Dicembre 2023

Il Phishing è una forma di frode informatica che consiste nell’indurre la vittima a fornire informazioni sensibili, come credenziali di accesso, dati finanziari o dati personali, attraverso l’invio di e-mail, messaggi di testo o telefonate fraudolente. Come funziona Nella maggior parte dei casi, le e-mail di phishing imitano quelle inviate da aziende o istituzioni affidabili, come banche, società di e-commerce o enti governativi. L’obiettivo è creare un senso di urgenza o di paura nella vittima, in modo da spingerla ad agire in fretta e senza riflettere. L’e-mail potrebbe, ad esempio, avvisare la vittima che il suo account è stato bloccato o che è stata rilevata un’attività sospetta. Oppure, potrebbe offrire un’offerta o un incentivo speciale, come la possibilità di vincere un premio o di ottenere uno sconto. Se la vittima “abbocca all’amo” e fa clic sul link contenuto nell’e-mail, viene indirizzata a un sito web falso che imita quello dell’azienda o dell’istituzione originale. Sul sito web, la vittima viene invitata a inserire le proprie credenziali o altri dati personali. Una volta ottenute le informazioni, i truffatori possono utilizzarle per scopi illeciti, come rubare l’identità della vittima, accedere ai suoi conti bancari o diffondere malware. Come riconoscerlo Esistono alcuni segnali che possono aiutarti a riconoscere un’e-mail di phishing: L’e-mail è inviata da un mittente sconosciuto o sospetto. L’e-mail contiene errori grammaticali o ortografici. L’e-mail utilizza un linguaggio emotivo o allarmistico. L’e-mail contiene un link o un allegato. Oltre al phishing classico, esistono anche altre varianti di questa forma di frode, come lo smishing, il vishing e lo spear phishing.   Smishing Lo smishing è una forma di phishing che si basa sull’invio di messaggi di testo (SMS) fraudolenti. I messaggi di testo smishing imitano spesso quelli inviati da aziende o istituzioni affidabili, come banche, società di e-commerce o enti governativi. I truffatori spingono gli utenti ad accedere a siti web malevoli dai propri smartphone. Vishing Il vishing è una forma di phishing che si basa sull’utilizzo di telefonate fraudolente. I truffatori chiamano le vittime e si fingono rappresentanti di aziende o istituzioni affidabili, come banche, società di e-commerce o enti governativi. L’obiettivo del vishing è convincere la vittima a fornire informazioni personali, come credenziali di accesso, dati finanziari o altri dati. Il truffatore potrebbe, ad esempio, avvisare la vittima che il suo account è stato bloccato o che è stata rilevata un’attività sospetta. Oppure, potrebbe offrire un’assistenza tecnica o un’offerta speciale. Spear Phishing Lo spear phishing è una forma di phishing altamente personalizzata che si basa sulla raccolta di informazioni sulla vittima. I truffatori utilizzano queste informazioni per creare e-mail o messaggi di testo che sembrano provenire da una fonte affidabile. Ad esempio, se un truffatore sa che la vittima è un fan di una squadra di calcio, potrebbe inviare un’e-mail o un messaggio di testo che sembra provenire da quella squadra. L’e-mail o il messaggio potrebbe contenere un link a un sito web falso che imita il sito web ufficiale della squadra. Se la vittima abbocca all’amo e fa clic sul link, viene indirizzata a un sito web falso che imita il sito web ufficiale della squadra. Sul sito web, la vittima viene invitata a inserire le proprie credenziali o altri dati personali. Formazione e consapevolezza La formazione e la consapevolezza sono le chiavi per proteggersi dal phishing. È importante che tutti, sia privati che aziende, siano informati sui rischi del phishing e su come riconoscerlo e difendersi. In C2Compliance possiamo aiutarti a proteggere il tuo business attraverso un addestramento Anti-Phishing: il tuo personal trainer virtuale contro gli attacchi Phishing. Si tratta di simulazioni personalizzate e altamente esperienziali di attacco Phishing, da far vivere, inconsapevolmente, a tutti i dipendenti. Si arriva così a massimizzare l’efficacia formativa in 3 ambiti: Percezione del pericolo Prontezza nell’agire correttamente Cognizione della minaccia   Ma come funziona? Le campagne di simulazione riproducono l’esperienza reale e le strategie di attacco adottate dal criminale Cyber. Alla fine della simulazione di attacco Cyber potrai avere: Formazione continua Percorso formativo individuale Report sulla mappa del rischio Sviluppo di resistenza agli attacchi Cyber   Non devi far altro che contattarci per ricevere la tua Demo ed evitare danni a dati importanti e privati    

