Mettere in sicurezza un server Linux significa prestare attenzione a una serie di importanti fattori che, se trascurati, potrebbero mettere a rischio il server e tutte le informazioni in esso contenute.

La sicurezza, quindi, è un requisito fondamentale da adottare per salvaguardarsi da attacchi malware e sottrazioni di dati. Vediamo, dunque, quali sono i migliori accorgimenti da adottare per mettere in sicurezza un server Linux.

Mettere in sicurezza un server Linux: installa solo i pacchetti necessari per

Chi dispone di un server pensa innanzitutto alla possibilità di poter installare ogni pacchetto e applicazione, vista la disponibilità di storage che il server stesso mette a disposizione.

Questo è certamente vero, ma non si deve mai dimenticare che anche i server più potenti possono essere hackerati sfruttando le vulnerabilità dei pacchetti e delle applicazioni che girano sul server.

La prima regola per mettere in sicurezza un server Linux è quindi quella di installare solo i pacchetti di cui si ha realmente bisogno, ricordandosi sempre di leggere con attenzione la relativa documentazione prima di installare un qualsiasi software o pacchetto dipendente (ad esempio ownCloud).

Applicazioni sotto controllo per mettere in sicurezza un server Linux

La seconda regola per mettere in sicurezza un server Linux è di monitorarne i servizi, consentendo l’esecuzione solo di quei programmi di cui si necessita.

Può infatti verificarsi che alcuni pacchetti avviino alcuni servizi su porte differenti, mettendo quindi a rischio la sicurezza.

Per verificare quali servizi sono in esecuzione su quali porte, è necessario aprire:

netstat -npl

e controllare se vi sono alcuni servizi “in funzionamento” che invece si pensava “inattivi”.

In questo caso, fermare tali servizi, ricordandosi anche di verificare i servizi che vengono eseguiti all’avvio del sistema.

Per la verifica è necessario eseguire, per i sistemi che eseguono systemd, il comando:

systemctl list-unit-files –type=service | grep enabled

A seconda del sistema che si sta utilizzando, viene restituita una schermata che mostra tutti i servizi in esecuzione; nel caso ve ne siano alcuni di cui non si ha bisogno è possibile disabilitarli usando il comando:

systemctl disable service_name

Mettere in sicurezza un server Linux restringendo l’accesso

Così come non si consegnano le chiavi della propria casa a chiunque, allo stesso modo non si deve dare a tutti l’accesso al proprio server Linux.

La terza regola è dunque quella di restringere l’accesso al server, tenendo però sempre a mente che anche questa precauzione non mette il server al sicuro da eventuali tentativi di accesso indesiderati.

Evitare di loggarsi come super-utente per mettere in sicurezza un server Linux

Non viene considerata come una buona pratica quella di loggarsi al server come super-utente via secure-shell (SSH).

E’ possibile disabilitare il protocollo SSH come root user sul server, ma prima di farlo è fondamentale creare un utente con “sudo powers” così da poter utilizzare la comunicazione SSH ed eseguire attività amministrative.

Una volta loggati al server è sempre possibile passare all’user root se necessario.

Nel caso in cui si possegga già un user sul proprio server, ignorare questi passaggi, mentre nel caso contrario procedere nel seguente modo.

Per aggiungere un nuovo utente si utilizzano diversi metodi; Red Hat/CentOS (usano useradd), Ubuntu/Debian (usano user adduser).

Per creare un nuovo utente su Fedora/CentOS:

useradd swapnil

poi creare una password per l’utente

passwd swapnil

Verrà chiesto di fornire una nuova password. Concluso questo step, procedere assegnando all’utente i poteri “sudo” con il comando:

EDITOR=nano visudo

Viene restituita una schermata nella quale vi è la seguente stringa:

# %wheel ALL=(ALL) ALL

A questo punto, è necessario “togliere il commento” alla linea semplicemente cancellando il simbolo # , che indica appunto che la stringa è commentata.

Il risultato sarà:

%wheel ALL=(ALL) ALL

Basta ora salvare e chiudere il file. Se l’utente non appartiene al gruppo “wheel” è possibile aggiungerlo facilmente eseguendo il comando:

# usermod -aG wheel swapnil

Sui sistemi Ubuntu è possibile aggiungere un nuovo utente eseguendo:

adduser swapnil

Il sistema ci chiede di rispondere a una serie di domande e di creare una nuova password per l’utente. Una volta completato questo step, passare ad assegnare i “sudo powers” all’utente, con il comando:

gpasswd -a swapnil sudo

Aprire una nuova finestra, provare a loggarsi al server utilizzando il nuovo account creato e a eseguire una serie di operazioni da amministratore; se tutto funziona al meglio è possibile passare al prossimo step.

Per mettere in sicurezza un server Linux ricordarsi di disabilitare Login Root

Disabilitare il login root significa impedire a chiunque di collegarsi al server come root user o di utilizzare SSH.

Per procedere aprire il file di configurazione sshd:

nano /etc/ssh/sshd_conf

Cercare la stringa commentata:

#PermitRootLogin no

salvare e chiudere il file e poi riavviare il service:

service ssh restart oppure systemctl restart sshd

E’ molto importante non scollegarsi ancora dal server, ma verificare prima se è possibile loggarsi via SSH usando l’user precedentemente creato.

