Skip to main content

Autore: admin_sicurezza360

EMAIL PUBBLICITARIE:
QUANDO IL CONSENSO È FONDAMENTALE

L’invio di email pubblicitarie senza il consenso esplicito dei destinatari può essere considerato spam e potrebbe violare le normative sulla privacy e il trattamento dei dati personali.

Il Garante privacy ci ha tenuto a precisare, comminando una sanzione di 10.000€ ad una società, che un link per rimuovere l’iscrizione dalle email promozionali inviate senza consenso non ne rende lecito l’invio. L’intervento dell’Autorità ha seguito la segnalazione di un utente che lamentava la continua ricezione di email indesiderate, nonostante si fosse opposto a tali invii, e di non aver avuto alcuna risposta da parte della società.

La società ha provato a difendersi dichiarando di aver estratto i nominativi da alcuni elenchi pubblici e che i dati poi sarebbero stati trattati sulla base di un legittimo interesse, ma il Garante ha sottolineato che l’invio di comunicazioni con modalità automatizzate è permesso solo con il consenso dell’utente-contraente.

Ecco le misure efficaci che puoi adottare se hai ricevuto email pubblicitarie non richieste:

  1. Segna l’email come spam: la maggior parte dei provider di posta elettronica offre la possibilità di segnalare un’email come spam o indesiderata. In questo modo, l’algoritmo del provider di posta potrebbe identificare futuri messaggi provenienti dallo stesso mittente come spam e bloccarli automaticamente.
  2. Cancellazione o disiscrizione: alcune email pubblicitarie potrebbero contenere un link per la disiscrizione. Se ti senti sicuro di farlo, puoi cliccare sul link per rimuovere il tuo indirizzo email dalla loro lista di distribuzione.
  3. Blocco del mittente: puoi aggiungere l’indirizzo email del mittente alla lista di blocco o ai filtri antispam del tuo client di posta elettronica per evitare che i messaggi futuri arrivino nella tua casella di posta in arrivo.
  4. Segnalazione alle autorità competenti: se ritieni che le email pubblicitarie siano particolarmente invasive o violino la normativa sulla privacy, puoi segnalare il problema alle autorità competenti, come l’Autorità Garante per la protezione dei dati personali (in Italia) o l’agenzia nazionale di regolamentazione delle comunicazioni.

Vuoi partecipare ad una call in Zoom con il nostro esperto privacy? Completa il form qui sotto ↓

CYBERSECURITY: PHISHING E RANSOMWARE, COSA SONO E COME DIFENDERSI

L’attività di cyber crime è, ad oggi, più redditizia del commercio illegale di droga: infatti, secondo le ricerche pubblicate da Cybersecurity Ventures (il principale ricercatore al mondo sulla sicurezza informatica), i costi globali del crimine informatico sono destinati ad aumentare. Le previsioni parlano del 15% all’anno, fino a raggiungere i 10,5 trilioni di dollari, ogni anno, entro il 2025.

I cyber attacchi possono colpire chiunque, dai privati, alle piccole e fino alle grandi imprese e multinazionali e, nella maggior parte dei casi, a fare la differenza è l’elemento umano: infatti, circa il 95% degli attacchi cyber è causato dall’errore umano.

Ciò vuol dire che le persone non sono sufficientemente ed adeguatamente formate per riconoscere e gestire un attacco informatico.

Come nel caso dell’Italia che, per quanto riguarda il capitale umano, si colloca – secondo una ricerca condotta nel 2022 da DESI (Digital Economy and Society Index) – al 25° posto su 27 Paesi dell’UE, con solo il 46% delle persone aventi perlomeno competenze digitali di base.

I principali attacchi cyber vengono realizzati attraverso il phishing e i ransomware.

Il phishing (derivante dall’omofonia con fishing, “pescare”) è un metodo ingannevole che, mettendo in pratica il cosiddetto “social engineering” (ossia la manipolazione della persona attraverso la psicologia), cerca di indurre una vittima, mediante una falsa comunicazione, a collegarsi ad un sito bersaglio simile all’originale (ad esempio, il sito di una banca), al fine di rivelare informazioni personali quali, ad esempio, le credenziali di accesso, i numeri di carta di credito, i dati bancari, o per veicolare all’interno del dispositivo utilizzato un malware (ovvero un software dannoso).

