Phishing: come capire se un messaggio è legittimo o meno

Tramite la tua casella di posta, alcune persone malintenzionate cercano di mettere le mani sui tuoi dati personali, utilizzando tecniche di phishing o truffe. Queste tecniche di attacco sono in continua evoluzione. I seguenti suggerimenti ti aiuteranno a determinare se un messaggio è legittimo o meno.

Come individuare una truffa ricevuta nella tua casella di posta o nella casella di posta?

  • Il messaggio/e-mail è davvero destinato a te?
    • In genere, i messaggi dannosi vengono inviati a un gran numero di destinatari, non sono personalizzati o sono solo leggermente personalizzati.
    • Il messaggio evoca un fascicolo, una fattura, un tema che non ti riguarda? È sicuramente un’e-mail dannosa.
  • Attenzione ai mittenti sconosciuti: Prestare particolare attenzione alle e-mail provenienti da un indirizzo e-mail che non si conosce o che non è presente nell’elenco dei contatti.
  • Presta attenzione al livello di linguaggio nella email: anche se risulta essere sempre meno vero, alcune e-mail dannose non vengono scritte correttamente. Se il messaggio contiene errori di battitura, errori di ortografia o espressioni inadeguate, non è opera di un ente credibile (banca, amministrazione, ecc.).
  • Controlla i link nell’email: prima di cliccare su qualsiasi link, passaci sopra il mouse*, in modo da visualizzare il collegamento completo. Assicurati che questo link sia coerente e punti a un sito legittimo, non fidarti di nomi di dominio sconosciuti.

* Nota: questa verifica è impossibile da eseguire dallo schermo di uno smartphone.

  1. Attenti alle richieste strane: ponetevi la domanda sulla legittimità di eventuali richieste espresse. Nessuna organizzazione ha il diritto di chiederti il ​​codice della carta di credito, i codici di accesso e le password. Non trasmettere nulla di confidenziale anche su richiesta di una persona che afferma di far parte del tuo mondo.
  2. L’indirizzo e-mail di origine non è un criterio affidabile: un indirizzo e-mail di un amico, della tua azienda, di un collaboratore può essere facilmente falsificato. Solo un’indagine approfondita può confermare o meno la fonte di un’e-mail. Se questo messaggio sembra provenire da un amico, ad esempio per riottenere l’accesso al suo account, contattalo su un altro canale per assicurarti che sia davvero lui!

Come reagire?

Se hai dei dubbi su un messaggio ricevuto, ci sono buone probabilità che non sia legittimo:

  • Soprattutto non aprire allegati e non rispondere;
  • Se la truffa che desideri segnalare ti è arrivata tramite spam, vai sul sito della polizia postale;
  • Elimina il messaggio, quindi svuota il cestino;
  • Se questo è il tuo account e-mail di lavoro: inoltralo al reparto IT della tua azienda e al responsabile della sicurezza dei sistemi informatici per la verifica. Attendi la loro risposta prima di eliminare l’e-mail.

Come proteggersi?

  • Utilizza un software di filtro anti-spam o attiva l’opzione di avviso anti-phishing presente sulla maggior parte dei browser;
  • Installa l’antivirus e aggiornalo;
  • Disattiva il riquadro di anteprima dei messaggi;
  • Leggi i tuoi messaggi in modalità testo normale;

Sei vittima di una truffa online?

Segnala le truffe al sito web = https://www.commissariatodips.it/segnalazioni/index.html

La tua casella di posta è spesso la chiave per accedere o registrarsi ai servizi online.

Ecco perchè è importante proteggerla e renderla sicura.

Per la tua casella di posta: una password complessa

Devi usare una password pulita e univoca per connetterti alla tua webmail e soprattutto non usarla per un altro account. Scopriamo come creare e gestire una password complessa.

Perché questo è importante?

Usare la stessa password per il tuo account di posta elettronica e il tuo account di social media è una pratica rischiosa. Se il tuo provider di social network è vittima di una fuga di dati, inclusi i tuoi mezzi di autenticazione, una persona malintenzionata potrebbe usarli non solo per accedere al tuo account di social network ma anche per accedere alla tua posta elettronica.

Inoltre, una volta ottenuto l’accesso alla tua casella di posta, sarà possibile visualizzare l’elenco dei messaggi di abbonamento ai tuoi account su siti diversi (se non li hai eliminati dalla tua casella), conoscere alcuni identificatori del proprio account e utilizzare la funzione “dimentica password” per prenderne il controllo.

Questa mancanza di sicurezza o l’uso di una password debole ti espone a rischi:

  • Spoofing (falsificazione di identità) della tua casella di posta per “incastrare” la tua lista di contatti;
  • Aggiunta di un reindirizzamento e-mail (spesso non rilevabile dopo la compromissione di una casella di posta): le tue e-mail continuano ad essere “danneggiate” nonostante ogni successivo cambio di password…
  • Connettere l’hacker ai tuoi siti e alle applicazioni di terze parti;
  • Utilizzo delle tue coordinate bancarie per pagare; 
  • Furto di identità grazie ai dati raccolti nella tua casella di posta;
  • Richiesta di riscatto a seguito di dati compromettenti trovati nella tua casella di posta.

