Il video virale di Intesa Sanpaolo, la pubblica gogna dei dipendenti e il particolare che sfugge: la privacy

Un video girato dai dipendenti di una filiale di Banca Intesa per un concorso interno finisce online. Tra le tante domande sul caso una in particolare: come ci è finito quel video su Facebook?

Ormai la storia non fa più notizia: due giorni fa sono finiti online un paio di video girati dai dipendenti di due filiali di Intesa Sanpaolo, destinati invece a un concorso aziendale interno.

Non entreremo nel merito cinematografico del video. 

Non parleremo nemmeno del fenomeno dell’aziendalismo che forse è un po’ sfuggito alle risorse umane di Intesa (ci ha già pensato il Post).

Non ci addentreremo nemmeno nel campo della gogna pubblica verso la direttrice di banca, di cyberbullismo abbiamo già parlato qui.

Parleremo invece di privacy e di protezione dati.

Ci siamo chiesti infatti come sia possibile che, a pochi mesi dall’attuazione del GDPR, un’azienda come Intesa, che è una banca, quindi è un ente a cui milioni di persone affidano i propri risparmi, ritenendoli al sicuro nei loro sistemi, non sia in grado di proteggere i propri dipendenti da un leak di questo livello. 

Ricostruendo la storia, pare che un dipendente abbia sottratto il materiale video destinato a un concorso interno, e poi lo abbia condiviso su Whatsapp con degli amici. Da qui alla viralità il passo è breve. Un colpevole quindi c'è anche se, per ora, non ha ancora un'identità.

Eppure il Regolamento Europeo per la Protezione dei dati personali parla chiaro: la diffusione di dati (o “contenitori di dati”, come ad esempio un video che renda riconoscibile la persona filmata) dei dipendenti è assolutamente vietata, se non esplicitamente approvata dall’interessato, e ogni furto di informazioni sensibili va denunciato al Garante della Privacy entro 72 ore, che si attiverà per verificare i sistemi di sicurezza dell’azienda, per poi decretarne la responsabilità, arrivando a sanzioni che possono toccare il 4% del fatturato mondiale annuale.

Fino a maggio 2018 però il GDPR non sarà attuato e quindi l’ammontare delle possibili sanzioni non sarà a questi livelli. 

È però assurdo che proprio in un momento in cui la tutela della privacy dovrebbe essere una priorità per il mondo aziendale, a fronte dei nuovi adempimenti necessari in ottemperanza alla normativa europea, si cada in strafalcioni del genere e si ponga in essere un comportamento irrispettoso delle più banali regole del Codice Privacy, del nuovo Regolamento e, più banalmente, del buon senso.

Protezione dei dati dei minori e cyberbullismo: cosa cambia col GDPR

Tra le nuove regole del nuovo GDPR, c’è anche il potenziamento della protezione dei dati che riguardano i minori.

La tutela dei dati personali, ormai lo sappiamo, sta per essere completamente stravolta dall’applicazione effettiva del nuovo GDPR, che entrerà in vigore da maggio 2018.

Tra i cambiamenti che il nuovo Regolamento Europeo prevede ci sarà un rafforzamento sulle regole di raccolta dati che riguardano i minori. 

La questione è posta soprattutto nell’ambito del trattamento digitale della privacy dei minorenni e vuole regolamentare la raccolta dei dati da parte di quei siti che poi li potrebbero utilizzare per fini commerciali. 

In particolare parliamo quindi di social network.Ad oggi i principali social, come Facebook, Instagram, Whatsapp, Snapchat e Youtube, impongono l’età minima di iscrizione a 13 anni e prevedono che siano gli utenti stessi a segnalare eventuali minori che utilizzano il servizio cambiando, ad esempio, la data di nascita (qui il modello di Facebook)

.Il nuovo GDPR invece ha prescritto, all’articolo 8, l'obbligo di impedire l'offerta diretta di servizi della società dell'informazione (quindi iscrizione ai social network e ai servizi di messaggistica) a soggetti minori di 16 anni, a meno che non sia raccolto il consenso dei genitori (occorre accertare che il consenso sia dato dall'esercente la patria potestà). 

La normativa prevede comunque che questo aspetto possa essere diversamente regolato dai singoli Garanti nazionali, ponendo insindacabilmente però, un limite non inferiore ai 13 anni.

Il Garante Italiano, al momento, non si è ancora formalmente espresso in proposito.

