Il Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679), che entra in vigore il 25 maggio 2018, armonizzerà la protezione dei dati personali. Il suo obiettivo principale è restituire il controllo dei dati personali ai cittadini e residenti dell’UE, imponendo al contempo sanzioni significative per la non conformità (fino a 20 milioni di euro o il 4% del fatturato mondiale annuo totale).
Il RPD secondo il GDPR
Posizionamento organizzativo del RPD Conclusione
Il RPD secondo il GDPR
Introduzione Il GDPR aumenta significativamente i requisiti di protezione dei dati esistenti, ampliando l’ambito territoriale, i diritti degli individui e le specifiche obbligazioni per le istituzioni finanziarie.
Uno dei punti focali del nuovo regolamento riguarda la nomina del Responsabile della Protezione dei Dati (RPD). Il GDPR specifica chiaramente i casi in cui la designazione di un RPD è obbligatoria e quali sono le sue responsabilità tipiche, ma offre solo indicazioni vaghe su come posizionare adeguatamente questa figura nell’organizzazione.
Ruolo del RPD
Il ruolo del RPD è descritto principalmente nell’Articolo 39 del GDPR. Egli deve monitorare la conformità, informare e consigliare i titolari del trattamento, i responsabili del trattamento e tutti i dipendenti che trattano dati personali, cooperare con le autorità di controllo e fungere da punto di contatto unico per gli interessati sui loro diritti.
In sintesi, il RPD è responsabile di garantire che tutti i requisiti dell’istituzione siano rispettati. Una panoramica delle principali responsabilità è mostrata nella figura seguente.
Figura 1: Principali responsabilità del RPD
Per adempiere correttamente a tali responsabilità, il RPD deve essere integrato in un dipartimento dedicato o avere ruoli di supporto idonei all’interno dell’organizzazione. Il GDPR fornisce alcune linee guida su come questa struttura deve essere organizzata nell’Articolo 38.
Figura 2: Punti di riferimento del GDPR sul posizionamento del RPD
Interpretando l’Articolo 38, emerge che il RPD necessita del supporto del top management e possibilmente di una linea di riporto diretta per evitare conflitti. Ad esempio, potrebbe sorgere un conflitto tra la strategia digitale di un’azienda e il mandato GDPR del RPD. Il ruolo del RPD nell’assicurare il rispetto dei diritti sulla privacy potrebbe avere un impatto significativo sui costi e sui tempi di implementazione IT, sui lanci di prodotti, sulle iniziative di marketing, ecc. La legge sottolinea anche l’indipendenza del RPD, in particolare la libertà di svolgere le proprie responsabilità senza timore di sanzioni.
Posizionamento organizzativo del RPD
Essendo “…coinvolto, in modo adeguato e tempestivo, in tutte le questioni relative alla protezione dei dati personali” (Art. 38, 1), il RPD deve essere significativamente integrato nei temi di gestione dei dati, nella sicurezza informatica e influenzare l’IT per tutti i sistemi di trattamento dei dati personali.
Collaborazione interna
Tutte le istituzioni devono affrontare la questione di dove posizionare questo nuovo ruolo tenendo conto delle relazioni interne e della cooperazione, nonché delle linee guida del regolamento.
Il nostro punto di vista è che il titolare del trattamento e il RPD, come autorità di monitoraggio, devono essere supportati da quasi tutta l’organizzazione per garantire la conformità al GDPR.
fig. 3
Esempi pratici
Molte istituzioni hanno già avviato progetti di implementazione. È cruciale discutere la collocazione del ruolo del RPD a livello dirigenziale, definendo precocemente il modello di collaborazione per evitare mancanza di guida e supporto.
Figura 4: Opzioni osservate
Conclusione
Raccomandiamo di posizionare il RPD nell’area del CRO (Chief Risk Officer) con un dipartimento dedicato e una linea di riporto diretta al consiglio di amministrazione. Una stretta relazione con la sicurezza informatica è vantaggiosa.
Figura 5: Raccomandazione
Tale approccio consente di affrontare in modo mirato le aree a rischio elevato e di raggiungere la conformità nel breve termine.
