Smartworking, parliamone in maniera sensata II: la vendetta.

Stimolato da un ottimo post su linkedin della sempre sagace Milena Martinato il cui link riporto sotto:

https://www.linkedin.com/posts/consulente-aziendale-padova-treviso-venezia-vicenza-milena-martinato_smart-working-s%C3%AD-no-non-ho-mai-scritto-activity-6708033204642729984-TD5x

Riprendo il discorso oramai sempre più dettagliato sul famigerato “smartworking”

Inizio ricordando, per l’ennesima volta che il termine “smart working” , almeno nei termini in cui lo intendiamo noi non significa nulla 😂 ed è un neologismo italiano anglofono (o anglofilo?).

Credo che le uniche referenze in letteratura inglese sul termine facciano riferimento ai knowledge worker, categoria con caratteristiche specifiche e non riconosciuta da noi per la solita insipienza manageriale che ci contraddistingue ma su cui ho scritto in precedenza:

Le discussioni su sta roba non meglio identificata che si chiama SOLO in italia smartworking 🤣 riempiono pagine di giornali anche per gli effetti collaterali ad esso associati, ma spesso glissano su alcuni punti non proprio secondari.

Eccone alcuni (decalogo non esaustivo) che spero possano stimolare una discussione costruttiva.

1. La sicurezza

Si parla spesso delle esigenze di sicurezza da implementare per i lavoratori remoti, l’ottica però e quasi sempre rivolta verso la sicurezza aziendale, esigenza assolutamente centrale.

La sicurezza va contemplata però non solo nel rischio di danni verso l’azienda ma anche verso il dipendente ed i sui conviventi e le sue pertinenze. L’idea che il malware sia monodirezionale

casa –> dipendente –> azienda

è insensata e non ha nessun appoggio analitico. Anzi il rischio che ci sia il percorso inverso

azienda –> dipendente –> casa

è estremamente probabile.

Se l’azienda viene infettata è molto probabile che l’infezione si estenda alla casa del lavoratore remoto se non sono in piedi i corretti meccanismi di separazione delle risorse.

In questo caso, per responsabilità oggettiva, i danni subiti dal lavoratore li dovrebbe pagare l’azienda, e se vengono coinvolti dati personali o sensibili il GDPR è sempre valido.

Il dipendente ha diritto, assieme alla sua famiglia, di avere dati personali, foto, documenti e qualsiasi cosa di sua proprietà ritenga abbia senso tenere digitalizzata. Un attacco ransomware che dalla azienda si estenda ai device domestici del dipendente è plausibile e provoca danni oggettivi che vanno, anche eticamente, affrontati.

E chiariamoci nella maggior parte dei casi la direzionalità dell’attacco è facilmente ricostruibile, nonostante si pensi spesso il contrario, metadati e log ci sono anche in casa, anche se molti non lo sanno.

Consideriamo anche che in caso di violazione del GDPR l’onere della prova è nei confronti non della vittima.

Ma vista la disparità di potere rappresentativo in termini legali e le leve ricattatorie della azienda….

2. La propietà

La proprietà dei device e la loro configurazione è notoriamente punto dolente.

Soprattutto se si chiede di utilizzare device che hanno storage (dischi, memorie…) e sono usati in maniera promiscua (uso lavorativo e uso personale)

L’ovvio riferimento è legato alla demente idea di chiedere al lavoratore di usare il proprio PC.

Ancora una volta i rischi vanno valutati sui danni non solo per l’azienda ma anche per il dipendente.

Tali rischi devono essere computati e trovare una loro valutazione economica e contrattuale. Privacy e GDPR vanno rispettati, promemoria obbligatorio, vieppiù se il device è del dipendente e l’uso è promiscuo. Se poi il dipendente processa dati in ambito GDPR (non occorre andare lontani, si pensi ad HR e Marketing) una DPIA è un attimo consigliabile. Si consideri anche le tempistiche di risoluzione di eventuali problemi HW\SW. Chiedere all’utente di usare il proprio PC implicitamente comporta anche che questi si faccia carico di un eventuale backup o sostituzione.

Tra le questioni da considerare vi è anche la questione degli spazi. NOn è detto che il lavoratore remoto sia in grado di fornire spazi dedicati al lavoro, che siano quindi isolati e protetti.

Al di là dell’ambito emergenziale corrente non è detto che il remote working sia fattibile da parte sia del lavoratore che dell’azienda e gli spazi sono uno dei punti da prendere in considerazione. Vi possono essere diversi approcci per indirizzare il problema, esistono, ad esempio, possibilità con servizi di shared office, o contributi per permettere al dipendente di trovare spazi adatti.

Negli Stati Uniti a seguito del lock down, ad esempio, c’è stato un aumento delle richieste di case più grandi in modo da dedicare una stanza ad ufficio. In questo caso possono esservi varie forme di contribuzione e\o compensazione (magari accesso facilitato a mutui aggevolati).