 CONSIGLI – Insieme a una buona password:

  • È sconsigliato utilizzare la vostra casella di posta come spazio di archiviazione, in particolare per i dati che vi possono sembrare sensibili e, in particolare, le buste paga, la prova d’identità inviata che può contenere il vostro indirizzo postale personale o le password scambiate in chiaro. Fai attenzione anche alle foto che ti consentono di riidentificarti sui siti di social network e danno la possibilità a una persona malintenzionata di creare una falsa identità.
  • Si consiglia di eliminare le e-mail ricevute, inviate o salvate come bozza che sembrano avere una particolare importanza o di crittografare i documenti che si mettono in allegato.
  • Infine, per tutelare la tua identità, ti consigliamo di utilizzare una casella di posta elettronica sotto pseudonimo per registrarti a servizi che ritieni invadenti o particolarmente sensibili (sito di concorso, sito di incontri, ecc.).

Ed infine..

https://haveibeenpwened.com  è un sito progettato da Troy Int, scienziato informatico indipendente. Identifica tutte le email compromesse durante una massiccia fuga di dati. L’utente deve solo inserire la sua e-mail per scoprire se si trova in un database violato e se le sue password sono potenzialmente nelle mani di persone malintenzionate

Navigazione privata:  un’opzione utile per non lasciare troppe tracce.

Secondo un’indagine, solo il 23% degli utenti di Internet ha utilizzato la navigazione privata. Tuttavia, l’opzione torna utile per non lasciare troppe tracce dopo la navigazione.

A cosa serve la navigazione privata?

Questa opzione è attivabile da qualsiasi browser, e ti permette di non salvare alcune informazioni durante la tua sessione di navigazione:

  • la storia dei siti visitati,
  • le tue password, 
  • i campi di un modulo che compili,
  • cookie traccianti inseriti dai siti che hai visitato.
  • Tuttavia, vengono registrati:
  • I siti che hai salvato nei preferiti,
  • Download effettuati dal tuo browser, che vengono salvati per impostazione predefinita nel file “download” sul tuo computer.

La navigazione privata mi rende invisibile?

No. Anche con un browser in modalità privata, la tua navigazione non ha segreti:

… per il sito che stai visitando: in modalità di navigazione privata e finché il tuo browser non è chiuso, i cookie continuano a essere depositati e quindi potenzialmente trasmettono informazioni in tempo reale al sito che stai visitando. Lo stesso vale per la cronologia di navigazione o le password salvate che vengono cancellate solo dopo la chiusura del browser. Infine, l’attivazione della navigazione privata non impedirà a un sito – e nemmeno a un network pubblicitario – di riconoscere il tuo dispositivo utilizzando tecnologie diverse dai cookie (indirizzo IP o Fingerprinting).   

 per malintenzionati: se chi ti circonda non può accedere all’elenco dei siti che hai visitato, la navigazione privata non può fare nulla contro lo spyware che potrebbe essere stato installato sul tuo dispositivo da malintenzionati.

 per alcuni intermediari che potranno accedere facilmente ai tuoi dati di navigazione, non dal tuo computer ma grazie alle informazioni che invierai loro in tempo reale. Questo è il caso del tuo provider di servizi Internet o del tuo datore di lavoro (se utilizzi un computer professionale).

Quando è essenziale

  • Per impedire che i tuoi account vengano hackerati. L’abilitazione della funzione privata è fortemente consigliata quando sei costretto a utilizzare un computer pubblico o quando condividi regolarmente il tuo computer con chi ti circonda. Un altro vantaggio: tramite il browser privato, puoi collegarti a un account online senza disconnettere/modificare la sessione di chi condivide con il pc.
  • Per non rivelare i siti che visiti. Molto spesso la visita a un sito di vendita genera banner pubblicitari personalizzati che appariranno durante la navigazione. L’abilitazione della modalità privata è quindi consigliata se si desidera acquistare un regalo online (biglietto aereo, orologio, ecc.) senza avvisare la persona che utilizza il tuo stesso dispositivo.
  • Per evitare l’accumulo di cookie, URL visitati, password salvate come sessioni che apri. Questa funzione ti libera dal dover svuotare regolarmente la cache del browser.

Come attivarla

Dal tuo PC o smartphone:

Chrome  = vai al menu del browser o Ctrl + MAIUSC + N

Internet Explorer  = vai al menu del browser o Ctrl + MAIUSC + P

Opera = Ctrl + fai clic su “Nuova scheda privata”

Mozilla Firefox  = vai al menu del browser o C

Assistente vocale: configurazione e utilizzo

Destinati principalmente alla casa per controllare oggetti connessi e servizi di intrattenimento, i dispositivi dotati di assistente vocale sono al centro della vita domestica. La scelta e l’utilizzo di un assistente vocale non sono atti banali: occorre comprenderne le problematiche, in particolare per quanto riguarda le modalità di attivazione e di informazione, i servizi e gli utilizzi disponibili e le misure di sicurezza.

