Embed Size (px)
Citation preview
BLS COMPLIANCEIl valore della professionalità
1p.
Rassegna Stampa
AntiCorruzioneLavori Pubblici: Ambito di intervento dell?Autorità Nazionale .......................................................................
Cyber SecurityLa Stampa.it (ed. Nazionale): Dai leak politici al furto di carte di credito: cresce il phishing, anche in ........
PrivacyIl Sole 24 Ore: Controlli a distanza, parola al sindacato ....................................................................................
2
4
6
Data:
09/05/17Lavori PubbliciAmbito di intervento dell?Autorità Nazionale
Argomento:AntiCorruzione 2p.
Ambito di intervento dell?Autorità Nazionale
Ambito di intervento dell’Autorità Nazionale 09/05/2017 743 volte Con il comunicato del 27 aprile 2017, l’Anac richiama l’attenzione sul proprio perimetro di intervento ed evidenziare, contemporaneamente, le tipologie di segnalazioni cui non possono far seguito attività di vigilanza o verifica, in quanto l’oggetto è estraneo alle competenze assegnate dalla legge Anac stessa. Il comunicato nasce con il duplice scopo di evitare che si producano nei soggetti richiedenti aspettative circa un intervento o una soluzione da parte dell’Anac su questioni chiaramente inconferenti e che la valutazione di tali richieste, comunque necessaria, possa rallentare l’attività istruttoria sulle questioni che invece sono di pertinenza dell’Autorità. Nel comunicato, l’Anac precisa che le segnalazioni anonime sono archiviate dal dirigente dell’ufficio mentre segnalazioni anonime relative a fatti di particolare rilevanza o gravità e che presentano informazioni adeguatamente circostanziate possono essere tenute in considerazione al fine di integrare le informazioni in possesso dell’ufficio nell’esercizio dell’attività di vigilanza; rammenta, inoltre, che sono considerate anonime le segnalazioni che non recano alcuna sottoscrizione, che recano una sottoscrizione illeggibile o che pur apparendo riferibili a un soggetto non consentano comunque di individuarlo o di identificarlo con certezza. A titolo esemplificativo, l’Anac evidenzia che sono di propria competenza le segnalazioni aventi ad oggetto: i contratti pubblici, finalizzate al controllo sull’affidamento e sull’esecuzione dei contratti pubblici, anche di interesse regionale, di lavori, servizi e forniture nei settori ordinari e nei settori speciali e sui contratti secretati, e l’attività di precontenzioso, secondo le disposizioni del d.lgs. 50/2016; i piani e le misure anticorruzione, per il controllo sull’applicazione e sull’efficacia delle misure di prevenzione della corruzione adottate dalle pubbliche amministrazioni e dalle società/enti in controllo o a partecipazione pubblica, in particolare per la verifica dell’avvenuta adozione e dell’efficacia del piano triennale di prevenzione della corruzione; gli obblighi di trasparenza assicurati mediante la pubblicazione, sui siti web istituzionali delle pubbliche amministrazioni, dei dati, documenti, e informazioni richiesti dalla l. 190/2012 e dal d.lgs. 33/2013, come modificati dal d.lgs. 97/2016; gli incarichi e l’imparzialità dei pubblici funzionari, per la vigilanza sul rispetto delle disposizioni in materia di inconferibilità e incompatibilità nelle pubbliche amministrazioni e negli enti di diritto privato in controllo pubblico ai sensi del d.lgs. 39/2013, sulle ipotesi di c.d. “pantouflage”, di cui all’art. 53, co. 16-ter, del d.lgs. 165/2001, sull’imparzialità/conflitti di interesse dei pubblici funzionari e sull’adozione e sul rispetto dei codici di comportamento; le segnalazioni di “whistleblower”, per la trattazione di eventuali illeciti segnalati da dipendenti pubblici ai sensi dell’art. 54, co. 4-bis, del d.lgs. 165/2001, secondo le indicazioni di fornite dall’Anac con le linee guida contenute nella determinazione 6/2015. Al fine, poi, di chiarire più puntualmente le ipotesi di manifesta incompetenza l’Anac segnala, a titolo esemplificativo, alcune tipologie di segnalazioni che non saranno prese in considerazione: A. Segnalazioni di fatti o comportamenti tese all’accertamento di responsabilità esclusivamente penali e/o erariali e sulle quali non sussistono profili di competenza dell’Autorità. In tali casi è necessario rivolgersi all’Autorità giudiziaria e/o alla Corte dei conti competenti per territorio. B. Segnalazioni riguardanti presunti illeciti commessi da magistrati, per le quali è competente la Procura distrettuale ai sensi dell’art. 11 del codice di procedura penale. C. Richieste di annullamento di procedure selettive o concorsuali di esclusiva competenza del giudice amministrativo ovvero segnalazioni inerenti la mera valutazione dei requisiti di partecipazione alla procedure stesse. D. Irregolarità nelle procedure di nomina, ad esclusione dei casi di inconferibilità o incompatibilità o della violazione dei doveri di imparzialità dei pubblici funzionari. E. Segnalazioni di mere disfunzioni organizzative o rivendicazioni sindacali (ad esempio, mancata attuazione di accordi contrattuali riguardanti il personale, mancato riconoscimento di progressioni di carriera o di emolumenti). F. Casi di malasanità non connessi a processi di approvvigionamento di lavori, servizi e forniture (ad esempio, segnalazioni riguardanti cure sanitarie ritenute inadeguate). G. Casi di mero assenteismo dal lavoro. H. Segnalazioni di presunti conflitti politico-istituzionali all’interno di enti e istituzioni. I. Controversie di carattere esclusivamente personale quali, a mero titolo esemplificativo, quelle connesse a successioni, eredità,
Argomento: Prima Pagina 3pag.
testamenti, proprietà mobiliari/immobiliari. J. Segnalazioni riguardanti anomalie nella gestione di istituti di credito o finanziari. K. Segnalazioni concernenti abusi edilizi commessi da privati. L. Questioni inerenti l’aumento delle tariffe alle utenze per i servizi pubblici locali quale conseguenza di presunte diseconomicità degli affidamenti. A cura di Redazione LavoriPubblici.it
Data:
09/05/17La Stampa.it (ed. Nazionale)Dai leak politici al furto di carte di credito: cresce il phishing, anche in Italia
Argomento:Cyber Security 4p.
Dai leak politici al furto di carte di credito: cresce il phishing, anche in Italia
Dai leak politici al furto di carte di credito: cresce il phishing, anche in Italia Gli utenti italiani di Poste, PayPal e Apple tra i più bersagliati, mentre nel nostro Paese aumentano i siti dei truffatori. Le ultime novità sui trucchi e le tecniche usate Leggi anche Pubblicato il 09/05/2017 Ultima modifica il 09/05/2017 alle ore 13:07 carola frediani Dal 2012 in poi i siti di phishing a danno di italiani - ovvero quei siti finti che impersonano un’azienda o un ente allo scopo di rubare dati e credenziali agli utenti online - sono aumentati sempre, tranne una breve flessione nel 2015, per risalire l’anno scorso a quota 9601. A essere più colpiti sono stati i clienti di Poste italiane, PayPal, CartaSì, Apple. Ma non mancano quelli di Alitalia, Tim, Hera. Operatori telefonici, utility dell’energia, servizi di webmail, siti di shopping come MediaWorld. Pochi scampano alla pesca a strascico dei truffatori, secondo i dati e gli esempi diffusi da Andrea Draghetti - ricercatore