Se questo è infattibile si deve prendere atto che lo spazio non sarà dedicato e quindi interferenze sono da considerarsi parte integrante del deal così come eventuali costrizioni temporali.

3. La gestione della continuità operativa

La gestione della continuità operativa è un altro punto interessante. Con i lavoratori remoti non ci si può aspettare di poter intervenire e risolvere problematiche HW, SW o di connettività con le stesse tempistiche interne aziendali. Questo significa, ad esempio, prevedere un certo numero di macchine di backup e la loro pre assegnazione in caso di personale con esigenze particolari che si trovi in area di difficile raggiungimento.

L’idea di forzare il dipendente a dotarsi, in caso di richiesta di uso di PC personale, di un backup HW per sopperire SLA di funzionalità è, quantomento, discutibile.

Ne si può far ricadere sull’utente remoto i costi di riparazione e di inattività legati all’eventuale guasto.

4. Il tempo al lavoro

La gestione del tempo è importantenin quanto il tempo ha un valore economico tanto per l’azienda quanto per il lavoratore remoto. Non si può considerare la flessibilità di orario come l’annullamento delle 8 ore lavorative. Per fare un esempio esempio call di allineamento non computate nell’orario di lavoro sono eticamente e moralmente sbagliate. Se sei pagato per 8 ore la call deve rientrare in quel computo. Se si obbliga il dipendente a fare 2 ore di allineamento la mattina e 2 a fine giornata, significa che rimangono 4 ore operative. Questo deve essere ben chiaro a tutti.

Il lavoro remoto richiede sicuramente maggiori sforzi di sincronizzazione, ma questi sono componenti del lavoro e non gratuità che il lavoratore concede all’azienda.

Ovvio l’eccezione può esserci (occhio, per quadri e dirigenti, per gli altri c’è lo straordinario), ma di eccezione deve trattarsi e non consuetudine.

5. La comunicazione interna

La gestione della comunicazione è importante… il lavoro remoto richiede meccanismi di comunicazione specifica sia in termini linguistici che strumentali. Email, chat e videoconferenze devono essere usati e pensati per una specificità che è diversa dall’essere in ufficio.

Si pensi ad esempio al ridotto impatto del linguaggio non verbale.

Non è un caso se attacchi di phishing sui vari canali (posta, chat, social) sono cresciuti durante il lockdown. NOn considerare gli effetti ella comunicazione sulla produttività e sulla sicurezza è un chiaro sintomo di cecità manageriale.

6. Privacy

La privacy del dipendente deve essere protetta, il che richiede, ad esempio, di cambiare l’approccio alle videoconferenze.

Non farsi vedere diventa una esigenza di privacy, a meno che il dipendente non abbia a disposizione un ambiente isolato e dedicato al telelavoro. Funzioni che rendano lo sfondo sfocato, o sfondi virtuali quindi assumono una valenza estremamente diversa.

Tale sensibilità deve essere, ovviamente, bidirezionale come molti dei punti sopra esposti il dipendente che accetta di lavorare da remoto deve essere cosciente di queste problematiche ed essere e parte attiva nella risoluzione e gestione.

7. Il monitoraggio

Gli strumenti eventuali di monitoraggio devono essere confacenti e compatibili allo statuto dei lavoratori, e al GDPR, non è che il lavoro remoto significa tana liberatutti

8. La smaterializzazione documentale

La smaterializzazione documentale (parte integrante dei processi di digitalizzazione) deve essere progettata in maniera efficiente ed efficace, replicare digitalmente processi che non nascono per il digitale porta a complessità ridicole (tipo ricevi il documento, lo processi, lo stampi a casa, lo firmi o timbri, lo scansioni, e lo restituisci a sistema) porta ad inefficienze deleterie

Il lavoro remoto richiede il ridisegno dei processi che coinvolgono il lavoratore remoto. E tra questi, di sicuro, il fatto che la movimentazione cartacea è un vincolo non accettabile.

9. Il management

Il management deve essere preparato a gestire la situazione evitando il micromanagement. Il micromanagement, intendiamoci, è sempre indice di pessimo management, ma in questi casi diventa un ostacolo alla produttività.

La definizione degli obiettivi, di cui si parla tanto, deve essere peata temporalmente. Non è che con la dicitura smartworking si può chiedere alle persone di lavorare 16 ore al giorno semplicemente mettendo obiettivi avulsi dal consumo temporale. sulla questione si faccia riferimento al mio articolo citato all’inizio ed il punto “4”.

10. Being Smart: fine decalogo

Siamo arrivati alla fine con un pensiero: “Smart” possono essere solo le persone, non sono neanche sicuro che le organizzazioni possano esserlo. Mai vista una organizzazione smart composta da persone dumb… 🤣

my 2 €urocent

Smartworking, parliamone in maniera sensata II: la vendetta.

