Settembre 2020: le email di phishing del mese

Ecco le email di phishing più curiose, tra quelle ricevute nel mese di settembre 2020; come sempre l’invito, una volta appurato che si tratti realmente di un tentativo di truffarvi o di compromettere il vostro PC, è quello di cancellare tali email senza aprire eventuali allegati.

1.La mail dall’OMS …che in realtà proviene da un dominio non legato all’OMS, primo indizio che svela l’inganno!

Oggetto: Organizzazione Mondiale della Sanit

Il testo recita:

Spett. Azienda

A causa del fatto che nella sua zona sono confermati casi di infezione da Coronavirus, l’Organizzazione Mondiale della Sanità ha messo a disposizione un documento che comprende tutte le prudenze necessarie contro l’infezione da Coronavirus. Le consigliamo quindi di leggere il documento incluso in questa mail.

NB: la mail ovviamente in allegato contiene  un file excel (documento_913.xls ) che non è il caso di aprire.

 

PS: Lista in continuo aggiornamento

Data breach e GDPR: LulzSecITA dichiara di aver attaccato la rete del San Raffaele di Milano. L’ospedale smentisce. Cosa fare in questi casi?

Tutti ricorderete il misterioso “attacco hacker” che ad inizio Aprile 2020, in piena emergenza Covid,  era stato indicato come causa dei problemi di accesso al sito dell’ INPS. In quell’occasione, i vari team di esperti di sicurezza informatica e di hacking etico, avevano subito dichiarato di essere estranei all’accaduto.

Stavolta invece è stato proprio il team di hacktivisti  LulzSecITA  ad aver dichiarato di aver attaccato nelle scorse settimane, il sistema informatico dell’ ospedale San Raffaele di Milano (struttura nota a livello internazionale) tramite i propri social.

Sul proprio  profilo twitter, LulzSecITA     pubblica numerose foto, come questa per dimostrare di essere effettivamente in possesso di informazioni (tra cui dati pesonali e dati particolari, o “sensibili” per usare la definizione usata nella normativa privacy del 2003), contenute nei database del sistema ed addirittura di essere in possesso di informazioni sulla rete LAN della struttura vittima del data breach.

L’ Ospedale San Raffaele, secondo quanto riportato da alcune testate, ha smentito l’attacco, precisando che quei dati diffusi sui social si riferiscono ad un tentativo di intrusione avvenuto nei mesi scorsi, che non ha comportato l’accesso a dati sensibili.

Al di là dell’episodio riportato, alla luce del regolamento UE 679/2016 (GDPR) , quello che è avvenuto un data breach, cioè una violazione del sistema di sicurezza che comporta ,accidentalmente o in modo illecito, la distruzione, la modifica,la perdita,, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Questa situazione , che si può verificare anche nel sistema informatico più moderno ed aggironato, nel glossario del GDPR viene appunto indicata come Data Breach e viene gestita seguendo una procedura specifica.

Cosa fare in caso di data breach?

Secondo il GDPR (art 33) , in caso di data breach, il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.)  senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Si può facilmente intuire che la segnalazione in questi casi non è facoltativa ma obbligatoria e non si può far finta di nulla. Oltre all’art 33 del GDPR, in caso di data breach che potrebbero comportare rischi  per i diritti e le libertà delle persone fisiche ,il titolare comunica senza ritardo agli interessati quanto è accaduto (rispettando i criteri indicati nell’art 34 del GDPR). Anche questa operazione non è facoltativa e deve essere svolta in tempi rapidi. Non occorre temere una perdita d’immagine, anzi.  La comunicazione al Garante ed agli interessati, permette di evitare consegnuenze futuri ben peggiori.

In queste operazioni di notifica, chiaramente vengono coinvolti anche i  responsabili della sicurezza informatica della struttura e il DPO, che potranno dare un contributo importante per quantificare l’entità dei danni subiti ed individuare le contromisure da adottare.

 

 

Programmi Password Manager gratuiti: quali scegliere ?

