L’esposto contro i malfunzionamenti del MePA ricevuto dall’ANAC parte da Porzio & Partners e ha l’obiettivo di rendere più efficiente il Mercato Elettronico delle Pubblica Amministrazione. Tra offerte illegittime e informazioni ingannevoli, il portale risulta di ben difficile navigazione per gli utenti

Parte da Porzio & Partners l’esposto arrivato all’ANAC contro il Consip e che ha lo scopo di segnalare evidenti problematiche del portale MePA.

La società ha spiegato chiaramente quali siano state le motivazioni che l’hanno spinta ad agire e sottolineano soprattutto come, quella dell’esposto, non sia stata una scelta impulsiva ma ragionata e con un fine ben specifico: quello di spingere il Consip a migliorare il MePA, uno strumento che non solo prezioso nell’offrire un punto di contatto trasparente tra aziende e Pubblica Amministrazioni ma il cui utilizzo è anche obbligatorio.

Porzio & Partners ha spiegato come abbiano raccolto nel tempo le segnalazioni di molti clienti scontenti (la società offre consulenza sugli appalti) e abbia testato le varie lamentele, per trovarle fondate. A quel punto hanno cercato un confronto con Consip alla quale, per mezzo PEC, hanno segnalato le criticità rilevate. Come risultato non hanno avuto nulla nemmeno un “abbiamo preso atto”, riporta Francesco Porzio.

Dopo oltre due mesi dalla comunicazione hanno quindi deciso di agire e, il 28 giugno 2018, è stato inviato l’esposto all’ANAC (Autorità Nazionale Anticorruzione).

Tra i problemi segnalati abbiamo:

  • Il Catalogo pieno di offerte illegittime, con prezzo pari a zero o addirittura negativo (per chi non lo sapesse, sul MePA), i prodotti con prezzo più basso vengono proposti per primi agli utenti;
  • Funzionalità illeggitime di inviti alle imprese alle gare;
  • Impossibilità di eseguire confronti di offerte. Il MePA vanifica l’utilità di oltre 8 milioni di offerte che le Imprese inseriscono nel Catalogo e, per giunta, le grandi modifiche introdotte nel portale dal 19 febbraio scorso hanno oggettivamente aggravato la situazione anziché migliorarla;
  • Pessima funzionalità di ricerca e confronto compotito di offerte;
  • Vizi nella procedura di abilitazione alle imprese;
  • Assenza di una controllo sulle procedure;
  • Frequenza del sistema “fuori servizio”;
  • Informazioni ingannevoli o errate fornite sul portale ConsipA questo va ad aggiungersi una scarsa praticità d’uso del portale, sia lato PA sia lato imprese, le quali hanno spesso bisogno, entrambe, di un supporto formativo che non sempre si rivela sufficiente.

L’obiettivo dell’esposto, ricordiamo comunque, non vuole essere una critica fine a sé stessa ma, al contrario, un invito al Consip a rendere lo strumento seriamente efficiente.

Tags:

Con il rilascio di Chrome 68 il 25 Luglio 2018 la nuova interfaccia del browser consente agli utenti di sapere precisamente quando stanno navigando in un sito web sicuro o meno, mostrando i siti in http come “non sicuri”

Ieri, 25 luglio 2018, è stata rilasciata la nuova interfaccia di Google Chrome. Da ieri quindi il browser di Google segnalerà, accanto all’url dei siti web facenti uso del protocollo http, che questi non sono sicuri.

Questo cambiamento era iniziato già iniziato a ottobre 2017, quando Chrome aveva cominciato a segnalare come “non sicuri” i siti che utilizzavano il protocollo http e che richiedevano un qualche dato dell’utente (indirizzo mail, password o coordinate bancarie ad esempio) mentre gli altri non avevano nessuna indicazione particolare. Col nuovo rilascio invece il browser contrassegnerà con la scritta “non sicuro” tutti i siti ancora in HTTP, mentre nei siti con HTTPS si vedrà solo il lucchetto verde, senza più la scritta “sicuro” (questo da settembre 2018).