Stimolato da un ottimo post su linkedin della sempre sagace Milena Martinato il cui link riporto sotto:

https://www.linkedin.com/posts/consulente-aziendale-padova-treviso-venezia-vicenza-milena-martinato_smart-working-s%C3%AD-no-non-ho-mai-scritto-activity-6708033204642729984-TD5x

Riprendo il discorso oramai sempre più dettagliato sul famigerato “smartworking”

Inizio ricordando, per l’ennesima volta che il termine “smart working” , almeno nei termini in cui lo intendiamo noi non significa nulla 😂 ed è un neologismo italiano anglofono (o anglofilo?).

Credo che le uniche referenze in letteratura inglese sul termine facciano riferimento ai knowledge worker, categoria con caratteristiche specifiche e non riconosciuta da noi per la solita insipienza manageriale che ci contraddistingue ma su cui ho scritto in precedenza:

Le discussioni su sta roba non meglio identificata che si chiama SOLO in italia smartworking 🤣 riempiono pagine di giornali anche per gli effetti collaterali ad esso associati, ma spesso glissano su alcuni punti non proprio secondari.

Eccone alcuni (decalogo non esaustivo) che spero possano stimolare una discussione costruttiva.

1. La sicurezza

Si parla spesso delle esigenze di sicurezza da implementare per i lavoratori remoti, l’ottica però e quasi sempre rivolta verso la sicurezza aziendale, esigenza assolutamente centrale.

La sicurezza va contemplata però non solo nel rischio di danni verso l’azienda ma anche verso il dipendente ed i sui conviventi e le sue pertinenze. L’idea che il malware sia monodirezionale

casa –> dipendente –> azienda

è insensata e non ha nessun appoggio analitico. Anzi il rischio che ci sia il percorso inverso

azienda –> dipendente –> casa

è estremamente probabile.

Se l’azienda viene infettata è molto probabile che l’infezione si estenda alla casa del lavoratore remoto se non sono in piedi i corretti meccanismi di separazione delle risorse.

In questo caso, per responsabilità oggettiva, i danni subiti dal lavoratore li dovrebbe pagare l’azienda, e se vengono coinvolti dati personali o sensibili il GDPR è sempre valido.

Il dipendente ha diritto, assieme alla sua famiglia, di avere dati personali, foto, documenti e qualsiasi cosa di sua proprietà ritenga abbia senso tenere digitalizzata. Un attacco ransomware che dalla azienda si estenda ai device domestici del dipendente è plausibile e provoca danni oggettivi che vanno, anche eticamente, affrontati.

E chiariamoci nella maggior parte dei casi la direzionalità dell’attacco è facilmente ricostruibile, nonostante si pensi spesso il contrario, metadati e log ci sono anche in casa, anche se molti non lo sanno.

Consideriamo anche che in caso di violazione del GDPR l’onere della prova è nei confronti non della vittima.

Ma vista la disparità di potere rappresentativo in termini legali e le leve ricattatorie della azienda….

2. La propietà

La proprietà dei device e la loro configurazione è notoriamente punto dolente.

Soprattutto se si chiede di utilizzare device che hanno storage (dischi, memorie…) e sono usati in maniera promiscua (uso lavorativo e uso personale)

L’ovvio riferimento è legato alla demente idea di chiedere al lavoratore di usare il proprio PC.

Ancora una volta i rischi vanno valutati sui danni non solo per l’azienda ma anche per il dipendente.

Tali rischi devono essere computati e trovare una loro valutazione economica e contrattuale. Privacy e GDPR vanno rispettati, promemoria obbligatorio, vieppiù se il device è del dipendente e l’uso è promiscuo. Se poi il dipendente processa dati in ambito GDPR (non occorre andare lontani, si pensi ad HR e Marketing) una DPIA è un attimo consigliabile. Si consideri anche le tempistiche di risoluzione di eventuali problemi HW\SW. Chiedere all’utente di usare il proprio PC implicitamente comporta anche che questi si faccia carico di un eventuale backup o sostituzione.

Tra le questioni da considerare vi è anche la questione degli spazi. NOn è detto che il lavoratore remoto sia in grado di fornire spazi dedicati al lavoro, che siano quindi isolati e protetti.

Al di là dell’ambito emergenziale corrente non è detto che il remote working sia fattibile da parte sia del lavoratore che dell’azienda e gli spazi sono uno dei punti da prendere in considerazione. Vi possono essere diversi approcci per indirizzare il problema, esistono, ad esempio, possibilità con servizi di shared office, o contributi per permettere al dipendente di trovare spazi adatti.

Negli Stati Uniti a seguito del lock down, ad esempio, c’è stato un aumento delle richieste di case più grandi in modo da dedicare una stanza ad ufficio. In questo caso possono esservi varie forme di contribuzione e\o compensazione (magari accesso facilitato a mutui aggevolati).

Se questo è infattibile si deve prendere atto che lo spazio non sarà dedicato e quindi interferenze sono da considerarsi parte integrante del deal così come eventuali costrizioni temporali.

