nazionale esistente. Bisogna pertanto aspettare ancora qualche mese. Nel frattempo è bene che le imprese inizino seriamente a muoversi verso la conformità  agli obblighi del GDPR poichè© si tratta di un percorso non semplice.





Voucher digitalizzazione imprese: cosa sono, come si ottengono

Voucher digitalizzazione imprese: cosa sono, come si ottengono

Tutto ciò che bisogna sapere sui contributi a fondo perduto che possono essere concessi nella misura massima di 10.000 euro per ciascuna impresa beneficiaria e nel limite del 50% della spesa ammissibile.

Dal 15 gennaio 2018 può essere consultata e compilata sul sito del MISE (Ministero dello Sviluppo Economico) la documentazione per l'ottenimento dei c.d. è voucher per la digitalizzazione.

Il termine per la presentazione delle relative domande da parte delle imprese aventi i requisiti stabiliti dalle disposizioni normative si aprirà  alle ore 10.00 del giorno 30 gennaio 2018 e si chiuderà  alle ore 17.00 del 9 febbraio 2018.

Anche se la priorità  cronologica nella presentazione delle domande è totalmente irrilevante al fine dell'ottenimento del contributo pubblico, non è opportuno ridursi all'ultimo momento ed è preferibile, invece, consultare immediatamente la documentazione da compilare e sciogliere eventuali criticità  o dubbi, attivandosi tempestivamente per avere la disponibilità  degli strumenti indispensabili per la presentazione della domanda (CNS e PEC attiva e registrata nel Registro delle Imprese), ove non già  posseduti.

Molto spesso, difatti, le risorse disponibili non vengono completamente utilizzate proprio perché© i potenziali beneficiari non riescono a proporre le domande per tempo oppure le compilano in modo errato.

 

  1. Che cosa sono i voucher per la digitalizzazione

In buona sostanza di tratta di contributi a fondo perduto (ovvero che non devono essere restituiti) che possono essere concessi nella misura massima di 10.000 euro per ciascuna impresa beneficiaria e nel limite del 50% della spesa ammissibile.

In altre parole, se un'impresa intende investire 15.000 euro nella digitalizzazione, potrà  aspirare ad un contributo massimo di 7.500 euro, mentre un'impresa che ne investe 25.000, potrà  ottenere non oltre 10.000 euro.

Le somme complessivamente a disposizione per la concessione del voucher, in parte attinte al PON Imprese e competitività , sono pari a 100 milioni di euro, il che significa, ipotizzando che tutti richiedano il contributo massimo, un numero di potenziali beneficiari almeno pari a 10.000.

Le risorse sono ripartite su base regionale (v. tabella seguente) e vengono attribuite a tutti coloro che ne facciano richiesta e abbiano i requisiti previsti dalla normativa, a prescindere dalla cronologia di presentazione delle domande e dalla valutazione comparativa dei progetti proposti.

Nel caso in cui le domande di agevolazione, per una determinata regione, superino le risorse disponibili, tutte le richieste verranno proporzionalmente ridotte in modo da consentire il riconoscimento del contributo (ancorché in misura più contenuta) a tutti gli aventi diritto.




  

  1. Chi può richiederli

I voucher per la digitalizzazione possono essere concessi alle micro, piccole e medie imprese in qualsiasi forma costituite.

Attenzione però, i professionisti e gli studi associati non possono accedere alla richiesta di agevolazione perché non è loro consentita l'iscrizione al Registro delle Imprese, che rappresenta una è conditio sine qua non per poter richiedere il voucher. Per lo stesso motivo, neppure le associazioni e gli enti che risultino iscritte soltanto al REA e non al Registro delle imprese potranno beneficiare dei contributi.

Attenzione anche all'attività  esercitata: non possono richiedere il voucher le imprese che operano nei settori esclusi dall'art. 1 del REG. 2013/1407/UE (c.d. aiuti è de minimizza). Si tratta, ad esempio, del settore della pesca e dell'acquacoltura, del settore della produzione primaria dei prodotti agricoli, del settore della trasformazione e commercializzazione di prodotti agricoli in alcuni specifici casi. Vi è però un'eccezione nel caso in cui queste imprese svolgano anche attività  economiche diverse e ammissibili, purché© esista un sistema contabile che garantisca la distinzione dei relativi costi o un sistema di separazione delle attività .

Infine, neppure le imprese che si trovano in concordato con continuità  aziendale possono ambire al contributo, atteso che è necessario che il richiedente, alla data di presentazione della domanda, non sia sottoposto a una procedura concausale e si trovi in stato di fallimento, di liquidazione anche volontaria, di amministrazione controllata, di concordato preventivo o altra situazione equivalente. Nessuna eccezione viene contemplata per la particolare ipotesi di concordato di cui all'art. 186-bis.

Per accedere alla procedura informatica per la presentazione della domanda è necessario disporre di una valida casella PEC, regolarmente registrata nel Registro delle Imprese, ed essere dotati del dispositivo denominato è Carta nazionale  dei servizio, che può essere richiesto alle Camere di Commercio e viene rilasciato a persone fisiche e titolari di cariche di impresa.

 

  1. Per quali spese possono essere richiesti i voucher

I progetti per i quali si richiede l'agevolazione possono essere finalizzati a migliorare l'efficienza aziendale, modernizzare l'organizzazione del lavoro, sviluppare soluzioni e-commerce, dotarsi di connettività  a banda larga e ultra larga, collegarsi alla rete internet con tecnologia satellitare, accedere alla formazione qualificata nel campo ICT per il personale.

Nell'ambito di queste macro-finalità , sono ammissibili alcune tipologie di spesa ma non tutte. perciò, quando si predispone la richiesta, si dovranno tenere presenti le spese in concreto ammissibili.

Il MISE ha messo a disposizione degli interessati una tabella riepilogativa, che è riportata di seguito, con alcune ulteriori precisazioni.

Non sono, invece, ammissibili le seguenti tipologie di spesa:

  • beni e/o servizi non strettamente finalizzati al raggiungimento delle finalità  previste dal decreto 23 settembre 2014;

  • beni non nuovi di fabbrica (beni usati e beni rigenerati);

  • beni che costituiscono una mera sostituzione di quelli già  esistenti in azienda ovvero, nel caso delle licenze d'uso dei software, un rinnovo di programmi già  in uso;

  • soluzioni software non ascrivibili in bilancio tra le immobilizzazioni immateriali;

  • servizi di consulenza specialistica continuativi o periodici o che comportano costi di esercizio ordinari dell'impresa in quanto connessi ad attività  regolari quali, a titolo esemplificativo, la consulenza fiscale, la consulenza legale o la pubblicità ;

  • servizi di consulenza e/o formazione erogati, anche parzialmente, in un periodo diverso da quello di svolgimento del progetto;

  • canoni di abbonamento relativi a servizi informatici e software, inclusi quelli relativi all'assistenza, all'aggiornamento dei programmi informatici nonché© a soluzioni Software ad a Service è “ SaaS;

  • canoni di noleggio di attrezzature informatiche;

  • beni e/o servizi resi a titolo di prestazione occasionale;

  • commesse interne all'azienda;

  • materiali di consumo;

  • imposte e tasse di qualsiasi genere, compresa l'IVA;

  • canoni di leasing.

 

  1. Quando vanno realizzati i progetti e come vanno rendicontato

Bisognerebbe sempre ricordare che l'ottenimento del voucher non è il punto di arrivo ma il punto di partenza. E' da questo momento, difatti, che il progetto deve essere realizzato e rendicontato correttamente per poter concretamente ottenere le risorse.

Va tenuto presente che nel caso dei voucher digitalizzazione, a differenza di altre tipologie di agevolazione, non è possibile considerare all'interno del progetto spese già  sostenute, i costi possono essere rendicontato validamente solo se successivi all'assegnazione del voucher. A partire dal momento dell'assegnazione ci sono sei mesi di tempo per il completamento del progetto, intendendosi per completamento la data in cui stata sostenuta l'ultima spesa ammissibile riferita al progetto. Se sono previste attività  di consulenza o formazione, anche esse devono essere completate entro il medesimo periodo.

Va, altresì, rammentato che l'erogazione del voucher va richiesta entro 30 giorni dall'ultimazione delle spese è “ risultanti dall'estratto conto del beneficiario è “ sempre mediante la stessa procedura informatica, il che significa che occorre avere la disponibilità  dell'intero ammontare delle somme previste dal progetto per poter procedere al completamento dello stesso e alla rendicontazione in tempo utile per non perdere l'agevolazione concessa.

