AntiRiciclaggio e AntiCorruzione nella PA

Non tutti sanno che la pubblica amministrazione nelle procedure di acquisto dovrebbe effettuare controlli anti-riciclaggio (AML – Anti Money Laundering) secondo quanto stabilito dal Decreto del Ministero dell’Interno del 25.09.2015.

Non a caso il GAFI (Gruppo d’Azione Finanziaria Internazionale), identifica la diretta relazione fra corruzione e riciclaggio, evidenziando come il trittico riciclaggio-corruzione-terrorismo sia uno dei maggiori pericoli per la nostra società.

Il Decreto 25.09.2015 identifica un insieme di Indicatori di Anomalia, ovvero un insieme di controlli che la PA deve effettuare in modo puntuale su tutte le aziende (“operatori economici”) che partecipano ad appalto o erogano servizi.

I controlli basati sugli Indicatori di anomalia devono essere effettuati sulla base di informazioni di cui l’ente è già in possesso o basate su fonti aperte (All. B, comma 5) .

Detto in altri termini, l’ente nelle verifica sugli operatori economici parte di un processo di acquisto, dovrebbe usare in modo professionale strumenti offerti dal sistema camerale nonché motori di ricerca e altre fonti aperte per effettuare i controlli AML approcciando a questi con un mindset da investigatore (o analista AML).

L’ente dovrebbe nominare un referente “gestore anti-riciclaggio“, che in assenza di nomina diviene direttamente il Responsabile Anticorruzione (RPC), secondo quanto indicato nell’articolo 6, comma 6 del Decreto del Ministero dell’Interno del 25.09.2015.

L’RPC dovrebbe quindi occuparsi di effettuare controlli AML nei confronti di tutti gli operatori economici che interagiscono con l’ente, segnalando alla UIF tutte le anomalie che dovesse riscontratre.

Come introduzione giuridico-normativa è utile sapere che l’anti-riciclaggio in Italia è disciplinato dal D.lgs. 231/2007 ma, come ben spiegato dal report Identità Nascoste di Transparency International Italia, viene rimpiazzato entro il 2017 da tutti gli stati membri dalla IV Direttiva EU Anti-Riciclaggio (n. 849/2015).

 

L’Unità di Informazione Finanziaria (UIF) della Banca D’Italia è il principale attore dell’AML nel quadro istituzionale e, oltre ad analizzare i flussi finanziari per identificare fenomeni di riciclaggio, definisce sulla base della raccomandazioni GAFI/FATF, degli Indicatori di Anomalia oltre a Modelli e Schemi di Comportamento Anomali utili come linea guida per chi debba effettuare controlli anti-riciclaggio.

Utile sapere che è stato stipulato dal 2014 un accordo di collaborazione fra UIF e ANAC per lo scambio reciproco di informazioni.

Delineato questo scenario e fatte queste premesse è necessario porsi alcune domande in merito alla effettiva funzionalità fra Anti-Riciclaggio e Anti-Corruzione:

  1. I Responsabili Anticorruzione, lì effettuano davvero questi controlli AML?
  2. Qualora siano riscontrati più indicatori di anomalia, ci sarà una mera segnalazione dall’ente alla UIF ma non sarà intrapresa nessuna azione specifica nei confronti degli appalti-contratti in cui è coinvolto l’operatore economico a rischio?
  3. Esiste una relazione fra Codice degli Appalti, con conseguenti regolamenti e procedure a cui il Responsabile Unico del Procedimento (RUP) dovrebbe attenersi, per effettuare controlli AML ai fini di ammissibilità degli operatori economici?

UPDATE 24.09.2017: Trovata questa eccellente presentazione che spiega l’operatività dell’RPC rispetto agli indicatori AML e agli appalti Prevenzione della corruzione e antiriciclaggio: indicatori di anomalia

Da non giurista potrei avere scritto delle complete castronerie, su cui vi invito a fornirmi un riscontro.

Ma se per caso ci ho visto giusto, c’è un bel vuoto normativo-procedurale, ovvero i controlli AML non si fanno.

