loader image
Rimborso Accise sull’Energia Elettrica: illegittime nel biennio 2010-2011

Rimborso Accise sull’Energia Elettrica: illegittime nel biennio 2010-2011

Perché le Accise sull’Energia Elettrica sono illegittime?

Il Giudice di Pace di Forlì ha accolto integralmente la richiesta da noi presentata ed ha dichiarato l’illegittimità delle Accise sull’Energia Elettrica applicate dal fornitore tra Gennaio 2010 e Dicembre 2011 ad un’azienda cliente del nostro Studio Legale (qui puoi scaricare la sentenza).

Pertanto, il fornitore medesimo è stato condannato a restituire ogni somma all’epoca indebitamente incassata a tale titolo.

Confermando la bontà della tesi avanzata dal nostro Studio Legale (fondata sui principi enunciati in due recentissime sentenze della Corte di Cassazione – Cass. Civ. sez. trib., 23/10/2019, n.27099 e n.27101 – nonché sulla normativa comunitaria), nel caso di specie il giudice ha deciso per la disapplicazione dell’art. 6 comma 2 del DL 511/1988 riconoscendo così il diritto della società attrice al Rimborso Accise sull’Energia Elettrica, ricevendo le somme contenute illegittimamente nelle bollette relative al biennio 2010-2011.

La sentenza è di assoluto rilievo in quanto rappresenta una tra le prime pronunce di merito che applica i principi della Corte di Cassazione, risultando pertanto una solida base su cui fondare richieste di rimborso di ogni somma versata e non dovuta al fornitore dell’energia elettrica.

Le motivazioni della Sentenza, infatti, non lasciano adito a dubbi: «va disapplicata, per contrasto con il diritto dell’Unione Europea, la disciplina interna di cui all’art. 6, comma 2, del d.l. n. 511 del 1988, avente come finalità una mera esigenza di bilancio degli enti locali».

In questo senso non sono rispettati i canoni di specificità richiesti dalla normativa comunitaria, attesa la decisione precedente della Corte di Giustizia UE che aveva qualificato come generica la finalità di bilancio.

studio legale baldrati strinati sentenza rimborso accise energia elettrica

 

Come ottenere il Rimborso Accise sull’Energia Elettrica

Tornando al tema concreto della richiesta di Rimborso Accise sull’Energia Elettrica, è bene ricordare che, secondo le prime stime fatte, per l’anno 2010 e 2011 le imprese avrebbero versato ai loro fornitori di energia elettrica, in ogni bolletta e per ogni utenza aperta, una somma non dovuta oscillante tra i 0,0093 €/kWh e i 0,0114 €/kWh (ossia circa 10 €/MWh) a seconda della Provincia di appartenenza.

Anche se apparentemente tale cifra può sembrare irrisoria, è necessario tuttavia considerare che l’addizionale in questione è stata applicata sui consumi fino a 200.000 KWh/mese. Ciò significa che molte aziende posso aver corrisposto senza saperlo una somma non dovuta per ciascuna utenza attiva anche superiore a € 25.000 all’anno.

Somme, quelle versate, che dovranno essere interamente restituite, anche alla luce della Sentenza del Giudice di Pace di Forlì che ad oggi fa certamente giurisprudenza.

Attenzione: la richiesta di Rimborso Accise sull’Energia Elettrica in favore dell’utente si prescriverà seguendo il termine ordinario contrattuale, ossia dopo 10 anni a partire dalla data in cui il versamento delle somme è divenuto indebito (anno 2011).

L’invito, quindi, è quello di agire tempestivamente inviando apposita richiesta di Rimborso Accise sull’Energia Elettrica al fornitore del servizio ed impedire che il diritto alla restituzione delle somme si prescriva.

In caso di mancato riscontro, si potrà agire giudizialmente chiedendo al Giudice competente la condanna del fornitore al versamento immediato della somma dovuta.

 

Vuoi sapere se la tua azienda è idonea a ricevere il Rimborso Accise sull’Energia Elettrica?

Con l’esperienza acquisita nel corso del giudizio conclusosi positivamente, abbiamo gli strumenti per seguire il Cliente nella preparazione e attivazione della fase giudiziale, nel rispetto dei termini prescrizionali di cui occorre tenere conto per il calcolo corretto della richiesta di rimborso.

Se vuoi sapere se la tua azienda è idonea a ricevere il rimborso sulle Rimborso Accise sull’Energia Elettrica contattaci per una consulenza.

Licenze Creative Commons: come proteggere legalmente un’idea su Internet?

Licenze Creative Commons: come proteggere legalmente un’idea su Internet?

Licenze Creative Commons: ecco come proteggere la proprietà intellettuale e la creatività nell’era di Internet e della condivisione delle idee

Nell’era di Internet il processo creativo si alimenta grazie alla condivisione delle idee. I Social Network ne sono l’esempio più concreto.