Tutte le informazioni di dettaglio di possono reperire sul sito del Mise






I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia

Il 2017 E' stato un anno straordinario per la tecnologia, sono tanti i progressi fatti e i successi raggiunti, qui trovate 10 dei momenti migliori del 2017 per la tecnologia. 10 passaggi improntanti che hanno caratterizzato un anno intero

10) Twitter è passato a 280 caratteri
E' stato un anno complicato per Twitter, ma anche ricco di cambiamenti. Il più importante è stato il raddoppio dello spazio a disposizione per scrivere un tweet che è passato dai tradizionali 140 caratteri a 280. Il cambiamento ha modificato il social invogliando le persone a scrivere più tweet e soprattutto ha mostrato una certa vitalità  del social considerato da molti in declino.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: Twitter passa a 280 caratteri


9) I Bitcoin entrano davvero nel mercato Finanziario

Si apre un nuovo mondo finanziario sono arrivati i Bitcoin Futures. Il valore di un singolo Bitcoin ha ufficialmente superato i $10.000 nel 2017. Il Bitcoin ha sfidato le aspettative del mercato prima, ma nel 2017 non è diventato solamente più prezioso: il Bitcoin e altre criptovalute sono diventate una parte riconosciuta del sistema finanziario. La nascita dei futures sui Bitcoin è un gesto d'approvazione che consolida la posizione dei Bitcoin presso altre importanti istituzioni finanziarie, molte delle quali stanno già   gestendo il trading di Bitcoin.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: i Bitcoin entrano nel mercato finanziario ufficiale

8) L'intelligenza artificiale riconosce le opere d'arte false
L'intelligenza artificiale ha fatto enormi progressi nel 2017. Tra i molti successi raggiunti da questa tecnologia ci sono anche abilità   artistiche. Capire se un quadro originale o meno, fino a questo momento, è stata prerogativa di esperti critici d'arte, ma non sempre la preparazione e l'esperienza sanno riconoscere con precisione assoluta la paternità  di un'opera d'arte.
I ricercatori della Rutgers University sono riusciti a realizzare un sistema basato sull'intelligenza artificiale che è in grado di analizzare la tela sottoposta risalendo all'artista.
Il risultato al momento attuale è soddisfacente: più dell'80% delle opere sono state correttamente riconosciute ed attribuite al giusto pittore, il sistema sa distinguere tratti caratteristici di autori del calibro di Picasso, Matisse o Modigliani.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: l'intelligenza artificiale riconosce i quadri

7) Stampa 3D in metallo

Desktop Metal ha presentato la stampante 3D che può stampare oggetti ottenibili da centinaia di leghe metalliche diverse tra cui acciaio, alluminio, titanio e rame.
In termini di qualità , le parti prodotte dai sistemi Desktop Metal sono paragonabili a quelle pressofuse. Sebbene le stampanti 3D per metalli non siano una novità , da sempre sono state limitate in termini di materiali, velocità  e accessibilità  e ciò è dovuto al fatto che i metalli hanno un punto di fusione così elevato da rendere qualsiasi manipolazione molto complessa. La nuova tecnologia presentata nel 2017 cambia profondamente il settore.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: la stampa 3D in metallo

6) La protesi robotica controllata dal pensiero

Arriva la protesi robotica che si controlla con il pensiero (e il Bluetooth). Nei Bassi il caso del primo paziente ad aver ricevuto un braccio che si applica con un click. Attraverso una nuova tecnologia, questo braccio robotico viene agganciato direttamente all'osso. La caratteristica unica di questa protesi robotica che possa essere controllata dai pensieri del paziente. La protesi comunica con i nervi del paziente, permettendogli di controllare la protesi con la propria mente.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: la protesi controllata dal pensiero

5) Il robot Sophia ha tenuto un discorso all'Onu

Si chiama Sophia Awakens ed èin grado di intrattenere conversazioni semplici con gli esseri umani: il robot più simile agli uomini realizzato dalla Hanson Robotics, società  che realizza robot androidi con sede ad Hong Kong.
Questo robot umanoide nel 2017 ha tenuto un discorso all'ONU, ed anche diventata una cittadina dell'Arabia Saudita. Si tratta di un robot con le fattezze umane (molto umane), che ha una presenza gradevole e rassicurante, lontana anni luce da quel mondo apocalittico che temiamo grazie ad Hollywood. La ragazza-robot si dice curiosa di scoprire nuove cose e di imparare per migliorarsi, esprime il desiderio di farsi nuovi amici, e si pone domande sulla sua identità . Secondo Sophia il cambiamento è inevitabile, e si chiede perchè la gente possa avere paura di lei dal momento che Non si è creata da sola, e che Vorrebbe aiutare gli esseri umani.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: Sophia

4) La prima rete droni per la consegna campioni di sangue urgenti
Nella vicinissima Svizzera, a Zurigo, è stato inaugurato il primo servizio di droni completamente autonomo che consegna campioni sanguigni, dispositivi medici e analisi urgenti. Si tratta della prima rete di droni operativi su aree urbane densamente popolate ed è in grado di recapitare il prezioso carico entro 30 minuti a qualsiasi ospedale della città , indipendentemente dalle condizione di traffico. Il servizio è stato creato dalla società  di logistica Matternet e da Swiss Post.
Zipline ha inaugurato il servizio di consegna di sacche di sangue attraverso droni in Tanzania, in grado di effettuare 2.000 consegne al giorno.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: i droni consegnano sacche di sangue

3) iPhone X, il primo nuovo iPhone dopo Steve Jobs

Le grandi innovazioni e i grandi rischi che Apple ha preso con l'iPhone X (che Tim Cook chiama iPhone ten, dieci) sono un tributo alla memoria e insieme un superamento dell'eredità  di Steve Jobs, sono l'opera di un allievo che per rendere omaggio al maestro se ne distacca. Dopo sei anni si può dire che con l'iPhone X inizia la vera Apple di Tim Cook, la vera Apple oltre Steve Jobs, che però non dimentica i suoi insegnamenti e le sue idee.Quando Tim cook ha annunciato l'iPhone x ha detto che oggi Steve Jobs sarebbe orgoglioso di noi, la farse che Tim Cook ha scelto significa proprio questo: Guarda Steve, ho fatto qualcosa di meraviglioso, ce l'ho fatta anche ora che tu non ci sei più.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: iPhone X

2) Paolo Nespoli e la missione Vita
A luglio 2017 Paolo Nespoli è tornato nella spazio con la Missione Vita, acronimo di Vitalità , Innovazione, Tecnologia e Abilità. Ha condotto più di 200 esperimenti di biologia, fisiologia umana nonchè monitoraggio dell'ambiente spaziale, scienza dei materiali e dimostrazioni tecnologiche. Non sono mancate ano le tecnologie digitali come l'esperimento Aramis (Augmented Reality Application for Maintenance, Inventory and Stowage), che mira a ottimizzare il tempo dell'astronauta attraverso un'applicazione software per iPad la realtà  aumentata per eseguire più velocemente le attività   di manutenzione preventiva, correttiva o di routine all'interno della stazione spaziale. La missione di Paolo Nespoli ci ha regalato avanzamenti tecnologici e pure emozioni attraverso le sue foto.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: Paolo Nespoli e la missione Vita

1) Massimo Banzi torna alla Guida di Arduino
Dopo diverse dispute legali Massimo Banzi nel 2017 è tornato alla guida di Arduino insieme al gruppo originale dei fondatori, si è ripreso ciò che è sempre stato suo.E' stato un po come essere nel 1997 e assistere al ritorno di Steve Jobs alla guida di Apple.Per Arduino è l'inizio di una nuova era ha dichiarato Massimo Banzi in cui rafforzeremo e rinnoveremo il nostro impegno per l'hardware e il software open source. Anche per la tecnologia tutta è l'inizio di una nuova era.

I 10 momenti migliori del 2017 per la tecnologia

I 10 momenti migliori del 2017 per la tecnologia: Massimo Banzi torna alla guida di Arduino


Cybersecurity: mai abbassare il livello di guardia!

Cybersecurity: mai abbassare il livello di guardia!

Gli innumerevoli cyberattacchi degli ultimi tempi ci hanno mostrato che un semplice incidente può avere conseguenze catastrofiche. E' necessario che aziende private ed enti della pubblica amministrazione rispondano efficacemente a minacce di nuova generazione

Le aziende sono chiamate a riscattarsi dall'attuale ruolo di spettatore passivo e a prendere provvedimenti. Le misure di cybersecurity, che per molte aziende rappresentano uno sforzo notevole, molto spesso vengono messe in panchina. Ne consegue che oltre metà delle aziende spende ancora oggi meno del 3% del proprio budget IT in sicurezza.

Ovviamente proteggere l'azienda con soluzioni adeguate ha un costo, ma tale investimento è necessario tanto quanto siglare una polizza assicurativa: la sicurezza IT va inquadrata come colonna portante di una strategia di governance aziendale contemplando tutti gli aspetti di natura tecnologica e organizzativa.

Per evitare che le normative impongano alle aziende regole sempre più stringenti in tema di cybersicurezza, esse devono affrontare le proprie responsabilità : le decisioni in merito agli investimenti in cybersecurity non dovrebbero riguardare esclusivamente lo staff IT bensì anche il management.

Tentativi di grande effetto

Uno dei maggiori cambiamenti che abbiamo riscontrato negli attacchi è la volontà  degli hacker di renderli visibili. Siamo decisamente lontani da quelle APT (Advance Persistent Threat) il cui scopo consiste nell'operare nell'ombra il più a lungo possibile. I recenti attacchi di massa hanno lo scopo di guadagnarsi la massima visibilità , esponendo su larga scala le vulnerabilità  che affliggono numerosissime aziende. Tuttavia questi attacchi potrebbero essere dei meri tentativi di sondare la qualità  delle difese di un'azienda. Non illudiamoci: questo è solo l'inizio, virulenza e pericolosità  aumenteranno.

Rispolveriamo il senso civico per il bene della collettività

La cybersicurezza è un tema che riguarda la collettività . La proliferazione degli attacchi negli scorsi mesi dovrebbe mettere in allarme le aziende puntando i riflettori su un trend che si ripercuote pesantemente sulla produttività  aziendale.

