Nuovo appuntamento con la rubrica #LIBRARY. Oggi sono con Giuseppe Mobilio, ricercatore in diritto costituzionale all’Università degli Studi di Firenze, che ringrazio, per parlare del suo libro “Tecnologie di riconoscimento facciale. Rischi per i diritti fondamentali e sfide regolative”.

Guarda il video:

youtube.com/embed/0jC22IAFq24?…

guidoscorza.it/nuovo-appuntame…

Un’App per la perdita di peso ha raccolto per anni dati di bambini e li ha utilizzati per fornire loro un servizio e addestrare i propri algoritmi all’insaputa dei genitori. La Federal Trade Commission ora ha detto basta.

È una decisione preziosa quella appena adottata dalla Federal Trade Commission americana contro “Kurbo” una App gestita dalla WW International che per anni ha fornito servizi per la perdita di peso a bambini anche minori di 13 anni senza il consenso dei genitori in aperta violazione della disciplina americana e raccolto egualmente in violazione della medesima disciplina tonnellate di dati personali, anche sanitari, degli stessi bambini.

Una decisione bella non solo perché richiama l’attenzione una volta di più sulla piaga delle App che propongono anche ai bambini diete e sistemi più o meno affidabili e talvolta niente affatto affidabili per la perdita di peso, facendo leva sulle loro debolezze e sulla loro immaturità.

Ma anche e soprattutto perché ribadisce un principio che dobbiamo trovare la forza di fissare una volta per tutte. Chi ha l’obbligo come accade negli Stati Uniti a chi fornisce servizi digitali di verificare che i propri utenti abbiano almeno una certa età, 13 anni nel caso degli Stati Uniti, o si iscrivano al servizio con il permesso dei genitori, non può limitarsi a credere a quello che i bambini dichiarano sulla porta dell’App o del sito, ovvero di avere più di 13 anni o addirittura di essere i loro genitori.

Troppo facile, troppo poco serio, troppo inaffidabile. E nel caso di specie la Federal Trade Commission mette nero su bianco non solo che il fornitore di servizio si accontentava che i suoi utenti, anche bambini di 8, 9, 10 anni dichiarassero di averne 13, ma che continuava ad erogare il servizio ai suoi giovanissimi utenti anche dopo che questi ultimi una volta entrati impostavano l’età corretta per potersi fare calcolare il loro peso forma.

I gestori dell’App dunque conoscevano o almeno avrebbero potuto conoscere la circostanza di avere a bordo dei bambini minori di 13 anni entrati dichiarando di averne di più, ma non assumevano alcuna iniziativa al riguardo. E naturalmente trattavano i loro dati personali, li davano in pasto ai loro algoritmi. Si tratta di un fenomeno che diete a parte è drammaticamente diffuso e contro il quale occorre correre ai ripari il prima possibile.

Anche online non tutto è per tutti e i rischi connessi all’uso da parte di un bambino di un servizio non adatto alla sua età sono enormi. Ma la Federal Trade Commission ha rimproverato ai gestori dell’App anche di aver nascosto dietro un link quasi inaccessibile l’informativa sul trattamento dei dati personali e sul funzionamento dell’App e di aver così ostacolato la comprensione da parte degli utenti delle modalità di funzionamento del servizio e delle tipologie di dati trattati.

Un altro principio importante troppo spesso dimenticato anche da questa parte dell’oceano. Gli obblighi di informazione e trasparenza sono una cosa seria e non si può pensare di adempiervi nascondendo questo o quel link con la speranza che nessuno lo veda o ci clicchi sopra.

Bene anche l’ordine che la Federal Trade Commission ha indirizzato ai gestori dell’App, non solo cancellare tutti i dati personali dei bambini raccolti illecitamente e pagare una multa salata, ma anche distruggere tutti gli algoritmi sviluppati o addestrati utilizzando questi dati. E si tratta di una misura alla quale negli anni che verranno bisognerà pensare con attenzione. Un algoritmo cresciuto grazie al contributo di dati personali che non avrebbe dovuto trattare merita di essere distrutto perché altrimenti violare le regole a cominciare da quelle sulla privacy per addestrare gli algoritmi rischia di diventare economicamente vantaggioso per tanti, per troppi.
Buona giornata!

Ascolta il podcast su HuffPostItalia.

guidoscorza.it/governare-il-fu…

Sicurezza informaticaAumenta il rischio cyber per le pubbliche amministrazioni italiane

Il conflitto tra Russia e Ucraina ha scatenato in Europa anche una vera e propria cyberwar. In queste settimane l’Agenzia per la cybersicurezza nazionale e il Computer Security Incident Response Team – Italia hanno più volte messo in evidenza che anche le amministrazioni italiane devono prestare particolare attenzione alla sicurezza informatica alla luce dell’aumentare delle attività malevole.

