Servizi cloud per la PA, l’ACN qualifica Namirial con livello QC2

Uomo alla scrivania e monitor con righe di codice per i servizi cloud della PA.

La sicurezza dei dati e delle infrastrutture informatiche è un problema che preoccupa tutti (o, almeno, dovrebbe farlo), ma che assume una rilevanza maggiore quando parliamo di Pubblica Amministrazione.

Sia chiaro, proteggersi da eventuali attacchi hacker è un imperativo a cui nessuno può sottrarsi. A meno che, ovviamente, non si scelga di aprire le porte (informatiche, s’intende) ai cybercriminali.

Tuttavia, un conto è se a finire sotto attacco sono i Pc e le infrastrutture di singoli cittadini o di aziende private, un altro è se l’attacco cyber mette fuori uso i servizi erogati dal sistema sanitario nazionale o da una pubblica amministrazione centrale o locale.

Una strategia nazionale per la sicurezza dei dati della PA

La difesa dei dati pubblici ha, quindi, un’importanza cruciale, ma il tema va affrontato sapendo che il più delle volte la PA è fatta di Comuni o altri enti che non hanno risorse o competenze necessarie per proteggere bene i dati che gestiscono.

A porre rimedio a tali limiti ci ha pensato nel 2021 Strategia Cloud Italia, realizzata dall’Agenzia per la Cybersicurezza Nazionale (ACN) e il Dipartimento per la trasformazione digitale. Si tratta di un atto con cui l’Italia si è data delle regole per creare un cloud nazionale su cui trasferire i dati di tutte le PA del Paese.

In questa strategia un ruolo importante è riconosciuto alle aziende private specializzate in servizi cloud, che al termine di un percorso di qualificazione possono diventare fornitori delle PA e ospitare i dati di queste ultime sui loro data center.

La strategia, infatti, si sviluppa lungo tre direttrici principali:

classificazione dei dati e dei servizi, definendoli ordinari, critici o strategici in base al danno che una loro compromissione potrebbe provocare al Paese;

qualificazione dei servizi cloud, svolta dall’ACN per regolamentare, da un punto di vista tecnico e amministrativo, l’acquisizione da parte delle PA di servizi cloud da fornitori privati;

creazione di un Polo Strategico Nazionale, un’infrastruttura composta da 4 data center nazionali con massimi standard di sicurezza, chiamata a ospitare dati e servizi critici e strategici di tutte le PA centrali, delle ASL e delle principali PA locali.

L’ACN e i dati critici

Con la Determinazione 307/2022, l’ACN ha definito i requisiti per poter erogare su cloud i servizi che prevedono la gestione di dati e flussi attraverso soluzioni software. Come visto, l’Agenzia ha suddiviso i tipi di dati gestibili dalle PA in tre differenti livelli:

  • strategico: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
  • critico: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
  • ordinario: servizi la cui compromissione non provoca un pregiudizio per il benessere economico e sociale del Paese.

I dati critici, ad esempio, comprendono le informazioni raccolte e generate da sistemi medicali in ospedali, cliniche e centri medici, o anche da soluzioni di raccolta di dati biometrici impiegate in processi di identificazione.

Quali sono i requisiti per la qualificazione di un provider di servizi cloud

Per poter erogare soluzioni cloud verso le Pubbliche Amministrazioni, un provider deve qualificare i propri servizi, inviando apposita richiesta ad ACN. In caso di esito positivo, l’Agenzia concede la qualifica al servizio e inserisce la soluzione nel Cloud Marketplace, la piattaforma online che contiene il catalogo dei servizi cloud qualificati acquistabili dalle PA.

I requisiti richiesti ai provider privati per ottenere la qualificazione riguardano: sicurezza del servizio, capacità di elaborazione, affidabilità dell’infrastruttura e scalabilità, oltre al possesso di numerosi standard di qualità. Tra gli standard richiesti ci sono: ISO 9001, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 22301 e ISO 20000.

Namirial Archive, la soluzione qualificata ACN di Namirial

Namirial Archive è la suite di Namirial dedicata alla gestione documentale, conservazione digitale, workflow e fatturazione elettronica. Il modulo di conservazione digitale, definito Long-Term Archiving (LTA) consente la conservazione a norma di documenti informatici nativi digitali o digitalizzati dal cartaceo. Il sistema è conforme al quadro normativo di riferimento e a tutte le norme di settore in merito a formazione, tenuta e conservazione dei documenti. Namirial Archive, inoltre, garantisce autenticità, integrità, leggibilità, affidabilità e reperibilità dei documenti, dalla presa in carico dal produttore fino a tutto il periodo di conservazione.

La soluzione implementa un processo di conservazione basato sulla gestione e produzione dei pacchetti informativi previsti dalle norme e dal modello di riferimento OAIS (ISO 14271).

ACN ha qualificato Namirial Archive con livello QC1 (dati ordinari) e QC2 (dati critici). Questo risultato è un ulteriore riconoscimento per Namirial, già iscritta nell’elenco dei conservatori qualificati AgID.

Le caratteristiche di Namirial Archive

In caso di oggetti informatici contenenti dati sensibili che, in accordo alla normativa, necessitano di un particolare trattamento, il servizio di Long-Term Archiving implementa ulteriori misure di sicurezza. In particolare, la soluzione prevede l’uso di crittografia avanzata, insieme a controllo degli accessi e verifica dell’identità dell’utente con autenticazione a doppio fattore.

Namirial Archive consente, infatti, di cifrare i documenti oggetto della conservazione, insieme all’indice contenente i metadati associati, grazie a una chiave crittografica di tipo AES-256 dedicata al titolare dei documenti (azienda o PA).

Inoltre, il servizio ha una serie di plug-in che permettono di connettersi alle più diffuse soluzioni in ambito medicale – come PACS (Picture Archiving and Communication System), RIS (Radiology Information System) e HL7 (Health Level 7) – e di conservare formati di immagini diagnostiche, come DICOM (Digital Imaging and Communications in Medicine).

Firma con SPID e firma con CIE

Loghi SPID e Cie Id, identità digitali che si possono usare come firma elettronica.

Continua anche a gennaio 2024 la crescita di SPID e CIE. I dati delle due identità digitali aggiornati al momento in cui scriviamo questo articolo ci dicono che finora in Italia sono state emessi più di 37 milioni di SPID (37.070.441) e quasi 42 milioni di carte d’identità elettroniche (41.836.967).

Come è noto, le identità digitali permettono di autenticarsi e accedere in modalità sicura ai servizi online della pubblica amministrazione e dei privati che decidono di implementare sui propri siti web le funzioni “Entra con SPID” ed “Entra con CIE”.

L’autenticazione online tramite SPID e CIE è usata quotidianamente da milioni di italiani e probabilmente rappresenta l’esempio più evidente e apprezzato di come la trasformazione digitale può migliorare la vita di tutti noi, semplificandola.

Usare l’identità digitale per la firma elettronica

SPID e CIE, però, possono svolgere anche un’altra importante funzione. Entrambe le identità digitali, infatti, possono essere usate per sottoscrivere elettronicamente un documento informatico. Mentre l’uso della CIE ha lo stesso valore di una firma elettronica avanzata, la “firma con SPID” fa riferimento a un processo in cui il tipo di firma usata può essere la firma elettronica qualificata.

Firma con CIE

In particolare, il DPCM 22 febbraio 2013, relativo alle Regole tecniche in materia di firme elettroniche, all’articolo 61 comma 2 stabilisce che l’uso della CIE “sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice” dell’Amministrazione Digitale (CAD).

Firma con CIE non accettata dalle PA

Tuttavia, nonostante tale disposizione, capita spesso di trovarsi di fronte a pubbliche amministrazioni che non accettano documenti sottoscritti con la CIE, ritenendo la firma apposta con la carta di identità elettronica non valida. Il rifiuto può nascere dal fatto che per quella specifica sottoscrizione è richiesta una firma digitale o una firma elettronica qualificata. In tal caso, quindi, si tratta di un rifiuto legittimo.

Un altro caso che si verifica è quello di una PA che rifiuta la firma con CIE perché ritiene che questa sia valida esclusivamente nei rapporti con il Ministero degli Interni, inteso come soggetto che ha erogato la FEA. L’articolo 60 del citato DPCM, infatti, stabilisce che: “La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto” che la eroga.

Anche se alcuni eminenti esperti della materia hanno giustamente fatto notare che una simile interpretazione di tale articolo risulta troppo restrittiva e che, in ogni caso, in base al CAD la firma con CIE è una firma elettronica avanzata a tutti gli effetti, il rifiuto delle PA di accettare la firma con CIE di fatto priva i cittadini della possibilità di avvalersi di tale strumento.

La firma con SPID salva tutti

A superare i problemi legati alle interpretazioni normative è SPID, che risolve la questione e dà sempre la possibilità di firmare un documento con efficacia garantita verso tutti.
La soluzione è nota come “firma con SPID”, anche se tecnicamente questa espressione non è del tutto corretta. Vediamo perché, esaminando passo dopo passo cosa accade durante questo procedimento, sia dal punto di vista del Service Provider (SP, cioè il fornitore del servizio online che consente all’utente di “firmare con SPID”), sia dal punto di vista dell’Identity Provider (IdP, cioè il fornitore della identità digitale SPID).