Quindi come proteggere la proprietà intellettuale e come proteggere legalmente un’idea senza interrompere questo flusso di condivisione che, in molti casi, è fonte di guadagno per chi lo ha generato?

La risposta risiede in un nuovo paradigma del diritto d’autore, che ribalta gli schemi su cui sono da sempre fondate le normative del settore. Si parla al riguardo di “Permesso d’autore” o “Copyleft”, proprio per sottolineare il superamento del vecchio concetto di “Copyright”, non più adatto all’era di internet.

L’espressione Copyleft è ormai associata alle licenze “Creative Commons”, ideate dall’organizzazione statunitense “Creative Commons Foundation”.

L’obiettivo è di predisporre licenze d’uso simili a quelle già utilizzate nel campo delle licenze del software libero, allineandosi così ai principi base del web da sempre fondato sulla libera circolazione di idee.

 

Licenze Creative Commons: come funzionano?

Le Licenze Creative Commons rappresentano un ibrido fra due mondi opposti: quello del diritto d’autore e del pubblico dominio, entrambi inadatti, per ragioni diverse, a gestire la proprietà intellettuale nell’era di internet.

Da un parte il diritto d’autore, con le sue norme restrittive che prevedono poche ipotesi di fair use, intese come circostanze in cui un’opera, sia pure soggetta a copyright, possa essere riprodotta sulla base di particolare cause di giustificazione (esempio: uso didattico).

Dall’altro, il pubblico dominio, limitante di per sé perché generalmente connesso ad opere del passato, ma in ogni caso non tutelante per il creatore dell’opera o del contenuto che ne perde interamente il controllo.

Le Licenze Creative Commons si pongono in mezzo a questi due mondi: con esse l’autore decide di rinunciare volontariamente alla parte patrimoniale del copyright (quindi al compenso derivante direttamente da questa rinuncia), e allo stesso tempo mette a disposizione della collettività la sua opera fissando però alcune condizioni del suo utilizzo.

Sono proprio queste condizioni che vanno a comporre le Licenze Creative Commons in una serie di clausole, creando una struttura modulare adattabile alle specifiche esigenze.

 

licenze creative commons

 

 

Licenze Creative Commons: quali sono le sue clausole?

Nello specifico le clausole delle Licenze Creative Commons sono 4, di cui una necessaria (quindi sempre presente) e le altre 3 facoltative in relazioni a quali sono le restrizioni scelte dal licenziante.

  • CLAUSOLA DI ATTRIBUZIONE (sigla “BY”): è, come detto, la clausola necessaria che consiste nell’obbligo, per chi riproduce l’opera, di “riconoscere una menzione di paternità adeguata”. In linea generale andrà citato il nome dell’autore e il titolo dell’Opera, se indicato. Inoltre, sarà onere di chi utilizza l’opera non lasciare intendere che vi sia un qualche avallo dell’autore all’uso a cui si sta destinando l’opera. Quest’obbligo è comprensibile se si pensa al concetto stesso di Copyleft: l’autore non ha più il pieno controllo sull’uso che verrà fatto dell’opera, che potrebbe essere ad esempio accostata a prodotti e servizi non conformi alla sua sensibilità o al suo gusto.

 

  • CLAUSOLA NON COMMERCIALE (sigla “NC”): è la prima clausola facoltativa, che permette il riutilizzo dell’opera a condizione che ciò non avvenga per fini di lucro. Quindi non sarà concesso l’utilizzo di una foto con clausola NC all’interno della copertina di un libro venduto su un marketplace. Esiste però una eccezione per le opere musicali, laddove però si ottenga il consenso dell’autore e si proceda con il pagamento di un compenso. Una fattispecie che evidentemente richiama i canoni classici del Copyright.

 

  • CLAUSOLA “SHARE ALIKE” (sigla “SA”): traducibile con l’espressione “Condividi allo stesso modo” per cui se si modifica o trasforma il materiale, il nuovo contributo dovrà essere distribuito con la stessa Licenza Creative Commons dell’opera originaria. Si dovrà poi fare esplicita menzione delle modifiche effettuate. Per esempio in caso di traduzione si dovrebbe apporre la dicitura “questa è la traduzione in Inglese dell’Opera Originaria”.

 

  • CLAUSOLA “NON OPERE DERIVATE” (sigla “ND”): in questo caso non sono ammesse modifiche: l’opera dovrà essere sempre distribuita nella sua forma originale e sono vietate restrizioni aggiuntive come nuovi vincoli giuridici o misure tecnologiche che hanno l’effetto di generare altrettanti vincoli giuridici. Per ovvi motivi questa clausola è incompatibile con quella precedente.

