Il debito della cybersecurity

HACKER’S DICTIONARY. Secondo una ricerca di CyberArk i programmi e gli strumenti di protezione informatica sono cresciuti ma spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili

di ARTURO DI CORINTO per Il Manifesto del 21 Aprile 2022

In base a una ricerca di Cyberark che ha coinvolto 1.750 responsabili della sicurezza IT a livello mondiale, il 72% dei professionisti italiani intervistati ritiene che per sostenere la trasformazione digitale negli ultimi 12 mesi le aziende italiane abbiano privilegiato l’operatività del business rispetto alla sicurezza informatica.

Eppure è in ragione di questa accelerazione digitale che, secondo una differente ricerca di Veeam, i leader IT si aspettano che il budget per la protezione dei dati della loro organizzazione aumenti di circa il 6% anche se i dati Gartner stimano una crescita della spesa del 5.1% dal 2021 al 2022.
Questa differenza dell’1% equivale a miliardi di dollari in termini reali e contribuisce a incrementare un «debito di sicurezza». Un debito che, secondo l’Identity Security Threat Landscape Report di CyberArk, è legato però soprattutto all’identità digitale.

Spieghiamoci meglio: per i professionisti della sicurezza le iniziative digitali a livello di organizzazione hanno un costo, definito «Cybersecurity Debt», ovvero debito di sicurezza: significa che i programmi e gli strumenti di protezione sono cresciuti, ma non hanno tenuto il passo con le iniziative attuate per guidarne l’operatività e la crescita, spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili.

L’aumento di identità umane e non-umane, cioè le centinaia di migliaia di macchine in esecuzione in ogni organizzazione, espone però le aziende a un maggiore rischio perché ogni grande iniziativa IT o digitale comporta un aumento delle interazioni tra persone, applicazioni e processi. Un rischio aggravato dalle tensioni geopolitiche che si sommano alle minacce »ransomware» e alla vulnerabilità nella «supply chain» del software, nonostante gli investimenti fatti per soddisfare clienti e reclutare forza lavoro.

Il tema secondo CyberArk è evidente nei numeri:

• Il 68% di identità non umane o bot ha accesso a dati e risorse sensibili.
• Ogni dipendente ha in media più di 30 identità digitali.
• Le identità delle macchine in azienda oggi superano quelle umane di 45 volte.
• L’87% archivia dati sensibili in più luoghi all’interno degli ambienti DevOps, mentre l’80% afferma che gli sviluppatori hanno in genere più privilegi del necessario per i loro ruoli.

Se a questo aggiungiamo che trasformazione digitale, migrazione al «cloud »e aggressività degli attaccanti stanno ampliando la superficie di attacco capiamo che la situazione è critica soprattutto in relazione ad alcuni elementi evidenziati nel rapporto:

• L’accesso alle credenziali è stato identificato come l’area di rischio principale dagli intervistati (40%), seguita da elusione delle difese (31%), esecuzione (31%), accesso iniziale (29%) ed escalation dei privilegi (27%).
• Oltre il 70% delle organizzazioni intervistate ha subito attacchi «ransomware» nell’ultimo anno, con una media di due ciascuna.
• Il 62% non ha avviato alcuna iniziativa per proteggere la «supply chain software» dopo l’attacco SolarWinds e la maggior parte (64%) ha ammesso che la compromissione di un fornitore software non permetterebbe di bloccare un attacco alla loro azienda.

Per ovviare a questi problemi però non è detto che spendere di più sia la strada migliore, forse è più importante capire come si allocano le risorse e come si implementano le strategie di difesa, dall’elencazione esatta delle componenti software da proteggere, alla gestione strategica dei dati sensibili, fino all’aumento dei controlli di sicurezza, l’importante è metterle in pratica per creare ecosistemi digitali più solidi e resilienti.

dicorinto.it/testate/il-manife…

Il debito della cybersecurity | il manifesto

^{Matteo Bartocci (il manifesto)}

Oggi parliamo di due casi diversi ma uniti dallo stesso filo rosso, quello delle smart cities e dell’improvviso boom di sistemi pervasivi di sorveglianza e controllo del comportamento delle persone.

La storia inizia con un tweet del sindaco di Venezia Luigi Brugnaro, che si rallegrava della ripartenza della stagione turistica e della sperimentazione con la prenotazione online che sarà obbligatoria per accedere alla città come turista.

A due giorni di distanza da quel tweet sul Corriere del Veneto usciva un’altra notizia, sempre connessa alla stagione turistica veneziana, che ha catturato la mia attenzione. Il titolo era: “Venezia, 20mila turisti-fantasma sono in città ma non risultano: le tracce dei telefoni li inchiodano”.

Subscribe now

Un passaggio in particolare dell’articolo mi aveva interessato:

L’articolo non spiegava cosa fosse la Smart Control Room di cui parlavano, ma specificava che grazie a questa l’amministrazione di Venezia riesce a vedere qualsiasi cellulare in città, la loro provenienza e dove si trovano.