I passaggi che vediamo sono quelli stabiliti dalle Linee Guida AgID sulle Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD.

Firma con SPID, quando è possibile

La “firma con SPID” non si può fare con lo SPID di tipo giuridico, ma soltanto con uno SPID personale o professionale.

Tutti i SP hanno diritto a poter mettere a disposizione dei propri utenti il servizio firma con SPID, ma gli IdP non sono obbligati ad attivare tale funzione per i propri utenti, cioè per i soggetti a cui hanno rilasciato un’identità digitale SPID. Quindi si può presentare il caso in cui, per uno stesso servizio online, gli utenti che hanno lo SPID con l’IdP “Alfa” avranno la possibilità di firmare con SPID, mentre gli utenti che hanno lo SPID con l’IdP “Beta” non avranno tale possibilità.

La procedura “firma con SPID” deve permettere a uno stesso utente di sottoscrivere un documento, anche in più punti, attraverso un’unica sessione di autenticazione SPID e, allo stesso tempo, deve consentire a utenti distinti di sottoscrivere lo stesso documento, in tempi e con sessioni di autenticazione SPID distinte.

Firma SPID – Cosa fa il Service Provider

Il SP deve innanzitutto conoscere il codice fiscale dell’utente. Solo dopo aver ottenuto il codice fiscale può dare via alla procedura, che si svolge seguendo i passaggi seguenti:

  1. Il SP presenta sul proprio sito web il pulsante “Firma con SPID”. Cliccandovi, l’utente può scegliere da un elenco di Idp quello con cui lui ha lo SPID.
  2. Il SP predispone il documento da firmare, apponendovi un sigillo elettronico qualificato di tipo PADES, e lo rende visionabile e scaricabile dal proprio sito.
  3. Il SP informa l’utente che il processo presuppone l’invio del documento al proprio IdP e raccoglie il suo consenso esplicito al riguardo (cosiddetto opt-in) e lo avvisa che il documento sarà nuovamente messo a disposizione dal proprio IdP, consigliandogli di leggerlo nuovamente.
  4. Per firmare l’utente deve cliccare il bottone “Prosegui con la Firma”. A questo punto il SP invia il documento all’IdP e, avuta evidenza del successo dell’invio, inoltra allo stesso Idp anche la sessione con l’utente, avanzando una richiesta di autenticazione di livello pari almeno a 2, denominata “firma con SPID”. Questa richiesta contiene il codice fiscale del firmatario.

Firma SPID – Cosa fa l’Identity Provider (IdP)

  1. Subentrando nella sessione che l’utente ha avviato con il SP, l’IdP autentica il firmatario con credenziali di livello 2 o superiore, verificando che i suoi dati coincidano con il codice fiscale ricevuto dal SP.
  2. L’IdP informa il firmatario che l’autenticazione è finalizzata a sottoscrivere un documento, comunicandogli il nome del SP e il nome del documento.
  3. Consente al firmatario di visionare e scaricare il documento.
  4. Propone al firmatario di procedere con la firma. Se l’utente non accetta, invia al SP un messaggio di esito negativo che mette fine al processo.
  5. Rende visibile all’utente il contenuto da firmare e lo informa circa il fatto che la firma sia obbligatoria o facoltativa.
  6. Acquisisce il consenso dell’utente ad apporre la firma.
  7. Appone un sigillo elettronico qualificato (o più sigilli in caso di più firme) formando quindi il documento firmato con SPID.
  8. Invia al firmatario il documento firmato via email oppure gli permette di scaricare una copia o gliela rende disponibile nella propria area riservata.
  9. Invia al SP il documento firmato con SPID e la risposta di autenticazione della firma con SPID recante l’esito positivo della procedura e reindirizza l’utente presso il SP.
  10. Al termine della procedura, l’IdP cancella dai suoi sistemi il documento firmato, salvo che il firmatario non abbia attivo con esso un servizio di conservazione digitale dei documenti firmati.

Firma con SPID, opportunità per le aziende

La possibilità di firmare con SPID è un’enorme opportunità per le aziende, che in questo modo possono ottenere dai propri utenti un documento firmato elettronicamente, in pochi secondi e con uno sforzo minimo da entrambi i lati.

Il soggetto chiamato a firmare, come visto, non dovrà fare altro che autenticarsi con il proprio SPID e poi firmare il documento, digitando il codice OTP ricevuto.

L’azienda, dal canto suo, per poter sfruttare i vantaggi della firma con SPID e velocizzare la raccolta delle firme e, quindi, la conclusione di accordi e contratti, non deve fare altro che rivolgersi a un fornitore che gli metta a disposizione la soluzione idonea a implementare il servizio.

Tra le società che attualmente offrono un servizio per una gestione completa del processo di approvazione e firma dei documenti aziendali, inclusa la possibilità di firmare con SPID, c’è Namirial.

OTTIENI PIÙ INFORMAZIONI
SULLA FIRMA ELETTRONICA NAMIRIAL 

La digitalizzazione per i professionisti tecnici

Progetto 3D, effetto della digitalizzazione per i professionisti tecnici.

Trasformazione digitale edilizia: che cosa sta cambiando e come?

La digitalizzazione sta modellando il panorama delle professioni tecniche a un ritmo incessante anche nel mondo dell’edilizia. La tecnologia sta cambiando non solo i processi di lavoro, ma anche le aspettative dei clienti e la competitività delle aziende sul mercato, dove l‘innovazione non è più un’opzione ma una necessità.

Questa consapevolezza sta cambiando il ruolo delle tecnologie digitali all’interno del settore AEC (Architecture Engineering Construction) che da semplice strumento di supporto sono passate ad essere un elemento strategico per la creazione di valore aggiunto in termini di efficienza, qualità e competitività.

Oggi, i professionisti che operano nei settori dell’architettura, dell’ingegneria e delle costruzioni sono chiamati a un cambiamento di prospettiva per affrontare uno dei grandi problemi del nostro tempo: la necessità di riprogettare e costruire in modo più intelligente e con un occhio di riguardo alla sostenibilità, al fine di rispondere alle esigenze di una popolazione in costante crescita e a un aumento della domanda di edifici e infrastrutture.

Ripensare il modo in cui viviamo e lavoriamo è diventato un imperativo e la digitalizzazione è a tutti gli effetti un elemento chiave per affrontare e vincere questa sfida, consentendo ai professionisti di essere più efficienti nella progettazione, gestione e realizzazione delle opere. L’intera gestione del processo edilizio, da intendersi come l’insieme delle attività che vanno dall’ideazione alla consegna dell’opera, si sta evolvendo verso un approccio sempre più collaborativo, basato sulla condivisione di informazioni e sulla trasparenza dei dati.

In questo contesto, le tecnologie digitali stanno svolgendo un ruolo fondamentale, permettendo di ottenere migliori risultati in termini di qualità, costi e tempistiche. Ad esempio, l’adozione del BIM (Building Information Modeling) sta cambiando radicalmente l’approccio alla progettazione e alla gestione delle opere, favorendo una maggiore collaborazione tra i diversi attori coinvolti, che così possono lavorare in modo coordinato e sinergico, e riducendo i problemi che possono presentarsi durante le fasi di realizzazione, poiché i dati sono disponibili e condivisi in un unico modello virtuale. Tutto ciò migliora la comunicazione tra i professionisti, elimina le informazioni duplicate e riduce le possibilità di errori, aumentando l’efficienza complessiva del processo.

Digitalizzare l’edilizia: quali strumenti possono aiutare i professionisti?

Il settore delle costruzioni, rispetto ad altri settori, è stato tradizionalmente più lento nell’adozione di tecnologie digitali. Tuttavia, negli ultimi anni l’importanza della digitalizzazione è diventata sempre più evidente e sono stati sviluppati numerosi strumenti specifici per l’edilizia.

Oltre al BIM, citato in precedenza, esistono altri software digitali che aiutano i professionisti nel loro lavoro. Ad esempio, ci sono piattaforme di Project Management che permettono di gestire in modo più efficiente le attività e i progetti, migliorando la pianificazione delle risorse, il controllo dei costi e delle tempistiche, e facilitando la comunicazione tra i membri del team.

Inoltre, ci sono soluzioni per il monitoraggio e la gestione dei cantieri che utilizzano sensori, droni e software di analisi dei dati in tempo reale per raccogliere informazioni sullo stato dei lavori e dare ai professionisti una visione più completa e precisa del cantiere al fine di facilitare la supervisione e la correzione di eventuali problemi. Questi strumenti consentono anche di migliorare la sicurezza sul lavoro, riducendo il rischio di incidenti, e consentono di prendere decisioni tempestive e informate che possono aumentare l’efficienza e la produttività del cantiere.

Anche l’impiego della Realtà Aumentata, della Realtà Virtuale e dell’Intelligenza Artificiale si sta facendo sempre più strada nel settore dell’edilizia, fornendo ai professionisti strumenti innovativi e di supporto per la progettazione e la visualizzazione dei progetti, migliorando l’esperienza di tutto il team coinvolto e del cliente finale, e consentendo una migliore comprensione delle soluzioni che si vogliono implementare.