 

 

Licenze Creative Commons e “Copyleft” personalizzato

Sarà quindi importante comporre attentamente la Licenza Creative Commons, scegliendo le clausole più adatte allo scopo di condivisione e distribuzione che vogliamo perseguire con la concessione d’uso delle nostre opere.

A tal fine, lo Studio Legale è in grado di seguire e consigliare il cliente nella selezione delle clausole, con l’importante precisazione che le Licenze Creative Commons non rappresentano l’unico Copyleft possibile.

L’autore infatti è libero di creare un “Copyleft” personalizzato, a patto che i termini per la licenza d’uso delle opere siano trascritte all’interno del sito web o della piattaforma digitale in cui le stesse opere sono diffuse, così da rendere informati gli utenti sulle loro condizioni di utilizzo.

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Introduzione al nuovo Regolamento Europeo sull’Intelligenza Artificiale

Con la recente proposta del Regolamento Europeo sull’Intelligenza Artificiale, l’Unione Europea mette ancora una volta al centro la valutazione dei rischi come procedura necessaria per comprendere l’impatto che avranno i sistemi di Intelligenza Artificiale su tre fronti: salute, sicurezza e diritti fondamentali.

In questo articolo cercheremo di capire quali sono i principali rischi connessi all’uso dei sistemi di Intelligenza Artificiale; rischi che, come richiesto dalla recente normativa europea, dovranno essere valutati, a vario titolo e responsabilità, da chi progetta, distribuisce e utilizza tali sistemi IA, mediante una valutazione di conformità.

Introduciamo quindi alcuni dei rischi principali che possono compromettere la correttezza e l’equità delle decisioni algoritmiche.

piramide del risk based approach gdpr

 

Regolamento Europeo sull’Intelligenza Artificiale: valutare le vulnerabilità operative e i rischi cyber

Oltre a guasti meramente tecnici, una decisione errata dell’algoritmo può essere il frutto di una violazione di sicurezza informatica.

Il Data Poisoning (inquinamento dei dati) è un esempio di violazione, tra le più frequenti e temute, perché in grado di compromettere l’accuratezza di un sistema di machine learning, producendo output distorti o alterati per mano di hacker esperti del settore.

La diffusione di questa tecnologia dipenderà in gran parte dalla fiducia che saprà generare tra gli utenti finali: diventa quindi centrale dotarsi di sistemi IA affidabili e resilienti.

 

Algoritmi di Intelligenza Artificiale: rischio di bias e di decisioni inique

Partiamo da una premessa, che spesso viene tralasciata. Gli algoritmi sono modelli statistici e come tali si affidano al concetto di probabilità. Se a ciò aggiungiamo l’enorme mole di decisioni che gli algoritmi, grazie alle odierne capacità computazionali, sono in grado di elaborare, si può intuire la ragione per cui alcune di queste decisioni siano – inevitabilmente – errate.

Fra le cause di questi errori si annoverano i cosiddetti bias, intesi come pregiudizi o stereotipi che l’algoritmo “impara” nella fase di addestramento (training).

I dati, ancora una volta, giocano un ruolo chiave. In molti casi, infatti, gli algoritmi identificano patterns o correlazioni tra i dati di training senza l’ausilio dell’uomo e, anzi, identificano correlazioni che non avremmo mai potuto immaginare.

In seguito, usano quell’informazione per generare predizioni o creare categorie (cosiddetti Cluster). E in questo esercizio continuo diretto alla creazione di categorie, cluster e gruppi si annida, per ovvie ragioni, il rischio di generare discriminazioni e stereotipi.

Dunque, è chiaro che l’accuracy di un algoritmo, cioè la capacità di fare predizioni corrette (sia in termini di percentuale di errori, sia in termini di equità sotto il profilo etico), dipende proprio dalla qualità e quantità dei dati di training.

Questo significa che ogni sistema di Intelligenza Artificiale riflette le eventuali limitazioni dei dati utilizzati. È quindi fondamentale affidarsi a Data Set rappresentativi per il tipo di azione o decisione che intendiamo demandare all’algoritmo.

Fin dall’inizio occorre quindi pensare a come migliorare il set di dati a disposizione, progettare il modello tenendo conto di eventuali lacune (cosiddetto Data Gaps), e alla luce delle lacune riscontrate, limitare il raggio d’azione e le modalità di utilizzo del sistema d’Intelligenza Artificiale.

Poniamo che un’azienda di dispositivi medici sviluppi un proprio sistema di Machine Learning utilizzando dati di training provenienti da strutture ospedaliere situate in grandi metropoli.