dell’azienda specializzata nel contrasto al phishing D3lab - durante Hackinbo, partecipatissima conferenza che lo scorso weekend a Bologna ha raccolto un’ampia fetta della comunità italiana di sicurezza informatica. Alla base di molti leak Stiamo parlando del phishing, la pratica di inviare una email ingannatrice - che sembra arrivare da un ente, un’azienda o un servizio web - con lo scopo di far rivelare al destinatario le proprie credenziali per poi violare mail, profili social, rubare dati di carte di credito o altri tipi di informazioni riservate. Per alcuni italiani il termine evoca infezioni alle vie urinarie - dice un sondaggio del sito Today - più che una truffa. Eppure di questo si tratta, poiché utilizza soprattutto le leve dell’ingegneria sociale, oltre che alcuni strumenti tecnologici. Per questo motivo, per alcuni puristi, il phishing non sarebbe propriamente hacking. Eppure resta alla base di moltissime fughe di dati, anche illustri, come le email di John Podesta, il presidente della campagna di Hillary Clinton. E probabilmente (ma mancano ancora i dettagli e le conferme) anche dietro alla violazione delle caselle di posta di alcuni membri della campagna di Emmanuel Macron (i cosiddetti MacronLeaks, che però si sono sgonfiati in fretta). Come segnalato da un report TrendMicro, nel marzo 2017 hacker riconducibili al gruppo Apt28 registravano il dominio Onedrive-en-marche[.]fr, che puntava a fare attività di phishing ai danni dello staff del candidato presidenziale. Del resto, il 43 per cento di attacchi che hanno violato dati riservati avrebbero impiegato in qualche modo del phishing, dice un recente report del colosso tlc americano Verizon. Con un tasso di successo del 7,3 per cento. Sembra poco, ma diventa tanto se pensato all’interno di campagne massicce e coordinate. Una tecnica in crescita “Dai a un uomo uno zero-day (un attacco che sfrutta una vulnerabilità ancora sconosciuta, ndr) e avrà un accesso per un giorno. Insegnagli a fare phishing e avrà un accesso per tutta la vita”, recita un tweet di The Grugq, noto venditore di attacchi informatici. E infatti il fenomeno è in crescita a livello globale dal 2012, salvo rallentare tra 2015 e 2016, dicono i dati di un gruppo di lavoro internazionale, l’Anti-Phishing Working Group. Attestandosi pur sempre oltre 1 milione e 200mila siti di phishing. In Italia, come abbiamo visto, stessa crescita, breve rallentamento tra 2014 e 2015, e ripartenza. Esempi di truffe I clienti di Poste sono i più bersagliati, anche via sms, non solo email (pratica, quella del phishing via sms, che ha un suo nome ancora più ostico: “smishing”). Si chiede con una scusa di confermare le proprie credenziali, ma il link porta a un sito clone, su un dominio simile a quello originale ma con qualche lettera diversa, con uno scarto che a volte è quasi impercettibile. “Ad esempio in un caso il dominio era p0stepay.eu, con lo zero al posto della o: se lo vedi in maiuscolo su uno smartphone non ti accorgi quasi della differenza”, prosegue Draghetti. In un caso i truffatori, dopo aver rubato i soldi agli utenti, li usavano per acquistare voucher Inps e poi riscuotevano i buoni riversandoli su Inps card. Stiamo parlando di un’indagine che lo scorso marzo ha portato alla denuncia di ben 55 persone, tra Lazio e Campania. Secondo l’accusa, il gruppo - accusato di associazione a delinquere finalizzata alla frode informatica e al riciclaggio - sarebbe entrato nei conti correnti (o avrebbe acquisito i dati delle carte di credito ricaricabili) di circa duecento persone in tutta Italia sottraendo
Argomento: Prima Pagina 5pag.