Memorizzare la password di tutti i siti a cui siamo iscritti non è semplice e spesso viene la tentazione di usare a rotazione le stesse due o tre password: soluzione che ovviamente sconsiglio, dato che espone al pericolo di una violazione multipla di account qualora venisse individuata la password di un servizio (evento non così raro come si potrebbe pensare)

L’ipotesi di scrivere le password su un file da tenere nel PC ovviamente non è il caso di prenderla in considerazione visti i rischi che presenta (perdita del file in caso di attacco informatico o rottura del disco, cancellazioni accidentali, accesso a terzi non autorizzati nel caso di salvataggio su supporti usb o aree dati condivise ) . A questo punto l’unica soluzione possibile è quella di affidarsi ad un software con funzionalità di Password Manager, una sorta di cassaforte disponibile sia in formato APP che in forrmato desktop o web, in grado di conservare le credenziali in maniera  crittografata (ad esempio usando AES Advanced Encryption Standard a 256bit, che garantisce elevati livelli di sicurezza), rendendole disponibili solo dopo aver inserito una “master password” (che chiaramente dovrete conoscere solo voi e che deve avere opportuni criteri di lunghezza e complessità, per garantirne l’inviolabilità).

La soluzione più comoda è quella di usare un Password Manager multipiattaforma, che consenta di sincronizzare tramite cloud il file contenente le password su vari dispositivi e che , come consentono di fare alcuni software di password manager, permette il completamento automatico del campo password dei siti, in maniera tale da non dover fare copia e incolla della password memorizzata.

Chiaramente la master password del software usato per gestire le password deve essere conservata (consiglio di stamparla e conservarla in luogo sicuro!) dato che,in caso di smarrimento, sarebbe impossibile poter decriptare l’elenco delle password.

LastPass

Consente di gestire tramite interfaccia web il proprio archivio di password, con la possibilità di accedere da più dispositivi. La versione gratuita consente di avere un utente.

1Password

Altro sistema che consente di memorizzare password su uno storage online e di poter accedere da più dispositivi, in questo caso non c’è però un piano gratuito da poter utilizzare.

KeePass

Keepass è un progetto open (rilasciato sotto GPL) , gratuitamente disponibile (anche in versione portable) , usa algoritmi AES 256 bit e ChaCha20 sempre a 256 bit. Sono disponibili diversi port (ufficiali e non ufficiali) per varie piattaforme.

Per gli utenti MAc è disponibile MacPass: un password manager free ed open, compatibile con KeePass .

La versione utilizzabile dal browser web,  che tra le altre cose, consente anche la sincronizzazione tramite Dropbox, si chiama KeeWeb

Insomma, le possibilità di scegliere sono diverse, tocca a voi sperimentarle 🙂

PS: Personalmente mi sono orientato verso KeePass , vista anche la possibilità di utilizzarlo su smartphone (grazie ai porting)

 

Protocollo di Regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro :esempio bozza Informativa lavoratori e lettera di incarico

A titolo di esempio, propongo una possibile bozza di Informativa per il trattamento dati personali relativi alla rilevazione temperatura corporea  delle  persone   che entrano in azienda e trattamento dichiarazioni attestanti la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19,secondo quanto indicato nel Protocollo di Regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.

NOTA: I seguenti documenti hanno esclusivamente carattere informativo e possono cambiare senza preavviso. Salvo errori e/o omissioni. In nessun caso il titolare, i suoi fornitori o altre terze parti saranno responsabili per qualsiasi danno, diretto o indiretto, che dovesse derivare dall’uso delle informazioni contenute nel presente sito, dai contenuti del sito stesso o dall’impossibiltà del suo utilizzo. Il titolare non è responsabile del contenuto di ogni altro sito che possa essere raggiunto da questo sito.

Procedendo con il download dei seguenti documenti si dichiara di aver preso visione e di aver accettato la nota precedente.

DOCUMENTI:

Informativa lavoratori dipendenti – rilevamento temperatura COVID19

 

 

La privacy sotto l’albero: i consigli del Garante Privacy per un Natale sicuro

Tempo di Natale: momento di feste, regali e ..privacy.

E’ uscita da pochi giorni, sul sito del Garante Privacy, una guida  con raccomandazioni varie per evitare che durante le feste i nostri dati personali (foto e video che ritraggono noi o i nostri piccoli, messaggi di auguri, etc) possano essere trattati in modo inadeguato, rovinandoci la festa  o quantomeno creando situazioni imbarazzanti.

