Weekly Chronicles #53
Nelle Cronache della settimana:
- In UK l’Online Safety Bill è legge, guai in arrivo per le comunicazioni cifrate
- Il Regolamento eIDAS e la cybersicurezza “FIAT”
- In Canada la polizia potrà accedere alle telecamere private
Nelle Lettere Libertarie: La posizione libertaria sul confitto Hamas-Israele
Scenario OpSec della settimana: Luca desidera proteggere le sue parole chiave (seed words) di Bitcoin da hacker, ladri, agenti di polizia e disastri naturali. Vuole anche assicurarsi che, nel caso in cui lui muoia, le parole chiave siano conservate in sicurezza e sua moglie possa recuperarle anche senza di lui.
In UK l’Online Safety Bill è legge, guai in arrivo per le comunicazioni cifrate
Nel Regno Unito è da poco legge l’Online Safety Bill, uno strano mix tra il Digital Services Act e il Chatcontrol di matrice europea. Come da sempre accade, l’Online Safety Bill propone di contrastare la pedofilia online e i contenuti terroristici a fronte di una pervasiva sorveglianza e ingerenza nella vita delle persone.
Proprio come potrebbe accadere per il Chatcontrol, la legge inglese rischia di mettere in serio pericolo la diffusione di servizi di chat e comunicazioni cifrate come Signal e Whatsapp. La sezione 1211 della legge obbliga infatti i fornitori di questi servizi a usare tecnologie per identificare contenuti terroristici e pedopornografici sulle loro piattaforme e nelle comunicazioni degli utenti.
Per servizi come Signal e Whatsapp significa in pratica costruire una backdoor nei loro stessi sistemi di crittografia end-to-end per poter sorvegliare e analizzare le comunicazioni degli utenti.
Meredith Whittaker, presidente di Signal Foundation, commenta così la nuova legge:
“We’re really worried about people in the U.K. who would live under a surveillance regime like the one that seems to be teased by the Home Office and others in the U.K.”
Purtroppo, il rischio è che i prossimi saremo noi.
Il Regolamento eIDAS e la cybersicurezza “FIAT” di stampo europeo
Il testo del Regolamento eIDAS europeo, che tratta di temi legati all’identità digitale, è da poco stato approvato a porte chiuse durante i triloghi tra le istituzioni europee e potrebbe diventare presto legge.
Weekly Chronicles #52
Questo è il numero #52 delle Cronache settimanali di Privacy Chronicles, la newsletter che parla di globalismo, sorveglianza di massa, crypto-anarchia, privacy e sicurezza dei dati. Questa settimana parliamo di:
- Una guida anti-doxxing
- Le celebrità diventano una IA, e vogliono i tuoi dati
- I poliziotti inglesi potranno confiscare le seed words
E poi,
Lettere Libertarie: Le radici della guerra
Scenario OpSec della settimana: Marco usa Bitcoin per acquistare prodotti online che sono considerati socialmente tabù. Se gli acquisti fossero resi noti, potrebbe avere conseguenze reputazionali e problemi con la famiglia o col lavoro. Pertanto, non vuole che le sue transazioni o le spedizioni siano associate a lui.
Una guida anti-doxxing
Il doxxing è l’attività di ricerca, documentazione e poi diffusione di dati personali riferibili a una specifica persona con lo scopo di molestarla o intimidirla.
È un fenomeno piuttosto diffuso nel campo del giornalismo e dell’attivismo, ma come ci insegna X in questi giorni con l’hashtag #SiamoTuttiGiardinieri, potrebbe riguardare chiunque abbia un’identità pseudoanonima online.
Equality Lab, un’organizzazione della società civile (noprofit) ha da poco rilasciato una guida anti-doxxing molto estensiva e dettagliata sul tema.
La guida ha l’obiettivo di aiutare attivisti particolarmente esposti politicamente a mitigare i rischi di doxxing, ma è applicabile a chiunque abbia voglia di limitare il rischio di esposizione della sua identità fisica online.
Si parte dalla definizione di doxxing per poi delineare i principi di threat modeling che dovrebbero guidare qualsiasi valutazione in materia di sicurezza personale, fino ad arrivare a numerosissimi consigli su come proteggere dati e identità personale.
Insomma, un piccolo manuale che fornisce numerosi spunti interessanti, soprattutto per chi ancora non ha molta dimestichezza con la privacy online.
Le celebrità diventano una IA, e vogliono i tuoi dati
X è il social con più disinformazione
X è la piattaforma con più disinformazione tra tutti i social. Secondo il commissario europeo Vera Jourova è un problema. Secondo me è una buona notizia, che dimostra il valore di X in quanto arena epistemologica.
Vera Jourova, commissario per i valori e la trasparenza dell'Unione Europea, ha affermato in una conferenza stampa che X è il social con il rapporto più alto tra post e contenuti di disinformazione. Il social di Musk è recentemente anche uscito dall’Anti-disinformation Code promosso dall’Unione Europea — a cui invece partecipano altri social come Facebook, Google, YouTube, TikTok or LinkedIn.
Perché all’Unione Europea interessa così tanto “combattere la disinformazione”?
È presto detto e non ne fanno mistero: “the upcoming EU elections next year, are particularly relevant, because the risk of disinformation is particulary serious”. Arrivano le elezioni, e tutti sono preoccupati di fare bella figura; che in altre parole significa controllare l’informazione pubblica per evitare fastidiosi colpi di scena.
Il Digital Services Act1 è l’arma prescelta dal legislatore europeo per assicurarsi che le elezioni del prossimo anno filino via lisce come l’olio e che le più grandi piattaforme social non ospitino pericolose opinioni in grado di “indebolire la nostra democrazia”.
Non ci stupisce allora che i vari commissari europei, tra cui anche Thierry Breton2, il papà del Digital Services Act, se la prendano con X — la pecora nera dei social network.
X è un’arena epistemologica
Forse è vero che il rapporto tra disinformazione3 e post è su X più alto rispetto alle altre piattaforme. È anche vero che non esiste un altro social network come X, che è a tutti gli effetti un’arena epistemologica.
Mi spiego. L’epistemologia è quella branca della filosofia che si occupa della conoscenza. Studia cioè la natura, l’origine e i limiti della conoscenza. In sostanza, lo studio epistemologico si occupa di capire in che modo le persone acquisiscono conoscenza o e giustificano le proprie convinzioni.
X fornisce informazioni, opinioni e narrative in tempo reale su centinaia di migliaia, forse milioni, di eventi e fatti che accadono in giro per il mondo. Attraverso l’osservazione di X, possiamo quindi assistere e cercare di comprendere l’evoluzione stessa della conoscenza umana.
Weekly Chronicles #51
Nelle Cronache della settimana:
- Tradito dall’app di fitness
- La tua città è pronta per la rivoluzione dei 15 minuti?
- Snowden se la prende con la community crypto al Bitcoin Amsterdam
Nelle Lettere Libertarie: La Rivoluzione Francese e le sue conseguenze sono state un disastro per il genere umano.
Scenario OpSec della settimana: Giulia, un'impiegata in un’azienda di circa 150 dipendenti, usa spesso il suo computer aziendale per questioni personali durante le pause. Non vuole che i suoi superiori sappiano quali siti web visita o le attività personali che svolge con il computer personale.
Tradito dall’app di fitness
Stanislav Rzhitskiy, capitano della marina russa, è stato trovato morto con alcuni colpi di pistola nella schiena1. Pare sia stato ammazzato mentre faceva jogging. L’assassino, secondo le notizie, l’avrebbe trovato grazie all’app Strava, su cui il capitano era solito pubblicare le sue routine di jogging.
Sembra che l’omicidio sia stato una sorta di vendetta per alcuni bombardamenti nel corso della guerra in Ucraina. La lezione qui però è un’altra: condividere le proprie routine online non è mai una buona idea; che siano social network o app di fitness.
La privacy è questione di libertà e autodeterminazione, ma anche di incolumità fisica. Se durante le tue corse su Strava non ti ritrovi davanti due energumeni che ti chiedono cortesemente di porgergli il portafoglio, è solo perché fortunatamente la maggior parte delle persone sono troppo sceme o troppo pigre per capire quanto sia facile oggi identificare e trovare le persone in strada.
Sostieni Privacy Chronicles
Ci sono tanti modi per sostenere Privacy Chronicles. Puoi postare gli articoli sui tuoi social, diffondere la voce tra i tuoi amici, lasciare un like o interagire con un commento o una condivisione qui su Substack.
Se vuoi, puoi abbonarti per l’equivalente di una colazione al mese. È un piccolo gesto che però aiuta molto il mio lavoro.
Oppure, puoi anche donare qualche sats (bitcoin) con il tuo wallet LN preferito, scansionando questo QR Code:
Scan the QR Code or click here!
Le donazioni in bitcoin sono velocissime, privacy-friendly e praticamente senza commissioni.
Grazie per il tuo supporto!
privacychronicles.it/p/support…
Il commerciante di indirizzi fa causa alla DPA tedesca per impedire l'accesso ai file da parte della Noyb noyb ha chiesto all'autorità dell'Assia l'accesso al fascicolo della denuncia di Acxiom. Il commerciante di indirizzi ha presentato un'ingiunzione provvisoria contro l'autorità
Weekly Chronicles #50
George Orwell era un sadico, misogino e omofobo
Anna Funder, la biografa di Eileen O’Shaugnessy, moglie di Orwell, ci racconta che Orwell era un uomo complicato.
Anna ha presentato il suo libro, “Mrs Orwell’s Invisible life” al Cheltenham Literature Festival, raccontando che Orwell:
“Voleva disperatamente essere un uomo decente, ed è un qualcosa di onorabile e nobile. Ma scrivere un libro come 1984, che è violento, misogino, sadico, tetro e psicotico, mostra invece tutti difetti dell’autore […] Serve un uomo violento, misogino, sadico e omofobo per scrivere queste cose. […] Una persona perbene e decente, non avrebbe mai avuto questi pensieri.1”
Insomma, se oggi pensate di vivere in un remake di 1984, siete probabilmente anche voi tutte queste cose. Comunque Orwell aveva indubbiamente anche dei difetti e ringraziamo Anna per questa entusiasmante recensione.
Supporta Privacy Chronicles!
Condividi questo articolo coi tuoi amici, lascia un like o un commento! Se vuoi, abbonati per l’equivalente di una colazione al mese. È un piccolo gesto che però aiuta molto il mio lavoro.
Puoi anche donare qualche sats con il tuo wallet LN preferito, scansionando questo QR Code:
Scan the QR Code or click here!
Profilazione e disinformazione dalla Commissione Europea
In questo periodo è entrato in vigore il Digital Services Act, che tra le altre grottesche misure, impone più trasparenza ai social network per i contenuti sponsorizzati (advertisement). Ne ho parlato molto anche io, con ben due articoli dedicati al tema:
Allo stesso tempo, è in corso di discussione il famigerato Regolamento “Chatcontrol”, legge di sorveglianza di massa spacciata come misura contro la pedofilia. Anche di questo ne ho parlato a dismisura:
Ebbene, un ricercatore di Politico, Danny Mekić, ha recentemente pubblicato un’inchiesta2 in cui mostra che la Commissione Europea ha commissionato una serie di contenuti sponsorizzati profilati destinati ai cittadini dei Paesi che sono contrari al Chatcontrol: Paesi Bassi, Svezia, Belgio, Finalandia, Slovenia, Portogallo e Repubblica Ceca.
I contenuti sono tutti uguali, diversi solo nella lingua. Qui ne potete trovare un esempio.
Come se non bastasse la profilazione politica di massa, pare che la Commissione abbia deciso di non visualizzare il contenuto agli utenti che secondo gli algoritmi di X sono appassionati di privacy, euroscettici e perfino cristiani — cioè coloro che in qualche modo avrebbero potuto criticarlo.
Una tale profilazione di massa è niente più che un tentativo privare le persone della loro libertà di autodeterminazione e quindi sovvertire l’ordine democratico, attraverso un’opera di persuasione di massa che colpisce milioni di persone suscettibili a cui mancano gli strumenti per giudicare in modo critico ciò che arriva dalle istituzioni europee.
I Commissari europei come Thierry Breton (DSA) e Ylva Johansson (Chatcontrol) si riempiono la bocca di parole come lotta alla disinformazione, trasparenza, rispetto della democrazia e della libertà… per poi fare l’esatto contrario.
La California raddoppia sulla protezione dei dati, ma non servirà a nulla
Lo stato della Big Tech raddoppia la portata della sua legge sulla protezione dei dati, molto simile al nostro GDPR. Dal 2026 i cittadini potranno fare una richiesta generale di cancellazione dei loro dati che varrà per tutti i data broker sul mercato, piuttosto che rivolgersi singolarmente a ognuno di loro.
A creare la struttura necessaria per sviluppare un meccanismo del genere ci penserà la California Privacy Protection Agency (una sorta di Garante Privacy). Non è chiaro come, ma potrebbe somigliare a qualcosa di molto simile al nostro Registro delle Opposizioni.
E proprio come il nostro Registro, temo che le belle parole non salveranno — come al solito — i progressisti woke benpensanti.
Forse, piuttosto che immaginare un pulsantone “DELETE ALL”, dovrebbero invece rimuovere barriere all’ingresso del mercato, aprire la competizione anche nel mercato dei dati, e così facendo agevolare indirettamente sistemi più rispettosi della privacy delle persone by design.
Meme della settimana
Citazione della settimana
"All propaganda has to be popular and has to accommodate itself to the comprehension of the least intelligent of those whom it seeks to reach."
Famoso pittore austriaco
dannymekic.com/202310/undermin…
privacychronicles.it/p/weekly-…
Thierry Breton, Elon Musk e il DSA
10 ottobre 2023. Negli uffici di Twitter arriva una lettera indirizzata a Elon Musk, firmata dal commissario europeo Thierry Breton.
È sintetica e va dritta al punto: “dopo gli attacchi di Hamas contro Israele, abbiamo notizia del fatto che la piattaforma X sia usata per disseminare contenuti illegali e disinformazioni in UE.”
La lettera ricorda a Elon Musk che in UE è da pochissimo entrato in vigore il famigerato Digital Services Act, che prevede alcuni specifici obblighi verso le piattaforme come X.
Musk è chiamato a fare tre cose, e in fretta:
- Essere trasparente nel definire quali contenuti sono permessi o meno sul social
- Essere veloce, diligente e obiettivo nel rimuovere i contenuti che sono segnalati dalle autorità rilevanti
- Adottare misure tecniche e organizzative adeguate per mitigare il rischio di diffusione di contenuti illegali o falsi, come ad esempio vecchie immagini spacciate per nuove
In modo molto teatreale, Thierry Breton ha pubblicato la lettera anche su X, a cui Elon Musk ha prontamente risposto in modo impeccabile:
In effetti, gli algoritmi e le politiche di X sono open source e trasparenti, chiunque può capire come funziona il social sia dal punto di vista organizzativo che tecnico.
Che vuole allora la Commissione Europea da Musk? Per capirlo bisogna capire il Digital Services Act. Ne ho parlato in modo approfondito qui, ma ripercorriamo insieme i punti essenziali per poi passare a un commento personale su quello che sta succedendo.
I punti salienti del DSA
Il Digital Services Act è un regolamento proposto dalla Commissione UE a fine 2020 e fa parte del “pacchetto digitale” europeo. Da molti è stato annunciato come la risposta salvifica alla disinformazione e all’illegalità online, secondo il motto: “quello che è illegale offline deve essere illegale online”.
Survey of Current Universal Opt-Out Mechanisms
With contributions from Aaron Massey, FPF Senior Policy Analyst and Technologist, Keir Lamont, Director, and Tariq Yusuf, FPF Policy Intern
Several technologies can help individuals configure their devices to automatically opt out of web services’ requests to sell or share personal information for targeted advertising. Seven state privacy laws require that organizations honor opt-out requests. This blog post discusses the legal landscape governing Universal Opt-Out Mechanisms (UOOMs), as well as the key differences between the leading UOOMs in terms of setup, default settings, and whether those settings can be configured. We then offer guidance to policymakers to consider clarity and consistency in establishing, interpreting, and enforcing UOOM mandates.
The legal environment behind Universal Opt-Out Mechanisms
Online advertising continues to evolve, specifically in reaction to new regulatory requirements as an increasing number of international jurisdictions and U.S. states have enacted comprehensive privacy laws. As of October 2024, twelve states grant individuals the right to opt out of businesses selling their personal information or processing that data for targeted advertising. Of these twelve state privacy laws, seven include provisions that make it easier for individuals to opt out of certain uses of personal data. This includes the kind of personal and pseudonymized information that is routinely shared with websites, such as browser information or information sent via cookies.
Historically, a significant practical hurdle existed in the implementation of opt-out rights: users wishing to exercise the right to opt out of the use of this information for targeted advertising must locate and manually click opt-out links that businesses provide on their web pages, and they generally must do so for every site they visit. To make opting out easier, seven state’s privacy laws (California, Colorado, Connecticut, Delaware, Montana, Oregon, and Texas) require businesses to honor individuals’ opt-out preferences transmitted through Universal Opt-Out Mechanisms (UOOMs) as valid means to opt out of targeted advertising and data sales. UOOMs refer to a range of desktop and mobile tools designed to provide consumers with the ability to configure their devices to automatically opt out of the sale or sharing of their personal information with internet-based entities with whom they interact. These tools transmit consumers’ opt out preferences by using technical specifications, chief among these the Global Privacy Control (GPC).