L’ANAC, in tal caso, dovrebbe intervenire per definire linee guida, procedure e regolamenti tali da richiedere che tutti i soggetti definiti nel Codice degli Appalti, effettuino controlli AML sia preventivi ai fini di ammissibilità, sia durante lo svolgimento dei lavori da parte degli operatori economici.

Annunci

L’ANAC ha perso il controllo sull’information technology?

Guardando i recenti bandi di gara ANAC si osserva come questo ente abbia intrapreso un affidamento pressoché totale dei propri molteplici sistemi informativi a fornitori esterni in outsourcing.

Ma cosa viene delegato in outsourcing a fornitori esterni? Vediamo il dettaglio

  • Completa gestione delle applicazioni software

Affidamento della manutenzione dei servizi applicativi dell’Autorità nazionale anticorruzione ( € 1.552.500 a Technis Blu Srl)

  • Completa gestione delle infrastrutture informatiche

Affidamento dei Servizi di gestione e monitoraggio del sistema informatico dell’Autorità Nazionale Anticorruzione (€ 4.384.902 a RTI Finmeccanica S.p.A.(mandataria) – DGS S.p.A., Present S.p.A., Lutech S.p.A)

  • Completa gestione degli archivi documentali

Affidamento del “Servizio di gestione dell’archivio di deposito dei documenti dell’Autorità” (€ 76.406 a Omniadoc SpA)

Sembra rivedere scene già viste nei primi anni ‘2000 quando organizzazioni in difficoltà si rivolgevano a contratti di full-outsourcing nella speranza di “delegare il problema gestionale dell’IT” a qualcun’altro, un fornitore specializzato.

Non so’ se si tratta di questo scenario, tuttavia scelte di questo tipo spesso nascondono problematiche organizzative, tipicamente per la mancanza di figure apicali con delega alla gestione del patrimonio informativo aziendale quali CIO o CTO, con la conseguente carenza di governance dell’information technology.

Questo è un bel problema da Consiglio, da Presidente, da Direttore Generale, perché oggi qualunque cambiamento organizzativo richiede che vi sia un sistema informativo a supporto (secondo un paradigma “digital first”) e che la sua messa in opera possa seguire un approccio iterativo di prototipazione-testing-uso-miglioramento in modo agile.

Agile appunto.

Perché quando si percorrono queste scelte di full outsourcing, il rischio è quello di perdere la propria agilità organizzativa con il rischio di trovarsi “ingessati” a livello strutturale, senza la possibilità di essere efficaci nell’innovare seguendo metodiche moderne di ingegneria gestionale e di processo.

In questo caso specifico, è ulteriormente necessario considerare l’esigenza di autonomia e indipendenza dell’Autorità Nazionale Anticorruzione: quanto ANAC si sta ponendo sotto il controllo (vedi concrete opportunità di spionaggio informatico da parte di criminalità organizzata interessata a infiltrare i fornitori per avere informazioni sulle indagini e controlli) nonché dipendenza di fornitori per la sua stessa esistenza e funzionamento?

Sarà questa scelta di full outsourcing dei sistemi informativi una soluzione ben studiata di ottimizzazione delle risorse o il tentativo di risolvere un problema di difficile gestione delegandolo a dei fornitori esterni?

Domande a cui non ho risposte, ma d’altronde chi le ha?

Come chiedere agli operatori telefonici se hanno vostri dati personali?

In questo post una mini guida su come richiedere ad un operatore telefonico se ha effettivamente cancellato i dati che vi riguardano più vecchi di 24 mesi, come indicato dall’articolo 132. del codice privacy.

L’idea nasce a seguito della vicenda narrata nel post “Conservazione Indiscriminata dei dati per 6 anni” relativo a una proposta di legge per ampliare gli obblighi di conservazione dei dati telefonici e telematici da parte degli operatori telefonici e di servizi internet.

 

Innanzitutto ci si deve dotare di un indirizzo PEC, poiché gli operatori telefonici difficilmente rispondo ad email normali non a valore legale.

Inoltre risulta utile usare il modulo predisposto dal garante privacy (benché non necessario, anche questo è utile per riuscire a ricevere una risposta).

