1p.

Rassegna Stampa

AntiCorruzioneAbruzzo Web: SPECIALE ATTIVITA' ANTI CORRUZIONE, LE MISURE DEL CONSIGLIO................

Cyber SecurityAdnkronos: Attenti a Gooligan, malware che ha infettato 1 milione di dispositivi Android ............................

Notiziario Italiano.it: In crescita il cybercrimine a scopo di guerra e terrorismo: rapporto Clusit 2015 ..........

PrivacyHelp Consumatori: Commissione europea: ecco le competenze che servono al consumatore nel mercato....

Il Sole 24 Ore.com - Diritto24: Il Codice di Condotta per i Cloud Infrastructure Service Provider ................

Il Sole 24 Ore.com - Diritto24: DLA PIPER E TRANSPARENCY INTERNATIONAL ITALIA ...............

Punto Informatico.it: Firefox, un nuovo bug mette la privacy a rischio...........................................................

2

3

4

6

7

9

10

Data:

01/12/16Abruzzo WebSPECIALE ATTIVITA' ANTI CORRUZIONE, LE MISURE DEL CONSIGLIO REGIONALE

Argomento:AntiCorruzione 2p.

SPECIALE ATTIVITA' ANTI CORRUZIONE, LE MISURE DEL CONSIGLIO REGIONALE

SPECIALE ATTIVITA' ANTI CORRUZIONE, LE MISURE DEL CONSIGLIO REGIONALE Pubblicazione: 30 novembre 2016 alle ore 17:51 L'AQUILA - Il decreto legislativo numero 33/2013 ha posto a carico delle pubbliche amministrazioni l'obbligo di pubblicare sul proprio sito istituzionale tutta una serie d’informazioni con lo scopo di trasformare la pubblica amministrazione nella cosiddetta casa di vetro e consentire ai cittadini di monitorarne l'attività. In tal senso il responsabile per la prevenzione della corruzione e per la trasparenza del Consiglio regionale, Giovanni Giardino, ha predisposto il documento annuale dove si ribadisce il concetto di trasparenza quale antidoto alla corruzione. Un ruolo cruciale è stato attribuito in questa materia all'Autorità nazionale anticorruzione (Anac), sotto il versante sia dei controlli, anche dietro segnalazione dei cittadini, che dell'applicazione delle conseguenti sanzioni. Il Piano triennale per la prevenzione della corruzione 2016-2018 del Consiglio regionale, al fine di recepire le indicazioni metodologiche fornite dall’Anac nell’aggiornamento al Piano nazionale anticorruzione sulle fasi di analisi e valutazione dei rischi per una migliore impostazione e realizzazione del processo di gestione del rischio di corruzione, si è proposto di migliorare l’analisi del contesto esterno. Completare ed aggiornare la ricognizione dei processi organizzativi di competenza del Consiglio regionale; implementare il processo di gestione del rischio corruzione con particolare riferimento ai processi inerenti il Co.re.com. e l’erogazione di contributi per attività culturali. Questa la novità in materia di trasparenza, nel Programma triennale per la trasparenza e l’integrità (Ptti) per il periodo 2016-2018. Dopo aver confermato tutti gli ulteriori obblighi di trasparenza adottati dal precedente Programma 2015-2017, il Consiglio regionale esercitando la facoltà demandata alle Regioni di promuovere un maggior livello di trasparenza, ha stabilito di pubblicare sul sito istituzionale nella sezione 'Amministrazione trasparente' nuove e ulteriori informazioni. Attraverso anche la previsione di obblighi di pubblicazione ulteriori rispetto a quelli previsti dalla legge, al fine di consentire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche, Inoltre, anche la legge regionale 2/2016 ha sostanzialmente realizzato a livello legislativo l’innalzamento del livello di trasparenza sancito dal legislatore nazionale con il d.lgs. 33/2013, prevedendo l’obbligo di pubblicare i nominativi dei soggetti che percepiscono l’assegno vitalizio e di reversibilità. Inoltre, verrà resa trasparente, la misura delle somme a tal fine erogate, nonché dei nominativi dei soggetti che percepiscono l’indennità di fine mandato e la relativa entità. ©

Data:

01/12/16AdnkronosAttenti a Gooligan, malware che ha infettato 1 milione di dispositivi Android

Argomento:Cyber Security 3p.