California became the first state to establish the force of law for opt-out signals as valid opt-outs through an Attorney General rulemaking process in August, 2020. Specifically, businesses who do not honor the Global Privacy Control on their websites may risk being found in noncompliance with the California Consumer Privacy Act (CCPA), which was the central topic in the recent enforcement action against Sephora, an online retailer. In the complaint, state authorities alleged that Sephora’s website was not configured to detect or process any GPC signals and, as a result, failed to honor users’ opt-out preferences by not opting them out of sales of their data.
Survey of UOOM Tools Available to Consumers
The California Attorney General references the Global Privacy Control as the leading opt-out specification that meets CCPA standards. As of this writing, eight UOOMs are endorsed by the creators of the GPC specification:
- Brave (a mobile and desktop browser)
- Disconnect (a browser extension and smartphone app)
- DuckDuckGo Privacy Browser (a mobile and desktop browser)
- DuckDuckGo Privacy Essentials (a browser extension)
- IronVest (a security suite with GPC functionality)
- Mozilla Firefox (a mobile and desktop browser)
- OptMeowt (a browser extension)
- Privacy Badger (a browser extension)
Although other UOOMs exist (and more are likely to emerge), we focus exclusively on the tools endorsed by the creators of the Global Privacy Control specification. In 2023, the FPF team downloaded and installed each tool and evaluated each tool’s installation process, whether GPC signals were sent without additional configuration, and whether those settings could be adjusted (see Figure 1 below).
| Installation | GPC Signals Sent without Additional Configuration | Can the Configuration Be Adjusted? | |
| IronVest | Requires account sign-up |  No | Yes; GPC can be enabled only on a per-site basis, not globally. |
| Brave Browser | No steps required after installation |  Yes | No; GPC cannot be disabled, either globally or per-site, even when other protections in the “Shields” feature are turned off. |
| Disconnect | No steps required after installation | No | Yes; GPC can be enabled globally but not on a per-site basis using a checkbox in the main browser plugin window. |
| DuckDuckGo Privacy Browser | No steps required after installation | Yes | Yes; GPC can be disabled globally but not on a per-site basis. |
| DuckDuckGo Privacy Essentials | No steps required after installation | Yes | Yes; GPC can be disabled both globally or on a per-site basis by disabling “Site Privacy Protection.” |
| Firefox | Requires technical configuration | No | Yes, GPC can be disabled globally in the browser’s technical configuration but not on a per-site basis. |
| OptMeowt | No steps required after installation | Yes | Yes; GPC can be disabled both globally or on a per-site basis by disabling the “Do Not Sell” feature. |
| Privacy Badger | No steps required after installation | Yes | Yes; GPC can be disabled both globally or on a per-site basis by disabling the “Do Not Sell” feature. |
Figure 1: Observations of eight leading UOOM tools
Our survey allows us to make four key observations about the state of these UOOMs.
- Current GPC implementations are largely limited to browser plugins for desktop environments. Google Chrome, Microsoft Edge, and Safari do not natively support the GPC signal. Mozilla Firefox supports sending the GPC signal, but configuring was the most challenging setup of all the tools we tested. Brave and DuckDuckGo are the only browsers that natively support the GPC. In addition, Brave and DuckDuckGo are the only desktop and mobile browsers with GPC enabled by default.
- GPC tools significantly differ from one another in user experiences for both installation and use. The installation process for six of the tools was direct and, therefore suitable to a broad range of consumer knowledge. Two of the tools, IronVest and Firefox, require additional steps to enable GPC. Ironvest requires the creation of an account upon downloading the tool, and through that account offers not only GPC but also a subscription-based suite of further online security services like password managers and email maskers. By contrast, Firefox does not require an account, but it requires users complete more steps to enable the GPC that require technical knowledge or experience. Specifically, users must access the about:config settings page in Firefox, which warns the user to “Proceed with Caution” and requires users to know how to find the GPC configuration options. Users with limited experience configuring about:config settings on this browser may struggle to enable the GPC signal on Firefox.
- GPC tools differ significantly in their default settings after installation, potentially creating consumer confusion in switching from one service to another. Three of the tools leave the GPC off by default following final installation; four of them enable the GPC by default. Firefox, for example, does not enable GPC by default, and it requires the most work to enable, whereas Brave enables GPC by default without notifying users or allowing them to disable it. Many tools include other privacy features in addition to GPC, such as Privacy Badger’s ability to block surreptitious tracking mechanisms like supercookies. These tools were not examined in this report, though they may create divergent user experiences that can cause consumers to draw different conclusions as to each tool’s utility and effectiveness. Users installing a privacy-focused browser extension or using a privacy-focused browser may be unaware that in certain cases privacy features are disabled by default and require additional configuration after installation.
- Finally, we observe that these tools significantly differ in configuration options for when and where to send the GPC signal. The tools collectively deploy two types of configuration: globally sending the GPC to every site and/or selectively sending the GPC on a per-site basis. None of the tools have pre-configured profiles or “allow / deny” lists for when to send the GPC, and about half of the tools allow users to set the GPC both as a global setting and on a per-site basis. IronVest only allows sending the GPC on a per-site basis, while Brave only enables the GPC on a global basis. However, given that most state laws that require compliance with a UOOM also require affirmative consent to opt back in following an opt-out, it is unclear whether disabling the GPC signal for a site after visiting it will have legal effect.
Next Steps & Policy Considerations
In 2023 alone, six states passed comprehensive privacy laws. In the years ahead, we expect that more states will be added to this list, and many are likely to include provisions regarding UOOMs. Policymakers must ensure that all UOOM requirements offer adequate clarity and consistency.
One place where greater detail from policymakers would provide benefit to organizations seeking to comply with legal requirements is in guidance not only for covered businesses, but also for vendors of consumer-facing privacy tools. Specifically, guidance would be useful regarding how a UOOM must be configured or implemented to give assurance that the GPC signals being sent are a legally valid expression of individual intent. For example, a minor detail such as whether a tool contains a “per-site” toggle for the GPC may be significant in one state, but not another.
Similarly, the question of “default settings” and their legal significance requires greater clarity in many jurisdictions. For example, to be considered a valid exercise of individuals’ opt-out rights under Colorado law, a valid GPC signal occurs when individuals provide “affirmative, freely given, and unambiguous choice.” This requirement creates an engineering ambiguity for publishers and websites over the validity of GPC signals they receive. For example, users installing a browser extension that requires a separate, affirmative user configuration prior to sending the GPC signal will unambiguously be a valid expression of individual choice. On the other hand, an individual using a browser marketed with a variety of privacy preserving features, including the GPC, may be sending a GPC signal that does not meet the law’s standards for defaults if those features are enabled by default and they do not provide notice to users. The user may have wanted a privacy feature other than GPC and not been aware that the GPC signal would be sent. On the other hand, another user may both be seeking and appreciate a default-on GPC and not want it to be legally ignored because they didn’t affirmatively enable it. Publishers and websites do not have an engineering mechanism to differentiate between these scenarios, incentivizing them to use nonstandard techniques, like fingerprinting, for the purposes of discerning which GPC signals are valid.
New states implementing comprehensive privacy laws also increase the odds that specific privacy rights may fracture across jurisdictions in ways that are either cohesive or irreconcilable. The current GPC specification does not support conveying users’ jurisdictions, so it is unclear how organizations must differentiate between signals originating from one jurisdiction or another. The result could be that entities must choose which state to risk running afoul of the law in such that they may follow the requirements of a conflicting jurisdiction.
As user-facing privacy tools are developed and updated, responsible businesses will likely err on the side of over-inclusion by treating all GPC signals as valid UOOMs. However, increased user adoption and the expansion of the GPC into new sectors (such as connected TVs or vehicles) could change expectations and put more pressure on different kinds of advertising activities. In the absence of uniform federal standards that would create guidance for such mechanisms, most businesses will aim to streamline compliance across states, providing a significant opportunity for policymakers to shape the direction of consumer privacy in the coming years. Policymakers must be aware of these developments and strive for clarity and consistency in order to best inform organizations, empower individuals, and set societal expectations and standards that can be applied in future cases.
Weekly Chronicles #49
La chimera della protezione dei dati nelle smart cities
Le città intelligenti, o "Smart Cities" sono la buzzword del momento.
L’idea sarebbe di usare grandi quantitativi di dati e tecnologie per migliorare la qualità della vita urbana. Tuttavia, quello a cui assistiamo è invece una raccolta massiva di dati personali e l’uso di tecnologie di sorveglianza di vario tipo: dalle telecamere, ai droni, fino ad arrivare ai sensori wi-fi, bluetooth e celle telefoniche.
Un documento pubblicato dall’International Working Group on Data Protection in Technology, disponibile qui, esplora a livello giuridico il tema della privacy nelle smart city, fornendo alcune raccomandazioni alle città che vorrebbero cimentarsi nel diventare “smart” nel rispetto della legge e dei dati delle persone.
Il documento fornisce spunti interessanti per chi lavora nel settore e per i politici che vorrebbero cimentarsi in tali attività. Le raccomandazioni, in estrema sintesi, sono queste:
- Valutare i rischi e la proporzionalità del trattamento prima della raccolta dei dati
- Garantire che i dati utilizzati nelle decisioni siano adeguati e rappresentativi della popolazione
- Stabilire chiare procedure per soddisfare i diritti dei cittadini e assicurare trasparenza nella filiera del trattamento
La protezione dei dati nelle “smart cities” sembra però una chimera irrealizzabile. Le amministrazioni locali ricevono fondi nazionali ed europei per installare sistemi di sorveglianza evoluta che non capiscono e che non sanno usare, né comprenderne l’utilità. Come se non bastasse, ne ignorano completamente i rischi.
Nel documento si cita un caso empirico che fa ben comprendere la natura del problema.
Il comune di Enschede, nei Paesi Bassi, per più di tre anni ha implementato un sistema di tracciamento wi-fi degli smartphones attivo 24/7 nel centro della città. L’obiettivo era quello di misurare l’efficacia degli investimenti municipali — qualsiasi cosa volesse dire.
Nella pratica, per tre anni i cittadini di Enschede sono stati spiati mentre passeggiavano in strada. Il sistema infatti raccoglieva dati (tra cui anche l’indirizzo MAC, identificativo unico del dispositivo) per analizzare il traffico pedonale, il tempo trascorso nelle diverse vie del centro e le abitudini delle persone.
In che modo quest’attività ha portato un beneficio agli abitanti di Enschede? Come sono stati valutati i rischi? Non è dato sapersi.
Il caso del giudice Apostolico
In questi giorni sta facendo molto rumore il caso del giudice Iolanda Apostolico. Alcuni giorni fa è stato pubblicato un video risalente al 2018 in cui si vedeva la Apostolico partecipare a una manifestazione di protesta contro le politiche sull’immigrazione clandestina del governo di quel periodo.
Matteo Salvini, dopo la pubblicazione del video, ha presto chiesto le sue dimissioni per evidente mancanza di imparzialità. La giudice aveva infatti recentemente deciso in merito alla revoca dell’ordine di detenzione di alcuni tunisini in un centro in Sicilia.
Sulla questione prettamente politica non c’è molto da dire: chiunque pensi che i magistrati siano imparziali e che non si lascino influenzare dalle loro personalissime opinioni è un povero fesso.
Detto questo, la vicenda sottolinea l’importanza del concetto di privacy come capacità di controllare i propri dati e la propria identità, sia fisica che digitale. La giudice non aveva “nulla da nascondere” partecipando alla manifestazione politica, eppure a distanza di anni quel video, diffuso al pubblico, ha avuto un grande impatto negativo sulla sua persona.
Pensiamo ora al contesto dei social network. Potremmo dire che un social network sia un po’ come una manifestazione politica permanente. Capita a chiunque di esprimere più o meno palesemente le proprie opinioni. Che succederebbe se le autorità iniziassero un’opera di schedatura e dossieraggio su tutto ciò che abbiamo detto e fatto online? Le conseguenze sarebbero disastrose più o meno per chiunque.
Se vuoi approfondire il concetto di privacy, leggi qui:
Supporta Privacy Chronicles!
Condividi questo articolo coi tuoi amici, lascia un like o un commento! Se vuoi, abbonati per l’equivalente di una colazione al mese. È un piccolo gesto che però aiuta molto il mio lavoro.
Puoi anche donare qualche sats con il tuo wallet LN preferito, scansionando questo QR Code:
Scan the QR Code or click here!
Google dice addio alle password
Pare che Google presto inizierà a spingere gli utenti verso un sistema di autenticazione senza password (passwordless) per migliorare la sicurezza1. L’autenticazione senza password utilizzerà i sistemi di identificazione biometrica presenti sui nostri dispositivi per il login nelle varie app di Google, facendo quindi a meno delle password.
Se da un certo punto di vista è indubbiamente comodo, dall’altro potrebbe essere un ulteriore passo in avanti verso una crescente dipendenza nei confronti della Big Tech per utilizzare i nostri account e servizi. Sebbene infatti i dati biometrici siano salvati sul dispositivo, esistono meccanismi di backup in Cloud per mitigare il rischio in caso di perdita di cui difficilmente si potrebbe fare a meno.
Mi piacerebbe conoscere la vostra opinione. Userete questo nuovo metodo di autenticazione o continuerete a preferire le password?
Meme della settimana
Citazione della settimana
Questo cetriolo è amaro? Gettalo! Ci sono rovi nel cammino? Devia! È tutto ciò che occorre. Non dire sull'argomento: "Perché accadono queste cose nel mondo?"
Marco Aurelio
theverge.com/2023/10/10/239109…
privacychronicles.it/p/weekly-…
Il servizio di streaming DAZN ha impiegato quasi cinque anni per rispondere a una semplice richiesta d'accesso Secondo il GDPR, le aziende hanno un mese di tempo per rispondere alle richieste di accesso. DAZN ha impiegato quasi cinque anni
Weekly Chronicles #48
Dimmi con cosa ti scaldi, e ti dirò chi sei
La Regione Toscana ha deciso di imporre ai suoi cittadini un obbligo di “accatastamento” degli impianti a biomassa presenti nelle loro case. Entro il 30 settembre i toscani dovranno dichiarare alla Regione se possiedono un camino, una stufa a legna o una stufa a pellet nelle loro abitazioni.
Insomma un censimento obbligatorio con tanto di sanzioni pecuniarie per chi cercherà di nascondere i suoi camini alle squadre di ricognizione dell’Arpat, l’Agenzia Regionale per la Protezione Ambientale della Toscana.
Privacy Chronicles is a reader-supported publication. To receive new posts and support my work, consider becoming a free or paid subscriber.
Lo scopo è, citando il sito della Regione1: “mettere in relazione la diffusione di questi impianti e i fenomeni di inquinamento da PM10, al fine di migliorare le politiche per il contrasto dell'inquinamento atmosferico.”
Come fa una pubblica amministrazione a contrastare l’inquinamento atmosferico? Con gli incentivi economici. O meglio: con le tasse. Che poi è esattamente ciò
L’obiettivo è modificare il comportamento delle persone e valutare l’impatto ambientale della vita di ognuno di noi. Una volta fatto questo, saranno introdotte delle quote CO2 personali attraverso i nuovi strumenti d’identità digitale. Che poi è quello che prevedono anche le raccomandazioni del World Economic Forum (ne ho parlato qua, se non l’hai letto ti consiglio di farlo…).
La schedatura è il primo passo.
La breve storia triste di un’anziana signora e il suo T-RED
Oggi voglio condividere con voi questo bell’articolo scritto da Carlo Blengino (che se non sbaglio è un lettore) che parla delle tristi disavventure di una signora e un temibile T-RED, il macchinario automatizzato che rileva le infrazioni semaforiche.
«Per almeno 12 volte il T-RED ha rilevato una Fiat Tipo proveniente dal centro della città che poco prima delle 23 supera lentamente la linea semaforica nonostante la luce rossa. Quando la signora capisce la ragione della convocazione sembra sollevata, salvo vacillare appena intuisce l’importo complessivo della sanzione e che la decurtazione dei punti dalla patente le impedirà di guidare nei prossimi mesi»
È una storia che ancora una volta ci fa ben comprendere l’inutilità della sorveglianza cittadina, promossa dai sindaci-feudatari come strumento di civiltà e sicurezza urbana, ma niente più che un modo di far cassa con la vita delle persone — anche e soprattutto quando la condotta della persona, pur essendo tecnicamente in violazione di legge, non pone nessuno in pericolo.
È una storia che ci ricorda che le leggi e le sanzioni, qualsiasi esse siano, se applicate meccanicamente e sistematicamente ad ogni infrazione, sono per definizione tiranniche. Il futuro che ci aspetta, nelle nostre belle città intelligenti, è proprio questo: una spietata tirannia della legge applicata sistematicamente e senza eccezione alcuna dalle macchine.
I bambini — qualcuno salvi i bambini!
La cara YIva Johansson, commissaria della Commissione Europea responsabile per la proposta di regolamento chiamata Chatcontrol (non lo conosci? Dai ne ho parlato tantissimo…) oggi ha voluto esporsi su X con un breve video per spiegare le ragioni di questa legge.
Ci sono dei tentativi di creare confusione di questo regolamento, dice Yiva nel video. Non è come pensate! La proposta è lì per proteggere i bambini dalla violenza sessuale. È lì per proteggere le vittime di questi crimini. Oggi un bambino su cinque viene violentato, continua la cara YIva.
