Istituzioni scolastiche, attacco informatico. Per non farci mancare niente in questo 2020.PROCEDURA.

I Dirigenti scolastici e le segreterie volevano rilassarsi sul finire del 2020,

Il giorno 29/12/2020 la stragrande maggioranza delle ISA e’ stata colpita da un attacco massivo , le mail oggetto e causa dell’illecito informatico a differenze di altre volte e’ scritta bene e tra i destinatari ed i mittenti appaiono autorita’ governative, aziende di un certo livello e nomi noti, ora due notizie, una bella e l’altra brutta.

Inizio dalla bella : il virus non crea danni e non cripta niente.

La brutta, dobbiamo subito metterci al lavoro e non saro’ tanto cattivo quindi tralascio la L. 547/93

.

Premessa operativa, ad oggi 30/12/2020 ore 14.17 CERT-PA e CSIRT non hanno dato notizie e procedure, inventiamocele.

Procedura OPERATIVA .

1- Cambiare la password della PEO

2- Cambiare la password della PEC

3- Scansionare i sistemi con antivirus licenziati.

PROCEDURA LEGALE .

Segnalate l’accaduto alla polizia postale, non e’ una vera denuncia ma una richiesta che verra’ valutata , l’url e’ il seguente :

https://www.commissariatodips.it/segnalazioni/segnala-online/index.html

Si compila facilmente, dati anagrafici e poche altre notizie….

come vedete in ARGOMENTO dobbiamo inventarci di inserire social e poi nei commenti inseriamo la descrizione, potete fare copia ed incolla

TESTO :

In data 29/12/2020 in orario antimeridiano lo scrivente ha notato anomalie ed irregolarita’ nei servizi PEO e PEC.
la PEC risulta inibita forse come presidio di sicurezza dei sistemi informativi ministeriali.

ATTENZIONE : Se volete una copia cartacea della segnalazione stampate prima di pigiare ‘invia la segnalazione’, poi ristampate la pagina per avere la notifica in calce.

Primo step, fatto.

Ora occorre inviare la notificazione ex art 33 al GARANTE PER LA PROTEZIONE DEI DATI.

IL MODELLO DA UTILIZZARE E’ SCARICABILE DA QUI ( IL PRIMO E’ COMPLETAMENTE VUOTO, IL SECONDO SI DEVE SOLO PERSONALIZZARE)

COMPILIAMO INSIEME .

LA SEZIONE A SARA’ UGUALE PER TUTTI, NELLA SEZIONE B OCCORRE INSERIRE I DATI DEL TITOLARE, PER MAGGIORE CHIAREZZA CONVIENE PRENDERLI DALL’INDICEPA ( WWW.INDICEPA.GOV.IT)

COMPILIAMO ORA LA SEZ B1

SE AVETE SOTTO MANO IL PROTOCOLLO DI NOMINA SPUNTATE LA PRIMA OPZIONE , ALTRIMENTI LA SECONDA E COMPILATE COME DA ESEMPIO.

Compilazione C1.

Attenzione al punto 4, ovviamente se concludiamo la comunicazione prima delle 72 ore non occorre compilarlo.

Ecco invece la sezione D

SEZIONE E

SEZIONE F

SEZIONE G

SEZIONE H

ECCO FATTO, ORA OCCORRE INVIARLO AL GARANTE IN QUESTO MODO

COME INVIARE LA NOTIFICA AL GARANTE?

La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
 
 

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

Per qualsiasi cosa chiamatemi al 3389141276 e soprattutto FELICE 2021 da Vincenzo ed Elisa.

Qualche chiarimento dovuto sul Codice dei contratti pubblici e la semplificazione …ed un tuffo nel passato a quel famoso 18 ottobre 2018.

Purtroppo leggendo i documenti di gara e’ apparsa molta confusione per quanto riguarda l’articolo 97 comma 8 del D.Lgs 50/16, figlia anche del potpourri lessicale tra procedura aperta (60 50/16) ed RDO APERTA a tutti (36 c2 lett b e 36 c 9), riporto un vecchio post.

Come dicevo prima c’e’ un poco di confusione sull’applicazione dell’articolo 97 comma 8 del codice dei contratti pubblici in quanto la semplificazione voluta nell’articolo 1 comma 3 del DL 76/20 non si puo’ applicare nelle procedure ordinarie ex articolo 60 ma solo nelle procedure negoziate competitive, anche APERTE a TUTTI.

Procedure per l’incentivazione degli investimenti pubblici durante il periodo emergenziale in relazione all’aggiudicazione dei contratti pubblici sotto soglia

…Nel caso di aggiudicazione con il criterio del prezzo piu’ basso, le stazioni appaltanti procedono all’esclusione automatica dalla gara delle offerte che presentano una percentuale di ribasso pari o superiore alla soglia di anomalia individuata ai sensi dell’articolo 97, commi 2, 2-bis e 2-ter, del decreto legislativo n. 50 del 2016, anche qualora il numero delle offerte ammesse sia pari o superiore a cinque.