Garantire la riservatezza degli scambi

In standby permanente, l’assistente vocale può attivare e registrare inaspettatamente una conversazione quando ritiene di aver rilevato la parola chiave. Una volta registrate, le interazioni possono talvolta essere ascoltate da persone, dipendenti o fornitori di servizi dell’azienda che fornisce l’assistente vocale, al fine di migliorare il servizio. La scelta di porre tale dispositivo al centro della propria abitazione o del proprio veicolo implica quindi responsabilità nei confronti delle diverse persone i cui dati personali possono essere oggetto di trattamento.

Consulenza per la scelta del proprio assistente vocale

  • Dare priorità all’uso dei dispositivi che eseguono l’elaborazione locale dei dati, rispetto a quelli che eseguono l’elaborazione remota;
  • Favorire l’uso di dispositivi dotati di un pulsante fisico di disattivazione del microfono; 
  • Favorisci i dispositivi che consentono l’attivazione dell’ascolto tramite una pressione manuale sul dispositivo, piuttosto che tramite una parola chiave, che ti darà un maggiore controllo sui suoi tempi di attivazione. In caso contrario, privilegiare i dispositivi che segnalano l’inizio e la fine dei periodi di registrazione tramite un segnale acustico e attivarli durante l’installazione dell’assistente vocale.

Consigli per il corretto utilizzo del proprio dispositivo

  • Se non vuoi che le persone ascoltino le tue conversazioni e se il tuo dispositivo lo consente, disabilita l’analisi delle tue interazioni ai fini del miglioramento del prodotto;
  • Se non desideri condividere i dati tecnici, rifiuta di analizzarli a fini del miglioramento del prodotto;
  • Disattiva il microfono/spegni il dispositivo quando non desideri essere ascoltato dall’assistente. Si noti che alcuni dispositivi non dispongono di un pulsante di accensione/spegnimento e devono quindi essere scollegati;
  • Avvisare le terze parti (ospiti, personale domestico, ecc.) della potenziale registrazione di conversazioni, oppure disattivare/spegnere il dispositivo;
  • Al contrario, in un luogo in cui ti trovi temporaneamente e in cui è presente un assistente vocale, chiedi al proprietario di disattivarlo o scollegarlo se non desideri essere registrato;
  • Quando è incorporato in un dispositivo dedicato, posiziona l’assistente vocale in un punto in cui sarà ben visibile e visibile a tutti;
  • Controllare regolarmente la cronologia dei dati registrati nell’area utente ed eliminare i dati riservati.

Controlla la tua privacy

Destinati principalmente alla casa per controllare oggetti connessi e servizi di intrattenimento, i dispositivi dotati di assistente vocale sono al centro della vita domestica. In molti casi, le varie interazioni dell’utente con l’assistente alimentano un profilo collegato a quest’ultimo. Abitudini di vita (alzarsi e andare a letto), impostazioni di riscaldamento, gusti culturali, acquisti passati, interessi, ecc., tutte queste informazioni possono quindi essere utilizzate per scopi di targeting pubblicitario.

Consigli

  • I commenti fatti davanti al dispositivo possono arricchire il tuo profilo pubblicitario. La maggior parte dei designer di supporto ti consente di visualizzare e sopprimere i segmenti di annunci in cui sei stato classificato;
  • Preferisci i dispositivi che non richiedono la creazione di un account utente per il loro utilizzo;
  • Se è necessaria la creazione di un account, valutare se è preferibile collegare un account già esistente o, al contrario, creare un account dedicato;
  • Quando è necessario l’utilizzo di un singolo account per determinate funzionalità, tieni presente che chiunque abbia accesso all’assistente potrà utilizzarlo una volta installato, a meno che tu non configuri misure di autenticazione;
  • Se l’assistente consente questa funzionalità, favorire l’utilizzo di una modalità “scollegata” (navigazione privata) ai propri account quando la connessione non è necessaria per l’elaborazione e l’esecuzione dell’ordine effettuato;
  • Collega all’assistente solo i servizi veramente utili, tenendo conto dei rischi per la privacy derivanti dalla condivisione di dati intimi o di funzionalità sensibili;
  • Controlla regolarmente quali servizi sono collegati all’assistente e disattiva i servizi poco/non utilizzati;
  • Contattare i servizi di supporto in caso di domande e per esercitare i propri diritti nei loro confronti (ad esempio il diritto di accesso) e, se necessario, il Garante.

Ricorda nessuno schermo

Se spesso è necessaria la presenza di un Display companion per configurare il proprio assistente, l’ambizione degli assistenti vocali è quella di offrire interazioni che non siano principalmente basate sul supporto visivo.

Tuttavia, senza uno schermo, a volte è difficile avere una panoramica delle tracce registrate, giudicare  la  pertinenza  dei suggerimenti formulati, saperne di più o avere accesso a risposte da altre fonti.

