privacy

Legge Cookie Privacy 2 giugno 2015: cosa devi fare per il tuo sito e-Commerce

3.67 avg. rating (75% score) - 6 votes

Cookie Law

Mancano solo 20 giorni dall’entrata in vigore del Provvedimento del Garante per la protezione dei dati personali n. 229/2014, obbligatorio per tutti i siti a dal 2 giugno 2015. Approfondiamo l’argomento perché l’impressione è che in molti non abbiano ancora mosso un dito.

Di cosa parliamo

Lavorando con siti e-Commerce e curando attività di Lead Generation mi devo confrontare spesso con il tema della Privacy. Ho approfondito un po’ l’argomento che sintetizzo qui, avendo già fatto un minimo di screening. Chiaramente non sono un legale e l’obiettivo di questo post non è certo sostituirmi a un professionista: ho raccolto informazioni da fonti autorevoli aggregandole con un minimo di logica, tuttavia vi chiedo di prendere queste righe con il beneficio del dubbio e approfondire quello che ritenete utile a decisioni importanti.

Nel mio piccolo, ho imparato un sacco di cose nuove. Per esempio che oggi, sul mio computer, ci sono oltre 100 cookie di piattaforme per la Pubblicità Comportamentale o Online Behavioural Advertising (cos’è la Pubblicità Comportamentale?). Si tratta di aziende e servizi di cui in parte non ho mai sentito parlare, pur lavorando in questo settore da diversi anni, spesso dalla stessa sponda del fiume! 😉

 Elenco di cookie di profilazione pubblicitaria presenti sul mio computer

Entriamo nel vivo. Avete già una Privacy Policy sul sito? Bene, oggi vediamo come integrarla con le novità del provvedimento 229/2014: cosa scrivere e soprattutto come modificare il sito (eh si, questa volta dovete passare dagli sviluppatori!) per rispettare la normativa. Nello specifico approfondiamo le modalità semplificate per l’Informativa e acquisizione del consenso per l’uso dei cookie, identificate dal Garante. Esistono due tipologie di cookie, due tipologie di informativa, varie implementazioni e altrettante sanzioni, vediamo tutto in dettaglio in 4 passaggi fondamentali.

Ambito e tempistiche

Ciò che trovate descritto in questo post è obbligatorio per tutti i siti italiani dal 2 giugno 2015. Chi gestisce o è titolare di un sito deve garantire la conformità alla normativa entro quella data, quindi l’1 giugno 2015 alle 23:59:59 tutto deve già essere in regola. Le norme qui indicate sono obbligatorie per ogni sito indipendentemente dal device attraverso il quale viene fruito e utilizzato. Insomma vale anche per siti mobile, siti responsivi e app.

1. Cookie tecnici e Cookie di profilazione

Il Garante ha idealmente catalogato i cookie rilasciati da un sito in due categorie: Cookie tecnici e Cookie di profilazione. I Cookie tecnici non necessitano consenso preventivo da parte del visitatore e tantomeno un’informativa breve, mentre quelli di profilazione si.

Cookie tecnici

I Cookie definiti “tecnici” indicati dal Garante sono quelli

  1. relativi ad attività strettamente necessarie al funzionamento del sito e/o del servizio richiesto;
  2. relativi ad attività di salvataggio delle preferenze (es. prodotti inseriti nel carrello, impostazione di lingua e valuta ecc.);
  3. relativi alla statistica, ma solo se utilizzati direttamente dal gestore del sito e solo se in forma aggregata, non singolarmente.

Cookie di profilazione

I Cookie definiti “di profilazione” indicati dal Garante sono quelli

  1. di profilazione pubblicitaria;
  2. di retargeting;
  3. dei social network;
  4. di statistica gestiti da terze parti.

ATTENZIONE: i Cookie di profilazione non possono rimanere sul dispositivo del visitatore per un periodo superiore a 12 mesi, avvisate i vostri sviluppatori affinché adeguino la vita dei cookie di questo tipo.

Eccezioni

E’ interessante notare che, soprattutto per i Cookie di profilazione relativi a servizi di statistica (che poi sono quelli in uso praticamente su tutti i siti degni di questo nome) esistono due eccezioni. Tali deroghe permettono di non chiedere obbligatoriamente il consenso preventivo nei seguenti casi:

  1. Cookie inviati da software di analytics installati direttamente sul server del sito o nella server farm del sito (es. Piwik, Sawmill ecc.), quindi parliamo di quelli non forniti da servizi esterni di terze parti;
  2. Cookie gestiti da terze parti, ma anonimizzati in maniera tale che la terza parte non possa accedere né utilizzare i dati in forma disaggregata a livello IP.