Una questione che valeva la pena di approfondire, e così ho fatto.

La “Smart Control Room” di Venezia

A quanto pare, la Smart Control Room (SCR) è una sorta di cabina di regia operativa h24 collegata a tutti i sistemi di sorveglianza e sensori della città. È stata sviluppata da Venis (Venezia Informatica e Sistemi SpA) insieme a TIM e inaugurata a settembre 2020.

Sul sito di TIM la SCR è descritta in questo modo:

Una centrale di controllo unificata, dotata delle ultime tecnologie e attrezzata per ricevere le informazioni di quanto sta accadendo non solo nella città di Venezia, ma nell’intera area metropolitana. […]

Un’enorme quantità di dati e flussi video arriva alla Smart Control Room dalle centrali e dai sensori dislocati sul territorio. Si tratta ad esempio del numero di persone presenti a Venezia, la tipologia di barche nei canali, i passaggi dei mezzi pubblici stradali e acquei, il flusso dei turisti, le previsioni meteo e la situazione dei parcheggi. Ad analizzarli, con l’aiuto di sistemi di elaborazione che garantiscono la privacy […]

Scavando un po’ di più ho trovato poi un video di un evento durante la Milano Digital Week 2021, in cui Susanna Jeandi TIM parlava proprio del caso “Smart Venice”, descrivendolo così1:

“Un progetto innovativo composto da diverse componenti e da un layer orizzontale che raccoglie informazioni in tempo reale, con videoanalisi, sensoristica, IoT, e tutti i sistemi preesistenti. L’obiettivo è dare all’amministrazione e alle forze dell’ordine una visione in tempo reale e continuativa di ciò che avviene, anche grazie a machine learning e data analytics per previsioni e simulazioni. Il layer in Cloud si sostanzia in una Smart Control Room fisica, che è il luogo di aggregazione delle varie componenti.”

Passando poi al sito di Venis SpA, che ha curato la parte tecnologica, ho trovato queste informazioni:

Nella SCR confluiscono le immagini delle 400 telecamere di sorveglianza, le previsioni meteo, i dati sulle presenze fisiche sul territorio, che permettono per esempio di individuare eventuali assembramenti (elemento critico soprattutto in questo periodo di emergenza) e dati sull’andamento del traffico sia su acqua che su terra. […] Tutti questi dati vengono poi rielaborati, garantendo il rispetto della privacy, per ottimizzare i servizi pubblici e progettarne di nuovi, basandosi su dati scientifici.

Ricapitolando: sensori, telecamere, Big Data, IoT e machine learning. Il tutto, impacchettato e disponibile all’uso per amministratori e forze dell’ordine nella Smart Control Room.

Sia TIM che Venis ci tengono a sottolineare che è tutto fatto “garantendo il rispetto della privacy”. Eppure, a parte le dichiarazioni di marketing, non ho trovato nessuna garanzia concreta.

Da nessuna parte sono riuscito a trovare informazioni, anche di base, sul trattamento di dati personali; così come non sono riuscito a trovare nessuna informazione in merito alle garanzie per i diritti e libertà delle persone che si trovano ad essere sorvegliate h24 da una centrale operativa di questo genere.

Qualcuno potrebbe dire: “ma sai Matte, sono dati aggregati, quindi anonimi, la privacy è tutelata così”.

Non proprio.

Subscribe now

Pur ammettendo, come plausibile, che agli operatori della SCR arrivino soltanto dati aggregati, quei dati sono frutto di un’elaborazione che viene fatta a monte (da TIM e/o altri soggetti) a partire da dati personali e metadati2 ottenuti grazie a sensori, telecamere e reti telefoniche presenti in città.

Se poi vogliamo far fede a quanto scritto dal Corriere del Veneto, non possiamo certo negare di essere in presenza di un trattamento di dati personali molto pervasivo: “il sistema riesce a vedere qualsiasi cellulare in città […] si contano gli smartphone alle 4 di notte. Se ne riesce a comprendere la provenienza e dove si trovano”.

È fuori da ogni dubbio che quello realizzato a Venezia sia un trattamento che prevede un utilizzo sistematico di enormi quantità di dati per l’osservazione, il monitoraggio e il controllo delle persone, oltre che un trattamento di metadati per ragioni organizzative e di “sicurezza” della città.

Essendo il trattamento fatto per conto del Comune, è questo che deve garantire il rispetto dei diritti e libertà dei cittadini e mitigare i rischi che derivano dal trattamento di dati - come previsto anche dalla normativa europea.

Dove sono trasparenza, proporzionalità, legittimità, e valutazione del rischio? Chissà…

Questa particolare tipologia di trattamento di dati rientra anche nelle categorie ad alto rischio individuate dal Garante Privacy nel 2018, per i quali è obbligatorio svolgere una valutazione d’impatto:

E che dire poi del tema sicurezza, che viene ripreso molte volte da tutti i comunicati stampa? In che modo è stato valutato l’impatto positivo di questa sorveglianza pervasiva sulla sicurezza dei cittadini? Ma soprattutto - sicurezza da cosa?