È importante sottolineare infatti che l’iscrizione a un servizio come quello di Facebook non è una semplice iscrizione a un social, bensì un vero e proprio contratto, con il quale l’utente acconsente a una profilazione aggressiva, non solo dei propri comportamenti, ma anche sulla propria persona.

Non solo social media però, un altro compito importante che avrà l’Autorità Garante della Privacy, definito con la legge 71 del 2017, sarà quello di gestire atti di cyberbullismo. La legge prevede misure di prevenzione ed educazione nelle scuole, sia per la vittime sia per gli autori di bullismo digitale. 

I minori potranno chiedere l'oscuramento o la rimozione di contenuti offensivi senza dover informare i propri genitori. La richiesta va inoltrata al gestore del sito o al titolare del trattamento e, solo se necessario (questa volta a mezzo dei genitori) al Garante, che interverrà entro 48 ore.

A questo link è possibile scaricare il modello per la segnalazione di atti di cyberbullismo.

Sanità: i criminali informatici rubano i nostri dati sanitari

I Cyber criminali hanno preso di mira i dati sanitari: rubano informazioni relative a farmaci e referti medici, col fine di rivenderle o richiedere un riscatto ai pazienti.

I dati sanitari di ognuno di noi altro non sono che ciò che identifica la nostra “storia di salute”. Risultati di esami del sangue, esiti di tac o radiografie, referti medici, farmaci prescritti e via dicendo, dovrebbero quindi essere sempre blindati, al sicuro dall’attacco di cyber criminali. 

Dovrebbero. Questo condizionale perché, a seguito di uno studio effettuato da Accenture, è emerso che, negli Stati Uniti, oltre il 26% degli intervistati ha subito un attacco ai propri dati sanitari, dovendo poi pagare di propria tasca il riscatto, per l’ammontare di circa 2500$ a paziente. 

Per cosa vengono usati questi dati dai criminali? Semplice: per il pagamento di prestazioni mediche fraudolente, per l’acquisto di farmaci o semplicemente per acquistare oggetti.

Quindi, se da una parte questa evoluzione digitale sta portando incredibili vantaggi al settore medico-scientifico, dall’altra la scarsa protezione dei sistemi informatici della sanità, sta creando un enorme danno agli utenti che sì, possono agilmente ritirare i propri referti o prenotare visite online, ma sono anche esposti a pesanti rischi in materia di protezione dati. 

E in Italia?

Anche qui non siamo molto sicuri. Nel 2016 una ASL ha subito l’attacco di un cryptolocker (qui abbiamo parlato di virus e di cosa sono) e ha dovuto pagare un riscatto per riavere i propri dati. 

I rischi legati ai ransomware stanno crescendo esponenzialmente negli ultimi anni e, più grave, non vengono gestiti in modo efficace.

Oltre a dover far fronte a questi attacchi poi, il Garante Privacy è dovuto intervenire più volte contro diverse strutture sanitarie, i cui dipendenti accedevano abusivamente ai dati di amici e parenti. Questo ad aggiungersi a una pratica sempre più comune tra i medici che è quella di scambiarsi i referti per il consulto tramite applicazioni poco sicure come Whatsapp. 

Perché attaccare la sanità.

Rubare dati sanitari comporta il blocco delle attività di un ospedale, impedendogli di erogare i propri servizi. Essendoci in gioco la salute (se non la vita) delle persone, il pagamento del riscatto è quindi rapido e pressoché assicurato. Le informazioni contenute nelle cartelle cliniche inoltre sono molto più complete in quanto non riguardano solo i dati anagrafici dei pazienti ma contengono anche informazioni sensibili sulla salute, il gruppo sanguigno ed eventuali patologie. 

Ad essere sotto attacco però non ci sono solo i dati sanitari ma anche i dispositivi medici quali monitor personali e pompe di fusione.

Questi argomenti verranno approfonditi al Security Summit di Verona 2017 il prossimo 4 ottobre, con la presentazione della nuova edizione dei Rapporto CLUSIT.

Fattura elettronica: buco nel sistema dell’Agenzia delle Entrate. Interviene il Garante Privacy

Grazie a un buco nel sistema telematico dell’Agenzia delle Entrate, con un semplice codice fiscale si potevano vedere e scaricare le fatture trasmesse ai cittadini.

Una falla scoperta solo recentemente, un buco enorme nel sistema telematico gestito dalla società pubblica Sogei, un bug che ha permesso a chiunque avesse le credenziali per accedere al sito internet dell’Agenzia delle Entrate - Riscossione di consultare liberamente i dati fiscali dei cittadini, per un tempo ancora non quantificato. 

