Sicurezza

Sicurezza delle informazioni e delel reti

Pwc: “Le frodi economico-finanziarie in Italia: una minaccia per il business” (19 luglio 2014)

il-sole24ore-logo
Fonte: sito  PWC Italia, titolo originario “Global Economic Crime Survey 2014 – Italia”
Corruzione e crimini economici: vittima un’azienda su quattro in Italia, una su tre a livello mondiale secondo la PwC Crime Survey 2014.
Le frodi più diffuse: appropriazione indebita, cyber crime e frodi contabili.
In Italia il frodatore è interno all’azienda, senior manager tra i 41-50 anni.
Un’azienda su quattro in Italia (23%) è stata vittima di crimini economici negli ultimi due anni, una su tre a livello mondiale (37%).
Quali sono i crimini economici che colpiscono le aziende oggi? Quale è l’identikit del frodatore?
Lo rivela la Global Crime Survey 2014, la più ampia indagine condotta sul fenomeno delle frodi economico-finanziarie, dalla corruzione al più recente cyber crime.
I risultati, raccolti attraverso oltre 5000 interviste in 95 Paesi hanno coinvolto anche 101 aziende italiane.
Nel seguito indice e “Introduzione” del rapporto in italiano.

Indice

  • Introduzione
  • Executive Summary – The highlights
  • 1 Le frodi economico-finanziarie nell’edizione 2014 09
  • 2 Il fraudster
  • 3 Corruzione
  • 4 Cybercrime: i rischi di un mondo in rete
  • Data Appendix - Italia 2014
  • Note metodologiche 2014
  • Terminologia
  • Contatti | Forensic Services

Introduzione

Siamo lieti di presentare la settima edizione della PwC Global Economic Crime Survey 2014, la più ampia indagine condotta nel mondo del business sul fenomeno delle frodi economico-finanziarie.
Anche quest’anno l’obiettivo è di fornire alle aziende e alle funzioni chiamate ad affrontare il rischio di frode un quadro conoscitivo del problema, indagando l’esperienza e la percezione delle aziende, sia nel settore privato sia in quello pubblico, al fine di sviluppare efficaci strategie di prevenzione dei rischi.
La Global Economic Crime Survey 2014 ha raggiunto il traguardo di oltre 5000 interviste, per un totale di 95 paesi coinvolti; per quanto riguarda l’Italia, hanno aderito alla ricerca 101 aziende.
Da questa settima edizione emerge che i crimini economici non solo continuano a persistere rispetto alle edizioni precedenti ma costituiscono un vero e proprio attacco al business delle aziende, con conseguenti impatti non solo in termini finanziari ma anche sulla motivazione del personale e sulla reputazione.
Per tali ragioni quest’anno la Survey approfondisce in particolare le modalità con cui i crimini economici colpiscono le aziende, le aree di business più a rischio e le strategie da porre in essere per la prevenzione dei rischi e la gestione delle conseguenze.
Un’organizzazione su tre (37%) a livello globale e circa un’azienda su quattro (23%) in Italia hanno dichiarato di essere state vittime di frodi economico-finanziarie.
Proprio come un virus, la minaccia dei crimini economici è in fase di continua mutazione, opportunisticamente nascosta tra le nuove tendenze che caratterizzano le varie organizzazioni (tra cui il movimento dei capitali e della ricchezza verso i mercati emergenti e la diffusione trasversale delle nuove tecnologie su ogni aspetto del business).
Nella settima edizione della Global Crime Survey, le frodi finanziarie sono un fenomeno in crescita sia a livello globale (+3%) sia in Italia (+6%). Un quarto circa (23%) delle aziende interessate ha comunicato di essere stata vittima di una frode.
Tra gli aspetti positivi emersi dai risultati della Survey, si evince una crescente sensibilità e un maggior impegno nella fase di prevenzione da parte delle aziende.
In particolare, con l’aumento della dipendenza delle aziende dalle tecnologie e dai sistemi IT, non sorprende come il cybercrime continui a crescere in termini di numero di casi, frequenza e grado di sofisticazione, sia a livello globale quanto a livello locale.
Inoltre, contemporaneamente all’aumento di crimini economici perennemente esistenti, come l’appropriazione indebita, la corruzione e le frodi contabili, si stanno diffondendo anche nuove tipologie di eventi fraudolenti come le frodi nell’area degli acquisti.
Il documento è suddiviso in quattro sezioni:

  • La prima sezione è dedicata all’indagine sul fenomeno delle frodi economico-finanziarie: dimensione, tipologie di frodi, settori, strumenti di prevenzione e indagine, reazioni delle aziende, danni e impatti.
  • La seconda sezione è dedicata all’identikit del “fraudster”: livello di esperienza, età, anzianità di servizio, titolo di studio.
  • La terza e la quarta sezione sono dedicate invece a due tra i fenomeni di frode più diffusi: la corruzione e il cybercrime.