Proviamo a seguire procedura per richiedere al il vostro operatore telefonico questi non stia conservando dei dati telefonici oltre il termine previsto per legge di 24 mesi.

 

0. Scaricare il modulo dal sito del Garante

Scaricare il modulo del garante privacy in PDF ed apritelo con un editor che consenta di modificarlo (come Acrobat Reader o Libreoffice)

1. Inserire l’intestazione dell’operatore telefonico

E’ necessario inserire la persona giuridica a cui si sta indirizzando la richiesta in alto a DX, ovvero il vostro operatore telefonico.

Fra i principali in seguito, inclusi dell’email PEC a cui inviare la richiesta:

Wind Tre S.p.A. – P.IVA n. 13378520152 – WINDTRESPA@PEC.WINDTRE.IT

Vodafone Italia S.p.A. – Partita IVA 08539010010 – vodafoneomnitel@pocert.vodafone.it

Telecom Italia SpA – P.IVA 00488410010 – telecomitalia@pec.telecomitalia.it

BT Italia P.IVA 04952121004 – btitaliaspa@pec.btitalia.it

PosteMobile S.p.A. Partita IVA 06874351007 – PEC:  lrs.postemobile@pec.posteitaliane.it

EOLO SpA – P. IVA 02487230126 – ngi@pec.ngi.it

2. Compilare i propri dati anagrafici sintetici (Nome/Cognome/Nato A/ Il)

Annotare i dati richiesti dal modulo.

3. Nella sezione “Accesso ai dati personali” marcare la casella

[X] chiede di confermargli l’esistenza o meno di tali dati, anche se non ancora registrati,

4. Sempre nella sezione “Accesso ai dati personali” scrivere  sotto “La presente richiesta riguarda”
“Il dato personale di cui voglio conoscerne l’eventuale esistenza è il mio numero di telefono +39-XXX-XXXXXXX,
se presente all’interno dai di traffico telefonico effettuato o ricevuto da una qualunque numerazione gestita (ad esempio telefonate ricevute da un vostro cliente dal mio numero di telefono o effettuare da un vostro cliente al mio numero di telefono) riferito esclusivamente a comunicazioni avvenute precedentemente al 30.06.2015 .”
5. Nella sezione “Recapito per la risposta: ” : marcare la casella

[x] e-mail: e ___inserire il proprio indirizzo email___

6. Nella sezione Eventuali Precisazioni aggiungere:
“Obiettivo di questa richiesta è verificare che i dati di traffico telefonico che mi riguardano che rientravano all’interno degli obblighi della normativa 43/2015, i cui effetti sulla conservazione dei dati di traffico telefonico terminano al 30.06.2017 riportando l’obbligatorietà di conservazione a 24 mesi come da codice privacy art 132., siano stati effettivamente cancellati.”
7. Inserire nella sezione “Estremi di un documento” l’identificativo di un proprio documento di identità
Inserire il numero della carta di identità, patente, codice fiscale o passaporto che dovrà poi essere allegato come foto/digitalizzazione alla richiesta.
8. Inviare una PEC all’indirizzo dell’operatore telefonico specifico a cui si sta indirizzando la richiesta

Nel Soggetto inserire:

“ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI”

Nel corpo del messaggio:
“Gentili Signori,sono ad inviarvi richiesta relativa all’ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI impiegando la modulistica fornita dal garante privacy italiano, cui dovrete rispondere entro il termine di 15gg.

Attendo un vostro riscontro nei tempi previsti, diversamente provvederò all’avvio di un ricorso presso il garante privacy.

Cordiali Saluti

Nome Cognome

9. Allegare una copia digitale del proprio documento di identità cui si sono inseriti gli estremi al punto 7

 
A questo punto possiamo armarci di pazienza e aspettare i 15gg stabiliti per legge per la risposta, eventualmente armandosi della possibilità di fare ricorso (vedi FAQ Esercizio dei Diritti e Ricorso) !
Sarebbe molto bello ricevere commenti per migliorare questa mini guida, o anche vedere qualcuno farne una sua elaborazione screencast o video.
Il massimo sarebbe una applicazione web per rendere il processo di esercizio dei diritti di protezione dei dati personali facile ed accessibile e quindi aumentare in modo sensibile l’esercizio di questi diritti da parte dei cittadini!
Coder volenterosi o sponsor benvenuti 🙂

Classifica gov.it nella Cisco Umbrella Popularity List

Cisco manutiene una lista aggiornata quotdianamente della popolarità di nomi richiesti nella risoluzione dei nomi a dominio del suo servizio DNS erogato a circa 65.000.000 di utenti per 100.000.000.000 di interrogazioni al giorno.