Se tutto funziona al meglio, è possibile scollegarsi dal server come root user.

Mettere in sicurezza un server Linux cambiando le porte di default

Un secondo e importante cambiamento da apportare al file ssh riguarda le porte di default, aggiungendo in questo modo un ulteriore livello di protezione e di sicurezza al server.

Per farlo è necessario aprire il file di configurazione sshd (come “sudo user” in quanto non è più possibile accedere al server come root user):

sudo nano /etc/ssh/sshd_conf

e rintracciare la linea commentata:

#Port 22

Rimuovere il commento della linea e scegliere il numero di una porta, facendo attenzione a non selezionarne una in uso a un altro servizio del sistema.

E’ possibile avere delle indicazioni su quali porte sono generalmente in uso da questo articolo di Wikipedia così da poterle evitare.

Supponiamo di scegliere la porta 1977 del server:

Port 1977

Salvare e chiudere il file e poi procedere a riavviare il servizio sshd.

Ancora una volta, prima di disconnettersi dal server, verificare le impostazioni aprendo una nuova finestra e loggarsi usando questo pattern:

ssh -p{port_number}@server_IP

Se riuscite ad accedere allora avrete correttamente modificato le porte di default.

Mettere in sicurezza un server Linux disabilitando l’autenticazione tramite password

Una altra regola importante per mettere in sicurezza un server Linux è quella di disabilitare la password di login, ricordandosi però sempre che sarà possibile accedere al server solo dalla macchina sulla quale viene generata la chiave ssh.

Per generare la chiave ssh sul sistema locale, utilizzare il comando

ssh-keygen – t rsa

Comparirà una schermata con una serie di domanda; è possibile lasciare la chiave di default e dotarla di una password forte, difficile da indovinare. Successivamente è necessario copiare queste chiavi sul server in modo tale che le due macchine possano comunicare tra loro utilizzando queste chiavi:

cat ~/.ssh/id_rsa.pub | ssh -p 1977 swapnil@remote-server “;mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys”

A questo punto bisogna testare sshing sul server da un altro terminale e se tutto funziona correttamente, non sarà richiesta l’immissione della password.

Per incrementare ulteriormente i livelli di sicurezza, si può disabilitare l’autenticazione tramite password per il server.

Per fare ciò è necessario aprire il file di configurazione ssh e cercare la seguente linea commentata:

#PasswordAuthentication yes

Rimuovere il commento e modificare “yes” in “no”, salvare e chiudere il file.

A questo punto riavviare il servizio sshd e, ancora una volta, ricordarsi di non chiudere la connessione al server dalla finestra in uso. Aprire quindi una nuova finestra e loggarsi al server, accertandosi che non venga richiesta una password.

Il rovescio della medaglia di questo tipo di impostazione è che sarà possibile collegarsi al server solo dalla macchina sulla quale sono state create le chiavi ssh. Questo significa che, se ci si collega al server da macchine differenti, è bene non utilizzare questo metodo.

Mettere in sicurezza un server Linux: conclusioni

In conclusione, è bene fare alcune considerazioni che potranno essere utili soprattutto ai nuovi utenti di server Linux.

La prima cosa da tenere a mente è che i crackers sono sempre un passo avanti e capaci di sfruttare qualunque “debolezza” per accedere al server.

Uno dei migliori accorgimenti per mettere in sicurezza un server Linux è quindi quello di mantenere un backup sempre aggiornato del server.

A tal proposito, è consigliato fare un backup sia prima che dopo qualunque cambiamento al sito così, nel caso in cui il server venga compromesso, è sempre possibile ripristinare il tutto dall’ultimo backup effettuato.

Scegliere l’antivirus per l’azienda è una di quelle scelte che hanno un enorme effetto positivo nel lungo periodo e che consentono di risparmiare una enormità di tempo e di denaro.

Una volta chi gestiva un’impresa di piccole dimensioni si considerava sostanzialmente al riparo, reputando che gli attacchi di malintenzionati fossero indirizzati ad aziende di maggiori dimensioni, targhettizzate e più redditizie per i cyber-criminali.

Negli ultimi anni la strategia dei cracker si è evoluta e le tecniche di infezione sono decisamente progredite andando a interessare ogni tipologia di impresa, a prescindere dalle dimensioni.

E anzi, proprio le PMI, che tendono a non avere un responsabile esclusivo alla sicurezza, ma che accorpano in una unica persona più ruoli e che potendo, cercano di risparmiare il più possibile.

Scegliere l’antivirus per l’azienda. Capire cosa si vuole

Prima di procedere all’acquisto, è bene porsi una serie di domande che certamente risulteranno molto utili per scegliere antivirus per l’azienda più indicato.

Innanzitutto è bene capire se si necessita di un semplice antivirus per poche postazioni o di una suite di protezione completa e domandarsi, poi, se il software selezionato è effettivamente compatibile con le caratteristiche del network aziendale.