Anche a Natale occorre prestare attenzione a phishing, virus e malware vari; tra i vari messaggi di auguri arrivati sui nostri pc o sui nostri smartphone si potrebbero infatti nascondere link a virus o software spyware. Occorre quindi stare attenti prima di aprire link sospetti; allo stesso modo occorre prestare attenzione alle truffe online che in occasione delle festività, si nascondono sotto le spoglie di offerte strepitose su siti di acquisti online in realtà truffaldini Come sempre è bene diffidare di siti con URL strane; guardate sempre il link che appare nella barra degli indirizzi del browser prima di fornire i vostri dati. Attenzione anche ad un corretto uso dei social: prima di postare foto natalizie in cui compaiono minori (o comunque altri soggetti) è sempre bene chiedere il permesso. E’ sempre bene inoltre non indicare sui social troppi dettagli delle proprie vacanze; per evitare che durante la nostra assenza qualche malintenzionato possa far visita alla nostra casa.  C’è sempre tempo per taggare amici e luoghi nei giorni successivi, magari a vacanze finite, in modo da poter avere anche maggior tempo per selezionare le foto migliori! 😉

Molto interessante è infine la guida del Garante ad un corretto uso dei giocattoli smart, in grado cioè di rapportarsi con persone e di connettersi ad Internet. Gli smart toys utilizzano microfoni,sensori , sistemi GPS e telecamere per interagire con grandi e piccini;proprio per questo occorre prestare attenzione al modo in cui i dati personali (es: una foto che ritrae una persona) vengono memorizzati e gestiti dalle aziende produttrici. Bambole ,macchinine, peluche e robot “smart” ,per quanto divertenti ed educativi, sono infatti veri e propri strumenti che raccolgono ed elaborano dati, con possibili rischi per la privacy, sopratutto dei minori.

Qualora sia necessario registrarsi online fornendo informazioni personali (es: nome ed età del bambino o dei genitori, indirizzo ,etc) sul sito del produttore del giocattolo, è necessario leggere attentamente l’informativa al trattamento dati personali che deve essere presente sul sito (o sui documenti allegati al giocattolo ); allo stesso tempo occorre capire quali informazioni vengono elaborate dal giocattolo e appurare per quali finalità vengono utilizzate (in particolare occorre capire se vengono utilizzate solo ai fini del funzionamento del gioco oppure anche per altre finalità).

In ogni caso è bene non “parlare troppo” con il giocattolo smart toy: evitiamo quindi di fornire informazioni non necessarie per farlo funzionare,utilizzando pseudonimi a posto di uno username che contenga nome e cognome reali del minore. E’ bene inoltre, navigare tra le opzioni di configurazione del giocattolo o della sua APP, per disattivare strumenti di raccolta dati che non sono indispensabili per il funzionamento (es: il sensore GPS per la geolocalizzazione o il microfono, quando non è necessario ).

Se si tratta di giocattoli in grado di comprendere le parole dei presenti ,è bene utilizzare un linguaggio privo di espressioni violente, parolacce o frasi offensive, che magari potrebbero essere poi ripetute dallo smart toy in presenza dei minori. Attenzione infine a come i vari smart toy dialogano tra loro: si tratta infatti di dispositivi IOT (Internet delle cose), noti per poter interagire tra loro : questa capacità,se da un lato li rende ancora più divertenti da utilizzare grazie ad una elevata interazione con il mondo che li circonda, dall’altra potrebbe presentare rischi legati all’incrocio dei dati tra i dispositivi. Vale la pena quindi  affiancare i bimbi nell’utilizzo di questi giochi,per sensibilizzarli ad un utilizzo davvero sicuro di questi giocattoli,anche dal punto di vista della privacy.

” Il tuo account è temporaneamente sospesa ” : arriva l’ennesimo tentativo di phishing

Per la serie “dolcetto o scherzetto”, arriva l’ennesimo tentativo di phishing.

Il tentato phishing via email  stavolta prende di mira gli utenti di una nota piattaforma di commercio elettronico , la metodologia usata per cercare di spingere l’utente a comunicare ai malintenzionati le proprie credenziali è sempre la solita: email proveniente apparentemente dal servizio di assistenza di un noto portale di e-commerce , che  avverte l’utente che il proprio account  è stato temporaneamente disattivato e quindi occorre effettuare login per sbloccarlo.

Stavolta la mail riporta il seguente oggetto: “Il tuo account è temporaneamente sospesa,Situazione aggiornata al 03/11/2019”  , da notare che in questo caso la data riportata è addirittura successiva a quella attuale ed è presente il verbo  è  coniugato al femminile .