Per esempio Google Analytics può anonimizzare i dati in questo modo tramite l’apposita funzionalità di Mascheratura dell’indirizzo IP.

2. Informativa breve e Informativa estesa

Si tratta, né più né meno, di un testo necessario a informare il visitatore su quali aspetti del suo comportamento online vengono registrati e utilizzati, come e da chi. L’informativa in questione serve – in teoria – per consentire al visitatore di scegliere se desidera concedere l’archiviazione e l’utilizzo dei cookie sul proprio terminale/dispositivo. Si parla per questo motivo di “consenso informato”. Dico in teoria perché di fatto l’informativa non la legge mai nessuno (verificate attraverso il vostro sistema di analytics), sia perché come italiani non diamo ancora grande peso a questi aspetti, sia perché si tratta spesso di un testo in legalese lungo un infinito (e direi appositamente studiato per non essere letto. Chapeau!).

Informativa breve: cos’è?

Necessaria solo nel caso in cui il sito invii cookie di profilazione. E’ un’informativa estremamente sintetica, visibile non appena si carichi una qualsiasi pagina del sito, al primo accesso e per ogni accesso successivo quando non sia stato espresso il consenso all’utilizzo dei cookie. Deve sempre contenere il link all’informativa estesa. In termini di layout, lo spazio dedicato all’informativa breve (es. un banner, una fascia ecc.) deve essere differenziato dal resto dei contenuti ed evidente, preferibile introdurre caratteristiche come: dimensioni adeguate, animazione/espandibilità, caratteri evidenti, colori contrastanti ecc. Ecco un testo di esempio tratto dal documento fonte del post e un sito che lo usa attivamente:

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando su qualunque suo elemento acconsenti all’uso dei cookie.

Esempio di banner con Informativa breve

L’esecuzione di una qualunque delle azioni indicate nel testo conferma il consenso. Quindi il non interagire con i moduli di consenso, l’uscire dall’informativa chiudendola o semplicemente continuando a navigare nel sito è già sufficiente per dichiarare di aver prestato il consenso, ma solo a condizione che sia indicato espressamente nel testo del banner (come nell’esempio qui sopra). In questo caso, dalla visita successiva non è più necessario mostrare il banner con l’informativa né chiedere alcun consenso. Viceversa dovrà comparire a ogni nuova visita.

ATTENZIONE: l’informativa breve è necessaria solo se il sito invia anche cookie di profilazione, se invia solo cookie tecnici non serve usare l’informativa breve.

Informativa estesa: cos’è?

Si intende l’informativa completa sull’utilizzo dei Cookie. Può essere una pagina dedicata a tale scopo oppure una sezione all’interno della Privacy Policy del sito. In ogni caso deve contenere come minimo:

  1. quanto richiesto dall’articolo 13 del d.lgs 196/2003 “Codice privacy”, caratteristiche già teoricamente presenti in tutti i siti 🙂
  2. una spiegazione sintetica e chiara su cosa sono i cookie e come gestirli/eliminarli tramite le impostazioni del browser;
  3. l’indicazione di come viene prestato il consenso (cfr. il copy di esempio per il banner);
  4. le tipologie e la descrizione dei Cookie tecnici divisi per finalità;
  5. le tipologie e la descrizione dei Cookie di profilazione divisi per finalità, con relativo – singolo – specifico modulo di consenso;
  6. le tipologie e la descrizione dei Cookie di terze parti con relativa finalità, specifico link all’informativa e al modulo di consenso della terza parte. Per i soli Cookie di profilazione pubblicitaria (es. retargeting ecc.) si può linkare – qualora fosse tra i sistemi consociati – il sito www.youronlinechoices.com/it (scritto proprio così, non è un esempio, è il link vero). Per curiosità, provate a vedere quanti cookie di profilazione sono già attivi sul vostro computer senza saperlo…

ATTENZIONE: l’Informativa estesa è sempre necessaria sia che si inviino Cookie di profilazione che solo Cookie tecnici. E’ altresì utile sapere che “la responsabilità per la gestione delle preferenze dell’utente relativamente ai cookie di terze parti ricade sulla terza parte che li ha rilasciati“.

