ICT Security & Privacy

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ICT Security & Privacy"

Transcript

1 n.1 ICT Security & Privacy Incidenti di sicurezza: esperienza, gestione, notifica e legislazione di riferimento

2 INTRODUZIONE Security Breach Notification Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001) PCI-DSS: Payment Card Industry Data Security Standard Direttiva UE per la protezione delle infrastrutture critiche...16

3 Introduzione Le moderne società operano in un contesto di mercato dinamico e globale che le ha portate ad evolvere i propri modelli di business. Al centro di questa trasformazione ci sono le informazioni, sempre più essenziali per una gestione proattiva di clienti e fornitori; i dati opportunamente aggregati e correlati dai sistemi di Business Intelligence sono utili per la progettazione e la vendita di prodotti servizi e sono necessari per comprendere i trend di mercato di medio e lungo periodo. La protezione dei dati e quindi un elemento centrale nella gestione integrata alla sicurezza basata su un attento presidio di processi, persone, infrastrutture e tecnologia. Un approccio integrato alla sicurezza e più in generale alla compliance non può prescindere da un puntuale processo di detection, monitoraggio e gestione degli incidenti di sicurezza, compresi quelli di tipo informatico. La gestione degli incidenti informatici e diventata quindi oggetto di discussione e dibattito non solo nel mondo delle imprese private ma anche di quelle pubbliche e degli enti regolatori a livello nazionale ed internazionale. Questo quaderno ha un duplice obiettivo; da una parte riassumere e sistematizzare la normativa gia in vigore per permettere una rapida consultazione a tutti i soci, dall altro inserire una descrizione delle normative in fase di approvazione a livello italiano ed internazionale che avranno un sicuro impatto sugli aspetti strategici, di governance e operativi della Security Aziendale. Il quaderno vuole quindi essere una guida per tutti i colleghi che debbono rapidamente conoscere requisiti normativi e best practices relative alla gestione e notifica degli incidenti di sicurezza che coinvolgono le informazioni. Autori del Quaderno Corradino Corradi e Michele Fabbri, Rocco Mammoliti e Emanuela Negro, Raoul Savastano e Andrea Mariotti, Vodafone Italia Telecom Italia Ernst & Young - Italia Un ringraziamento particolare a tutti i membri del gruppo di lavoro AIPSA sul tema ICT Security & Privacy che hanno contribuito agli approfondimenti ed alle analisi utili per la stesura di questo quaderno. GDL AIPSA - ICT SECURITY & PRIVACY Corradino Corradi Vodafone Italia Rocco Mammoliti Telecom Italia Raoul Savastano Ernst & Young Italia Elisabettta Longhi Crif Luca Rizzo Fastweb Angelo Berghella ACEA Massimo Cottafavi Reply Pasquale Mancino Alenia Aeronautica Eduardo Parisi Sicuritalia Questa pubblicazione è stata stampata grazie al contributo di Spike Reply AIPSA ICT Security & Privacy 1

4 1 Security Breach Notification Normative e procedure di gestione e notifica di eventi di data breach La diffusione del cybercrime a livello internazionale e la continua evoluzione dei mercati, degli obiettivi e delle tecniche di attacco rendono il fenomeno di difficile contrasto. Se fino al 2008 gli obiettivi dei criminali sono state le banche dati e i dati personali dei consumatori, nel 2009 gli attacchi avevano l obiettivo principale di sottrarre PIN e altri dati di accesso a servizi finanziari (es. conti correnti, carte di pagamento). I Clienti che rimangono vittima di una violazione dei propri dati personali hanno il diritto di essere informati su tali abusi, hanno il diritto ad avere informazioni sulle cause e sulle carenze di sicurezza che hanno favorito tali eventi e, soprattutto, sulle azioni che tutti gli attori in causa possono svolgere per mitigare gli impatti ed evitare che accadano nuovamente tali violazioni. 2 AIPSA ICT Security & Privacy

5 1.1 La normativa In America In molti stati americani la normativa sul Security Breach Notification è già operativa da diversi anni. Ad es., la California Security Breach Notification Law (SB 1396), in vigore dal 2003, sancisce il diritto per i cittadini di essere informati tempestivamente sulle violazioni dei loro dati personali e di essere istruiti e guidati nell applicazione delle misure di prevenzione e contrasto. La legge californiana ha avuto diffusione in quasi tutti gli Stati Uniti diventando uno stimolo per le aziende ad investire in sicurezza per utilizzare e proteggere i dati personali, migliorando l affidabilità dei fornitori di servizi. In Europa Il 13 novembre 2007 la Commissione della Comunità Europea ha presentato una proposta di modifica della direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche includendo: obbligo di notifica delle violazioni di sicurezza che comportano la perdita dei dati personali degli utenti o compromettono i dati stessi; rafforzamento delle disposizioni di attuazione relative alla sicurezza delle reti e delle informazioni; rafforzamento delle disposizioni di attuazione e controllo per far sì che, a livello dei singoli Stati membri, siano disponibili misure sufficienti di lotta nei confronti dei messaggi di posta elettronica indesiderata; precisazione che la direttiva si applica anche alle reti di comunicazione pubblica che supportano i dispositivi di raccolta dati e di identificazione. La proposta di modifica renderebbe operativo, nell ordinamento giuridico comunitario, un meccanismo analogo a quello già in vigore negli Stati Uniti previsto dalla California Security Breach Notification Law (SB 1396), anche se in ambito più ristretto, applicandosi soltanto ai fornitori di servizi di comunicazione accessibili al pubblico. Il Garante Europeo per la Privacy è intervenuto con un suo parere (2008/C 181/01) in cui ha espresso un giudizio globalmente positivo. Il 25 novembre 2009 è stata quindi emanata la direttiva 2009/136/CE recante importanti modifiche alla direttiva 2002/58/CE dirette a rafforzare la tutela della vita privata e della riservatezza dei dati attraverso un complesso di disposizioni più rigoroso in materia di sicurezza e meccanismi di controllo. In Italia In estrema sintesi si può rappresentare lo stato dell arte in Italia sul Data Breach come segue: c è l obbligo di notificazione ai Clienti dei data breaches occorsi nell esercizio di servizi di comunicazione elettronica (Dir. 2009/136/CE); vi sono diverse considerazioni ed orientamenti in favore di un estensione di tale obbligo a settori diversi dalle TLC (ad es. mondo bancario); il Garante Privacy italiano sta lavorando per recepire nel sistema normativo nazionale l obbligo di notificazione dei data breaches, ed è possibile che venga adottato un Provvedimento specifico. Gruppo AIPSA di lavoro ICT ICT Security Security & Privacy & Privacy 3

6 Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o laccesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla allautorità nazionale. 1.2 Le novità introdotte dalla normativa europea sul Security Breach Notification Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico, oltre ad istituire una politica di sicurezza per il trattamento di dati personali, deve mettere in atto regolarmente le misure di: monitoraggio; prevenzione; correzione; attenuazione. Le autorità nazionali, al fine di difendere gli interessi dei cittadini, devono assicurare un elevato livello di protezione dei loro dati personali e della loro vita privata. Devono dotarsi pertanto di mezzi necessari per: disporre dei dati completi ed affidabili sugli incidenti di sicurezza che hanno compromesso i dati personali degli utenti; controllare le misure adottate dai fornitori; diffondere le best practices tra i fornitori. Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o l accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla all autorità nazionale competente includendo: informazioni di dettaglio sulla violazione; le conseguenze della violazione; le misure proposte o adottate per porvi rimedio. 4 AIPSA ICT Security & Privacy

7 Saranno previste misure tecniche di attuazione riguardanti le circostanze, il formato, le procedure applicabili alle prescrizioni in materia di informazioni e comunicazioni ma che tengano conto anche degli interessi legittimi delle autorità giudiziarie e di polizia nei casi in cui una diffusione prematura rischi di ostacolare inutilmente l indagine sulle circostanze della violazione stessa. Il fornitore, pertanto, dovrà tenere una documentazione delle violazioni dei dati personali al fine di permettere l ulteriore analisi e valutazione da parte delle autorità nazionali competenti. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. La comunicazione deve includere: la descrizione della natura della violazione; i contatti per ottenere maggiori informazioni; le misure raccomandate per attuare i possibili effetti pregiudizievoli della violazione. Se il fornitore dimostra all autorità di aver utilizzato tutte le opportune misure tecnologiche di protezione, non ha l obbligo della notifica all utente a meno che l autorità, valutando le ripercussioni negative della violazione stessa, obblighi il fornitore a farlo. Il mancato rispetto dell obbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. Il mancato rispetto dellobbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Non è ancora nota la data a partire dalla quale sarà obbligatorio in Italia il Security Breach Notification, che comunque non dovrebbe essere oltre i primi mesi del AIPSA ICT Security & Privacy 5

