Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

Conferenza su Riciclaggio, Bitcoin e Criptovalute a Firenze

Il 7 maggio dalle ore 15:30 alle 18:30 si terrà presso l’Auditorium “Adone Zoli” dell’Ordine degli Avvocati di Firenze all’interno del Nuovo Palazzo di Giustizia, Blocco G, Piano 0 in Viale Alessandro Guidoni, 61 a Firenze il convegno su Riciclaggio, Bitcoin e Criptovalute organizzato dalla Fondazione per la Formazione Forense dell’Ordine degli Avvocati di Firenze.

Il seminario su Bitcoin e Criptovalute sarà presieduto e moderato dall’Avv. Raffaella Tucci, della Scuola per la Formazione degli Avvocati Penalisti della Camera Penale di Firenze. Alle ore 15:00 si aprirà con la registrazione dei partecipanti, seguita alle ore 15:30 dalla presentazione sulle Forme di Riciclaggio e Criminalità Organizzata tenuta dal Dott. Ettore Squillace Greco, Procuratore della Repubblica presso il Tribunale di Livorno.

Seguirà quindi l’intervento congiunto mio e del Dott. Stefano Capaccioli sugli Aspetti Giuridici, Fiscali, Tecnici e Investigativi del Bitcoin e delle Criptomonete. Si parlerà di legalità del Bitcoin, tasse, IVA, F24, Exchange, regolamentazioni, KYC e adeguata verifica e di come tramite tecniche di bitcoin forensics e intelligence unite a metodologie d’informatica forense è possibile tentare di ricostruire wallet, deanonimizzare transazioni, indirizzi, analizzare dispositivi posti sotto sequestro al fine di ricostruire le attività svolte dai soggetti tramite le cripto valute o persino procedere a sequestro di bitcoin e confisca di criptomonete per finalità giudiziarie. La giornata si concluderà alle ore 18:30 con un breve dibattito e la chiusura dei lavori.

Il programma della conferenza su Bitcoin, criptomonete e riciclaggio è il seguente:

  • ore 15:00 – 15:30 Registrazione dei partecipanti
  • ore 15:30: Apertura dei lavori
  • Forme di riciclaggio e criminalità organizzata.
    • Dott. Ettore Squillace Greco – Procuratore della Repubblica presso il Tribunale di Livorno;
  • Bitcoin forensics e indagini sulle criptovalute.
    • Dott. Stefano Capaccioli – commercialista in arezzo; presidente di assob.it (associazione di categoria sui bitcoin);
    • Dott. Paolo Dal Checco – Consulente Informatico Forense e Professore a Contratto di Sicurezza Informatica presso l’Università degli Studi di Torino;
  • ore 18:30: Dibattito e chiusura dei lavori

La partecipazione è gratuita ma verranno accettate esclusivamente le richieste ricevute telematicamente attraverso l’area riservata Sfera alla quale si potrà accedere dal link presente sulla pagina dell’evento pubblicato sul sito della Fondazione Forense di Firenze, che invitiamo a visitare anche per maggiori informazioni sull’evento, sui crediti formativi, attestato di frequenza, termine per cancellazioni, quote riservate per la Camera Penale di Firenze. Sempre sul sito della Fondazione Forense di Firenze è disponibile il programma della conferenza su Bitcoin, Riciclaggio e Criptomonete e la locandina della giornata di formazione a Firenze su riciclaggio, bitcoin forensics e intelligence

Convegno sulle Criptovalute presso l'Università degli Studi di Genova

Profili finanziari, giuridici, investigativi e sommersi delle criptovalute

Convegno sulle Criptovalute presso l'Università degli Studi di GenovaMercoledì 18 aprile 2018, presso l’Aula Magna dell’Università degli Studi di Genova in Via Balbi 5 avrò l’onore di essere tra i relatori del convegno sui “Profili finanziari, giuridici, investigativi e sommersi delle criptovalute“, organizzato dalla Guardia di Finanza, Comando Reginale Liguria per affrontare il tema del Bitcoin e delle criptomonete in generale dal punto di vista investigativo, giuridico e fiscale.

