RSS

Ho. mobile, confermato il furto di dati personali

04 Gen

Ho. mobile, operatore del gruppo Vodafone, ha confermato di essere rimasto vittima di un attacco che ha portato la sottrazione dei dati personali “di parte degli utenti”, come è stato anticipato la scorsa settimana.

Il comunicato, da un lato, cerca di tranquillizzare la clientela:

L’azienda comunica che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Ma la conferma del tipo di dato sottratto all’azienda è nella risposta alla prima delle successive domande frequenti:

Quali dati sono stati sottratti?

Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento ai soli dati anagrafici (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) e tecnici della SIM. NON sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Come detto la scorsa settimana, è proprio con questi “soli dati anagrafici (…) e tecnici della SIM” che è possibile effettuare un’operazione di “sim swap”, che sostanzialmente permette di trasferire l’utenza su un’altra sim, quindi di clonarla… e questo non è meno preoccupante! Se ad esempio un utente avesse indicato quel numero telefonico come riferimento per ricevere OTP (One Time Password) per la conferma di pagamenti via bonifico o tramite carta di credito, un’eventuale clonazione della sua utenza consentirebbe ad altri di confermare transazioni a proprio beneficio. Prospettiva tutt’altro che rassicurante…

L’azienda comunque assicura che gli utenti i cui dati sono stati effettivamente copiati riceveranno una comunicazione personale con le indicazioni da seguire (simile a quella qui riportata). Ai clienti viene offerta inoltre la possibilità di chiedere gratuitamente la sostituzione della sim, che può essere effettuata solamente di persona presso un rivenditore autorizzato (la procedura prevede il riconoscimento fisico del cliente).

 
1 Commento

Pubblicato da su 4 gennaio 2021 in news

 

Tag: , , , , , , , , , , , ,

Sveglioni in bella mostra sui social

01 Gen

Scusate, ma davvero qualcuno pensava di non subire conseguenze per aver – poco furbamente – pubblicato sui social network foto e video di una festa di San Silvestro partecipata da 126 persone, in un periodo in cui in tutta Italia è in vigore la zona rossa con tutte, e dico tutte, le note restrizioni che tutti, e dico tutti, sono tenuti a rispettare?

Davvero c’è ancora qualcuno che pensa che pubblicare qualcosa sui social network sia come chiacchierare tra quattro amici al bar, senza arrivare a capire che ciò che viene condiviso può avere una platea ben più vasta?

, davvero!

E’ sempre indispensabile ricordare che ognuno, condividendo qualunque tipo di materiale – testo o immagini – assume a proprio nome la responsabilità di ciò che pubblica e, in caso i contenuti coinvolgano altre persone, non può permettersi di ignorare che possono verificarsi conseguenze collaterali, legate alla presenza di quelle persone nel materiale pubblicato: è banalmente possibile scoprire, ad esempio, dove si trovava una persona in un determinato momento, e non è detto che tale persona gradisca la diffusione di questa informazione, a maggior ragione se intendeva mantenere riservata la sua presenza.

Voglia di mostrarsi trasgressivi? Al di sopra di quanto previsto dalla legge? Vanità? Ne vale la pena?

Buon anno ragazzi, con l’augurio che il 2021 porti maggiore consapevolezza e senso di responsabilità.

 
Commenti disabilitati su Sveglioni in bella mostra sui social

Pubblicato da su 1 gennaio 2021 in news

 

Tag: , , , , , , , , , , , , ,

Brexit, l’accordo cita tecnologie del secolo scorso

30 Dic

Possiamo ben dire che l’accordo sulla Brexit siglato tra Unione Europea e Regno Unito è un documento tecnologicamente vintage: tra le righe delle sue 1246 pagine, c’è posto per alcune raccomandazioni sull’utilizzo di tecnologie di cifratura ormai superate e a software ormai morti e sepolti:

s/MIME functionality is built into the vast majority of modern e-mail software packages including Outlook, Mozilla Mail as well as Netscape Communicator 4.x and inter-operates among all major e-mail software packages.

Traduzione: La funzionalità s/MIME è integrata nella maggior parte dei moderni pacchetti software di posta elettronica, tra cui Outlook, Mozilla Mail e Netscape Communicator 4.x, e interagisce con tutti i principali pacchetti software di posta elettronica.

Netscape Communicator, con questo nome che si legge nell’accordo, è stato rilasciato nell’ottobre del 1998. E’ una versione del pacchetto di navigazione Netscape che ha debuttato sul mercato nel 1994 ed è scomparso nel 2008. Ampiamente superato, così come la crittografia RSA a 1024 bit e l’algoritmo SHA-1. Secondo quanto si legge su  Hackaday , quella parte di testo che richiama a tecnologie del secolo scorso potrebbe essere dovuta ad un frettoloso copia+incolla di un documento sulla sicurezza risalente a fine anni ’90.

Un accordo che, dal punto di vista tecnologico, è proprio una botte di ferro. Arrugginito.

 
Commenti disabilitati su Brexit, l’accordo cita tecnologie del secolo scorso

Pubblicato da su 30 dicembre 2020 in news

 

Tag: , , , , , , , ,

Ho. mobile, violati i dati personali degli utenti?