Leggi la news

Cloud della PAOnline la Circolare esplicativa AGID

L’Agenzia per l’Italia Digitale ha pubblicato una nuova Circolare, la n.1 del 28 febbraio 2022, sul tema del cloud della PA. Il documento fornisce alle amministrazioni e ai loro fornitori alcuni chiarimenti, indicazioni ed elementi informativi per l’applicazione univoca delle norme del nuovo Regolamento sul “Cloud della PA” pubblicato lo scorso dicembre.

Consulta la circolare

AccessibilitàDisponibile lo strumento per la definizione e pubblicazione degli obiettivi annuali di accessibilità

L’Agenzia per l’Italia Digitale ha pubblicato lo strumento per la definizione e pubblicazione degli obiettivi annuali di accessibilità. A partire da quest’anno, la pubblicazione degli obiettivi di accessibilità potrà essere effettuata dal Responsabile della transizione digitale (RTD) sul portale form.agid.gov.it nella apposita sezione dedicata agli Obiettivi di Accessibilità.

Ricordiamo che le amministrazioni devono provvedere entro il 31 marzo prossimo.

Consulta la nota AGID

Identità digitale AGID adotta le Linee guida SPID per minori

L’Agenzia per l’Italia Digitale ha pubblicato le Linee guida operative per il rilascio dell’identità digitale in favore dei minori. Le Linee guida consentiranno ai ragazzi – dai 5 anni in poi – di ottenere e usare SPID per l’accesso ai servizi digitali sotto la supervisione dei genitori.

Leggi la notizia

Anticorruzione e trasparenzaPrevenzione della corruzione e della trasparenza: istituito il Registro dei Responsabili

L’Autorità nazionale anticorruzione ha istituito il Registro dei Responsabili della prevenzione della corruzione e della trasparenza (Rpct). L’introduzione del registro ha il fine di rendere rapida ed efficace l’interlocuzione tra i responsabili presenti nelle amministrazioni e negli enti.

La costituzione del Registro è, inoltre, funzionale alla creazione di una rete nazionale dei Responsabili stessi.

Consulta la nota ANAC

L'articolo What’s new in Italy on Digital Administration<BR> n.2 – Marzo 2022 proviene da E-Lex.

Dopo una lunga “gestazione”, è stata finalmente approvata la “Personal Information Protection Law” (PIPL), la nuova legge cinese in materia di protezione dei dati personali, in vigore dal 1° novembre 2021.

L’ordinamento cinese, con una scelta fondamentale in un’economia globalizzata, ha deciso di seguire le tracce dell’Unione europea, andando a ricalcare molte delle disposizioni presenti nel GDPR.

Innanzi tutto, l’ambito di applicazione della nuova normativa, che abbraccia tre casistiche principali: a) le attività di trattamento svolte nel territorio cinese; b) la fornitura di prodotti o servizi ai cittadini cinesi oppure l’analisi dei loro comportamenti; c) tutti gli altri casi previsti dalle leggi speciali nazionali.

Nel caso in cui un soggetto stabilito fuori dal territorio cinese tratti dati personali che rientrano nel perimetro del PIPL, allora, ai sensi dell’articolo 53, sarà tenuto ad avere uno stabilimento in Cina o a designare un rappresentante, segnalando il ​​nome e le informazioni di contatto di quest’ultimo all’autorità competente. Così come il GDPR, l’art. 72 PIPL specifica che la nuova legge non trova applicazione ai trattamenti dei dati personali effettuati da persone fisiche per ragioni personali o domestiche.

Allo stesso modo, la PIPL segue la bipartizione tra titolare e responsabile, individuando le figure relative sullo schema tracciato dal Regolamento europeo: il titolare, quindi, è colui che decide finalità e mezzi del trattamento, il responsabile, invece, è colui che agisce, all’interno di un modello assimilabile ad un rapporto di mandato, seguendo le istruzioni del titolare.

Forti analogie si rinvengono anche nelle informazioni – assimilabili a quelle elencate dall’art. 13 GDPR – che devono essere fornite al soggetto interessato al momento della raccolta dei dati.

Simili sono i riferimenti ai dati relativi a credenze religiose e stato di salute, mentre, all’interno della categoria, al contrario di quanto avviene nel modello giuridico europeo, ricadono anche i dati di natura finanziaria e, in generale, sullo stato patrimoniale di un soggetto. Con una previsione rilevante, considerando le polemiche recenti che avevano interessato il governo cinese, sono ritenuti dati sensibili anche le informazioni di natura biometrica. Inoltre, anche i dati relativi ai minori di anni quattordici sono tutelati in forma rafforzata, come le informazioni sulla geolocalizzazione dei soggetti interessati.