Una volta stabilita l’organizzazione del RPD e assicurati che i processi e i sistemi siano sotto controllo, potrebbe essere appropriato adottare un approccio meno basato sul rischio e considerare il posizionamento del ruolo del RPD all’interno di un’altra area del portafoglio dirigenziale. Questo spostamento permetterebbe un maggiore allineamento con le esigenze operative a lungo termine, bilanciando la protezione dei dati personali con gli obiettivi strategici dell’organizzazione.
Importanza della collaborazione tra RPD e InfoSec
Uno degli aspetti fondamentali della conformità al GDPR è la stretta collaborazione tra il Responsabile della Protezione dei Dati (RPD) e il team di sicurezza informatica (InfoSec). Sebbene le loro responsabilità siano differenti, i due ambiti condividono sovrapposizioni significative in termini di sistemi, dati e funzioni. Il RPD si concentra sulla protezione dei dati personali, salvaguardando i diritti degli individui, mentre InfoSec si occupa della protezione dell’organizzazione stessa, prevenendo interruzioni critiche nei processi IT.
Per garantire questa collaborazione, raccomandiamo di stabilire meccanismi regolari di scambio e allineamento, come riunioni periodiche e canali di comunicazione strutturati. In tal modo, entrambe le funzioni possono lavorare sinergicamente per ridurre i rischi e migliorare l’efficienza operativa.
Adattamenti strategici per la conformità al GDPR
Il percorso verso la conformità al GDPR richiede un cambiamento culturale significativo all’interno delle organizzazioni. È necessario sviluppare una sensibilità diffusa verso la protezione dei dati e integrare i principi del GDPR nei processi quotidiani. Di seguito, alcune raccomandazioni chiave:
Formazione e consapevolezza: organizzare sessioni di formazione per tutti i dipendenti, con particolare attenzione ai responsabili dei dati e ai team operativi.
Revisione dei processi: analizzare e aggiornare le politiche aziendali per assicurare la conformità, come le procedure per la gestione delle richieste degli interessati (ad esempio, il diritto all’oblio).
Audit regolari: implementare verifiche periodiche per monitorare la conformità e identificare eventuali aree di miglioramento.
Tecnologie avanzate: investire in strumenti di gestione dei dati, che automatizzino la sicurezza e facilitino il rispetto delle normative.
Prossimi passi
Con l’entrata in vigore del GDPR, le organizzazioni devono adottare un approccio proattivo per gestire i rischi legati alla protezione dei dati personali. Definire chiaramente il ruolo e il posizionamento del RPD è solo l’inizio. La capacità di adattarsi alle sfide future dipenderà dalla volontà dell’organizzazione di considerare la protezione dei dati come un elemento chiave della strategia aziendale e non solo come un obbligo normativo.
Attraverso una pianificazione accurata, il supporto del top management e un coinvolgimento diffuso in tutta l’organizzazione, le istituzioni possono trasformare la conformità al GDPR in un vantaggio competitivo, rafforzando la fiducia dei clienti e migliorando la propria reputazione sul mercato.
L’entrata in vigore dell’European Accessibility Act (giugno 2025) segna una svolta fondamentale per le imprese italiane. Questa direttiva non riguarda più esclusivamente la pubblica amministrazione: anche le aziende private devono conformarsi ai nuovi requisiti di accessibilità digitale. Scopri come prepararti e quali sono gli obblighi previsti per il tuo business.
Cos’è l’European Accessibility Act e quali obblighi introduce?
L’European Accessibility Act è una direttiva europea recepita dall’Italia che uniforma le regole per prodotti e servizi accessibili, semplificando il mercato interno e riducendo le barriere normative tra gli Stati membri.
In Italia, il tema dell’accessibilità non è nuovo: la Legge Stanca (L. 4/2004) e la Legge 67/2006 già garantiscono i diritti delle persone con disabilità, prevedendo sanzioni per chi non rispetta i requisiti di accessibilità. Dal 2025, però, l’Accessibility Act stabilisce che tutti i siti web, app e prodotti informatici delle grandi imprese dovranno rispettare rigorosi standard di accessibilità.
Quali aziende sono coinvolte?
Grandi imprese: obbligate a conformarsi ai nuovi requisiti entro il 28 giugno 2025.