Durante il mio intervento illusterò brevemente le basi del protocollo Bitcoin e delle più diffuse criptomonete, evidenziandone i punti di forza e le vulnerabilità che permettono agli investigatori di ottenere alcune informazioni utili per le indagini informatiche tramite tecniche di bitcoin forensics e bitcoin intelligence. Mostrerò inoltre come queste due nuove discipline permettono, ad esempio, attività di tracciamento, deanonimizzazione o sequestro di bitcoin e criptomonete utilizzando metodologie e strumenti derivati dalla digital forensics e dall’open source intelligence (OSINT) ormai consolidati nel mondo “reale” ma applicati alle nuove tecnologie basate sulla blockchain e che talvolta assumono il nome di blockchain forensics e blockchain intelligence.

Seguiranno poi interessantissimi talk di relatori illustri sul sistema finanziario delle criptovalute, aspetti giuridici e tributari del Bitcoin, deep web, cybercrime e criptovalute, normativa antiriciclaggio e infine un interessante intervento sui profili giuridici e le criticità dei provvedimenti cautelari in ambito d’indagini legate al protocollo Bitcoin.

Il programma completo del convegno sulle criptovalute che si terrà a Genova è il seguente, visionabile anche alla brochure in PDF pubblicata dall’Università degli Studi di Genova:

  • 14.00 – 14.15: Entrata dei partecipanti
  • 14.15 – 14.40: Saluto di benvenuto e introduzione ai lavori da parte del Gen. B. Francesco Mattana – Comandante Regionale Liguria della Guardia di Finanza e del Prof. Luca Beltrametti, Direttore del Dipartimento Economia dell’Università di Genova.
  • 14.40 – 15.10: Bitcoin e cripto valute: principi di funzionamento e tecniche investigative, a cura del Dr. Paolo Dal Checco, Docente a contratto presso l’Università di Torino, consulente informatico forense;
  • 15.10 – 15.35: L’impatto delle criptovalute sul sistema finanziario, a cura della Prof.ssa Laura Nieri, Docente di Economia degli intermediari finanziari presso l’Università di Genova;
  • 15.35 – 16.00: Prospettiva finanziaria su cripto valute e blockchain, a cura del Prof. Marcello Minenna, economista, Docente presso l’Università Bocconi e London Graduate School of Mathematical Finance, Capo Ufficio Analisi Quantitative CONSOB;
  • 16.00 – 16.25: Aspetti giuridici e tributari dei bitcoin, a cura del Dott. Stefano Capaccioli, Presidente AssoB.it, Dottore Commercialista e Revisore Legale;
  • 16.25 – 16.40: Coffee break
  • 16.40 – 17.05: Deep web, cyber crime e criptovalute: un mondo sommerso, a cura della Dott.ssa Carola Frediani, giornalista de “La Stampa” e Docente a contratto presso l’Università di Genova;
  • 17.05 – 17.30: Normativa antiriciclaggio e bitcoin, a cura del Col. t. ST Filippo Ivan Bixio, Comandante del I Gruppo Genova della Guardia di Finanza;
  • 17.30 – 17.55: Bitcoin e provvedimenti cautelari: profili giuridici e criticità, a cura del Dr. Francesco Pinto, Procuratore Aggiunto a capo del pool “reati economici” della Procura della Repubblica di Genova;
  • 17.55 – 18.15: Conclusioni
Conferenza GDPR Day

GDPR e Forensic Readiness: informatica forense e protezione dati

Mercoledì 11 aprile 2018 parteciperò come relatore alla conferenza GDPR Day che si terrà a Milano presso il Novotel Milano Ca’ Granda Hotel in Viale Suzzani, 13. Il mio intervento verterà sull’analizzare le tecniche, i principi e gli strumenti dell’informatica forense applicati alla protezione dei dati in ambito GDPR, al fine di agevolare la cosiddetta forensic readiness, cioè la predisposizione dell’azienda a gestire secondo i canoni della digital forensics eventuali attività legate a data breach o reati informatici.

Conferenza GDPR Day

Secondo il nuovo GDPR – il regolamento europeo sulla protezione dei dati – le aziende devono infatti garantire il monitoraggio, la raccolta dati e il pronto intervento in caso di data breach, con l’obbligo di notificare al Garante in tempi brevi l’avvenuta data exfiltration con diversi dettagli circa i dati fuoriusciti e le contromisure prese dall’azienda.

