Fraud 2009: il fenomeno delle frodi

Ieri e oggi si svolge a Torino presso il Centro Congressi del Lingotto l’evento “Fraud 2009” e vi partecipo per conto di Adiconsum.

Si tratta sicuramente di un evento che non è alla prima edizione e il suo contenuto merita tutta l’attenzione da parte di chi si occupa di frodi in genere. Difatti, l’aspetto “frodi” non può essere valutato in modo settario e da un unico punto di vista. I profili sono molteplici e coinvolgono diverse professionalità e differenti ambiti aziendali.

L’evento è organizzato da ACFE (Association of Certified Fraud Examiners) e da CRIF, società leader nei sistemi di informazione creditizia e supporto decisionale.

L’evento è articolato con delle sessioni plenarie e con alcuni workshop tematici. In particolare sono oggetto di trattazione l’evoluzione del fenomeno delle frodi creditizie mediante furti d’identità e delle frodi sul posto di lavoro, le truffe ai danni di compagnie di telefonia, frodi assicurative, il perfezionamento degli strumenti di monitoraggio e di prevenzione delle frodi su internet e nell’eCommerce.

Il problema più complesso, a mio avviso, è costituito dal c.d. furto d’identità. A questo proposito, CRIF, azienda leader nello sviluppo e nella gestione dei sistemi di informazioni creditizie (SIC) d business information e di supporto decisionale, ha illustrato il servizio Mistercredit (www.mistercredit.it) il cui cittadino può beneficiare del sistema denominato IDENTIKIT. Con questo sistema, previa registrazione, è possibile ricevere dei report e degli alerts sulle operazioni poste in essere dal soggetto che ha registrato il proprio nominativo. In questo modo, qualora ci fossero operazioni anomale, l’utente sarebbe ingrado – quasi in tempo reale – di essere informato e di adottare gli opportuni provvedimenti. CRIF ha anche presentato gli ultimi dati relativi agli osservatori sulle carte di credito e sulle frodi creditizie. Interessante lo strumento.

Per quanto concerne le frodi sul posto di lavoro ACFE ha svolto una ricerca dalla quale emerge che la tipologia di frode più frequente nelle aziende italiane è per il 43% l’appropriazione indebita di asset aziendali (false fatturazioni, rimborsi gonfiati, furto di denaro non contabilizzato). Poi, ovviamente, la falsa dichiarazione per il 36% ed i casi di corruzione per il 14%. Secondo questa indagine i metodi più efficaci per arginare il fenomeno frodi in ambito aziendale sono costituiti da sistemi di controllo interno e internal auditing. Secondo ACFE è possibile tracciare un identikit del dipendente truffatore: truffano più i maschi (59%), con un alto livello di istruzione (il 45% è laureato) e che occupano posizioni impiegatizie (29%) o manageriali (18%).

Presentata la relazione 2012 del Garante privacy

È stata presentata oggi la relazione 2012 del Garante privacy. Il Presidente dell’Autorità Garante, Soro, ha tenuto il suo discorso presso la Sala della Regina a Montecitorio. L’evento è stato presieduto dalla Presidente della Camera Boldrini alla presenza degli altri membri del Collegio (Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano). Il documento è disponibile sul sito del Garante.

Il discorso del Presidente è stato focalizzato sui punti seguenti:

  1. La protezione dei dati come fondamento della cittadinanza
  2. Trasparenza e potere informative della pubblica amministrazione
  3. Autorità e libertà
  4. La protezione dei dati tra individuo e mercato
  5. Gli algoritmi non sono neutrali
  6. Lo sfruttamento commerciale delle identità
  7. Né censura né anonimia
  8. Oblio e identità in evoluzione
  9. Dignità della persona e libertà di stampa
  10. Una privacy forte: la sfida dell’Europa

Dal contenuto – senza dubbio apprezzabile – del discorso del Presidente Soro è emerso un indubbio interesse verso la protezione dei dati personali in relazione con le nuove sfide del digitale e della evoluzione dei paradigmi del web con le proprie declinazioni. Particolare interesse è stato posto sul tema del furto d’identità e, quindi, sul concetto dell’identità digitale (eID), nonché su tematiche di particolare specificità quali l’Internet degli oggetti (Internet of Things – IoT) e le evoluzioni c.d. smart (smart grid, smart city, ecc.).