Microimprese: pur non soggette a obblighi diretti, sono incoraggiate a migliorare l’accessibilità dei propri strumenti digitali.
Pubbliche amministrazioni: devono già rispettare le linee guida AGID e pubblicare annualmente una dichiarazione di accessibilità.
Prodotti e servizi interessati
L’Accessibility Act copre numerosi settori, tra cui:
Tecnologie digitali: computer, smartphone, sistemi operativi.
E-commerce: piattaforme di vendita online.
Media e telecomunicazioni: TV digitale, servizi di telefonia.
Trasporti e finanza: sistemi di biglietteria, bancomat, e servizi bancari.
E-book e istruzione: accesso semplificato ai contenuti digitali.
Consulta le linee guida ufficiali AGID per verificare se i tuoi prodotti o servizi rientrano tra quelli regolamentati.
Riduzione dei costi: grazie a norme unificate in tutta l’UE.
Accesso a nuovi mercati: prodotti e servizi accessibili sono richiesti da una platea più ampia di consumatori.
Opportunità di business: le imprese che investono nell’accessibilità migliorano la propria reputazione e competitività.
Per le persone con disabilità, i benefici includono:
Prodotti e servizi più accessibili a costi competitivi.
Maggiore inclusione nel lavoro, nell’istruzione e nella vita quotidiana.
Scadenze e sanzioni
23 settembre di ogni anno: obbligo di pubblicazione della dichiarazione di accessibilità per PA e soggetti privati.
28 giugno 2025: scadenza per l’adeguamento delle imprese private.
Sanzioni: fino al 5% del fatturato per chi non rispetta gli obblighi.
Contattaci per una consulenza gratuita
Vuoi sapere se il tuo sito è conforme agli standard di accessibilità? Richiedi un test gratuito o una consulenza personalizzata. Investire oggi nell’accessibilità significa prepararsi al futuro e migliorare l’esperienza digitale per tutti gli utenti.
La vicenda raccontata da Bloomberg mette in evidenza i rischi legati ai deepfake AI, tecnologia avanzata che permette di imitare voci, immagini e video in modo quasi indistinguibile dalla realtà. Ecco cosa è accaduto.
Il tentativo di truffa con AI ai danni di Ferrari
Qualche settimana fa, un manager di Ferrari ha ricevuto una telefonata da una voce che sembrava quella di Benedetto Vigna, CEO dell’azienda. La voce, con accento riconoscibile, ha chiesto massima discrezione per una presunta grossa acquisizione in Cina, spingendo il manager a firmare documenti riservati e suggerendo operazioni sul mercato valutario per gestire il rischio di cambio.
La truffa si è estesa anche attraverso messaggi di testo provenienti da un numero sconosciuto, che richiedevano attenzione e firma immediata di accordi di riservatezza, facendo riferimento alla Consob e alla Borsa di Milano.
Come è stata sventata la trappola
Nonostante la precisione della simulazione vocale, il manager si è insospettito e ha posto una domanda di sicurezza personale, chiedendo quale libro fosse stato consigliato dal vero Vigna pochi giorni prima. Quando il truffatore non è stato in grado di rispondere, ha immediatamente interrotto la chiamata.
Ferrari ha avviato un’indagine interna per approfondire l’accaduto e aumentare le difese contro minacce di questo tipo.
Deepfake AI: un rischio crescente per le aziende
L’episodio dimostra quanto la intelligenza artificiale generativa possa rappresentare un pericolo per le aziende di alto profilo. Questo caso non è isolato: anche altre organizzazioni, come l’agenzia pubblicitaria WPP, sono state prese di mira con tecniche simili.
Conclusioni
Il tentativo fallito ai danni di Ferrari evidenzia la necessità di rafforzare le strategie di sicurezza aziendale, educando i dipendenti a riconoscere e reagire a tecniche sofisticate come i deepfake AI. Per le imprese, proteggersi da queste minacce richiede non solo tecnologie avanzate, ma anche prontezza e buon senso, come dimostrato dal manager di Maranello
Deepfake: Cosa Sono e Perché È Importante Difendersi
Il termine deepfake deriva dalla combinazione di “deep learning” e “fake”, indicando video, immagini o audio manipolati grazie all’intelligenza artificiale per creare contenuti falsi ma estremamente realistici. Questa tecnologia, sebbene innovativa, può rappresentare un rischio significativo, sia per i privati che per le aziende.