Per poter adempiere a questi doveri impartiti dal GDPR, è necessario che l’azienda si doti di un piano di forensic readiness avvalendosi di tecniche, servizi e strumenti di eDiscovery e Digital Forensics utili per  fine di cristallizzare le evidenze digitali, analizzarle e produrle come prova a valore legale.

Forensic Readiness e Data Breach nel GDPR

Per aiutare le aziende a gestire eventuali data breach secondo criteri di forensic readiness, il seminario illustrerà metodologie, tecniche e strumentazione che l’azienda può utilizzare per identificare, acquisire, conservare, analizzare e descrivere le prove informatiche così da soddisfare le richieste del Garante e allo stesso tempo informare debitamente eventuali assicurazioni, azionisti, clienti o soggetti i cui dati sono stati interessati dal data breach.

Programma della Conferenza sul GDPR

Il programma della conferenza sul GDPR e Data Protection che si terrà a Milano è il seguente:

8:30-9:30
Accredito partecipanti

9:40-09:55
Benvenuto da parte di AreaNetworking.it ed Inside Factory (Federico Lagni e Samuel Lo Gioco)

0:00-10:25
Introduzione al GDPR: quali sono le reali novità? (Monica Dossoni)

10:30-10:55
GDPR & Cybersecurity: nuovi principi di responsabilità sui dati. (Francesco Dompieri)

11:00-11:25
Backup e Business continuity a prova di GDPR. Una guida per affrontare la sfida del momento. (Claudio Panerai)

11:30-11:50
Coffe Break

11:55-12:20
I ruoli delle varie figure: Titolare, Responsabile, sub-responsabile e Responsabile della Protezione dei dati. Requisiti formali e sostanziali. (Massimiliano Nicotra)

2:25-12:50
PMI? Keep calm and comply with GDPR Navigator (Roberto Lorenzetti)

12:55-13:20
GDPR e Digital Forensics: l’informatica forense a supporto della protezione dei dati. (Paolo Dal Checco)

13:25-14:25
Pausa Pranzo

14:30-14:55
GDPR, come fare la valutazione d’impatto (Pierluigi Sartori)

15:00-15:25
Rischio Data Breach: il fattore umano e le criticità trascurate (Adriana Franca)

15:30-15:55
GDPR – I miti da sfatare e cosa è importante sapere (Maurizio Taglioretti)

16:00-16:20
Coffe Break

16:25-17:00
Ruota libera: domande agli esperti. Tutto quello che avreste sempre voluto chiedere sulla GDPR.

17:00-17:10
Chiusura lavori

Dopo la giornata di Milano, la conferenza proseguirà nelle città di Padova,  Roma e Bari.

Frode dei bonifici tramite falsa mail e IBAN

Come difendersi dalle truffe dei bonifici con i falsi IBAN

Sono passati ormai oltre tre anni da quando l’FBI ha avviato un’impegnativa opera di divulgazione e formazione preventiva circa la truffa dei bonifici tramite compromissione della posta elettronica e falsi IBAN. Da allora, il fenomeno è aumentato in modo esponenziale e ancora oggi ogni giorno numerose aziende italiane sono vittima del raggiro del bonifico deviato verso un falso IBAN tramite false email e fatture od offerte PDF modificate ad arte.

Falsa fattura in PDF per la truffa bancaria "Man in The Mail"

Poiché lo Studio esegue anche attività in ambito d’incident response  o digital forensics in ambito di questo tipo di truffa mediante email false, IBAN modificati e bonifici fraudolenti, riteniamo utile riprendere il discorso e presentare alcune caratteristiche di questo fenomeno che sta facendo perdere agli italiani decine di milioni di euro trasferiti spesso su conti IBAN esteri.

Un fenomeno in crescita

L’Italia è terreno fertile per questo tipo di truffa bancaria informatica e conta ormai migliaia di vittime con svariati milioni di soldi rubati tramite i bonifici o le spedizioni di merce. Nel 2015 ho partecipato a un servizio per Striscia la Notizia dove un’azienda ha raccontato la sua avventura con un bonifico fraudolento proveniente da un cliente estero che non è arrivato perché deviato – grazie all’ausilio di false email che sembravano provenire dall’azienda –  verso un IBAN di un conto di un prestanome che lo ha poi svuotato impedendo così il recupero della somma bonificata.

