Portale Servizi Lavoro: novità sull’utilizzo dello SPID

Portale Servizi Lavoro: novità sull'utilizzo dello SPID

Sistema Pubblico d’Identità Digitale: che cos’è e a cosa serve lo SPID?

Il Sistema Pubblico d’Identità Digitale, meglio noto come SPID, è lo strumento di identificazione che permette a cittadini e imprese di accedere ai servizi online della Pubblica Amministrazione e dei privati aderenti attraverso una credenziale unica che si attiva una sola volta ed è sempre valida.

Infatti, cittadini, imprese e professionisti non dovranno più gestire credenziali diverse a seconda del servizio che vogliono utilizzare e possono:

  • Contare su sistemi di identificazione unici e sicuri che tutelano la privacy dei dati personali;
  • Accedere ai servizi pubblici digitali italiani, dei Paesi membri dell’Unione Europea e ad alcuni servizi erogati da privati. 

L’identità SPID è composta da una coppia di credenziali (username e password), strettamente personali, che hanno caratteristiche differenti in base al livello di sicurezza richiesto per accedere al servizio:

  • Primo livello: permette di accedere ai servizi online attraverso un nome utente e una password scelti dall’utente;
  • Secondo livello: permette l’accesso con nome utente e password più un codice temporaneo di accesso OTP (One Time Password), fornito tramite SMS o app;
  • Terzo livello: prevede l’utilizzo di ulteriori soluzioni di sicurezza e di eventuali dispositivi fisici, come ad esempio una smart card, che vengono erogati dal gestore dell’identità.

Come richiedere lo SPID?

Istituito nel 2014, previsto dal Codice dell’Amministrazione digitale (art. 64) e attivo dal 2016, il Sistema Pubblico di Identità Digitale è gestito da AgID (Agenzia per l’Italia Digitale) con il coordinamento del Dipartimento per la Trasformazione digitale.

Lo SPID ha lo stesso valore di un documento d’identità nello svolgimento di pratiche amministrative online ed è uno strumento semplice e sicuro che si può utilizzare da qualsiasi dispositivo: computer, tablet e smartphone ogni volta che, su un sito o un’App di servizi, compare il pulsante “Entra con SPID”.

Il processo di identificazione è assicurato da protocolli stabiliti da AgID a cui gli Identity Provider (IdP), ossia i gestori delle identità digitali, devono aderire rispettando la privacy. Inoltre, i dati personali comunicati non possono essere utilizzati per scopi commerciali e non possono essere utilizzati e ceduti a terze parti senza l’autorizzazione dell’utente.

Come si ottengono le credenziali? Per ottenere le credenziali SPID bisogna rivolgersi a uno degli Identity Provider accreditati dall’Agenzia per l’Italia Digitale (AgID).  Una volta scelto quello che più si adatta alle proprie esigenze basta registrarsi sul sito del gestore d’identità in pochi e semplici passaggi:

  • Inserire i dati anagrafici;
  • Creare le proprie credenziali SPID;
  • Effettuare il riconoscimento scegliendo tra le modalità offerte dal gestore:
    • Via webcam, con un operatore messo a disposizione dal gestore dell’identità̀ o con un selfie audio-video, insieme al versamento di una somma simbolica tramite bonifico bancario come ulteriore strumento di verifica della propria identità̀;
    • Con la Carta d’Identità Elettronica (CIE) o il passaporto elettronico, identificandosi attraverso le app dei gestori, scaricabili dai principali app store;
    • Con la CIE, la Carta Nazionale dei Servizi (CNS), la tessera sanitaria (TS), o con la firma digitale grazie all’ausilio di un lettore (per esempio, la smart card) e del relativo pin.

In alternativa, il riconoscimento può avvenire anche di persona, recandosi presso gli uffici dei gestori dell’identità digitale.

Identità digitale professionale: cosa sono elDup PF e elDup PG?

Le Linee guida per il rilascio delle identità digitali per uso professionale sono state pubblicate il 6 novembre 2019 dall’AgID con determina n.318/2019.

L’identità digitale SPID per uso professionale, o SPID professionale, prende il nome di elDup e si divide in:

  • elDup ad uso professionale per persona fisica (elDup PF): è lo SPID riservato ai liberi professionisti. L’elDup PF è l’identità̀ digitale che contiene gli attributi della persona fisica a cui sono state rilasciate le credenziali di autenticazione (nome, cognome, codice fiscale, etc);
  • elDup ad uso professionale per persona giuridica (elDup PG): è lo SPID rilasciato alla persona fisica che opera per conto di una persona giuridica. L’elDup PG è l’identità̀ digitale che contiene gli attributi della persona giuridica e della persona fisica cui sono state rilasciate le credenziali di autenticazione.

SPID e Portale Servizi Lavoro: cosa cambia dal 7 luglio 2021?

Il Ministero del Lavoro e delle Politiche Sociali, attraverso un comunicato sul proprio sito, ha reso noto che dal 7 luglio 2021 cambiano le modalità di sicurezza per accedere al Portale Servizi Lavoro: nell’ambito delle operazioni svolte con il Sistema Pubblico di Identità Digitale, infatti, è previsto il passaggio al livello 2 di sicurezza con l’obiettivo di rafforzare ulteriormente le tutele verso gli utenti.

Che cosa significa? In pratica, a partire dal 7 luglio 2021 l’accesso ai servizi attraverso le credenziali (nome utente e una password) dello SPID di livello 1, sarà rafforzato dalla generazione di un codice temporaneo di accesso (OTP – One Time Password) inviato all’utente tramite SMS o attraverso l’App del gestore che ha rilasciato lo SPID. 

Si tratta di una nuova tappa nel percorso sempre più digitale del Ministero del Lavoro e delle Politiche Sociali, all’insegna della sicurezza e dell’innovazione nei servizi, con l’obiettivo di facilitare le interazioni tra Ministero, cittadini, lavoratori e imprese.

SPID Personale e Professionale: le soluzioni Namirial

Con Namirial, Identity Provider accreditato per il rilascio dell’identità digitale, richiedere e ottenere le proprie credenziali SPID è facile e veloce. 

Namirial ID è la soluzione perfetta per chi vuole attivare lo SPID per sé o desidera aiutare una persona anziana, disabile o con oggettive difficoltà nell’utilizzo dei sistemi di videoconferenza. Infatti, grazie al servizio servizio SPID personale con assistenza offerto da Namirial, è possibile avere accanto una persona di fiducia durante l’iter per ottenere la propria utenza SPID.

Lo SPID Professionale, invece, è una particolare tipologia (Tipo 3) di Sistema Pubblico di Identità Digitale, pensato per permettere ai Professionisti di accedere ai servizi della Pubblica Amministrazione e degli Enti privati aderenti. Questo servizio può essere acquistato sia da chi è già in possesso di uno SPID Personale Namirial, sia da chi non lo è (oppure ha uno SPID rilasciato da un altro Identity Provider).

Namirial ID consente l’autenticazione di livello 1 (user e password) e di livello 2 (OTP via App o SMS).

Ecco quali sono le caratteristiche e i costi delle soluzioni Namirial:

  • SPID Personale: è possibile attivare SPID Personale gratuitamente se hai CIE/CNS con PIN e lettore smart card o un certificato di Firma Digitale;
  • SPID Personale con Video Identificazione: è possibile attivare SPID 24 ore su 24, anche sabato e domenica. È sufficiente una connessione a internet, lo smartphone o una webcam, un documento di riconoscimento e la tessera sanitaria. Il costo del servizio di video-identificazione è di 19,90 € + IVA;
  • SPID per i Professionisti: SPID Professionale di Tipo 3 è l’identità digitale necessaria per accedere ai servizi professionali in cui è necessario conoscere l’appartenenza di un professionista (ad esempio: il soggetto è un avvocato o un medico). È riservato a tutti i liberi professionisti e/o Partite IVA e può essere utilizzato per gestire i rapporti della propria attività sia con i clienti che con gli Enti pubblici o privati. La procedura di attivazione permette di attivare il nuovo SPID Professionale (Video Identificazione inclusa nel prezzo) o di aggiornare uno SPID Personale attivato in precedenza con Namirial. Lo SPID Professionale ha la durata di uno o due anni dall’attivazione in base al numero di anni che si sceglie di acquistare. Alla scadenza, se l’utente decide di non rinnovarlo, lo SPID Professionale tornerà ad essere uno SPID Personale di Tipo 1. Il prezzo annuale per lo SPID Professionale è di 35,00 euro, mentre per due anni il prezzo è di 70,00 € + IVA.

«Attiva lo SPID come e quando vuoi. Creare la tua identità digitale con Namirial ID è semplicissimo»

Cyber Security e Gig Economy: come garantire la sicurezza del proprio patrimonio informatico

Cyber Security e Gig Economy: come garantire la sicurezza del proprio patrimonio informatico

Che cos’è la Gig Economy?

Nel mondo altamente connesso di oggi, in cui il fenomeno della Gig Economy è in costante crescita, la Cyber Security è una priorità per le organizzazioni e le aziende di ogni settore.

Che cos’è la Gig Economy? La Gig Economy è un modello economico basato sul lavoro a chiamata, occasionale e temporaneo, in cui i lavoratori non sono vincolati da contratti a lungo termine. In altre parole, si tratta di una nuova forma di organizzazione dell’economia digitale dominata da freelance o lavoratori part-time che non prevede prestazioni lavorative stabili e continuative caratterizzate da contratti fissi a tempo pieno. 

Per Saleforce, impresa statunitense di cloud computing con sede a San Francisco e operativa in 36 Paesi del mondo, la Gig Economy è ciò che permette alle aziende di acquisire un talento specifico per un determinato periodo di tempo al fine di raggiungere un obiettivo chiaro e preciso. Un risultato possibile grazie agli strumenti digitali definiti human cloud plataform, ossia le piattaforme che ospitano persone in grado di rispondere alle richieste del mercato.

La galassia dei cosiddetti gig worker, ovvero i lavoratori della Gig Economy, è formata da freelance e lavoratori part-time che hanno orari flessibili e operano in settori molto diversi tra loro: dai trasporti e logistica all’arte e design, dal mondo dei media e della comunicazione alle tecnologie dell’informazione.  

Va inoltre ricordato che nella Gig Economy è possibile identificare due categorie di lavori:

  • Web-based: ovvero prestazioni distribuite attraverso piattaforme. I gig worker lavorano grazie al web, agiscono da remoto e sono connessi da ogni angolo del mondo;
  • Location-based: prestazioni on-demand tramite app. In questo caso le piattaforme digitali svolgono il compito di mediatore, facendo incontrare l’offerta di prestazione lavorativa con la domanda di servizi.

La differenza principale tra le due tipologie è il luogo in cui si svolge l’attività lavorativa che nel primo caso è virtuale, mentre nel secondo è fisico e ha una dimensione più locale.

Gig Economy e Cyber Security: quanto conta la sicurezza informatica?

Le imprese e organizzazioni che scelgono di rivolgersi ai gig worker devono adottare protocolli di sicurezza rigorosi per mitigare i possibili rischi legati all’accesso ai sistemi da dispositivi personali, su cui non è possibile esercitare lo stesso controllo che si applica ai device aziendali, o da reti domestiche che potrebbero essere facilmente compromesse.