In merito a questo aspetto, quindi, si deve cercare di capire se le policy di sicurezza della propria azienda dovranno essere modificate (perché nella vostra azienda esistono già vero?) o aggiornate per garantire il corretto funzionamento del software.

Insomma, la base è avere già in mente un elenco preciso di qualità che il prodotto dovrà avere, e una serie di esigenze che per la vostra azienda sono considerate come basilari.

Nessuno è al sicuro quindi e sapere come proteggersi e soprattutto farlo efficacemente è una priorità.

Per scegliere il miglior antivirus… parti dal firewall

La scelta del giusto antivirus per la propria azienda non può prescindere dal valutare una serie di parametri fondamentali, che riescono a dare una buona misura dalla correttezza della scelta e della convenienza dell’acquisto.

Prima di individuare i principali criteri di giudizio per scegliere il migliore antivirus per la propria azienda, è bene fare una considerazione.

Non dovete fare affidamento solo sull’antivirus, ma considerarlo come parte di una suite più ampia.

Tutti i sistemi operativi infatti sono dotati di firewall (Windows Security Essential per i computer pre-Windows 8, Windows Defender per Windows 8, il sistema operativo OS X Lion per Apple) che devono sempre essere attivi in quanto riescono già a garantire una serie di funzioni di sicurezza importanti. Mai sottovalutare, dunque, questo aspetto e mai dimenticarsi di attivare il firewall.

Per scegliere l’antivirus aziendale scegli fra i più testati, ma non solo

Uno dei primi passi da compiere per scegliere un antivirus adatto alla propria azienda è sicuramente quello di valutare con la dovuta attenzione e con un giusto approccio critico le caratteristiche dei prodotti anti-malware disponibili.

Lo scopo è, chiaramente, quello di determinare i punti di forza dei singoli software al fine di compararli e di riuscire a determinare qual’è il più efficace in termini di protezione e di convenienza.

Non tutte le imprese, infatti, hanno le medesime necessità per questo riuscire a confrontare le proprie esigenze di sicurezza con gli strumenti forniti dall’antivirus è cruciale per individuare il prodotto migliore.

Molte aziende attive nella realizzazione di antivirus hanno notevolmente ampliato la propria offerta e sviluppato dei pacchetti di protezione completi che includono anche gli endpoint, generalmente più vulnerabili.

Le opzioni, dunque, sono numerose e un aiuto alle aziende alla ricerca di un buon antivirus può certamente venire da tutte quelle organizzazioni, come Virus Bulletin, Av-Comparatives, AV-Test, che si occupano appunto di valutare la reale efficacia degli antivirus.

Tenersi costantemente aggiornati sulle novità anti-virus è altrettanto fondamentale e in quest’ottica preferire i prodotti che riescono a “stare al passo” con le ultime innovazioni segnalate dai migliori team di ricerca anti-virus, può certamente essere d’aiuto.

Tuttavia, relativamente a questo aspetto, è sempre bene ricordarsi che le “indicazioni” date e le valutazioni effettuate dalle community di ricerca AV sono solitamente condotte su campioni resi disponibili dalle case di produzione ed eseguite relativamente a singoli aspetti come la capacità di individuare un malware o di bloccarlo, mentre poco si conosce dell’intero processo.

Scegliere l’antivirus per l’azienda: completezza, scansioni e aggiornamenti

Nella scelta del miglior antivirus, l’azienda deve innanzitutto valutare la completezza del prodotto cercando quindi di capire se i livelli di protezione garantiti sono realmente efficaci e capaci di contrastare le crescenti minacce malware.

Questo significa che una protezione antivirus di base non può essere considerata sufficiente e che, quindi, è fondamentale verificare che l’antivirus selezionato sia in grado di effettuare, ad esempio, scansioni approfondite e automatiche delle email e dei relativi allegati.

Un antivirus, inoltre, per funzionare efficacemente deve essere costantemente aggiornato e riuscire a “riconoscere” anche i virus più recenti.

L’aggiornamento del database delle firme dell’antivirus è quindi fondamentale per consentire al prodotto di lavorare sempre al meglio.

Non vanno, poi, sottovalutati altri due fattori di estrema importanza, vale a dire l’impatto dell’antivirus sulle prestazioni dei PC e l’assistenza fornita dalla casa di produzione.

Relativamente al primo aspetto bisogna accertarsi che l’attivazione dell’antivirus sui computer aziendali ne consenta il normale funzionamento; l’antivirus deve poter funzionare al meglio senza andare, però, ad intralciare le attività quotidiane dell’impresa.

Il supporto tecnico e l’assistenza assicurata è altrettanto fondamentale in quanto alcuni software antivirus possono essere complicati e presentare dei problemi di installazione e di gestione. Un’azienda “in difficoltà” con il proprio antivirus deve sapere a chi rivolgersi e deve poterlo fare in qualunque momento utilizzando canali differenti.

Completezza dell’antivirus non significa solo valutarne le funzionalità ma anche poterlo utilizzare su tutti i computer aziendali.

Per questo, in fase di selezione e di acquisto di un antivirus, è fondamentale anche optare per i prodotti a licenza multi-utente che consentono, in sostanza, di installare l’antivirus su tutte le macchine.

