News #35: attachi informatici al settore energia; la Cassazione sulle raccomandazioni “illecite”​; Cuba ha una legge privacy, mentre gli USA no.

  • PRIVACY & CYBERSECURITY

ATTACCHI INFORMATICI NEL SETTORE ENERGIA – Dopo GSE (Gestore dei servizi energetici) anche ENI finisce nel mirino degli attacchi informatici: secondo le notizie di stampa diffuse nei giorni scorsi, gli accessi non autorizzati alle reti aziendali non avrebbero causato conseguenze di rilevante entità, e tuttavia la soglia di allarme rimane alta. Appare a questo punto evidente l’intenzione di attaccare un settore, come quello energetico, di carattere strategico e attualmente sensibilissimo a causa del conflitto in corso.

CYBERSICUREZZA – Lo scorso 20 agosto è stato pubblicato in Gazzetta Ufficiale il D. Lgs. 123/2022, che adegua la normativa nazionale al Regolamento Europeo 2019/881 in materia di cybersicurezza. Tra le novità introdotte, l’individuazione di una autorità nazionale di certificazione della cybersicurezza (ACN, Agenzia per la Cybersicurezza Nazionale) e la definizione di un sistema sanzionatorio per i casi di violazione.

NEWSLETTER DEL GARANTE ITALIANO – Lo scorso 1 settembre è stata pubblicata la newsletter della nostra Autorità, nella quale si riporta: un parere in merito alla Carta d’Identità Elettronica per i residenti all’estero; un assenso al sistema informativo che monitora i minori non accompagnati in Italia; il via libera del Garante al database centralizzato per la lotta al riciclaggio di denaro derivante da attività criminose e per finanziamento del terrorismo.

REGISTRO OPPOSIZIONI – Dallo scorso 27 luglio è operativo il Registro delle opposizioni, strumento offerto ai cittadini allo scopo di bloccare l’arrivo, anche sul proprio cellulare, di chiamate moleste di marketing diretto. A un mese dal lancio, si registrano quasi due milioni di iscritti: tuttavia, secondo quanto riportato dall’Unione Nazionale Consumatori, soltanto nel 37% dei casi le chiamate sono effettivamente scomparse, registrandosi per altro un 5% dei casi in cui, addirittura, assolutamente nulla sarebbe cambiato, nemmeno in termini di minor frequenza di chiamate. A fronte di questi dati, la proposta dell’UNC prevede un sistema di indennizzi automatici per tutti coloro che, nonostante l’iscrizione, continuano ad essere colpiti da telefonate di marketing.

DATA BREACH PER SAMSUNG – Con un post all’interno del proprio “security response center” il colosso coreano ha confermato rumors che riferivano di un importante data breach (perdita di dati personali) avvenuto “nel tardo mese di luglio”, e conosciuto dall’azienda intorno al 4 agosto, riguardo a utenti e clienti USA. La mancanza di un sistema di reporting tempestivo come sotto il GDPR può aver contribuito a questo importante ritardo di comunicazione, dato che la normativa americana varia da stato a stato. Seguiranno aggiornamenti.

  • 231

RACCOMANDAZIONI ILLECITE – Secondo quanto stabilito dalla Suprema Corte di Cassazione (con sentenza n. 30564 dello scorso 2 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) il semplice sfruttamento di una relazione con un pubblico agente o il mero uso di una relazione personale non è sufficiente per integrare il reato di traffico di influenze illecite, di cui all’art. 346-bis c.p. Affinché la fattispecie di reato si realizzi, è necessario che sussista un quid pluris, e cioè che la mediazione illecite si concretizzi in un vero e proprio accordo accordo tra committente e mediatore finalizzato a produrre un indebito vantaggio per il primo.

NUOVO WHISTLEBLOWING IN FRANCIA – E’ entrata in vigore lo scorso 1 settembre la legge di riforma del Whistleblowing nel paese, che tocca anche la “Sapin II” omologa – per alcuni temi e, in particolare, per anticorruzione e antiriciclaggio – della nostra 231/2001. Qui un articolo di Data Guidance e qui la nuova legge, mentre le modifiche alla Sapin II le trovate qui (in lingua francese, naturalmente).