Consigli

  • Favorisci i dispositivi che consentono la gestione delle impostazioni del dispositivo e la cancellazione dei dati tramite l’interfaccia vocale, oltre all’opzione tramite lo schermo complementare o l’account utente;
  • Visita regolarmente la dashboard di gestione dell’assistente per personalizzarne le funzionalità in base alle tue esigenze. Ad esempio, definire il motore di ricerca o la fonte di informazioni utilizzata per impostazione predefinita.

Supervisionare l’uso da parte dei bambini

Inizialmente oggetto di curiosità, gli assistenti vocali possono diventare rapidamente un’interfaccia digitale particolarmente apprezzata dai bambini per il loro lato giocoso e la loro maneggevolezza. Se è indubbio che un computer o uno smartphone non debbano essere lasciati nelle mani di un bambino senza la supervisione dei genitori, lo stesso vale per le interfacce controllate solo dalla voce.

Consigli

Spiega in modo pedagogico la modalità di funzionamento di un assistente vocale e mostra le semplici impostazioni (pulsante di disattivazione ad esempio):

  • Evitare di distribuire questi dispositivi in spazi riservati ai bambini (camera da letto, sala giochi, ecc.);
  • Supervisiona le interazioni dei bambini con il dispositivo: stai nella stanza quando lo usano, spegnilo quando non sei con loro;
  • Verifica che sia impostato per impostazione predefinita per filtrare le informazioni destinate ai bambini;
  • Se viene registrata una cronologia, consultare le statistiche di utilizzo e, ove applicabile, le interazioni passate, nel rispetto della privacy del bambino;
  • Elimina regolarmente questa cronologia.

Prevenire i rischi dell’hacking

A seconda delle scelte effettuate dall’utente, un assistente vocale può accedere a diversi servizi. Tuttavia, ciò non offre sempre la possibilità di un’autenticazione che consente di garantire la legittimità di chi effettua l’ordine. Va quindi tenuto presente che l’assistente vocale può, nel caso in cui sia collegato a numerosi servizi (ad esempio domotica o bancario), essere una potenziale violazione del sistema informativo del nucleo familiare.

Consigli

  • Come per qualsiasi oggetto connesso, evita i prodotti la cui origine e designer non sono riconosciuti o per i quali non è possibile identificare facilmente il gestore e un punto di contatto;
  • Scegli con cura i servizi che possono essere controllati dal tuo assistente vocale ed evita quelli a rischio (apertura porte, chiusura, avviamento di un veicolo, ecc.);
  • Fai attenzione ad installare e ad accedere solo ad applicazioni legittime, in quanto gli hacker possono creare applicazioni dannose per raccogliere i dati dell’utente (account o numero di carta di credito, password, indirizzo, contatto, ecc.);
  • Configurare la sicurezza del dispositivo o di alcune applicazioni sensibili, attraverso l’autenticazione a due fattori (ad esempio tramite una validazione da effettuare a seguito di un’e-mail o di un SMS) se il dispositivo lo consente;
  • Scegli con attenzione l’attivazione nell’assistente dei servizi legati ai tuoi account (posta, calendario, conto corrente bancario, chiamate, ecc.) che potrebbero essere accessibili a chiunque si trovi nella stessa stanza;
  • Proteggi la rete (soprattutto Wi-Fi) a cui è connesso l’assistente.

Diritto di opposizione: la possibilità di opporti in qualsiasi momento.

Il diritto di opposizione ti consente di opporti all’utilizzo dei tuoi dati, per uno scopo specifico.

Qual e il punto?

I tuoi dati personali compaiono in un file non obbligatorio e non desideri più che appaiano? Il diritto di opposizione ti consente di opporti all’utilizzo dei tuoi dati da parte di un’organizzazione per uno scopo specifico. Devi addurre “ragioni relative alla tua situazione particolare”, tranne nel caso di sondaggio commerciale, a cui puoi opporti senza motivo.

Esempio in cui può essere esercitato il diritto all’opposizione:

Il rifiuto di essere inserito i negli elenchi degli abbonati telefonici

Come farlo concretamente?

  1. Identificare l’organizzazione da contattare

Identifica l’organizzazione, quindi vai alla pagina informativa riservata all’esercizio dei tuoi diritti sul sito web dell’organizzazione (“privacy policy”, privacy”, “nota legale”, ecc.). Se hai difficoltà ad ottenere i dati di contatto del responsabile della protezione eventualmente nominato, consulta il sito del Garante Italiano. 

  1. Esercita il tuo diritto di opposizione con l’organizzazione

Nella tua richiesta, spiega quali dati desideri vedere cancellati e per quali motivi “relativi alla tua situazione particolare”.

Puoi esercitare la tua richiesta per il diritto di opposizione con vari mezzi e senza fornire documenti giustificativi: elettronicamente (modulo, indirizzo e-mail, account online, ecc.), per posta.