L’HTTPS (l'HyperText Transfer Protocol over Secure Socket Layer) è un protocollo per la comunicazione sicura attraverso una rete di computer utilizzato su internet. La porta utilizzata, di solito (ma non necessariamente), è la 443. HTTPS consiste nella comunicazione tramite il protocollo HTTP (HyperText Transfer Protocol) all'interno di una connessione criptata dal Transport Layer Security (TLS) o dal precendente Secure Sockets Layer (SSL). Il principio che sta alla base di HTTPS è quello di avere:

  • un'autenticazione del sito web visitato
  • protezione della privacy
  • integrità dei dati scambiati tra le parti comunicanti

Quando si apre una connessione a un sito web in HTTP la connessione non è crittografata e questo potrebbe portare a un’intercettazione da parte di malintenzionati che, oltre ad avere l’accesso al sito stesso per modificarne i contenuti, potrebbero addirittura captare password o dati personali che l’utente inserisce per accedere, magari, a un’area riservata.

Si intensifica quindi la richiesta di Google ai proprietari di siti web ad adottare la crittografia HTTPS per garantire a tutti gli utenti trasferimenti di dati riservati e possibili intercettazioni.

Da sempre molto attivo in ambito di sicurezza informatica, Google ha deciso di adottare questo espediente per “spaventare gli utenti” e renderli più restii ad effettuare accessi su siti i cui proprietari non si sono premurati di effettuare questo aggiornamento.

Nel caso in cui il tuo sito non sia ancora aggiornato col protocollo HTTPS non esitare a contattarci!

Stefano Faggin

Ci sono alcune app che, per motivi di sicurezza, vengono bloccate sui device aziendali dalle compagnie. Vediamo perché e quali sono

Accade spesso, nel nostro mondo sempre più digitale e sempre più iperconnesso, che i dipendenti utilizzino WhatsApp sul telefono aziendale per comunicare e scambiarsi documenti con clienti e fornitori. Accade ancora di più da quando le compagnie hanno sposato la filosofia BYOD (Bring Your Own Device), che consiste appunto nel permettere ai lavoratori di usare i propri pc, smartphone o tablet per fini lavorativi.

Ecco quindi che scatta l’allarme sicurezza che va ad impattare, di rimando, anche sugli strumenti personali dei dipendenti, finendo per indagare su quali app vengono installate sui vari device e obbligando le aziende a creare delle vere e proprie “black list”, oltre a processi e protocolli che vietino l’utilizzo di alcune applicazioni per scambiarsi determinate informazioni. Queste liste nere sono gestite in base alle specificità di ogni azienda.

Nel suo report aggiornato Appthority ha rivelato quali sono le app Android e iOS che vengono più frequentemente bloccate in ambito aziendale. 

Sul podio troviamo WhatsApp che, ad esempio, ha l'onore di essere l'app più popolare sui dispositivi iOS utilizzati nelle imprese ma, allo stesso tempo, quella più frequentemente inserita nelle "liste nere".

Questo perché il servizio utilizza una cifratura end-to-end (e cioè che mantiene le chiavi crittografiche direttamente sui device interessati) che quindi è molto sicura tuttavia, essendo una applicazione corporate, le aziende non hanno nessun controllo aggiuntivo e non possono quindi cancellare dati, rimuovere utenti dai gruppi o disabilitarne l’accesso.

Ciò fa sì che lo strumento sia quindi adatto per le comunicazioni interpersonali ma non per quelle lavorative, in cui vengono spesso scambiati anche documenti confidenziali.

Le prime app della lista per quanto riguarda il sistema operativo Andriod sono Facebook Messenger, Wrickr Me e Whatsapp, mentre per iOS abbiamo Facebook Messenger, Whatsapp e Tinder. 

app android ios azienda 2 1017 1

Da notare come lato iOS vengono bloccate in particolar modo le app che raccolgono informazioni e le trasmettono verso server remoti: tra i dati fatti propri ci sono SMS, liste dei contatti, informazioni sulla geolocalizzazione e altro ancora. 

Appthority ha anche accertato che la maggior parte dei dati raccolti dalle app non viene dirottata verso server cinesi o russi, come molti si aspetterebbero, ma invece verso gli Stati Uniti. 

Le conseguenze di queste restrizioni lasciano qualche dubbio sull’effettiva efficienza del BYOD e soprattutto lasciano il rischio che i dipendenti, se non correttamente formati in ambito di sicurezza informatica, ricerchino soluzioni di comunicazione istantanea alternative, che potrebbero dimostrarsi ancora meno protette.

Stefano Faggin

PagoPa è un sistema di pagamenti elettronici che rendono più trasparente e sicura qualsiasi transazione vero la Pubblica Amministrazione

PagoPA è una piattaforma che gestisce i pagamenti verso la Pubblica Amministrazione rendendoli più sicuri, trasparenti e semplici. 

