Cosa facciamo

Siamo un team di professionisti esperti di compliance, dataprotection, IT security, computer forensic, digital innovations.

La nostra mission: supportare le organizzazioni in tutte le attività inerenti dataprotection, compliance aziendale, sicurezza informatica, processi di digitalizzazione ed innovazione tecnologica.

Il nostro ruolo: abilitatore di processi di miglioramento e coach delle funzioni aziendali.

Il nostro modus operandi: coinvolgere tutti gli attori sul campo, creare un team e determinarne consapevolezza; i processi di miglioramento per attuare le compliance sono un risultato d’insieme, che non si può delegare ad azzeccagarbugli terzi che “pensiamo noi a tutto …”.

Le nostre attività principali.

Data Protection Officer DPO – Responsabile Protezione Dati RPD sono disponibile, per le aziende ed organizzazioni seriamente intenzionate a proteggere i propri (e altrui) dati, a svolgere l’incarico per il ruolo di RPD – DPO esterno; per tali ruoli ho sottoscritto una specifica copertura assicurativa LLOYD’s.

General Data Protection Regulation GDPR Compliance Assessment – supporto in tutte le fasi di adeguamento alla Normativa Generale sulla Protezione dei Dati Personali EU 679/2016.

Definizione del Sistema di Gestione PrivacyDataProtection Model su misura per ogni specifica organizzazione, anche integrato con il modello 231/01.

D.P.I.A. Data Protection Impact Assessment – Valutazione d’Impatto sulla Protezione dei Dati – articolo 35 regolamento UE 2016/679 e valutazioni sulle tipologie di trattamenti soggetti.

Formazione di incaricati, GDPR UE 679/2016 e D.Lgs. 196/03 novellato dal D.Lgs. 101/18 – formazione di “incaricati” – persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” e responsabili del trattamento di dati personali.

Formazione Data Protection Officer (D.P.O.) G.D.P.R. 2016/679 – procedure per la selezione, nomina o formazione del nuovo ruolo di Responsabile della Protezione dei Dati, introdotto all’art. 37 G.D.P.R.

Privacy Audit – attività di auditing di tutti i processi aziendali, dei trattamenti di dati e dei loro flussi, per valutare il grado di conformità alle normative cogenti, anche adottando le recenti Prassi di Riferimento UNI PdR 43:2018.

Security Audit – verifiche di sicurezza su sistemi, architetture, devices, PCs, SERVERs, programmi e sistemi operativi, valutazione sicurezza software & hardware, anche basate su schemi ISO 2700x.

Risk Analysis – valutazione dei rischi che incombono, relative conseguenze, impatto derivante, misure di minimizzazione o annullamento del rischio.

Sicurezza Informatica – analisi del rischio, valutazione delle minacce, di eventi accidentali e indesiderati, contromisure, misure e policy di sicurezza, programmi di protezione e di controllo.

Sicurezza logica, fisica ed ambientale – sicurezza passiva, procedure, sistemi e strumenti relativi a sicurezza dei luoghi, degli ambiti di trattamento, degli strumenti informatici, sistemi di autenticazione ed autorizzazione, procedure di controllo, log e report degli accessi e delle operazioni.

Disaster Recovery – valutazioni rischi, impatto disastri, tipologie,  misure di controllo preventive – reportistiche – correttive, misure tecniche , strategie di riduzione del rischio, piano di disaster recovery, sistemi di backup e ripristino.

Business Continuity – definizione architetture di continuità operativa, business continuity plan, piano di continuità operativa, per pubblica amministrazione, banche, aziende sanitarie, organizzazioni.

NetWorks Security – topologie delle reti, valutazioni rischi correlati e misure di protezione, implementazione di ulteriori livelli di sicurezza, riduzione della superficie di attacco, verifiche e controllo, V.P.N. virtual private network protezione delle comunicazioni wireless WiFi frequenza 2,4 GHz e 5 GHz (ho licenza di RadioAmatore, nominativo IZ5IKC, quindi posso legittimamente operare sulle tutte le frequenze disponibili, a differenza di molti altri).

Firewalls – UTMs – Secure Appliance – valutazione, definizione e dimensionamento degli apparati , schemi di installazione, definizione ed implementazione delle regole di blocco e controllo, report e alerting, aggiornamento e verifiche di sicurezza, manutenzione e controllo anche remoti.

I.D.S. Intrusion Detection Systems – sistemi di logging di eventi e di traffico di rete, per il rilevamento e di tentativi di accesso e report di eventuali data-breaches.