  1. Conserva una copia delle tue procedure

Questo passaggio è essenziale se si desidera contattare il Garante Privacy  in caso di risposta insoddisfacente o mancata risposta. 

Fai uno screenshot della tua richiesta o risposta usando il tasto “stampa schermo” in alto a destra sulla tastiera (PC) o usando la scorciatoia da tastiera cmd + MAIUSC + 4 se hai un Mac. Lo fai per posta? Richiedi una ricevuta di ritorno che dimostrerà la data della tua procedura. 

Cosa fare in caso di rifiuto o assenza di risposta?

L’organizzazione deve dimostrare che motivi legittimi e impellenti, le impongono di continuare a trattare i tuoi dati nonostante la tua richiesta o deve giustificare che i tuoi dati sono necessari per il riconoscimento, l’esercizio o la difesa di diritti in sede giudiziaria.

Se eserciti il ​​tuo diritto di opposizione:

  • per non ricevere più corrispondenza commerciale: l’organizzazione deve eliminare il tuo indirizzo e-mail dal suo database il prima possibile.;
  • per vedere le informazioni personali cancellate da un database: l’organizzazione ha un mese per risponderti.  

In caso di risposta insoddisfacente o mancata risposta entro un mese, puoi contattare il Garante.

Quali sono i limiti della legge?

Il diritto di opposizione non è un diritto alla cancellazione semplice e definitiva di tutti i tuoi dati o dell’account a te collegato. Ad esempio, solo un inadempimento contrattuale consente la cancellazione di un account presso il proprio operatore di telefonia mobile o un sito di e-commerce.

Se la tua richiesta di opposizione non riguarda la comunicazione commerciale, l’organizzazione può giustificare il suo rifiuto sulla base del fatto che:

  • sussistano motivi legittimi e impellenti per trattare i dati o siano necessari per l’accertamento, l’esercizio o la difesa di diritti in sede giudiziaria;
  • hai acconsentito – quindi devi revocare questo consenso e non opporti;
  • un contratto ti vincola all’organizzazione;
  • un obbligo legale lo obbliga a trattare i tuoi dati;
  • il trattamento è necessario per tutelare gli interessi vitali dell’interessato o di un’altra persona fisica

I pagamenti con carta di credito: la conservazione dei dati bancari.

Conservazione dei dati bancari dei clienti, al di là di una transazione, per facilitare i loro possibili acquisti successivi.

Predefinito: nessuna conservazione oltre la transazione

Dall’entrata in vigore del Regolamento Europeo sulla protezione dei dati (GDPR), l’Ente deve valutare il proprio sistema di pagamento, tenendo conto dei principi di protezione dei dati di default e di progettazione.

In termini di pagamento per la vendita di beni o la fornitura di servizi a distanza, i dati strettamente necessari per effettuare un pagamento sono di default:

  • numero di carta;     
  • data di scadenza;
  • il crittogramma visivo.

Che non dovrebbero essere mantenuti oltre la transazione.

Dati carta di credito: quali sono i possibili utilizzi?

Nell’ambito del pagamento a distanza, i dati della carta di pagamento possono essere raccolti per:

  • pagare un bene o un servizio;
  • pagare a rate un abbonamento sottoscritto online;     prenotare un bene o un servizio;
  • iscrizione a una gamma di soluzioni di pagamento, dedicate alla vendita a distanza, da parte dei fornitori di servizi di pagamento.

Il principio

Gli Enti devono ottenere il consenso dei propri clienti alla conservazione dei propri dati bancari al di là di una transazione, per facilitare i loro successivi acquisti.

Tale consenso non è presunto e deve assumere la forma di un atto di volontà inequivocabile, ad esempio mediante una casella di spunta (non preselezionata per impostazione predefinita).

L’accettazione delle condizioni generali d’uso o di vendita, non è considerata una modalità sufficiente della raccolta del consenso delle persone.

Si raccomanda inoltre che l’e-commerce integri, direttamente sul proprio sito, un mezzo semplice per revocare a titolo gratuito, il consenso così prestato.

I dati della carta di credito possono essere utilizzati anche nella lotta contro le frodi con le carte di pagamento.

Caso speciale di abbonamenti

L’Ente può fare affidamento sul loro legittimo interesse a conservare le coordinate bancarie dei propri clienti che sottoscrivono un abbonamento, al fine di beneficiare, gratuitamente o meno, di ulteriori servizi volti a facilitare i loro acquisti (consegna rapida, vendita privata, accesso a contenuti aggiuntivi, ecc.).

La sottoscrizione di un abbonamento aggiuntivo può testimoniare la volontà del cliente di entrare in un regolare rapporto commerciale con l’Ente, acquistando frequentemente sul sito web del commerciante.