La mail ricevuta , presenta il seguente testo:

Gentile Cliente

La sua utenza sul sito di ********.it è stata temporaneamente sospesa perché non ha ancora effettuato l’aggiornamento obbligatorio del suo profilo, come richiesto in precedenza dal nostro servizio di assistenza.

La informiamo con la preѕеnte email, che non può più effettuare alcun tipo di operazione online.

Per riattivare la sua utenza, la invitiamo ad effettuare l’aggiornamento in questione tramite il seguente link:

Chiaramente cliccando sul link si viene reindirizzati su un server che nulla ha a che vedere con la piattaforma di **********.

Si raccomanda di prestare attenzione e ovviamente di non cliccare sul link 😉

GDPR: la nuova normativa Privacy aiuta a migliorare le imprese

Il 25 maggio 2018 è entrato in vigore, e quindi direttamente applicabile in tutti gli Stati membri, il Regolamento Europeo 2016/679, meglio conosciuto come GDPR : (General Data Protection Regulation) relativo alla protezione dei dati personali dei cittadini UE.

Il GDPR , introduce e rafforza alcuni aspetti  importanti che riguardano la protezione dei dati personali (la cosidetta “privacy”), permettono di capire come l’obiettivo con cui e’ stato elaborato il GDPR sia quello di responsabilizzare i titolari e i responsabili del trattamento dati; ovvero le aziende, enti pubblici e organizzazioni (associazioni, fondazioni, etc) in generale a cui i privati cittadini (si pensi ai dipendenti di una azienda, ai clienti di un sito di ecommerce o ai pazienti di un ospedale, etc. ) affidano i propri dati.

Ai titolari e responsabili del trattamento viene affidato il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, rispettando le disposizioni normative indicate nel Regolamento. Questa autonomia e’ tuttavia volta all’obiettivo (descritto sopra) di responsabilizzare l’azienda affinche’ organizzi nel migliore dei modi il trattamento dei dati personali che le sono stati affidati, garantendo la sicurezza degli stessi di fronte a minacce informatiche e da errori (umani) nel trattamento che potrebbero causare rischi per gli interessati (cioe’ le persone a cui quei dati personali si riferiscono).

Come spesso accade, qualcuno cercherà di fare il furbo, pensando che sia sufficiente qualche modulo , magari  scaricato da Internet (o fornito dal proprio consulente paghe ), per mettersi in regola con il GDPR. Le cose non stanno così ,  basta visitare il sito del Garante, per scoprire che  nei primi 4 mesi di applicazione del GDPR sono stati oltre 2500 i reclami   degli utenti ( a fronte di circa 1700 reclami del 2017), con oltre 300 segnalazioni di data breach, ovvero furti e/o perdite di dati personali e non. Davanti a questi dati (e alle sanzioni previste dalle violazioni del GDPR) si puo’ comprendere come il modo giusto di rendere conforme al GDPR la pria azienda sia quello di implementare realmente misure tecniche ed organizzative che possano grantire la sicurezza dei dati personali trattati.

Implementare il GDPR nella propria organizzazione (azienda, associazione, pubblica amministrazione, fondazione , etc) significa coinvolgere tutta l’azienda in un percorso che porta sicuramente a riorganizzare in modo efficiente il flusso dei dati nella propria azienda e a rendere piu’ consapevoli i dipendenti, in merito alle proprie responsabilita’ nel trattamento delle informazioni. Non a caso uno degli obblighi previsti dal regolamento riguarda la formazione dei dipendenti autorizzati a trattare dati personali.

Consulenze privacy GDPR a prezzi stracciati: vale la pena?

Qualche giorno fa vengo contattato da un dirigente di un ente a cui è appena arrivata una proposta da parte di una ditta, che si offre per consulenza GDPR. L’offerta economica sembra buona, anzi, il prezzo è davvero stracciato: 100 euro per la consulenza necessaria a preparare i documenti (nomine, informative, registri , eventuale DPIA ) e 1000 euro annui per svolgere il ruolo di DPO.

La cosa mi incuriosisce e decidiamo di contattare l’azienda, che ha sede a circa 80 km dalla sede legale dell’ente a cui era stata inviata la proposta.

Dopo la telefonata , si scopre che la consulenza per la preparazione dei documenti GDPR, consiste in una spiegazione su come preparare i documenti necessari ; la cui compilazione  spetta al cliente.