Attenti a Gooligan, malware che ha infettato 1 milione di dispositivi Android

Attenti a Gooligan, malware che ha infettato 1 milione di dispositivi Android CYBERNEWS Tweet Condividi su WhatsApp Pubblicato il: 30/11/2016 16:46 E' stata scoperta una nuova variante di malware per Android che ha colpito più di un milione di account Google. La nuova minaccia, chiamata dai ricercatori di Check Point 'Gooligan', ottiene i permessi di amministratore dei dispositivi Android e ruba indirizzi email e i token di autenticazione in essi custoditi. In possesso di queste informazioni, gli hacker possono avere accesso alle informazioni più sensibili degli utenti, presenti su Gmail, Google Photos, Google Docs, Google Play, Google Drive e G Suite. Inoltre, dopo aver conquistato il controllo totale del dispositivo, gli hacker generano introiti con l’installazione illecita di app da Google Play, facendole pagare alla vittima. Gooligan ogni giorno installa almeno 30.000 app sui dispositivi che colpisce, ovvero più di 2 milioni di app dall’inizio della campagna. Secondo i dati diffusi da Check Point, il malware ogni giorno infetta 13.000 dispositivi, e per la prima volta ha effettuato il rooting di più di un milione di dispositivi. Uno dei dati che preoccupano, spiega l'azienda specializzata in sicurezza informatica, è che centinaia di indirizzi email in tutto il mondo sono associati ad account aziendali. Gooligan colpisce dispositivi con le versioni di Android Jelly Bean, KitKat e Lollipop, cioè circa il 74% dei dispositivi Android in uso attualmente. Il team Mobile Research di Check Point ha scoperto il codice di Gooligan per la prima volta nell’app malevola SnapPea, nel 2015. Lo scorso agosto, il malware è riapparso sotto forma di una variante nuova, e da quel momento ha infettato almeno 13.000 dispositivi al giorno. Circa il 57% di questi dispositivi si trova in Asia, mentre il 9% circa è in Europa. Centinaia degli indirizzi email a rischio in tutto il mondo sono associati ad email aziendali. L’infezione inizia a propagarsi nel momento in cui un utente scarica e installa un’app infettata da Gooligan su un dispositivo Android vulnerabile, oppure clicca un link malevolo contenuto in un messaggio di phishing. "Questo furto di più di un milione di informazioni dagli account Google è inquietante, e rappresenta il prossimo passo degli attacchi informatici", afferma Michael Shaulov, head of mobile products di Check Point. "Abbiamo notato che gli hacker stanno cambiando strategia, e adesso prendono di mira i dispositivi mobili, per appropriarsi così dei dati sensibili custoditi". Check Point ha informato immediatamente il team sicurezza di Google riguardo questo attacco. "Apprezziamo il contributo di Check Point e abbiamo collaborato per capire fino in fondo e affrontare questo problema. Come parte del nostro costante impegno per difendere gli utenti dalla variante di malware Ghost Push, abbiamo compiuto numerosi passi per difenderli e migliorare la sicurezza generale dell’ecosistema Android", afferma Adrian Ludwig, director of Android security di Google. Tra le varie misure, l'azienda ha contattato gli utenti colpiti e revocato i loro token, eliminato le app colpite da Google Play e ha arricchito la tecnologia Verify App con nuove barriere difensive. Check Point ha messo a disposizione uno strumento online gratuito con il quale gli utenti possono controllare se il loro account è stato violato. "Se c’è stata una violazione del vostro account, dovrete installare un sistema operativo pulito sul dispositivo. Questo procedimento complesso si chiama flashing, e consigliamo di spegnere il vostro dispositivo e contattare un tecnico certificato, oppure il provider del vostro servizio, per eseguirne il re-flashing", ha concluso Shaulov. Tweet Condividi su WhatsApp TAG: cybersecurity, Check Point, Android, Google, Gooligan

Data:

01/12/16Notiziario Italiano.itIn crescita il cybercrimine a scopo di guerra e terrorismo: rapporto Clusit 2015

Argomento:Cyber Security 4p.