Per meglio comprendere perché la sicurezza informatica è un fattore imprescindibile per la gestione e la buona riuscita di un business basta consultare il Rapporto Clusit 2021 che offre una panoramica degli eventi di cyber-crime più significativi avvenuti a livello globale nel 2020.

Nell’anno della pandemia è stato registrato il record negativo degli attacchi informatici: a livello globale sono stati 1.871 gli attacchi gravi di dominio pubblico, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. In termini percentuali, nel 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% rispetto all’anno precedente, mentre negli ultimi quattro anni il trend di crescita si è mantenuto pressoché costante, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017.

Tra i settori colpiti da attacchi cyber gravi spiccano, in ordine decrescente, il “Multiple Targets” (20% del totale degli attacchi), che comprende attacchi realizzati verso molteplici obiettivi spesso indifferenziati, il settore Governativo, militare, forze dell’ordine e intelligence (14% del totale degli attacchi), la sanità, (12% del totale degli attacchi), la ricerca e istruzione (11% del totale degli attacchi) e i servizi online (10% del totale degli attacchi).  Inoltre, sono cresciuti gli attacchi verso Banking & Finance (8%), produttori di tecnologie hardware e software (5%) e infrastrutture critiche (4%).

Inoltre, gli esperi Clusit hanno rilevato anche un incremento di attacchi veicolati tramite l’abuso della supply chain, ovvero tramite la compromissione di terze parti, che consente ai criminali informatici e spie di colpire i contatti (clienti, fornitori, partner) dell’obiettivo, ampliando notevolmente il numero delle vittime e passando più facilmente inosservati.

Nel 2020 gli attacchi cyber sono stati messi a segno prevalentemente utilizzando Malware (42%), tra i quali spiccano i cosiddetti Ransomware, utilizzati in quasi un terzo degli attacchi (29%), la cui diffusione è in significativa crescita sia in termini assoluti che in termini di dimensioni dei bersagli e di ammontare dei danni. Seguono le “tecniche sconosciute” (in riferimento alle quali prevalgono i casi di Data Breach, per il 20%), Phishing & Social Engineering, che continuano ad essere la causa di una buona parte degli attacchi (15% del totale); e gli attacchi sferrati per mezzo di vulnerabilità note (+ 10%).

I rischi della Gig Economy: come proteggere le informazioni e i dati sensibili?

L’autenticazione a due fattori è una delle misure di sicurezza più efficaci per proteggere i propri account da tentativi di accesso non autorizzati, il gestore di password e le transazioni collegate agli acquisti effettuati online, tuttavia nel caso in cui un’azienda decide di rivolgersi a un lavoratore flessibile potrebbe non bastare.

Facciamo un esempio pratico per meglio comprendere quali sono i pericoli della Gig Economy: un’impresa decide di collaborare con un programmatore freelance. Se il programmatore condivide i propri codici di accesso con un collaboratore quest’ultimo potrebbe superare le difese del sistema introducendo una backdoor. Oppure, il codice potrebbe essere rubato e venduto ai concorrenti dell’azienda che si è affidata al gig worker.

Risulta, quindi, di fondamentale importanza adottare misure di prevenzione e gestione del Cyber Risk al fine di rafforzare la Cyber Security e mitigare gli impatti negativi di possibili attacchi informatici.

Ecco tre consigli per gestire il Data Risk:

  1. Eseguire un Risk Assessment approfondito per identificare e analizzare i rischi, definire azioni strategiche al fine di contenerli o attenuarli e individuare le priorità di intervento;
  2. Adottare un approccio zero-trust, verificare che i sistemi di controllo siano adeguati e se necessario implementarne di nuovi;
  3. Conoscere e monitorare le azioni che i freelance possono eseguire all’interno di sistemi contenenti dati sensibili e prevedere penali in caso di violazioni del contratto.

Cyber Defence di Namirial: le soluzioni per rafforzare la sicurezza aziendale

Cyber Assessment di Namirial è la piattaforma innovativa in grado di eseguire una valutazione delle minacce informatiche da un punto di vista esterno e senza installare alcun software.

I risultati dell’analisi aiutano a misurare l’efficacia dei controlli di sicurezza, identificare le minacce cibernetiche e individuare le lacune di presenti nelle aree tecnologiche. In questo modo le organizzazioni sono in grado di individuare i settori in cui è necessario dare priorità agli investimenti al fine di proteggere il sistema informatico e prevenire la perdita di risorse a causa di attacchi informatici.

Inoltre, Cyber Assessment permette alle organizzazioni di rispettare l’articolo 32 d) a cui devono conformarsi ai sensi del regolamento generale sulla protezione dei dati (GDPR).

La piattaforma fornisce due tipi di analisi:

  • Vulnerability Assessment (VA): il servizio di Vulnerability Assessment (VA) consiste nell’analisi dei sistemi informatici con l’obiettivo rilevare le vulnerabilità note delle infrastrutture informatiche sul perimetro esposto della rete. Il servizio consente di ridurre il rischio derivante da attacchi informatici in maniera rapida e tempestiva prima che le vulnerabilità possano essere sfruttate dagli hacker. Alla fine del test viene generato un report contenente l’elenco di tutte le vulnerabilità individuate a cui è associata la relativa classe di rischio e la remediation per correggerle;
  • Cyber Threat Assessment (CTA): il servizio di valutazione delle minacce informatiche (che il include il Vulnerability Assessment) è in grado di rilevare le minacce informatiche, gli incidenti occorsi all’interno dell’organizzazione e le vulnerabilità dei sistemi e dei servizi esposti sulla rete pubblica. Questo tipo di analisi si basa su tecniche di cyber intelligence esterna, non prevede l’installazione di alcun software presso il cliente e analizza:
    • L’esposizione della superficie di attacco;
    • Le vulnerabilità tecniche dei sistemi;
    • La violazione dei dati;
    • Le infezioni da malware;
    • La condivisione di file su protocolli peer-to-peer e molto altro.

I report prodotti dall’analisi permettono all’azienda d’individuare e/o prevenire le violazioni dei dati e mettere in atto azioni mirate a mitigare il rischio informatico, salvaguardando così il proprio business.

Nello specifico il servizio di valutazione delle minacce informatiche consente di:

  • Scoprire e porre rimedio alle minacce informatiche relative alle infezioni da malware;
  • Accertare credenziali trapelate (data breach);
  • Riconoscere violazioni di dati attraverso l’analisi del deep web;
  • Individuare trasferimenti di dati pericolosi e/o che violano diritti d’autore su reti peer-to-peer;
  • Identificare e dare priorità alla riparazione delle vulnerabilità.

Green Pass, QR code e sicurezza dei dati

Green Pass, QR code e sicurezza dei dati

La tecnologia QR code al servizio del Green Pass: cos’è il codice QR?

La Certificazione verde Covid-19 – EU digital COVID certificate, conosciuta anche come Green Pass, è una certificazione digitale e stampabile, emessa dalla piattaforma nazionale del Ministero della Salute, contenente un QR Code con una firma digitale per impedirne la falsificazione. 

Che cos’è un QR code? Un codice QR, detto anche codice 2D, è un codice a barre bidimensionale, ossia a matrice, composto da un numero variabile di moduli di colore nero disposti all’interno di uno schema bianco di forma quadrata. La funzione principale del codice QR è l’archiviazione di informazioni e dati. Un solo codice può arrivare a contenere fino a 7.089 caratteri numerici e 4.296 caratteri alfanumerici.

Il codice QR deve il suo nome all’espressione inglese Quick Response Code, letteralmente “Codice a risposta rapida”, in riferimento alla velocità attraverso cui il codice è in grado di fornire informazioni. Infatti, tutte le informazioni contenute all’interno di un codice 2D sono pensate per essere decodificate in maniera rapida mediante dispositivi mobili come smartphone e tablet.

L’emissione della Certificazione Verde Covid-19, oltre ad essere gratuita per tutti, è disponibile sia in italiano che in inglese e, per i territori dove vige il bilinguismo, anche in francese o in tedesco.

«Non hai ancora lo SPID? Attivalo ora con Namirial in modo semplice, rapido e sicuro»

Quali informazioni contiene il QR code?

La Certificazione verde Covid-19, che resterà in vigore per un anno a partire dal 1° luglio 2021, attesta una delle seguenti condizioni:

  • Aver fatto la vaccinazione anti Covid-19;
  • Essere negativi al test molecolare o antigenico rapido nelle ultime 48 ore;
  • Essere guariti dal Covid-19 negli ultimi sei mesi

Il QR Code abbinato al Green Pass contiene solo informazioni necessarie, quali:

  • Dati anagrafici;
  • Soggetto che ha rilasciato il certificato e l’identificativo univoco del certificato;
  • Tipo di vaccino e fabbricante;
  • Numero di dosi ricevute;
  • Data di vaccinazione;
  • Stato membro in cui è stata effettuata la vaccinazione.

Per chi si è sottoposto al test molecolare o antigenico viene indicato il tipo di test, la data e l’ora, il luogo e il risultato, mentre nel certificato di guarigione da Covid-19 è indicata la data del primo test positivo, lo Stato membro in cui è stata certificata la guarigione, la struttura che ha rilasciato il certificato, l’identificativo univoco del certificato e la sua validità.

Tali informazioni rimangono sul certificato e non sono memorizzate o conservate quando lo stesso viene verificato in un altro Stato membro. Ai fini della verifica, infatti, vengono controllate solo la validità e l’autenticità del certificato accertando da chi è stato rilasciato e firmato. Ciò significa che tutti i dati sanitari sono conservati nello Stato membro che ha emesso il Green Pass.

Certificazione Verde Covid-19 e privacy: come vengono tutelati i dati?

In Italia, l’autenticità e la validità della certificazione sono verificate attraverso l’App nazionale VerificaC19. I dati personali del titolare della certificazione non vengono registrati dall’App a tutela della privacy.

Come avviene la verifica? Agli operatori autorizzati al controllo è sufficiente mostrare il QR Code sia nella versione digitale, direttamente da smartphone o tablet, sia nella versione cartacea. L’App VerificaC19 legge il QR Code, ne estrae le informazioni e procede con il controllo del sigillo elettronico qualificato. Infine, l’applicazione mostra graficamente al verificatore l’effettiva validità del Green Pass nonché il nome, il cognome e la data di nascita dell’intestatario della certificazione.

In aggiunta, il verificatore può chiedere che gli venga mostrato anche un documento di identità in corso di validità ai fini della verifica di corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall’applicazione VerificaC19.

Ricapitolando, le uniche informazioni visualizzabili dall’operatore sono quelle necessarie ad assicurarsi che l’identità della persona corrisponda a quella dell’intestatario del Green Pass. Inoltre, come abbiamo già detto, la verifica non prevede la memorizzazione di alcuna informazione riguardante il cittadino sul dispositivo del verificatore.

Chi sono i “verificatori” del Green Pass?

I verificatori della Certificazione verde Covid-19, ovvero gli operatori che possono verificare l’autenticità e la validità del Green Pass, sono:

  • I pubblici ufficiali nell’esercizio delle relative funzioni;
  • Il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi iscritto nell’elenco di cui all’articolo 3, comma 8, della legge 15 luglio 2009, n. 94;
  • I soggetti titolari delle strutture ricettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati;
  • Il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è prescritto il possesso di Certificazione verde Covid-19, nonché i loro delegati;
  • I gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali in qualità di visitatori sia prescritto il possesso di Certificazione verde Covid-19, nonché i loro delegati.