La contabilità è un altro aspetto importante del lavoro dei professionisti tecnici e anche in questo campo la digitalizzazione sta entrando a pieno regime. Oggi, infatti, sono disponibili software che permettono di gestire le attività amministrative e contabili in modo più efficiente, semplificando il sistema di fatturazione, il controllo dei documenti e il monitoraggio dei costi.

In sintesi, la digitalizzazione offre nuove opportunità per fare fronte alle sfide che il settore AEC sta affrontando in questa nuova era, permettendo ai professionisti di essere più competitivi, efficienti e innovativi, migliorando la qualità delle loro prestazioni e dei risultati ottenuti.

Secondo l’analisi firmata McKinsey, condivisa anche da Infobuild.it, il portale dedicato al mondo dell’edilizia, la trasformazione digitale può produrre un aumento di produttività nel settore AEC tra il 14% e il 15% e una riduzione dei costi del 4%-6%.

Tecnologie digitali nel settore AEC: i vantaggi della digitalizzazione per i professionisti tecnici

I vantaggi della digitalizzazione nel settore dell’edilizia sono evidenti e i professioni che lavorano in questo campo devono essere pronti ad abbracciare la nuova realtà che sta cambiando il modo in cui si progetta, costruisce e gestisce un’opera. Così facendo potranno fornire prestazioni di alto livello e fare la differenza sul mercato.

Tra i principali vantaggi delle tecnologie digitali nel settore AEC possiamo citare:

  • Maggiore efficienza nella pianificazione e nella progettazione: grazie al BIM e ad altre soluzioni digitali, è possibile ottenere una visione più completa e precisa dei progetti, riducendo il rischio di errori, migliorando la collaborazione tra i professionisti e consentendo una pianificazione delle risorse più efficiente;
  • Un cantiere più sicuro: l’utilizzo di soluzioni digitali per il monitoraggio e la gestione dei cantieri, tra cui sensori, droni e software di analisi dei dati in tempo reale, consente di rilevare in maniera tempestiva eventuali problemi e di prendere decisioni informate per garantire la sicurezza di tutti i lavoratori. I droni, ad esempio, vengono utilizzati per eseguire ispezioni e valutazioni dei rischi in luoghi difficili da raggiungere. Gli occhiali intelligenti e altri dispositivi indossabili consentono ai lavoratori di ricevere informazioni in tempo reale sulla sicurezza e sulle precauzioni da prendere per evitare incidenti;
  • Riduzione dei costi e dei tempi di costruzione: l’uso di strumenti digitali permette di ridurre i costi e i tempi di costruzione, favorendo una pianificazione dei lavori e una progettazione delle opere che aiuta i team a identificare e risolvere potenziali problemi prima dell’inizio dei lavori di costruzione. L’automazione di molte attività, inoltre, riduce il tempo necessario per completare il lavoro e aumenta la precisione, ottimizzando l’uso delle risorse e il tempo. In questo contesto i Big Data sono di fondamentale importanza, poiché permettono ai professionisti di analizzare una grande quantità di informazioni e utilizzarle per prendere decisioni più accurate. L’analisi dei dati è infatti uno dei principali strumenti per migliorare la produzione e i margini economici;
  • Un’edilizia più sostenibile: la digital transformation applicata all’industria delle costruzioni può contribuire in modo significativo a rendere il settore più sostenibile. La possibilità di analizzare e monitorare i dati in tempo reale consente di ridurre gli sprechi, aumentare l’efficienza energetica delle strutture e utilizzare materiali e risorse in modo più sostenibile, favorendo la crescita di un’edilizia green e a basso impatto ambientale.

Cybersecurity, nuovi rischi per le PMI

Un esperto di cybersecurity lavora al Pc per ridurre i nuovi rischi per le PMI.

La resilienza della piccola e media impresa nell’era digitale

Il mondo così come lo conosciamo sta diventando sempre più un ambiente ibrido e in continuo movimento, dove persone, dispositivi, applicazioni e dati possono trovarsi in qualsiasi luogo e in qualsiasi momento.

Il digitale è diventato un elemento fondamentale per l’efficienza e la competitività delle imprese, in particolare delle PMI, ma allo stesso tempo ha portato con sé nuovi rischi per la sicurezza dei dati e delle informazioni sensibili. La cyber security è diventata una priorità per qualsiasi azienda, grande o piccola che sia, e ignorarla o sottovalutarne l’importanza non è più un’opzione.

A tutto questo si aggiunge che in una società post pandemia, dove la digitalizzazione delle attività e il lavoro a distanza sono diventati la nuova normalità, la sicurezza informatica deve fare i conti con nuove sfide e vulnerabilità che sono il risultato del profondo cambiamento delle modalità di lavoro e comunicazione.

Le imprese sono infatti passate da un modello operativo in gran parte statico e centralizzato, in cui le persone operavano da singoli dispositivi e da un’unica postazione, a un mondo ibrido, dove siamo sempre connessi e utilizziamo dispositivi, reti e applicazioni diverse da qualsiasi luogo.

Sebbene sia ormai chiaro che il passaggio al modello hybrid world sia destinato a durare nel tempo, è altrettanto evidente che il successo a lungo termine di questo nuovo approccio dipenderà in larga misura dalla capacità delle aziende di proteggersi dalle minacce informatiche che oggi sono in rapida crescita.

In uno scenario così complesso e mutevole, in cui le minacce si evolvono con una velocità sempre maggiore, la cybersecurity per le PMI non può più essere considerata come un’attività secondaria o opzionale, ma deve diventare parte integrante della strategia aziendale.

Le conseguenze di un cyber attacco possono infatti essere devastanti sia in termini economici che di reputazione, creando seri problemi di continuità operativa e compromettendo la fiducia dei clienti e dei partner commerciali.

Basti pensare, ad esempio, che un data breach, ossia un attacco informatico che ha come obiettivo la sottrazione di dati sensibili, come ad esempio segreti commerciali, può causare danni economici pari a milioni di euro. Inoltre, le conseguenze di una violazione sono ulteriormente amplificate dalle normative europee in materia di protezione dei dati personali, come il GDPR, che prevede sanzioni severe per le aziende che non rispettano le leggi sulla privacy.

Quali sono le principali vulnerabilità delle PMI in termini di sicurezza informatica?

Oggi, secondo l’analisi proposta da Digital Security Sentiment Report 2022 di ESET, il ricorso al lavoro agile per garantire la continuità operativa durante l’emergenza sanitaria, lo scoppio della guerra in Ucraina e le grandi dimissioni dei professionisti IT, hanno notevolmente aumentato i rischi a cui oggi le PMI sono esposte in termini di sicurezza informatica.

Tra i timori principali evidenziati dal report ci sono i malware trasmessi attraverso attacchi via web (67%), i ransomware (65%) e i problemi di sicurezza delle terze parti (64%).

Tra i fattori che aumentano i rischi, le PMI indicano:

  • Mancanza di consapevolezza tra i dipendenti (43%);
  • Attacchi condotti da Stati (37%);
  • Vulnerabilità nelle catene di fornitura (34%);
  • Prolungamento del lavoro ibrido o a distanza (32%);
  • Uso del Remote Desktop Protocol (RDP) (31%).

 Le maggiori preoccupazioni legate all’impatto delle minacce informatiche sulle attività aziendali riguardano invece:

  1. Perdita di dati (29%);
  2. Ripercussioni finanziarie (23%);
  3. Perdita di fiducia dei clienti (18%);
  4. Interruzioni operative (16%);
  5. Danni alla reputazione (13%).

 Cybersecurity: come valutare il grado di preparazione delle PMI?

Una fotografia sullo stato di salute della sicurezza informatica delle PMI lo fornisce il Cybersecurity Readiness Index 2023, lo studio che Cisco ha condotto tra agosto e settembre 2022 e pubblicato a marzo dello scorso anno. Il report ha coinvolto ben 6.700 imprese leader nel settore della sicurezza cibernetica e provenienti da 27 Paesi sparsi tra Nord America, Europa, America Latina, Africa e Asia-Pacifico.

L’indice si basa su cinque pilastri, ossia identità, dispositivi, rete, carichi di lavoro delle applicazioni e dati, e all’interno di essi vengono considerate le 19 soluzioni necessarie per gestirli.

In più, l’indice classifica le aziende in quattro diversi stadi di preparazione, Principiante, Formativo, Progressivo e Maturo, in base alla loro preparazione e ai punteggi ponderati di ciascun pilastro: rete (25%), identità (20%), dispositivi (20%), dati (20%) e carichi di lavoro delle applicazioni (15%).

I quattro livelli sono così definiti:

  • Principiante (meno di 10): organizzazioni nelle fasi iniziali di implementazione delle soluzioni;
  • Formative (11 – 44): organizzazioni che hanno un certo livello di implementazione ma con prestazioni inferiori alla media in materia di preparazione alla cybersicurezza;
  • Progressive (45-75): le organizzazioni con un notevole livello di implementazione e con prestazioni superiori alla media in materia di preparazione alla cybersecurity;
  • Mature (76 e oltre): le organizzazioni che hanno raggiunto stadi avanzati di implementazione e sono più pronte ad affrontare i rischi per la sicurezza.

