Attenzione agli attacchi Ransomware sugli accessi da remoto
Il Bollettino pubblicato da CSIRT Italia in data 30.06.2020 allerta le aziende e le organizzazioni pubbliche della diffusione di attacchi Ransomware perpetrati attraverso i sistemi di accesso remoto che utilizzano il protocollo desktop remoto (RDP) o le reti private virtuali (VPN). L’analisi dei recenti attacchi ha rilevato una loro stretta correlazione con prodotti Citrix, Application Delivery Controller, Gateway e SD-WANOP - ancora vulnerabili al CVE-2019-19781 (Score CVSSV2 7.5), nonostante il rilascio di software correttivo reso disponibili dal produttore alla fine del mese di gennaio 2020. È necessario, pertanto, prestare molta attenzione a dette versioni potenzialmente “infette”. Le Aziende, pubbliche e private, soprattutto nell’ultimo periodo emergenziale sono state costrette ad implementare i collegamenti di accesso da remoto, per consentire, laddove possibile, il prosieguo dell’attività lavorativa. I sistemi (RDP/VPN) più colpiti sono quelli configurati con password deboli, senza l’autenticazione a più fattori, e non adeguatamente protetti ed aggiornati. In tal modo, i malintenzionati,
Privacy e Giustizia
Per assicurare il contenimento del contagio da Covid-19 e la protezione degli ufficiali giudiziari i Tribunali non sono tenuti a conoscere lo stato di salute dei soggetti cui notificare atti giudiziari, ma, come previsto dalle norme adottate dal Governo, devono predisporre adeguati dispositivi di protezione individuale. La notifica di un atto giudiziario non giustifica un tribunale a conoscere se il destinatario è positivo al Coronavirus. E’ quanto ha precisato l’Ufficio del Garante per la protezione dei dati personali in una nota indirizzata al Ministero della Giustizia con cui ha fornito il suo parere in merito alla questione sollevata da un’ azienda sanitaria di Verona, alla quale l’UNEP (Ufficio Notifiche Esecuzioni e Protesti) del Tribunale della stessa città aveva chiesto di poter avere quotidianamente gli elenchi aggiornati delle persone positive o sospette positive al Covid-19, dei soggetti in quarantena e dei loro conviventi, nonché a loro dislocazione. Il Garante ha ritenuto che la disponibilità
Diritti dei Consumatori e GDPR
Per la Corte tedesca, il GDPR prevede stringenti requisiti per procedere con un’azione a tutela degli interessati. Da qui la domanda: le leggi nazionali che prevedono la possibilità di tutelare i consumatori (anche da danni da mancato rispetto del GDPR) devono ritenersi incompatibili o no? La parola alla Corte Ue La Corte Federale di Giustizia Tedesca ha di recente sottoposto alla Corte di Giustizia dell’Unione Europea una spinosa questione pregiudiziale: le associazioni di tutela dei consumatori sono autorizzate ad avviare un’azione civile in caso di violazione del GDPR? Ed inoltre, l’art 80 può ritenersi in conflitto con le leggi dei singoli stati membri che potrebbero autorizzare associazioni di consumatori ad agire anche a tutela di diritti previsti nel GDPR? Tutto nasce da una nuova interpretazione normativa proveniente da alcune corti tedesche che, di fatto, stanno colpendo su più fronti il business model di Facebook ritenuto capace di integrare gli estremi della concorrenza
Data Breach: Aumento nell’Unione Europea
Nell'ultimo anno le notifiche di violazioni dei dati personali richieste dal Gdpr sono aumentate del 66% nei principali paesi dello Spazio Economico Europeo. Ad evidenziarlo, è un’analisi di Linklaters. Sono in aumento i data breach nell'Unione Europea. L'unico paese a registrare un calo delle notifiche per data breach è stato il Regno Unito, che è sceso a 11.499 notifiche con una diminuizione quindi del 17% rispetto al primo anno di piena applicazione del Gdpr. Come afferma lo studio, il motivo della diminuzione si spiega in parte perché tra maggio 2018 e maggio 2019 le organizzazioni inglesi avevano comunicato le violazioni in modo eccessivo. L'aumento delle violazioni dei dati nella maggior parte dei casi ha comportato la perdita di riservatezza sui dati e l'accesso di terze parti non autorizzate, sia attraverso atti dannosi di hacker attraverso campagne di phishing o per l’invio di documenti via email a destinatari errati, sia per furto o
Aggiornamento NextWare Pro 2.9.0.5
Rilasciato il nuovo aggiornamento del NextwarePro, il sistema di gestione sviluppato per il Non Profit e con il Non Profit. Nuove Funzionalità: Stampa etichette, buste, bollettini: E’ stata inserita le newsletter come ulteriore filtro di ricerca. Stampa fatturato per dipendente: Nel modulo cooperativa è stato aggiunto un nuovo report il quale calcola il fatturato per ciascun dipendente – eseguendo una proporzione tra il totale delle ore lavorate per area/cantiere e le ore lavorate da ciascun dipendente. Riconciliazione da c/c bancario: Con questa nuova funzione inserita nel modulo di contabilità economico-patrimoniale è possibile procedere all’importazione dei movimenti bancari e alla loro contabilizzazione. E’ necessario scaricare dall’home banking il file Excel dei movimenti quindi, solo la prima volta, è necessario indicare le colonne che contengono i vari dati (importo, data, descrizione, ecc). Maggiori informazioni tecniche nel PDF allegato. NextwarePro 2.9.0.5
