Autore: AutoreA

Google ha scoperto due vulnerabilità in Chrome e ha rilasciato un aggiornamento correttivo, invitando tutti gli utenti a scaricare la nuova versione del browser per evitare falle alla sicurezza.
L’aggiornamento è già disponibile per per Windows, Mac e Linux.

Pierluigi Paganini, Cyber Security Analyst e Ceo di CYBHORUS, spiega che il browser deve essere urgentemente aggiornato alla versione 94.0.4606.71 e che queste sono la quarta e quinta vulnerabilità zero-day individuate in un solo mese:

“La prima falla CVE-2021-37976 è anonima, descritta come ‘Information leak in core’ e le è stata attribuita una severità di livello medio, ma la seconda vulnerabilità zero-day, CVE-2021-37975, è a elevata severità e lascia supporre attori nation-state, attaccanti consapevoli di andare a segno, e la cui capacità di attaccare le falle nei browser si sta rafforzando. Lo conferma il fatto che è la quattordicesima segnalazione di falle zero-day da inizio dell’anno”.

LE COS’È UNA VULNERABILITÀ ZERO-DAY

Con vulnerabilità zero-day si intende un problema di sicurezza che non è noto né al fornitore del software né agli antivirus disponibili, oppure è noto ma non può essere gestito.

Ve ne sono di due tipi:

• – una vulnerabilità zero-day, cioè una falla nella protezione del software,
• – un exploit zero-day, cioè un attacco da parte di cybercriminali che hanno individuato la suddetta falla e la sfruttano per installare software dannosi su un dispositivo.

Il nome “zero-day” deriva dall’idea che siano passati zero giorni dal momento in cui lo sviluppatore ha individuato il problema e che questo abbia quindi avuto zero giorni a disposizione per ripararla prima di eventuali attacchi.

La risoluzione delle vulnerabilità zero-day ricade sul fornitore del software, il quale rilascia una patch di sicurezza che la corregge. Agli utenti rimane solo il compito di aggiornate il software.

COME AGGIORNARE GOOGLE CHROME

Senza dover attendere l’aggiornamento automatico di Google Chrome, è possibile scaricare la nuova versione del browser seguendo queste istruzioni:

1. Aprire Chrome sul computer.
2. Cliccare sui tre pallini verticali  in alto a destra.
3. Cliccare su Aggiorna Google Chrome.
   Attenzione: se manca questa voce significa che è già installata la versione più recente.
4. Cliccare su Riavvia.

L’aggiornamento deve essere eseguito su ogni dispositivo. Per ulteriori informazioni, visitare la pagina delle istruzioni offerta da Google.

Vuoi aggiornare l’informatica del tuo studio o della tua azienda? Scopri i servizi e i prodotti di Servicematica.

——–

LEGGI ANCHE:

Microsoft: basta password, l’autenticazione si fa via app

GDPR e trattamento dati personali: privacy by default e privacy by design

Il GDPR richiede ai titolari del trattamento di adottare tutte le misure atte a tutelare i dati personali dei soggetti coinvolti. Queste misure sono sia tecniche che procedurali e trovano un riferimento nell’art.25 del Regolamento Europeo, nel quale si parla di privacy by design e privacy by default.

Cerchiamo di capire meglio il significato dei due termini.

PRIVACY BY DEFAULT

Come suggerisce il nome, la privacy by default prevedere che:
– la tutela dei dati personali sia una impostazione predefinita della tecnologia, del servizio, del processo o altro che l’utente utilizza;
– che le aziende trattino solo i dati strettamente necessari alle finalità e per il tempo previsti.

L’onere di impostare questo livello di privacy non ricade sull’utente ma sull’azienda. L’utente non deve quindi trovarsi nella situazione di dover cercare nello smartphone o in un sito internet l’opzione specifica.