Come Funzionano i Deepfake?
I deepfake sfruttano algoritmi avanzati di intelligenza artificiale per analizzare e riprodurre volti, voci o movimenti. Attraverso tecniche come il face swapping o il voice cloning, è possibile creare video dove una persona appare dire o fare cose che in realtà non ha mai fatto.
Quali Sono i Rischi dei Deepfake?
Disinformazione: I deepfake vengono spesso utilizzati per diffondere fake news, creando confusione e danneggiando reputazioni.
Frode: In ambito aziendale, i deepfake vocali sono stati usati per simulare ordini fraudolenti o truffe.
Privacy Violata: Video deepfake possono compromettere la privacy delle persone, soprattutto quando vengono creati senza il loro consenso.
Cybersecurity: Le aziende possono subire danni d’immagine e perdite finanziarie a causa di contenuti manipolati.
Come Difendersi dai Deepfake?
Verifica delle Fonti: Diffidare di contenuti non verificati e provenienti da fonti poco attendibili.
Software Antifake: Utilizzare strumenti avanzati per identificare manipolazioni digitali.
Educazione e Formazione: Sensibilizzare dipendenti e utenti sui rischi dei deepfake e su come riconoscerli.
Sicurezza Informatica: Investire in sistemi di protezione per prevenire l’uso improprio dei dati aziendali.
Noi Ti Possiamo Aiutare!
Se hai bisogno di supporto per proteggerti dai rischi legati ai deepfake o per rafforzare la sicurezza informatica della tua azienda, contattaci subito. Offriamo soluzioni su misura per individuare e prevenire minacce digitali, garantendo la tua sicurezza e quella del tuo business.
La cybersecurity (o sicurezza informatica) non è solo un tema caldo nel mondo dell’IT, ma una priorità crescente per aziende e governi in tutto il mondo, preoccupati dalle minacce informatiche sempre più sofisticate.
Le piccole e medie imprese (PMI), in particolare, sono spesso vittime di attacchi informatici, poiché mancano delle risorse e delle competenze necessarie per proteggersi adeguatamente. Contrariamente all’idea tradizionale di attacchi mirati, la realtà odierna è dominata da attacchi indiscriminati che colpiscono chiunque abbia vulnerabilità. Questo rende le PMI un bersaglio facile, poiché spesso non dispongono di personale IT dedicato o di una solida postura di sicurezza.
In questo articolo, esploreremo le principali tendenze della cybersecurity per il 2024, evidenziando le minacce emergenti e le soluzioni che le aziende possono adottare, con un focus sulle PMI e il ruolo cruciale degli MSP (Managed Service Providers).
Le principali minacce informatiche e la vulnerabilità delle aziende
Secondo studi recenti, circa il 93% delle reti aziendali è vulnerabile agli attacchi, evidenziando l’urgenza di adottare misure di protezione più efficaci. La ricerca condotta da Positive Technologies ha rivelato che gli aggressori sono in grado di violare la sicurezza delle reti in quasi tutti i casi testati.
Inoltre, le PMI sono tra le più colpite: il 43% degli attacchi è rivolto a piccole imprese, ma solo il 14% si sente preparato a difendersi. La mancanza di consapevolezza e di risorse dedicate rende queste organizzazioni estremamente vulnerabili.
Le principali minacce informatiche includono:
Phishing e social engineering: il phishing rimane uno dei metodi più utilizzati dagli hacker per accedere a reti aziendali. Nel 2021, oltre 12 milioni di email di phishing hanno colpito migliaia di organizzazioni.
Compromissione delle credenziali: password deboli o compromesse sono state responsabili del 61% delle violazioni.
Attacchi ransomware: questa minaccia continua a crescere, con i danni globali causati da ransomware che potrebbero superare i 265 miliardi di dollari entro il 2031.
Endpoint security e gestione delle credenziali
La protezione degli endpoint sta diventando sempre più importante rispetto all’antivirus tradizionale. Circa il 20% delle PMI non dispone di protezione degli endpoint, un fattore critico considerato che oltre il 58% delle organizzazioni opera in smart working.