Tutto molto bello, se non fosse che nessuno ci ha ancora spiegato in che modo un regime di sorveglianza di massa totalitario sulle comunicazioni (chat, email, ecc.) di 500 milioni di persone possa in qualche modo evitare che un bambino venga violentato nella sua stanzetta.
Certo — magari su milioni di intercettazioni le forze dell’ordine potranno catturare qualche pedofilo o limitare la diffusione di alcuni contenuti, ma il bambino ormai avrà comunque la vita rovinata. Che protezione è mai questa? E non dimentichiamo che tale sorveglianza di massa non lascerà scampo neanche ai bambini che dicono di voler proteggere. Tutte le chat, foto e video dei vostri figli saranno sotto l’occhio vigile di algoritmi e persone assunte proprio per spiarli.
Fortunatamente le Community Notes di questo splendido social che fa tanto schiumare gli amici di sinistra non si sono fatte attendere, rimettendo al suo posto la cara YIva e mostrandola per quello che è: una propagatrice di disinformazione, propaganda e terrorismo psicologico.
Supporta Privacy Chronicles!
Condividi questo articolo coi tuoi amici, lascia un like o un commento! Se vuoi, abbonati per l’equivalente di una colazione al mese. È un piccolo gesto che però aiuta molto il mio lavoro.
Puoi anche donare qualche sats con il tuo wallet LN preferito, scansionando questo QR Code:
Scan the QR Code or click here!
Weekly memes
Weekly quote
“Everything we hear is an opinion, not a fact. Everything we see is a perspective, not the truth.”
Marcus Aurelius
siert.regione.toscana.it/cit_a…
privacychronicles.it/p/weekly-…
Possono ispezionare il mio telefono durante i controlli in aeroporto?
Una ragazza su Reddit chiede1: è la prima volta che viaggio verso gli Stati Uniti, c’è il rischio che possano ispezionare il mio telefono durante i controlli in aeroporto? Non ho niente da nascondere ma alcune persone mi hanno detto che prima di partire dovrei resettare completamente il telefono. È vero?
Sì, è vero. Molte giurisdizioni ormai prevedono questa possibilità e gli Stati Uniti sono conosciuti per le ispezioni agli smartphone, soprattutto per chi proviene da paesi a rischio o viene per qualche motivo segnalato dai vari algoritmi “antiterrorismo” che ormai abbiamo anche in UE.
Electronic Frontier Foundation riporta che i controlli sui dispositivi elettronici sono passati dai 4.764 del 2015 ai 23.877 del 2016. Oggi, a distanza di sette anni, possiamo aspettarci che quel numero sia almeno a 6 cifre.
Chi viaggia, specie all’estero, spesso ignora i rischi legati alla privacy dei dati contenuti nei numerosi dispositivi elettronici che ci portiamo dietro: smartphone, computer, chiavette USB…Dimentichiamo facilmente che lì dentro c’è la nostra intera vita, e basta davvero poco per trasformare un viaggio in un incubo.
Il rischio di controlli in aeroporto o alle dogane però non è l’unico di cui bisogna tener conto: hacking, furti e rapine, smarrimenti… ce n’è per tutti.
Vediamo allora qualche raccomandazione su come viaggiare in modo più sicuro, cercando di proteggere i dati personali contenuti nei dispositivi elettronici che ci portiamo dietro.
1. Se viaggi verso gli Stati Uniti, conosci i tuoi diritti
Alla ragazza di Reddit, ma anche a chi legge, risponderei prima di tutto di capire fino a che punto possono spingersi le guardie doganali. La situazione purtroppo non è chiarissima e sappiamo tutti che l’abuso di potere si nasconde proprio nelle zone grigie.
Diciamo però che la Corte Suprema degli Stati Uniti, pur garantendo estrema libertà al controllo delle frontiere, suddivide le tipologie di controlli in due tipi: routine e non-routine.
I controlli di routine comprendono quelli necessari a verificare che il viaggiatore abbia la documentazione richiesta per entrare, che siano rispettate le leggi sull’importazione di prodotti negli Stati Uniti, e tutti i controlli necessari per diminuire il rischio di terrorismo o di introduzione di prodotti di contrabbando.
Nei controlli non-routine rientrano invece tutte quelle attività “estremamente intrusive” o che abbiano un “impatto sulla dignità e privacy del viaggiatore” o che siano svolti in un modo “particolarmente offensivo”. Questi controlli non sono vietati, ma l’agente dovrebbe essere in grado di dimostrare un “sospetto individualizzato” sullo specifico viaggiatore. Non possono quindi essere svolti a campione senza motivazione specifica.
Questo non significa che se l’agente vi obbliga a consegnare il telefono potrete iniziare a urlare di violazioni di diritti in mezzo all’aeroporto come una Karen qualsiasi. Sappiamo infatti tutti che i diritti di fronte ai rappresentanti dello Stato non esistono ed è meglio non inimicarsi chi tiene in mano la tua vita.
2. Evita wi-fi pubbliche, se possibile
Le reti pubbliche sono notoriamente poco sicure. Il consiglio è di evitarle ad ogni costo. Dall’altra parte potrebbe esserci un amministratore di sistema curioso, un hacker che ha compromesso la rete, o un agente seduto sulla sua comoda poltrona.
Se proprio devi, evita di usarle per connetterti ad account sensibili (banca, wallet, social). In ogni caso, prima di connetterti alla wi-fi pubblica, leggi il punto due.
3. Usa una VPN (Virtual Private Network)
Il consiglio vale in realtà in ogni occasione, ma soprattutto per quando si viaggia. Una VPN usa tecnologie di crittografia per offuscare il nostro traffico web, rendendo così difficile la vita a chiunque voglia introdursi nelle nostre comunicazione o intercettare i nostri dati.
Se devi connetterti a una rete pubblica o non sicura, come in aeroporti, hotel o bar, è fondamentale usare una VPN. Chi controlla la rete (amministratori di sistema, cybercriminali o forze dell’ordine) può potenzialmente intercettare tutti i tuoi dati in chiaro. Con una VPN si può mitigare facilmente questo rischio. Se vuoi capire meglio come funziona una VPN e come sceglierla, ne ho scritto qui:
4. Autenticazione multi-fattore, sì o no?
L’autenticazione multi-fattore come il riconoscimento facciale o delle impronte digitali migliora di molto la sicurezza dei dati contenuti in un dispositivo, perché chiunque entri in possesso del nostro dispositivo non potrà accedervi senza avere anche a disposizione una copia dei nostri dati biometrici.
Ottimo in caso di perdita del dispositivo o nel caso in cui ci sia rubato… molto meno utile se qualcuno tenta di obbligarci fisicamente a sbloccare il dispositivo.
Il consiglio in questo caso è di disattivarel’autenticazione multi-fattore e preferire invece un PIN complesso o un pattern di sblocco per i viaggi all’estero.
Supporta Privacy Chronicles!
Condividi questo articolo coi tuoi amici, lascia un like o un commento! Se vuoi, abbonati per l’equivalente di una colazione al mese. È un piccolo gesto che però aiuta molto il mio lavoro.
Puoi anche donare qualche sats con il tuo wallet LN, scansionando questo QR Code:
5. Cifra la memoria dei tuoi dispositivi
Usa strumenti di crittografia della memoria per tutti i tuoi dispositivi. Questo assicura che quando il dispositivo è bloccato o spento, un attaccante non possa accedere ai dati contenuti nella memoria. Vale anche per le carte microSD che possiamo usare con alcuni smartphone Android.
Il consiglio ulteriore, per mitigare ulteriormente i rischi, è di diminuire al massimo il tempo di inattività necessario per bloccare lo smartphone. In questo modo, in caso di perdita o furto, basteranno pochi secondi per garantirne il blocco e rendere più difficile la vita a chi ne entra in possesso.
6. Evita sguardi indiscreti
Se viaggi molto, specie per lavoro, il rischio di rivelare informazioni sensibili che ti possono rendere un obiettivo per criminali d’opportunità è grande. Password e pin di conti bancari, email, comunicazioni riservate: ci vuole pochissimo a spiare una persona da dietro le spalle.
Qualcuno potrebbe sorridere leggendo queste righe, ma non sono rischi da sottovalutare.
Immagina questa scena: sei su un autobus pieno e decidi di aprire il tuo wallet Bitcoin, contenente l’equivalente di decine di migliaia di euro. Un paio di persone alle tue spalle se ne accorgono, e decidono di seguirti alla discesa del mezzo. In pochi secondi ti spingono in un angolo scuro con fare minaccioso e ti minacciano con un coltello se non apri il wallet e scansioni il loro QR Code. Non c’è molto da ridere, vero?
Se proprio non puoi evitare di aprire app sensibili in viaggio, un modo per mitigare questi rischi è acquistare e usare una “pellicola privacy” da sovrapporre sullo schermo dello smartphone e notebook per restringere l’angolo di visualizzazione. Così, soltanto chi è direttamente davanti allo schermo potrà vedere facilmente cosa viene visualizzato.
7. Disattiva le impostazioni di geolocalizzazione delle tue app
Viaggiare spesso significa foto e condivisione sui social. La camera degli smartphone e le app social possono però includere dati di geolocalizzazione (anche molto dettagliati) che rivelano la nostra posizione precisa.
Questo può essere un doppio rischio: da una parte qualcuno potrebbe approfittarne per fare una visita cortese alla tua abitazione vuota; dall’altra qualcun altro potrebbe usare quelle informazioni per attacchi di ingegneria sociale - se non addirittura rapine o peggio: in alcuni luoghi del mondo i cittadini italiani sono un goloso mezzo di riscatto. Meglio evitare.
8. Attenzione ai wallet crypto
Non tutte le giurisdizioni sono amichevoli verso chi usa Bitcoin o criptovalute. Se hai wallet crypto sullo smartphone, il consiglio è di disinstallare le app per il tempo necessario a superare i controlli doganali. Ovviamente, assicurati di avere un backup delle seed words.
9. Backup, backup, backup
Non se ne parla mai abbastanza. Il backup dei dati è fondamentale per evitare che la perdita di un dispositivo possa rovinarci il viaggio o la vita.
Prima di tutto: backup di account e credenziali di accesso. Esistono tantissimi password manager diversi che oggi permettono di farlo in modo semplice, alcuni anche in Cloud (occhio alla sicurezza). E poi backup dei tuoi segreti, come le seed words di app che richiedono la crittografia (wallet, email, authenticator vari) e di ogni informazione necessaria ad accedere a questi servizi (ad esempio codici di ripristino).
10. Panic button
Una misura più estrema, ma sicuramente efficace, è quella di installare sul dispositivo un panic button. Mi riferisco ad app come Ripple, che permettono in pochi istanti di fare un wipe quasi totale delle app sullo smartphone e della memoria.
Il wipe della memoria non sarà profondo, ma in caso di controlli invasivi da parte delle autorità di frontiera permetterà di ottenere un ottimo livello di plausible deniability,cancellando in pochissimo tempo app sensibili (social, comunicazioni, ecc.).
Da usare con cautela assicurandosi di avere backup disponibili.
reddit.com/r/privacy/comments/…
privacychronicles.it/p/possono…
Weekly Chronicles #47
Privacy Week, giorno 2 e 3
Anche il secondo giorno di Privacy Week è passato e spero che molti di voi abbiano assistito al pomeriggio che abbiamo organizzato.
Sono stato tra i conduttori della seconda giornata, e insieme a tanti ospiti abbiamo dialogato di smart city e sorveglianza di massa, social scoring e perfino smart home, con aspetti anche relativi all’esperienza italiana.
Ad esempio, sapevate che esiste un mercato di voyeuristi che pagano per spiare la gente dalle telecamere hackerate nelle loro case? È una delle tante cose di cui abbiamo parlato ieri. Se hai una telecamera connessa o qualche dispositivo IoT a casa, qualche dubbio me lo farei venire…
Un piccolo dietro le quinte dello studio di Privacy Week
Per la seconda parte della giornata abbiamo invece affrontato il tema spinoso della sanità pubblica e della cybersicurezza dei dispositivi medici. Tantissima carne al fuoco per argomenti che ruotano intorno al concetto di cittadino e di città, che però somigliano sempre più a feudi digitali pronti ad accaparrarsi i nostri dati, ma molto meno propensi a proteggerli.
Oggi invece si parte con il terzo giorno, dedicato alle cryptovalute e all’identità digitale. Non sarò io a condurre ma gli amici Jacopo Sesana, Angelica Finatti e il buon Gianluca Grossi, che forse qualcuno di voi conoscerà in quanto capo redattore di e autore di . Con loro, anche oggi molti ospiti che si alterneranno dalle 10 alle 12:30 in un palinsesto ricco di contenuti.
Tutti gli incontri oggi saranno in streaming come sempre su www.privacyweek.it
Prometto che cercherò di rimanere calmo e pacato.
Apple ci prova con iOS 17
Pare che l’ultimo aggiornamento di iOS abbia attivato di default alcune impostazioni che riguardano geolocalizzazione delle “significant locations” e l’acquisizione di dati di analisi per il miglioramento dei servizi.
I dati di geolocalizzazione dovrebbero essere conservati in locale, sul dispositivo. Per quanto riguarda invece i dati di analisi, questi sono inviati direttamente ai server Apple e hanno molto a che fare con ciò che fate e come usate il dispositivo.
Solitamente l’acquisizione di questi dati è molto invasiva, quindi il consiglio è di disattivare l’opzione che invece Apple ha pensato bene di riattivare per tutti con questo aggiornamento.
Le nuove cards Lightning SatsMobi
1Come saprete, in questo periodo sono sempre più i negozi fisici e online che accettano pagamenti Bitcoin. Questo è molto positivo per tutto l’ecosistema, ma bisogna trovare strumenti semplici, amichevoli e dalla user experience migliorata, che agevolino l’uso di Bitcoin come sistema di pagamento.
Sappiamo che per i piccoli acquisti e scambi, Lightning Network è oggi il metodo di pagamento Bitcoin più usato, essendo istantaneo, comodo e facile da gestire con la maggior parte dei wallet. Anche la comodità di Lightning arriva però fino a un certo punto: dobbiamo tirar fuori il telefono, aprire il nostro wallet, puntare e fare scan di un QR code. Insomma, non è poi così immediato.
È per questo che abbiamo pensato di introdurre le NFC Cards Lightning SatsMobi. Sono carte di pagamento Lightning che effettuano la transazione semplicemente avvicinando la carta al dispositivo di pagamento (se abilitato NFC). Si tratta di uno standard aperto.
Dove sta il valore aggiunto per l’utente? Prima di tutto, le cards SatsMobi sono connesse a un Bot Telegram (SatsMobiBot) che permette di gestire il saldo, vedere la lista movimenti, ricaricare la disponibilità (“top-up”) e molto altro.
Inoltre, la carta può essere collegata al wallet Lightning Zeus, permettendo una usabilità ancora maggiore.
Una volta attivata l’utente avrà automaticamente disponibile un Lightning address del tipo “nomeutente@sats.mobi” che gli permetterà da subito di ricevere tips Lightning, pagamenti e donazioni da qualunque wallet, oppure da Nostr2.
Da ultimo, le cards SatsMobi sono collegate automaticamente anche al BitcoinVoucherBot e quindi possono anche essere caricate con un Voucher Lightning acquistato su questo sistema di cambio.
Quindi: massima usabilità per cercare di rendere l’esperienza utente semplice, veloce e anche piacevole. Per ordinare le cards e visionare le caratteristiche d'impiego, potete riferirvi al seguente link: bitcoinvoucherbot.com/product-…
Weekly meme
Weekly quote
“What we know is everything, it is our limit, of what we can be.”
Julian Assange
Supporta Privacy Chronicles!
Condividi questo articolo coi tuoi amici, lascia un like o un commento! Se vuoi, abbonati per l’equivalente di una colazione al mese. È un piccolo gesto che però aiuta molto il mio lavoro.
Puoi anche donare qualche sats con il tuo wallet LN preferito, scansionando questo QR Code:
Scan the QR Code or click here!
1
Contributo di Massimo Musumeci
Social network decentralizzato con integrazione Lightning, molto amato dai Bitcoiner
privacychronicles.it/p/weekly-…
Weekly Chronicles #46
Scroll down for the english version
Privacy vs sicurezza pubblica, l’eterno dilemma?
Come bilanciare le necessità di sicurezza pubblica con la nostra privacy? È giusto riempire le nostre città di telecamere? Quando è troppo o quando è poco? Sono alcune delle domande che mi sono state fatte da un giornalista del Sole24Ore parlando proprio del tema della criminalità e della videosorveglianza.
In verità ritengo che non ci sia nulla da bilanciare. Se pensiamo alla sicurezza pubblica come alla protezione dell’incolumità fisica delle persone, allora siamo messi male.
La videosorveglianza non ha alcun impatto reale sulla criminalità violenta. Un criminale violento, per definizione, non teme la legge e non teme punizioni, o non sarebbe tale. Sono molto recenti gli episodi di stupri e accoltellamenti in pieno giorno e in zone trafficatissime e sorvegliatissime come la Stazione Centrale di Milano.
Anche il web è pieno zeppo di video di criminali che noncuranti di telecamere e smartphone commettono reati violenti come rapine senza batter ciglio (un esempio). Altri, i più folli, si filmano addirittura da soli mentre ammazzano passanti innocenti per sport (un esempio).