Il principale esempio di questa truffa informatica è dato dalle email di phishing, che rappresentano circa l’80% dei vettori di attacco.

Esistono poi delle varianti. Nello specifico:

  • Smishing, ossia “SMS phishing”, realizzato attraverso l’invio di messaggi su dispositivi mobili;
  • Vishing, ossia “phishing vocale”, la truffa telefonica;
  • QRishing, ossia “QR Codes + phishing”; attacco sotto forma di un codice QR che indirizza a un link web contenente malware, evitando in questo modo i controlli antispam.

Si distinguono dal phishing, poi, lo spear phishing e il watering hole.

Il phishing consiste nella “pesca a strascico”, ossia nell’invio della medesima comunicazione ad un milione di utenti, sapendo che almeno il 10% delle comunicazioni verranno aperte e che almeno l’1% delle persone cliccherà sul link e/o sul file allegato.

Lo spear phishing (ossia, la “pesca con la fiocina”) consiste invece in un attacco mirato ad una specifica Organizzazione.
In questo caso il cyber criminale studia la propria vittima, raccogliendo informazioni dai siti internet e dai social e, successivamente, confeziona una email personalizzata per indurre l’utente in errore.

Infine, il watering hole (ossia “l’abbeveratoio”) è un attacco, ormai sempre meno efficace, attraverso il quale i criminali compromettono ed infettano i siti visitati dalle potenziali vittime; in questo caso, è la vittima ad andare nel sito infetto e non l’attaccante a sollecitarne la visita attraverso una email.

In tutti i casi sopra riportati, è fondamentale che l’utente presti attenzione al link del sito internet su cui clicca.

Molto spesso, infatti, si pensa che il sito internet che utilizza il protocollo HTTPS sia sicuro; tuttavia, il protocollo HTTPS garantisce solo che le informazioni trasmesse sul sito saranno criptate, ma dice poco o nulla sull’autenticità di chi possiede il sito web che l’utente sta visitando.

È fondamentale, inoltre, imparare a riconoscere quelli che vengono definiti “attacchi omografici”, ossia quegli attacchi ingannevoli che sfruttano la somiglianza visiva di caratteri differenti. Questo tipo di attacco (definito typosquatting) viene utilizzato per creare e registrare domini fasulli, con nomi praticamente identici a quelli di domini esistenti, per ingannare gli utenti e indurli a visitarli.

Per ransomware si intende, invece, un malware (ossia un programma informatico malevolo) la cui funzione è quella di infettare un dispositivo digitale, bloccando l’accesso a tutti o a parte dei dati ivi contenuti.

L’utilizzo di questi malware è aumentato esponenzialmente negli ultimi anni e circa il 75% degli stessi sono di origine russa.

Oltre a bloccare i dati tramite criptazione, i più recenti attacchi ransomware si concretizzano anche nella sottrazione degli stessi e nella minaccia della loro diffusione (double extorsion), esponendo così l’Organizzazione alle sanzioni di cui al Regolamento (UE) 2016/679 in materia di trattamento dei dati personali.

A seguito dell’attacco, il cyber criminale chiede all’Organizzazione il pagamento di un riscatto per la restituzione dei dati sottratti e/o criptati. Tale importo ha subito, nel corso degli anni, un significativo aumento, passando da poche centinaia fino ad arrivare a milioni di dollari.

I vettori di infezione utilizzati dai ransomware sono:

  • Email di phishing;
  • Navigazione su siti compromessi;
  • Supporti rimovibili, ad esempio chiavetta USB;
  • Altri software che vengono scaricati (ad esempio, possono essere inseriti all’interno di programmi gratuiti che consentono all’utente di craccare software costosi per utilizzarli senza pagare);
  • Collegamenti remoti, tipo VPN.

I file più utilizzati come allegati malevoli, per inoculare un malware, sono pdf, Excel, Word, inserendo il malware all’interno delle macro dei file stessi.

Come detto in apertura, gli attacchi cyber colpiscono tutti. Ciò che può fare la differenza è la preparazione dell’utente, che può adottare alcune semplici accortezze per difendersi da tali attacchi, come ad esempio:

  • Prestare attenzione alle email, perché possono contenere link e/o allegati pericolosi;
  • Prestare attenzione alle chiavette USB;
  • Disabilitare l’esecuzione di macro da parte dei componenti Office (Word, Excel, Power Point, …);
  • Effettuare un periodico backup dei dati;
  • Non cliccare su banner in siti non sicuri;
  • Installare programmi antivirus.