Una sotto-categoria piuttosto ampia di dati sensibili è quella che concerne le informazioni che possono causare, in caso di divulgazione illecita, danno alla dignità delle persone, alla sicurezza nazionale o alla proprietà: una definizione forse eccessivamente vasta, che rispecchia un rapporto ancora sbilanciato tra individui e potere politico.

Infine, le diverse basi giuridiche che legittimano il trattamento dei dati rispecchiano, talvolta molto fedelmente, quelle enumerate dal GDPR. Innanzi tutto, il consenso che, in maniera identica a quanto accade in Europa, deve essere libero, specifico e revocabile, così come sancito dall’art. 14 PIPL. Tale consenso – e si tratta di un’ulteriore analogia con quanto disciplinato dal GDPR – non è necessario qualora i dati siano necessari per la conclusione o l’esecuzione di un contratto oppure per adempiere ad un obbligo previsto dalla normativa. Similitudini possono essere ritrovate nella fattispecie che legittima il trattamento dei dati in caso di emergenza sanitaria pubblica o per proteggere la vita, la salute o la proprietà di una persona fisica, sempre nell’ipotesi di emergenza sanitaria.

Un caso a sé, che non è dato rinvenire nella legislazione comunitaria, è quello che interessa il trattamento per motivi di cronaca, per motivi di natura politica, o comunque per uno scopo di interesse pubblico. Infine, come clausola generale, è sancita la liceità nel trattamento dei dati laddove previsto espressamente dalla legislazione nazionale.

Di là dall’analisi delle singole disposizioni, è sicuramente importante che l’ordinamento cinese abbia optato per un rinforzamento delle garanzie offerte ai propri cittadini, imitando molte delle previsioni – anche in relazione, ad esempio, ai diritti riconosciuti ai soggetti interessati – già previste dal GDPR. In questo modo, si apre la strada anche ad una possibile decisione di adeguatezza da parte della Commissione nei confronti della Cina, che potrebbe semplificare sensibilmente il traffico transfrontaliero dei dati.

Una traduzione in inglese del testo approvato è disponibile qui.

Giovanni Maria Riccio

L'articolo La nuova legge cinese sul trattamento dei dati: una porta spalancata verso l’Europa? proviene da E-Lex.

Dopo una lunga “gestazione”, è stata finalmente approvata la “Personal Information Protection Law” (PIPL), la nuova legge cinese in materia di protezione dei dati personali, in vigore dal 1° novembre 2021.

L’ordinamento cinese, con una scelta fondamentale in un’economia globalizzata, ha deciso di seguire le tracce dell’Unione europea, andando a ricalcare molte delle disposizioni presenti nel GDPR.

Innanzi tutto, l’ambito di applicazione della nuova normativa, che abbraccia tre casistiche principali: a) le attività di trattamento svolte nel territorio cinese; b) la fornitura di prodotti o servizi ai cittadini cinesi oppure l’analisi dei loro comportamenti; c) tutti gli altri casi previsti dalle leggi speciali nazionali.

Nel caso in cui un soggetto stabilito fuori dal territorio cinese tratti dati personali che rientrano nel perimetro del PIPL, allora, ai sensi dell’articolo 53, sarà tenuto ad avere uno stabilimento in Cina o a designare un rappresentante, segnalando il ​​nome e le informazioni di contatto di quest’ultimo all’autorità competente. Così come il GDPR, l’art. 72 PIPL specifica che la nuova legge non trova applicazione ai trattamenti dei dati personali effettuati da persone fisiche per ragioni personali o domestiche.

Allo stesso modo, la PIPL segue la bipartizione tra titolare e responsabile, individuando le figure relative sullo schema tracciato dal Regolamento europeo: il titolare, quindi, è colui che decide finalità e mezzi del trattamento, il responsabile, invece, è colui che agisce, all’interno di un modello assimilabile ad un rapporto di mandato, seguendo le istruzioni del titolare.

Forti analogie si rinvengono anche nelle informazioni – assimilabili a quelle elencate dall’art. 13 GDPR – che devono essere fornite al soggetto interessato al momento della raccolta dei dati.