Togliamoci dalla testa la funzione preventiva della videosorveglianza; esiste solo sui libri. Non funziona, se non limitatamente in casi molto specifici. Questo studio evidenzia infatti come i crimini non violenti e pianificati, come i piccoli furti commessi dai borseggiatori, sono parzialmente influenzati dalla presenza di telecamere (-20% di borseggi nel campione osservato). Tuttavia, lo stesso studio afferma senza ombra di dubbio che i crimini legati a droga o commessi da persone violente (quindi non pianificati, come uno stupro) non sono affatto influenzati dalla presenza di telecamere.
Riempire le nostre città di telecamere non ha senso.
Ciò detto, dobbiamo riconoscere che l’utilità delle telecamere riguarda esclusivamente l’amministrazione della giustizia. Il video è una prova che può essere usata in giudizio per ottenere un ristoro (in un mondo ideale) o perseguire il criminale.
Il bilanciamento allora, è presto fatto.
Lo Stato dovrebbe rinunciare a ogni pretesa di sorveglianza nelle strade pubbliche e incentivare invece la diffusione privata di telecamere possedute dai cittadini. La diffusione capillare di telecamere sarebbe bilanciata dalla decentralizzazione del possesso e quindi del potere di controllo che ne deriva.
Le forze dell’ordine ne potrebbero comunque usufruire. Non è fuori dal mondo: la polizia già usa strumenti privati per coadiuvare le indagini. Ad esempio, l’accesso ai tabulati telefonici dei servizi di telecomunicazione o ai sistemi di tracciamento GPS di Google. Lo stesso può farsi per le videoregistrazioni.
Per un approfondimento sul tema vi rimando a questo articolo che scrissi nel 2021, ma ancora attualissimo:
Di tutto questo ne parleremo anche la prossima settimana durante la Privacy Week, il festival della privacy e delle nuove tecnologie. Vi consiglio tantissimo di registrarvi sul sito e seguire lo streaming!
Supporta Privacy Chronicles!
Condividi questo articolo coi tuoi amici, lascia un like o un commento! Se vuoi, abbonati per l’equivalente di una colazione al mese. È un piccolo gesto che però aiuta molto il mio lavoro.
Puoi anche donare qualche sats con il tuo wallet LN preferito, scansionando questo QR Code:
Scan the QR Code or click here!
Anche l’Online Safety Bill è quasi legge
La legge inglese contro la pedopornografia e contro “contenuti illegali” potenzialmente pericolosi è stata approvata dal parlamento e presto sarà legge. L’Online Safety Bill è una legge che in qualche modo riunisce le finalità dei Regolamenti europei Digital Services Act (in vigore) e Chatcontrol (in discussione).
Ha lo scopo di “migliorare la sicurezza di Internet”, di mitigare il rischio derivante dalla diffusione di contenuti illegali e di proteggere i minori online — qualsiasi cosa voglia dire.
Tra le varie cose, obbligherà le aziende che offrono servizi di comunicazione a introdurre algoritmi e misure tecniche per sorvegliare proattivamente comunicazioni, video e immagini inviate attraverso i loro servizi. Le conseguenze potrebbero essere devastanti per tutte le aziende che offrono servizi di comunicazione cifrate end-to-end, trovandosi a dover decidere se rispettare la legge o tutelare i loro utenti.
Non è un caso che Signal, famosa organizzazione no profit che sviluppa l’omonimo sistema di comunicazione privacy-friendly, abbia già affermato tempo fa che avrebbe cessato l’erogazione dei servizi nel Regno Unito se la legge fosse passata.
Vedremo che succederà ora che la legge, in effetti, è quasi passata.
Offuscare la tua casa su Google Maps
Mi sono da poco trasferito e ho notato che, nonostante io viva in una piccola stradina laterale di un piccolo paese di periferia, la macchina spiona di Google Maps non mi ha risparmiato. Devo ammettere che non sono abituato ad avere casa mia esposta così a tutto il mondo, e la cosa mi ha turbato abbastanza.
Allora, non mi restava che chiedere a Google di offuscare tutto. Il processo è abbastanza semplice ma non tutti lo conoscono. Ecco una breve guida:
- Apri Google Maps: vai al sito web di Google Maps o apri l'app sul tuo smartphone
- Localizza la tua casa: Inserisci il tuo indirizzo nella barra di ricerca o naviga manualmente fino alla tua casa
- Passa alla vista stradale:
- Su Desktop: Clicca e trascina l’omino giallo (trovato nell'angolo in basso a destra) sulla strada davanti alla casa
- Su Mobile: Tocca la posizione e seleziona l'opzione Vista Stradale
- Identifica l'Area da offuscare:
- Su Desktop: Naviga fino alla vista che mostra chiaramente la tua casa
- Su Mobile: Pizzica per ingrandire o scivola per regolare la vista fino a quando la tua casa è visibile e centrata
- Clicca su “Segnala un problema”:
- Tocca l'icona del menu a tre punti (solitamente nell'angolo in alto a destra) e seleziona "Segnala un problema."
Compila il modulo:
- Trascina il riquadro rosso sulla tua casa per specificare l'area che desideri sfocare.
- Ti verrà chiesto perché vuoi sfocare l'immagine. Scegli l'opzione "la mia casa" e fornisci dettagli aggiuntivi se necessario.
Weekly Memes
Weekly Quote
“If you only read the books that everyone else is reading, you can only think what everyone else is thinking.”
Haruki Murakami
English version
Privacy vs. Security, the Eternal Dilemma
How to balance the needs of public security with our privacy? Is it right to fill our cities with cameras? When is it too much or too little? These are some of the questions I was asked by a journalist, discussing the topics of crime and video surveillance.
In truth, I believe there's nothing to balance. Video surveillance has no real impact on violent crime. A criminal, by definition, does not fear the law and does not fear punishment, or they wouldn't be a criminal. Violent criminals, in particular, are not particularly sensitive.
Moreover, the web is full of videos showing criminals committing violent crimes like robberies without a care for cameras and smartphones (an example). Others, the most insane and violent ones, even film themselves killing innocent passersby for sport (an example).
Let's dispel the notion that video surveillance has a preventive function; it only exists in books. It doesn't work.
That being said, we must acknowledge that the utility of cameras is solely related to the administration of justice. Video is evidence that can be used in court to seek redress (in an ideal world) or to prosecute the criminal.
The balance is then easily struck.
The state should abandon any claims to surveillance and instead encourage the private proliferation of cameras owned by citizens. This way, the widespread use of cameras would be balanced by the decentralization of ownership and thus the power of control that derives from it.
Law enforcement could still make use of them. It's not far-fetched; the police already use private tools to assist in investigations. For example, access to phone call records from telecommunications services or GPS tracking systems from Google. The same can be done for video recordings.
We will also discuss all of this next week during Privacy Week, the privacy and new technologies festival. I highly recommend registering on the website and following the livestream!
The Online Safety Bill is almost law
The English law against child pornography and potentially dangerous "illegal content" has been approved by parliament and will soon become law. The Online Safety Bill is a law that somehow combines the purposes of the European Regulations Digital Services Act (in effect) and Chatcontrol (under discussion).
Its purpose is to "improve Internet safety," mitigate the risk arising from the spread of illegal content, and protect minors online—whatever that may mean.
Among other things, it will compel companies offering communication services to introduce algorithms and technical measures to proactively monitor communications, videos, and images sent through their services. The consequences could be devastating for all companies that offer end-to-end encrypted communication services, as they will have to decide whether to comply with the law or protect their users.
It's no accident that Signal, a well-known nonprofit organization that develops the privacy-friendly communication system of the same name, stated some time ago that it would cease providing services in the UK if the law were passed.
We'll see what happens now that the law is, in fact, almost passed.
Blur Your House on Google Maps
I recently moved and noticed that, despite living on a small side street in a small suburban town, Google Maps' spying car did not spare me. I must admit I'm not used to having my house exposed to the whole world, and it bothered me quite a bit.
So, all that was left for me to do was to ask Google to blur everything. The process is quite simple, but not everyone is aware of it. Here's a brief guide:
- Open Google Maps: Go to the Google Maps website or open the app on your smartphone.
- Locate your house: Enter your address in the search bar or manually navigate to your house.
- Switch to street view: On Desktop: Click and drag the yellow figure (usually found in the lower right corner) onto the street in front of your house. On Mobile: Tap the location and select Street View.
- Identify the Area to Blur: On Desktop: Navigate to the view that clearly shows your house. On Mobile: Pinch to zoom in or slide to adjust the view until your house is visible and centered.
- Click "Report a Problem": Tap the three-dot menu icon (usually in the upper right corner) and select "Report a Problem."
- Drag the red box over your house to specify the area you want to blur. You'll be asked why you want to blur the image. Choose the option "my home" and provide additional details if necessary.
privacychronicles.it/p/weekly-…
You live in a digital neofeudalism
The Middle Ages are often invoked to describe a dark, brutal period without freedom, where the masses were at the mercy of a few feudal lords and rulers who fought over lands and resources.
They say life back then wasn't much to write home about. Fortunately, today we are much more civilized. At least, that’s what they say.
We have discovered representative democracy, expelled the cowardly monarchs who plagued us, eliminated the scourge of serfdom, and forgotten the picturesque chivalric orders with their oaths of loyalty to the rulers. But is it really so?
My impression is that representative democracy and the proliferation of eccentric ideas about social justice and social equity have actually created the conditions for the resurgence of a global digital neo-feudalism.
At the apex of this new feudal pyramid, we undoubtedly have a small but powerful elite of people with vast wealth and power who use supranational tools, both known and unknown, to exercise and manifest their will.
Among them, first and foremost, is the International Monetary Fund (IMF), a financial instrument of the United Nations and the ultimate authority for much of the world. Then there are central banks like the Federal Reserve Bank or the European Central Bank.
Lastly, we must not forget supranational administrative entities such as the World Health Organization (WHO), the aforementioned United Nations (UN), or the somewhat obscure Financial Action Task Force (FATF), which, nevertheless, has a huge impact on our lives. And how could we forget our beloved European Union and the globalist think-tank that is the World Economic Forum?
The combination of people and supranational structures makes up what we could define today as the head of the empire.
Il neofeudalesimo digitale
Il medioevo viene spesso chiamato in causa per indicare un periodo buio, brutale, senza libertà, in cui le masse erano alla mercé di pochi signori e sovrani che si contendevano terre e risorse.
La vita, dicono, non doveva essere granché. Fortunatamente, oggi siamo molto più civilizzati.
Abbiamo scoperto la democrazia rappresentativa, scacciato i vili monarchi che ci affliggevano, eliminato la piaga della servitù della gleba e dimenticato i pittoreschi ordini cavallereschi, coi loro giuramenti di fedeltà ai sovrani. Ma è davvero così?
La mia impressione è che la democrazia rappresentativa e la proliferazione di strampalate idee di giustizia ed equità sociale abbiano invero creato i presupposti per la reviviscenza di un neofeudalesimo digitale globale.
All’apice della nuova piramide feudale abbiamo certamente una piccola ma poderosa elite di persone con tanti soldi e potere che usano strumenti sovranazionali conosciuti e sconosciuti per esercitare e manifestare la loro volontà.
Tra questi troviamo prima di tutto il Fondo Monetario Internazionale (IMF), strumento finanziario delle Nazioni Unite e di ultima istanza per gran parte del mondo. Poi ci sono le banche centrali, come la Federal Reserve Bank o la Banca Centrale Europea.
Infine, non bisogna dimenticare enti sovranazionali amministrativi come l’Organizzazione Mondiale della Sanità (OMS), le già citate Nazioni Unite (ONU) o il semisconosciuto Gruppo di Azione Finanziaria Internazionale (FATF), che però ha un enorme impatto sulle nostre vite. E come dimenticare poi la nostra beneamata Unione Europea e il think-tank globalista che è il World Economic Forum?
L’insieme di persone e strutture sovranazionali compone quello che oggi potremmo definire come la testa dell’impero.
Come le app mobili condividono illegalmente i vostri dati personali Alcune app mobili condividono i vostri dati personali subito dopo l'apertura. Questo non è conforme alle leggi sulla privacy dell'UE
Weekly Chronicles #45
Scroll down for the english version
L’IRS non si accontenta
Non devono essere sembrati sufficienti gli 87.000 nuovi dipendenti che l’agenzia fiscale statunitense conta di assumere nel corso dei prossimi, dato che hanno annunciato di voler ricorrere a strumenti d’intelligenza artificiale per stringere la morsa sull’evasione fiscale.
L’agenzia dice che agli algoritmi di machine learning saranno dati in pasto quei casi troppo complessi per l’essere umano, nella speranza di cavare qualche ragno dal buco:
“[…] to target the wealthiest Americans and tackle the kinds of cases that had become too complex and cumbersome for the beleaguered agency to handle.The agency’s new funding is supposed to help the I.R.S. raise more federal revenue by cracking down on tax cheats and others who use sophisticated accounting maneuvers to avoid paying what they owe.”
La soluzione sembra a portata di mano: se è troppo complicato, usiamo l’intelligenza artificiale. Forse però i predatori dell’IRS non sanno che gli algoritmi sono fallibili e spesso danno vita ad elevati tassi d’errore. O magari fanno finta di non saperlo.
Il problema però è grave: se i casi sono talmente complessi da non essere intelligibili da menti umane, chi sarà in grado di verificare che l’intelligenza artificiale non abbia commesso errori? Quale avvocato potrà mai difendere i suoi clienti dalle oscure illazioni di un algoritmo troppo complesso da comprendere? Quale giudice potrà mai decidere nel merito?
Poco importa, d’altronde quando si tratta di fisco siamo tutti colpevoli fino a prova contraria. L’algoritmo t’incastra, l’impiegato IRS ti porta via la casa. O ti spara. O magari entrambe.
Quando compri un’auto nuova, considera anche la privacy
Lo sappiamo. Le auto nuove sono computer con le ruote: wi-fi, bluetooth, sistemi operativi che si aggiornano in automatico, sensori di ogni tipo, assistenti vocali e così via. Un incubo per la privacy. E se non lo sai, ti consiglio di leggere questo articolo sul funzionamento delle nuove auto intelligenti e il futuro distopico che ci aspetta.
Sarebbe quindi buona abitudine quando acquistiamo un’auto nuova, valutare anche il modo in cui trattano i nostri dati (e quali dati) oltre al motore e agli optional. Non è facile: dovremmo leggere decine di lunghe privacy policy scritte in legalese e valutare con attenzione le possibili conseguenze.
Fortunatamente i ricercatori di Mozilla ci danno una mano. Col loro progetto “Privacy Not Included” hanno recensito diversi produttori automobilistici per valutare chi fosse il peggiore in termini di privacy. E beh… se hai una Nissan, ho cattive notizie per te.
La loro privacy policy afferma che l’auto può acquisire e inferire dati di ogni tipo, comprese preferenze e abitudini sessuali. I dati vengono poi rivenduti a broker di vario tipo e finiscono così nel vortice infinito dell’advertising e della profilazione. Fidati, meglio fare sesso nel caro e vecchio letto. A meno che tu non abbia Alexa in camera…
Privacy Chronicles is a reader-supported publication. To receive new posts and support my work, consider becoming a free or paid subscriber.
Privacy Chronicles is a reader-supported publication. To receive new posts and support my work, consider becoming a free or paid subscriber.
Privacy Chronicles is a reader-supported publication. To receive new posts and support my work, consider becoming a free or paid subscriber.
Meno di due settimane alla Privacy Week 2023!
Manca pochissimo al festival dell’anno per appassionati di privacy e tecnologia!
Se non l’hai ancora fatto ti consiglio di seguire la pagina Instagram e iscriverti alla newsletter per non perdere nessun aggiornamento.
Come già anticipato la maggior parte degli eventi saranno trasmessi in streaming su www.privacyweek.it, ma ci sono alcuni momenti d’incontro dal vivo con ingresso libero (previa registrazione sul sito):
- Giovedì 28 settembre, dalle ore 20:30 presso Phyd, Via Tortona 31, (Milano) in cui si terrà la Privacy Night con Diego Passoni di Radio Deejay
- Venerdì 29 settembre, dalle ore 14: presso 21 House of Stories, Via Enrico Nöe 24, Città Studi (Milano) in cui si terrà l’intervista a Max Schrems e anche Bitcoin Beach, un workshop dal vivo per imparare a usare Bitcoin nel tuo esercizio commerciale (o per fare acquisti), a cura di Milano Trustless
Weekly memes
Weekly quote
“Wikipedia is the best thing ever. Anyone in the world can write anything they want about any subject. So you know you are getting the best possible information.”
Michael Scott
Support Privacy Chronicles!
One way to support Privacy Chronicles is to share this article with your friends and acquaintances and leave a like or a comment! Another way is to subscribe (with Bitcoin as well) for the equivalent of a monthly breakfast.
Or, you can make a voluntary donation in sats by scanning this QR Code:
Scan the QR Code or click here!
English Version
The IRS isn't satisfied
The 87,000 new employees that the United States tax agency plans to hire in the coming years must not have seemed sufficient, as they have announced their intention to leverage artificial intelligence tools to tighten the grip on tax evasion.