3. La gestione della continuità operativa

La gestione della continuità operativa è un altro punto interessante. Con i lavoratori remoti non ci si può aspettare di poter intervenire e risolvere problematiche HW, SW o di connettività con le stesse tempistiche interne aziendali. Questo significa, ad esempio, prevedere un certo numero di macchine di backup e la loro pre assegnazione in caso di personale con esigenze particolari che si trovi in area di difficile raggiungimento.

L’idea di forzare il dipendente a dotarsi, in caso di richiesta di uso di PC personale, di un backup HW per sopperire SLA di funzionalità è, quantomento, discutibile.

Ne si può far ricadere sull’utente remoto i costi di riparazione e di inattività legati all’eventuale guasto.

4. Il tempo al lavoro

La gestione del tempo è importantenin quanto il tempo ha un valore economico tanto per l’azienda quanto per il lavoratore remoto. Non si può considerare la flessibilità di orario come l’annullamento delle 8 ore lavorative. Per fare un esempio esempio call di allineamento non computate nell’orario di lavoro sono eticamente e moralmente sbagliate. Se sei pagato per 8 ore la call deve rientrare in quel computo. Se si obbliga il dipendente a fare 2 ore di allineamento la mattina e 2 a fine giornata, significa che rimangono 4 ore operative. Questo deve essere ben chiaro a tutti.

Il lavoro remoto richiede sicuramente maggiori sforzi di sincronizzazione, ma questi sono componenti del lavoro e non gratuità che il lavoratore concede all’azienda.

Ovvio l’eccezione può esserci (occhio, per quadri e dirigenti, per gli altri c’è lo straordinario), ma di eccezione deve trattarsi e non consuetudine.

5. La comunicazione interna

La gestione della comunicazione è importante… il lavoro remoto richiede meccanismi di comunicazione specifica sia in termini linguistici che strumentali. Email, chat e videoconferenze devono essere usati e pensati per una specificità che è diversa dall’essere in ufficio.

Si pensi ad esempio al ridotto impatto del linguaggio non verbale.

Non è un caso se attacchi di phishing sui vari canali (posta, chat, social) sono cresciuti durante il lockdown. NOn considerare gli effetti ella comunicazione sulla produttività e sulla sicurezza è un chiaro sintomo di cecità manageriale.

6. Privacy

La privacy del dipendente deve essere protetta, il che richiede, ad esempio, di cambiare l’approccio alle videoconferenze.

Non farsi vedere diventa una esigenza di privacy, a meno che il dipendente non abbia a disposizione un ambiente isolato e dedicato al telelavoro. Funzioni che rendano lo sfondo sfocato, o sfondi virtuali quindi assumono una valenza estremamente diversa.

Tale sensibilità deve essere, ovviamente, bidirezionale come molti dei punti sopra esposti il dipendente che accetta di lavorare da remoto deve essere cosciente di queste problematiche ed essere e parte attiva nella risoluzione e gestione.

7. Il monitoraggio

Gli strumenti eventuali di monitoraggio devono essere confacenti e compatibili allo statuto dei lavoratori, e al GDPR, non è che il lavoro remoto significa tana liberatutti

8. La smaterializzazione documentale

La smaterializzazione documentale (parte integrante dei processi di digitalizzazione) deve essere progettata in maniera efficiente ed efficace, replicare digitalmente processi che non nascono per il digitale porta a complessità ridicole (tipo ricevi il documento, lo processi, lo stampi a casa, lo firmi o timbri, lo scansioni, e lo restituisci a sistema) porta ad inefficienze deleterie

Il lavoro remoto richiede il ridisegno dei processi che coinvolgono il lavoratore remoto. E tra questi, di sicuro, il fatto che la movimentazione cartacea è un vincolo non accettabile.

9. Il management

Il management deve essere preparato a gestire la situazione evitando il micromanagement. Il micromanagement, intendiamoci, è sempre indice di pessimo management, ma in questi casi diventa un ostacolo alla produttività.

La definizione degli obiettivi, di cui si parla tanto, deve essere peata temporalmente. Non è che con la dicitura smartworking si può chiedere alle persone di lavorare 16 ore al giorno semplicemente mettendo obiettivi avulsi dal consumo temporale. sulla questione si faccia riferimento al mio articolo citato all’inizio ed il punto “4”.

10. Being Smart: fine decalogo

Siamo arrivati alla fine con un pensiero: “Smart” possono essere solo le persone, non sono neanche sicuro che le organizzazioni possano esserlo. Mai vista una organizzazione smart composta da persone dumb… 🤣

my 2 €urocent

Job Scam - Le false offerte di lavoro

Sfruttare la sofferenza o la difficoltà altrui, mia personale opinione ovvio, è una delle cose più disgustose che esistano, eppure è una delle fondamenta della truffa.

Una delle forme più abiette, in momenti come questi in cui la necessità di trovare un lavoro è sempre più pressante, è la truffa del falso lavoro, job scam per gli addetti ai lavori.

Questo odioso tipo di truffa fa leva sul bisogno disperato delle persone di ritrovare, o migliorare, la propria disponibilità economica proponendo lavori sicuri e ben remunerati, spesso a fronte di un “piccolo” investimento iniziale giustificato in varie maniere, dalla formazione a documentazione necessaria, a fantomatiche certificazioni.

