News

Accessibilità siti web Pubblica Amministrazione

L’AgID, nel suo Piano Triennale per la Digitalizzazione della PA, ha inserito un capitolo importante che riguarda l’accessibilità dei siti web della PA. Vediamo di cosa si tratta

Per “accessibilità di un sito web” si intende la pratica di rendere i siti web (e le applicazioni) fruibili dal maggior numero di persone possibili, senza discriminazioni, anche da parte di coloro che quindi, a causa di alcune disabilità, necessitano di tecnologie assistive o configurazioni particolari.

Possiamo dire quindi che un sito web è accessibile quando fornisce informazioni fruibili da parte di tutti gli utenti, compresi coloro che si trovano in situazioni di limitazioni fisiche, tecnologiche o ambientali.

I siti web delle pubbliche amministrazioni, in Italia, sono regolamentati dalla “Legge Stanca”, ufficialmente pubblicata sulla gazzetta ufficiale il 17 gennaio 2004 e devono rispettare i requisiti tecnici di accessibilità riportati nellAllegato A del Decreto Ministeriale 8 luglio 2005 (e successive modifiche), questo perché si è voluto normare quella che è, normalmente, una semplice prassi etica.

Rispettare le pratiche di accessibilità ha però diversi vantaggi non solo per le persone fruitrici di contenuti online, ma anche per chi li pubblica. Questo perché le grandi aziende tecnologiche soprattutto sono molto attente alla democrazia di internet e spingono perché il web sia quanto più possibile un posto “per tutti”. Vediamo i vantaggi che derivano dal rendere il proprio sito accessibile:

  • L'uso di HTML semantico (che migliora l'accessibilità) contribuisce anche a migliorare il posizionamento sui motori di ricerca (SEO), rendendo il sito più facile da trovare.
  • Migliorare l'accessibilità di un sito significa renderlo facilmente utilizzabile a più ampi gruppi (come coloro che usano dispositivi mobili o coloro che navigano con una connessione a internet lenta) di utenti, e quindi portare più traffico verso il proprio sito.
  • La dimostrazione di un senso etico, in questo senso, migliora l’immagine dell’Ente.

Esistono diversi tipi di utenti che possono avere difficoltà ad usare i canonici siti web, in particolare ricordiamo:

  • Utenti affetti da ipovisione
  • Utenti affetti da sordità
  • Utenti affetti da cecità
  • Utenti con difficoltà di comprensione
  • Utenti con disabilità motorie
  • Utenti che non utilizzano il pc per navigare (ma altri strumenti come smartphone o tablet)
  • Utenti con una connessione internet lenta

Per far fronte ai problemi che possono riscontrare i primi utenti sopra riportati sono state inventate le cosiddette tecnologie assistive, come screen reader, dispositivi braille, ingranditori di schermi, sottotitoli ecc.

Per fare in modo che queste tecnologie funzionino è però importante sviluppare siti e app seguendo alcune istruzioni specifiche, proprie dello sviluppo, e facendo particolare attenzione al caricamento di contenuti accessibili.
Questo aspetto, per quanto riguarda le Pubbliche Amministrazioni, è piuttosto importante: l’area Amministrazione Trasparente di un sito PA deve essere implementata con diversi tipi di documenti (pdf e non) ed è fondamentale che questi siano fruibili da parte di tutti.

Anche il design del sito o dell’applicazione necessita di un’attenzione particolare: deve innanzitutto essere responsive (che si adatti cioè a tutti i dispositivi, senza inficiare l’esperienza d’uso nella navigazione) e poi bisogna considerare l’utilizzo di tutti gli attributi necessari a far sì che, chiunque non possa leggere, riesca a capire esattamente con cosa sta si sta interfacciando.

Un altro aspetto che meriterebbe un capitolo a parte sono i colori. I colori di un sito (o app) sono fondamentali in questo contesto: un contrasto troppo chiaro tra i testi e lo sfondo potrebbe creare difficoltà a persone con particolari problemi di vista, coì anche come un’eccessiva luminosità.

Allo stesso modo non è bene utilizzare solo i colori per distinguere testi particolari: immaginiamo una persona daltonica, che non distingue bene i colori, come farebbe a capire che quel testo è, ad esempio, un link?
Tutti questi sono piccoli accorgimenti a cui però bisogna fare particolare attenzione, soprattutto quando si è una Pubblica Amministrazione.