In crescita il cybercrimine a scopo di guerra e terrorismo: rapporto Clusit 2015

In crescita il cybercrimine a scopo di guerra e terrorismo: rapporto Clusit 2015 tecnologia Adesso gli "hacker" collaborano con gruppi armati ed eserciti. In Italia danni alle aziende per nove miliardi di euro In crescita il cybercrimine a scopo di guerra e terrorismo: rapporto Clusit 2015 SIAMO ENTRATI nell'era della cyberguerra a scopo militare e terroristico, mentre l'Italia è ancora impreparata ad affrontare gli attacchi informatici. Sono alcune delle scoperte presenti nel rapporto Clusit 2015 (l'associazione italiana per la sicurezza informatica), anticipato oggi (sarà presentato ufficialmente il 17 marzo al Security Summit 2015). Nel 2014 gli attacchi in supporto ad attività militari, paramilitari e terroristiche sono aumentati a livello globale del 68%, mentre cala l'hacktivism, cioè gli attacchi per attivismo politico. Un quarto degli attacchi nel mondo colpisce i Governi per rubare informazioni di rilevanza strategica o anche semplicemente per "defacciare" o bloccare siti istituzionali. "È in atto una corsa ai cyber armamenti", dice il Clusit. I servizi cloud, le banche, la sanità (settore che ha subìto un incremento del 190% rispetto al 2013), fanno registrare il maggiore tasso di crescita nel numero e nella gravità degli attacchi. Condividi   Nel 2014 è inoltre entrato prepotentemente nel mirino dei cybercriminali anche il settore "Retail": la grande distribuzione organizzata, le catene di punti vendita in franchising e i siti di ecommerce hanno infatti registrato globalmente perdite ingentissime, in alcuni casi nell'ordine delle centinaia di milioni di euro (per esempio, Target, Home Depot). E non si tratta solo di constatare una crescita degli attacchi. Una delle conclusioni allarmanti a cui giunge il rapporto è infatti che le istituzioni e le aziende non stanno facendo abbastanza per contrastare il fenomeno. Il numero e la gravità degli attacchi aumenta di molto, nonostante la crescita degli investimenti mondiali in cybersicurezza (+8% nel 2014); e ben i due terzi delle vittime - si stima - non è nemmeno consapevole di aver subìto un attacco. Su 1600 aziende analizzate dal Clusit, in media il 90% ha subìto almeno un attacco. Adesso, "il rischio di essere colpiti da un attacco informatico è diventato una certezza, nel breve-medio periodo", si legge nel rapporto.  