3. Cosa bisogna fare

Il proprietario del sito è tenuto a scrivere e comunicare ai visitatori una Cookie Policy, tale informativa può essere slegata o incorporata nella Privacy Policy del sito. Per inserire le informazioni corrette occorre:

  1. elencare tutti i cookie installati dal sito e la finalità di ognuno (es. Cookie “ricordati di me” per il login interno);
  2. elencare le terze parti che potrebbero inviare Cookie tramite il sito (es. Facebook Connect) e segnare il link della loro privacy policy;
  3. catalogare i Cookie per finalità di trattamento;
  4. aggiornare, integrando, la Privacy Policy del sito;
  5. modificare il comportamento automatico del sito in merito ai Cookie.

Come modificare il comportamento automatico del sito in merito ai Cookie

Dovete chiedere agli sviluppatori di mettere mano al codice del sito per fare in modo che risponda automaticamente alle scelte (esplicite o non) dei visitatori. Nello specifico chi sviluppa la modifica al sito dovrà:

  1. isolare i blocchi di codice che potrebbero inviare Cookie di terze parti (es. Javascript di tracciamento);
  2. inserire in tutte le pagine la visualizzazione dell’Informativa con possibilità di interazione e scelta;
  3. fare in modo che il punto 1 lavori in base alle scelte del punto 2.

Esiste poi un interessante escamotage, con i suoi pro e contro. E’ possibile evitare lo step 3, inviando sempre e comunque tutti i Cookie al visitatore, ma senza “attivarli” (ovvero leggerli/usarli) finché il visitatore non esprime il consenso. Inoltre, solo per i visitatori che non hanno ancora espresso il consenso, per utilizzare questo escamotage nel rispetto della normativa, durante la seconda visita il sito deve cancellare i cookie e inviarli nuovamente (come se l’utente fosse alla sua prima visita). In pratica, se il visitatore non dà il consenso esplicito il sito può inviare i Cookie, ma non li deve usare fino a comunicazione contraria e, se questa non arriva durante la visita stessa, alla visita di ritorno vanno eliminati. Tutto ciò garantisce l’assenza di lettura/aggiornamento dei Cookie durante la visita successiva e quindi l’assenza di profilazione dell’utente. Infatti, se non c’è un consenso o un diniego esplicito, occorre prevedere un Cookie tecnico che identifichi l’utente come alla prima visita, chiedendo nuovamente il consenso.

Processo

Secondo la normativa, l’interazione col visitatore del sito dovrebbe essere eseguita così:

  1. mostrare l’informativa per esempio tramite banner/overlayer;
  2. inviare i Cookie tecnici;
  3. verificare se l’utente abbia già espresso preferenze, analizzando se alla prima visita o meno. In caso di seconda visita e mancanza di esplicito consenso fare in modo di eliminare i Cookie e considerare l’utente come fosse alla prima visita;
  4. in caso di negazione esplicita del consenso: blocco dei Cookie di terze parti che rilasciano Cookie di profilazione, poi rilascio dei Cookie che non profilano l’utente. In caso positivo invece: rilascio dei Cookie di profilazione;
  5. salvataggio delle preferenze utente di consenso in un Cookie (così da non mostrare più il banner/informativa);
  6. gestione e aggiornamento della Cookie Policy.

In sostanza al primo accesso sul sito si possono rilasciare sempre i Cookie tecnici, ma non quelli di profilazione nel caso in cui l’utente non abbia ancora esplicitato il consenso.

ATTENZIONE: il Garante richiede che si tenga traccia del consenso da parte dell’utente utilizzando un Cookie tecnico, ma non ha indicato la soluzione tecnologica da adottare. 😀 Per questa ragione, a ulteriore tutela, può aver senso introdurre un processo interno di risposta veloce per gli utenti che lamentano necessità di confermare/negare il consenso oppure chiedono informazioni su come cancellare i cookie dal proprio browser.

4. Obblighi e sanzioni

I titolari dei siti che utilizzano Cookie di profilazione sono obbligati a notificarlo preventivamente al garante (cfr. art. 37, comma 1, lett. d, del Codice della Privacy) tramite questo modulo online. Dall’obbligo sono esclusi i titolari di siti che inviano Cookie di profilazione solo tramite servizi di terze parti in quanto non rientrano nel controllo degli stessi. Tuttavia, se il titolare del sito può accedere in forma disaggregata a questi dati (es. Google Analytics senza Mascheratura dell’indirizzo IP) si ritorna sull’obbligo in quanto ipoteticamente interpretabile come co-titolare e va quindi notificato.