In tempi di difficoltà economica con sensibile aumento di persone che perdono il loro lavoro, il campo dei social media in particolare diventa un terreno fertile per chi, con pochi scrupoli e spesso uno spessore morale pari a quelli di un paramecio, fa leva di un bisogno primario per truffare e impossessarsi in maniera illecita di somme di denaro.

Il meccanismo si basa su alcuni elementi di social engineering abbastanza semplici, ma che occorre spiegare per i non avvezzi.

La truffa consiste in una offerta di lavoro che deve risultare appetibile e credibile.

I due elementi sono fondamentali per far abbassare la soglia di guardia\scetticismo della potenziale vittima.

Alla ricerca di un lavoro

Mettiamoci nei panni di una persona che cerca lavoro e utilizza i social per questo motivo.

Probabilmente avrà 3 comportamenti, spesso, concorrenti:

1. ricerca attiva di offerte di lavoro postate da aziende o selezionatori
2. ricerca di contatti che possano dare un lavoro, ad esempio HR manager, Head Hunter
3. presentazione nel suo profilo dei suoi skills, e delle sue esperienze e spesso anche della sua esigenza di trovare lavoro

Tutti 3 i comportamenti possono essere sfruttati in termini di social engineering per presentare una offerta finta ma credibile:

La ricerca di offerte di lavoro è facilmente comprensibile, si tratta di esser ricettivo o ricercare tutte le possibili offerte presenti sul social. Le tecniche possono essere diverse, dal fare leva sugli hashtag, a sfruttare le pagine delle aziende e via dicendo.

Il truffatore può facilmente sfruttare le stesse tecniche usate per trovare lavoro per inserirsi nel flusso delle ricerche. Preparare una finta offerta di lavoro non è difficile, e metterla in circolazione neanche. Sapendo quali hashtag sono in trend, sapendo quali aree merceologiche ricercano o hanno dismesso più forza lavoro si possono sfruttare le condizioni per creare una truffa ben fatta e credibile.

Dal punto di vista del truffatore può bastare creare una finta pagina di una azienda, o spacciarsi per un selezionatore del personale per una azienda fittizia, o addirittura approfittare di offerte legittime proponendosi come canale di contatto.

Se i primi due esempi sono evidenti il terzo punto è un poco più sofisticato, significa che a fronte di una ricerca vera di una azienda (facilmente reperibile sui canali social o sulle pagine delle aziende stesse), un criminale potrebbe contattare chi sta cercando lavoro dicendo, ad esempio, di essere un selezionatore e di voler sapere se l’utente è interessato alla offerta di cui offre il link.

Dal momento che sui social media è molto facile creare identità sia personali che aziendali fittizie, così come è semplice creare pagine web e documenti, l’attività non richiede particolari skills. non occorre essere “hacker” sofisticati, bastano conoscenze minime.

Essendo facile creare un finto profilo come Head Hunter o responsabile risorse umane, il criminale può facilmente contattare direttamente quanti sono in cerca di lavoro per rientrare in fantomatiche selezioni senza nemmeno avere una offerta pubblicata da qualche parte. Niente funziona bene come una ricerca confidenziale per un cliente di cui non si può fare, all’inizio, il nome.

In questo senso postare esplicitamente di essere in cerca di occupazione diventa estremamente attrattivo per il cybercriminale che dal profilo social della vittima può ricavare quali siano gli elementi da mettere nella finta selezione per far credere al candidato di essere quello adatto.

Certe volte la truffa è mirata e sofisticata, altre è una pesca a strascico, come nel caso delle famose offerte di lavoro da casa senza investimenti per mezz’ora di attività che ti permettono di fare 10000€ al mese (in questo caso esiste anche il rischio di entrare in catene di riciclaggio di denaro, con conseguenze anche penali, questo specifico tipo di truffa forse meriterebbe spendere qualche parola in più).

Ci credo o non ci credo?

Vediamo una offerta fin troppo allettante, o veniamo contattati per essa, ci possiamo credere?

La credibilità di queste offerte dipende da diversi fattori:

1. la fonte di offerta deve sembrare reale
2. l’offerta stessa deve essere appetibile ma non “incredibile”
3. ci devono essere elementi di supporto, ad esempio elementi grafici (loghi tipicamente) o rimandi a siti, che diano un minimo di copertura ad un check veloce.

Per costruire una buona truffa occorre costruire correttamente l’ambiente di riferimento. Purtroppo, al di la della visione romantica offerta dai film, questa attività non richiede skills particolari. Soprattutto in ambito social creare una sorgente credibile è molto facile. La credibilità può essere legata alla grafica che riporta loghi di aziende note, o riferimenti specifici ad eventi o notizie, e via dicendo.

Ma la credibilità maggiore arriva dalla sorgente diretta ed indiretta di distribuzione della truffa.