29 Dic

Se siete clienti di ho. Mobile (l’operatore di telefonia mobile low cost di Vodafone) questa notizia potrebbe interessarvi: ieri sera su Twitter è comparsa la notizia di un attacco hacker ai suoi danni dell’azienda, che avrebbe ottenuto un database con i dati anagrafici di 2,5 milioni di utenti, il cui contenuto sarebbe in vendita sul dark web. Cosa contiene questo archivio? Per ogni cliente ci sarebbe nome, cognome, codice fiscale, data di nascita, numero di telefono, email, indirizzo di residenza completo e codice ICCID della scheda telefonica.

Con questi dati un hacker può fare un’operazione che si chiama “sim swap” (trasferire l’utenza su un’altra sim, quindi sostanzialmente clonarla). Per andare al sodo, ecco i rischi possibili e le contromisure:

  • se un giorno perdete il segnale e non capite il perché: ve l’hanno clonata, rivolgetevi a un punto vendita/centro assistenza e chiedete il “cambio carta” (vi daranno una nuova sim legata al vostro numero telefonico);
  • se usate quel numero di telefono per l’autenticazione a due fattori su qualche servizio (ad esempio: conferma disposizioni da internet banking con OTP, ossia un codice temporaneo inviato da sms), comunicate alla banca un numero telefonico diverso.

Vedremo se l’azienda confermerà l’attacco e il data breach. Se ci saranno aggiornamenti, saranno integrati in questo post 😉

AGGIORNAMENTO: breach confermato, come da comunicazione pubblicata in homepage sul sito dell’azienda all’indirizzo https://www.ho-mobile.it/comunicazione/

Ne parlo in questo post: https://blog.dariobonacina.net/2021/01/04/ho-mobile-confermato-il-furto-di-dati-personali/

 
1 Commento

Pubblicato da su 29 dicembre 2020 in news

 

Tag: , , , , , , , , , , , ,

Kit digitalizzazione: cui prodest?

21 Dic

In un emendamento alla Manovra 2021 troviamo un pacchetto chiamato Kit digitalizzazione, che qualcuno – con pragmatismo poeticamente ammiccante – ha ribattezzato bonus telefono e giga:

Al fine di ridurre il fenomeno del divario digitale, in via sperimentale ai soggetti appartenenti a nuclei familiari con un reddito ISEE non superiore a 20.000 euro annui, non titolari di un contratto di connessione internet e di un contratto di telefonia mobile, che si dotino del sistema pubblico di identità digitale (SPID), per il tramite di Poste Italiane o di altri identity provider abilitati, è concesso in comodato gratuito per un anno un telefono mobile dotato di connettività. Il telefono mobile è dotato dell’applicazione «io» e di abbonamento che consenta la consultazione on-line di due organi di stampa.

Chiariamo subito le idee: prestare per un anno (alle famiglie con i requisiti indicati) uno smartphone con connessione Internet, dotato di app IO e abbonamento a due giornali, non ridurrà il digital divide, che è per il nostro Paese un annoso problema socio-culturale, ancor prima che tecnologico. Inoltre è innegabile constatare che tra le righe, cioè proprio quelle che descrivono il provvedimento, si annidano concetti che sembrano portare in tutt’altra direzione rispetto all’obiettivo dichiarato. Tanto per focalizzarsi sul primo elemento che colpisce: l’abbonamento online per un anno a due organi di stampa ha il retrogusto di un finanziamento pubblico a beneficio degli editori.

Il digital divide è il divario che rileviamo tra utenti avanzati (pochi) e non-utenti (troppi), ossia persone che non sono in grado di utilizzare la tecnologia, per motivi di preparazione, ma anche di dotazione tecnologica (fra cui possiamo sicuramente annoverare le limitate risorse per la diffusione della cultura digitale fin dalle scuole e la scarsa disponibilità di connettività a banda larga). Si tratta di un fenomeno che deve essere contrastato con un’adeguata alfabetizzazione digitale, che dovrebbe coinvolgere tutti, cittadini e istituzioni, e che andrebbe introdotto fra le basi dell’educazione scolastica e affrontato con metodologie di apprendimento intergenerazionale, con attività coordinate tra mondo della scuola, giovani (più preparati), centri di aggregazione per la terza età e mondo della disabilità.

Soprattutto andrebbe compresa la necessità di sostenere l’abbattimento del digital divide con investimenti importanti. La misura di destinare 20 milioni di euro al modesto “kit di digitalizzazione” descritto nella manovra appare abbastanza inutile, considerando il numero di utenze di rete mobile già presenti e attive in Italia (la fonte dei dati che seguono è l’Osservatorio sulle Comunicazioni n.3/2020 dell’Agcom):

Posto quindi che il kit digitalizzazione appare una misura inadeguata a perseguire l’obiettivo dichiarato, la sua attuazione sarà tutta da capire, soprattutto per quanto riguarda le modalità con cui saranno coinvolti i soggetti che parteciperanno al “pacchetto”, dagli editori (quali giornali?) alle compagnie telefoniche (quanti giga?), fino ai fornitori di smartphone (quali modelli?). Non sembra infatti percorribile l’idea che si tratti di un bonus spendibile a discrezione dei beneficiari (la formula del comodato d’uso implica che la proprietà sia altrui e che le condizioni debbano essere uniformi per tutti gli utenti individuati). Si vedrà nel 2021, con tempistiche – anche quelle – tutte da definire.

 
Commenti disabilitati su Kit digitalizzazione: cui prodest?