Le sanzioni possono essere onerose, alcuni esempi:

  1. omessa Informativa o Informativa non idonea, sanzione da 6.000 a 36.000 euro;
  2. installazione Cookie senza preventivo consenso, sanzione da 10.000 a 120.000 euro;
  3. omessa o incompleta notificazione al Garante, sanzione da 20.000 a 120.000 euro.

Tutto questo è applicabile a i soggetti stabiliti in Italia. Si intende il luogo dove viene effettivamente esercitata l’attività di trattamento in maniera stabile (indifferente se trattasi di sede legale o succursale o filiale con personalità giuridica).

Fonti

Per approfondire l’argomento e scrivere questo post ho utilizzato principalmente il documentoCookie istruzioni per l’uso” (ricevuto in qualità di soci IAB Italia) redatto da DMA Italia, FedoWEB, Netcomm, UPA e ovviamente IAB Italia, ma che ho visto disponibile anche sul sito del Sole 24 Ore. Al documento ha partecipato anche Iubenda in qualità di partner tecnico, un servizio molto valido che vi suggerisco di provare per ottenere -a un costo più che accessibile – l’informativa aggiornata, personalizzata e adatta alla vostra realtà.

Su eCommercers invece trovate diversi articoli di approfondimento su ogni tema trattato qui, davvero utile e completo.

DISCLAIMER: il PDF qui sopra condiviso riporta una dichiarazione di esclusione di responsabilità che recita così “Il presente Kit non potrà essere inteso quale parere legale in merito all’adozione della normativa relativa ai cookie, o in qualche modo sostitutivo delle linee guida impartite dal Garante, che si suggerisce di verificare puntualmente“, la faccio anche mia, ovviamente. 🙂

Immagine di copertina da ITEspresso.

5 spunti di riflessione sul marketing di chi fa e-Commerce

5.00 avg. rating (96% score) - 2 votes

Qualche giorno fa mi è capitato di vedere la vignetta qui in alto nello stream di Facebook. Dopo una risata amara ho cercato il sito Marketoonist e mi sono perso tra situazioni divertenti legate al web marketing e all’esperienza quotidiana di chi fa questo lavoro. Siamo davvero pronti a tutto questo? 🙂 Perché accade ogni giorno! E più sfogliavo vignette ironiche più nascevano spunti di riflessione per chi fa e-Commerce.

Eccone alcuni:

1. Retargeting… intelligente.

Bello ed efficace, ma quante lamentele di persone letteralmente inseguite da pubblicità di prodotti che hanno già acquistato! Al momento giusto smettere di… disturbare.

Vignetta retargeting


2. Ogni cosa a suo tempo.

Se è vero che “per dipingere una parete grande ci vuole un pennello grande“, per ottenere un risultato apprezzabile occorre un tempo apprezzabile. Definire il periodo necessario a raggiungere l’obbiettivo proporzionalmente a quanto è ambizioso.

Vignetta obiettivi


3. La tua opinione conta poco il giusto.

Tutti hanno un’opinione rispettabile ed è importante ascoltare sempre per valutare punti di vista ulteriori. Tutti tranne l’imprenditore e lo staff che c’è dietro l’e-Commerce. Dove possibile, prendere decisioni basate sui dati e sul comportamento dei visitatori reali.

Vignetta A/B test


4. La stagionalità non è un problema.

Alcuni e-Commerce hanno scelto strategicamente di specializzarsi in un particolare settore, sopportando una flessione delle vendite durante alcuni periodi dell’anno. Come soluzione tendono a “forzare” l’acquisto sui prospect o sui clienti acquisiti anche quando non è oggettivamente il momento giusto. Ampliare la gamma in maniera complementare (es. sciarpe di lana > cappellini estivi, giardino > fai da te, tisane > birra artigianale).

Vignetta pianificazione


5. Quell’odiosa limitazione che chiamano privacy.

Con l’avvento di tecnologie in grado di condividere i dati tra canali (es. iBeacon + Smartphone) arriveremo presto a quello che chiamerei… extreme CRM. Non oltrepassare con leggerezza la sottile linea rossa che separa il marketing dalla sfera privata.

Vignetta iBeacon

e-Commerce: “EU Cookie Law 2012” cosa fare per i cookie in Italia?

0.00 avg. rating (0% score) - 0 votes

A metà 2011 il Parlamento Europeo ha deliberato una nuova legge sulla privacy conosciuta come “EU Cookie Law” che regolamenta i diritti degli utenti nelle comunicazioni e nei servizi web. La legge è stata recepita dall’Italia ed è in vigore da giugno 2012, quindi riguarda tutti i siti che usano i cookie e sono soggetti alla legge italiana.