Un esempio ce lo offre il browser Firefox.
Nel 2019 Firefox ha introdotto la funzione “Enhanced Tracking Protection”, ovvero il blocco dei cookie di tracciamento di terze parti. Questa protezione è attivata come impostazione predefinita, non è l’utente a doverla attivare. A lui rimane comunque la scelta di visionare quali cookies vengano bloccati in automatico e consentire eventuali eccezioni.

PRIVACY BY DESIGN

Il concetto di privacy by design è un’evoluzione di quello di privacy by default.

In questo caso, la tutela dei dati personali viene considerata fin dalla fase di progettazione di una qualsiasi tecnologia ma anche di ogni processo aziendale (servizi, procedure, luoghi). Possiamo dire che l’intero processo creativo viene disegnato intorno alla tutela della privacy.

L’approccio si basa su 7 principi:
1. proattività non reattività (prevenire è meglio che curare)
2. privacy come impostazione di default
3. privacy incorporata nella progettazione
4. massima funzionalità (l’obiettivo è doppio: realizzare un buon prodotto/servizio e garantire la privacy)
5. sicurezza dall’inizio alla fine, lungo tutto il processo
6. visibilità e trasparenza
7. centralità dell’utente

La privacy by design non contempla valutazioni di conformità successive alla realizzazione del progetto: ogni rischio e ogni ipotetica situazione vanno considerate prima.

Non si deve però credere che la privacy by design si applichi solo alle tecnologie.
Un esempio semplice ma poco scontato è la progettazione delle sale d’attesa o di uffici pubblici. Immaginate di recarvi in un centro medico privato e alla reception vi chiedono alcuni vostri dati personali nonché il motivo per cui siete lì. Se lo spazio è progettato male, gli altri pazienti nella sala d’attesa comune sentiranno la conversazione. Al contrario, se progettato bene la vostra privacy sarà al sicuro

Per passare alle tecnologie, immaginate un sistema di controllo domestico che potete controllare da remoto con il vostro smartphone. Mentre siete a lavoro potete assicurarvi che le luci siano spente, che nessuno sia entrato in casa, che il forno si accenda all’ora che avete deciso per farvi trovare l’arrosto pronto quando tornate. Tutto il sistema è collegato alla rete e a un vostro account che, in fase di registrazione, vi ha chiesto dei dati personali. Se il sistema di domotica (e persino lo smartphone) non viene progettato fin dall’inizio considerando i rischi per la privacy, un cybercriminale prenderebbe facilmente il controllo della vostra casa o dei vostri dati. O magari sareste proprio voi stessi, incautamente, a condividerli.

L’UTENTE AL CENTRO

Privacy by default e privacy by design sono dunque due approcci, legati tra loro, per lo sviluppo di strumenti, processi, luoghi e situazioni che garantiscano un più alto livello di tutele in caso di trattamento di dati personali.

Non esistono però modelli preconfezionati e ogni caso va valutato singolarmente. Lo stesso GDPR specifica che le misure di protezione della privacy vanno messe in atto “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento”.

Al di là degli aspetti puramente pratici, il GDPR chiede alle aziende una cosa, tutto sommato, semplice: cambiare il modo in cui pensano i propri processi, mettendo l’utente al centro di tutto.

Vuoi rendere il tuo studio o la tua azienda in regola con il GDPR? Scopri la i servizi Privacy di Servicematica.

——–

LEGGI ANCHE:

Processi decisionali automatizzati e consenso informato: la giurisprudenza va oltre il GDPR

Riconoscimento facciale per individuare clienti pregiudicati. Scatta la sanzione

Il GDPR è un punto di riferimento normativo per quanto riguarda la tutela dei dati personali. Dalla sua introduzione la giurisprudenza ne ha allargato i confini, dovendo affrontare lo sviluppo delle tecnologie digitali e l’uso sempre più ampio dell’intelligenza artificiale e di processi decisionali automatizzati.

I LIMITI DEL GDPR AI PROCESSI DECISIONALI AUTOMATIZZATI

Gli scenari indetti posti dallo sviluppo tecnologico pongono numerose questioni legate alla privacy, alle quali le istituzioni nazionali ed europee cercano di dare risposte normative in grado di tutelare maggiormente gli utenti e responsabilizzare i titolari del trattamento dei dati.