Il documento è focalizzato sulle risposte fornite dalle aziende italiane confrontate, ove possibile, con i dati delle edizioni precedenti della Survey e con quelli riscontrati a livello mondiale.

Allegati

PwC Global Economic Crime Survey 2014, Settima edizione

ComplianceNet: 

“A rischio email e telefonate degli italiani” il dossier segreto sul tavolo del governo (La Repubblica, 17 luglio 2014)

repubblica logo
Fonte: IusLetter
La denuncia del Garante per la Privacy: “Gravi criticità nel sistema che gestisce le telecomunicazioni e livelli di sicurezza inadeguati: minacciati i diritti dei cittadini”
di Marco Mensurati e Fabio Tonacci
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane.
Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network.
Tutto il traffico online del Paese, insomma.
Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud.
Quello che non si sa, però, è da chi.
A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti.
Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013.
E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza».

140717-telefono.jpg
Tutto ruota intorno agli Internet eXchange Point (IXP) e ai sistemi di sicurezza, insufficienti, che li dovrebbero proteggere.
Gli Ixp sono delle infrastrutture chiave per il funzionamento di Internet.
Di fatto sono dei luoghi fisici in cui convergono tutti i cavi che trasportano i dati degli utenti dei vari Internet Service Provider (Telecom, Fastweb, H3G, ecc. ecc.). In questi luoghi, i dati vengono letti, elaborati e dunque smistati nella Rete.
Per fare un esempio: le informazioni di navigazione di un utente qualsiasi che da rete Fastweb si colleghi con un sito il cui server è ospitato da Telecom, passa necessariamente per uno di questi Ixp.
In Italia ce ne sono nove, ma tre sono quelli fondamentali: uno a Milano (il “Mix”), uno a Torino (il “Top-IX) e uno a Roma (il “NaMex”).
«Tali apparati — scrivono gli ispettori del Garante — dispongono di funzionalità tecniche che possono consentire di replicare, in tempo reale, il traffico in transito dirottando il flusso replicato verso un’altra porta ( port mirroring ) ».
Nel corso dei controlli questa funzione non era attivata, specificano gli ispettori, aggiungendo però che se qualcuno volesse esaminare il traffico in transito potrebbe farlo «con una certa facilità, attivando la funzione di port mirroring e poi utilizzando appositi strumenti di analisi».
Sarebbe dunque un gioco da ragazzi duplicare il traffico degli utenti, dirottarlo altrove su grossi database e poi con calma analizzarlo.
Certo occorrerebbe prima entrare dentro queste strutture ma, è proprio questo il punto, la cosa appare tutt’altro che impresa ardua.
«Abbiamo una certificazione di sicurezza Iso27001», spiega l’ingegner Michele Goretti, direttore dell’Ixp di Roma. «E anche l’ispezione del Garante non ha fatto emergere problemi».
In realtà non deve essere andata proprio in questi termini se nella relazione c’è scritto che sono emerse «una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi ».
«La cosa merita la massima attenzione — continuano gli ispettori — in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e impresi) dei principali operatori nazionali».
Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. «Per tanto un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese».
Il rischio, secondo Goretti, è molto ridotto: «In linea teorica la possibilità di duplicare i dati c’è. In pratica sarebbe molto complesso farlo e i risultati sarebbero molto parziali: bisognerebbe duplicare i dati di tutti gli Ixp del paese».
Cosa complessa ma certo non impossibile, visto che gli hardware ospitati in queste strutture sono di varia provenienza: ci sono, ad esempio, router a marchio Huawei e Cisco, due multinazionali non estranee alle recenti polemiche sullo spionaggio. La manutenzione delle macchine può essere fatta anche da remoto e volendo non sarebbe complicato avviare funzionalità di mirroring e dirottare il traffico copiato.
Tra i 132 operatori connessi al “Mix” di Milano ci sono gli americani At&T;, Amazon, Facebook, Google, Microsoft, Verizon.
Giuliano Tavaroli, ex responsabile della sicurezza di Telecom e del Gruppo Pirelli, la vede in maniera a dir poco laica: «Il problema non è se i dati vengano o meno copiati. Questo in fondo starebbe nelle cose, e al massimo bisognerebbe capire chi è che intercetta e perché, visto che in Italia i nostri servizi segreti non dispongono dei mezzi per immagazzinare e analizzare moli significative di dati. Il vero problema è che, considerato il livello scarso di sicurezza di queste strutture, se fossero intercettate in Italia, oggi, non ce ne riusciremmo nemmeno ad accorgere».
Oltre che di sicurezza e di privacy, gli ispettori del Garante ne fanno anche una decisiva questione di regole: «Per svolgere la propria attività gli Ixp non hanno la necessità di trattare i dati personali degli abbonati o degli utenti e quindi (…) non assumono la qualifica di titolare del trattamento, in relazione alla quale il Garante potrebbe prescrivere loro direttamente le misure ritenute necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni di legge».
Come a dire, sono liberi di fare ciò che vogliono, senza essere controllati.