Quello che in particolare dovrebbe interessare chi fa e-Commerce è l’introduzione dell’obbligo di richiedere espressamente a ogni utente il permesso per registrare cookie sul suo computer o dispositivo. Parliamo di un esplicito consenso preventivo, che significa impossibilità di utilizzo dei cookie in caso di rifiuto o anche di mancata risposta. Detta così sembra che il web stia per fermarsi, perché praticamente tutti i siti usano i cookie, ma la legge nasce per tutelare al meglio la privacy delle persone e quindi… approfondiamo un po’ l’argomento.

Quali cookie si possono usare e quali invece no

Se dovessimo attendere il consenso dell’utente per qualsiasi cookie faremmo prima a chiudere lo shop. Fortunatamente nella direttiva si dice che il consenso è indispensabile per l’utilizzo di cookie che non siano necessari per soddisfare la richiesta specifica che l’utente ha fatto in quel momento. Per capirci, se un utente prova ad autenticarsi tramite login il cookie per tenere attiva la sessione nella zona riservata è ovviamente utilizzabile senza alcun consenso. Se invece l’utente effettua una ricerca interna al sito e la piattaforma registra un cookie con la keyword e lo usa per ricordargli tutti i prodotti che ha visitato durante la navigazione… questo non è consentito senza esplicito consenso.

Ricapitolando: per offrire il servizio in senso stretto, quindi per rispondere alle azioni dell’utente, i cookie sono consentiti. Sono quindi esenti dall’esplicito consenso i cookie per il carrello, per l’autenticazione, per eventuali riproduzioni multimediali, per servire il layout più adatto al dispositivo ecc. Questi cookie non possono comunque restare sul computer dell’utente dopo la sessione in corso e devono cancellarsi automaticamente (se il merchant desidera che abbiano una vita più lunga occorre il consenso come per gli altri cookie!). La cancellazione può essere leggermente ritardata in modo da permettere all’utente di riprendere la navigazione in caso di malfunzionamenti, perdita di connessione ecc.

In pratica, a parte rare eccezioni, il vero problema sono due tipi di cookie:

  • quelli creati internamente dal sito e utilizzati per finalità di marketing (es. personalizzare i contenuti, come i risultati di una ricerca in base allo storico della navigazione dell’utente)
  • quelli leggibili da terze parti come Google Analytics, Google AdSense, Google+, Twitter, i Social Plugin di Facebook, i vari sharer, i widget ecc.

Come uno shop online può chiedere il consenso esplicito dell’utente?

Non sembra esista una vera e propria regola, così i – pochi – siti che hanno già regolarizzato la situazione seguono la strada che reputano migliore o meno invasiva o più spesso borderline (fermo restando che per chiedere un consenso qualcosa bisogna fare). C’è chi apre un overlayer al primo ingresso sul sito e con un apposito pulsante abilita l’accettazione per tutta la visita, chi invece apre un popup in basso a destra nella pagina, chi mostra l’avviso solo nelle pagine che fanno uso di particolari cookie, chi apre l’avviso e lo chiude dopo un po’ ecc. Ecco un esempio:

Come Algida ha interpretato la EU Cookie Law

La maggior parte dei siti – a occhio direi quasi tutti – non ha ancora fatto nulla. Molti non sanno di questa norma, altri secondo me la ignorano consciamente. Peraltro le multe di cui si vocifera online sono relativamente economiche (poche centinaia di euro), cosa che forse stimola i grandi merchant a rischiare un po’. In fondo è lecito pensare che, almeno nel primo periodo, l’introduzione di un vincolo del genere possa portare a una perdita di utenti e quindi di ordini. Comunque, se avete un sito web di qualsiasi tipo e volete rispettare questa norma occorre sviluppare un messaggio ad hoc o verificare l’esistenza di appositi plug-in per le piattaforme più conosciute. Gnam!! 😀

WhyMCA 2010 live blogging (appunti): mobile security and privacy

0.00 avg. rating (0% score) - 0 votes

Mobile security and privacy, Fabio Pietrosanti

La sicurezza mobile non e’ identica alla sicurezza IT. Oggi assistiamo ad una crescita esponenziale di SmartPhone, potendo metterci su applicazioni e informazioni (tali info passano dal PC al telefono).