Come detto all’inizio di questo articolo infatti le regole di accessibilità non sono solo una buona prassi da seguire ma sono normate e devono seguire 4 principi, che troviamo elencati nel sito dell’AgID e che si rifanno al Recommendation che il World Wide Web Consortium (W3C):

  1. Principio 1: percepibile.
  2. Principio 2: utilizzabile.
  3. Principio 3: comprensibile.
  4. Principio 4: robusto.

I requisiti tecnici fanno riferimento alle 12 Linee guida in cui si articolano i suddetti principi delle WCAG 2.0.

Esistono poi una serie di requisiti, meglio specificati qui, e che ogni PA deve verificare e rendicontare annualmente.

I siti web accessibili vengono identificati da tre punti di controllo relativi all'accessibilità, contrassegnati da una, due o tre lettere "A":

 I LIVELLI DI CONFORMITÀ DEL WCAG 2.0  

A Un sito web corrisponde al livello di conformità A se tutti i criteri di successo del livello A sono stati soddisfatti oppure se è disponibile una versione alternativa del sito web che adempie i rispettivi criteri.  Livello di accessibilità basso
AA  Un sito web corrisponde al livello di conformità AA se tutti i criteri di successo dei livelli A e AA sono stati soddisfatti oppure se è disponibile una versione alternativa del sito web che adempie i rispettivi criteri. Livello di accessibilità medio
AAA  Un sito web corrisponde al livello di conformità AA se tutti i criteri di successo dei livelli A, AA e AAA sono stati soddisfatti oppure se è disponibile una versione alternativa del sito web che adempie i rispettivi criteri. Livello di accessibilità elevato 

 

In definitiva l’accessibilità è un punto fondamentale che non può più essere ignorato e a cui bisogna “piegarsi”, anche a discapito di preferenze stilistiche e di design.

 

Giovanni Buttarelli

Giovanni Buttarelli, garante europeo per la protezione dei dati, è mancato nella notte di ieri, all’età di 62 anni

Il garante europeo per la protezione dei dati, Giovanni Buttarelli, è mancato nella notte di ieri all’età di 62 anni.

Oltre ad essere Garante, Buttarelli, era magistrato ed era uno dei maggiori esperti mondiali di diritto delle nuove tecnologie, diritto alla privacy e alla protezione dei dati personali.

Prima di diventare Garante europeo, era stato Segretario Generale dell’Autorità Garante per la protezione dei dati, dal 1997 al 2009, quando era diventato Garante, fino al 2014.

Durante il suo mandato al GEPD (Garante Europeo Protezione Dati) ha partecipato attivamente alla promozione dei valori europei sulla necessità di un approccio etico alle nuove tecnologie, così da combattere le sfide all’utilizzo illecito dei dati e dei meccanismi di disinformazione che possono nascere da un impiego scorretto delle nuove tecnologie, rischiando di compromettere la qualità delle democrazie contemporanee, valori che hanno portato alla creazione del GDPR, il Regolamento Europeo per la Protezione dei Dati, entrato in vigore il 25 maggio 2018.

Giovanni Buttarelli, recentemente, era stato insignito di due prestigiosi premi da parte di organizzazioni internazionali: l'Iapp Privacy Leadership Award e l'Epic International Privacy Champion Award 2019, assegnati a coloro che dimostrano un continuo impegno nel promuovere i diritti fondamentali alla privacy e alla protezione dei dati personali.

 

 

Fonte foto: https://www.agenpress.it/
Tags:
Hack Suprema

Sono stati hackerati i dati di una delle più grandi aziende biometriche del mondo: Suprema. Si stima che siano state trafugate oltre 1 milione di impronte digitali

La notizia è di pochi giorni fa: Suprema, un’importante azienda biometrica, è stata vittima di un attacco hacker che ha portato alla perdita dei dati, derivati dalla sua piattaforma BioStar 2.

L’attacco è stato scoperto da due ricercatori israeliani, Noam Rotem e Ran Locar, della società vpnMentor, che hanno individuato 23 gigabyte di dati rubati dai sistemi di Suprema, che comprendono 27,8 milioni di record, tra cui 1 milione di impronte digitali di dipendenti delle aziende che usano i sistemi BioStar 2, i log di accesso e i dati di riconoscimento facciale.