The agency states that machine learning algorithms will be tasked with handling cases that are too complex for humans, hoping to uncover hidden tax frauds:
"[...] to target the wealthiest Americans and tackle the kinds of cases that had become too complex and cumbersome for the beleaguered agency to handle.The agency’s new funding is supposed to help the I.R.S. raise more federal revenue by cracking down on tax cheats and others who use sophisticated accounting maneuvers to avoid paying what they owe."
The solution seems within reach: if it's too complicated, just use artificial intelligence.
However, perhaps the IRS predators are unaware that algorithms are fallible and often lead to high error rates. Or maybe they pretend not to know.
The problem, however, is significant: if cases are so complex that they are incomprehensible to human minds, who will be able to verify that the artificial intelligence has not made errors? Which lawyer can defend their clients against the obscure speculations of an algorithm too complex to understand? Which judge can make a fair decision?
It doesn't matter much, after all, when it comes to taxes; we are all guilty until proven innocent. The algorithm frames you, and the IRS employee takes away your home. Or perhaps he’ll shoot you. Or maybe both.
When you buy a new car, keep in mind your privacy too
We know it. New cars are computers on wheels: Wi-Fi, Bluetooth, automatically updating operating systems, all kinds of sensors, voice assistants, and so on. A privacy nightmare.
So, it would be a good practice when buying a new car to evaluate how they handle your data (and what data) in addition to the engine and other features. It's not easy: you would have to read dozens of lengthy privacy policies written in legal jargon and carefully consider the possible consequences.
Fortunately, Mozilla researchers are here to help. With their "Privacy Not Included" project, they have reviewed various car manufacturers to determine who is the worst in terms of privacy. Well... if you have a Nissan, I have bad news for you.
Their privacy policy states that the car can acquire and infer all kinds of data, including sexual preferences and habits. The data is then sold to various brokers and ends up in the endless vortex of advertising and profiling. Trust me, it's better to have sex in your good old bed. Unless you have Alexa in the bedroom...
Less than two weeks until Privacy Week 2023!
The year's festival for privacy and technology enthusiasts is just around the corner!
If you haven't already, I recommend following the Instagram page and subscribing to the newsletter to stay updated.
As previously mentioned, most events will be streamed on www.privacyweek.it, but there are some in-person meetings with free entry (registration required on the website):
- Thursday, September 28, starting at 8:30 PM at Phyd, Via Tortona 31, Milan, where the Privacy Night with Diego Passoni of Radio Deejay will be held.
- Friday, September 29, starting at 2:00 PM at 21 House of Stories, Via Enrico Nöe 24, Città Studi, Milan, where the interview with Max Schrems and Bitcoin Beach, a live workshop to learn how to use Bitcoin in your business (or for shopping), will take place, curated by Milano Trustless.
privacychronicles.it/p/weekly-…
Weekly Chronicles #44
Privacy Week 2023
Dal 25 al 29 settembre torna la Privacy Week, un festival di cui sono co-organizzatore in cui si parla di privacy, cybersecurity, crypto, nuove tecnologie e diritti umani. Si terrà a Milano in diverse sedi molto belle, come l’headquarter di Fastweb, il Museo della Scienza e della Tecnica o nella sede di Banca Sella (fintech district).
Le partecipazioni dal vivo per alcuni eventi sono limitate e su invito, ma tutti gli incontri potranno essere seguiti comodamente da www.privacyweek.it in streaming.
Qui: https://privacyweek.it/exposed puoi trovare tutto il palinsesto e i principali speaker. Tra i nomi più interessanti (per me), devo sicuramente citare: Patrick Breyer, uno dei pochi europarlamentari fermamente contro la sorveglianza di massa; Max Schrems, l’uomo che ha causato l’annullamento del Privacy Shield tra UE e USA e Giacomo Zucco, probabilmente il miglior divulgatore bitcoiner d’Italia (che partecipa per la terza volta).
Ci vedremo sicuramente dal vivo qui:
- Giovedì 28 settembre, dalle ore 20:30 presso Phyd, Via Tortona 31, (Milano) in cui si terrà la Privacy Night con Diego Passoni.
- Venerdì 29 settembre, dalle ore 14: 21 presso House of Stories, Via Enrico Nöe 24, Città Studi (Milano) in cui si terrà l’intervista a Max Schrems e anche Bitcoin Beach, un workshop dal vivo per insegnare persone e commercianti a usare Bitcoin, a cura di Milano Trustless.
Ti consiglio di registrarti sul sito e iscriverti alla newsletter per non perdere nessun aggiornamento, seguire tutti gli eventi e ricevere i dettagli per la partecipazione dal vivo.
Supporta Privacy Chronicles, iscriviti e condividi!
Twitter/X vuole i nostri meme per la sua IA
Tutto ciò che scrivi su Twitter/X sarà usato per allenare i loro modelli di intelligenza artificiale. Questo è ciò che dice l’ultimo aggiornamento alla sezione 2.1:
We may use the information we collect and publicly available information to help train our machine learning or artificial intelligence models for the purposes outlined in this policy.
A luglio di quest’anno Elon Musk aveva dichiarato di voler lanciare una nuova azienda per competere contro chatGPT di OpenAI. Le nostre conversazioni, flame e meme su Twitter/X saranno quindi il carburante con cui Musk allenerà la sua versione di chatGPT.
Se da un lato un algoritmo che fagociterà ogni nostra parola potrebbe non sembrare una grandissima notizia, potrebbe invece esserlo per la libertà d’espressione di tutti noi. Sappiamo infatti che chatGPT è estremamente orientato verso ideologie progressiste di sinistra (un cosiddetto “bias”).
Una versione sviluppata su Twitter/X potrebbe invece offrire una nuova visione, più neutrale, utile a portare un “equilibrio nella Forza” di cui abbiamo estremamente bisogno.
La chimera della Chainanalysis
Lo scorso 23 giugno Elizabeth Bisbee, head of investigations di Chainalysis Government Solutions, ha testimoniato in un giudizio di non conoscere l’accuratezza del software sviluppato dalla sua stessa azienda. Il contesto è quello di un procedimento penale contro Roman Sterlingov, sviluppatore che ha creato uno strumento di Coinjoin per Bitcoin.
Per chi non lo sapesse, potremmo definire la chainanalisys come un settore specialistico dell’informatica forense che ha lo scopo di tracciare e ricostruire il percorso delle transazioni su blockchain e identificare i wallet (e le persone) a cui si riferiscono quelle transazioni.
L’attività di chainanalysis si scontra proprio con strumenti privacy-focused come il Coinjoin, che permettono di mescolare e offuscare le transazioni per rendere estremamente complesso ogni tentativo tracciamento e re-identificazione dei wallet.
Nel corso del giudizio il software di chainanalysis è stato definito come un “black box algorithm” che fa affidamento su “junk science”.
Se il giudice dovesse dare ragione alla difesa, sarebbe indubbiamente un gran brutto colpo per tutte quelle aziende che da qualche anno promettono ai governi di tutto il mondo una bacchetta magica da miliardi di dollari per rintracciare e identificare transazioni su blockchain come Bitcoin o Ethereum.
Weekly memes
Weekly quote
“Tyranny in democratic republics does not proceed in the same way, however. It ignores the body and goes straight for the soul.
The master no longer says: You will think as I do or die. He says: You are free not to think as I do. You may keep your life, your property, and everything else. But from this day forth you shall be as a stranger among us.
You will retain your civic privileges, but they will be of no use to you. For if you seek the votes of your fellow citizens, they will withhold them, and if you seek only their esteem, they will feign to refuse even that. You will remain among men, but you will forfeit your rights to humanity.
Alexis de Tocqueville
Support Privacy Chronicles!
One way to support Privacy Chronicles is to share this article with your friends and acquaintances and leave a like or a comment! Another way is to subscribe (with Bitcoin as well) for the equivalent of a monthly breakfast.
Or, you can make a voluntary donation in sats by scanning this QR Code:
Scan the QR Code or click here!
English version
Privacy Week 2023
From September 25th to 29th, Privacy Week returns, a festival of which I am a co-organizer, focusing on discussions about privacy, cybersecurity, crypto, new technologies, and human rights. It will take place in various beautiful venues in Milan, including the headquarters of Fastweb, the Museum of Science and Technology, and the location of Banca Sella (fintech district).
Live participation for some events is limited and by invitation, but all sessions can be conveniently followed via streaming on www.privacyweek.it.
Here: privacyweek.it/exposed, you can find the full schedule and key speakers. Among the most notable names (for me), I must definitely mention: Patrick Breyer, one of the few European parliamentarians staunchly against mass surveillance; Max Schrems, the man who triggered the annulment of the Privacy Shield between the EU and the USA; and Giacomo Zucco, arguably Italy's best Bitcoin advocates and educators (participating for the third time!).
We will definitely see each other in person here:
- Thursday, September 28th, from 8:30 PM at Phyd, Via Tortona 31 (Milan), where the Privacy Night with Diego Passoni will be held.
- Friday, September 29th, from 2:00 PM to 9:00 PM at House of Stories, Via Enrico Nöe 24, Città Studi (Milan), where the interview with Max Schrems will take place, along with Bitcoin Beach, a live workshop to teach individuals and merchants to use Bitcoin, hosted by Milano Trustless.
I recommend registering on the website and subscribing to the newsletter to stay updated, follow all the events, and receive details for live participation.
Twitter/X wants our memes for its AI model
Everything you write on Twitter/X will be used to train their artificial intelligence models. This is what the latest update to section 2.1 states:
"We may use the information we collect and publicly available information to help train our machine learning or artificial intelligence models for the purposes outlined in this policy."
In July of this year, Elon Musk had announced his intention to launch a new company to compete against OpenAI's chatGPT. Our conversations, debates, and memes on Twitter/X will thus be the fuel with which Musk will train his version of chatGPT.
While an algorithm devouring every word we say might not seem like great news, it could indeed be a positive outcome for our freedom of expression. We know that chatGPT is highly oriented towards progressive left-leaning ideologies (a "bias"). A version developed on Twitter/X, on the other hand, might offer a new, more neutral perspective, helpful in bringing a much-needed "balance to the Force."
The Chimera of Chainanalysis
On June 23rd, Elizabeth Bisbee, head of investigations at Chainalysis Government Solutions, testified in a trial that she was not aware of the accuracy of the software developed by her own company. The context is a criminal case against Roman Sterlingov, a developer who created a Coinjoin tool for Bitcoin.
For those unaware, chainanalysis could be described as a specialized field of computer forensics that aims to trace and reconstruct the path of transactions on blockchains and identify the wallets (and individuals) associated with those transactions.
The activity of chainanalysis directly clashes with privacy-focused tools like Coinjoin, which allow transactions to be mixed and obscured, making any attempts at tracking and re-identifying wallets extremely complex.
During the trial, the chainanalysis software was referred to as a "black box algorithm" relying on "junk science." If the defense were to prevail, it would undoubtedly be a significant blow to all those companies that have been promising governments worldwide a multi-billion-dollar magic wand to trace and identify transactions on blockchains like Bitcoin or Ethereum.
privacychronicles.it/p/weekly-…
EU’s Digital Services Act Just Became Applicable: Outlining Ten Key Areas of Interplay with the GDPR
DSA: What’s in a Name?
The European Union’s (EU) Digital Services Act (DSA) is a first-of-its-kind regulatory framework, with which the bloc hopes to set an international benchmark for regulating online intermediaries and improving online safety. The DSA establishes a range of legal obligations, from content removal requirements, prohibitions to engage in manipulative design and to display certain online advertising targeted to users profiled on the basis of sensitive characteristics, to sweeping accountability obligations requiring audits of algorithms and assessments of systemic risks for the largest of platforms.
The DSA is part of the EU’s effort to expand its digital regulatory framework to address the challenges posed by online services. It reflects the EU’s regulatory approach of comprehensive legal frameworks which strive to protect fundamental rights, including in digital environments. The DSA should not be read by itself: it is applicable on top of the EU’s General Data Protection Regulation (GDPR), alongside the Digital Markets Act (DMA), as well as other regulations and directives of the EU’s Data Strategy legislative package.
The Act introduces strong protections against both individual and systemic harms online, and also places digital platforms under a unique new transparency and accountability framework. To address the varying levels of risks and responsibilities associated with different types of digital services, the Act distinguishes online intermediaries depending on the type of business service, size, and impact, setting up different levels of obligations.
Given the structural and “systemic” significance of certain firms in the digital services ecosystem, the regulation places stricter obligations on Very Large Online Platforms (VLOPs) and Very Large Online Search Engines (VLOSEs). These firms will have to abide by higher transparency standards, provide access to (personal) data to competent authorities and researchers, and identify, analyze, assess, and mitigate systemic risks linked to their services. Such systemic risks have been classified into four different categories (Recitals 80-84): illegal content; fundamental rights (freedom of expression, media pluralism, children’s rights, consumer protection, and non-discrimination, inter alia); public security and electoral/democratic processes; and public health protection, with a specific focus on minors, physical and mental well-being, and gender-based violence.
The European Commission designated VLOPs and VLOSEs earlier this year (see Table 1), based on criteria laid out in the DSA and a threshold number of 45 million monthly users across the EU. The DSA obligations for these designated online platforms became applicable on August 25, 2023, with the exception of a transparency database whose publication was postponed for a month following complaints. The full regulation becomes applicable for all covered starting on February 17, 2024.
Table 1 – Mapping the 19 Designated Companies by the European Commission (April 2023)
| Type of service | Company | Digital Service | Type of designation |
| Social Media | Alphabet | Youtube | VLOP |
| Meta | VLOP | ||
| Meta | VLOP | ||
| Bytedance | TikTok | VLOP | |
| Microsoft | VLOP | ||
| Snap | Snapchat | VLOP | |
| VLOP | |||
| X (formerly known as Twitter) | X (formerly known as Twitter) | VLOP | |
| App Stores | Alphabet | Google App Store | VLOP |
| Apple | Apple App Store | VLOP | |
| Wiki | Wikimedia | Wikimedia | VLOP |
| Marketplaces | Amazon* | Amazon Marketplace | VLOP |
| Alphabet | Google Shopping | VLOP | |
| Alibaba | AliExpress | VLOP | |
| Booking.com | Booking.com | VLOP | |
| Zalando* | Zalando | VLOP | |
| Maps | Alphabet | Google Maps | VLOP |
| Search | Alphabet | Google Search | VLOSE |
| Microsoft | Bing | VLOSE |
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
* The companies that sought to challenge their designation as ‘VLOPs’ – the European General Court will be addressing these challenges and will determine whether the European Commission’s designation shall be upheld.
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
However, VLOPs and VLOSEs are not the only regulated entities. All intermediaries that offer their services to users based in the EU, including online platforms such as app stores, collaborative economy platforms, and social media platforms, fall within the scope of the regulation, regardless of their number of users. Notably, micro and small-sized enterprises that do not meet the VLOP/VLOSE criteria, as defined by EU law, are exempted from some of the legal obligations. While “regular” online platforms may have scaled down requirements compared to VLOPs/VLOSEs, their new legal obligations are nonetheless significant and include, among others, transparency regarding their recommendation systems, setting up internal complaint-handling mechanisms, prohibitions on designing their platforms in a way that deceives or manipulates users, and prohibitions on presenting ads based on profiling using special categories of personal data, including personal data of minors.
All providers of intermediary services, including online platforms, covered by the DSA are also “controllers” under the GDPR to the extent that they process personal data and decide on the means and purposes of such processing. As a consequence, they have to comply with both these legal frameworks at the same time. While the DSA stipulates, pursuant to Recital 10, that the GDPR and the ePrivacy Directive serve as governing rules for personal data protection, some DSA provisions intertwine with GDPR obligations in complex ways, requiring further analysis. For instance, some of the key obligations in the DSA refer to “profiling” as defined by the GDPR, while others create a legal requirement for VLOPs and VLOSEs to give access to personal data to researchers or competent authorities.
After a brief overview of the scope of application of the DSA and a summary of its key obligations based on the type of covered entity (see Table 2), this blog maps out ten key areas where the DSA and the GDPR interact in consequential ways and reflects on the impact of this interaction on the enforcement of the DSA. The ten interplay areas we are highlighting are:
- Manipulative design in online interfaces;
- Targeted advertising based on sensitive data;
- Targeted advertising and protection of minors;
- Recommender systems free-of-profiling;
- Recommender systems and advertising transparency;
- Access to data for researchers and competent authorities;
- Takedown of illegal content;
- Risk Assessments;
- Compliance function and the DSA legal representative;
- Intermediary liability and the obligation to provide information.
The DSA Applies to Intermediary Services of Various Types and Sizes and Has Broad Extraterritorial Effect
The DSA puts in place a horizontal framework of layered responsibilities targeted at different types of online intermediary services, including:
| (1) Intermediary services offering network infrastructure | Including “mere conduit services” (e.g. internet access, content delivery networks, WiFi hotspots); “caching services” (e.g. automatic, intermediate, and temporary storage of information); and “hosting services” (e.g. cloud and web-hosting services). |
| (2) Online platform services | Providers bringing together sellers and consumers, such as online marketplaces, app stores, collaborative economy platforms, social media platforms, and providers that disseminate information to the public. |
| (3) Very Large Online Platforms (VLOPs) | Reaching at least 45 million active recipients in the EU on a monthly basis (10% of the EU population). |
| (4) Very Large Online Search Engines (VLOSEs) | Reaching at least 45 million active recipients in the EU on a monthly basis (10% of the EU population). |
Recitals 13 and 14 of the DSA highlight the importance of “disseminating information to the public” as a benchmark for which online platforms fall under the scope of the Regulation and the specific category of hosting services. For instance, Recital 14 explains that emails or private messaging services fall outside the definition of online platforms “as they are used for interpersonal communication between a finite number of persons determined by the sender of the communication.” However, the DSA obligations for online platforms may still apply to them if such services “allow the making available of information to a potentially unlimited number of recipients, … such as through public groups or open channels.”