MODELLO UNICO DI DICHIARAZIONE AMBIENTALE (MUD) 2023: NUOVA SCADENZA 8 LUGLIO 2023

Dott. Gianluca Gorlani

Ecco una sintesi dell’adempimento a carico dei produttori di rifiuti. La sfida di ciascuna azienda che produce rifiuti consiste nel:

  1. ricercare le norme di legge ed i modelli per la dichiarazione MUD (impiego di tempo)
  2. valutare se la mia azienda è tenuta ad effettuare la dichiarazione (impiego di tempo)
  3. valutare se è possibile effettuare la dichiarazione semplificata (impiego di tempo) 
  4. informare e formare i collaboratori aziendali che si occuperanno materialmente dei calcoli, delle verifiche e della redazione della dichiarazione (impiego di tempo)
  5. completare la dichiarazione senza errori (impiego di tempo, possibili sanzioni €)
  6. bonificare l’importo con PagoPA o altra piattaforma per i pagamenti alla PA (impiego di tempo, e della SPID)
  7. allegare la ricevuta del pagamento all’atto dell’invio (impiego di tempo), ed effettuare l’invio entro i termini di legge.
    La trasmissione tardiva della Comunicazione MUD 2023 (o l’invio per annullare e sostituire una precedente dichiarazione inesatta o incompleta) può’ essere effettuata entro il termine del 6 SETTEMBRE 2023, ed  è soggetta a sanzione amministrativa pecuniaria da 26,00 a 160,00 euro (Fonte: https://www.ecocamere.it/faqs/mud)
  8. Scrivi a info@sicurezza360.org per ricevere la guida gratuita per i 7 punti, e svolgere l’adempimento in autonomia.

Vi anticipiamo le soluzioni cui può ricorrere, in autonomia, ciascuna azienda: 

  • distribuire il lavoro fra i collaboratori aziendali (necessario tempo)
  • ricercare un consulente cui inviare i propri dati, che li elabori, compili la sua dichiarazione MUD, segnali eventuali problemi, fornisca le soluzioni (necessario tempo)
  • inviare la pratica ad una società di elaborazione dati, oppure ad un commercialista, oppure ad un intermediario di pratiche verso la pubblica amministrazione (tempo necessario e possibile ulteriore spesa)
  • pagare l’importo dovuto ed inviare la ricevuta al consulente (necessario tempo).

Cosa accade se non si presenta la dichiarazione oppure fosse ritenuta incompleta o inesatta; quali sanzioni? La presentazione successiva ai 60 giorni dalla scadenza, l’omessa dichiarazione e la dichiarazione incompleta o inesatta comportano una sanzione amministrativa pecuniaria, applicata dalla Provincia, da € 2.600,00 ad € 15.500,00 così come previsto dal D. Lgs. 152/2006 e s.m.i.

Ricordiamo che la dichiarazione MUD semplificata quest’anno è da presentare entro l’8 luglio 2023 e che è riservata ai produttori iniziali tenuti alla presentazione della dichiarazione per non più di 7 rifiuti CER, prodotti nell’unità locale cui si riferisce la dichiarazione, per ogni rifiuto prodotto non sono utilizzati più di tre trasportatori e più di tre destinatari, i destinatari sono localizzati nel territorio nazionale.

In conclusione, ecco perché avvalersi di Sicurezza360 per il MUD telematico 2023, cioè per la compilazione e la trasmissione della dichiarazione o “Comunicazione rifiuti” semplificata:

  • UN SOLO CONSULENTE (ESTERNO) che ti ricorderà di cosa ha bisogno e verificherà che i tuoi collaboratori inviino la documentazione (risparmio di tempo + risparmio di denaro)
  • UN SOLO CONSULENTE cui inviare i nostri dati, che li elabori, compili la nostra dichiarazione MUD, ti segnali eventuali problemi, ti fornisca le soluzioni risparmio di tempo + risparmio di denaro)
  • UN SOLO CONSULENTE per la gestione della pratica (risparmio di tempo + risparmio di denaro).