Simili sono i riferimenti ai dati relativi a credenze religiose e stato di salute, mentre, all’interno della categoria, al contrario di quanto avviene nel modello giuridico europeo, ricadono anche i dati di natura finanziaria e, in generale, sullo stato patrimoniale di un soggetto. Con una previsione rilevante, considerando le polemiche recenti che avevano interessato il governo cinese, sono ritenuti dati sensibili anche le informazioni di natura biometrica. Inoltre, anche i dati relativi ai minori di anni quattordici sono tutelati in forma rafforzata, come le informazioni sulla geolocalizzazione dei soggetti interessati.

Una sotto-categoria piuttosto ampia di dati sensibili è quella che concerne le informazioni che possono causare, in caso di divulgazione illecita, danno alla dignità delle persone, alla sicurezza nazionale o alla proprietà: una definizione forse eccessivamente vasta, che rispecchia un rapporto ancora sbilanciato tra individui e potere politico.

Infine, le diverse basi giuridiche che legittimano il trattamento dei dati rispecchiano, talvolta molto fedelmente, quelle enumerate dal GDPR. Innanzi tutto, il consenso che, in maniera identica a quanto accade in Europa, deve essere libero, specifico e revocabile, così come sancito dall’art. 14 PIPL. Tale consenso – e si tratta di un’ulteriore analogia con quanto disciplinato dal GDPR – non è necessario qualora i dati siano necessari per la conclusione o l’esecuzione di un contratto oppure per adempiere ad un obbligo previsto dalla normativa. Similitudini possono essere ritrovate nella fattispecie che legittima il trattamento dei dati in caso di emergenza sanitaria pubblica o per proteggere la vita, la salute o la proprietà di una persona fisica, sempre nell’ipotesi di emergenza sanitaria.

Un caso a sé, che non è dato rinvenire nella legislazione comunitaria, è quello che interessa il trattamento per motivi di cronaca, per motivi di natura politica, o comunque per uno scopo di interesse pubblico. Infine, come clausola generale, è sancita la liceità nel trattamento dei dati laddove previsto espressamente dalla legislazione nazionale.

Di là dall’analisi delle singole disposizioni, è sicuramente importante che l’ordinamento cinese abbia optato per un rinforzamento delle garanzie offerte ai propri cittadini, imitando molte delle previsioni – anche in relazione, ad esempio, ai diritti riconosciuti ai soggetti interessati – già previste dal GDPR. In questo modo, si apre la strada anche ad una possibile decisione di adeguatezza da parte della Commissione nei confronti della Cina, che potrebbe semplificare sensibilmente il traffico transfrontaliero dei dati.

Una traduzione in inglese del testo approvato è disponibile qui.

Giovanni Maria Riccio

L'articolo La nuova legge cinese sul trattamento dei dati: una porta spalancata verso l’Europa? proviene da E-Lex.

Tik Tok: l’ok dell’Alta Corte del Regno Unito ad un’azione collettiva sulla privacy dei minori

TechCrunch riferisce che l’Alta Corte di giustizia del Regno Unito ha stabilito la procedibilità di un’azione legale collettiva contro TikTok relativa a presunte violazioni nei confronti della privacy di minori. Un portavoce di TikTok ha dichiarato che la società ha “politiche, processi e tecnologie solide in atto per aiutare a proteggere tutti gli utenti, e in particolare i nostri utenti adolescenti”. L’azione legale è stata intentata nel dicembre 2020 da una ragazza di 12 anni, cui è stato concesso l’anonimato dal tribunale, secondo cui il social network elabora i dati dei bambini in modo illegale.

techcrunch.com/2022/03/08/tikt…

Cookies e privacy le novità per gli utenti: il video informativo del Garante

Gruppo di lavoro Articolo 29: Linee guida 5/2020 sulconsenso ai sensi del regolamento (UE) 2016/679 4 maggio 2020. Corte di giustizia dell’Unione europea: Sentenza nella causa C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV / Planet49 GmbH – Per l’installazione di cookie è necessario il consenso attivo degli utenti di Internet.

gpdp.it/web/guest/temi/cookie

Dubai lancia una piattaforma per rilevare le vulnerabilità dei siti web del governo

Il Dubai Electronic Security Center (DESC), parte della Dubai Digital Authority, ha lanciato una piattaforma di sicurezza informatica per rilevare le vulnerabilità nel governo e in altri siti web. La piattaforma TIRS è uno dei pilastri del Dubai Cyber ​​Index, lanciato a metà del 2020 per supportare le prestazioni complessive della sicurezza informatica presso le istituzioni governative dell’Emirato.

smartcitiesworld.net/data-priv…

guidoscorza.it/privacy-daily-1…

Dobbiamo ritenere responsabili le piattaforme di social media per l’esperimento sociale che stanno conducendo sui nostri figli per profitto. È il momento di rafforzare le tutele alla privacy, vietare la pubblicità mirata ai bambini e chiedere alle società tecnologiche di smetterla di raccogliere i dati personali dei nostri figli”. Lo ha detto il presidente degli Stati Uniti d’America Joe Biden nel suo primo discorso alla nazione.