Come si acquisisce la Certificazione verde Covid-19?

In Italia, il Ministero della Salute rilascia il Green Pass sulla base dei dati trasmessi dalle Regioni e Province Autonome relativi alla vaccinazione, alla negatività al test o alla guarigione dal Covid-19.

È possibile acquisire la Certificazione in diversi modi, scegliendo tra canali digitali e i canali fisici. Vediamo quali sono i passaggi:

  • Dopo la vaccinazione o un test negativo o la guarigione da Covid-19, la certificazione viene emessa automaticamente in formato digitale e stampabile dalla piattaforma nazionale;
  • Quando la certificazione sarà disponibile, l’utente riceve un messaggio via SMS o via email che contiene un codice di autenticazione (AUTHCODE) e le istruzioni per recuperare la certificazione;

A questo punto, l’utente può ottenere la Certificazione utilizzando:

  • App Immuni: inserendo il numero e la data di scadenza della propria Tessera sanitaria e il codice (AUTHCODE) ricevuto via email o SMS;
  • App IO: l’utente che ha effettuato l’accesso con la propria identità digitale (SPID/CIE) riceve una notifica sul proprio dispositivo mobile e può visualizzare il Green Pass direttamente dal messaggio;
  • Sito dedicato: utilizzando l’identità digitale (SPID/CIE) oppure inserendo il numero e la data di scadenza della propria Tessera sanitaria (o in alternativa il documento d’identità per coloro che non sono iscritti al SSN) e il codice (AUTHCODE) ricevuto via email o SMS;
  • Fascicolo sanitario elettronico.

In caso non si disponesse di strumenti digitali, è possibile recuperare il certificato sia in versione digitale che cartacea rivolgendosi al medico di medicina generale, al pediatra di libera scelta o al farmacista. Sarà sufficiente fornire all’intermediario i dati della propria tessera sanitaria per ricevere il formato cartaceo o digitale del Green Pass.

Quando è richiesto il Green Pass?

In Italia, la Certificazione verde Covid-19 è richiesta per:

  • Partecipare alle feste per cerimonie civili e religiose;
  • Accedere a residenze sanitarie assistenziali o altre strutture;
  • Spostarsi in entrata e in uscita da territori classificati in “zona rossa” o “zona arancione”

Inoltre, a partire dal 6 agosto 2021 servirà per accedere a:

  • Qualsiasi tipo di servizio di ristorazione al tavolo al chiuso;
  • Spettacoli;
  • Eventi e competizioni sportive;
  • Musei, istituti e luoghi di cultura;
  • Piscine, palestre, centri benessere e centri termali;
  • Fiere e sagre;
  • Convegni e congressi;
  • Parchi tematici e di divertimento;
  • Centri culturali e ricreativi;
  • Sale da gioco e casinò;
  • Concorsi pubblici.

La Certificazione dovrà attestare di aver fatto almeno una dose di vaccino oppure essere risultati negativi a un tampone molecolare o rapido nelle 48 ore precedenti oppure di essere guariti da COVID-19 nei sei mesi precedenti.

Il Green Pass non è richiesto ai bambini esclusi per età dalla campagna vaccinale e ai soggetti esenti sulla base di idonea certificazione medica. 

«Attiva lo SPID come e quando vuoi. Creare la tua identità digitale con Namirial ID è semplicissimo»

SPID professionale: le ultime novità per professionisti e aziende

SPID professionale: le ultime novità per professionisti e aziende

Che cos’è lo SPID professionale?

Lo SPID, acronimo di Sistema Pubblico d’Identità Digitale, è il sistema di autenticazione che permette a cittadini, liberi professionisti e imprese di accedere ai servizi online della Pubblica Amministrazione con un’identità digitale unica.

L’identità digitale SPID per uso professionale, o SPID professionale, prende il nome di elDup e si divide in:

  •  elDup ad uso professionale per persona fisica (elDup PF): è lo SPID riservato ai liberi professionisti. L’elDup PF è l’identità̀ digitale che contiene gli attributi della persona fisica a cui sono state rilasciate le credenziali di autenticazione (nome, cognome, codice fiscale, etc);
  • elDup ad uso professionale per persona giuridica (elDup PG): è lo SPID rilasciato alla persona fisica che opera per conto di una persona giuridica. L’elDup PG è l’identità̀ digitale che contiene gli attributi della persona giuridica e della persona fisica cui sono state rilasciate le credenziali di autenticazione.

Le Linee guida per il rilascio delle identità digitali per uso professionale sono state pubblicate il 6 novembre 2019 dall’AgID con determina n.318/2019. Entrate in vigore il 1° dicembre 2019, le indicazioni contenute nel regolamento individuano le modalità cui gli Identity Provider devono attenersi per il rilascio dello SPID professionale con l’obiettivo di semplificare sia il rapporto tra Pubblica Amministrazione e imprese, sia la relazione tra PA e liberi professionisti.

Le identità digitali rilasciate non identificano né lo status persona giuridica né l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato e devono essere sempre revocate al termine del rapporto di collaborazione lavorativa. 

Va inoltre ricordato che la gestione delle credenziali elDup PG, insieme alla responsabilità per eventuali azioni scorrette, sono sempre di chi detiene l’identità edDup. Ciò significa che è vietato condividere le proprie credenziali con altri dipendenti o collaboratori dell’azienda.

elDUP per persona giuridica: l’obbligo per i liberi professionisti

In base a quanto stabilito dalle Linee guida per il rilascio delle identità digitali per uso professionale, un titolare di partita IVA con diversi datori di lavoro deve obbligatoriamente avere un elDup PG per ogni azienda con cui collabora.

Inoltre, il libero professionista deve possedere anche le credenziali elDup per persona fisica che userà come propria identità digitale per effettuare operazioni legate alla sua professione o per l’accesso ai servizi della Pubblica Amministrazione in qualità di cittadino.

Portale Servizi Lavoro: le novità per accedere con lo SPID 

Il Ministero del Lavoro e delle Politiche Sociali, attraverso un comunicato sul proprio sito, ha reso noto che a partire dal 7 luglio 2021 cambiano le modalità di sicurezza per accedere al Portale Servizi Lavoro: per chi entra con il Sistema Pubblico di Identità Digitale, infatti, è previsto il passaggio al livello 2 di sicurezza al fine di rafforzare ulteriormente le tutele verso gli utenti.

Che cosa prevede il livello 2 dell’identità SPID? Il secondo livello aggiunge alle credenziali dello SPID di livello 1, ovvero nome utente e password, un “pin dinamico” generato ad ogni richiesta di accesso e inviato all’utente tramite SMS o attraverso l’App del gestore che ha rilasciato lo SPID.

Le nuove modalità di accesso al Portale Servizi Lavoro sono un’ulteriore tappa nel percorso sempre più digitale del Ministero del Lavoro e delle Politiche Sociali, all’insegna della sicurezza e dell’innovazione nei servizi.

Quali sono i vantaggi per chi attiva lo SPID professionale?

L’uso delle credenziali SPID professionale consente l’accesso ai servizi di oltre 5.300 tra amministrazioni locali e centrali, enti pubblici e agenzie.

Oltre a ciò, lo SPID è la chiave d’accesso ai servizi europei e, insieme alla tessera sanitaria e al codice fiscale, supporta il processo di verifica dell’identità degli individui contrastando il fenomeno del furto di identità.

SPID professionisti e aziende: la soluzione Namirial

Namirial, identity provider accreditato per il rilascio dell’identità digitale SPID, a offre due tipologie di SPID professionale:

  • SPID per i Professionisti: anche detto Professionale di Tipo 3, è riservato a tutti i liberi professionisti e/o Partite IVA e può essere utilizzato per gestire i rapporti della tua attività sia con i tuoi clienti, che con gli Enti pubblici o privati.Lo SPID Professionale di Tipo 3, a differenza dello SPID personale, consente alle Pubbliche Amministrazioni e ai Privati di verificare l’appartenenza professionale di una persona (ad esempio: avvocato, medico o architetto), e di conseguenza permettere l’accesso all’utente a tutti i servizi di tipo professionale.Questo servizio può essere acquistato sia da chi è già in possesso di uno SPID Personale Namirial, sia da chi non lo è (oppure ha uno SPID rilasciato da un altro Identity Provider). In tutti i casi la procedura di attivazione permette di attivare il nuovo SPID Professionale (Video Identificazione inclusa nel prezzo) o di aggiornare uno SPID Personale attivato in precedenza con Namirial.Lo SPID Professionale ha la durata di uno o due anni dall’attivazione in base al numero di anni che si sceglie di acquistare. Alla scadenza, se l’utente decide di non rinnovarlo, lo SPID Professionale tornerà ad essere uno SPID Personale di Tipo 1;
  • SPID per le Aziende: anche detto SPID Professionale di Tipo 4, consente l’accesso a servizi, prestazioni e documenti online che richiedono una qualificazione contenente sia le informazioni sul richiedente (Persona Fisica), sia sull’Azienda (Persona Giuridica).

Tutti coloro che sono già in possesso dello SPID di Tipo 1 con Namirial potranno in pochi minuti fare l’upgrade allo SPID di Tipo 3 o Tipo 4. Chi invece non lo avesse può richiederlo con poche semplici mosse attraverso una web call, la propria Carta d’Identità Elettronica e uno smartphone abilitato, una Carta Nazionale dei Servizi o Tessera Sanitaria con il relativo PIN, oppure tramite una Firma Digitale di qualsiasi provider certificato.

Il prezzo annuale per lo SPID Professionale è di 35,00 euro, mentre per due anni il prezzo è di 70,00 € + IVA, ma a coloro che attivano lo SPID professionale entro il 31/7/2021 Namirial ha deciso di regale 6 mesi aggiuntivi di servizio.

Registro Imprese Telemaco: la soluzione per consultare le banche dati

L’anagrafe delle imprese: che cos’è il Registro imprese Telemaco?

L’anagrafe delle imprese: che cos’è il Registro imprese Telemaco?

Il Registro imprese Telemaco, conosciuto più semplicemente come “Registro delle Imprese” o “Registro Imprese”, è un registro pubblico informatico previsto dal Codice Civile che ha avuto completa attuazione a partire dal 1996 con la Legge inerente al riordino delle Camere di Commercio.

La Legge ha istituito, presso ciascuna Camera di Commercio, l’Ufficio del Registro Imprese che risponde alle seguenti caratteristiche:

  • Ha competenza provinciale;
  • È gestito secondo tecniche informatiche;
  • La sua tenuta è affidata alla locale Camera di Commercio, sotto la vigilanza di un Giudice, delegato dal Presidente del Tribunale del capoluogo di Provincia;
  • È retto da un Conservatore, nominato dalla Giunta Camerale nella persona del Segretario Generale o di un dirigente camerale, che ha il potere di respingere le richieste di iscrizione considerate non conformi e di inibire le attività delle imprese che non rispettano i requisiti di legge.

Il Registro delle imprese, che unifica quelli che un tempo erano il registro delle società, tenuto dalle cancellerie commerciali dei tribunali, e il registro ditte, di competenza delle Camere di Commercio, è definito l’anagrafe delle imprese poiché contiene i dati e tutte le principali informazioni relative alle imprese con qualsiasi forma giuridica e settore di attività economica, con sede o unità locali sul territorio nazionale, nonché degli altri soggetti previsti dalla legge.