La sorgente diretta è solitamente l’account fasullo da cui parte la distribuzione, creato dal criminale appositamente in maniera da essere verosimile.

La sorgente indiretta invece è legata a repost o reazioni e commenti alla offerta di lavoro.

Una delle parti più disgustose del Job Scam è che spesso si appoggia anche alla volontà di utenti del social di essere d’aiuto.

Per alimentare la veridicità della offerta non c’è niente di meglio di qualcuno che la riposti in buona fede. Il lettore che ha bisogno di lavoro tenderà a considerare questo repost come una implicita conferma che l’offerta è affidabile. Maggiore è la catena dei repost maggiore la sua affidabilità.

Per essere credibile ed appetibile l’offerta di solito si basa su 2 elementi: un compenso economico non eccessivamente al di sopra della media (tranne che nelle truffe tipo work from home), una qualificazione offerta per il lavoratore che presenti possibilità di crescita e carriera rapidi. Il secondo punto, spesso, è anche funzionale allo sviluppo della truffa, giustificando corsi, certificazioni od altre attività.

Questa è una caratteristica ricorrente e comprensibile di queste truffe, occorre inserire un elemento che giustifichi lo sviluppo della truffa e la conseguente richiesta di denaro e contestualmente, la renda più credibile.

Per portare un altro esempio alcune offerte truffaldine di lavoro offrono impieghi all’estero, questo è un altro classico meccanismo usato per giustificare le richieste di soldi, in caso di offerte di lavoro all’estero si fa leva sulla documentazione da presentare per avere il permesso di lavoro.

Questi ganci sono utili non solo a sviluppare in seguito la truffa ma a dare credibilità alla truffa stessa. Si possono riportare link a siti governativi (nel caso di offerte di lavoro estere) e a fittizie agenzie per i documenti o, nel caso richieste di certificazione e formazione a siti di formazione (spesso parte integrante della truffa)

La costruzione dei due elementi, credibilità ed affidabilità, dell’offerta economica fasulla sono, come si vede, molto semplici ma, non deprimiamoci, non infallibili.

Un po di senso critico potrebbe aiutare a riconoscere la truffa, ma occorre considerare che la vittima, solitamente, si trova in condizioni di necessità e di minore attenzione al dettaglio.

La truffa

Ma come ci si guadagna con queste truffe?

L’idea di base di queste truffe è quella di convincere il potenziale candidato che occorre investire una certa quantità di denaro per garantirsi la occasione.

Per quanto possa sembrare assurdo che un datore di lavoro ti chieda denaro per assumerti la cosa non è cosi incredibile.

Di solito le giustificazioni si dividono in (non mutuamente esclusive):

1. la ricerca di candidati con competenze specifiche per cui è necessario un corso o una certificazione per passare la selezione
2. l’offerta di “corsie preferenziali” per portare la candidatura in migliore posizione
3. la necessità di fornire documentazione specifica, quale ad esempio permessi di lavoro, che possono richiedere l’intervento di “agenzie specializzate” ed altre cose.

la quantità di variabili in realtà più ampia ma gia questo dovrebbe dare una idea di come si sviluppano queste truffe.

Un parametro comune è che quando si arriva alla richiesta di soldi il truffatore inizia a fare fretta. Le tempistiche si restringono e il tempo per riflettere e decidere viene ridotto tantissimo.

La motivazione, ovviamente, è legata alla volontà di ridurre la possibilità di un controllo da parte del candidato-vittima.

La fretta non è mai un buon indizio.

Come proteggersi

Per quanto sia comprensibile l’ansia di trovare lavoro, soprattutto se si è a terra, il primo consiglio è non avere fretta.

1. se è troppo bello per essere vero, allora probabilmente non è vero
2. prendersi il tempo di verificare le fonti, anche se l’offerta è un repost da una persona fidata se avete dubbi verificate
3. un headhunter o HR serio ed affidabile hanno di solito referenze solide, se il profilo ha 14 follower e 3 post forse un dubbio è lecito
4. se vi chiedono soldi NON fidatevi MAI. In questo caso il controllo è d’obbligo.
5. Se oltretutto vi fanno fretta per pagare…

Tenete presente in riferimento al punto 4 che talvolta per queste truffe vengono organizzati corsi fittizi e fittizie certificazioni, la verifica è necessaria.

E per tutti noi quando ripostiamo offerte di lavoro per venire incontro al nostro network, cosa che ritengo encomiabile, cerchiamo di farlo da fonti e sorgenti che riteniamo credibili.

Pensierino della sera

Non tutte le offerte di lavoro sono truffe, non tutti gli HH che vi contattano sono mascalzoni, ma il rischio di essere truffati esiste e quindi vale la pena essere prudenti.

Job Scam - Le false offerte di lavoro

Sfruttare la sofferenza o la difficoltà altrui, mia personale opinione ovvio, è una delle cose più disgustose che esistano, eppure è una delle fondamenta della truffa.