Riguardo il costo del servizio DPO,  probabilmente si spera che durante l’anno non sia mai necessario recarsi fisicamente presso il cliente. Speranza che, leggendo bene il testo del GDPR, sembra pura utopia, visto che al DPO viene chiesto di collaborare con il titolare e di aiutare l’azienda ad applicare correttamete quanto indicato nei vari documenti che riguardano la privacy.

Il Regolamento 679/2016, all’articolo 39 indica chiaramente i compiti del DPO:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b)

sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c)

fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d)

cooperare con l’autorità di controllo; e

e)

fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Non occorre una grande esperienza per capire che non ci si può aspettare molto da chi si propone di fare tutto questo per meno di 100 euro al mese, indipendentement dalle dimensioni dell’azienda/ente.

 

 

Cybersecurity: la mancanza di sicurezza costa 10 miliardi alle aziende italiane

Oltre un miliardo di persone, nel 2017 sono state vittime di crimini informatici, con danni per oltre 500 miliardi di dollari : sono queste alcune delle cifre, decisamente preoccupanti, riportate nel Rapporto 2018 dell’associazione Clusit, che da anni si occupa di diffondere la cultura della sicurezza informatica in Italia: tema che solamente negli ultimi tempi, grazie al clamore del fenomeno Industria 4.0 (di cui la cybersecurity è uno degli aspetti chiave) ha iniziato ad essere considerato da molti  imprenditori.

Il documento,   disponibile  sul sito www.clusit.it , ha svelato dati decisamente allarmanti riguardo ai cyber crimini commessi nel 2017: rispetto al 2011 c’è stata una crescita del 240% degli attacchi informatici (l’aumento è del 7% rispetto al 2016), con interferenze anche nella geopolitica e nella finanza.

Non stiamo parlando quindi solo delle comuni frodi informatiche che giornalmente riguardano i nostri PC domestici (si pensi alle email di phishing o agli allegati malevoli che ci giungono via email ogni giorno), ma sopratutto di attacchi ben più complessi, mirati a creare danni (furto di dati, sabotaggio dei sistemi informatici,estorsione) a  PMI , grandi aziende o alle strutture strategiche di intere nazioni (comprese le strutture sanitarie). Le attività di cyber crimine nel 2017, svela il Clusit, hanno creato danni al nostro Paese, nell’anno 2016, per una cifra (10 miliardi di euro ) che è dieci volte superiore agli investimenti fatti in materia di sicurezza informatica; ne risulta quindi che gli sforzi messi in atto sino ad ora sono insufficienti.

Rispetto al 2016, sono cresciuti gli attacchi ad istituzioni ed aziende nel campo della ricerca e dell’ istruzione (+29%) , ad imprese nel campo finanziari e banche (+11%) , a soggetti che operano nel campo della salute (+10%) e ad imprese nel campo software/hardware (+21%) ; in sostanza in quasi tutti i settori produttivi, si sono riscontrati aumenti degli attacchi informatici, conferma che quando si parla di cybersecurity nessuno può ignorare l’argomento).

Per quanto riguarda le tecniche utilizzate, la maggior parte dei cyber-attacchi (circa il 68%) è stata realizzata con metodi “classici” come DDOS, SQLi , phishing e malware ; gli attacchi a dispositivi mobili tramite malware specifico rappresentano il 20% del malware totale.

I dati   sul cybercrimine diffusi  dal Clusit per il 2017 non sono affatto confortanti, ma servono a mettere in evidenza come, nella società di oggi, in cui sistemi come il cloud, gli smartphone o i social sono quotidianamente utilizzati da imprese, istituzioni e cittadini, sia importante la diffusione di buone pratiche di sicurezza informatica, non solo per evitare che qualcuno possa attaccare i nostri dispositivi personali (si pensi non solo al Pc domestico o allo smartphone ma anche agli impianti domotici e ai dispositivi che compongono la “Internet of Things”) , ma sopratutto per ridurre il rischio che aziende o servizi vitali per la collettività (pensiamo ad esempio alla sanità , ai servizi erogati tramite internet dalla P.A, ai sistemi di telecomunicazione o al controllo aereo ) possano essere danneggiati da attacchi informatici. Insomma è il momento di iniziare a vedere la sicurezza informatica come un processo che coinvolge non solo le singole organizzazioni ma l’intera collettività, nessun imprenditore (o dirigente di una P.A.) o cittadino, può più permettersi di ignorare la cybersecurity ed affermare <<ma tanto fino ad ora non mi è successo nulla!>>