Sono parole dure anzi durissime, probabilmente le più dure sin qui mai utilizzate da un presidente degli Stati Uniti d’America in carica all’indirizzo dell’industria tecnologica nazionale e in particolare dei gestori delle grandi piattaforme di social network e non solo che hanno avuto i natali proprio negli USA.

Niente più profilazione a scopo commerciale dei più piccoli e soprattutto l’immagine dei più piccoli come cavie da laboratorio nelle mani delle Big Tech. Un’immagine fortissima. Almeno attorno alla questione della tutela dei più piccoli davanti ai rischi connessi al trattamento massiccio dei loro dati personali da parte di Google, di Facebook, di Apple, e delle altre Big Tech, la distanza tra la politica americana e quella europea sembra ormai ridottissima.

Le parole di Biden infatti sono in linea con quanto la disciplina europea già prevede con riguardo ai cosiddetti fornitori di servizi media audiovisivi e con quanto si intende prevedere in maniera generalizzata attraverso il Digital Service Act, il nuovo regolamento attualmente in discussione davanti al Parlamento Europeo secondo il quale sono vietate le tecniche di targeting o amplificazione che trattano, rivelano, o inferiscono i dati personali dei minori.

Perché non c’è dubbio che la raccolta massiccia di dati personali dei bambini che si consuma quotidianamente mentre usano le piattaforme e i servizi digitali forniti dalle Big Tech e non solo dalle Big Tech per le finalità più disparate, dallo studio al divertimento, è ormai sempre più spesso e con poche eccezioni strumentale alla creazione di profili di consumo, e non solo di consumo, di questi ultimi da utilizzarsi a scopo commerciale quando non anche a scopi meno nobili.

Continua ad ascoltare il HuffPostItalia.

guidoscorza.it/governare-il-fu…

20 milioni di euro di multa per Clearview AI in Italia L'azienda non può più trattare i dati biometrici delle persone in Italia e deve cancellare tutti i dati esistenti.

noyb.eu/en/eu-20-mio-fine-clea…

The negotiators of the largest political groups in the European Parliament agreed Wednesday night on a deal to reform the European election law. German-led EPP achieved agreement to the introduction of a 3.5% threshold for European elections in Germany in order to bypass several rulings of the Federal Constitutional Court invalidating national thresholds. On the basis of the latest election results, the threshold could prevent six small German parties from being represented and hand over their 9 seats to large parties. This would prevent for example the anti-establishment German Pirate Party and the satirical political party Die PARTEI (led by MEP Martin Sonneborn) from being reelected in 2024. As a result EPP could expect to grow by 3 German MEPs while Greens/EFA stands to lose 2.

In exchange for agreement to the threshold EPP agreed to demands by S&D, Renew and Greens/EFA to introduce transnational lists and a gender parity requirement for electoral lists to European elections. The formal vote on the deal in the European Parliament is yet to take place. The EU governments will then have the final say, having to reach an agreement in the Council and needing the consent of all national parliaments.

German Pirate Party MEP Patrick Breyer condemns the deal:

“This threshold is an attack on democracy. With the envisaged threshold of 3.5%, 3.1 million votes cast for six small parties in Germany would have been invalidated in the most recent European elections. This exceeds the total votes cast in the smallest 6 EU Member States! The small parties‘ parliamentary seats would fall into the hands of the political establishment which voters intended to oppose.

Leaving millions of citizens who are disillusioned with the established parties no other choice will either drive them into the arms of authoritarian nationalists or make them turn their backs on democracy altogether. Both will damage our democracy and endanger the future of Europe. Europe needs to be more inclusive, not less. “

While the German Constitutional Court annulled thresholds for elections to the European Parliament so far, there is a theoretical threshold of about 200,000 votes needed to win a seat. A 3.5% threshold would require a German party to win more than a million votes in order to be represented in the European Parliament.

patrick-breyer.de/en/electoral…

AVVISO PUBBLICO per indagine di mercato ai sensi dell’art. 36 del d.lgs. 50/2016 e dell’art. 1, comma 2, lett. a), del d.l. 76/2020 convertito dalla l. 120/2020. gestione e sviluppo dell’account Twitter del Garante per la protezione dei dati personal...

