Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
Banner Ancharia Desktop 1 1
LECS 320x100 1

Autore: Stefano Gazzella

Regolamento chatcontrol: verso un’insostenibile sorveglianza di massa? La voce agli attivisti di Privacy Pride.

Stefano Gazzella 02/10/2023

Il 23 settembre alcune città italiane sono state teatro di una manifestazione da parte degli attivisti di Privacy Pride che hanno organizzato dei sit-in a Roma, Milano, Venezia, Torino e Genova contro la proposta del c.d. Regolamento europeo “chatcontrol”. Tale proposta legislativa vorrebbe fissare una deroga al generale divieto di svolgere attività di sorveglianza di massa nei confronti degli utenti dei servizi online previsto all’interno della Direttiva ePrivacy in nome di una (invero, tutt’ora indimostrata) maggiore sicurezza online per i minori e della lotta alla pedopornografia online con l’intento di contrastare la diffusione del c.d. Child Sexual Abuse Material (CSAM). Indichiamo anche

Quando la videosorveglianza è…ad “uso personale”. E il GDPR non si applica.

Stefano Gazzella 17/09/2023

Non dovrebbe sorprendere che anche la videosorveglianza, come tutte le attività di trattamento svolte sui dati personali, non rientra sempre e comunque nell’ambito di applicazione della normativa in materia di protezione dei dati personali. Soprattutto quando viene svolta da una persona fisica, ci sono degli elementi da dover valutare che vengono indicati dalla norma stessa per escludere l’applicazione materiale del GDPR al ricorrere della cosiddetta household exception. Questo ambito viene indicato dall’art. 2 par. 2 lett. c) GDPR come l’esercizio di attività a carattere esclusivamente personale o domestico da parte di una persona fisica, che comporta effetto di porre il trattamento al

Hai ricevuto questo messaggio dalla Deutsche Bank? Attenzione: è phishing!

Stefano Gazzella 14/09/2023

Sta circolando un messaggio email solo in apparenza proveniente da parte di Deutsche Bank, ma che altro non è che un tentativo di phishing. Il destinatario viene informato circa la sottoscrizione digitale di un contratto, il quale viene prontamente reso disponibile come allegato alla stessa email. Il corpo della comunicazione è particolarmente sintetico, il titolo riporta un codice contratto e all’interno non c’è nessuna indicazione ulteriore proprio per attirare la massima attenzione sull’allegato. Proprio nell’ottica di focalizzare l’attenzione sul solo allegato, in calce è interessante notare come sia stata inserita la menzione riguardante la mail generata automaticamente e un’indicazione informativa che tipicamente

Sharenting: arriva la pagina informativa del Garante Privacy, ma servono delle precisazioni.

Stefano Gazzella 08/09/2023

Il fenomeno dello sharenting è noto, attuale e preoccupante. Infatti, quella che viene messa in pericolo dall’azione di genitori o adulti è la privacy del minore, il quale spesso si trova indifeso e con pochissime possibilità di controllo a riguardo. Per non parlare poi della sua stessa sicurezza, dal momento che un criminale può facilmente apprendere o dedurre una serie di informazioni in grado di mettere in serio pericolo il minore. E questo lo ribadisce in modo esemplare e con un’esposizione molto diretta e senza troppi fronzoli il criminologo Francesco Paolo Esposito con un post su LinkedIn. Se fossi un pedofilo farei

Piano ispettivo Garante Privacy 2023: quali controlli nel secondo semestre

Stefano Gazzella 25/08/2023

Con la deliberazione del 3 agosto 2023 l’Autorità Garante per la protezione dei dati personali ha programmato l’attività ispettiva da svolgere durante il secondo semestre del 2023, dando seguito al precedente piano dei controlli ma prevedendo un numero minori di accertamenti (da 60 a 35) su iniziativa anche per tramite del Nucleo Speciale Privacy della Guardia di Finanza. Viene confermata innanzitutto la modalità di conduzione degli accertamenti online per le istruttorie preliminari riguardanti il trattamento dei dati personali svolti mediante siti internet: RITENUTO di dare evidenza altresì allo svolgimento di accertamenti online che saranno svolti in riferimento a trattamenti di dati personali

Campagna di attacchi verso gli account LinkedIn: alcune precisazioni secondo il GDPR.