Una volta immesso sul mercato, quel sistema però viene utilizzato anche in ospedali di piccole città. A quel punto, è molto probabile che i dati medici inseriti dagli operatori sanitari presenti in quelle strutture siano diversi dai precedenti dati di training; perché, ad esempio, nelle piccole città vi può essere una maggiore concentrazione di pazienti appartenenti a determinate categorie sociali che presentano sintomi o patologie non comunemente osservate negli ospedali dei grandi centri urbani.

Queste disparità dovranno essere mitigate con una attenta fase di messa a punto dell’algoritmo (cosiddetto Fine Tuning); un altro tema su cui il Regolamento IA dimostra grande attenzione, perché rappresenta un tassello decisivo nella implementazione di Sistemi di Intelligenza Artificiale adeguati ed equi rispetto al contesto socio-economico in cui vengono utilizzati.

regolamento europeo intelligenza artificiale algoritmi

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati all’Aggiornamento Dinamico

Il rischio di bias o, in generale, di decisioni e output non corretti (come potrebbe essere l’errata diagnosi di un algoritmo deputato a identificare possibili tumori) è accentuato dalla capacità degli attuali algoritmi di aggiornarsi autonomamente, in relazione a nuovi input che riceve nel corso del suo utilizzo.

Sono dunque in grado di imparare da soli, senza l’intervento dell’uomo, assorbendo nuovi informazioni fino a cambiare la logica delle loro decisioni.

Si pensi ad un algoritmo di Machine Learning utilizzato in ambito di Trading. Se è stato allenato in un periodo di bassa volatilità del mercato e di crescita economica, potrebbe poi non essere performante laddove invece l’economia dovesse affrontare un periodo di pandemia e di forte recessione, come quello che stiamo vivendo.

Si parla, al riguardo, di rischio legato all’aggiornamento dinamico; un aspetto davvero complicato da prevedere e monitorare, soprattutto quando il cambiamento è inatteso o repentino (come appunto una crisi economica mai verificatasi prima nella sua entità o nelle sue logiche).

Di fronte a questi nuovi input, diversi da quelli forniti in fase di training, quale potrebbe essere la reazione dell’algoritmo? Quali potranno essere le sue decisioni?

È inoltre probabile che la logica possa cambiare proprio in ragione di quello che l’algoritmo ha imparato in seguito all’acquisizione di nuove e inedite informazioni. Ma a quel punto sapremo ancora spiegare la logica dell’algoritmo o questa sfuggirà al nostro controllo? E così arriviamo al prossimo rischio.

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati alla spiegabilità dell’algoritmo e la mancanza di trasparenza

La spiegabilità dell’algoritmo è un elemento imprescindibile, già richiesto dalla Normativa Europea sulla Privacy (GDPR, art. 22), che deve essere affrontata su 2 livelli:

  • Spiegabilità dell’algoritmo generale: lo sforzo è quello di offrire una panoramica generale sulle logiche di funzionamento dell’algoritmo. La grande sfida sarà quella di raggiungere un equilibrio tra comunicazione esterna delle logiche dell’Intelligenza Artificiale e di protezione interna dei segreti commerciali. Ma le aziende non potranno nascondersi dietro lo scudo della proprietà intellettuale o industriale per non adempiere a questo requisito.
  • Spiegabilità dell’algoritmo locale: intesa come capacità di spiegare ogni singola decisione dell’Intelligenza Artificiale (input-output). Dal concetto di spiegabilità dell’algoritmo discendono principi di democrazia fondamentali, fra tutti quello della trasparenza. Ogni cittadino ha il diritto di conoscere le ragioni di una decisione automatizzata e deve essere messo nelle condizioni ottimali per farli. Solo così avrà i mezzi per difendersi ed eventualmente proporre un reclamo.

regolamento europeo intelligenza artificiale algoritmi e robot

 

Aggiornamento Dinamico dell’Algoritmo: e se la valutazione del rischio è obsoleta?

L’aggiornamento dinamico di cui abbiamo parlato in precedenza conduce ad un nuovo e possibile rischio: che il Risk Assessment effettuato un anno fa o, anche solo, qualche mese prima non sia più affidabile perché non tiene conto delle nuove informazioni apprese dall’algoritmo, o di nuovi patterns o correlazioni che l’algoritmo utilizza per adottare le sue decisioni.

Non a caso la recente proposta di Regolamento Europeo sull’Intelligenza Artificiale si sofferma a lungo sul concetto di monitoraggio ex post dei sistemi IA, per valutarne la performance anche in una fase successiva alla loro immissione sul mercato.

Diversamente, avremo una valutazione del rischio non aggiornata e sostanzialmente inutile: di fatto senza conoscere il rischio attuale ed effettivo, non avremo a disposizione gli elementi valutativi necessari per adottare le più adeguate misure tecniche e organizzative rispetto al caso specifico.