Oltre a ciò, il Registro Imprese è uno strumento di pubblicità legale degli atti in esso iscritti. La pubblicità legale dell’impresa, conferita dall’iscrizione nel Registro Imprese, si distingue in: pubblicità costitutiva (ad es. atto costitutivo di società di capitali), pubblicità dichiarativa (ad es. atto costitutivo delle società di persone) e pubblicità notizia ad es. l’iscrizione del piccolo imprenditore commerciale).

Registro delle Imprese: a cosa serve e chi deve iscriversi?

Il Registro Imprese Telemaco fornisce un quadro completo della situazione giuridica di ognuna delle 6 milioni di imprese iscritte ed è uno strumento semplice e intuitivo che può essere utilizzato da aziende, professionisti, privati e semplici cittadini per:

  • Compiere ricerche complesse;
  • Acquistare online tutti i documenti ufficiali del Registro Imprese e di altri registri camerali (ad esempio: Registro Protesti e Registri Europei);
  • Spedire pratiche telematiche di Comunicazione Unica, di deposito bilanci;
  • Effettuare ulteriori adempimenti.

Nel Registro Imprese sono iscritti i soggetti previsti dalla legge, tra cui in particolare:

  • Gli imprenditori individuali;
  • Le società commerciali;
  • I consorzi con attività esterna e le società consortili;
  • I gruppi europei di interesse economico;
  • Gli enti pubblici che hanno per oggetto esclusivo o principale un’attività commerciale;
  • Le società costituite all’estero che hanno nel territorio italiano la sede dell’amministrazione o l’oggetto principale dell’impresa (soggette alla legge italiana ai sensi della L. 218/1995);
  • Le società cooperative;
  • Le società estere con sede secondaria in Italia;
  • Le aziende speciali degli enti locali;
  • Gli imprenditori agricoli;
  • I piccoli imprenditori, tra cui rientrano anche i coltivatori diretti;
  • Le società semplici;
  • Le società tra avvocati;
  • Le organizzazioni con qualifica di impresa sociale;
  • Le società che esercitano attività di direzione e coordinamento e quelle che vi sono soggette.

In aggiunta, nel Registro delle Imprese si trovano informazioni anche sulle imprese artigiane come, ad esempio, quelle che svolgono attività di produzione di beni e servizi.

Quali sono le sezioni che compongono registro pubblico informatico?

Il Registro Imprese Telemaco è un archivio sviluppato da Infocamere e articolato in sezioni di cui una ordinaria e cinque speciali:

La sezione ordinaria comprende:

  • Società di persone e di capitali;
  • Società cooperative;
  • Consorzi con attività esterna e società consortili;
  • Società costituite all’estero con sede amministrativa o secondaria sul territorio italiano;
  • Gruppi europei di interesse economico;
  • Enti pubblici che hanno per oggetto esclusivo o principale una attività commerciale;
  • Imprenditori commerciali individuali (non piccoli);

Le sezioni speciali, invece, sono dedicate a:

  • I sezione speciale: Imprenditori agricoli individuali (persone fisiche e persone giuridiche); Piccoli imprenditori commerciali; Società semplici; Imprenditori artigiani;
  • II sezione speciale: Società tra professionisti (società tra avvocati);
  • III sezione speciale: Società o enti che esercitano attività di direzione e coordinamento e quelle che vi sono soggette;
  • IV sezione speciale: Organizzazioni private qualificabili come “imprese sociali” ai sensi del D. Lgs. 155/2006;
  • V sezione speciale: Atti di società di capitali in lingua comunitaria diversa dall’italiano.

Inoltre, all’interno del Registro Imprese confluisce anche un’altra banca dati pubblica: il Repertorio Economico Amministrativo (REA) che ha lo scopo di integrare i dati del Registro Imprese con informazioni di carattere economico, statistico e amministrativo (ad esempio: le modifiche e la cessazione dell’attività, l’insegna, la nomina di responsabili tecnici, l’attività prevalente, l’apertura, la cessazione e le modifiche delle unità locali, eccetera).

Come utilizzare il Registro Imprese Telemaco?

Grazie al servizio offerto dal Registro Imprese Telemaco è possibile effettuare ricerche per:

  • Codice Fiscale: inserendo un codice fiscale d’impresa, il registro pubblico informatico fornisce la lista di tutte le posizioni (sede e unità locali) aventi quel codice fiscale;
  • Denominazione: inserendo una o più parole, è possibile ottenere la lista di tutte le imprese nella cui denominazione compaiono tali parole;
  • Persone Fisiche: inserendo un cognome e nome, ed opzionalmente la sigla provincia e l’anno di nascita, è possibile ottenere la lista delle persone fisiche che hanno cariche e/o quote di partecipazione in imprese.

Il servizio consente di ottenere anche le seguenti informazioni:

  • Dati della Visura Ordinaria: fornendo sigla provincia e numero REA di un’impresa è possibile consultare le informazioni aggiornate sull’impresa (sede, unità locali, persone);
  • Dati della Visura Storica: fornendo sigla provincia e numero REA di un’impresa, si ottengono i dati presenti in Visura Ordinaria in aggiunta ad alcune informazioni storiche (movimentazioni e trascrizioni);
  • Scheda Persona: inserendo il codice fiscale di una persona, si ottengono informazioni relative alla persona stessa e la lista delle imprese in cui questa ricopre delle cariche;
  • Scheda Persona Completa: inserendo il codice fiscale di una persona è possibile consultare, oltre alle informazioni relative alla persona stessa, la lista delle imprese in cui questa ricopre e/o ha ricoperto delle cariche;
  • Scheda partecipazioni in altre società: inserendo il codice fiscale di un soggetto, il Registro Imprese fornisce l’elenco delle sue partecipazioni (quote e azioni di società). Il soggetto può essere una persona fisica o giuridica e le partecipazioni fanno sempre riferimento all’ultimo elenco soci depositato dalle società;
  • Scheda storica delle partecipazioni in altre società: inserendo il codice fiscale di un soggetto, si ottiene l’elenco delle sue partecipazioni (quote e azioni di società) attuali e pregresse. Anche in questo caso, il soggetto può essere una persona fisica o giuridica.

Il Registro Imprese Telemaco permette di estrarre dati e informazioni in formato XML, inoltre per ogni impresa è possibile richiedere blocchi informativi specifici come, ad esempio:

  • Scheda soci/titolari di quote/azioni;
  • Procedure Concorsuali;
  • Sede e Unità Locali;
  • Amministratori;
  • Trasferimenti d’azienda, Fusioni, Scissioni, Subentri.

Oltre alle sopracitate funzioni, è possibile attivare anche il servizio Sportello Pratiche da remoto che permette di gestire le Pratiche semplici per l’iscrizione della PEC o per l’iscrizione/cancellazione di un’impresa individuale, l’invio Protesti (solo per gli Ufficiali Levatori), la Comunicazione Unica d’Impresa, il Deposito bilanci e diversi altri assolvimenti per i registri delle Camere di Commercio.

Va inoltre ricordato che il Registro Imprese mette a disposizione due diversi tipi di documenti pensanti appositamente per il loro utilizzo all’estero allo scopo di semplificare il processo di internazionalizzazione delle imprese: Visura in inglese (Company Registration Report) e Certificato in inglese (Company Registration Certificate.

La soluzione Namirial per consultare le banche dati

Namirial S.p.A., in qualità di Distributore Ufficiale Infocamere, ha accesso alle Banche Dati Camerali sia per l’erogazione di documenti in formato ufficiale, sia per l’estrazione di dati “grezzi” da combinare con altre fonti e permette di consultare il patrimonio informativo delle Camere di Commercio, il Registro Imprese, il Registro Protesti, l’archivio dei Marchi e Brevetti.

Tramite l’accesso online è infatti possibile consultare le Banche dati ufficiali con dati attendibili e garantiti dalla legge, 6 milioni di imprese, 10 milioni di persone, 900.000 bilanci depositati l’anno, 7 milioni di protesti e oltre 1 milione di marchi. È inoltre possibile provvedere all’invio delle pratiche di Comunicazione Unica e dei Bilanci dei propri clienti o imprese grazie al software gratuito Comunica e Bilancio, verificando lo stato di avanzamento delle pratiche in qualsiasi momento.

Namirial S.p.A. è una delle principali fonti di informazioni economico-commerciali utilizzate per la realizzazione di report che sostengono le imprese e gli operatori commerciali e professionali nella valutazione dell’affidabilità di clienti e fornitori.

Scopri ora la soluzione per consultare le Banche dati: Camere di Commercio, Registro Imprese, Registro Protesti, Archivio Marchi e Brevetti.

Come creare ed attivare Namirial OTP

Come creare ed attivare Namirial OTP

Namirial OTP è un’applicazione per dispositivi mobile dedicata alla generazione della cosiddetta One Time Password, ovvero una “password usa e getta” composta da 6 caratteri alfanumerici o solamente numerici, che ha una validità limitata nel tempo e può essere utilizzata per una singola sessione di accesso o una transazione.

Il codice OTP garantisce elevati standard di sicurezza rispetto alla tradizionale password che può essere facilmente intercettata da un hacker e utilizzata per ottenere l’accesso a un servizio o sito web al fine di sferrare un attacco informatico.

Infatti, a differenza di una password statica, un codice OTP non è vulnerabile ai cosiddetti replay-attack, in italiano “attacchi con replica”, vale a dire quelle azioni compiute da singoli individui o da organizzazioni ai danni di sistemi informatici, infrastrutture, reti di calcolatori e/o dispositivi elettronici allo scopo di impossessarsi di una credenziale di autenticazione, comunicata da un host ad un altro, per utilizzarla in seguito simulando l’identità dell’utente.

Ciò significa che una password usa e getta, già utilizzata per l’accesso a un servizio o per autorizzare una transazione, anche se intercettata non può essere più utilizzata perché non sarebbe valida una seconda volta.

Inoltre, un codice OTP, non è memorizzabile e viene generato in automatico da appositi dispositivi, detti token, oppure inviato all’utente tramite SMS, email o applicazioni per smartphone come OTP Namirial.

Quando si usa la One Time Password?

L’uso del codice OTP è previsto nei seguenti casi:

  • Registrazioni e autenticazioni su portali web, siti web e servizi di home banking;
  • Accedere a qualunque sistema digitale (ad esempio: computer), ai servizi di webmail e ai propri account social;
  • Completare il processo di firma digitale;
  • Approvare transazioni o acquisti su portali online.

Il codice OTP può essere utilizzato come unico fattore di autenticazione o associato ad altri elementi (ad esempio: password dell’utente o PIN della carta di credito), in caso di autenticazione a due fattori, conosciuta anche con il nome di Two Factor Authentication (2FA).

Che cos’è l’autenticazione a due fattori? La Two Factor Authentication è un protocollo di sicurezza basato sull’utilizzo congiunto di due metodi di autenticazione e garantisce una maggiore protezione dell’identità digitale rispetto all’uso della semplice password che può essere trascritta, condivisa, dedotta, dimenticata, smarrita o sottratta.