Osservando il quadro generale, emerge che quasi la metà delle aziende che hanno partecipato allo studio (47%) sono state classificate come Formative e hanno preso alcune delle misure necessarie per proteggere la propria attività, ma non sono ancora del tutto pronte ad affrontare le sfide della cyber security nel mondo ibrido.

Le aziende classificate come Progressive sono invece il 30%, mentre solo il 15% rientra nella categoria Mature e ha quindi un alto livello di preparazione in materia di sicurezza informatica.

I 5 pilastri del Cybersecurity Readiness Index

I cinque pilastri su cui si basa il Cybersecurity Readiness Index rappresentano i principali aspetti della sicurezza informatica a cui le aziende devono prestare attenzione per proteggere i propri dati e le attività.

Nel dettaglio, ecco quali sono le caratteristiche che descrivono ciascuno di essi:

1 – Protezione dell’identità

Tradizionalmente, le operazioni di cybersecurity si concentrano sulla creazione di un perimetro per tenere lontane le minacce. Il presupposto è che chiunque si trovi all’interno di questo perimetro è autorizzato a stare lì.

Nel modello di lavoro ibrido, però, i dati possono essere distribuiti su un numero illimitato di servizi, dispositivi, applicazioni e utenti, rendendo inadeguati gli approcci perimetrali tradizionali.

Questo richiede una nuova strategia di sicurezza in cui nessuno e niente è attendibile finché la sua identità non è stata verificata. Dall’analisi del Cybersecurity Readiness Index emerge che un quarto (24%) di tutti gli intervistati ha classificato la gestione dell’identità come il rischio numero uno per i cyberattacchi. Una delle soluzioni che si rivela essere particolarmente efficace nella gestione delle identità è l’utilizzo dell’Autenticazione a più fattori che consente di garantire un livello maggiore di sicurezza dell’accesso ai dati e alle risorse aziendali.

2 – Protezione dei dispositivi

Sono ormai lontani i tempi in cui i dipendenti accedevano a una rete aziendale da un unico PC desktop. La necessità di accedere ai dati in mobilità e in varie forme ha creato un’esplosione del numero di dispositivi che i dipendenti utilizzano per lavorare.

La pandemia, inoltre, ha aggiunto all’elenco dei dispositivi che tutti noi utilizziamo regolarmente ulteriori elementi, come videocamere e microfoni, che hanno permesso di mantenere l’attività lavorativa durante il lockdown.

Ciò amplifica il rischio di attacchi informatici e aumenta la necessità di proteggere i dispositivi utilizzati dai dipendenti per accedere ai dati aziendali.

Tre quarti (73%) delle aziende intervistate ha scelto di utilizzare soluzioni antivirus avanzate come misura principale per proteggere i dispositivi.

La creazione di protezioni all’interno del sistema operativo, come i controlli host, è un altro modo in cui le aziende proteggono i loro dispositivi, con il 65% che dichiara di aver implementato questo tipo di soluzione. Le piattaforme di protezione degli endpoint – firewall, malware, visibilità dei processi eccetera – sono al terzo posto tra le soluzioni adottate dalle aziende.

Tuttavia, ci sono due tendenze chiave da tenere in considerazione. Primo, la scala di diffusione è parziale. Questo è il motivo per cui, nonostante un numero elevato di intervistati abbia dichiarato di avere adottato queste soluzioni, più della metà (56%) delle aziende si troverebbe all’inizio del proprio percorso. In secondo luogo, coloro che non hanno previsto questi strumenti nella loro strategia non sembrano considerare la gestione dei dispositivi in cima alla lista delle priorità della cybersecurity. In più, due terzi delle aziende hanno dichiarato che la loro organizzazione non prevede di ricorrervi.

3 – Protezioni delle reti

A livello globale, i cyberattacchi sono in aumento e il risultato è che miliardi di dati sono stati esposti in tutto il mondo. L’odierno ambiente di lavoro ibrido richiede flessibilità non solo nel numero e tipo di dispositivi utilizzati, ma anche nel modo in cui le persone accedono ai dati e dove questi vengono archiviati.

La grande crescita delle strategie cloud, alla base del lavoro ibrido, si traduce in una nuova sfida per le aziende che devono proteggere le loro reti che di conseguenza diventano più vulnerabili agli attacchi informatici. La maggior parte delle aziende ha scelto di utilizzare firewall con sistemi di prevenzione delle intrusioni (IPS) integrati.

Più di due terzi delle aziende (69%) ha dichiarato di aver implementato questa funzionalità, mentre le politiche di segmentazione della rete basate sull’identità si sono classificate al secondo posto (il 61% ha dichiarato di averle implementate). Seguono gli strumenti di rilevamento delle anomalie del comportamento di rete (60%) e quelli di cattura dei pacchetti e dei sensori (31%).

Tuttavia, persiste il problema di una scala di distribuzione diseguale. Tra le aziende che dispongono di firewall con IPS integrati, solo il 56% ha adottato questo strumento mentre il 64% delle aziende ha implementato completamente le politiche di segmentazione di rete.

Tra le aziende che stanno ancora implementando soluzioni per la sicurezza della rete il 50% ha dichiarato di avere in programma l’implementazione entro i prossimi 12 mesi.

4 – Protezione dei carichi di lavoro delle applicazioni

Come abbiamo già detto, il passaggio al lavoro ibrido e la proliferazione dei dispositivi ha reso la cybersecurity un ambito più complesso e difficile da gestire. Negli ultimi anni, il ritmo di crescita delle applicazioni è stato fenomenale e aumenterà esponenzialmente nei prossimi anni.

Se da un lato questo comporta grandi vantaggi, dall’altro presenta un nuovo livello di rischio per le aziende. Infatti, il passaggio ad applicazioni moderne e distribuite può rendere le organizzazioni più vulnerabili a causa di una superficie di attacco in continua espansione. I team che si occupano della sicurezza hanno dovuto introdurre una serie di strumenti per proteggersi dalle minacce aggiuntive di questo nuovo ambiente dinamico.

Il 97% delle aziende ha implementato un qualche tipo di soluzione per proteggere i carichi di lavoro delle applicazioni. Il 66% ha optato per l’utilizzo di un firewall software host, mentre il 64% per la protezione degli endpoint e il 55% per gli strumenti di protezione incentrati sulle applicazioni. Il 34%, invece, ha preferito i software di prevenzione dalla perdita di dati (DLP).

La maggior parte degli altri intervistati si troverebbe a metà strada nell’implementazione di queste soluzioni, con il 6% che ha dichiarato di aver appena iniziato.

5 – Protezione dei dati

Secondo le stime del settore, nel 2022 sono stati rubati miliardi di dati a seguito di violazioni della sicurezza informatica. Per le aziende, l’impatto delle fughe di dati può essere davvero significativo. Non solo le imprese spendono molto tempo per risolvere la violazione e mettere in atto piani di ripristino, ma ci sono anche importanti implicazioni una volta superata la crisi iniziale che possono includere sanzioni e conseguenze per la reputazione.

Il 98% degli intervistati ha affermato di disporre di soluzioni per proteggere i dati in modo adeguato. Nel dettaglio, il 67% avrebbe scelto la crittografia o misure per eseguire il backup e il recupero dei dati persi, mentre il 55% politiche contro le fughe di dati e il 41% IPS host.

Il 94% ha implementato completamente o parzialmente gli strumenti di crittografia, che è la scelta numero uno della maggior parte delle aziende, mentre il 92% ha completato o sta per completare l’implementazione degli strumenti di backup e ripristino. L’identificazione e la classificazione con DLP sono un po’ più indietro nella distribuzione, con appena il 55% di implementazione completa, mentre la percentuale è del 61% per gli strumenti di protezione e IPS host.

AI Act, arrivano nuove regole

AI Act, arrivano nuove regole

A che punto è l’AI Act?

L’adozione di strumenti digitali e tecnologie innovative è ormai una realtà sempre più presente nella nostra vita quotidiana. Grande protagonista di questa rivoluzione è l’Intelligenza Artificiale (IA), con il suo vasto spettro di applicazioni, che sta assumendo un ruolo rilevante in diversi settori e ambiti: dal  commercio alla salute, passando per la finanza e l’automazione industriale.

Il suo utilizzo, tuttavia, non è esente da rischi e criticità. Per questo motivo nel 2021, la Commissione Europea ha proposto il primo quadro normativo dell’UE per l’IA al fine di stabilire uno standard etico e sicuro per lo sviluppo e l’uso di questa tecnologia che ormai sta diventando parte integrante della società. L’AI Act rappresenta un passo significativo per l’Unione Europea verso un quadro normativo che influenza non solo gli sviluppatori e i fornitori di tecnologie IA, ma tutti i settori in cui questo tipo di tecnologie trova applicazione.

Lo scorso 2 febbraio gli ambasciatori dei 27 paesi dell’UE (Coreper) hanno votato all’unanimità l’ultima bozza del testo di legge, approvando l’accordo politico raggiunto nel dicembre 2023. Il prossimo passo è la votazione finale prevista per il 24 aprile 2024.

Quali sono i punti chiave dell’AI Act?