  • MERCATI DIGITALI

DIGITAL LEARNING – Atlas VPN (servizio VPN nato con l’obiettivo di rendere internet sicuro e accessibile a tutti) ha recentemente condotto e diffuso una ricerca sulle app educative presenti nello store di Android, all’esito della quale ha stilato una classifica delle dieci che raccolgono il maggior numero di dati. Dal report, per di più, si evince che nel 70% dei casi tali dati vengono condivisi con terze parti. Le maggiori preoccupazioni si ricollegano al fatto che, nella gran parte dei casi, gli utilizzatori di tali piattaforme sono soggetti minori: tra le app più “dativore” HelloTalk e Google Classroom.

ANTITRUST USA VS. APPLE – Secondo alcune indiscrezioni, il Dipartimento di Giustizia degli Stati Uniti starebbe lavorando in vista di una possibile causa in materia di antitrust contro Apple. Al centro della questione vi sarebbero gli Airtag – gli innovativi dispositivi che consentono di non smarrire gli oggetti sui quali vengono apposti. La causa sembrerebbe ricollegarsi ad un reclamo proposto da Tile, società anch’essa californiana e anch’essa produttrice di simili dispositivi.

TWITTER-WATCH – Prosegue la “saga” di Twitter vs. Musk, questa volta con la diffusione della notizia del deposito di una denuncia a carico del social network da parte dell’ex responsabile della sicurezza, Peiter “Mudge” Zatko, legata a pesanti mancanze nella protezione degli utenti. Naturalmente, gli avvocati del magnate sudafricano si sono subito affrettati a citare il whistleblower nella causa in corso, la cui udienza sarà il prossimo 9 settembre. Trovate un interessante riassunto su Guerre di Rete, qui. Stay tuned!

  • NEWS DAL MONDO

CUBA – Lo scorso 25 agosto è stata pubblicata nella Gazzetta Ufficiale della Repubblica di Cuba la Legge sulla protezione dei dati personali (n.149/2022). La nuova normativa – che  entrerà a tutti gli effetti in vigore trascorsi 180 giorni dalla pubblicazione – garantirà ai soggetti interessati il controllo sui propri dati al fine di evitare il verificarsi di qualsiasi violazione nella trasmissione dei propri diritti personali per finalità diverse da quelle legalmente consentite.

GERMANIA – Il Ministro tedesco del digitale e dei trasporti sta attualmente lavorando su un progetto di legge volto a semplificare la gestione del consenso relativo ai cookie. Più nello specifico, l’obiettivo sarebbe quello di ridurre il numero di pop-up in cui gli utenti si imbattono nel corso della loro navigazione. In tal senso, un’eccezione riguarda i siti finanziati da pubblicità: se l’utente presta il consenso, nessun pop-up verrà più visualizzato, mentre, qualora lo rifiuti, il pop-up finalizzato alla sua raccolta verrà di volta in volta riproposto.

USA – La FTC (Federal Trade Commission) ha recentemente reso noto di aver intentato una causa nei confronti di Kochava Inc., broker di dati. Le ragioni della causa sono da rintracciarsi nell’attività di vendita di informazioni – relative a centinaia di migliaia di soggetti – utilizzate per tracciare gli spostamenti degli individui coinvolti, anche da e per luoghi sensibili (ad esempio luoghi di culto o centri di accoglienza per senzatetto).

HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente pubblicato le “Misure per la valutazione della sicurezza delle esportazioni di dati”, contenenti precisi e rigorosi requisiti relativi alle modalità di effettiva esecuzione di tali valutazioni di sicurezza. L’Autorità locale ha poi provveduto a precisare che, laddove i requisiti siano soddisfatti, potrebbe essere richiesto al soggetto che ha effettuato le valutazioni un inoltro delle risultanze alla Cybercrime Administration of China (CAC, Garante cinese).

NORVEGIA – L’Autorità locale ha recentemente pubblicato i risultati di uno studio condotto in tema di monitoraggio dei lavoratori, che include diversi interessanti spunti su come rendere il luogo di lavoro tecnologico (e lo smart working) più a misura di GDPR. Data Guidance ne fa un riassunto qui, per chi non conoscesse il norvegese.