Truffa dei bonifici con falso IBAN a Striscia la Notizia

Come agiscono i delinquenti

Questo tipo di truffe informatiche risulta piuttosto complesso da identificare, perché le modalità con le quali i delinquenti colpiscono le vittime sono svariate:

  1. Attacco alla casella di posta tramite phishing, brute force o utilizzo di credenziali riciclate su più account provenienti dai vari leak disponibili in rete con conseguente monitoraggio della mailbox a volte anche tramite inoltro delle mail tramite forward e blocco di alcuni indirizzi;
  2. Installazione di trojan e spyware sui PC o smartphone di chi esegue o riceve i bonifici o comunica con clienti e fornitori;
  3. Attività di social engineering (su Linkedin, Facebook, etc…) finalizzato a identificare le relazioni tra membri della società così da poter inviare false mail con richieste di bonifici fraudolenti verso IBAN creati ad hoc;
  4. Registrazione di domini simili a quello della vittima o dei suoi fornitori e clienti, utilizzando poi le caselle di posta per perpetrare la truffa dei trasferimenti deviati verso IBAN di terzi;
  5. Non sempre il furto avviene tramite bonifici, in alcuni casi i criminali hanno convinto le vittime a spedire del materiale verso indirizzi controllati da loro (magazzini, capannoni, etc…) fingendosi gli acquirenti che in realtà sono ignari della nuova destinazione della merce che hanno in realtà realmente pagato (ma bonificando la cifra richiesta su conti bancari diversi da quello del fornitore);
  6. Talvolta i delinquenti arrivano a fare anche telefonate utilizzando il numero dei clienti o dei fornitori, mediante servizi come SpoofCard che permettono di fare telefonate o inviare SMS da numeri di persone o aziende ignare;
  7. In alcuni casi la compromissione delle mail permette ai delinquenti di sostituirle in tempo reale tramite IMAP e la funzione di upload e modifica dei messaggi, rendendo così superfluo l’invio di posta da canali fraudolenti, dato che diventa più semplice modificarla direttamente sul server della vittima prima che questa ne scarichi il contenuto.

Come posso difendermi dalle truffe dei bonifici con IBAN falsi?

La miglior difesa è, purtroppo, la formazione del personale che deve essere ben consapevole che se un fornitore richiede un repentino cambiamento del conto IBAN sul quale versare il saldo indicato in fattura, è necessario eseguire adeguate verifiche tramite telefonate, fax o PEC. Imparare a distinguere una falsa mail destinata a perpetrare la frode dei bonifici può permettere all’azienda di non diventarne vittima.

Frode dei bonifici tramite falsa mail e IBAN

Ovviamente le email false avranno una forte somiglianza con quelle originali, sia negli indirizzi sia nel contenuto, ma spesso uno sguardo attento è sufficiente per cogliere gli elementi distintivi e capire se si tratta di un messaggio originale o prodotto dai delinquenti a fini di truffa e raggiro.

Dal punto di vista tecnico, esistono diverse soluzioni che permettono di configurare dei filtri sulla posta elettronica finalizzati a identificare potenziali email fraudolente e segnalarle all’utente o agli amministratori di sistema. Una mail che arriva in azienda da indirizzo di posta aziendale ma partendo da server esterni può ad esempio essere un’indice di compromissione, così come la presenza di un indirizzo “Reply to:” diverso da quello del mittente.

Poiché client di posta elettronica tipo Outlook non mostrano chiaramente il vero indirizzo del mittente, che può quindi essere più facilmente mascherato, è importante verificare, nel momento in cui si risponde a un messaggio, a quale indirizzo arriverà la risposta.

Se si ricevono mail da parte dell’Amministratore Delegato o di apicali che richiedono l’esecuzione di un bonifico pregando di non informare nessuno e di procedere speditamente, è indispensabile richiedere una conferma telefonica o di persona. Molto spesso infatti nelle truffe di tipo “CEO Fraud” non vi sono accessi abusivi alle caselle di posta ma i delinquenti provano a inviare mail da indirizzi di posta falsi, fingendosi dirigenti o apicali e sperando che i destinatari non si accorgano della differenza ed eseguano gli ordini ricevuti. Spesso vengono messi in copia anche Avvocati o Studi Legali finti (o veri ma con indirizzi falsi) così da rendere più autorevole la richiesta.