8 2 Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001 sanzioni interdittive e pecuniarie) La materia dei reati informatici è stata recentemente modificata dalla legge 48/2008 1, che ha introdotto nuove figure di reato informatico e l inasprimento di fattispecie incriminatrici già esistenti. In particolare, la legge 48/2008 ha aggiunto all impianto normativo del D.lgs 231/2001, l art 24 bis ( Delitti informatici e trattamento illecito dei dati ), ampliando, di fatto, le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. La legge 48/2008 ha aggiunto, allimpianto normativo del D.lgs 231/2001, lart 24 bis Delitti informatici e trattamento illecito dei dati, ampliando di fatto le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. 2.1 Considerazioni generali e case study Il nuovo articolo 24 bis del D. Lgs. 231/2001 ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti alla quasi totalità dei reati informatici. Come specificato nella relazione di accompagnamento al disegno di legge, infatti, l introduzione di tale articolo risponde all esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi. Alla luce dei presupposti applicativi del decreto, le aziende saranno considerate responsabili per i delitti informatici commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, amministrazione, direzione dell ente o di una sua unità organizzativa, ma anche da persone sottoposte alla loro direzione o vigilanza. 1 Legge 18 marzo 2008, n.48 recante Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, di Budapest del 23 novembre 2001, e norme di adeguamento dell ordinamento interno, pubblicata nella Gazzetta Ufficiale n. 80 del 4 aprile Supplemento ordinario n AIPSA ICT Security & Privacy

9 Le tipologie di reato informatico, quindi, interessano quei comportamenti illeciti posti in essere dai soggetti in posizione apicale o subordinata (dipendenti e/o collaboratori esterni), che utilizzano gli strumenti e le tecnologie informatiche/ telematiche aziendali per lo svolgimento delle normali attività lavorative. Le aziende o gli enti che utilizzano in maniera preponderante gli strumenti informatici e telematici, per lo svolgimento delle proprie attività e, in alcuni settori, per l erogazione di servizi, sono in maggior misura esposte ai suddetti comportamenti illeciti. In generale, è opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dell azienda nel caso di commissione dei reati. In questo scenario, nasce l esigenza di effettuare opportuni controlli e verifiche periodiche specialmente in quelle aree aziendali (es. gestione finanziaria, gestione clienti/fornitori, area ICT, ecc.) maggiormente esposte al rischio di commissione di reati informatici che possano determinare un interesse o un vantaggio economico per l azienda. Inoltre, alla luce dell integrazione apportata dalla L. 48/08 alla disciplina della responsabilità amministrativa degli enti, le aziende dovranno anche verificare che il loro stato in tema di ICT Security Governance & Management sia tale da poter consentire l attivazione dell esimente dalla responsabilità (ovvero della non responsabilità dell Azienda), previsto dal D.Lgs.231/2001, in caso di commissione di un delitto informatico al loro interno. In altri termini, si tratterà di verificare l esistenza di misure di sicurezza e di controllo preventive, idonee ad evitare la commissione dei reati informatici al loro interno, e provvedere all adeguamento dei propri modelli di organizzazione, gestione e controllo, laddove si rendesse necessario. In tal modo, in caso di presenza di reati informatici, le Aziende possono facilmente dimostrare la propria estraneità e la propria non responsabilità penale rispetto ai fatti accaduti. E opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dellazienda nel caso di commissione dei reati. La prevenzione dei crimini informatici deve quindi essere svolta attraverso adeguate contromisure organizzative, tecnologiche e normative; in via generale, anche se tali contromisure vanno adattate in modo specifico alla situazione peculiare dell Azienda interessata, dovrebbero essere previsti almeno i seguenti controlli di carattere generale: prevedere nel Codice Etico e nel Sistema Disciplinare aziendali specifiche indicazioni volte ad impedire la commissione dei reati informatici sia all interno dell ente, che tramite apparecchiature non soggette al controllo della stessa; fornire indicazioni normative e comportamentali (anche attraverso un Codice Comportamentale per la prevenzione dei crimini informatici) rivolte a tutto il personale aziendale per minimizzare il rischio di compimento, anche in maniera involontaria, di illeciti informatici; stabilire programmi di informazione, formazione e di sensibilizzazione rivolti al personale aziendale al fine di diffondere una chiara consapevolezza sui rischi derivanti da un utilizzo improprio delle risorse informatiche aziendali; prevedere un idoneo sistema di gestione incidenti ed un idoneo sistema di sanzioni disciplinari (o vincoli contrattuali nel caso di terze parti) a carico dei dipendenti (o soggetti terzi) che violino in maniera intenzionale i sistemi di controllo o le indicazioni comportamentali fornite; dotarsi di adeguati strumenti tecnologici atti a prevenire e/o impedire la realizzazione di illeciti informatici da parte dei dipendenti e in particolare di quelli appartenenti alle strutture aziendali ritenute più esposte al rischio. AIPSA ICT Security & Privacy 7

10 Anche se non è un obbligo esplicito del D.lgs 231, una efficace implementazione allinterno dellazienda di uno specifico Modello Organizzativo 231, prevede lesistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza; tali procedure, che implicano la messa in atto di un processo continuo di segnalazioni verso gli organismi interni (tipicamente gli Organismi di Vigilanza) e verso le Autorità competenti (tipicamente la Polizia delle Comunicazioni), sono garanzie fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Il sistema di controllo per la prevenzione dei reati di criminalità informatica dovrà altresì basarsi, ove applicabili, sui seguenti principi generali ed accorgimenti: separazione dei ruoli che intervengono nelle attività chiave dei processi operativi esposti a rischio; tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio; procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio; raccolta, analisi e gestione degli incidenti e di segnalazioni di fattispecie a rischio di reati informatici rilevati da soggetti interni e esterni all Azienda; procedure di escalation per la gestione di incidenti e di fattispecie a rischio di reato caratterizzate da elevata criticità e nella gestione dei rapporti con gli Enti Istituzionali. L ambito di applicazione dell art. 24 bis è tale da richiedere competenze tecniche ed esperienze specifiche ai fini dello svolgimento delle attività richieste per la compliance al d.lgs. 231/2001 (definizione delle possibili modalità di realizzazione dei reati, valutazione dei relativi rischi connessi alle carenze del sistema informatico, valutazione dell efficacia dei presidi esistenti e definizione delle azioni correttive/ integrative). E quindi utile valorizzare o raccomandare, anche ai fini 231, l aderenza generale di una organizzazione a framework e standard internazionalmente riconosciuti in tema di ICT Security Governance, Management & Compliance; tale aderenza è un elemento qualificante e di ausilio rispetto ai possibili presidi utilizzabili ai fini di una corretta implementazione di un adeguato sistema di controllo interno. 8 AIPSA ICT Security & Privacy

11 Alcuni standard internazionali o regolamentazioni nazionali che risultano utili al miglioramento dei sistemi di controllo interno sono ad esempio i seguenti: COBIT (Control Objectives for Information and related Technology); ISO (norma internazionale che fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni); Codice Privacy (Codice in materia di protezione dei dati personali ed i Provvedimenti specifici del Garante Privacy). L authority negli ultimi due anni ha posto particolare enfasi agli aspetti di raccolta delle evidenze tramite opportuni strumenti di audit log e nel Provvedimento del 17 Gennaio 2008 (Sicurezza dei dati di traffico telefonico e telematico) ha imposto, ai soggetti giuridici in ambito al provvedimento stesso, attività di controllo periodico. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. L attività di controllo deve inoltre essere adeguatamente documentata, richiamata all interno del Documento Programmatico della Sicurezza e, a richiesta, messa a disposizione del Garante o dell autorità giudiziaria; PCI-DSS (Payment Card Industry Data Security Standard); regolamenti di settore per gli aspetti di sicurezza (es. Market Abuse, AGCOM, Sarbanes-Oxley, Basilea II, ecc.). AIPSA ICT Security & Privacy 9

12 A titolo di esempio, con riferimento al Code of Practices ISO 27001:2005, i punti di controllo specifici rilevanti ai fini della prevenzione dei suddetti reati sono riconducibili alle seguenti tipologie: ruoli e responsabilità di coloro che intervengono nelle attività strategiche associate ai processi aziendali più esposti a rischio reato; definizione di programmi di formazione e sensibilizzazione rivolti al personale aziendale al fine di diffondere maggiore consapevolezza sulle azioni da intraprendere nel caso in cui si rilevi un incidente di sicurezza a rischio di reato durante l espletamento delle proprie mansioni; modalità di accesso ai sistemi informatici aziendali mediante adeguate procedure di autorizzazione che prevedano, ad esempio, la concessione dei diritti di accesso ad un soggetto soltanto a seguito della verifica dell esistenza di effettive esigenze di accesso derivanti dalle mansioni aziendali che competono al ruolo ricoperto dal soggetto; esistenza di una procedura per il controllo degli accessi; separazione dei compiti e delle aree di responsabilità al fine di ridurre il rischio di utilizzo improprio dei beni dell organizzazione; tracciabilità degli accessi e delle attività critiche svolte tramite i sistemi informatici aziendali; esistenza di procedure per la segnalazione e la gestione di eventi relativi alla sicurezza; definizione e attuazione di un processo di autorizzazione della direzione per le strutture di elaborazione delle informazioni; esistenza di procedure di escalation che assicurano una tempestiva ed efficace gestione degli incidenti di sicurezza a rischio di reato; esistenza di procedure per garantire la riservatezza dei dati secondo quanto stabilito dalle normative vigenti; esistenza di misure volte a scoraggiare gli utenti dall utilizzare le strutture di elaborazione delle informazioni per scopi non appropriati; inclusione di requisiti di sicurezza delle informazioni negli accordi con terze parti che prevedano accesso, elaborazione, comunicazione o gestione delle informazioni e delle infrastrutture dell ente; effettuazione di verifiche, preliminari all assunzione, dei candidati all impiego, nonché di collaboratori esterni, proporzionali ai requisiti di business, alla classificazione delle informazioni che dovranno essere accedute; presenza di termini e condizioni nel contratto di lavoro che precisano le responsabilità in tema di trattamento delle informazioni. 10 AIPSA ICT Security & Privacy