E' altrettanto importante, trascendere dalla mera protezione dei dati, le organizzazioni devono assumersi il proprio ruolo rispetto a impiegati, partner e clienti. E poichè il confine tra privato e professionale svanisce progressivamente, le aziende dovrebbero farsi carico della tutela delle attività  e/o identità  digitali di collaboratori e clienti.

Se la collettività  prendesse a cuore tali indicazioni e reagisse, potremmo forse evitare il peggio e dar vita ad un ambiente digitale sicuro per il bene di tutti.



Contro i siti malevoli serve una protezione in evoluzione

Contro i siti malevoli serve una protezione in evoluzione

Per lo specialista in email security il quadro delle minacce non ancora note è preoccupante e richiede soluzioni di protezione avanzate
Convinta che le minacce informatiche diffuse via email richiedano l'adozione di sistemi di protezione sempre più avanzati, la società   italiana Libraesva, specializzata nello sviluppo e nella fornitura di soluzioni avanzate di email security, suggerisce ad aziende e Isp di investire in soluzioni affidabili, ma soprattutto flessibili, ovvero in grado di evolvere in funzione del variare della tipologia e modalità  di attacco da parte degli hacker.

Libraesva_Mappa_siti_malevoliStando ai dati ottenuti dalla URLSandbox nell'ultimo semestre, il panorama che risulta dall'analisi delle minacce informatiche che raggiungono quotidianamente le caselle di posta dei suoi milioni di utenti, Libraesva ha, infatti, sottolineato la capacità  evolutiva delle minacce, che presentandosi ogni giorno sotto forme e modalità  nuove, sfidano le capacità  dei sistemi di riconoscerle prontamente e di attivare le dovute salvaguardie.
Nello specifico: circa il 50% dei siti bloccati dalla sandbox di Libra ESVA non è noto come malevolo a nessuna fonte pubblica e i siti malevoli, che molto spesso sono siti legittimi compromessi usati per diffondere malware o per campagne di phishing, sono localizzati principalmente negli Stati Uniti e in Europa.

Protezione dai siti malevoli, preview su quelli sospetti
La URLSandbox impiega in media un secondo e mezzo per identificare un sito malevolo e immediatamente comunica l'informazione al gateway ESVA “ Email Security Virtual Appliance “ che bloccherà  le email malevole contenenti i link a quel sito.

Se questa protezione è immediata per i siti riconosciuti come malevoli, la Sandbox presenta una funzionalità  a parte, di recente integrazione, riservata alla gestione di quei siti sospetti ma non al punto di impedirne l'accesso. In questo caso, l'utente viene avvertito del sospetto, ha accesso a una preview del sito e può scegliere se proseguire o meno.

Mentre questi primi dati mostrano come sia elevata la percentuale di rischio legato al non conoscere la componente di attacco nascosta nei siti, ve ne sono poi altri che illustrano in modo altrettanto allarmante come minacce ancora non conosciute possano presentarsi sia nel corpo delle email, sia tramite i file allegati a queste. In particolare, oggi la minaccia si annida in documenti Office e PDF.

Rodolfo_Saccani-Security_RD_Manager_LibraesvaRodolfo Saccani, R&D Security Manager in Libraesva, commenta come: «Fatto 100 il numero di documenti allegati alle email che contengono macro o altro codice, circa il 30% dei file viene bloccato perchè ritenuto sospetto. Si tratta principalmente di nuove campagne di malware ancora non intercettate dai motori antivirus. Inoltre, circa il 25% dei file contiene codice ritenuto sicuro che viene, quindi, lasciato passare, mentre un ulteriore 45% dei file viene disarmato del tutto da ESVA: il codice viene rimosso dal file, il quale viene consegnato all'utente finale come documento inerte».



UniCredit: attacco hacker a 400.000 clienti

UniCredit: attacco hacker a 400.000 clienti
Non si può mai stare tranquilli: questa volta è stato il turno di UniCredit ad essere stata vittima del cybercrime. Anche il noto istituto bancario ha infatti subito diverse intrusioni da parte di alcuni hacker. Secondo la banca queste violazioni sarebbero avvenute a settembre e ottobre 2016 e tra giugno e luglio 2017.

I dati sensibili sarebbero al sicuro. Predisposto un numero verde dedicato

Ma cosa è successo?

Sfruttando le falle di un partner commerciale esterno italiano di UniCredit, i cybercriminali sono riusciti a superare le difese della banca e accedere ai dati di circa 400 mila clienti del nostro Paese relativi a prestiti personali. Fortunatamente sembra che gli hacker non siano riusciti ad acquisire le credenziali di accesso (che permetterebbero di accedere ai conti o effettuare transazioni) o ottenere dati relativi a saldo e movimenti del conto corrente e alle carte di credito/debito. Al contrario invece, i cybercriminali avrebbero messo le mani sui dati anagrafici e codici Iban delle 400 mila persone intercettate.   

Nel frattempo UniCredit ha informato le autorità  competenti e ha messo ad disposizione un numero verde dedicato 800 323285. Le vittime della violazione saranno rapidamente contattate. Inoltre l'Istituto ha predisposto un piano che prevede investimenti da 2,3 miliardi per rafforzare e rendere sempre più efficaci i propri sistemi informatici.

Andrea Rossetti, al vertice del Security Lab dell'Università Bicocca in merito all'attacco dell'Istituto Bancario afferma, la prima volta in Italia che una banca dichiara pubblicamente e tempestivamente di essere stata vittima di un attacco informatico  questo attacco arriva dopo due grandi episodi di hacheraggio internazionale, tra maggio e giugno, e mostra come tutti i nostri dati siano sempre più esposti al rischio. La fragilità di un sistema che dovrebbe essere tra i più sicuri ennesima dimostrazione che il problema della sicurezza è un tema che va affrontato a livello sistemico: non basta avere un sistema con cui lavoro sicuro,  è necessario che tutti gli accessi al mio sistema siano sicuri! Se ricordate, anche l'hacking dei fratelli Occhionero era partito dalle vulnerabilità  esterne al sistema che avevano attaccato. Ed è un'ulteriore dimostrazione che la sicurezza non dipende solo dall'aver un sistema sicuro: il comportamento degli utenti che in vari modo accedono al sistema è fondamentale per la sicurezza. PEBKAC dicono gli americani con un acronimo: Problem Exists Between Keyboard And Chair, il problema si trova tra la tastiera e la sedia. Già  l'anno scorso la Banca centrale europea preannunciava la creazione di un database per registrare e classificare episodi di criminalità informatica presso le banche dell'euro zona. Ma, nonostante tutti sostengano che lo scambio di informazioni sia essenziale per contrastare il problema, la procedura è ancora ai rudimenti, va attivato uno scambio di informazioni tra diversi soggetti, ivi incluse le autorità  nazionali.

Enea Nepentini della Cyber Alliance spiega la posizione, Unicredit ha un politica sulla sicurezza attenta, attiva e trasparente! Se succede questo fatto di ripetuta violazione a questo nostro prestigioso Istituto Bancario, figuriamoci il resto del settore economico e finanziario. La differenza è nel fatto che Unicredit ha una policy trasparente, già  in linea con quelle che saranno le norme dal 2018, gli altri per nulla. Gli attacchi andati a buon segno sul nostro sistema bancario ci sono, di alcuni si è persa traccia. Si può affermare che quel 36% di danno di immagine per ogni attacco alle informazioni e ai sistemi determina purtroppo la motivazione nel non comunicare, questo però porta ad una contaminazione che va fermata. Gli episodi seri sono molti e a volte non vengono neppure rilevati dagli stessi istituti! Come annunciato dal Professor Rossetti, l'unica risposta valida è quella della circolazione delle informazioni. Con il prezioso e qualitativo aiuto delle Istituzioni Preposte bisogna arrivare ad un programma e un network capace, in tempo reale, di allertare e contrastare! Un circolo di informazioni costanti e immediate possono far salire la sicurezza concentrando anche i vari versanti della sicurezza cyber sul problema mirato. Questo sistema sarebbe così in grado di dare aggiornamenti al momento giusto in modo da  contrastare soprattutto i fenomeni più gravi. Su questa proposizione ci si aspetta un ruolo attivo di tutti, istituzioni, società  regolamentate e strategiche, società  italiane della cyber security che abbiamo e sono tra le prime al mondo!



Perizia per Industria 4.0, ecco cosa deve contenere

Perizia per Industria 4.0, ecco cosa deve contenere

La circolare diffusa dal Mise specifica quali sono i contenuti dell’analisi tecnica necessari per godere dell’iperammortamento


La circolare diffusa dal Mise specifica quali sono i contenuti dell’analisi tecnica necessari per godere dell’iperammortamento

Per ottenere gli sgravi fiscali offerti dal Piano Industria 4.0 è sufficiente un’autocertificazione, firmata dal legale rappresentante dell’azienda, da allegare alla dichiarazione dei redditi. Diverso il caso in cui il bene iperammortizzato abbia un valore superiore a 500.000 euro. In questo caso, infatti, viene richiesta “una perizia tecnica giurata rilasciata da un ingegnere o da un perito industriale iscritti nei rispettivi albi professionali ovvero un attestato di conformità  rilasciato da un ente di certificazione accreditato, attestanti che il bene possiede caratteristiche tecniche tali da includerlo negli elenchi di cui all’allegato A o all’allegato B annessi alla presente legge ed è interconnesso al sistema aziendale di gestione della produzione o alla rete di fornitura”.