Come scegliere l’antivirus per l’azienda? Osserva tempi e falsi positivi

Comparazione dei prodotti, analisi delle proprie esigenze, frequenza di aggiornamento e assistenza garantita sono fondamentali per riuscire a scegliere un software antivirus. A questi parametri di valutazione è possibile aggiungerne degli altri che attengono più strettamente alle specifiche funzionalità del prodotto.

Gli antivirus hanno molteplici opzioni e alcune di queste risultano fondamentali per accertarsi della sua reale efficacia.

Tra le caratteristiche da considerare attentamente vi è, innanzitutto, la capacità dell’antivirus di individuare e bloccare un malware; questo significa comprendere la reale efficacia dell’analisi anti-malware del software e la sua effettiva abilità nell’attivare tutte le misure necessarie per ripulire il sistema dall’infezione.

Altrettanto cruciale è valutare il tempo generalmente impiegato dall’antivirus nell’individuare un malware prima che questo si diffonda agli endpoint e questo per garantire una adeguata protezione di tutti i PC aziendali, solitamente più a rischio di contagio.

Anche il numero dei falsi positivi è un parametro importante poiché dà la misura della reale affidabilità e della qualità del prodotto installato.

Un ulteriore consiglio per scegliere il miglior antivirus per la propria azienda è certamente quello di optare per prodotti e soluzioni di lungo termine, capaci di combinare tecniche diverse e di assicurare un elevato livello di protezione anche nel lungo periodo.

Come scegliere il miglior antivirus per l’azienda: la fase di test

Mai essere soddisfatti di quello che si legge e di quello che si pensa. La prova sul campo ha un valore insostituibile. Per questo dovete sfruttare appieno la fase di prova che ogni soluzione fornisce.

Questa fase di test è utile non solo per verificare la “compatibilità” dell’antivirus con la rete ma anche per capire se il prodotto può essere installato sui computer aziendali senza comprometterne la performance.

E’ bene poi verificare se il software antivirus prescelto sia “flessibile”, vale a dire se il prodotto consente di “spegnere” alcune delle opzioni disponibili, che potrebbero essere di intralcio alle attività aziendali, senza che questo vada a compromettere la sicurezza e la protezione dei PC.

Il settore dell’e-commerce è in costante crescita e sta assumendo un peso sempre più preponderante nel mercato, oltre a modificare le abitudini dei consumatori. Col tempo si è quindi assistito a un vero e proprio boom dei siti e-commerce, una crescita che ha però portato anche a interrogarsi sul parallelo sviluppo del diritto per la regolamentazione di questo comparto chiave. Quali sono, dunque, le norme che regolano questo settore e quali le note legali di un e-commerce realmente “in regola”?

L’apertura di un negozio online può ampliare notevolmente il proprio business e la platea dei propri clienti, ma è indispensabile ricordarsi di adempiere a tutte le disposizioni previste per legge, al fine di evitare sanzioni anche molto pesanti.

Per rendersi conto di quanto potrebbe costare non prestare la dovuta attenzione alle note legali di un sito e-commerce, basta dare uno sguardo alle multe previste in caso di infrazioni.

La mancata pubblicazione della partita IVA in home page, ad esempio, può essere sanzionata con una multa che va da un minimo di 258 euro sino ad un massimo di 2.065 euro, mentre l’omissione dell’informativa sulla privacy o il suo non idoneo inserimento può essere punito con una sanzione che va da un minimo di 6.000 euro a un massimo di 36.000 euro.

Multe ancora più salate sono invece previste per il non rispetto della normativa sui cookies.

Si va da una sanzione dai 6.000 ai 36.000 euro nel caso di informativa omessa o non idonea, mentre l’installazione di cookies senza consenso comporta una multa dai 10.000 ai 120.000 euro. Ancora più pesanti le sanzioni per l’omessa o incompleta notifica al Garante, punite con importi dai 20.000 ai 120.000 euro.

Note legali di un e-commerce. Quali pagine inserire per essere in regola

L’e-commerce è una specifica forma di commercio di beni e servizi effettuata per via elettronica attraverso delle piattaforme web sulle quali il venditore carica il proprio catalogo di prodotti o servizi per consentirne la consultazione da parte del compratore.

L’e-commerce può essere di due diverse tipologie tenendo conto del profilo del cliente; si parla quindi di “Business to Consumer” (B2C) per le aziende che vendono ai privati e di “Business to Business” (B2B) per le aziende che vendono ad altre aziende.

La normativa che regola i siti e-commerce è abbastanza complessa in quanto coinvolge discipline diverse come ad esempio la tutela dei consumatori, il trattamento e la protezione dei dati personali, oltre alle disposizioni specifiche per il commercio elettronico.

Gli obblighi per la gestione di un sito e-commerce, infatti, fanno riferimento al codice civile, alla normativa sul commercio elettronico (D.Lgs.70/2003), alle disposizioni relative ai contratti stipulati al di fuori di esercizi commerciali e al recesso (cd. Codice del Consumo D.Lgs 206/2005 e successive modifiche), alla normativa in materia di privacy (Codice in materia di protezione dei dati personali), senza dimenticare la direttiva europea 2009/136 (Cookie Law), che fornisce dei chiarimenti relativamente all’utilizzo dei cookie e alle informazioni che è necessario fornire ai consumatori.

