Il periodo di transizione per il recesso del Regno Unito dall’Unione europea terminerà il 31.12.2020. Ciò significa che a partire dal 1° gennaio 2021, il Regno Unito non applicherà più il #GDPR e sarà in vigore differente quadro giuridico, in UK, per ciò che concerne la protezione dei dati personali.
A partire dal 1.1.2021 quindi, tutti i trasferimenti di dati personali tra le parti interessate e soggette a GDPR e le entità del Regno Unito costituiranno un trasferimento di dati personali a un paese terzo e pertanto sarà soggetto a quanto previsto dal Capo V GDPR.
In assenza di una decisione di adeguatezza applicabile al Regno Unito ai sensi dell’articolo 45 GDPR, tali trasferimenti necessiteranno di adeguate garanzie (es. SSC, BCR, codici di condotta …), nonché diritti applicabili ai sensi dell’articolo 46 GDPR.
Fatte salve condizioni specifiche, potrebbe essere ancora possibile trasferire i dati personali nel Regno Unito in base a deroga di cui all’articolo 49 GDPR. Tuttavia, l’articolo 49 del GDPR ha natura eccezionale e le deroghe in esso contenute devono essere interpretate in modo restrittivo e riguardano principalmente le attività di trattamento che sono occasionali e non ripetitive.
Inoltre, se i dati personali vengono trasferiti nel Regno Unito sulla base delle garanzie dell’articolo 46 GDPR, potrebbero essere necessarie misure supplementari per portare il livello di protezione dei dati trasferiti fino allo standard UE di equivalenza essenziale, in conformità con le Raccomandazioni 01/2020 in data misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione UE di dati personali.
Titolari e / o responsabili del trattamento dovranno inoltre adempiere ad altri obblighi derivanti dal GDPR, in particolare sulla necessità di aggiornare i registri dei trattamenti e le informative sulla privacy per menzionare i trasferimenti nel Regno Unito.
L’EDPB richiama le indicazioni fornite in materia dalle autorità di vigilanza e dalla Commissione europea (CE). Le organizzazioni SEE possono rivolgersi, se necessario, alle autorità di controllo nazionali competenti per sovrintendere alle relative attività di trattamento.
Per i trasferimenti di dati dal Regno Unito al SEE, l’EDPB suggerisce di consultare regolarmente il sito web del governo britannico e il sito web dell’ICO per una guida aggiornata.
I firewall sono sistemi hardware e/o software che proteggono gli utenti finali dal traffico dannoso su Internet. Quando i dati vengono inviati su Internet, vengono fornite anche una serie di informazioni circa la provenienza e la destinazione, nonché un’indicazione su quali applicazioni riguardano i dati. I firewall analizzano i dati, quindi li eliminano se sono sospetti oppure li fanno passare se sono innocui. Ad esempio, se il firewall dovesse rilevare un flusso di dati in cui un computer “qualsiasi”, stia tentando via Internet di connettersi a uno dei computer della tua rete, eliminerà tali dati e, se opportunamente configurato, potrebbe anche avvisarti del tentativo di connessione bloccato. Tuttavia, se rileva che stai tentando di avviare una connessione a un sito Web, inoltrerà i dati al router dove alla fine raggiungerà il sito Web desiderato.
Schema installazione firewall HW
Perché ne hai bisogno?
I firewall, generalmente, non consentono connessioni all’interno della rete ma che sono state avviate dall’esterno della rete stessa, ciò a meno che non si dia una preventiva autorizzazione attraverso idonea configurazione. Questo è il motivo per cui i firewall sono così importanti per una navigazione web sicura. Senza firewall, qualsiasi applicazione in esecuzione sul computer che accetta connessioni di rete potrebbe essere connessa a chiunque su Internet. Se un utente malintenzionato è in grado di stabilire connessioni a una qualsiasi delle tue applicazioni, potrebbe potenzialmente compromettere il tuo computer se esiste una vulnerabilità di sicurezza nell’applicazione. I firewall sono una linea di difesa assolutamente essenziale per i computer utilizzati su rete Internet e assumono un ruolo fondamentale nelle organizzazioni che hanno attivato processi di smart working.
In sintesi, i firewall vengono utilizzati per proteggere il computer mentre si è connessi a Internet. Sono essenziali per prevenire intrusioni nella tua rete privata e nei PC ad essa collegati. Se si è connessi a Internet, si consiglia vivamente di posizionare il computer dietro un firewall per evitare che venga compromesso da un utente malintenzionato.
Va da sé che è necessario ricordare che un firewall senza un endpoint security è, pressoché, inutile.