13 3 PCI-DSS: Payment Card Industry Data Security Standard - Requisiti per la protezione delle informazioni relative alle carte di pagamento 3.1 Introduzione L incremento del volume di acquisti effettuati tramite carte di credito e di debito e lo sfruttamento, a fini illeciti, delle tecnologie e dei sistemi di pagamento, rende l ambito della sicurezza sui sistemi di pagamento sempre più importante. Il crimine informatico e relativa minaccia del furto d identità riducono la fiducia degli utenti e dei consumatori nella tecnologia in generale e nel commercio elettronico in particolare. Le grandi aziende che offrono servizi di pagamento on line o basate su carte di credito, gestiscono un elevato numero di transazioni annue con carte di pagamento; per questo motivo chi si occupa di sicurezza all interno delle organizzazioni si pone l obiettivo di: garantire un elevato livello di protezione delle informazioni relative alle carte di credito; censire i dati (cardholder data) definendo il perimetro all interno del quale tali dati sono gestiti; valutare la sicurezza delle applicazioni che utilizzano i dati delle carte, anche attraverso l analisi e la revisione del codice sorgente dei programmi; Crimine informatico e furto didentità riducono la fiducia degli utenti e dei consumatori nella tecnologia. avere delle opportune procedure di gestione degli incidenti e delle frodi, che permette di assicurare una corretta, tempestiva ed idonea applicazione delle contromisure di sicurezza previste; creare delle opportune sinergie sugli aspetti di sicurezza con i gestori di Carte di Credito e con i circuiti internazionali, utili anche ai fini di una corretta gestione (p.e. Service Provider come CartaSi e circuiti come VISA e Mastercard). AIPSA ICT Security & Privacy 11

14 3.2 Gli illeciti relativi alle carte Le possibili frodi relative alle carte di credito si dividono generalmente in due macro categorie: plastic fraud - si intendono tutte quelle tipologie di frode che interessano la carta in quanto tale, vale a dire nella sua dimensione materiale. In linea generale, il riferimento è ai casi di furto o contraffazione ai quali segue il riutilizzo della carta, appunto rubata o contraffatta, in transazioni face-toface, ossia in quelle transazioni che avvengono in presenza fisica delle due parti (consumatore e fornitore); CNP fraud - consiste nel furto dei dettagli relativi alla carta di credito (ad es. il nome del titolare, il numero di carta, la data di scadenza, il codice CVV), quindi in assenza del possessore titolare (CNP, Cardholder-Not-Present). (BOX). Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto didentità. La repressione delle frodi realizzate con carte di credito è assicurata in Italia dall art. 12 ex L. 197/91, dove sono punite tre fattispecie aventi ad oggetto le carte di credito o di pagamento o qualsiasi altro documento che abiliti al prelievo di denaro contante o all acquisto di beni o alla prestazione di servizi. Le tre fattispecie sono: 1. l utilizzazione indebita; 2. la contraffazione delle carte di credito; 3. la ricettazione delle carte di credito. La frode informatica rientra nell ambito dei crimini informatici meglio disciplinati con l approvazione della legge 48/2008 sul Cybercrime, e quindi anche nell ambito della responsabilità amministrativa delle Aziende ai fini del D.lgs 231. La frode informatica si distingue dalla truffa perché l attività fraudolenta dell agente investe non la persona (soggetto passivo), bensì il sistema informatico. Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto d identità con la quale si carpiscono informazioni riservate (numero di carta di credito, codice segreto, dati personali del titolare della carta). In particolare il phishing rappresenta la principale truffa sul furto di identità, basata su transazioni online non autorizzate dal titolare. 3.3 Lo standard PCI-DSS Il regolamento per la protezione dei dati Payment Card Industry (PCI) è stato creato dal raggruppamento dei principali circuiti di pagamento internazionali (American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International, ecc.), con l intento comune di migliorare il livello di sicurezza nella gestione dei dati dei titolari di carte di credito/debito, nelle transazioni elettroniche e nella gestione di tutte le informazioni ad esse correlate. All interno di tale regolamentazione di sicurezza sono stati creati una serie di requisiti di protezione delle informazioni uniformi per tutte le marche di carte di credito. Questi requisiti sono quindi stati raccolti in uno Standard internazionale, noto come PCI- DSS (Payment Card Industry Data Security Standard) per diffondere e semplificare l applicazione delle idonee misure di protezione dei dati e rendere tali misure coerenti e omogenee a livello internazionale. 12 AIPSA ICT Security & Privacy

15 3.3.1 Attori coinvolti in una transazione Acquirer Issuer Soggetto indipendente che provvede alla gestione delle autorizzazioni con Carte appartenenti a circuiti di Credito o Debito nazionali/internazionali, in virtù di un rapporto (contratto) di convenzione in essere con l esercente. Soggetto che emette Carte di pagamento appartenenti a circuiti di Credito e Debito nazionali/ internazionali. E il soggetto che concede l autorizzazione al pagamento. Rete E responsabile dell interconnessione tra Acquirer ed Issuer e di norma viene referenziata come Rete dei Circuiti Internazionali (ad es. Visa, MasterCard). L accesso alla Rete viene gestito dal Circuito Internazionale di riferimento. Card holders Titolare della Carta di Credito/ Debito. Merchant Chi vende prodotti/servizi online. Payment gateway E un software che interpreta e gestisce l interfaccia tra protocolli di Internet e il sistema di comunicazione privato delle società di credito; è in grado di gestire la transazione tra un commerciante e l entità finanziaria che emette carte di pagamento Requisiti per la conformità agli standard PCI-DSS Lo standard PCI DSS è costituito da un elenco di requisiti di protezione espressi in termini di gestione, criteri, procedure, architettura di rete, progettazione di software e altre misure di tutela dei dati dei titolari di carta. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. Ogni requisito contiene sottorequisiti la cui osservanza richiede l implementazione di particolari processi, criteri o soluzioni tecnologiche. I criteri e i requisiti PCI DSS obbligano a: costruire e mantenere una rete sicura; proteggere i dati dei titolari delle carte; implementare un programma di gestione delle vulnerabilità; introdurre misure forti di controllo degli accessi ai dati; provvedere regolarmente al monitoring e al testing della rete; mantenere una policy per la sicurezza delle informazioni. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. AIPSA ICT Security & Privacy 13

16 Lo standard PCI- DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. La conformità allo standard permette di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione. Un beneficio immediato nelladozione dello standard PCI DSS da parte dei Merchant è quindi quello di pagare meno per le transazione e di avere, in caso di frodi, adeguate garanzie per la copertura della frode stessa e per evitare penali da parte dei circuiti internazionali. I requisiti PCI-DSS si applicano esclusivamente se nell ambito di una data organizzazione viene in qualche modo utilizzato il numero di carta di credito o PAN (Numero Account Primario), indipendentemente dal fatto se tale numero viene memorizzato, elaborato o trasmesso. In particolare sono comuni dati da proteggere i singoli campi della carta di credito, ovvero Data di scadenza, Codice di Sevizio e Nome del Titolare ; tuttavia, anche se singolarmente tali dati devono essere conformi ai requisiti PCI-DSS, nel caso in cui venissero memorizzati insieme al PAN, i requisiti di sicurezza da applicare al dato aggregato sono ben superiori e si arriva fino alla cifratura dei dati sui DB o in transito ed all utilizzo di meccanismi di tracciamento adeguato per tutte le fasi di gestione o trattamento dei dati. Tali requisiti di sicurezza si applicano a tutti i componenti del sistema, dove per componenti del sistema si intende qualunque componente, server o applicazione della rete, che faccia parte o sia collegato all ambiente dati in cui sono custodite le informazioni dei titolari delle carte o vengono trattati i dati sensibili utili per l autenticazione e l accesso all ambiente dati. 3.4 Perché è importante ottemperarvi Lo standard PCI-DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. Per mantenere un rapporto commerciale sano e positivo con esse, le banche acquirenti (Acquirer) sono tenute a garantire che i loro operatori commerciali (Merchant) osservino tutte le regole di sicurezza e che i Clienti finali siano tutelati in maniera adeguata. Analogamente, gli operatori commerciali e i fornitori di servizi hanno la possibilità di dimostrare il loro livello di conformità allo standard in modo da consolidare il rapporto commerciale con le banche acquirenti, evitando responsabilità o penali dovute all inosservanza delle principali regole di sicurezza. L adozione dello standard PCI-DSS consente, in particolare, di: individuare eventuali rischi nelle procedure di archiviazione o trasmissione dei dati di carta dei clienti; fornire una procedura trasparente di intervento e correttiva nell affrontare eventuali incidenti; dimostrare ai clienti la seria considerazione per la sicurezza dei loro dati. La conformità allo standard permette inoltre, in generale, di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione: dal rischio di responsabilità economiche (compresi i costi causati da eventuali frodi perpetrate ai danni di clienti a seguito della compromissione dei loro dati); dal rischio di spese di natura investigativa e legale; dal rischio di una pubblicità negativa da parte dei mezzi di informazione. 14 AIPSA ICT Security & Privacy