Accedere a questi dati pare fosse anche piuttosto semplice: una volta inserito il codice fiscale di un qualsiasi contribuente, era possibile scaricare tutte le fatture trasmesse all’Agenzia, comprese quelle di clienti e fornitori. Inserendo invece il codice di un commercialista, era possibile vedere in chiaro tutti i dati: i suoi e quelli dei suoi clienti. 

Scoperta la vulnerabilità, il canale di accesso ad Entratel via web è stato prontamente bloccato. L’intervento tuttavia non è bastato a placare l’ira del direttor Ruffini, che si dice determinato a scoprire eventuali responsabili interni ed esterni.

Sia Ruffini sia Andrea Quacivi, Amministratore Delegato di Sogei, sono stati convocati dal Garante della Privacy Antonello Soro, che cercherà di far luce sulle responsabilità e sulla possibile prevedibilità dell’incidente a seguito delle mancate attuazioni delle misure di sicurezze previste per la protezione dati.

Con l’attuazione del GDPR, dal 25 Maggio 2018, diventa infatti obbligatorio poter dimostrare la capacità dei propri sistemi di difendersi dalle minacce, oltre che l’attuazione dell’analisi dei rischi, che sarà da presentare completa di esito. 

Questa falla nei sistemi dell’Agenzia delle Entrate arrivata proprio nel momento in cui si cerca di spingere i privati verso la fatturazione elettronica, lascia enormi dubbi sulla tutala dei contribuenti, rendendoli possibili vittime non solo di attacchi malevoli ma anche dell’ingenuità delle infrastrutture.

Cos’è un ransomware

Che cos’è un ransomware? Come si diffonde? E cosa comporta? Tutto quello che c’è da sapere sui più recenti e temuti virus informatici.

I ransomware sono una delle minacce che hanno registrato la crescita più forte negli ultimi anni. Si tratta di oggetti malevoli (malware, di cui abbiamo già parlato qui) che, una volta eseguiti sulla macchina dell’utente, cifrano i suoi file personali con una chiave crittografica mantenuta segreta, bloccandoli al proprietario.

I file vengono così letteralmente "presi in ostaggio" e solo il pagamento di un riscatto ne permetterà la decodifica. Più il tempo passa e più la somma di denaro richiesta aumenta, fino a che, al mancato pagamento dell’utente al termine di una scadenza, la chiave di decodifica viene definitivamente cancellata, facendogli così perdere i dati per sempre. 

Il versamento di solito viene richiesto nella crittovaluta BitCoin: in questo modo la transazione avviene senza intermediari e non è tracciabile.

Tecnicismi

Il ransomware in sé altro non è che una normale applicazione che utilizza algoritmi crittografici, in genere non violabili. L'algoritmo RSA, ad esempio, così come gli altri algoritmi crittografici di tipo asimmetrico, poggia il suo funzionamento sull'uso di una chiave per cifrare il messaggio (chiave pubblica) e una per decifrarlo (chiave privata). Nonostante le chiavi siano dipendenti tra loro, non è possibile risalire all’una utilizzando l’altra e ciò rende questo metodo di crittografia, detto “asimmetrico”, uno dei più sicuri. 

Nel caso del ransomware, questa coppia di chiavi viene usata dal virus per cifrare tutti i file personali dell’utente (o comunque quelli che hanno una determinata estensione come .doc, .pdf, .docx ecc.) e, mantenendo la chiave di decifratura segreta, impedendogli l’accesso ai suoi dati. 

La differenza tra questi malware e i software legittimi sta nel fatto che, mentre la chiave pubblica rimane sul sistema dell’utente, la chiave privata viene tenuta su dei server privati, a cui gli utenti non possono accedere. 

In sintesi: ogni file crittografato con una certa chiave pubblica può essere decodificato soltanto usando la corrispondente chiave privata e i ransomware altro non fanno che codificare la chiave pubblica e nascondere quella privata fino al pagamento di un riscatto.

Cosa sono i dati di cui stiamo parlando

Spesso accade che l’utente medio non prenda troppo sul serio queste indicazioni, in quanto non ha chiara l’idea di cosa siano questi “dati” di cui si impossessa un ransomware. 

Quando parliamo di dati privati contenuti in un computer o in un server, non ci riferiamo soltanto al nome e alle foto personali dell’utente ma anche a particolari molto più privati, come l’indirizzo, il numero di telefono, i codici pin e le password che si usano per accedere a siti, mail e, perché no, conti in banca.