Quali sono, dunque, le norme che un sito e-commerce deve rispettare sia relativamente alla legge italiana che a quella europea?Quali le note legali di un e-commerce che devono necessariamente comparire sulle piattaforme web?

Note legali di un e-commerce. I dati e le informazioni principali

La normativa e-commerce stabilisce una serie di adempimenti informativi che hanno al centro la trasparenza e, quindi, la tutela degli utenti.

La prima pagina da predisporre all’interno di un e-commerce riguarda proprio questo tipo di dati e di informazioni, ritenute fondamentali per consentire l’identificazione della società.

I dati obbligatori sono:

• Nome, denominazione o ragione sociale
• Domicilio e sede legale
• Numero di iscrizione al RAE(Repertorio Attività Economiche) o al registro delle imprese
• Numero Partita IVA

E’ bene ricordare che la partita IVA deve necessariamente essere riportata nella home page, mentre le altre informazioni, come la sede o il numero di iscrizione, possono comparire anche in altre pagine del sito (solitamente si inseriscono tutte queste informazioni nel footer così che compaiano in ogni pagina del portale).

In aggiunta, la Corte di Giustizia Europea ha stabilito con la sentenza C-298/07 del 2008 che chi opera nel commercio elettronico deve sempre predisporre una comunicazione efficace con il consumatore, il quale, quindi, deve avere facoltà di contattare il venditore anche prima della stipula di un contratto.

Note legali di un e-commerce: la Privacy Policy e il trattamento dei dati

Chi gestisce un sito e-commerce si trova, ovviamente, ad acquisire e a trattare i dati personali dei propri clienti e deve, quindi, sapere in che modo gestire tali dati e conoscere dettagliatamente le disposizioni di legge in merito.

Il Codice in materia di protezione dei dati personali (D.Lgs n.196/2003) dispone che tutti coloro che sono titolari di un sito web devono pubblicare sullo stesso l’informativa sulla privacy dei dati personali, dedicando a questa una intera pagina che sia facilmente rintracciabile dall’utente.

Questo significa che la seconda pagina da inserire nel vostro e-commerce dovrà riguardare il trattamento dei dati dei clienti, specificando non solo le norme che regolano la gestione dei dati raccolti attraverso il sito ma anche una serie di informazioni attinenti all’azienda e al responsabile del trattamento degli stessi.

In primo luogo è bene precisare che per dati personali si devono intendere tutti quei dati che consentono, anche in associazione ad altri, di risalire all’identità di una persona, ricomprendendo quindi non solo quei dati acquisiti automaticamente (come l’indirizzo IP) ma anche tutti quei dati che vengono forniti direttamente dall’utente in fase di acquisto o di conclusione di un contratto.

Cosa deve contenere la pagina dedicata alla Privacy Policy?

In linea di massima una Privacy Policy deve sempre contenere:

• Titolarità del trattamento
• Conferimento dei dati obbligatorio o facoltativo
• Trattamento dei dati personali
• Modalità di cancellazione dei dati
• Eventuale trasferimento dei dati a terzi

Ricordiamo che il titolare del trattamento dei dati viene solitamente identificato con il titolare del sito e che la pagina della Privacy Policy deve essere richiamata tramite un link anche nelle sezioni in cui i dati vengono raccolti, come ad esempio la pagina dell’ordine.

Per quanto riguarda il consenso da parte dell’utente questo si esprime in due modalità:

• Modalità diretta, tramite cioè un “check” di accettazione esplicita
• Modalità indiretta, solitamente con una dicitura del tipo “con l’invio del form si accetta l’informativa sulla privacy”

Per i siti e-commerce la finalità del trattamento è volta solitamente alla conclusione del contratto o dell’acquisto, il che significa che nel caso di finalità differenti, come l’invio di e-mail pubblicitarie o la profilazione, sarà necessario richiedere all’utente un consenso separato ( o un consenso unico per la cosiddetta finalità di marketing diretto).

Note legali di un e-commerce: la normativa sui cookie

Tra gli aspetti di maggiore attualità relativamente agli obblighi dei siti web, vi è certamente la legge sui Cookie, divenuta obbligatoria dal maggio 2015 con la direttiva UE n.136/2009, recepita dal provvedimento del Garante per la Privacy n.229/2014.

Si tratta di una normativa che in pratica stabilisce che tutti i titolari di un sito web devono inserire all’interno del sito una specifica pagina che chiarisca l’utilizzo dei cookie sul sito stesso.