Articoli collegati su Privacy

Articoli collegati su Security

ComplianceNet: 

PCI-DSS - Payment Card Industry Data Security Standard ver. 3.0 (CLUSIT, 31 marzo 2014)

140401-pci_logo-2
Fonte: sito CLUSIT (pdf, 4 M , 63 pp.)
di Fabio Guasconi ( FB , Linkedin)

CLUSIT, Associazione Italiana per la Sicurezza Informatica, ha aggiornato il “Quaderno Clusit” dal titolo “PCI-DSS: Payment Card Industry - Data Security Standard” (pdf, 4 M , 63 pp.) per tener conto delle novità della versione 3.0 dello standard PCI-DSS.
Il test è rilasciato con “licenza libera” Creative Commons BY-NC-ND cioè è “liberamente condivisibile ma non utilizzabile per fini commerciali e non modificabile per creare opere derivate”.
Di seguito l'abstrac del testo e l’indice completo

Abstract

Il Quaderno che state leggendo è stato composto al fine di illustrare con chiarezza quanto ruota intorno allo standard PCI-DSS e alla connessa protezione dei dati delle carte di pagamento, rivolgendosi principalmente a un pubblico specialistico, come i soci CLUSIT.
Si è però cercato, nel contempo, di rendere i concetti al di là dei termini specifici ad essi legati e di non entrare in trattazioni tecniche spinte, al fine di rendere i contenuti fruibili ad una platea più allargata, che è effettivamente quella coinvolta nell’applicazione di questo standard.
Superato il preambolo del primo capitolo, nel secondo capitolo del Quaderno si introduce il lettore ai soggetti e ai processi su cui PCI-DSS si concentra, di fondamentale importanza per avere un’illustrata visione d’insieme. Si passa quindi ad esaminare le origini dello standard e le altre norme ad esso vicine.
Il terzo capitolo tratta in maniera estesa la struttura e i requisiti di PCI-DSS, descrivendo il contenuto generale e andando a far luce sui punti di più difficile comprensione, applicazione e di maggiore rilevanza per il raggiungimento della conformità.
Il quarto capitolo analizza lo standard PCI-DSS e le sue relazioni con altre norme e best practice assieme alle quali potrebbe trovarsi a convivere in un ambiente reale, ponendo l’accento sulle sinergie tra di esse.
Nel quinto capitolo si eviscera il processo di verifica e attestazione di conformità rispetto a PCI-DSS, i cui meccanismi sono forse uno degli aspetti meno conosciuti dello standard. Sono inoltre riportati i requisiti di validazione richiesti dai diversi brand delle carte di pagamento.
Il sesto capitolo illustra le scadenze passate e soprattutto future legate alla conformità rispetto allo standard, sia a livello locale che globale.
Nel settimo capitolo sono raccolte un insieme di domande frequenti, riprese dal materiale pubblicato ufficialmente e integrate con l’esperienza sul campo.
Gli ultimi due capitoli riportano gli indirizzi web, i contatti, e-mail utili e la nomenclatura impiegata.
Merita infine un breve accenno in questa sede la scelta della terminologia. Ove possibile si è fatto uso dei termini tradotti nel glossario ufficiale pubblicato dal PCI-SSC mentre, nei casi in cui questi potessero dare adito a dubbi sulla loro corretta interpretazione, si è deciso di mantenere i termini impiegati in lingua inglese.

