Sentiremo parlare sempre più spesso di questi casi grazie all’obbligo di denuncia previsto dalla nuova normativa EU.

L’annuncio arriva direttamente dalla banca Unicredit di Milano che, con una nota, denuncia di “di aver subito un’intrusione informatica in Italia con accesso non autorizzato ai dati di clienti italiani relativi solo a prestiti personali”.

Gli hacker, nel corso di due attacchi pervenuti nell’autunno 2016 e nei mesi di giugno e luglio 2017, avrebbero violato i dati di circa 400.000 correntisti nel segmento dei prestiti personali. Fortunatamente, come precisano i portavoce, non sono stati acquisiti elementi sensibili, quali password, che possano consentire l’accesso ai conti dei clienti, permettendo transazioni non autorizzate.

L’attacco è avvenuto tramite un bug presente nei sistemi di un partner commerciale esterno italiano.

La banca ha prontamente adottato tutte le azioni necessarie volte ad impedire il ripetersi di tali intrusioni, anche in considerazione del fatto che, nel piano industriale Transform 2019, il Gruppo ha investito circa 2,3 miliardi di euro, proprio alla voce della sicurezza IT.

Nei prossimi giorni la banca si premurerà di contattare tutti i propri clienti ma non via mail o telefonicamente, per motivi di riservatezza. Un numero verde (800 323285) è stato comunque attivato per dare maggiori informazioni in merito.

Unicredit ha subito reagito all’attacco, preparando un esposto alla Procura di Milano e avviando un'indagine interna. Ieri è stata aperta un'indagine, per ora carico di ignoti, per accesso abusivo al sistema informatico e violazione della privacy.

Notizie come questa diventeranno sempre più comuni nei prossimi anni e non perché prima questi attacchi non avvenissero ma per l'applicabilità del Regolamento Europeo 679/16 in materia di protezione dei dati, entrato in vigore a maggio 2016, che sarà però operativo a partire dal 25 maggio 2018. All'articolo 33 della norma si specifica il vincolo per l'impresa a denunciare violazioni “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza”.

La legge, che prevede sanzioni molto forti in merito (fino al 4% dei ricavi annui dell’impresa), permetterà di avere più trasparenza circa l’affidabilità della sicurezza dei sistemi informatici che le aziende utilizzano per proteggere i dati dei loro clienti. Niente più insabbiamenti per salvare la reputazione di grandi marchi quindi, l’Autorità Garante avrà l’obbligo di verificare il livello di sicurezza dell’azienda, che dovrà attenersi a un regolamento molto rigido.

La scelta dei partner con cui si lavora dipenderà sempre più dall’attendibilità e dalle garanzie di sicurezza adottate per poter capire il livello di protezione adoperato sui dati che gli verranno affidati.

La tutela dei dati è stata considerata per anni quasi “opzionale”, con l’approvazione di questa legge invece le imprese non dovranno solo implementare le proprie misure di sicurezza ma anche dimostrare costantemente l'idoneità dei propri sistemi.

Visto il grande numero di dispositivi da controllare e i numerosi canali di accesso, nonché la possibilità di “cavalli di Troia” pervenuti da indirizzi “amici”, pare che la vera sfida non sarà tanto impedire gli attacchi ma rilevarli in tempo.

È sufficiente avere strumenti a norma per poter dire di lavorare a norma?

La necessità di passare dai documenti analogici a quelli digitali e di utilizzare ambienti web per avvicinare i servizi ai cittadini, ha provocato, negli ultimi 10 anni, una notevole produzione di nuove norme e un adattamento di quelle esistenti.

Non poteva d’altronde essere altrimenti, visto che l’introduzione di nuove forme di comunicazione ha comportato la necessità di regolare dinamiche nuove.
Quello che accade sempre più spesso è però che la norma abbia evoluzioni talmente veloci che le strutture operative, e di conseguenza le persone che lavorano per esse, non riescano ad adeguare le proprie competenze al livello richiesto.
Un problema non da poco se consideriamo che la conoscenza è il più grande patrimonio di qualsiasi struttura lavorativa.
A cosa porta questa mancanza di aggiornamento/formazione?
Innanzitutto all’incapacità del personale dirigente a rivedere i processi lavorativi in modo da adeguarli ai nuovi paradigmi e alle nuove regolamentazioni ma anche all’incapacità di gestire gli strumenti software che stanno poi alla base di gran parte di questi cambiamenti.

L’approccio diventa semplicemente quello del mero adempimento, con una scarsa visione d’insieme. Un'impostazione che alla fine difficilmente porta vantaggi per la PA ma complicazioni, ridondanze pericolose e difficoltà di gestione dei procedimenti.

Nell’ambito della gestione documentale, il sommarsi di questi fattori negativi, può portare all’incapacità di trattare o reperire documenti, siano essi file o cartacei, in virtù di una loro scorretta amministrazione, classificazione o aggregazione. Tutto questo fino a perdere l’unitarietà dell’archivio e della sua gestione, quindi l'incapacita di gestire correttamente il fascicolo amministrativo.
In questo quadro risulta quindi chiaro che la semplice adozione di uno strumento software, per quanto adeguato, non può di per sé rendere sereni. Molto più importante è uno studio del processo e la sua revisione in ottica "compliance". Sarà quindi il processo a guidare il lavoro e la scelta/revisione anche del software che dovrà risultare adatto alla nuova strategia.

