OBBLIGO DI MASCHERINE

Sono state prorogate fino al 30 Aprile 2023 le disposizioni previste dall’ordinanza 31/10/2022 relative all'obbligo di utilizzo di dispositivi di protezione delle vie respiratorie da parte dei lavoratori,  degli utenti  e  dei  visitatori  delle  strutture sanitarie,  socio-sanitarie e socio-assistenziali, comprese le strutture di ospitalità e lungodegenza, le residenze sanitarie assistenziali, gli hospice, le strutture riabilitative e le strutture residenziali per anziani.
L’utilizzo di mascherine in tutti gli altri luoghi rimane raccomandato.

GREEN PASS

Dal 1 gennaio 2023 è cessato l’obbligo di green pass per accedere a RSA e strutture socio-assistenziali. 

GESTIONE DEI CASI POSITIVI

Con la Circolare 51961 del 31/12/2022 il Ministero della Salute ha ulteriormente allentato le misure contro il Covid-19:

• Per i positivi asintomatici → l’isolamento termina dopo 5 giorni dal primo test positivo, a prescindere dall’effettuazione del test antigenico o molecolare. L’isolamento può terminare prima dei 5 giorni in caso di tampone negativo.
• Persone positive e senza sintomi da almeno 2 giorni → l’isolamento termina dopo 5 giorni dal primo test positivo, indipendentemente dal tampone di uscita.
• Per soggetti immunodepressi → l’isolamento può terminare dopo un periodo minimo di 5 giorni e solo a seguito di tampone negativo.
•  Per gli operatori sanitari → se asintomatici da almeno 2 giorni, l’isolamento può terminare con tampone antigenico o molecolare negativo.
• Per i cittadini provenienti dalla Repubblica Popolare Cinese → l’isolamento può terminare dopo un periodo minimo di 5 giorni, se asintomatici da almeno 2 giorni e con tampone negativo.

Per tutti questi casi è obbligatorio, al termine del periodo di isolamento, indossare la mascherina FFP2 fino a 10 giorni dopo l’inizio della sintomatologia o test positivo. Viene inoltre raccomandato di evitare persone ad alto rischio e/o ambienti affollati.

Tali precauzioni possono essere interrotte solamente in caso di test negativo.

In caso di contatto stretto con persone positive si applica il regime di autosorveglianza nel quale i soggetti dovranno indossare mascherine FFP2 al chiuso o in presenza di assembramenti, fino al quinto giorno successivo all’ultimo contatto stretto. In caso di sintomi, viene raccomandata l’esecuzione immediata di un test molecolare o antigenico. Gli operatori sanitari invece dovranno sottoporsi a test giornaliero fino a 5 giorni dopo l’ultimo contatto stretto.

LUOGHI DI LAVORO

I Datori di Lavoro possono continuare ad applicare e/o raccomandare l’adozione di alcune misure anticontagio quali ad esempio l’utilizzo di mascherine al lavoro e la pulizia e disinfezione delle superfici e attrezzature.

INCENTIVI PER LE ASSUNZIONI

La recente legge di bilancio ripropone gli sgravi contributivi già in vigore nel 2022 con alcune modifiche.

Come sempre, prima di diventare operativi dovremo attendere l’ok della Commissione Europea, restando inteso che le agevolazioni decorrono comunque dal 1 gennaio 2023.

Vediamo in sintesi, di che si tratta.

ASSUNZIONE GIOVANI UNDER 36

È previsto lo sgravio del 100% dei contributi a carico dei datori di lavoro fino ad un massimo di 8.000 euro annui.

Durata:

1. per un periodo massimo di 36 mesi (48 per i datori di lavoro Abruzzo, Molise, Campania, Basilicata, Sicilia, Puglia, Calabria e Sardegna)

Condizioni:

1. per assunzioni o trasformazioni a tempo indeterminato
2. non devono essere mai stati occupati a tempo indeterminato
3. i datori di lavoro non devono aver proceduto, nei 6 mesi precedenti, o nei nove mesi successivi a licenziamenti di lavoratori per giustificato motivo con la medesima qualifica

ASSUNZIONI DONNE

È previsto lo sgravio del 100% dei contributi a carico dei datori di lavoro fino ad un massimo di 8.000 euro annui.

Durata:

• per 12 mesi, in caso di assunzione con contratto a tempo determinato
• 18 mesi, in caso di assunzione con contratto a tempo indeterminato
• 18 mesi complessivi, in caso di trasformazione di contratto a tempo determinato in contratto a tempo indeterminato

Condizioni:

• devono essere disoccupate da almeno 6 mesi se residenti nelle regioni del Meridione o con professione ovvero di un settore economico con disparità occupazionale di genere, superiore al 25%
• ovvero disoccupate da almeno 24 mesi, ovunque residenti
• ovvero disoccupate da oltre 12 mesi con almeno 50 anni di età, ovunque residenti
• l'agevolazione è subordinata alla realizzazione di un incremento occupazionale

ASSUNZIONE PERCETTORI REDDITO DI CITTADINENZA

È previsto lo sgravio del 100% dei contributi a carico dei datori di lavoro fino ad un massimo di 8.000 euro annui.

Durata:

• per un periodo massimo di 12 mesi

Condizioni:

• per assunzioni o trasformazioni a tempo indeterminato

ESONERO CONTRIBUTIVO PER I LAVORATORI DIPENDENTI

Sempre la Legge di Bilancio, all’art. 1, comma 281 conferma l’esonero contributivo a carico dei lavoratori dipendenti, nella misura:

• 2 % nel caso di retribuzione imponibile non eccedente l’importo mensile di 2.692 euro;
• 3% nel caso di retribuzione imponibile non eccedente l’importo mensile di 1.923 euro.

La retribuzione imponibile è parametrata su base mensile per 13 mensilità. Per la competenza del mese di dicembre il limite mensile è maggiorato del rateo della tredicesima mensilità.

RIDUZIONE DELL’IMPOSTA SOSTITUTIVA SUI PREMI DI PRODUTTIVITÀ 2023

Per i premi e le somme erogate nell’anno 2023, l’aliquota dell’imposta sostitutiva sui premi di produttività è ridotta al 5%.

 AUTOLIQUIDAZIONE INAIL

L’INAIL ha fornito le istruzioni relative all’autoliquidazione 2022/2023. Sono state confermate le scadenze e la possibilità di pagamento rateale in quattro rate trimestrali, ognuna pari al 25% del premio annuale.

SCADENZE:

• 16 febbraio 2023 per il versamento del premio in un’unica soluzione
• 28 febbraio 2023 per la presentazione delle dichiarazioni delle retribuzioni anno 2022
• Il premio dovuto può anche essere suddiviso in quattro rate, e cioè:

I rata, 16 febbraio

II rata, 16 maggio

III rata, 16 agosto differita al 20 agosto (art. 3-quater, d.l. 16/2012 convertito dalla l.  44/2012),

IV rata, 16 novembre.

Ricordando che, se il termine scade di sabato o di giorno festivo, il versamento deve essere effettuato il primo giorno lavorativo successivo (art. 18, d.lgs n. 241 del 9 luglio 1997), la scadenza di domenica 20 agosto sarà posticipata al successivo lunedì 21.

LIBRETTO DI FAMIGLIA E PRESTAZIONI OCCASIONALI (sostitutivi dei c.d. “voucher“)

La legge di bilancio ha introdotto importanti novità per quanto riguarda il Contratto di Prestazione occasionale.

Dal 1 gennaio 2023 è previsto:

• l’aumento a 10.000 euro annui del limite di compenso erogabile dall’utilizzatore nei confronti dei prestatori di lavoro occasionale;
• l’accesso al Contratto di prestazione occasionale per gli utilizzatori che hanno fino a 10 lavoratori subordinati a tempo indeterminato;
• il superamento dei precedenti limiti che imponevano alle imprese del turismo di occupare solo particolari categorie di lavoratori;
• per il lavoratore il compenso erogato è esente da qualsiasi imposizione fiscale, non incide sullo stato di disoccupato o inoccupato entro il limite di 45 giornate di prestazione per anno civile ed è cumulabile con qualsiasi tipologia di trattamento pensionistico;
• l’informativa sul rapporto di lavoro al lavoratore si intende soddisfatta con la consegna di copia della comunicazione di assunzione;
• in caso di superamento del limite di durata previsto, il rapporto di lavoro si trasforma in rapporto di lavoro a tempo indeterminato. In caso di violazione dell’obbligo di comunicazione ovvero in caso di utilizzo di soggetti diversi da quelli che possono erogare prestazioni occasionali, si applica la sanzione amministrativa pecuniaria del pagamento di una somma da 500 euro a 2.500 euro per ogni giornata per cui risulta accertata la violazione

L’INPS, in un comunicato stampa pubblicato in data 2 gennaio 2023, ha informato che i sistemi informativi saranno adeguati entro il mese di gennaio 2023. Fino ad allora le novità previste non saranno formalmente utilizzabili.

La novità riguarda esclusivamente le attività non abituali legate a prestazioni di tipo subordinato (da non confondersi con quelle autonome).

SMARTWORKING: OBBLIGO DI COMUNICAZIONE E PROGORA AL 31 MARZO PER I LAVORATORI FRAGILI

E' stata pubblicata dal Ministero del Lavoro e delle Politiche Sociali la FAQ che indica i termini entro i quali inviare la comunicazione di smart working. In particolare, i datori di lavoro privati devono inviare la comunicazione di inizio periodo della prestazione in modalità agile o di proroga entro 5 giorni successivi, rispettivamente, dall'inizio della prestazione in modalità agile o dall'ultimo giorno comunicato prima dell'estensione del periodo.

Ricordiamo che non è necessario allegare l'accordo individuale di smart working sottoscritto tra datore di lavoro e lavoratore (che deve essere comunque conservato dal datore di lavoro per 5 anni dalla sottoscrizione).

Con la Legge di Bilancio è stato prorogato fino al al 31 marzo 2023 il diritto per i lavoratori fragili di svolgere la prestazione lavorativa in modalità di lavoro agile.

Le regole sopra descritte, secondo il Ministero della Salute, potrebbero però subire nuove variazioni nel caso di peggioramento della situazione epidemiologica

AGENZIA ENTRATE: LE TABELLE DEI COSTI CHILOMETRICI DI ESERCIZIO DI AUTOVETTURE E MOTOCICLI

L’Agenzia delle Entrate ha pubblicato, sulla Gazzetta Ufficiale n. 302 del 28 dicembre 2022, le Tabelle nazionali dei costi chilometrici di esercizio di autovetture e motocicli elaborate dall’ACI, utili a calcolare il valore del fringe benefit per il 2023. I valori a seconda del mezzo possono essere calcolati nel sito dell’ACI (https://www.aci.it/area-riservata/fringe-benefit.html).

L’intesa è stata sottoscritta da tutte le organizzazione datoriali che operano nel settore:

• Confcommercio
• Federdistribuzione
• Confesercenti
• Cooperative

In base all’accordo, verranno erogati ai lavoratori un importo una tantum di 350 euro e un acconto di 30 euro sui futuri aumenti contrattuali da aprile 2023, entrambi riparametrati per livello d’inquadramento.

Le parti hanno precisato che le trattative per il rinnovo del CCNL proseguiranno con l’obiettivo di trovare possibili soluzioni nel corso del 2023.

Di seguito, riportiamo le tabelle previste per il ccnl sottoscritto da Confcommercio e quelle della Distribuzione cooperativa. Per gli altri ccnl gli importi sono sostanzialmente equivalenti.

Condizioni:

1. spetta ai lavoratori in forza alla data di sottoscrizione dell’accordo (vedi anche il punto c)
2. gli importi sono esclusi dalla base di calcolo del Trattamento di fine rapporto e di ogni altro istituto contrattuale
3. gli importi saranno riproporzionati per i lavoratori a part-time e verranno erogati ai lavoratori aventi diritto, a condizione che risultino ancora in forza alle rispettive scadenze (gennaio e marzo 2023)
4. in misura piena ai lavoratori che sono stati in forza senza soluzione di continuità per il periodo dal 01/01/2020 al 31/12/2022
5. pro quota in rapporto ai mesi di anzianità di servizio maturata durante il periodo 2020-2022
6. non saranno conteggiati ai fini dell'anzianità i periodi di servizio militare, aspettative non retribuite, nonché tutti i periodi in cui non sia dato luogo a retribuzione a norma di legge e di contratto. Sono computati, a mero titolo esemplificativo, il congedo di maternità,i congedi parentali e i periodi di sospensione e/o riduzione dell'orario di lavoro per la fruizione degli ammortizzatori sociali  in costanza di rapporto di lavoro

Per quanto riguarda l’aumento dei minimi:

Una pericolosa vulnerabilità presente all’interno dei sistemi Fortinet, classificata come CVE-2022-42475 (CVSS score 9.3), permette l’esecuzione di codice arbitrario all’interno del sistema vulnerabile attraverso l’accesso non autenticato al servizio di VPN offerto degli apparati.

Per ammissione della stessa Fortinet, tale vulnerabilità viene attualmente sfruttata da malintenzionati per la compromissione dei sistemi vulnerabili, attraverso richieste appositamente create verso il servizio di VPN offerto dagli apparati. Non è richiesto nessun tipo di autenticazione per sfruttare tale vulnerabilità, fattore che rende la problematica particolarmente critica.

I prodotti coinvolti sono i seguenti:

• FortiOS versione 2.0 fino alla versione 7.2.2
• FortiOS versione 0.0 fino alla versione 7.0.8
• FortiOS versione 4.0 fino alla versione 6.4.10
• FortiOS versione 2.0 fino alla versione 6.2.11
• FortiOS-6K7K versione 0.0 fino alla versione 7.0.7
• FortiOS-6K7K versione 4.0 fino alla versione 6.4.9
• FortiOS-6K7K versione 2.0 fino alla versione 6.2.11
• FortiOS-6K7K versione 0.0 fino alla versione 6.0.14

Gli aggiornamenti sono disponibili nelle versioni di FortiOS 7.2.3, 7.0.9, 6.4.11, 6.2.12 ed all’interno di FortiOS-6K7K 7.0.8, 6.4.10, 6.2.12, 6.0.15.

É possibile indagare su eventuali attacchi ricevuti prima dell’aggiornamento del sistema analizzando i log prodotti dal dispositivo alla ricerca di voci ripetute simili alla seguente:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]

Inoltre la presenza dei seguenti file all’interno del sistema indicano l’avvenuta compromissione:

• /data/lib/libips.bak
• /data/lib/libgif.so
• /data/lib/libiptcp.so
• /data/lib/libipudp.so
• /data/lib/libjepg.so
• /var/.sslvpnconfigbk
• /data/etc/wxd.conf
• /flash

Altro fattore che può indicare una possibile compromissione dell’apparato è rappresentato dalla presenza dei seguenti indirizzi IP all’interno dei log di sistema:

• 34.130.40:444
• 131.189.143:30080,30081,30443,20443
• 247.168.153:8033

Il nostro consiglio è quello ovviamente di verificare la versione utilizzata di FortiOS o FortiOS-6K7K ed applicare tempestivamente gli aggiornamenti di sistema qualora disponibili. Inoltre, in presenza di versioni vulnerabili, è opportuno verificare i log di sistema alla ricerca di possibili tracce di compromissione. Nel caso in cui si sospetti un’avvenuta compromissione del sistema, è opportuno contattare direttamente il fornitore dell’apparato per ulteriori indagini in merito.

L’Agenzia delle Entrate ha fornito i necessari chiarimenti circa la portata delle misure fiscali relative al welfare aziendale elevato a € 600 annui (clicca qui per scaricare la Circolare n. 35E).

Tali misure hanno ampliato il campo di applicazione dell’agevolazione, ricomprendendo tra i fringe benefit anche le somme erogate o rimborsate dai datori di lavoro per il pagamento delle utenze domestiche del servizio idrico integrato, dell’energia elettrica e del gas naturale.

L’Agenzia delle Entrate ha chiarito che il pagamento o il rimborso può riguardare immobili ad uso abitativo posseduti o detenuti dal dipendente, dal coniuge o dai suoi familiari a prescindere che negli stessi abbiano o meno stabilito la residenza o il domicilio ma a condizione che ne sostengano effettivamente le relative spese.

 Infine, l'art. 3 del D.L. 18/11/2022 n.176 pubblicato nella G.U. n.270 dello stesso giorno e in vigore dal 19 novembre 2022 ha esteso a € 3000 l’importo massimo fino a tutto il 31 dicembre 2022 (purché corrisposto entro il 12 gennaio 2023).

Va inoltre, ricordato che per il 2022 è in vigore anche il bonus carburante di 200 euro che si aggiunge agli attuali 3.000 euro.

Il decreto Legge n. 21 del 21 marzo 2022, c.d. Decreto Ucraina, ha infatti previsto la possibilità, per i datori di lavoro privati e solo per l’anno 2022, di erogare ai propri dipendenti buoni benzina o titoli analoghi per l’acquisto di carburante, esenti da imposizione fiscale e previdenziale fino a € 200,00 per ogni dipendente.

Precisato che si tratta di misure volontarie e che il datore di lavoro non ha alcun obbligo di riconoscere tali fringe benefit, resta da tenere presente che al superamento delle soglie di esenzione (3.000 + 200 euro), tutto l’importo corrispondente ai beni e/o servizi riconosciuti al lavoratore, è da considerarsi interamente imponibile ai fini contributivi e fiscali.

Quindi, il datore di lavoro può:

• erogare o meno tali somme;
• stabilire a quali lavoratori riconoscere i fringe benefit: alla generalità o a categorie di lavoratori dipendenti, oppure anche ad personam, ossia ad un singolo lavoratore;
• stabilire l’importo da erogare, che può essere anche diversificato per ciascun dipendente.

Per quanto riguarda il rimborso delle utenze domestiche è necessario che il datore di lavoro acquisisca e conservi per eventuali controlli la relativa documentazione per giustificare la somma spesa.

Infine l’Agenzia delle Entrate, al fine di evitare che si fruisca più volte del beneficio in relazione alle medesime spese, precisa che è necessario che il datore di lavoro acquisisca dal lavoratore una dichiarazione sostitutiva di atto di notorietà che attesti che le medesime fatture non siano già state oggetto di richiesta di rimborso, totale o parziale, non solo presso il medesimo datore di lavoro, ma anche presso altri.

Cliccando qui è possibile scaricare il fac-simile della dichiarazione sostitutiva sopra citata.

Come già accaduto in passato, i ricercatori della Bitdefender hanno scoperto alcune applicazioni presenti all’interno dello store di Google (Google Play) che a seguito della loro installazione presentano all’utilizzatore fastidiose e ripetute pubblicità. In questo caso però le pubblicità offerte nascondono al loro interno un pericoloso malware, denominato SharkBot.

SharkBot appartiene alla categoria dei Trojan bancari, software per l’appunto di origine malevola che tentano di trafugare informazioni e contanti dall’interno del conto corrente dell’utente. Questo ovviamente è reso possibile dalla presenza di una o più applicazioni bancarie presenti sui sistemi vulnerabili, da cui vengono prelevate le credenziali di accesso.

Una delle applicazioni scoperte dal personale di BitDefender che può portare il sistema all’infezione da parte del malware SharkBot è X-File Manager, all’apparenza un normale software di gestione di file per dispositivi Android.

Come detto in precedenza, la particolarità di questa nuova evoluzione di SharkBot è la sua capacità di rilevare la posizione dell’utente ed in base ad essa decidere se attivare le sue funzionalità o meno. Secondo quanto scoperto dai ricercatori la nuova variante di SharkBot intraprende le sue attività di malware principalmente nel caso in cui si l’apparato Android trovi in Italia o nel Regno Unito.

L’applicazione è stata attualmente rimossa dal personale di Google dall’interno di Google Play, ma prima di venire scoperta e conseguentemente cancellata, è stata scaricata per più di 10.000 volte.

Sono state inoltre identificate 2 ulteriori applicazioni che tentano l’infezione del sistema Android su cui vengono installate, e corrispondono ai nomi di FileVoyager e LiteCleaner M.

I nostri consigli in generale riguardanti la protezione del proprio sistema mobile possono essere riassunti principalmente nei seguenti punti:

• Implementare una soluzione di sicurezza all’interno del dispositivo, come ad esempio le soluzioni offerte da produttori quali Bitdefender, Norton, Avira etc. etc. Consigliabile soprattutto se il sistema viene utilizzato per effettuare operazioni bancarie l’acquisto di una soluzione commerciale, che comprenda anche la protezione specifica per la privacy e l’integrità dei dati.
• In ambienti aziendali, ove possibile, è importante prevedere l’adozione di sistemi di controllo remoto dei dispositivi (quald ad esempio Microsoft Intune o le soluzioni di MDM offerte dal personale di Google).
• Verificare periodicamente lo stato del sistema, attraverso le scansioni ed eventuali ottimizzazioni effettuabili tramite le soluzioni di sicurezza implementate all’interno del dispositivo.
• Evitare di installare qualsiasi applicazione che si trova al di fuori del Google Play.

In caso di sistemi potenzialmente compromessi da malware o virus in generale, il nostro consiglio è quello di rivolgersi a personale tecnico specializzato, poiché in alcuni casi la normale rimozione del malware da parte di soluzioni di sicurezza, o il ripristino del dispositivo, possono non essere sufficienti per rimuovere completamente la minaccia.

Delle vulnerabilità corrette 12 di esse sono state classificate come “critiche”, 2 come “elevate” e 55 come “importanti”. Tra gli aggiornamenti rilasciati, troviamo finalmente la correzione della vulnerabilità nota come “ProxyNotShell”. Maggiori informazioni relative a questa vulnerabilità le potete reperire all’interno di un articolo precedentemente pubblicato, al seguente URL:

• https://gruppoaltea.online/news-blog/216-due-nuove-vulnerabilit%C3%A0-minacciano-i-server-exchange.html

Riportiamo di seguito la comunicazione rilasciata in merito dal personale della Microsoft:

“Gli utilizzatori dei servizi offerti da Microsoft, ed in particolare dei sistemi su cui è presente il servizio di Exchange Server, sono avvisati di aggiornare immediatamente i loro sistemi. A seguito dell’aggiornamento, è consigliabile rimuovere ogni regola di mitigazione inserita, poiché non più necessaria”

Qui un elenco completo delle vulnerabilità corrette all’interno dell’ultimo pacchetto cumulativo rilasciato dal personale della Microsoft attualmente sfruttate da malintenzionati:

• CVE-2022-41040 (CVSS score di 8.8) – Consente l’elevazione dei privilegi utente attraverso il servizio di Microsoft Exchange Server (conosciuto come ProxyNotShell).
• CVE-2022-41082 (CVSS score di 8.8) – anch’essa permette l’elevazione dei privilegi utente attraverso il servizio di Microsoft Exchange Server (conosciuto come ProxyNotShell).
• CVE-2022-41128 (CVSS score di 8.8) – la vulnerabilitàpermette l’esecuzione remota di codice arbitrario attraverso il linguaggio di scripting di Windows.
• CVE-2022-41125 (CVSS score di 7.8) – essa permette l’elevazione dei privilegi attraverso il servizio di Windows CNG Key Isolation.
• CVE-2022-41073 (CVSS score di 7.8) – permette l’elevazione dei privilegi attraverso il servizio di Windows Print Spooler.
• CVE-2022-41091 (CVSS score di 5.4) - Vulnerabilità che permette di aggirare le impostazioni di sicurezza imposte dal sistema denominate “Mark of the Web”. Tale vulnerabilità è recentemente sfruttata dal ransomware conosciuto come “Magniber”.

All’interno dell’aggiornamento cumulativo figurano inoltre altre 4 vulnerabilità classificate come “critiche”, che riguardano una possibile elevazione dei privilegi attraverso Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966), Microsoft Exchange Server (CVE-2022-41080) ed una vulnerabilità di tipo Denial-of-Service che riguarda Windows Hyper-V (CVE-2022-38015).

Il nostro consiglio in questo caso è rivolto principalmente a chi ospita il servizio di Microsoft Exchange all’interno della propria Azienda o all’interno del cloud: è necessario l’aggiornamento tempestivo del servizio di Exchange, poiché la vulnerabilità denominata “ProxyNotShell” è attualmente sfruttata su larga scala da malintenzionati per la compromissione dei sistemi vulnerabili. L’eventuale compromissione del sistema vulnerabile comporta la compromissione della riservatezza dei dati contenuti all’interno del sistema.

Per concludere, consigliamo in ogni caso un aggiornamento completo di tutti i sistemi operativi Windows utilizzati in ambienti Aziendali, poiché il mancato aggiornamento potrebbe esporre i sistemi ad un rischio più elevato di compromissione.

Secondo quanto comunicato dal personale della VMware, a causa di un endpoint non autenticato che sfrutta XStream per la serializzazione dell’input all’interno di Cloud Foundation (NSX-V), un hacker può ottenere l’esecuzione di codice remoto con gli stessi privilegi dell’utente “root” all’interno del sistema vulnerabile.

Alla vulnerabilità è stato assegnato il CVE-2021-39144, con un punteggio di criticità di 8,5 secondo la metrica NVD (National Vulnerability Database). Il punteggio indica una vulnerabilità con un grado alto di pericolosità.

Tutte le versioni di VMware NSX Data Center for vSphere (NSX-V) antecedenti alla versione 6.4.14 risultano vulnerabili, ed un loro aggiornamento tempestivo è fortemente consigliato.

Maggiori dettagli in merito possono essere reperiti al seguente URL:

• https://kb.vmware.com/s/article/89809

Il nostro consiglio in generale è quello di verificare periodicamente lo stato di aggiornamento delle piattaforme VMware, e tenere sotto controllo ogni annuncio riguardante la piattaforma. Per fare questo consigliamo l’iscrizione al servizio gratuito offerto da VMware che offre annunci relativi alle piattaforme di virtualizzazione direttamente all’interno della propria casella E-Mail. All’URL sotto riportato è possibile iscriversi gratuitamente al servizio, inserendo nell’apposito campo il proprio indirizzo E-Mail:

• https://www.vmware.com/it/security/advisories.html

Secondo quanto riportato da alcuni ricercatori, almeno 5 applicazioni malevole, di cui 4 attualmente presenti all’interno del Google Play Store, nascondono al loro interno Trojan bancari come SharkBot e Vultur, capaci di trafugare i dati finanziari presenti sul sistema infetto e condurre frodi.

I Trojan utilizzati sono in grado di trafugare dati finanziari da più di 230 diverse tipologie di conti bancari o portafogli elettronici e includono istituzioni finanziarie situate in Italia, Regno Unito, Germania, Spagna, Polonia, Stati Uniti, Australia, Francia e Olanda.

Le applicazioni incriminate risultano essere attualmente le seguenti:

-          Codice Fiscale 2022 (com.iatalytaxcode.app) - più di 10,000 download complessivi.

-              File Manager Small, Lite (com.paskevicss752.usurf) – nessun download effettuato.

-              My Finances Tracker (com.all.finance.plus) – più di 1,000 download complessivi.

-              Recover Audio, Images & Videos (com.umac.recoverallfilepro) – più di 100,000 download complessivi.

-              Zetter Authenticator (com.zetter.fastchecking) – più di 10,000 download complessivi.

I Trojan utilizzati presentano le seguenti caratteristiche:

• Push/SMS interception: riescono a inviare e intercettare messaggi SMS.
• Contact harvesting: trafugano i contatti presenti all’interno del sistema infetto.
• Screen Streaming: trasmettono attraverso internet tutto quello che succede sullo schermo del dispositivo infetto.
• Keylogger: possono intercettare ogni azione svolta all’interno del dispositivo infetto, che include l’intercettazione del testo scritto in qualsiasi applicazione.
• Accessibility Logging: possono registrare e trasmettere ad un host remoto ogni volta che il sistema infetto viene utilizzato.
• Prevent Uninstall: il Trojan protegge sé stesso da un’eventuale disinstallazione da parte dell’utente.
• AV Evasion: il Trojan utilizza tecniche di offuscazione o crittografia del codice in modo da passare inosservato ad un eventuale Anti Virus installato sul sistema infetto.

Il nostro consiglio nel caso abbiate installato una o più delle applicazioni elencate in precedenza all’interno del vostro sistema Android, è quello di rivolgervi a personale esperto per l’analisi del vostro dispositivo mobile poiché la presenza di un Anti Virus potrebbe non essere sufficiente ad una corretta pulizia del sistema. Anche nel caso in cui abbiate in passato installato una delle applicazioni sopra elencate e successivamente rimossa, il consiglio rimane invariato: una verifica da parte di personale esperto del vostro apparato Android è fortemente consigliata.

Alternativamente, un altro consiglio valido può essere quello di sostituire il proprio device facendo attenzione a non ripristinare un precedente backup sul nuovo sistema, poiché il Trojan potrebbe essere presente anche all’interno di un eventuale backup ed un ripristino e causare l’infezione anche sul nuovo dispositivo.

In generale sconsigliamo l’installazione di applicazioni di dubbia provenienza all’interno dei sistemi Android, poiché nonostante le continue verifiche effettuate dal personale di Google all’interno del Google Play Store, alcuni Trojan riescono ad evadere i controlli.

La vulnerabilità, identificata con il CVE-2022-42827, riguarda direttamente il Kernel di sistema e può essere sfruttata da un’applicazione per ottenere privilegi elevati all’interno del dispositivo. Lo sfruttamento della vulnerabilità consente ad un programma di scrivere dati al di fuori dello spazio di memoria ad esso assegnato e può potenzialmente causare la corruzione dei dati, un crash di sistema oppure l’esecuzione di codice arbitrario con la conseguente installazione di Malware o altri software di controllo.

La scoperta della vulnerabilità è stata attribuita ad un ricercatore anonimo. Come da abitudine da parte del personale di Apple, non sono state forniti particolari dettagli sulla vulnerabilità scoperta, ma è stato specificatamente dichiarato che è attualmente sfruttata da malintenzionati.