Si tratta di un approccio che denota particolare apertura da parte del Garante ad affrontare le nuove sfide del mondo della comunicazione e della rete in genere.

Il 30/6/2013 scade il termine per comunicare la PEC – Attivo il portale per INI-PEC

La legge 17 dicembre 2012, n. 221, in sede di conversione del D.L. 18/10/2012, n. 179, ha modificato l’art. 5 – rubricato “Posta elettronica certificate – indice nazionale degli indirizzi delle imprese e dei professionisti” – disponendo l’obbligo di comunicazione dell’indirizzo di PEC (Posta Elettronica Certificata) anche per le imprese individuali, mediante indicazione nella domanda di iscrizione al registro delle imprese e all’albo delle imprese artigiane da parte rispettivamente delle imprese individuali e delle imprese artigiane.

La predetta norma (art. 5, comma 2), peraltro, dispone l’obbligo per le imprese individuali attive e non soggette a procedura concorsuale di depositare presso il registro delle imprese l’indirizzo di PEC entro il 30.6.2013 (termine ridotto dalla legge di conversione che originariamente era fissato al 31.12.2013).

La circolare n. 53687 del 2/4/2013 del Ministero dello sviluppo economico fornisce alcune indicazioni sulle modalità di comunicazione.

Le recenti vigenti disposizioni prevedono, fra l’altro, che gli Ordini professionali siano tenuti a far confluire i dati relativi agli indirizzi di PEC nell’elenco INI-PEC (Indice nazionale degli indirizzi di posta elettronica certificata) che è istituito presso il Ministero dello Sviluppo Economico.

Dal 19/6/2013 è online il portale dell’INI-PEC www.inipec.gov.it

A tutto questo si aggiunga anche l’obbligo da parte di PA ed Enti di registrare i propri dati sul portale http://www.indicepa.gov.it/

Privacy e decreto sviluppo: brevi note critiche

Il Governo ha approvato al Consiglio dei Ministri dello scorso 5 maggio uno schema di decreto legge che, fra l’altro, all’art. 6 affronta alcune questioni in materia di privacy. In particolare, l’art. 6 dello schema di decreto legge è stato strutturato per delineare diverse azioni, ma la prima è quella relativa alla riservatezza e la logica posta alla base dell’intervento normativo viene indicata alla lettera a) e descritta nei termini seguenti:

in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese

Il citato assioma sembra voler giustificare l’intervento in commento su una presunta “corretta applicazione della normativa europea”. Sul sito del Ministero per la pubblica amministrazione ed innovazione, peraltro, si legge: “La proposta prevede che il Codice della Privacy non si applichi ai trattamenti di dati personali nei rapporti tra persone giuridiche per sole finalità di natura amministrativo-contabile, in modo da allineare la normativa italiana a quella degli altri Paesi dell’Unione Europea (solo l’Italia infatti, insieme all’Austria, aveva una normativa sulla privacy che si applicava sia alle persone fisiche, sia a quelle giuridiche). Sono previste inoltre semplificazioni per le imprese che trattano solo i dati sensibili del personale, dei collaboratori e dei loro familiari (circa l’80% del totale): una semplice autocertificazione sostituisce il Documento Programmatico per la Sicurezza”.

Garante privacy: la biometria non l’unica soluzione nel rapporto di lavoro

Il Garante per la protezione dei dati personali si è pronunciato di recente in ordine alla conformità alla normativa privacy dei rilevamenti biometrici.