Pubblicato da su 21 dicembre 2020 in news

 

Tag: , , , , , , , ,

Facebook fa la morale a Apple

17 Dic

Facebook ha avviato una campagna contro Apple acquistando intere pagine di giornale – su The New York Times, Wall Street Journal e Washington Post – alzando la voce per criticare con forza le nuove impostazioni relative alla privacy di iOS 14, il sistema operativo di prossima introduzione su iPhone. Le modifiche permetteranno agli utenti di non autorizzare (e quindi disattivare) la tracciabilità dei propri dati attraverso app e siti web, impedendo ai social network e ad altre aziende di raccogliere dati personali (interessi, preferenze, geolocalizzazione) per la profilazione dei consumatori. Il gruppo di Mark Zuckerberg promuove questa battaglia sostenendo che questa novità danneggerà le piccole imprese che perderanno visibilità pubblicitaria… che però è la base del fatturato di Facebook.

Andiamo con ordine: con iOS 14, ogni utente iPhone avrà la possibilità di bloccare la tracciabilità di ciò che fa su Internet. Di conseguenza sarà possibile scegliere di non trasmettere a nessuno i dati che riguardano l’attività svolta su Internet, cosa che avviene ad esempio quando fate una ricerca su un argomento o un prodotto, e in breve tempo – da siti web e pubblicità mostrate da app gratuite – si vedono banner pubblicitari che riguardano proprio l’oggetto di quella ricerca. Fra i maggiori attori sulla scena della raccolta pubblicitaria c’è proprio Facebook, che ovviamente è gratuito per gli utenti.

Sicuramente molti penseranno di utilizzare poco i social network e quindi di non essere il bersaglio ideale della pubblicità che veicola. Ma considerando che Facebook ha quasi 3 miliardi di utenti (e che il gruppo include anche Instagram e WhatsApp, su cui sono già in corso progetti pubblicitari), è certo che in questo insieme globale esista un mucchio di persone pronte a cliccare su banner pubblicitari e annunci sponsorizzati, dando linfa al suo business. Se una parte di questi iscritti smettesse improvvisamente di farsi tracciare e di condividere i dati sulle proprie attività in Internet, i numeri potrebbero cambiare parecchio: le inserzioni pubblicitarie generiche, non basate sulla profilazione degli utenti, generano il 60% in meno dei ricavi che invece vengono prodotti dagli annunci mirati ai consumatori (ossia, ad esempio, quelli che pubblicizzano pneumatici dopo che su Internet abbiamo usato un motore di ricerca per trovare informazioni su pneumatici, e visitato siti web di produttori di pneumatici o letto articoli pubblicati su siti web sull’automobilismo).

Facebook nelle proprie argomentazioni punta sempre a dichiarare che sarà Apple a beneficiare di queste iniziative: “Apple si sta comportando in modo anticoncorrenziale sfruttando il proprio controllo sull’App Store a vantaggio dei propri profitti, ai danni di artigiani e piccole imprese”. Proprio ad accuse di comportamento contrario alla leale concorrenza deve però rispondere la stessa Facebook, come è emerso nei giorni scorsi. Apple intende comunque andare avanti per la propria strada e difende la propria scelta, basata su un principio assolutamente condivisibile: gli utenti devono essere in condizioni di sapere quando i loro dati vengono raccolti e condivisi tra altre app e siti Web, e di scegliere se consentirlo oppure no.

Capito perché privacy non va d’accordo con gratuito? Perché la presunta gratuità in realtà si paga, ma con una diversa moneta: quella dei dati personali, che alimentano i consigli per gli acquisti a cui gli utenti vengono indotti, pagando di tasca propria. In conclusione: anche la gratuità ha un prezzo.

 
Commenti disabilitati su Facebook fa la morale a Apple

Pubblicato da su 17 dicembre 2020 in news

 

Tag: , , , , , , , , , , , , , , , ,

E-commerce sospetti che spuntano come funghi

15 Dic

Attenzione agli acquisti online, soprattutto in prossimità del Natale: la fretta di trovare un regalo può essere cattiva consigliera e far calare quell’attenzione che invece è necessaria per distinguere un vero sito di e-commerce da un sito truffaldino che punta ad avere le vostre credenziali o direttamente al vostro denaro, facendovi credere di aver comprato un prodotto che non riceverete mai. Come nei casi di alcuni siti web che mi hanno segnalato in questi giorni, come it-disney.com e breil-italia.com, che nulla hanno a che vedere con le aziende di cui citano i brand.

Un negozio online fasullo non sempre è facilmente identificabile. I due siti web che ho citato – così come altri in cui mi sono imbattuto in passato (ad esempio in occasione del black friday, ma anche in precedenza) – sono realizzati discretamente e un occhio non allenato può cadere nella loro trappola: la grafica è abbastanza curata e alla base c’è una piattaforma di e-commerce strutturata (talvolta si tratta di software disponibili sul mercato, come Shopify). Esistono però alcuni indicatori fondamentali che possono rivelare la vera natura del sito web:

  • la sicurezza della connessione: senza dilungarmi in dettagli tecnici sui protocolli, un negozio online deve offrire – almeno nella fase del pagamento online, se non su tutto il sito – la massima sicurezza della connessione, pertanto l’indirizzo web deve iniziare con il protocollo https: (che contraddistingue una connessione criptata e sicura), se vedete solo “http” quel sito non è sicuro. Precisazione: non è detto che un sito sia pericoloso solo perché non vedete https nell’indirizzo. Il protocollo sicuro è indispensabile solo per siti web che richiedono l’inserimento di dati personali e sensibili (commercio elettronico, istituti bancari, siti medico-sanitari, enti pubblici e privati che offrono servizi, social network, eccetera);
  • i requisiti di legge: un sito web di e-commerce non può essere privo dei dati che identificano l’azienda che rappresenta. Un’attività commerciale italiana deve indicare la ragione sociale e la partita iva, in homepage e/o in un’area dedicata alle informazioni aziendali (termini di utilizzo, condizioni di vendita, eccetera); Amazon, per esempio, opera sul mercato italiano pur non essendo una società italiana, ma alla pagina Condizioni generali di uso e vendita fornisce tutti i dati societari e i riferimenti della rappresentanza italiana;
  • contatti certi e rintracciabili: se mancano le informazioni indicate sopra, non basta una pagina “contatti” con un form in cui l’utente può indicare, nome, indirizzo e-mail e scrivere un messaggio;
  • la coerenza dei contenuti: se in un sito trovate testi che non c’entrano nulla, c’è qualcosa che non va… in un sito che si presenta come Disney Store, non potete trovare le condizioni del sito breil-italia.com, questo è sintomo di un copia+incolla decisamente “poco accurato” da parte di qualcuno che forse realizza siti web farlocchi in serie…
  • il buon utilizzo della lingua italiana: un professionista serio non ha cadute di stile, ne va della propria immagine e il sito web in cui vende i propri prodotti deve essere all’altezza della reputazione che vuole mantenere. Non ci possono essere errori vistosi ortografici o grammaticali e non si possono trovare alcune parti in italiano e altre in una lingua diversa. Avere un sito web in italiano e presentare la sezione del pagamento online in inglese e senza https, come in questa immagine, è decisamente sospetto:

Evitate gli acquisti di corsa: qualche minuto in più, speso (anzi investito) nel verificare a chi state per dare il vostro denaro… non ha prezzo!

 
2 commenti

Pubblicato da su 15 dicembre 2020 in news

 

Tag: , , , , , , , ,

Google down, incidente o attacco?

14 Dic

Lunedì grigio oggi, per i servizi Google che sono rimasti down nel tempo della pausa pranzo italiana: molti di coloro che hanno tentato di accedere a Gmail, Google Drive, Meet, Classroom, Sites, Youtube o altri servizi della famiglia, tra le 12.55 e le 13.45 si sono trovati a piedi e hanno potuto vedere solo un bel messaggio di errore.

Come riportato dalla Dashboard di Google Workspace, i problemi hanno coinvolto gran parte dei servizi del gruppo. Prevedibili i disagi per le scuole che hanno previsto di utilizzare Classroom e Meet per la didattica a distanza e sono rimaste in panne.

Ma cos’è accaduto? Non sono state ancora comunicate spiegazioni, ma ho l’impressione che il problema si sia verificato su un aspetto che riguarda l’autenticazione degli utenti: personalmente ho constatato che comunque, anche in quell’intervallo di tempo, era possibile effettuare una ricerca su Google o guardare un video su Youtube – servizi utilizzabili senza autenticarsi – mentre erano inaccessibili altri servizi che richiedono l’inserimento di username e password.

Il disservizio cade a poche ore di distanza da un altro incidente che si è verificato ai danni dei sistemi di posta elettronica di alcuni dipartimenti USA – tra i quali quelli del Tesoro e del Commercio – colpiti, secondo funzionari del governo USA, da una serie di attacchi hacker sferrati dalla Russia verso alcune agenzie governative d’oltreoceano. Esperti federali e privati sono certi che il mandante dell’attacco sia un’agenzia di intelligence russa.

Indipendentemente dalla reale origine dell’attacco, c’è chi ha collegato i due fatti, ipotizzando una correlazione tra i disservizi Google e l’attacco hacker. Anche a causa di alcuni messaggi “customizzati” comparsi dalle pagine di accesso alla riunioni di Google Meet, ma generati per burla. Oltre al down, anche la beffa…

 
Commenti disabilitati su Google down, incidente o attacco?

Pubblicato da su 14 dicembre 2020 in cloud, news

 

Tag: , , , , , , , , , , , , , , ,

Facebook deve liberarsi di Instagram e Whatsapp?

11 Dic

Concorrenza sleale e monopolio del mercato sono le accuse mosse nei confronti di Facebook dalla FTC (Federal Trade Commission), l’agenzia antitrust USA, e dalle procure generali di gran parte degli Stati Uniti. Nel mirino c’è la leadership del mondo social conseguita mettendo le mani su due concorrenti, Instagram (2012) e Whatsapp (2014), un’espansione che ha rafforzato la posizione di mercato e che, solo nel 2019, per il Gruppo Facebook ha portato un fatturato di oltre 70 miliardi di dollari.

Alla causa non partecipano solo Alabama, Georgia, South Carolina e South Dakota. Con la loro azione congiunta le procure degli Stati denuncianti chiedono la facoltà di intervenire, eventualmente obbligando l’azienda a una ristrutturazione societaria con lo scorporo di attività come Instagram e WhatsApp, e un procedimento che impedisca operazioni societarie con valore superiore ai 10 milioni di dollari senza il parere preventivo degli Stati.