Gli aggiornamenti di sicurezza, atti a risolvere tale problematica, sono disponibili per tutti gli utilizzatori di iPhone 8 o successivi, iPad Pro (tutti i modelli), i modelli di terza e quinta generazione di iPad Air, e per tutti i sistemi iPad mini di quinta generazione e successivi.

La vulnerabilità in oggetto risulta essere la terza consecutiva che riguarda il Kernel di sistema, a seguito dei CVE-2022-32894 e CVE-2022-32917, anch’esse utilizzate da malintenzionati per l’esecuzione di codice arbitrario sui sistemi vulnerabili.

Dall’inizio dell’anno il personale della Apple ha risolto 8 vulnerabilità zero-day attivamente sfruttate da malintenzionati. Di seguito un breve riassunto:

• CVE-2022-22587 (IOMobileFrameBuffer): un’applicazione appositamente creata può eseguire codice arbitrario con gli stessi privilegi del Kernel di sistema.
• CVE-2022-22594 (WebKit Storage): un sito web può essere in grado di intercettare informazioni sensibili dell’utente utilizzatore del dispositivo.
• CVE-2022-22620 (WebKit): l’elaborazione di un sito web appositamente creato può causare l’esecuzione di codice arbitrario sul dispositivo vulnerabile.
• CVE-2022-22674 (Driver Intel Graphics): un’applicazione può essere in grado di leggere porzioni di memoria assegnate al Kernel di sistema.
• CVE-2022-22675 (AppleAVD): un’applicazione può essere in grado di eseguire codice arbitrario con gli stessi privilegi del Kernel di sistema.
• CVE-2022-32893 (WebKit): l’elaborazione di un sito web appositamente creato può causare l’esecuzione di codice arbitrario sul dispositivo vulnerabile.
• CVE-2022-32894 (Kernel): un’applicazione può essere in grado di eseguire codice arbitrario con gli stessi privilegi del Kernel di sistema.
• CVE-2022-32917 (Kernel): un’applicazione può essere in grado di eseguire codice arbitrario con gli stessi privilegi del Kernel di sistema.

Il nostro consiglio è quello di aggiornare tutti i dispositivi supportati nel più breve tempo possibile. Nel caso in cui si disponga di dispositivi al cui interno non sia possibile installare l’aggiornamento, vi consigliamo di valutare una loro sostituzione con modelli più aggiornati.

Per effettuare l’aggiornamento sui sistemi iPhone ed iPad è necessario recarsi all’interno delle impostazioni di sistema, nel menù “Generali” e selezionare la voce “Aggiornamento Software”.

Delle 85 vulnerabilità corrette attraverso un aggiornamento cumulativo per i sistemi Microsoft Windows, 15 sono considerate “critiche”, 69 vengono definite “importati” e la rimanente vulnerabilità è stata classificata come “moderata”. L’update non presenta novità per quel che riguarda la vulnerabilità presente sui sistemi Exchange a cui è stato assegnato il nome di “ProxyNotShell” – di cui abbiamo parlato in un precedente articolo.

Al suo interno vengono corrette 12 vulnerabilità riguardanti il browser Internet “Edge”, basato su Chromium.

La vulnerabilità più pericolosa corretta tramite tali aggiornamenti riguarda il servizio di sistema “Windows COM+ Event”, e può permettere ad un attaccante di ottenere i privilegi di System all’interno del sistema vulnerabile. Tale vulnerabilità è ritenuta particolarmente pericolosa poiché può essere sfruttata unitamente ad altre problematiche di sicurezza per ottenere privilegi elevati sul sistema partendo da un utente standard senza particolari privilegi.

Altre 3 vulnerabilità che permettono l’elevazione dei privilegi utente riguardano Windows Hyper-V (CVE-2022-37979, con CVSS score di 7.8), il servizio di certificati di Active Directory (CVE-2022-37976, con CVSS score di 8.8) ed il servizio di connessione del cluster Kubernetes con Azure (CVE-2022-37968, con CVSS score 10.0)

Sono state corrette inoltre 8 vulnerabilità presenti all’interno del Kernel di Windows, che possono permettere l’elevazione dei privilegi utente, 11 vulnerabilità che permettono l’esecuzione di codice remoto all’interno del protocollo di tunneling Point-to-Point di Windows e dei server SharePoint, ed ancora un’altra vulnerabilità all’interno del modulo di spooler di stampa (CVE-2022-38028, con CVSS score di 7.8).

Per concludere, sono state corrette altre 2 vulnerabilità che possono permettere ad un attaccante di elevare i propri privilegi all’interno del sistema vulnerabile. La prima riguarda il servizio Workstation, a cui è stato assegnato il CVE-2022-38034, con CVSS score di 4.3. La seconda invece riguarda il servizio RPC di Windows (Remote Procedure Call), a cui è stato assegnato il CVE-2022-38045, con CVSS score di 8.8.

Un elenco completo delle correzioni effettuate dal personale Microsoft in occasione del rilascio degli aggiornamenti del mese di Ottobre 2022 può essere consultato al seguente URL:

• https://msrc.microsoft.com/update-guide/releaseNote/2022-Oct

Il nostro consiglio in generale è quello di mantenere costantemente aggiornati tutti i sistemi Windows presenti all’interno dell’Azienda, tramite dettagliate politiche di gestione dei sistemi, ed eventualmente sistemi automatizzati che si occupano della distribuzione ed installazione degli aggiornamenti di sistema.

Exchange, popolare servizio di Mail Server prodotto dalla Microsoft, è vittima di recente di due pericolose vulnerabilità 0-day, che secondo quanto riportato direttamente dal produttore, vengono attualmente sfruttate in alcuni attacchi mirati.

Le due vulnerabilità permettono ad un attaccante remoto in possesso di credenziali valide all’interno del sistema Exchange (solitamente indirizzo E-Mail e password di accesso) di prendere il controllo completo del sistema, con la conseguente perdita della confidenzialità e della riservatezza dei dati contenuti nel sistema Exchange. A seguito della compromissione del sistema l’attaccante può di conseguenza potenzialmente compromettere l’intera rete al cui interno è ospitato il sistema Microsoft Exchange.

Alle due vulnerabilità è stato assegnato il nome di “ProxyNotShell”, a causa di molte similitudini con un altro problema di sicurezza scoperto circa 1 anno fa sempre sui sistemi Microsoft Exchange, a cui era stato assegnato il nome di “ProxyShell”. Le vulnerabilità riguardano tutti i sistemi al cui interno è presente la versione 2013, 2016 e 2019 di Microsoft Exchange Server che espone su internet l’applicazione web “Outlook”. Per sfruttare la vulnerabilità, come detto in precedenza, sono necessarie credenziali di accesso valide all’accesso ad una casella E-Mail.

Alle due vulnerabilità sono stati assegnati i seguenti CVE:

• CVE-2022-41040: Microsoft Exchange Server Elevation of Privilege Vulnerability (CVSS score: 8.8)
• CVE-2022-41082: Microsoft Exchange Server Remote Code Execution Vulnerability (CVSS score: 8.8)

Nonostante attualmente non esista una correzione completa delle vulnerabilità, il personale di Microsoft ha rilasciato delle linee guida su come mitigare la problematica sui propri sistemi. Riportiamo di seguito le istruzioni rilasciate da Microsoft:

• Aprire IIS Manager
• Selezionare il sito Web di default
• Nella sezione Feature View, selezionare URL Rewrite
• Nel menù Actions selezionare Add Rule(s)
• Selezionare Request Blocking e premere OK
• Aggiungere la stringa ".*autodiscover\.json.*\@.*Powershell.*" (escludendo le virgolette)
• Selezionare Regular Expression sotto Using
• Selezionare Abort Request sotto la sezione How to block e quindi premere OK
• Espandere la regola e selezionare la regola con il pattern .*autodiscover\.json.*\@.*Powershell.* , premere Edit sotto Conditions.
• Cambiare la Condition input da {URL} a {REQUEST_URI}

Inoltre, come misure di prevenzione aggiuntive, Microsoft consiglia l’attivazione della multi-factor authentication (MFA), la disattivazione di tutti i protocolli legacy di autenticazione ed una corretta istruzione degli utenti a non accettare eventuali richieste di autenticazione a due fattori non previste o provenienti da fonti non attendibili.

Per un aggiornamento sulla situazione ed una guida più approfondita su come mitigare le vulnerabilità sui vostri sistemi Exchange,vi consigliamo di consultare la guida ufficiale rilasciata dal personale di Microsoft, visitando questo collegamento.

Vi ricordiamo che la vulnerabilità è presente solo sulle versioni “on-premise” di Exchange mentre non risulta essere presente nelle versioni cloud del servizio (Microsoft 365/Ex Office 365).

Il nostro consiglio in merito è quello di applicare tutte le correzioni temporanee rilasciate da Microsoft, utilizzare sempre l’autenticazione a 2 fattori (MFA) e tenere costantemente sotto controllo i log di sistema verificando puntualmente la presenza della stringa “Powershell”.

Il personale che si occupa della manutenzione di WhatsApp ha recentemente rilasciato un aggiornamento di sicurezza che risolve due pericolose vulnerabilità presenti nel noto sistema di messaggistica utilizzato da miliardi di persone in tutto il mondo.

L’ultima versione disponibile di WhatsApp risolve le seguenti vulnerabilità:

• Un overflow di numeri interi (integer overflow) a cui è stato assegnato il CVE-2022-36934. Tale vulnerabilità può permettere l’esecuzione remota di comandi, con la conseguente compromissione del sistema vulnerabile, attraverso una chiamata video appositamente creata. A tale vulnerabilità è stato assegnato un CVSS score di 9.8, che indica appunto un grado di pericolosità critico.
• La seconda vulnerabilità, a cui è stato assegnato il CVE-2022-27492 riguarda la gestione dei contenuti video ricevuti. Un video appositamente creato nel momento in cui viene visualizzato su di un dispositivo vulnerabile può causare l’esecuzione remota di comandi, con la conseguente compromissione del sistema vulnerabile. A tale vulnerabilità è stato assegnato un CVSS score di 7.8, che indica un elevato grado di pericolosità.

Entrambe le vulnerabilità sono presenti sulle versioni precedenti alla 2.22.16.12 di WhatsApp e di WhatsApp Business, sia per i sistemi Android che per i sistemi prodotti dalla Apple basati sul sistema operativo iOS.

Non sono invece coinvolte le versioni utilizzabili tramite browser internet (https://web.whatsapp.com/) o le applicazioni desktop per i sistemi Microsoft Windows o Mac OsX.

Il nostro consiglio è quello ovviamente di aggiornare al più presto possibile ogni versione presente sui vostri sistemi mobili. Per verificare la versione attualmente in uso sui vostri sistemi è sufficiente aprire l’applicazione, recarsi all’interno della voce “Impostazioni”, selezionare di seguito “Aiuto”. Nei sistemi iOS la versione si trova nella parte alta dell’immagine, mentre invece per i sistemi Android è necessario selezionare la voce “Info app” per visualizzare la versione attualmente in uso. Nel caso in cui sia necessario un aggiornamento, sarà necessario recarsi all’interno del proprio store (Google Play Store nel caso dei dispositivi Android e App Store per i dispositivi Apple/iOS) e ricercare l’ultima versione disponibile dell’applicazione.

INFORMAZIONI SULL'EVENTO

L'evento è gratuito ed accessibile a tutti, previa iscrizione.  Tutti gli iscritti riceveranno il link di accesso alla conferenza all'indirizzo email indicato in fase di registrazione il giorno prima dell'evento.

PROGRAMMA

Il mese di agosto ha visto una notevole attività normativa, nonostante il consueto periodo feriale. Visti gli argomenti di sicuro interesse abbiamo pensato di approfondirli nel corso di una conferenza online dedicata.

• Saluti e inizio lavori
• Smartworking
• Congedo di paternità
• Welfare aziendale
• Esonero parziale dei contributi previdenziali a carico dei lavoratori dipendenti
• Estensione ad altre categorie di lavoratori dell’indennità una tantum di 200 euro
• Nuove regole all’atto dell’assunzione di un lavoratore
• Il dibattito: le vostre domande e le nostre risposte
• Presentazione dei nuovi servizi di Gruppo Altea

A questo link potrete consultare il programma e procedere all’iscrizione: https://www.eventbrite.it/e/biglietti-informato-online-le-novita-del-mondo-del-lavoro-spiegate-dagli-esperti-423405516297 

Per ogni informazione potrete contattarci su Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o allo 0113338611.

Vi aspettiamo!

Il personale della Apple nei giorni scorsi ha rilasciato molteplici aggiornamenti dei propri sistemi operativi riguardanti sistemi quali iPhone, iPad e Mac. Tra gli aggiornamenti rilasciati figura un’importante correzione di sicurezza che risolve una vulnerabilità presente all’interno del Kernel che può permettere l’esecuzione di codice arbitrario con privilegi elevati all’interno del sistema vulnerabile.

Ricordiamo che l’esecuzione di codice arbitrario può portare alla completa compromissione dell’apparato, soprattutto se esso avviene con gli stessi privilegi del Kernel del sistema in uso, che dispone dell’accesso completo a tutti i dati che risiedono all’interno dell’hardware.

A tale vulnerabilità è stato assegnato il CVE-2022-32917. Nonostante non siano stati divulgati pubblicamente maggiori dettagli sul funzionamento della vulnerabilità, il personale della Apple avvisa gli utenti della presenza di un exploit funzionante attualmente in vendita all’interno del Dark Web.

Gli aggiornamenti sono disponibili per le versioni di iOS 15.7, iPadOS 15.7, iOS 16, macOS Big Sur 11.7 e macOS Monterey 12.6.

In particolare gli aggiornamenti riguardanti i sistemi mobili iOS e iPadOS sono disponibili solo per i seguenti apparati hardware:

• iPhone 6s e successivi
• iPad Pro (tutti i modelli)
• iPad Air 2 e successivi
• iPad quinta generazione e successivi
• iPad mini 4 e successivi
• iPad touch settima generazione e successivi

Durante l’anno attualmente in corso, il personale della Apple ha risolto 7 vulnerabilità 0-day ed una vulnerabilità 0-day pubblicamente disponibile.

Il nostro consiglio è quello di aggiornare tutti i dispositivi supportati nel più breve tempo possibile. Nel caso in cui si disponga di dispositivi su cui non sia possibile installare l’aggiornamento, vi consigliamo di valutare una loro sostituzione con modelli più aggiornati.

Per effettuare l’aggiornamento sui sistemi iPhone ed iPad è necessario recarsi all’interno delle impostazioni di sistema, nel menù “Generali” e selezionare la voce “Aggiornamento Software”.

Sui sistemi Mac Os X invece è necessario recarsi all’interno del menù Apple, alla voce “Preferenze di Sistema” e successivamente selezionare “Aggiornamento Software”.

SMART WORKING

Dal 1° settembre non è più possibile utilizzare la procedura semplificata introdotta a seguito dell’emergenza COVID: questa viene quindi abrogata e ritornano in vigore le precedenti regole.

Con ciascun lavoratore viene predisposto un accordo scritto, i cui contenuti devono coincidere con le regole che sono state fissate dalla Legge n. 81 del 2017, anche per i tempi di riposo del lavoratore e le modalità di disconnessione.

La comunicazione sul lavoro agile costituisce una mera trasformazione della modalità di svolgimento della prestazione lavorativa e quindi la comunicazione deve essere effettuata entro il termine di 5 giorni.

I sistemi informatici del datore di lavoro devono comunicare con il canale web del ministero: in fase di prima applicazione delle nuove modalità, l’obbligo della comunicazione potrà essere assolto entro il giorno 1/11/2022.

L’accesso alla nuova funzionalità è consentito dal portale servizi.lavoro.gov.it, entrando con Spid o Carta d’identità elettronica.

CONGEDO DI PATERNITÁ

Il D. Lgs. n. 105/2022 (entrato in vigore il 13 agosto) ha introdotto importanti disposizioni per la conciliazione vita-lavoro per genitori e prestatori di assistenza.

In particolare, il congedo di paternità consiste nell’obbligo per il padre lavoratore (anche adottivo o affidatario) di astenersi dal lavoro per un periodo di 10 giorni lavorativi (non frazionabili a ore e fruibili anche in via non continuativa), nell’arco temporale che va dai 2 mesi precedenti la data presunta del parto fino ai 5 mesi successivi alla nascita.

Il congedo può essere fruito anche durante il congedo di maternità della madre lavoratrice ed è compatibile con la fruizione, non negli stessi giorni, del congedo di paternità alternativo. Il padre deve comunicare in forma scritta al datore i giorni in cui intende fruire del congedo obbligatorio, con un anticipo non minore di cinque giorni, possibilmente in relazione all'evento nascita, sulla base della data presunta del parto.

Resta confermata l’indennità giornaliera del 100% della retribuzione per l’intero periodo di congedo.

WELFARE AZIENDALE

L’articolo 12 del Decreto aiuti bis, entrato in vigore il 10 agosto u.s., ha sancito che non concorrono a formare il reddito il valore dei beni ceduti e dei servizi prestati ai lavoratori dipendenti (nonchè le somme erogate o rimborsate ai medesimi dai datori di lavoro per il pagamento delle utenze domestiche del servizio idrico integrato, dell’energia elettrica e del gas naturale) entro il limite complessivo di € 600,00.

ESONERO PARZIALE DEI CONTRIBUTI PREVIDENZIALI A CARICO DEI LAVORATORI DIPENDENTI Sempre il Decreto aiuti bis all’articolo 20 prevede che per i periodi di paga dal 1.07.2022 al 31.12.2022 (compresa la tredicesima mensilità o i relativi ratei erogati nei predetti periodi di paga), l’esonero sulla quota dei contributi previdenziali a carico del lavoratore è incrementato di 1,2 punti percentuali.

ESTENSIONE AD ALTRE CATEGORIE DI LAVORATORI DELL’INDENNITÀ UNA TANTUM DI 200 EURO

Ancora il Decreto aiuti bis prevede che l’indennità una tantum di 200 euro di cui all’art. 31 D.L. 50/2022 è riconosciuta anche ai lavoratori con rapporto di lavoro in essere nel mese di luglio 2022 e che fino alla data del 18.05.2022 non avevano beneficiato dell’esonero di cui all’art. 1, c. 121 L. 234/2021, poiché interessati da eventi con copertura di contribuzione figurativa integrale dall’INPS.

L’indennità è riconosciuta, in via automatica con retribuzione erogata nel mese di ottobre 2022, previa dichiarazione del lavoratore di non aver beneficiato dell’indennità di cui all’art. 31 e di cui all’art. 32

NUOVE REGOLE ALL’ATTO DELL’ASSUNZIONE DI UN LAVORATORE

Si tratta della novità più rilevante del periodo, introdotta a decorrere dal 13 agosto u.s. ai sensi  del cosiddetto Decreto Trasparenza (D.Lgs. n. 104 del 27 giugno 2002, in G.U. del 29 luglio u.s.) e già approfondita nella nostra precedente newsletter.

La nuova normativa introduce numerosi nuovi obblighi per i datori di lavoro al momento della stipula di un contratto di lavoro subordinato.

Di seguito, ci limitiamo a richiamare i principali obblighi informativi, avvertendo che gli stessi (oltre ad altri aspetti) devono essere attentamente valutati ed applicati: per parte nostra affiancheremo i nostri clienti fornendo assistenza e modelli di generale uso da adattare ad ogni singola raltà aziendale.

Diventa obbligatorio indicare nella lettera di assunzione (i nuovi punti sono evidenziati in corsivo):

1. l’identità delle parti ivi compresa quella dei co-datori (artt. 30, c. 4-ter e 31, cc. 3-bis e 3-ter D. Lgs. 276/2003);
2. il luogo di lavoro. In mancanza di un luogo di lavoro fisso o predominante, il datore di lavoro comunica che il lavoratore è occupato in luoghi diversi, o è libero di determinare il proprio luogo di lavoro;
3. la sede o domicilio del datore di lavoro;
4. l’inquadramento, livello e qualifica attribuiti al lavoratore o, in alternativa, caratteristiche o descrizione sommaria del lavoro;
5. la data di inizio del rapporto di lavoro;
6. tipologia di rapporto di lavoro, precisando in caso di rapporti a termine la durata prevista dello stesso;
7. nel caso di lavoratori dipendenti da agenzia di somministrazione di lavoro, identità delle imprese utilizzatrici, quando e non appena è nota;
8. la durata del periodo di prova, se previsto;
9. il diritto a ricevere la formazione erogata dal datore di lavoro, se prevista;
10. la durata del congedo per ferie, nonché degli altri congedi retribuiti cui ha diritto il lavoratore o, se ciò non può essere indicato all’atto dell’in- formazione, le modalità di determinazione e di fruizione degli stessi;
11. la procedura, forma e termini del preavviso in caso di recesso del datore di lavoro o del lavoratore;
12. importo iniziale della retribuzione o comunque compenso e relativi elementi costitutivi, con l’indicazione del periodo e delle modalità di pagamento;
13. la programmazione dell’orario normale di lavoro e eventuali condizioni relative al lavoro straordinario e alla sua retribuzione, nonchè eventuali condizioni per i cambiamenti di turno, se il contratto di lavoro prevede un’organizzazione dell’orario di lavoro in tutto o in gran parte prevedibile;
14. se il rapporto di lavoro, caratterizzato da modalità organizzative in gran parte o interamente imprevedibili, non prevede un orario normale di lavoro programmato, il datore di lavoro informa il lavoratore circa:

• la variabilità della programmazione del lavoro, l’ammontare minimo delle ore retribuite garantite e la retribuzione per il lavoro prestato in aggiunta alle ore garantite;
• le ore e i giorni di riferimento in cui il lavoratore è tenuto a svolgere le prestazioni lavorative;
• il periodo minimo di preavviso a cui il lavoratore ha diritto prima dell’inizio della prestazione lavorativa e, ove ciò sia consentito dalla tipologia contrattuale in uso e sia stato pattuito, il termine entro cui il datore di lavoro può annullare l’incarico.

15. contratto collettivo, anche aziendale, applicato al rapporto di lavoro, con l’indicazione delle parti che lo hanno sottoscritto;
16. enti e istituti che ricevono i contributi previdenziali e assicurativi dovuti dal datore di lavoro e qualunque forma di protezione in materia di sicurezza sociale fornita dal datore di lavoro stesso;
17. ulteriori obblighi informativi qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati.

Vi informiamo che tutti gli argomenti sopra trattati saranno da noi approfonditi nel corso della conferenza organizzata da Studio Altea il giorno 21 settembre 2022 a Torino.

L’evento è gratuito per tutti i clienti. L'accesso per i non clienti prevede una quota di iscrizione di € 50,00.  A questo link potrete consultare il programma e procedere all’iscrizione:

https://www.eventbrite.it/e/415201868967 i posti sono limitati!

Per ogni informazione potrete contattarci inoltre allo 0113338611.

Nella giornata di venerdì è stato rilasciato un aggiornamento del browser Internet Google Chrome, atto a risolvere una pericolosa problematica di sicurezza che secondo quanto riportato dal personale di Google viene attualmente sfruttata da malintenzionati per la compromissione dei sistemi vulnerabili.

La vulnerabilità, a cui è stato assegnato il CVE-2022-3075, riguarda la libreria denominata “Mojo”, presente in tutte le versioni di Google Chrome. Secondo quanto riportato, il problema riguarda l’interpretazione dei dati da parte di tale libreria.

Maggiori dettagli sul funzionamento della libreria Mojo possono essere consultati direttamente al seguente URL:

• https://chromium.googlesource.com/chromium/src/+/HEAD/mojo/README.md

Attraverso tale problematica di sicurezza un malintenzionato può effettuare l’installazione di malware sul sistema vulnerabile attraverso un sito Web appositamente creato.

Risulta pertanto urgente effettuare un aggiornamento di Google Chrome all’ultima versione disponibile, che attualmente risulta essere la 105.0.5195.102.

Per fare questo è sufficiente aprire Google Chrome e digitare nella barra degli indirizzi il seguente URL:

• chrome://settings/help

A seguito di un controllo della disponibilità di una nuova versione, sarà necessario riavviare Chrome per applicare l’aggiornamento.

PRECISAZIONE

Saranno certamente necessari ulteriori approfondimenti, e auspicabili interventi di chiarimento da parte degli enti competenti. Sin d’ora però, osserviamo che viene incrementata in maniera esorbitante la quantità degli obblighi informativi senza un concreto vantaggio per la tutela dei diritti dei lavoratori.

Molte previsioni inoltre, per essere applicate dovranno venire armonizzate e rese omogenee con altre norme e con i contratti collettivi di lavoro.

Intanto, di seguito riassumiamo le principali novità, con l’avvertenza che (come sempre nel passato) predisporremo dei modelli relativi alle principali tipologie di contratti di lavoro (tempo determinato, indeterminato, e part time) che metteremo a disposizione a richiesta delle aziende interessate. Con l’avvertenza che la complessità della nuova normativa richiederà dal 13 agosto p.v. non poco tempo e collaborazione per predisporre le nuove lettere di assunzione.

Tanto meglio potremo fornire la nostra assistenza, se ci fornirete copia dei modelli attualmente in uso nelle Vostre aziende. Quanto segue ha il solo scopo di mettere i datori di lavoro nelle condizioni di adempiere ai principali obblighi dal 13 agosto p.v.

Tutto ciò premesso, il decreto sancisce:

• • al Capo secondo, le informazioni sul rapporto di lavoro, oggetto della presente sintesi;
  • al Capo Terzo, le prescrizioni minime relative alle condizioni di lavoro, quali: la durata massime del periodo di prova, il cumulo di impieghi da parte del lavoratore, la prevedibilità minima del lavoro, la formazione obbligatoria;
  • al Capo Quarto, le misure di tutela, quali meccanismi di risoluzione rapida delle controversie, la protezione contro il licenziamento;

LE INFORMAZIONI SUL RAPPORTO DI LAVORO

 Va premesso e ricordato che le informazioni:

1. devono essere comunicate in formato cartaceo oppure elettronico
2. devono essere conservate e rese accessibili al lavoratore in ogni momento
3. il datore di lavoro ne conserva la prova della trasmissione o della ricezione per la durata di 5 anni dalla conclusione del rapporto di lavoro

Devono essere consegnate al lavoratore entro 7 (sette) giorni dall’inizio della prestazione lavorativa. Ma ricordato che il periodo di prova ha efficacia soltanto se comunicato al lavoratore prima dell’inizio del rapporto di lavoro, si raccomanda di predisporre e consegnare la lettera di assunzione sempre prima dell’assunzione.

Le disposizioni del decreto entrano in vigore il 13 agosto p.v., ma riguardano anche tutti gli assunti dal 1 agosto.

Peraltro, dalla lettura del testo del decreto e dalle prime riflessioni pervenute da più parti, resta escluso che si debba provvedere ad integrare quanto già comunicato all’atto dell’assunzione in questi primi giorni di agosto.

Tenere presente che l'art. 16 del decreto dispone che il datore di lavoro è tenuto a fornire, aggiornare o integrare le informazioni già date entro 60 giorni dalla data della richiesta del lavoratore,

Che cosa è necessario prevedere dal 13 agosto p.v. 

(di seguito in grassetto le novità rispetto alla precedente normativa del 1997)

1. L'identità delle parti ivi compresa quella dei co-datori in caso di codatorialità (dovrebbe trattarsi dei contratti di rete);
2. Il luogo di lavoro. In mancanza di un luogo di lavoro fisso o predominante, il datore di lavoro comunica che il lavoratore è occupato in luoghi diversi, o è libero di determinare il proprio luogo di lavoro;
3. La sede o il domicilio del datore di lavoro;
4. L'inquadramento, il livello e la qualifica attribuiti al lavoratore o, in alternativa, le caratteristiche o la descrizione sommaria del lavoro;
5. La data di inizio del rapporto di lavoro;
6. La tipologia di rapporto di lavoro, precisando in caso di rapporti a termine la durata prevista dello stesso;
7. Nel caso di lavoratori dipendenti da agenzia di somministrazione di lavoro, l'identità delle imprese utilizzatrici, quando e non appena sia nota;
8. La durata del periodo di prova, se previsto;
9. Il diritto a ricevere la formazione erogata dal datore di lavoro, se prevista;
10. La durata del congedo per ferie, nonché degli altri congedi retribuiti cui ha diritto il lavoratore o, se ciò non può essere indicato all’atto dell’informazione, le modalità di determinazione e fruizione degli stessi;
11. La procedura, la forma e i termini del preavviso in caso di recesso del datore di lavoro o del lavoratore;
12. L'importo iniziale della retribuzione o comunque il compenso e i relativi elementi costitutivi, con l'indicazione del periodo e delle modalità di pagamento;
13. La programmazione dell'orario normale di lavoro e le eventuali condizioni relative al lavoro straordinario e alla sua retribuzione, nonché le eventuali condizioni per i cambiamenti di turno, se il contratto di lavoro prevede un'organizzazione dell'orario di lavoro in tutto o in gran parte prevedibile;
14. Se il rapporto di lavoro, caratterizzato da modalità organizzative in gran parte o interamente imprevedibili, non prevede un orario normale di lavoro programmato, il datore di lavoro informa il lavoratore circa:

1. 1. La variabilità della programmazione del lavoro, l’ammontare minimo delle ore retribuite garantite e la retribuzione per il lavoro prestato in aggiunta alle ore garantite;
   2. Le ore e i giorni di riferimento in cui il lavoratore è tenuto a svolgere le prestazioni lavorative;
   3. Il periodo minimo di preavviso a cui il lavoratore ha diritto prima dell’inizio della prestazione lavorativa e, ove ciò sia consentito dalla tipologia contrattuale in uso e sia stato pattuito, il termine entro cui il datore di lavoro può annullare l’incarico;

15. Il contratto collettivo, anche aziendale, applicato al rapporto di lavoro, con l’indicazione delle parti che lo hanno sottoscritto;
16. Gli enti e gli istituiti che ricevono i contributi previdenziali e assicurativi dovuti dal datore di lavoro e qualunque forma di protezione in materia di sicurezza sociale fornita dal datore di lavoro stesso;
17. Gli elementi previsti dal successivo Art. 1-BIS qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati.