Si chiama Umbrella Popularity List ed è possibile scaricarla e aprirla con un software di spreadsheet (Excel, Libreoffice, Google Spreadsheet, etc)

Ho ricercato chi fossero i primi classificati e questa la classificata:

Primo classificato: Agenzia delle Entrate (stravince!)

Secondo classificato: Agenzia Dogana e Monopoli

Terzo classificato: Agenzia Italia Digitale

Quarto Classificago: Ministero del Tesoro

Curiosità è che nella top-30 per qualche strana ragione ancora da capire troviamo fra le PA centrali due scuole,  l’Istituto Tecnico Tecnologico Silvio De Pretto e l’Istituto Comprensivo C.Battisti che assieme sono stati ricercati una enorme quantità di volte. Sarebbe curioso se CERT-PA ci desse una occhiata per risolvere la curiosità?

In seguito la classifica e come ri-testarla usando Mac Os X da applicazione terminale:

wget http://s3-us-west-1.amazonaws.com/umbrella-static/top-1m.csv.zip

unzip top-1m.csv.zip

 grep -E “gov\\.it\>” top-1m.csv 

Eppoi, alla fine, sono solo 112 host.

In seguito la classifica con relative posizione rispetto al top 1 milione

120993,www.agenziaentrate.gov.it
137882,telematici.agenziaentrate.gov.it
138397,agenziadoganemonopoli.gov.it
141249,www.agenziadoganemonopoli.gov.it
154642,agid.gov.it
164748,mef.gov.it
176133,agenziaentrateriscossione.gov.it
180870,www.agenziaentrateriscossione.gov.it
185909,sister.agenziaentrate.gov.it
193397,governo.it
194149,www1.agenziaentrate.gov.it
196849,eidas.agid.gov.it
202692,sviluppoeconomico.gov.it
203973,www.governo.it
211930,www.sviluppoeconomico.gov.it
244599,noipa.mef.gov.it
244932,assistenza.agenziaentrate.gov.it
305401,infoprecompilata.agenziaentrate.gov.it
311986,fatturapa.gov.it
326141,www.fatturapa.gov.it
330814,miur.gov.it
332829,ivaservizi.agenziaentrate.gov.it
340295,depretto.gov.it
340446,iccogliate.gov.it
342042,salute.gov.it
344485,smtp.depretto.gov.it
345712,smtp.iccogliate.gov.it
346273,dichiarazioneprecompilata.agenziaentrate.gov.it
362712,www.miur.gov.it
383995,www.mef.gov.it
388854,www.salute.gov.it
399503,interno.gov.it
402954,impresainungiorno.gov.it
429019,www.impresainungiorno.gov.it
462325,cliclavoro.gov.it
466073,www.agid.gov.it
470607,www.cliclavoro.gov.it
476623,meteomont.gov.it
477682,www.meteomont.gov.it
481379,mit.gov.it
499217,protezionecivile.gov.it
500736,camcom.gov.it
505695,www.protezionecivile.gov.it
506821,indicepa.gov.it
511448,agenziafarmaco.gov.it
515319,lavoro.gov.it
515382,lombardia.gov.it
518026,istruzione.lombardia.gov.it
521018,isprambiente.gov.it
528518,www.isprambiente.gov.it
530549,pubbliaccesso.gov.it
531644,www.pubbliaccesso.gov.it
533561,postacertificata.gov.it
561388,www.indicepa.gov.it
572300,www.istruzione.lombardia.gov.it
576535,aams.gov.it
579802,www.aams.gov.it
595790,uibm.gov.it
598161,istitutocalvino.gov.it
600675,wwwt.agenziaentrate.gov.it
606689,icrosmini.gov.it
618142,www.interno.gov.it
618382,www.uibm.gov.it
620659,mise.gov.it
621739,smtp.icrosmini.gov.it
629569,lineaamica.gov.it
630985,smtp.istitutocalvino.gov.it
631988,www.lineaamica.gov.it
643429,gdf.gov.it
651470,www.gdf.gov.it
653802,italia.gov.it
678575,www.italia.gov.it
678608,www.lavoro.gov.it
692930,finanze.gov.it
711874,dichiarazioneprecompilatafe.agenziaentrate.gov.it
719175,f5.http.sviluppoeconomico.gov.it
719591,http.sviluppoeconomico.gov.it
737725,www.mit.gov.it
759040,www.agenziafarmaco.gov.it
762013,farmaci.agenziafarmaco.gov.it
777116,funzionepubblica.gov.it
777639,inipec.gov.it
777703,is1suzzara.gov.it
780400,smtp.is1suzzara.gov.it
780964,u-gov.it
781961,www.inipec.gov.it
789676,www.funzionepubblica.gov.it
793083,guardiacostiera.gov.it
797823,www.finanze.gov.it
810342,mail.postacertificata.gov.it
821473,spid.gov.it
827239,isboma.gov.it
842916,arpal.gov.it
861107,www.spid.gov.it
865338,inpdap.gov.it
868332,ricerca.agenziaentrate.gov.it
885499,gov.it.multi.uribl.com
889340,roccavaldina.gov.it
912541,smtp.roccavaldina.gov.it
917885,cnipa.gov.it
932228,istitutocomprensivofonzaso.gov.it
938697,www.istitutocomprensivofonzaso.gov.it
940497,aifa.gov.it
942519,digitpa.gov.it
963368,usr.istruzione.lombardia.gov.it
964048,www.arpal.gov.it
968365,comuneacri.gov.it
968366,comunediaprilia.gov.it
973395,parcoaspromonte.gov.it
985101,labuonascuola.gov.it
988738,rgs.mef.gov.it
992005,www.digitpa.gov.it
992877,www.rgs.mef.gov.it