gpdp.it:443/web/guest/home/doc…

AVVISO PUBBLICO per indagine di mercato ai sensi dell’art. 36 del d.lgs. 50/2016 e dell’art. 1, comma 2, lett. a), del d.l. 76/2020 convertito dalla l. 120/2020. gestione e sviluppo dell’account Twitter del Garante per la protezione dei dati personali

^www.gpdp.it

👉Your Chance to work with the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers (like Mariam in the video below) that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for October 2022 at noyb.eu/en/traineeship

mastodon.social/@noybeu/107932…

“Cosa c’è a Teramo che qui non c’è?” mi chiedo mentre, piacevolmente, mi ascolto i Pre-Cog in the Bunker.

iyezine.com/pre-cog-in-the-bun…

Pre-cog IN the Bunker - “pre-cog’s Dream” 7″ 2019 & “what If” Cd 2020

^{In Your Eyes ezine}

Allarme cybersicurezza nella Ue, dopo lo scoppio della guerra in Ucraina. I governi europei hanno siglato una dichiarazione congiunta per rafforzare la cybersecurity continentale, che prevede la creazione di un fondo europeo per sostenere le iniziative nazionali.

La misura è stata adottata ieri in un summit informale dei ministri europei delle telecomunicazioni organizzato dalla presidenza francese della Ue a Nevers.L’agenda del summit è stata sconvolta completamente dallo scoppio della guerra in Ucraina.

“I recenti cyberattacchi che hanno preso di mira l’Ucraina in un contesto di crescenti tensioni geopolitiche hanno mostrato l’importanza della dimensione cyber nei conflitti di oggi”, si legge nella bozza dell’accordo vista da Euractiv.

Piano straordinario della Ue

“Pur riconoscendo l’importanza per l’UE di sostenere con forza la resilienza informatica dell’Ucraina, il possibile effetto di ricaduta di tali attacchi informatici alle reti europee evidenzia anche la necessità che l’UE porti avanti un piano ambizioso e completo per la sua sicurezza informatica”.

Un massiccio cyberattacco per ammonire i cittadini Ucraini di “aver paura e di aspettarsi il peggio” ha colpito i siti del governo lo scorso 13 gennaio, lasciando inaccessibili alcuni siti nella mattina di venerdì e spingendo Kiev ad aprire un’indagine.

I ministri dell’Ue hanno firmato un elenco di azioni per affrontare queste sfide imminenti, compreso un invito alla Commissione europea a istituire un nuovo Fondo di risposta alle emergenze per la cybersicurezza inteso a preparare l’Ue ad affrontare attacchi informatici su larga scala.

Servono più fondi per la cybersecurity

I governi nazionali vogliono anche ulteriori finanziamenti dell’Ue per aiutare gli Stati membri a potenziare le proprie capacità di sicurezza informatica contribuendo a creare un mercato per fornitori di servizi di sicurezza informatica affidabili per gli audit della sicurezza informatica e la risposta agli incidenti

Il finanziamento dovrebbe rafforzare la resilienza degli operatori a rischio, quelli che sarebbero un obiettivo primario in caso di conflitto, favorendo anche lo sviluppo di un ecosistema di sicurezza informatica.

“incoraggiare lo sviluppo di tali fornitori dell’Ue dovrebbe essere una priorità della politica industriale dell’UE nel campo della sicurezza informatica”, ha aggiunto la dichiarazione.

Il documento esorta inoltre le autorità europee competenti come la Commissione europea, le autorità nazionali di regolamentazione delle telecomunicazioni, l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) e il gruppo di cooperazione per la sicurezza delle reti e delle informazioni (NIS) a presentare una serie di raccomandazioni su come rafforzare la resilienza dell’infrastruttura digitale europea.

L’infrastruttura delle telecomunicazioni è stata oggetto di un input paper diffuso dalla Presidenza francese prima della discussione, visto anche da EURACTIV. Il documento di input indica la dipendenza dalle infrastrutture dell’Europa, dalle connessioni Internet globali ai cavi sottomarini, di proprietà principalmente di società americane e cinesi. Il documento sostiene l’aumento della resilienza delle reti europee attraverso la diversificazione dell’infrastruttura backbone, anche con l’iniziativa lanciata di recente.