Il principio fondamentale su cui si basa l’AI Act è quello di promuovere lo sviluppo e l’utilizzo dell’IA in modo eticamente responsabile. L’obiettivo è quello di garantire che la tecnologia sia utilizzata nel rispetto dei diritti umani, delle libertà fondamentali e dei valori europei, come la trasparenza, l’equità e la responsabilità sociale.

I punti salienti contenuti nel testo del AI Act possono essere riassunti come segue:

  • Una definizione di sistema di IA allineata all’approccio proposto dall’OCSE (Organizzazione per la cooperazione e lo sviluppo economico) che  l’IA come un “Sistema basato su macchina che, per obiettivi espliciti o impliciti, deduce dagli input ricevuti come generare output, quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali. I diversi sistemi di IA variano nei loro livelli di autonomia e adattabilità dopo l’implementazione”;
  • Il regolamento non si applica a settori che esulano dal campo di applicazione del diritto dell’UE e non dovrebbe incidere sulle competenze degli Stati membri in materia di sicurezza nazionale. La legge sull’IA non si applicherà a:
    • Sistemi utilizzati esclusivamente per scopi militari o di difesa;
    • Sistemi utilizzati esclusivamente per la ricerca e l’innovazione;
    • Persone che utilizzano l’IA per motivi non professionali.
  • Viene stabilito un livello orizzontale di protezione per i sistemi di IA, utilizzando una classificazione ad alto rischio per evitare di regolamentare inutilmente l’IA a basso rischio. I sistemi a rischio limitato sono soggetti a obblighi minimi di trasparenza;
  • Un’ampia gamma di sistemi di IA ad alto rischio sarà autorizzata, ma dovrà rispettare determinati requisiti e obblighi per poter accedere al mercato dell’UE.  L’accordo raggiunto chiarisce i ruoli e le responsabilità all’interno delle catene di valore dell’IA, in particolare per i fornitori e gli utenti. Inoltre, l’AI Act delinea il rapporto tra le responsabilità previste dalla legge sull’IA e la normativa esistente, ad esempio il GDPR, garantendo coerenza e armonizzazione in materia di privacy dei dati;
  • Le seguenti applicazioni dell’IA sono riconosciute come un rischio inaccettabile per i diritti dei cittadini e la democrazia e sono pertanto vietate:
    • Sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili (ad esempio, convinzioni politiche, religiose, filosofiche, orientamento sessuale, razza);
    • Scraping non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale;
    • Riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni educative;
    • Punteggio sociale basato sul comportamento sociale o sulle caratteristiche personali;
    • Sistemi di IA che manipolano il comportamento umano per eludere il loro libero arbitrio;
    • Sfruttamento da parte dell’IA delle vulnerabilità delle persone (età, disabilità, situazione sociale o economica);
  • L’accordo prevede una maggiore trasparenza sull’uso dei sistemi di IA ad altro rischio e una valutazione dell’impatto sui diritti fondamentali (Fundamental Rights Impact Assessment-FRIA) prima che questi vengano immessi sul mercato;
  • Viene introdotta una procedura di emergenza per consentire alle forze dell’ordine l’uso di uno strumento di IA ad alto rischio in situazioni urgenti. Tuttavia è previsto anche un meccanismo per garantire la protezione dei diritti fondamentali contro il potenziale uso improprio dei sistemi di Intelligenza Artificiale.

Le eccezioni al riconoscimento biometrico da remoto in tempo reale

L’AI ACT stabilisce condizioni rigorose per l’uso del Biometric Identification Systems (RBI) “in tempo reale” in spazi accessibili al pubblico e ne limita l’adozione a situazioni eccezionali.

Tali eccezioni includono:

  • Ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale);
  • Prevenzione di una minaccia terroristica specifica e attuale;
  • Localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (ad esempio, terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un’organizzazione criminale, reati ambientali).

In casi simili le forze dell’ordine possono accedere al riconoscimento facciale ma sono necessarie l’autorizzazione di un’autorità giudiziaria, o di un ente indipendente, e l’analisi della valutazione di impatto per la protezione dei diritti fondamentali delle persone interessate. Tuttavia, gli inquirenti ritengono di dover agire con la massima urgenza possono attivare il riconoscimento biometrico e hanno 24 ore di tempo per richiedere l’autorizzazione.

Bonus partite IVA 2024: nuovi requisiti

Bonus partite IVA 2024: nuovi requisiti

Quali sono i bonus 2024 dedicati alle partite IVA?

Il mondo delle partite IVA può essere complesso e intricato, specialmente quando si tratta di capire quali sono gli incentivi disponibili e i bonus a cui si ha diritto. Sapere quali sono le agevolazioni che spettano ai lavoratori autonomi è fondamentale sia per avere una gestione finanziaria efficiente, sia per affrontare eventuali difficoltà che possono sorgere nel corso del tempo.

Con la Legge di Bilancio 2024 non sono stati rinnovati molti dei bonus che l’anno scorso erano stati dedicati alle partite IVA, tuttavia vengono introdotte delle misure che mirano a sostenere i lavoratori autonomi e nel loro percorso di crescita e sviluppo, ma anche a garantire una maggiore protezione in caso di crisi.

Per il 2024 è stato prorogato l’ISCRO, acronimo d’Indennità Straordinaria di Continuità Reddituale Operativa, mentre l’abrogazione della disciplina sul Reddito di Cittadinanza, a partire dal 1° gennaio 2024, ha reso possibile l’istituzione dell’Assegno di Inclusione e della misura Supporto Formazione e Lavoro.

Bonus Partita Iva 2024 da 800 euro INPS: come funziona l’ISCRO e chi può richiederlo

L’ISCRO è stato istituito con la Legge di Bilancio 2021 ed è la cassa integrazione dedicata a coloro che sono in possesso di una partita IVA, indipendentemente dal codice Ateco. La misura è un aiuto che permette di avere un sostegno economico nei periodi in cui un lavoratore autonomo è costretto a fare i conti con particolari situazioni di difficoltà che portano a una riduzione del fatturato.

Il sostegno viene erogato dall’INPS per un massimo di sei mesi e l’indennità è pari al 25%, su base semestrale, della media dei redditi da lavoro autonomo dichiarati nei due anni precedenti all’anno prima di quello in cui è stata effettuata la domanda. L’importo non supererà gli 800 euro mensili e non potrà essere inferiore a 250 euro mensili, annualmente rivalutati.

Per accedere a ISCRO è necessario avere i seguenti requisiti:

  • Nel momento in cui si presenta la domanda, la partita IVA deve essere attiva da almeno 3 anni per l’attività che permette l’iscrizione alla gestione previdenziale in corso;
  • Bisogna essere in regola con versamenti della contribuzione previdenziale obbligatoria;
  • Non si deve essere titolari di trattamenti pensionistici diretti nè di assegno di inclusione per tutto il periodo di erogazione del sussidio. Va sottolineato che la chiusura della partita IVA comporta la cessazione dell’erogazione dell’indennità;
  • Aver prodotto un reddito di lavoro autonomo inferiore al 70% rispetto ai ricavi derivati dal lavoro autonomo dei due anni precedenti;
  • Aver dichiarato un reddito da lavoro autonomo, nell’anno precedente, inferiore a 12.000 euro.

Oltre a rispettare i requisiti sopra elencati, per poter beneficiare dell’ISCRO è necessario inoltrare la domanda in via telematica all’INPS, entro il 31 ottobre di ogni anno, tramite la sezione Indennità per lavori autonomi ISCRO del sito web.

Per utilizzare il servizio è necessario effettuare l’accesso tramite:

  • SPID di livello 2 o superiore;
  • CIE 3.0 (Carta d’identità elettronica); 
  • CNS (Carta nazionale dei servizi).

Namirial SPID: lo strumento per accedere al bonus partite IVA

Con Namirial la creazione di SPID è facile, veloce e basta pochissimo tempo: servono un pc, o in alternativa uno smartphone, e una connessione Internet per ottenere le credenziali.

Namirial ID è lo SPID di Namirial, un set di credenziali -username, password ed eventuale OTP– che corrispondono all’identità digitale di un utente e servono per accedere ai servizi delle Pubbliche Amministrazioni e dei privati che aderiscono al Sistema Pubblico d’Identità Digitale.

Quali sono le caratteristiche e i costi delle soluzioni offerte da Namirial:

  • SPID Personale con Video Identificazione: è possibile attivare SPID 24 ore su 24, anche sabato e domenica. È sufficiente una connessione a internet, lo smartphone o una webcam, un documento di riconoscimento e la tessera sanitaria. Il costo del servizio di video-identificazione è di 19,90 € + IVA (solo una volta).

Ogni volta che su un sito o un’app si visualizza il pulsante “Entra con SPID” basterà effettuare con Namirial SPID il login per avere accesso a tutti i servizi online di pubbliche amministrazioni e privati aderenti al Sistema Pubblico d’Identità Digitale.

Inoltre, con Namirial è possibile attivare anche lo SPID Professionale, una particolare tipologia (Tipo 3) di Sistema Pubblico di Identità Digitale pensata per professionisti e aziende.