Il Whistleblowing (dall’inglese “to blow the whistle”, «soffiare il fischietto», in riferimento all’atto di un poliziotto o di un arbitro che tenta di fermare un’azione illecita) è lo strumento attraverso cui i dipendenti di una organizzazione, pubblica o privata, segnalano a specifici individui o organismi una violazione, un reato o illecito, commessi da altri soggetti all’interno dell’organizzazione o dell’ente di riferimento. Di matrice internazionale, il whistleblowing viene disciplinato per la prima volta in Italia dalla legge 190/2012, che introduce una forma di parziale tutela per il dipendente pubblico che decida di segnalare degli illeciti. Le recenti modifiche sono state introdotte dal D.lgs. 24/2023, che ha recepito la Direttiva UE 2019/1937. L’obiettivo è contrastare e prevenire la commissione di reati, illeciti e/o condotte che possano determinare danni, corruzione e cattiva amministrazione del settore privato e pubblico. Ne consegue che la disciplina del whistleblowing vuole promuovere la comunicazione all’interno della struttura aziendale o dell’ente tutelando la libera manifestazione di espressione e del pensiero del segnalante, implementare un sistema di controllo interno ottimale e favorire il progresso dell’attività lavorativa. Attraverso un sistema di canali di segnalazioni, realizzati per garantirne la riservatezza, il whistleblower, ovvero il soggetto che decide di effettuare la segnalazione, comunica la condotta illecita di cui è venuto a conoscenza nel contesto lavorativo, consapevole che verrà a lui riservata una particolare protezione da qualsiasi forma di ritorsione personale e lavorativa. Ad oggi, sulla base di quanto previsto dal D.lgs. 24/2023, sussiste specifico obbligo di predisporre canali di segnalazione per: nel settore privato Enti che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato; Enti che si occupano di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato; Enti che adottano i modelli di organizzazione e gestione di cui al D.lgs. 231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.  nel settore pubblico le amministrazioni pubbliche di cui all’articolo 1, comma 2, D. lgs. 165/2001; le autorità amministrative indipendenti di garanzia, vigilanza o regolazione gli enti pubblici economici, gli organismi di diritto pubblico di cui all’articolo 3, comma 1, lettera d), D. lgs. 50/2016; i concessionari di pubblico servizio, le società a controllo pubblico e le società in house, così come definite, rispettivamente, dall’articolo 2, comma 1, lettere m) e o), D. lgs. 175/2016, anche se quotate.   Può essere segnalato qualsiasi comportamento, atto e/o omissione che lede l’interesse pubblico e l’integrità della pubblica amministrazione o dell’ente privato, possa esso consistere in: illeciti amministrativo-contabili, civili e/o penali, anche se rientrano nell’ambito di applicazione della normativa europea o condotte che violano le disposizioni relative al D. lgs. 231/2001. La segnalazione può essere fatta tramite diversi canali: interno attraverso piattaforma predisposta nell’ambito del contesto lavorativo; esterno attraverso piattaforma ANAC); divulgazione pubblica (tramite la stampa, mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone); denuncia all’Autorità giudiziaria o contabile.  Qualsiasi canale di segnalazione venga scelta, l’intera disciplina è improntata al rispetto della riservatezza del segnalante. L’identità del segnalante è rivelata solo al soggetto competente a ricevere e dare seguito alla segnalazione; la protezione riconosciuta al segnalante riguarda non sono la divulgazione del suo nominativo ma anche ogni elemento da cui si possa desumere, anche indirettamente, la sua identità. Infine, specifiche disposizioni stabiliscono forme di protezione e sanzioni dai 500 ai 50.000 euro se sono accertate forme di ritorsione sulla persona del segnalante, derivanti dall’aver compiuto la segnalazione. Il Whistleblowing oltre ad essere un obbligo di legge, in assenza del quale si è assoggettabili a sanzioni del Garante Privacy, è uno strumento che garantisce la comunicazione e il progresso all’interno della tua azienda. Noi di C2Compliance possiamo essere il consulente di cui hai bisogno per implementare il Whistleblowing.