In questo caso, gli Enti possono conservare per impostazione predefinita le coordinate bancarie inserite dai clienti che aderiscono a questi abbonamenti aggiuntivi, subordinatamente a:

    fornire informazioni sufficientemente complete (es. “conserviamo i dati della tua carta bancaria per evitare che tu debba inserirli nuovamente durante i tuoi futuri acquisti”) direttamente e distintamente sul mezzo di raccolta (es. una casella visibile ed esplicita sopra il modulo);

  • per consentire loro di esercitare agevolmente il proprio diritto di opposizione mediante una checkbox presente sul mezzo di raccolta, senza conseguenze sull’accesso al servizio; in tal caso, la casella citata a titolo esemplificativo può integrare direttamente questa casella, corredata da una dichiarazione “per rifiutare la conservazione delle tue coordinate bancarie, clicca qui”;
  • consentire in modo semplice ed in qualsiasi momento, sul sito dell’Ente, la cancellazione delle proprie coordinate bancarie;
  • di tener conto del rifiuto espresso dal cliente in merito alla conservazione della carta bancaria e di offrirgli successivamente tale conservazione solo previo suo libero, informato e specifico consenso, ad esempio mediante una checkbox; si tratta qui di rispettare in modo durevole la scelta espressa dalla persona;
  • attuare adeguate misure di sicurezza.

Tali misure hanno lo scopo di preservare la libertà di scelta e gli interessi dei clienti, abbonati, che effettuano acquisti ricorrenti sul medesimo sito.

Si ricorda che la conservazione dei dati bancari per impostazione predefinita non si applica agli acquisti una tantum con un metodo di pagamento semplice offerto a tutti i clienti, ad esempio l’acquisto in “un clic”.

Infatti, la conservazione del numero di carta del cliente al fine di agevolare eventuali successivi pagamenti, ed eventualmente per poter effettuare un acquisto con “un clic” sul sito dell’esercente, va oltre l’esecuzione del contratto concluso e del servizio previsto dalla persona quando effettua occasionalmente un acquisto online.

Il cliente deve infatti poter ragionevolmente aspettarsi la conservazione delle sue coordinate bancarie  per  default,  nell’ambito  del  suo  rapporto  con  l’e- commerce. L’intenzione del cliente di instaurare un regolare rapporto commerciale deve quindi essere manifesta e sfociare nella sottoscrizione di un servizio che faciliti i suoi acquisti distinto, ma eventualmente concomitante, con la semplice creazione di un account cliente che dia accesso ai servizi di base.

Questo non dovrebbe limitarsi alla semplice registrazione ad un programma fedeltà o ad un account, in cambio di vantaggi e premi, che non darebbero accesso a servizi aggiuntivi volti ad agevolare gli acquisti.

Quali dati possono essere raccolti durante un pagamento?

I dati strettamente necessari per il perfezionamento di una transazione sono:    

  •  il numero della carta,
  • data di scadenza
  • il crittogramma visivo

Se la raccolta dell’identità del titolare della carta non è necessaria per la transazione, non dovrebbe essere raccolta.

Un Ente online non può richiedere la trasmissione di una copia della carta di pagamento anche se il crittogramma visivo e parte dei numeri sono nascosti.

Per quanto tempo conservare i dati?

In ogni caso, la conservazione del crittogramma è vietata dopo il completamento della prima transazione.

Il periodo di conservazione dei dati delle carte bancarie dipende dalle finalità perseguite.

Quali precauzioni dovrebbero essere prese per proteggere i dati?

È importante che il titolare della carta sia informato di ogni compromissione delle sue coordinate bancarie, affinché possa adottare le misure idonee a limitare il rischio di riutilizzo fraudolento della sua carta (contestazione di pagamenti fraudolenti, opposizione alla carta, ecc.).

Allo stesso modo, raccomanda l’implementazione di mezzi di autenticazione rafforzata del titolare della carta di pagamento per garantire che sia effettivamente all’origine dell’atto di pagamento a distanza. In questi casi si raccomandano le seguenti misure di sicurezza:

  • mascheramento di tutto o parte del numero della carta quando viene visualizzato o memorizzato,
  • sostituzione del numero della carta con un numero insignificante,
  • tracciabilità per rilevare eventuali accessi o utilizzi illegittimi dei dati e per attribuirli al responsabile.

Si raccomanda di non conservare i dati relativi a una carta di pagamento sul terminale del cliente (smartphone, computer) in quanto questi terminali non sono progettati per garantire la sicurezza dei dati bancari.

Quando la raccolta del numero della carta di pagamento avviene per telefono, una soluzione alternativa sicura, senza costi aggiuntivi, dovrebbe essere offerta ai clienti che non desiderano trasmettere i dati della propria carta con questo mezzo.

Giocattoli e connessione: come metterli in sicurezza?

I giocattoli connessi, sempre più popolari, sollevano molte domande, in particolare per quanto riguarda l’importanza dei dati raccolti dei bambini e la loro sicurezza. Facciamo il punto.

Che cos’è un giocattolo connesso?

I giocattoli connessi prendono la forma di oggetti apparentemente innocui (bambole, robot, orologi connessi,  baby monitor, console, ecc.) che raccolgono informazioni e le inviano tramite onde radio (Bluetooth, Wi-Fi) e Internet.