Important carve-outs are made in the DSA for micro and small-sized enterprises, as defined by EU law, that do not meet the VLOP/VLOSE criteria. These firms are exempted from some of the legal obligations, in particular from making available an annual report on the content moderation they engage in, as well as the more substantial additional obligations imposed on providers of online platforms in Articles 20 to 28 – such as the prohibition to display ads based on profiling conducted on special categories of personal data, and obligations for platforms allowing consumers to conclude distance contracts with traders in Articles 29 to 32.
These carve-outs come in contrast with the broad applicability of the GDPR to entities of all sizes. This means, for instance, that even if micro and small-sized enterprises that are online platforms do not have to comply with the prohibitions related to displaying ads based on profiling using special categories of personal data and profiling of minors, they continue to fall under the scope of the GDPR and its requirements that impact such profiling.
The DSA has extra-territorial effect and global coverage, similar to the GDPR, since it captures companies regardless of whether they are established in the EU or not, as long as the recipients of their services have their place of establishment or are located in the EU (Article 2).
The DSA Just Became Applicable to VLOPs and VLOSEs and Will Continue to Roll Out to All Online Platforms
The Act requires that platforms and search engines publish their average monthly number of active users/recipients with the EU-27 (Article 24 – check the European Commission’s guidance on the matter). The first round of sharing those numbers was due on February 17, 2023. Based on the information shared through that exercise, the Commission designated the VLOPs and VLOSEs with additional obligations because of the “systemic risks that they pose to consumers and society,” (Article 33). The designation announcement was made public on April 25.
Four months after the designation, on August 25, 2023, the DSA provisions became applicable to VLOPs and VLOSEs through Article 92. This means that the designated platforms must already implement their obligations, such as conducting risk assessments, increasing transparency of recommender systems, and offering an alternative feed of content not subject to recommender systems based on profiling (see an overview of their obligations in Table 2).
As of February 17, 2024, all providers of intermediary services must comply with a set of general obligations (Articles 11-32), with certain exceptions for micro and small enterprises as explained above.
Table 2 – List of DSA Obligations as Distributed Among Different Categories of Intermediary Service Providers
| Pillar obligations | Set of Obligations | Intermediary Services | Hosting Services | Online Platforms | VLOPs/VLOSEs |
| Transparency measures | Transparency reporting (Article 15) |  | | | |
| Requirements on terms and conditions wrt fundamental rights (Article 14) | | | | | |
| Statement of reasons (Article 17) | | | |||
| Notice-and-action and obligation to provide information to users (Article 16) | | | | ||
| Recommender system transparency (Articles 27 and 38) | | | |||
| User-facing transparency of online advertising (Article 24) | | | |||
| Online advertising transparency (Article 39) | | ||||
| User choice for access to information (Article 42) | | ||||
| Oversight structure to address the complexity of the online intermediary services ecosystem | Cooperation with national authorities following orders (Article 11) | | | | |
| Points of contact for recipients of service (Article 12) and, where necessary, legal representatives (Article 13) | | | | | |
| Internal complaint and handling system (Article 20) and redress mechanism (Article 32) and out-of-court dispute settlement (Article 21) | | | |||
| Independent auditing and public accountability (Article 37) | | ||||
| Option for recommender systems not based on profiling (Article 38) | | ||||
| Supervisory fee (Article 43) | | ||||
| Crisis response mechanism and cooperation process (Article 36) | | ||||
| Manipulative Design | Online interface design and organization (Article 25) | | | ||
| Measures to counter illegal goods, services, or content online | Trusted flaggers (Article 22) | | | ||
| Measures and protection against misuse (Article 23) | | | |||
| Targeted advertising based on sensitive data (Article 26) | | | |||
| Online protection of minors (Article 28) | | | |||
| Traceability of traders (Articles 30-32) | | | |||
| Reporting criminal offenses (Article 18) | | | |||
| Risk management obligations and compliance officer (Article 41) | | | |||
| Risk assessment and mitigation of risks (Articles 34-35) | | ||||
| Codes of conduct (Articles 45-47) | | ||||
| Access to data for researchers | Data sharing with authorities and researchers (Article 40) | |
From Risk Assessments to Profiling and Transparency Requirements – Key Points of Interplay Between the DSA and GDPR
While the DSA and the GDPR serve different purposes and objectives at face value, ultimately both aim to protect fundamental rights in a data-driven economy and society, on the one hand, and reinforce the European single market, on the other hand. The DSA aims to establish rules for digital services and their responsibilities toward content moderation and combating systemic risks, so as to ensure user safety, safeguard fairness and trust in the digital environment, and enhance a “single market for digital services.” Notably, providing digital services is inextricably linked to processing data, including personal data. The GDPR seeks to protect individuals in relation to how their personal data is processed, ensuring that such processing respects their fundamental rights, while at the same time seeking to promote the free movement of personal data within the EU.
While the two regulations do not have the same taxonomy of regulated actors, the broad scope of the GDPR’s definitions of “controllers” and “processing of personal data” are such that all intermediaries covered by the DSA are also controllers under the GDPR in relation to any processing of personal data they engage in and for which they establish the means and purposes of processing. Some intermediaries might also be “processors” under the GDPR in specific situations, a fact that needs to be assessed on a case-by-case basis. Overall, this overlap triggers the application of both regulations, with the GDPR seemingly taking precedence over most of the DSA (Recital 10 of the DSA), with the exception of the intermediary liability rules in the DSA as the updated eCommerce Directive, which take precedence over the GDPR (Article 2(4) of the GDPR).
The DSA mentions the GDPR 19 times in its text across recitals and articles, with “profiling” as defined by the GDPR playing a prominent role in core obligations for all online platforms. These include the two prohibitions to display ads based on profiling that use sensitive personal data or the data of minors, and the obligation that any VLOPs and VLOSEs that use recommender systems must provide at least one option for their recommender systems not based on profiling. The GDPR plays an additional role in setting the definition for sensitive data (“special categories of data”) in its Article 9, which the DSA specifically refers to for the prohibition of displaying ads based on profiling done on such data. In addition to these cross-references, where it will be essential to apply the two legal frameworks consistently, there are other areas of overlap that create complexity for compliance, at the minimum, but also risks for inconsistencies (such as the DSA risk assessment processes and the GDPR Data Protection Impact Assessment). Additional overlaps may confuse individuals concerned regarding the best legal framework to rely on for removing their personal data from online platforms, as the DSA sets up a framework for takedown requests for illegal content that may also include personal data and the GDPR provides individuals with the right to obtain erasure of their personal data in specific contexts.
In this complex web of legal provisions, here are the elements of interaction between the two legal frameworks that stand out. As the applicability of the DSA rolls out on top of GDPR compliance programs and mechanisms, other such areas may surface.
- Manipulative Design (or “Dark Patterns”) in Online Interfaces
These are practices that “materially distort or impair, either on purpose or in effect, the ability of recipients of the service to make autonomous and informed choices or decisions,” per Recital 67 DSA. Both the GDPR and the DSA address these practices, either directly or indirectly. The GDPR, on the one hand, offers protection against manipulative design in cases that involve processing of personal data. The protections are relevant for complying with provisions detailing lawful grounds for processing, requiring data minimization, setting out how valid consent can be obtained and withdrawn, or how controllers must apply Data Protection by Design and by Default when building their systems and processes.
Building on this ground, Article 25 of the DSA, read in conjunction with Recital 67, includes a ban on providers of online platforms to “design, organize or operate their online interfaces in a way that deceives or manipulates the recipients of their service or in a way that otherwise materially distorts or impairs the ability of the recipients of their service to make free and informed decisions.” The ban seems to be applicable only to online platforms as defined in Article 3(i) of the DSA, as a subcategory of the wide spectrum of intermediary services. Importantly, the DSA specifies that the ban on dark patterns does not apply to practices covered by the Unfair Commercial Practices Directive (UCPD) or the GDPR. Article 25(3) of the DSA highlights that the Commission is empowered to issue guidelines on how the ban on manipulative design applies to specific practices, so further clarity is expected. And since the protection vested by the GDPR against manipulative design will remain relevant and primarily applicable, it will be essential for consistency that these guidelines are developed in close collaboration with Data Protection Authorities (DPAs).
- Targeted Advertising Based on Sensitive Data
Article 26(3) and Recital 68 of the DSA underline a prohibition of the providers of online platforms to “present” ads to users stemming from profiling them, as defined by Article 4(4) of the GDPR, based on sensitive personal data, as defined by Article 9 of the GDPR. Such personal data include race, religion, health status, and sexual orientation, among others on a limited list. However, it is important to mention that case law from the Court of Justice of the EU (CJEU) may further complicate the application of this provision. In particular, Case C-184/20 OT, in a judgment published a year ago, expanded “special categories of personal data” under the GDPR to also cover any personal data from which a sensitive characteristic may be inferred. Additionally, the very recent CJEU judgment in Case C-252/21 Meta v. Bundeskartellamtmakes important findings regarding how social media services as a category of online platforms can lawfully engage in profiling of their users pursuant to the GDPR, including for personalized ads. While the DSA prohibition is concerned with “presenting” ads based on profiling using sensitive data, rather than with the activity of profiling itself, it must be read in conjunction with the obligations in the GDPR for processing personal data for profiling and with the relevant CJEU case-law. To this end, the European Data Protection Board has published relevant guidelines for automated decision-making and profiling in general, but also specifically on targeting of social media users.
- Targeted Advertising and Protection of Minors
Recital 71 of the GDPR already provides that solely automated decision-making, including profiling, with legal or similarly significant effects should not apply to children – a rule that is relevant for any type of context, such as educational services, and not only for online platforms. The DSA enhances this protection when it comes to online platforms, prohibiting the presentation of ads on their interface based on profiling by using personal data of users “when they are aware with reasonable certainty that the recipient of the service is a minor” (Article 28 of the DSA). Additionally, in line with the principle of data minimization provided by Article 5(1) of the GDPR, this DSA prohibition should not lead the provider of the online platform to “maintain, acquire or process” more personal data than it already has in order to assess if the recipient of the service is a minor. While this provision addresses all online platforms, VLOPs and VLOSEs are expected to take “targeted measures to protect the rights of the child, including age verification and parental control tools” as part of their obligation in Article 35(1)(j) to put in place mitigation measures tailored to their specific systemic risks identified following the risk assessment process. As highlighted in a recent FPF infographic and report on age assurance technology, age verification measures may require processing of additional personal data than what the functioning of the online service requires, which could be at odds with the data minimization principles in the absence of additional safeguards. This is an example where the two regulations complement each other.
In recent years, DPAs have been increasingly regulating the processing of personal data of minors. For instance, in the EU, the Irish Data Protection Commission published Fundamentals for a Child-Oriented Approach to Data Processing, the Italian Garante often includes the protection of children in its high-profile enforcement decisions (see, for instance, the TikTok and ChatGPT cases), and the CNIL in France published recommendations to enhance the protection of children online and launched several initiatives to enhance digital rights of children. This is another area where collaboration with DPAs will be very important for consistent application of the DSA.
- Recommender Systems and Advertising Transparency
A significant area of overlap between the DSA and the GDPR relates to transparency. A key purpose of the DSA is to increase overall transparency related to online platforms, manifesting through several obligations, while transparency related to how one’s personal data are processed is an overarching principle of the GDPR. Relevant areas for this principle in the GDPR are found in Article 5, through extensive notice obligations in Articles 13 and 14, data access obligations in Article 15, and underpinned by modalities on how to communicate to individuals in Article 12. Two of the DSA obligations that increase transparency are laid out in Article 27, which imposes on providers of online platforms transparency related to how recommender systems work, and in Article 26, which imposes transparency related to advertising on online platforms. To implement the latter obligation, the DSA requires, per Recital 68, that the “recipients of a service should have information directly accessible from the online interface where the advertisement is presented, on the main parameters used for determining that a specific advertisement is presented to them, providing meaningful explanations of the logic used to that end, including when this is based on profiling.”
As for transparency related to recommender systems, Recital 70 of the DSA explains that online platforms should consistently ensure that users are appropriately informed about how recommender systems impact the way information is displayed and can influence how information is presented to them. “They should clearly present the parameters for such recommender systems in an easily comprehensible manner” to ensure that the users “understand how information is prioritized for them,” including where information is prioritized “based on profiling and their online behavior.” Notably, Articles 13(2)(f) and 14(2)(g) of the GDPR require that notices to individuals whose personal data is processed include “meaningful information about the logic involved, as well as the significance and the envisaged consequences” of automated decision-making, including profiling. These provisions should be read and applied together, complementing each other, to ensure consistency. This is another area where collaboration between DPAs and the enforcers of the DSA would be desirable. To understand the way in which DPAs have been applying this requirement so far, this case-law overview on automated decision-making under the GDPR published by the Future of Privacy Forum last year is helpful.
- Recommender Systems Free-of-Profiling
“Profiling” as defined by the GDPR also plays an important role in one of the key obligations of VLOPs and VLOSEs: to offer users an alternative feed of content not based on profiling. Technically, this stems from an obligation in Article 38 of the DSA for VLOPs and VLOSEs to “provide at least one option for each of their recommender systems which is not based on profiling.” The DSA explains in Recital 70 that a core part of an online platform’s business is the manner in which information is prioritized and presented on its online interface to facilitate and optimize access to information for users: “This is done, for example, by algorithmically suggesting, ranking and prioritizing information, distinguishing through text or other visual representations, or otherwise curating information provided by recipients.”
The DSA text further explains that “such recommender systems can have a significant impact on the ability of recipients to retrieve and interact with information online, including to facilitate the search of relevant information,” as well as playing an important role “in the amplification of certain messages, the viral dissemination of information and the stimulation of online behavior.” Additionally, as part of their obligations to assess and mitigate risks on their platforms, VLOPs and VLOSEs may need to adjust the design of their recommender systems. Recital 94 of the DSA explains that they could achieve this “by taking measures to prevent or minimize biases that lead to the discrimination of persons in vulnerable situations, in particular where such adjustment is in accordance with Article 9 of the GDPR,” where Article 9 establishes conditions for processing sensitive personal data.
- Access to Data for Researchers and Competent Authorities
Article 40 of the DSA includes an obligation for VLOPs and VLOSEs to provide access to the data necessary to monitor their compliance with the regulation to competent authorities (Digital Services Coordinators designated at the national level in the EU Member State of their establishment or the European Commission). This includes access to data related to algorithms, based on a reasoned request and within a reasonable period specified in the request. Additionally, they also have an obligation to provide access to vetted researchers following a request of their Digital Services Coordinator of establishment “for the sole purpose of conducting research that contributes to the detection, identification, and understanding of systemic risks” in the EU, and “to the assessment of the adequacy, efficiency, and impacts of the risk mitigations measures.” This obligation presupposes that the platforms may be required to explain the design, logic of the functioning, and the testing of their algorithmic systems, in accordance with Article 40 and its corresponding Recital 34.
Providing access to online platforms’ data entails, in virtually all cases, providing access to personal data as well, which brings this processing under the scope of the GDPR and triggers its obligations. Recital 98 of the DSA highlights that providers and researchers alike should pay particular attention to safeguarding the rights of individuals related to the processing of personal data granted by the GDPR. Recital 98 adds that “providers should anonymize or pseudonymize personal data except in those cases that would render impossible the research purpose pursued.” Notably, the data access obligations in the DSA are subject to further specification through delegated acts, to be adopted by the European Commission. These acts are expected to “lay down the specific conditions under which such sharing of data with researchers can take place” in compliance with the GDPR, as well as “relevant objective indicators, procedures and, where necessary, independent advisory mechanisms in support of sharing of data.” This is another area where the DPAs and the DSA enforcers should closely collaborate.
- Takedown of Illegal Content
Core to the DSA are obligations for hosting services, including online platforms, to remove illegal content: Article 16 of the DSA outlines this obligation based on a notice-and-action mechanism initiated at the notification of any individual or entity. The GDPR confers rights on individuals to request erasure of their personal data (Article 17 of the GDPR) under certain conditions, as well as the right to request rectification of their data (Article 16 of the GDPR). These rights of the “data subject” under the GDPR aim to strengthen individuals’ control over how their personal data is collected, used, and disseminated. Article 3(h) of the DSA defines “illegal content” as “any information that, in itself or in relation to an activity … is not in compliance with Union law or the law of any Member State…, irrespective of the precise subject matter or nature of that law.” As a result, to the extent that “illegal content” as defined by the DSA is also personal data, an individual may potentially use either of the avenues, depending on how the overlap of the two provisions is further clarified in practice. Notably, one of the grounds for obtaining erasure of personal data is if “the personal data has been unlawfully processed,” and therefore processed not in compliance with the GDPR, which is Union law.