Indice

1 PREMESSA
1.1 PRESENTAZIONE
1.2 ABSTRACT
1.3 AUTORI
1.4 RINGRAZIAMENTI SPECIALI
2 INTRODUZIONE
2.1 SOGGETTI E RUOLI CHIAVE
2.2 I TRE PROCESSI PRINCIPALI
2.3 GENESI DEGLI STANDARD PCI LEGATI ALLE CARTE
2.3.1 Payment Application DSS (PA-DSS)
2.3.2 PIN Transaction Security (PTS)
2.3.3 Point-to-point encryption (P2PE)
2.3.4 PIN Security Requirements
2.3.5 Card Manufacturers
3 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD (PCI-DSS)
3.1 AMBITO
3.2 OBIETTIVI
3.3 STRUTTURA
3.4 SVILUPPO E GESTIONE DI UNA RETE SICURA
3.4.1 Requisito 1: Installare e gestire una configurazione firewall per proteggere i dati dei titolari delle carte
3.4.2 Requisito 1.4
3.4.3 Requisito 2: Non utilizzare valori predefiniti del fornitore per le password di sistema e altri parametri di protezione
3.5 PROTEZIONE DEI DATI DI TITOLARI DELLE CARTE
3.5.1 Requisito 3: Proteggere i dati di titolari delle carte memorizzati
3.5.2 Requisito 4: Cifrare i dati di titolari delle carte trasmessi su reti aperte e pubbliche
3.6 MANUTENZIONE DI UN PROGRAMMA PER LA GESTIONE DELLE VULNERABILITÀ
3.6.1 Requisito 5: Proteggere tutti i sistemi dal malware e aggiornare regolarmente software o programmi antivirus
3.6.2 Requisito 6: Sviluppare e gestire sistemi e applicazioni protette
3.6.3 Requisito 6.4
3.6.4 Requisito 6.5
3.6.5 Requisito 6.6
3.7 IMPLEMENTAZIONE DI RIGIDE MISURE DI CONTROLLO DELL'ACCESSO
3.7.1 Requisito 7: Limitare l'accesso ai dati di titolari delle carte solo se effettivamente necessario
3.7.2 Requisito 8: Identificare e autenticare gli accessi ai componenti di sistema
3.7.3 Requisito 9: Limitare l'accesso fisico ai dati dei titolari delle carte
3.8 MONITORAGGIO E TEST REGOLARI DELLE RETI
(rev.
3.8.1 Requisito 10: Registrare e monitorare tutti gli accessi a risorse di rete e dati di titolari delle carte
3.8.2 Requisito 11: Eseguire regolarmente test di sistemi e processi di protezione
3.8.3 Requisito 11.3
3.9 GESTIONE DI UNA POLITICA DI SICUREZZA DELLE INFORMAZIONI
3.9.1 Requisito 12: Gestire una politica che garantisca la sicurezza delle informazioni per tutto il personale
3.10 REQUISITI PCI-DSS AGGIUNTIVI PER PROVIDER DI HOSTING CONDIVISO
3.10.1 Requisito A.1: I provider di hosting condiviso devono proteggere l'ambiente dei dati di titolari delle carte
3.11 I CONTROLLI COMPENSATIVI
4 LEGAMI CON ALTRE BEST PRACTICE
4.1 ISO/IEC 27001
4.1.1 Approccio
4.1.2 Contromisure
4.1.3 Sinergie sul Campo
4.2 COBIT
4.2.1 Approccio
4.2.2 Attività
4.2.3 Sinergie sul Campo
4.3 ALTRI
4.3.1 ISO/IEC 20000 e ITIL
4.3.2 Basilea2
4.3.3 OSSTMM
4.3.4 OWASP
5 CERTIFICAZIONE
5.1 CERTIFICANTE
5.1.1 Qualified Security Assessor Company (QSAC)
5.1.2 Approved Scanning Vendor (ASV)
5.2 I LIVELLI
5.2.1 I livelli dei Merchant
5.2.2 I livelli dei Service Provider
5.3 REQUISITI NECESSARI PER LA VALIDAZIONE
5.3.1 Self-Assessment Questionnaire – SAQ
5.3.2 Requisiti necessari per la validazione dei Merchant
5.3.3 Requisiti necessari per la validazione dei fornitori di servizi
5.4 I TEMPI DI RECUPERO
6 QUADRO INTERNAZIONALE E SCADENZE
7 DOMANDE FREQUENTI
8 RIFERIMENTI
8.1 SITI WEB E INDIRIZZI EMAIL DEI BRAND
8.1.1 PCI Security Standard Council
8.1.2 VISA
8.1.3 MasterCard
8.1.4 American Express
8.1.5 Discover
8.1.6 JCB
8.2 SITI WEB ESTERNI
9 NOMENCLATURA

Chi è Fabio Guasconi?