Breton: ‘Sovranità tecnologica europea essenziale’

l termine di una riunione dei ministri europei delle telecomunicazioni di mercoledì, Thierry Breton, il Commissario responsabile per il mercato interno, ha insistito sulla necessità che l’UE disponga di reti proprie sicure e ridondanti.
L’attacco informatico al satellite americano Viasat, all’inizio dell’invasione russa dell’Ucraina, ha dimostrato quanto siano essenziali e strategiche le reti di telecomunicazioni. Non è chiaro se dietro ci sia Mosca, ma tutti gli occhi sono puntati sul Cremlino. Questa offensiva ha privato decine di migliaia di ucraini ed europei di Internet. Un problema che ha ricordato all’Unione Europea (UE) l’importanza di avere infrastrutture affidabili, sicure e soprattutto sovrane. Nel corso di una conferenza stampa questo mercoledì, al termine di una riunione informale dei ministri europei delle telecomunicazioni, nell’ambito della presidenza francese del Consiglio dell’UE, Thierry Breton, commissario europeo responsabile del mercato interno, ha ritenuto che questo argomento fosse “essenziale”. Dopo l’attacco al satellite Viasat, “ci è voluta una società privata [Starlink, la costellazione di satelliti di Elon Musk, ndr] per sostenere [l’Ucraina] per fornire servizi complementari”, ha detto. “Per noi, questo non è accettabile”, ha continuato.

Per Breton essenziale che l’Europa si doti di costellazione di satelliti a bassa quota

A questo livello, dobbiamo essere sovrani. Per Breton, è essenziale che l’Europa disponga di proprie alternative alle infrastrutture di telecomunicazioni terrestri, qualora queste ultime dovessero essere vittime di attacchi informatici o danni intenzionali. A questo proposito, Thierry Breton ritiene ancora più importante che l’Europa acquisisca rapidamente una propria costellazione di satelliti a bassa orbita. Anche se il suo lancio è attualmente previsto solo per il 2024… Garantire la “resilienza” delle infrastrutture di comunicazione I ministri europei delle telecomunicazioni sono tutti d’accordo: è fondamentale che l’UE rafforzi la “resilienza” e la protezione delle sue reti di telecomunicazioni, che sono essenziali per il corretto funzionamento di Internet. Ciò riguarda le infrastrutture terrestri. Ma anche i cavi sottomarini, queste autostrade in fibra ottica appoggiate sul fondo del mare, da cui l’Europa dipende oggi per il buon funzionamento del suo ecosistema digitale. La NATO teme da anni, ben prima della guerra in Ucraina, che la Russia un giorno attacchi queste infrastrutture vitali per il Vecchio Continente.

The post Guerra in Ucraina, la Ue verso un fondo di emergenza per la cybersecurity contro la minaccia Russa appeared first on Key4biz.

Dopo aver affrontato le basi dell’OPSEC (Operation security), oggi vi suggerisco qualche strumento per ottenere un ragionevole livello di anonimato online. Dico ragionevole perché l’anonimato assoluto non esiste. È uno spettro variabile e dinamico, che cambia in base al contesto.

Come registrarsi in modo anonimo a servizi online

Molti servizi oggi richiedono un qualche tipo di registrazione e identificazione dell’utente per poter essere usati. Alcuni si accontentano di una email, altri chiedono anche un numero di telefono.

1) verifica tramite email

L’email è ormai un punto nevralgico delle nostre identità online, soprattutto per gli indirizzi a cui abbiamo collegato social network, account bancari e sistemi di pagamento. Usare questi indirizzi per iscriversi a servizi non essenziali non è mai una buona idea, perché aumenta esponenzialmente la nostra superficie di rischio in caso di violazione di dati.

Se non ci credi, prendi una email che usi spesso per registrarti a servizi online e inseriscila qui. Molto probabilmente scoprirai che è stata oggetto di qualche furto di dati.

Questo è il motivo per cui è sempre preferibile usare email usa e getta per iscriversi a servizi non essenziali.

Un servizio che uso spesso è Guerrilla Mail, che permette di creare una email in pochi secondi, senza alcuna registrazione, e usarla per il tempo necessario per la registrazione.

La mail creata può essere usata anche per inviare messaggi, e anche questo può essere utile. Attenzione però: non è una mail cifrata, quindi i messaggi inviati sono in chiaro (come gmail e altre email normali) - non confondere privacy delle comunicazioni con anonimato.

3) verifica tramite sms

I servizi che non si accontentano dell’email, ma che hanno bisogno per qualche motivo anche di un numero di telefono, sono più complessi da bypassare.

Il problema è che il numero di telefono è anche molto più sensibile dell’email, per ovvi motivi.

Un servizio utile in questo senso, che ho scoperto da poco, è textverified. È un servizio che permette di noleggiare un numero voip per ricevere chiamate e sms. Può essere usato per registrarsi online e anche per multi-factor authentication.

Subscribe now

Il servizio è a pagamento, ma la cosa buona è che si può pagare con Bitcoin, Litecoin o Ethereum, evitando così di lasciar traccia della transazione alla banca.