Difatti, su istanza di due diverse aziende sono stati emanati nel mese di novembre del 2010 due provvedimenti (doc web. 1779745 e 1779758) che rigettano le richieste di verifica preliminare di sistemi che utilizzavano la biometria. Tali aspetti, peraltro, sono presenti nell’ultima newsletter del 4.2.2011.
In particolare, le richieste di verifica preliminare avanzate dalle aziende al Garante riguardavano l’uso di sistemi biometrici (nel caso di specie di impronta digitale del dito indice) per controllare la presenza sul posto di lavoro dei dipendenti. Il sistema prevedeva la registrazione dell’impronta digitale su una card e all’occorrenza il dipendente avrebbe dovuto inserire la card in un lettore posizionando contestualmente il proprio dito su altro lettore in modo da convalidarne la corrispondenza e quindi la presenza del lavoratore.
Le parti della motivazione più rilevanti del provvedimento del Garante sono quelle riportate di seguito:

Mappe mentali e concettuali: l’ausilio dei software

All’avvocato possono servire risorse per le mappe mentali e/o concettuali ? La risposta è ovviamente positiva. Credo che prima o poi sorga, in particolare a chi scrive o studia, la necessit�? di utilizzare le mappe mentali (in inglese mind map) o mappe concettuali (conceptual map – si tratta di concetti distinti) per una migliore razionalizzazione delle idee e del pensiero. Si fa risalire a Tony Buzan la paternit�? delle mappe mentali, mentre a Joseph D. Novak quella delle mappe concettuali. A questo punto è necessario chiarire, schematizzando, la differenza tra le due soluzioni appena indicate:
si fa riferimento alle mappe mentali per la rappresentazione grafica delle idee e del pensiero di una persona attraverso la creativit�? della stessa;
le mappe concettuali, invece, sono utilizzate per la rappresentazione grafica della conoscenza.

Internet of Things: Council launch ed approccio multidisciplinare

Il 4 dicembre 2009 si è tenuto a Brussels al lancio ufficiale del Council di Internet of Things di cui faccio parte. Il Council è multidisciplinare ed è costituito nella forma del think-tank, del laboratorio sulle tematiche connesse all’Internet of Things. L’evento è stato organizzato da Rob van Kranenburg fondatore e responsabile del Council e patrocinato da LIFT e da Thinker.it!
La location: l’evento e si è tenuto all’IMAL che è il Centro per le culture digitali e la tecnologia (Centre for digital cultures and technology).

Il programma: il programma (già illustrato in un mio precedente articolo) è stato abbastanza vasto sia sul piano dei relatori sia su quello dei contenuti. È stato necessario strutturarlo in una sessione mattutina con una serie di interventi, tra i quali quello dello scrivente; ha fatto seguito la sessione pomeridiana che è stata strutturata con ben 7 workshop contemporanei ciascuno su una tematica diversa. Al termine dei workshop c’è stata la presentazione della sintesi dei lavori di ciascuno di essi. Dopo la cena, una sessione serale. Di particolare rilievo è stato, a mio modesto avviso, il contributo di Gerard Santucci, Capo dell’unità D4 “Networked Enterprise & Radio Frequency Identification (RFID)” della Commissione Europea – DG INFSO (Direzione Generale Information Society and Media), che ha illustrato ampiamente le questioni relative alla tecnologia RFID in stretta connessione con il paradigma Internet of Things.

Internet of Things: molto sinteticamente, ma non è certamente questa la sede più adeguata per descrivere il fenomeno, con questa espressione si fa riferimento ad uno dei nuovi paradigmi della rete Internet che è meglio conosciuto come Internet degli oggetti. Si tratta di una realtà virtuale, un ambiente – che ad avviso di molti già esiste – all’interno del quale assume un ruolo determinante la tecnologia RFID (Radio Frequency IDentificator). La tecnologia RFID funziona mediante microchip che trasmettono dati, a seconda di come vengono programmati da chi li realizza. Possono essere utilizzati per gli impieghi più vari, dalla catalogazione della merce di magazzino, alla sicurezza in genere, ecc. Il microchip, si è detto, trasmette delle informazioni che spesso vengono raccolte e gestite mediante la rete Internet. S’immagini ad un microchip che viene utilizzato per taggare (etichettare) un prodotto nel supermercato: in questo modo è possibile conoscere un qualsiasi momento quanti di quei prodotti ci sono, in quale scaffale fisicamente si trovano, ecc. L’interrogazione dei dati generati dai microchip RFID possono fornire una serie di informazioni su un determinato oggetto a seconda di come sia stato programmato il microchip RFID.