La 2FA, che nell’ambito bancario e dei servizi finanziari prende il nome di Strong Customer Authentication (SCA), prevede l’aggiunta di un ulteriore livello di sicurezza all’account e corrisponde a uno dei seguenti elementi:

  • Una cosa che l’utente conosce (ad esempio: una password o il PIN);
  • Una cosa che l’utente ha (ad esempio: uno smartphone o un token di sicurezza per l’home banking);
  • Una cosa che l’utente è (ad esempio: l’impronta digitale, il timbro vocale, la retina o l’iride, o altri dati biometrici).

Come funziona la Two Factor Authentication? Una volta inserito il nome utente e il primo fattore di autenticazione, ovvero la password, il sistema chiede all’utente di utilizzare un ulteriore fattore per avere accesso al proprio account.

Generalmente, il secondo fattore più utilizzato è “una cosa che l’utente ha” e prevede l’inserimento di un codice OTP che l’utente riceve tramite un sms o un’applicazione sul proprio smartphone oppure mediante l’utilizzo di un token di sicurezza.

L’accesso al conto corrente è un pratico esempio che spiega il funzionamento dell’autenticazione a due fattori: infatti, richiede l’uso di un ID, di una password e di una One-Time password (OTP).

Le soluzioni Namirial per il codice OTP: dal dispositivo con display all’applicazione per smartphone

Namirial, l’azienda IT che fornisce servizi fiduciari digitali, come firme elettroniche, e-mail certificate, fatturazione elettronica e archiviazione digitale a lungo termine, propone due soluzioni per richiedere e ottenere il codice OTP:

  1. Dispositivo OTP con display: l’OTP con Display è un dispositivo sicuro, semplice e pratico per la generazione del codice OTP. Compatibile con App di Firma Remota Namirial per Smartphone e Tablet (iOS/Android) e con FirmaCerta per Win/Mac, il dispositivo non richiede porte USB ed è intuitivo e facile da utilizzare da qualsiasi postazione remota: basta premere l’apposito tasto ed il codice verrà visualizzato nello schermo LCD. Ha un costo di 20,00 € + IVA;
  2. Namirial OTP: è l’applicazione disponibile per dispositivi Android e iOS che permette di accedere in maniera sicura gli account gestiti da Namirial, ad esempio per la gestione delle transazioni digitali, SPID, firma elettronica e schema eID riconosciuto da eIDAS. L’applicazione, che genera un codice di 6 cifre sul proprio smartphone o tablet da usare come secondo step di autenticazione quando si effettua il login, è stata approvata con successo come credenziale all’interno dello schema eID italiano sotto l’articolo 9 di eIDAS. Se non si possiede un dispositivo in grado di supportare il download dell’app e possibile richiedere all’assistenza Namirial l’attivazione gratuita del servizio OTP via SMS.

Namirial OTP: come creare e attivare una One Time Password?

L’applicazione Namirial OTP ti permette di utilizzare il tuo dispositivo Android e/o iOS per generare un codice one-time password (OTP) e accedere in maniera sicura agli account gestiti da Namirial, ad esempio per la gestione delle transazioni digitali, SPID e firma elettronica (Namirial eSignAnyWhere).

L’applicazione genera un codice di 6 cifre sul tuo smartphone o tablet Android e/o iOS da usare come secondo step di autenticazione quando si effettua il login. Inoltre, Namirial OTP è stata approvata con successo come credenziale all’interno dello schema eID italiano sotto l’articolo 9 di eIDAS.

Vediamo come funziona Namirial OTP – Android (Attenzione: questa guida è basata sulla versione 4.2.0.5 o superiore):

1) Come ottenerla

L’applicazione è disponibile gratuitamente per Android (ver.5 o superiore) scaricabile da Google Play Store.

2) Creazione di un OTP

Per creare un nuovo token OTP, procedere come segue:

  • Cliccare sul tasto aggiungi in basso a destra;
  • Cliccare su Aggiungi OTP.

3) Aggiungere un OTP

Per la creazione di un OTP è necessario inserire il proprio codice fiscale e il numero di telefono ad esso associato (si tratta dello stesso numero utilizzato in fase di registrazione).

Il campo “Nome dell’OTP” è l’etichetta attribuibile al singolo token OTP per la quale può essere scelto un nome a piacimento.

L’etichetta è di aiuto nell’individuare il token da utilizzare nel caso in cui sull’applicazione vengano attivati più token simultaneamente.

Dopo aver inserito tutti i dati cliccare su “Richiedi codice SMS” (REQUEST SMS CODE).

4) Attivazione OTP

Inserire il codice numerico ricevuto via SMS e infine cliccare su “Attiva OTP” (ENABLE OTP).

Ora nella homepage dell’applicazione verrà mostrato il nuovo OTP così composto:

  • Nome OTP: Test OTP;
  • OTP: numero di 6 cifre;
  • ID: codice univoco per identificare l’OTP;
  • Timer: indica la validità del codice (30sec tempo max).

5) Sicurezza App

Per motivi di sicurezza, l’applicazione richiede di creare un PIN di 6 cifre per proteggere gli OTP. (fig. 1)

Al termine della procedura sarà richiesto se aggiungere lo sblocco dell’app con sistema biometrico (TouchID o FaceID). (fig. 2)

Attenzione: nel caso dello smarrimento del PIN sarà necessario re-installare nuovamente l’applicazione generando un nuovo codice.

Il PIN (creato nella fig.1) è necessario esclusivamente per aprire l’applicazione e verrà richiesto ogni qualvolta l’utente desidererà accedere ad essa).

6) Completamento

Completata la procedura nella homepage dell’applicazione verrà̀ mostrato il nuovo OTP.

Le informazioni presenti saranno:

  • Nome OTP: Test OTP;
  • OTP: codice numero di 6 cifre necessario per la 2FA;
  • ID: codice univoco per identificare l’OTP;
  • Timer: indica la validità del codice (30sec tempo max).

Ecco, invece, come funziona Namirial OTP – iOS (Attenzione: questa guida è basata sulla versione 4.2.2.0 o superiore):

1) Creazione di un OTP

L’applicazione è disponibile gratuitamente per iOS (ver.10 o superiore), scaricabile da App Store.

2) Aggiungere OTP

Per creare un nuovo token OTP procedere come segue:

  • Cliccare sul tasto aggiungi in basso a destra;
  • Cliccare su “Aggiungi OTP”.

3) Creazione OTP

Per la creazione di un OTP è necessario inserire Il proprio codice fiscale e il numero di cellulare ad esso associato (si tratta dello stesso numero utilizzato in fase di registrazione).

Il campo “Nome OTP” indica l’etichetta da attribuire al singolo token OTP. Può̀ essere scelto un nome a piacimento.

L’etichetta è di aiuto nell’individuare il token da utilizzare nel caso in cui sull’applicazione vengano attivati più̀ token simultaneamente.

Dopo aver inserito tutti i dati cliccare “Richiedi codice SMS”.

4) Attivazione OTP

Inserire il codice numerico ricevuto via SMS e infine cliccare su “Activate OTP”.

Ora nell’homepage dell’applicazione verrà mostrato il nuovo OTP cosi composto:

  • Nome OTP: Test OTP;
  • OTP: numero di 6 cifre;
  • ID: codice univoco per identificare l’OTP;
  • Timer: indica la validità del codice (30sec tempo max).

5) Sicurezza App

Per motivi di sicurezza, l’applicazione richiede di creare un PIN di 6 cifre per proteggere gli OTP.

Al termine della procedura sarà richiesto se aggiungere lo sblocco dell’App con sistema biometrico (TouchID o FaceID).

Attenzione: Nel caso dello smarrimento del PIN, sarà necessario re-installare nuovamente l’applicazione generando un nuovo codice.

Il PIN (creato nella fig.1) è necessario esclusivamente per aprire l’applicazione e verrà richiesto ogni qualvolta l’utente desidererà accedere ad essa.

6) Completamento

Completata la procedura, nella homepage dell’applicazione verrà mostrato il nuovo OTP.

Le informazioni presenti saranno:

  • Nome OTP: Test OTP;
  • OTP: codice numero di 6 cifre necessario per la 2FA;
  • ID: codice univoco per identificare l’OTP;
  • Timer: indica la validità del codice (30sec tempo max).

Che cos’è il Ransomware e quali i settori di pubblica utilità più colpiti

Che cos’è esattamente il Ransomware?

Che cos’è il Ransomware?

Il cambiamento generato dal processo di digital transformation e dall’uso delle nuove tecnologie accende i riflettori sul tema della Cyber Security, sottolineando l’importanza di adottare una efficace strategia di Information Security al fine di proteggere dati e informazioni sensibili da attacchi informatici come il Ransomware.

Che cos’è esattamente il Ransomware? Il Ransomware fa parte della famiglia dei Malware, abbreviazione del termine inglese malicious software, letteralmente “software malevolo”, che nell’ambito della sicurezza informatica indica un qualsiasi programma informatico utilizzato con lo scopo di per danneggiare il computer di un utente

Il Ransomware è un virus in grado di prendere il controllo del computer di un utente ed eseguire la crittografia dei dati oppure limitare l’accesso al dispositivo che infetta (pc, tablet, smartphone). In seguito, l’hacker chiede un riscatto (ransom, in inglese) alla vittima per ripristinare l’accesso al sistema o per riportare i file cifrati in chiaro.

In genere, la richiesta di pagamento, con le relative istruzioni, compare in una finestra che si apre automaticamente sullo schermo del dispositivo e il versamento del riscatto avviene usando una criptovaluta (BTC Bitcoin o altre).

Ransomware: come si diffonde?

Il Ransomware può essere installato sul dispositivo mediante forme di attacco informatico piuttosto sofisticate, come il controllo da remoto, tuttavia questo tipo di malicious software si diffonde soprattutto attraverso comunicazioni ricevute tramite email, sms o altri sistemi di messaggistica che:

  • Sembrano provenire da fonti conosciute considerate affidabili (ad esempio: gestore di servizio telefonico o Pubbliche Amministrazioni) o da persone fidate (ad esempio: colleghi di lavoro);
  • Contengono allegati apparentemente innocui da aprire oppure link o banner da cliccare per verificare informazioni o ricevere avvisi.

Il software malevolo può essere diffuso anche attraverso link o banner pubblicitari presenti su siti web o social network oppure tramite software o applicazioni (ad esempio: giochi o utilità per il pc) offerti gratuitamente con l’obiettivo di invogliare l’utente al download.

Secondo i dati contenuti nel Rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo, redatto dall’Associazione Italiana per la Sicurezza Informatica, i vettori di infezione dei Ransomware nel 2020 sono stati i seguenti:

  • Campagna Malspam per attacchi massivi:
    • aprire un allegato dove da questo si scatenava nell’immediatezza la cifratura dei file;
    • cliccare su un link che portava all’esecuzione di un file dal quale si attivava il processo di cifratura malevolo;
  • Navigazione su siti compromessi;
  • Attacchi mirati:
    • accesso via RDP (Remote Desktop Protocol);
  • Vulnerabilità della rete aziendale.

Dallo studio dell’Associazione Italiana per la Sicurezza Informatica emerge che le principali famiglie di Ransomware utilizzate nell’anno della pandemia per attacchi ai danni degli utenti italiani sono cinque:

  1. Dharma
  2. Phobos
  3. Maze
  4. Avaddon

Double extortion: che cos’è la doppia estorsione?