Letitia James, procuratrice generale di New York, argomenta così la propria azione:

Per circa un decennio, Facebook ha usato il suo potere di dominio e monopolio per schiacciare i rivali più piccoli e soffocare la concorrenza, il tutto a scapito degli utenti quotidiani. Oggi stiamo agendo per difendere i milioni di consumatori e molte piccole imprese che sono state danneggiate dal comportamento illegale di Facebook. Anziché competere nel merito, Facebook ha usato il suo potere per sopprimere la concorrenza in modo da poter trarre vantaggio dagli utenti e guadagnare miliardi convertendo i dati personali in una vacca da mungere. Quasi tutti gli Stati di questa nazione si sono uniti a questa causa bipartisan perché gli sforzi di Facebook per dominare il mercato sono tanto illegali quanto dannosi. La causa di oggi trasmetterà un messaggio chiaro a Facebook e ad ogni altra azienda, che qualsiasi tentativo di soffocare la concorrenza, limitare l’innovazione o eludere la protezione della privacy sarà affrontato con tutta la forza dei nostri uffici.

Giungere ora a contestare le operazioni che hanno portato all’acquisizione di Instagram (otto anni fa) e WhatsApp (sei anni fa) è sicuramente tardivo e assecondare questa azione legale significherebbe ritenere precaria ogni operazione societaria di queste proporzioni. Su questo presupposto si fonda anche la difesa di Facebook che, sostanzialmente, considera che oggi l’azienda ha una struttura ormai consolidata, molti collaboratori e dipendenti, progetti, programmi, aspettative legittime. Sarebbe invece auspicabile intervenire a livello regolatorio con l’obiettivo di arginare questo strapotere , ma è verosimile pensare che proprio su questo si dovrà focalizzare la FTC, che a suo tempo aveva dato l’ok sia all’acquisizione di Instagram che a quella di WhatsApp.

 
1 Commento

Pubblicato da su 11 dicembre 2020 in news, social network

 

Tag: , , , , ,

Guardando le classifiche delle ricerche Google…

10 Dic

 

Uno dei giochi che mi piace fare quando Google pubblica le sue classifiche delle ricerche svolte nell’anno che volge al termine è confrontare i risultati italiani con quelli globali. Rende l’idea su ciò che gli utenti del nostro Paese hanno messo a fuoco rispetto al resto del mondo. Ci sono analogie e differenze importanti, che rispecchiano la nostra realtà socio-culturale. Nella Top 5 assoluta delle “nostre” ricerche troviamo Coronavirus, Classroom, Weschool e Nuovo Dpcm: termini che in un anno non caratterizzato dall’emergenza sanitaria difficilmente avrebbero guadagnato posizioni così elevate. Sono però contento per Weschool, piattaforma didattica digitale made in Italy che è riuscita a porsi quale alternativa alle soluzioni proposte educational di Microsoft e Google.

 
Commenti disabilitati su Guardando le classifiche delle ricerche Google…

Pubblicato da su 10 dicembre 2020 in news

 

Tag: , , , , , ,

App IO in tilt per il Cashback? Per forza…

09 Dic

Una valanga di lamentele si è rovesciata nelle scorse ore sulla app IO: ieri, 8 dicembre, ha preso il via la fase natalizia del Cashback di Stato (che proseguirà a regime da gennaio) e per moltissimi utenti intenzionati a parteciparvi il suo utilizzo è stato un vero supplizio, tanto che ancora oggi si segnalano problemi. Lamentele giustificate? Sì, dal punto di vista degli utenti che si aspettano che un servizio, annunciato e attivato, debba funzionare nel suo complesso, anzi: nella sua complessità. Una complessità di cui però è necessario essere consapevoli per capire meglio i motivi per cui, come da ieri si sente spesso, “il cashback non va”.

Non ignoriamo che esistono utenti della app IO che non se ne lamentano, perché per loro funziona e non c’è stato alcun tipo di problema. Innanzitutto va detto che si tratta di utenti che verosimilmente avevano già scaricato la app in precedenza: non dimentichiamo infatti che non è stata realizzata solo per il cashback, ma per agevolare la digitalizzazione del rapporto fra cittadini e Pubblica Amministrazione in un più ampio contesto di servizi e iniziative. Questi utenti, dunque, sono riusciti ad inserire i propri dati prima del picco di contatti che si sono abbattuti sulla piattaforma in questi giorni. A chi è riuscito ad inserire tutte le informazioni necessarie, nel Portafoglio potrebbe apparire qualcosa del genere (oscuro i nomi di banche e circuiti):

Chi desidera che questi strumenti di pagamento siano considerati ai fini del cashback, non deve limitarsi ad aggiungerli alla app, deve attivarli. Per farlo è necessario aprire la app IO, selezionare Portafoglio dal menu in basso e poi il tab “Cashback”: lì si deve attivare ogni singolo strumento, spostando il cursore sulla destra. Senza questa attivazione, ogni acquisto effettuato con le carte o gli strumenti indicati non sarà calcolato per il rimborso che l’utente vorrà vedersi accreditare sul conto corrente (e a tale fine dovrà aver inserito il proprio Iban nella stessa sezione).

