lunedì 29 maggio 2023

Minacce e attacchi: bug programmato in visori sportivi

Segnalo questo articolo di Valeria Lazzaroli: https://www.linkedin.com/posts/valeria-lazzaroli_supplychain-cybersecurity-ip-activity-7059467324990341122-tIlx.

In pochissime parole: un visore sportivo si è bloccato (con gioia degli utilizzatori) da un momento all'altro perché non risultava aggiornata la licenza del software (di SWARG) da parte del produttore dell'hardware (ORQA).

Il mio commento (su LinkedIn): intanto bisognerebbe capire se si tratta di un bug o di una funzionalità. Cioè: era previsto dal contratto tra ORQA e SWARG o no? Certamente era un bug per ORQA che sembra caduta essersi sorpresa della cosa.

Ho pensato anche al fatto che adesso il software lo vendono "as a service", non più "as a product" e questo è un problema. Mi spiego meglio.

Questi software si aggiornano da soli, quando vuole il produttore (puoi sempre chiedere che non lo facciano, ma questo comporta altri problemi) e come vuole il produttore. Questo genera rischi di disponibilità (come minimo perché si aggiorna senza preavvisare, bloccando il sistema). Questo modo di fare consente ai produttori di introdurre sistemi di controllo delle licenze come nel caso segnalato.

Ripeto: ci sono pro e contro in questo approccio. Bisogna starci attenti.

Certo è che SWARG poteva lanciare qualche avvertimento che la licenza stava per scadere.

Aggiornamento della ISO/IEC 29134:2023 Guidelines for privacy impact assessment

A maggio 2023 è stata pubblicata la seconda edizione della ISO/IEC 29134:2023 "Guidelines for privacy impact assessment": https://www.iso.org/standard/86012.html.

Ripeto per l'ultima volta quanto già scritto altre volte quando parlavo delle bozze di questa seconda edizione: riporta solo aggiornamenti non significativi rispetto all'edizione precedente. Penso che sia è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

sabato 20 maggio 2023

Romania ed Europa

La Romania è in Europa e lo so anche molto bene.

Però in un mio precedente post (http://blog.cesaregallotti.it/2023/05/accreditamento-ukas-non-piu-valido-per.html) l'ho indicata come esempio di Paese extra europeo. Volevo scrivere Albania.

Mi scuso con tutti e ringrazio Toto Zammataro per avermelo segnalato.

Il post l'ho corretto dove ho potuto.

Privacy: DL 48 e semplificazioni in materia di trasparenza

Segnalo che è stato approvato il DL 48 del 2023: https://www.normattiva.it/eli/id/2023/05/04/23G00057/ORIGINAL.

Nell'articolo 26 riporta alcune semplificazioni nelle informazioni da fornire al personale, introdotte dal D. Lgs. 104 del 2022 che a sua volta modificava il D. Lgs. 152 del 1997 (sulle informazioni da fornire ai lavoratori).

Poche cose, ma interessanti:

  1. non è necessario copiare le norme, ma è sufficiente citarle; ritengo sia una buona cosa, purché le stesse norme siano facilmente comprensibili, e già il capoverso precedente segnala che spesso non è così;
  2. "il  datore di lavoro è tenuto a consegnare  o  a  mettere  a  disposizione  del personale, anche mediante pubblicazione sul  sito  web,  i  contratti collettivi nazionali, territoriali e aziendali, nonché gli eventuali regolamenti aziendali applicabili al rapporto di lavoro";
  3. il datore di lavoro è  tenuto  a  informare  il lavoratore dell'utilizzo di sistemi  decisionali  o  di  monitoraggio.

Notizia appresa dalla circolare di B&C tax.

venerdì 19 maggio 2023

NIST SP 800-124 sulla sicurezza dei dispositivi mobili

Segnalo la pubblicazione della rev. 2 della SP 800-124 "Guidelines for Managing the Security of Mobile Devices in the Enterprise" del NIST: https://csrc.nist.gov/publications/detail/sp/800-124/rev-2/final.