Il funzionamento è molto semplice: cerchi il servizio a cui vuoi registrarti, verifichi le funzionalità disponibili (sms, voce, ecc.) e acquisti il numero voip da usare per ricevere l’sms o la chiamata di verifica in tempo reale. Easy peasy.

Una SIM anonima?

Grazie alla tecnologia eSIM, introdotta in Italia a partire dal 2019, oggi è possibile accedere a servizi dati e telefonia mobile senza possedere una SIM fisica. Se il telefono è abilitato a usare eSIM, è sufficiente attivare il servizio digitale inquadrando il QR code del servizio. Operatori come TIM e Vodafone offrono già questo tipo di servizio in Italia.

Ma oggi esistono anche operatori che offrono eSIM anonime, cioè senza alcuna verifica dell’identità. La cosa bella è che è possibile acquistare numerazioni da tutto il mondo, senza essere limitati geograficamente. Uno di questi è silent.link, che offre due piani tariffari: solo dati (4G/5G) oppure dati + voce.

Anche in questo caso la forza del servizio è che si può pagare tramite Bitcoin, evitando di lasciar tracce evidenti.

Un commento sull’uso di Bitcoin

Come visto, alcuni di questi servizi danno la possibilità di pagare in Bitcoin. Il motivo è che le transazioni in Bitcoin non richiedono procedure KYC (Know Your Customer) - cioè non hanno bisogno di identificare le parti per poter acquistare e vendere servizi.

Ma questo non significa che usare Bitcoin garantisca anonimato. Anzi, è l’esatto contrario: il protocollo Bitcoin è estremamente trasparente e pseudoanonimo. Sembra paradossale, ma una transazione bancaria è più riservata (verso i terzi) rispetto a una transazione Bitcoin. D’altronde, sono tutte accessibili pubblicamente.

Subscribe now

Un esempio di indirizzo Bitcoin

Senza le dovute precauzioni un attaccante interessato a sorvegliare le nostre azioni (es. lo Stato) potrà comunque essere in grado di collegare una transazione Bitcoin alla nostra identità reale.

Ma allora perchè preferire Bitcoin rispetto alle banche?

Come ogni ambito umano, è tutta una questione di (dis)incentivi economici. Grazie ai meccanismi di pseudoanonimizzazione, analizzare le transazioni Bitcoin ed essere in grado di risalire all’identità reale di una persona non è facile. Servono strumenti, tempo e risorse. Tutto il protocollo Bitcoin è pensato per essere estremamente trasparente, ma al tempo stesso minimizzare all’osso i dati richiesti per effettuare una transazione. Questo rende la vita molto difficile a chiunque voglia scoprire l’identità di qualcuno.

È talmente complesso che gli Stati Uniti ci hanno messo più di 6 anni per recuperare l’equivalente di 5 miliardi di dollari in Bitcoin, rubati nell’hack di Bitfinex del 2016.

Se una delle maggiori potenze al mondo ha impiegato 6 anni per recuperare 5 miliardi di dollari, molto probabilmente il costo e le risorse necessarie per sorvegliare delle transazioni di alcune migliaia di euro rendono il tutto estremamente sconveniente da un punto di vista economico.

Viceversa, le banche e gli intermediari di pagamento tradizionali sono obbligati a conservare un elevatissimo quantitativo di dati personali e metadati, appositamente trattati e archiviati per permettere l’identificazione delle persone col minor sforzo possibile. L’incentivo in questo caso è all’identificazione, non il contrario.

A questo bisogna aggiungere che Bitcoin oggi ha a disposizione degli strumenti (Coinjoin) che permettono di ottenere un certo grado di plausible deniability sulle transazioni.

Per plausible deniability intendo la capacità di poter ragionevolmente negare qualsiasi collegamento con una determinata azione. In pratica, un attaccante farà molta difficoltà a sostenere che quella transazione è proprio la nostra.

Ma di questo magari ne parlerò la prossima volta.

Hai già risposto al sondaggio che ho proposto qualche giorno fa? Aiutami a migliorare Privacy Chronicles, ci vogliono 5 minuti!

Partecipa al sondaggio

Chi vuole può adesso sottoscrivere un abbonamento (mensile o annuale) a Privacy Chronicles.

Continuerò a scrivere contenuti gratuiti e pubblici, come questo, ma l’obiettivo è rendere sostenibile nel tempo il progetto e aiutarmi a dedicare le risorse (tempo ed energia) che servono per garantire sempre contenuti di qualità.

Grazie, alla prossima Chronicle!

Subscribe now

privacychronicles.substack.com…