17 3.5 Le conseguenze dell inosservanza In caso di inosservanza dello standard PCI-DSS da parte degli operatori commerciali, le società di carte di credito/debito hanno la facoltà di imporre sanzioni agli istituti bancari loro membri che, a loro volta, possono richiedere gli indennizzi agli operatori o Merchant inadempienti. Le sanzioni sono severe e vanno da sanzioni pecuniarie rilevanti fino al peggiore dei casi in cui gli operatori commerciali perdono la facoltà di elaborare le operazioni con carte di credito dei clienti. Sono altresì possibili altre conseguenze oltre alle sanzioni: la perdita dei dati dei titolari di carte di credito, accidentale o attraverso un furto, può anche comportare azioni legali da parte dei suddetti titolari, arrecando cattiva pubblicità e, di conseguenza, una perdita di business. Le aziende, inoltre, sono obbligate a informare le autorità di legge e devono offrire servizi gratuiti di protezione delle carte di credito/ debito ai soggetti potenzialmente coinvolti. 3.6 Obbligo di detection e notifica di violazioni di sicurezza dei dati delle carte Anche nel caso della sicurezza dei dati di carta di credito subentrano sia gli obblighi ed i vincoli delle responsabilità contrattuali e amministrative dell Azienda (ai sensi del D.lgs 231), sia le responsabilità penali degli amministratori o dei soggetti incaricati (derivanti, in caso di abusi, da possibili presenze di trattamento illecito di dati personali, di frodi o di crimini informatici). Quindi, nel caso in cui una Azienda gestisce transazioni con carte di credito dei clienti, deve ottemperare alle più idonee misure di sicurezza e protezione dei dati trattati; come riferimento per tali misure si possono prendere quelle definite dallo standard PCI, standard cui non è comunque obbligatorio ottemperare, ma lo sono le contromisure di protezione da esso identificate. In ogni caso valgono sempre le indicazioni di prevenzione per evitare ogni possibile trattamento illecito di dati personali, ogni forma di illeciti informatici (ai sensi della Normativa sulla Privacy e della Lg. 48/2008 sui crimini informatici). Risulta quindi, anche nel caso del trattamento di dati di carta di credito, rilevante l esistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza e di possibili casi di frodi; tali procedure sono indispensabili per l eventuale certificazione PCI-DSS dell organizzazione, e risultano fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza sono indispensabili per leventuale certificazione PCI-DSS dell organizzazione. AIPSA ICT Security & Privacy 15

18 4 Direttiva UE per la protezione delle infrastrutture critiche Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni che richiedono lattivazione di nuovi processi interni per rafforzare la protezione degli asset e delle informazioni aziendali e per gestire le situazioni di emergenza in cui possono incorrere. 4.1 Introduzione Attentati terroristici, disastri naturali, blackout energetici, attacchi informatici e altri eventi che minacciano la nostra società sono sempre più all ordine del giorno. Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni quasi sconosciute in precedenza, che richiedono l attivazione di nuovi processi interni sia per rafforzare la protezione degli asset e delle informazioni aziendali sia per gestire le situazioni di emergenza in cui possono incorrere. Tale problematica è stata ulteriormente rafforzata dall emanazione della Direttiva 2008/114/CE del Consiglio dell Unione Europea relativa all individuazione e protezione delle Infrastrutture Critiche Europee (ICE), ovvero quelle infrastrutture il cui eventuale danneggiamento o distruzione avrebbe un impatto significativo su più Stati dell Unione Europea. La Direttiva Europea si propone pertanto i seguenti obiettivi: identificare e censire le infrastrutture critiche di interesse europeo e, conseguentemente, quelle di rilevanza nazionale; garantire la protezione delle infrastrutture critiche individuate attraverso la definizione di idonee misure e strumenti operativi. 4.2 Contenuti normativi La Direttiva Europea 2008/114/CE dovrà essere recepita da ogni Stato Membro entro dicembre 2010 e stabilisce una serie di procedure e azioni per l individuazione 16 AIPSA ICT Security & Privacy

19 e la protezione delle Infrastrutture Critiche Europee, individuando le parti coinvolte e attribuendo specifiche responsabilità. Allo stato attuale, i settori individuati dalla Direttiva per l analisi delle IC sono quelli dell Energia e dei Trasporti, ma riconosce la necessità di estendere in futuro (già dal 2011) la lista dei settori critici, ed assegna la priorità al settore dell Information and Communication Technology (ICT). L attuazione della Direttiva comporta quindi una serie di adempimenti sia nei confronti dei Paesi Membri (Istituzioni), sia nei confronti dei Proprietari/Operatori di ICE: Adempimenti per gli Stati Membri in cui sono ubicate le ICE istituire un Organismo Nazionale Competente e nominare un Punto di Contatto Unico per garantire il coordinamento delle attività relative alle ICE; definire l approccio metodologico per l individuazione e l analisi delle infrastrutture critiche di interesse europeo; indicare i criteri per designare e valutare la criticità delle infrastrutture critiche ed i criteri per valutare ex ante le loro interdipendenze ( effetti domino ); identificare le possibili infrastrutture critiche nazionali ed europee; formulare proposte e richieste di designazione di ICE verso altri Stati Membri; gestire le richieste di designazione di ICE identificate in Italia dagli altri Stati Membri; designare le ICE situate nel territorio nazionale; eseguire un analisi dei rischi a livello nazionale per valutare le minacce e vulnerabilità riguardanti le ICE situate nel proprio territorio; gestire i rapporti con la Commissione Europea e con i Proprietari/Operatori di Infrastrutture Critiche nazionali ed europei; censire e validare i Piani di Sicurezza predisposti dai Proprietari/Operatori per garantire la protezione delle ICE. La Direttiva è finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. Adempimenti per i Proprietari/Operatori di ICE nominare un Funzionario di Collegamento in materia di sicurezza dell infrastruttura critica che agisca come punto di riferimento con l Organismo Nazionale Competente; predisporre un Piano di Sicurezza dell Operatore (PSO) in cui identificare i beni dell infrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione; individuare le componenti che costituiscono l infrastruttura critica europea; eseguire un analisi dei rischi sull infrastruttura critica che comprenda le minacce, le vulnerabilità e l impatto potenziale per ogni componente; identificare, selezionare e prioritizzare le contromisure da implementare per garantire la sicurezza dell ICE; gestire operativamente il Piano di Sicurezza dell Operatore. E importante sottolineare come attualmente la Direttiva non contiene nessuna disposizione obbligatoria nei confronti degli Stati Membri e nei confronti degli Operatori proprietari delle ICE, ma è principalmente finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture che caratterizzano la qualità della vita dei cittadini nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. AIPSA ICT Security & Privacy 17

20 AIPSA Piazzale R. Morandi, Milano C.F Partita Iva Tel. e Fax

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale 2484-00100 Roma - Capitale versato Euro

Dettagli

QUIPAGO - MODALITÀ PAYMENT

QUIPAGO - MODALITÀ PAYMENT E-Commerce Qui Pago è l offerta di Key Client per il Commercio Elettronico: un Pos virtuale altamente affidabile ed efficiente che prevede diverse modalità d utilizzo: Payment (integrazione col sito del

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Codice di Comportamento Genesi Uno. Linee Guida e Normative di Integrità e Trasparenza

Codice di Comportamento Genesi Uno. Linee Guida e Normative di Integrità e Trasparenza Codice di Comportamento Genesi Uno Linee Guida e Normative di Integrità e Trasparenza Caro Collaboratore, vorrei sollecitare la tua attenzione sulle linee guida ed i valori di integrità e trasparenza che

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Concluso il 10 settembre 1998 Approvato dall Assemblea federale il 20 aprile 1999 1 Entrato in vigore mediante scambio di note il 1 maggio 2000

Concluso il 10 settembre 1998 Approvato dall Assemblea federale il 20 aprile 1999 1 Entrato in vigore mediante scambio di note il 1 maggio 2000 Testo originale 0.360.454.1 Accordo tra la Confederazione Svizzera e la Repubblica italiana relativo alla cooperazione tra le autorità di polizia e doganali Concluso il 10 settembre 1998 Approvato dall

Dettagli

Istituto Comprensivo Statale Villanova d Asti (AT) Scuola dell Infanzia, Primaria, Secondaria di 1