Thinking about Additional Terms of AGPL 3

This article want to try to document thinking and discussion related to the “Additional Terms” of AGPL 3.0 license of the GlobaLeaks Software.

The GlobaLeaks software include Additional Terms allowed by AGPL 3.0 for transparency of attribution notices and re-distribution notices.

First you should know that AGPL 3.0 let you have specifici Additional Terms in clause 7 and specifically the two of our interests are:

 

  • b) Requiring preservation of specified reasonable legal notices or author attributions in that material or in the Appropriate Legal Notices displayed by works containing it; or
  • c) Prohibiting misrepresentation of the origin of that material, or requiring that modified versions of such material be marked in reasonable ways as different from the original version; or

 

I’m going to collect some reading material in order to get a better picture on how AGPL 3.0 opensource license works and what it does allow.

A very useful and complete reading about GPL licenses explaination is at Software Freedom Law Center Guide to GPL Compliance 2nd Edition .

It’s also very interesting to read the debian-legal mailing list thread (with multiple point of views ethically and legally)  Thoughts on GPL’s Appropriate Legal Notices? or the CPAL and finally a stackexchange thread on AGPL – what you can do and what you can’t  but don’t miss AGPL: Out of the Shadows

Ok, now that we have some background let’s have a look at what we are going to implement as Additional Terms.
1. Attribution (7.b)

We want the author attribution to be available in the footer of the opensource web application using “Powered by NAME_OF_SW” with link to it’s website.

The GlobaLeaks ticket is Update license with attribution clause

Is compatible with AGPL 3.0 as an additional terms as per 7/b clause?

SugarCRM as AGPL 3 opensource software do that with “Powered by SugarCRM“, also OBM and in a very similar way HTSQL (that also provide different form of licensing) while software like iText used the 7/b to embedd the author attribution in the PDF generated by the software.

So, following such a basic research online and by comparison the uses of the 7/b AGPL clause to mandate that specific operational rules for author attribution are ok.