Ottima.

lunedì 15 maggio 2023

Gli uomini possono fare tutto (Maggio 2023)

15 maggio. Anche oggi ho iniziato tardi un corso. Accompagno a scuola il piccolo, poi incontro una mamma di un compagno di classe del grande e ci scambiamo idee su come affrontare i compiti. La discussione mi interessa e il tempo passa...

Spero che i partecipanti al corso non mandino un reclamo (il corso finirà mercoledì).

lunedì 8 maggio 2023

Interpretazione della Corte di giustizia UE su dati pseudonimizzati e anonimi

Segnalo questo post sulla a decisione T-557/20 del 26 aprile 2023 della Corte di Giustizia UE su dati pseudonimi e anonimi: https://www.linkedin.com/posts/maria-grassetto-1a8bb25b_cge-activity-7060175275069779968-LAWc.

Copio biecamente dalla newsletter di Project:IN Avvocati: In estrema sintesi, secondo la Corte occorre ragionare sulla posizione del "ricevente" il dato personale, per indagare sia egli sia - o meno - in grado di identificare il soggetto cui quell’informazione si riferisce, e quindi effettui un "trattamento" di dato personale.

sabato 6 maggio 2023

Sicurezza informatica e Codice degli appalti

Segnalo questo articolo dal titolo "La cyber security entra nel Codice Appalti: perché è un cambio di passo fondamentale": https://www.agendadigitale.eu/sicurezza/la-cyber-security-entra-nel-codice-appalti-perche-e-un-cambio-di-passo-fondamentale/.

Non sapevo che il Codice degli appalti fosse stato cambiato e fosse stata aggiunta questa aggiunta. Poche parole, se ho capito bene, ma molto importanti.

Accreditamento UKAS non più valido per gli appalti pubblici

Il titolo è "Appalti pubblici, Brexit taglia fuori i soggetti accreditati Ukas per le certificazioni": https://ntplusdiritto.ilsole24ore.com/art/appalti-pubblici-brexit-taglia-fuori-soggetti-accreditati-ukas-le-certificazioni-AELxQIND.

La notizia l'avevo vista da un post di LinkedIn di Fabrizio Cirilli (ma il suo link puntava a una pagina del sito del Sole 24 ore con cookie wall), poi me l'ha rimandata Franco Ferrari e allora ho cercato e trovato un link senza cookie wall.

In sostanza: i certificati accreditati da enti non europei non sono reputati validi per partecipare a gare di appalti pubblici. Infatti l'interpretazione dovrebbe riguardare anche i certificati accreditati in Albania, India, USA, Svizzera, eccetera. Non ho indagato se anche gli organismi di accreditamento dello SEE ma non della UE sono esclusi (Islanda, Liechtenstein e Norvegia).

martedì 2 maggio 2023

Privacy: Pagina informativa del Garante sui Dark Pattern

Il Garante ha attivato una pagina informativa sui dark pattern, ossia sulle tecniche per fare in modo che un utente prenda decisioni "inconsapevoli o non desiderate", rinunciando quindi, in ambito privacy, alle limitazioni relative alla raccolta e trattamento dei propri dati personali: https://www.garanteprivacy.it/temi/internet-e-nuove-tecnologie/dark-pattern.

La pagina fa riferimento alle "Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them" dell'EDPB, aggiornate a febbraio 2023.

La notizia l'ho letta sulla newsletter di Project:IN Avvocati.

Su questo argomento ero completamente digiuno e questa pagina mi ha aiutato a capire alcune cose. Devo dire che la pagina informativa riassume quanto riportato nelle linee guida dell'EDPB. Queste, invece, approfondiscono le varie tecniche di dark pattern, ma senza esempi concreti e pertanto, in alcuni casi, alcune cose mi sono oscure.

Una versione in italiano dei dark patterns individuati da EDPB è qui: https://www.cyberlaws.it/2022/dark-patterns/.

I dark pattern sono però cose più generali e non riguardano solo la privacy. Ho trovato, per esempio, questo interessante articolo: https://www.drcommodore.it/2018/08/03/dark-pattern-cosa-sono-come-riconoscerli-e-perche-ci-controllano/