Pertanto, come dettagliato nella circolare N.4/E del 30/03/2017, che detta le linee guida per ottenere gli sgravi fiscali connessi all’iperammortamento e al superammortamento, per poter fruire dei benefà¬ci dell’iper ammortamento e della maggiorazione relativa ai beni immateriali, “è necessario attestare il soddisfacimento dei requisiti di legge; inoltre, è opportuno che la perizia/attestazione di conformità  sia corredata di un’analisi tecnica”.

Cosa scrivere nella perizia

I contenuti dell’analisi tecnica devono essere i seguenti:

  • descrizione tecnica del bene per il quale si intende beneficare dell’agevolazione che ne dimostri, in particolare, l’inclusione in una delle categorie definite nell’allegato A o B, con indicazione del costo del bene e dei suoi componenti e accessori (cosଠcome risultante dalle fatture o dai documenti di leasing);
  • descrizione delle caratteristiche di cui sono dotati i beni strumentali per soddisfare i requisiti obbligatori e quelli facoltativi applicati e menzionati al paragrafo 11.1;
  • verifica dei requisiti di interconnessione. Affinchè un bene, coerentemente con quanto stabilito dall’articolo 1, comma 11, della legge di bilancio 2017, possa essere definito “interconnesso” ai fini dell’ottenimento del beneficio, è necessario e sufficiente che:

1. scambi informazioni con sistemi interni (es.: sistema gestionale, sistemi di pianificazione, sistemi di progettazione e sviluppo del prodotto, monitoraggio, anche in remoto, e controllo, altre macchine dello stabilimento, ecc.) e/o esterni (es.: clienti, fornitori, partner nella progettazione e sviluppo collaborativo, altri siti di produzione, supply chain, ecc.) per mezzo di un collegamento basato su specifiche documentate, disponibili pubblicamente e internazionalmente riconosciute (esempi: TCPIP, HTTP, MQTT, ecc.);

2. sia identificato univocamente, al fine di riconoscere l’origine delle informazioni, mediante l’utilizzo di standard di indirizzamento internazionalmente riconosciuti (es.: indirizzo IP).

  • descrizione delle modalità  in grado di dimostrare l’interconnessione della macchina/impianto al sistema di gestione della produzione e/o alla rete di fornitura;
  • rappresentazione dei flussi di materiali e/o materie prime e semilavorati e informazioni che vanno a definire l’integrazione della macchina/impianto nel sistema produttivo dell’utilizzatore (allo scopo, si potranno utilizzare opportune metodologie di rappresentazione quali, ad esempio, schemi a blocchi, diagrammi di flusso, risultati di simulazioni, ecc.).

La circolare specifica inoltre che il possesso dei requisiti deve essere attestato:

per i beni dal costo unitario di acquisizione superiore a 500.000 euro, da una perizia tecnica giurata rilasciata da un ingegnere o da un perito industriale — che devono dichiarare la propria “terzietà ” rispetto ai produttori e/o fornitori dei beni strumentali, servizi e beni immateriali oggetto della perizia — iscritti nei rispettivi albi professionali, ovvero da un attestato di conformità  rilasciato da un ente di certificazione accreditato; la perizia (o l’attestato) puòanche riguardare una pluralità  di beni agevolati;

per i beni dal costo unitario di acquisizione inferiore o uguale a 500.000 euro, da una dichiarazione resa dal legale rappresentante resa ai sensi del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (tale dichiarazione puòanche essere sostituita dalla perizia tecnica giurata o dall’attestato di conformità  di cui al punto precedente).

Va infine sottolineato che, a tutela della proprietà  intellettuale e della riservatezza dell’utilizzatore del bene, nonchè di terze parti coinvolte (es. produttori di beni strumentali, integratori di sistema, clienti dei prodotti realizzati dalla macchina iper ammortizzata), l’analisi tecnica è realizzata in maniera confidenziale dal professionista o dall’ente di certificazione e deve essere custodita presso la sede del beneficiario dell’agevolazione. Le informazioni contenute potranno essere rese disponibili solamente su richiesta degli organi di controllo o su mandato dell’autorità  giudiziaria.

Le principali novità  contenute nella Circolare saranno illustrate, venerdଠ7 aprile, nel corso di un webinar dal titolo “Industria 4.0, le linee guida del Ministero” e condotto con esperti di settore. E’ possibile iscriversi gratuitamente al webinar attraverso questo link o inviare eventuali domande all’indirizzo redazione.itis@bitmat.it



Petya, la polizia ucraina irrompe nella sede dell’attacco

Petya, la polizia ucraina irrompe nella sede dell’attacco

Diffuso un video in cui si mostra l’irruzione delle forze speciali ucraine nei locali da cui stava per partire un nuovo attacco hacker 

https://youtu.be/TY5f2fmwcDE

L’attacco Petya (o notPetya) continua a far parlare di sè soprattutto in Ucraina, ovvero il Paese maggiormente colpito da questo Ramsonware. Proprio per la guerra in corso tra Russia e Ucraina, inizialmente i sospetti sugli autori si erano concentrati proprio sugli hacker al soldo del governo russo.

Un’ipotesi che non ha trovato conferma e che, addirittura, sembra essere stata smentita dalle indagini della polizia ucraina.

Secondo gli investigatori, infatti, l’attacco potrebbe essere partito da M.E.Doc, ovvero una società  ucraina dai cui server già  in passato era stato condotto un altro massiccio attacco. Le indagini, in questi casi, sono ovviamente complesse poichè i server in questione potrebbero essere stati vittime a loro volta.

Nel dubbio la polizia ucraina non è andata molto per il sottile e in un video diffuso su Youtube, si vedono le immagini dell’irruzione degli uomini delle forze speciali che entrano negli uffici dell’azienda in tenuta da combattimento e armati con armi automatiche. Un’azione condotta con una notevole determinazione. Al punto che, in alcune immagini, si vedono persino i dipendenti rinchiusi all’interno di un ufficio, mentre i militari stanno procedendo alla perquisizione. Proprio i metodi dell’intervento hanno suscitato qualche polemica, ma un portavoce della polizia ha spiegato che è stato necessario intervenire molto rapidamente perchè da questi stessi server stava per partire un nuovo pericoloso attacco. In attesa dell’esito delle indagini, tese a scoprire se M.E.Doc sia artefice dell’attacco o vittima inconsapevole, la propaganda ucraina sta ovviamente accusando i russi dell’attacco. Infatti, benchè i server colpevoli siano di un’azienda ucraina, secondo un portavoce del governo, l’azienda stessa è al soldo dei nemici russi, contro i quali è in corso una guerra che ha già  portato ad oltre 10mila morti.

Nel video vengono inoltre mostrati gli interni degli uffici e, in particolare, colpiscono le immagini dei server, posizionati e collegati in modo molto “artigianale”, oltre ad essere raffreddati con un semplice ventilatore.




WANNACRY, COSA FARE QUANDO RIACCENDIAMO IL COMPUTER?

WANNACRY, COSA FARE QUANDO RIACCENDIAMO IL COMPUTER?

Il ransomware che sta criptando milioni di file puòessere contrastato. Ne abbiamo parlato con un esperto attualmente in Russia, che ci ha fornito alcuni consigli pratici

FracassoDa venerdà¬, chiunque di noi accenda un computer è spaventato dall’idea di trovare i propri file criptati dal Ransomware WannaCry. Del resto i numeri sono impressionanti: 75mila casi di malware denunciati in 99 Paesi, con richieste di riscatto, da pagare in bitcoin, comprese tra 300 e 600 dollari. La violazione ha colpito soprattutto isitituzioni e strutture sanitarie, ma non sono esenti nemmeno aziende, al punto che persino le linee produttive di Renaul hanno subito ripercussioni.

Si tratta di uno dei più grossi attacchi sinora registrati, la cui origine appare ancora incerta e sul quale stanno lavorando tutti gli esperti a livello internazionale.

Uno di questi è Sergio Fracasso, fondatore e titolare di SafeClick, che ha sviluppato una soluzione in grado di fornire la chiave di decriptazione dei documenti colpiti dai ransomware.

Proprio Fracasso, che nel sito unlock4u, illustra la propria soluzione per contrastare chi cripta i file degli utenti e richiede un riscatto, è attualmente in Russia per un evento di settore. Da due giorni sta quindi lavorando, con gli esperti di quel Paese, per contrastare l’attacco e ci ha fornito alcuni spunti consigli su quanto sta accadendo.

Anche se, per sua ammissione, “alcune delle informazioni che abbiamo raccolto non possono essere comunicate all’esterno, per evitare di favorire gli attaccanti”.

Ma cosa avete ottenuto, dopo le prime 24 ore di attività ?

“Al momento, anche se esistono più varianti di Wannacry, siamo in grado di decriptare tutte le richieste che abbiamo ricevuto. In particolare vale la pena di sottolineare che la nostra soluzione antimalware, unita all’antiexploit, blocca assolutamente la minaccia e nessuno dei nostri clienti ha attualmente i file criptati. Una dimostrazione del fatto che gli hacker possono essere contrastati operando con professionalità  e adottando soluzioni adeguate”.

L’attacco in corso è sicuramente eclatante, ma cosa sta accadendo da alcuni anni?