 

Il rischio nella filiera dell’Intelligenza Artificiale

La complessità degli algoritmi di Machine Learning rende altrettanto complessa l’individuazione dell’agente responsabile in caso di decisioni errate o di guasti “tecnici”.

Spesso non è chiaro cosa abbia determinato l’errore, e dunque se debba risponderne lo sviluppatore, un suo partner, il distributore oppure l’utente finale che, magari, non ha seguito le istruzioni prescritte da chi ha progettato il sistema.

Gli errori potrebbero poi essere causati da un problema interno al modello algoritmico, oppure connesso ai dati forniti dall’utente nel corso del suo utilizzo o, ancora, ai dati raccolti e utilizzati nella fase di training, che a sua volta potrebbero provenire da fornitori di terze parti.

La natura probabilistica dei sistemi di Machine Learning e i cambiamenti a cui essi sono soggetti nel corso del tempo, rende ancora più difficile attribuire la responsabilità ad un singolo agente. Tanto è vero che errori e decisioni inique possono verificarsi anche in assenza di una condotta negligente, perché semplicemente esiste la possibilità che si verifichi una decisione inesatta.

Dunque, il concetto di responsabilità civile e penale in ambito di Intelligenza Artificiale sarà complesso da elaborare e dovrà necessariamente essere un concetto “fluido”, capace di adattarsi alle novità tecnologiche. Il contesto medico è un esempio dell’impatto che avranno su questo fronte i Sistemi IA, che già oggi formulano diagnosi senza il coinvolgimento – o con un coinvolgimento solo parziale – dei medici.

Come è stato giustamente sottolineato in un recente articolo apparso sulla nota rivista “Harvard Business Review”, cosa accadrà nell’ipotesi in cui un algoritmo di Machine Learning consigli un trattamento non standard ad un paziente (come un dosaggio maggiore di farmaci)? La normativa evolverà nel senso di ritenere responsabile il medico per qualsiasi danno che dovesse concretizzarsi qualora non seguisse la raccomandazione del sistema IA?

Se così fosse, il rischio di responsabilità si sposterebbe, a seconda dei casi, dal medico a chi sviluppa i dispositivi medici o a chi è deputato alla loro installazione o distribuzione.

Ed è questo l’orientamento a cui sembra tendere il Regolamento Europeo sull’Intelligenza Artificiale, volto ad istituire un approccio di self-assessment per i soggetti coinvolti a vario titolo nella realizzazione e distribuzione di questi sistemi. Dunque tutto passa da una auto-valutazione dei rischi che avrà forti ricadute sul tema della responsabilità.

 

Verso il Regolamento Europeo sull’Intelligenza Artificiale

La proposta di Regolamento Europeo IA è già una realtà, nel senso che la strada è ormai tracciata.

Le aziende che progettano o utilizzano sistemi IA dovrebbero già implementare i principi di quel Regolamento, facendosi affiancare da professionisti qualificati per comprenderne i suoi requisiti, in particolare con riguardo ai sistemi ad alto rischio (nel video di seguito trovate una nostra analisi al riguardo).

La ragione è semplice: i principi dettati dall’Unione Europea stanno già facendo scuola e saranno lo standard futuro. Ogni nuova proposta regolatoria sembra infatti andare nella direzione imposta dall’UE, all’insegna della auto-regolamentazione e di un approccio basato sul rischio.

La stessa Federal Trade Commission (FTC), l’agenzia governativa statunitense a tutela dei consumatori e del mercato, ha da poco pubblicato le linee guida per una IA più equa, definendo il discrimine tra una intelligenza artificiale “buona” e un’altra per così dire “cattiva”, che genera più danni che benefici.

In quella sede sono stati ribaditi concetti chiave, già presenti nel Regolamento Europeo sull’Intelligenza Artificiale, come quello di trasparenza, da integrare programmando audit di organi indipendenti o fornendo accesso ai dati o al codice a favore di soggetti esterni.

 

Farsi trovare pronti con il Regolamento Europeo sull’Intelligenza Artificiale

L’Intelligenza Artificiale ha un potenziale enorme, ma i rischi connessi al suo utilizzo aumenteranno di pari passo alla sua diffusione. Per le aziende, mitigare questi rischi diventa importante tanto quanto gestirne la sua adozione all’interno dei processi produttivi.

Il trend normativo è infatti molto chiaro e non lascia spazio a dubbi: la valutazione del rischio è già ora un requisito fondamentale e sarà il caposaldo di ogni conformità normativa in ambito di intelligenza artificiale.

Il nostro Studio Legale ha acquisito una forte competenza in questo settore, elaborando una propria metodologia che tiene conto dei rischi specifici rispetto al singolo sistema di Intelligenza Culturale. Per essere pronti e competitivi in questo mercato, occorre partire da una valutazione dei rischi completa, in grado di offrire soluzioni concrete per mitigarli. Solo così avremo sistemi IA equi, affidabili e resilienti, capaci di creare fiducia tra gli utenti.