Il pagamento del riscatto non sempre corrisponde a un’effettiva “liberazione”: infatti, il pool di esperti che ha lavorato al Rapporto Clusit 2021 sottolinea che sempre più spesso i cyber criminali copiano i dati su server esterni prima di criptarli e minacciano di diffonderli e/o di metterli all’asta nel dark web per la vendita al miglior offerente.

Questo tipo di pratica viene chiamata in gergo double extortion, ovvero “doppia estorsione” ed è diventata molto comune nel 2020. L’obiettivo della double extortion è indurre la vittima a pagare il riscatto non solo per la decifratura, ma anche per evitare che i propri dati (ad esempio: contabilità, informazioni sui clienti, progetti e segreti industriali) possano diventare di pubblico dominio.

Va ricordato che, oltre al danno d’immagine, una violazione dei dati personali (Data Breach) che compromette la riservatezza, l’integrità o la disponibilità degli stessi, può essere sanzionata dal Garante Privacy in attuazione al Regolamento (UE) 2016/679, meglio noto come GDPR: le sanzioni pecuniarie possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Quali sono i settori più colpiti dal “malicious software”?

Dalla ricerca condotta dal team di Zscaler ThreatLabZ, che comprende esperti di sicurezza, ricercatori e ingegneri, emerge che negli ultimi due anni molti settori sono stati presi di mira da attacchi Ransomware a doppia estorsione.

Secondo i dati dello studio, pubblicato a maggio 2021, i più colpiti sono:

  1. Produzione (12,7%)
  2. Servizi (8,9%)
  3. Trasporto (8,8%)
  4. Vendita al dettaglio e all’ingrosso (8,3%)
  5. Tecnologia (8%)

Come evitare i rischi legati al Ransomware: 7 consigli del GPDP

La prudenza è la prima arma di difesa contro gli attacchi Ransomware: a dirlo è il Garante per la Protezione dei Dati Personali (GPDP) che raccomanda di non cliccare su link o banner sospetti e di non aprire né allegati di cui si ignora il contenuto né messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti (ad esempio: un operatore telefonico di cui non si è cliente).

Inoltre, anche se i messaggi provengono da soggetti conosciuti e ritenuti affidabili bisogna comunque adottare alcune precauzioni per evitare possibili rischi:

  1. Non aprire mai allegati con estensioni “.exe” perché sono a rischio e potrebbero installare applicazioni di qualche tipo nel dispositivo);
  2. Non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento);
  3. Scaricare preferibilmente applicazioni e programmi da market ufficiali;
  4. Se si utilizza un pc passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli. In questo modo, in basso nella finestra del browser, si può vedere l’anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: in caso non corrispondano, c’è ovviamente un rischio;
  5. Installare su tutti i dispositivi un antivirus con estensioni anti-malware;
  6. Mantenere costantemente aggiornati il sistema operativo, i software e le applicazioni che si utilizzano più spesso;
  7. Utilizzare dei sistemi di backup per salvare una copia dei dati.

Proteggersi dai Ransomware: le soluzioni Namirial

Misurare l’efficacia dei controlli di sicurezza, identificare le minacce cibernetiche e individuare le lacune di presenti nelle aree tecnologiche sono gli obiettivi di Cyber Assessment di Namirial, la piattaforma innovativa in grado di eseguire una valutazione delle minacce informatiche da un punto di vista esterno e senza installare alcun software.

Si tratta di uno strumento che permette di individuare i settori in cui è necessario dare priorità agli investimenti al fine di proteggere il sistema informatico e prevenire la perdita di risorse a causa di attacchi informatici. Inoltre, Cyber Assessment aiuta le organizzazioni a rispettare l’articolo 32 d) a cui devono conformarsi ai sensi del regolamento generale sulla protezione dei dati (GDPR).

La piattaforma fornisce due tipi di analisi:

  • Vulnerability Assessment (VA): il servizio di Vulnerability Assessment (VA) consiste nell’analisi dei sistemi informatici con l’obiettivo rilevare le vulnerabilità note delle infrastrutture informatiche sul perimetro esposto della rete. Il servizio consente di ridurre il rischio derivante da attacchi informatici in maniera rapida e tempestiva prima che le vulnerabilità possano essere sfruttate dagli hacker. Alla fine del test viene generato un report contenente l’elenco di tutte le vulnerabilità individuate a cui è associata la relativa classe di rischio e la remediation per correggerle;
  • Cyber Threat Assessment (CTA): il servizio di valutazione delle minacce informatiche (che il include il Vulnerability Assessment) è in grado di rilevare le minacce informatiche, gli incidenti occorsi all’interno dell’organizzazione e le vulnerabilità dei sistemi e dei servizi esposti sulla rete pubblica. Questo tipo di analisi si basa su tecniche di cyber intelligence esterna, non prevede l’installazione di alcun software presso il cliente e analizza:
    • L’esposizione della superficie di attacco;
    • Le vulnerabilità tecniche dei sistemi;
    • La violazione dei dati;
    • Le infezioni da malware;
    • La condivisione di file su protocolli peer-to-peer e molto altro.

I report prodotti dall’analisi permettono all’azienda d’individuare e/o prevenire le violazioni dei dati e mettere in atto azioni mirate a mitigare il rischio informatico, salvaguardando così il proprio business. Nello specifico il servizio di valutazione delle minacce informatiche consente di:

  • Scoprire e porre rimedio alle minacce informatiche relative alle infezioni da malware;
  • Accertare credenziali trapelate (data breach);
  • Riconoscere violazioni di dati attraverso l’analisi del deep web;
  • Individuare trasferimenti di dati pericolosi e/o che violano diritti d’autore su reti peer-to-peer;
  • Identificare e dare priorità alla riparazione delle vulnerabilità.

Gestione PEC in condominio: novità dal Garante della Privacy

Gestione PEC: tutto quello che devi sapere prima di una riunione di condominio

Che cos’è la PEC?

La digital transformation sta cambiando ogni ambito della società e il processo di trasformazione digitale, che investe sia le piccole e grandi imprese che la Pubblica Amministrazione, passa anche dalla gestione PEC in condominio che oggi rappresenta lo strumento di comunicazione più sicuro, rapido e conveniente.

Che cos’è la PEC? La PEC, acronimo di Posta Elettronica Certificata, è l’equivalente informatico della tradizionale raccomandata A/R, vale a dire la raccomandata con ricevuta di ritorno. Si tratta di un particolare tipo di posta elettronica che consente di dare ad un messaggio lo stesso valore legale di una raccomandata classica con avviso di ricevimento, garantendo così la prova e l’invio della consegna.

La disciplina delle modalità di erogazione e utilizzo del servizio di PEC è contenuta nel Decreto del presidente della Repubblica n.68/2005 e nel Decreto Ministeriale del 2 novembre 2005.

Per usufruire di tale servizio è necessario acquistare una casella di posta elettronica certificata presso uno dei gestori riconosciuti dall’Agenzia per l’Italia digitale (AGID), ovvero l’organo pubblico responsabile della vigilanza dei servizi digitali come la PEC, la firma digitale e la marca temporale. Il costo del servizio PEC cambia in base al gestore e in genere si parte da 5 euro + iva all’anno (pari a circa due raccomandate cartacee).

Una volta scelto il fornitore, la procedura per creare una casella di Posta Elettronica Certificata è davvero semplice: basta indicare i propri dati anagrafici, caricare un documento di identità e specificare se la casella di PEC è richiesta da un’impresa, una persona giuridica o un privato cittadino. Infine, si procede al pagamento del primo anno di servizio e il gestore, dopo aver verificato la correttezza delle informazioni ricevute dal cliente, attiva la casella di posta.

Come funziona la Posta Elettronica Certificata?

Come abbiamo già detto, la Posta Elettronica Certificata è un sistema di trasmissione sicuro che consente di inviare documenti e messaggi di posta elettronica con valore legale. Infatti, la PEC certifica data e ora sia della spedizione che della consegna e garantisce l’identità di mittente e destinatario poiché tutti gli indirizzi PEC sono verificati. Inoltre, le informazioni riguardanti la trasmissione e la consegna del messaggio vengono conservate dal gestore per 30 mesi.

Vediamo come funziona il processo di trasmissione di un messaggio PEC:

  1. Il mittente produce il messaggio PEC e aggiunge gli eventuali allegati;
  2. Il gestore della casella PEC di cui il mittente è intestatario verifica la correttezza del messaggio e invia al mittente una ricevuta di accettazione che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale documentazione allegata. La ricevuta garantisce l’integrità del messaggio e dei suoi allegati;
  3. Il gestore PEC del mittente invia la busta di trasporto al gestore PEC del destinatario che verifica l’attendibilità della comunicazione PEC, consegna il messaggio nella casella destinataria ed invia al mittente la ricevuta di consegna. In caso di problemi, il sistema PEC può rilasciare tre diversi tipi di avvisi: di non accettazione (ad esempio: se il destinatario è inesistente), di mancata consegna (la ricevuta viene inviata al mittente entro 24 ore), di rilevazione di virus informatico;
  4. Il mittente riceve la notifica di avvenuta consegna che attesta la disponibilità del messaggio presso il destinatario.

Il contenuto di una mail PEC è sempre protetto e né il messaggio né gli allegati possono essere modificati durante la trasmissione tra mittente e destinatario. Oltre a ciò, su tutti i messaggi vige un vincolo di segretezza come quello riconosciuto dalla Costituzione per la corrispondenza normale.

Va inoltre ricordato che il valore legale è effettivo solo se la mail PEC viene inviata a un’altra mail PEC. Se il destinatario è in possesso solo di posta elettronica di tipo ordinario, la mail non ha valore probatorio.

La PEC è obbligatoria per gli amministratori di condominio?

L’obbligo di casella PEC riguarda imprese, società, ditte individuali e liberi professionisti iscritti ad un Albo professionale (art. 16, D.L. n. 185/2008, art. 5, D.L. n. 179/2012 e art 37 D.L. 76/2020).

Quindi, svolgere l’attività di amministrazione condominiale obbliga il professionista a dotarsi di una casella di Posta Elettronica Certificata?

L’amministratore di condominio, che svolge la professione in forma individuale e professionale ai sensi della legge n.4/2013, non avendo obbligo di iscrizione al registro delle imprese e non rientrando nella categoria dei professionisti con obbligo di iscrizione ad albi e collegi non è tenuto a possedere una casella PEC ma ne ha facoltà.

Se, invece, l’amministratore di condominio esercita la propria attività in forma d’impresa o è un professionista iscritto in appositi albi ha l’obbligo di attivare una casella di Posta Elettronica Certificata.

Gestione PEC in condominio: il provvedimento del Garante della Privacy

Riguardo la gestione PEC in condominio, il recente provvedimento del Garante DREP/SK162838-1 risponde al reclamo di una condomina effettuato in data 25 marzo 2021 ai sensi dell’articolo dell’art. 77 del Regolamento UE 16/679, noto come GDPR (General Data Protection Regulation).

Nel reclamo, la donna contesta una violazione della disciplina in materia di protezione dei dati personali poiché l’amministratore di condominio, nelle comunicazioni inviate a diversi destinatari, lasciava visibile l’indirizzo email della reclamante.

Il Garante ha ricordato che l’indirizzo di posta elettronica di una persona fisica, anche se non contiene il nome per intero del titolare, è un dato personale in base a quanto sancito dall’articolo 4 del GDPR che tra i dati personali annovera anche gli identificativi online.