Lo SPID Professionaleoltre ai dati dello SPID Personale (Tipo 1), racchiude gli attributi aggiuntivi che caratterizzano la professione della persona che lo possiede e ha una durata pari a uno o due anni dall’attivazione, a seconda del numero di anni che si sceglie di acquistare. 

Alla scadenza, se l’utente decide di non rinnovarlo, SPID Professionale tornerà ad essere uno SPID Personale di Tipo 1. Il prezzo annuale per lo SPID Professionale Namirial è di 35,00 euro, mentre per due anni il prezzo è di 70,00 € + IVA.

Questo servizio può essere acquistato sia da chi ha già uno SPID Personale con Namirial o con un altro Identity Provider sia da chi è sprovvisto di SPID e lo attiva per la prima volta. In tutti i casi la video identificazione è inclusa nel prezzo.

– «Non hai ancora attivato lo SPID Namirial? Scopri come attivarlo velocemente e in pochi passaggi»

Verifica dell’identità digitale in sicurezza, cosa c’è da sapere

Verifica dell'identità digitale in sicurezza, cosa c'è da sapere

Verifica dell’identità vs controllo dell’identità: quali sono le differenze?

In un’epoca in cui le attività quotidiane come lo shopping, la comunicazione e il lavoro sono sempre più legate al mondo digitale, è fondamentale garantire che le informazioni personali siano protette e sicure per prevenire il furto di identità, frodi e altri crimini informatici.

In questo contesto, la verifica dell’identità digitale svolge un ruolo fondamentale perché permette di garantire che una persona è chi dice di essere quando accede a servizi online oppure compie transazioni digitali. In pratica, non è altro che un processo di convalida e conferma l’autenticità di un’identità che viene fornita da un individuo, certificando la legittimità delle informazioni utilizzate per l’accesso a un sistema o servizio.

La verifica dell’identità non deve essere confusa con il controllo dell’identità poiché si tratta di due processi differenti ma spesso erroneamente considerati equivalenti. Nel primo caso, l’espressione “verifica dell’identità” si riferisce a una verifica che può essere effettuata da vari soggetti, come ad esempio una banca o una piattaforma online, che ha come obiettivo quello di confermare l’identità digitale di un utente tramite una serie di tecnologie e prassi che attestino la veridicità dei dati forniti al momento dell’iscrizione o dell’accesso.

Nel secondo caso, invece, si parla di “controllo dell’identità” quando una persona è chiamata a dimostrare la propria identità in situazioni particolari, ad esempio durante un controllo di polizia o all’ingresso di un edificio. In base al contesto in cui è necessario dare prova della propria identità, il controllo della stessa può assumere forme diverse, come la presentazione di documenti di identità (ad esempio una carta d’identità o il passaporto) o la conferma mediante riconoscimento facciale o impronta digitale, grazie all’utilizzo di tecnologie come la biometria.

Che cos’è il KYC e perché è importante adottarlo?

Un’altra differenza tra verifica e controllo dell’identità riguarda l’uso del KYC (Know Your Customer), letteralmente “conosci il tuo cliente”, un processo di riconoscimento utilizzato dalla aziende che ha lo scopo di verificare l’identità digitale dei propri clienti al fine di prevenire comportamenti illegali e potenziali rischi di frode.

I principali obiettivi del KYC sono stabilire l’identità del cliente, comprendere la natura delle attività che intende svolgere e valutare i possibili rischi associati. Tale processo di onboarding dei clienti è la spina dorsale di qualsiasi programma di compliance e gestione del Risk management, inoltre va ricordato che consente di soddisfare gli obblighi di legge imposti dall’AMLD (Anti Money Laundry Directives), la direttiva europea antiriciclaggio che stabilisce le regole e i quadri di riferimento a cui gli Stati membri devono aderire al fine di prevenire e combattere il riciclaggio di denaro e le attività di finanziamento del terrorismo.

Sono tre le fasi di cui si compone un efficace sistema KYC:

  1. Customer Identification Program (CIP): in che modo è possibile sapere che qualcuno è chi dice di essere? Il furto d’identità è una delle minacce più comuni ed è per contrastare queste attività che il CIP impone a chiunque effettui transazioni finanziarie di verificare la propria identità attraverso una serie di requisiti minimi che includono la raccolta di informazioni tra cui nome dell’individuo, la data di nascita e l’indirizzo di residenza;
  2. Customer Due Diligence (CDD): assicurarsi che un potenziali cliente sia affidabile è il primo passo per prevenire potenziali rischi legati alla sua attività. La CCD è un elemento critico del programma di KYC e si compone di tre livelli:
    • Simplified Due Diligence (SDD): si applica in situazioni in cui il rischio di riciclaggio di denaro o di finanziamento del terrorismo è basso e non è necessaria una CDD completa, come nel caso di  conti di basso valore;
    • Basic Customer Due Diligence (CDD): è costituita dalle informazioni ottenute dal cliente al fine di verificarne l’identità e valutare i rischi associati;
    • Enhanced Due Diligence (EDD): è l’insieme delle informazioni aggiuntive raccolte sui clienti che sono considerati a più alto rischio. Tali dati offrono un approfondimento ulteriore sulle attività di questa tipologia di clienti al fine di ridurre i rischi associati.
  3. Ongoing Monitoring: naturalmente non basta controllare il cliente una sola volta, ma è necessario disporre di un programma di monitoraggio continuo che permetta di rilevare tempestivamente delle eventuali anomalie o attività sospette. In questo modo, è possibile adottare le misure necessarie per mitigare i rischi e garantire una maggiore sicurezza dei propri servizi.

In sintesi, il KYC è un processo fondamentale per proteggere tanto le aziende quanto i loro clienti, garantendo un ambiente digitale sicuro e affidabile. La corretta implementazione di un sistema KYC non solo permette di essere in regola con le leggi vigenti, ma rappresenta anche una strategia per prevenire potenziali attività criminali e proteggere la fiducia dei propri utenti.

Inoltre, grazie all’impiego di tecnologie innovative e all’avanguardia, come l’Intelligenza Artificiale, le aziende possono implementare procedure di Digital Onboarding che sono in grado di semplificare, accelerare e ottimizzare le procedure di verifica dell’identità, riducendo tempi e costi per le aziende e al tempo stesso garantendo una Customer experience di alta qualità.

Come avviene la verifica dei documenti per l’identità digitale?

Le identità elettroniche, SPID su tutte, e strumenti come la firma digitale, sono diventati una parte sempre più importante della vita moderna. Basti pensare che secondo i dati di AgID -Agenzia per l’Italia digitale- nel 2023 in Italia sono stati registrati circa 30.209.106 certificati di firma attivi di cui l’83% basato su firma remota.

Affinché questi strumenti siano affidabili, validi ai fini legali e riconosciuti da tutti i soggetti coinvolti, è necessario che la verifica dei documenti di identità avvenga in modo accurato, al fine di garantire la conformità delle informazioni fornite dall’utente e l’autenticità dei dati.

Per rispondere a questa esigenza, lo Stato mette a disposizione degli identity provider, e di tutti quei soggetti che acquisiscono documenti di identità, due piattaforme che permettono di verificare la validità, l’autenticità e il legittimo uso dei suddetti documenti.

Vediamo brevemente che cosa sono queste piattaforme e come funzionano:

  1. SCIPAFI: il Sistema Centralizzato Informatico per la Prevenzione Amministrativa del Furto d’Identità, piattaforma gestita dalla Consap per conto del Ministero dell’Economia e CrimNet, nasce con il fine di consentire la verifica dei documenti nelle pratiche di rilascio di SIM telefoniche e finanziamenti. In seguito, il suo utilizzo è stato esteso ai rilasci di firme digitali e identità elettroniche SPID;
  2. Sistema CrimNet: è invece la piattaforma messa a disposizione dal Ministero dell’Interno e serve a confermare che il documento verificato non sia stato rubato, smarrito o denunciato.

Direttiva Case Green: cosa prevede e chi dovrà ristrutturare

Direttiva Case Green: cosa prevede e chi dovrà ristrutturare

Che cos’è la Direttiva europea Case Green?

Dopo mesi di discussioni, la Commissione ITRE (Industrie, Recherche, Energie -Industria, Ricerca ed Energia) del Parlamento europeo lo scorso 15 gennaio ha votato e approvato il testo finale della Direttiva EPBD (Energy Performance of Building Directive), cosiddetta Direttiva Case Green.

I parlamentari europei hanno così dato il via libera alla direttiva europea che mira a ridurre le emissioni di gas a effetto serra e il consumo di energia nel settore edilizio della UE entro il 2030 e a renderlo climaticamente neutro entro il 2050.

La Direttiva Case Green segna un nuovo orizzonte nella legislazione europea ed è stata concepita con l’obiettivo di rendere l’industria edile più sostenibile ed efficiente dal punto di vista energetico. Gli edifici sparsi sul territorio europeo, infatti, sono responsabili del 40% del consumo energetico e del 36% delle emissioni dirette e indirette di gas a effetto serra legate all’energia. 

Queste percentuali possono essere ridotte attraverso una serie di misure e interventi che dovranno essere implementati in tutta Europa, al fine di contrastare il cambiamento climatico e contribuire alla transizione verso un futuro più sostenibile e a basse emissioni.