Attacchi a Doppia Estorsione: ecco i nuovi Virus Ransomware

Attacchi a Doppia Estorsione: ecco i nuovi Virus Ransomware

Virus Ransomware: gli Attacchi a Doppia Estorsione

Le minacce di cyber security sono in continua evoluzione e questo obbliga le aziende ad un continuo monitoraggio e aggiornamento dei propri sistemi di difesa.

Nell’ultimo periodo si sta assistendo alla crescita esponenziale di un nuovo fenomeno di virus informatici: quello degli Attacchi Ransomware a Doppia Estorsione.

 

 

Intervista a Luca Mella su gli Attacchi a Doppia Estorsione

Per approfondire il tema, di assoluta attualità, abbiamo interpellato il Dott. Luca Mella, esperto di information security e creatore della piattaforma doubleextortion.com con cui monitora l’andamento di questo fenomeno anche per sensibilizzare aziende e opinione pubblica.

 

attacco ransomware doppia estorsione double extortion luca mella

 

 

Dott. Mella, nella sfera dei Virus Ransomware, ci potrebbe definire il fenomeno della Doppia Estorsione? In cosa consiste e qual è la sua specificità?

Ad oggi il fenomeno della Doppia Estorsione – o Double Extortion – è uno dei principali fattori di rischio cibernetico per le aziende.

Si tratta di una estorsione digitale, un atto criminale portato a termine da organizzazioni criminali strutturate, in molti casi vere e proprie enterprise del cyber crimine.

Le Doppie Estorsioni sono un tipo di attacco cibernetico complesso e quando colpiscono mettono in crisi l’azienda su due versanti:

  1. distruggendo i dati o cifrandoli con Ransomware (rendendoli quindi di fatto inutilizzabili);
  2. rubando ogni tipo di dato dall’azienda, dalle informazioni sui clienti a quelle sui dipendenti, fino ai segreti industriali.

L’obiettivo di questi attacchi è spesso monetario: chi attacca vuole ottenere profitto in ogni modo possibile. Attraverso il progetto doubleextortion.com tengo traccia dei principali attacchi a Doppia Estorsione e lo scenario è molto preoccupante: è un problema enorme sia per le grandi aziende sia per le PMI di appena 20 dipendenti.

 

 

Quali sono i possibili impatti negativi degli Attacchi a Doppia Estorisione sull’operatività di un’azienda?

Gli impatti sull’azienda sono molto più che operativi. Certo l’operatività è il primo problema imminente che l’azienda si trova ad affrontare. Dopo un attacco di questo tipo gran parte dei sistemi non sono funzionanti, le fatturazioni e gli ordini sono fermi, l’erogazione dei servizi o della produzione è bloccata.

È molto facile immaginare quali siano i costi diretti in questo senso. Molte aziende però non immaginano quali altri effetti possano scaturire.

Oggi le nuove Regolamentazioni Privacy impongono livelli di protezione e reazione alla minaccia che siano adeguate alla tipologia di dati personali trattati. Le ispezioni del Garante Privacy sono una conseguenza reale (e prevista dallo stesso GDPR), alla pari dei suoi provvedimenti; dunque la mancanza di documentazione, analisi dell’accaduto, azioni di risposta e notifiche agli interessati sono fattori decisivi per evitare pesanti sanzioni.

Ancor più complicata è la situazione per le aziende che collaborano in contesti con Pubbliche Amministrazioni o all’interno di ecosistemi aziendali complessi, di Holding internazionali o Gruppi Industriali. Anche se l’azienda colpita è relativamente piccola, ci sono fortissime pressioni da parte delle società controllanti ed in queste situazioni, la logica della “polvere sotto il tappeto”, cioè di nascondere eventuali violazioni di sicurezza, può avere effetti disastrosi nei rapporti fiduciari creatisi nell’arco di anni o decenni.

hacker e attacchi a doppia estorsione virus ransomware

 

Quali sono i trend in atto o quelli futuri in ambito di Double Extortion?

Il modello di business dietro gli Attacchi a Doppia Estorsione funziona. I gruppi criminali lo hanno capito bene e l’intensità degli attacchi aumenta con costanza. Tuttavia, il fenomeno non è affatto statico.

Diversi gruppi criminali stanno sperimentando ulteriori evoluzioni, vere e proprie pratiche nocive per aumentare il danno e la pressione sulle vittime.

Ad esempio uniscono il furto di dati personali ad attacchi a Doppia Estorsione in grado di oscurare i siti web pubblici aziendali, così da rendere evidente a tutti che è in corso una violazione dei sistemi.