Criptovaluta : il denaro è digitale ma il rischio è reale

 

Nei giorni scorsi quasi tutti i notiziari  hanno aperto con servizi sull’ esordio in borsa per i future basati sui bitcoin (la moneta digitale più famosa, già da qualche anno conosciuta tra gli esperti del settore ma finora sconosciuta al grande pubblico ); una notizia simile sicuramente avrà lasciato perplesso qualcuno che magari, sentendo parlare di moneta digitale avrà pensato a qualche noto film di fantascienza.

Intanto è bene chiarire che non siamo in un film e che non c’è niente di illegale dietro le criptovalute (cioè le monete digitali, di cui il bitcoin è quella più nota), sicuramente ci sono però dei concetti con cui è bene prendere familiarità e che sempre più incontreremo in futuro nelle nostre vite.

Criptovaluta è un termine che indica una moneta digitale, generata cioè sfruttando la potenza di elaborazione dei computer, una simile moneta può essere spesa per comprare o vendere beni e servizi (sia su internet che, in molti casi, anche  nel mondo reale)

Avrete intuito che l’argomento è molto complesso e riassumerlo in poche righe è davvero riduttivo, per cui occorre chiarire subito che i Bitcoin sono molto differenti dalle valute tradizionali: non esiste innanzitutto una banca centrale o un ente  che funge da intermediario tra i soggetti che si scambiano questa moneta digitale.

Tutto è affidato ad una rete P2P che usa un database distribuito tra i computer degli utenti; ogni aderente a questa rete è insomma una parte del sistema di gestione e di elaborazione , un cosiddetto “nodo”. La sicurezza delle transazioni è garantita dalla crittografia (di tipo a chiave pubblica) che impedisce agli utenti di “barare” , modificando il proprio wallet (il borsellino virtuale che custodisce i bitcoin posseduti da ciascuno)

Per generare bitcoin occorre far eseguire appositi software (in grado di scavare, o meglio di “minare” bitcoin) al proprio computer, si tratta però di eseguire calcoli talmente complessi e dispendiosi che un singolo computer non riuscirebbe a garantire guadagni adeguati, conviene quindi ricorrere ad appositi servizi online che tramite il calcolo distribuito permettono di generare bitcoin con un minor sforzo computazionale per i singoli computer che partecipano al mining. I bitcoin possono anche essere comprati tramite appositi siti, il loro prezzo negli ultimi mesi ha subito rialzi tali da garantire guadagni allettanti ai propri possessori, ma occorre stare molto attenti e non lasciarsi prendere da facili entusiasmi.

In questo mondo non sempre quello che luccica è oro, a maggior ragione nel mondo digitale, occorre stare in guardia : nei giorni scorsi si è scoperto che dietro alcuni siti di streaming (portali che consentono la visione di film, in modo spesso gratuito ) si nascondono codici in grado di sfruttare il computer degli utenti (impegnati nel vedere i film ) per “minare” bitcoin. La cosa chiaramente non ha fatto piacere a molti utenti di tali siti, che hanno visto il carico di lavoro della propria CPU aumentare durante la navigazione . Esistono inoltre  script, da inserire nel proprio sito web, che permettono di minare bitcoin utilizzando la CPU dei visitatori , il rischio quindi non è limitato ai portali di streaming .

Se poi andiamo a curiosare  tra le testate online, si scopre che  l’euforia per  l’esordio  dei futures basati sui bitcoin alla borsa di Chicago, è durata appena un giorno: gli scambi sono infatti crollati nel giro di poche decine di ore; BlackRock  (società di gestione del risparmio) ha avvertito sulla possibilità di una bolla speculativa. Si tratta di un ulteriore segnale che nel territorio della finanza occorre muoversi con molta cautela e senza lasciarsi influenzare dall’euforia dei mercati.

UPDATE:   il controvalore di 1 bitcoin (BTC) a Dicembre 2017 era di 15.000 euro , a Marzo 2018 si è scesi a valori attorno a 7000 euro. Ennesima conferma che si tratta di una moneta a cui avvicinarsi con cautela, sopratutto  da parte dei piccoli risparmiatori, poco esperti nell’analizzare gli andamenti dei mercati.