Approccio multidisciplinare: è sicuramente la soluzione vincente, tenuto conto che relativamente all’Internet of Things non esiste una specificità di competenze ma, al contrario, è necessario l’impegno di ciascun profilo professionale. Inoltre, l’interesse coinvolge diversi stakeholders, ovvero imprenditori, consumatori, associazioni, professionisti, organismi, ecc. Personalmente, ritengo che questo tipo di approccio alle tematiche dell’IoT sia ottimale, sempre che conduca ad uno scambio reciproco delle singole informazioni prodotte da ciascun professionista e/o stakholder con finalità di sviluppo del paradigma IoT.

Profili giuridici: il paradigma IoT non è esente dalla normativa sulla privacy. Il punto di partenza va individuato negli effetti sui dati personali che derivano dalla connessione tra un oggetto ed una persona. In particolare, al di là delle prescrizioni normative sulla informativa, l’utilizzo della tecnologia (che può essere RFID o altra) deve garantire l’assoluta sicurezza dei dati personali trattati specialmente qualora per il trattamento di tali dati sia impiegata la rete Internet. La dimostrazione dei principali rischi connessi con il paradigma IoT e con la tecnologia RFID può essere rappresentato graficamente con una matrice tridimensionale (utilizzata per l’intervento all’evento in questione). Al di là della privacy, evidentemente possono sussistere profili di responsabilità con riguardo agli aspetti in tema di sicurezza in generale (safety and security).

Microsoft blog event

Lunedì scorso si è tenuto il blog event organizzato da Microsoft presso la sede di Segrate. Accoglienza ottima così come l’organizzazione.

L’evento è stato introdotto da un intervento dell’amministratore delegato di Microsoft Italia, Pietro Scott Jovane, il quale ha delineato molto sommariamente l’attività compiuta dall’azienda nell’ultimo anno di attività. Le tematiche con le quali la Microsoft ha dovuto cimentarsi sono state molte, sia sul piano del marketing sia su quello puramente tecnico e tecnologico.

Al termine di questa breve ma chiara esposizione sono state illustrate alcune novità, tra cui spicca quella di Windows 7 che verrà alla luce privo di Internet Explorer. Difatti, la Microsoft – alla luce delle accuse di concorrenza sleale – ha deciso di vendere il futuro Windows 7 privo del browser Explorer. Ciò avrà delle conseguenze sul piano operativo: infatti, chi deciderà di aggiornare il proprio sistema, non potrà beneficiare – come in passato – dell’upgrade automatico, poiché sarà necessario installare Windows 7 ex novo. Alla Microsoft spiegavano che si tratta di una conseguenza tecnica connessa, poiché da questa versione di Windows il browser non sarà più parte integrante del sistema operativo. L’utente sarà libero in questo modo di utilizzare il browser che vorrà. Questa situazione potrebbe lasciare spazio ai commenti di qualche maldicente secondo cui il produttore del SO non ha voluto assumere responsabilità in ordine agli aspetti di privacy connessi con l’accesso alla rete Internet. Bene, Pietro Scott Jovane ha adeguatamente chiarito che la soluzione di escludere Explorer dal Windows 7 costituisce una scelta responsabile finalizzata ad attendere la definizione delle vicende UE.

La piacevole conversazione ha toccato altri punti quali il mercato dei netbook e quello delle consolle e del mobile.

La Microsoft ha registrato una evoluzione nel settore delle consolle con la Xbox rispetto alla concorrenza, collocandosi in una buona posizione nel mercato, anche alla luce delle potenzialità del device che permette di acquistare film che saranno scaricati in locale.

Hanno fatto seguito dei workshop per illustrare le novità in casa Microsoft, tra cui il nuovo motore di ricerca Bing.

Complessivamente si è trattata di una esperienza sicuramente positiva anche per le conoscenze fatte in loco.