Le transazioni possono essere effettuate direttamente online, ad esempio sul sito della PA verso cui si deve fare il versamento, oppure attraverso i PSP, cioè i Prestatori di Servizi di Pagamento che hanno aderito alla standardizzazione dei pagamenti verso gli Enti Pubblici.

I PSP rendono quindi possibile effettuare pagamenti non solo online, ma anche in maniera fisica, come ad esempio presso gli sportelli ATM della banca, gli Uffici Postali e i punti vendita SISAL e Lottomatica.

Il sistema permette di pagare tributi, tasse, utenze, rette, quote associative, bolli e qualsiasi altro tipo di pagamento verso le Pubbliche Amministrazioni centrali e locali, ma anche verso altri soggetti, come le aziende a partecipazione pubblica, le scuole, le università, le ASL.

Per i cittadini il principale vantaggio di utilizzare il sistema di pagamenti pagoPA è sicuramente la trasparenza data da un sistema unico che fornisce chiari costi di transizione e importi definiti. pagoPA inoltre non consente pagamenti errati poichè controlla l’esistenza della posizione debitoria e la sua consistenza al momento del pagamento, rendendo gli errori pressochè impossibili. Nel caso in cui comunque venisse effettuato un doppio pagamento, ad esempio tramite pagoPA e utilizzando anche un F24, il cittadino potrà tranquillamente fare la segnalazione all’Ente che provvederà al rimborso. Oltre a questo vanno anche considerati i vantaggi di multicanalità integrata a livello nazionale, la sicurezza di un avviso di pagamento tramite un canale scelto da cittadino quali SMS o apposita app e la velocità del processo: sarà sufficiente infatti il codice IUV (Identificativo Unico Versamento) per pagare e ricevere la quietanza liberatoria.

Al cittadino rimane l’onere delle commissioni che, con pagoPA, nella peggiore delle ipotesi rimangono invariate rispetto agli altri metodi. La differenza è che con pagoPA vengono esposte in modo trasparente al cittadino che potrà rendersi conto come tendenzialmente i costi si riducono. Prima dell’introduzione di questo servizio, in molti casi, era l’Ente Creditore a inglobare i costi di commissione all’interno del tributo o del servizio, che rimaneva quindi nascosto all’utente finale.

Per quanto riguarda le Pubbliche Amministrazioni, il servizio è obbligatorio ai sensi di legge dal 2012 ma offre anche molti vantaggi, tra cui quello di avere un servizio semplice, affidabile e standardizzato che comunque non comporti dei costi eccessivi.

Grazie alla collaborazione con il nostro partner E-Fil, azienda leader nell’ambito dei sistemi di riscossione elettronica, abbiamo integrato il sistema PagoPA alle nostre applicazioni Iride e Conto e siamo in grado di fornire assistenza e consulenza progettuale.

Iride, il software gestionale per l’amministrazione degli albi professionali dà evidenza degli avvenuti pagamenti da parte degli iscritti e Conto, il programma per la contabilità della PA, interagendo col sistema, rende evidenti i pagamenti anche dal lato contabile. L’assegnazione di un codice univoco al pagamento permette inoltre di sapere da ci arriva la transizione, anche quando viene effettuata da conti bancari terzi.

Il sistema PagoPA è sicuramente una grande opportunità in particolare per le piccole amministrazioni che, diversamente, non potrebbero offrire ai propri utenti un ventaglio così ampio e vario di sistemi di pagamento.

Tags:
Stefano Faggin

La prima multa per Facebook, legata al caso Cambridge Analytica, arriva dalla Gran Bretagna: una sanzione di 500.000 sterline, per aver violato i dati personali di oltre 87 milioni di utenti

Facebook dovrà pagare una maxi multa da mezzo milione di sterline (oltre 565mila euro) come conseguenza allo scandalo Cambridge Analytica che ha coinvolto il social network nel 2015 e che ha portato a una serie di eventi, coinvolgendo in prima persona anche Mark Zuckerberg, il CEO di Facebook.

La ICO (Information Commissioner's Office), cioè l’autorità britannica sulla privacy, ha dichiarato di aver inflitto la massima sanzione prevista dalla sua legislazione per questo tipo di infrazioni anche per dare una scossa all’opinione pubblica e all’importanza che ha la protezione dei dati in un mondo sempre più digitalizzato come il nostro.