Impegnato dal 2003 come consulente per la sicurezza delle informazioni, con particolare attenzione per le tematiche di analisi del rischio, gestione della sicurezza e verso le norme internazionali, a cui contribuisce attivamente tramite UNINFO e ISO, ha ottenuto le qualifiche di CISA e CISM. E' lead auditor qualificato con significativa esperienza sullo schema ISO/IEC 27001 (della cui prima traduzione in italiano è stato editor) e ha una conoscenza approfondita delle diverse attività di verifica e miglioramento della sicurezza. Opera attivamente in ambito PCI-DSS, per il quale è QSA (Qualified Security Assessor) riconosciuto dal PCI-SSC.
Laureatosi in Informatica a Torino, presiede attualmente il comitato italiano SC27 per la sicurezza delle informazioni di UNINFO, è membro del suo Comitato Direttivo così come quello di CLUSIT ed è partner e Co-fondatore della consulting company (QSAC) Bl4ckswan S.r.l.

Cos'è CLUSIT?

140401-pci_logo-2

  • Fonte: presentazione da sito Clusit (pdf)

CLUSIT,  Associazione Italiana per la Sicurezza Informatica è un'associazione senza fini di lucro costituita a Milano il 4 luglio 2000, presso il Dipartimento di Informatica dell’Università degli Studi di Milano, ed è la più numerosa ed autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese.

ComplianceNet: 

NIST: “Cybersecurity Framework” (15 febbraio 2014)

140215-cyberframework

Fonte: sito NIST
Il National Institute of Standards and Technology (NIST) ha pubblicato la prima versione del “Cybersecurity Framework” (pdf, 474 M, 41 pp.), frutto della collaborazione con le aziende del settore privato come previsto dall’Executive Order 13636: “Improving Critical Infrastructure Cybersecurity” emanato nel febbraio 2013 dal Presidente Obama.
Le “linee guida” consistono in misure volontarie che le organizzazioni che operano sulle “infrastrutture critiche” degli USA possono adottare nei loro piani di sicurezza informatica.
Al momento non sono previsti incentivi economici per l’adozione delle “linee guida”: tuttavia esse saranno probabilmente rese obbligatorie per chi fornisce servizi e prodotti al governo statunitense e alle agenzie federali.

Indice del documento

Executive Summary.........................................................................................................................1
1.0 Framework Introduction .........................................................................................................3
2.0 Framework Basics...................................................................................................................7
3.0 How to Use the Framework ..................................................................................................13
Appendix A: Framework Core.......................................................................................................18
Appendix B: Glossary....................................................................................................................37
Appendix C: Acronyms .................................................................................................................39

Allegati

  • National Institute of Standards and Technology, “Framework for Improving Critical Infrastructure Cybersecurity”, Version 1.0, February 12, 2014 (pdf, 474 M, 41 pp.)
  • National Institute of Standards and Technology, “NIST Roadmap for Improving Critical Infrastructure Cybersecurity”, February 12, 2014  (pdf)
ComplianceNet: 

Simulazione di un attacco cibernetico alle istituzioni finanziare del Regno Unito: il rapporto finale (8 febbraio 2014)

140208-rapporto-bank-of-england-2
Fonte: Bank of England
La Banca d’Inghilterra ha pubblicato un rapporto (pdf, 698 K,  10 pp.) contenente i risultati e le osservazioni della “simulazione di un ampio attacco cibernetico” alle istituzioni finanziarie del Regno Unito. La simulazione, denominata “Waking Shark II” (letteralmente: sulla scia degli squali) ha avuto luogo il 12 novembre 2014 e ha confermato, nonostante i progressi conseguiti negli ultimi mesi, che il settore finanziario britannico è vulnerabile agli attacchi informatici.
È necessario, secondo il rapporto, che ci sia un unico soggetto centrale responsabile per la gestione delle comunicazioni tra le diverse istituzioni nel settore finanziario.
La Banca d’Inghilterra ribadisce che tutti i soggetti del settore finanziario devono segnalare gli attacchi informatici subiti sia alle Autorità di vigilanza sia alle forze dell’ordine; è pertanto necessaria una continua review delle procedure interne per la gestione degli incidenti informatici per garantirne l’efficienza operativa.