Article 16 of the DSA highlights an obligation for hosting services, including online platforms, to put mechanisms in place to facilitate the submission of sufficiently precise and adequately substantiated notices. Article 12 of the GDPR, on another hand, requires controllers to facilitate the exercise of data subject rights, including erasure, and to communicate information on the action taken without undue delay and in any case no longer than one month after receiving the request. The DSA does not prescribe a specific timeline to deal with notices for removal of illegal content, other than “without undue delay.” All hosting services and online platforms whose activity falls under the GDPR have internal processes set up to respond to data subject requests, which could potentially be leveraged in setting up mechanisms to remove illegal content pursuant notices as requested by the DSA. However, a key differentiator is that in the DSA content removal requests can also come from authorities (see Article 9 of the DSA) and from “trusted flaggers” (Article 22), in addition to any individual or entity – each of these situations under their own conditions. In contrast, erasure requests under the GDPR can only be submitted by data subjects (individuals whose personal data is processed), either directly or through intermediaries acting on their behalf. DPAs may also impose the erasure of personal data, but only as a measure pursuant to an enforcement action.
VLOPs/VLOSEs will have to additionally design mitigation measures ensuring the adoption of content moderation processes, including the speed and quality of processing notices related to specific types of illegal content and its expeditious removal.
- Risk Assessments
The DSA, pursuant to Article 34, obliges VLOPs/VLOSEs to conduct a risk assessment at least once per year to identify, analyze, and assess “systemic risks stemming from the design or functioning of their service and its related systems,” including algorithmic systems. The same entities are very likely subject to the obligation to conduct a Data Protection Impact Assessment (DPIA) under Article 35 of the GDPR, as at least some of their processing operations, like using personal data for recommender systems or profiling users based on personal data to display online advertising, meet the criteria that trigger the DPIA obligation. A DPIA is required in particular where processing of personal data “using new technologies, and taking into account the nature, scope, context, and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons.”
There are four systemic risks that the DSA asks to be included in the risk assessment: dissemination of illegal content; any actual or foreseeable negative effects on the exercise of specific fundamental rights, among which the right to respect for private life and the right to the protection of personal data are mentioned; any actual or foreseeable negative effects on civic discourse, electoral processes and public security; and any actual foreseeable negative effects in relation to gender-based violence, the protection of public health and minors, and serious negative consequences to the person’s physical and mental well-being.
Among the elements that a DPIA under the GDPR must include is “an assessment of the risks to the rights and freedoms of data subjects” that may arise from how controllers process personal data through new technologies, such as algorithmic systems. Other elements that must be included are the measures envisaged to address these risks, similar to how Article 35 of the DSA requires VLOPs/VLOSEs to put mitigation measures in place tailored to the identified risks. The EDPB has also published guidelines on how to conduct DPIAs.
When conducting the risk assessments required by the DSA, VLOPs/VLOSEs must take into account whether and how specific factors enumerated in Article 34(2) influence any of the systemic risks mentioned. Most factors to consider are linked to how VLOPs/VLOSEs process personal data, such as the design of their algorithmic systems, the systems for selecting and presenting advertisements, and generally their data-related practices.
Both DSA risk assessments and DPIAs are ex-ante risk assessment obligations and both involve some level of engagement with supervisory authorities. The scope of the assessments differ, with the DSA focused on systemic risks and risks that go beyond impact on fundamental rights, and the GDPR’s DPIA focused on any risks that novel processing of personal data may pose on fundamental rights and freedoms and on assessments unique to data protection. However, they also have areas of clear overlap where processing of personal data is involved. DPIAs can potentially feed into DSA risk assessments, and the two processes should be implemented consistently.
- Compliance Function and the DSA Legal Representative
Under the DSA, in accordance with Article 41, the designated VLOPs/VLOSEs will be obliged to establish a “compliance function,” which can be composed of several compliance officers. This function must be (i) independent from their operational functions; (ii) allocated with sufficient authority, stature and resources; and must have (iii) access to the management body of the provider to monitor the compliance of that provider with the DSA. On top of that, the compliance function will have to cooperate with the Digital Services Coordinator of the establishment, ensure that all risks are identified through the risk assessments and that the mitigation measures are effective, as well as inform and advise the management and employees of the provider in relation to DSA obligations.
All providers of the services designated as VLOPs and VLOSEs who are also controllers under the GDPR are under an obligation to appoint a Data Protection Officer (DPO), as they very likely meet the criteria required by Article 37 of the GDPR due to the nature and scope of their processing activities involving personal data. There are similarities between the compliance function and the DPO, including their independence, reporting to the highest management level, their key task to monitor compliance with the whole regulation that creates their role, or their task to cooperate with the competent supervisory authorities. Appointing two independent roles that have a powerful internal position and with roles that may overlap to a certain extent will require consistency and coordination, which can be supported by further guidance from DPAs and DSA supervisory authorities.
Another role in the application of the two regulations that has many similarities is the role of a “representative” in the EU, in the situations of extraterritorial applicability of the DSA and the GDPR covering entities that do not have an establishment in the EU. In the DSA, this obligation pertains to all online service providers, pursuant to Article 13. If they are processing personal data in the context of targeting their services to individual recipients in the EU or if they monitor the recipients’ behavior, the service provider triggers the extraterritorial application of the GDPR as well. In such cases, they also need to appoint a GDPR representative, in accordance with Article 27. Under the GDPR, the representative acts as a mere “postal box” or point of correspondence between the non-EU controller and processor on one hand and DPAs or data subjects on the other hand, with liability that does not go beyond its own statutory obligations. In contrast, Article 13(3) of the DSA suggests that the “legal representative” could be held liable for failures of the intermediary service providers to comply with the DSA. Providers must mandate their legal representatives for the purpose of being addressed “in addition to or instead of” them by competent authorities, per Article 13(2) of the DSA.
Recital 44 of the DSA clarifies that the obligation to appoint a “sufficiently mandated” legal representative “should allow for the effective oversight and, where necessary, enforcement of this regulation in relation to those providers.” The legal representative must have “the necessary powers and resources to cooperate with the relevant authorities” and the DSA envisages that there may be situations where providers even appoint in this role “a subsidiary undertaking of the same group as the provider, or its parent undertaking, if that subsidiary or parent undertaking is established in the Union.” Recital 44 of the DSA also clarifies that the legal representative may also only function as a point of contact, “provided the relevant requirements of this regulation are complied with.” This could mean that if other structures are in place to ensure an entity on behalf of the provider can be held liable for non-compliance by a provider with the DSA, the representative can also function just as a “postal box.”
- Intermediary Liability and the Obligation to Provide Information
Finally, the GDPR and the DSA intersect in areas where data protection, privacy, and intermediary liability overlap.
The GDPR, per Article 2, stresses that its provisions shall be read without prejudice to the e-Commerce Directive (2000/31/EC), in particular, to “the liability rules of intermediary service providers in Articles 12 to 15 of that Directive”. However, the DSA, pursuant to its Article 89, stipulates that while Articles 12 to 15 of the e-Commerce Directive become null, relevant “references to Articles 12 to 15 of Directive 2000/31/EC shall be construed as references to Articles 4, 5, 6 and 8 of this Regulation, respectively.”
The DSA deals with the liability of intermediary services providers, especially through Articles 4 to 10. With respect to Article 10, addressing orders to provide information, the DSA emphasizes the strong envisaged cooperation between intermediary service providers, national authorities, and also the Digital Services Coordinators as enforcers. This could potentially involve the sharing of information, including in certain cases that already collected personal data, in order to combat illegal content online. The GDPR actively passes the baton on intermediary liability on the DSA, but in the eventuality of data sharing and processing, the intermediary service providers should ensure that they comply with the protections of the GDPR (in particular sections 2 and 3). This overlap signals yet another instance where the two Regulations will be complementary to each other, this time in the case of intermediary liability and the obligation to provide information.
The DSA Will Be Enforced Through a Complex Web of Authorities, And The Interplay With The GDPR Complicates It
Enforcement in such a complex space will be challenging. In a departure from the approach promoted by the GDPR, where enforcement is ensured primarily at the national level and through the One Stop Shop mechanism for cross-border cases coordinated through the European Data Protection Board, the DSA centralizes enforcement of the DSA at the EU level when it comes to VLOPs and VLOSEs, leaving it in the hands of the European Commission.
However, Member States will also be playing a role in ensuring enforcement of the DSA against the intermediary services providers who are not VLOPs and VLOSEs. Each Member State must designate one or more competent authorities for the enforcement of the DSA, and if they designate more, they must choose one to be appointed as their Digital Services Coordinator (DSC). The deadline to designate DSCs is February 2024. Challenges come with the designation of national competent authorities left to the Member States, as it seems that there is no consistent approach related to what type of authority will be most appropriately positioned to enforce the Act. Not all Member States have appointed their DSCs for the time being, but there is a broad spectrum of enforcers that Member States plan to rely on, creating a scattered landscape.
Table 3 – Designated Authorities as Digital Services Coordinators Across the EU Member States
| Digital Services Coordinators | Member States |
| Media Regulator | Belgium, Hungary, Ireland and Slovakia |
| Consumer Protection Authority | Finland and the Netherlands |
| Telecoms Regulator | Czech Republic, Germany, Greece, Italy, Poland, Slovenia and Sweden |
| Competition Authority | Spain |
The Digital Services Coordinators will be closely collaborating and coordinating with the European Board for Digital Services, which will be undertaking an advisory capacity (Articles 61-63 of the DSA), in order to ensure consistent cross-border enforcement. Member States are also tasked to adopt national rules on penalties applicable to infringements of the DSA, including fines that can go up to 6% of the annual worldwide turnover of the provider of intermediary services concerned in the preceding financial year (Article 52 of the DSA). Complaints can be submitted to DSCs by recipients of the services and by any body, organization, or association mandated to exercise rights conferred by the DSA to recipients. With respect to VLOPs and VLOSEs, the European Commission can issue fines not exceeding 6% of the annual worldwide turnover in the preceding year, following decisions of non-compliance which can also ask platforms to take necessary measures to remediate the infringements. Moreover, the Commission can also order interim measures before an investigation is completed, where there is an urgency due to the risk of serious damage to the recipients of the service.
The recipients of the service, including users of online platforms, also have a right to seek compensation from providers of intermediary services for damages or loss they suffer due to infringements of the DSA (Article 54 of the DSA). The DSA also applies in out-of-court dispute resolution mechanisms with regard to decisions of online platforms related to illegal content (Article 21 of the DSA), independent audits in relation to how VLOPs/VLOSEs comply with their obligations (Article 37 of DSA), and voluntary codes of conduct adopted at the Union level to tackle various systemic risks (Article 45), including codes of conduct for online advertising (Article 46) and for accessibility to online services (Article 47).
The newly established European Centre for Algorithmic Transparency (ECAT) also plays a role in this enforcement equation. The ECAT will be supporting the Commission in its assessment of VLOPs/VLOSEs with regard to risk management and mitigation obligations. Moreover, it will be particularly relevant to issues pertaining to recommender systems, information retrieval, and search engines. The ECAT will use a principles-based approach to assessing fairness, accountability, and transparency. However, the DSA is not the only regulation relevant to the use of algorithms and AI by platforms: the GDPR, the upcoming Digital Markets Act, the EU AI Act, and the European Data Act add to this complicated landscape.
The various areas of interplay between the DSA and the GDPR outlined above require consistent interpretation and application of the law. However, there is no formal role recognized in the enforcement and oversight structure of the DSA for cooperation or coordination, specifically among DPAs, the European Data Protection Board, or the European Data Protection Supervisor. This should not be an impediment to setting up processes for such cooperation and coordination within their respective competencies, as the rollout of the DSA will likely reveal the complexity of the interplay between the two legislative frameworks even beyond the ten areas outlined above.
Editor: Alexander Thompson
Weekly Chronicles #43
Scroll down for the english version
Tor introduce la Proof of Work contro il DoS
Con la release 0.4.8 Tor introdurrà un meccanismo di Proof of Work (PoW) per dare priorità a traffico verificato e mitigare così l’impatto degli attacchi Denial of Service che interessano la rete Tor da ormai molto tempo.
Il meccanismo di protezione è semplice ma efficace: prima di accedere a un servizio onion il client deve dimostarre di aver risolto un piccolo puzzle matematico. All’aumentare delle richieste aumenterà anche il lavoro richiesto. Per un utente normale questo non dovrebbe richiedere più di qualche millisecondo, ma per chi invece indirizza numerose richieste verso lo stesso servizio (come le reti di bot che compiono attacchi DoS) il costo aumenta esponenzialmente, rendendo difficoltoso e costoso l’attacco (in termini di tempo, e quindi denaro).
Support Privacy Chronicles, subscribe today!
Il problema del DoS però non è altro che una sfaccettatura dell’annoso problema, ben più ampio, della distinzione tra umani e bot su Internet.
Essendo Tor un servizio nato per offuscare l’identità fisica e la posizione geografica degli utenti, la via per distinguere umani e bot non poteva certo essere quella del KYC — come proposto ad esempio da Sam Atman con il progetto “Worldcoin”.
Nei prossimi mesi e anni dovremo aspettarci sempre più pressione da parte di aziende, governi e organizzazioni per risolvere questo problema. Forse la community crypto (mi riferisco in particolare a Bitcoin e Monero) dovrebbe iniziare a pensare seriamente a modi per sfruttare questi network per dimostrare la propria umanità online senza cedere privacy.
Collari e guinzagli digitali per migranti illegali
Il governo inglese sta pensando a nuovi modi per gestire i migranti illegali che arrivano nel paese. La nuova legge in materia, l’Illegal Migration Act, prevede infatti il potere di trattenere e controllare ogni migrante irregolare e richiedente asilo.
L’idea è quella di attaccare al migrante di turno una targhetta GPS (immagino con una sorta di braccialetto elettronico non facilmente rimovibile) che permetta di tracciarli in tempo reale sul territorio.
Collari e guinzagli digitali per i nuovi schiavi del welfare. Qualcuno dovrà pur servire e lavorare per la gerontocrazia europea negli anni che verranno. Quale modo migliore per aprire una finestra di Overton sulla nuova schiavitù se non abituare le persone ad accettare collari e guinzagli digitali per il fatto di avere la pelle scura e venire da un altro continente? Vi ricorda niente?
La ri-educazione forzata di Jordan Peterson
Tre giudici della Ontario Divisional Court hanno deciso che Jordan Peterson, celebre psicologo canadese, sarà costretto a seguire un corso di rieducazione sulla “comunicazione professionale sui social” per non perdere la sua licenza.
La questione nasce da una causa portata vanti dal College of Psychologists of Ontario a seguito di alcune affermazioni di Peterson sul Joe Rogan Podcast e su X riguardo il movimento LGBTQ+, il cambiamento climatico e diverse dichiarazioni contro alcuni politici canadesi e Trudeau, che ha recentemente chiamato “lying climate-apocalypse mongers”.
Peterson ha commentato così su X la decisione dei giudici:
"So the Ontario Court of Appeal ruled that @CPOntario can pursue their prosecution. If you think that you have a right to free speech in Canada, you're delusional. I will make every aspect of this public. And we will see what happens when utter transparency is the rule. Bring it…"
I buoni ancora una volta si distinguono per ciò che sono: tirannici, violenti, e completamente intenti nel silenziare qualsiasi opinione divergente. Esprimere il tuo pensiero non è vietato, ma potrebbe essere poco carino. Meglio se stai zitto. E se proprio non ci riesci, ti aiutano loro. Magari con un bel campo di rieducazione forzata.
Sul silenzio forzato ne ho scritto proprio settimana scorsa…
Weekly memes
Weekly quote
The truth is something that burns. It burns off dead wood. And people don't like having the dead wood burnt off, often because they're 95 percent dead wood.
Jordan Peterson
Support Privacy Chronicles!
One way to support Privacy Chronicles is to share this article with your friends and acquaintances and leave a like or a comment! Another way is to subscribe (with Bitcoin as well) for the equivalent of a monthly breakfast.
Or, you can make a voluntary donation in sats by scanning this QR Code:
Scan the QR Code or click here!
English version
Tor Introduces Proof of Work against DoS Attacks
With the release of version 0.4.8, Tor will introduce a Proof of Work mechanism to prioritize verified traffic and thereby mitigate the impact of Denial of Service (DoS) attacks that have been affecting the Tor network for a considerable amount of time.
The protection mechanism is simple yet effective: before accessing an onion service, the client must solve a small mathematical puzzle to demonstrate that they have performed the required "work." As the volume of requests increases, so does the required work. For a regular user, this should take no more than a few milliseconds. However, for those directing numerous requests to the same service (such as botnets), the cost increases exponentially, making the attack difficult and costly in terms of both time and money.
The issue of DoS is just one facet of the longstanding, broader problem of distinguishing between humans and bots on the Internet.
Given that Tor is a service designed to obscure users' physical identity and geographical location, the path forward could not involve Know Your Customer (KYC) measures – as proposed, for example, by Sam Atman with the "Worldcoin" project.
In the coming months and years, we should expect increasing pressure from companies, governments, and organizations to address this problem. Perhaps the crypto community (specifically referring to Bitcoin and Monero) should seriously start considering ways to leverage these networks to prove humanity online without compromising privacy.
Digital collars and leashes for illegal migrants
The UK government is considering new ways to better manage illegal migrants entering the country. The new legislation, the Illegal Migration Act, grants the power to detain and monitor every irregular migrant and asylum seeker.
The idea is to attach a GPS tag to each migrant, presumably in the form of an irremovable electronic bracelet, allowing real-time tracking within the territory.