La tua organizzazione è pronta dal punto di vista della sicurezza informatica? È proattiva o reattiva?
paypal fake
Phishing è un crimine informatico in cui uno o più “obiettivi” vengono contattati tramite e-mail, telefono o messaggio di testo da qualcuno che si spaccia per un’istituzione legittima per indurre le persone a fornire dati sensibili come informazioni di identificazione personale, dettagli bancari, della carta di credito e password di accesso a specifiche utenze. Le informazioni raccolte dai malintenzionati vengono quindi utilizzate per accedere ad account personali o aziendali e possono provocare furti di identità e perdite finanziarie.
Caratteristiche comuni delle e-mail di phishing
“Troppo bello per essere vero” Le offerte lucrative, dichiarazioni accattivanti o che attirano l’attenzione sono progettate per attirare immediatamente l’attenzione delle persone che le leggono. Ad esempio, molti messaggi sostengono che chi legge abbia vinto un iPhone, una lotteria o qualche altro premio in denaro. Basta non fare clic sui link e le e-mail sospette. Occorre tenere a mente che “se sembra troppo bello per essere vero, probabilmente non lo è!”
“Senso di urgenza” Una tattica preferita utilizzata dai criminali informatici è chiederti di agire velocemente perché ciò che viene proposto è solo per un periodo di tempo limitato. In alcuni casi affermeranno che chi legge ha solo pochi minuti per rispondere. Altre volte verrà comunicata la sospensione di un account se non si aggiorneranno i dati personali immediatamente. La maggior parte delle organizzazioni che apportano modifiche di questo tipo concede sufficiente tempo prima di chiudere un account e non chiede mai agli utenti di aggiornare i dati personali su Internet. In ogni caso, per accertarsi, sarà sufficiente andare direttamente sul sito interessato anziché fare clic su un collegamento in un’email.
“Collegamenti ipertestuali” Un collegamento potrebbe non essere ciò che sembra. Quando portiamo il puntatore del mouse su un collegamento, viene mostrato l’effettivo URL a cui si verrà indirizzati facendo clic su di esso. Potrebbe essere completamente diverso o potrebbe essere un sito Web popolare con un errore di ortografia, ad esempio www.unicrebit.com: la “d” è in realtà una “b”, quindi occorre fare attenzione.
“Allegati” Se in un’email viene visualizzato un allegato non atteso o che non ha senso …. non aprirlo! Spesso contengono payload come ransomware o altri virus. L’unico tipo di file su cui è sempre sicuro fare clic è un file .txt.
“Mittente insolito” Sia che sembri provenire da qualcuno che si non conosce o da qualcuno che non si conosce, se qualcosa sembra fuori dall’ordinario, inaspettato, insolito o semplicemente “sospetto”, non fare clic su di esso!
Punti da attenzionare
Contromisure attuabili
Una volta mi è stato chiesto se era possibile automatizzare il processo di phishing protection. Ho risposto con una domanda: vuoi automatizzare il processo di gestione delle email di phishing o sei interessato a un modo per bloccarle e impedire che arrivino sul server di posta?
Purtroppo, in un’organizzazione, gli utenti sono l’anello più debole nella catena della sicurezza informatica. Non importa quanto vengano istruiti o continuamente aggiornati, ci sarà sempre qualcuno che è convinto di “guadagnare un milione di euro” cliccando su un link, oppure è “preoccupato dalla transazione PayPal non andata a buon fine” o semplicemente curioso di aprire quel “documento word inviato dall’agenzia delle entrate”.
Ora, come e dove è possibile usare un automatismo per risolvere questo problema così attuale e frequente? Al punto di ingresso, dove si ricevono le email? Lasciare che l’utente prenda la decisione di valutare e segnalare le email sospette? Acquistare uno strumento di monitoraggio che utilizza AI e ML per convalidare le email prima che giungano nella posta in arrivo dell’utente?
Che ci crediate o no, il concetto di “Email Security” è qualcosa che ancora oggi è dato per scontato. Esistono diversi strumenti sul mercato che utilizzano Intelligenza Artificiale (AI) e Machine Learning (ML) per rilevare, rispondere e proteggere le e-mail non solo ricevute ma anche inviate.
Quanto sei sicuro di controllare il flusso in entrata/uscita delle e-mail? Il modo migliore per automatizzare l’elaborazione di e-mail di phishing/dannose è interrompere e controllare questo flusso al punto di ingresso senza lasciare decidere l’utente su cosa fare o non fare.
Cosa, perché e dove proteggere le e-mail in entrata e in uscita?