Allegato

  • Bank of England, “Waking Shark II: Desktop Cyber Exercise. Report to participants”, 12 November 2013, author: Chris Keeling (pdf, 698 K,  10 pp.)
ComplianceNet: 

Pagamenti via smartphone e tablet: le regole del garante privacy per tutelare gli utenti” (3 gennaio 2013)

garante-privacy

Fonte: Garante Privacy, Doc-Web: 2841156
Informativa sull'uso dei dati, misure di sicurezza forti, conservazione a tempo
Chi usa smatphone e tablet per acquistare servizi, abbonarsi a quotidiani on line, comprare  e-book, scaricare  a pagamento film o giochi sarà più garantito. Arrivano le regole del Garante per proteggere la privacy degli utenti che, tramite il proprio credito telefonico, effettuano pagamenti a distanza avvalendosi del cosiddetto mobile remote payment.
L'uso di questa nuova forma di pagamento, che è destinata a raggiungere in breve tempo una notevole diffusione e che accentua i processi di smaterializzazione dei trasferimenti di denaro, comporta infatti il trattamento di numerose informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell'acquisto), in alcuni casi anche di natura sensibile.
Obiettivo del provvedimento generale dell'Autorità, dunque, è quello di garantire in un mercato del pagamento sempre più dinamico, un trattamento sicuro delle informazioni che riguardano gli utenti  e prevenire i rischi di un loro uso improprio.
Le direttive del Garante sono rivolte ai tre principali soggetti che offrono servizi di mobile payment:
operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento elettronico tramite cellulare, o con l'uso di una carta prepagata oppure mediante un abbonamento telefonico;
gli aggregatori (hub), che mettono a disposizione degli operatori tlc e internet e gestiscono la piattaforma tecnologica per l'offerta di prodotti e servizi digitali;
i venditori (merchant), che offrono contenuti digitali e vendono servizi editoriali, prodotti multimediali, giochi,  servizi destinati ad un pubblico adulto.
Ecco, in sintesi, gli adempimenti che dovranno adottare le tre categorie di operatori coinvolti.

Informativa

I provider telefonici ed internet e i venditori dovranno informare gli utenti specificando  quali dati personali  utilizzano  e per quali scopi. Per tale motivo dovranno rilasciare l'informativa al momento dell'acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico ed inserirla nell'apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell'operatore telefonico, potranno predisporre una apposita pagina con la quale fornire l'informativa e la richiesta del consenso al trattamento dei dati.

Consenso

I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment.
Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.

Misure di sicurezza

Operatori, aggregatori e venditori saranno tenuti ad adottare  precise misure per garantire la confidenzialità dei dati, quali: sistemi di autenticazione forte per l'acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici. Dovranno essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell'operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell'utenza basata su abitudini,  gusti e  preferenze. Da prevedere anche accorgimenti tecnici per  disattivare  servizi destinati ad un pubblico adulto.

Conservazione

I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L'indirizzo Ip dell'utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.

Consultazione pubblica

Prima del varo definitivo del provvedimento, l'Autorità ha deciso di sottoporre il testo a una consultazione pubblica: soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazionemp@gpdp.it

Articoli collegati

ComplianceNet: 

L’Italia ora ha un piano per la cybersicurezza (Punto Informatico, 19 dicembre 2013)

governo

Fonte: Punto Informatico

Il Consiglio dei Ministri vara due documenti. Utili ad analizzare la sicurezza online italiana. E organizzare la difesa, coordinando le risorse e gli enti coinvolti. Anche di concerto con l'Europa
di Claudio Tamburrino

Il Consiglio dei Ministri ha adottato, su proposta unanime del CISTR (Comitato interministeriale per la sicurezza della Repubblica), il "Quadro strategico nazionale per la sicurezza dello spazio cibernetico" e il "Piano nazionale per la protezione cibernetica e la sicurezza informatica": i due documenti vogliono rappresentare uno "sforzo coordinato e coerente delle diverse amministrazioni" pubbliche nella lotta alle minacce informatiche.