“Dobbiamo iniziare a dare una forma agli attacchi cyber che, mentre da un lato sono silenziosi ed invisibili, dall’altro hanno un effetto reale sulla nostra vita quotidiana e sui servizi che utilizziamo, specie quelli connessi alle infrastrutture critiche, come ospedali, aereoporti… E’ certamente uno degli attacchi più importanti su scala mondiale, ma è anche una minaccia oramai presente in modo costante da diversi anni. Tutto questo ci obbliga ad approcciare la sicurezza informatica in modo più incisivo e sistematico. Voglio anche ricordare che le aziende vittime del cryptolocker possono ricevere richieste di riscatto non solo per il decrittaggio dei file, ma anche per interrompere attacchi DDoS o garantire la riservatezza di informazioni confidenziali”.

Chi guida le organizzazioni criminali che conducono questi attacchi?

“A differenza di altre minacce virus, che periodicamente infestano la rete web, i cryptovirus non sono il risultato del modo di agire di qualche gruppetto di giovani hacker. Ma presuppongono vere e proprie attività  criminali a scopo di estorsione. La provenienza di queste organizzazioni rimane, perà², ancora ignota. Nel frattempo, perà², gli attacchi crescono in modo esponenziale, fruttando decine di milioni di dollari all’anno”.

Dobbiamo quindi cedere al ricatto e pagare il riscatto per riavere i nostri file?

“Innanzitutto il pagamento del riscatto non comporta alcuna certezza di sblocco delle proprie informazioni. Cedere al ricatto significa anche finanziare il sistema criminale che c’è dietro, contribuendo direttamente al finanziamento di nuovi virus sempre più complessi. La chiave di svolta è la prevenzione, dotandosi di misure di protezione adeguate, moderne, già  esistenti ma poco conosciute. Le aziende dovrebbero rivolgersi a specialisti del settore, che sappiano valutare in modo preventivo le vulnerabilità  dei sistemi informatici. Il fatto che, a poche ore dall’attacco, siamo già  stati in grado di decriptare le informazioni e di bloccare i tentativi di infezione dimostra che è possibile contrastare gli attacchi in modo efficace”.

Questo approccio comporta la una nuova organizzazione anche a livello aziendale. Ma cosa dovremmo fare lunedଠmattina, quando accenderemo il pc al lavoro?

“Limitare al massimo l’interazione con Internet e non accedere alla posta. Prima di tutto è infatti fondamentale installare tutte le patches di aggiornamento di Microsoft sia su server sia su pc”.


14/05/2017

La lista delle 15 minacce online più pericolose

La lista delle 15 minacce online più pericolose

Minacce online guidate dai soldi: l'ottimizzazione del fatturato del cyber-crimine ha rappresentato la tendenza più osservata nel corso del 2016

L’Agenzia per la sicurezza informatica europea ha stilato una lista delle 15 minacce online principali e lanciando un allarme: l’hacking a scopo di lucro è sempre più dilagante.

Minacce online a scopo di lucro

Indubbiamente l’ottimizzazione del fatturato del cyber-crimine ha rappresentato la tendenza più osservata nel corso del 2016. E, come accade con molti altri aspetti negativi all’interno del cyber-spazio, questa tendenza c’è ed aumenterà . Lo sviluppo e l’ottimizzazione di badware che puntano ad ottenere profitti illeciti, rimarrà  il parametro principale per stimare i metodi di attacco più validi, di pari passo allo sviluppo di strumenti e tattiche, secondo quanto riportato in un report ufficiale dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA).

Sistemi IoT i più aggrediti

I criminali puntano ai sistemi e ai dispositivi IoT non sicuri per poter lanciare dei giganteschi attacchi DDoS (distributed denial of service), ma di pari passo mirano anche alle organizzazioni commerciali e il tutto a scopo di estorsione. A tutt’oggi è stato raggiunto un alto tasso di ransom a fronte di vittime che scelgono di pagare pur di non ritrovarsi con i propri sistemi tenuti in ostaggio.
Udo Helmbrecht, direttore esecutivo dell’ENISA ha commentato: “Mentre ne discutiamo, il paesaggio delle cyber-minacce sta ricevendo un’attenzione significativa anche ad alto livello: questo fenomeno è all’ordine del giorno nelle agende di tutti i politici nei maggiori paesi industrializzati. Questa è una conseguenza diretta del processo di “cibernetizzazione” che influenza l’opinione della gente e influenza l’ambiente politico delle società  moderne”.

La lista delle minacce online

15 minacce online Ensia
L’ENISA ha stilato una lista, che racchiude qualcosa come 600 milioni di campioni identificati ogni trimestre, tra cui malware mobile, ransomware e ladri di informazioni tra le principali aree di innovazione del malware criminale.
Nel report è stato rilevato che la vita media degli hash di malware — l’identificazione univoca di una variante del malware utilizzato dagli strumenti di rilevamento dei malware — si sia ridotta a tal punto che una specifica variante del malware potrebbe esistere soltanto per un’ora. Questo diventa l’indice della velocità  di mutazione del malware sia per evitare l’individuazione che per colpire le mancanze dei software antivirus o delle misure di protezione preventive.

Malware in vendita

All’interno del report sono stati messi in luce quei casi che rendono disponibile online le offerte di malware-as-a-service, ovvero i malware a noleggio, con i quali è possibile noleggiare l’infrastruttura per qualche migliaio di dollari al mese per il lancio, ad esempio, di attacchi ransomware che garantiscono un giro di affari che consente di guadagnare fino a $ 100,000 mensili.
Il rapporto afferma inoltre che gli attacchi DDoS, una volta utilizzati dagli attivisti per distruggere i siti web aziendali, vengono ora utilizzati per tentativi di estorsione, come parte integrante delle azioni che puntano alla monetizzazione dell’hacking. Allo stesso modo, il rapporto osserva che il phishing ha raggiunto con successo il livello esecutivo: le frodi a danno dei CEO stanno causando perdite significative alle aziende.

Cyber spionaggio sia in fondo alla lista

E sebbene possa sorprendere che il cyber spionaggio sia in fondo alla lista, nonostante le polemiche attorno alle elezioni presidenziali degli Stati Uniti, l’ENISA ha osservato: “I casi noti e quelli confermati sono solo la punta dell’iceberg e ciòaccade perchè le campagne di spionaggio sono difficili da individuare. E una volta individuate sono difficili e onerose da analizzare. Si ritiene che il cyber-spionaggio sia il motivo di campagne molto più rilevanti. In questo senso, la tendenza decrescente di valutare tali minacce non puòessere pienamente valida. In secondo luogo, il cyber-spionaggio è molto mirato e utilizza gli stessi metodi del cyber-crimine, ma possiede l’intelligenza che gli permette di attirare le vittime in modo più efficiente “.


CARTA DEL DOCENTE 2017:che cos'è e come usarla in COMPUTERS TECNOLOGIES

CARTA DEL DOCENTE 2017:che cos'è e come usarla in COMPUTERS TECNOLOGIES

Un’applicazione on line consente agli insegnanti della scuola pubblica di spendere fino a 500 euro in formazione: libri, corsi, teatro, cinema, musei…

COMPUTERS TECNOLOGIES E' GIA' ACCREDITATA NON ASPETTARE PER RICHIEDERE UN PREVENTIVO GRATUITO!

Anche durante il 2017, e comunque fino alla fine dell’anno scolastico in corso, gli insegnanti di ruolo della scuola pubblica possono usufruire della Carta del docente, che consente di utilizzare, attraverso una sorta di salvadanaio elettronico, un bonus di 500 euro per la formazione.

Si tratta di un’applicazione disponibile on line che permette l’ingresso a migliaia di enti ed esercenti accreditati tra musei, aree archeologiche, enti formativi ed universitari, istituzioni scolastiche.

Nello specifico, la Carta del docente 2017 consente di utilizzare i 500 euro per:

  • acquistare libri e testi anche in formato digitale, pubblicazioni e riviste utili all’aggiornamento professionale, hardware e software di supporto per il lavoro;
  • iscriversi a corsi di aggiornamento e di qualificazione delle proprie competenze professionali svolti da enti accreditati dal Miur;
  • iscriversi a corsi di laurea (magistrale, specialistica o a ciclo unico) che abbiano a che fare con il profilo professionale dell’insegnante;
  • acquistare biglietti per rappresentazioni teatrali, cinema, musei, mostre, eventi culturali o spettacoli dal vivo;
  • partecipare ad iniziative allineate con le attività  contenute nel piano triennale dell’offerta formativa delle scuole e nel Piano nazionale di formazione.

Chi puòbeneficiare della Carta del docente 2017

Possono beneficiare della Carta del docente 2017:

  • i docenti di ruolo a tempo indeterminato delle Istituzioni scolastiche statali, sia a tempo pieno che a tempo parziale, compresi i docenti che sono in periodo di formazione e prova;
  • i docenti dichiarati inidonei per motivi di salute [1];
  • i docenti in posizione di comando, distacco, fuori ruolo o altrimenti utilizzati;
  • i docenti nelle scuole all’estero o delle scuole militari.

Come ottenere la Carta del docente 2017

Per accedere all’applicazione on line su cui ottenere la Carta del docente 2017 è necessario avere lo Spid, cioè l’identità  digitale rilasciata da uno dei provider accreditati. Altro non è che un codice Pin unico che permette l’accesso a tutti i servizi erogati dalla Pubblica amministrazione (quindi anche la Carta del docente).

Ottenuto lo Spid, è sufficiente collegarsi alla pagina web cartadeldocente.istruzione.it per creare i propri bonus e cominciare ad utilizzare i servizi previsti dalla Carta del docente. Sul menù si troverà  la voce «crea buono». Cliccandoci sopra sarà  possibile acquistare online il bene o il servizio desiderato. Quindi, si inserisce l’importo del buono, al quale viene allegato un codice Qr, un codice a barre o un codice alfanumerico. In sostanza, un codice di identificazione che si puòstampare o salvare sul tablet o sullo smartphone e presentare al momento dell’acquisto del bene o all’ingresso del cinema, del teatro, del locale aderente all’iniziativa.