Come sottolineavo anche in questo articolola politica italiana da anni fa perno sulla percezione di sicurezza (o di insicurezza) per giustificare l’uso sempre più intensivo di tecnologie di sorveglianza fisica. Ma oltre la percezione, non c’è nulla. Anzi: i dati dicono il contrario: il tasso di criminalità solitamente non ha nulla a che fare con la quantità di videocamere in città.

Subscribe now

Prenotazioni e control room

Per chiudere il cerchio su Venezia mi ricollego infine alla notizia sulla sperimentazione delle prenotazioni per accedere alla città.

Che succede quando uniamo prenotazioni riferibili a persone identificate a un sistema di controllo come quello della SCR? Beh, succede che abbiamo tutti i presupposti per far diventare Venezia una gabbia a cielo aperto.

Il sistema di prenotazione consentirà all’amministrazione comunale di identificare ogni singola persona in visita presso Venezia, mentre la SCR permetterà di sorvegliarne spostamenti e modalità di soggiorno. Incrociare i dati, secondo necessità, sarà un gioco da ragazzi.

I turisti (italiani e stranieri) sono consapevoli che saranno sottoposti a sorveglianza continuativa dal momento in cui metteranno piede a Venezia fino al momento in cui usciranno? E i residenti?

L’esperimento “Smart Ivrea”

Durante le ricerche sulla Smart Control Room mi sono imbattuto in un altro progetto a cui TIM ha partecipato, quello di “Smart Ivrea”.

Il progetto “Smart Ivrea” è un’iniziativa di cui AgID è capofila, finanziata dal MISE. È anche il primo prototipo per la sperimentazione di una piattaforma nazionale per la gestione delle comunità intelligenti3.

La sperimentazione ha avuto inizio nel primo trimestre del 2020 e oggi è quasi arrivata alla sua conclusione. L’idea è di replicare e scalare a livello nazionale la piattaforma, in base ai risultati del test su Ivrea.

Gli obiettivi della piattaforma sono descritti nella documentazione relativa ai fondi di finanziamento del MISE:

La novità risiede nello sviluppo di un modello Smart cities-as a service (Scaas), volto ad ottimizzare l’erogazione dei servizi pubblici esistenti, introducendo alcuni principi dell’economia comportamentale (sistema premiale per l’assunzione di comportamenti virtuosi del cittadino, sentiment analysis) e della governance partecipata (eVoting e crowdfunding), determinando una partecipazione attiva del cittadino alla vita sociale, culturale e politica del territorio, arrivando fino al lancio del primo ecosistema nazionale di moneta virtuale (Ivrea-Coin), attraverso cui il cittadino possa acquistare sia i servizi erogati dall’amministrazione che, eventualmente, quelli offerti dalle PMI.

Share

Indagando sul funzionamento della piattaforma ho trovato un’intervista a Marco Pittorri di Trust Technologies (partner TIM), in cui descrive così il sistema4:

I cittadini possono accedere tramite app ai servizi. L’utente si autentica con identità certificata SPID, che viene poi portata su blockchain e associata a un ID wallet usato dal cittadino con due funzioni principali: per pagare servizi pubblici (autobus, imposte, ecc.) e per ricevere indietro una premilità in funzione del corretto svolgimento del suo ruolo di cittadino: pagando tasse in modo regolare, usando servizi pubblici o comprando su negozi convenzionati per valorizzare economia locale, riesce a ottenere indietro IVREA COIN, che potrà riutilizzare per pagare servizi del Comune. Il vantaggio per i cittadini è la partecipazione alla vita del Comune e la premiazione del comportamento corretto.

Il fulcro del progetto gira intorno al concetto di economia comportamentale e degli Ivrea Coin, che incentivano il cittadino a compiere sono i comportamenti ritenuti corretti da chi ha sviluppato e implementato il sistema.

Processo automatizzato per ricevere IVREA COIN dopo aver eseguito azioni da cittadino modello

Nudging e hypernudging

Il tema dell’economia comportamentale è strettamente legato a quello della “nudge theory” sviluppata da Thaler e Sunstein nel 2008. Definivano il “nudge” così:

A nudge, as we will use the term, is any aspect of the choice architecture that alters people's behavior in a predictable way without forbidding any options or significantly changing their economic incentives.

Dalla loro definizione capiamo due cose: il nudge è il risultato di una scelta compiuta da chi pensa e sviluppa un determinato sistema, che può essere lo scaffale del supermercato come anche un’app legata alla smart city. È un meccanismo che, senza vietare o obbligare la persona verso determinate scelte, riesce ad alterare il loro comportamento in modo prevedibile.

In sostanza, il nudge è un meccanismo per standardizzare i comportamenti umani e renderli prevedibili.

Quando gli incentivi sono collegati a sistemi digitali pervasivi, con tecnologie di intelligenza artificiale e Big Data in grado di simulare e prevedere i comportamenti umani, la questione si complica parecchio.