Si tratta degli ultimi passi di una politica iniziata a gennaio scorso con la firma di un decreto per la definizione dell'architettura di sicurezza cibernetica nazionale, e che a livello sovrannazionale ha visto la UE tracciare la via dell'approccio comunitario al problema della cyber-sicurezza, partendo dalla messa in sicurezza delle cosiddette infrastrutture critiche (energia e trasporti) e dall'obbligo per tutti i Paesi di istituire dei Computer Emergency Response Team (CERT) in grado di reagire tempestivamente ad eventuali attacchi informatici.

Le due nuove misure rappresentano dunque la conclusione del lavoro svolto dagli esperti della Presidenza del Consiglio e delle diverse amministrazioni coinvolte, e servono ad individuare strumenti e procedure per prevenire ed arginare le minacce online: in pratica servono a fotografare l'attuale situazione italiana (le nuove forme di minacce, le strutture di difesa al momento esistenti ecc) ed a predisporre una strategia e dei canali comunicativi per permettere alle pubbliche amministrazioni di coordinarsi.Come ha sottolineato il premier Letta, "ci dotiamo di una strategia che ci permette di fare squadra. Ora possiamo guardare con più fiducia alle sfide dello spazio cibernetico, che non è solo una fonte di rischi, ma anche di opportunità per produrre ricchezza".

Link

  • Italian Cyber Security Report 2013: Critical Infrastructure and Other Sensitive Sectors Readiness (pdf, 3,7 M, 90 pp. )
ComplianceNet: 

Unione Fiduciaria: slide convegno “nuove regole sul sistema dei controlli interni” (15 ottobre 2013)

Sul sito web di Unione Fiduciaria sono disponibile le slide delle presentazioni relative al convegno del 1° ottobre 2013 “Provvedimento di Banca d’Italia del 2 luglio 2013: le nuove regole sul sistema dei controlli interni, sistemi informativi e continuità operativa

131016-unione-fiduciaria-locandina
(clicca qui per scaricare la locandina in pdf )

Presentazioni

(update: nuovo link)

Unione Fiduciaria: nuove regole sul sistema dei controlli interni (La mia Finanza, 2 ottobre 2013)

131003-unione-fiduciaria.jpg

Come cambiano le regole sul sistema dei controlli interni, sistemi informativi e continuità operativa dopo il provvedimento di Banca d’Italia del 2 luglio 2013

Si è tenuto, organizzato da Unione Fiduciaria un incontro con più di cento responsabili dei controlli interni di banche e finanziarie. Il convegno presentato dal Professor Roberto Ruozi e moderato dal Vicedirettore Generale di Unione Fiduciaria, avvocato Fabrizio Vedana, ha fatto il punto sulle novità del regolamento del sistema dei controlli interni a seguito del Provvedimento Banca d’Italia del 2 luglio scorso.
Il Dott. Mario Marangoni - Titolare della Divisione normativa prudenziale - Banca d'Italia, Servizio Normativa e politiche di vigilanza, ha illustrato tra le principali novità, il RAF, il quadro di riferimento che definisce la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli, in coerenza con il massimo rischio assumibile, il modello di business e il piano strategico. Strumento che collega i sistemi di governo, gestione e controllo dell’intermediario, il RAF è la cornice di riferimento che collega i rischi alla strategia aziendale e lega gli obiettivi di rischio all’operatività dell’impresa.
Con la disciplina del Sistema dei controlli interni, sistema informativo e continuità operativa, è stato introdotto l’obbligo, in capo alla Funzione di Compliance, di presidiare il rischio di non conformità alle normative di natura fiscale.
In particolare, si ricorda che la Compliance sarà d’ora innanzi tenuta a:

 

 

  • definire procedure volte a prevenire violazioni o elusioni di tale normativa e ad attenuare i rischi connessi a situazioni che potrebbero integrare fattispecie di abuso del diritto, in modo da minimizzare le conseguenze sia sanzionatorie, sia reputazionali derivanti dalla non corretta applicazione della normativa fiscale;
  • verificare l’adeguatezza di tali procedure e della loro idoneità a realizzare effettivamente l’obiettivo di prevenire il rischio di non conformità.