Se l’attacco a un privato può quindi essere molto nocivo, immaginate i livelli di danni che può fare questo virus ai server di ospedali, banche, compagnie telefoniche o pubbliche amministrazioni.

Come proteggersi

Vista la delicatezza delle informazioni da proteggere è quindi necessario usare delle semplici precauzioni:

1. Non aprire mai gli allegati mail sui quali si hanno dei dubbi. Il mittente dell'email può non essere quello reale quindi è bene controllare attentamente l’indirizzo (che potrà essere sì molto simile, ma mai uguale a quello originale) e il testo della mail, verificando che sia attendibile. 

2. Utilizzare un buon antivirus/antispam lato server.

3. Utilizzare delle protezioni che agiscano a livello di singola macchina e non solo sul sistema centralizzato. 

4. Quando si lavora in Windows, usare un account utente standard per il lavoro quotidiano e non uno amministratore. In questo modo non si aprono gli accessi a livelli superiori ad eventuali attacchi. 

5. Attivare la visualizzazione delle estensioni conosciute in Windows e non fare mai doppio clic sui file con una doppia estensione.

6. Fare il backup dei dati preziosi. Tutti i file che servono devono essere salvati su un disco esterno che va staccato dal pc una volta completato il backup.

7. Le password di accesso alla mail, ai social e ai siti, infine, devono essere sufficientemente complesse e cambiate almeno ogni tre mesi.

8. Aggiornare tutti i software che si utilizzano, sistema operativo compreso.

Cosa fare se si viene colpiti da un ransomware

Premettendo che non sempre è possibile recuperare i dati che sono stati sottratti, come prima cosa, una volta che si viene colpiti da questo malware, è bene verificare quale ransomware ha crittografato i propri dati. Per fare ciò è necessario, a meno che non si sia esperti in materia, chiamare un professionista. 

Nel caso in cui venga richiesto un pagamento, ricordiamo che cedere a un’estorsione è un reato e quindi è bene fare subito denuncia alla polizia postale.

 

Sito offline per manutenzione

Venerdì 22 Settembre 2017, il sito tecsis.it sarà offline per manutenzione. 

Informiamo gli utenti che venerdì, a causa di lavori di manutenzione, il sito tecsis.it, l'applicazione web IridePLUS e i siti presenti sui nostri server, saranno offline per tutta la giornata.

Saremo comunque operativi e rimaniamo a disposizione per qualunque richieta.

GDPR: il trattamento dei dati dei dipendenti da parte del datore di lavoro

Il WP29 aggiorna le regole del trattamento dei dati nel rapporto di lavoro, alla luce delle nuove tecnologie informatiche e del GDPR.

L’evoluzione tecnologica abbinata al costante cambiamento del mercato del lavoro impone un conseguente adeguamento anche in ambito legislativo. Sullo sfondo il nuovo Regolamento Europeo 2016/679, Regolamento ispirato ad una maggiore trasparenza nella gestione dei dati e finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei propri dati personali.

Tali regole si applicheranno anche al trattamento dei dati nell’ambito del rapporto di lavoro.

Nel documento, rivolto non solo ai lavoratori dipendenti ma anche a quelli autonomi, il WP29 (il provvedimento adottato dal Gruppo sulla specifica materia) ha innanzitutto sottolineato che, nell’effettuare il trattamento di tale tipologia di dati personali, i datori di lavoro devono tenere ben presenti i diritti fondamentali dei lavoratori, ivi incluso il diritto alla loro riservatezza e solo dopo, individuare le basi giuridiche di tale trattamento, precisando che queste ultime possono distinguersi, alternativamente nell’:

  • Adempimento di obblighi derivanti da un contratto di lavoro;
  • Adempimento di obbligazioni previste dalla legge e
  • Nell’interesse legittimo del datore di lavoro.

Con particolare riferimento all’interesse legittimo del datore di lavoro poi, il WP29 ricorda di valutare preventivamente se il trattamento da porre in essere sia necessario e proporzionato per il perseguimento di una finalità legittima, redigendo in caso una valutazione d’impatto.

Si ricorda infine che nel caso in cui la manipolazione dei dati dei lavoratori si fondi sull’interesse legittimo del titolare, quest’ultimo è sempre tenuto ad assicurare agli interessati il diritto di opporsi al trattamento.