Qualcuno parla, in questi casi, di hypernudging.

Gli algoritmi di machine learning sono spesso usati per elaborare dati relativi alle decisioni e azioni delle persone, come accade ad esempio sui social network, creando il c.d. effetto “filter bubble”: l’algoritmo raccoglie dati sulle nostre interazioni e ci propone contenuti sulla base delle nostre azioni passate. Così si instaura un circolo vizioso retroattivo, in cui la persona viene spinta a compiere determinate azioni in base alle scelte fatte in precedenza.

L’effetto hypernudging porta a una coercizione subdola: ciò che sembra una scelta è in realtà un set definito di opzioni standardizzate create dal sistema. Il contrario del libero arbitrio e della libertà di autodeterminazione.

Probabilmente l’esperimento di Ivrea non arriva ancora a questo tipo di capacità, ma la strada è certamente segnata.

Share

La negazione di ciò che ci rende umani

Nel 1998 James C. Scott5 affermava che ogni tentativo, da parte dello Stato, di razionalizzare, semplificare e standardizzare la società ha sempre portato alla creazione di forze autoritarie, che spesso sfogano in veri e propri totalitarismi e tragedie umane.

La Cina è stata forse tra i primi paesi al mondo a teorizzare su questi aspetti, con il famoso paper di Lin Junyue di cui parlavo qui. Lo scopo era incentivare gli individui a compiere determinati comportamenti per modellare e razionalizzare la società nella sua interezza.

Come dico spesso, il problema degli incentivi è proprio che funzionano.

Nell’articolo “Cittadinanza a punti e Stato etico, da Roma a Bologna”, dicevo che i sistemi di social scoring sono la messa in pratica dello Stato Etico, in cui il cittadino diventa un ingranaggio del sistema, senza alcuna vera libertà di scelta.

Non è un caso che si parli sempre di comportamenti “virtuosi” o “corretti”: sono aggettivi necessari a rafforzare l’idea della rettitudine e dignità delle persone soltanto all’interno della collettività, formata da persone che si comportano “correttamente”, secondo standard prestabiliti da terzi. Chi fuoriesce dagli standard, resta fuori dalla collettività, perdendo quindi ogni dignità di cittadino. In parte, lo abbiamo visto col Green Pass.

I sistemi di social scoring/premiali automatizzati sono il rifiuto di ogni individualismo, pensiero critico e comportamento divergente dallo standard. In pratica, la negazione di tutto ciò che ci rende esseri umani.

Lo scopo è chiaro: standardizzare il comportamento umano, e quindi la società, rende le persone più controllabili, tassabili, censurabili e manipolabili.

Non penso che i sindaci italiani facciano ragionamenti di questo tipo. Piuttosto, si lasciano ammaliare da progetti spinti da tecnocrati alla ricerca di gloria e fondi pubblici, in un periodo storico dove intelligenza artificiale, IoT e blockchain sono le buzzwords per ottenere ogni tipo di finanziamento.

Vendono questi sistemi con belle parole, presentazioni e comunicati stampa accattivanti. Ci dicono che sono per la nostra sicurezza e per l’efficienza pubblica. Che l’innovazione è bella. Che le persone saranno al centro di ecosistema di servizi.

La mia sensazione è che, sì, l’uomo sarà sempre più al centro… ma di un recinto hi-tech; come bestiame al pascolo, in attesa della macellazione.

Se ti piace Privacy Chronicles considera l’abbonamento per supportare il mio lavoro!

1

Testo parafrasato, link all’intervista

2

Per metadati si intendono quelle informazioni non direttamente riferibili a persone fisiche, ma chscrivono eventi, azioni o altre informazioni. Un esempio tipico di metadato sono i dati di localizzazione (longitutine e latitudine di un dispositivo in un determinato momento).

3

agid.gov.it/it/agenzia/stampa-…

4

Testo parafrasato, link all’intervista

5

Seeing Like a State: How Certain Schemes to Improve the Human Condition Have Failed

After 16 hours of discussion, negotiators from the European Parliament and EU governments have just made deal on a new EU Digital Services Act. Pirate Party MEP Patrick Breyer sat at the negotiating table as Rapporteur for the Committee on Civil Liberties (LIBE) and summarises:

“We were able to prevent removal obligations for search engines. We could also prevent the indiscriminate collection of the cell phone numbers of all uploaders to adult platforms, which would have endangered their privacy and the safety of sex workers due to foreseeable data hacks and leaks. Minors will be protected from surveillance advertising on online platforms. However, the ban on using sensitive personality traits (e.g. a person’s political opinion, diseases or sexual preferences) for targeted manipulation and targeting was heavily watered down.” The new rules on personalised targeting will apply to all online platforms for sharing user content such as Facebook, Instagram or eBay, but not to sites hosting self-generated content, such as news websites.