A proposito della Funzione di Internal Audit – attività di controllo e valutazione del S.C.I. è intervenuto il Dott. Fabrizio Quasso – Associazione Italiana Internal Audit, spiegando come rispetto al passato è richiesta all’Internal Audit una più incisiva e puntuale attività di Assurance su diversi temi, quali RAF, gestione dei rischi e attività esternalizzate.
Ha proseguito il Dott. Fernando Metelli - Presidente Associazione Italiana Financial Industry Risk Managers – Responsabile Chief Risk Officer Alba Leasing, sul tema del sistema di controllo, governo dei rischi, novità in materia di Risk Appetite Framework e ruolo di organi e funzioni aziendali, specificando come le nuove norme enfatizzano il ruolo degli organi aziendali sul «sistema dei controlli Interni», chiedono di potenziare tutti i livelli di controllo, impongono indipendenza e autorevolezza di risk management, compliance, audit e danno rilievo al ruolo del CdA nella definizione del modello di business.
Le novità per la Funzione di Compliance e la gestione e il controllo del rischio fiscale sono state illustrate dall’Avv. Claudio Cola – Presidente AICOM (Associazione Italiana Compliance), che ha chiarito i problemi relativi all’inserimento organico della funzione compliance nelle disposizioni che regolano le funzioni di controllo e più in generale il sistema dei controlli interni.
L’Ing. Fabio Ghirardi - Direttore Area Consulenza Banche – Settore Informatico - Unione Fiduciaria S.p.A. ha parlato di gestione della sicurezza informatica e delle norme in materia di continuità operativa, anticipando due scadenze: il 1° luglio 2014: adeguamento alle disposizioni contenute nel Capitolo 9 (La continuità operativa) e il 1° febbraio 2015: adeguamento alle disposizioni contenute nel Capitolo 8 (Il sistema informativo).
L’ing. Fabio Ghirardi, nella sessione pomeridiana, ha illustrato la nuova piattaforma informatica software Comunica cube sviluppata da Unione Fiduciaria per assolvere agli obblighi di controllo di primo, secondo e terzo livello.
Ha concluso il Dott. Marcello Fumagalli - Direttore Area Consulenza Banche – Settore Organizzazione e Controlli - Unione Fiduciaria a proposito di documento di Gap Analysis ricordando una prima importante scadenza, il 31 dicembre 2013, entro la quale le Banche dovranno inviare alla Banca d’Italia una relazione recante un’autovalutazione della loro situazione aziendale rispetto ai nuovi requisiti normativi previsti nelle disposizioni di vigilanza del 2 luglio scorso.
Unione Fiduciaria offre per prima, grazie anche alla prestigiosa collaborazione con lo Studio Legale Grimaldi, un servizio consulenziale di alto profilo, destinato alle funzioni di compliance in ambito fiscale. Tale servizio informativo di assistenza fiscale alle funzioni di compliance è operativo e sarà offerto in prova gratuita, per la durata di tre mesi, a coloro che lo richiederanno scrivendo all'indirizzo consulenza@unionefiduciaria.it.
L’offerta consulenziale prevede altresì l’assistenza per l'attività di gap analysis, prevista dal provvedimento Banca d’Italia di cui sopra, ossia la predisposizione della relazione da trasmettere alla Banca d'Italia entro la data del 31 dicembre 2013, recante un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa.

Happy Hour ANSSAIF – Roma 23 settembre 2013

130913-logo-anssaif

L’ANSSAIF, l’Accademia Nazionale per lo Studio della Sicurezza delle Assicurazioni e degli Intermediari Finanziari, ha organizzato un incontro per un aperitivo (Happy Hour) fra colleghi operanti presso aziende di intermediazione finanziaria nell’ambito dei fini istituzionali dell’accademia con l’obiettivo di contribuire a fornire a chi opera in azienda, tutte quelle informazioni o studi che gli agevolino l’attività. L’atmosfera e la location saranno informali.
Il prossimo incontro, nel corso del quale si dibatteranno alcuni temi di attualità, è programmato per il giorno lunedì 23 Settembre p.v. dalle ore 17.30 alle 19.30 a Roma - Zona Eur.

Agg 231-2001-2

(clicca per ingrandire immagine)

Il tema ritenuto attualmente di maggiore interesse riguarda gli aggiornamenti della norma 231/2001 sulla responsabilità amministrativa degli enti, introdotti dalle Disposizioni in materia di sicurezza e contrasto della violenza di genere (Art.9 - Frode informatica commessa con sostituzione d’identità digitale – decreto legge 14 agosto 2013, n. 93).
Naturalmente questa è solo una tracce indicativa, in quanto sarà lasciato ampio spazio all’interscambio fra i presenti, utile anche a pianificare gli incontri futuri.

Approfondimenti

Articoli collegati 

ComplianceNet: 

Pagine