A queste disposizioni di immediata applicazione seguono ulteriori adempimenti informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati. Argomenti che richiedono molti approfondimenti, che rimandiamo alle prossime settimane, anche per ciò che concerne quanto previsto dal Capo terzo e quarto del decreto.

Un nuovo gruppo di cyber criminali, di cui ancora si conosce poco, ha iniziato la diffusione di un nuovo ransomware, denominato 0mega, che analogamente ad altri suoi predecessori, a seguito dell’avvenuta infezione del sistema crittografa e trafuga ogni dato presente sul sistema. I dati trafugati vengono resi disponibili dopo un tempo prestabilito all’interno di un sito appositamente creato ospitato sulla rete TOR.

Secondo quanto comunicato dai ricercatori, tale ransomware a seguito della crittografia dei dati rinomina ogni file presente sul sistema aggiungendo l’estensione “.0mega”, rendendoli di fatto completamente illeggibili. Non è ancora chiara la tecnica di crittografia utilizzata dalla nuova organizzazione criminale, né se in qualche modo sia possibile recuperare i dati crittografati.

Il ransomware per la sua diffusione sfrutta le comuni tecniche di phishing tramite comunicazioni di posta elettronica che in qualche modo inducono l’utente ad aprire l’allegato presentato all’interno dell’E-Mail ricevuta.

A seguito della crittografia dei dati, viene inserito all’interno di ogni directory contenente dati crittografati un file di testo, denominato “DECRYPT-FILES.txt”. All’interno del file di testo vengono spiegate le modalità di recupero dei propri dati, che consistono nel pagamento di un riscatto in Bitcoin o equivalente valuta digitale. All’interno del documento viene inoltre avvisato l’utente che i propri dati sono stati trafugati e verranno pubblicati sulla rete TOR nel caso in cui non venga pagato il riscatto.

Il nostro consiglio in ambito aziendale valido in generale per ogni minaccia di questo tipo è riassumibile fondamentalmente nei punti riportati di seguito:

• Implementare una soluzione di Anti-Virus centralizzata, che permetta l’aggiornamento, la gestione e la raccolta dei log centralizzata. In questo modo l’azienda avrà evidenza di un eventuale sistema infetto senza che sia l’utilizzatore del sistema a comunicare la problematica.
• Formare in modo adeguato i propri dipendenti in materia di Cyber Security, al fine di offrire loro una base comportamentale in caso di problemi o sospetti problemi al proprio strumento informatico.
• Effettuare periodicamente, in modo automatizzato, backup dei dati aziendali. Nella peggiore delle ipotesi, a seguito di un’infezione da parte di un ransomware, sarà possibile recuperare i dati crittografati all’interno di un precedente backup.

Vi ricordiamo che il personale della PrivaCycura è a vostra disposizione per tutto quello che riguarda la sicurezza della vostra Azienda e offre un completo corso di Cyber Security disponibile sia online che in presenza.

Retribuzione nella quale riconoscere l’indennità una tantum per i lavoratori

L’articolo 31 del decreto-legge 17 maggio 2022, n. 50, prevede per i lavoratori dipendenti, in possesso di determinati requisiti, l’erogazione di un’indennità una tantum di importo pari a 200 euro che sia “riconosciuta per il tramite dei datori di lavoro nella retribuzione erogata nel mese di luglio 2022”.

L’INPS, d’intesa con il Ministero del Lavoro e delle politiche sociali, afferma invece che la retribuzione nella quale riconoscere l’indennità da parte dei datori di lavoro è quella di competenza del mese di luglio 2022.

"In ragione dell’articolazione dei singoli rapporti di lavoro (ad esempio, part-time ciclici) o della previsione dei CCNL”, il Messaggio INPS fa invece riferimento a “quella erogata nel mese di luglio del corrente anno, seppure di competenza del mese di giugno 2022”.

Non è chiaro quindi che fare almeno per la maggior parte delle aziende il cui CCNL prevede il pagamento delle paghe nel corso del mese successivo. Secondo il parere de “Il Sole 24 Ore” di ieri, in questi casi i 200 € andrebbero inseriti nelle paghe di giugno pagate a luglio.

Prima di dare risposte definitive ai lavoratori dipendenti, consigliamo di attendere ancora qualche giorno: ci dovrà essere sicuramente qualche nuova spiegazione istituzionale, si spera più chiara ed esplicita! Ribadiamo inoltre che attendiamo ancora una Circolare esplicativa, anche per tutti gli aspetti contabili. 

Soggetti destinatari dei 200 euro

Il messaggio INPS chiarisce meglio la platea dei destinatari:

• Lavoratori in forza nel mese di luglio.
• Personale in forza ma in sospensione per effetto degli ammortizzatori sociali.
• Tempi indeterminati e determinati.
• Esclusi i pensionati ed i percettori del reddito di cittadinanza.

Vi aggiorneremo non appena avremo novità!

Il personale della Proofpoint Threat Insights ha identificato una nuova variante del celebre Trojan bancario denominato “EMOTET”. La nuova variante aggiunge alle precedenti funzionalità del Trojan un modulo appositamente creato per raccogliere informazioni riguardanti le carte di credito memorizzate all’interno di Google Chrome e successivamente inviarle ad un sistema remoto utilizzato per la memorizzazione dei dati trafugati.

EMOTET inizia la sua attività di diffusione e infezione nel 2014, per poi scomparire nel mese di novembre 2021, a seguito di un’operazione denominata LadyBird. Durante tale operazione è stato preso il controllo da parte delle forze dell’ordine dei sistemi di controllo del Malware, e successivamente a tutti i sistemi infetti è stata inviata una nuova configurazione del trojan, che prevedeva la completa rimozione e pulizia del malware.

Oggi a quanto pare EMOTET è tornato attivo in una nuova versione che, come fatto notare da molti ricercatori, si focalizza unicamente su un unico obiettivo: trafugare le carte di credito memorizzate all’interno di Google Chrome.

Le nazioni che risultano attualmente più colpite da EMOTET sono Giappone, Italia e Messico.

Il malware utilizza come vettore di infezione principale le e-mail e utilizza diverse tecniche per tentare la sua esecuzione, tra cui possiamo citare il classico allegato Word o Excel contenente al suo interno una macro che tenta il download e l’esecuzione del malware. La nuova versione utilizza inoltre nuove tecniche di infezione, per esempio la presenza di un allegato avente estensione .LNK (collegamento dei sistemi Windows) che tenta l’esecuzione di comandi attraverso la Power Shell di Windows.

Per prevenire minacce di questo tipo consigliamo vivamente alle aziende:

• L’implementazione dei software di aggiornamento e controllo dei sistemi informatici aziendali che permettano la gestione ed il mantenimento remoto del sistema.
• L’implementazione di una soluzione di Anti-Virus centralizzata, che permetta una gestione ed una raccolta dei log centralizzata.
• La formazione dei dipendenti in materia di Cyber Security, al fine di offrire loro una base comportamentale in caso di problemi o sospetti problemi al proprio strumento informatico.

Ricordiamo che il personale della PrivaCycura è a vostra disposizione per tutto quello che riguarda la sicurezza della vostra Azienda incluso un completo corso di Cyber Security disponibile sia in online che in presenza presso la nostra sede a Torino.

Negli scorsi giorni, il personale della Nao_Sec ha comunicato su Twitter di aver scoperto una nuova vulnerabilità presente nella suite di Office, attualmente sfruttata per l’infezione da parte di Malware.

La vulnerabilità è stata scoperta attraverso l’analisi di un file analizzato tramite VirusTotal. E’ emerso che da indirizzo IP di provenienza Bielorussa è stato effettuato l’upload di un documento con estensione “.doc” al cui interno si cela una parte di codice che permette l’esecuzione di codice arbitrario sul sistema che ha effettuato l’apertura del documento malevolo. L’esecuzione del codice arbitrario avviene attraverso una vulnerabilità di cui non si avevano tracce in precedenza.

Al nuovo malware è stato assegnato il nome di “Follina”, poiché al suo interno è stata trovata la sequenza numerica “0438”, che rappresenta il prefisso telefonico per l’appunto del paese di Follina, nella provincia di Treviso.

La vulnerabilità sfrutta la funzionalità di template remoti di Microsoft Word per effettuare il download di un file HTML da un sistema remoto attraverso la rete internet. All’interno di tale file si trova un richiamo al protocollo “ms-msdt”. Tale protocollo negli ambienti Microsoft viene utilizzato per la raccolta dati e la risoluzione automatica dei problemi del sistema operativo. In questo caso, attraverso specifiche opzioni, viene utilizzato per l’esecuzione di una serie di comandi che terminano con l’esecuzione del Malware stesso. Come dichiarato dai ricercatori “tale utilizzo del protocollo ms-msdt non era previsto dal personale Microsoft”.

Purtroppo non è stato possibile effettuare un’analisi completa delle azioni intraprese dal malware a seguito della sua esecuzione, poiché nel momento in cui è stata effettuata la scoperta dai ricercatori, i sistemi da cui veniva prelevata una parte del Malware risultavano non più disponibili. Esso rappresenta però un’importante vulnerabilità che potrebbe essere attualmente sfruttata da malintenzionati, attraverso semplici E-Mail che contengono al loro interno il documento malevolo.

Attualmente l’Antivirus di sistema presente su tutti i sistemi operativi Microsoft (Windows Defender) non risulta essere in grado di rilevare o bloccare tale Malware. I ricercatori hanno effettuato molteplici test su diverse versioni di Office, e ne è risultato che la vulnerabilità funziona su tutte le versioni di Office, ad esclusione dell’ultima versione di Office 365 su cui sono state applicate tutte le correzioni di sicurezza disponibili. Questo indica che il personale di Microsoft sta lavorando ad una possibile soluzione, che verrà presumibilmente rilasciata nei prossimi giorni.

Il nostro consiglio è quello di diffidare da ogni documento Word ricevuto, soprattutto se proveniente da una fonte non attendibile. Nel caso di dubbi sul contenuto, effettuare una scansione del file attraverso VirusTotal (https://www.virustotal.com/) prima dell’apertura dello stesso. Alcuni antivirus sono attualmente in grado di rilevare e bloccare tale problematica di sicurezza, tra cui possiamo citare Sophos, TrendMicro, Symantec, Bitdefender e NOD32. Nel caso di un ambiente aziendale, provvedere prontamente a dare comunicazione della problematica di sicurezza al personale dipendente, offrendo loro una chiara descrizione dei potenziali rischi che si possono avere nell’aprire un documento Word proveniente da una fonte non attendibile.

Secondo quanto comunicato dal personale della Zyxel, una vulnerabilità contenuta all’interno delle CGI (Common Gateway Interface) di alcuni Firewall può permettere ad un attaccante remoto la modifica di alcuni file di sistema e l’esecuzione di remota di comandi, con la potenziale compromissione completa dell’apparato.

La vulnerabilità è stata scoperta nel mese di aprile dal personale della Rapid7, nota firma nel settore della CyberSecurity. Secondo quanto dichiarato inizialmente dal personale della Rapid7, la vulnerabilità può permettere ad un attaccante remoto l’esecuzione di codice sul dispositivo senza possedere di credenziali di accesso valide.

Maggiori informazioni possono essere reperite direttamente attraverso il comunicato ufficiale rilasciato dal personale della Rapid7 al seguente URL:

https://www.rapid7.com/blog/post/2022/05/12/cve-2022-30525-fixed-zyxel-firewall-unauthenticated-remote-command-injection/

Alla vulnerabilità è stato assegnato il CVE-2022-30525, con un punteggio di gravità pari a 9,8 (critico). La vulnerabilità è presente sui seguenti apparati prodotti dalla Zyxel:

• USG FLEX 100(W), 200, 500, 700
• USG FLEX 50(W) / USG20(W)-VPN
• Tutti gli apparati della serie ATP
• Tutti gli apparati della serie VPN

Il personale della Rapid7 ha inoltre aggiunto che attualmente sono presenti almeno 16.213 apparati Zyxel vulnerabili sulla rete Internet e che probabilmente tale vulnerabilità verrà utilizzata da malintenzionati come vettore di attacco.

Riportiamo di seguito la comunicazione ufficiale rilasciata dal personale della Zyxel, che comprende anche maggiori dettagli sulle versioni di Firmware coinvolte:

https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

Il nostro consiglio è quello di aggiornare tutti gli apparati vulnerabili nel più breve tempo possibile e, se possibile, verificare i log di sistema dei giorni passati per verificare se l’apparato possa essere stato compromesso prima del rilascio degli aggiornamenti.

All’interno degli aggiornamenti cumulativi del martedì il personale della Microsoft ha rilasciato un totale di 74 aggiornamenti di sicurezza relativi ai propri sistemi Windows, di cui 7 sono state classificati come “critici”, 66 come “importanti” e solo 1 di essi è stato classificato come “di bassa gravità”.

Tra le vulnerabilità corrette 24 di esse possono causare l’esecuzione remota di codice (Remote Code Execution – RCE), 17 presentano problemi di divulgazione di informazioni (Information Disclosure) e 6 di esse possono causare l’interruzione del servizio offerto dal sistema vulnerabile (Denial of Service - DOS).

In particolare, segnaliamo una pericolosa vulnerabilità che può permettere ad un attaccante di autenticarsi ad un dominio Microsoft senza essere in possesso di valide credenziali di accesso. La vulnerabilità risiede all’interno del protocollo LSARPC, utilizzato all’interno dei sistemi Windows per la gestione delle policy di sicurezza all’interno di un Domain Controller attraverso un sistema remoto. L’aggiornamento controlla l’accesso al protocollo LSARPC e blocca l’accesso in caso di connessione anonima.

Le altre vulnerabilità recentemente risolte riguardano problemi di esecuzione remota di codice (RCE) su molteplici protocolli e servizi, tra cui citiamo:

• vulnerabilità contenute all’interno del file system di rete NTFS (Network File System) a cui è stato assegnato il CVE-2022-2693.
• vulnerabilità contenute nell’implementazione del protocollo LDAP all’interno dei sistemi Windows, a cui sono stati assegnati i CVE-2022-22012 e CVE-2022-29130.
• vulnerabilità contenute nelle API di sistema denominate Windows Graphics, a cui è stato assegnato il CVE-2022-26927
• vulnerabilità contenute all’interno del Kernel dei sistemi Windows, a cui è stato assegnato il CVE-2022-29133
• vulnerabilità contenute all’interno del sistema di Remote Procedure Call (RPC) dei sistemi Windows, a cui è stato assegnato il CVE-2022-22019
• una vulnerabilità presente all’interno del software denominato “Visual Studio Code”, a cui è stato assegnato il CVE-2022-30129

L’elenco completo di tutte le vulnerabilità corrette da Microsoft durante l’ultimo martedì degli aggiornamenti è disponibile al seguente URL:

https://msrc.microsoft.com/update-guide/releaseNote/2022-May

Il nostro consiglio è quello di applicare il prima possibile tutti gli aggiornamenti disponibili sui sistemi Microsoft Windows, con particolare attenzione a tutti i sistemi che possono contenere dati particolarmente sensibili o offrire servizi disponibili attraverso la rete Internet. Vi ricordiamo che in ambienti Aziendali particolarmente estesi, è consigliabile l’utilizzo di un sistema automatizzato di aggiornamento dei sistemi in gestione, come può essere ad esempio WSUS (Windows Server Update Service).

Il ransomware Black Basta è stato rilevato recentemente anche in Italia, ed utilizza analogamente ad altri malware della stessa tipologia la classica tecnica della doppia estorsione. A seguito dell’avvenuta infezione del sistema, i dati vengono trafugati e inviati ad un sistema remoto sotto il controllo dei malintenzionati. Successivamente, tutti i dati presenti sul sistema infetto vengono crittografati e resi pertanto illeggibili. Al termine dell’operazione di crittografia, viene inserito all’interno del sistema un vero e proprio ricatto del tipo: se vuoi accedere nuovamente ai tuoi dati e non vuoi che vengano divulgati pubblicamente, devi versare una somma in denaro.

Come è possibile notare, il modus operandi utilizzato dai malintenzionati è simile se non uguale a tanti altri ransomware, ma la differenza tra Black Basta ed altri ransomware appartenenti alla categoria dei cryptolocker risiede nel suo funzionamento: a seguito della sua esecuzione e dell’ottenimento dei privilegi necessari sul sistema vittima, il malware prenderà il controllo di uno dei servizi del sistema Windows infetto e tramite esso proseguirà con l’operazione di crittografia dei dati. Nel campione analizzato, il servizio utilizzato è stato quello di FAX di Windows, ma non è da escludere che vengano utilizzati altri servizi per il medesimo scopo, o che una futura versione del malware tenti di utilizzare diversi servizi di sistema.

Il gruppo rivendica le proprie vittime all’interno di un sito contenuto nella rete Tor. Si ritiene che il gruppo abbia iniziato le sue attività criminali nel mese di aprile. All’interno della pagina Web controllata dagli autori del malware, si può notare come nonostante il breve periodo di attività, ci siano già 10 vittime tra cui figura anche una PMI italiana, la LECLHER S.p.A., che opera nel settore chimico/industriale.

Il nostro consiglio è quello di proteggere i sistemi Aziendali con software e metodologie adeguate, quali Antivirus centralizzati, verifiche periodiche delle infrastrutture informatiche, sistemi di backup automatizzati che prevedano una verifica periodica dei dati e, non per ultima, una costante formazione del proprio personale sulle nuove minacce informatiche ed i metodi per difendersi da esse. A tal proposito vi ricordiamo che il personale della PrivaCycura è a vostra disposizione per ogni attività riguardante la sicurezza della vostra Azienda e la formazione e sensibilizzazione del proprio personale.

È stata attivata una campagna di phishing che tenta di rubare le credenziali di accesso bancarie dei clienti Unicredit. Analogamente a quanto avviene con altri tentativi di phishing, tutto inizia con una comunicazione E-Mail, che avvisa l’utente che il suo conto è stato bloccato a seguito dell’accesso non autorizzato da parte di una persona proveniente da un diverso indirizzo IP.

La mail ricevuta ha come mittente info1757[@]vps2283565.servdiscount-customer.com, e riporta al suo interno il seguente testo:

“Gentile cliente,

Qualcuno ha provato a entrare sul tuo account Unicredit da un altro indirizzo IP. Cortesemente verifica la tu identità oggi, altrimenti il tuo account verrà disabilitato per le nostre preoccupazioni sulla sicurezza e l’integrita della comunità Unicredit. Per verificare la tua identità, ti raccomandiamo di andare su:

Verifica Ora – Clicca qui

Grazie,

Unicredit Sicurezza. “

Seguendo il collegamento contenuto all’interno della voce “Clicca qui” si verrà indirizzati verso un sito fraudolento, con l’aspetto molto simile alla pagina di inserimento di credenziali di Unicredit. Chiaramente, l’inserimento delle credenziali all’interno di tale sito web comporterà il furto delle nostre credenziali.

Avete notato i 2 elementi tipici di un’azione di phishing?

• l’indirizzo del mittente non corrisponde al dominio reale di Unicredit
• la comunicazione ricevuta ci trasmette un senso di urgenza al fine di convincere l’utente ad intraprendere le azioni richieste.

Segnaliamo che sul sito della Unicredit è presente una piccola guida che insegna come difendersi da truffe di questo tipo e che include i contatti da utilizzare nel caso ci si renda conto di essere stati vittima di frode. La guida è consultabile al seguente URL:

• https://www.unicredit.it/it/info/sicurezza/riconoscere-le-frodi-online.html

Il nostro consiglio in ambito Aziendale è quello di utilizzare strumenti automatizzati per la protezione dei propri dati personali, quali antivirus ed altri strumenti appositamente creati e fornire un’adeguata formazione ai propri dipendenti, in modo che sappiano come comportarsi in caso di tentativi di frode tramite comunicazioni E-Mail. A tal proposito vi ricordiamo che il personale della PrivaCycura è a vostra disposizione: è possibile contattarci tramite il form di contatto presente all’interno del sito o all’indirizzo e-mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

I ricercatori della CloudSEK hanno scoperto un sito Internet che si presenta come un aggiornamento gratuito a Windows 11 per qualsiasi sistema, ma in realtà all’interno nasconde un pericoloso malware.

Windows 11, ultimo sistema operativo prodotto da Microsoft, richiede un sistema abbastanza recente per essere installato, ed in particolare tale sistema deve avere il sopporto per il TPM 2.0 (Trusted Platform Module). Per questo motivo, un gran numero di sistemi è attualmente incompatibile con Windows 11. Sfruttando la difficoltà di alcuni utenti ad aggiornare il proprio sistema operativo alla versione 11 di Windows, alcuni gruppi di malintenzionati stanno conducendo campagne, prevalentemente via mail, in cui tentano di convincere gli utenti a prelevare attraverso un loro sito web una versione di Windows 11 che è compatibile con qualsiasi hardware.

Il sito su cui l’utente viene indirizzato, il cui aspetto ricorda il classico portale Microsoft, presenta al suo interno un pulsante tramite cui è possibile effettuare il download di una copia completamente gratuita di Windows 11, pienamente compatibile con qualsiasi hardware. In realtà il file ISO prelevato dal sito Web a seguito della pressione del tasto di download nasconde al suo interno il malware “Inno Stealer”. L’installante utilizzato per l’infezione da parte del malware utilizza una parte di Windows Installer, in modo da apparire come una reale installazione di Windows 11. Il processo di installazione una volta eseguito tenta di disabilitare importanti funzionalità di sicurezza del sistema operativo stesso, quale ad esempio Windows Defender. Secondo le analisi effettuate dai ricercatori tale software tenta inoltre di disabilitare prodotti di sicurezza quali ad esempio i software prodotti dalla ESET, e dalla EMISOFT.

A seguito della sua installazione, che ovviamente non porterà ad ottenere Windows 11 gratuitamente, viene creata una directory denominata “Windows11InstallationAssistant” all’interno del sistema in “c:\Users\\AppData\Roaming\”. Al suo interno viene depositato un file denominato “Windows11InstallationAssistant.scr”, che durante la sua esecuzione trafuga informazioni dai browser Internet di sistema, trafuga le password salvate sul sistema, tenta di accedere ad altri sistemi nella stessa rete e se presenti tenta di rubare le credenziali di accesso di un eventuale portafoglio virtuale di cripto valute. Tutti i dati trafugati vengono trasmessi ad un sistema remoto sotto il controllo dell’attaccante.

Tale malware risulta pertanto particolarmente pericoloso, poiché in grado di eludere i sistemi di sicurezza più comunemente presenti sul sistema, rimanere completamente “silenzioso” e trafugare informazioni sensibili dal sistema infetto.

Se volete approfondire l’argomento, vi consigliamo un’interessante analisi tecnica del Malware prodotta dal personale della Bleeping Computer, reperibile al seguente URL:

• https://www.bleepingcomputer.com/news/security/unofficial-windows-11-upgrade-installs-info-stealing-malware/

Il nostro consiglio in questo caso, valido anche in generale, è quello di diffidare di tutte le comunicazioni che promettono qualcosa di gratuito e vantaggioso, soprattutto se presentano un download ed un’installazione di software. Nello specifico caso, in ambienti Aziendali, è necessario installare solo software ritenuto sicuro, proveniente da fonti attendibili. Anche in questo caso, una corretta formazione del proprio personale è da ritenersi necessaria, per evitare in futuro spiacevoli situazioni.

Sono disponibili nuovi aggiornamenti dei Firmware per i sistemi Notebook, al fine di correggere 3 pericolose vulnerabilità.

Tali vulnerabilità, a cui sono stati assegnati i CVE-2021-3970, CVE-2021-3971, e CVE-2021-3972, sono capaci di far sì che un agente di minaccia esterno possa disabilitare sistemi di sicurezza quali la protezione della scrittura del Firmware (SPI flash protection) ed il Secure Boot, permettendo l’installazione di Malware direttamente all’interno del Firmware di sistema.

La modifica e la conseguente installazione di un Malware all’interno del Firmware di sistema permetterebbe all’attaccante di far sopravvivere l’infezione anche a seguito di un riavvio del sistema, o ad una eventuale re-installazione completa del sistema operativo, ottenendo di fatto un Malware “persistente”, che può anche eludere i controlli effettuati da un eventuale Anti-Virus presente sul sistema.

Secondo quanto dichiarato da un ricercatore della ESET “i Firmware coinvolti dovevano essere disponibili unicamente durante la produzione dei sistemi Notebook della Lenovo”.

Per maggiori informazioni in merito alle vulnerabilità scoperte, vi consigliamo la lettura del report pubblicato dal personale della ESET, al seguente URL:

• https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/

I sistemi coinvolti risultano essere i notebook Lenovo IdeaPads, Legon, tutti gli appartenenti alla serie V14, V15, V17 e tutti i sistemi della serie Yoga.

L’elenco completo dei sistemi Lenovo coinvolti è reperibile al seguente URL:

• https://support.lenovo.com/us/en/product_security/LEN-73440#Lenovo%20Notebook

Il nostro consiglio è quello di verificare su tutti i sistemi Lenovo la disponibilità di un nuovo Firmware di sistema, attraverso gli appositi software forniti all’interno del sistema operativo e di effettuare l’eventuale aggiornamento il prima possibile.

Ricordiamo che l’aggiornamento del Firmware rappresenta un’operazione delicata, pertanto verificate il livello batteria del vostro dispositivo oppure lasciatelo direttamente ad una fonte di alimentazione per tutta la durata dell’aggiornamento: interruzioni elettriche o spegnimenti improvvisi potrebbero causare un blocco completo del sistema a causa di un Firmware di sistema non funzionante.

Il personale della Microsoft ha rilasciato durante l’ultimo aggiornamento cumulativo 128 correzioni di sicurezza riguardanti i sistemi Windows.

Degli aggiornamenti rilasciati, 10 di essi sono stati classificati come “Critici”, 115 come “Importanti” e solamente 3 di essi sono stati classificati come “Moderati”.

In particolare, uno di questi risulta attualmente sfruttato per scopi malevoli. Si tratta di una vulnerabilità che permette di elevare i propri privilegi all’interno del sistema attraverso il modulo di sistema denominato CLFS (Common Log File System). Tale vulnerabilità permette di ottenere i privilegi amministrativi del sistema attraverso un utente con privilegi limitati. La vulnerabilità è stata scoperta dal personale dell’ Agenzia Nazionale della Sicurezza degli Stati Uniti (NSA) e dai ricercatori Adam Podlosky e Amir Bazine della CrowdStrike, nota azienda americana che si occupa di sicurezza informatica ed identificata con il codice CVE-2022-24521.

Anche la seconda vulnerabilità definita “Critica” permette di ottenere privilegi amministrativi all’interno del sistema, tramite un utente avente privilegi limitati. Tale vulnerabilità, a cui è stato assegnato il CVE-2022-26904, riguarda una problematica di sicurezza contenuta all’interno del modulo di sistema denominato “Windows User Profile Service”.

Per quel che riguarda le restanti vulnerabilità, le più pericolose riguardano il Server Message Block -  SMB di Windows (CVE-2022-24500), il Network File System – NFS  di Windows (CVE-2022-24491 e CVE-2022-24497), il servizio Server di Windows (CVE-2022-24541), e Microsoft Dynamics 365 (CVE-2022-23259).

Inoltre, tra le correzioni di sicurezza effettuate, risultano anche 18 aggiornamenti relativi al servizio di DNS offerto dal sistema operativo Microsoft Windows, di cui troviamo un information disclosure e 18 problemi di sicurezza legati all’esecuzione remota di codice. Tutte le vulnerabilità riguardanti il servizio di DNS sono state scoperte da Yuki Chen, noto ricercatore ed esperto nella cybersecurity.

Maggiori informazioni sulle vulnerabilità e sulle correzioni effettuate dal personale Microsoft possono essere reperite all’interno del comunicato ufficiale al seguente URL:

• https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr

Il nostro consiglio, come sempre, è quello di mantenere costantemente aggiornati tutti i sistemi Windows, applicando manualmente o in automatico gli aggiornamenti proposti dal sistema. In ambienti aziendali è consigliabile utilizzare strumenti di aggiornamento automatizzati, quali ad esempio WSUS (Windows Server Update Services), che permette il controllo e la distribuzione degli aggiornamenti in modo centralizzato.

Secondo quanto comunicato dal personale della Zyxel, alcuni apparati da loro prodotti soffrono di una pericolosa vulnerabilità che permette ad un attaccante remoto di eludere i meccanismi di autenticazione presenti all’interno dell’apparato e di conseguenza prenderne il controllo.

Nello specifico, la vulnerabilità scoperta riguarda una CGI (Common Gateway Interface) presente all’interno dell’interfaccia di gestione di alcuni prodotti Firewall e VPN prodotti da Zyxel. Tramite questo componente un agente di minaccia esterno può eludere completamente il meccanismo di autenticazione del prodotto, ed ottenerne il controllo completo.

A tale vulnerabilità è stato assegnato il CVE-2022-0342 e un punteggio di pericolosità di 9.8 su 10.

I sistemi coinvolti risultano essere i seguenti:

• I sistemi USG/ZyWALL, aventi firmware ZLD dalla versione 20 fino alla versione 4.70. È disponibile l’aggiornamento alla versione 4.71 che risolve la problematica.
• I sistemi USG FLEX, aventi firmware ZLD dalla versione 50 fino alla versione 5.20. È disponibile l’aggiornamento alla versione 5.21 Patch 1 che risolve la problematica.
• I sistemi ATP, aventi firmware ZLD dalla versione 32 fino alla versione 5.20. È disponibile l’aggiornamento alla versione 5.21 Patch 1 che risolve la problematica.
• I sistemi VPN, aventi firmware ZLD dalla versione 30 fino alla versione 5.20. È disponibile l’aggiornamento alla versione 5.21 che risolve la problematica.
• I sistemi NSG, aventi firmware dalla versione 20 fino alla versione 1.33 Patch 4. È disponibile un Hotfix con versione 1.33p4_WK11. L’aggiornamento standard sarà disponibile nel mese di Maggio 2022.