“The new set of rules as a whole does not deserve the name ‘Digital Constitution’. The disappointing outcome fails in multiple respects to protect our fundamental rights online. Our online privacy will not be protected by a right to use digital services anonymously, nor by a right to encryption, a ban on data retention, or a right to generally opt-out of surveillance advertising in your browser (do not track). Freedom of expression on the Internet is not protected from error-prone censorship machines (upload filters), nor from arbitrary platform censorship. Cross-border removal orders issued by illiberal member states without a court order can take down media reports and information that is perfectly legal in the country of publication. The monopoly power of consumer-hostile social media like Facebook, Instagram and Twitter will not be tackled by interoperability obligations. Users will have no alternative to the toxic engagement-based corporate algorithms that spread hate, violence and misinformation in the interest of commercial profits. Industry and government interests have unfortunately prevailed over digital civil liberties.”

patrick-breyer.de/en/eu-digita…

La banca dati S.I.Mo.I.TEL. nasce nel 2015 per censire le morosità internazionali. Il Garante fin dall’inizio ne accompagna l’evoluzione senza opporre veti, ma chiedendo adeguate garanzie per gli interessati.

Guarda il video.

youtube.com/embed/d5pkr1FrrBE?…

guidoscorza.it/banca-dati-s-i-…

Nuovo appuntamento con la rubrica #iprovvedimentispiegatisemplice su Agenda Digitale – Digital360,| dove provo a raccontare in modo semplice, attraverso immagini e una manciata di parole scritte e parlate, il contenuto di alcuni dei provvedimenti adottati dall’Autorità Garante per la protezione dei dati personali.

Guarda il video.

youtube.com/embed/h6Lw4170ipU?…

guidoscorza.it/nuovo-rpo-novit…

L’AGCOM sanziona tre società di telefonia per mancato barring di alcuni servizi offerti

L’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”), lo scorso 21 aprile ha reso noto di aver emesso tre ordinanze di ingiunzione nei confronti di tre società di telefonia per mancato blocco preventivo – cosiddetto “barring” – di alcuni servizi digitali offerti sulle rispettive piattaforme.

Inoltre, l’Autorità ha contestato alle tre società l’inesatta osservanza degli obblighi informativi nei confronti dei propri clienti.

Fonte: sito ufficiale dell’AGCOM

L’AGCM sanziona una nota società di trasporto marittimo per circa 4 milioni di euro

Con un comunicato dello scorso 12 aprile, l’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha reso noto di aver irrogato una sanzione di oltre 3,7 milioni di euro a una storica società privata di trasporto marittimo attiva sullo Stretto di Messina.

In particolare, l’Autorità ha accertato che la Società, abusando della sua posizione di dominanza nel mercato, ha applicato prezzi ingiustificatamente gravosi per i passeggeri con auto al seguito.

Nel valutare la gravità dell’illecito concorrenziale, l’Autorità ha tenuto conto, oltre che del potere economico della società e della tipologia di servizio erogato (essenziale per molti consumatori), altresì dell’area geografica interessata, ossia lo Stretto di Messina.

Fonte: sito ufficiale dell’AGCM

L’AGCM avvia due procedimenti istruttori nei confronti per pratiche commerciali scorrette su e-commerce

Lo scorso 1° aprile, l’AGCM ha reso noto di aver avviato due procedimenti istruttori nei confronti di due note società di e-commerce al fine di indagare su presunte pratiche aggressive ed ingannevoli perpetrate dalle due società.

In particolare, le condotte oggetto dei procedimenti sarebbero state poste in essere dalle società nell’ambito dell’attività di vendita on-line attraverso i rispettivi siti internet, su cui sarebbero state pubblicate informazioni ingannevoli circa le caratteristiche principali dei prodotti commercializzati, nonché sul processo di vendita e spedizione del prodotto.

Fonte: sito ufficiale dell’AGCM

Il Governo approva il d.d.l. di revisione del Codice di Proprietà Industriale

Lo scorso 6 aprile, il Consiglio dei Ministri ha approvato il disegno di legge di revisione del Codice di Proprietà Industriale (D.lgs 30/2005), in attuazione del Piano strategico di riforma della materia definito nel giugno 2021 dal ministro dello sviluppo economico, Giancarlo Giorgetti.

Il d.d.l. punta ad un intervento organico a tutela della proprietà industriale, nell’ottica di un rafforzamento della competitività tecnologica e digitale delle imprese e dei centri di ricerca nazionali, facilitando e valorizzando la conoscenza, l’uso e la diffusione del sistema di protezione di brevetti.

Fonte: sito ufficiale dell’UIBM

L’AGCOM approva il Piano triennale di prevenzione della corruzione e della trasparenza

Lo scorso 7 aprile, l’AGCOM ha pubblicato, sul proprio sito istituzionale, la delibera n. 95/22/CONS con la quale è stato adottato in via definitiva il Piano triennale di prevenzione della corruzione e della trasparenza 2022-2024.

Nel Piano è delineata la strategia di prevenzione che sarà attuata dall’AGCOM, conformemente alle previsioni della legge n. 190 del 6 novembre 2012.