È importante infatti che gli utenti si rendano conto che i dati personali appartengono solo a loro e devono perciò averne il pieno controllo.

Facebook ha fatto dell’economia dei big data la sua economia, costruendo un impero sulla condivisione con aziende delle informazioni sugli utenti, al social viene contestato infatti di non aver protetto adeguatamente i dati degli utenti e di aver dato prova di scarsa trasparenza sul caso.

La sanzione arriva a monte di un lungo rapporto fatto dall’associazione consumatori norvegese, la Forbrukerrådet, nel quale emergeva come Facebook, nonostante l’effettiva entrata in vigore del GDPR, il Regolamento europeo sulla Protezione dei Dati, avesse sì modificato la sua privacy policy per rendere più trasparente l’uso che fa dei dati degli utenti ma che avesse manipolato le scelte sulla condivisione degli stessi. Un esempio lampante è quello del riconoscimento facciale per cui sono state espressi chiaramente i benefici di questa tecnologia, senza però menzionarne le criticità.

Intanto l’attenzione si sposta sull’utilizzo dei dati presi dalle aziende tramite Facebook per scopi di behavioral advertising e di marketing politico e cominciano a circolare voci circa la necessità di un codice di comportamento che eviti gli abusi e che garantisca che le elezioni abbiano uno svolgimento corretto. È assodato infatti che gli adv sul social abbiano considerevolmente influenzato le elezioni politiche negli USA e il risultato del referendum sulla Brexit. L’impatto del targeting pubblicitario attraverso questi canali è altissimo e il social pare non essere abbastanza trasparente circa la comunicazione fatta agli utenti su questo punto.

Proprio per questo negli USA il datagate è soggetto a un’indagine congiunta di Federal Trade Commission, dipartimenti di Giustizia e FBI: l’inchiesta ha il fine di verificare proprio la conformità della comunicazione pubblica fatta dall’azienda a utenti e azionisti.

Le associazioni di consumatori di Spagna, Portogallo, Belgio e Italia (con Altroconsumo) hanno fatto partire lo scorso aprile una class action contro il colosso social che punta a ricevere risarcimenti fino a 200€ per utente.

Tags:
Stefano Faggin

La cultura è tutta importante. Quella in ambito di sicurezza informatica, oggi, lo è moltissimo. Vediamo perché

350%. Questa è la percentuale di crescita annuale dei malware, secondo il Cybercrime report 2016. Questo, in numeri, significa che circa ogni 40 secondi una azienda è vittima dei virus informatici.

Sempre più spesso questi sono ransomware, una particolare categoria di malware che cryptando le informazioni dei sistemi informatici li blocca, per poi chiedere ai malcapitati un riscatto per rientrarne in possesso. Ma questo era all’inizio, ora, con l’avvento del GDPR e delle importanti sanzioni che ne seguono, le nuove versioni di ransonware innalzano il livello d’allarme nelle aziende in quanto la richiesta di riscatto non è più solo finalizzata a riottenere i propri dati cryptati quanto a non diffondere nel dark web le informazioni cryptate e sottratte dai sistemi. Ecco che molte aziende non preparate hanno ceduto ai ricatti versando ingenti somme agli hacker.

Esserne colpiti, in assenza di adeguate misure preventive, può essere un grande colpo all’operatività ed all’immagine aziendale, il ripristino dei dati e dei sistemi può essere lungo e laborioso, quando possibile.

Quindi, se da un lato l’industria 4.0 e la digitalizzazione dei processi industriali hanno contribuito al miglioramento e allo snellimento dei processi gestionali, dall’altro si sono moltiplicate le possibilità di subire attacchi informatici.

I Chief Security Officier devono quindi prestare sempre più attenzione alle infrastrutture e alle reti aziendali, tuttavia non sono solo loro a dover essere accorti.

L’80% di questi virus arriva per posta e, spesso, bypassando i sistemi di sicurezza come firewall e antivirus, giungono direttamente alle caselle mail degli impiegati che aprono gli allegati tranquillamente, fuorviati da semplici trucchi di ingegneria sociale, come la richiesta di apertura di fatture o fotografie.