Riportiamo di seguito l’annuncio ufficiale pubblicato dal personale della Zyxel:

• https://www.zyxel.com/support/Zyxel-security-advisory-for-authentication-bypass-vulnerability-of-firewalls.shtml

Nonostante non vi siano attualmente evidenze di sfruttamento attivo della vulnerabilità da parte di malintenzionati, il nostro consiglio è quello ovviamente di verificare la versione in uso dei vostri apparati Zyxel Firewall e VPN, ed eventualmente provvedere con l’aggiornamento al più presto visto che tale vulnerabilità è in grado di causare la compromissione completa dell’apparato.

Nomina obbligatoria del preposto

All’ art. 18 del D.Lgs. 81/08 relativo agli obblighi del Datore di Lavoro e del Dirigente viene introdotta la necessità di  “individuare il preposto o i preposti per l’effettuazione delle attività di vigilanza”.

Il preposto, secondo la normativa, è la persona che, in ragione delle competenze professionali e nei limiti di poteri gerarchici e funzionali adeguati alla natura dell’incarico conferitogli, sovrintende all’attività lavorativa e garantisce l’attuazione delle direttive ricevute, controllandone la corretta esecuzione da parte dei lavoratori ed esercitando un funzionale potere di iniziativa.

Tra gli obblighi del preposto troviamo quindi:

a) sovrintendere e vigilare sulla osservanza da parte dei singoli lavoratori dei loro obblighi di legge, nonché delle disposizioni aziendali in materia di salute e sicurezza sul lavoro e di uso dei mezzi di protezione collettivi e dei dispositivi di protezione individuale messi a loro disposizione e, in caso di rilevazione di non conformità comportamentali in ordine alle disposizioni e istruzioni impartite dal datore di lavoro e dirigenti ai fini della protezione collettiva e individuale, intervenire per modificare il comportamento non conforme fornendo le necessarie indicazioni di sicurezza. In caso di mancata attuazione delle disposizioni impartite o di persistenza della inosservanza, interrompere l'attività del lavoratore e informare i superiori diretti;
b) verificare affinché soltanto i lavoratori che hanno ricevuto adeguate istruzioni accedano alle zone che li espongono ad un rischio grave e specifico;
c) richiedere l'osservanza delle misure per il controllo delle situazioni di rischio in caso di emergenza e dare istruzioni affinché i lavoratori, in caso di pericolo grave, immediato e inevitabile, abbandonino il posto di lavoro o la zona pericolosa;
d) informare il più presto possibile i lavoratori esposti al rischio di un pericolo grave e immediato circa il rischio stesso e le disposizioni prese o da prendere in materia di protezione;
e) astenersi, salvo eccezioni debitamente motivate, dal richiedere ai lavoratori di riprendere la loro attività in una situazione di lavoro in cui persiste un pericolo grave ed immediato;
f) segnalare tempestivamente al datore di lavoro o al dirigente sia le deficienze dei mezzi e delle attrezzature di lavoro e dei dispositivi di protezione individuale, sia ogni altra condizione di pericolo che si verifichi durante il lavoro, delle quali venga a conoscenza sulla base della formazione ricevuta;
f-bis) in caso di rilevazione di deficienze dei mezzi e delle attrezzature di lavoro e di ogni condizione di pericolo rilevata durante la vigilanza, se necessario, interrompere temporaneamente l'attività e, comunque, segnalare tempestivamente al datore di lavoro e al dirigente le non conformità rilevate;
g) frequentare appositi corsi di formazione secondo quanto previsto dall'articolo 37.

La formazione e l’aggiornamento dei preposti dovrà essere svolta interamente con modalità in presenza, con cadenza almeno biennale e non più quinquennale. I contratti e gli accordi collettivi di lavoro stabiliranno l’emolumento spettante al preposto per lo svolgimento di tale ruolo.

IN PRATICA:

• Consigliamo di valutare attentamente assieme al vostro RSPP la necessità di individuare almeno un preposto per ogni luogo di lavoro, nominandolo formalmente (clicca qui per effettuare il download di un fac-simile) e dandogli la formazione obbligatoria, oltre alle informazioni operative per poter svolgere il suo compito. In attesa delle modifiche previste all’accordo Stato Regioni che regola la formazione, il corso per i preposti ha la durata di 8 ore e, secondo il nuovo Decreto, l’aggiornamento è previsto con cadenza biennale.

Formazione obbligatoria del Datore di Lavoro

Entro il 30 giugno 2022 la Conferenza Stato-Regioni stabilirà la durata, i contenuti minimi e le modalità della formazione obbligatoria a carico del Datore di Lavoro.

IN PRATICA:

Per questa novità dobbiamo ancora attendere i contenuti obbligatori di tali corsi. Vi aggiorneremo non appena ci saranno novità.

Addestramento obbligatorio

L’addestramento consiste nella prova pratica per l’uso corretto e in sicurezza per:

• attrezzature, macchine e impianti
• sostanze chimiche
• dispositivi di protezione quali ad esempio i DPI

È necessario tenere traccia dell’addestramento svolto grazie ad un apposito registro che potrà essere anche informatizzato. Sottolineiamo come sia opportuno raccogliere sempre le firme dei lavoratori per poter dimostrare l’avvenuto addestramento. L’addestramento va effettuato da personale esperto.

IN PRATICA:

• E’ necessario organizzare e formalizzare l’addestramento di tutto il personale, per ogni attrezzatura, sostanza chimica o DPI da utilizzare. L’addestramento è un’attività pratica da svolgere sul luogo di lavoro ed è cosa diversa rispetto alla formazione obbligatoria. Può essere svolto da persona interna all’azienda, in quanto è necessario conoscere nel dettaglio l’attività e le attrezzature utilizzate. Anche il Datore di Lavoro può occuparsi direttamente dell’addestramento.
• Per ogni sessione di addestramento consigliamo di compilare un verbale il più dettagliato possibile, firmato dalla persona esperta e dal lavoratore.

Sospensione dell’attività

In caso di gravi violazioni in materia di tutela della salute e della sicurezza del lavoro sono previsti dei provvedimenti di sospensione (art. 14) della parte dell’attività imprenditoriale interessata dalle violazioni. Può anche essere sospesa l’intera attività lavorativa prestata dai lavoratori ai quali manca la formazione e l’addestramento o ai quali non sono stati forniti, in particolare, i DPI contro i rischi di caduta dall’alto.

Le gravi violazioni citate dalla normativa sono state riassunte nella tabella dell’Allegato I al presente documento.

IN PRATICA:

• Porre sempre molta attenzione alle tempistiche di erogazione della formazione e dell’addestramento.
• Vi ricordiamo che ogni neo assunto per poter lavorare deve fare la visita medica ed avere la formazione generale (4 ore), quella specifica (4, 8 o 12 ore a seconda della mansione) e l’addestramento sopra citato.
• Vi consigliamo di verificare con attenzione l’allegato I del presente documento.

LAVORATORI AUTONOMI OCCASIONALI: PROCEDURE DI COMUNICAZIONE AL MINISTERO DEL LAVORO 

Si stanno definendo in questi giorni le procedure per comunicare telematicamente i dati dei lavoratori autonomi occasionali inquadrati in azienda. L’iter da seguire è reperibile sul sito Servizi Lavoro dal 28 marzo scorso: possono accedervi datori di lavoro e soggetti abilitati tramite credenziali SPID o CIE. Tuttavia, fino al 30 aprile si  potrà continuare ad inviare la comunicazione preventiva anche tramite e-mail.

Quindi, dal prossimo 1 maggio 2022 l’unico canale valido sarà quello telematico.

Ricordiamo che non è necessario trasmettere alcun allegato; ma la comunicazione deve contenere le seguenti informazioni:

1. dati del committente e del prestatore
2. luogo della prestazione
3. sintetica descrizione dell’attività
4. data di inizio della prestazione e presumibile arco temporale entro il quale terminerà l’opera o il servizio
5. valore del compenso, se stabilito al momento dell’incarico

L’Ispettorato Nazionale del Lavoro ha precisato che per “arco temporale entro il quale terminerà l’opera o il servizio” si devono intendere tre ipotesi: entro 7, 15, oppure 30 giorni. Se il rapporto non si conclude nel periodo indicato nella comunicazione, bisognerà procedere con un nuovo invio.

RICORDIAMO

Sono lavoratori autonomi occasionali le persone che si obbligano a compiere verso un corrispettivo un’opera o un servizio, con lavoro prevalentemente proprio e senza vincolo di subordinazione nei confronti del committente (vedi articolo 2222 c.c.).

È da escludersi che possano definirsi tali lavoratori che operano all’interno della sede del committente, con un vincolo di orario e che eseguono attività in base alle direttive impartite quotidianamente dal datore di lavoro.

Inoltre, non è anche irrilevante ricordare che vi è un limite massimo di 5.000,00 euro annui (del lavoratore) al di sopra del quale scatta l’obbligo di iscrizione del lavoratore medesimo nella gestione separata INPS. Tutto ciò senza dimenticare viceversa che per l’Agenzia delle Entrate, vige l’obbligo della partita iva e dei conseguenti adempimenti, se l’attività è svolta abitualmente (segnale: pluralità di committenti nell’anno) senza alcun limite massimo.

SMART WORKING: REGIME TRANSITORIO

Lo stato di emergenza epidemiologico da Covid-19 è cessato con il 31 marzo 2022; ma le regole per il lavoro agile continuano ad essere adottate con modalità semplificate fino al prossimo 30 giugno.

Fino a tale data, quindi, non è necessario l’accordo individuale con il lavoratore interessato e le particolari modalità lavorative continuano ad essere comunicate tramite ClicLavoro con le semplificazioni introdotte in funzione della crisi epidemiologica.

È molto probabile peraltro che, si addivenga quanto prima ad un riordino di tutta la disciplina in materia di lavoro agile con l'introduzione del “diritto alla disconnessione per il benessere psico-fisico dei lavoratori e dei loro affetti”.

Tra le finalità prevedibili dai disegni di legge in corso: arginare il potere di controllo del datore di lavoro limitandolo al giusto orario; prevenire abusi che possono produrre nel lavoratore stress negativo e migliorare il benessere psicofisico del lavoratore riconoscendogli il diritto di disporre autonomamente del proprio tempo libero. Tutto ciò oltre al diritto a non utilizzare le apparecchiature che lo connettono costantemente e senza soluzione di continuità alla sua prestazione lavorativa.

Certamente l’accordo scritto con il lavoratore diventerà fondamentale.

Staremo a vedere.

RAPPORTO BIENNALE PARITA’ UOMO-DONNA: NUOVI SOGGETTI OBBLIGATI

Dal 2022 anche le aziende con più di 50 dipendenti hanno l’obbligo di presentare il rapporto biennale di parità uomo-donna. Fino all’anno scorso l’obbligo riguardava le aziende con più di 100 dipendenti.

Le nuove aziende obbligate devono predisporre il rapporto con riferimento al biennio 2019-2020 ed inviarlo entro il prossimo 30 aprile.

Il documento deve contenere le seguenti informazioni:

• il numero di lavoratori e lavoratrici,
• il numero delle lavoratrici in stato di gravidanza,
• il numero di assunti ed assunte in corso d’anno,
• differenze tra retribuzioni iniziali dei lavoratori di ciascun sesso,
• inquadramento contrattuale e mansione svolte da ciascuno, anche con distinzione tra tempo pieno e tempo parziale.

Le aziende interessate, accedendo tramite SPID al portale del Ministero del Lavoro, potranno utilizzare il servizio online. Si resta comunque in attesa di un decreto ministeriale attuativo.

Vediamo di seguito e nel dettaglio le importanti novità introdotte.

Obbligo di mascherine

Negli ambienti al chiuso in cui si tengono spettacoli e sui mezzi di trasporto pubblico rimane l’obbligo di indossare la mascherina FFP2 fino al 30 Aprile 2022. In tutti gli altri luoghi al chiuso, compresi i luoghi di lavoro, saranno invece sufficienti le mascherine chirurgiche. Gli unici esentati da tali disposizioni sono i bambini di età inferiore ai 6 anni, le persone con patologie o disabilità incompatibili con l’uso della mascherina e i soggetti che stanno svolgendo attività sportiva. L’obbligo di indossare la mascherina chirurgica al chiuso inoltre non sussiste “quando, per le caratteristiche dei luoghi o per le circostanze di fatto, sia garantito in modo continuativo l'isolamento da persone non conviventi.”

Green Pass

Dal 1° al 30 Aprile 2022 sarà sufficiente essere in possesso di un green pass base (ottenibile anche con tampone) per accedere a mense, concorsi pubblici, corsi di formazione e competizioni sportive che si svolgono all’aperto nonché per la partecipazione del pubblico a spettacoli e per l’utilizzo di mezzi di trasporto quali aerei, treni, ecc.

Nello stesso periodo sarà ancora necessario il green pass rafforzato (da vaccinazione o guarigione) per accedere a bar e ristoranti al chiuso, piscine, palestre, spettacoli ed eventi sportivi al chiuso.

L’obbligo di green pass rafforzato per accedere a RSA e strutture socio-assistenziali permane invece fino al 31 dicembre 2022. 

Luoghi di lavoro

Dal 1° aprile sarà possibile per tutti, compresi gli over 50, accedere ai luoghi di lavoro con il Green pass base per il quale dal 1° maggio verrà eliminato l’obbligo.
 Restano tuttavia validi gli obblighi vaccinali previsti nelle precedenti normative fino al 31 dicembre 2022 per i lavoratori impiegati in strutture residenziali, socio-assistenziali e socio-sanitarie e fino al 15 giugno 2022 per tutti gli altri (es. docenti, over 50, ecc).

Gestione casi positivi

Dal 1° Aprile 2022 rimarrà in isolamento solamente chi avrà un tampone positivo.

Non sarà più necessaria la quarantena preventiva per i contatti stretti di persona positiva, indipendentemente dall’essersi sottoposti o meno a vaccinazione.

In quest’ultimo caso sarà necessario però indossare la mascherina FFP2 per 10 giorni dal contatto con soggetti confermati come positivi e sottoporsi a tampone con le seguenti modalità:

• alla prima comparsa dei sintomi
• se ancora sintomatici, al quinto giorno successivo alla data dell’ultimo contatto.

Restano invariate le modalità di isolamento previste in precedenza per le persone positive al COVID:

• per i non vaccinati o i vaccinati da più di 120 giorni e per i guariti da più di 120 giorni, l’isolamento dura 10 giorni
• per i vaccinati con terza dose o che hanno completato il ciclo vaccinale da meno di 120 giorni e per i guariti da meno di 120 giorni, l’isolamento dura 7 giorni.
• è sempre necessario un tampone antigenico o molecolare negativo per concludere il periodo di isolamento

Si attendono invece delucidazioni per quanto riguarda la rilevazione della temperatura all’accesso in azienda in quanto ad oggi non ci sono ancora aggiornamenti.

Nel mese di Marzo 2022, è stato urgentemente rilasciato un aggiornamento del browser Internet “Chrome”, al fine di risolvere una pericolosa vulnerabilità potenzialmente sfruttabile da malintenzionati per la diffusione di malware o la compromissione dei sistemi vulnerabili.

Attualmente non sono stati forniti dettagli specifici sulla vulnerabilità scoperta, a parte il fatto che riguarda una componente JavaScript presente all’interno di Google Chrome. Attraverso tale vulnerabilità, secondo quanto dichiarato, è possibile eseguire codice arbitrario sul sistema vulnerabile inducendo l’utente a visualizzare una pagina Web appositamente creata. A tale vulnerabilità è stato assegnato il CVE-2022-1096.

Il personale di Google nel rilasciare dell’aggiornamento ha ribadito l’importanza nell’effettuare al più presto l’upgrade, stimando circa 3,2 miliardi di utenti attualmente a rischio.

Riportiamo di seguito per completezza l’annuncio ufficiale rilasciato dal personale di Google relativo a tale problematica di sicurezza:

• https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html

Il nostro consiglio è chiarmamente quello di aggiornare- Google Chrome all’ultima versione disponibile (attualmente la 99.0.4844.84). Per farlo è sufficiente aprire Google Chrome e digitare nella barra degli indirizzi la seguente stringa:

• chrome://settings/help

A seguito del controllo della disponibilità di una nuova versione, sarà necessario riavviare Chrome per applicare l’aggiornamento.

Secondo quanto riportato direttamente dal produttore, sono state scoperte 5 pericolose vulnerabilità contenute nei BIOS prodotti da DELL, noto produttore di personal computer e sistemi informatici in generale, che possono portare, se correttamente sfruttate, all’esecuzione di codice arbitrario sui sistemi vulnerabili. Tali vulnerabilità sono particolarmente pericolose poiché risiedono all’interno del BIOS dei sistemi prodotti e questo permette ad un eventuale attaccante esterno di nascondere completamente le parti di codice malevolo poiché la sua esecuzione avverrebbe prima dell’avvio del sistema operativo.

A tali vulnerabilità sono stati assegnati i CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420, e CVE-2022-24421. Alle più pericolose di esse è stato assegnato un punteggio di 8.3 su 10, proprio a causa della loro natura e al loro impatto sui sistemi vulnerabili. Attraverso di esse un attaccante locale potrebbe modificare il BIOS del sistema ed assicurarsi l’esecuzione di codice malevolo ad ogni riavvio del sistema in uso. Tali modifiche e la conseguente esecuzione del codice malevolo sarebbero completamente impercettibili all’utilizzatore del sistema e potenzialmente invisibili anche ad un eventuale Anti-Virus installato sul sistema.

Risultano coinvolti in tali vulnerabilità Molteplici prodotti DELL, tra cui citiamo i sistemi Alienware, i sistemi Gateway denominati “Dell Edge”, alcuni PC della serie “Dell Embedded BOX PC” e i portatili delle serie Inspiron, Latitude, Vostro e XPS.

Per una lista completa dei sistemi convolti, potete fare riferimento al seguente URL:

https://www.dell.com/support/kbdoc/it-it/000197057/dsa-2022-053

Il nostro consiglio è quello di controllare quali sono le versioni coinvolte ed eventualmente aggiornare il prima possibile il BIOS dei sistemi vulnerabili. Per maggiori informazioni su come effettuare l’aggiornamento all’ultima versione del BIOS disponibile vi consigliamo di far riferimento alla documentazione ufficiale del sistema in uso.

Le principali vulnerabilità corrette riguardano nuovamente WebKit, il motore utilizzato per il rendering delle pagine HTML da praticamente tutte le applicazioni Apple che all’ interno presentano contenuti HTML. WebKit è utilizzato dal browser Internet Safari, dal software predefinito dei sistemi MacOS denominato “Mail”, e da molteplici applicazioni IOS, MacOS e Linux che necessitano di visualizzare pagine HTML al loro interno.

Le vulnerabilità corrette con l’ultimo aggiornamento, che corrispondono ai CVE-2022-22610, CVE-2022-22624, CVE-2022-22628 e CVE-2022-22629, permettono l’esecuzione di codice arbitrario sul sistema vulnerabile attraverso l’apertura di una pagina Web. Attraverso tale vulnerabilità pertanto è possibile compromettere un sistema vulnerabile semplicemente convincendo l’utente ad aprire una pagina Web appositamente creata, senza la necessità di ulteriori interazioni.

Altre vulnerabilità corrette possono causare una fuga di informazioni (Information Leak) dal sistema vulnerabile, vediamone alcune:

• Una vulnerabilità presente nella finestra di login di MacOS Lion, che può permettere di visualizzare i dati presenti a schermo nonostante sia stato effettuato il logout da parte dell’utente. Nel peggiore dei casi tale vulnerabilità può anche permettere di eludere la protezione imposta dalla finestra di login, e permettere l’accesso al sistema senza dover inserire una password di accesso. A tali vulnerabilità sono stati assegnati i CVE-2022-22647 e CVE-2022-22656.
• Una vulnerabilità presente all’interno del Framework denominato “MediaRemote” può permettere ad una applicazione sviluppata con scopi malevoli di ottenere informazioni sul software installato sul sistema vulnerabile. A tale vulnerabilità è stato assegnato il CVE-2022-22670.
• Un problema nelle impostazioni di sistema che può permettere ad un attaccante remoto di recuperare le impostazioni di sicurezza configurate sul sistema. A tale vulnerabilità è stato assegnato il CVE-2022-22609.
• Un bug presente nell’applicazione FaceTime che può causare la condivisione di audio e video senza il consenso dell’utente. A tale vulnerabilità è stato assegnato il CVE-2022-22643.

Inoltre, sono state corrette molteplici vulnerabilità presenti sull’applicazione iTunes per sistemi Microsoft Windows. Tramite tali vulnerabilità è possibile l’esecuzione di codice arbitrario sul sistema vulnerabile, con gli stessi privilegi di chi ha eseguito l’applicazione vulnerabile.

Il nostro consiglio è quello di applicare tutti gli aggiornamenti disponibili al più presto.

Per farlo basterà recarsi all’interno delle impostazioni di sistema dei sistemi iPhone o iPad, selezionare la categoria “Generali” e quindi scegliere “Aggiornamento Software”.

Sui sistemi MacOS invece è necessario selezionare il simbolo della mela presente in alto a sinistra sul desktop, selezionare la voce “Preferenze di Sistema” e quindi fare clic su “Aggiornamento Software”.

Per quel che riguarda i sistemi Windows, è sufficiente eseguire l’applicazione iTunes, e dal menu selezionare la voce “Guida” e quindi scegliere “Verifica aggiornamenti”.

Il personale della Mozilla ha recentemente corretto attraverso un aggiornamento due pericolose vulnerabilità presenti all’interno di Firefox, noto browser Internet, e all’interno di Thunderbird, applicazione per la gestione della posta elettronica. Tali vulnerabilità risultano attualmente sfruttate da malintenzionati per scopi malevoli, pertanto vi consigliamo di provvedere all’aggiornamento di entrambi al più presto.

Le due vulnerabilità, a cui sono state assegnate rispettivamente il CVE-2022-26485 ed il CVE-2022-26486, riguardano l’interpretazione di codice XSLT (Extensible Stylesheet Language Transformations) e alcune condizioni che possono portare all’esecuzione di codice arbitrario attraverso il Framework WebGPU IPC.

Le vulnerabilità in questione sono in grado di permettere l’esecuzione di codice arbitrario sul sistema vulnerabile e di installare Malware sul sistema, che nei casi peggiori possono provocare una completa compromissione dei dati presenti sul sistema.

Per tale motivo è necessario verificare la versione in uso sia di Firefox che di Thunderbird, ed eventualmente effettuare un aggiornamento all’ultima versione disponibile.

Anche le versioni per sistemi Android di Firefox sono coinvolte e pertanto richiedono anch’esse un aggiornamento.

Le versioni che correggono le due vulnerabilità sopra citate sono le seguenti:

• Firefox 97.0.2
• Firefox ESR 91.6.1
• Firefox per Android 97.3.0
• Focus 97.3.0
• Thunderbird 91.6.2

Maggiori informazioni possono essere reperite direttamente all’interno dell’annuncio ufficiale rilasciato dal personale della Mozilla al seguente URL:

• https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/

Il nostro consiglio in merito è quello di verificare le versioni installate di Firefox e di Thunderbird e di procedere al più presto l’aggiornamento all’ultima versione.

Microsoft Teams, nota applicazione di chat e video conferenza, nel mese di Gennaio 2022, ha superato i 270 milioni di utilizzatori. Un ottimo risultato per Microsoft che ha però attirato l’interesse della criminalità organizzata, che sta attualmente utilizzando Teams per la diffusione di malware.

Secondo una ricerca condotta dal personale della Avanan, azienda produttrice di soluzioni di sicurezza in ambito cloud e sussidiaria della Check Point Software Technologies, è in corso infatti una campagna di diffusione malware in cui l’applicazione viene utilizzata per la diffusione di software malevolo attraverso l’invio di un documento contenente macro.

Il documento trasmesso attraverso le macro contenute al suo interno tenta l’installazione di malware sul sistema vittima. L’esecuzione del malware provoca la compromissione del sistema, e permette all’attaccante di ottenere il controllo completo.

Secondo quanto riportato dai ricercatori della Avanan, il documento “infetto”, a seguito della sua apertura e dell’esecuzione delle macro, inserisce nel sistema un file eseguibile, nominato “Usercentric.exe”. A seguito della sua esecuzione, esso permette all’attaccante remoto di accedere al sistema compromesso, con gli stessi privilegi dell’utente collegato al sistema durante l’infezione. A seguito della pubblicazione del report da parte del personale della Avanan, è probabile che il nome del file “infetto” sia stato modificato, al fine di rendere più difficile la sua individuazione.

Maggiori informazioni possono essere reperite direttamente attraverso l’articolo pubblicato all’interno del blog del personale della Avanan al seguente URL:

• https://www.avanan.com/blog/hackers-attach-malicious-.exe-files-to-teams-conversations

I nostri consigli in generale per prevenire una situazione di questo tipo sono i seguenti:

• Mantenere costantemente aggiornato l’antivirus presente sul sistema, esso con tutta probabilità può bloccare l’infezione di questo malware.
• Non attivare mai le macro contenute all’interno di un documento, specialmente se esso proviene da una fonte esterna quale ad esempio Microsoft Teams. Come impostazione predefinita, tutti i programmi della suite Office, richiedono l’autorizzazione dell’utente all’esecuzione di una macro contenuta.
• Verificare regolarmente quali sono i programmi in esecuzione all’interno del proprio sistema, attraverso l’applicazione di sistema “TaskManager” (Gestione Attività).
• In caso di sospetta infezione del proprio sistema, contattare immediatamente l’assistenza tecnica della propria Azienda.

Il personale di Google ha recentemente prodotto un nuovo aggiornamento per il suo browser Internet “Chrome” al fine di risolvere 11 problematiche di sicurezza, di cui una particolarmente pericolosa poiché attualmente sfruttata da malintenzionati per scopi illeciti. Si tratta della prima vulnerabilità 0-day corretta da Google nel 2022.

La vulnerabilità, a cui è stato assegnato il CVE-2022-0609, coinvolge un elemento che gestisce le animazioni all’interno del browser. Tale vulnerabilità, se correttamente sfruttata, può portare alla corruzione dei dati in transito e all’esecuzione di codice arbitrario sul sistema vulnerabile. L’esecuzione di tale codice può portare all’installazione e all’esecuzione di Malware sul sistema vulnerabile causandone una compromissione completa.

All’interno di un comunicato il personale di Google ha dichiarato che tale vulnerabilità è attualmente sfruttata all’interno della rete Internet, ed è stata scoperta da Adam Weidemann e Clément Lecigne, due ricercatori facenti parte del gruppo di analisi delle minacce di Google (TAG).

L’elenco completo delle correzioni effettuate all’interno di Google Chrome con l’ultima versione rilasciata è disponibile al seguente URL:

• https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html

Il nostro consiglio è quello di aggiornare il prima possibile Google Chrome all’ultima versione disponibile (che attualmente risulta essere la 98.0.4758.102).

Per fare questo è sufficiente aprire Google Chrome e digitare nella barra degli indirizzi la seguente stringa:

• chrome://settings/help

A seguito di un controllo della disponibilità di una nuova versione, sarà necessario riavviare Chrome per applicare l’aggiornamento.

Il personale della Apple ha recentemente rilasciato degli aggiornamenti di sicurezza per tutti i suoi sistemi iOS, iPAD e Mac OsX. Tali aggiornamenti risolvono una nuova vulnerabilità contenuta all’interno del motore di rendering denominato “WebKit”.

WebKit è sviluppato da Apple fin dal 2001 e viene utilizzato come motore di rendering per la visualizzazione di pagine Web all’interno di Opera, Safari ed altre applicazioni. Lo stesso WebKit è stato utilizzato all’interno del celebre browser Internet “Chrome”, prodotto da Google, fino alla versione 27. Per una lista completa delle applicazioni che utilizzano WebKit al loro interno potete consultare questa pagina.

La vulnerabilità corretta nei recenti aggiornamenti, a cui è stato assegnato il CVE-2022-22620, può essere sfruttata per la compromissione dell’integrità e la riservatezza dei dati contenuti presenti sul sistema vulnerabile inducendo l’utente a visitare una pagina Web appositamente creata. Secondo quanto riportato da Apple, tale vulnerabilità è attualmente sfruttata da malintenzionati per trafugare ed accedere a dati riservati, pertanto è urgente programmare l’aggiornamento dei sistemi vulnerabili.

Nello specifico è necessario verificare la versione installata del sistema operativo su tutti i sistemi Apple quali iPAD, iPhone, iWatch e Mac. Riportiamo di seguito le versioni del software che contengono l’aggiornamento che corregge la vulnerabilità sopra menzionata:

• iOS 15.3.1 e iPadOS 15.3.1, disponibile per iPhone 6s e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad 5° generazione e successivi, iPad mini 4 e successivi, e iPad Touch 7° generazione.
• macOS Monterey 12.2.1, disponibile su tutti i dispositivi supportati.

È inoltre necessario verificare la versione di Safari installata sul sistema: sarà necessario provvedere all’ aggiornamento se la versione installata risulta essere precedente alla 15.3.

Il nostro consiglio è di aggiornare il prima possibile ogni sistema Apple coinvolto. In caso di sistemi particolarmente datati, in cui l’aggiornamento non risulta disponibile, è consigliabile valutare la sostituzione dello stesso, in particolar modo se esso viene utilizzato per fini aziendali o per effettuare operazioni particolarmente riservate, quali ad esempio la gestione del conto bancario.