 

2. Redistribution (7.c)

For the redistribution of the software the clause 7/c allow to provide explicitly how to handle some of the specific AGPL 3.0 rules applying to who redistribute the software after having modified it:

  1. Must clearly states that it’s a modified software
  2. Must provide a copy of the modified software to each users interacting with the software over a network (that’s a unique feature of AGPL, designed for web app)

Those are obbligations and rights already defined by the AGPL 3.0 license and we assume from our understanding that clause 7/c allow us to introduce an Additional Terms to specificy how those two points must be operationally implemented.

The GlobaLeaks ticket is Introduce AGPL 3.0 Additional Terms for modified globaleaks software distribution

Is this compatible with AGPL 3.0 as an additional terms as per 7/c clause?

The WebODF project under AGPL 3.0 extended license by 7/c mandating the visibility of an URL with the modified sources in the user interface while the Website@School Opensource CMS require very precise technical instruction to re-distribute the modified sources.

We are requiring to the very same extent that in the footer of the user interface there is:

  1. A sentence declaring that this is a modified version of GlobaLeaks
  2. Which version and which is the release date it’s based upon
  3. The URL of download for the modified sources

So, following such research i feel that this Additional Terms are compatible with the 7/c AGPL clause and are respectful of the free software license.

 

Scraping SEC 10-K & 20-F filings for subsidiaries

I made a post (written in Italian) on my attempt to learn how to find all US SEC regulated companies and all of their subsidiaries along with the country where those are located.

After having learned the key concept, i’m now writing this post trying to summarize my technology scounting and see if i come up to an already existing resources, or there’s some need to further dig into this kind of problem.

A brief review of existing software packages:

Python SECEdgar download SEC filing files (only 10-K, no 20-F of foreign ADR companies)

Scraping SEC Filings download SEC filings

Getting structured SEC EDGAR data OKFN discussion forum

CorpWatch API seems to do exactly what we need but it’s maybe unupdated, need to drop them an email

Although the SEC provides a search interface for locating company filings (EDGAR / IDEA), the subsidiary information is not presented in a standardized format suitable for automated use or insertion into a database. The CorpWatch API uses parsers to “scrape” the subsidiary relationship information from Exhibit 21 of the 10-K filings and provides a well-structured interface for programs to query and process the subsidiary data.

Influence Mapping based on Corpwatch API (but most recente update 2015)

CrocTail uses the CorpWatch API to “scrape” data from the US Securities and Exchange Commission’s database and processes it to create a well-structured interface for programs to query and process company and subsidiary data

 

So it seems that the CorpoWatch API seems to be the best (and only) APIs actually available, but it seems that support 10-K filings (for US based company) but not 20-F filing (for ADR foreign companies, quoted in US market), even trough the 20-F filing as almost the same.

Regulating Law Enforcement uses of Trojans

Slides presented at SHA2017 1st week of August 2017

Video of the Talk at SHA2017

 

Title:

Regulating Law Enforcement uses of Trojans

Subtitle:

Implementing a Law to juridically, operationally and technically regulate the uses of Trojan in Italy

Abstract

The complexity of implementing a policy (law) and related operational and technical procedures to regulate the uses of Trojan by Law Enforcement in a way that protect civil rights while not preventing investigations from going on with the right balance of juridical/technical implementation.

Description:

This talk will explain which are the juridical and related technical and operation problems in the uses of Trojan by law enforcement (note: only LEA, we are not speaking of intelligence/NSA/GCHQ/etc).

We’ve setup in Italy a team of a technologist MP, a IT-skilled Lawyers and an Hacker/Privacy Activists, to goes trough the difficult trip to achieve the implementation of a Legislation that works either on paper, either technically that can have a shared consensus among usually opposing parties such as civil rights organization and security apparatus (law enforcement & prosecutors).

We’ll explain the bit of history and experience in setting up such a law (how to do it in your own country!), which are the logical framework, the juridical framework, the operational framework and the technical choices to do it.

We hope that this experience represent a milestone in regulating something (the Trojan) that are here to stay, given the increase of default IP encryption with the corresponding decrease in investigative power trough passive IP surveillance system.

All of this in the context of privacy activism where part of the community fully reject any instance of accepting government hacking instances and in turn criticize this effort.