Istituto Comprensivo Statale Villanova d Asti (AT) Scuola dell Infanzia, Primaria, Secondaria di 1 Pagina 1 di 8 REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA MESSO A DISPOSIZONE DEI DIPENDENTI PER L ESERCIZIO DELLE FUNZIONI D UFFICIO () Approvato con deliberazione del Consiglio di Istituto

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

Programma di Compliance Antitrust. Allegato B al Modello di Organizzazione, Gestione e Controllo ex D. LGS. 231/2001

Programma di Compliance Antitrust. Allegato B al Modello di Organizzazione, Gestione e Controllo ex D. LGS. 231/2001 Programma di Compliance Antitrust Allegato B al Modello di Organizzazione, Gestione e Controllo ex D. LGS. 231/2001 Approvato dal Consiglio di Amministrazione in data 19 febbraio 2015 Rev 0 del 19 febbraio

Dettagli

Modello di organizzazione, gestione e controllo ex d.lgs. 231/01 PARTE SPECIALE- REATI SOCIETARI. Art. 25 Duodecies Impiego di cittadini di paesi

Modello di organizzazione, gestione e controllo ex d.lgs. 231/01 PARTE SPECIALE- REATI SOCIETARI. Art. 25 Duodecies Impiego di cittadini di paesi Modello di organizzazione, gestione e controllo ex d.lgs. 231/01 PARTE SPECIALE- REATI SOCIETARI. Art. 25 Duodecies Impiego di cittadini di paesi terzi il cui soggiorno è irregolare Adozione con delibera

Dettagli

Associazione Italiana Brokers di Assicurazioni e Riassicurazioni

Associazione Italiana Brokers di Assicurazioni e Riassicurazioni Associazione Italiana Brokers di Assicurazioni e Riassicurazioni Codice Etico Rev. 03 Versione del 21/01/2013 Approvato della Giunta Esecutiva del 18/02/2013 Ratificato del Consiglio Direttivo entro il

Dettagli

Per IMPRESE/SOCIETA. Presentata dalla Impresa

Per IMPRESE/SOCIETA. Presentata dalla Impresa MARCA DA BOLLO DA 14,62 Per IMPRESE/SOCIETA DOMANDA DI PARTECIPAZIONE ALL AUTORITA PER LA VIGILANZA SUI CONTRATTI PUBBLICI DI LAVORI, SERVIZI E FORNITURE Via di Ripetta, 246 00186 - Roma CIG 03506093B2

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

1. Premessa. Il contesto generale.

1. Premessa. Il contesto generale. Linee di indirizzo del Comitato interministeriale (d.p.c.m. 16 gennaio 2013) per la predisposizione, da parte del Dipartimento della funzione pubblica, del PIANO NAZIONALE ANTICORRUZIONE di cui alla legge

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

Schema Professionista della Security Profilo Senior Security Manager - III Livello

Schema Professionista della Security Profilo Senior Security Manager - III Livello STATO DELLE REVISIONI rev. n SINTESI DELLA MODIFICA DATA 0 05-05-2015 VERIFICA Direttore Qualità & Industrializzazione Maria Anzilotta APPROVAZIONE Direttore Generale Giampiero Belcredi rev. 0 del 2015-05-05

Dettagli

- PARTE SPECIALE G- I REATI IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO

- PARTE SPECIALE G- I REATI IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO - PARTE SPECIALE G- I REATI IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO G.1. I reati di cui all art. 25 septies del D.Lgs. n. 231/2001 La Legge 3 agosto 2007, n. 123, ha introdotto l art. 25 septies del

Dettagli

Rischi e Opportunità nella gestione della sicurezza ecommerce

Rischi e Opportunità nella gestione della sicurezza ecommerce Rischi e Opportunità nella gestione della sicurezza ecommerce Andrea Gambelli Head of Functional Analysis, Fraud, Test and Client Service Management Financial Services Division Roma, 3 Novembre 2011 AGENDA

Dettagli

SERVIZIO P.O.S. POINT OF SALE

SERVIZIO P.O.S. POINT OF SALE Pag. 1 / 6 SERVIZIO P.O.S. POINT OF SALE Foglio Informativo INFORMAZIONI SULLA BANCA Banca Monte dei Paschi di Siena S.p.A. Piazza Salimbeni 3-53100 - Siena Numero verde. 800.41.41.41 (e-mail info@banca.mps.it

Dettagli

Principi d Azione. www.airliquide.it

Principi d Azione. www.airliquide.it Principi d Azione Codice Etico www.airliquide.it Il bene scaturisce dall'onestà; l'onestà ha in sè la sua origine: quello che è un bene avrebbe potuto essere un male, ciò che è onesto, non potrebbe essere

Dettagli

CODICE DI COMPORTAMENTO INTEGRATIVO ARTICOLO 1 OGGETTO

CODICE DI COMPORTAMENTO INTEGRATIVO ARTICOLO 1 OGGETTO CODICE DI COMPORTAMENTO INTEGRATIVO ARTICOLO 1 OGGETTO 1. Il presente Codice di Comportamento integrativo definisce, in applicazione dell'art. 54 del DLgs. n. 165/2001 come riformulato dall'art.1, comma

Dettagli

CODICE ETICO. Sommario 1. Premessa Pag. 2 2. Principi Pag. 2

CODICE ETICO. Sommario 1. Premessa Pag. 2 2. Principi Pag. 2 Sommario 1. Premessa Pag. 2 2. Principi Pag. 2 2.1 Principi generali Pag. 2 2.2. Principi di condotta Pag. 2 2.3 Comportamenti non etici Pag. 3 2.3. Principi di trasparenza Pag. 4 3 Relazioni can il personale

Dettagli

ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA

ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA Società Consortile di Informatica delle Camere di Commercio Italiane per azioni 1 a EMISSIONE RINNOVO Per scadenza Per modifica dati SOSTITUZIONE Smarrimento Furto Malfunzionamento/Danneggiamento CARTA

Dettagli

Note e informazioni legali

Note e informazioni legali Note e informazioni legali Proprietà del sito; accettazione delle condizioni d uso I presenti termini e condizioni di utilizzo ( Condizioni d uso ) si applicano al sito web di Italiana Audion pubblicato

Dettagli

ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA

ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA Società Consortile di Informatica delle Camere di Commercio Italiane per azioni ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA di CONDUCENTE Cognome Nome 1 a EMISSIONE RINNOVO Per scadenza

Dettagli

INFORMAZIONI EUROPEE DI BASE SUL CREDITO AI CONSUMATORI

INFORMAZIONI EUROPEE DI BASE SUL CREDITO AI CONSUMATORI 1. IDENTITÀ E CONTATTI DEL FINANZIATORE/ INTERMEDIARIO DEL CREDITO Finanziatore/Emittente CartaSi S.p.A. Indirizzo Corso Sempione, 55-20145 Milano Telefono 02.3488.1 Fax 02.3488.4115 Sito web www.cartasi.it

Dettagli

Il pos virtuale di CartaSi per le vendite a distanza

Il pos virtuale di CartaSi per le vendite a distanza X-Pay Il pos virtuale di CartaSi per le vendite a distanza Agenda CartaSi e l e-commerce Chi è CartaSi CartaSi nel mercato Card Not Present I vantaggi I vantaggi offerti da X-Pay I vantaggi offerti da

Dettagli

LA CORRUZIONE TRA PRIVATI:

LA CORRUZIONE TRA PRIVATI: LA CORRUZIONE TRA PRIVATI: APPROFONDIMENTI In data 18 ottobre 2012, dopo un lungo iter parlamentare, il Senato ha approvato il maxi-emendamento al Disegno di Legge recante Disposizioni per la prevenzione

Dettagli

CODICE ETICO DI CEDAM ITALIA S.R.L.

CODICE ETICO DI CEDAM ITALIA S.R.L. CODICE ETICO DI CEDAM ITALIA S.R.L. Il presente codice etico (di seguito il Codice Etico ) è stato redatto al fine di assicurare che i principi etici in base ai quali opera Cedam Italia S.r.l. (di seguito

Dettagli

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI COMUNE DI VIANO PROVINCIA DI REGGIO EMILIA REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI Approvato con deliberazione di G.C. n. 73 del 28.11.2000 INDICE TITOLO 1 ART. 1 ART. 2 ART. 3 ART. 4 ART. 5 ART.

Dettagli

PARTE SPECIALE 3 Altri reati

PARTE SPECIALE 3 Altri reati MODELLO ORGANIZZATIVO ai sensi del D.Lgs. 231/2001 PAGINA 1 DI 13 - SOMMARIO 1. TIPOLOGIA DI REATI... 3 1.1 DELITTI CONTRO LA PERSONALITA INDIVIDUALE... 3 1.2 SICUREZZA SUL LAVORO... 3 1.3 RICETTAZIONE,

Dettagli

Le novità per gli appalti pubblici

Le novità per gli appalti pubblici Le novità per gli appalti pubblici La legge 98/2013 contiene disposizioni urgenti per il rilancio dell economia del Paese e, fra queste, assumono particolare rilievo quelle in materia di appalti pubblici.