Le competenze, sia tecnico informatiche sia archivistiche, sono perciò l'elemento chiave che rappresenta un presupposto irrinunciabile.

Nel panorama appena descritto, TECSIS non vuole limitarsi a fornire strumenti software ma anche a guidare i propri clienti nella presa di coscienza della visione d’insieme, proponendo modelli organizzativi mirati a rendere i processi più efficienti, completi e “a norma”.

AgID, l'agenzia incaricata di governare i processi di digitalizzazione della Pubblica Amministrazione,  per realizzare l'obiettivo di fondo di facilitare e diffondere gli strumenti di pagamento elettronici nella PA , ha realizzato il sistema "pagoPA".

Sicuramante una grande opportunità per i cittadini e le stesse pubbliche amministrazioni che ha regime ha il grande merito di uniformare e allargare i sistemi di pagamento per qualsiasi strutture, sia essa grande o piccola e periferica.

Tecsis è in prima fila in questo processo e ha già implementato i meccanismi che consentono alcune importanti interazioni con i propri applicativi. Un processo non eludibile che è bene affrontare fin da subito per averne, entro il 2017 i massimo benefici.

Come tutti i cambiamenti sarà necessario un periodo di assestamento, in quanto gli attori in campo sono tanti (Banche, circuiti Tabaccherie e Sisal, Poste, ecc) e alcune difficoltà di sistema non mancano, ma è certo che in breve tempo vi sarà una normalizzazione che porterà benefici a tutti.

Fai entrare anche il tuo Ente nel circuito dell'innovazione e dell'integrazione, richiedici Informazioni.

 

 

In coerenza con gli obiettivi aziendali 2017 che ci vogliono protagonisti nell'ambito della sicurezza dei dati, abbiamo recentemente Acquisito la certificazione DPO a abbiamo avviato un importante processo di consolidamento delle competenze grazie anche all'adesione all'ASSO DPO.

Associazione nata da alcuni professionisti nei settori Privacy, che si occupa di fornire formazione e consulenza informatica ai propri associati. In particolare l’Associazione, attiva ormai a livello europeo, è diretta a sostenere e sviluppare l’attività dei Data Protection Officer, dei Consulenti della Privacy, dei Responsabili della Protezione dei Dati e dei Chief Privacy Officers, mediante il confronto e lo scambio di informazioni tra gli associati.

Nei giorni 8 e 9 Maggio 2017 si terrà a Milano il congresso nazionale e TECSIS sarà presente come PLATINUM SPONSOR dell'evento nel quale presenterà i suoi servizi ed il nuovo software per il supporto di tutti i professionisti della Privacy.

Clicca qui per accedere alle informazioni ed al programma del congresso.

 

 

SPID- sistema Pubblico di Identitita Personale

Sembra che questo SPID semplificherà la vita a tutti i cittadini che utilizzano il web per interagire con la Pubblica Amministrazione e la norma prevede che la Pubblica Amministrazione provveda ad adeguare i propi siti e servizi entro il 31/12/2017.

Ma ma cos'è SPID?

SPID è il sistema di autenticazione che permette a cittadini ed imprese, di accedere ai servizi online della PA, e dei privati aderenti, con un’identità digitale unica. L’identità SPID è costituita da credenziali (nome utente e password) che vengono rilasciate all’utente e che permettono l’accesso a tutti i servizi online.

Non più decine di password da ricordare o annotare, ma una sola.

Ovviamente in caso di perdita di riservatezza ci si potrebbe trovare in una condizione di grande vulnerabilità, in un sol colpo il ladro di identità avrebbe la nostra stessa facilità ad accedere alle ostre informazioni. Per questo il sistema di sicorezza SPID è basato su diversi livelli di sicurezza, che prevedono anche l'uso di Codici OTP che vengono inviati in diversi modi, per esempio via SMS su un numero di cellulare fornito al momendo della registrazione.

Proprio in questo periodo SPID compie il primo anno di vita e vanta al suo attivo oltre 1.000.000 identità rilasciate dai gestori accreditati, a cui si aggiungono oltre 4.000 le Amministrazioni che hanno reso disponibili i propri servizi online attraverso l’accesso con SPID.

Solo per fare alcuni esempi:

  • Mercato elettronico della Pubblica Amministrazione (a cui accedono sia PA e sia Imprese);
  • Portale ANAC per l’attribuzione del CIG;
  • Banca dati INPS / INAIL per la richiesta del DURC;
  • Banca dati per l’accesso alla certificazione antimafia;
  • Banca dati per l’accesso al Casellario Giudiziario;
  • Registrazione dei contratti presso l’Agenzia delle Entrate;

Se sei una PA e fornisci servizi on line, ricorda che entro la fine del 2017 devi consentire ai fruitori dei servizi di poter accedere con SPID.

Il nostro Staff tecnico è a vostra disposizione per fornire tutte le informazioni del caso e realizzare con voi un progetto di adeguamento dei sistemi on line dell'Ente.

 

logo sito

Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Codice SDI fatturazione:  T04ZHR3
(il secondo carattere è uno zero)

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2019 TECSIS S.r.l. All Rights Reserved.

Search