Bisogna accettare questa evidenza. Ecco perché le ultime tendenze in fatto di sicurezza informatica mondiale privilegiano le misure per il controllo dei danni e l'isolamento dell'attaccante, invece di puntare solo sull'attività di prevenzione, che a quanto pare non può sperare di bloccare tutti i pericoli. "La parola d'ordine del 2015 è 'prepararsi all'impatto' adottando logiche di Cyber Resilience (...) applicando l'antica massima 'conosci te stesso' (e quindi le proprie vulnerabilità e criticità), e poi predisponendo un modello di rischio accurato, costantemente aggiornato, stimando le perdite potenziali tramite lo studio di un certo numero di scenari realistici per determinare correttamente gli investimenti necessari", si legge nel rapporto. Ma l'Italia è in ritardo su questo approccio e vive una situazione particolarmente grave: Clusit stima in nove miliardi di euro i danni complessivi causati dal cybercrime (compresi quelli di ripristino del sistema), denuncia il furto di segreti industriali ai danni delle Piccole e medie imprese nostrane (e a vantaggio di organizzazioni straniere) e accusa le istituzioni di non aver ancora predisposto un centro per raccogliere le segnalazioni di attacchi e coordinare le difese (anche se il Governo assicura che questo centro è già attivo da giugno, vari esperti ritengono che non sia ancora effettivamente funzionale). Sono quattro le tendenze per il 2015, nel mondo, secondo il Clusit. La collaborazione tra gruppi cybercriminali e gruppi terroristici o paramilitari continuerà a crescere, con attività di estorsione per ragioni politiche ed economiche, "con impatto sulle istituzioni e Pubblica Amministrazione, aziende e infrastrutture critiche". "Ci si attende inoltre che le organizzazioni terroristiche (tra cui l'Is) utilizzino sempre più frequentemente le piattaforme di social networking come veri e propri campi di battaglia nei confronti dei governi", si legge. "Gli stessi social network continueranno - come tra l'altro già ampiamente documentato lo scorso anno - a essere facili vettori di attacco per la diffusione di malware e per le frodi basate su social engineering". Terza tendenza, "a causa della loro intrinseca fragilità, i sistemi Pos saranno invece sempre più bersagliati da criminali e la possibilità di attacchi malware sarà molto elevata anche nei singoli esercizi commerciali. Le banche saranno chiamate in prima linea nella prevenzione delle frodi e a fornire supporto ai clienti". Infine, i cellulari saranno un bersaglio facile: c'è "una crescente attenzione da parte di agenzie governative, spie mercenarie e criminali nei confronti di piattaforme quali iOS e Windows Phone (finora ritenute più protette di Android, ndr). I produttori di device mobili, gli sviluppatori di applicazioni e gli utenti dovranno rivedere le proprie strategie e i propri investimenti in materia di mobile, ponendo l'accento sulla sicurezza, e non più solo sugli aspetti marketing o di business". Il Rapporto Clusit si avvale anche