Una delle forme più abiette, in momenti come questi in cui la necessità di trovare un lavoro è sempre più pressante, è la truffa del falso lavoro, job scam per gli addetti ai lavori.

Questo odioso tipo di truffa fa leva sul bisogno disperato delle persone di ritrovare, o migliorare, la propria disponibilità economica proponendo lavori sicuri e ben remunerati, spesso a fronte di un “piccolo” investimento iniziale giustificato in varie maniere, dalla formazione a documentazione necessaria, a fantomatiche certificazioni.

In tempi di difficoltà economica con sensibile aumento di persone che perdono il loro lavoro, il campo dei social media in particolare diventa un terreno fertile per chi, con pochi scrupoli e spesso uno spessore morale pari a quelli di un paramecio, fa leva di un bisogno primario per truffare e impossessarsi in maniera illecita di somme di denaro.

Il meccanismo si basa su alcuni elementi di social engineering abbastanza semplici, ma che occorre spiegare per i non avvezzi.

La truffa consiste in una offerta di lavoro che deve risultare appetibile e credibile.

I due elementi sono fondamentali per far abbassare la soglia di guardia\scetticismo della potenziale vittima.

Alla ricerca di un lavoro

Mettiamoci nei panni di una persona che cerca lavoro e utilizza i social per questo motivo.

Probabilmente avrà 3 comportamenti, spesso, concorrenti:

1. ricerca attiva di offerte di lavoro postate da aziende o selezionatori
2. ricerca di contatti che possano dare un lavoro, ad esempio HR manager, Head Hunter
3. presentazione nel suo profilo dei suoi skills, e delle sue esperienze e spesso anche della sua esigenza di trovare lavoro

Tutti 3 i comportamenti possono essere sfruttati in termini di social engineering per presentare una offerta finta ma credibile:

La ricerca di offerte di lavoro è facilmente comprensibile, si tratta di esser ricettivo o ricercare tutte le possibili offerte presenti sul social. Le tecniche possono essere diverse, dal fare leva sugli hashtag, a sfruttare le pagine delle aziende e via dicendo.

Il truffatore può facilmente sfruttare le stesse tecniche usate per trovare lavoro per inserirsi nel flusso delle ricerche. Preparare una finta offerta di lavoro non è difficile, e metterla in circolazione neanche. Sapendo quali hashtag sono in trend, sapendo quali aree merceologiche ricercano o hanno dismesso più forza lavoro si possono sfruttare le condizioni per creare una truffa ben fatta e credibile.

Dal punto di vista del truffatore può bastare creare una finta pagina di una azienda, o spacciarsi per un selezionatore del personale per una azienda fittizia, o addirittura approfittare di offerte legittime proponendosi come canale di contatto.

Se i primi due esempi sono evidenti il terzo punto è un poco più sofisticato, significa che a fronte di una ricerca vera di una azienda (facilmente reperibile sui canali social o sulle pagine delle aziende stesse), un criminale potrebbe contattare chi sta cercando lavoro dicendo, ad esempio, di essere un selezionatore e di voler sapere se l’utente è interessato alla offerta di cui offre il link.

Dal momento che sui social media è molto facile creare identità sia personali che aziendali fittizie, così come è semplice creare pagine web e documenti, l’attività non richiede particolari skills. non occorre essere “hacker” sofisticati, bastano conoscenze minime.

Essendo facile creare un finto profilo come Head Hunter o responsabile risorse umane, il criminale può facilmente contattare direttamente quanti sono in cerca di lavoro per rientrare in fantomatiche selezioni senza nemmeno avere una offerta pubblicata da qualche parte. Niente funziona bene come una ricerca confidenziale per un cliente di cui non si può fare, all’inizio, il nome.

In questo senso postare esplicitamente di essere in cerca di occupazione diventa estremamente attrattivo per il cybercriminale che dal profilo social della vittima può ricavare quali siano gli elementi da mettere nella finta selezione per far credere al candidato di essere quello adatto.

Certe volte la truffa è mirata e sofisticata, altre è una pesca a strascico, come nel caso delle famose offerte di lavoro da casa senza investimenti per mezz’ora di attività che ti permettono di fare 10000€ al mese (in questo caso esiste anche il rischio di entrare in catene di riciclaggio di denaro, con conseguenze anche penali, questo specifico tipo di truffa forse meriterebbe spendere qualche parola in più).

Ci credo o non ci credo?

Vediamo una offerta fin troppo allettante, o veniamo contattati per essa, ci possiamo credere?

La credibilità di queste offerte dipende da diversi fattori:

1. la fonte di offerta deve sembrare reale
2. l’offerta stessa deve essere appetibile ma non “incredibile”
3. ci devono essere elementi di supporto, ad esempio elementi grafici (loghi tipicamente) o rimandi a siti, che diano un minimo di copertura ad un check veloce.

Per costruire una buona truffa occorre costruire correttamente l’ambiente di riferimento. Purtroppo, al di la della visione romantica offerta dai film, questa attività non richiede skills particolari. Soprattutto in ambito social creare una sorgente credibile è molto facile. La credibilità può essere legata alla grafica che riporta loghi di aziende note, o riferimenti specifici ad eventi o notizie, e via dicendo.