Fonte: sito ufficiale dell’AGCOM

L'articolo What’s new in Italy on <br>IP, Competition and Innovation <BR> n.3 – Aprile 2022 proviene da E-Lex.

Media is too big

VIEW IN TELEGRAM

🌍 Oggi è la #GiornataMondialedellaTerra! Un’occasione importante per tornare a parlarvi del nostro Piano #RiGenerazioneScuola. Lo facciamo attraverso le storie e i progetti delle scuole, che continuano a promuovere attivamente la tutela dell’ambiente e gli stili di vita sostenibili.

💚 Studentesse e studenti, grazie al Piano, diventano protagonisti del cambiamento, imparando ad abitare il mondo in modo nuovo e contribuendo al futuro del nostro pianeta, in linea con gli obiettivi dell’Agenda 2030 dell’ONU.

Per saperne di più ▶️ istruzione.it/ri-generazione-s…

Seguite le nostre stories su Instagram e Facebook per conoscere i progetti realizzati dalle scuole e raccontateci le vostre iniziative!

Si è fatto un gran parlare di "Titane", e non solo per la Palma d'Oro a Cannes dello scorso anno. Detto che i premi istituzionali mi hanno lasciato sostanzialmente indifferente, ho scelto di parlarne a distanza proprio per uscire da quella bolla mediatica successiva alla premiazione. A distanza di un lustro dal suo debutto come regista (quel "Grave" colpevolmente tradotto in Italia con "Raw, una cruda verità") Julia Ducournau ci regala un film di grande impatto che non lascia assolutamente indifferenti. E non mi riferisco ai passaggi più crudi, che non sono nemmeno pochi, quanto all'aria di malsano delirio che si respira per tutti i centodieci minuti della sua durata.

iyezine.com/titane-di-julia-du…

Titane di Julia Ducournau - 2021

Si è fatto un gran parlare di "Titane", e non solo per la Palma d'Oro a Cannes dello scorso anno. Detto che i premi istituzionali mi hanno lasciato sostanzialmente indifferente, ho scelto di parlarne a distanza proprio per uscire da quella bolla medi…

^{In Your Eyes ezine}

Quando pensiamo ai cambiamenti epocali che la pandemia del COVID-19 ha apportato alle nostre vite, raramente tendiamo a includere nella lista anche il contact-tracing. Vuoi perché in Italia il dibattito sul tema è stato relativamente ridotto o riservato agli “addetti ai lavori”; vuoi perché meno radicale rispetto a misure senza dubbio più restrittive delle nostre libertà personali...

Source

L’IA può fare ciò che gli umani non possono?

Ogni anno, circa 1,35 milioni di persone muoiono in incidenti sulle strade del mondo e ben 50 milioni di altri sono gravemente feriti, secondo l’Organizzazione Mondiale della Sanità. Negli Stati Uniti, le vittime sono aumentate drasticamente durante la pandemia, portando al più grande picco di sei mesi mai registrato, secondo le stime del Dipartimento dei Trasporti degli Stati Uniti. Eccesso di velocità, distrazione, guida compromessa e non indossare la cintura di sicurezza sono state le cause principali. L’intelligenza artificiale viene già utilizzata per migliorare la sicurezza di guida: app per cellulari che monitorano il comportamento al volante e premiano i conducenti sicuri con vantaggi e veicoli connessi che comunicano tra loro e con le infrastrutture stradali.

Can A.I. All but End Car Crashes? The Potential Is There

Each year, about 1.35 million people are killed in crashes on the world’s roads, and as many as 50 million others are seriously injured, according to the World Health Organization. In the United States, fatalities rose drastically during the pandemic, leading to the largest six-month spike ever recorded, according to estimates from the U.S. Department of Transportation. Speeding, distraction, impaired driving and not wearing a seatbelt were top causes. Artificial intelligence is already being used to enhance driving safety: cellphone apps that monitor behavior behind the wheel and reward safe drivers with perks and connected vehicles that communicate with each other and with road infrastructure.

Can A.I. All but End Car Crashes? The Potential Is There. – The New York Times (nytimes.com)

La richiesta da parte di un’azienda cinese di controllare la carica della batteria del telefono dei dipendenti accende il dibattito sulla privacy

Un’azienda cinese ha acceso il dibattito sulla privacy dopo aver chiesto di controllare la carica della batteria dei dipendenti prima che potessero lasciare il lavoro, chiedendo loro di inviare schermate dello stato della batteria del telefono alla direzione per dimostrare di non aver perso tempo sul lavoro. Un post virale su Weibo ha mostrato che i dipendenti devono inviare un messaggio diretto su WeChat con uno screenshot allegato della carica della batteria, insieme a dati che mostrano il consumo energetico utilizzato da app specifiche.