Argomento: Economia / Finanza 5pag.

quest'anno dei dati relativi agli attacchi rilevati dal Security Operations Center (Soc) di Fastweb, che è in grado di monitorare e difendere da attacchi e minacce sia l'infrastruttura Ict aziendale sia quella dei clienti e che ha acconsentito a condividere con Clusit una dimensione statistica del fenomeno. 01/12/16 05:22 repubblica

Data:

01/12/16Help ConsumatoriCommissione europea: ecco le competenze che servono al consumatore nel mercato digitale

Argomento:Privacy 6p.

Commissione europea: ecco le competenze che servono al consumatore nel mercato digitale

Commissione europea: ecco le competenze che servono al consumatore nel mercato digitale In un mondo iperconnesso come quello attuale sono tante le opportunità e numerosi anche i rischi. Come possono agire i consumatori in modo autonomo e responsabile nel mercato digitale? Come possono non solo difendersi, ma anche cogliere appieno le possibilità che il mercato digitale offre? Di sicuro c’è un aspetto: per muoversi bene, attivamente, in modo sicuro, nel mercato digitale, i consumatori hanno bisogno di una serie di competenze e abilità. La Commissione europea ne ha fatto un elenco. La Commissione sta infatti distribuendo uno studio, frutto del lavoro congiunto della DG Giustizia e Consumatori e del Joint Research Centre, dal titolo The Digital Competence Framework for Consumers, sulle competenze e sulle abilità che i consumatori dovrebbero avere per agire nel mercato digitale europeo. “Viviamo in un mondo iperconnesso”, si legge nello studio. “La complessità e la molteplicità dei mercati digitali forniscono una pletora di opportunità e di rischi per i consumatori”. Questi dunque si troveranno in una posizione migliore per beneficiare dei mercati digitali aperti se acquisteranno nuove conoscenze, svilupperanno e metteranno in pratica nuove competenze, adotteranno un atteggiamento allo stesso tempo equilibrato e critico verso il mondo digitale – cogliendone le opportunità ma consapevoli anche dei problemi, sapendo ad esempio riconoscere comunicazioni commerciali e pubblicità, oppure sapendo che i motori di ricerca non sono neutrali. La Commissione europea – ricorda la prefazione dello studio – ha indicato come uno dei suoi obiettivi principali quello di creare un mercato unico digitale in cui cittadini e imprese possano accedere a beni e servizi online, indipendentemente dalla loro nazionalità o dal luogo in cui vivono. I consumatori hanno un ruolo centrale nel far funzionare il mercato unico digitale, che semplificherà le norme di consumo per gli acquisti online. Allo stesso tempo, “un miglior accesso per i consumatori a beni e servizi digitali in tutta Europa non si ottiene solo con le modifiche legislative. Richiede anche di rafforzare competenze e apprendimento digitali”. Non bastano dunque le norme: i consumatori devono sapere, e saper fare. Sono 14 le competenze individuate dallo studio e divise in tre aree principali: quella prima dell’acquisto, quella durante l’acquisto e la fase del  post. Quali sono? Nella fase del “pre”, sono la navigazione, la ricerca e la capacità di filtrare le informazioni su beni e servizi; la valutazione e il confronto delle informazioni su beni e servizi; la capacità di riconoscere e valutare comunicazione commerciale e pubblicità; la gestione dell’identità e del profilo digitale; la considerazione di un consumo responsabile e sostenibile nei mercati digitali. Nella fase dell’acquisto, è importante saper interagire nel mercato digitale per comprare e vendere, partecipare a piattaforme di economia collaborativa, gestire pagamenti e finanze attraverso i mezzi digitali, comprendere diritti d’autore, licenze, contratti di beni e servizi digitali, gestire i dati personali e la privacy, tutelare salute e sicurezza. Ci sono poi le competenze individuate per la fase del post-acquisto: saper condividere le informazioni con altri consumatori nel mercato digitale, affermare i diritti dei consumatori nel mercato digitale e identificare limiti e lacune di competenza dei consumatori digitali. Lo studio vuole dunque aiutare i consumatori a fare scelte informate,  ad agire online con sicurezza evitando di cadere vittima di pratiche di marketing online ingannevoli o fraudolente, a comprendere la pubblicità digitale e a gestire le operazioni finanziarie online, a comprendere rischi e vantaggi dell’emergente economia collaborativa. Di sicuro una sfida ampia: ci sarà da lavorare. @sabrybergamini Articoli correlatiCommercio elettronico: il geoblocco è diffuso in tutta l’Unione europeaMercato digitale, Europa: i contenuti online devono viaggiare con i cittadiniCommissione europea: aumentare presenza donne nel digitale e nelle tlcFerrovie e diritti dei passeggeri, Europa deferisce Italia a Corte di GiustiziaEuropa: fragile ripresa ma forte divario fra gli StatiCommissione Ue: innovazione, differenze notevoli fra i diversi Stati Tweet 01/12/2016 - 11:36 - Redattore: BS lascia un commento

Data:

01/12/16Il Sole 24 Ore.com - Diritto24Il Codice di Condotta per i Cloud Infrastructure Service Provider

Argomento:Privacy 7p.