Purtroppo si sta applicando il principio “di esclusione automatica a partire da cinque” anche nelle procedure ordinarie aperte modificativo dell’articolo 97 c.8

8. Per lavori, servizi e forniture, quando il criterio di aggiudicazione e’ quello del prezzo piu’ basso e comunque per importi inferiori ((alle soglie di cui all’articolo 35, e che non presentano carattere transfrontaliero, la stazione appaltante prevede)) nel bando l’esclusione automatica dalla gara delle offerte che presentano una percentuale di ribasso pari o superiore alla soglia di anomalia individuata ai sensi del comma 2 ((e dei commi 2-bis e 2-ter)). In tal caso non si applicano i commi 4, 5 e 6. ((Comunque l’esclusione automatica non opera quando il numero delle offerte ammesse e’ inferiore a dieci))

Ovviamente e’ sempre fatta salva la possibilita’ di utilizzare l’ordinarieta’ anche sotto soglia (che poi tanto ordinario non e’, e’ da folli) e quindi riporto un breve riepilogo schematizzato

PROCEDURE SOTTOSOGLIA

PROCEDURA ORDINARIA APERTARDO APERTA o SU AVVISO
Art 60 e 36, comma 9, del Codice
Procedura negoziata telematica: art. 58 e 36 del Codice; art. 1, comma 2, le7. b),
D.L. n. 76/2020
Pubblicazione del bando su GURI, profilo committente (+quotidiani per lavori)
Pubblicazione dell’avviso sul MePA o sui sistemi telematici
Garanzia provvisoria:art. 93 al 2%
Di regola non va richiesta la garanzia provvisoria
Esclusione automatica ex art. 97, comma 8 (almeno 10 offerte ammesse)
Esclusione automatica ex art. 1, comma 3, D.L. n. 76/2020 (almeno 5 offerte
ammesse)
Apertura alla concorrenza e non applicazione principio di rotazione
Apertura alla concorrenza e non applicazione principio di rotazione

Vista la confusione raccomando un’attenta lettura alla lex specialis.

In chiusura vi ricordo che il periodo di non vigenza del contributo ANAC scade il 31/12/2020 e voglio appuntarvi un poco di giurisprudenza del Palazzo Spada molto interessante inerente le procedure telematiche.

Consiglio di Stato 7352/2020

“…non puo’ essere escluso da una gara l’O.E.che abbia caricato in piattaforma tutta la documentazione ma che a causa di errori tecnici della piattaforma ,… nel caso di DUBBIO sul malfuzionamento o sull’incuria dell’O.E l’onere della prova ricade sulla stazione appaltante…”

“…nel caso invece di buon funzionamento della piattaforma, corroborato dall’analisi dei LOG, anche l’esiguo ritardo sull’ora di consegna ( nell’ordine di una manciata di secondi) da parte dell’O.E. esclude quest’ultimo dalla competizione…”

…ovviamente facendo salvo il quinto comma dell’articolo 79

1000001 1010101 1000111 1010101 1010010 1001001

1100110 1100101 1101100 1101001 1100011 1100101 100000 1001110 1100001 1110100 1100001 1101100 1100101 101110 100000 1000011 1101111 1101110 1110011 1110101 1101100 1100101 1101110 1110100 1101001 100000 1000001 1110011 1110011 1101111 1100011 1101001 1100001 1110100 1101001 100000 1000011 1100001 1101101 1110000 1100001 1101110 1101001 1100001 101110

DATA BREACH semplificato

Per colpa di qualche mio collega che non conosce minimamente il paradigma RID e la valutazione dei rischi e’ capitato che al Garante per la protezione dei datti siano arrivate tante segnalazioni inutili per danni non VERI sulla riservatezza e quasi nessuna segnalazione per l’integrita’ e disponibilita’.

Ora e’ disponibile il modello di segnalazione ex articolo 33 Reg 2016/679 semplificato dove il titolare del trattamento dei dati puo’ anche valutare se fare o meno la segnalazione.

il link per la segnalazione e’ https://servizi.gpdp.it/databreach/s/self-assessment

Te l’avevo detto – mi hanno sempre chiamato Puffo Quattrocchi!!!

Come già detto nel 2019 ed all’inizio di quest’anno nelle analisi di criticità ai miei clienti , il certificato di sicurezza del tipo SSL sul portale dell’ente è fondamentale.

Estratto verifiche 2019
Estratto verifiche 2020

Ora urlo ad alta voce TE L’AVEVO DETTO TE L’AVEVO DETTO TE L’AVEVO DETTO.

Ecco la messa in mora degli organi di controllo.

https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/12/18/sicurezza-primo-monitoraggio-portali-istituzionali-pa

Questo e’ solo il primo controllo sull’attuazione del PTIPA, per approfondire leggi il post

e non esitare a chiamarmi, ora ci sono anche i fondi a disposizione per le scadenze del 28/02/2021.

e poi non dire che…..

Fondo INNOVAZIONE TECNOLOGICA, PUBBLICATO L’AVVISO per i COMUNI.

Appena pubblicato l’avviso sul sito del partner PAGOPA SPA, soggetto attuatore .