Direttamente dal blog di Microsoft Kellie Eickmeyer annuncia che l’azienda sarebbe a lavoro per disabilitare ogni forma di macro all’interno dei documenti provenienti da Internet durante la loro visualizzazione su prodotti quali Word, Excel, PowerPoint, Access e Visio, ai fini di contrastare la diffusione di tutti i malware che sfruttano questa tipologia di attacco.

A seguito dell’aggiornamento incombente dunque, ogni documento proveniente da Internet verrà visualizzato con tutte le macro disabilitate, se presenti. Diversamente da quanto accade attualmente dunque, non verrà data la possibilità all’utente di abilitare nuovamente il contenuto macro del documento, se non agendo direttamente sulle proprietà del file, selezionando la flag denominata “Annulla blocco”.

In questo modo, ogni forma di documento contenente Malware sotto forma di macro al suo interno non potrà più essere eseguito con un semplice click di “attivazione del contenuto”. Attualmente molteplici malware sfruttano questa problematica di sicurezza convincendo l’utente ad abilitare il contenuto macro presente all’interno del documento visualizzato.

Gli aggiornamenti verranno distribuiti durante il mese di aprile per tutti gli utenti Microsoft 365. Per chi utilizza invece le versioni 2021, 2019, 2016 e 2013 di Office ma non abbiamo ancora una data di rilascio anche se l’aggiornamento è previsto anche per tali versioni.

E’ possibile leggere l’intero annuncio all’interno del blog Microsoft a questo link.

Per ottenere maggiori informazioni, e preparare la propria Azienda all’aggiornamento, consigliamo invece la lettura della documentazione completa fornita da Microsoft tramite questo link.

 Negli ultimi giorni il personale che si occupa dello sviluppo e della manutenzione di SAMBA ha rilasciato degli importanti aggiornamenti di sicurezza, al fine di correggere una grave vulnerabilità che potrebbe permettere ad un attaccante remoto di eseguire codice all’interno del sistema vulnerabile con privilegi amministrativi.

All’interno dei sistemi Linux, o Unix in generale, l’applicativo SAMBA permette la condivisione di file e stampanti utilizzando il protocollo SMB (Server Message Block). Sempre attraverso SAMBA è possibile integrare sistemi Unix all’interno di ambienti Microsoft dotati di un Domain Controller.

La vulnerabilità scoperta, a cui è stato assegnato il CVE-2021-44142, coinvolge tutte le versioni dell’applicativo precedenti alla versione 4.3.17, e nel dettaglio riguarda il modulo “vfs_fruit”, che permette la compatibilità con i sistemi Apple, quali ad esempio Mac OsX.

Lo sfruttamento della vulnerabilità permette la compromissione completa del sistema su cui risiede il servizio di SAMBA e risulta particolarmente pericolosa su tutti i sistemi non aggiornati, esposti direttamente sulla rete Internet.

Tale vulnerabilità è stata risolta nelle versioni 4.14.12 and 4.15.5 di SAMBA.

Il nostro consiglio è quello di verificare la versione di SAMBA installata sui sistemi presenti nella propria Azienda e, eventualmente, effettuare l’aggiornamento all’ultima versione disponibile dell’applicativo il prima possibile.

In data 22 dicembre 2021 il Garante per la protezione dei dati personali ha pubblicato sul proprio sito la Newsletter n. 485 contenente i seguenti argomenti:

• No profit: per il Garante privacy le onlus possono conoscere i nomi dei donatori. Le Onlus potranno ricevere dall’Agenzia delle Entrate i nominativi dei contribuenti che hanno destinato loro il 5 per mille dell’Irpef. Ma occorre una norma di legge.
• Processo tributario telematico: ok del Garante privacy agli aggiornamenti tecnici. L’Autorità Garante ha espresso parere favorevole allo schema di decreto direttoriale che aggiorna l’utilizzo di strumenti informatici e telematici nel processo tributario.
• Mercati e servizi digitali: il parere dei Garante privacy europei. Nel mese di dicembre il Parlamento europeo ha approvato una proposta legislativa che rappresenta un pilastro fondamentale del pacchetto digitale predisposto dalla Commissione europea.

Per leggere la newsletter completa e i singoli articoli visita il sito del Garante al seguente link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9728764

È stata scoperta all’interno del Google Play Store un’applicazione che alla totale insaputa dell’utente trafuga i contatti contenuti nel dispositivo ed iscrive l’utente a servizi a pagamento. L’applicazione è stata prontamente rimossa dal personale di Google, ma nonostante questo è già stata installata da più di 500.000 utenti.

L’applicazione in questione, che risponde al nome di “Color Message”, si presenta all’utente come un rivoluzionario software di messaggistica istantanea, completamente gratuito. Al suo interno nasconde il malware Joker, noto software avente scopi malevoli la cui presenza su Internet risale al 2017.

Nel momento in cui l’utente installa l’applicazione Color Message avviene l’attivazione del malware Joker, attraverso alcuni processi di sistema. Attraverso tali processi il malware tenta di ottenere il controllo completo del dispositivo, ed in particolare accede e trafuga i contatti in esso contenuto, intercetta tutti i servizi di messaggistica istantanea ed iscrive l’utente a servizi a pagamento.

Normalmente le applicazioni infette dal malware Joker vengono rimosse dal Google Play Store in tempi abbastanza brevi, ma a quanto pare quest’ultima incarnazione del celebre malware utilizza metodi di offuscamento del codice in modo da non essere scoperto dai sistemi automatizzati di rimozione dei malware presenti all’interno dello Store di proprietà di Google.

Il nostro consiglio in proposito è verificare di non aver installato tale applicazione all’interno del vostro dispositivo, attraverso il Pannello di controllo – applicazioni, poiché nonostante tale applicazione sia stata attualmente rimossa dal Play Store, è possibile che sia stata installata in precedenza alla sua rimozione, ed in quel caso sarebbe ancora presente ed attiva all’interno del dispositivo mobile. Nel caso l’applicazione sia stata installata, procedere immediatamente con la sua rimozione, ed in caso di dati particolarmente sensibili sul dispositivo infetto, valutare se può essere il caso di procedere con un ripristino completo del dispositivo (in modo da eliminare completamente i dati in esso contenuti e ripristinare il suo funzionamento alle condizioni iniziali “di fabbrica”). Per maggiori dettagli su come effettuare un ripristino completo del dispositivo, fare riferimento alla documentazione ufficiale relativa al modello in uso di Android.

Consigliamo in generale l’utilizzo di un software anti-virus sui sistemi Android, in particolar modo se al suo interno vengono gestiti dati particolarmente sensibili, quali ad esempio conti bancari.

Il personale di Microsoft, durante l’oramai consueto martedì degli aggiornamenti, ha rilasciato un importante aggiornamento di sicurezza atto a correggere la vulnerabilità classificata come CVE-2021-43890.

Tale vulnerabilità permette ad un malintenzionato di creare un installante di Windows che risulta regolarmente firmato da parte di Microsoft e, pertanto, risulta completamente legittimo durante i controlli effettuati dal sistema operativo che precedono l’esecuzione di software all’interno dello stesso.

Attraverso questa vulnerabilità sono stati creati degli installanti contenenti porzioni di codice che effettuano il download dei più comuni malware, tra cui possiamo citare Emotet, Trickbot e Balaloader. Gli installanti malevoli vengono distribuiti all’interno di comunicazioni e-mail il cui testo tenta di convincere l’utente ad eseguire l’allegato. A seguito dell’esecuzione dell’allegato, viene effettuato il download di uno o più componenti del malware e viene modificata la configurazione del sistema in modo che il malware venga eseguito.

In passato, secondo quanto riportato dal personale di Microsoft, tale tecnica era già stata utilizzata sempre per la diffusione di malware nascosti all’interno di un pacchetto di installazione del software Adobe PDF Reader. Durante la diffusione di tali pacchetti la vulnerabilità specifica contenuta all’interno del pacchetto di sistema “Windows Appx” non era ancora stata identificata.

Per la risoluzione della problematica è necessaria l’installazione dell’aggiornamento di sistema denominato KB5008212. A seguito dell’installazione dell’aggiornamento è necessario riavviare il sistema.

Il nostro consiglio è quello di verificare al più presto lo stato di aggiornamento del sistema, attraverso Windows Update, ed in caso applicare ogni aggiornamento disponibile. Vi ricordiamo che se volete verificare l’avvenuta installazione dell’aggiornamento, è possibile farlo consultando la cronologia degli aggiornamenti, sempre all’interno di Windows Update.

Il personale di Google ha recentemente pubblicato un aggiornamento del celebre browser Internet “Chrome”, che risolve 5 problematiche di sicurezza, di cui una particolarmente pericolosa ed attualmente sfruttata da malintenzionati per scopi malevoli.

Tale vulnerabilità, a cui è stato assegnato il CVE-2021-4102, risiede nei componenti denominati “V8 Javascript” e “WebAssembly engine”. La vulnerabilità può causare la corruzione dei dati in transito e, soprattutto, causare l’esecuzione di codice arbitrario sul sistema che utilizza una versione vulnerabile di Google Chrome. L’esecuzione di codice arbitrario può essere sfruttata da un agente di minaccia esterno per l’installazione di software malevolo all’interno del sistema vulnerabile alla totale insaputa dell’utilizzatore.

Maggiori dettagli possono essere reperiti all’interno della comunicazione ufficiale effettuata dal personale di Google al seguente URL:

• https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop_13.html

Con quest’ultimo aggiornamento, il personale di Google ha risolto durante l’anno in corso 17 vulnerabilità di tipo 0-day all’interno di Chrome.

il nostro consiglio è quello di aggiornare il prima possibile Google Chrome all’ultima versione disponibile (che attualmente risulta essere la 96.0.4664.110).

Per fare questo è sufficiente aprire Google Chrome e digitare nella barra degli indirizzi la seguente stringa:

• chrome://settings/help

A seguito di un controllo della disponibilità di una nuova versione, sarà necessario riavviare Chrome per applicare l’aggiornamento.

In data 3 dicembre 2021 il Garante per la protezione dei dati personali ha pubblicato sul proprio sito la Newsletter n. 484 contenente i seguenti argomenti:

• Tabulati: Tim nega l’accesso ad un cliente e scatta la sanzione del Garante privacy. Tim dovrà pagare una sanzione di 150 mila euro per aver negato a un abbonato l’accesso ai propri tabulati telefonici necessario per potersi difendere in sede penale.
• Customer Care: Garante privacy, no al controllo a distanza dei lavoratori. Il Garante precisa che non è possibile attivare sistemi di controllo a distanza dei lavoratori senza aver adottato tutte le tutele previste dallo Statuto dei lavoratori e del Codice privacy.
• Sanità: sì del Garante privacy al Registro nazionale degli impianti prostetici mammari. Il Garante privacy esprime parere favorevole sullo schema di regolamento che istituisce il Registro nazionale degli impianti prostetici mammari, che rappresenta lo strumento di monitoraggio clinico ed epidemiologico che censisce gli impianti prostetici mammari effettuati in Italia.
• Carta Giovani Nazionale: Garante, sì alla valutazione d’impatto sulla protezione dati. L’Autorità garante ha approvato la valutazione d’impatto sulla protezione dati (DPIA) relativamente al progetto Carta Nazionale Giovani, ossia un servizio digitale che permette ai giovani tra i 18 e i 35 anni residenti in Italia di ottenere sconti su manifestazioni culturali, sportive, attività di orientamento professionale e di accedere all’European Yotuh Card.

Per leggere la newsletter completa e i singoli articoli visita il sito del Garante al seguente link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9722394

SAPEVI CHE PUOI FARE RIMBORSARE I COSTI DELLA FORMAZIONE PER LA TUA AZIENDA?

Esatto, la formazione aziendale può essere finanziata attraverso l’adesione ai fondi interprofessionali.

L’iscrizione ad un Fondo infatti consente alle aziende di richiedere dei contributi per finanziare la formazione dei propri dipendenti.

COME FUNZIONA?

Molti non sanno che ogni azienda, tra i contributi obbligatori versati all’INPS per ciascun dipendente, destina una quota per l’assicurazione contro un’eventuale disoccupazione.

La legge 388 del 2000 (art.118), consente alle imprese di destinare lo 0,30% di tale contributo alla formazione dei propri dipendenti se iscritte ad un Fondo Paritetico Interprofessionale. In questo modo l’impresa può autofinanziare la formazione professionale dei propri lavoratori senza spendere nulla, utilizzando risorse che avrebbe dovuto comunque versare all’INPS.

L’ISCRIZIONE AL FONDO HA UN COSTO?

Assolutamente no, l’iscrizione al fondo è gratuita.

Dal momento dell’iscrizione, l’azienda trasferirà lo 0.30% del contributo obbligatorio per la disoccupazione involontaria dall’INPS al Fondo e potrà iniziare a richiedere i rimborsi per la formazione.

COME RICHIEDERE I FINANZIAMENTI?

Per accedere ai finanziamenti occorre presentare al fondo dei piani formativi aziendali. Performa si occupa della progettazione del piano formativo raccogliendo le specifiche esigenze dell’azienda e la seguirà durante tutto lo svolgimento del piano dalla fase di monitoraggio a quella rendicontazione.

Tutte le attività di Performa potranno essere finanziate anch’esse utilizzando le risorse versate al fondo.

È POSSIBILE FINANZIARE ANCHE LA FORMAZIONE OBBLIGATORIA?

Certamente. I fondi gestiti da Performa prevedono il rimborso di tutta la formazione aziendale, inclusa quella obbligatoria.

MAGGIORI INFORMAZIONI?

Contattaci alla mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o al numero 0113338611

Come ottenerlo

Il “super green pass” o “green pass rafforzato” si può ottenere solamente tramite il completamento del ciclo vaccinale o la guarigione.

Quando e dove è obbligatorio    

• Dal 29 novembre 2021, in zona gialla e arancione;
• Dal 6 dicembre 2021 al 15 gennaio 2022 in zona bianca, gialla e arancione.

È necessario per accedere a

• Spettacoli (cinema, teatri, ecc...)
• Eventi sportivi
• Bar e ristorazione al chiuso (solo per i posti a sedere, fatti salvi i servizi di ristorazione di alberghi e altre strutture ricettive riservati esclusivamente ai clienti ivi alloggiati e delle mense e catering continuativo su base contrattuale)
• Feste e discoteche
• Cerimonie pubbliche

Come controllarlo

La verifica avverrà sempre tramite l’app VERIFICAC19, attualmente in fase di aggiornamento, con il quale si potrà scegliere la tipologia di verifica a seconda dell’attività svolta e del colore della zona di appartenenza.

Occorrerà selezionare la tipologia:

• Verifica Base per il semplice green pass
• Verifica Rafforzata per il super green pass

Nuovi obblighi vaccinali    

Ci sono importanti novità anche per la scuola, con l'introduzione dal 15 dicembre dell'obbligo vaccinale per insegnanti e personale scolastico.

Obbligo vaccinale dal 15 dicembre anche per i militari e le forze di polizia. Sempre dal 15 dicembre, infine, diventa obbligatoria la terza dose di vaccino per tutto il personale sanitario.

Al completamento del ciclo vaccinale con la terza dose di vaccino sarà necessario scaricare il green pass aggiornato.

Ricordiamo che la validità del green pass è stata ridotta da 12 a 9 mesi per quelli rilasciati dopo il vaccino; per i green pass rilasciati dopo la guarigione dal virus la validità rimane a 6 mesi.

Consegna del green pass al Datore di lavoro

Con il D.L. 21.09.2021, n. 127 è stato reso obbligatorio il Green Pass per l’accesso ai luoghi di lavoro e per lo svolgimento delle relative attività.

Il Decreto è stato convertito in Legge (L. 19.11.2021, n. 165) con alcune modifiche, finalizzate alla semplificazione dei controlli, come per esempio, la possibilità per i lavoratori di poter richiedere di consegnare al proprio datore di lavoro una copia della certificazione verde, così da risultare esonerati dai controlli per tutta la durata della relativa validità.

Di seguito riportiamo il testo normativo che introduce questa nuova modalità di controllo:

“Al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde COVID-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro”

I lavoratori dovranno essere informati sulla possibilità di consegnare il green pass al Datore di lavoro.

Alleghiamo qui una bozza di possibile informativa.

Nonostante le osservazioni del Garante della Privacy, dunque concludiamo che è ora possibile consegnare la certificazione verde al Datore di lavoro al fine di evitare i controlli quotidiani.

Informativa sulla possibilità di consegnare il green pass

All’inizio del mese di novembre il personale Microsoft ha rilevato una pericolosa vulnerabilità presente sulle versioni attualmente mantenute di Exchange, noto software utilizzato per la gestione delle caselle di posta elettronica e di tutti i servizi ad esse collegati, quali calendari, rubriche condivise ed altri strumenti di collaborazione. La vulnerabilità scoperta permette ad un utente regolarmente autenticato sul sistema di eseguire codice arbitrario all’interno del sistema vulnerabile. Pertanto, qualsiasi utente autorizzato ad accedere ai servizi di Exchange, in possesso di valide credenziali di accesso, può sfruttare tale vulnerabilità. Ad essa è stato assegnato il CVE-2021-42321.

Il giorno 9 Novembre 2021 sono stati pubblicati dal personale Microsoft gli aggiornamenti di sicurezza atti a risolvere tale problematica.

La vulnerabilità, già di per sé critica, risulta attualmente ancora più pericolosa a causa di un PoC (Proof of Concept) pubblicato su Twitter nei giorni passati. Precisamente in data 21 Novembre 2021, il ricercatore in sicurezza che corrisponde allo pseudonimo su Twitter di “Janggggg”, conosciuto anche come “@testanull”, ha pubblicato un exploit funzionante atto a sfruttare tale vulnerabilità. L’exploit permette l’esecuzione del software “mspaint.exe” sul sistema vulnerabile. Lo stesso PoC pubblicato può essere modificato per causare l’esecuzione di un qualsiasi altro programma presente sul sistema, e pertanto può essere sfruttato da un eventuale malintenzionato per ottenere un accesso completo al sistema vulnerabile.

Le versioni vulnerabili di Microsoft Exchange risultano essere le seguenti:

• Microsoft Exchange 2013
• Microsoft Exchange 2016
• Microsoft Exchange 2019

Maggiori dettagli riguardanti l’aggiornamento di Exchange possono essere reperite al seguente URL:

• https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169

Il nostro consiglio è ovviamente quello di aggiornare il prima possibile e, nel caso di aggiornamenti automatici del sistema, verificare che tutti gli aggiornamenti di sicurezza siano stati applicati correttamente.

Per completezza, riportiamo di seguito l’URL in cui è stato pubblicato il PoC riguardante la vulnerabilità CVE-2021-42321:

https://gist.github.com/testanull/0188c1ae847f37a70fe536123d14f398

I ricercatori della società IBM hanno scoperto negli scorsi giorni una nuova variante del malware bancario denominato “BrazKing”, operante sui sistemi mobili Android.

Secondo quanto dichiarato dai ricercatori, BrazKing tenta la sua diffusione tramite messaggi SMS inviati alle ignare vittime. Tali messaggi contengono al suo interno un URL Internet in cui l’utente viene informato che la versione di Android in uso risulta essere obsoleta e per motivi di sicurezza andrebbe aggiornato. Unitamente alla pagina che presenta l’avviso viene indicato un link da cui scaricare l’aggiornamento del nostro sistema operativo, in formato APK.

Se l’utente accetta di effettuare il download del file APK, e pertanto accetta il download da parte di fonti sconosciute, l’installante richiederà di poter accedere al “Servizio di accessibilità” di Android.

Se l’utente accetta quanto proposto, il trojan BrazKing avrà terminato la sua installazione ed ottenuto tutti i privilegi di cui necessita per il suo funzionamento.

Nel dettaglio BrazKing utilizzerà l’accesso al servizio di accessibilità per poter effettuare le seguenti operazioni:

• Registrazione di tutti i tasti premuti sul dispositivo (Keylogger);
• Trafugare i dati contenuti all’interno delle app bancarie presenti sul sistema;
• Leggere i messaggi SMS ricevuti sul cellulare, senza il permesso “android.permission.READ_SMS”;
• Leggere gli elenchi dei contatti presenti sul dispositivo.

Attraverso tali funzionalità il malware sarà in grado di accedere al conto bancario della vittima, attraverso le credenziali trafugate, e superare l’eventuale autenticazione a 2 fattori impostata tramite l’invio di un SMS di verifica, poiché sarà in grado di leggere autonomamente il messaggio SMS ricevuto, inserire il codice richiesto dalla banca, e successivamente eliminare l’SMS.

Ovviamente tali azioni avverranno alla completa insaputa dell’utilizzatore.

Nello specifico caso, ma anche in generale, i nostri consigli al fine di evitare l’infezione del vostro dispositivo mobile possono essere riassunti nei seguenti punti:

• Mantenere costantemente aggiornato il dispositivo e tutti gli applicativi al suo interno;
• Diffidare di tutti gli SMS ricevuti contenenti link web;
• Installare e mantenere aggiornato un sistema Antivirus sul proprio dispositivo mobile;
• Evitare l’esecuzione e l’installazione di qualsiasi applicazione o programma proveniente dal Web, al di fuori del market ufficiale offerto da Google Play;
• Verificare sempre quali privilegi vengono richiesti dall’applicazione per il suo corretto funzionamento;

Nel caso il produttore del proprio dispositivo mobile non offra ulteriori aggiornamenti di sicurezza (dispositivo obsoleto), valutare l’acquisto di un nuovo dispositivo.

In data 10 novembre 2021 il Garante per la protezione dei dati personali ha pubblicato sul proprio sito la Newsletter n. 483 contenente i seguenti argomenti:

• Ricette mediche appese fuori dalla finestra, il Garante privacy sanziona un medico. Per consegnare le ricette mediche ai propri pazienti un medico le appende fuori dallo studio con le mollette da bucato. Per questa singolare consegna l’Autorità Garante ha ingiunto al medico una sanzione di 10 mila euro.
• PA: ok del Garante privacy alla piattaforma digitale per la notifica degli atti. Il Garante privacy esprime parere favorevole riguardo al nuovo sistema di comunicazioni aventi valore legale, ma specifica che tale piattaforma dovrà garantire la riservatezza dei documenti e la privacy dei soggetti coinvolti.
• Carta europea della disabilità, via libera del Garante privacy. Nell’esprimere il suo parere favorevole sullo schema di provvedimento predisposto dall’Inps, che prevede l’erogazione in Italia della Carta europea della disabilità, Il Garante privacy ha però chiesto all’Istituto di limitare agli enti erogatori l’accesso alle informazioni contenute nel sistema.

Per leggere la newsletter completa e i singoli articoli visita il sito del Garante al seguente link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9716908

Prosegue la campagna di sensibilizzazione, proposta dal Garante per la protezione dei dati personali, volta a informare gli utenti dei servizi digitali riguardo al tema della protezione dei dati personali.

Questa volta il focus dell’iniziativa è incentrato sul sensibilizzare la cittadinanza relativamente ai microfoni degli smartphone e sulla loro possibilità di rimanere attivi anche quando non stiamo utilizzando il dispositivo: in tal modo questi potrebbe essere utilizzati per raccogliere informazioni, consultabili da terze parti, anche per fini pubblicitari.

Purtroppo, come spiega l’Autorità Garante, molto spesso gli utenti concedono a diverse applicazioni le autorizzazioni per l’utilizzo del microfono senza informarsi a sufficienza sull’uso che verrà fatto di tali dati.

In data 29 settembre 2021 il Garante privacy ha avviato un’indagine su alcune app per verificare su queste acquisiscono dati attraverso il microfono anche quando non le utilizziamo direttamente.

A seguito dell’inizio di questa indagine il Garante privacy ha integrato sul proprio sito istituzionale una scheda informativa che ha lo scopo di suggerire alcune accortezze per evitare di esporci a cosiddetti ascolti indiscreti.

La scheda può essere consultata al seguente link https://www.garanteprivacy.it/temi/smartphone/microfoni e si aggiunge alle attività di educazione digitale proposte dall’Autorità Garante: tra i consigli proposti viene anche spiegato come disattivare le autorizzazioni di accesso al microfono delle app installate.

Il personale della società americana con sede a Boston Rapid7 ha pubblicato i dettagli di una nuova campagna malware che si nasconde dietro un falso aggiornamento del browser Internet Google Chrome.

Il metodo di infezione utilizzato prevede che l’utente visiti uno specifico sito appositamente creato, in cui viene presentato all’ignaro utente un aggiornamento di Google Chrome. Il fantomatico aggiornamento è ospitato dal sito “chromesupdate.com” e consiste in un pacchetto di tipo MSIX, solitamente nominato oelgfertgokejrgre.msix. Il formato .msix è comunemente utilizzato dai sistemi Windows per l’installazione di applicazioni.

A seguito dell’installazione dell’applicazione malevola, essa effettua le seguenti operazioni sul sistema infetto:

• Estrazione dei dati riservati dal sistema.
• Estrazione delle password salvate sul browser Internet.
• Compromissione delle credenziali di accesso alle eventuali cripto valute presenti sul sistema
• Blocco degli aggiornamenti di Google Chrome.
• Possibilità di eseguire comandi remoti da parte dell’attaccante sul sistema infetto.
• Inserimento di un’operazione pianificata che assicura la persistenza del malware sul sistema infetto.

Secondo quanto riportato dal personale di Rapid7, il principale sistema infettato da questa tipologia di malware è Windows 10.

Per maggiori informazioni vi rimandiamo direttamente al comunicato ufficiale pubblicato all’interno del blog di Rapid7, visitabile al seguente URL: https://www.rapid7.com/blog/post/2021/10/28/sneaking-through-windows-infostealer-malware-masquerades-as-windows-application/

I nostri consigli, validi sia in generale che nello specifico caso, sono i seguenti:

• Gli aggiornamenti di Google Chrome normalmente sono gestiti direttamente dal software stesso, pertanto se vi vengono proposti ulteriori aggiornamenti durante la normale navigazione Internet, diffidate da essi e non installate alcun software proposto.
• Mantenete costantemente aggiornato e sotto controllo il vostro Antivirus.
• Una formazione dei vostri dipendenti nelle basi della Cyber Security aiuta a prevenire situazioni di rischio che possono coinvolgere l’intera Azienda.

Il Garante per la protezione dei dati personali, al termine di una complessa attività istruttoria, ha comminato a Sky Italia una sanzione di oltre 3,2 milioni di euro. Inoltre ha vietato alla società l’ulteriore trattamento di dati ai fini promozionali effettuato tramite l’uso di liste acquisite da altre società. Per l’ultimo il Garante privacy ha prescritto diverse misure alla società per adempiere in maniera ottimale alla normativa europea e nazionale.

L’attività istruttoria è stata avviata a seguito di decine di segnalazioni e reclami che denunciavano la ricezione di telefonate che promuovevano i servizi offerti da Sky: tra le molte criticità sono state riscontrate la mancata consegna di un’informativa e la mancata richiesta di consenso dove richiesto.

Al seguente link potrete trovare l’articolo completo del Garante privacy e l’ordinanza di ingiunzione: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9708780

In data 12 ottobre 2021 il Garante per la protezione dei dati personali ha approvato lo schema di DPCM che introduce nuove modalità di verifica del Green Pass in ambito lavorativo pubblico e privato.

Lo schema analizzato dal Garante privacy prevede che la verifica del possesso della certificazione verde Covid-19 (anche denominata Green Pass) possa avvenire anche attraverso modalità alternative all’App VerificaC19. Tali modalità alternative potranno essere:

• un pacchetto di sviluppo per applicazioni (SDK) con licenza open source da integrare nei sistemi di controllo effettuati all’accesso dei locali lavorativi;
• una specifica funzionalità della Piattaforma NoiPA per i datori di lavoro pubblici;
• una specifica funzionalità del Portale istituzionale INPS per i datori di lavoro privati;
• un servizio di interoperabilità applicativa con la Piattaforma nazionale-DGC previsto solo per le Pubbliche Amministrazione con più di mille dipendenti.

Per quanto riguarda la verifica da effettuare mediante Piattaforma NoiPA, Portale INPS e Piattaforma nazionale-DGC questa permetterà di visualizzare unicamente informazioni riguardanti il possesso o meno di un Green Pass valido e tale controllo verrà effettuato solo per i lavoratori in servizio per cui è previsto l’accesso al luogo di lavoro.

L’Autorità Garante ricorda che l’attività di verifica non dovrà in alcun modo comportare la raccolta di altri dati, se non quelli strettamente necessari alla verifica ed eventualmente all’applicazione di azioni derivanti dal mancato possesso di una certificazione valido.

Per ultimo il Garante privacy fa presente che i dipendenti sottoposti alla verifica dovranno essere informati dal proprio datore di lavoro sul trattamento dei dati attraverso una specifica informativa, anche mediante una comunicazione resa alla generalità del personale.

Qui di seguito potrete trovare il link per visionare l’articolo completo e il parere del Garante privacy: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9707561

A pochi giorni dall’entrata in vigore dell’obbligo generalizzato della certificazione verde per accedere ai luoghi di lavoro privati e pubblici, abbiamo organizzato un webinar per illustrarvi le ultime novità sull’applicazione della normativa.

Mentre scriviamo è in fase di pubblicazione il DPCM contenente le Linee Guida per la Pubblica Amministrazione. Nella prima bozza che abbiamo letto, sono già presenti degli spunti interessanti per il settore privato.

Il webinar si focalizzerà sulle modalità di messa in atto dei nuovi provvedimenti con particolare attenzione al tema dei lavoratori senza green pass e alla sospensione dall’attività lavorativa prevista in questi casi.

MODALITÀ DI ACCESSO

L’evento è aperto alla partecipazione di tutti gli interessati, sulla piattaforma Microsoft Teams live Events.

Per partecipare cliccare qui.

È possibile collegarsi da qualsiasi dispositivo (pc, tablet, smartphone) tramite il browser Internet o l’applicazione Microsoft Teams.