Tra le questioni più rilevanti vi è l’uso a fini decisionali di sistemi automatizzati basati sull’intelligenza artificiale.

A tal proposito, l’art.22 del GDPR impone che i cittadini non vengano sottoposti a decisioni basate unicamente sul sistemi automatizzati che producano effetti giuridici o che incidano significativamente sulla loro persona. L’articolo considera tuttavia delle eccezioni: casi in cui questo genere di trattamento sia indispensabile ai fini della stipula di un contratto, se è autorizzato dal diritto dell’Unione o dello Stato membro, se si basa sul consenso esplicito dell’interessato.

Il nodo centrale è proprio il consenso, che per essere valido deve essere informato.

CONSENSO INFORMATO: ALCUNE SENTENZE

I rapporto tra consenso informato e processi decisionali automatizzati è stato oggetto di alcune sentenze interessanti.

Una di queste è la sentenza n. 8472 del 13 dicembre 2019 con la quale il Consiglio di Stato, rifacendosi al GDPR, ha ribadito la necessità di garantire alcuni principi in caso di processi decisionali automatizzati. La sentenza si riferiva all’uso di un algoritmo da parte del MIUR per l’assegnazione dei docenti nelle scuole superiori.

I principi da garantire in caso di uso di algoritmi sono:
– la conoscibilità: gli utenti sottoposti al sistema di valutazione devono essere messi a conoscenza dell’algoritmo adottato da enti pubblici;
– la non-esclusività: alla decisione basta sull’algoritmo deve affiancarsi una valutazione umana;
– la non discriminazione: il titolare del trattamento deve minimizzare i rischi che l’algoritmo produca valutazioni errate o effetti discriminatori.

Nel caso del MIUR, per i giudici l’uso dell’algoritmo non risultava conforme a tali principi.

Più recentemente, anche la Cassazione si è espressa in materia con l’ordinanza n. 14381/2021.
La Corte è stata chiamata in causa dal Garante della Privacy che aveva presentato ricorso contro una sentenza del Tribunale di Roma che ne aveva ridimensionato un provvedimento legato a un servizio di rating reputazionale basato sull’intelligenza artificiale.

La Cassazione ha sottolineato quanto sia indispensabile che una valutazione automatizzata avvenga dopo aver ottenuto il consenso informato da parte degli utenti.
Ne consegue che non può essere ritenuto valido un consenso che non si basi su una informazione preventiva idonea, cioè che spieghi anche il funzionamento dell’algoritmo utilizzato.

“non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati”.

IL FUTURO

L’uso di processi decisionali automatizzati è ancora agli albori ma è indubbio che diventerà sempre più frequente. Gli ambiti di applicazione sono infatti numerosissimi, con tutti i pro e i contro che ciò comporta. Nei prossimi anni vedremo quindi crescere il numero di sentenze in materia, sempre con l’art.22 del GDPR sullo sfondo, ma con sviluppi che al momento non possiamo immaginare del tutto.

Vuoi rendere il tuo studio o la tua azienda in regola con il GDPR? Scopri la i servizi Privacy di Servicematica.

——–

LEGGI ANCHE:

Riconoscimento facciale per individuare clienti pregiudicati. Scatta la sanzione

Microsoft: basta password, l’autenticazione si fa via app

Correva l’anno 2003 quando fu presentato il codice delle comunicazioni elettroniche. Sono passati 8 anni, l’innovazione tecnologica ha fatto passi in avanti, i mezzi digitali a nostra disposizione sono aumentati e il quadro offerto dal quel codice non è più attuale.

Lo sviluppo di un nuovo codice delle comunicazioni elettroniche segue la direttiva europea (UE) 2018/1972, recepita in ritardo dall’Italia (la scadenza prevista era il 21 dicembre 2020).