Suprema è un’azienda coreana specializzata nella fornitura di sistemi di sicurezza basati sull’analisi biometrica, una delle più importanti del suo settore, che si occupa di garantire la sicurezza derivata dalla conservazione di dati biometriche di utenti, usati poi come “password” dagli stessi per accedere ad edifici e per permettere alle compagnie di controllare lo spostamento dei dipendenti all’interno di laboratori o aziende, un metodo sicuro, usato anche nei film di spionaggio.

L’hack deriva da una falla di sicurezza nei sistemi di Suprema, il database del sistema era infatti utilizzabile pubblicamente e, manipolando i criteri di ricerca di alcuni URL, era possibile accedere a circa 28 milioni di record, tra cui impronte digitali, dati di riconoscimento facciale, password non crittografate correttamente e informazioni sul nulla osta di sicurezza.

Questa falla permetteva inoltre di modificare alcuni dati inseriti, nonché di caricare nuovi record sul sistema, dando loro determinati permessi e mettendo quindi ampiamente a rischio non solo la privacy degli utenti ma anche la sicurezza degli edifici che utilizzano la tecnologia BioStar 2.

Recentemente la società ha avviato una grossa partnership per integrare i suoi sistemi di sicurezza in AEOS, un sistema utilizzato da 5700 organizzazioni in 83 Paesi, tra cui la polizia metropolitana britannica.

I due ricercatori inoltre hanno fatto anche molta fatica a contattare l’azienda per avvisarla dell’accaduto (pare siano stati anche rimbalzati telefonicamente da un impiegato) ma alla fine sono riusciti a comunicare la scoperta alla filiale francese di Suprema che ha provveduto prontamente a riparare la falla.

In un post che denuncia quanto successo vpnMentor mette anche in evidenza come alcune delle password non crittografate trafugate avessero un livello bassissimo di sicurezza, trovando anche le solite “abcd1234” e “Password” (qui c’è un interessante articolo che ripropone le peggiori password del 2019).

L’accaduto apre però a un’importante riflessione per quanto riguarda i dati biometrici e il loro utilizzo in termini di sicurezza: questi dati, a differenza delle solite credenziali o i sistemi di autenticazione a due fattori standard, non possono essere modificate.

Una volta che sono state rubate, non c’è più nulla da fare se non cambiare sistema di autenticazione su tutti i propri dispositivi poiché, se fosse possibile risalire al proprietario, avere quel singolo dato potrebbe permettere ai malintenzionati di accedere a tutti i suoi account o hardware grazie a quell’unica password.

 

Classifica 20 peggiori password

Abbiamo account per ogni cosa e, ad ognuno di essi, dobbiamo associare una password, meglio se sempre diversa. Elenchiamo qui le peggiori 20 password di sempre (se ne usate una, correte a cambiarla!)

Abbiamo account per ogni cosa e, ad ognuno di essi, dobbiamo associare una password che, tra l’altro, dovrebbe essere sempre diversa. Per aiutarvi nella scelta delle prossime (o nell’aggiornamento di quelle attuali) vi riportiamo la classifica delle 20 peggiori password di sempre.

 

La classifica:

 

20 Dragon
19 Monkey
18 123
17  Qwertyuiop
16  1q2w3e4r5t
15  1234
14  Iloveyou
13  000000
12  123123
11  1234567890
10  12345
9  password1
8  1234567
7  abc123
6  12345678
5  1111111
4  password
3  qwerty
2  123456789
1  123456

 

L’utilizzo di sequenze di numeri o lettere vicini sulla tastiera sembra andare per la maggiore e, grazie alla popolarità raggiunta dalla serie, tratta dai best seller omonimi “Games Of Thrones”, abbiamo la new entry (che non era presente nel ranking degli anni precedenti) “Dragon”. Consigliamo di rimanere fan di Daenerys, Arya e compagnia ma di non riportare questa passione nella vostra sicurezza informatica.

Si stima che quasi il 10% della popolazione abbia utilizzato almeno una delle peggiori 20 password sopra elencate e che quasi il 3% abbia utilizzato la numero uno (12356).

La classifica viene pubblicata ogni anno dal National Cyber Security Centre (NCSC), un’organizzazione del Regno unito che fornisce consulenza in materia di sicurezza informatica.

Ma perché è importante che le proprie password siano sicure ed univoche?