NULLITA’ APPALTI
Avv. Fulvio De Lucia

Per effetto del quinto comma dell’art. 26 del D.L.vo n. 81/2008 – Testo Unico in materia di tutela della salute e della sicurezza nei luoghi di lavoro (TUSL), nel contratto d’appalto, di subappalto e di somministrazione di beni (e servizi non essenziali), devono essere specificatamente indicati, a pena di nullità ex art. 1418 c.c., i costi relativi alla sicurezza del lavoro, con particolare riferimento a quelli connessi all’appalto in questione.

Più esattamente il quinto comma dell’art. 26 del D.L.vo n. 81/2008 stabilisce che: “Nei singoli contratti di subappalto, di appalto e di somministrazione, anche qualora in essere al momento della data di entrata in vigore del presente decreto, di cui agli articoli 1559, ad esclusione dei contratti di somministrazione di beni e servizi essenziali, 1655, 1656 e 1677 del codice civile, devono essere specificamente indicati a pena di nullità ai sensi dell’articolo 1418 del codice civile i costi delle misure adottate per eliminare o, ove ciò non sia possibile, ridurre al minimo i rischi in materia di salute e sicurezza sul lavoro derivanti dalle interferenze delle lavorazioni. I costi di cui al primo periodo non sono soggetti a ribasso. Con riferimento ai contratti di cui al precedente periodo stipulati prima del 25 agosto 2007 i costi della sicurezza del lavoro devono essere indicati entro il 31 dicembre 2008, qualora gli stessi contratti siano ancora in corso a tale data. A tali dati possono accedere, su richiesta, il rappresentante dei lavoratori per la sicurezza e gli organismi locali delle organizzazioni sindacali dei lavoratori comparativamente più rappresentative a livello nazionale”.

L’indicazione dei costi della sicurezza deve essere congrua, analitica (per singole voci, a corpo o a misura) riferita ad elenchi di prezzi standard o specifici, oppure basata su prezziari o listini ufficiali vigenti nell’area interessata o sull’elenco prezzi delle misure di sicurezza del committente. Le singole voci dei costi della sicurezza vanno calcolate tenendo conto dell’impiego nel luogo di lavoro interessato.

In particolare i costi da indicare nei contratti di appalto privati (anche mediante il DUVRI) sono i seguenti:

  • costo relativo alla formazione ed all’addestramento dei lavoratori impiegati;
  • costo degli apprestamenti di sicurezza utilizzati;
  • costi relativi ai mezzi  di protezione collettiva;
  • costi relativi all’acquisto dei Dispositivi di Protezione  individuale;
  • costi relativi a procedure di sicurezza;
  • costo per lo sfasamento temporale dei lavori per evitare  le interferenze;
  • costi sostenuti per  consulenze  di professionisti specializzati in materia di sicurezza.

Riguardo agli appalti pubblici, il D. L.vo n. 50/2016 – Codice degli appalti pubblici (che pure ha ridisegnato l’intera materia dei contratti pubblici) non ha modificato le previsioni del  D.L.vo n. 81/2008). Sono state soltanto introdotte norme di coordinamento fra le previsioni del TUSL e quelle del Codice.

Infatti il D.L.vo n. 50/2016 non ha modificato il principio stabilito dall’art. 26, settimo comma, del D.L.vo n. 81/2008 secondo il quale “per quanto non diversamente disposto dal decreto legislativo 12 aprile 2006, n. 163, come da ultimo modificate dall’articolo 8, comma 1, della legge 3 agosto 2007, n. 123, trovano applicazione in materia di appalti pubblici le disposizioni del presente decreto”. Dunque in caso di difformità di disciplina le disposizioni del Codice prevalgono su quelle del D.L.vo 81/2008 e dove nulla è previsto nel D.L.vo 50/2016 trovano applicazione le norme del TUSL.

A ciò si aggiunge che, per quel che concerne l’obbligo di indicare in maniera puntuale l’ammontare degli oneri per la sicurezza c.d. interni o aziendali, trova applicazione l’art. 95, decimo comma, D.L.vo n. 50 del 2016, che ha stabilito la necessità dell’indicazione di tali oneri per le gare indette nella vigenza del nuovo Codice dei contratti pubblici.

WhatsApp Logo