Nel corso del webinar non sarà possibile interagire direttamente con i relatori ma per dubbi, domande e consulenze personalizzate vi invitiamo a scriverci all’indirizzo e-mail dedicato:  Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Vi aspettiamo!

SCARICA LE SLIDES DEL WEBINAR QUI

In data 6 ottobre 2021 il Garante per la protezione dei dati personali ha pubblicato sul proprio sito la Newsletter n. 482 contenente i seguenti argomenti:

• Videosorveglianza: sanzionato un Istituto per ciechi. Il Garante privacy spiega come un sistema di videosorveglianza non possa violare la sfera d’intimità e la dignità delle persone, a maggior ragione se gli interessati a tale trattamento sono individui ciechi o ipovedenti: per questo motivo è stata comminata una sanzione alla residenza per persone cieche.
• Marketing: no all’uso dei dati degli utenti di LinkedIn. L’Autorità Garante ribadisce che le comunicazioni effettuate e ricevute all’interno di un social network sono finalizzate unicamente a quanto stabilito nelle condizioni di utilizzo del servizio. Questo ha portato il Garante privacy a sanzionare un’agenzia immobiliare.
• Sì alle smart cities, ma occorre proteggere i dati delle persone. Uno studio compiuto dal Parlamento UE mostra come l’applicazione di tecnologie che includono l’intelligenza artificiale possa comportare seri rischi per gli individui. Per questo motivo l’attenzione posta alla protezione dei dati è un argomento fondamentale per la buona riuscita di questi interventi.

Per leggere la newsletter completa e i singoli articoli visita il sito del Garante al seguente link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9705786

FinFisher, noto anche come FinSpy o Wingbird, è un pericoloso Spyware commerciale funzionante su sistemi Microsoft Windows, Linux e Mac OsX. Già noto nelle sue precedenti versioni in quanto difficile da rilevare attraverso un comune antivirus, nella sua ultima evoluzione attacca direttamente il Master Boot Record, una parte dell’hard disk del sistema operativo dedicata all’avvio del sistema. Nel gergo informatico viene definito come Master Boot Record (MBR) il primo settore del disco rigido (hard disk) del computer, composto dai primi 512 byte del disco. Esso contiene una sequenza di comandi o istruzioni necessarie all’avvio (boot) del sistema operativo.

Nel caso di FinFisher, lo spyware si occupa di modificare una parte del Boot Manager di sistema inserendo un frammento del suo codice all’interno, lasciando inalterato il normale funzionamento del restante codice dedicato all’avvio del sistema operativo. In questo modo una parte delle funzionalità di sorveglianza del software vengono caricate in memoria prima dell’avvio del sistema operativo, riuscendo ad occultare in modo più efficiente la sua presenza ad eventuali antivirus o antimalware installati all’interno del sistema.

Successivamente FinFisher è in grado di raccogliere, alla totale insaputa dell’utente, qualsiasi dato in transito sul sistema, come ad esempio documenti, e-mail, cronologia della navigazione dell’utente ecc... È inoltre in grado di accedere ad eventuali webcam o microfoni presenti sul sistema e registrare le informazioni disponibili attraverso tali periferiche. La sua presenza all’interno del Master Boot Record lo rende immune ad una eventuale re-installazione del sistema operativo, poiché una semplice formattazione del dispositivo non è sufficiente all’eliminazione dei dati contenuti all’interno dell’MBR.

Per maggiori approfondimenti sull’argomento vi rimandiamo alla lettura di un’ottima analisi tecnica di FinFisher, effettuata dal personale tecnico di Kaspersky, leggibile gratuitamente al seguente link:

• https://securelist.com/finspy-unseen-findings/104322/

Per maggiore chiarezza ribadiamo alcuni concetti molto importanti che riguardano FinFisher:

• Esso è un software spia di tipo commerciale, pertanto la sua diffusione è limitata e solitamente viene impiegato principalmente in attacchi mirati, al fine di trafugare informazioni particolarmente riservate;
• Il suo metodo di infezione, che avviene prima dell’avvio del sistema operativo vero e proprio, lo rende particolarmente persistente e di difficile individuazione ed eliminazione.

I nostri consigli, validi in generale per ogni forma di Malware/Spyware e derivati, possono essere riassunti nei seguenti punti:

• Effettuare il download di applicazioni e programmi provenienti solo da siti web affidabili e riconosciuti;
• Prestare sempre la massima attenzione agli allegati contenuti nelle e-mail: prima di aprire un file o seguire un link contenuto all’interno della comunicazione verificare sempre che si tratti di una comunicazione attesa, proveniente da un mittente affidabile e che all’interno della mail ricevuta non vi siano anomalie nel testo (come ad esempio errori di scrittura, oppure mutazioni nel normale metodo di comunicazione utilizzato da una persona da cui riceviamo periodicamente comunicazioni di posta elettronica). Nel dubbio è necessaria un’ulteriore verifica della veridicità della comunicazione ricevuta, attraverso differente mezzo di comunicazione (come può essere ad esempio il telefono);
• Non installare software provenienti da fonti sconosciute;
• Verificare periodicamente l’aggiornamento ed il corretto funzionamento del proprio sistema antivirus.

In ambito aziendale ricordiamo inoltre che è necessaria una corretta formazione dei propri dipendenti, al fine di prepararli ad eventuali attacchi di tipo Phishing, Vishing, Smishing ed altre tecniche di ingegneria sociale.

Il team di ricerca di Google diretto da Clément Lecigne ha rilasciato un aggiornamento critico relativo a Google Chrome, che risolve una vulnerabilità attualmente sfruttata da malintenzionati per la diffusione di malware.

La vulnerabilità, identificata come CVE-2021-37973, riguarda le API denominate “Portals” presenti all’interno di Google Chrome. Attualmente non sono stati forniti ulteriori dettagli tecnici sul funzionamento della vulnerabilità.

La vulnerabilità è presente su tutti i sistemi che utilizzano Google Chrome dotati di sistemi operativi Linux, Microsoft Windows e Apple Mac OsX.

Lo stesso personale di Google Chrome consiglia a tutti gli utenti di aggiornare il loro browser Internet il prima possibile, e questo fa sicuramente intuire la gravità della vulnerabilità. Gli stessi report forniti da Google indicano che la vulnerabilità è ad oggi attivamente sfruttata da malintenzionati per scopi malevoli.

Solo nell’arco di quest’anno il personale di Google Chrome ha risolto 11 vulnerabilità di tipo 0-day. Una vulnerabilità viene classificata come “0-day” quando i malintenzionati riescono a sfruttarla prima che il fornitore dell’applicativo sia a conoscenza della sua esistenza.

Il nostro consiglio ovviamente è quello di aggiornare il prima possibile. Per fare questo è sufficiente aprire Google Chrome e digitare nella barra degli indirizzi la seguente stringa:

• chrome://settings/help

A seguito di un controllo della disponibilità di una nuova versione, sarà necessario riavviare Chrome per applicare l’aggiornamento. Attualmente l’ultima versione di Chrome disponibile risulta essere la 94.0.4606.61.

Durante la settimana attualmente in corso il personale di Apple ha rilasciato aggiornamenti che risolvono molteplici vulnerabilità all’interno dei sistemi e applicazioni prodotti dalla celebre società con sede a Cupertino. Alcuni di essi, i più gravi, permettono l’esecuzione di codice all’interno del sistema con gli stessi privilegi dell’utente che li ha eseguiti, mettendo a rischio l’integrità e la riservatezza dei dati.

Riportiamo di seguito tutti gli aggiornamenti rilasciati, con una breve descrizione delle problematiche, suddivise per sistema operativo o applicativo coinvolto.

iOS e iPadOS

• Un’applicazione può eseguire codice arbitrario con i privilegi amministrativi. (CVE-2021-30837)
• Un’attaccante locale, avente pertanto accesso fisico al sistema, può riuscire a leggere informazioni riservate. (CVE-2021-30811)
• Un’applicazione malevola può eseguire codice arbitrario con privilegi elevati all’interno di un dispositivo in cui è attivo il motore neurale sviluppato dal personale di Apple. (CVE-2021-30838)
• Un’attaccante avente accesso fisico al sistema può causare l’interruzione nell’esecuzione di un’applicazione o l’esecuzione di codice arbitrario. (CVE-2021-30825)
• Un modello 3D creato per essere simile all’utente proprietario della periferica può essere in grado di autenticarsi attraverso l’applicazione di riconoscimento facciale “Face ID”. (CVE-2021-30863)
• Un file di tipo “dfont” (formato standard utilizzato dai sistemi Apple per l’inserimento di nuovi tipi di carattere all’interno del sistema) avente contenuto malevolo può causare l’esecuzione di codice arbitrario con gli stessi privilegi dell’utente. (CVE-2021-30841, CVE-2021-30842, CVE-2021-30843)
• L’interpretazione di un’immagine appositamente creata può causare l’esecuzione di codice arbitrario. (CVE-2021-30835, CVE-2021-30847)
• Un’applicazione appositamente creata può eseguire codice arbitrario all’interno del sistema con privilegi elevati. (CVE-2021-30857)
• Un’attaccante remoto può causare il blocco completo del dispositivo. (CVE-2013-0340)
• L’interpretazione di un file USD appositamente creato può causare la divulgazione del contenuto della memoria della periferica. (CVE-2021-30819)
• Un’applicazione può essere in grado di accedere a file normalmente non accessibili di sistema, causando gravi danni all’intero sistema operativo. (CVE-2021-30855)
• Un processo funzionante all’interno di un ambiente isolato (sandbox) può aggirare le restrizioni imposte. (CVE-2021-30854)
• Un’attaccante avente accesso fisico al dispositivo può riuscire a consultare i contatti contenuti all’interno della periferica senza disattivare il blocco dello schermo. (CVE-2021-30815)
• In alcune situazioni non è possibile per il sistema operativo attivare le protezioni di integrità e crittografia nella modulazione del segnale. (CVE-2021-30826)
• Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice arbitrario all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849, CVE-2021-30848, CVE-2021-30851)
• Un attaccante in prossimità del sistema vulnerabile può essere in grado di forzare l’utente alla connessione ad una rete Wireless appositamente creata durante la configurazione del dispositivo vulnerabile. (CVE-2021-30810)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212814

watchOS

• Un’applicazione può essere in grado di eseguire codice arbitrario con privilegi elevati di sistema. (CVE-2021-30837)
• Un attaccante avente accesso fisico al sistema può essere in grado di leggere informazioni riservate. (CVE-2021-30811)
• Un file di tipo “dfont” (formato standard utilizzato dai sistemi Apple per l’inserimento di nuovi tipi di carattere all’interno del sistema) avente contenuto malevolo può causare l’esecuzione di codice arbitrario con gli stessi privilegi dell’utente. (CVE-2021-30841, CVE-2021-30842, CVE-2021-30843)
• L’interpretazione di un’immagine appositamente creata avente contenuto malevolo può causare l’esecuzione di codice arbitrario. (CVE-2021-30835, CVE-2021-30847)
• Un’applicazione appositamente creata può eseguire codice arbitrario all’interno del sistema con privilegi elevati. (CVE-2021-30857)
• Un’attaccante remoto può causare il blocco completo del dispositivo. (CVE-2013-0340)
• Un’applicazione può essere in grado di accedere a file normalmente non accessibili di sistema, causando gravi danni all’intero sistema operativo. (CVE-2021-30855)
• Un processo funzionante all’interno di un ambiente isolato (sandbox) può aggirare le restrizioni imposte. (CVE-2021-30854)
• Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849, CVE-2021-30851)
• Un attaccante in prossimità del sistema vulnerabile può essere in grado di forzare l’utente alla connessione ad una rete Wireless appositamente creata durante la configurazione del dispositivo vulnerabile. (CVE-2021-30810)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212819

tvOS

• Un’applicazione può essere in grado di eseguire codice arbitrario con privilegi elevati di sistema. (CVE-2021-30837)
• Un file di tipo “dfont” (formato standard utilizzato dai sistemi Apple per l’inserimento di nuovi tipi di carattere all’interno del sistema) avente contenuto malevolo può causare l’esecuzione di codice arbitrario con gli stessi privilegi dell’utente. (CVE-2021-30841, CVE-2021-30842, CVE-2021-30843)
• L’interpretazione di un’immagine appositamente creata avente contenuto malevolo può causare l’esecuzione di codice arbitrario. (CVE-2021-30835, CVE-2021-30847)
• Un’applicazione appositamente creata può eseguire codice arbitrario all’interno del sistema con privilegi elevati. (CVE-2021-30857)
• Un’attaccante remoto può causare il blocco completo del dispositivo. (CVE-2013-0340)
• Un processo funzionante all’interno di un ambiente isolato (sandbox) può aggirare le restrizioni imposte. (CVE-2021-30854)
• Un utente può essere in grado di accedere a porzioni protette del file system. (CVE-2021-30850)
• Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849, CVE-2021-30851)
• Un attaccante in prossimità del sistema vulnerabile può essere in grado di forzare l’utente alla connessione ad una rete Wireless appositamente creata durante la configurazione del dispositivo vulnerabile. (CVE-2021-30810)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212815

Xcode

• Sono state corrette molteplici vulnerabilità all’interno dell’applicazione NGINX. (CVE-2016-0742, CVE-2016-0746, CVE-2016-0747, CVE-2017-7529, CVE-2018-16843, CVE-2018-16844, CVE-2018-16845, CVE-2019-20372).

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212818

Safari

• Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849, CVE-2021-30849, CVE-2021-30851)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212816

iTunes per Windows

• L’interpretazione di un’immagine appositamente creata avente contenuto malevolo può causare l’esecuzione di codice arbitrario. (CVE-2021-30835, CVE-2021-30847)
• Un sito web avente contenuto malevolo appositamente creato può causare l’esecuzione di codice all’interno del sistema vulnerabile. (CVE-2021-30846, CVE-2021-30849)

Maggiori dettagli sono disponibili al seguente URL: https://support.apple.com/en-us/HT212817

A causa delle molteplici vulnerabilità che possono causare la compromissione dei sistemi coinvolti anche durante la navigazione Internet, il nostro consiglio è quello di procedere, al più presto possibile, con l’aggiornamento completo di tutti i sistemi Apple quali Mac, iPhone, iPad, Apple Watch, Apple TV all’ultima versione disponibile. Inoltre è necessario aggiornare i sistemi dotati di sistema operativo Microsoft Windows nel caso in cui si utilizzi Safari o iTunes.

Una necessaria premessa

Gli organi di stampa e le televisioni ci hanno ampiamente informato con notizie sull’obbligo che scatterà dal prossimo 15 ottobre, in base al Decreto Legge approvato dal Governo la scorsa settimana. Mancano tuttavia chiarimenti ufficiali, in particolare per quanto riguarda le modalità di controllo che i datori di lavoro dovranno applicare, che saranno definite da un apposito Decreto ministeriale. Dobbiamo pertanto attendere ancora qualche giorno per poter sciogliere i tanti dubbi emersi dalla lettura del decreto.

Alcuni punti fermi

1. Da venerdì 15 ottobre chiunque svolga un’attività lavorativa nel settore privato, dovrà possedere ed esibire su richiesta la certificazione verde per accedere al posto di lavoro;
2. L’obbligo riguarda tutti i lavoratori subordinati, compresi volontari, tirocinanti, collaboratrici/ori, domestici e badanti;
3. L’obbligo riguarda anche i titolari di partite iva e fornitori;
4. Restano esclusi soltanto i soggetti esenti in possesso di idonea certificazione.

Come comportarsi con i soggetti obbligati ma privi del green pass?

Assodato che per quanto riguarda le modalità di controllo si dovrà attendere l’apposito Decreto ministeriale, è intanto certo che:

• non potranno accedere ai luoghi di lavoro e saranno considerati assenti senza diritto alla retribuzione fino alla presentazione del certificato verde i soggetti indicati al precedente punto b. che comunichino di non possedere o non esibiscono il green pass;
• si mantiene comunque il diritto alla conservazione del posto di lavoro, ovvero non è possibile licenziare i dipendenti;
• norme apposite (ma ancora ampiamente da chiarire) sono previste per i datori di lavoro con meno di 15 dipendenti, in quanto la sospensione dall’attività lavorativa dovrebbe scattare dal quinto giorno dalla mancata presentazione della certificazione verde e la durata della sospensione corrispondere a quella di un eventuale contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a 10 giorni e non oltre il termine del 31 dicembre 2021;
• entro il 15 ottobre i datori di lavoro definiranno le modalità operative per l’organizzazione delle verifiche, anche a campione, e individueranno i soggetti incaricati ai controlli al momento dell’accesso al lavoro e delle contestazioni delle violazioni.

Le sanzioni

Ribadito il divieto di licenziamento, si fa presente che:

• sono previste sanzioni pecuniarie tra i 600 e 1.500 euro per i lavoratori sorpresi all’interno del luogo di lavoro senza green pass;
• i datori di lavoro che non verifichino il rispetto delle regole e che non predispongano le corrette modalità di verifica sono soggetti ad una sanzione da 400 a 1.000 euro.

Nei prossimi giorni, non appena il Governo pubblicherà il Decreto che spiegherà in via ufficiale come effettuare i controlli, vi forniremo dettagliate informazioni su come applicare la nuova norma.

Il personale di BitDefender, nota azienda nel campo della cybersecurity con sede in Romania, ha rilasciato un software gratuito che permette il recupero dei dati crittografati dal celebre ransomware REevil, soprannominato anche “Sodinokibi”.

Ricordiamo che REevil è un ransomware particolarmente pericoloso sviluppato probabilmente in Russia e il suo funzionamento è quello tipico dei malware appartenenti a questa categoria: il sistema viene infettato da un software malevolo che si occupa della crittografia silenziosa di tutti i dati presenti sul sistema (ed eventualmente anche all’interno della rete). A seguito dell’operazione di crittografia viene presentata all’utente una richiesta di riscatto, che prevede il pagamento di una ingente somma di denaro in Bitcoin per poter accedere nuovamente ai propri dati.

A partire dal mese di maggio 2020 fino al mese di luglio 2021 le vittime di questo ransomware sono state innumerevoli: tra di esse possiamo citare Grubman Shire Meiselas & Sacks, noto studio legale avente sede a New York, oppure la Acer, nota azienda produttrice di personal computer. Tra le vittime più recenti troviamo invece Kaseya, noto fornitore di servizi informatici.

Attualmente Bitdefender non ha rilasciato ulteriori dettagli su come sia stato possibile lo sviluppo di tale software.

È possibile prelevare il software che permette il recupero dei dati crittografati dal ransomware REevil al seguente URL: http://download.bitdefender.com/am/malware_removal/BDREvilDecryptor.exe

Al seguente URL invece potete consultare una guida che fornisce istruzioni sull’utilizzo del software: https://www.nomoreransom.org/uploads/REvil_documentation.pdf

Il personale di Microsoft ha rilasciato molteplici aggiornamenti per tutti i sistemi Windows attualmente mantenuti, atti a risolvere molteplici vulnerabilità di cui alcune particolarmente critiche.

Gli aggiornamenti pubblicati risolvono un totale di 66 vulnerabilità presenti all’interno dei sistemi operativi prodotti da Microsoft, di cui 62 sono state classificate come “importanti”, e un gran numero di esse permettono l’esecuzione remota di codice arbitrario.

L’aggiornamento più importante è la correzione della vulnerabilità classificata come CVE-2021-40444.

Tale vulnerabilità risiede all’interno del modulo MSHTML, che permette l’esecuzione di codice arbitrario attraverso l’apertura di un documento di Word appositamente forgiato. Maggiori informazioni su tale vulnerabilità le potete trovare all’interno di un articolo precedentemente pubblicato e consultabile QUI.

Un’altra correzione importante presente all’interno degli ultimi aggiornamenti pubblicati riguarda una problematica di sicurezza nella gestione dei DNS da parte dei sistemi Microsoft. La vulnerabilità, a cui è stato assegnato il CVE-2021-36968 permette l’elevazione dei propri privilegi attraverso il servizio di gestione dei DNS dei sistemi operativi Microsoft Windows.

Le altre vulnerabilità degne di nota, risolte all’interno degli ultimi aggiornamenti rilasciati dal personale di Microsoft, riguardano le seguenti funzionalità e/o servizi:

• Il modulo Open Management Infrastructure presenta una vulnerabilità remota a cui è stato assegnato il CVE-2021-38647;
• Il servizio di sistema Windows WLAN AutoConfig, al cui interno è presente una vulnerabilità (CVE-2021-36965) che può consentire in determinate situazioni l’esecuzione remota di codice;
• La suite di Office, al cui interno sono presenti vulnerabilità che possono permettere l’esecuzione remota di codice arbitrario (CVE-2021-38659);
• L’applicativo Microsoft Visual Studio, che può permettere in alcuni specifici casi l’esecuzione remota di codice arbitrario (CVE-2021-36952);
• Il software Microsoft Word, contenuto all’interno della suite Office, che può permettere, a seguito dell’apertura da parte dell’utente di uno specifico documento. l’esecuzione di codice arbitrario (CVE-2021-38656);
• Il linguaggio di programmazione Windows Scripting Engine presenta una problematica di sicurezza nella gestione della memoria del sistema, che può permettere l’esecuzione remota di codice arbitrario (CVE-2021-26435).

Un elenco completo delle vulnerabilità risolte da Microsoft attraverso l’ultimo aggiornamento disponibile può essere reperito al seguente URL:

• https://msrc.microsoft.com/update-guide/releaseNote/2021-Sep

Il nostro consiglio in questo caso è quello ovviamente di aggiornare il prima possibili tutti i sistemi dotati di un sistema operativo Microsoft Windows. Per fare questo è sufficiente recarsi all’interno delle impostazioni del proprio sistema Microsoft e selezionare la voce “Aggiornamento e sicurezza”. Al termine dell’aggiornamento sarà necessario riavviare il proprio sistema per terminare l’installazione degli aggiornamenti.

È attualmente disponibile un importante aggiornamento di sicurezza del noto browser Internet Chrome che risolve 11 problematiche di sicurezza, di cui 2 ritenute gravi poiché attualmente sfruttate da malintenzionati per scopi malevoli.

Le due vulnerabilità più gravi, a cui è stato assegnato il CVE-2021-30632 ed il CVE-2021-30633, riguardano rispettivamente una vulnerabilità presente nel motore V8 del linguaggio di programmazione Javascript e una vulnerabilità presente nella API di basso livello denominata “IndexedDB”.

Secondo quanto dichiarato dal personale di Google, le due vulnerabilità sono attualmente sfruttate da malintenzionati per scopi malevoli, ma purtroppo non sono stati forniti ulteriori dettagli.

L’elenco completo delle correzioni effettuate all’interno di Google Chrome con l’ultima versione rilasciata è disponibile al seguente URL:

https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html

Il nostro consiglio è quello di aggiornare il prima possibile Google Chrome all’ultima versione disponibile (che attualmente risulta essere la 93.0.4577.82).

Per fare questo è sufficiente aprire Google Chrome e digitare nella barra degli indirizzi la seguente stringa:

• chrome://settings/help

A seguito di un controllo della disponibilità di una nuova versione, sarà necessario riavviare Chrome per applicare l’aggiornamento.

Apple ha rilasciato importanti aggiornamenti di sicurezza per tutti i sistemi mantenuti dalla società stessa, al fine di risolvere due gravi vulnerabilità di sicurezza attualmente sfruttate da malintenzionati per la diffusione di malware o per la compromissione completa del sistema.

Le due vulnerabilità corrette sono le seguenti:

• CVE-2021-30858: Una vulnerabilità presente all’interno del framework WebKit può causare l’esecuzione di codice arbitrario a seguito dell’interpretazione di contenuti Web appositamente forgiati.
• CVE-2021-30860: Una vulnerabilità presente all’interno del framework CoreGraphics può causare l’esecuzione di codice arbitrario a seguito dell’apertura di un file di tipo PDF avente contenuti malevoli.

Secondo alcuni recenti articoli le due vulnerabilità in oggetto sono attualmente sfruttate per la diffusione dello spyware denominato Pegasus, software di sorveglianza creato dal personale di NSO Group, nota azienda israeliana specializzata nello sviluppo di software di controllo e di spionaggio.

Riportiamo di seguito le versioni aggiornate, disponibili per tutti i sistemi attualmente supportati, che non presentano le vulnerabilità di sicurezza precedentemente descritte:

• iOS: disponibile la versione 14.8
• iPadOS: disponibile la versione 14.8
• watchOS: disponibile la versione 7.6.2
• macOS Big Sur: disponibile la versione 11.6
• Safari: disponibile la versione 14.1.2

Il nostro consiglio, rivolto a tutti gli utilizzatori di sistemi Apple quali iPhone, iPad, Mac e Apple Watch, è quello di aggiornare il prima possibile. Tutti i sistemi vulnerabili a seguito dell’apertura di un sito Web appositamente creato o di un documento PDF avente contenuti malevoli, sono a rischio di infezione malware.

In data 10 settembre 2021 il Garante per la protezione dei dati personali ha pubblicato sul proprio sito la Newsletter n. 481 contenente i seguenti argomenti:

• Body cam: ok dal Garante privacy, ma no al riconoscimento facciale. Il Garante per la protezione dei dati personali ha dato il via libera all’uso delle body cam, da parte delle forze dell’ordine, per documentare situazioni critiche di ordine pubblico in occasione di eventi o manifestazioni.
• Roma Capitale: parcheggi, non tutelati i dati degli automobilisti. Il Garante privacy commina una sanzione complessiva di oltre 1 milione di euro a Roma Capitale, Atac Spa e un subfornitore, per non aver tutelato i dati degli automobilisti che parcheggiano nel territorio comunale.
• No alla diffusione sul sito della Regione dei dati che rivelano un disagio economico. Il Garante privacy ribadisce l’importanza di proteggere i dati di coloro che richiedono benefici economici. Nel caso specifico l’Autorità Garante ha sanzionato la Regione Lombardia per aver diffuso sul sito istituzionale i dati personali di più di 100.000 studenti che avevano richiesto borse di studio statali o sussidi economici per diversi scopi.

Per leggere la newsletter completa e i singoli articoli visita il sito del Garante al seguente link: https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9698442

Il personale di Microsoft ha rilasciato un avviso rivolto a tutti gli utilizzatori della suite Office, riguardante una nuova vulnerabilità attualmente sfruttata da malintenzionati per ottenere il controllo completo del sistema vittima.

La vulnerabilità, a cui è stato assegnato il CVE-2021-40444, è contenuta all’interno del modulo MSHTML (soprannominato anche Trident), un modulo utilizzato per la visualizzazione di contenuti Web all’interno di applicazioni quali Outlook, Word, Excel e PowerPoint.

Attraverso tale vulnerabilità, l’attaccante crea un documento Word contenente al suo interno un controllo ActiveX. L’utente che riceve tale documento viene convinto tramite tecniche di social engineering ad aprire il documento e ad autorizzare l’esecuzione del contenuto. Nel momento in cui viene autorizzata l’esecuzione del contenuto, l’infezione del sistema ha inizio.

Il personale di Microsoft ha dichiarato a tal proposito che l’analisi della vulnerabilità è attualmente in corso e nei prossimo giorni verrà rilasciato un aggiornamento, volto a correggere la vulnerabilità.

Il nostro consiglio, valido sia in questa specifica situazione che in generale per una corretta gestione dei documenti ricevuti tramite posta elettronica, è di evitare di autorizzare l’esecuzione di contenuto all’interno di documenti di Word o della suite Office in generale, soprattutto se il documento proviene da una fonte non attendibile.

Netgear, noto produttore di apparati dedicati al networking ed allo storage, ha recentemente rilasciato un aggiornamento atto a risolvere tre gravi vulnerabilità presenti all’interno di alcuni modelli degli switch di rete da loro prodotti.

Le vulnerabilità, scoperte e comunicate al personale di Netgear da Gynvael Coldwind, ricercatore di Google, riguarda i seguenti modelli di switch prodotti da Netgear:

• GC108P (Vulnerabilità risolta nel firmware versione 1.0.8.2)
• GC108PP (Vulnerabilità risolta nel firmware versione 1.0.8.2)
• GS108Tv3 (Vulnerabilità risolta nel firmware versione 7.0.7.2)
• GS110TPP (Vulnerabilità risolta nel firmware versione 7.0.7.2)
• GS110TPv3 (Vulnerabilità risolta nel firmware versione 7.0.7.2)
• GS110TUP (Vulnerabilità risolta nel firmware versione 1.0.5.3)
• GS308T (Vulnerabilità risolta nel firmware versione 1.0.3.2)
• GS310TP (Vulnerabilità risolta nel firmware versione 1.0.3.2)
• GS710TUP (Vulnerabilità risolta nel firmware versione 1.0.5.3)
• GS716TP (Vulnerabilità risolta nel firmware versione 1.0.4.2)
• GS716TPP (Vulnerabilità risolta nel firmware versione 1.0.4.2)
• GS724TPP (Vulnerabilità risolta nel firmware versione 2.0.6.3)
• GS724TPv2 (Vulnerabilità risolta nel firmware versione 2.0.6.3)
• GS728TPPv2 (Vulnerabilità risolta nel firmware versione 6.0.8.2)
• GS728TPv2 (Vulnerabilità risolta nel firmware versione 6.0.8.2)
• GS750E (Vulnerabilità risolta nel firmware versione 1.0.1.10)
• GS752TPP (Vulnerabilità risolta nel firmware versione 6.0.8.2)
• GS752TPv2 (Vulnerabilità risolta nel firmware versione 6.0.8.2)
• MS510TXM (Vulnerabilità risolta nel firmware versione 1.0.4.2)
• MS510TXUP (Vulnerabilità risolta nel firmware versione 1.0.4.2)

Secondo quanto riportato le vulnerabilità permettono di eludere i meccanismi di autenticazione dell’apparato, di impersonare un utente collegato all’apparato ottenendo gli stessi privilegi e infine, anche se tale vulnerabilità non è ancora stata resa nota, di modificare la password di accesso dell’apparato senza essere a conoscenza della precedente password utilizzata.