La normativa sui cookies prevede la predisposizione di due diverse informative, la prima da inserire come banner in home (riproposto anche nelle altre pagine del sito), la seconda da inserire in una pagina dedicata. La terza pagina del vostro e-commerce, quindi, dovrà prevedere la presenza dell’informativa estesa sui cookie nella quale è necessario inserire:

• Elementi previsti dal codice
• Finalità e tipologia di cookies
• Moduli di consenso per delle parti terze
• Richiamare la possibilità per gli utenti di manifestare le diverse opzioni sui cookies anche attraverso le impostazioni del browser utilizzato per la navigazione

L’informativa breve sarà presente, come detto, come banner in home nel quale bisogna precisare che il sito utilizza i cookie e che l’utente ha la possibilità di negarne l’installazione. Nel banner, inoltre, deve essere presente anche un link all’informativa completa.

Note legali di un e-commerce: come impostare il banner sui cookie

Il Garante della Privacy è intervenuto con una serie di precisazioni in merito all’utilizzo dei cookies all’interno di un sito. La prima fondamentale distinzione individuata dal Garante attiene alla tipologia dei cookies utilizzati, classificati in tre diverse tipologie:

• Cookie tecnici
• Cookie di profilazione
• Cookie di parte terze

prescrivendo per ognuno di essi regole informative e usi diversi da parte degli editori.

Per i cookie tecnici, indispensabili per il funzionamento del sito, il Garante ha disposto che bisogna solo darne informazione nella Privacy Policy (senza banner quindi), anche nel caso in cui si tratti di cookie analitycs (usati per le statistiche), che non coinvolgono terze parti. Il provvedimento del Garante ha anche precisato che il banner e il blocco dei cookies non sono previsti anche nel caso di cookie analitycs che coinvolgano le terze parti, a patto però che i dati siano privati da elementi identificativi e che la terza parte non incroci i dati.

Questo significa che in presenza di cookie analitici di terze parti di carattere identificativo, il sito deve necessariamente utilizzare sia il banner che il blocco preventivo dei cookie. Stesso discorso vale per i cookie di profilazione appartenenti alle terze parti, mentre per i cookie profilanti usati direttamente dal sito è indispensabile non solo esporre il banner e bloccare preventivamente i cookie ma anche dare notifica del trattamento al Garante.

Per quanto riguarda il consenso dato dall’utente, il Garante chiarisce che la prosecuzione della navigazione (con click sul banner, al di fuori di esso o con il semplice scroll) è da considerarsi come assenso all’uso dei cookie.

I proprietari di siti hanno l’obbligo di conformarsi alla normativa sui cookies, incorrendo in pesanti sanzioni nel caso di mancato adeguamento.

In particolare, nel caso di informativa omessa o non idonea la sanzione amministrativa può andare da 6.000 a 36.000 euro, mentre l’installazione di cookies senza consenso comporta una sanzione dai 10.000 ai 120.000 euro. La omessa o incompleta notifica al Garante viene invece sanzionata con una somma che va dai 20.000 ai 120.000 euro.

Note legali di un e-commerce: obblighi informativi prima dell’acquisto

Il nuovo codice del consumo, che ha armonizzato la normativa italiana con quella europea, ha cercato di porre al centro delle disposizioni la necessità di informare il cliente in maniera dettagliata.

Per tale ragione sono stati fissati una serie di obblighi informativi sia pre-contrattuali che in fase di ordine, i primi da inserire in pagine informative generali ( una pagina del tipo “Condizioni di vendita generali”), i secondi da visualizzare all’interno della pagina dell’ordine.

Gli obblighi informativi pre-contrattuali devono includere:

• Informazioni sul venditore
• informazioni e descrizione dettagliata del prodotto
• Informazioni sui prezzi e costi aggiuntivi (comprensivi di imposte e spese di spedizione)

Oltre a questi, esistono poi altri obblighi a carico del venditore, da rispettare prima e immediatamente dopo l’inoltro di un ordine.

Tutte queste informazioni non possono essere inserite in una pagina specifica, ma devono essere presenti nella pagina che descrive il prodotto, e nel percorso dedicato all’ordine nella quale si ricorda che deve essere presente anche un pulsante che specifichi che si tratta di un ordine con pagamento, poiché in caso contrario l’utente non è vincolato al contratto di acquisto.

Nel dettaglio, nella fase immediatamente precedente all’acquisto di un bene o di un servizio è indispensabile fornire al consumatore:

• Informazioni esaustive sul prodotto o servizio
• Prezzo, comprensivo di imposte e altri costi aggiuntivi
• Costi totali ed eventuale periodo di fatturazione
• Modalità di correzione di eventuali errori in fase di ordine

Conclusa la fase di acquisto il venditore è tenuto a inviare al consumatore una conferma della conclusione del contratto o dell’acquisto, generalmente via e-mail ma anche con documenti cartacei, nella quale indicare:

• I dettagli e i dati relativi alle condizioni generali del contratto
• Caratteristiche del bene o del servizio, prezzo, modalità di pagamento
• Diritto di recesso

Note legali di un e-commerce: pagamenti e consegne

In un sito e-commerce è poi necessario inserire un’altra pagina, generalmente nel footer, dove si indicano i dati relativi alle modalità di pagamento e alle consegne.