Il nuovo codice ha l’obiettivo di garantire una connettività che sia di qualità, la concorrenza fra gli operatori, la realizzazione del mercato interno e aumentare le tutele a favore degli utenti.

IL CODICE DELLE COMUNICAZIONI ELETTRONICHE: LO SCHEMA DI DECRETO

Lo schema di decreto legislativo con cui l’Italia recepisce la direttiva europea è attualmente al vaglio delle istituzioni e prevede alcuni interessanti disposizioni.

Durata dei contratti ridotta e diritto di recesso

I vincoli nel caso contratti di telefonia e internet scendono da 24 a 12 mesi, mentre il termine per il diritto di recesso in caso di modifica unilaterale da parte della società erogatrice sale da 30 a 60 giorni.

Sanzioni Agcom aumentate

Le sanzioni Agcom in caso di violazioni gravi da parte degli operatori possono arrivare fino al 5% del loro fatturato.

Costi delle frequenze

I costi amministrativi e dei contributi per le frequenze per i grandi operatori salgono del 50% rispetto ai costi attuali.
I piccoli utilizzatori godranno di costi di accesso alle frequenze più bassi.

Banda larga come servizio universale

Potersi abbonare a un servizio adeguatamente veloce accessibile ovunque e a costi contenuti viene considerato un diritto.

OPPORTUNITÀ E RISCHI

Il nuovo codice delle comunicazioni elettroniche rende meno rigidi i vincoli contrattuali e impone un sistema sanzionatorio che disincentiva determinate condotte da parte degli operatori del settore.

Ci sono però dei rischi. Queste garanzie, pensate per tutelare gli utenti finali, potrebbero infatti trasformarsi in un boomerang per gli stessi.

Per esempio, la riduzione a 12 mesi dei vincoli contrattuale potrebbe portare a un aumento delle rate, mentre l’aumento dei costi e dei contributi e la mancata definizione delle condotte soggette a sanzione, unita alla scarsa digitalizzazione del nostro paese, potrebbero disincentivare gli operatori dal fare investimenti.

Insomma, il codice sulle comunicazioni elettroniche va assolutamente recepito ma la sua realizzazione pratica richiede ulteriori analisi.

EUROPA SEMPRE PIÙ DIGITALE

Il codice si inserisce in un ampio progetto sulla connettività proposto dalla Commissione europea ancora nel settembre 2016.

Il progetto prevede che entro il 2025 la connettività gigabit raggiunga le scuole, le imprese medie e grandi e i principali enti pubblici. Si vuole poi offrire una connettività di almeno 100 Mb al secondo per le famiglie e la copertura 5G nelle aree urbane e lungo le principali vie di trasporto terrestre.

L’Europa riconosce pertanto la necessità di “incentivare gli investimenti nelle reti a banda larga ad alta velocità” e di favorire “l’attuazione di politiche più ampie nei settori culturale, occupazionale, ambientale, della coesione sociale, urbanistico e dell’assetto del territorio”.

Servicematica è l’informatica per studi legali e aziende. Scopri i tutti i nostri prodotti.

——–

LEGGI ANCHE:

Sprint alla digitalizzazione, fibra ottica in crescita in Italia ed Europa

Microsoft: basta password, l’autenticazione si fa via app

Che il riconoscimento facciale stia prendendo sempre più piede si capisce anche dalla crescente attenzione che le autorità per la tutela della privacy dimostrano verso il tema.

Avvertimenti e sanzioni verso aziende colpevoli di farne un uso illecito non mancano. Un caso recente riguarda un supermercato spagnolo.

VIDEOSORVEGLIANZA E RICONOSCIMENTO FACCIALE. IL CASO DEL SUPERMERCATO SPAGNOLO

L’AEPD, il corrispettivo iberico del nostro garante per la privacy, ha sanzionato una catena di supermercati per aver utilizzato il proprio sistema di videosorveglianza con riconoscimento facciale al fine di raccogliere dati biometrici che, incrociati con una banca dati esterna, permettevano di capire se il cliente avesse problemi con la giustizia. In caso di esito positivo, il sistema faceva scattare un allarme che avvisava il personale di sicurezza di bloccare l’accesso al cliente.