Stefano Gazzella 24/08/2023

La campagna di attacchi in corso verso gli account LinkedIn è stata segnalata dal blog di Cyberint il 14 agosto scorso, ma ci sono conseguenze da dover considerare tenuto conto del GDPR? Fin qui gli scenari di attacco sono abbastanza chiari, così come le probabili cause che sono riconducibili per lo più a attacchi di password guessing andati a buon fine (ringrazio per la conferma a riguardo Giovanni Battista Caria) dunque al momento non ha alcun senso parlare di un data breach di LinkedIn. Non c’è alcuna prova che sia coinvolta infatti alcuna vulnerabilità della piattaforma, e le segnalazioni da parte degli

Postel: la comunicazione di data breach è arrivata mentre manca un giorno alla pubblicazione dei dati

Stefano Gazzella 23/08/2023

Stando a quanto segnala Christian Bernieri su X – e confermato da altre fonti – la comunicazione di data breach di Postel è arrivata. E dunque si può dedurre che quella resa come comunicato stampa non era stata probabilmente intesa essere tale, anche perchè almeno in questa si possono riscontrare alcuni contenuti formali prescritti dall’art. 34 GDPR. C’è il punto di contatto, quello sì, insieme al contatto del DPO. Ma la tipologia di violazione è descritta nel modo che segue: il gruppo criminale responsabile dell’attacco è presumibilmente riuscito a trafugare documenti informatici contenenti dati personali di dipendenti e collaboratori della Società. Presumibilmente

Postel: il conto del ransomware lo pagheranno gli interessati? Tra due giorni lo scopriremo

Stefano Gazzella 21/08/2023

Impossibile ignorare l’attacco ransomware che ha colpito Postel, soprattutto perché i social brulicano di commenti relativi alla vicenda che sono l’evidenza di quanto sia stata percepita la gestione del data breach. Basti pensare che mentre è stato varato un hashtag dedicato alla vicenda: ma nonostante l’avvenuto ripristino del sito web nulla è dato sapere né conoscere agli interessati tramite i canali istituzionali di Postel. E l’assordante silenzio istituzionale – mentre c’è il tic-toc del countdown – non è che sia confortante soprattutto per gli interessati direttamente coinvolti dalla violazione e da coloro che potrebbero subirne gli effetti negativi. I quali hanno appreso

Funzione HR e protezione dei dati personali: ruolo e responsabilità

Stefano Gazzella 16/08/2023

L’ambito HR è una delle aree sensibili dell’organizzazione, pertanto è già oggetto di attenzioni da parte di DPO, Privacy Manager o Privacy Officer in ragione dei processi che compongono la gestione dei lavoratori, dall’assunzione alla cessazione, e più in generale della sicurezza collegata al comportamento degli operatori. Spesse volte emerge un ruolo passivo o, per meglio dire recettivo, della funzione HR nella protezione dei dati personali. Questa si limita infatti a dare esecuzione alle istruzioni direzionali per conformare le attività che coinvolgono i dati personali ai requisiti del GDPR. Ciò può trovare la propria ragion d’essere non sempre nella mancanza di un

Email marketing: il Garante Privacy conferma il divieto di “pesca a strascico” dei contatti da elenchi pubblici

Stefano Gazzella 28/07/2023

Il Garante Privacy ribadisce il divieto di pesca a strascico dei contatti da elenchi pubblici per lo svolgimento di attività di marketing. Per tale ragione, con il provvedimento n. 202 del 17 maggio 2023 è stata imposta non solo la sanzione di diecimila euro ma anche il divieto di trattamento e l’ordine di cancellazione di tutti i contatti per cui non è dimostrata l’acquisizione di un valido consenso. Il tutto ha avuto origine da un reclamo presentato da parte di un professionista. Questi aveva lamentato la ricezione di comunicazioni promozionali indesiderate presso il proprio indirizzo email, in assenza di un iniziale consenso

Categorie