Altri gruppi invece prendono contatti con la stampa locale per attivare una campagna del “fango” nei confronti dell’azienda colpita. Una situazione molto complessa che mette sotto pressione i vertici aziendali e richiede sangue freddo e preparazione nella comunicazione, pena effetti sul brand e sulla fiducia da parte di clienti e fornitori.

Altri criminali – infine – contattano direttamente i clienti dell’organizzazione, per far sapere loro che i dati verranno pubblicati se l’azienda non collabora. In questo caso la pressione “viene dal basso”, cioè dalla propria base di clienti che può produrre decisioni aziendali affrettate perché prese di pancia, senza valutare gli effetti reali della violazione.

 

 

Virus Ransomware: come difendersi gli Attacchi a Doppia Estorsione?

Le minacce informatiche sono sempre più sofisticate e in continuo aumento. In questo precedente articolo avevamo già riportato il dato eclatante secondo cui nel 2020 erano state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni.

E il fenomeno della Doppia Estorsione si inserisce in questo contesto di criticità, che le aziende non possono più ignorare. Purtroppo, tutti i dati attuali ci suggeriscono che non è più questione di “se”, ma di “quando” l’azienda subirà un attacco informatico.

L’obiettivo è dunque quello di essere pronti, mitigando i rischi connessi ad una possibile violazione, grazie ad un sistema di gestione dei dati personali – e non – conforme alla Normativa Europea sulla Privacy e agli standard di sicurezza richiesta per la tipologia di informazioni che si possiedono.

Se sei interessato a conoscere il livello di protezione della tua azienda e desideri approfondire il tema, lo Studio Legale è a disposizione per un primo incontro conoscitivo allo scopo di capire qual è lo stato attuale e valutare tutte le misure tecniche e organizzative necessarie per raggiungere il livello di conformità richiesto dalle normative vigenti.

Attacco Ransomware: cosa fare per proteggere la tua azienda?

Attacco Ransomware: cosa fare per proteggere la tua azienda?

Attacco Ransomware: cos’è e cosa fare?

L’Attacco Ransomware è ormai diventata una minaccia costante alla sicurezza informatica delle aziende, con effetti sulla integrità dei dati critici in suo possesso: dalle email, ai dati di dipendenti o clienti, fino ai dati finanziari aziendali o di terzi.

Secondo un recente studio di Cybersecurity Ventures ogni 11 secondi un dipendente clicca su un link o apre un allegato di un’e-mail solo apparentemente innocua, mettendo invece in azione il ransomware e dando il via ad uno scenario catastrofico per l’organizzazione. Calcoli alla mano, significa che ogni giorno quasi 8.000 aziende in tutto il mondo sono colpite da questa minaccia.

È quindi fondamentale che le organizzazioni siano oggi in grado di rilevare e rispondere ad un attacco Ransomware per evitare gli impatti devastanti che lo stesso può avere sull’operatività aziendale.

Se volessimo partire dalla sua definizione, il Ransomware è un codice malevolo di crittografia (quindi un tipo di malware) che, una volta infettato un device o un server collegato ai sistemi informatici aziendali, ne blocca il loro accesso.

Successivamente, l’attaccante chiede un riscatto (Ransom) in cambio del codice che può ripristinare l’accesso ai sistemi.

È un attacco generalmente classificato in termini di violazione della disponibilità dei dati, in quanto gli stessi sono resi inaccessibili dal Ransomware, ma spesso potrebbe verificarsi anche una violazione della riservatezza, se i dati vengono esfiltrati, cioè esportati dall’attaccante e divulgati a terzi (qui potete trovare anche la definizione del NIST, una delle massime autorità del settore).

Ora analizziamo due scenari diversi in relazione ad un attacco Ransomware, tratti dalle recenti Linee Guida del Garante Privacy Europeo in tema di violazione dei dati, di cui abbiamo parlato anche in un articolo del nostro Blog.

 

 

Scenario 1: Attacco Ransomware ai server di un’azienda manifatturiera

I sistemi informatici di una piccola azienda manifatturiera sono stati esposti ad un attacco Ransomware che ha colpito i server principali.

I dati personali conservati nei server risultano protetti da algoritmi crittografici di ultima generazione e la chiave di decodifica (cosiddetta decryption key) non è stata compromessa durante l’attacco.

L’azienda è dotata di un sistema di file Log in grado di tracciare tutti i flussi di dati in uscita che le permette, nelle ore successive al Data Breach, di appurare con certezza che l’attaccante non è riuscito ad esfiltrare alcun dato.

Inoltre, l’accessibilità ai dati viene immediatamente ripristinata grazie alla presenza di un backup che limita qualsiasi danno all’operatività aziendale.