La PEC: un falso problema digitale

Come solitamente accade, l’attenzione dei più è rivolta alle novità. In questi giorni il Decreto del Presidente del Consigli dei Ministri del 6 maggio sulla PEC ha avuto una eco rilevante su Internet. Difatti, non per ricambiare la cortesia di una citazione, ma illustri giuristi ne hanno parlato ed il mio riferimento – tra i più – va ad Ernesto Belisario, a Guido Scorza e a Marco Scialdone.

Tutto ciò mi induce, ancora una volta, a dover sottolineare che la PEC in sé costituisce un falso problema nel mondo digitale e, al contempo, un strumento al quale si è voluto attribuire effetti risolutori in ordine alla “certezza” delle comunicazioni oggetto di scambio. Effettivamente, l’evoluzione digitale e tecnologica ha suscitato spunti di riflessione – soprattutto tra i giuristi – in ordine agli aspetti sostanziali e probatori correlati con lo scambio di informazioni tra due o più soggetti. In sostanza, in termini di astratta semplificazione, il busillis consiste nel verificare se è possibile esprimere una valutazione di rilevanza secondo il nostro ordinamento giuridico riguardo ai messaggi che vengono trasmessi mediante la posta elettronica. È di palmare evidenza, quindi, che la posta elettronica costituisce il mezzo attraverso il quale si “comunica”. Il “comunicato”, ossia l’oggetto della comunicazione, è ciò che viene trasmesso da uno o più soggetti ad uno o altri: il messaggio in sé.

Ciò posto, il legislatore ha ritenuto di inventare, di creare un sistema di comunicazione molto simile alla posta elettronica ed ha coniato la PEC. Non mi dilungo sulla PEC e sul suo modus operandi.

A mio avviso, ciò ha spostato i termini del problema dal contenuto al “sistema di trasmissione” del contenuto. Si è tentato da anni di attribuire rilevanza giuridica al “sistema di trasmissione”; in realtà si era alla ricerca di una soluzione per normare il sistema di trasmissione ed attribuire rilevanza giuridica, ossia effetti giuridici, all’invio e alla ricezione dei relativi messaggi. Non si è pensato al contenuto (che con la PEC viene imbustato) ma alla prova dell’invio e della ricezione. La questione, pertanto, non è da valutare in termini di rilievo sostanziale del contenuto, ma unicamente di natura probatoria con ogni evidente conseguenza. Su questi presupposti, sorge spontaneo chiedersi se era proprio necessario ricorrere alla PEC, nell’ottica illusoria di aver individuato il sistema solutorio delle comunicazioni elettroniche, ovvero se non fosse stato più semplice avvalersi – come avviene nel resto del mondo – della attuale tecnologia per dimostrare che un determinato messaggio sia stato inviato da Tizio e ricevuto da Caio.

Pertanto, a mio modesto parere, non si tratta tanto di una questione connessa con la necessità di documentare (attribuendo rilevanza probatoria) la comunicazione di una informazione (in questo caso digitale), bensì quella di attribuire rilevanza sostanziale e probatoria al contenuto della comunicazione, ossia avere la certezza che determinati “dati” (per utilizzare il linguaggio tecnico) possano essere univocamente imputati ad un soggetto.

Soltanto attraverso questa impostazione metodologica è possibile capire che tutte le argomentazioni pro o contra PEC costituiscono un falso problema.

Il Parlamento europeo su Internet, libertà di espressione e privacy

27 marzo 2009

Approvando con 481 voti favorevoli, 25 contrari e 21 astensioni la relazione di Stavros LAMBRINIDIS (PSE, EL), il Parlamento rileva che Internet «dà pieno significato alla definizione di libertà di espressione» sancita dalla Carta dei diritti fondamentali dell’Unione europea e «può rappresentare una straordinaria opportunità per rafforzare la cittadinanza attiva». Tuttavia, osserva che la libertà di espressione e la privacy su Internet possono essere esposte «a intrusioni e limitazioni da parte di soggetti privati e pubblici» e che il web può anche essere utilizzato per incitare al terrorismo e commettere cybercrimini. Chiede quindi di combattere questi fenomeni «con efficacia e determinazione», ma sottolinea che il diritto che gli Stati membri si arrogano di intercettare e controllare il traffico su Internet «non può essere giustificato dalla lotta al crimine». Rileva inoltre che l’accesso a Internet «non dovrebbe essere rifiutato come sanzione dai governi o dalle società private». A tal fine formula una serie di raccomandazioni al Consiglio.