Ho volutamente non incluso il “come” perché ogni strumento di controllo avrà controlli e limitazioni specifiche. Quindi, ecco qui le principali precauzioni da prendere per proteggersi dal Phishing:
– Dominio e furto d’identità dell’utente: Non vuoi che qualcuno finga di essere il tuo supporto IT o il tuo CEO, giusto? Abilita SPF[1] e DKIM[2]
– E-mail di phishing e spam: a chi non piacerebbe diventare milionari facendo click su un collegamento? Configura i filtri anti-spam e phishing e utilizza anche Advance Threat Protect (ATP)[3] ;
– Allegati e link malevoli: un PDF o un xls potrebbero sembrare file realmente inviati da colleghi o fornitori. Cosa fare? ATP per allegati e collegamenti;
– Crittografia: assicurati che i destinatari ricevano il tuo messaggio. Crittografa le email in uscita per garantire la riservatezza;
– Classificazione dei dati: assicurati che tu e il tuo destinatario conosciate la criticità dei dati che condividete. Quando sei “mittente”, fai in modo di farglielo sapere classificando i dati che invii per garantire riservatezza e integrità; – Disabilita l’inoltro automatico a indirizzi e-mail esterni: la prima cosa che fa un criminale informatica che riesce a controllare una casella di posta è l’impostazione/regola dell’inoltro automatico. Disabilita questa funzionalità;
– Account amministratore dedicato: In base ai ruoli, assegnare le autorizzazioni di amministratore. Questo garantirà che anche all’interno del tuo IT Team nessuno aggiri le regole;
– MFA: Le probabilità di avere un accesso fraudolento a uno smartphone sono basse. Imposta l’autenticazione a più fattori per tutti gli utenti critici e in particolare per gli account “amministratore”;
– Ultimo ma non meno importante: newsletter e mail marketing. I filtri anti-phishing e anti-spam possono estrarre anche queste e-mail se configurati correttamente.
Finché non avverrà di strano o sospetto, con queste impostazioni, tutte le email in entrata e in uscita, scorreranno come l’acqua del fiume. Si, questa è automazione! Con tutte queste impostazioni, puoi essere certo che i tuoi utenti e la tua organizzazione abbiano una protezione dagli attacchi e-mail di livello medio alto. E poi, perchè non testate la risposta della Tua organizzazione simulando una campagna di phishing? Potreste avere delle sorprese … non sempre gradite!
L’e-mail phishing si evolve, ogni giorno, quindi il monitoraggio e i miglioramenti costanti sono tanto cruciali quanto lo è configurarli correttamente. Non fatevi trovare impreparati, agite, adesso!
Circa l’autore: Mario Arcellasi occupa da anni Compliance e Project Management. Socio di diverse start-up e con la passione per la Sicurezza delle Informazioni ha co-fondato FinData, una “Solution Company” che basa il valore di ciò che propone sui vantaggi che il cliente ottiene al termine dei progetti. Citazione preferita: “Tutte le cose sono difficili prima di diventare facili.”
[1] il Sender Policy Framework (SPF) non fa altro che confrontare gli indirizzi ip legati al domino e quello da cui proviene la email. Questo significa che al momento in cui viene recapitata una email a un provider di posta quest’ultimo interroga il domino da cui essa proviene chiedendo se il sistema da cui è stata spedita è autorizzato ad inviare email a suo nome. L’SPF può cooperare con il DKIM, ma non necessariamente devono essere abbinati.
[2] il Domain Keys Identified Mail non è altro che una firma digitale che viene apposta alla email inviate. Questa firma proprio come l’ SPF viene verificata dal domino di posta del ricevente tramite i dns del dominio di posta del mittente. Il DKIM può cooperare con l’ SPF, ma non necessariamente devono essere abbinati.
[3] ATP è una soluzione di sicurezza basata sul cloud che sfrutta i segnali di Active Directory locali per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni.
Il Garante Finlandese ha pubblicato una decisione sui requisiti per il consenso dei cookie, contraddicendo una precedente decisione della sua “cugina”, l’Autorità delle Comunicazioni Finlandese. Il punto focale di entrambe le decisioni era se il consenso per l’uso di cookie non essenziali potesse essere fornito tramite le impostazioni del browser dell’utente di un sito Web.
Cookiebot solution by FInData
La decisione del 14 maggio 2020 dell’Autorità per la protezione dei dati, (DPA) ha stabilito che istruire un utente, che visita un sito Web, su come gestire le impostazioni della privacy del browser e quindi come disattivare/attivare i cookie, non costituisce un consenso sufficientemente attivo ed esplicito ai sensi del Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR). L’Autorità ha inoltre sottolineato che rifiutare i Cookie non essenziali deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie stessi. Come detto, questa decisione differisce dai pareri presentati nella decisione del 24 aprile 2020 dell’Agenzia finlandese per le Comunicazioni (Traficom).