Sicurezza IoT Internet of Things & M2M machine to machine – valutazione sicurezza flussi dati tra devices IoT e/o M2M, definizione di protocolli cifrati e canali sicuri di comunicazione.

LOG Amministratori di Sistema – strumenti di secure logging e reporting per la realizzazione del provvedimento del Garante Privacy “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008”.

Penetration Test – attività concordata di test per verificare la sicurezza e rilevare le vulnerabilità delle infrastrutture, di gateways, server, siti web, servizi IT ed altri dispositivi, esposti su InterNet o in rete locale.

Vulnerability Assessment – controlli e valutazioni, non attive, sulla sicurezza di strumenti elettronici e/o informatici utilizzati per trattamento e trasmissione di dati.

Secure Erase – procedure e dispositivi per la cancellazione sicura e definitiva di dati da supporti, strumenti e dispositivi elettronici e informatici.

S.L.A. Service Level Agreements – valutazione, definizione, controllo degli accordi sul livello di servizio con/verso terzi.

Privacy by Design & Privacy by Default – definizione di architetture, processi, sistemi, software Privacy-Designed e Privacy-Oriented.

Sistemi crittografici – valutazione e definizione di protezione dei dati tramite cifratura, File-System cifrati, Volume cifrato, DataBase cifrati, comunicazioni crittografate, sistemi di Full-Encrypt.

Autenticazione – Riservatezza – Integrità – Non Ripudiabilità dei messaggi – Sistemi di Firma Digitale, P.E.C. posta elettronica certificata, e-mail crittografata e/o autenticata, S.P.I.D. Sistema Pubblico di Identità Digitale.

Protezione asset digitali – definizione e implementazione di misure di sicurezza relative a tutti gli asset digitali, PC, NoteBook, Servers, NAS, DataStores, Virtual Machines, Server Web, e-mail …

WebSite Assessments – valutazione del livello di sicurezza di un sito web e determinazione del livello di rischio incombente; misure di mitigazione e strategie di sicurezza e riduzione della superficie di attacco; sicurezza dei C.M.S. WordPress, Drupal e Joomla.

Cookie Law – Provvedimento dell’8 maggio 2014 – Autorità Garante per la protezione dei dati personali Italiano – normativa in materia di cookies sul web.

Procedure ISO/IEC 27001:2013ISO/IEC  29151:2017 – Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni SGSI o ISMS) e (code of practice for personally identifiable information protection); prassi di riferimento PdR 43.1-43.2 UNI:2018.

Bitcoin, VirtualCoins & CriptoValute – valutazioni e consulenza su transazioni, wallets (portafoglio), impostazioni di sicurezza di software e strumenti correlati; mining software & hardware.


Lo scrivo a chiare lettere: non sostituisco nessuno, neanche quando ho l’onere di svolgere il ruolo di Responsabile della Protezione dei Dati Personali nella vostra organizzazione.

Non sono neanche un venditore di scatole magiche e, diversamente da altri fenomeni, non offro soluzioni pret-a-porter, siano esse software o bussolotti vari che vi sgravano dall’incombenza degli adeguamenti al GDPR; nessuno può sostituirsi a voi, all’interno della vostra organizzazione nel compiere le corrette operazioni di trattamento e proteggere i dati personali che trattate.

Il mio ruolo consiste nell’affiancare le organizzazioni (con le loro varie funzioni interne, consulenti esterni, tecnici informatici e vendor vari) con le mie competenze, esperienza ed impegno nel percorso di adeguamento condiviso alle normative vigenti.

La “privacy” non si impone dall’esterno; essa prende forma dai processi aziendali, nelle policy condivise, dalla consapevolezza delle persone, dagli strumenti informatici adeguati, ben configurati e sempre aggiornati, dalla riduzione dei rischi sugli asset deputati ai trattamenti, dalle misure di sicurezza implementate e dal controllo della loro reale efficacia.

Prevenire è meglio che curare, dicevano i nostri antenati; la protezione dei dati personali è uno stile di vita, un modus operandi, deve fare parte del DNA aziendale, ne costituisce le fondamenta; realizzarla ha sicuramente un costo, implementare il sistema di gestione privacy introduce un impegno aggiuntivo.

Ma che valore ha la fiducia dei vostri clienti ? Quanto vi costerebbe un incidente security, da notificare alla Autorità di Controllo? Quali effetti potrebbe produrre sulla vita delle persone? Cosa comporterebbe alla vostra azienda, a prescindere dalle sanzioni?

Per avere risposte a queste ed altre domande, incontriamoci; ho 24 anni di esperienza e centinaia di aziende soddisfatte e più sicure.