Migliaia di clienti, nonché gli stessi dipendenti, sono stati sottoposti a tale controllo per mesi, senza saperne nulla, fino all’intervento del garante.

NESSUNA BASE GIURIDICA

L’indagine dell’AEPD ha rilevato che la condotta della catena di supermercati non fosse compatibile con quanto indicato all’art.9 del GDPR sul trattamento di categorie particolari di dati personali.

Inoltre, l’azienda non ha rispettato in alcun modo i principi di trasparenza, necessità, proporzionalità e minimizzazione dei dati.

Ancor meno, l’utilizzo del riconoscimento facciale ha rispettato il concetto di privacy by design indicato all’art.25 del GDPR, ovvero l’obbligo per le aziende di avviare i propri progetti adottando fin da subito tutte le misure tecniche e organizzative per la tutela dei dati personali dei soggetti coinvolti.

Infine, la valutazione d’impatto sulla protezione dei dati è risultata insufficiente, poiché non considerava i rischi legati al trattamento dei dati biometrici dei dipendenti.

LA SANZIONE

Con Procedimento N. PS/00120/2021 il garante per la privacy spagnolo ha imposto alla catena di supermercati una sanzione di 3.150.000 euro. L’azienda ha rinunciato alla possibilità di fare ricorso e ha preferito procedere al pagamento, godendo di una riduzione a 2,5 milioni di euro.

Vuoi rendere il tuo studio o la tua azienda in regola con il GDPR? Scopri la i servizi Privacy di Servicematica.

——–

LEGGI ANCHE:

Violazione della privacy e danno non patrimoniale. Il risarcimento non è scontato

Il Garante della Privacy apre 3 istruttorie per uso dei droni a Roma e a Bari

Tutti gli utenti Microsoft non accederanno più ai loro account tramite password ma utilizzando l’app Authenticator.
Come mai questa decisione? Cosa bisogna fare?

PASSWORD INEFFICACI E ATTACCHI BRUTE FORCE

L’abbandono dell’autenticazione via password era stata già avviata da tempo all’interno di Microsoft. L’azienda vuole migliorare la tutela della sicurezza degli account dei propri clienti, eliminando alla radice i rischi connessi all’uso di login tradizionali.

Le password che l’utente medio crea sono il più delle volte molto vulnerabili: nomi di persone care, date di nascita, parole semplici legate ad elementi della propria esistenza che un cybercriminale fa presto a individuare.

Giusto per darvi un’idea, Vasu Jakkal, vicepresidente del comparto Security, Compliance e Identity di Microsoft, ritiene che il 40% degli utenti usi come password ‘Autunno2021’ a fine estate, per poi passare a ‘Inverno2021’, ‘Primavera2022’ e così via. Le declinazioni di questa formula sono innumerevoli e tutte ugualmente scarse nel proteggere gli account.

Anche chi sceglie password più forti (qui alcune istruzioni su come creare una buona password) compie alcuni errori. Il più comune è quello di usare la stessa password per più servizi. Per quanto possa essere comoda, questa scelta fa sì che un cybercriminale, una volta individuata la password, riesca ad accedere a diversi account.

Alle debolezze degli utenti  consumer si somma il fatto che questi sono le vittime predilette di phishing e di data breach. La decisione di Microsoft trova la sua origine anche nell’aumento degli attacchi brute force, durante i quali vengono tentate tutte le combinazioni possibili di lettere, numeri e caratteri speciali fino a individuare la password corretta. L’azienda sostiene che ci siano circa 18 miliardi di attacchi brute force all’anno, 579 ogni secondo.