Inoltre, il provvedimento chiarisce che anche se il contenuto della mail riguarda la gestione e l’amministrazione del condominio, e in quanto tale è oggetto di condivisione poiché interessa la totalità dei condomini, come già evidenziato nella pronuncia del 19 maggio 2000 e nel Vademecum dedicato al “Condominio e alla privacy” del 10 ottobre 2013 “gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro familiari, non possono essere annoverati tra quelli oggetto di necessaria e obbligatoria comunicazione all’interno del condominio, in quanto gli stessi non rappresentano elementi utili a determinare i diritti e gli oneri della cosa comune, né è rinvenibile alcun obbligo di legge in tal senso”, fermo restando che l’amministratore può trattare e “comunicare i numeri di telefono ai condòmini richiedenti con il consenso degli interessati (…) salve le eventuali disposizioni del regolamento di condominio”. Ciò significa che la trasmissione di una email a più destinatari, i cui dati personali (nella specie gli indirizzi email) sono visibili in chiaro, non rispetta la normativa.

Il Garante ha quindi raccomandato l’adozione di misure volte a rafforzare il livello di tutela della privacy dei condomini, come l’uso della cosiddetta funzione “copia conoscenza nascosta”, utile in caso di invii a molteplici destinatari della medesima comunicazione, o della PEC al fine di assicurare l’osservanza della disciplina e non incorrere nelle sanzioni previste dalla normativa.

Semplifica l’uso della PEC e scegli PECMailer, il sistema evoluto di PEC Namirial per la gestione PEC, ideale per le aziende e la Pubblica Amministrazione

Cos’è e come funziona la Cyber Security

Cos'è e come funziona la Cyber Security

Che cos’è la Cyber Security?

Viviamo in un mondo digitale dominato da dispositivi informatici e connessioni ad Internet, dove ogni giorno vengono condivisi dati e informazioni sensibili che ci espongono al Cyber Risk e mostrano quanto sia necessaria una maggiore attenzione al tema della Cyber Security.

Che cos’è la Cyber Security? Il termine Cyber Security, tradotto in italiano con “cyber sicurezza”, è spesso utilizzato come sinonimo di Information Security ma in realtà si tratta di una sottoclasse della Sicurezza Informatica, ovvero l’insieme dei mezzi, delle tecnologie e delle procedure utili a proteggere i sistemi informatici in termini di disponibilità, riservatezza e integrità dei dati e degli asset informatici.

La Cyber Security si concentra sugli aspetti legati alla sicurezza delle informazioni, rese accessibili da sistemi informatici, e pone l’accento sulle qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare gli attacchi informatici che possono colpire singoli individui, imprese private, enti pubblici e organizzazioni governative.

Le azioni dei cyber criminali rappresentano una minaccia per qualsiasi settore e a dimostrarlo sono i dati del Rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo, redatto dall’Associazione Italiana per la Sicurezza Informatica: solo nel 2020 sono stati registrati 1.871 gli attacchi gravi di dominio pubblico, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica.

Dallo studio emerge che nell’anno della pandemia da Covid-19, l’incremento degli attacchi cyber a livello globale ha fatto registrare un +12% rispetto al 2019 e un aumento degli attacchi gravi del 66% rispetto al 2017.

Tra i settori maggiormente colpiti ci sono il “Multiple Targets” (20% del totale degli attacchi), che comprende attacchi realizzati verso molteplici obiettivi spesso indifferenziati, il settore Governativo, militare, forze dell’ordine e intelligence (14% del totale degli attacchi), la sanità, (12% del totale degli attacchi), la ricerca e istruzione (11% del totale degli attacchi) e i servizi online (10% del totale degli attacchi).  Inoltre, sono cresciuti gli attacchi verso Banking & Finance (8%), produttori di tecnologie hardware e software (5%) e infrastrutture critiche (4%).

Inoltre, il report evidenzia un incremento di attacchi veicolati tramite l’abuso della supply chain, ovvero tramite la compromissione di terze parti, che consente ai criminali informatici di colpire i clienti, fornitori e partner di un’azienda.

A questi dati vanno aggiunti quelli dell’Osservatorio Cybersecurity di Exprivia che, solo nel primo trimestre del 2021, ha registrato 349 eventi tra attacchi, incidenti e violazioni della privacy: il 70% dei casi tra gennaio e marzo riguarda il furto dei dati, seguito dalla sottrazione di denaro, in aumento del 40%, e dalle violazioni del dei dati personali.

Cyber Security: le principali tipologie di attacco informatico

Oggi, molte delle nostre attività quotidiane, dalla comunicazione al lavoro passando per i pagamenti di beni e servizi, si svolgono online ed è quindi importante adottare una efficace strategia di Cyber Security per contrastare il fenomeno del Cyber Risk e garantire un elevato livello di protezione dei dati.

La Cyber Security deve essere una priorità per qualunque tipo di impresa perché online i rischi sono ovunque: basta aprire una semplice email e scaricare un file, apparentemente innocuo, per cadere nella trappola di un hacker e diventare vittime di un attacco informatico.

La lista dei delle potenziali minacce è ampia, tuttavia i cyber attacchi si basano principalmente sull’uso dei seguenti strumenti:

  • Malware: è l’abbreviazione inglese di Malicious Software (Software Malevolo) e indica qualsiasi programma informatico usato per danneggiare il computer di un utente e rubare informazioni. Malware è un termine generico che fa riferimento a varie tipologie di software inclusi Virus Informatici, Worm, Trojan, Ransomware, Spyware, Adware, Scareware. Il malware si diffonde principalmente tramite email o download apparentemente sicuri;
  • SQL injecton: l’immissione del codice SQL (Structured Language Query) è l’inserimento di un codice malevolo in siti web e applicazioni basate sul web che permette all’hacker di assumere il controllo di un database e alterare, eliminare o rubare i dati;
  • Phishing: è un tipo di truffa che permette ai cyber criminale di ottenere informazioni sui dati sensibili degli utenti mediante l’invio di messaggi che imitano nell’aspetto e nel contenuto quelli legittimi di fornitori di servizi. Tali messaggi chiedono all’utente di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere a un determinato servizio;
  • Man in the middle: spesso abbreviato in MITM, MIM, MIM attack o MITMA, indica un attacco informatico in cui un cyber criminale intercetta e altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro. Rientrano in questa categoria l’eavesdropping e lo spoofing;
  • Denial of Service: i DoS sono attacchi informatici che hanno l’obiettivo di limitare o eliminare completamente il traffico web verso un determinato sito web o servizio online, inondando il server di richieste fino a renderlo inutilizzabile.

L’International Data Corporation prevede che, entro il 2022, il continuo aumento delle minacce informatiche porterà la spesa mondiale in soluzioni di Cyber Security a superare il tetto dei 133,7 miliardi di dollari.

Inoltre, anche il National Cyber Security Centre, nella guida 10 Steps to Cyber Security, sottolinea l’importanza di adottare misure di sicurezza in grado sia di ridurre le probabilità di attacchi informatici, sia di minimizzarne l’impatto quando si verificano. Per farlo, suddivide il compito di proteggere le organizzazioni in 10 parti:

  1. Engagement and training (Gestione del rischio): adottare un approccio basato sul rischio per proteggere dati e sistemi;
  2. Engagement and training (Coinvolgimento e formazione): costruire, in modo collaborativo, una sicurezza che funzioni per le persone che lavorano all’interno dell’organizzazione;
  3. Asset management (Gestione delle risorse): conoscere i dati e i sistemi dell’organizzazione e sapere quali esigenze aziendali supportano;
  4. Architecture and configuration (Architettura e configurazione): progettare, costruire, mantenere e gestire i sistemi in modo sicuro;
  5. Vulnerability management (Gestione delle vulnerabilità): mantenere isistemi protetti per tutto il loro ciclo di vita;
  6. Identity and access management (Gestione delle identità e degli accessi): controllare chi e cosa può accedere ai sistemi e ai dati;
  7. Data security (Sicurezza dei dati): proteggere i dati dove sono vulnerabili;
  8. Logging and monitoring (Registrazione e monitoraggio): progettare i sistemi in modo che siano in grado di rilevare e indagare gli incidenti;
  9. Incident management (Gestione degli incidenti): pianificare in anticipo la risposta agli incidenti informatici.
  10. Supply chain security (Sicurezza della catena di fornitura): collaborare con i propri fornitori e partner.

5 consigli di Cyber Security: come proteggersi dalle minacce informatiche?

In Europa la protezione dei dati personali nell’ambito della Cyber Security è disciplinata dal Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR (General Data Protection Regulation), approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio il 27 aprile 2016.  Pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016, ed entrato in vigore il 24 maggio dello stesso anno, è operativo dal 25 maggio 2018.

Investire in sicurezza per difendere informazioni e dati sensibili da accessi non autorizzati è fondamentale se non si vuole correre il rischio di fronteggiare situazioni particolarmente dispendiose sia in termini tecnici che economici.

Ecco cinque consigli per proteggersi dai cyber attacchi:

  1. Aggiornare il software, il sistema operativo e fare il backup;
  2. Installare l’antivirus;
  3. Utilizzare l’autenticazione a due fattori;
  4. Non aprire allegati email provenienti da mittenti sconosciuti e non cliccare su link contenuti all’interno del messaggio;
  5. Evitare di utilizzare reti Wi-Fi non protette negli spazi pubblici.

Come difendersi dai cyber attacchi: le soluzioni Namirial

Come abbiamo già detto, per le aziende è importante mettere in sicurezza il proprio patrimonio informativo e avvalersi di strumenti di Cyber Security capaci di difendere le imprese da attacchi indesiderati.

Misurare l’efficacia dei controlli di sicurezza, identificare le minacce cibernetiche e individuare le lacune di presenti nelle aree tecnologiche sono gli obiettivi di Cyber Assessment di Namirial, la piattaforma innovativa in grado di eseguire una valutazione delle minacce informatiche da un punto di vista esterno e senza installare alcun software.

Si tratta di uno strumento che permette di individuare i settori in cui è necessario dare priorità agli investimenti al fine di proteggere il sistema informatico e prevenire la perdita di risorse a causa di attacchi informatici.

Inoltre, Cyber Assessment aiuta le organizzazioni a rispettare l’articolo 32 d) a cui devono conformarsi ai sensi del regolamento generale sulla protezione dei dati (GDPR).

La piattaforma fornisce due tipi di analisi:

  • Vulnerability Assessment (VA): il servizio di Vulnerability Assessment (VA) consiste nell’analisi dei sistemi informatici con l’obiettivo rilevare le vulnerabilità note delle infrastrutture informatiche sul perimetro esposto della rete. Il servizio consente di ridurre il rischio derivante da attacchi informatici in maniera rapida e tempestiva prima che le vulnerabilità possano essere sfruttate dagli hacker. Alla fine del test viene generato un report contenente l’elenco di tutte le vulnerabilità individuate a cui è associata la relativa classe di rischio e la remediation per correggerle;
  • Cyber Threat Assessment (CTA): il servizio di valutazione delle minacce informatiche (che il include il Vulnerability Assessment) è in grado di rilevare le minacce informatiche, gli incidenti occorsi all’interno dell’organizzazione e le vulnerabilità dei sistemi e dei servizi esposti sulla rete pubblica. Questo tipo di analisi si basa su tecniche di cyber intelligence esterna, non prevede l’installazione di alcun software presso il cliente e analizza:
    • L’esposizione della superficie di attacco;
    • Le vulnerabilità tecniche dei sistemi;
    • La violazione dei dati;
    • Le infezioni da malware;
    • La condivisione di file su protocolli peer-to-peer e molto altro.