I 500 euro della Carta del docente possono essere spesi in qualsiasi momento nell’arco dell’anno scolastico (il concerto di Vasco ad agosto non vale).



WINDOWS 10: AGGIORNAMENTO GRATUITO PER (QUALCHE) PMI

WINDOWS 10: AGGIORNAMENTO GRATUITO PER (QUALCHE) PMI
Ultima chiamata per l’upgrade a Windows 10, non definitiva ma in termini di tempo. Microsoft ha pubblicato nel suo blog ufficiale l’offerta per l'aggiornamento all’ultimo sistema operativo non proprio per tutti ma rivolta a una specifica tipologia di utenti aziendali di fascia medio/piccola.



I clienti, afferma il post, che hanno sottoscritto i contratti Windows 10 Enterprise E3 ed E5 cosଠcome il Secure Productive Enterprise E3 ed E5 — a cui si aderisce solo attraverso un partner Cloud Solution Provider (Csp) - possono aggiornare Pc e device da Windows 7 o Windows 8.1 a Windows 10 Pro senza il bisogno di comprare una ulteriore licenza.

Con Windows 10 da una licenza per macchina a una per utente

I contratti citati nella proposta e introdotti a luglio 2016, costano rispettivamente 7 e 14 dollari per utente al mese, o 84 e 168 dollari all’anno e, contrariamente alla politica storica di Microsoft, prevedono il pagamento della fee a utente e non a device.

L’offerta è dedicata in particolare alle piccole e medie aziende e ha l’evidente obiettivo di spingere ulteriormente l’utenza aziendale all’aggiornamento delle macchine a Windows 10 Pro.

L’idea è di incentivare l'upgrade soprattutto sulle macchine meno performanti, a patto che siano compatibili, superando cosଠla resistenza dei responsabili dei budget It a pagare una licenza per l'ultimo sistema operativo su una macchina non nuova.

In pratica, da quello che si evince dal post, durante l’anno di sottoscrizione ai contratti citati è possibile aggiornare Pc e devices a Windows 10 Pro che sono rimasti ai sistemi operativi precedenti, all’interno della stessa licenza. Infine, Microsoft sottolinea che la licenza Windows 10 Pro rimarrebbe anche se si decide di non rinnovare il contratto Enterprise E3 ed E5 dopo il primo anno.

Secondo gli ultimi dati disponibili, la base installata di una qualche versione di Windows 10 dovrebbe coprire circa il 15% del totale dei Pc presenti nel mondo o circa 300 milioni di device dal lancio. Windows 7 rimarrebbe il sistema operativo più popolare con più del 50% del totale delle installazioni mentre Windows Xp mantiene una quota di circa il 10%.


25 gennaio 2017




NUOVO SCANDALO YAHOO: le mail dei suoi utenti nelle mani degli 007

NUOVO SCANDALO YAHOO: le mail dei suoi utenti nelle mani degli 007
Un’inchiesta della Reuters sembra provare il fatto. Immediata la reazione di Snowden, che invita a chiudere gli account

Dopo avere nascosto ai propri utenti il furto di informazioni da parte di un gruppo di hacker, il colosso californiano Yahoo, che sta passando un momento delicato anche in virtù delle trattative di vendita con Verizon, torna agli onori della cronaca con una nuova storia che ne mette ulteriormente a rischio la credibilità . Secondo l’agenzia internazionale Reuters Yahoo avrebbe messo a disposizione degli 007 statunitensi, dall’Fbi alla National Security Agency (NSA), gli indirizzi di posta elettronica dei propri utenti.

Secondo gli esperti si tratterebbe del primo caso in cui una società  fornitrice di servizi internet acconsenta alle agenzie di intelligence Usa di controllare in maniera massiva tutte le email in arrivo, compresi gli allegati. Al momento non è ancora chiaro il tipo di informazioni nel mirino degli 007 americani, ma si sa che si trattava di frasi precise contenute nelle mail.

Immediata la reazione di Edward Snowden, che con le sue rivelazioni nel 2013 ha aperto la strada allo scandalo del Datagate. Con un appello su Twitter Snowden ha invitato tutti gli utenti Yahoo a chiudere il loro account.

Secondo l’inchiesta della Reuters, Yahoo non avrebbe fatto altro che seguire una direttiva federale mettendo a disposizione delle agenzie di sicurezza centinaia di migliaia di account dei suoi utenti. Per ora la società  guidata da Marissa Mayer non ha rilasciato nessuna dichiarazione se non che “Yahoo è una società  di diritto e rispetta le leggi degli Stati Uniti”.



IoT e il problema privacy

IoT e il problema privacy
Su oltre trecento dispositivi elettronici connessi a Internet, come orologi e braccialetti intelligenti, contatori elettronici e termostati di ultima generazione, più del 60% non ha superato l’esame dei Garanti della privacy di 26 Paesi. è quanto emerge dall’indagine a tappeto (“sweep”), a carattere internazionale, avviata lo scorso maggio dalle Autorità  per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (Gpen), di cui fa parte anche il Garante italiano, per verificare il rispetto della privacy nell’Internet delle cose (IoT).

I riscontri raccolti dagli esperti delle Autorità , su più di trecento apparecchi delle principali società  del settore, hanno fatto emergere, a livello globale, gravi carenze nella tutela della privacy degli utenti. Il 59% degli apparecchi, infatti, non offre informazioni adeguate su come i dati personali degli interessati sono raccolti, utilizzati e comunicati a terzi. Il 68% non fornisce appropriate informazioni sulle modalità  di conservazione dei dati e il 72% non spiega agli utenti come cancellare i dati dal dispositivo. Mentre il 38% non garantisce semplici modalità  di contatto ai clienti che desiderano chiarimenti in merito al rispetto della propria privacy. Alcuni dispositivi analizzati hanno presentato anche problemi sulla sicurezza dei dati, ad esempio trasmettendo “in chiaro” (quindi in modalità  non criptata) al medico curante informazioni relative alla salute degli utenti.

Leggermente migliori, ma comunque preoccupanti, i risultati delle analisi condotte dal Garante italiano sul rispetto della privacy da parte di alcune delle principali società  nazionali che offrono prodotti nel settore della domotica: solo il 10% infatti non fornisce  agli utenti alcuna informazione su come i loro dati personali sono raccolti, utilizzati e comunicati a terzi. Mentre il 20% non fornisce appropriate informazioni sulle modalità  di conservazione dei dati, il 30% non garantisce semplici modalità  di contatto ai clienti che desiderano chiarimenti in merito al rispetto della propria privacy e il 90% non spiega agli utenti come cancellare i propri dati dal dispositivo.

“L’ indagine sulla cosiddetta Internet delle Cose —  ha commentato Antonello Soro, Presidente del Garante per la protezione dei dati personali ha rivelato che le società  del settore non hanno ancora posto sufficiente attenzione alla protezione dei dati personali, con il rischio, peraltro, di generare sfiducia nei consumatori. Alcune aziende, ad esempio, non si rendono conto che non solo il nome e il cognome, ma anche i dettagli sul consumo elettrico di una persona o i suoi stessi parametri vitali, sono dati personali da proteggere. Cosଠcome non è ancora sufficientemente garantita neppure la possibilità  per i consumatori di cancellare i dati raccolti da questi dispositivi. Il Garante italiano, insieme alle altre Autorità  del Global Privacy Enforcement Network, monitorerà  con attenzione questi prodotti e servizi, al fine di verificare che la realizzazione  di strumenti innovativi come elettrodomestici intelligenti, braccialetti per il controllo dei cicli del sonno o dell’indice glicemico, oppure le stesse automobili connesse a Internet, non avvenga a danno della riservatezza dei dati personali, spesso anche sensibili, degli utenti.”

Lo “sweep” sull’Internet delle Cose fa seguito ad analoghe indagini effettuate negli anni scorsi che hanno preso in esame i servizi online destinati a minori, le informative privacy su siti web e le app per la telefonia mobile.


11 ottobre 2016



SAMSUNG SI ARRENDE E RITIRA IL GALAXY NOTE 7

SAMSUNG SI ARRENDE E RITIRA IL GALAXY NOTE 7
Alla fine Samsung è arrivata all’extrema ratio, quella cui avevamo accennato pochi giorni fa: togliere definitivamente il Galaxy Note 7 dal proprio listino.

Due mesi dopo il lancio, dopo un primo richiamo di 2,5 milioni di pezzi, dopo che anche nei dispositivi di sostituzione si sono verificati casi di incendio delle batterie e soprattutto dopo che diversi enti regolatori e di sicurezza, compagnie aeree e società  telefoniche hanno messo al bando al suo dispositivo, la società  ha alzato le mani: “Abbiamo deciso di interrompere la produzione di Galaxy Note 7, per rispetto della sicurezza dei nostri consumatori”, è l’ultima nota trasmessa nella serata di ieri alla Borsa di Seoul, dopo che nella stessa giornata la società  aveva inviato una comunicazione a tutti i carrier telefonici, chiedendo a quelli che non l’avessero già  fatto di propria volontà  di sospendere le vendite dello smartphone, offrendo agli acquirenti o un rimborso a il cambio con un altro dispositivo.