Ogni giorno vengono hackerati una grande quantità di data base di siti o software e la password è un’informazione univoca che può essere collegata alla mail o al nome dell’utente.

Questi dati danno all'hacker la possibilità di cercare altri account associati a quello stesso nominativo, come account bancari, e-mail di lavoro, account di social media ecc. Quando il criminale trova questi collegamenti tenta di entrare utilizzando la password esposta e, se coincide, riesce facilmente ad accedere.

Ecco perché è importante avere sempre password complesse e uniche.

Virus via PEC

La Polizia Postale dice che è in arrivo una nuova ondata di spamming e questa volta sarà ancora più difficile riconoscerle, poiché arriveranno via PEC

L’allarme parte direttamente dalla Polizia di Postale delle Comunicazioni, l’organo della Polizia di Stato specializzato nella prevenzione e repressione delle frodi postali e dei crimini informatici, e riporta quella che può essere una dannosissima campagna di spamming, poiché studiata per arrivare via PEC.

La posta elettronica certificata (o PEC) è un tipo particolare di posta elettronica che permette di dare a una mail lo stesso valore legale di una tradizionale raccomandata con avviso di ricevimento, garantendo così la prova dell'invio e della consegna.

Essendo quindi una sorta di email destinata alle comunicazioni “ufficiali”, diventa molto facile per gli utenti cadere nella truffa.

Il testo della comunicazione fraudolenta è, con qualche variante di caso a caso, circa questo:

“Spett. con la presente si notifica di aver proceduto al controllo della posizione contributiva sopra riportata relativamente a: Emissione da 052019. L’avviso di addebito n. 715991806544 che costituisce titolo esecutivo ai sensi dell’art. 30, comma 1, del DL n. 782010 convertito con modificazioni in Legge n. 1222010, e allegato alla presente e riguarda i contributi accertati e dovuti a titolo di Gestione Aziende con lavoratori dipendenti per l’importo totale, comprensivo delle spese di notifica e degli oneri di riscossione, di: 5.597,00. euro Il dettaglio e le motivazioni sono riportate nella sezione DETTAGLIO DEGLI ADDEBITI E DEGLI I MPORTI DOVUTI dell’avviso di addebito sopra identificato.”

Gli utenti sono quindi invitati ad aprire un allegato .pdf (o, in alcuni casi, a cliccare su un link inserito nel testo della mail) che però attiverà un attacco della macchina.

È la stessa Polizia Postale a suggerire come comportarsi nel caso si ricevesse una mail simile a quella sopra riportata:

  • Non aprire assolutamente il file .pdf né cliccare su eventuali link: se l’indirizzo email del mittente è sconosciuto o palesemente “falso” non aprire il file allegato. Se dovesse, invece, pervenire da una persona o da un’azienda con la quale si hanno rapporti epistolari, contattarla per chiedere la conferma dell’avvenuto invio;
  • Proteggere adeguatamente la email (ed in generale gli account virtuali);
  • Cambiare - se non si è già provveduto a farlo - la password, impostando password complesse (complete di caratteri minuscoli e maiuscoli, numeri e caratteri speciali);
  • Non utilizzare mai la stessa password per più profili;
  • Abilitare, ove possibile, meccanismi di autenticazione “forte” ai nostri spazi virtuali, che associno all’inserimento della password, l’immissione di un codice di sicurezza ricevuto sul nostro telefono cellulare;
  • Effettuare periodicamente il backup dei file
malware android

Il nuovo malware che mette in pericolo gli smartphone Android si chiama Agente Smith e sostituisce le app con copie perfette infette. Vediamo cosa fare e come proteggersi

Il nuovo malware che sta mettendo in pericolo gli smartphone Android si chiama Agente Smith (come il popolare agente cattivo di Matrix, interpretato da Hugo Weaving) e, proprio come l’antagonista del film, si mimetizza tra le applicazioni di Google, sostituendole pian piano con copie perfette infette.

Questo malware è stato recentemente scoperto dai ricercatori di Check Point Research e, a quanto riportano i loro dati, avrebbe già colpito 25 milioni di dispositivi in tutto il mondo.

Ma come funziona Agent Smith?

Il malware opera in tre diverse fasi: innanzitutto attacca Android, un sistema operativo molto comune e “aperto” (a differenza di iOS) e viene installato nel momento in cui gli utenti scaricano app infette da degli Store non ufficiali (come ad esempio 9Apps, di Alibaba).