Le tre vulnerabilità scoperte sono da ritenersi gravi, poiché attraverso di esse un eventuale attaccante remoto può ottenere i privilegi amministrativi sull’apparato e, conseguentemente, modificare a suo piacimento la configurazione dello stesso, causando disservizi nel servizio offerto e potenzialmente causare una perdita della riservatezza e dell’integrità dei dati in transito.

Il nostro consiglio pertanto è quello di aggiornare i vostri apparati il prima possibile, soprattutto nel caso in cui i vostri apparati siano esposti direttamente alla rete Internet.

Qui di seguito è riportato l’annuncio ufficiale emesso dal personale di Netgear, al cui interno potete trovare istruzioni anche su come effettuare l’aggiornamento del firmware dei vostri apparati:

• https://kb.netgear.com/000063978/Security-Advisory-for-Multiple-Vulnerabilities-on-Some-Smart-Switches-PSV-2021-0140-PSV-2021-0144-PSV-2021-0145

Il Garante per la protezione dei dati personali pone l’attenzione su iniziative che coinvolgono l’uso di droni con relativa facilità e senza porre troppa attenzione sulla riservatezza delle persone fisiche.

La prima istruttoria è relativa all’accertamento sul corretto trattamento di dati effettuato mediante i droni in forza presso il Comune di Bari. L’Ente vorrebbe aggiungere, alla flotta già in uso dalla Polizia locale, altri due droni con il preciso compito di monitorare “eventuali assembramenti incompatibili con le limitazioni dovute alla gestione della pandemia da Covid”. Il Comune di Bari dovrà provvedere a fornire al Garante privacy le informazioni richieste entro 20 giorni.

La seconda istruttoria prevede una richiesta di informazioni simile alla precedente, ma questa volta la protagonista è Roma Capitale: sembrerebbe che dal prossimo autunno la Polizia locale di Roma  intenda intensificare il monitoraggio e il controllo del territorio cittadino attraverso l’utilizzo di 9 piccoli droni. Con tale istruttoria il Garante privacy intende valutare l’impatto privacy sui cittadini e il rispetto della normativa privacy.

La terza istruttoria, infine, è stata aperta nei confronti di Azienda USL Roma 3. La richiesta di informazioni è dovuta all’iniziativa, prevista per il 4 e 5 settembre sulle spiagge di Ostia ma rinviata per maltempo,  con la quale attraverso l’uso di droni si intenderebbe rilevare la temperatura corporea dei bagnanti presenti in spiaggia. Chiaramente i dubbi del Garante privacy riguardano soprattutto la delicatezza dei dati trattati e l’assenza, per il momento, di una base giuridica che legittimi tale trattamento. L’Azienda USL Roma 3 dovrà fornire informazioni specifiche entro 7 giorni all’Autorità Garante.

Link all’articolo completo sul sito del Garante privacy: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9696781

Iniziamo questa analisi dando uno sguardo al Decreto Legge del 6 agosto 2021 n. 111, che introduce obblighi specifici per due categorie di interessati:

• per tutto il personale scolastico l’obbligo del possesso e il dovere di esibire la certificazione verde Covid-19 (c.d. Green Pass);
• per i Dirigenti Scolastici l’obbligo di verifica del rispetto delle prescrizioni, come definite con Decreto del Presidente del Consiglio dei ministri del 17 giugno 2021 e relativi allegati.

Tali obblighi decorrono dal 1° settembre 2021 e introducono lo svolgimento di operazioni quotidiane da affiancare alle normali attività scolastiche.

Il D.L. sopraindicato spiega come effettuare la verifica della certificazione verde C19 nella giusta maniera, anche ai fini di una corretta gestione della privacy: essenzialmente la verifica deve essere effettuata mediante l’utilizzo dell’App Verifica C19, installata su un dispositivo mobile. L’applicazione verificherà l’autenticità e la validità del Green Pass, omettendo le informazioni specifiche sul soggetto (quindi se il Green Pass è stato emesso dopo avvenuta vaccinazione, avvenuta negatività dopo contagio o esito negativo di un tampone molecolare o antigenico) e senza memorizzare informazioni sul dispositivo che effettuerà la verifica: nel pieno rispetto, quindi, della normativa privacy.

La verifica del Green Pass fornirà tre diversi risultati (così come previsto dai prossimi aggiornamenti dell’App):

1. schermata verde: la certificazione è valida in Italia e in Europa;
2. schermata blu: la certificazione è valida in Italia;
3. schermata rossa: la certificazione non è ancora valida, è scaduta o c’è stato un errore in lettura.

Dato però che la verifica tramite l’App Verifica C19 non consente di rilevare la durata della certificazione verde C19, tale verifica andrà effettuata giornalmente sul personale scolastico. È facile capire quindi come il controllo giornaliero, in base anche al numero di dipendenti di ciascuna istituzione scolastica, possa comportare rallentamenti soprattutto nei momenti di inizio lezioni.

È importante notare come il Green Pass, per ragioni di riservatezza, non può essere consegnato volontariamente al Dirigente scolastico e quindi demandare a quest’ultimo la verifica autonoma della certificazione verde C19.

Per ovviare a questo problema il Ministero dell’Istruzione, in concomitanza con il Garante per la protezione dei dati personali e il Ministero della Salute, sta cercando di realizzare uno strumento che unisca il Sistema Informativo in uso presso le scuole (SIDI) e la Piattaforma nazionale Digital Green Certificate (DGC) in modo da poter snellire le operazioni di verifica richieste. Sostanzialmente il Dirigente scolastico potrà interrogare il SIDI che, comunicando con la Piattaforma DGC, restituirà la tipologia di schermate descritte nella procedura ordinaria.

Questa nuova procedura sarà introdotta da uno specifico intervento normativo, che prevedrà anche il rispetto della protezione dei dati personali.

Fino ad allora, purtroppo, bisognerà proseguire con la procedura ordinaria di verifica della certificazione verde C19.

IL GARANTE PRIVACY DÀ IL VIA LIBERA ALLE NUOVE MODALITÀ DI VERIFICA DEL GREEN PASS NELLE SCUOLE

In via d’urgenza, dato l’imminente avvio dell’anno scolastico, in data 31/08 il Garante per la protezione dei dati personali ha dato parere favorevole riguardo allo schema di decreto del Presidente del Consiglio dei ministri che introduce le modalità semplificate di verifica delle certificazioni verdi C19 del personale scolastico, diverse dalla procedura ordinaria, che rimane comunque utilizzabile.

Nello specifico, come anche già spiegato da una conferenza intercorsa tra il Ministero dell’Istruzione e i Dirigenti scolastici, per poter prendere servizio presso la struttura il personale scolastico dovrà essere provvisto della certificazione verde C19. Si fa qui presente che la non validità o assenza di Green Pass per un membro del personale scolastico verrà conteggiato ai fini pratici come un’assenza ingiustificata e dal quinto giorno si provvederà alla sospensione di servizio e stipendio. L’unica eccezione sarà applicata a quei membri del personale scolastico che, per ragioni mediche e con idonea documentazione, sono “esenti” da Green Pass.

Allo stato attuale delle cose la validità del Green Pass del personale scolastico dovrà essere verificata da individui opportunamente delegati dal Dirigente Scolastico (identificati ai fini privacy come soggetti designati): per alleggerire le operazioni di verifica è stata prevista l'introduzione di una nuova piattaforma digitale che integra il Sistema DGC (Digital Green Certificate) con il SIDI (Sistema Integrativo Dell’Istruzione).

Tale piattaforma permetterà al Dirigente scolastico di poter interrogare il sistema circa la validità del Green Pass del personale scolastico in forza nell’Istituto di propria competenza: come risultato riceverà unicamente un riscontro positivo o negativo.

In merito alla protezione dei dati personali il personale scolastico sottoposto a verifica dovrà essere opportunamente informato mediante un’informativa, anche resa alla generalità del personale.

Per assicurare l’osservanza delle opportune misure tecniche e organizzative l’atto della verifica e non l’esito della verifica stessa,  da parte dei soggetti tenuti a effettuare i controlli, sarà oggetto di registrazione in appositi log (conservati per 12 mesi).

Un’altra tematica molto discussa ma poco approfondita è quella relativa al personale esterno che accederà all'interno degli Istituti scolastici, come ad esempio addetti al servizio mensa o servizi di altro tipo. Per questi elementi, al momento, non è previsto l’obbligo di verifica del Green Pass per accedere ai suddetti locali. Gli Istituti stessi, però, dopo aver effettuato una valutazione del rischio potrebbero prevedere comunque la verifica della validità della certificazione verde C19 per questi soggetti.

Come si evince da queste ultime righe le perplessità e i dubbi riguardanti l’attuazione pratica di questi formalismi disorienta non poco gli addetti ai lavori che dovranno “navigare a vista” finché ulteriori delucidazioni non saranno espresse dai relativi Ministeri.

Per questo motivo vi invitiamo a continuare a seguirci sui nostri social network e sul nostro sito internet per rimanere sempre aggiornati e non perdervi le ultime novità!

ALLEGATI

1. Nota ministeriale 1260 del 30 agosto 2021

2. Parere del Garante privacy del 31 agosto 2021

Lo scorso 6 agosto l’INPS, con il Messaggio n. 2842, aveva destato grandi preoccupazioni nella generalità dei datori di lavoro poiché per mancanza di fondi ai lavoratori in quarantena affetti da Covid-19 non veniva più riconosciuta l’indennità di malattia a partire dall’inizio del corrente anno 2021.

Dopo settimane di dubbi, soprattutto per il rischio che i datori di lavoro dovessero farsi carico dell’intera retribuzione, pare che la questione stia per essere risolta.

Infatti il Ministro del Lavoro Orlando ha affermato che il Consiglio dei Ministri sbloccherà a giorni la situazione mettendo a disposizione dell’INPS le risorse necessarie.

Anche per quest’aspetto non ci resta che attendere sviluppi!

Il Governo, con una FAQ del 14 agosto scorso, ha chiarito che l’obbligo di esibire la certificazione verde Covid-19 si applica anche alle mense aziendali ed ai “locali adibiti alla somministrazione di servizi di ristorazione ai dipendenti”.

ESCLUSIONE (SALVO FUTURE DIVERSE INTERPRETAZIONI) DEL REFETTORIO

Secondo le prime interpretazioni (si veda la nota di Confindustria allegata di seguito) vanno esclusi dall’obbligo i locali adibiti a refettorio, ovvero quei locali che non sono provvisti di servizi di ristorazione o somministrazione ma in cui è possibile consumare il cibo portato da casa.

In attesa di ulteriori chiarimenti dalle Istituzioni, vi ricordiamo che in questi casi diventa ancora più stringente il rispetto dei protocolli anti-Covid che, a titolo di esempio, dovrebbero prevedere:

• limitazione del tempo di permanenza nei locali
• limitazione del numero di occupanti, anche rimodulando i turni della “pausa pranzo”
• rispetto delle distanze di sicurezza interpersonali
• adeguata pulizia dei locali ristoro
• eventuale separazione fisica delle postazioni (se possibile)
• uso della mascherina, salvo il periodo strettamente necessario al consumo del proprio pasto

COSA FARE NELLA MENSA AZIENDALE

Nel caso in cui in azienda sia presente una vera e propria mensa, o dei “locali adibiti alla somministrazione di servizi di ristorazione ai dipendenti”, l’accesso è precluso a chi non esibisce il Green Pass in corso di validità.

Secondo le FAQ del Governo, l’attività di controllo costituisce un obbligo specifico posto anzitutto in capo al gestore del servizio.

Sempre secondo Confindustria “Il datore di lavoro è quindi un soggetto giuridico tendenzialmente estraneo all’obbligo del possesso di green pass valido per accedere alla mensa aziendale. Il legislatore, infatti, crea una relazione giuridica diretta tra gestore della mensa e lavoratore. Né può imputarsi alcunché al datore di lavoro (nemmeno contrattualmente) in caso di rifiuto di accesso alla mensa, poiché il requisito è previsto dalla legge e la possibilità di fruire della mensa dipende esclusivamente da una libera scelta del lavoratore. Quindi l’impossibilità di accedere alla mensa non costituisce un fatto imputabile al datore di lavoro, né può essere a lui imposto di porvi rimedio. In alcune situazioni, infatti, il mancato utilizzo della mensa aziendale (a prescindere dal mancato possesso del green pass) può essere ovviato mediante la distribuzione di lunch box, in altre ipotesi ciò non è possibile per mancanza di spazi adeguati.”

Vi aggiorneremo non appena ci saranno nuovi chiarimenti Istituzionali!

Scarica l'allegato contenente la nota di aggiornamento di Confindustria: Il Green Pass quale condizione per l’accesso alle mense aziendali

L’ufficio dell’Autorità Garante per la protezione dei dati personali ha deliberato in data 22 luglio 2021 (doc. web n. 9689657) che, limitatamente al semestre luglio-dicembre 2021, l’attività ispettiva è indirizzata a categorie di interessati nell’ambito di:

• Trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
• Trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);
• Trattamenti di dati personali effettuati dai c.d. "data broker”;
• Trattamenti di dati personali effettuati da società per attività di marketing e profilazione;
• Trattamento di dati personali effettuati da società private in tema di banche dati reputazionali;
• Trattamento di dati relativi alla salute effettuati da Istituti di Ricovero e Cura a carattere scientifico (IRCCS), sia pubblici che privati;
• Trattamenti di dati personali effettuati da società rientranti nel settore del cd. “Food Delivery”;
• Data breach.

Inoltre la delibera specifica che per le attività sopra elencate verranno eseguiti N. 60 accertamenti ispettivi, effettuati anche a mezzo della Guardia di Finanza.

Per visionare la deliberazione completa sull’attività ispettiva si rimanda al seguente indirizzo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9689657

Con l’Art. 1 del Decreto-Legge 23 luglio 2021, n. 105 lo stato di emergenza nazionale connesso al protrarsi della diffusione degli agenti virali da Covid-19 è stato prorogato fino al 31 dicembre 2021.

Diventerà quindi obbligatorio, dal 6 agosto 2021, l’utilizzo del Green Pass o certificazione verde Covid-19 per poter accedere ai seguenti servizi e attività:

• Servizi di ristorazione svolti da qualsiasi esercizio, per il consumo al tavolo, al chiuso;
• Spettacoli aperti al pubblico, eventi e competizioni sportive;
• Musei, altri istituti e luoghi della cultura e mostre;
• Piscine, centri natatori, palestre, sport di squadra, centri di benessere, anche all’interno di strutture ricettive, limitatamente alle attività al chiuso;
• Sagre e fiere, convegni e congressi;
• Centri termali, parchi tematici e di divertimento;
• Centri culturali, centri sociali e ricreativi, limitatamente alle attività al chiuso e con esclusione dei centri educativi per l'infanzia, compresi i centri estivi, e le relative attività di ristorazione;
• attività di sale gioco, sale scommesse, sale bingo e casinò;
• concorsi pubblici.

L’obbligo di Green Pass o certificazione verde non si applica ai soggetti esclusi per età dalla campagna vaccinale e ai soggetti esenti sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con specifica circolare del Ministero della Salute.

MA QUALI SONO GLI OBBLIGHI DEI TITOLARI O DEI GESTORI DEI SERVIZI E ATTIVITÀ PRIMA ELENCATI?

Secondo l’Art. 3, comma 4 del Decreto-Legge 23 luglio 2021, n. 105, i titolari o gestori dei servizi o attività prima elencati sono tenuti a controllare che l’accesso dei clienti avvenga dopo verifica del Green Pass o certificazione verde.

Per verificare la validità del Green Pass o certificazione verde sarà necessario munirsi dell’App nazionale VerificaC19, scaricabile gratuitamente tramite AppStore o PlayStore. Alla prima installazione l’App scaricherà tutte le chiavi pubbliche contenute nel database europeo e, con un accesso al database ogni 24 ore, manterrà aggiornata la lista delle chiavi pubbliche valide. Tale applicazione, quindi, consentirà di verificare l’autenticità e la validità delle certificazioni senza la necessità di avere una connessione internet costante (utilizzabile quindi anche offline) e senza memorizzare informazioni personali sul dispositivo del verificatore, in modo tale da tutelare la privacy.

I soggetti delegati alla verifica di Green Pass o certificazione verde devono essere nominati con atto formale e secondo l’art. 29 del Gdpr devono essere fornite loro le istruzioni necessarie per l’esercizio di tale attività. Questo perché la verifica del Green Pass o certificazione verde consiste nella consultazione di dati, seppur limitati, riferiti ad una persona fisica e pertanto soggetti all’applicazione della normativa sulla privacy (GDPR). La mancata nomina e istruzione del personale autorizzato alla verifica del Green Pass può portare a pesanti sanzioni, previste dall’Art. 83 del Gdpr, che possono arrivare fino a 10 000 000€.

Questo significa che i titolari o i gestori di servizi e attività per cui è richiesto il Green Pass o certificazione verde devono nominare, con atto formale, almeno un incaricato alla verifica delle certificazioni.

CHI SONO QUINDI GLI OPERATORI CHE POSSONO VERIFICARE IL GREEN PASS O CERTIFICAZIONE VERDE?

• I pubblici ufficiali nell’esercizio delle relative funzioni.
• Il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi iscritto nell’elenco di cui all’articolo 3, comma 8, della legge 15 luglio 2009, n. 94.
• I soggetti titolari delle strutture ricettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati.
• Il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati.
• I gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali in qualità di visitatori sia prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati.

QUANDO FORMALIZZARE LA NOMINA?

La nomina dev’essere effettuata in via preliminare all’inizio del trattamento dei dati (verifica delle certificazioni) e in occasione di modifiche alle modalità di esecuzione delle operazioni di verifica e trattamento dei dati.

COME SI VERIFICANO I GREEN PASS O CERTIFICAZIONI VERDI?

1. La Certificazione è richiesta dal verificatore all’interessato, che mostra il relativo QR Code (in formato digitale oppure cartaceo).
2. L’App VerificaC19 legge il QR Code, ne estrae le informazioni e procede con il controllo del sigillo elettronico qualificato.
3. L’App VerificaC19 applica le regole per verificare che la Certificazione sia valida.
4. L’App VerificaC19 mostra graficamente al verificatore l’effettiva validità della Certificazione nonché il nome, il cognome e la data di nascita dell’intestatario della stessa.
5. L’interessato, su richiesta del verificatore, esibisce un proprio documento di identità in corso di validità per la verifica di corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall’App.

MANCATA VERIFICA DEL GREEN PASS: QUALI SONO LE CONSEGUENZE?

All’Art. 4, lettera f del Decreto-Legge 23 luglio 2021 n. 105, viene specificato come sia prevista la chiusura dell’esercizio o dell’attività da uno a dieci giorni dopo due violazioni, quali ad esempio la mancata verifica del green pass, commesse in giornate diverse.

Restano inoltre in vigore le sanzioni già previste dall’Art. 13 del DL 22 aprile 2021 n.52.

Infine ricordiamo che in tutte le attività devono ancora essere applicati i protocolli di sicurezza anti-covid e che, alla data odierna, non si può richiedere il Green Pass al personale dipendente (salvo le attività sanitaria per le quali era già presente l’obbligo di tampone).

Qui di seguito potrete liberamente scaricare i seguenti documenti:

• Nomina incaricato alla verifica del Green Pass
• Guida per l'uso dell'App VerificaC19

Il personale di ArmorBlox, nota azienda specializzata in cybersecurity con sede in California, all’interno dell’ultimo post pubblicato sul loro blog analizza una nuova forma di phishing emersa sulla rete Internet nell’ultimo periodo, che maschera i suoi reali intenti all’interno di una comunicazione e-mail all’apparenza proveniente da WeTransfer.

WeTransfer, per chi non ne fosse a conoscenza, è una nota piattaforma di trasferimento file, anche di grandi dimensioni, che basa il suo funzionamento sull’infrastruttura S3 di proprietà di Amazon. Attraverso WeTransfer è possibile scambiarsi file di grandi dimensioni attraverso la rete Internet, in modalità asincrona, fornendo semplicemente al destinatario un link di download.

L’e-mail di phishing presa in esame dai ricercatori di ArmorBlox tenta di mascherarsi come una normale comunicazione da parte di WeTransfer, in cui la vittima viene informata di aver ricevuto alcuni documenti e per visualizzarli dovrà accedere alla piattaforma attraverso un link fornito all’interno della comunicazione.

Il mittente della comunicazione è solitamente appartenente al dominio “valueserver.jp”, ed il contenuto dell’e-mail è molto simile ad una normale comunicazione di WeTransfer, anche nell’aspetto grafico.

Il link contenuto nell’e-mail porta l’utente ad una pagina che presenta una richiesta di credenziali da parte di Microsoft Excel, in cui viene automaticamente inserito l’indirizzo e-mail a cui era indirizzata la comunicazione. Ovviamente le credenziali inserite vengono memorizzate e trafugate dai malintenzionati.

Il nostro consiglio in questo caso, che può essere applicato in generale ad ogni attacco di tipo phishing, è di diffidare di ogni comunicazione proveniente da mittenti sconosciuti e, in caso di richieste di credenziali di accesso, controllare sempre il dominio di appartenenza del sito che si sta visitando prima di immettere le proprie credenziali. In questo caso, in presenza di dubbi, la scelta migliore è sempre quella di non inserire le proprie credenziali di accesso.

Riportiamo di seguito, per completezza, l’articolo originale pubblicato dal personale della ArmorBlox: https://www.armorblox.com/blog/wetransfer-credential-phishing

In data 2 agosto 2021 il Garante per la protezione dei dati personali ha pubblicato sul proprio sito la Newsletter n. 480 contenente i seguenti argomenti:

• Data retention: Garante privacy, necessaria una riforma. Il Garante privacy ha inviato una segnalazione nella quale chiede, al Parlamento e al Governo, di valutare una riforma riguardo alla disciplina della conservazione dei dati del traffico telefonico ai fini di giustizia.
• Rider: il Garante privacy sanziona Deliveroo Italy per 2,5 milioni di euro. Come avvenuto per Foodinho S.r.l., società affiliata a Glovo, anche Deliveroo Italy viene sanzionata per l'utilizzo poco trasparente degli algoritmi e la raccolta sproporzionata dei dati dei lavoratori.
• Whistleblowing: Garante, servono maggiori tutele per il segnalante. L’Autorità Garante ribadisce l’importanza di proteggere l’identità del whistleblower, tenendo conto dei principi in materia di protezione dei dati. Questo consiglio arriva a seguito delle ispezioni e successive sanzioni comminate all’Aeroporto Guglielmo Marconi di Bologna e a un suo fornitore di software per violazione delle regole poste a tutela per della protezione dei dati.

Per leggere la newsletter completa e i singoli articoli visita il sito del Garante al seguente link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9687860

Il Garante per la protezione dei dati personali ha pubblicato sul proprio sito, in data 30 luglio 2021, le FAQ aggiornate riguardo ai cookie: le risposte sono 16 e cercano di dissipare ogni dubbio riguardo a questa tematica.

Inizialmente viene spiegato che cosa sono i cookie e qual è la loro finalità. In seguito viene definito quando è necessario richiedere il consenso dell’utente del sito e in che modo fornire l’informativa. Le FAQ continuano poi trattando un argomento molto attuale, ossia il banner contenuto nel sito e le modalità con cui viene messo a disposizione.

Per visionare le FAQ complete potete visitare il sito del Garante privacy al seguente indirizzo: https://www.garanteprivacy.it/faq/cookie

Il personale di Apple ha recentemente rilasciato un aggiornamento dei suoi sistemi operativi iOS, iPadOS e MacOS al fine di correggere una grave vulnerabilità che risulta attualmente sfruttata per scopi illeciti da malintenzionati. Questa rappresenta la tredicesima vulnerabilità grave corretta da Apple nel corso dell’anno 2021.

L’aggiornamento risolve un problema nella corruzione della memoria di sistema, che può essere sfruttato per ottenere l’esecuzione di codice arbitrario con privilegi elevati (system). Tale vulnerabilità può essere pertanto utilizzata per ottenere privilegi amministrativi sul sistema vulnerabile e, potenzialmente, compromettere completamente l’integrità e la confidenzialità dei dati contenuti all’interno del dispositivo.

Attualmente il personale di Apple non ha rilasciato ulteriori informazioni sul funzionamento della vulnerabilità, ma sulla rete Internet è disponibile un Proof of Concept (PoC) che ne dimostra il funzionamento.

Vi consigliamo pertanto di verificare al più presto la versione del sistema operativo installato sui vostri dispositivi Apple e, se disponibile, di effettuare un aggiornamento.

Nello specifico, sono attualmente disponibili le seguenti versioni:

• Per i dispositivi iPhone e iPad l’ultima versione disponibile del sistema operativo iOS e iPadOS è la 14.7.1
• Per i dispositivi Mac l’ultima versione disponibile del sistema operativo OsX è la 11.5.1.

Vi ricordiamo che per verificare la presenza di nuovi aggiornamenti di sistema sui dispositivi Apple è necessario recarsi all’interno delle impostazioni del proprio dispositivo nella sezione “Generali” e selezionare la voce “Aggiornamento Software”. Nel caso sia disponibile un aggiornamento, premere successivamente il tasto “Scarica e installa”.

Circa un mese fa è stata scoperta una vulnerabilità presente sui sistemi Apple quali iPhone, iPad, iPod e AppleTV riguardante una rete Wireless contenente caratteri speciali che causano il blocco completo del modulo WiFi del dispositivo (vedi precedente articolo: https://www.gruppoaltea.online/news-blog/127-problemi-per-i-wireless-dei-dispositivi-apple.html).

Recentemente durante l’analisi del codice che causava il malfunzionamento del modulo Wireless sui dispositivi Apple, i ricercatori della società ZecOps hanno scoperto maggiori dettagli sulla problematica, fino a svelare qualcosa che rende la vulnerabilità molto più seria del previsto: tramite una rete Wireless il cui nome (SSID) contiene caratteri speciali (nello specifico i simboli %@), è possibile causare l’esecuzione di codice arbitrario sul dispositivo vulnerabile. A questa vulnerabilità è stato assegnato il nome di “WiFiDemon”.

Nella configurazione standard di un dispositivo mobile Apple, in presenza di una rete Wireless “aperta”, che non richiede pertanto l’utilizzo di una password per il suo accesso, viene automaticamente tentato di stabilire una connessione ad essa.

Pertanto, un dispositivo mobile Apple nella sua configurazione standard può essere compromesso attraverso una rete Wireless avente SSID contenente i caratteri “%@” senza alcuna interazione da parte dell’utilizzatore: semplicemente il dispositivo trova la rete Wireless che non presenta nessun tipo di autenticazione, tenta di collegarsi ad essa, e tramite una problematica di sicurezza avviene l’esecuzione di codice all’interno del sistema operativo. Le vulnerabilità di questo tipo, ritenute estremamente pericolose, vengono chiamate “zero-click”, appunto perché non richiedono nessun “click” da parte dell’utente per poter venire sfruttate.

Successivamente è stata fatta un’altra scoperta interessante: l’aggiornamento a iOS con la versione 14.4, uscita nel mese di giugno 2021, risolve “silenziosamente” la problematica. All’interno del riassunto pubblicato dal personale della Apple, non viene citata la risoluzione di tale problematica.

Per maggiori dettagli tecnici sulla problematica, vi consigliamo di leggere l’interessante articolo pubblicato direttamente dai ricercatori di ZecOps al seguente URL: https://blog.zecops.com/research/meet-wifidemon-ios-wifi-rce-0-day-vulnerability-and-a-zero-click-vulnerability-that-was-silently-patched/

Il consiglio, pertanto, è quello di verificare il prima possibile la versione di iOS installata sul vostro dispositivo mobile: se è inferiore alla versione 14.4, provvedete appena possibile ad effettuare un aggiornamento all’ultima versione disponibile.

Vi ricordiamo che per verificare la presenza di nuovi aggiornamenti di sistema sui dispositivi Apple è necessario recarsi all’interno delle impostazioni del proprio dispositivo nella sezione “Generali” e selezionare la voce “Aggiornamento Software”. Nel caso sia disponibile un aggiornamento, premere successivamente il tasto “Scarica e installa”.

Nel caso in cui siate impossibilitati ad aggiornare il dispositivo all’ultima versione disponibile, vi consigliamo di disabilitare la connessione automatica del vostro dispositivo alle reti Wireless “aperte” attraverso le impostazioni.

In data 9 luglio il Garante per la protezione dei dati personali ha pubblicato in Gazzetta Ufficiale le Linee Guida cookie e altri strumenti di tracciamento.

L’aggiornamento si è reso necessario per diverse motivazioni: in primis l’esperienza maturata in questi anni ha permesso all’Autorità Garante di avere un quadro più preciso sulle lacune presenti allo stato attuale, inoltre l’aumento nell’utilizzo di queste tecnologie unito a una sempre crescente nascita di identità digitali ha portato, naturalmente, a una visione più ampia di queste tematiche.

I principali contenuti presenti nelle nuove Linee Guida riguardano l’informativa e il consenso sui cookie.

Nello specifico l’informativa per gli utenti dovrà contenere tempi di conservazione ed eventuali destinatari dei dati personali e potrà essere messa a disposizione attraverso diverse modalità e canali di diffusione.

Per quanto riguarda, invece, il consenso persiste la necessità di fornire una richiesta di consenso esplicita e distinguibile prevedendo sempre la possibilità per gli utenti di proseguire la navigazione del sito senza subire alcun tipo di tracciamento. Il Garante privacy precisa che il cosiddetto scrolling (ossia l’accettazione del consenso tramite uno spostamento in basso del cursore) non fornisce un’idonea manifestazione del consenso: questo infatti non genera un evento registrabile e documentabile che possa essere inteso come accettazione diretta del consenso al trattamento dei dati personali. Anche il cookie wall (ossia un banner dei cookie che ostacola completamente la fruizione del sito internet) viene ritenuto un sistema illegittimo: questo a meno che i contenuti o i servizi offerti siano comunque consultabili.