Il Codice di Condotta per i Cloud Infrastructure Service Provider

OSSERVATORIO PRIVACY Il Codice di Condotta per i Cloud Infrastructure Service Provider Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli, AssistenzaLegalePremium.it Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli - AssistenzaLegalePremium.it Il 26 settembre 2016 la CISPE (Cloud Infrastructure Service Provider in Europe), una coalizione di aziende europee di servizi cloud, ha presentato il Codice di Condotta per la protezione dei dati nella nuvola. Sebbene si tratti di un codice frutto di un'intesa tra aziende, tale elaborato segna il primo passo verso una normazione della nuvola. In particolare il codice disciplina il comportamento dei fornitori di servizi cloud di tipo IaaS (Infrastructure as a Service – si vedano gli interventi precedenti dell'osservatorio per approfondimenti) laddove i cloud provider ricoprono il ruolo di responsabili del trattamento dei dati personali. Ciascun cloud provider dovrà aderire completamente all'intero Codice di Condotta, non essendo ammessa un'adesione solo parziale, e dovrà dichiarare se la conformità al Codice sia stata accertata da un organismo certificatore terzo ed imparziale o se invece si tratta di un'autocertificazione. Il Codice anticipa in parte l'applicazione dei dettami previsti dal nuovo Regolamento europeo 679/2016 (GDPR) e, infatti, il fornitore di servizi cloud dovrà trattare i dati dei clienti in base alle istruzioni da questi impartite. Dal punto di vista della sicurezza, il cloud service provider dovrà sviluppare e garantire nel tempo tutte le misure di sicurezza tecniche e organizzative adeguate a mantenere i dati di cui è in possesso al sicuro. Tali misure di sicurezza devono essere applicate a tutti i sistemi che siano sotto il controllo del cloud provider e quindi, ad esempio, i data centre, i network, i server nonché tutti gli host software. L'allegato A al Codice di Condotta "Security Responsibilities", stabilisce definendo in maniera chiara e semplice quali sono, in materia di sicurezza, le responsabilità del cloud provider e quali quelle del cliente in un contesto IaaS. Oltre a requisiti di sicurezza, un cloud provider che intende aderire al codice di condotta CISPE deve garantire anche un programma di informazione sulla sicurezza dei dati, una costante valutazione e revisione del proprio sistema di sicurezza in modo da mantenerlo sempre efficace ed aggiornato. Vengono poi disciplinati nel dettaglio e nel rispetto del GDPR anche gli aspetti inerenti il trasferimento dei dati personali verso i paesi terzi, la possibilità di un sub-trattamento di dati da parte di ulteriori soggetti sub-responsabili del trattamento: il cloud provider (responsabile del trattamento) non può nominare a sua volta un altro soggetto (a sua volta responsabile del trattamento) senza un'autorizzazione scritta del titolare del trattamento (ovvero il cliente cloud). Tale autorizzazione generale viene data negli accordi di servizio in cui sono specificati i casi e le condizioni in cui il cloud provider può coinvolgere nel trattamento un terzo soggetto. I fornitori dei servizi cloud devono inoltre saper dimostrare di essere compliant al Codice di condotta e, quindi, agli obblighi circa la data protection. Per fare ciò è consigliata un'attività di audit costante e periodica, svolta da soggetti terzi e imparziali che possano garantire l'adeguatezza dei sistemi cloud alle previsioni del Codice e delle leggi in esso richiamate. Anche in tema di data breach, di cancellazione e di restituzione dei dati personali, il Codice anticipa l'entrata in vigore del GDPR, richiamando gli artt. 33.2 e 28.3 lett. g) del Regolamento europeo. Il Code of Conduct vieta poi ai cloud provider di effettuare il cosiddetto "data mining" ovvero quel processo che permette di estrarre, da grandi quantità di dati, tutta una serie di informazioni "nascoste" per poi poterle utilizzare ai fini di marketing o pubblicità. Le informazioni non possono assolutamente essere vendute a terzi né utilizzate per altri scopi personali. L'obiettivo che si prefigge il CISPE è quello di fare in modo che i clienti dei cloud provider abbiano realmente il pieno controllo sui propri dati personali, non solo sapendo con precisione dove questi sono fisicamente trattati e salvati, ma anche potendo far valere effettivamente i propri diritti e le proprie ragioni, anche da un punto di vista contrattuale. Il "marchio" CISPE sarà quindi una sorta di "bollino qualità" che contraddistinguerà quei cloud provider virtuosi che garantiranno l'applicazione di tutte le previsioni contenute nel Code of Conduct, all'insegna di un'unificazione della regolamentazione europea in ambito di trattamento dati, nell'attesa che entri in vigore il nuovo GDPR.

Argomento: Interni / Politica 8pag.

Dello stesso autore leggi anche: Focus Cloud Computing – Definizione e caratteristiche della "nuvola" Focus Cloud Computing, caratteristiche e soggetti protagonisti Focus Cloud Computing – I soggetti protagonisti della nuvola I confini della nuvola: ambito territoriale e legge applicabile del cloud computing P.I. 00777910159 - © Copyright Il Sole 24 Ore - Tutti i diritti riservati

Data:

01/12/16Il Sole 24 Ore.com - Diritto24DLA PIPER E TRANSPARENCY INTERNATIONAL ITALIA STILANO LE LINEE GUIDA

Argomento:Privacy 9p.