Demand from Chinese company to check employee phone battery power sparks privacy debate

A company in central China is in hot water for making its employees send screenshots of their phone battery status to management to ensure their staff is not wasting time when they could be working. The company, which is based in Wuhan, in Hubei province, and whose name was not disclosed, made their staff show their remaining battery power before getting off work for the day. A viral post on Weibo showed that the staff must send a direct message on WeChat with an attached screenshot of their battery power, along with data that shows the power consumption used by specific apps.

scmp.com/news/people-culture/s…

Connecticut, legge sulla privacy e il monitoraggio online

Il Senato del Connecticut ha votato 35-0 per far avanzare il Senate Bill 6, un atto riguardante la privacy dei dati personali e il monitoraggio online, alla Camera. Il disegno di legge contiene disposizioni per “dark pattern”, riconoscimento di meccanismi di opt-out globali, misure esplicite sulla privacy dei bambini.

Connecticut Senate passes comprehensive privacy bill

The Connecticut Senate voted 35-0 to advance Senate Bill 6, an act concerning personal data privacy and online monitoring, to the House. The bill features provisions for “dark patterns,” recognition of global opt-out mechanisms, explicit children’s privacy measures.
Map of Connecticut State.
C G A (ct.gov)

guidoscorza.it/privacy-daily-2…

Educazione Americana è un libro che tratta le confessioni di agente operativo italiano infiltrato della Cia americana, l’agenzia governativa che come da sua propria definizione è la prima linea di difesa degli Usa, dato che opera all’estero per difendere il paese e gli interessi americani. Nel corso degli anni abbiamo visto sullo schermo e letto tantissimo sulla Cia che specialmente in Italia è usata come capro espiatorio per tantissimi accadimenti anche nostrani, anche perché la sua presenza nel nostro paese è stata abbastanza ingombrante.

iyezine.com/fabrizio-gatti-edu…

Fabrizio Gatti - Educazione Americana - La Nave DI Teseo 2019

Fabrizio Gatti - Educazione Americana - La Nave DI Teseo 2019 : educazione Americana è un libro che tratta le confessioni di agente operativo italiano infiltrato della Cia americana, l’agenzia governativa che come da sua propria definizione è la prim…

^{In Your Eyes ezine}

È stata pubblicata la metodologia di classificazione di dati e servizi cloud per rafforzare la sicurezza dei dati e dei servizi della Pubblica Amministrazione.

La classificazione dei dati è una delle tre direttrici della Strategia Cloud Italia, annunciato dal ministro per l’innovazione tecnologica e la transizione digitale Vittorio Colao lo scorso 7 settembre, insieme alla qualificazione dei servizi cloud e al Polo Strategico Nazionale, per guida gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud.

Le linee guida, dettate dall’Agenzia per la Cybersicurezza Nazionale e dal Dipartimento per la trasformazione digitale, consentono per la prima volta di determinare il livello di criticità dei dati e dei servizi pubblici scegliendo tra strategico, critico e ordinario, in relazione ai possibili impatti sul benessere del Paese derivanti da una loro eventuale compromissione.

Ecco i 3 livelli di classificazione:

• strategico: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
• critico: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
• ordinario: servizi la cui compromissione non provochi un pregiudizio per il benessere economico e sociale del Paese.

La classificazione di dati e servizi entro il 18 luglio 2022

A partire dal 19 aprile, tutte le amministrazioni dovranno completare il percorso di classificazione di dati e servizi, seguendo le indicazioni definite dall’Agenzia per la cybersicurezza nazionale e utilizzando la piattaforma PA digitale 2026. La classificazione, inoltre, è propedeutica alla partecipazione agli avvisi pubblici dedicati al cloud per beneficiare delle risorse del Piano Nazionale di Ripresa e Resilienza.

È possibile completare la classificazione entro il 18 luglio 2022, spiega in una nota l’ACN. I risultati verranno utilizzati, nell’ambito del processo di migrazione al cloud della PA, come base decisionale per l’identificazione delle opportune tipologie di soluzioni cloud di destinazione per ogni servizio. Ai livelli di criticità, infatti, sono associate diverse misure di sicurezza, qualità e affidabilità che i servizi e le infrastrutture cloud dovranno implementare per poterli erogare.

Cloud per la Pa: come procedere con la classificazione

La classificazione di dati e servizi consiste nella compilazione di un questionario strutturato in più sezioni. Il questionario consente di svolgere un esercizio semplificato di valutazione del contesto di erogazione e dei possibili impatti derivanti da una possibile compromissione in termini di disponibilità, confidenzialità e integrità dei dati e dei servizi gestiti. La valutazione di ciascuna delle sezioni concorre alla definizione del livello finale per un dato servizio nelle tre classi strategico, critico e ordinario, secondo un algoritmo di calcolo predefinito.

youtube.com/embed/WuJv4tNdJ4o?…

Dove è possibile fare la classificazione

La classificazione è disponibile dal 19 aprile all’interno della piattaforma PA digitale 2026 ed è propedeutica al processo di migrazione al cloud delineato dal Regolamento per il Cloud della PA dell’Agenzia per l’Italia Digitale.