Ma la credibilità maggiore arriva dalla sorgente diretta ed indiretta di distribuzione della truffa.

La sorgente diretta è solitamente l’account fasullo da cui parte la distribuzione, creato dal criminale appositamente in maniera da essere verosimile.

La sorgente indiretta invece è legata a repost o reazioni e commenti alla offerta di lavoro.

Una delle parti più disgustose del Job Scam è che spesso si appoggia anche alla volontà di utenti del social di essere d’aiuto.

Per alimentare la veridicità della offerta non c’è niente di meglio di qualcuno che la riposti in buona fede. Il lettore che ha bisogno di lavoro tenderà a considerare questo repost come una implicita conferma che l’offerta è affidabile. Maggiore è la catena dei repost maggiore la sua affidabilità.

Per essere credibile ed appetibile l’offerta di solito si basa su 2 elementi: un compenso economico non eccessivamente al di sopra della media (tranne che nelle truffe tipo work from home), una qualificazione offerta per il lavoratore che presenti possibilità di crescita e carriera rapidi. Il secondo punto, spesso, è anche funzionale allo sviluppo della truffa, giustificando corsi, certificazioni od altre attività.

Questa è una caratteristica ricorrente e comprensibile di queste truffe, occorre inserire un elemento che giustifichi lo sviluppo della truffa e la conseguente richiesta di denaro e contestualmente, la renda più credibile.

Per portare un altro esempio alcune offerte truffaldine di lavoro offrono impieghi all’estero, questo è un altro classico meccanismo usato per giustificare le richieste di soldi, in caso di offerte di lavoro all’estero si fa leva sulla documentazione da presentare per avere il permesso di lavoro.

Questi ganci sono utili non solo a sviluppare in seguito la truffa ma a dare credibilità alla truffa stessa. Si possono riportare link a siti governativi (nel caso di offerte di lavoro estere) e a fittizie agenzie per i documenti o, nel caso richieste di certificazione e formazione a siti di formazione (spesso parte integrante della truffa)

La costruzione dei due elementi, credibilità ed affidabilità, dell’offerta economica fasulla sono, come si vede, molto semplici ma, non deprimiamoci, non infallibili.

Un po di senso critico potrebbe aiutare a riconoscere la truffa, ma occorre considerare che la vittima, solitamente, si trova in condizioni di necessità e di minore attenzione al dettaglio.

La truffa

Ma come ci si guadagna con queste truffe?

L’idea di base di queste truffe è quella di convincere il potenziale candidato che occorre investire una certa quantità di denaro per garantirsi la occasione.

Per quanto possa sembrare assurdo che un datore di lavoro ti chieda denaro per assumerti la cosa non è cosi incredibile.

Di solito le giustificazioni si dividono in (non mutuamente esclusive):

1. la ricerca di candidati con competenze specifiche per cui è necessario un corso o una certificazione per passare la selezione
2. l’offerta di “corsie preferenziali” per portare la candidatura in migliore posizione
3. la necessità di fornire documentazione specifica, quale ad esempio permessi di lavoro, che possono richiedere l’intervento di “agenzie specializzate” ed altre cose.

la quantità di variabili in realtà più ampia ma gia questo dovrebbe dare una idea di come si sviluppano queste truffe.

Un parametro comune è che quando si arriva alla richiesta di soldi il truffatore inizia a fare fretta. Le tempistiche si restringono e il tempo per riflettere e decidere viene ridotto tantissimo.

La motivazione, ovviamente, è legata alla volontà di ridurre la possibilità di un controllo da parte del candidato-vittima.

La fretta non è mai un buon indizio.

Come proteggersi

Per quanto sia comprensibile l’ansia di trovare lavoro, soprattutto se si è a terra, il primo consiglio è non avere fretta.

1. se è troppo bello per essere vero, allora probabilmente non è vero
2. prendersi il tempo di verificare le fonti, anche se l’offerta è un repost da una persona fidata se avete dubbi verificate
3. un headhunter o HR serio ed affidabile hanno di solito referenze solide, se il profilo ha 14 follower e 3 post forse un dubbio è lecito
4. se vi chiedono soldi NON fidatevi MAI. In questo caso il controllo è d’obbligo.
5. Se oltretutto vi fanno fretta per pagare…

Tenete presente in riferimento al punto 4 che talvolta per queste truffe vengono organizzati corsi fittizi e fittizie certificazioni, la verifica è necessaria.

E per tutti noi quando ripostiamo offerte di lavoro per venire incontro al nostro network, cosa che ritengo encomiabile, cerchiamo di farlo da fonti e sorgenti che riteniamo credibili.

Pensierino della sera

Non tutte le offerte di lavoro sono truffe, non tutti gli HH che vi contattano sono mascalzoni, ma il rischio di essere truffati esiste e quindi vale la pena essere prudenti.