Per quanto concerne la consegna generalmente nel footer si indicano solo i nomi dei corrieri utilizzati, dedicando poi una pagina di approfondimento nella quale devono essere fornite informazioni aggiuntive come:

• Modalità di spedizione
• Tempi di consegna
• Corrieri
• Costi
• Copertura territoriale delle consegne
• Opzioni di spedizione
• Informativa su cosa fare nel caso di smarrimento del pacco
• Eventuali modalità per tracciare il pacco

Stesso discorso vale per le modalità di pagamento.

Nel footer è sufficiente inserire i metodi di pagamento accettati, mentre in una pagina dedicata bisognerà fornire informazioni ulteriori relative alle diverse opzioni di pagamento (pagamento alla consegna, carte di credito, pagamenti anticipati, paypal etc.).

Note legali di un e-commerce: la politica di reso

Molto importante è anche fornire tutte le informazioni per i resi dei prodotti, informazioni alle quali è bene dedicare una pagina del sito. Solitamente le disposizioni relative al reso sono richiamate anche nel footer con un link in modo da renderle facilmente accessibili a tutti gli utenti.

Nella pagina relativa al diritto di reso è bene indicare:

• Modalità di reso
• Modalità di cambio
• Servizi di reso disponibili
• Eventuale iter da seguire nel caso in cui non sia possibile effettuare il reso come indicato (a causa ad esempio dello smarrimento della ricevuta del prodotto)

Note legali di un e-commerce: il diritto di recesso

Nelle condizioni di vendita di un sito e-commerce, e in una pagina dedicata, devono sempre essere contenute delle precise informazioni relative alla possibilità per il consumatore di esercitare il diritto di recesso.

A tal proposito si stabilisce che il consumatore abbia diritto a recedere dal contratto entro un tempo di 14 giorni, senza dover sostenere costi aggiuntivi per la restituzione del bene e senza dover indicare alcuna motivazione.

Per esercitare il recesso è necessario che il consumatore informi il venditore della volontà di recedere entro il termine stabilito o utilizzando un apposito modulo presente sul sito o presentando una dichiarazione in merito.

Il venditore è tenuto a rimborsare il consumatore entro il termine di 14 giorni dalla “manifestazione” della volontà di recedere.

E’ bene ricordare che esistono delle eccezioni al diritto di recesso appena illustrato come i beni su misura, i beni deteriorabili o soggetti a veloce scadenza, i beni sigillati che non possono essere restituiti una volta aperti per motivi igienici o sanitari, le riviste e giornali e così via. Nell’ipotesi in cui il diritto di recesso non sia stato chiaramente illustrato o non sia presente, allora il consumatore ha diritto di recedere entro 12 mesi.

Note legali di un e-commerce: conclusioni

Da quanto visto risulta evidente come le note legali di un e-commerce devono essere precise, esaustive e rispettare tutte le disposizioni di legge relativamente a diversi aspetti, dall’informazione generale al trattamento dei dati, dalle condizioni contrattuali all’uso dei cookie. Ricapitolando, le pagine minimamente indispensabili per essere a norma sono:

• Informazioni sulla azienda
• Privacy Policy e trattamento dati
• Gestione dei cookie
• Banner per il consenso a cookie di terze parti
• Ordini sul sito e informazioni sui prodotti
• Pagamenti e consegne
• Resi e rimborsi
• Diritto di recesso

E’ quindi fondamentali per tutti coloro che operano nel commercio elettronico prestare una grande attenzione a ognuno di questi aspetti grazie ai quali si regolamenta il settore e si tutelano i diritti dei consumatori.

Quando i consigli per proteggere la privacy e i trucchi per la protezione dei dati personali vengono da Kevin Mitnick, l’hacker più abile del mondo, inevitabile drizzare le antenne.

Il pirata informatico che ha cominciato la sua carriera da adolescente, e che ha trascorso quasi 5 anni in prigione per violazione di sistemi informatici, è ora dalla parte della legge. Mitnick svolge la sua attività di consulente in giro per il mondo aiutando i clienti a proteggersi dalle vulnerabilità.

L’edizione aggiornata del suo nuovo libro, aiuta chiunque, dagli utenti che utilizzano internet sporadicamente a quelli che ne sono profondi conoscitori, ad essere più preparati quando si tratta di proteggere le proprie informazioni personali.  La nuova edizione de “L’arte dell’invisibilità”, copre una serie di argomenti che alcuni lettori potrebbero trovare addirittura eccessivi. Dal creare una password sicura all’inviare delle mail cifrate e in mezzo decine e decine di altri argomenti per proteggere la privacy. C’è persino la sezione che spiega come proteggere i propri dati alla dogana.

Proteggere la privacy. Quando a dirtelo è Mitnick: il primo hacker al mondo

Ma Mitnick ha spiegato che devono essere i lettori a scegliere una soluzione che funzioni per loro. Non esiste una risposta che vada bene per chiunque, e spesso la soluzione che appare leggermente più facile è anche leggermente meno sicura. “La mia visione dell’intero libro vuole insegnare alle persone come individuare la migliore tecnologia per proteggere la propria privacy, piuttosto che utilizzare quella che viene consigliata da qualcuno”, spiega Mitnick con particolare riferimento ai sistemi di cifratura per lo scambio di messaggi.