In un contesto di questo tipo diviene quindi fondamentale supervisionare integralmente i Sistemi di Controllo. Tra le varie minacce, esterne e interne, che mettono a rischio i processi aziendali ci sono ad esempio:

• Virus 

• Minacce software

• Errori del personale aziendale (un elemento troppo spesso sottovalutato)

• Deterioramento dell’ambiente di sicurezza esterno

Un sistema informatico avanzato e completo delle ultime novità in campo di sicurezza informatica quindi, diventa del tutto inutile se il personale non è adeguatamente formato a riconoscere le minacce e a guardare ciò che si presenta nel sistema informativo con occhio critico.

Un altro fattore importante e spesso sottovalutato dalle PMI è l’analisi dei rischi, che van effettuata non una volta l’anno, ma almeno con cadenza mensile se non settimanale. In definitiva è buona prassi avere un personale, soprattutto quello amministrativo, ben preparato e attento oltre a prevedere un budget dedicato alla sicurezza informatica ed in particolare alla formazione ed all’aggiornamento. 

Se hai dubbi sulla tua infrastruttura o vuoi consigli sulla cyber security, contattaci, il nostro personale è a disposizione per indirizzare PMI ed Enti Pubblici verso la compliance dei sistemi informatici al GDPR, con un particolare orientamento formativo verso le good practice.

Stefano Faggin

La sicurezza fa un altro passo in avanti: la Wi-Fi Alliance, ha annunciato il rilascio ufficiale della WPA3

Wi-Fi Alliance® ha introdotto pochi giorni fa Wi-Fi CERTIFIED WPA3™, la nuova generazione di sicurezza Wi-Fi, che offre nuove funzionalità per potenziare le protezioni Wi-Fi nelle reti personali e aziendali.

La nuova protezione, arrivata dopo un decennio di WPA2, aggiunge nuove funzionalità, volte a semplificare la sicurezza Wi-Fi, abilitare un sistema di autenticazione più robusto e fornire una forza crittografica maggiore per far fronte al mercato crescente dei dati sensibili.

Partiamo dal principio: cos’è il WPA.

Il WPA (Wi-Fi Protected Access) è un protocollo di sicurezza e programmi di certificazione di sicurezza, sviluppati dalla Wi-Fi Alliance, un'organizzazione nata nel 1999 e formata da alcune industrie leader nel settore con lo scopo di guidare l'adozione di un unico standard per la banda larga senza fili nel mondo, col fine di proteggere le reti di computer wireless.

Nel 2004, il WPA è stato sostituito con il WPA2 che include il supporto obbligatorio per CCMP, una modalità di crittografia basata su AES, che rende le reti più sicure. Ad oggi la certificazione WPA2 è obbligatoria per tutti i nuovi dispositivi a marchio Wi-Fi.

Con l’annuncio della release ufficiale di WPA3, la Wi-Fi Alliance apre la strada verso una sicurezza più completa, grazie soprattutto a una serie di accorgimenti che mettono una pezza alle vulnerabilità più evidenti del vecchio standard.

La sicurezza WPA3 continua a supportare il mercato attraverso due distinte modalità operative: WPA3-Personal e WPA3-Enterprise. Tutte le reti WPA3 utilizzano i più recenti metodi di sicurezza, non consentono protocolli legacy obsoleti e richiedono l'uso di Protected Management Frames (PMF) per mantenere la resilienza delle reti mission critical. Le funzionalità chiave di WPA3 includono:

- WPA3-Personal: più resiliente rispetto alla versione 2, l’autenticazione è basata su password anche quando gli utenti scelgono password che non rispettano i consigli sulla complessità. WPA3 sfrutta l'autenticazione simultanea di Equals (SAE), un protocollo di sicurezza delle chiavi tra i dispositivi, per fornire protezioni più forti per gli utenti contro tentativi di indovinare la password da parte di terzi.

- WPA3-Enterprise: offre l'equivalente della forza crittografica a 192 bit, fornendo ulteriori protezioni per le reti che trasmettono dati sensibili, come il governo o la finanza, introducendo una serie di algoritmi e procedure di autenticazione che superano i limiti del vecchio IEEE 802.1X.

Viene inoltre confermata l’introduzione di Wi-Fi easy Connect, una tecnologia che migliora il dialogo con dispositivi IOT (Internet Of Things), privi di display.Anche il problema legato all’attacco KRAK dovrebbe finalmente essere risolto grazie ai nuovi standard di protezione.

logo sito

Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2018 TECSIS S.r.l. All Rights Reserved.

Search