Whistleblowing: ATTENZIONE ALLA SICUREZZA INFORMATICA!

Autore: DITEDI Pubblicato il: 14 Maggio 2024 Pubblicato in: News

L’ANAC rileva criticità applicative nella procedura di attivazione di un canale di whistleblowing interno a molte PMI verificate a campione.

Approfondimento a cura di Stefano Gazzella – DPO di DITEDI

Il 17 dicembre 2023 era il termine ultimo per molte PMI per dotarsi di una procedura per la segnalazione di illeciti e l’attivazione di un canale di whistleblowing interno in forza degli obblighi stabiliti dal d.lgs. 23/2023.

In seguito al tempo trascorso da tale deadline, l’ANAC ha svolto un’attività di monitoraggio a campione rilevando alcune criticità applicative. Alcune di queste sono relative alla sicurezza informatica, dal momento che il 60% degli enti privati hanno optato per soluzioni cloud dedicate alla gestione delle segnalazioni.

Tutto ciò comporta la necessità di svolgere un riesame del rischio informatico e della postura cyber dell’organizzazione, avendo contezza sia delle nuove minacce che dello stato dell’arte.

Lo strumento che può rispondere a tale esigenza può essere lo svolgimento di una valutazione d’impatto privacy richiesta come obbligatoria dall’art. 13 comma 6 d.lgs. 23/2023, la quale prevede l’individuazione e valutazione dei rischi specifici e la conseguente analisi delle misure tecniche e organizzative di sicurezza adeguate in relazione all’intero processo.

L’attivazione dell’autenticazione a due fattori in questo ambito (così come in molti altri) è una misura che risponde all’applicazione degli standard di sicurezza, in quanto la gestione di accessi con le sole credenziali non è più valutabile come sicuro, soprattutto in considerazione della sensibilità delle informazioni che riguardano il processo di whistleblowing. La stessa ANAC ha segnalato questa vulnerabilità all’interno del proprio report.

Per quanto riguarda l’identificazione dei rischi specifici, invece, è utile ragionare sul fatto che i cybercriminali ben potrebbero impiegare come vettore d’attacco una segnalazione tramite il canale di whistleblowing. Avvalendosi, a seconda dei casi, anche di tecniche di impersonificazione per avvalersi dell’apparente affidabilità di un mittente noto ed inviare così allegati malevoli. Dal momento che il canale e il gestore non sono (anzi: non possono essere) pienamente sotto il controllo dell’organizzazione, si dovrà ragionare fornendo dotazioni ed istruzioni per l’apertura in sandbox degli allegati. E questo va fatto tanto nell’ipotesi che il gestore sia interno che esterno, dal momento che ogni responsabilità per la gestione della sicurezza ai sensi dell’art. 32 GDPR resta in capo all’organizzazione anche nel caso di esternalizzazione del servizio.

Cookie	Durata	Descrizione
_gid		Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.
CONSENT		YouTube imposta questo cookie tramite i video di YouTube incorporati e registra dati statistici anonimi.

Cookie	Durata	Descrizione
anonUID		Nessuna descrizione
BIGipCookie		Nessuna descrizione
DcLcid		Nessuna descrizione
E		Nessuna descrizione
LD		Nessuna descrizione
omxsession		Nessuna descrizione
wla42		Nessuna descrizione
xidseq		Nessuna descrizione

Cookie	Durata	Descrizione
_gat		Questo cookie è installato da Google Universal Analytics per limitare il tasso di richiesta e quindi limitare la raccolta di dati su siti ad alto traffico.
xid		Questo cookie viene utilizzato per ricordare le informazioni sull'account personale dell'utente, come nome, indirizzo e cronologia degli ordini, nonché il contenuto del carrello, la ricerca di confronto e la lista dei desideri. Dura solo fino alla fine della sessione del visitatore.

Cookie	Durata	Descrizione
_fbp		Questo cookie è impostato da Facebook per visualizzare annunci pubblicitari su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook, dopo aver visitato il sito web.
fr		Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
VISITOR_INFO1_LIVE		Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC		Il cookie YSC è impostato da Youtube e viene utilizzato per tracciare le visualizzazioni dei video incorporati sulle pagine di Youtube.
yt-remote-connected-devices		YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt-remote-device-id		YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.

Chiamaci

Scrivici

Raggiungici

Whistleblowing: ATTENZIONE ALLA SICUREZZA INFORMATICA!

Link utili

Il Cluster

Aggiornamenti

Contatti