C’è un problema di privacy?

Come con qualsiasi oggetto connesso, l’uso poco controllato o non protetto di un giocattolo connesso, può mettere l’utente di fronte a vari problemi. Le comunicazioni e i dati raccolti da un giocattolo connesso possono essere potenzialmente:

  • utilizzato per scopi di targeting pubblicitario;
  • appropriazione indebita da parte di un individuo malintenzionato, ad esempio a fini di frode, furto di identità o molestie.

Il “mondo segreto” del bambino è messo in discussione?

Alcuni giocattoli forniscono una piattaforma in cui i genitori possono ascoltare, o addirittura riascoltare, le conversazioni che i bambini hanno con i loro oggetti. Se i genitori possono controllare meglio i dati che vengono archiviati online, possono anche ascoltare tutte le confidenze dei loro figli. Una pratica che può potenzialmente ledere la privacy del bambino o pregiudicare il rapporto di fiducia che ha con i suoi genitori.

Come mettere in sicurezza il tuo giocattolo prima di darlo al bambino?

Sii molto vigile riguardo alle possibilità di connettività offerte dal giocattolo: 

  • verificare che il giocattolo non consenta a nessuno di collegarsi ad esso, ad esempio verificando che il suo abbinamento con uno smartphone o su Internet, richieda un pulsante di accesso fisico al giocattolo o l’utilizzo di una password;
  • modificare le impostazioni predefinite del giocattolo (password, codice PIN, ecc.);
  • accesso sicuro al tuo smartphone e alla tua internet box tramite password;
  • accesso sicuro all’account online collegato al giocattolo con una password complessa diversa dagli altri tuoi account;
  • verificare che l’oggetto sia illuminato quando ascolta o trasmette informazioni su Internet;
  • verificare che il giocattolo non presenti vulnerabilità già note e facilmente accessibili;
  • Eseguire regolarmente gli aggiornamenti di sicurezza.

Dì il meno possibile al momento della registrazione: se l’orsacchiotto o la bambola rassicura visivamente i genitori, i suoi sensori possono comunque raccogliere dati sensibili come foto o conversazioni:

  1. Al momento della registrazione, comunicare solo le informazioni minime necessarie per il servizio (ad esempio, dare una data di nascita casuale se il sistema ha bisogno di determinare un’età);
  2. creare un indirizzo email specifico per i giocattoli utilizzati dal bambino;
  3. utilizzare il più possibile pseudonimi al posto del cognome/nome;
  4. attiva solo le funzioni di cui hai veramente bisogno.

Scollegare il giocattolo/cancellare i dati:

  • spegnere il giocattolo quando non è in uso per evitare acquisizione di dati particolari;
  • garantire la possibilità di accesso e cancellazione dei dati;
  • disabilitare la condivisione automatica sui social network;
  • cancellare i propri dati sul giocattolo e sul servizio online associato, quando non viene più utilizzato.

I produttori hanno degli obblighi in termini di sicurezza?

I produttori hanno l’obbligo di proteggere le informazioni raccolte. L’articolo 121 della legge sulla protezione dei dati, prevede che il produttore ” è tenuto ad adottare tutte le precauzioni utili, con riguardo alla natura dei dati e ai rischi presentati dal trattamento, per preservare la sicurezza dei dati e, in particolare, per prevenire ‘siano modificati, danneggiati o che terzi non autorizzati vi abbiano accesso ‘.

Quali consigli prima di acquistare?

Prima di acquistare un dispositivo informati:

Attenzione agli orologi a basso costo! Un giocattolo connesso offerto a basso costo, può mettere in secondo piano la privacy e offrire poche soluzioni tecniche o poco sicure. 

Trasparenza sui dati raccolti e sul loro hosting. Le condizioni d’uso sono comprensibili? I dati vengono riutilizzati per altri scopi o trasmessi ai partner? I dati sono ospitati in Europa o in un paese terzo con minore protezione dei dati? Esistono dettagli di contatto del produttore, per esercitare i propri diritti in merito ai dati personali?

La sicurezza prima! Possiamo controllare i dati raccolti, disattivare alcune funzioni come la geolocalizzazione? È possibile proteggere l’accesso al dispositivo e ai servizi associati (applicazione mobile, sito Web) utilizzando una password complessa o un metodo di autenticazione aggiuntivo?

In caso di dubbio, preferisci un acquisto da venditori specializzati in grado di farti testare e darti consigli tecnici. Consulta anche i banchi di prova offerti dalle associazioni dei consumatori, i commenti degli utenti di Internet negli store di applicazioni e più in generale i forum degli utenti.

Deferenziazione dei contenuti in un motore di ricerca: ovvero come non far associare più dei contenuti con i tuoi dati.

Puoi chiedere ai motori di ricerca di non associare più i contenuti che ti danneggiano, con il tuo nome e cognome.

Qual e il punto?

Il dereferenziamento consente di eliminare uno o più risultati forniti da un motore di ricerca, a seguito di una richiesta avanzata dall’identità (cognome e nome) di una persona.