Si tratta di una parte del comunicato stampa diramato ieri dal Parlamento Europeo. Il dato importante riguarda le affermazioni di principio su Internet  e sulla correlata libertà di espressione.

In particolare, sulla libertà di espressione viene illustrata la seguente posizione:

Gli Stati membri sono chiamati a garantire che la libertà di espressione «non sia soggetta a restrizioni arbitrarie da parte della sfera pubblica e/o privata», e a «evitare tutte le misure legislative o amministrative che possono avere un effetto dissuasivo su ogni aspetto della libertà di espressione». Il Parlamento chiede al Consiglio di condannare la censura imposta dai governi al contenuto che può essere ricercato sui siti Internet, «soprattutto quando tali restrizioni possono avere un effetto dissuasivo sul discorso politico». Dovrebbe inoltre garantire che l’espressione di convinzioni politiche controverse su Internet «non sia perseguita penalmente». Inoltre, dovrebbe assicurare che nessuna legge o prassi possa limitare o criminalizzare «il diritto dei giornalisti e dei media di raccogliere e distribuire informazioni a scopo di cronaca».

Inoltre sulla privacy, si dice:

Il Consiglio dovrebbe anche esaminare e fissare dei limiti al “consenso” che può essere richiesto e estorto agli utilizzatori, sia da parte di governi che di società private, a rinunciare a parte della loro privacy. … Gli Stati membri dovrebbero inoltre garantire il diritto dei cittadini di accedere ai propri dati personali e, se del caso, di ritirarli dal web. Infine, il Consiglio dovrebbe invitare Stati membri e Commissione a prendere l’iniziativa per la definizione di norme internazionali per la protezione dei dati personali, la sicurezza e la libertà di espressione su Internet. E’ anche invitato a esortare tutti gli attori interessati a impegnarsi nel processo in corso della “Carta dei diritti di Internet”.

L’argomento del furto d’identità, già oggetto di una interrogazione nel mese di novembre del 2008 che ha ottenuto risposta il 5/1/2009, è di primaria rilevanza tanto che si afferma:

La truffa e l’usurpazione d’identità sono un problema che autorità, cittadini e imprese iniziano a riconoscere. Il Consiglio dovrebbe quindi considerare che “l’identità digitale” «merita di essere adeguatamente ed efficacemente protetta da intrusioni di operatori pubblici e privati». Dovrebbe quindi invitare la Presidenza e la Commissione a esaminare e sviluppare una strategia globale di lotta contro la “cybercriminalità”, compresi i modi di affrontare la questione del “furto d’identità” e frode a livello europeo, in collaborazione con i fornitori di Internet, le organizzazioni degli utenti e le autorità di polizia competenti per settore.

Infine, per quanto riguarda i bambini, viene dichiarato:

Il Parlamento chiede al Consiglio di promuovere programmi volti a proteggere i bambini e a educare i genitori, e fornire uno studio d’impatto sull’efficacia di quelli esistenti, tenendo conto in particolare dei giochi online che hanno come principali destinatari i bambini e i giovani.

Sulla sicurezza per i minori è già attivo il Safer Internet Program Plus (http://www.easy4.it è il nodo italiano di sensibilizzazione) tra le cui finalità esiste, tra le altre, anche quella di diffondere la corretta cultura della rete nternet a genitori e docenti. Peraltro, proprio in questi giorni a Berlino (precisamente il 3 aprile) si terrà la conferenza finale del progetto YPRT (Youth Protection Round Table) che ha approfondito le tematiche della sicurezza per i minori in Internet producendo due documenti che saranno resi pubblici in occasione della predetta cerimonia. Parteciperò alla cerimonia del 3 aprile per conto dell’ADICONSUM che ha svolto un ruolo importante nelle fasi progettuali avanzando proposte e sottoponendo questioni attinenti alla sicurezza ed all’uso di Internet da parte dei minori. Scriverò un post ad hoc dopo l’evento.