Come vengono chiamate queste truffe dei bonifici?

La truffa dei bonifici deviati verso IBAN falsi tramite email create ad hoc così da ingannare il ricevente è nota con i termini di CEO Fraud, Payment Diversion, Executive Scam, Business Executive Scam, Bogus Boss, Boss Fraud, CEO scam o CEO phishing, Wire Transfer Fraud, Corporate Account Takeover o CEO impersonation.

Quando si rileva anche un’attività di compromissione e accesso abusivo alla mail aziendale, si parla di truffa di tipo Man in The Mail, Business Email Compromise, BEC, BEC Scam, BEC Fraud o BEC Attack. In questi casi, la mail, i server o il PC delle vittime sono (stati) posti sotto controllo da parte dei delinquenti, che a un certo punto si sostituiscono a uno dei due interlocutori impersonandolo.

Posso recuperare la cifra che ho bonificato all’IBAN sbagliato?

In genere, i bonifici fraudolenti vengono fatti verso conti esteri oppure conti italiani registrati da prestanome. Una volta ricevuto, i criminali utilizzano una rete di money mule per svuotare il conto, cioè persone che – consapevolmente o meno – si fanno inviare alcune migliaia di euro a testa e li rigirano verso conti terzi dopo aver trattenuto una percentuale per il “lavoro”. Questo passaggio rende molto più complicato tracciare il flusso di denaro sottratto con l’inganno alla vittima e permette di svuotare il conto molto velocemente, così che quando la vittima capisce di essere stata truffata tramite bonifici fraudolenti spesso non è in grado di recuperare il maltolto.

Devo fare denuncia presso l’Autorità Giudiziaria?

Ovviamente non c’è obbligo di denuncia querela ma certamente può essere importante farla, se non altro per rendere le Forze dell’Ordine consapevoli dell’entità del fenomeno. Raramente la denuncia porterà al recupero dei fondi rubati, spesso non si riuscirà a capire neanche dove sono stati trasferiti, in ogni caso è eticamente e civilmente sensato sporgere denuncia querela facendosi supportare da legali esperti se possibile in informatica giuridica.

Dal punto di vista del GDPR e della protezione dei dati, invece, se la truffa è di tipo “Man in The Mail” e l’accesso alla casella di posta è avvenuto tramite phishing, trojan o brute force, può essere obbligatorio segnalare al Garante l’avvenuto data breach.

Di chi è la responsabilità? Della banca? Del fornitore? Del cliente?

Spesso chi fa il bonifico all’IBAN sbagliato avrebbe la possibilità di accorgersene prestando attenzione agli indirizzi utilizzati dai delinquenti. Ciò che impedisce alle vittime di realizzare quanto sta accadendo è, spesso, il fatto che i delinquenti utilizzano (nel caso di Man in The Mail) uno scambio di corrispondenza con uno storico tale da rendere “credibile” la fonte e superflue verifiche.

Quando a una visione attenta della mail è possibile verificare che il mittente non è davvero il fornitore certamente una parte di responsabilità può essere demandata alla vittima. Vero è che se la truffa è stata possibile grazie alla compromissione di caselle o computer del fornitore, il rapporto di responsabilità può invertirsi.

Anche la banca può in alcuni casi essere considerata responsabile, se ad esempio accetta di aprire un conto a un prestanome con il nome di una società di cui egli non è il titolare, oppure se riceve grandi quantità di denaro destinate a persone o aziende diverse da quella indicata nell’intestazione del conto, per quanto in alcuni casi non sembra ci sia l’obbligo di verifica.

Se le mail false e fraudolente tramite le quali i delinquenti richiedono i bonifici falsificando i PDF delle fatture provengono realmente dagli indirizzi di posta dei fornitori, certamente la responsabilità può essere demandata ad essi, perché la carenza di misure minime e controlli di sicurezza ha fatto sì che i criminali riuscissero a entrare nelle caselle di posta e utilizzarle per la truffa.

Cosa posso fare se sono stato truffato?