COME PASSARE ALL’AUTENTICAZIONE VIA APP AUTHENTICATOR DI MICROSOFT

Riportiamo le istruzioni che Microsoft indica ai suoi utenti per rimuovere la password del proprio account e impostare l’autenticazione via app:

1. scaricare la app Microsoft Authenticator
2. configurare l’account nell’app seguendo le istruzioni
3. accedere alle opzioni di sicurezza aggiuntive
4. in ‘Account senza password‘, selezionare ‘Attiva‘
5. seguire le istruzioni per verificare l’account
6. approvare la richiesta inviata all’app Microsoft Authenticator.

Al momento il passaggio a Microsoft Authenticator riguarda Microsoft Edge e Microsoft 365 (che comprende Teams, Outlook, OneDrive e Family Safety). Col tempo verrà esteso a tutti gli altri servizi.

Qui il link alla pagina di supporto nel sito Microsoft.

Ti serve assistenza informatica ? Contatta Servicematica.

 

——–

LEGGI ANCHE:

Sprint alla digitalizzazione, fibra ottica in crescita in Italia ed Europa

Cos’è il domicilio digitale e a cosa serve

Nel nostro paese e in tutta Europa aumenta la copertura della fibra ottica. Il futuro del mercato è delineato dalle previsioni del Ftth (Fiber To The Home) Council Europe, l’associazione industriale che ha la missione di promuovere in tutta Europa la connettività e basata su fibra.

L’associazione si aspetta 197 milioni di case in più connesse alla fibra ottica entro il 2026 nell’Unione Europea e nel Regno Unito, con un aumento del 67% rispetto a quest’anno.

Ma com’è la situazione in Italia?

LA FIBRA OTTICA IN ITALIA

Si stima che quest’anno 16 milioni di abitazioni in Italia risulteranno connesse alla fibra ottica. Questo colloca il nostro paese al terzo posto in EU per copertura e al secondo in termini di crescita percentuale (+46%). Per il 2021, risultati migliori di quelli italiani sono stati raggiunti solo da Regno Unito (+65% ) e dai Paesi Bassi (+49%)

Il  Ftth Council Europe prevede che, rispetto al 2020, l’incremento della fibra in Italia toccherà il +136% nel 2026. Per Il Regno Unito si prospetta un +488%, per la Germania +385% e per i Paesi Bassi +144%.

COPERTURA NON SIGNIFICA ABBONAMENTI

Rispetto al numero totale, nel 2021 il 10% delle abitazioni è connessa alla fibra e la percentuale salirà al 29,3% nel 2026, lasciando scoperte 2 milioni di abitazioni.

Questo è il problema minore.

La crescita dell’infrastruttura in fibra non è infatti accompagnata da una crescita di abbonati.
Ciò significa che nel 2026 ben 19,6 milioni di abitazioni non avranno sottoscritto un abbonamento pur essendo connesse alla rete della fibra ottica. Le previsioni indicano performance peggiori solo in Russia.

Altra incognita futura riguarda l’andamento del divario tra zone rurali e zone urbane. Sia in UE che nel Regno Unito solo il 22% di coloro che abitano in zone rurali ha accesso a una connettività full-fibra, rispetto al 45% di coloro che abitano in altri territori.

FIBRA OTTICA E STIMOLI ALLA DIGITALIZZAZIONE

Nonostante le perplessità sul futuro, gran parte dei passi in avanti ottenuti finora in Italia si devono all’operato di Open Fiber, terzo fornitore europeo di connettività FTTH.

Gli stimoli principali, anche al di fuori del nostro paese, sono venuti dalla crisi generata dalla pandemia, che ha spinto gli investitori privati verso progetti a favore della fibra Ftth/B per sostenere l’aumento del traffico internet, dalle politiche nazionali di sostegno alla digitalizzazione e dai nuovi obiettivi UE in tema per il 2025 e il 2030.

Qui il comunicato stampa completo del Ftth (Fiber To The Home) Council Europe.

Vuoi digitalizzare la tua azienda o il tuo studio? Scopri i prodotti e i servizi di Servicematica.

——–

LEGGI ANCHE:

Cos’è il domicilio digitale e a cosa serve

E se i dati personali diventassero una forma di pagamento riconosciuta?