280mila euro, e avrebbe poi riciclato i soldi nei buoni emessi dall’Inps, intestandoli a prestanome o aziende inconsapevoli. Poi li riscattavano in ricevitoria o attraverso le Inps card. Un caso che mostra come non manchino autori di phishing italiani. “Anche se noi abbiamo rilevato tanta attività di origine araba a livello internazionale; e rumena sul nostro Paese”, commenta Draghetti. Almeno a giudicare dai commenti lasciati nel codice delle pagine di phishing. In pole position tra i più presi di mira ci sono anche gli utenti Apple. L’obiettivo, in molti casi, sono però i dati della carta. “I siti che li bersagliano crescono dal 2015: in genere viene inviata una mail in cui si dice che il tuo ID Apple è stato sospeso per problemi di pagamento e si chiede di aggiornare i dati della carta di credito”, commenta Draghetti. L’utente crede di inserirli sul sito dell’azienda di Cupertino, invece li sta cedendo ai truffatori. Finti rimborsi Tra i siti emergenti anche quelli che colpiscono i clienti di Alitalia. In questo caso l’esca è un finto rimborso. “Nei primi mesi del 2017 abbiamo visto 25 siti diversi che ospitavano kit di phishing ai danni degli utenti della compagnia aerea”, spiega Draghetti. “Nel 2016 ti proponevano un falso rimborso di 80 euro se compilavi un questionario (copiato da uno vero) e poi mettevi i dati della tua carta di credito. Ora, nelle ultime mail, ti offrono un rimborso di 100 euro circa, poi ti invitano a cliccare su un link e chiedono i tuoi dati”. Ora che Alitalia è particolarmente in difficoltà i tentativi di truffa potrebbero aumentare. Perché chi fa phishing e truffe online ha spesso un comportamento opportunistico, cercando di inserirsi in momenti di crisi di un’azienda. Ne è un esempio il blackout di Whatsapp di una settimana fa. In concomitanza con le ore in cui il servizio di messaggistica non era disponibile, c’è chi si è visto arrivare una mail in cui gli veniva chiesto di pagare un abbonamento a Whatsapp (facendo credere all’utente ignaro che il mancato accesso fosse dovuto a un cambio di policy dell’azienda o alla necessità di rinnovare un servizio inesistente, e non a un problema tecnico). Una mail di questo tipo è arrivata a Simone Margaritelli, che per sfortuna del phisher di turno è un ricercatore di sicurezza informatica di fama internazionale. Certo, mail del genere circolano a bassa intensità in continuazione. Ma è probabile che abbiano dei picchi in alcuni momenti considerati più favorevoli. “La coincidenza col disservizio di Whatsapp è notevole”, commenta Margaritelli. (La mail ricevuta: notare gli errori ortografici, altro segnale di allerta in questi casi – fonte: @evilsocket) Phishing as a service Come evidenziato in precedenti reportage su La Stampa, nel cybercrimine si stanno diffondendo modelli di business basati sulla rivendita di servizi ad altri. Anche nel phishing comincia a esserci questa modalità. I siti che affittano strumenti e kit di questo tipo stanno comodamente sul web in chiaro e tendono a essere specializzati. Ad esempio, uno di questi, segnalato da Draghetti e visitato da La Stampa, si occupa solo di phishing su profili di social media, Facebook in particolare. Ti iscrivi, configuri il pannello, invii le email-esca ai destinatari con il link fornito dal servizio di phishing. E sempre sul portale gestisci la raccolta di credenziali dalle tue vittime. «Quello è un caso interessante perché i truffatori usano una applicazione Facebook per rubare i dati. Una tecnica particolarmente insidiosa, perché gli utenti sono rinviati al sito del social network», commenta Draghetti. Per altro, proprio su Facebook non mancano gruppi (chiusi ma anche aperti, come ha avuto modo di vedere La Stampa) dove truffatori e phisher di Paesi diversi si scambiano informazioni e favori. Alla luce del sole, anche se nell’oscurità di un linguaggio tecnico scarnificato e storpiato, che risulta incomprensibile ai non addetti ai lavori. Alcuni diritti riservati.
Data:
09/05/17Il Sole 24 OreControlli a distanza, parola al sindacato
Argomento:Privacy 6p.
