Commercialisti, avvocati, consulenti del lavoro. Custodi dei dati piu' sensibili dei loro clienti.
“Qualsiasi collaboratore accede ai fascicoli di tutti i clienti: dichiarazioni, bilanci, dati patrimoniali.”
Sanzione dall'ordine, perdita di clienti, causa per danni.
Configura le cartelle condivise per limitare l'accesso: ogni collaboratore deve vedere solo i fascicoli dei propri clienti.
“Dichiarazioni dei redditi e atti legali inviati per email in chiaro. Documenti sensibili su cloud senza cifratura.”
Responsabilita' professionale diretta. I tuoi clienti pagano le conseguenze dei tuoi errori.
Invia i documenti fiscali come PDF protetti da password e comunica la password per telefono.
Un link di Google Drive condiviso per errore con accesso pubblico ha esposto le dichiarazioni dei redditi di 340 clienti per 3 settimane. Segnalazione al Garante e notifica a tutti i clienti.
“Email falsa dall'Agenzia delle Entrate chiede accesso al cassetto fiscale. Lo stagista clicca senza pensarci.”
Un singolo click compromette i dati fiscali di tutto il portafoglio clienti.
Forma tutto il personale a riconoscere le email dell'Agenzia delle Entrate: l'AdE non chiede mai credenziali via email.
“L'archivio digitale viene cifrato. Dichiarazioni in scadenza impossibili da presentare. Il calendario fiscale non aspetta.”
Sanzioni per omessi adempimenti a carico dei clienti. Responsabilita' professionale e perdita massiva di clienti.
Verifica di avere un backup offline (non connesso alla rete) delle dichiarazioni in corso di lavorazione.
Ransomware a febbraio ha cifrato l'archivio di uno studio con 420 clienti, a ridosso della scadenza del modello CU. 180 clienti hanno ricevuto sanzioni per invio tardivo.
“Password condivisa tra praticanti per accedere ai portali fiscali. Tutti usano le stesse credenziali.”
Impossibile sapere chi ha fatto cosa. Responsabilita' diffusa, audit impossibile.
Crea un account individuale per ogni collaboratore sui portali fiscali e attiva la MFA.
“Gestionale dello studio mai aggiornato. Versione di Java ferma al 2019. 'L'assistenza dice che va bene cosi'.'”
Vulnerabilita' pubbliche permettono l'accesso da remoto a tutti i fascicoli.
Chiedi al fornitore del gestionale l'elenco degli aggiornamenti di sicurezza disponibili e pianifica l'installazione.
“Backup su disco USB nella stessa stanza del server. Mai verificato se funziona davvero.”
Ransomware cifra anche il backup locale. Anni di fascicoli clienti irrecuperabili.
Sposta una copia del backup su un servizio cloud cifrato o su un disco esterno conservato fuori sede.
“Accessi anomali ai fascicoli clienti non vengono rilevati. Nessuno verifica chi apre cosa.”
Data breach scoperto solo quando il danno e' pubblico. Obbligo di notifica al Garante entro 72h.
Attiva i log di accesso sui file server e controlla settimanalmente gli accessi fuori orario.
“Cloud storage con fascicoli clienti condiviso con link pubblico per errore. Google lo indicizza.”
Le dichiarazioni dei redditi dei tuoi clienti trovabili con una ricerca. Incubo reputazionale.
Verifica ora le impostazioni di condivisione su Google Drive/OneDrive: nessun link deve essere pubblico.
“Il software di fatturazione cloud subisce un data breach. I dati di tutti i tuoi clienti sono nel pacchetto.”
Il GDPR ti rende corresponsabile. Notifica obbligatoria, danno reputazionale, possibile sanzione.
Verifica che il tuo contratto con il fornitore SaaS includa una clausola di data processing agreement (DPA) conforme al GDPR.
“Email dal "titolare dello studio" chiede alla segretaria di disporre un bonifico urgente per una consulenza esterna. L'email arriva di venerdi' pomeriggio.”
L'urgenza artificiale bypassa i controlli. Il bonifico parte verso un conto estero prima che qualcuno verifichi.
Stabilisci che nessun bonifico puo' essere disposto su richiesta email senza conferma vocale al titolare.
“Praticanti usano Google Drive personale per lavorare da casa su dichiarazioni dei redditi. Documenti fiscali su account Gmail privati.”
Dati fiscali di centinaia di clienti su account personali senza cifratura, senza backup, senza possibilita' di revoca.
Fornisci un cloud aziendale (anche economico) con accesso VPN e vieta l'uso di account personali per dati dei clienti.
“Collaboratore lascia lo studio e porta con se' l'intero database clienti su chiavetta USB. Ex-praticante con credenziali ancora attive accede ai fascicoli.”
L'ex-collaboratore apre uno studio concorrente contattando i "suoi" clienti con informazioni privilegiate.
Revoca immediatamente tutti gli accessi al momento delle dimissioni e verifica che non esistano account dormienti.