Una volta dentro lo smartphone in virus sostituisce applicazioni famose con delle copie perfette, che riescono quindi ad aggirare la protezione di Android.

L’ultima fase prevede che le app copia inviino, una volta aperte, delle pubblicità spam che mascherano attacchi tipo phishing e scamming.

Gli autori del virus infatti non tendono ad impadronirsi dei dati degli utenti infetti ma solo a guadagnare dalla visualizzazione delle pubblicità.

Riportiamo di seguito le app che Wired consiglia di evitare, sulla base dei risultati di Check Point:

  • Blockman Go: Free Realms & Mini Games, publisher Blockman Go Studio;
  • Sky Warriors: General Attack;
  • Crazy Juicer – Hot Knife Hit Game, publisher Mint Games Global;
  • Cooking Witch, publisher Ghost Rabbit;
  • Clash of Virus, publisher BrainyCoolGuy;
  • Angry Virus, publisher A-Little Game;
  • Shooting Jet, publisher Gaming Hippo;
  • Bio Blast – Infinity Battle: Shoot virus!, publisher Taplegend;
  • Gun Hero: Gunman Game for Free, publisher Simplefreegames;
  • Star Range, publisher A-little Game;
  • Ludo Master – New Ludo Game 2019 For Free, publisher Hippo Lab;
  • Juice Blast, publisher Mint Games Global.

Gli smartphone più colpiti sono in India, Bangladesh e Pakistan ma sono state trovate tracce del malware anche in Australia, Regno Unito e Stati Uniti.

Pare comunque che la vulnerabilità di Android sfruttata da Agente Smith sia stata risolta anni fa, tuttavia gli sviluppatori delle app colpite non le hanno aggiornate correttamente, così da sfruttare queste pach, lasciando quindi aperti i buchi che hanno permesso il diffondersi del virus.

bug apple 1999

Ad aprile Apple ha risolto un bug che risale al 1999 e che sostanzialmente permetteva di prendere il pieno controllo di una macchina da remoto

Apple ha recentemente sistemato un bug che risale a 20 anni fa, quando l'iMac G3 fu rilasciato nel 1998 come il primo Internet iMac di Apple, e che era sicuramente molto pericoloso, in quanto permetteva il controllo da remoto, da parte di un malintenzionato, dell’intera macchina.

La vulnerabilità è stata risolta grazie al ricercatore e produttore di firewall Joshua Hill e la patch era contenuta tra gli aggiornamenti di sistema presenti nell’ultimissima versione di Mac OS 9, il sistema operativo che Apple definisce essere “il migliore di sempre”.

Hill si rese conto del bug per la prima volta nel 1999 quando aveva solo 12 anni. All’epoca possedeva un Mac Performa e, per navigare su internet, utilizzava un modem, essenzialmente per scambiare carte olografiche di Han Solo con un suo amico.

Il bug permetteva fondamentalmente a un utente malintenzionato di ottenere il pieno controllo su una qualsiasi macchina Mac, senza dover inserire un nome utente o una password che ne consentissero l’accesso. Hill scoprì l'exploit quando stava usando un servizio Apple chiamato “Accesso remoto”, che permetteva di controllare il computer da un telefono o da un altro computer da remoto, senza la necessità, appunto, di una qualsiasi password.

Vent’anni dopo è stato lo stesso Hill a presentare la vulnerabilità alla Objective by the Sea Mac security conference di Monaco, specificando che il bug non è realmente spaventoso come sembra e rassicurando gli utenti specificando che la stringa di exploit che ha sviluppato funziona solo su alcune generazione di Os X e MacOs, ormai obsolete, aggiungendo inoltre che dall’uscita di MacOs Sierra, nel 2016, il bug è diventato quasi impossibile da sfruttare.

La storia è quindi finita bene ma è sicuramente un esempio di come anche Apple, considerata molto più sicura di Windows, è vulnerabile e che quindi spetta agli utenti prestare sempre molta attenzione.

logo sito

Viale Svezia 16 - 35020 - Ponte San Nicolò (PD)

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Codice SDI fatturazione:  T04ZHR3
(il secondo carattere è uno zero)

Tel. (+39) 049.7309 333
 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

Search