Il Garante privacy individua anche la riproposizione continua di banner dei cookie ad ogni accesso come una misura ripetitiva e invasiva della libertà: gli unici motivi per riproporre il banner dopo la prima accettazione sono il cambiamento significativo delle condizioni del trattamento oppure se sono trascorsi almeno 6 mesi dall’ultima registrazione della scelta sui cookie.

Infine l’Autorità Garante fornisce un “ultimatum” di 6 mesi ai Titolari dei siti internet per conformarsi ai dettami delle Linee Guida.

Il personale di BitDefender, nota società rumena produttrice di software antivirus, ha pubblicato un avviso sul proprio Blog riguardante tre campagne internazionali di Phishing che sfruttano il nome di DHL, compagnia di trasporti avente sedi in tutto il mondo che offre trasporti internazionali e contratti logistici, per portare avanti i loro attacchi informatici.

Secondo quanto riportato dai ricercatori, le email si presentano con il logo ufficiale dell’azienda e con una formattazione dei contenuti molto simili alle comunicazioni ufficiali di DHL. In alcuni casi il contenuto delle email richiede all’utente di effettuare il download di un documento e la sua relativa stampa; in altri viene richiesto l’inserimento dei dati della propria carta di credito al fine di pagare una fantomatica tassa di spedizione necessaria per la ricezione del pacco postale menzionato all’interno della comunicazione; in altri casi ancora viene richiesto all’utente di accedere con le proprie credenziali ad un falso portale DHL.

Tutti i casi sopra citati si trattano, ovviamente, di una truffa atta a trafugare i dati di accesso o la carta di credito della vittima della email di Phishing.

Dalle indagini svolte dai ricercatori risulta che le false comunicazioni hanno origine dal Portogallo (95% dei casi) e dal Brasile (4,6% dei casi). La nazione più colpita da queste campagne di Phishing sono gli Stati Uniti (con il 53% dei casi), ma le campagne sono attive anche in Europa e in Asia.

Maggiori informazioni possono essere reperite nel Blog ufficiale di Bitdefender, al seguente URL:

• https://beta.bitdefender.com/blog/hotforsecurity/scammers-impersonating-dhl-deliver-service-seek-to-harvest-customer-login-credentials-and-credit-card-details

Il nostro consiglio, utile per ogni tentativo di Phishing tramite posta elettronica, è quello di controllare sempre attentamente il mittente e tutti gli eventuali collegamenti contenuti sia nella comunicazione che negli eventuali allegati. In generale, dove sono richiesti dati personali, o dati bancari, raccomandiamo di prestare la massima attenzione a dove realmente vengono inseriti i dati: in caso di dubbi è sempre meglio contattare telefonicamente la società che ha inviato la comunicazione.

È stato rilasciato un aggiornamento importante di Google Chrome, noto browser Internet prodotto da Google. L’aggiornamento risolve un’importante vulnerabilità attualmente sfruttata da diversi gruppi di malintenzionati per scopi illeciti.

La vulnerabilità è stata segnalata al personale di Google in modo anonimo da un ricercatore in data 12 Luglio 2021. Ad essa è stato assegnato il CVE-2021-30563, ma i dettagli sul suo funzionamento e sul suo relativo impatto sulla sicurezza non sono ancora stati rilasciati pubblicamente, a causa della sua criticità. Gli unici dettagli rilasciati in proposito parlano di un problema nell’interpretazione del codice Javascript.

L’elenco completo delle correzioni effettuate all’interno di Google Chrome con l’ultima versione rilasciata è disponibile al seguente URL:

• https://chromereleases.googleblog.com/2021/07/stable-channel-update-for-desktop.html

ll nostro consiglio è quello di aggiornare il prima possibile Google Chrome all’ultima versione disponibile (che attualmente risulta essere la 91.0.4472.164).

Per fare questo è sufficiente aprire Google Chrome e digitare nella barra degli indirizzi la seguente stringa:

• chrome://settings/help

A seguito di un controllo della disponibilità di una nuova versione, sarà necessario riavviare il browser per applicare l’aggiornamento.

Il CERT-AgID, l’Agenzia per l’Italia digitale, ha scoperto una campagna di Spam malware che sfrutta il nome del noto software Dike ed il marchio InfoCert per la diffusione di un software di controllo remoto.

Dike è un software comunemente utilizzato per apporre su di un file una firma digitale, oppure una marcatura temporale.

L’utente viene indotto ad installare il software di controllo remoto attraverso una mail ricevuta il cui indirizzo di provenienza pare essere Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.. La comunicazione è scritta in un italiano corretto e presenta al suo interno in allegato un file PDF. Il testo della mail avvisa l’utente che è necessario un importante aggiornamento di sicurezza del software Dike e che maggiori informazioni sono contenute all’interno del PDF allegato. All’interno del PDF è presente un link esterno che porta al download del file Dike_Infocert_upgrade.msi. Il download del file avviene tramite il dominio dike_infocert.firstcloudit.com.

L’esecuzione del file avvia l’installazione del software di controllo remoto “Atera Agent”. Esso fornisce agli attaccanti un accesso remoto al sistema attaccato.

Il nostro consiglio è quello di non avviare l’installazione del software di controllo remoto, ma nel caso si abbia già eseguito il falso aggiornamento è possibile rimuovere il software di controllo remoto dal proprio sistema semplicemente accedendo alla gestione delle App e funzionalità del proprio sistema, cercando la voce “Atera Agent” e procedendo con la sua disinstallazione. Al termine della disinstallazione ricordarsi di riavviare il sistema al fine di disattivare completamente i servizi avviati dal software di controllo remoto.

Il personale Microsoft ha rilasciato un importante aggiornamento per tutti i sistemi Windows atto a risolvere una grave vulnerabilità presente sul servizio di Spooler del sistema operativo.

Lo Spooler di Windows è il servizio che si occupa all’interno del sistema operativo della gestione della coda di stampa: tramite esso è possibile stampare documenti utilizzando una stampante, sia essa connessa direttamente al sistema o connessa all’interno della rete. Sempre tramite tale servizio è possibile condividere una stampante locale, direttamente connessa al sistema, sulla rete.

Purtroppo l’aggiornamento rilasciato non risolve completamente le problematiche di sicurezza.

Per comprendere meglio cosa sta succedendo, è necessario fare un piccolo passo indietro nel tempo. Nel mese di giugno Microsoft pubblicò un aggiornamento, dedicato ai sistemi Windows, atto a risolvere un problema di sicurezza presente all’interno del servizio di stampa (Spooler). Esso venne identificato come CVE-2021-1675, ed inizialmente fu catalogato come vulnerabilità che permetteva l’elevazione dei privilegi utente. Questo significa che la vulnerabilità è sfruttabile solamente avendo un accesso al sistema tramite utente con privilegi limitati, da cui è possibile ottenere privilegi amministrativi (elevazione dei privilegi).

Una settimana dopo un ricercatore annunciò di aver scoperto il modo di sfruttare la vulnerabilità anche remotamente. Oltre a questo, lo stesso ricercatore dichiarò che la vulnerabilità permette l’esecuzione remota di codice.

Quasi contemporaneamente, un altro gruppo di ricercatori annunciò di aver scoperto una vulnerabilità sempre di Remote Code Execution (RCE, esecuzione remota di codice) all’interno dello Spooler di stampa dei sistemi Windows. Tale vulnerabilità fu denominata dai ricercatori “PrintNightmare” e a causa delle similitudini con il precedentemente assegnato CVE-2021-1675, si ipotizzò addirittura che si trattasse della stessa vulnerabilità.

Successivamente, furono effettuati ulteriori test per verificare che la vulnerabilità PrintNightmare fosse stata effettivamente corretta dagli aggiornamenti forniti da Microsoft. Purtroppo così avvenne: l’aggiornamento di Microsoft corresse la problematica segnalata come CVE-2021-1675, ma per un motivo inizialmente sconosciuto, non risolse la problematica di sicurezza nota come PrintNightmare.

A seguito di ulteriori indagini si scoprì che la vulnerabilità sfruttata da PrintNightmare, pur essendo molto simile a quella indicata con il CVE-2021-1675, non era la stessa.

Fu quindi immediatamente segnalata la nuova problematica di sicurezza a Microsoft, a cui è stato successivamente assegnato il CVE-2021-34527.

Tornando al presente, in data 7 Luglio 2021 il personale di Microsoft ha rilasciato un aggiornamento specifico dei sistemi Windows, atto a risolvere la vulnerabilità denominata PrintNightmare, all’interno di un aggiornamento di emergenza denominato KB5004945, disponibile tramite Windows Update.

Secondo quanto riportato da alcuni ricercatori sul celebre social network Twitter, l’aggiornamento rilasciato risolve la problematica relativa all’esecuzione remota di codice (RCE), ma purtroppo non sembra funzionare per quel che riguarda l’elevazione dei privilegi utente.

A seguito dell’installazione pertanto i sistemi Windows sono protetti per quel che riguarda la possibilità di sfruttare remotamente la vulnerabilità, ma purtroppo un utente che può in qualche modo accedere al sistema può ancora elevare i suoi privilegi fino a diventare amministratore del sistema.

Maggiori informazioni possono essere reperite al seguente URL di Twitter:

• https://twitter.com/gentilkiwi/status/1412554018489044996

In questo caso i nostri consigli sono i seguenti:

• Verificate l’installazione della patch atta a risolvere la vulnerabilità identificata come CVE-2021-1675. Per ottenere il numero di KB relativo al vostro sistema operativo in uso, fate riferimento al seguente URL: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675.
• Verificate l’installazione della patch atta a risolvere la vulnerabilità identificata come CVE-2021-34527. Per ottenere il numero di KB relativo al vostro sistema operativo in uso, fate riferimento al seguente URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527.
• Sui sistemi che non necessitano del servizio di Spooler di Windows, disattivate il servizio almeno finché non verrà rilasciato un nuovo aggiornamento che corregge completamente la vulnerabilità. Consigliamo soprattutto di disattivare tale servizio su tutti i sistemi esposti alla rete Internet e all’interno dei Domain Controller, dove solitamente non viene utilizzato il servizio di stampa di Windows.

Vi ricordiamo che gli aggiornamenti cumulativi del mese di luglio sono in uscita in data 13 Luglio, e non è da escludere che al loro interno vi sia un aggiornamento atto a correggere le problematiche di sicurezza rimaste sul servizio di Spooler di stampa di Windows.

I ricercatori di Lookout Threat Lab, divisione preposta al monitoraggio di minacce informatiche della società californiana Lookout Inc., hanno recentemente analizzato più di 170 applicazioni Android che promettono all’utente di guadagnare denaro attraverso il mining di criptovalute.

Purtroppo la realtà dei fatti, nello specifico caso delle applicazioni analizzate, è molto diversa.

Le applicazioni presentano un’interfaccia grafica in cui viene data l’opportunità all’utente di seguire in diretta l’andamento dei propri Bitcoin, o almeno così avviene in apparenza. In realtà tali applicazioni non comunicano con nessun sistema esterno, ed i dati riportati sono completamente falsi. All’interno dell’applicazione viene offerta all’utente la possibilità di effettuare un aggiornamento a pagamento sfruttando la falsa promessa di maggiori guadagni, giustificando la richiesta di denaro per l’acquisto di nuovo hardware più potente per l’attività di mining remota delle criptovalute. Ovviamente anche effettuando l’aggiornamento a pagamento, il risultato non cambia e l’applicazione continua a presentare falsi guadagni.

Nel momento in cui l’utente decide di ritirare gli ipotetici Bitcoin guadagnati, l’applicazione avverte l’utente che i fondi raccolti sono insufficienti ad effettuare un ritiro della criptovaluta, invogliandolo a proseguire nel mining. Nel momento in cui l’utente chiude l’applicazione, o riavvia il proprio dispositivo mobile, il proprio contatore di Bitcoin guadagnati ripartirà da zero.

Le applicazioni analizzate dai ricercatori sono state prontamente rimosse dal Google Play Store, a tutela degli utenti Android.

Secondo quanto riportato dai ricercatori tali applicazioni avrebbero truffato più di 93.000 utenti Android, facendo guadagnare agli sviluppatori più di 350.000 dollari.

Per completezza riportiamo di seguito l’articolo originale pubblicato all’interno del blog ufficiale della Lookout Inc.:

• https://blog.lookout.com/lookout-unearths-android-crypto-mining-scams

In generale il nostro consiglio è quello di diffidare da applicazioni che promettono di guadagnare soldi tramite l’utilizzo del proprio dispositivo mobile, ma nello specifico caso consigliamo di:

• Controllare chi è l’autore dell’applicazione, eventualmente facendo anche qualche ricerca su internet nel tentativo di scoprire se l’applicazione è realmente affidabile.
• Installare solo applicazioni presenti sullo store ufficiale del proprio dispositivo: solitamente, salvo rari casi, le applicazioni vengono controllate prima di essere pubblicate.
• Controllare le recensioni degli utenti a proposito della specifica applicazione.
• Verificare le condizioni ed i termini di utilizzo proposti dall’applicazione: solitamente le applicazioni false o aventi scopi malevoli non presentano al loro interno un’informativa di questo tipo, oppure se presente è scritta in modo molto generico e poco convincente.

Il Garante per la protezione dei dati personali si esprime per la prima volta sul tema delle società di Food Delivery e sul rapporto contrattuale che queste intrattengono con i fattorini (cosiddetti rider). Dopo un primo ciclo ispettivo, il cui scopo era analizzare le modalità di gestione dei lavoratori di alcune delle principali società di Food Delivery operanti sul territorio italiano, il Garante privacy ha riscontrato diverse violazioni della normativa privacy nei confronti di Foodinho S.r.l. (società controllata da GlovoApp23).

In particolare l’Autorità Garante, oltre a ordinare alla società Foodinho S.r.l. di modificare il trattamento dei dati dei propri rider (effettuato tramite l’uso di una piattaforma digitale) e verificare che gli algoritmi non creino forme di discriminazione, ha comminato a questa una sanzione di 2,6 milioni di euro.

L’ordinanza di ingiunzione emanata nei confronti di Foodinho S.r.l. in data 10 giugno 2021 [doc. web n. 9675440] comprende:

1. l’intera l’attività ispettiva iniziata nel luglio del 2019 nei confronti della società;
2. la documentazione acquisita nel corso dell’accertamento;
3. l’avvio del procedimento per l’adozione dei provvedimenti correttivi, notificata dall’Autorità Garante il 9 novembre 2020;
4. l’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi;
5. le violazioni accertate durante l’attività ispettiva;
6. conclusioni relative all’illiceità del trattamento;
7. ordinanza di ingiunzione.

Qui di seguito proveremo a sintetizzare le violazioni accertate in sede di ispezione:

• trattamento dei dati personali dei rider sulla base di un’informativa non conforme su diversi punti (mancanza di trasparenza, errato periodo di conservazione, mancato riferimento a trattamenti automatizzati, mancanza di correttezza, ecc…). In sostanza le informative messe a disposizione ai lavoratori erano caratterizzate da disorganicità, imprecisione e vaghezza e quindi non idonee;
• compilazione imprecisa del Registro delle attività di trattamento, riguardo ai tempi di conservazione delle diverse tipologie di dati trattati;
• configurazione non corretta dei sistemi utilizzati dai rider nel corso della loro attività. Tali sistemi informatici raccolgono e memorizzano tutti i dati relativi alla gestione dell’ordine (ad esempio posizione geografica, punteggi giornalieri dei rider, dati riferiti a telefonate, ecc…) e sono configurati in modo da permettere agli operatori autorizzati di accedere direttamente al contenuto di chat e email scambiate con i rider senza ulteriori passaggi;
• possibilità, per un account di Operation, di avere accesso diretto e incondizionato ai dati di tutti i rider che operano sia in territorio UE che extra UE, non preoccupandosi quindi di applicare un criterio quantomeno basato sull’ambito territoriale;
• mancanza di una valutazione d’impatto sulla protezione dei dati, secondo l’art. 35 del GDPR. Foodinho S.r.l. pareva aver suggerito alla capogruppo GlovoApp23 della necessità di effettuare una valutazione d’impatto o DPIA, poiché sosteneva che tale operazione fossero di competenza della capogruppo, ma quest’ultima dopo aver valutato la proposta aveva escluso l’esigenza di procedere. Il GDPR però specifica che tale operazione ricade in capo al Titolare del trattamento (in questo caso Foodinho S.r.l.). Infine la società italiana esclude che tali trattamenti rientrino tra quelli per cui è obbligatorio effettuare una DPIA (ragionamento non corretto dato che tali sistemi, tra le altre cose, effettuano trattamenti automatizzati, compresa la profilazione);
• discriminazione riguardo al sistema di punteggio assegnato ai rider, cosiddetto sistema di eccellenza. La discriminazione si basa ad esempio sulle tempestività di accettazione di un ordine, il maggior numero di ordini effettuati durante la fascia oraria di riferimento. Basandosi su questi parametri il sistema propone o nega l’accesso alle fasce orarie. Infine vengono presi in considerazione solo i feedback negativi forniti dai clienti, che penalizzano il punteggio del rider;
• ritardo nella designazione del Responsabile della protezione dei dati o DPO, avvenuta in data 1° luglio 2020: mentre la nomina del DPO di gruppo è avvenuta in data 23 maggio 2019. Pertanto i trattamenti effettuati dalla società fino al 1° luglio 2020 risultano illeciti;
• Redazione imprecisa del Registro delle attività di trattamento, nello specifico ad esempio: modalità che non consentono di distinguere in modo chiaro le categorie di interessati dalle categorie di dati trattati, descrizione troppo generica delle finalità relative i rider, mancanza di indicazione delle misure di sicurezza tecniche e organizzative, mancanza di una data di redazione, ecc…;
• Non liceità del trattamento, relativamente al rapporto di lavoro in essere con i rider. Effettuando trattamenti di dati che consentono un controllo puntuale sulla prestazione lavorativa del soggetto, ha omesso di applicare quanto stabilisce l’art. 4, comma 1 delle Legge 300/1970 (anche Statuto dei lavoratori).

A conclusione di tutto l’esposto il Garante per la protezione dei dati personali, visti i poteri correttivi che l’art. 58, paragrafo 2 del GDPR gli fornisce, ingiunge alla società di conformare al GDPR i propri trattamenti con riferimento:

1. alla corretta predisposizioni dei documenti quali informativa, Registro delle attività di trattamento e DPIA;
2. ai tempi di conservazione dei dati;
3. all’individuazione di misure utili alla verifica periodica dei risultati dei sistemi algoritmici in uso, per minimizzare il rischio di errori;
4. all’implementazione di strumenti che evitino usi impropri e discriminatori dei meccanismi reputazionali basati su feedback;
5. all’applicazione, relativamente ai trattamenti effettuati sui dati dei rider, dei principi di minimizzazione e di privacy by design e by default, individuando nello specifico soggetti e profili autorizzati all’accesso di diversi tipologie di dati rispetto alle mansioni svolte;
6. all’adempimento previsto dall’art.4, comma 1 della Legge 300/1970 (Statuto dei lavoratori).

Viene, come già accennato, disposta una sanzione amministrativa pecuniaria del valore di 2,6 milioni di €.

Infine vengono indicati i seguenti tempi attuativi dal ricevimento del provvedimento:

• 30 giorni invece per pagare la predetta somma di denaro
• 60 giorni per porre rimedio alle violazioni
• 90 giorni per completare gli interventi sugli algoritmi

Quest’azione, portata avanti dal Garante italiano (GPDP), ha addirittura attivato un’operazione congiunta di cooperazione europea ai sensi del GDPR con il Garante spagnolo (AEPD).

La società capogruppo, GlovoApp23, è invece oggetto di un procedimento autonomo condotto proprio dal Garante spagnolo, con la collaborazione del Garante italiano.

Ricordiamo che PrivaCycura fornisce consulenza in materia di GDPR e protezione dei dati: per maggiori informazioni contattateci utilizzando l’indirizzo di posta Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Innanzitutto quando si parla di Data Breach o di violazione dei dati personali si identifica una situazione in cui il Titolare del trattamento subisce una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati  o comunque trattati” (definizione tratta dall’art. 4, comma 12 del GDPR). Il concetto di violazione dei dati personali, in generale, si intende sia per dati personali presenti su supporti cartacei sia per dati personali presenti su supporti elettronici o digitali: come si può facilmente capire l’era tecnologica in cui viviamo porta gli individui a preferire sempre di più l’utilizzo di supporti digitali a scapito di quelli cartacei; ma potrebbe comunque capitare di incorrere in una violazione di dati personali che interessi dati cartacei (alcuni esempi pratici potrebbero essere la perdita di un documento cartaceo, la consegna di un fascicolo sanitario all’individuo sbagliato o il furto di documenti cartacei presso la propria sede).

Rispetto a questa tematica l’Autorità Garante era intervenuta un paio di anni fa con il Provvedimento n. 157 del 30 luglio 2019 [doc. web n. 9126951] e con la contestuale pubblicazione sul sito istituzionale di un modello PDF editabile.

Da allora, come viene spiegato nel Provvedimento n. 209 del 27 maggio 2021 [doc. web n. 9667201], sono pervenute all’ufficio del Garante privacy un elevato numero di notifiche di Data Breach che risultavano incomplete. Come conseguenza il Garante privacy ha dovuto richiedere ulteriore documentazione e questo ha rallentato non poco le attività. Questa situazione ha spinto l’Autorità Garante a cercare di migliorare il servizio offerto.

La nuova pagine per la Notifica di una violazione dei dati personali (Data Breach), consultabile al seguente indirizzo https://servizi.gpdp.it/databreach/s/, offre le seguenti opzioni:

• Compilazione della notifica
• Informativa sul trattamento dei dati personali
• Pagina informativa – violazione dei dati personali (data breach)
• Autovalutazione per la notifica di una violazione dei dati personali
• Fac-simile del modello
• Istruzioni

1. Compilazione della notifica

Quest'area rappresenta lo strumento principale, ossia la procedura per la notifica di una violazione dei dati.

Questa sezione era già presente sul sito del Garante privacy, ma vediamo di seguito le principali novità introdotte:

• Possibilità di accedere al sistema, compilare e inviare la notifica sia a utenti autenticati (ossia in possesso di CIE 3.0 o SPID) sia a utenti non autenticati: questi ultimi dopo la compilazione del modulo riceveranno una e-mail con le istruzioni per completare la procedura. Su questo punto l’Autorità Garante specifica che la procedura di notifica sarà perfezionata solo dopo aver firmato digitalmente (ossia in formato CAdES-BASELINE-B, estensione p7m) il file e averlo caricato dove indicato;
• Possibilità per una persona fisica di effettuare la notifica in nome e per conto del Titolare del trattamento (questo può essere il Legale rappresentante oppure un soggetto che viene identificato come utente agirà su delega del Rappresentante legale del Titolare del trattamento);
• Possibilità di integrare una precedente notifica (inserendo il n. di fascicolo);
• Richiesta di censimento o meno del Titolare del trattamento nell’Indice nazionale dei domicili digitali delle imprese e dei professionisti (INI-PEC www.inipec.gov.it - art. 6-bis Codice Amministrazione Digitale - D.Lgs. n. 82/2005) o nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA www.indicepa.gov.it - art. 6-ter Codice Amministrazione Digitale - D.Lgs. n. 82/2005);
• Possibilità di indicare i dati di contatto del DPO (in questo caso verrà richiesto il numero di protocollo assegnato durante la comunicazioni effettuata all’Autorità Garante) o di un soggetto presso cui reperire più informazioni riguardo alla violazione dei dati personali;
• Richiesta di informazioni approfondite circa le modalità attraverso il quale il Titolare è venuto a conoscenza della violazione: in questo caso sono presenti diverse opzioni tra cui scegliere la più adatta;
• Predisposizione di un campo di testo per descrivere sistemi, software, servizi e infrastrutture coinvolti nella violazione, con indicazioni della loro ubicazione fisica;
• Richiesta di una descrizione delle misure tecniche e organizzative presenti al momento della violazione;
• Possibilità di allegare documenti integrativi per approfondire la notifica di violazione dei dati, durante le varie fasi della compilazione della procedura;
• Possibilità di approfondire la valutazione del rischio per gli interessati (viene richiesto di specificare se la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche. Il Garante privacy richiede anche di motivare l’opzione selezionata, fornendo una descrizione basata su “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017); è inoltre prevista una sezione relativa a violazioni transfrontaliere o trattamenti svolti da un Titolare esterno allo Spazio Economico Europeo;
• Implementazione dell’invio al Titolare del trattamento di messaggi automatici che lo informano sulle azioni successive che dovrà compiere per completare la procedura.

2. Informativa sul trattamento dei dati personali

In questa sezione viene messa a disposizione l’informativa sul trattamento dei dati personali relativamente alla compilazione della notifica di violazione dei dati personali. In sostanza l’Autorità Garante informa gli interessati rispetto a questo specifico trattamento di dati personali.

3. Pagina informativa – violazione dei dati personali (data breach)

Questa pagina contiene link sulla normativa di riferimento e su documenti interpretativi, schede informative e pagine tematiche. Può essere vista come la bacheca riguardo al tema della violazione dei dati (data breach) e proprio per questo è in continuo aggiornamento.

4. Autovalutazione per la notifica di una violazione dei dati personali

In questa sezione viene messo a disposizione uno strumento che, mediante alcuni semplici quesiti, consente al Titolare del trattamento dei dati personali di individuare le azioni più corrette da intraprendere a seguito di una violazione dei dati personali.

5. Fac-simile del modello

In quest’area viene messo a disposizione un fac-simile del modello di notifica di violazione dei dati personali (data breach). Come si può intuire dal nome, il fac-simile viene presentato unicamente a titolo dimostrativo e non è assolutamente utilizzabile per l’invio della notifica della violazione: per compilare la notifica vera e propria si deve far riferimento alla sezione 1. Compilazione della notifica.

6. Istruzioni

In questa pagina vengono descritti i flussi e le funzionalità della nuova procedura telematica, attuata a seguito del Provvedimento n.209 del 27 maggio 2021. Nell’introduzione delle istruzioni l’Autorità Garante, a ragion veduta, chiarisce che la procedura telematica costituisce l’unica e ordinaria modalità attraverso cui l’Autorità stessa accoglierà la notifica di violazione dei dati personali (data breach).

Vediamo adesso le principali novità presenti nella sezione Istruzioni:

1. Relazione intercorrente tra utente e Titolare del trattamento: questo punto introduce la possibilità che la notifica possa essere effettuata, oltre che dal Titolare del trattamento, anche da soggetti che agiscono in nome e per conto del Titolare come il Legale rappresentante o un altro soggetto, chiamato anche utente (previa delega del Legale rappresentante). Di seguito viene poi spiegata la differenza tra utente autenticato e utente non autenticato, sulla quale però non ci soffermeremo in questa sede;
2. La funzionalità di “Salva in Bozza": questa nuova funzionalità sarà disponibile a breve, solo per gli utenti autenticati e consentirà la compilazione del modulo in fasi successive: in ogni caso il processo dovrà essere completato entro 48 ore dal primo salvataggio: decorso il termine la bozza verrà eliminata e tutti i dati dovranno essere nuovamente inseriti;
3. I riscontri all’utente e al Titolare: viene qui spiegato quali riscontri l’utente o il Titolare riceveranno al completamento della procedura di notifica. In caso la notifica sia stata effettuata da un utente non autenticato questa potrà essere rigettata per motivi formali e la motivazione verrà comunicata esclusivamente all’utente;
4. Reminder automatici: nell’ipotesi in cui la notifica sia stata qualificata come “preliminare” o siano state omesse informazioni essenziali ai fini della valutazione la procedura classificherà la notifica come “DA INTEGRARE”. In questo caso il Titolare del trattamento riceverà un messaggio automatico con il quale verrà informato ed esortato a compiere le successive azioni. I messaggi verranno inviati con cadenza periodica fino a che sussisterà la condizione “DA INTEGRARE”.

Con questa nuova procedura telematica il Garante per la protezione dei dati personali cerca di fornire ulteriori strumenti a imprese e Pubbliche Amministrazioni nella protezione dei dati personali, oltre alla prevenzione di attacchi informatici, che negli ultimi anni sta aumentando sempre di più.

Recentemente un gruppo di ricercatori del team Dr. Web ha scoperto diverse applicazioni all’interno del Google Play Store, apparentemente innocue, che nascondono al loro interno parti di codice malevolo che tenta di trafugare le credenziali di accesso dell’utente alla piattaforma Facebook.

Tali applicazioni si presentano come software di diversa natura, ad esempio: ritocco fotografico, blocco delle applicazioni, programmazione del ciclo di fitness o software di astrologia. Al loro interno richiedono di effettuare l’accesso a Facebook per sbloccare tutte le possibili opzioni, oppure semplicemente per rimuovere la pubblicità presente all’interno del software. In realtà le credenziali introdotte vengono trafugate, ed inviate automaticamente ad un server remoto.

Le applicazioni che tentano di trafugare le credenziali di accesso a Facebook dell’utente risultano essere le seguenti:

• App Lock Manager
• Horoscope Pi
• Lockit Master
• App Lock Keep
• Inwell Fitness
• Horoscope Daily
• Rubbish Cleaner
• Processing Photo
• PIP Photo

Tali applicazioni, già installate da più di 5 milioni utenti Android, sono state prontamente rimosse dal Google Play Store, ma nel caso siano state installate in precedenza, esse potrebbero ancora essere attive sul vostro dispositivo Android.

Per tale motivo vi consigliamo di verificare la presenza di una o più applicazioni di quelle sopra riportate all’interno del vostro dispositivo Android e, nel caso fossero presenti, procedere con la sua rimozione. Il nostro consiglio in generale nel caso in cui abbiate installato una o più applicazioni appartenenti al precedente elenco è di cambiare anche la vostra password di accesso a Facebook, in modo da eliminare ogni possibile rischio.