Quando esci di casa: macchina, chiavi di casa, portafoglio e… cellulare!

I dati che sono oggi sui cellulari sono estremamente personali e ricchi rispetto ad anni fa.

Eccesso di fiducia tra operatori, tra utenti e operatori, tra utente e telefono (non ha mai sperimentato in modo pratico un virus, un trojan, un phishing, etc in modalita’ mobile). Poca consapevolezza sui rischi del mobile.

Nuovi rischi sociali: gli utenti installano qualunque cosa e applicazioni. L’app che simula una scoreggia per Android ha realizzato 50.000 utenti. E se contenesse un trojan?

Le capacita’ necessarie per poter rilevare un attacco, un trojan o spyware su cellulare sono elevate, quindi e’ difficile scoprirlo.

La gestione delle vulnerabilita’ e del patching/aggiornamenti sono arretrate: ben fatte quelli di iPhone e Android, peggio quella di Nokia (anche per via degli operatori che personalizzano il firmware del telefono).

Ultimi anni: vulnerabilita’ nell’ambito mobile sono cresciute in maniera importante e ce ne sono molte di piu’ per iPhone (le eredita’ da OSX).

Se voglio una password sicura questa ridurra’ in modo drastico l’usabilita’ per via della tastiera virtuale (difficile mantenere alta la sicurezza e alta anche l’usabilita’).

L’utente finale fatica a comprendere i messaggi di alert sulla sicurezza anche per via del poco spazio a monitor per spiegare il problema (es “Certificato SSL non valido” su iPhone e’ riduttivo).

Se su PC siamo padri e padroni delle informazioni e del sistema operativo, su mobile questo non e’ vero: solo i produttori e gli operatori lo sono.

In Francia hanno vietato il BackBerry negli ambienti governativi perche’ RIM USA filtrava e controllava le mail in passaggio. Cosa che su PC sarebbe impossibile.

Modelli di sicurezza: Windows Mobile e BlackBerry sono i migliori dal punto di vista della sicurezza enterprise, anche se un po’ limitati a “tutto” o “niente” (dopo l’ok dell’utente l’applicazione puo’ fare quello che vuole). iPhone ha delle policy per chi pubblica applicazioni e delle API limitate per gli sviluppatori rispetto al resto del mercato.

Esiste una vulnerabilita’ di Safari su iPhone che con la semplice visita di un sito permette di accedere alla lettura completa di tutti gli SMS.

App di FaceBook per Android non usa SLL, ma semplice HTTP (e l’utente non viene avvisato), quindi e’ possibile rubare le password di FaceBook.

Fino al 2008 nelle conferenze di hacking e di sicurezza non si parlava di mobile, ora invece se ne parla moltissimo e l’interesse e’ in crescita. Aumento della consapevolezza: scoperta, preccupazione, l’industria reagisce e corregge.

GSM: esistono suite per il cracking delle conversazioni (2009). UMTS: si puo’ far passare su GSM. WiFi: problematiche classiche del senza fili. MMS: si possono far installare exe senza controlli (es. bug HTC di qualche anno fa). SMS: spoofing semplice e possibilita’ di mandare profili di collegamento ad internet con DNS personalizzati, quindi spiabili (es. bug iPhone che puo’ scaricare un trojan a seguito della ricezione di un messaggio). Bluetooh: crackato ufficialmente e facile da sniffare. NFC: scarica applicazioni direttamente senza chiedere e solo dopo chiede se installarle. WEB: proxy degli operatori che aggiungono header alle richieste http (es. Vodafone), quindi il sito web puo’ vedere addirittura il telefono dell’utente! SSL sul mobile non si vedono comodamente i dettagli di un certificato (almeno 4-5 clic) e le informazioni non sono sempre complete (es. iPhone non lo permette se non in seguito all’invio dei dati). Tramite la rete e’ sempre possibile conoscere con approssimazione dove si trova geograficamente l’utente.

Gli spyware su mobile costano, ma ce ne sono di completi, vedi FlexySpy. Virus e worm non ce ne sono.

Su mobile ogni forma di trasmissione costa qualcosa: tutte le frodi telefoniche in ambito mobile consistono nel fare in modo che l’utente faccia qualcosa di costoso che viene incassato totalmente o in parte dal malintenzionato.

Conclusioni: troppa eterogeneita’ tecnologica, modelli di sicureza non uniformati, operatori e produttori che non apprezzano la liberta dell’utente sul device e sulla rete.

1 2 3  Torna su