I casi

Il WP29 ha individuato 9 scenari tipici di trattamento di dati personali dei lavoratori, basati su un interesse legittimo del titolare del trattamento, che possono presentare dei rischi per i diritti e le libertà fondamentali dei lavoratori.

1. Trattamento dei dati dei candidati presenti sui social network

Il datore di lavoro può trattare i dati dei candidati presenti sui loro profili social (opinioni personali, abitudini, interessi, ecc.) solo nelle ipotesi in cui tali profili siano utilizzati per finalità lavorative. Il candidato deve inoltre essere informato della procedura, anche mediante indicazione all’interno dell’annuncio di lavoro.

2. Trattamento dei dati dei lavoratori presenti sui social network

Per quanto riguarda i dipendenti, i presupposti previsti sono pressoché gli stessi di quelli per i candidati, con un’imposizione aggiuntiva, per il datore di lavoro, di provare che non ci siano altri veicoli per arrivare alla finalità del trattamento (è legittimo, ad esempio, monitorare il profilo LinkedIn di un ex dipendenti per controllare che non abbia violato il patto di non concorrenza).

3. Monitoraggio della strumentazione informatica dei lavoratori

Si ritiene che il trattamento dei dati dei lavoratori, relativo all’utilizzo della loro strumentazione informatica (mail, cronologia delle ricerche, telefonate ecc.), rappresenti la più grande minaccia alla loro sicurezza. Si incoraggia perciò l'adozione di soluzioni che limitino l'accesso indiscriminato ai dati, sia per tipologia sia per orizzonte temporale.

Con particolare riferimento all’utilizzo della strumentazione informatica da remoto invece, pur dovendo far fronte a possibili accessi da parte di terzi, le misure di sicurezza quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di “screen capture”, sono considerate illegittime. 

4. Mobile Device Managment

Prima dell’inizio del trattamento di tali dati deve essere effettuata una Data Protection Impact Assessemnt (DPIA), al fine di verificare la necessità del trattamento rispetto alle finalità perseguite. I dipendenti devono inoltre essere adeguatamente informati dei controlli e delle conseguenze relative.

5. Wearable Devices

I dati personali raccolti tramite strumenti che monitorano l’attività fisica della persona, possono essere trattati solo dai diretti interessati ed eventualmente dal fornitore del servizio. Il monitoraggio da parte del datore di lavoro è considerato illegittimo.

6. Rilevazione della presenza dei lavoratori

Alcuni strumenti utilizzati dal datore di lavoro per finalità del tutto legittime, possono comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro. Tali trattamenti di dati sono però legittimi in quanto di interesse del titolare, finalizzato a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale. I lavoratori devono essere informati di tale trattamento con un’apposita informativa.

7. Trattamenti di dati mediante sistemi di videosorveglianza

L’utilizzo delle tecnologie che consentono il video monitoraggio dei lavoratori è illecito, in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.

8. Geolocalizzazione dei veicoli

Il trattamento dei dati tratti dalla geolocalizzazione dei veicoli aziendali, effettuato per il perseguimento di finalità legittime del datore di lavoro quali, ad esempio, la tutela della sicurezza di veicoli e/o lavoratori o ancora per la pianificazione in tempo reale di alcune attività lavorative, risulta del tutto lecito. Illecito è invece monitorare i lavoratori e la loro posizione geografica nel caso in cui i veicoli aziendali possano essere utilizzati anche per finalità private. Si suggerisce di inserire un’informativa sulla privacy all’interno del mezzo.

9. Trasferimento dei dati personali dei lavoratori a terzi

In relazione al trasferimento dei dati dei lavoratori a terzi, il WP29 espone due casi: quello in cui tali dati siano trasferiti ai clienti finali e, dall’altro, l’ipotesi in cui siano comunicati tra società del medesimo gruppo aventi sede fuori dall’Italia. Con riferimento alla prima fattispecie, si ritiene che il trasferimento possa avvenire solo se fondato su un legittimo interesse del titolare; in relazione alla seconda invece, si richiamano i principi generali per il trasferimento di dati previsti dalla Direttiva 95/46/CE e, attualmente, trasposti all’interno del GDPR.

 

logo sito

Viale Svezia 16 - 35020 Ponte San Nicolò (PD)

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Codice SDI fatturazione:  T04ZHR3
(il secondo carattere è uno zero)

Tel. (+39) 049.7309 333
 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2021 TECSIS S.r.l. All Rights Reserved.

Search