 

 

Attacco Ransomware: valutazione del rischio specifico

In questo esempio, l’aggressore ha avuto accesso ai dati personali ma la crittografia utilizzata dall’azienda li rende illeggibili a terzi non autorizzati. Pertanto i rischi di riservatezza sono mitigati.

Anche gli effetti connessi alla indisponibilità dei dati colpiti da Ransomware sono stati attenuati grazie alla precedente implementazione di un sistema di backup che ha salvato la continuità del business aziendale.

Infine, le conseguenze per gli interessati sono di entità trascurabile poiché tutto è stato ripristinato in poche ore e non si sono verificati effetti significativi nella gestione, ad esempio, delle commesse ricevute o nel calcolo del monte ore per i pagamenti dei dipendenti.

 

 

Attacco Ransomware: cosa fare in azienda?

A seguito di un’attenta valutazione, l’azienda deve stabilire entro 72 ore il livello di rischio connesso al Data Breach. In questo caso, si conclude che non vi sono rischi per i diritti e le libertà delle persone fisiche, per cui non è necessaria alcuna notifica nei confronti del Garante Privacy.

Resta però l’obbligo di annotare la violazione nel registro Data Breach, ai sensi dell’art. 33 pgf. 5 GDPR, in conformità al principio di accountability che richiede di specificare le motivazioni della mancata notifica.

 

hacker e attacco ransomware

 

 

Scenario 2: Attacco Ransomware ai dati personali di un’azienda di trasporto pubblico

Il server di un’azienda di trasporto pubblico è stato esposto a un attacco Ransomware. Secondo i risultati dell’indagine effettuata internamente, l’autore è riuscito ad esfiltrare i dati personali archiviati nel server.

Tra i dati violati si annoverano quelli dei dipendenti e di migliaia di clienti che utilizzano i servizi dell’azienda. La violazione non si limita a dati anagrafici, ma anche a dati finanziari relativi a carte di credito. Nel corso dell’attacco, l’aggressore è riuscito anche a crittografie l’unico backup esistente, rendendolo di fatto inutilizzabile.

 

 

Attacco Ransomware: valutazione del rischio specifico

Sebbene fosse in atto un sistema backup, questo è stato colpito dall’attacco. Il che fa sollevare dubbi sulla qualità delle misure IT implementate dall’azienda, dato che il backup dovrebbe essere sempre separato dal server principale, per evitare un suo coinvolgimento durante l’attacco.

La violazione riguarda non solo la disponibilità dei dati personali ma anche la loro riservatezza, perché l’aggressore – dopo l’esfiltrazione – può copiare e modificare i dati a piacimento. Inoltre la natura e il volume dei dati violati depone per un rischio assolutamente elevato. Oltre ai dati anagrafici sono coinvolti anche dati finanziari che espongono i clienti a possibili tentativi di frode.

 

 

Attacco Ransomware: cosa fare in azienda?

A questo punto diventa obbligatoria la notifica al Garante Privacy, ma allo stesso è necessaria un’immediata comunicazione a dipendenti e clienti interessati (anche per raccomandare il blocco della carta di credito). Questa eventualità è la più drammatica per una azienda, a livello di immagine e reputazione, in quanto rende palese la sua inidoneità a proteggere i dati personali dei propri clienti (Proprio sugli effetti negativi di un Data Breach in termini di danno di immagine, abbiamo scritto un approfondimento a questo link).

Sarà poi necessaria una attenta ricognizione delle misure di sicurezza, per innalzare il livello di protezione in ottica futura, a partire da una separazione logica del backup.

 

 

Attacco Ransomware: come proteggersi?

Dall’analisi dei due scenari emerge l’importanza di misure di sicurezza preventivi, per mitigare i rischi di riservatezza, integrità e disponibilità dei dati personali, che se concretizzati possono avere effetti irreversibili.

Per questo motivo, nella nostra attività di consulenza per la conformità al GDPR, predisponiamo un documento sulle misure di sicurezza implementate dall’azienda, segnalando possibili miglioramenti per raggiungere uno standard di protezione elevato.

Inoltre, per reagire ad un Data Breach nei tempi brevi richiesti dalla normativa è altrettanto utile dotarsi di un “Incident Response Plan”, vale a dire una procedura che chiarisca chi deve intervenire e quali attività devono essere fatte negli istanti successivi (e decisivi) di un Data Breach.

 

 

Hai avuto problemi o riscontrato minacce Ransomware?

Se desiderate approfondire la questione valutando una nostra consulenza, lo Studio Legale è disponibile ad una primo incontro conoscitivo per valutare lo stato di sicurezza attuale dell’organizzazione, fornendovi un preventivo ad hoc per la vostra realtà volto a raggiungere il livello di protezione dei dati richiesto dalla Normativa Europea sulla Privacy.