L’interpretazione del Garante Privacy Finlandese è in linea con la sentenza della Corte di giustizia dell’Unione europea (CGUE) dell’ottobre 2019 sul consenso ai cookie, (sentenza C ‑ 673/17 (Planet49).
Nella sentenza, la CGUE ha dichiarato che il consenso deve essere fornito mediante una misura attiva e ha ritenuto che una casella di spunta pre-selezionata non indica tale misura attiva da parte di un singolo utente. Mentre nella sentenza “Planet49”, la CGUE non ha affrontato la questione di cosa significhi “consenso dato liberamente” nel contesto dei cookie, Il Garante ha ora chiarito che in Finlandia tale consenso non può essere ottenuto tramite le impostazioni del browser.
Il Garante Privacy finlandese ha intimato una società, in qualità di Titolare del trattamento dei dati, di modificare il modo in cui richiede il consenso dell’utente di un sito Web per l’uso di cookie non essenziali, dopo che un individuo ha presentato un reclamo in cui affermava di non avere l’opportunità di rifiutare l’uso di cookie su il sito web dell’azienda. La società ha utilizzato i cookie sul proprio sito Web per raccogliere dati per sé e per terze parti, ad esempio sull’uso del servizio e sugli indirizzi IP allo scopo di personalizzare i servizi e il marketing mirato.
Un “banner cookie“, come quello della maggioranza dei siti italiani, informava che, continuando la navigazione gli scenari sarebbero stati sostanzialmente 2:
1) l’utente accettava i cookie 2) l’utente poteva rifiutare i cookie configurando opportunamente le impostazioni del proprio browser.
Il DPA Finlandese ha dichiarato che tale consenso non soddisfa i requisiti del GDPR e che l’inattività relativa alle impostazioni del browser, vale a dire il rifiuto dei cookie nelle impostazioni del browser, non costituisce un consenso valido. Tuttavia, il DPA non ha emesso sanzioni monetarie per il Titolare del trattamento dei dati, facendo riferimento allo status giuridico ambiguo della domanda dopo l’inizio dell’applicazione del GDPR.
FinData Cookie Management solution
L’interpretazione del DPA segue le linee guida aggiornate sul consenso dell’European Data Protection Board , che sottolineano l’indicazione attiva della scelta in un consenso valido e menziona che le impostazioni del browser dovrebbero essere sviluppate in linea con le condizioni per un consenso valido nel GDPR, sottolineando che un consenso deve essere granulare per ciascuno degli scopi previsti.
Questo sviluppo segna la fine delle precedenti pratiche di consenso dei cookie finlandesi, secondo le quali un consenso per i cookie potrebbe essere dato attraverso le impostazioni del browser. Attualmente, la direttiva sulla e-privacy del 2002 richiede che una persona tracciata debba “aver dato il proprio consenso” all’uso dei cookie e una disposizione analoga è inclusa nella legge finlandese sui servizi di comunicazione elettronica (917/2014, come modificata ).
Il prossimo regolamento UE sulla e-privacy, che sostituirà l’attuale direttiva sulla e-privacy, dovrebbe specificare ulteriormente i requisiti di consenso per i cookie e unificare le pratiche negli Stati membri dell’UE. Tuttavia, non è stato ancora raggiunto un accordo sul testo finale del regolamento e-privacy, con le discussioni più recenti che si svolgono in seno al gruppo di lavoro del Consiglio dell’UE.
In assenza di ulteriori leggi in materia, la decisione del DPA finlandese rimane la fonte chiave di interpretazione in merito a un consenso valido per l’uso di cookie non essenziali in Finlandia e può essere sintetizzata come segue:
Il consenso dei cookie deve soddisfare i requisiti GDPR, compreso il consenso che deve essereun’indicazione liberamente fornita, specifica, informata e inequivocabile dei desideri dell’interessato attraverso una “dichiarazione” o con una chiara azione affermativa circa quanto proposto dal titolare.
Rifiutare i cookie deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie.
Il silenzio assenso, le caselle preselezionate, il procedere con la navigazione o l’inattività, non possono costituire un consenso valido per l’uso dei cookie.
Non è sufficiente informare gli utenti del sito Web come modificare le impostazioni del proprio browser per rifiutare l’utilizzo dei cookie.
E Tu come sei messo con il tuo Sito web? Sei conforme?
Nella sezione Cookie del nostro sito trovi tutte le informazioni per approfondire l’argomento e utilizzare una soluzione compliant, economica e sempre aggiornata. Evita le sanzioni e dai valore al Tuo brand dimostrando la conformità alle norme che regolano i trattamenti dei dati personali!