Anche per chi si è mosso con tempestività, tuttavia, non tutto è andato liscio: la app ha avuto (e continua ad avere) numerosi aggiornamenti proprio perché alcune funzioni non sono state disponibili fin da subito. L’attivazione del cashback ha avuto luogo lunedì scorso, un giorno prima della partenza effettiva dell’iniziativa. La possibilità di aggiungere le carte PagoBancomat, ad esempio, è stata aggiunta solo nelle scorse ore e pertanto, per molti utenti, gli acquisti effettuati con questa modalità non sono stati registrati ai fini del cashback fin dall’inizio. Si può dunque dire che uno dei problemi principali consiste nell’aggiunta di funzionalità essenziali avvenuta praticamente all’ultimo minuto, che ha reso inevitabile l’affollamento rilevato proprio in questi giorni sulla piattaforma e che ora rappresenta l’aspetto critico più rilevante, come avviene in un qualunque click day.

Alla base di tutto, quindi, ci sono tre elementi da considerare:

  1. la modalità di attivazione last minute di un’iniziativa annunciata da mesi e resa operativa per gli utenti solo poche ore prima della partenza;
  2. il dimensionamento dei sistemi, che nei momenti di picco fatica (molto) a reggere la mole di contatti che riceve. Di per se’, la app funziona, ma i problemi si presentano perché si interfaccia con altri sistemi;
  3. la qualità del servizio di connettività utilizzato, che può contribuire – se non molto performante – a rallentare il tutto.

Ma come dicevo sopra, non va dimenticata la complessità del sistema. Basti pensare, ad esempio, alla rilevazione automatica delle carte PagoBancomat: per aggiungerne una ai sistemi di pagamento, all’utente viene richiesto solamente di selezionare l’istituto bancario di riferimento. L’utente non sa – e non è tenuto a sapere – che ad inserire i dati di quella carta provvede un altro sistema, che rintraccia i collegamenti tra la banca selezionata e l’utente, con il compito di restituire il dato che corrisponde alla carta di cui è titolare. Non è la app a compiere direttamente questo link, ma è la app a darne il risultato ed è per questo motivo che non si può dar torto ad un cittadino che, avendo fornito le informazioni necessarie e rilevato un disservizio, dice “il cashback non va”. Soprattutto se si tratta di un utente “poco preparato” dal punto di vista digitale, che non ha modo di avere supporto da parte di qualcuno più esperto o smaliziato.

Per quanto riguarda il flusso di contatti contemporanei, la cui mole comporta saturazioni e rallentamenti, certamente l’attenzione va focalizzata al dimensionamento di un sistema che deve reggere servizi distribuiti a milioni di utenti. Chi è abituato a vedere il traffico che si abbatte sulle piattaforme di gaming potrebbe sorridere di fronte a questa empasse. Indubbiamente c’è molta strada da fare sulle infrastutture alla base dei servizi digitali per i cittadini, soprattutto nel contesto della Pubblica Amministrazione.

Passato il “picco” di queste ore si capirà se il sistema sarà più fluido e fruibile e, quindi, se tutti i problemi attuali sono realmente riconducibili all’ingente volume di contatti contemporanei che la piattaforma deve gestire. Nel frattempo a me sorgono un paio di osservazioni,:

  1. il cittadino deve fare sempre una coda: la digitalizzazione di un servizio permette – tra l’altro – di evitare di rimanere pazientemente in fila ad attendere davanti ad uno sportello, ma episodi come questi testimoniano che la necessità mettersi in coda (nel senso di attesa) rimane in ogni caso, senza neppure avere visibilità su quando sarà il proprio turno;
  2. in pochi giorni, la app IO è arrivata a 8 milioni di download; se questa è la misura del suo successo, si può dire che è stata sicuramente più apprezzata di Immuni. Per forza, verrebbe da dire, a velocizzare il tutto c’è stata la prospettiva di un cashback da riscuotere. Ergo, suggerimento per il governo: infilare Immuni nella app IO 😉

P.S: se avete trovato (su App store o Play store) una app a pagamento che si chiama Cashback di Stato o qualcosa del genere, sappiate che non è quella che vi permette di partecipare all’iniziativa.

 
Commenti disabilitati su App IO in tilt per il Cashback? Per forza…

Pubblicato da su 9 dicembre 2020 in news, PA

 

Tag: , , , , , , , , , , , , ,

Covid-19 e vaccini, speculazioni nel dark web

07 Dic

Possibile che qualcuno abbia già il vaccino “anti-Covid-19″, mentre le organizzazioni sanitarie nazionali lo stanno ancora ordinando ai produttori? Non è facile crederlo, eppure su Vice World News leggiamo che sulla darknet si trovano venditori che lo propongono, anche a prezzi esorbitanti, ad esempio oltre 1.300 dollari per singola dose. Due dei venditori interpellati dichiarano addirittura di aver acquistato il vaccino tramite il governo americano e di averlo già venduto a più clienti.

Quanto è probabile che queste offerte siano attendibili? Già non è semplice acquistare un farmaco online presso un sito di e-commerce ordinario, figuriamoci nel dark web in cui sembra che qualcuno possa vendere il vaccino Pfizer-BioNTech. Innanzitutto si può serenamente dubitare di un sito web che vende un vaccino presentando solamente una foto facilmente reperibile con un motore di ricerca, tanto più che delle (false) vendite online di vaccini si era già parlato lo scorso aprile, quando cominciarono a spuntare le prime inserzioni pubblicitarie.