Ora per la società  si aprono due fronti di criticità , entrambi decisamente importanti. Il primo è meramente finanziario: il costo associato a questo capitombolo secondo quello che scrivono in queste ore gli analisti finanziari si potrebbe aggirare sui 17 miliardi di dollari.
Il secondo riguarda la reputazione: è evidente che i dubbi sulla qualità  dei prodotti e dei controlli attuati dal gigante coreano rischiano di riflettersi anche sul resto dell’offerta.
E il crollo del titolo, oltre alla riduzione della valutazione societaria, dimostrano quanto il mondo finanziario si muova oggi su un terreno assai insidioso.

Senza Galaxy Note 7, strada aperta ai concorrenti

Bisogna tenere in considerazione il fatto che il Galaxy Note 7 era stato presentato come il competitor de facto di iPhone 7, che sarebbe uscito poche settimane dopo.
Ora c’è un vuoto di mercato da colmare, a tutto vantaggio non solo della Casa di Cupertino, ma anche e soprattutto da tutti i competitor, a partire da Huawei, passando per Google che nel corso del mese darà  il via alla commercializzazione dei suoi Pixel, per non parlare della pletora delle case cinesi, da Oppo a Vivo, che negli ultimi quarter abbiamo visto scalare a grandi falcate le classifiche di vendita mondiali.


12 ottobre 2016



ABOLIZIONE DEL ROAMING:ECCO COSA VUOL FARE LA UE

ABOLIZIONE DEL ROAMING:ECCO COSA VUOL FARE LA UE
Una bozza di regolamento che stabilisce sulla base di quali regole dovranno essere applicate le nuove norme tariffarie dopo la abolizione del roaming nel mese di giugno del prossimo anno.

L’ha presentata in giornata l’Unione Europea, cercando di evidenziare in primo luogo gli sforzi di armonizzazione per evitare possibili abusi, che potrebbero avere un impatto negativo sui singoli mercanti nazionali.

Roaming per 90 giorni

In particolare, uno dei possibili problemi evidenziati dalla bozza di regolamento, frutto di una consultazione pubblica ora conclusa, riguarda la possibilità  che un utente acquisti una Sim in un Paese diverso da quello nel quale risiede, per poter usufruire di un piano tariffario più conveniente rispetto a quello praticato nel suo Paese. Oppure, più semplicemente, che un utente si trasferisca definitivamente in un altro Paese, continuando a usufruire delle tariffe del suo Paese d’origine.
Tutte situazioni che a detta del regolatore potrebbero avere un impatto negativo sui prezzi e a cascata sullo stesso consumatore.
Per questo, nella bozza si prevede che l’utente possa usufruire del roaming a tariffa domestica per non oltre 90 giorni l’anno, un periodo giudicato sufficiente a coprire le normali esigenze del cittadino che si sposta per vacanza o per affari.
In ogni caso, sempre al fine di evitare gli abusi, i provider potrebbero richiedere ai loro abbonati di effettuare un login sulla rete del Paese almeno una volta al mese.
Chiaramente, tutto questo non dovrebbe applicarsi ai frontalieri, che si spostano anche quotidianamente da un Paese all’altro, per i quali non si applicherebbe il concetto di abuso.
Resta la possibilità  per l’operatore di applicare in situazioni circoscritte un sovrapprezzo per il roaming, purchè non superi le tariffe massime per il roaming all’ingrosso, fissate in 4 centesimi di euro al minuto per le telefonate, 1 centesimo per SMS e 0,85 centesimi per MB.
Tutto questo impianto, incluse le valutazioni tariffarie, dovrà  essere discusso da Parlamento Europeo, una volta sentito il Berec.


EPIDEMIA DI RANSOMWARE: perchè dobbiamo preoccuparci

EPIDEMIA DI RANSOMWARE: perchè dobbiamo preoccuparci
Il problema ransomware peggiora di giorno in giorno.
Gli ultimi casi di attacchi ransomware ad ampio spettro, tra cui CoinVault, Cryptolocker e simili, rivelano la tendenza da parte dei cybercriminali ad utilizzare sempre di più questa tecnica. Tuttavia, nonostante l’aumento di attacchi ransomware, da un ultimo sondaggio di Kaspersky Lab è emerso che solo il 37% delle aziende ritengono che i ransomware costituiscano un serio problema per il proprio business. Ransomware-Malware Andrey Pozhogin, esperto di sicurezza informatica di Kaspersky Lab, mette a nostra disposizione le proprie conoscenze circa gli attacchi ransomware e ci spiega come funzionano, quali sono le conseguenze che derivano dal pagamento del riscatto e cosa devono fare utenti e aziende per proteggersi.
1. Cos‘è un ransomware?
Un ransomware è un tipo di malware utilizzato come meccanismo digitale di estorsione. Si tratta di un software che blocca l’accesso al sistema del computer fino al pagamento di un riscatto da parte dell’utente o dell’azienda per riavere indietro i dati contenuti nel dispositivo. Ecco alcuni esempi di ransomware: CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt e CTB-Locker.
2. Qual è l’Identikit della vittima?
L’utente medio, cosଠcome piccole e medie imprese, sono potenziali vittime dei ransomware. Per i cybercriminali non c’è alcuna differenza, lo scopo principale è quello di colpire più vittime possibili per trarre il maggior profitto economico.
3. Come funziona un attacco ransomware?
Un attacco ransomware si diffonde soprattutto via email, mediante un allegato che puòessere un file eseguibile, un documento o un’immagine. Quando viene aperto l’allegato, il malware prende possesso del sistema. Un ransomware puòattivarsi anche a partire da un sito Internet infetto dal malware. Quando visita questo sito, l’utente esegue senza saperlo uno script dannoso (a volte bisogna cliccare su un link o scaricare un file): in questo modo il malware entra nel computer della vittima. Anche quando i il sistema è ormastato infettato, non si hanno segnali immediati. Il malware opera in background, silenziosamente, fino a completare le operazioni di blocco del sistema e dei dati. I cybercriminali stanno diventando sempre più esperti e sviluppano malware sofisticati in grado di agire senza farsi notare, hanno diverse tecniche e strumenti a disposizione affinchè la vittima non noti la sua presenza. Successivamente, compare una finestra di dialogo che informa l’utente del blocco dei dati e viene richiesto il pagamento di un riscatto per poter accedere di nuovo ai dati. Quando l’utente visualizza questa finestra di dialogo è ormai troppo tardi, nulla aiuterà  a salvare i dati. Il riscatto chiesto dai cybercriminali per decifrare i dati puòvariare, oscilla dalle centinaia alle migliaia di dollari.
4. Un esempio di attacco ransomware?
Un tipico caso è quello di TorLocker. Il ransomware inizia il processo d’infezione decifrando la propria sezione dati con una chiave AES da 256 bit, un meccanismo di crittografia praticamente impossibile da craccare, e attivandola sul sistema dell’utente. I primi 4 byte della chiave crittografica vengono utilizzati come campione ID unico e aggiunto alla fine dei file criptati. Il malware viene poi copiato in una cartella temporanea e si crea una chiave di registro per l’autorun di questa copia. Successivamente, il malware agisce in questo modo: Va alla ricerca di processi di sistema importanti e li chiude; Elimina tutti i punti di ripristino del sistema; Cripta i documenti Office dell’utente, anche file video e audio, immagini, cartelle, database, copie di backup, chiavi crittografiche della macchina virtuale, certificati e resto di file presenti sull’hard disk e sulla rete; Apre una finestra di dialogo in cui si richiede all’utente il pagamento di un riscatto per decifrare i dati. L’aspetto più grave è che TorLocker infetta ogni sistema in modo diverso per cui, anche se viene individuata la chiave in qualche maniera, quella chiave non puòessere utilizzata per decifrare i dati di altri sistemi. I cybercriminali danno agli utenti un ultimatum (di solito 72 ore) per pagare il riscatto, passato il quale i dati andranno perduti. I cybercriminali solitamente propongono diversi metodi di pagamento, anche in Bitcoin o attraverso siti Internet di terze parti.
5. A cosa mirano i cybercriminali quando lanciano un attacco ransomware?
Lo scopo principale dei cybercriminali è quello di estorcere denaro alle vittime; tuttavia, gli attacchi rivolti alle aziende hanno anche come obiettivo la proprietà  intellettuale. Epidemia di #ransomware: perchè dobbiamo preoccuparci Tweet
6. Quanto sono diffusi gli attacchi ransomware rivolti a dispositivi mobili?
Questo genere di attacchi si stanno diffondendo sempre di più anche sui dispositivi mobil. I malware mobile danno maggiori profitti e i cybercriminali li progettano per rubare ed estorcere denaro. Dal Threat Report del primo trimestre di Kaspersky Lab è emerso che il 23% dei nuovi malware individuati sono stati creati per rubare o estorcere denaro. Inoltre, il malware di tipo Trojan-Ransom sono quelli che hanno registrato un maggiore tasso di crescita tra tutte le minacce mobile. Nel primo trimestre sono stati individuati 1.113 nuovi esemplari, un tasso di crescita del 65%. Una tendenza pericolosa poichè i ransomware, oltre al denaro, mirano a danneggiare i dati personali e a bloccare i dispositivi infetti.
7. Cosa possono fare gli utenti se il sistema è già  stato infettato?
Purtroppo, nella maggior parte dei casi, a meno che non sia stato effettuato il backup dei dati o sia stata adottata una qualche tecnologia di prevenzione, non c’è molto che l’utente possa fare. In certi casi, perà², si puòtentare qualcosa per decifrare i dati bloccati dal ransomware senza dover pagare il riscatto. Kaspersky Lab di recente ha avviato una collaborazione con l’unità  anti-crimine informatica della polizia olandese per creare un database delle chiavi di cifratura, oltre a una app in grado di aiutare le vittime colpite dal ransomware CoinVault. Inoltre, raccomandiamo sempre alle vittime di non utilizzare software poco conosciuti e trovati su Internet che millantano la capacità  di decifrare i dati bloccati da un ransomware. Nel migliore dei casi, non fanno nulla; nel peggiore dei casi, si scarica sul sistema l’ennesimo malware.
8. Il riscatto va pagato?
La maggior parte delle vittime è disposta a pagare per riavere indietro i propri file. Secondo un sondaggio effettuato nel febbraio 2014 dal Research Centre in Cyber Security dell’Università  del Kent, oltre il 40% delle vittime di CryptoLocker ha pagato il riscatto. Questo ransomware ha infettato decine di migliaia di computer, generando profitti per milioni di dollari a tutto vantaggio dei cybercriminali. Inoltre, in un report di Dell Secure-Works si legge che questo stesso malware, in un periodo di 100 giorni, genera introiti per 30 milioni di dollari. Comunque sia, pagare il riscatto non è una scelta saggia, soprattutto perchè nessuno garantisce che i dati alla fine verranno restituiti. Le cose possono andare storto per una serie infinita di motivi, ci potrebbero essere anche dei bug nel malware che non consentono di recuperare i dati criptati. Inoltre, con il pagamento del riscatto, i cybercriminali hanno la conferma dell’efficacia del ransomware e, di conseguenza, cercheranno nuovi metodi per sfruttare le vulnerabilità  dei sistemi e creeranno nuovi ransomware in grado di attaccare utenti e aziende.
9, Cosa possono fare gli utenti per prevenire un attacco ransomware?
Il backup dei dati è sufficiente? Decifrare i file criptati mediante un sistema crittografico robusto e ben implementato è quasi impossibile; per questo motivo, per prevenire situazioni spiacevoli, bisogna adottare l’accoppiata soluzione di sicurezza adeguata/backup dei dati, è la migliore strategia per contrastare minacce di questo genere. Inoltre, alcune varianti “intelligenti” dei ransomware criptano tutti i backup che riescono a trovare, anche quelli sulle reti. Per questo è fondamentale effettuare backup “a freddo” (di lettura e scrittura solamente, non quelli che consentono la cancellazione o la gestione completa dei dati), che non possono essere cancellate dal ransomware. Kaspersky Lab ha sviluppato il modulo System Watcher, in grado d’immagazzinare le copie locali protette dei file e di annullare le modifiche eseguite dal crypto-malware. Ciòconsente il ripristino automatico dei dati ed evita agli amministratori il passaggio di recuperare i dati mediante il backup, facendo risparmiare tempo e disservizi. è fondamentale, quindi, installare una nostra buona tecnologia di sicurezza e assicurarsi che sia attivato il modulo System Watcher.