Tale cancellazione non comporta l’eliminazione delle informazioni presenti sul sito di origine: il contenuto originale rimane inalterato ed è sempre accessibile, utilizzando altri criteri di ricerca o andando direttamente al sito da cui ha avuto origine la trasmissione.

Per eliminare le informazioni sul sito di origine, preferire una richiesta di cancellazione al responsabile del sito.

Digitando il tuo nome scopri uno dei tuoi vecchi CV e non riesci a rimuoverlo dal sito.

Come farlo concretamente?

  1. Modulo di ricerca o dettagli di contatto del motore di ricerca

I principali motori di ricerca forniscono un modulo per richiedere la rimozione dei risultati di ricerca.

  1. Esercita il tuo diritto al delisting

Rivolgi al motore di ricerca, tramite il suo modulo online, una richiesta di “cancellazione dei contenuti che ti riguardano, visualizzati nell’elenco dei risultati dei motori di ricerca”.

Specifica l’indirizzo web (URL) del risultato che stai richiedendo. Per fare ciò, fare clic con il pulsante destro del mouse sul collegamento del risultato e selezionare “copia indirizzo collegamento”.

Motiva la tua richiesta, dicendo al motore di ricerca perché vuoi che questo link venga dereferenziato.

Attenzione: se e solo se l’organizzazione ha ragionevoli dubbi sulla tua identità, potrebbe chiederti di allegare qualsiasi documento che provi la tua identità, ad esempio per evitare furti di identità. D’altra parte, non può chiederti documenti giustificativi che sarebbero abusivi, irrilevanti e sproporzionati rispetto alla tua richiesta.

  1. Conserva una copia delle tue procedure

Questo passaggio è essenziale in caso di risposta insoddisfacente o mancata risposta. Fai uno screenshot usando il tasto “stampa schermo” in alto a destra sulla tastiera (PC) o usando la scorciatoia da tastiera cmd + MAIUSC + 4 se hai un Mac.

Cosa fare in caso di rifiuto del motore di ricerca?

Per rispondere alla tua richiesta, il motore di ricerca dispone di un periodo di un mese, che può essere esteso a tre mesi a seconda della complessità della richiesta o del numero di richieste ricevute. In quest’ultimo caso, dovrà informarti dei motivi di tale proroga. 

Una copia della tua richiesta di cancellazione dal motore di ricerca e una copia della sua risposta ti saranno richieste se desideri presentare un reclamo Garante Privacy.

Quali sono i limiti della legge?

  • Una richiesta di cancellazione riguarda solo i risultati di ricerca che appaiono quando inserisci il tuo nome e cognome nel motore di ricerca.
  • Il diritto alla de referenziazione non significa cancellare le informazioni presenti sul sito di origine: il contenuto è comunque consultabile andando direttamente al sito da cui è stato trasmesso.
  • Il risultato della ricerca che è stato cancellato resta accessibile dalle ricerche effettuate senza nome e cognome.
  • Se il motore di ricerca dimostra che queste informazioni devono essere portate all’attenzione del pubblico, può rifiutarsi di agire in base ad esse.

Password: come renderla sicura.

Per accedere ai nostri account online, utilizziamo spesso password “deboli” o la stessa password su più account. Ecco alcuni suggerimenti per gestire le tue password personali in modo sicuro.

Banca, e-commerce, e-mail, documenti, amministrazione: tanti passaggi della nostra quotidianità passano ormai attraverso Internet e la creazione di conti sui vari siti. Molti di questi spazi privati ​​contengono informazioni riservate che non dovrebbero essere messe a disposizione di persone non autorizzate.

Per una password sicura devi…

  • Una buona password deve contenere almeno 12 caratteri e 4 tipi diversi: minuscolo, maiuscolo, numeri e caratteri speciali;
  • Nessuno dovrebbe indovinare la tua password dal nome del tuo cane o dal tuo film preferito. Idem per il codice del tuo cellulare: preferisci un numero causale ad una data;
  • Per evitare attacchi a cascata, ciascuno dei tuoi account online sensibili (banca, messaggistica, social network, ecc.), deve essere protetto con una password specifica e univoca;
  • I post-it, i file di testo, il tuo smartphone o la tua casella di posta, non sono progettati per proteggere l’archiviazione delle tue password. Ricorda inoltre di non salvarli mai nel browser di un computer condiviso;
  • Quando il servizio te lo propone, attiva la doppia autenticazione. Se qualcuno si collega al tuo account da un terminale sconosciuto, il sito ti avvisa tramite SMS/e-mail. Sei libero di consentire o negare l’accesso!
  • Fai lavorare i tuoi neuroni: memorizza una frase e poi usa la prima lettera di ogni parola per creare la tua password. La frase deve contenere numeri e caratteri speciali;
  • Utilizza un gestore di password o un portachiavi crittografato per archiviare le tue password in modo sicuro. Dovrai solo ricordare una password per accedere a tutti i tuoi documenti.