Mitnick, che ha partecipato alla conferenza di sicurezza informatica della RSA che si tiene ogni anno per una settimana a San Francisco, ha illustrato le ultime tendenze dell’hacking e le modalità con cui difendere i sistemi informativi e proteggere la privacy. Cnet ha ottenuto una intervista che proponiamo nella sua versione italiana.

La sua capacità di accedere alla vita digitale di qualcuno deriva dalla sua grandissima storia come hacker. Ma il suo libro è rivolto a persone normali. Come crede che una persona normale possa pensare come un hacker, e lei che è un hacker come crede di essere in grado di pensare come una persona normale?

È stato difficile.  Ad esempio, quando ho iniziato a lavorare con il mio co-autore ho dovuto faticare molto per fargli capire che aveva bisogno di un’intero progetto per proteggere la sua privacy, perché lui credeva di non compiere nessun particolare errore. Ho avuto una lunga discussione con lui. Invece, anche se non sembra, è importante proteggere la propria privacy anche perché una volta che perdi i tuoi diritti alla privacy questi non ti vengono restituiti.

Io fornisco alle persone una piccola lista di cose per innalzare il livello di sicurezza e rendere sempre più difficile per gli altri ottenere i dati. Ad esempio, se usiamo un password manager come LastPass, possiamo farlo in maniera semplice. Se usiamo Lastpass possono ancora colpirci? Sì, utilizzando sistemi complessi. Ma comunque il livello della difficoltà è superiore alla media. Nonostante non ci sia una protezione al 100%.

Che cosa dice alle persone che affermano di non avere nulla da nascondere?

Gli risponderei di sbloccare lo smartphone e di consegnarmelo. “Posso controllare le tue mail i tuoi messaggi?” “No” “Perché? Non hai nulla da nascondere. Allora fallo!” “No, non ho alcuna intenzione di darti il mio smartphone.”. Lo vede?

Quando stai facendo una telefonata a casa, vorresti che qualcuno ti possa ascoltare? È fastidioso, cambia il tuo comportamento, perché viola le regole fondamentali e il tuo diritto alla riservatezza. Tu hai il diritto di parlare come vuoi, pensare come vuoi pensare, e socializzare con le persone con cui vuoi socializzare in maniera riservata.

Lei stesso è obiettivo di hacker, e un tempo si è dovuto nascondere dal governo degli Stati Uniti. Ma perché il resto di noi dovrebbe essere preoccupato da una eventuale invasione della privacy?

Forse i tuoi bambini vogliono leggere il tuo cellulare, o forse i tuoi genitori. Forse il tuo insegnante. Magari il tuo datore di lavoro. I datori di lavoro molto spesso possono controllare legalmente molti dati dei dipendenti, e le persone non sanno che possono farlo. E poi i criminali, quelli che vogliono rubarti l’identità, quelli che vogliono le informazioni della tua carta di credito, quelli che vogliono diventare te.

La questione sulla polizia di dogana, che può avere accesso agli account e ai dispositivi è forse una delle parti più interessanti del  libro. Che cosa vuole dire alle persone interessate a questo?

C’è stato un ingegnere della NASA, Sidd Bikkannavar,  che fu costretto a consegnare la password del suo cellulare alla dogana. Io non l’avrei mai fatto perché sono un cittadino americano. Loro non possono chiederlo quindi se la dogana vuole prendere il mio computer può farlo. Ma io non sono assolutamente tenuto a fornire le mie credenziali, mai e per nessun motivo.

Se io porto alla dogana un iPhone, e ho attivato la funzione Touch ID, una corte federale potrebbe obbligarti a posizionare il pollice sul device per aprirlo. Ma loro non possono obbligarti a rivelare la tua password secondo le leggi vigenti. Quindi che cosa bisogna fare?

Provate a portare i minimi dati personali quando superate la dogana. Iniziate da un servizio cloud che possa cifrare i dati. Questo è quello che faccio normalmente. Io cifro sempre tutto il mio sistema realizzandone un backup su USB e lo mando tramite un corriere a un amico e non torno a casa finché questo non lo ha ricevuto. L’unica cosa che possono fare alla dogana è requisire i miei dispositivi.

Ma questo implica che bisogna rifiutarsi di consegnare la propria password alla polizia.

Normalmente una persona non vuole essere fermata e lo fa. Ma io sono differente, io sono più di un ribelle. Io semplicemente non lo faccio. Non ho fatto niente di male. Tu non hai il diritto di chiedermi la password. La legge è dalla mia parte.

Quale sarebbe un sistema ideale per difendere la privacy di una persona?

Il sistema dove tutto è sicuro, e non hai bisogno di saperlo. Dove non hai bisogno di abilitare niente. Magari quando compri qualcosa, se è un prodotto di sicurezza, schiacci un bottone. Ho pagato per proteggere la privacy e funziona. Fatto

Che cosa serve per rendere tutto questo realtà?

L’innovazione, la domanda del mercato, e che produttori come Apple, dell, HP e Samsung inizino a costruire questi prodotti. E fare in modo che tutto ciò sia parte di loro dispositivi in modo tale che gli utenti non ci debbano nemmeno pensare.