Dettagli

DOCUMENTO APPROVATO DAL CONSIGLIO DI AMMINISTRAZIONE DEL 12 DICEMBRE

DOCUMENTO APPROVATO DAL CONSIGLIO DI AMMINISTRAZIONE DEL 12 DICEMBRE REGOLAMENTO DI FUNZIONAMENTO DELL ORGANISMO DI VIGILANZA D.LGS 231/01 DI GALA S.P.A. DOCUMENTO APPROVATO DAL CONSIGLIO DI AMMINISTRAZIONE DEL 12 DICEMBRE 2013 INDICE ARTICOLO 1 SCOPO E AMBITO DI APPLICAZIONE..3

Dettagli

DDL 1345-S in materia di delitti ambientali. (Approvazione in Senato 4 marzo 2015)

DDL 1345-S in materia di delitti ambientali. (Approvazione in Senato 4 marzo 2015) DDL 1345-S in materia di delitti ambientali. (Approvazione in Senato 4 marzo 2015) Il testo inserisce nel codice penale un nuovo titolo, dedicato ai delitti contro l'ambiente, all'interno del quale vengono

Dettagli

Fatturazione verso soggetti non residenti: le nuove regole dal 1 gennaio 2013

Fatturazione verso soggetti non residenti: le nuove regole dal 1 gennaio 2013 Ai Gentili Clienti Fatturazione verso soggetti non residenti: le nuove regole dal 1 gennaio 2013 Con i co. da 324 a 335 dell unico articolo della L. 24.12.2012 n. 228 (Legge di Stabilità 2013), l ordinamento

Dettagli

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali RESPONSABILITA D IMPRESA D.lgs. 231/01 L EVOLUZIONE DEI MODELLI ORGANIZZATIVI E DI GESTIONE 27 maggio 2014 ore 14.00 Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali Ing. Gennaro

Dettagli

I Professionisti della digitalizzazione documentale

I Professionisti della digitalizzazione documentale CON IL PATROCINIO DI PROGRAMMA MASTER COURSE ANORC MILANO, dal 3 al 26 NOVEMBRE 2015 Hotel degli Arcimboldi (Viale Sarca, n. 336) I Professionisti della digitalizzazione documentale Guida formativa per

Dettagli

Tali premesse costituiscono parte integrante delle presenti condizioni generali di contratto

Tali premesse costituiscono parte integrante delle presenti condizioni generali di contratto CONDIZIONI GENERALI DI CONTRATTO RELATIVE ALL ACQUISTO DI DIRITTI DI UTILIZZAZIONE DELLE IMMAGINI DELL ARCHIVIO FOTOGRAFICO ON-LINE DEL SISTEMA MUSEI CIVICI DI ROMA CAPITALE Premesso che La Sovrintendenza

Dettagli

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Società Italiana Dragaggi S.p.A. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Ex DECRETO LEGISLATIVO 8 giugno 2001 n. 231 e successive integrazioni e modificazioni INDICE PARTE GENERALE 1. IL DECRETO

Dettagli

P.O.S. (POINT OF SALE)

P.O.S. (POINT OF SALE) P.O.S. (POINT OF SALE) INFORMAZIONI SULLA BANCA Banca Popolare dell Emilia Romagna società cooperativa Sede legale e amministrativa in Via San Carlo 8/20 41121 Modena Telefono 059/2021111 (centralino)

Dettagli

Art.1 (Oggetto) Art.2 (Definizioni)

Art.1 (Oggetto) Art.2 (Definizioni) REGOLAMENTO SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI DATI PERSONALI emanato con decreto direttoriale n.220 dell'8 giugno 2000 pubblicato all'albo Ufficiale della Scuola

Dettagli

Gruppo PRADA. Codice etico

Gruppo PRADA. Codice etico Gruppo PRADA Codice etico Indice Introduzione 2 1. Ambito di applicazione e destinatari 3 2. Principi etici 3 2.1 Applicazione dei Principi etici: obblighi dei Destinatari 4 2.2 Valore della persona e

Dettagli

Modello di Organizzazione, Gestione e Controllo

Modello di Organizzazione, Gestione e Controllo Approvazione del CDA del 06/08/2014 Modello di Organizzazione, Gestione e Controllo (ai sensi del D.Lgs. 231/2001) Indice PARTE GENERALE... 3 1 INTRODUZIONE... 4 1.1 DEFINIZIONI... 4 1.2 IL DECRETO LEGISLATIVO

Dettagli

ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA

ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA Società Consortile di Informatica delle Camere di Commercio Italiane per azioni di CONDUCENTE Cognome Nome 1 a EMISSIONE RINNOVO Per scadenza

Dettagli

SER 1 S.p.A. CODICE ETICO ex D. Lgs. 231/2001

SER 1 S.p.A. CODICE ETICO ex D. Lgs. 231/2001 SER 1 S.p.A. CODICE ETICO ex D. Lgs. 231/2001 PREMESSA... 4 DISPOSIZIONI GENERALI... 5 Articolo 1... 5 Ambito di applicazione e Destinatari... 5 Articolo 2... 5 Comunicazione... 5 Articolo 3... 6 Responsabilità...

Dettagli

Gli Standard hanno lo scopo di:

Gli Standard hanno lo scopo di: STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL INTERNAL AUDITING (STANDARD) Introduzione agli Standard L attività di Internal audit è svolta in contesti giuridici e culturali diversi, all interno

Dettagli

Legge sulla protezione dei dati personali (LPDP) 1)

Legge sulla protezione dei dati personali (LPDP) 1) 1.6.1.1 Legge sulla protezione dei dati personali (LPDP) (del 9 marzo 1987) IL GRAN CONSIGLIO DELLA REPUBBLICA E CANTONE TICINO visto il messaggio 2 ottobre 1985 n. 2975 del Consiglio di Stato, decreta:

Dettagli

Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos

Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos L Autore Lino Fornaro, Security Consultant Amministratore

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade)

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade) AGENDA DIGITALE ITALIANA 1. Struttura dell Agenda Italia, confronto con quella Europea La cabina di regia parte con il piede sbagliato poiché ridisegna l Agenda Europea modificandone l organizzazione e

Dettagli

ICCREA BANCA Spa - Istituto Centrale del Credito Cooperativo. Sede legale e amministrativa Via Lucrezia Romana, 41/47 00178 Roma

ICCREA BANCA Spa - Istituto Centrale del Credito Cooperativo. Sede legale e amministrativa Via Lucrezia Romana, 41/47 00178 Roma PRODOTTO BASE UTENTE INFORMAZIONI SULL EMITTENTE ICCREA BANCA Spa - Istituto Centrale del Credito Cooperativo Sede legale e amministrativa Numero telefonico: 800.991.341 Numero fax: 06.87.41.74.25 E-mail

Dettagli

BANCO DI SARDEGNA S.p.A. - FOGLIO INFORMATIVO (D. LGS. 385/93 ART. 116) Sezione 1.130.10 P.O.S. (POINT OF SALE) - AGGIORNAMENTO AL 23.04.

BANCO DI SARDEGNA S.p.A. - FOGLIO INFORMATIVO (D. LGS. 385/93 ART. 116) Sezione 1.130.10 P.O.S. (POINT OF SALE) - AGGIORNAMENTO AL 23.04. P.O.S. (POINT OF SALE) INFORMAZIONI SULLA BANCA BANCO DI SARDEGNA S.p.A. Società per Azioni con sede legale in Cagliari, viale Bonaria, 33 Sede Amministrativa, Domicilio Fiscale e Direzione Generale in

Dettagli

STATO DELLA CITTÀ DEL VATICANO LIV. Legge sulla tutela della sicurezza e della salute dei lavoratori nei luoghi di lavoro.

STATO DELLA CITTÀ DEL VATICANO LIV. Legge sulla tutela della sicurezza e della salute dei lavoratori nei luoghi di lavoro. STATO DELLA CITTÀ DEL VATICANO LIV Legge sulla tutela della sicurezza e della salute dei lavoratori nei luoghi di lavoro. N. LIV Legge sulla tutela della sicurezza e della salute dei lavoratori nei luoghi

Dettagli

8 ottobre 2013 LA PONTIFICIA COMMISSIONE PER LO STATO DELLA CITTA DEL VATICANO

8 ottobre 2013 LA PONTIFICIA COMMISSIONE PER LO STATO DELLA CITTA DEL VATICANO N. XVIII LEGGE DI CONFERMA DEL DECRETO N. XI DEL PRESIDENTE DEL GOVERNATORATO, RECANTE NORME IN MATERIA DI TRASPARENZA, VIGILANZA ED INFORMAZIONE FINANZIARIA, DELL 8 AGOSTO 2013 8 ottobre 2013 LA PONTIFICIA

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Il Comitato dei Ministri, ai sensi dell'articolo 15.b dello Statuto del Consiglio d'europa,

Il Comitato dei Ministri, ai sensi dell'articolo 15.b dello Statuto del Consiglio d'europa, CONSIGLIO D EUROPA Raccomandazione CM/REC(2014) 3 del Comitato dei Ministri agli Stati Membri relativa ai delinquenti pericolosi (adottata dal Comitato dei Ministri il 19 febbraio 2014 nel corso della

Dettagli

ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA

ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA Società Consortile di Informatica delle Camere di Commercio Italiane per azioni DOMANDA DI CARTA DELL AZIENDA ALLA CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA di DATI DELL AZIENDA Denominazione

Dettagli

Cosa fanno gli altri?