Sicuramente può essere strategica una perizia informatica sulla truffa Man in The Mail avvenuta via bonifico a falso IBAN presso banca estera o italiana, finalizzata a identificare eventuali responsabilità, capire se c’è stato un data breach, un accesso abusivo tramite trojan, phishing, brute force oppure se la compromissione può essere lato fornitori o clienti o ancora se non si rilevano malware o violazioni alla sicurezza ma solo l’utilizzo di account di posta o domini opportunamente plasmati.

La perizia informatica sul Man in The Middle può essere utilizzata da uno studio legale specializzato in informatica forense, per produrre una querela o una richiesta di conciliazione con il cliente o il fornitore coinvolto a sua insaputa nella truffa. La responsabilità della parte il cui account di posta o i cui sistemi sono stati compromessi infatti è un elemento che può permettere alla parte che ha perso il denaro (o la merce) di richiedere uno storno, una spedizione, un risarcimento.

 

 

Tavili di Lavoro 231 - Rivista 231

Tavoli di Lavoro 231 – 8 marzo 2018

Tavili di Lavoro 231 - Rivista 231Mercoledì 8 marzo 2018 si terrà a Milano, presso l’Hotel Michelangelo di Via Scarlatti 33 a Milano, la VII edizione dei Tavoli di Lavoro 231, organizzati dalla società Plenum Srl e dal portale Rivista 231. L’edizione dell’8 marzo 2018 dei Tavoli 231 vedrà la partecipazione di otto relatori scelti tra i collaboratori della Rivista, che hanno ormai raggiunto il numero di 380 fra Professori Universitari, Magistrati ed esponenti del mondo delle imprese, delle professioni e delle associazioni di categoria.

Il programma della giornata di corso sul D.Lgs 231 che si terrà a Milano è il seguente:

Mattino, ore 9:30-13:00

Le novità normative e giurisprudenziali
Dott. Luca Pistorelli, Consigliere della Corte di Cassazione

L’introduzione del whistleblowing nei modelli organizzativi: problematiche giuridiche e soluzioni operative
Avv. Michele Pansarella, Socio ordinario KPMG – Studio Associato Consulenza legale e tributaria

I rischi 231 nella gestione dei siti internet istituzionali e dei social network
Dott. Paolo Dal Checco, Consulente Informatico Forense, Prof. a Contratto presso l’Università degli Studi di Torino

I canoni di valutazione dei modelli organizzativi a livello internazionale
Dott. Giovanni Tartaglia Polcini, Consigliere giuridico presso il Ministero degli Affari Esteri

Pomeriggio, ore 14:00-17:30

La nuova direttiva PIF e l’istituzione della Procura europea (EPPO): sanzioni e indagini estese anche ai reati 231
Dott. Alessio Scarcella, Consigliere della Corte di Cassazione

La corruzione tra privati e la responsabilità degli enti nella prospettiva di attuazione delle direttive comunitarie
Dott.ssa Rossella Catena, Consigliere della Corte di Cassazione

La sospensione con messa alla prova nel procedimento a carico degli enti
Avv. Mara Chilosi, Studio legale Chilosi Martelli, Milano

I protocolli privacy nei modelli organizzativi
Avv. Giuseppe Vaciago, Partner R&P Legal, Milano

Tavoli di Lavoro 231 - Plenum SrlI Tavoli di lavoro 231 – edizione 2018 sono giornate di lezione che si svolgono presso l’Hotel Michelangelo di Milano (4 minuti a piedi dalla Stazione Centrale).​ Le attività dei Tavoli di lavoro 231 impegneranno i partecipanti per un totale di n. 5 giornate nel corso dell’anno: giovedì 8 marzo, mercoledì 16 maggio, mercoledì 4 luglio, martedì 25 settembre, martedì 20 novembre. ​Sarà possibile fare intervenire un diverso partecipante per ciascuna giornata, in modo da coinvolgere sempre la figura più interessata agli argomenti trattati. Ogni giornata sarà filmata in alta definizione e i video saranno disponibili dopo ciascun evento nel portale www.tavoli231.it.

È previsto il rilascio di un attestato di partecipazione, oltre all’attribuzione dei crediti formativi da parte degli Ordini professionali dei Dottori Commercialisti ed Esperti Contabili, degli Avvocati e degli Ingegneri. Per informazioni e moduli d’iscrizione, invitiamo gli interessati a visitare il sito dei Tavoli di Lavoro 231.