Il settore edilizio è considerato un ambito chiave nel raggiungimento degli obiettivi energetici e climatici dell’UE e sostenerne la trasformazione è una priorità che coinvolge tutti gli Stati membri.

Per avere un’idea più chiare di quale sia lo stato attuale, è sufficiente sapere che l’85% degli edifici dell’UE è stato costruito prima del 2000 e tra questi il 75% ha una scarsa prestazione energetica. Intervenire sull’efficienza energetica degli edifici è quindi fondamentale per risparmiare energia e raggiungere un parco edifici a zero emissioni e completamente decarbonizzato entro il 2050.

Per garantire che il parco edifici rispetti gli standard dell’UE nell’ambito del Green Deal europeo, la direttiva mira a una riduzione delle emissioni di almeno il 60% nel settore edilizio entro il 2030 e al raggiungimento della neutralità climatica entro il 2050.

Oltre a ciò, cambieranno anche gli Attestati di Prestazione Energetica (APE) -documento che sostituisce l’ACE (Attestato di Certificazione Energetica)- che si baseranno su un modello dell’UE con criteri comuni al fine di creare le condizioni per un ambiente stabile per le decisioni di investimento e consentire ai consumatori e alle imprese di fare scelte più informate per risparmiare energia e denaro.

Quali sono le principali novità previste dalla Direttiva Case Green?

La Direttiva Case Green introduce una serie di misure volte a rendere gli edifici più efficienti dal punto di vista energetico e sostenibili sotto il profilo ambientale. Ogni Stato membro dell’UE è chiamato a impegnarsi nel ridurre l’impatto ambientale dei propri edifici e a implementare misure per migliorare la loro efficienza energetica.

Tra le principali novità introdotte dalla direttiva, troviamo:

  • Ogni Stato membro adotterà una propria traiettoria nazionale per ridurre il consumo medio di energia primaria degli edifici residenziali del 16% entro il 2030 e del 20-22% entro il 2035, consentendo una flessibilità sufficiente per tenere conto delle circostanze nazionali. Gli Stati membri sono liberi di scegliere quali edifici prendere in considerazione e quali misure adottare;
  • Le misure nazionali dovranno garantire che almeno il 55% della riduzione del consumo medio di energia primaria sia ottenuto attraverso la ristrutturazione degli edifici con le peggiori prestazioni;
  • Per quanto riguarda il patrimonio edilizio non residenziale, le norme prevedono un miglioramento graduale attraverso standard minimi di prestazione energetica. Ciò comporterà la ristrutturazione del 16% degli edifici con le peggiori prestazioni entro il 2030 e del 26% degli edifici con le peggiori prestazioni entro il 2033;
  • Gli Stati membri avranno la possibilità di esentare da questi obblighi alcune categorie di edifici residenziali e non residenziali, tra cui gli edifici storici o le case vacanza;
  • I certificati di prestazione energetica (EPC) migliorati si baseranno su un modello comune dell’UE per informare meglio i cittadini e facilitare le decisioni di finanziamento in tutta l’UE;
  • Per combattere la povertà energetica e ridurre le bollette energetiche, le misure di finanziamento volte a incentivare e sostenere le ristrutturazioni dovranno essere disponibili anche per i cittadini in condizioni più vulnerabili;
  • Gli Stati membri dovranno inoltre garantire la presenza di garanzie per le fasce di popolazione più deboli per contribuire ad affrontare il rischio di sfratto causato da aumenti sproporzionati dell’affitto in seguito a una ristrutturazione.

Sostenibilità ambientale e ristrutturazioni: cosa dovranno fare gli Stati membri?

La Direttiva Case Green contiene misure volte a migliorare sia la pianificazione strategica delle ristrutturazioni che gli strumenti per garantirne la realizzazione.

In base alle disposizioni concordate, gli Stati membri dovranno:

  • Stabilire piani nazionali di ristrutturazione degli edifici per definire la strategia nazionale di decarbonizzazione del patrimonio edilizio e le modalità per affrontare i rimanenti ostacoli, come il finanziamento, la formazione e l’attrazione di lavoratori più qualificati;
  • Istituire programmi nazionali di passaporto per le ristrutturazioni edilizie per guidare i proprietari di edifici nelle loro ristrutturazioni graduali verso edifici a emissioni zero;
  • Istituire sportelli unici per i proprietari di case, le PMI e tutti gli attori della catena del valore della ristrutturazione, per ricevere supporto e orientamento dedicati e indipendenti;
  • Eliminare gradualmente le caldaie alimentate da combustibili fossili. I sussidi per l’installazione di caldaie autonome alimentate da combustibili fossili non saranno più consentiti a partire dal 1° gennaio 2025.

La direttiva introduce una chiara base giuridica che consente agli Stati membri di stabilire requisiti per i generatori di calore in base alle emissioni di gas serra, al tipo di combustibile utilizzato o alla quota minima di energia rinnovabile utilizzata per il riscaldamento.

Gli Stati membri dovranno inoltre definire misure specifiche per l’eliminazione graduale dei combustibili fossili nel settore del riscaldamento e del raffreddamento, con l’obiettivo di eliminare completamente le caldaie alimentate da combustibili fossili entro il 2040.

La direttiva mira anche a promuovere l’adozione della mobilità sostenibile grazie alle disposizioni sul precablaggio, sui punti di ricarica per i veicoli elettrici e sui parcheggi per le biciclette.

Il precablaggio diventerà quindi la norma per gli edifici nuovi e ristrutturati, facilitando così l’accesso alle infrastrutture di ricarica. Inoltre, saranno rafforzati i requisiti sul numero di punti di ricarica negli edifici residenziali e non residenziali. Agli Stati membri è affidato il compito di eliminare gli ostacoli all’installazione dei punti di ricarica, al fine di garantire che il right to plug (“diritto alla spina”) diventi una realtà.

In generale, i punti di ricarica dovranno consentire la ricarica intelligente e, dove possibile, la ricarica bidirezionale. Infine, le disposizioni previste dalla direttiva garantiranno la disponibilità di parcheggi sufficienti per le biciclette, comprese quelle da carico.

Case green 2030: zero emissioni per i nuovi edifici

La direttiva europea renderà gli edifici a emissioni zero lo standard per le nuove costruzioni.

I nuovi edifici residenziali e non residenziali, infatti, dovranno avere zero emissioni a partire dal 1° gennaio 2028 per gli edifici di proprietà pubblica e dal 1° gennaio 2030 per tutti gli altri edifici, con la possibilità di esenzioni specifiche.

Gli Stati membri dovranno inoltre garantire che i nuovi edifici siano predisposti per l’energia solare, ossia che siano in grado di ospitare impianti fotovoltaici o solari termici sul tetto. L’installazione di impianti a energia solare diventerà la norma per i nuovi edifici.

Per gli edifici pubblici e non residenziali esistenti, l’installazione dell’energia solare dovrà avvenire gradualmente, a partire dal 2027, laddove ciò sia tecnicamente, economicamente e funzionalmente fattibile.

Il Wallet Digitale per la scuola

Il Wallet Digitale per la scuola

IT Wallet: tutte le identità digitali in un unico portafoglio

L’Italia compie un passo avanti verso la digitalizzazione delle identità pubbliche con l’introduzione del wallet digitale, o IT Wallet, il portafoglio digitale che permetterà di “razionalizzare ed evolvere gli schemi attuali di identità digitale verso un unico strumento“. La versione pubblica dell’e- wallet dovrebbe arrivare entro il 30 giugno 2024anticipando la release dell’EUDI, acronimo di European Digital Identity Wallet, il portafoglio europeo per l’identità digitale che sarà disponibile a partire dal 2026.

L’IT Wallet permetterà ai cittadini di raccogliere in un unico luogo virtuale tutta la documentazione relativa alle proprie identità pubbliche, ovvero carta d’identità, patente di guida e tessera sanitaria. In questo modo, si potrà accedere in maniera semplice, sicura e comoda ai vari servizi digitali della Pubblica Amministrazione.

L’adozione del wallet digitale semplificherà i processi burocratici, consentendo ai cittadini di avere a disposizione in maniera immediata i documenti in formato digitale, inclusi quelli legati al mondo della scuola, che saranno disponibili in modo ancora più agile e veloce. Infatti, sarà sufficiente avere il proprio smartphone con sé per poter accedere a tutte le informazioni necessarie in qualsiasi luogo  e in qualsiasi momento.

In definitiva, l’IT Wallet sarà uno strumento fondamentale per favorire l’accessibilità e l’efficienza dei servizi pubblici, compresi quelli scolastici, come l’iscrizione degli studenti, la richiesta di certificati essenziali per le attività scolastiche e le comunicazioni con gli istituti di riferimento. Le lunghe code agli sportelli diventeranno un ricordo del passato, grazie alla possibilità di utilizzare una sola e unica app per accedere ai dati relativi alla propria digital identity. Ciò, inoltre, vuol dire che le numerose e complesse password, che spesso finiamo per dimenticare o perdere, saranno sostituite da una sola autenticazione, rendendo l’interazione con i servizi online ancora più performante.