    I report prodotti dall’analisi permettono all’azienda d’individuare e/o prevenire le violazioni dei dati e mettere in atto azioni mirate a mitigare il rischio informatico, salvaguardando così il proprio business.
    Nello specifico il servizio di valutazione delle minacce informatiche consente di:

    • Scoprire e porre rimedio alle minacce informatiche relative alle infezioni da malware;
    • Accertare credenziali trapelate (data breach);
    • Riconoscere violazioni di dati attraverso l’analisi del deep web;
    • Individuare trasferimenti di dati pericolosi e/o che violano diritti d’autore su reti peer-to-peer;
    • Identificare e dare priorità alla riparazione delle vulnerabilità.

Dark web e Deep web: cosa sono, differenze e rischi potenziali

Dark web e Deep web: cosa sono, differenze e rischi potenziali

Deep web e Dark web: cosa nasconde il lato oscuro di Internet?

Deep web e Dark web sono termini utilizzati spesso in modo interscambiabile ma in realtà non si tratta di sinonimi poiché fanno riferimento a due diversi territori che formano il vasto mondo digitale.

Infatti, Deep web indica l’insieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca, mentre il Dark web è l’insieme dei contenuti accessibili pubblicamente ma ospitati all’interno di siti web il cui indirizzo IP è nascosto.

Tra le pieghe che formano i due strati profondi di Internet si nascondono i pericoli collegati al Cyber Risk che, secondo la definizione fornita dall’Institute of Risk Management, è un qualsiasi rischio di perdita finanziaria, interruzione o danno alla reputazione derivante da eventi accidentali (ad esempio: spegnimento del server) o dolosi (ad esempio: furto dei danni sensibili) ai danni del sistema informatico.

Il Rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo, redatto dall’Associazione Italiana per la Sicurezza Informatica, offre un panoramica completa degli eventi di cyber-crime che si sono verificati, a livello globale, nel 2020 e li confronta con i dati raccolti nei quattro anni precedenti. Dallo studio emerge che gli attacchi informatici rappresentano una minaccia per qualsiasi settore: basti pensare che nell’anno della pandemia sono stati rilevati 1.871 gli attacchi gravi di dominio pubblico, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica.

Nel 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% rispetto all’anno precedente, inoltre negli ultimi quattro anni il trend di crescita si è mantenuto costante, facendo registrare un aumento degli attacchi gravi del 66% rispetto al 2017.

In particolare, sul fronte degli attacchi Ransomware, un tipo di malware in grado di limitare l’accesso del dispositivo che infetta, è emerso che già nel 2019 i cyber criminali utilizzavano il Dark web per sfruttare la cosiddetta tecnica della double extortion (doppia estorsione).

Per capire cosa si nasconde dietro il lato oscuro di Internet e quali sono i potenziali pericoli è necessario approfondire le caratteristiche e le differenze del Deep web e del Dark web.

Deep web: che cos’è il web sommerso?

Il Deep web, nell’accezione italiana “web profondo” o “web sommerso” è l’insieme delle risorse presenti sul web che non sono indicizzate dai normali motori di ricerca. Ciò significa che l’attività degli utenti che operano all’interno del web sommerso è protetta dall’anonimato e non può essere analizzata.

In genere, per meglio comprendere la quantità di dati presente nel Deep web si utilizza la metafora dell’icerberg: la parte visibile della grande massa di ghiaccio corrisponde al cosiddetto surface web (web accessibile), vale a dire l’insieme delle risorse indicizzate dai motori di ricerca, mentre la parte sommersa rappresenta il web profondo.

Secondo una ricerca sulle dimensioni della rete, effettuata nel 2000 da Bright Planet, un’organizzazione degli Stati Uniti d’America, il web è formato da oltre 18 milioni di GB e 550 miliardi di documenti, ma Google ne indicizza solo 2 miliardi che corrispondono a meno dell’uno per cento.

Tuttavia, Domenico Laforenza, ex direttore dell’Istituto di Informatica e Telematica del Consiglio Nazionale delle Ricerche (CNR) di Pisa, sottolinea che si tratta di dati piuttosto approssimativi perché non esistono metriche e tecnologie in grado di misurare con precisione l’ampiezza del Deep web.

I documenti presenti all’interno del web profondo possono essere suddivisi nelle seguenti categorie:

  • Contenuti dinamici: si tratta di pagine web il cui contenuto viene generato sul momento dal server;
  • Pagine non collegate a nessun’altra pagina web;
  • Pagine ad accesso ristretto: sono siti che richiedono una registrazione o che limitano l’accesso alle loro pagine impedendo che i motori di ricerca possano accedervi;
  • Script: pagine che possono essere raggiunte solo attraverso link realizzati in JavaScript o in Flash;
  • Contenuti non di testo: rientrano in questa categoria i file multimediali, gli archivi Usenet e i documenti scritti in linguaggio non HTML, in particolare quelli non collegati a tag testuali;
  • Contenuti banditi dai comuni motori di ricerca perché illegali: fanno parte di questo gruppo i siti pedo-pornografici o snuff, commercio e produzione illegale di droghe e armi, siti sottoposti a censure governative, siti di warez e malware;
  • Software: come ad esempio Tor, che consente agli utenti di accedere anonimamente a siti che utilizzano il suffisso .onion, e I2P, un software libero e open source usato per la realizzazione di una rete anonima che consente lo scambio di dati coperti da diversi livelli di crittografia.

Dark web: cosa si nasconde nella rete oscura?

Dark web, in italiano “web oscuro” o “rete oscura”, è l’espressione utilizzata per definire i contenuti del World Wide Web presenti nelle darknet, ovvero le reti virtuali private a cui è possibile accedere solo tramite specifici software o particolari configurazioni di rete.

Le cosiddette reti oscure possono essere utilizzate per diverse ragioni:

  • Diffondere notizie di carattere riservato;
  • Vendere prodotti illegali;
  • Compiere crimini informatici (ad esempio: hacking o frodi)
  • Condividere file illegali (piratati, illegali, contraffatti, eccetera);
  • Aggirare la censura di internet e dei sistemi di filtraggio dei contenuti o superare i firewall.

Il cuore del Dark web è il Black Market, un vero e proprio mercato illegale in cui è possibile acquistare qualsiasi tipo di prodotto: dalle sostanze stupefacenti ai medicinali, dai documenti d’identità falsi alle armi, passando per le carte di credito clonate, i malware e i dati trafugati alle aziende, come email riservate e ricerche di mercato.

Tra le principali minacce del Dark web ci sono gli strumenti utilizzati dai cybercriminali per realizzare attacchi informatici:

  • Keylogger
  • Botnet
  • Ransomware
  • Phishing

La linea sottile che divide il Deep web dal Dark web

Ricapitolando, quando si parla di Deep web si fa riferimento solo a pagine non indicizzate, mentre il Dark Web è costituito dalle pagine che, oltre a non essere indicizzate, sono coinvolte in attività illegali come la compravendita di beni o servizi illeciti, i crimini informatici e le fughe di notizie. Il web oscuro è quindi un sottoinsieme del Deep web ed è rappresentato dalla punta inferiore della parte sommersa dell’iceberg.

Va inoltre ricordato che il web sommerso può essere costituito da pagine non reperibili dai motori di ricerca semplicemente perché ritenute poco rilevanti per essere indicizzate, ma a cui è possibile accedere conoscendone l’indirizzo o attraverso i link presenti in altri siti del web profondo.

Al contrario, le pagine create nel Dark web sono intenzionalmente mantenute segrete, garantiscono il totale anonimato e sfuggono a qualsiasi controllo. In aggiunta, un’altra caratteristica della rete oscura sono i pagamenti basati sulle criptovalute, dette anche criptomonete, in particolare Bitcoin, che gli hacker chiedono in cambio della restituzione di dati sottratti per mezzo di attacchi Ransomware.

Come difendersi dalle minacce informatiche: le soluzioni Namirial

Misurare l’efficacia dei controlli di sicurezza, identificare le minacce cibernetiche e individuare le lacune di presenti nelle aree tecnologiche sono gli obiettivi di Cyber Assessment di Namirial, la piattaforma innovativa in grado di eseguire una valutazione delle minacce informatiche da un punto di vista esterno e senza installare alcun software.

Si tratta di uno strumento che permette di individuare i settori in cui è necessario dare priorità agli investimenti al fine di proteggere il sistema informatico e prevenire la perdita di risorse a causa di attacchi informatici. Inoltre, Cyber Assessment aiuta le organizzazioni a rispettare l’articolo 32 d) a cui devono conformarsi ai sensi del regolamento generale sulla protezione dei dati (GDPR).

La piattaforma fornisce due tipi di analisi:

  • Vulnerability Assessment (VA): il servizio di Vulnerability Assessment (VA) consiste nell’analisi dei sistemi informatici con l’obiettivo rilevare le vulnerabilità note delle infrastrutture informatiche sul perimetro esposto della rete. Il servizio consente di ridurre il rischio derivante da attacchi informatici in maniera rapida e tempestiva prima che le vulnerabilità possano essere sfruttate dagli hacker. Alla fine del test viene generato un report contenente l’elenco di tutte le vulnerabilità individuate a cui è associata la relativa classe di rischio e la remediation per correggerle;
  • Cyber Threat Assessment (CTA): il servizio di valutazione delle minacce informatiche (che il include il Vulnerability Assessment) è in grado di rilevare le minacce informatiche, gli incidenti occorsi all’interno dell’organizzazione e le vulnerabilità dei sistemi e dei servizi esposti sulla rete pubblica. Questo tipo di analisi si basa su tecniche di cyber intelligence esterna, non prevede l’installazione di alcun software presso il cliente e analizza:
    • L’esposizione della superficie di attacco;
    • Le vulnerabilità tecniche dei sistemi;
    • La violazione dei dati;
    • Le infezioni da malware;
    • La condivisione di file su protocolli peer-to-peer e molto altro.

I report prodotti dall’analisi permettono all’azienda d’individuare e/o prevenire le violazioni dei dati e mettere in atto azioni mirate a mitigare il rischio informatico, salvaguardando così il proprio business. Nello specifico il servizio di valutazione delle minacce informatiche consente di:

  • Scoprire e porre rimedio alle minacce informatiche relative alle infezioni da malware;
  • Accertare credenziali trapelate (data breach);
  • Riconoscere violazioni di dati attraverso l’analisi del deep web;
  • Individuare trasferimenti di dati pericolosi e/o che violano diritti d’autore su reti peer-to-peer;
  • Identificare e dare priorità alla riparazione delle vulnerabilità.
1...353637...40Pagina 36 di 40

Scelti dalla Redazione

Segui Namirial sui social

Trustpilot

Policy e Condizioni

© Namirial S.p.A. - C.F. e iscriz. al Reg. Impr. Ancona N. 02046570426 - REA N. AN157295 - Codice destinatario T04ZHR3 - Capitale sociale Euro 8.251.298,70 i.v.