Accedendo con l’identità digitale (SPID o Carta di Identità Elettronica), gli enti possono compilare il percorso individuato dall’Agenzia in accordo con il Dipartimento per la trasformazione digitale. Una volta ultimata verrà valutata la conformità della classificazione dall’Agenzia per la Cybersicurezza Nazionale.

The post Cloud nazionale, l’ACN pubblica la metodologia per la classificazione dei dati appeared first on Key4biz.

On Friday, representatives of the EU Parliament, Commission and Council will meet for what is expected to be the last round of negotiations on the EU Digital Services Act (DSA). After MEPs from the Pirate Party were able to successfully make important contributions to the protection of the privacy of users in the parliamentary position, it will now be decided where the EU governments under the leadership of the French Council Presidency are willing to go along.

The MEP of the Pirate Party and digital freedom fighter Dr. Patrick Breyer sits as rapporteur for the LIBE Committee at the negotiating table in Brussels and explains:

“The final negotiations will decide central issues of fundamental rights protection on the net: If the French Council Presidency wants to protect digital freedom of expression and ensure online documentation of Rus-sian war crimes, for example, error-prone upload filters must not be mandatory. If EU governments want to stop foreign spying and defend Europe’s digital sovereignty, there is no way around a right to secure encryp-tion. And if President Macron really wants to enforce our fundamental rights against the surveillance capita-list power of global internet corporations, citizens must be able to protect themselves from annoying consent banners and ubiquitous surveillance ads via “do not track” settings!”

Pirate Party MEP Mikuláš Peksa, DSA rapporteur in the Committee on Economic on Monetary Affairs (ECON), adds:

„It is essential that no unnecessarily restrictive rules will be included in the new law. Users must still have free access to services on the internet. Moreover, the negotiated agreement should, above all, support small and medium-sized European companies, which can bring much innovation to the market. The Pirates’ aim is also to ensure secure encryption of our private electronic communication, which is crucial for safe-guarding our fundamental rights online.”

Before the final vote in the EU Parliament in January 2022, the four Member of the Pirate Party in the European Parliament were able to make important contributions in some points to improve user privacy. Here‘s some exampes of the European Parliament‘s demands in the negotiations:

Upload filters

The Parliament had learned from the protests against Article 13/17 of the Directive on Copyright in the Digital Single Market and wants to exclude additional filter obligations in the law on digital services. The error-prone “censorship machines” often delete video documentaries of Russian war crimes, for example, as alleged terrorism propaganda.

Encryption

The Parliament made a commitment: the right to secure encryption is to be guaranteed in the DSA. This is to prevent individual EU states from single-handedly forcing securely encrypted global Internet services to introduce backdoors.

Surveillance advertising

Although the systematic monitoring and creation of personality profiles of Internet users for advertising purposes was not demanded by Parliament, users should for the first time be able to generally refuse tracking in the browser or app (“do not track”) and thus also be spared annoying consent banners. It should be just as easy to refuse consent as it is to give it (ban on dark patterns). In addition, targeting people based on their political views, health status, sexual preferences or religious beliefs should be prohibited.

patrick-breyer.de/en/showdown-…

Cari lettori,

Da questo mese Privacy Chronicles si arricchisce di una nuova rubrica interna, chiamata Agenda OpSec.

Cosa

Agenda OpSec è una rubrica che parlerà di “Operation Security”, cioè quell’insieme di metodologie, processi e tecnologie che permettono di proteggere privacy, identità e informazioni sensibili in modo strutturato e pianificato, senza lasciare nulla al caso.

Lo scopo di questa rubrica è descrivere i processi di OpSec per permettere alle persone di applicare questo tipo di approccio alla vita di tutti i giorni, secondo il proprio livello di rischio e di accettazione del rischio.

Quasi tutte le guide online su come “proteggere la privacy” si concentrano sull’aspetto tecnologico, consigliando strumenti specifici o invitando le persone ad evitarne alcuni.

Questo però è un approccio sbagliato, che parte da quella che invece dovrebbe essere la conclusione (l’adozione di “contromisure tecniche”) di un processo ragionato che parte da una metodologia precisa.

Con Agenda OpSec cercheremo di capire come si affrontano in modo organizzato le minacce alla nostra privacy e/o informazioni che vogliamo proteggere.

Come

Agenda OpSec uscirà 1 volta al mese.

I contenuti saranno riservati agli abbonati e sarà accessibile via posta elettronica o dalla pagina di Privacy Chronicles, cliccando sulla tab “Agenda OpSec”.

privacychronicles.substack.com…

#privacy #gdpr #digitalrights #dsgvo #TeamDatenschutz #dataprotection #datenschutz

mastodon.social/@noybeu/108170…

"Bullshit of the Week" brings well-selected absurdities from our daily work directly to your newsfeed. Starting off we would like to share some high-class bullshit that "Clearview AI" treated us to lately. Enjoy! 🤭

mastodon.social/@noybeu/108170…