Vanno poi tenute presente alcune considerazioni, sia tecniche che etiche. Innanzitutto è noto che per quel vaccino è prevista la conservazione a -70°: potrebbe essere consegnato agevolmente, con un corriere attrezzato in tal senso? Inoltre si tratta di un sistema discriminatorio, che bypassa i sistemi sanitari (con le relative pianificazioni in base ad esigenze legate a fragilità dei pazienti, fasce d’età, eccetera) e privilegia acquirenti facoltosi. E tutto questo al netto del fatto che chi lo acquista non ha accesso alla documentazione sulla sperimentazione e sugli studi effettuati.

Per cui, alla domanda della persona che mi ha scritto “Si può trovare su internet il vaccino anticovid?”, la risposta per me è NO. Sulla salute non si specula.

 
Commenti disabilitati su Covid-19 e vaccini, speculazioni nel dark web

Pubblicato da su 7 dicembre 2020 in news

 

Tag: , , , , , , , , , , , , ,

Phishing e doxing: la superficialità può fare male

07 Dic

Avete un account per l’Internet banking? Fate acquisti online pagando con carta di credito o strumenti come PayPal? Fate molta attenzione ai messaggi che vi invitano a confermare i vostri dati personali sul sito di uno di quei servizi, molto probabilmente si tratta di phishing: in tal caso il messaggio è una trappola con un link che, anziché portare al sito che vi interessa, rimanda ad una pagina web fasulla, realizzata appositamente per trarre in inganno gli utenti e indurli a inserire le proprie credenziali.

Inutile dire che così username e password finiscono in mani sbagliate. Dall’altra parte c’è chi può utilizzare l’account a nome di altri e utilizzarne conto corrente e carte di credito, ma c’è anche chi potrebbe rivendere i dati personali altrui sul dark web. E le conseguenze potrebbero non essere solo economiche: come spiega Kaspersky, in alcuni casi i dati altrui possono essere utilizzati a scopo di doxing: il doxing – o doxxing – consiste proprio nella ricerca e nella pubblicazione di informazioni private, personali se non sensibili, per ridicolizzare, denigrare o mettere in pericolo qualcuno.

Questo tipo di informazioni può essere ottenuto in molti modi, da contenuti condivisi superficialmente su social network, ma anche – come detto prima – tramite phishing. E sul dark web c’è un autentico mercato nero di informazioni personali che possono avere tariffe differenziate. Nomi, date di nascita, documenti di identità e codici fiscali possono costare anche meno di un euro, mentre la foto di una persona, un suo documento o una cartella clinica possono costare qualche decina di euro. Si possono trovare anche le credenziali per accedere a un conto corrente, e possono costare molto di più.

Quando ricevete un messaggio e-mail che sembra provenire da una banca, dall’istituto che ha emesso la carta di credito, dall’azienda che vi fornisce l’energia elettrica, dalle Poste o da qualunque mittente che possa sembrarvi affidabile, prima di cliccare sul primo link che trovate, verificate che si tratti effettivamente di ciò che sembra. A volte basta poco, perché il messaggio esteticamente è diverso da quelli autentici, o perché ci sono dettagli rivelatori nel testo del messaggio, che spesso tradisce una scarsa padronanza della lingua italiana. A volte il messaggio è invece ben realizzato, quindi dovete verificare l’indirizzo internet (url) del link che vi è stato indicato.

Guardate l’esempio dell’immagine seguente: l’indirizzo è chiaramente estraneo a Poste Italiane, ma spesso gli utenti non ci fanno nemmeno caso e proseguono a navigare ignari del pericolo. Occhio!

Lo stesso possiamo dire per questa pagina web, che evidentemente non è di Amazon:

 
Commenti disabilitati su Phishing e doxing: la superficialità può fare male

Pubblicato da su 7 dicembre 2020 in news

 

Tag: , , , , , , , , ,

Rockin’ the Cashback

04 Dic

Dall’8 dicembre parte la fase sperimentale del Cashback di Stato, che segue a ruota il lancio della Lotteria degli Scontrini per tracciare fin dal periodo natalizio le transazioni legate agli acquisti effettuati dagli italiani. Pressoché indispensabile in questo caso l’utilizzo della app IO (in realtà con qualche eccezione, ne parlo nel seguito).

Entrambe le iniziative rientrano nel piano chiamato “Italia Cashless”, varato dal Governo per motivare i cittadini ad utilizzare la moneta elettronica per gli acquisti effettuati di persona (non online). L’obiettivo dichiarato è il contrasto all’evasione fiscale, ma – è bene tenerlo presente – in questo progetto non c’è una reale imposizione all’utilizzo di carte di credito o di debito a scapito del contante e questo è già un primo limite all’efficacia di questa misura. A spingerne l’adozione è essenzialmente un meccanismo premiante che consiste in un rimborso parziale del denaro speso secondo determinate condizioni.

Il tutto partirà ufficialmente dal 1 gennaio 2021 e durerà sei mesi, ma dall’8 al 31 dicembre 2020 prenderà il via una fase sperimentale per intercettare gli acquisti natalizi: con almeno dieci acquisti in moneta elettronica sarà possibile ottenere un rimborso del 10% di quanto speso, ma fino ad un massimo di 150 euro. Nei primi sei mesi del 2021, invece, gli acquisti da considerare dovranno essere almeno cinquanta (mentre il rimborso massimo ottenibile in quei sei mesi sarà sempre fino a 150 euro).