Controlli a distanza, parola al sindacato
il Sole 24 Ore sezione: Norme e tributi data: 09 Maggio 2017 - pag: 43 Controlli a distanza, parola al sindacato L'installazione di un impianto di videosorveglianza senza il preventivo accordo sindacale (o senza l'autorizzazione amministrativa equivalente) è un reato penale, anche se i singoli lavoratori hanno acconsentito all'utilizzo di tale apparecchio. Con questa decisione la Cassazione penale (sentenza 22148/2017, depositata ieri) cambia il proprio indirizzo interpretativo in materia di controllo a distanza dei lavoratori. La titolare di un negozio ha deciso di installare all'interno del punto vendita due telecamere, collegate via wi-fi a un monitor, mediante le quali era possibile controllare l'attività lavorativa dei dipendenti. Queste telecamere sono state installate senza aver raggiunto alcun accordo con il sindacato, e senza aver richiesto l'autorizzazione della direzione territoriale del lavoro. La titolare del negozio è stata condannata a una pena pecuniaria (ammenda di 600 euro) per il reato previsto dallo statuto dei lavoratori. Il datore di lavoro ha impugnato la decisione, invocando quell'orientamento giurisprudenziale che esclude la ricorrenza del reato ogni volta che, pur non avendo raggiunto un accordo sindacale, il datore di lavoro installa gli impianti di controllo a distanza chiedendo il consenso preventivo a tutti i dipendenti (Cassazione, sentenza 22611/2012). Secondo questo orientamento precedente, sarebbe illogico negare validità al consenso espresso in maniera chiara e univoca da tutti i lavoratori, in quanto l'esistenza di un accordo con i soggetti titolari del bene giuridico che la norma di legge intende proteggere esclude per definizione la sussistenza di un illecito. La Cassazione, con la decisione odierna, rovescia questa impostazione, partendo dalla considerazione che il bene giuridico protetto dall'articolo 4 dello Statuto dei lavoratori ha natura collettiva e non individuale (nonostante ci sia una interferenza tra i due piani), in quanto i singoli lavoratori non hanno sufficiente forza per negoziare con il datore di lavoro in posizione paritaria. Pertanto, il datore di lavoro che installa un impianto di controllo a distanza senza ricercare e ottenere l'accordo sindacale con le rappresentanze aziendali (o, in mancanza, senza chiedere l'autorizzazione all'autorità amministrativa competente) danneggia gli interessi collettivi di cui sono titolari e portatrici le rappresentanze sindacali. Il comportamento del datore di lavoro, prosegue la sentenza, non integra solo un reato penale, ma anche la fattispecie della condotta antisindacale, suscettibile di essere repressa con la procedura speciale disciplinata dall'articolo 28 dello Statuto dei lavoratori. Inoltre la Corte ricorda che lo stesso Garante della privacy ha più volte ritenuto illecito il trattamento dei dati personali effettuato tramite sistemi di videosorveglianza installati senza il rispetto dei vincoli procedurali previsti dall'articolo 4 dello Statuto, nonostante l'eventuale consenso dei singoli lavoratori. La sentenza, infine, osserva che tali considerazioni valgono sia per la versione dell'articolo 4 antecedente al Jobs act, sia per il testo risultante dalle modifiche apportate con il Dlgs 151/2015, in quanto entrambe le norme continuano a richiedere, fatti salvi casi particolari, l'accordo sindacale o l'autorizzazione amministrativa per l'installazione di strumenti di controllo a distanza. Questa sentenza potrebbe trovare conferma nelle decisioni future della Corte oppure, come accade spesso, i giudici di legittimità potrebbero spaccarsi, dando luogo a pronunce contrastanti; in tal caso, sarebbe necessario l'intervento delle Sezioni unite per definire un indirizzo comune sulla materia. © RIPRODUZIONE RISERVATA Giampiero Falasca