Al progetto del digital identity wallet italiano sta lavorando il Dipartimento per la transizione digitale insieme a una serie di società pubbliche, in primis PagoPa, ma anche Sogei e l’Istituto Poligrafico e Zecca dello Stato.

La sicurezza dei dati occupa un ruolo fondamentale in questo progetto e per garantirla l’IT wallet sarà disponibile tramite l’App IO a cui è possibile accedere con CIE (Carta d’Identità Elettronica) o SPID, con livello di sicurezza 2. In caso di servizi che prevedono l’accesso a dati più sensibili, ad esempio i servizi bancari, sarà necessario accedere all’IT Wallet con un livello 3.

SPID Namirial: la soluzione per l’identità digitale

Namirialidentity provider accreditato per il rilascio dell’identità digitale SPID, permette di ottenere le credenziali SPID in modo facile e veloce: bastano un pc, o in alternativa uno smartphone, e una connessione Internet.

Namirial ID è un set di credenziali – username, password ed eventuale OTP – generate da Namirial, che corrispondono all’identità digitale di un utente e servono per accedere ai servizi delle Pubbliche Amministrazioni e dei privati che aderiscono al Sistema Pubblico d’Identità Digitale.

Vediamo insieme quali sono le caratteristiche e i costi delle soluzioni offerte da Namirial:

  • SPID Personale: è possibile attivare SPID Personale gratuitamente se hai CIE/CNS con PIN e lettore smart card o un certificato di firma digitale;
  • SPID Personale con Video Identificazione: è possibile attivare SPID 24 ore su 24, anche sabato e domenica. È sufficiente una connessione a Internet, lo smartphone o una webcam, un documento di riconoscimento e la tessera sanitaria. Il costo del servizio di video identificazione è di 19,90 € + IVA (solo una volta).

Inoltre, con Namirial è possibile attivare anche lo SPID Professionale, una particolare tipologia (Tipo 3) di Sistema Pubblico di Identità Digitale pensata per permettere a professionisti e aziende di accedere ai servizi della Pubblica Amministrazione e dei privati che aderiscono al circuito.

Lo SPID Professionale, oltre ai dati dello SPID Personale (Tipo 1), racchiude gli attributi aggiuntivi che caratterizzano la professione del titolare e ha la durata di uno o due anni dall’attivazione, a seconda del numero di anni che si sceglie di acquistare.

Alla scadenza, se l’utente decide di non rinnovarlo, SPID Professionale tornerà a essere uno SPID Personale di Tipo 1. Il prezzo annuale per lo SPID Professionale Namirial è di 35,00 €, mentre per due anni il prezzo è di 70,00 € + IVA.

Questo servizio può essere acquistato sia da chi è già in possesso di uno SPID Personale Namirial, sia da chi non lo è, oppure ha uno SPID rilasciato da un altro Identity Provider: in tutti i casi la procedura di attivazione permette all’utente di attivare il proprio SPID Professionale (Video Identificazione inclusa nel prezzo) o di aggiornare uno SPID Personale attivato in precedenza con Namirial.

– «Non hai ancora attivato lo SPID Namirial? Scopri come attivarlo velocemente e in pochi passaggi»

Qual è l’uso secondario dei dati personali?

Qual è l'uso secondario dei dati personali?

Che cosa sono i dati personali e quali informazioni includono?

Il tema della protezione dei dati personali è diventato sempre più rilevante negli ultimi anni visto il crescente utilizzo delle tecnologie digitali e il continuo scambio di informazioni attraverso Internet. La privacy è un diritto fondamentale che deve essere tutelato e garantito per tutti i cittadini, ma allo stesso tempo è importante trovare un equilibrio tra ciò che serve per garantire la sicurezza dei dati e ciò che è necessario per consentire lo sviluppo di tecnologie innovative.

Nel contesto della tutela dei dati personali, si parla spesso di “uso primario” e “uso secondario” dei dati, ma prima di approfondire questi due concetti è importante capire cosa si intende per dato personale, quali sono le sue caratteristiche e come viene trattato in base alle leggi vigenti.

Con “dato personale“, come ilustrato all’articolo 4 del GDPR, si indica qualsiasi informazione che riguarda una persona fisica identificata o identificabile. Questo può includere nomi, indirizzi email, numeri di telefono, dati relativi alla posizione geografica e così via. Inoltre, è importante sottolineare che anche le informazioni che non sono direttamente legate a una persona, ma che possono essere utilizzate per identificarla indirettamente, sono considerati dati personali.

I dati personali restano tali e rientrano nell’ambito di applicazione della normativa anche se nel caso in cui sono sottoposti a deidentificazione, cifraturapseudonimizzazione, ma possono essere usati  per reidentificare una persona, mentre quelli che sono stati resi anonimi, al fine di non poter mai più ricollegarli a una persona fisica,  non sono più considerati dati personali. Perché i dati siano davvero anonimi, l’anonimizzazione deve essere irreversibile.

Oltre ai dati che consentono l’identificazione diretta, come ad esempio “nome e cognome”, ci sono dati che rientrano in particolari categorie (cosiddetti dati sensibili) e i dati relativi a condanne penali e reati (cosiddetti dati giudiziari). In aggiunta, il Garante per la protezione dei dati personali (GDPD) sottolinea che con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo di rilievo, come quelli relativi alle comunicazioni elettroniche (tramite Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

Un ulteriore distinzione è quella operata dall’Edpb (European Data Protection Board) che nell’ambito del trattamento dei dati personali, inclusi quelli sulla salute, individua un “uso primario“, per i dati che vengono raccolti specificamente per scopi scientifici, e un “uso secondario“, espressione con cui si fa riferimento al trattamento dati sanitari per scopi diversi da quelli per i quali i dati stessi sono stati inizialmente raccolti.

Dati secondari: perché sono un elemento di valore e come utilizzarli?

L’uso dei dati personali sanitari rappresenta un potenziale enorme per l’innovazione nel settore dei servizi digitali nell’ambito della salute. Grazie all’analisi dei dati, è possibile individuare pattern e correlazioni che possono essere utili per diagnosticare malattie in modo precoce o per migliorare le cure mediche.

Va inoltre considerato che l’uso secondario dei dati personali si inserisce nella strategia europea di digitalizzazione il cui obiettivo è la creazione di un mercato unico che consentirà ai dati di circolare liberamente all’interno del territorio UE e in tutti i settori a vantaggio dei ricercatori, delle imprese e delle pubbliche amministrazioni. L’accesso ai dati e la loro capacità di utilizzarli sono essenziali per l’innovazione e la crescita economica perché consentono lo sviluppo di nuove tecnologie e servizi, aumentando la competitività e la resilienza dell’UE.

Da ciò si evince come l’uso secondario dei dati e la condivisione delle informazioni tra le diverse organizzazioni sia essenziale per ottenere una visione più completa e approfondita, volta a favorire la ricerca scientifica e ad accelerare il processo di sviluppo di nuove terapie e cure che garantiscono una migliore qualità della vita per tutti.

In definitiva, l’analisi dei dati può portare a grandi benefici per la società, offrire soluzioni innovative, identificare opportunità e tendenze che possono condurre alla creazione di nuovi servizi e prodotti tesi a soddisfare le esigenze della popolazione.

Per meglio comprendere l’importanza dell’uso secondario dei dati personali secondari, è utile citare alcuni esempi concreti che ne dimostrano l’utilità:

  • Analisi epidemiologiche e prevenzione delle malattie: l’uso dei dati sanitari consente di identificare pattern e correlazioni che possono favorire la prevenzione delle malattie, permettendo alla comunità scientifica di adottare misure preventive e interventi mirati;
  • Miglioramento della mobilità e pianificazione urbana: la raccolta dei dati su spostamenti e abitudini di mobilità della popolazione può essere utile per migliorare il trasporto pubblico e la pianificazione urbanistica, riducendo l’impatto ambientale e favorendo uno sviluppo sostenibile.
  • Ottimizzare i cicli di produzione: la raccolta e l’analisi dei dati sul funzionamento dei prodotti e servizi possono essere utilizzati per migliorare i processi produttivi e ottimizzare l’utilizzo delle risorse, riducendo gli sprechi e migliorando l’efficienza. Ad esempio, la tecnologia del Machine Learning può essere utilizzata per gestire la supply chain e le attività di manutenzione in modo più efficiente.

Riassumendo, l’uso secondario dei dati personali può portare a numerosi vantaggi ed essere un importante strumento di supporto per la ricerca e l’innovazione nei diversi settori. Ma per fare in modo che questa pratica sia sostenibile e rispetti i diritti dei cittadini, è indispensabile adottare adeguate misure di sicurezza per garantire la protezione dei dati personali.

Per fare ciò, è essenziale che le organizzazioni adottino politiche e procedure chiare per la gestione dei dati e si attengano a ciò che è stabilito dal GDPR che, a livello europeo, costituisce un quadro di riferimento di fondamentale importanza. Per quanto concerne, invece, la normativa italiana sono gli gli articoli 110 e 110-bis del Codice in materia di protezione dei dati personali ad individuare i casi in cui l’uso secondario dei dati personali è consentito e le condizioni che devono essere rispettate.

Scelti dalla Redazione