DLA PIPER E TRANSPARENCY INTERNATIONAL ITALIA STILANO LE LINEE GUIDA PER LA PREDISPOSIZIONE DI PROCEDURE IN MATERIA DI WHISTLEBLOWING

DLA PIPER E TRANSPARENCY INTERNATIONAL ITALIA STILANO LE LINEE GUIDA PER LA PREDISPOSIZIONE DI PROCEDURE IN MATERIA DI WHISTLEBLOWING Transparency International Italia, capitolo nazionale dell'organizzazione non governativa leader nel mondo per la lotta alla corruzione, e lo Studio legale DLA Piper hanno redatto le Linee Guida per la predisposizione di procedure in materia di whistleblowing. Si tratta di uno strumento utile ad organizzazioni pubbliche e private, non solo nella prospettiva di supporto alle attività di contrasto alla commissione di illeciti, irregolarità e minimizzazione dei rischi che ne conseguono, ma anche a combattere la cultura del silenzio. Il whistleblowing è uno strumento di derivazione anglosassone, attraverso il quale i dipendenti di un'organizzazione segnalano una possibile frode, un reato, un illecito o qualunque condotta irregolare commessa da altri soggetti appartenenti all'organizzazione. Le Linee Guida – scaturite dalla ricerca e dalla costante attività di promozione del whistleblowing svolte da Transparency International Italia, nonché dalla consolidata esperienza dei professionisti di DLA Piper in materia di compliance, anticorruzione, sistemi di controllo e indagini interne – raccolgono una serie di raccomandazioni e suggerimenti rivolti a imprese, istituzioni e autorità pubbliche utili per poter organizzare sistemi di whistleblowing efficaci e moderni che possano, da un lato, consentire la scoperta di fenomeni illeciti all'interno di organizzazioni o enti, e dall'altro, coinvolgere gli individui sensibilizzandoli nell'attività di controllo e contrasto all'illegalità e nella promozione dell'etica di impresa. La gestione virtuosa del whistleblowing contribuisce a individuare e contrastare possibili illeciti, a diffondere la cultura dell'etica e della legalità all'interno delle organizzazioni, nonché a creare un clima di trasparenza e un senso di partecipazione e appartenenza. Ciò può avvenire grazie al superamento del timore dei dipendenti di subire ritorsioni da parte degli organi sociali o dei colleghi, oppure dal rischio di vedere inascoltata la propria segnalazione. È la prima volta che in Italia vengono proposte e pubblicate delle linee guida per la predisposizione di procedure in materia di whistleblowing indirizzate anche alle aziende private, che possono trovare oggi in tale strumento un punto di riferimento che sintetizza principi e modalità operative derivanti dalle best practice internazionali in materia. Le linee guida sono state redatte da Transparency International Italia, grazie al contributo del suo Direttore Esecutivo, Davide Del Monte e dell'esperto in materia di whistleblowing, Giorgio Fraschini. Per DLA Piper ha agito un team coordinato da Raffaella Quintana, Partner responsabile della practice di White Collar Crime, e composto dagli Avvocati Ilaria Curti e Paolo Torsello, dello stesso team, che hanno curato la redazione delle Linee Guida. L'Avvocato Saverio Cavalcanti, del dipartimento IP&T dello Studio, ha seguito gli aspetti privacy. Al progetto ha collaborato anche la Dottoressa Claudia Barbarano, Community Engagement Coordinator Europe di DLA Piper, che si è occupata di gestire e coordinare gli aspetti pro bono dell'iniziativa. Le Linee Guida saranno presentate ufficialmente in occasione di due eventi dedicati organizzati da DLA Piper negli uffici di Milano nella giornata di mercoledì 15 febbraio 2017, e di Roma nella giornata di mercoledì 22 febbraio 2017. Per ulteriori informazioni e per partecipare, si prega di scrivere a eventi@dlapiper.com. P.I. 00777910159 - © Copyright Il Sole 24 Ore - Tutti i diritti riservati

Data:

01/12/16Punto Informatico.itFirefox, un nuovo bug mette la privacy a rischio

Argomento:Privacy 10p.