Cosa fanno gli altri? Cosa fanno gli altri? Sig. Morgan Moras broker di riassicurazione INCENDIO (ANIA) Cosa fanno gli altri? rami assicurativi no copertura polizza incendio rischi nominali - rischio non nominato - esplosione,

Dettagli

COMUNE DI CAPOTERRA Provincia di Cagliari

COMUNE DI CAPOTERRA Provincia di Cagliari COMUNE DI CAPOTERRA Provincia di Cagliari UFFICIO DEL SEGRETARIO GENERALE Responsabile Settore Affari del Personale-Anticorruzione-Trasparenza CODICE DI COMPORTAMENTO INTEGRATIVO ARTICOLO 1 OGGETTO Il

Dettagli

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI dalla G.U. n. 59 del 12 marzo 2014 (s.o. n. 20) DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 3 dicembre 2013 Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi

Dettagli

CODICE ETICO SOMMARIO. Premessa Principi generali. pag. 2 pag. 2 pag. 3 pag. 3 pag. 4 pag. 4 pag. 5 pag. 7 pag. 7 pag. 7 pag. 8 pag. 8 pag.

CODICE ETICO SOMMARIO. Premessa Principi generali. pag. 2 pag. 2 pag. 3 pag. 3 pag. 4 pag. 4 pag. 5 pag. 7 pag. 7 pag. 7 pag. 8 pag. 8 pag. CODICE ETICO SOMMARIO Premessa Principi generali Art. I Responsabilità Art. II Lealtà aziendale Art. III Segretezza Art. IV Ambiente di Lavoro, sicurezza Art. V Rapporti commerciali Art. VI Rapporti con

Dettagli

CERVED RATING AGENCY. Politica in materia di conflitti di interesse

CERVED RATING AGENCY. Politica in materia di conflitti di interesse CERVED RATING AGENCY Politica in materia di conflitti di interesse maggio 2014 1 Cerved Rating Agency S.p.A. è specializzata nella valutazione del merito creditizio di imprese non finanziarie di grandi,

Dettagli

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino (CEC PAC)

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino (CEC PAC) Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino (CEC PAC) Information Day Ministero dello sviluppo economico Salone Uval, Via Nerva, 1 Roma, 2

Dettagli

Il Consiglio. VISTO il Decreto Legislativo 12 aprile 2006, n. 163;

Il Consiglio. VISTO il Decreto Legislativo 12 aprile 2006, n. 163; Regolamento unico in materia di esercizio del potere sanzionatorio da parte dell Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture di cui all art 8, comma 4, del D.Lgs. 12

Dettagli

DIRITTI DEI CONSUMATORI

DIRITTI DEI CONSUMATORI DIRITTI DEI CONSUMATORI 1. Quali sono i diritti dei consumatori stabiliti dal Codice del Consumo 2. Qual è la portata della disposizione? 3. Qual è l origine dell elencazione? 4. In che cosa consiste il

Dettagli

IL DIRETTORE DELL AGENZIA. Dispone:

IL DIRETTORE DELL AGENZIA. Dispone: Prot. n. 2014/159941 Modalità operative per l inclusione nella banca dati dei soggetti passivi che effettuano operazioni intracomunitarie, di cui all art. 17 del Regolamento (UE) n. 904/2010 del Consiglio

Dettagli

PRIVACY POLICY MARE Premessa Principi base della privacy policy di Mare Informativa ai sensi dell art. 13, d. lgs 196/2003

PRIVACY POLICY MARE Premessa Principi base della privacy policy di Mare Informativa ai sensi dell art. 13, d. lgs 196/2003 PRIVACY POLICY MARE Premessa Mare Srl I.S. (nel seguito, anche: Mare oppure la società ) è particolarmente attenta e sensibile alla tutela della riservatezza e dei diritti fondamentali delle persone e

Dettagli

USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO

USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO LA POLIZIA POSTALE E DELLE COMUNICAZIONI La Polizia Postale e delle Comunicazioni si occupa della prevenzione e repressione di tutti i reati commessi per il

Dettagli

ai sensi del D.Lgs 231/2001

ai sensi del D.Lgs 231/2001 MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO GASPARINA DI SOPRA Società Cooperativa Sociale Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001 Sistema Disciplinare 1 ELENCO DELLE

Dettagli

CONDIZIONI GENERALI DI ACQUISTO

CONDIZIONI GENERALI DI ACQUISTO CONDIZIONI GENERALI DI ACQUISTO 1. CAMPO DI APPLICAZIONE 1.1 Le presenti Condizioni Generali di Acquisto ("GPC") si applicano all acquisto di materiali, articoli, prodotti, componenti, software ed i relativi

Dettagli

ALLEGATO C FACSIMILE DICHIARAZIONE RILASCIATA ANCHE AI SENSI DEGLI ARTT. 46 E 47 DEL D.P.R. 445/2000

ALLEGATO C FACSIMILE DICHIARAZIONE RILASCIATA ANCHE AI SENSI DEGLI ARTT. 46 E 47 DEL D.P.R. 445/2000 ALLEGATO C FACSIMILE DICHIARAZIONE RILASCIATA ANCHE AI SENSI DEGLI ARTT. 46 E 47 DEL D.P.R. 445/2000 (N.B. la presente dichiarazione deve essere prodotta unitamente a copia fotostatica non autenticata

Dettagli

Il trattamento dei dati personali e l utilizzo degli strumenti informatici in ambito lavorativo

Il trattamento dei dati personali e l utilizzo degli strumenti informatici in ambito lavorativo Il trattamento dei dati personali e l utilizzo degli strumenti informatici in ambito lavorativo Argomenti 1) Trattamento dei dati personali. Cenno ai principi generali per il trattamento e la protezione

Dettagli

Circolare n. 64 del 15 gennaio 2014

Circolare n. 64 del 15 gennaio 2014 Circolare n. 64 del 15 gennaio 2014 Ordinativo informatico locale - Revisione e normalizzazione del protocollo sulle regole tecniche ed obbligatorietà dell utilizzo nei servizi di tesoreria PREMESSA L

Dettagli

- - - - - - - - - - - - 1 - - - - - - - - - - - - - - - - - - - - - - - - - - AFM S.p.A. Sede Legale in Bologna, Via del Commercio Associato n. 22/28 MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

Dettagli

DICHIARAZIONE DELLA FRANCIA

DICHIARAZIONE DELLA FRANCIA Consiglio dell'unione europea Bruxelles, 17 aprile 2015 (OR. fr) Fascicolo interistituzionale: 2013/0025 (COD) 7768/15 ADD 1 REV 1 NOTA PUNTO "I/A" Origine: Destinatario: Oggetto: Segretariato generale

Dettagli

PROCEDURE DEL MODELLO ORGANIZZATIVO 231 PROCEDURE DI CONTROLLO INTERNO (PCI)

PROCEDURE DEL MODELLO ORGANIZZATIVO 231 PROCEDURE DI CONTROLLO INTERNO (PCI) Pag. 1 di 16 PROCEDURE DEL MODELLO Pag. 2 di 16 Indice PROCEDURE DEL MODELLO... 1 PCI 01 - VENDITA DI SERVIZI... 3 PCI 02 PROCEDIMENTI GIUDIZIALI ED ARBITRALI... 5 PCI 03 AUTORIZZAZIONI E RAPPORTI CON

Dettagli

1. Quali sono gli estremi per l iscrizione all Albo Nazionale Gestori Ambientali?

1. Quali sono gli estremi per l iscrizione all Albo Nazionale Gestori Ambientali? Domanda: Risposta (a cura di Maurizio Santoloci): Oggi un impresa edile che trasporta in proprio i rifiuti non pericolosi con proprio mezzo al contrario di quanto accadeva nella previdente disciplina deve

Dettagli

REGOLAMENTO PER L ESERCIZIO DEL DIRITTO DI ACCESSO AGLI ATTI. (approvato con delibera commissariale n 21 del 07/06/2011)

REGOLAMENTO PER L ESERCIZIO DEL DIRITTO DI ACCESSO AGLI ATTI. (approvato con delibera commissariale n 21 del 07/06/2011) REGOLAMENTO PER L ESERCIZIO DEL DIRITTO DI ACCESSO AGLI ATTI (approvato con delibera commissariale n 21 del 07/06/2011) Art. 1 Fonti 1. Il presente regolamento, adottato in attuazione dello Statuto, disciplina

Dettagli

LEGGE REGIONALE 10 marzo 2014, n. 8

LEGGE REGIONALE 10 marzo 2014, n. 8 9306 LEGGE REGIONALE 10 marzo 2014, n. 8 Norme per la sicurezza, la qualità e il benessere sul lavoro. IL CONSIGLIO REGIONALE HA APPROVATO IL PRESIDENTE DELLA GIUNTA REGIONALE PROMULGA LA SEGUENTE LEGGE:

Dettagli

MINISTERO DELLA SALUTE

MINISTERO DELLA SALUTE b) unica prova orale su due materie, il cui svolgimento è subordinato al superamento della prova scritta: una prova su deontologia e ordinamento professionale; una prova su una tra le seguenti materie

Dettagli

GENERAL MOTORS ITALIA S.R.L.