Maxi Multa per Unicredit
Al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti di Unicredit spa, il Garante per la Privacy ha inflitto all'istituto bancario una sanzione di 600 mila euro. Nel 2017 era stata la banca stessa a comunicare all’autorità le violazioni subite tra aprile 2016 e luglio 2017. Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca, ed avevano riguardato una serie di informazioni riguardanti gli interessati, tra cui dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, "approssimazione della classificazione creditizia del cliente" e codice Iban. La multa, che è stata determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione
Tim: Dipendenti vendevano dati personali dei clienti ai call center
Decine di migliaia di euro spartiti tra gli operatori infedeli ed i collettori-rivenditori dei dati. Ecco il volume di affari scoperto dalla Polizia Postale e delle Comunicazioni, con il coordinamento della Procura di Roma, nell'ambito della fase conclusiva dell'operazione Data Room. Di assoluto livello criminale la mole dei proventi, come emerge da più di una conversazione nella quale alcuni indagati discutono dei corrispettivi, mettendosi d'accordo sulla ripartizione degli incassi illeciti del mese. L'attività di commercializzazione delle liste di utenti e i relativi recapiti, riguardava anche i sistemi informatici in uso a gestori operanti nel settore dell'energia, un filone dell'indagine in corso di ulteriore approfondimento. Dipendenti Tim vendevano a call center i dati dei clienti, perquisizioni e arresti Le indagini sono state portate avanti dagli specialisti del Servizio Polizia Postale e delle Comunicazioni che hanno svolto intercettazioni telefoniche e pedinato gli indagati, analizzato i sistemi informatici delle piattaforme contenenti i dati, analisi rese
Tribunale di Milano condanna Google
Chi di noi, almeno una volta, non ha inserito le proprie generalità in un motore di ricerca per vedere cosa si dice di noi “in rete”? Quando un ingegnere effettuò una ricerca simile si rese conto che il motore di ricerca reindirizzava a siti che propinavano sul suo conto notizie false e diffamatorie. La fonte originaria delle notizie lesive era già stata condannata con sentenza penale passata in giudicato; il tecnico chiedeva quindi a Google di provvedere alla cancellazione di tutti gli URL a cui si veniva reindirizzati digitando il proprio nome, ma il colosso informatico non adempiva o lo faceva solo in parte. Asserendo fosse stato posto in essere un illecito trattamento dei dati personali ai sensi degli articoli 7 e 11 del D. Lgs. 196/2003 con la conseguente lesione alla propria riservatezza, reputazione ed onore, il professionista adiva il Tribunale di Milano. La sentenza - (Tribunale Milano, Sez. I, 24
Multata Associazione che inviava messaggi di marketing a degli ex donatori
L'Autorità belga per la protezione dei dati ha multato un'associazione che, sostenendo di avere un legittimo interesse, aveva inviato messaggi di marketing diretto a degli ex donatori che anni prima avevano contribuito a delle raccolte fondi, i quali nel frattempo avevano però esercitato il loro diritto di opposizione al trattamento ai sensi dell’21 del Gdpr, richiedendo al titolare la cancellazione dei loro dati personali ai sensi dell’art.17 del Gdpr. La sanzione amministrativa, pari a mille euro, è scattata a seguito di un reclamo presentato all'autorità belga in cui gli interessati avevano lamentato il mancato riscontro all'esercizio dei loro diritti. Oltre a non aver rispettato i diritti di opposizione e di cancellazione, la Camera delle controversie belga ha anche ritenuto che nel caso di specie l'associazione non potesse validamente invocare il suo legittimo interesse come base giuridica per il trattamento, perché nel complesso non soddisfaceva le condizioni imposte dalla giurisprudenza della Corte
Multa Salata per Avvocato che invia lettere di convocazione riutilizzando fogli già stampati sul retro
Anche se fare economia di carta in ufficio può essere ecologico e anche utile per spendere meno in cancelleria, se non si presta attenzione a volte risparmiare sui costi della carta per la stampante può risultare molto caro. Lo ha imparato a sue spese un avvocato che a quanto pare aveva l’abitudine di riutilizzare i fogli già stampati su un lato per sfruttarne anche il retro con una seconda stampa. Peccato che di recente lo abbia fatto in un’unica lettera ma per clienti diversi. Per inviare delle convocazioni agli inquilini di una proprietà immobiliare, in almeno due casi una professionista legale non si è infatti accorta che stava usando fogli che erano già stati stampati precedentemente e che nel retro contenevano informazioni personali di precedenti clienti, uno dei quali minorenne. Distrazione che non poteva passare inosservata ai condòmini quando hanno ricevuto le lettere dall’avvocatessa, i quali, rendendosi conto della divulgazione di dati