Le cifre rimarranno le stesse per i sei mesi successivi, ma ci sarà anche un “super cashback” per chi farà più acquisti: chi rientrerà tra i primi 100mila cittadini che avranno totalizzato, in un semestre, il maggior numero di transazioni con carte e app di pagamento (indipendentemente dagli importi spesi), avrà diritto ad un rimborso di 1.500 euro.

Per partecipare sarà necessario avere:

  • la Carta d’identità elettronica (CIE) o lo SPID (è l’acronimo di Sistema Pubblico di Identità Digitale, quindi non chiamatelo Speed come ho letto qua e là) che può essere richiesto dai maggiorenni presso i provider accreditati che si possono trovare a questo indirizzo: https://www.spid.gov.it/richiedi-spid;
  • la app IO, realizzata per accedere ai servizi della Pubblica Amministrazione. Una volta installata sullo smartphone, sarà necessario inserire i dati degli strumenti di pagamento elettronici con cui saranno effettuati gli acquisti: carte Bancomat, carte di credito, account Satispay. Sarà possibile gestire i pagamenti con Hype, Yap, Nexi Pay. Qui attenzione, perché l‘eccezione a cui accennavo inizialmente riguarda proprio chi intendesse utilizzare solamente questi strumenti ai fini del Cashback: per questi cittadini non sarà necessaria la app IO e quindi nemmeno lo SPID (pertanto le spese pagate con carte e bancomat non concorreranno al Cashback, se non si utilizzerà la app IO). Nel 2021 sarà possibile aggiungere account Bancomat Pay, Apple Pay, Google Pay e altri strumenti.

Si scarica quindi, secondo quanto previsto dalla procedura ordinaria, la app IO e si esegue l’accesso (con il codice SPID o il PIN della carta d’identità elettronica). Sarà possibile gestire il proprio profilo utente e accedere ai menu Messaggi, Portafoglio e Servizi. La gestione dei dati utili al Cashback è in Portafoglio, dove vanno inserite le informazioni su tutti gli strumenti di pagamento desiderati. In questo momento manca la possibilità – che arriverà con un aggiornamento previsto a breve – di inserire il proprio IBAN, su cui sarà accreditato il rimborso ottenuto. Sarà all’interno della funzione Cashback, che comparirà con l’update. Una volta inseriti i dati, per partecipare al Cashback non serve fare altro che effettuare gli acquisti pagandoli con gli strumenti indicati nella app.

Anche in questo caso, come per la lotteria degli scontrini, la reale efficacia dell’iniziativa è tutta da verificare: se un’attività commette evasione fiscale non emettendo scontrino o fattura, e sconta al proprio cliente l’importo dell’IVA, il vantaggio economico rispetto ad un rimborso (di importo massimo limitato) pari al 10% di quanto speso è alquanto evidente. Detto questo: per tutti quei prodotti che prevedono una garanzia, l’acquisto viene necessariamente comprovato da uno scontrino o fattura. Per tutti gli acquisti di quel tipo non esiste alcuna evasione fiscale da contrastare. E non si tratta di una quota residuale degli acquisti, soprattutto quelli natalizi. Personalmente rimango dell’idea che la vera lotta all’evasione fiscale debba passare per una attenta, intensa e reale attività di controllo da parte dell’Amministrazione Finanziaria.

P.S: se avete trovato (su App store o Play store) una app a pagamento che si chiama Cashback di Stato o qualcosa del genere, sappiate che non è quella che vi permette di partecipare all’iniziativa.

 
3 commenti

Pubblicato da su 4 dicembre 2020 in news

 

Tag: , , , , , , , , , , , , ,

Parola d’ordine? Password!

03 Dic

Non abbiamo imparato niente: nonostante negli ultimi tempi si siano verificati numerosi casi di attacchi hacker, ransomware e violazioni di database con credenziali e dati riservati di utenti, siamo ancora così pigri da usare sempre le password più facili, intuibili e indovinabili. Le più stupide, quindi, come si può vedere nella classifica compilata da NordPass, che qui possiamo vedere in tutto il suo splendore…

Tutte abbastanza intuibili, in funzione del contesto in cui si lavora (per quanti se lo fossero chiesto, senha significa “password” in portoghese). I motivi per cui la password stupida regna sovrana sono sempre gli stessi: il tempo e la memoria.

Il tempo, perché la gravosa attività di pensare a quale nuova password scegliere viene vista come una rottura di scatole, per cui sovente si pensa rapidamente a quale inventarsi, e magari lo si fa di corsa perché una password è scaduta e si ha fretta di accedere, ma anche per digitarla serve (poco) tempo.

La memoria, perché ovviamente poi la password bisogna ricordarsela, per cui più è semplice, più sarà semplice ricordarsela… infatti, come dico spesso: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però c’è un’altra cosa che osservo sempre: onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che dobbiamo proteggere.

Altrimenti è troppo facile indovinare le credenziali di un utente. Poi tocca dar ragione a quei personaggi che prima scrivono boiate su Twitter e Facebook, poi si accorgono di averla fatta grossa e ritrattano, accampando una scusa evergreen come “Non l’ho scritto io, il mio profilo è stato hackerato”.

 
3 commenti

Pubblicato da su 3 dicembre 2020 in news

 

Tag: , , , , , , , ,

Articoli più vecchi
Articoli più recenti