BANDA ULTRA LARGA:partito il piano inizia la guerra tra i colossi delle telecomunicazioni

BANDA ULTRA LARGA:partito il piano inizia la guerra tra i colossi delle telecomunicazioni
Ai nastri di partenza il piano strategico del governo con i primi bandi di preselezione per le «aree bianche». Sullo sfondo si delineano le cordate: da una parte Telecom e Fastweb, dall'altra Enel e Metroweb.
Il piano è chiaro e ambizioso: coprire entro il 2020 l'85% della popolazione italiana con infrastrutture per la banda ultralarga, cioè a velocità  pari a 100Mbps (megabit per secondo) e garantire allo stesso tempo al 100% dei cittadini l'accesso alla rete Internet ad almeno 30Mbps. Un passo determinante per i privati cittadini ma ancora di più per le imprese italiane che devono fare i conti con una velocità  media che può guardare dall'alto in basso solo Grecia, Croazia e Cipro. I Paesi top dell'area euro procedono a un passo che vale quasi il triplo del nostro. In ballo per il piano Banda Ultralarga del governo ci sono 13 miliardi di euro.
Una partita che in Italia coinvolte più di 94 mila aree. Il primo bando di preselezione, scaduto il 25 luglio dopo due proroghe, ha individuato le cosiddette Aree bianche o a fallimento di mercato, cioè zone in cui le infrastrutture per la banda larga risultano inesistenti e nelle quali si ritiene che non ci sia uno sviluppo futuro imminente.

Lo scorso 30 giugno è arrivato il disco verde anche della Commissione Europea: il piano, ha scritto il commissario Ue Margareth Vestagher  in linea con le normative dell'Unione europea» sugli aiuti di Stato. Per questa prima tranche di lavori il soggetto attuatole è Infratel, la società  in house del Ministero dello Sviluppo Economico. Dati tecnici, spiegano, «vaglieranno le offerte pervenute e selezioneranno gli operatori con i requisiti per partecipare al primo bando vero e proprio». Dunque, avendo come orizzonte il 2020 c'è da correre, «e pure troppo», confida un addetto ai lavori sicuro che «questo forse l'unico bando che può spostare qualcosa in Italia a livello sia a livello di denaro, sia a livello di lavoro». In ballo per il piano Banda Ultralarga del governo ci sono 13 miliardi di euro. Una partita che in Italia coinvolte più di 94 mila aree.

In Lombardia èin gioco l'investimento più importante dei primi cinque lotti previsti. Le altre regioni al momento interessate sono Abruzzo e Molise (123 milioni), Emilia Romagna (232 milioni), Toscana (222 milioni) e Veneto (388,5 milioni). «Con questo bando - ha detto il sottosegretario alle Comunicazioni Antonello Giacomelli - si fa un passo decisivo per mettere l'Italia al passo con i paesi europei più virtuosi entro il 2020 e questo primo intervento che coinvolge più di tremila comuni rappresenta già  quasi metà  delle aree bianche dell'interno Paese». Sulla carta dunque sarà  scongiurato il pericolo di avere una «Italia a due velocit » e dalla metà  di questo mese si avranno indicazioni più chiare su modi e tempi. Nel frattempo pubblica amministrazione e soprattutto comuni sono chiamati nei prossimi sei mesi a comunicare le informazioni al neo istituito catasto nazionale delle infrastrutture. Il sistema, gestito dal Ministero dello Sviluppo Economico, nelle intenzioni conterrà  tutte le informazioni relative alle infrastrutture presenti sul territorio, sia sopra sia sottosuolo, e permetterà di velocizzare lo sviluppo delle reti a banda ultralarga e risparmiare sui costi di posa della fibra. Insomma, più saranno accurate le informazioni date al catasto più si riduce il rischio che gli operai possano trovarsi di fronte sorprese inattese durante il cantiere.

Sullo sfondo di piani e buoni propositi sono iniziate le grandi manovre degli operatori, che già  guerreggiano sul chi deve fare cosa. Palazzo Chigi ha benedetto Enel, che ha manifestato l'intenzione di portare la fibra nelle case degli italiani contemporaneamente a un'opera di sostituzione dei contatori elettrici, mentre Telecom, oggi interamente privata e passata in mano al gruppo Vivendi del finanziere bretone Vincent Bollorè si aggrappa all'Antitrust per non rimanere fuori dai giochi e perdere potenziali ricavi per 500 milioni. Per il gruppo è arrivato lo scorso 26 luglio l'accordo con Fastweb, lanciando così di fatto la sfida al progetto Enel del governo. Fastweb esce dunque da Metroweb e si allea con Telecom. «I nostri interessi - ha detto Alberto Calcagno ad di Fastweb - non sono allineati con quelli di Enel. Attorno alle aree a fallimento di mercato non è fino a ora filtrato grande interesse degli operatori, anche se la stessa Telecom ha fatto sapere di voler partecipare a tutti i bandi anche nelle aree a fallimento di mercato. Si sono dunque delineate le correnti che nei prossimi anni battaglieranno nel settore: da una parte Enel e Metroweb, dall'altra Telecom Italia e Fastweb. L'auspicio? Che Internet anche in Italia si metta a correre. di Luca Rinaldi (LINKIESTA)

AMMORTAMENTI AZIENDALI

AMMORTAMENTI AZIENDALI
Dal 1 Gennaio 2016 è entrata in vigore la Legge di Stabilità . Il 28 Dicembre 2015 anche il Consiglio dei Ministri ha approvato la Legge di Stabilità , convertendola nella LEGGE 28 Dicembre 2015, n. 208, ora in vigore dal 1 Gennaio 2016. La Gazzetta Ufficiale recita come segue: Ai fini delle imposte sui redditi, per i soggetti titolari di reddito d'impresa e per gli esercenti arti e professioni che effettuano investimenti in beni materiali strumentali nuovi dal 15 ottobre 2015 al 31 dicembre 2016, con esclusivo riferimento alla determinazione delle quote di ammortamento e dei canoni di locazione finanziaria, il costo di acquisizione è maggiorato del 40 per cento. Ricordiamo i BENI ESCLUSI: Sono esclusi dall'incremento gli investimenti: - in beni strumentali per i quali il DM 31.12.88 stabilisce un coefficiente di ammortamento inferiore al 6,5%; - in fabbricati e costruzioni; (e altri casi riguardanti le industrie manifatturiere alimentari). Contattaci per ulteriori info

Certificazioni & riconoscimenti