GENERAL MOTORS ITALIA S.R.L. GENERAL MOTORS ITALIA S.R.L. Modello di Organizzazione Gestione e Controllo ex art. 6, 3 comma, Decreto legislativo 8 giugno 2001, n. 231, Disciplina della responsabilità amministrativa delle persone giuridiche,

Dettagli

REQUISITI FORMALI DELLA RICETTA NON RIPETIBILE Alla luce del D.LGS. 219 DEL 2006 Codice di recepimento normativa europea farmaci ad uso umano

REQUISITI FORMALI DELLA RICETTA NON RIPETIBILE Alla luce del D.LGS. 219 DEL 2006 Codice di recepimento normativa europea farmaci ad uso umano REQUISITI FORMALI DELLA RICETTA NON RIPETIBILE [STUDIO avv. Paola Ferrari ] info@studiolegaleferrari.it per Pronto Soccorso fimmg lombardia QUESITO: Mi è arrivata una notifica di violazione amministrativa

Dettagli

Attuazione e applicazione del Regolamento REACH: sfide e prospettive

Attuazione e applicazione del Regolamento REACH: sfide e prospettive Attuazione e applicazione del Regolamento REACH: sfide e prospettive Aspetti critici e rimedi Avv. Giovanni Indirli Senior attorney +32 2 5515961 gindirli@mayerbrown.com 21 Maggio 2010 Mayer Brown is a

Dettagli

SCHEMA DI DECRETO LEGISLATIVO RECANTE DISPOSIZIONI SULLA CERTEZZA DEL DIRITTO NEI RAPPORTI TRA FISCO E CONTRIBUENTE IL PRESIDENTE DELLA REPUBBLICA

SCHEMA DI DECRETO LEGISLATIVO RECANTE DISPOSIZIONI SULLA CERTEZZA DEL DIRITTO NEI RAPPORTI TRA FISCO E CONTRIBUENTE IL PRESIDENTE DELLA REPUBBLICA SCHEMA DI DECRETO LEGISLATIVO RECANTE DISPOSIZIONI SULLA CERTEZZA DEL DIRITTO NEI RAPPORTI TRA FISCO E CONTRIBUENTE VISTI gli articoli 76 e 87 della Costituzione; IL PRESIDENTE DELLA REPUBBLICA VISTA la

Dettagli

REGOLAMENTO PER IL DIRITTO DI ACCESSO AGLI ATTI DELL ORDINE DEGLI ARCHITETTI, PIANIFICATORI, PAESAGGISTI E CONSERVATORI DELLA PROVINCIA DI

REGOLAMENTO PER IL DIRITTO DI ACCESSO AGLI ATTI DELL ORDINE DEGLI ARCHITETTI, PIANIFICATORI, PAESAGGISTI E CONSERVATORI DELLA PROVINCIA DI REGOLAMENTO PER IL DIRITTO DI ACCESSO AGLI ATTI DELL ORDINE DEGLI ARCHITETTI, PIANIFICATORI, PAESAGGISTI E CONSERVATORI DELLA PROVINCIA DI TRENTO (Approvato con delibera del Consiglio in data 12 gennaio

Dettagli

Affrontare il Mercato Elettronico della Pubblica Amministrazione (MePA), obbligatorio per gli acquisti pubblici con la Spending Review

Affrontare il Mercato Elettronico della Pubblica Amministrazione (MePA), obbligatorio per gli acquisti pubblici con la Spending Review Affrontare il Mercato Elettronico della Pubblica Amministrazione (MePA), obbligatorio per gli acquisti pubblici con la Spending Review Ing. Francesco Porzio Padova, 5 Giugno 2013 f.porzio@porzioepartners.it

Dettagli

Il Ministro della Pubblica Istruzione

Il Ministro della Pubblica Istruzione Prot. n. 30/dip./segr. Roma, 15 marzo 2007 Ai Direttori Generali Regionali Loro Sedi Ai Dirigenti degli Uffici scolastici provinciali Loro Sedi Al Sovrintendente Scolastico per la Provincia di Bolzano

Dettagli

Quanto sono al sicuro i vostri dati riservati?

Quanto sono al sicuro i vostri dati riservati? Articolo pubblicato sul numero di febbraio 2010 di La rivista del business ad alte performance Information Technology Quanto sono al sicuro i vostri dati riservati? di Alastair MacWillson L'approccio aziendale

Dettagli

CIRCOLARE N. 21/E. Roma, 10 luglio 2014

CIRCOLARE N. 21/E. Roma, 10 luglio 2014 CIRCOLARE N. 21/E Direzione Centrale Normativa Roma, 10 luglio 2014 OGGETTO: Fondi di investimento alternativi. Articoli da 9 a 14 del decreto legislativo 4 marzo 2014, n. 44 emanato in attuazione della

Dettagli

Preambolo. (La Sotto-Commissione*,)

Preambolo. (La Sotto-Commissione*,) Norme sulle Responsabilità delle Compagnie Transnazionali ed Altre Imprese Riguardo ai Diritti Umani, Doc. Nazioni Unite E/CN.4/Sub.2/2003/12/Rev. 2 (2003).* Preambolo (La Sotto-Commissione*,) Tenendo

Dettagli

Norme di riferimento del modello generale di organizzazione, gestione e controllo ai sensi del d.lgs. 231/01

Norme di riferimento del modello generale di organizzazione, gestione e controllo ai sensi del d.lgs. 231/01 ISTITUTO POLIGRAFICO E ZECCA DELLO STATO Norme di riferimento del modello generale di organizzazione, gestione e controllo ai sensi del d.lgs. 231/01 Sintesi Approvato dal Consiglio di Amministrazione

Dettagli

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare 1 Premessa e quadro normativo Il Contratto sottoscritto da Equitalia S.p.A. e ha ad oggetto l affidamento dei servizi di implementazione e manutenzione del nuovo Sistema Informativo Corporate - Sistema

Dettagli

CIRCOLARE N. 1/E. Roma, 9 febbraio 2015

CIRCOLARE N. 1/E. Roma, 9 febbraio 2015 CIRCOLARE N. 1/E Direzione Centrale Normativa Roma, 9 febbraio 2015 OGGETTO: IVA. Ambito soggettivo di applicazione del meccanismo della scissione dei pagamenti Articolo 1, comma 629, lettera b), della

Dettagli

Non è compresa nel presente contratto l assistenza tecnica sui sistemi hardware e software dell UTENTE.

Non è compresa nel presente contratto l assistenza tecnica sui sistemi hardware e software dell UTENTE. CONDIZIONI GENERALI DI UTILIZZO DEL PROGRAMMA ONEMINUTESITE 1. PREMESSA L allegato tecnico contenuto nella pagina web relativa al programma ONEMINUTESITE(d ora in avanti: PROGRAMMA, o SERVIZIO O SERVIZI)

Dettagli

RICHIESTA ATTIVAZIONE SERVIZIO FATT-PA NAMIRIAL DEL CLIENTE OPERATORE ECONOMICO

RICHIESTA ATTIVAZIONE SERVIZIO FATT-PA NAMIRIAL DEL CLIENTE OPERATORE ECONOMICO Mod. NAM FATT-PA Rev.7.0 RICHIESTA ATTIVAZIONE SERVIZIO FATT-PA NAMIRIAL DEL CLIENTE OPERATORE ECONOMICO PREMESSE La presente Richiesta di attivazione del Servizio sottoscritta dal, Operatore Economico

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

CIRCOLARE N. 20/E. Roma, 11 maggio 2015

CIRCOLARE N. 20/E. Roma, 11 maggio 2015 CIRCOLARE N. 20/E Direzione Centrale Normativa Roma, 11 maggio 2015 OGGETTO: Trattamento agli effetti dell IVA dei contributi pubblici relativi alle politiche attive del lavoro e alla formazione professionale

Dettagli

REGOLAMENTO COMUNALE PER L'ACCESSO AGLI ATTI, AI DOCUMENTI E ALLE INFORMAZIONI

REGOLAMENTO COMUNALE PER L'ACCESSO AGLI ATTI, AI DOCUMENTI E ALLE INFORMAZIONI REGOLAMENTO COMUNALE PER L'ACCESSO AGLI ATTI, AI DOCUMENTI E ALLE INFORMAZIONI Art. 1 Finalità ed ambito di applicazione Art. 2 Informazione e pubblicità Art. 3 Accesso ai documenti amministrativi Art.

Dettagli

Accesso alla dichiarazione 730 precompilata da parte del contribuente e degli altri soggetti autorizzati IL DIRETTORE DELL AGENZIA

Accesso alla dichiarazione 730 precompilata da parte del contribuente e degli altri soggetti autorizzati IL DIRETTORE DELL AGENZIA Prot. 2015/25992 Accesso alla dichiarazione 730 precompilata da parte del contribuente e degli altri soggetti autorizzati IL DIRETTORE DELL AGENZIA In base alle attribuzioni conferitegli dalle norme riportate

Dettagli