Gli MSP svolgono un ruolo essenziale nel garantire la sicurezza degli endpoint per le PMI, implementando soluzioni come la crittografia dei dati e il principio del minimo privilegio per gestire gli account amministrativi.
La crescente minaccia degli attacchi al cloud e alla supply chain
Con la crescente adozione del cloud, il 79% delle organizzazioni ha subito almeno una violazione dei dati cloud. Le principali vulnerabilità includono configurazioni errate, accessi non autorizzati e dirottamento degli account.
Gli attacchi alla supply chain rappresentano un rischio emergente: Gartner prevede che entro il 2025, il 45% delle aziende sarà colpito da attacchi alla catena di approvvigionamento software, un aumento del 300% rispetto al 2021.
Come gli MSP possono proteggere le PMI
Le PMI sono particolarmente esposte ai rischi informatici a causa della mancanza di personale IT e budget limitati per la cybersecurity. Gli MSP possono offrire soluzioni di sicurezza avanzate a costi accessibili, contribuendo a mitigare i rischi senza gravare eccessivamente sui costi operativi delle piccole imprese.
Tra le soluzioni proposte dagli MSP ci sono:
Gestione delle password
Antivirus gestito
Crittografia delle unità
Controllo degli accessi basato sui ruoli
Conclusioni
Le minacce informatiche continuano a evolversi e a diventare sempre più sofisticate. Le PMI e gli MSP devono rimanere vigili e proattivi per affrontare i rischi emergenti. La chiave del successo è una combinazione di tecnologia, consapevolezza e best practice di sicurezza.
Per scoprire come migliorare la sicurezza informatica della tua azienda clicca qui.
Utilizziamo i cookie sul nostro sito Web per offrirti l'esperienza più pertinente ricordando le tue preferenze e ripetendo le visite. Cliccando su "Accetta tutto", acconsenti all'uso di TUTTI i cookie. Tuttavia, puoi visitare "Impostazioni cookie" per fornire un consenso controllato
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Tuttavia, la disattivazione di alcuni di questi cookie potrebbe influire sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questi cookie garantiscono le funzionalità di base e le caratteristiche di sicurezza del sito web, in modo anonimo.
Cookie
Durata
Descrizione
_wpfuuid
11 years
This cookie is used by the WPForms WordPress plugin. The cookie is used to allows the paid version of the plugin to connect entries by the same user and is used for some additional features like the Form Abandonment addon.
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.
Cookie
Durata
Descrizione
dtSa
session
This cookie is set by the provider Dynatrace. This is a session cookie used for saving the user action such as Click on Login across different pages.
I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici chiave delle prestazioni del sito Web che aiutano a fornire una migliore esperienza utente per i visitatori.
Cookie
Durata
Descrizione
_gat
1 minute
This cookie is installed by Google Universal Analytics to restrain request rate and thus limit the collection of data on high traffic sites.
dtCookie
session
This cookie is set by the provider Dynatrace. This is a session cookie used to collect information for Dynatrace. Its a system to track application performance and user errors.
dtLatC
session
This cookie is set by the provider Dynatrace. This is a session cookie used for storing a numeric value.
dtPC
session
This cookie is set by the provider Dynatrace. This is a session cookie used to collect information for Dynatrace. Its a system to track application performance and user errors.
rxvt
session
This cookie is set by the provider Dynatrace. This is a session cookie used to store two timestamps.
I cookie analitici vengono utilizzati per capire come i visitatori interagiscono con il sito web. Questi cookie aiutano a fornire informazioni sulle metriche del numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.
Cookie
Durata
Descrizione
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
rxVisitor
session
This cookie is set by the provider Dynatrace. This cookie is used to store the visitor ID for the returning visitors.
I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci e campagne di marketing pertinenti. Questi cookie tracciano i visitatori attraverso i siti Web e raccolgono informazioni per fornire annunci personalizzati
Cookie
Durata
Descrizione
sp
1 year
This cookie is set by the host c.jabmo.app. This cookie is used to serve the content based on user interest and improve content creation.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