Ricordo che la suddivisione del monte in funzione della grandezza dei Comuni e’ la seguente ( come da allegato 2)

La finalita’ del bando e’ quella di completare l’adozione delle tecnologie abilitanti :

  • PagoPA
  • App IO
  • SPID

L’articolo 2 chiarisce che e’ inutile che l’ente si muova in autonomia in quanto riporta che …

Le attività per il raggiungimento delle finalità di cui alle lettere da a) a c), come articolate negli obiettivi di cui all’Allegato 1, possono essere svolte dai Comuni: se connesse alla piattaforma pagoPA e all’App IO, tramite il supporto di un partner tecnologico pubblico, ove già contrattualizzato, o attraverso l’individuazione di un partner tecnologico privato, per lo sviluppo di processi di reingegnerizzazione tali da garantire l’integrazione informatica con le soluzioni gestionali in uso presso i Comuni e la piena rispondenza alle specifiche tecnico-operative previste per l’integrazione con la piattaforma pagoPA e l’adesione all’App IO. In un’ottica di risparmio ed efficienza i Comuni possono scegliere soluzioni tecnologiche aggreganti già adottate

Soggetti destinatari, articolo 3 dell’avviso .

Finalmente un poco di chiarezza, possono partecipare alla manifestazione anche gli enti che hanno gia’ iniziato il processo di trasformazione del DL 76/20 art. 26, infatti si scrive che …

Il presente Avviso è rivolto ai Comuni che devono effettuare o completare la migrazione alla piattaforma pagoPA, l’adesione all’App IO, al sistema SPID. In particolare, possono presentare domanda di adesione e chiedere l’erogazione del contributo di cui all’articolo 4, con le modalità e nei termini di cui agli articoli 5 e 6, i Comuni che non abbiano ancora aderito, in tutto o in parte, alle piattaforme sopra menzionate, o non si siano integrati, in tutto o in parte, con le medesime.
Possono altresì presentare domanda di adesione i Comuni che abbiano già aderito, con esito positivo, all’avviso rivolto ai Comuni con popolazione inferiore ai 5.000 abitanti per l’attuazione del progetto “Raf orzamento della capacità amministrativa dei Piccoli Comuni”, pubblicato dalla Presidenza del Consiglio dei ministri – Dipartimento della funzione pubblica, nell’ambito del PON “Governance e capacità istituzionale” 2014-2020.

Sono esclusi i Comuni ricadenti in specifici bandi Regionali attuativi delle stesse misure.

Articolo 5, DOMANDE DI ADESIONE.

vanno presentate attraverso l’istanza on-line entro il 15 gennaio 2021. La piattaforma e’ gia’ aperta.

Successivamente i Comuni istanti che verranno selezionati per il progetto chiederanno con questa cadenza temporale, ARTICOLO 6 dell’AVVISO, l’erogazione del contributo :

entro, e non oltre, il 31 marzo 2021 per la richiesta di erogazione del 20% del contributo;

  • entro, e non oltre, il 31 gennaio 2022 per la richiesta di erogazione dell’80% del contributo.

Articolo 7, EROGAZIONE DEL CONTRIBUTO.

Il contributo è erogato entro i seguenti termini:

  • 20% del contributo nel mese di luglio 2021, a seguito della conclusione dell’istruttoria di cui al successivo articolo 8;
  • 80% del contributo nel mese di maggio 2022, a seguito della conclusione dell’istruttoria di cui al successivo articolo 8.

Articolo 8, ISTRUTTORIA E VERIFICA.

L’istruttoria e la verifica del conseguimento degli obiettivi di cui Allegato 1, ai fini dell’erogazione del contributo, è effettuata secondo i criteri e le modalità previste dall’Allegato 3 nei 90 (novanta) giorni successivi alle date di scadenza fissate per la presentazione delle richieste di erogazione del contributo, come previsto ai sensi del precedente articolo 6.

vi allego i manuali operativi per l’attivazione delle tecnologie abilitanti.

Alla fine della fiera vi dico che non e’ una passeggiata ma comunque esiste l’obbligo di adeguarsi, quindi il gioco vale la candela.
Resto a disposizione per il supporto in squadra con le VOSTRE SOFTWARE HOUSE.

Per contatti e supporto : Dott. Vincenzo De Prisco 3389141276 .

Attacco GOOGLE! niente paura ma qualche precauzione.

Segnate questa data in AGENDA, google attaccata e colpita, sfiorata per alcuni.

In realta’ tutti i big vengono attaccati quotidianamente, la loro forza e’ la resistenza e la forza di ripresa misurata in SLA.

BigG ha dimostrato un velocita’ di ripresa notevole. Fin quando non ci saranno notizie certe non possiamo fare altro che invitare tutti gli utilizzatori dei servizi di cambiare la password di accesso, ritengo inoltre inutile qualsiasi procedura ex art. 33 GDPR anche perche’ gli organi deputati dallo Stato Italiano CERT-PA non hanno dato nessuna indicazione operativa.

Quindi CALMA e SANGUE FREDDO, invitiamo gli utenti a cambiare la password precauzionalmente e monitoriamo la mail istituzionale per controllare eventuali missive dalla CERT-PA -AGID- .