Firefox, un nuovo bug mette la privacy a rischio

mercoledì 30 novembre 2016' Firefox, un nuovo bug mette la privacy a rischio Mozilla è già impegnata a sviluppare una patch correttiva per il baco emerso in queste ore. Un problema potenzialmente pericoloso anche sulla rete Tor e che sembra rimandare a una storia vecchia di tre anni Roma - Sulla mailing list di Tor circola un avvertimento con tanto di codice relativo ad un bug di sicurezza fin qui ignoto individuato in Firefox, una vulnerabilità già attivamente sfruttata da ignoti e potenzialmente utilizzabile per violare la sicurezza degli utenti scovando - nel peggiore dei casi - l'indirizzo IP pubblico di un sistema vulnerabile. L'exploit consiste in un listato in JavaScript, un file HTML e un foglio di stile (CSS) "oscurati", le cui funzionalità complete sono tuttora ignote ma che portano all'accesso della funzione VirtualAlloc all'interno del kernel di Windows ("kernel32.dll") e da lì procede per ulteriori attività malevole. Una volta testato su una versione aggiornata di Firefox, l'exploit contatta un server remoto comunicando l'indirizzo fisico (MAC) del dispositivo, il nome dell'host e potenzialmente l'indirizzo IP che dovrebbe identificare l'utente connesso o la relativa linea di accesso alla Rete. I gestori del progetto Tor hanno ammesso l'esistenza del problema parlando di un attacco già attivamente sfruttato contro la rete anonimizzatrice, con il codice già in mano ai coder di Mozilla, al lavoro su una patch specifica per Firefox. Solo a quel punto gli sviluppatori di Tor - il cui browser è basato direttamente su quello del Panda Rosso - potranno verificare l'applicabilità dell'aggiornamento al loro codice. Resta infine da capire appieno l'origine del nuovo exploit, anche se l'analisi del codice Assembly (per CPU x86) corrispondente sembrerebbe rivelare dettagli illuminanti: il payload capace di sfruttare la falla sarebbe molto simile a quello di un attacco anti-Tor risalente al 2013, e anche allora l'obiettivo era contattare un server remoto (su IP 5.39.27.226, porta 80) con l'invio delle informazioni sulla linea compromessa.

Capacitàdi individuare

criticitàe proporresoluzioni Formazione

teoricae pratica

Raggiungimentodegli obiettiviprefissati Rispetto

dei doveridi

riservatezza

Trasparenzacommercialee operativa

I servizi di BLS

- attività formativa- audit 190- implementazione procedure

Anticorruzione

- trasparenza- supporto al RPC

- la segnalazione - la valutazione

Whistleblowing

- brand reputation - rating di legalità

Servizi integrati

- audit- mappatura e censimento

Privacy

- policy e misure organizzative- formazione

- conformità a PCI DSS- gap analisys & IT audit- high level security consulting- it risk management- la mitigazione del rischio

Cyber security

- penetration test- security audit- security evaluation- vulnerability assessment

...per aiutarvi a creare le fondamenta della serenità...

Professionisti

specializzati

per

ogni settore

Massima integritàe trasparenzaverso i nostri clienti.Interventi calibratia secondadelle necessità

- attività formativa- audit 231- ausilio Odv- implementazione e aggiornamento del modello 231

Responsabilità amministrativa degli enti

- la redazione del modello 231 e dei documenti satelliti- reati ambientali- reati informatici & audit informatici- sicurezza sul lavoro

BLS Compliance in queste materie si distingue dai compe-titors poiché è in grado di offrire competenze di altissimo livello per il tramite di professionisti che hanno maturato esperienze di grande rilievo

BLS Compliance srlvia Alberico Albricci n°820122 Milanoinfo@bls.comwww.bls.srl