Digital collars and leashes for the new slaves of the welfare system. Someone must certainly serve and work for the European gerontocracy in the years to come. What better way to push the Overton Window towards the concept of new slavery than to condition people to accept digital collars and leashes based on the color of their skin and their origin from another continent? Does this remind you of anything?
The forced re-education of Jordan Peterson
Three judges from the Ontario Divisional Court have ruled that Jordan Peterson, a renowned Canadian psychologist, will be compelled to undergo a re-education course on "professional communication on social media" to avoid losing his license.
The issue arises from a case brought by the College of Psychologists of Ontario following Peterson's statements on the Joe Rogan Podcast and on X regarding the LGBTQ+ movement, climate change, and various criticisms of Canadian politicians, including Trudeau, whom he recently referred to as "lying climate-apocalypse mongers."
Peterson responded to the judges' decision on X with the following comment:
"So the Ontario Court of Appeal ruled that @CPOntario can pursue their prosecution. If you think that you have a right to free speech in Canada, you're delusional. I will make every aspect of this public. And we will see what happens when utter transparency is the rule. Bring it…"
Once again, those who claim to be righteous reveal their true nature: authoritarian, violents, and entirely focused on silencing any dissenting opinions. Expressing one's thoughts might not be prohibited, but it could be unpleasant. It's better to stay quiet. And if you can't manage that, they'll help you. Perhaps with a nice dose of forced re-education.
metro.co.uk/2023/08/28/illegal…
blog.torproject.org/introducin…
nationalpost.com/news/canada/j…
privacychronicles.it/p/weekly-…
Miranda Rights, 57 anni dopo
Correva l’anno 1963, quando a Phoenix, in Arizona, un signore chiamato Ernesto Miranda fu arrestato dalla polizia. L’accusa era di aver rapito e stuprato una giovane donna, appena diciottenne. Durante l’interrogatorio, durato diverse ore, Ernesto confessò il delitto e la sua confessione fu usata in tribunale per condannarlo.
Il caso arrivò poi fino alla Corte Suprema degli Stati Uniti. L’avvocato difensore impugnò l’ammissibilità della confessione in giudizio, poiché Ernesto Miranda non era stato informato dei suoi diritti costituzionali: il diritto di rimanere in silenzio e il diritto di essere assistito da un avvocato durante gli interrogatori.
Supporta Privacy Chronicles, iscriviti!
La Corte Suprema nel 1966 diede ragione a Miranda: le prove non erano ammissibili. Da questa sentenza storica venne così alla luce la famosa formula che chiunque guardi polizieschi americani conosce a memoria — i “Miranda Rights”:
"E' suo diritto rimanere in silenzio. Tutto ciò che dice può essere usato contro di lei in tribunale. Ha il diritto di avere un avvocato. Se non ne può permettere uno, uno le verrà fornito. Ha capito i diritti che le ho appena letto? Tenendo presente questi diritti, desidera parlare con me?"
Sono passati 57 anni dalla sentenza Miranda.
In questi 57 anni sono successe tante cose, ma soprattutto che ci siamo ritrovati a vivere in un mondo in cui tutto ciò che diciamo, scriviamo e facciamo — in sostanza, chi siamo — potrà essere usato contro di noi, fuori e dentro i tribunali, a prescindere da qualsiasi reato o indizio di colpevolezza.
Rapporto annuale 2022 in uscita! il 2022 è stato l'anno delle decisioni più importanti nelle nostre cause di lunga data sui trasferimenti di dati tra l'UE e gli Stati Uniti
trasferimenti di dati
Weekly Chronicles #42
Scroll down for the english version
Fantasmi nella macchina
Siamo fantasmi nella macchina (Ghosts in the machine). È il titolo di un recente video della divisione PsyOp dell’esercito degli Stati Uniti. Sì, esiste una divisione PsyOp.
Il video, davvero ben fatto come ci si aspetterebbe da maestri dell’inganno, mostra quasi 4 minuti di video e immagini di eventi storici come le proteste di piazza Tienanmen in Cina e altre “rivoluzioni” civili.
Sostieni Privacy Chronicles, iscriviti!
youtube-nocookie.com/embed/VA4…
Cosa si intende per psyop e psychological warfare? Per psyop possiamo intendere un’azione pianificata che usa l’informazione come mezzo per influenzare la percezione e il comportamento del pubblico al fine di raggiungere obiettivi strategici. Gli obiettivi possono essere i più diversi, anche civili. Ad esempio, il governo britannico ha una “Nudge Unit” che ha lo scopo di influenzare il pensiero delle masse e rendere più semplice il rispetto delle politiche governative, diminuendo così i costi di enforcement.
Lo psychological warfare invece è sostanzialmente la stessa cosa, ma ad ampio spettro. Si potrebbe dire che se la psyop è la singola operazione, lo psychological warfare è l’intera campagna militare. Anche in questo caso l’obiettivo è modificare il pensiero e comportamento delle persone al fine di ottenere un vantaggio strategico.
Possiamo ingannare, persuadere, cambiare, influenzare, ispirare. Assumiamo qualsiasi forma. Siamo ovunque. Una sensazione nel buio, un messaggio nelle stelle (We can deceive, persuade, change, influence, inspire. We come in any form. We are everywhere. A feeling in the dark, a message in the stars).
“Anything we touch is a weapon”. Qualsiasi cosa tocchiamo è un’arma, dicono nel video — mentre uno schermo TV mostra un cartone animato. Oggi l’informazione è ovunque e non solo in TV, radio o giornali. Qualsiasi bit d’informazione con cui abbiamo a che fare potrebbe essere parte di una o più PsyOp.
Eppure, provate anche solo a ipotizzare pubblicamente che le informazioni storiche e attuali che arrivano al grande pubblico possano essere frutto di campagne di disinformazione e propaganda. Vi daranno dei pazzi.
La parte più divertente? Mentre i nostri governi ammettono pubblicamente di cimentarsi in psyops e psychological warfare, allo stesso tempo vogliono convincerci di essere impegnati nella “lotta alla disinformazione”.
Pentester, antisemiti e omofobi
Cos’hanno in comune pentester, antisemiti e omofobi? Un simpatico strumento per pen-testing open source chiamato Flipper Zero, lanciato su Kickstarter nel 2020 con grande successo.
Con Flipper Zero un pen-tester può fare un sacco di cose, come ad esempio emulare RFID e carte NFC per accedere a sistemi di controllo, esplorare reti wifi e bluetooth, controllare dispositivi IoT e anche fornire gli strumenti necessari per lavorare con componenti hardware (ad esempio per reverse engineering).
Insomma un oggettino molto carino per chi si cimenta in questa disciplina. Forse però, un po’ troppo utile. E questo non piace alle agenzie di intelligence statunitensi, che durante le loro attività di sorveglianza di alcuni gruppi Telegram composti da individui “razzisti, antisemiti, xenofobi, islamofobi, misogini e omofobi”1, hanno scoperto che alcuni di loro erano interessati al Flipper.
Così, hanno emesso un avvertimento pubblico sul rischio di uso di questo dispositivo da parte di “estremisti” e potenziali terroristi “eticamente motivati”.2
“The NYPD Intelligence and Counterterrorism Bureau (ICB) assesses that racially and ethnically motivated violent extremists (REMVEs) may seek to exploit the hacking capabilities of a new cyber penetration tester, known as the Flipper Zero, in order to bypass access control systems.”
Nel 2020 circa 38.000 persone hanno acquistato Flipper su Kickstarter. Molti altri sicuramente avranno fatto lo stesso negli ultimi tre anni. Quante persone finiranno in liste di sorveglianza speciale solo per aver comprato uno strumento di ricerca e di lavoro assolutamente legale?
Quanto ancora a lungo riusciremo a giustificare questa macabra inversione dell’onere della prova? Siamo davvero tutti criminali fino a prova contraria, o anche questo fa parte di una grande PsyOp?
Cyberdog
La scorsa settimana Xiaomi ha annunciato l’uscita del suo nuovo giocattolo digitale: Cyberdog 2, un cane cibernetico che peserà quasi 9kg e sarà alto circa 36cm al garrese poligonale. Ricorda un po’ il cane, robotico anche lui, di Casshan — protagonista cyborg dell’omonimo anime anni ‘70.
Il dispositivo sarà dotato di un incredibile armamentario di auto-sorveglianza: un LiDAR, una videocamera RGB, quattro sensori 3D ToF, una videocamera per il rilevamento della profondità, un sensore a ultrasuoni, una videocamera con lente fisheye, quattro microfoni, due ricevitori UWB (Ultra-Wideband), e una non meglio specificata videocamera interattiva basata sull’AI.3
Molto carino, ma dove finiranno i terabyte di dati raccolti dal cervello elettronico del CyberDog? Nota positiva: pare che sia il codice sorgente che i disegni e le specifiche hardware saranno open source. Per ora forse, è meglio però evitare di mettersi un cane-spia in casa.
Weekly memes
Weekly quotes
“The lion cannot protect himself from traps, and the fox cannot defend himself from wolves. One must therefore be a fox to recognize traps, and a lion to frighten wolves.”
Niccolò Machiavelli
Support Privacy Chronicles!
One way to support Privacy Chronicles is to share this article with your friends and acquaintances and leave a like or a comment! Another way is to subscribe (with Bitcoin as well) for the equivalent of a monthly breakfast.
Or, you can make a voluntary donation in sats by scanning this QR Code:
Scan the QR Code or click here!
English version
Ghosts in the machine
This is the title of a recent video from the PsyOp division of the United States Army. Yes, there is a PsyOp division.
The video, very well-crafted as one would expect from masters of deception, shows nearly 4 minutes of footage and images of historical events such as the Tiananmen Square protests in China and other civil "revolutions."
Support Privacy Chronicles by subscribing today!
What is meant by psyop and psychological warfare?
Psyops can be understood as planned actions that use information as a means to influence the perception and behavior of the public in order to achieve strategic objectives. The objectives can vary widely, even including civilian goals. For example, the British government has a "Nudge Unit" that aims to influence mass thinking and make compliance with government policies easier, thereby reducing enforcement costs.
Psychological warfare, on the other hand, is essentially the same thing but on a broader scale. It could be said that if psyop is a single operation, psychological warfare is the entire military campaign. In either case, the goal is to change people's thoughts and behaviors in order to gain a strategic advantage.
"We can deceive, persuade, change, influence, inspire. We come in any form. We are everywhere. A feeling in the dark, a message in the stars."
"Anything we touch is a weapon”, they say, as the video shows a TV screen display featuring a cartoon. Today, information is everywhere, not only on TV, radio, or newspapers. Today, any bit of information we interact with could be part of one or more psyops.
Yet, if you somehow try to publicly speculate that historical and current information reaching the general public could be the result of misinformation and propaganda campaigns, you will be considered a crazy conspiracy theorist.
The funniest part? While our governments publicly admit to engaging in psyops and psychological warfare, at the same time they want to convince us that they are engaged in "fighting disinformation."
Pentesters, antisemites and homophobes
What do pentesters, antisemites, and homophobes have in common? A cute open-source pen-testing tool called Flipper Zero, launched on Kickstarter in 2020 with great success.
With Flipper Zero, a pen-tester can do a lot of fun stuff, such as emulating RFID and NFC cards to access control systems, exploring Wi-Fi and Bluetooth networks, controlling IoT devices, and providing the necessary tools for working with hardware components (e.g., for reverse engineering).
In short, it's a very useful tool for those involved in the field. However, perhaps it's a bit too useful. And this doesn't sit well with US intelligence agencies, who, during their surveillance activities of certain Telegram groups composed of "racist, anti-Semitic, xenophobic, Islamophobic, misogynistic, and homophobic" individuals discovered that some of them were interested in Flipper. Thus, they issued a warning about the risk of “extremists” and potentially "ethically motivated" terrorists using this device.
"The NYPD Intelligence and Counterterrorism Bureau (ICB) assesses that racially and ethnically motivated violent extremists (REMVEs) may seek to exploit the hacking capabilities of a new cyber penetration tester, known as the Flipper Zero, in order to bypass access control systems.”
In 2020, about 38,000 people purchased Flipper on Kickstarter. Many more have surely done the same in the past three years. How many people will end up on special surveillance lists just for buying a completely legal research tool?
How much longer can we justify this macabre inversion of the burden of proof? Are we really all criminals until proven innocent, or is it just another big PsyOp?
Cyberdog
Last week, Xiaomi announced the release of its new digital toy: Cyberdog 2, a cybernetic dog that will weigh almost 9 kg and stand about 36 cm tall at the polygonal withers. It somewhat resembles the robotic dog, just like Casshan — the cyborg protagonist of a 1970s anime.
The device will be equipped with an incredible array of self-surveillance tools: LiDAR, an RGB camera, four 3D ToF sensors, a depth-sensing camera, an ultrasound sensor, a fisheye lens camera, four microphones, two Ultra-Wideband (UWB) receivers, and an unspecified AI-based interactive camera.
Very cute, but where will the terabytes of data collected by the electronic brain of CyberDog end up? Positive note: it seems that both the source code and hardware designs will be open source. For now, perhaps it's better to avoid bringing a spy dog into the house.
Ma sicuramente avevano anche dei difetti
dailydot.com/debug/flipper-zer…
hdblog.it/hardware/articoli/n5…
privacychronicles.it/p/weekly-…
Weekly Chronacles #41
Scroll down for the english version
A me gli occhi
Worldcoin, il progetto lanciato da Sam Atman (quello di ChatGPT) a fine luglio, condividerà la sua tecnologia anche alle aziende.
La palla iper-tecnologica1 per scansionare l’iride delle persone e creare un’identità univoca potrà quindi essere usata in futuro dalle aziende (e anche agenzie governative, immagino) per verificare l’identità delle persone, indossolubilmente legata alla scansione biometrica dei loro occhi.
Dall’inizio dei test più di 2 milioni di persone si sono iscritte volontariamente al programma. Lo stesso Sam Atman su X postava una media di circa 1 persona ogni 8 secondi, con file estenuanti anche ben fuori dai locali.
Ebbene sì, viviamo in un mondo in cui le persone fanno la fila per farsi schedare da una palla robotica e ricevere in cambio un token. Nel frattempo, il governo del Kenya ha deciso di vietare Worldcoin all’interno del paese, e alcune autorità europee hanno iniziato delle indagini in merito alla protezione dei dati delle persone.
Supporta Privacy Chronicles iscrivendoti alla newsletter!
Documenti, per favore
Un documento interno del governo canadese2 mostra alcuni dettagli su un progetto chiamato Known Traveller Digital Identity (KTDI) iniziato come test pilota nel 2018 insieme al World Economic Forum, oltre al governo olandese e la Royal Dutch Airlines. Pare che nel 2021 siano stati stanziati più di 100 milioni per realizzare questo schema d’identità digitale che dovrebbe sostituire la fase di controllo dei documenti cartacei negli aereoporti.
Non c’è dubbio che progetti di questo tipo saranno sempre più frequenti. Già in Italia abbiamo aereoporti che volontariamente hanno integrato sistemi di fast-track attraverso la scansione biometrica del viso delle persone. Eppure non c’è molto da festeggiare per questo rinnovato comfort: l’esperienza del green pass insegna che uno strumento del genere può facilmente trasformarsi in un mezzo per autorizzare o negare gli spostamenti di alcune persone (hai pagato tutte le tasse prima di uscire dal paese?).
Un robot per evitare il Boomercausto®
Una start-up cinese, Fourier Intelligence, ha iniziato a fare quello che tutti ci aspettavamo: costruire robot umanoidi con un “cervello” simile a chatGPT. Si chiama GR-1 e sarà il primo robot umanoide costruito su scala industriale, dicono.
La missione di questo robot umanoide sarà, a quanto pare, evitare il Boomercausto®3. Si stima infatti che in Cina entro il 2035 gli over 60 passeranno da 280 milioni a più di 400. Sarà molto difficile sopperire alla domanda di cure mediche e assistenza, data la contemporanea diminuzione di giovani in età lavorativa, e così dovremo rivolgerci ai robot.
Considerando che ChatGPT supera facilmente i test di medicina e che ci sono già casi in cui le sue diagnosi sono migliori e più accurate di medici umani, potrebbe effettivamente essere una misura interessante avere un robot-maggiordomo che si prenda cura del nonno. Ma chi potrà permetterselo e quali saranno le ripercussioni psicologiche di delegare la cura e l’assistenza degli umani a una scatoletta di alluminio? Il rischio è che i nuclei familiari, già annientati da quasi un secolo di neo-marxismo, ne risentano ancora di più.
Weekly memes
Weekly quote
“All human beings have three lives: public, private, and secret.”
Gabriel García Márquez
Support Privacy Chronicles!
One way to support Privacy Chronicles is to share this article with your friends and acquaintances and leave a like or a comment! Another way is to subscribe (with Bitcoin as well) for the equivalent of a monthly breakfast.
Or, you can make a voluntary donation in sats by scanning this QR Code:
Scan the QR Code or click here!
English version
Your eyes, please
Worldcoin, the project launched by Sam Altman (the creator of ChatGPT), at the end of July, will provide access to its technology for businesses as well.
The hyper-technological ball for scanning people's irises and creating a unique identity could, therefore, be used in the future by companies (and likely government agencies as well) to verify people's identities, inextricably linked to the biometric scanning of their eyes.
Since the beginning of the tests, more than 2 million people have voluntarily enrolled in the program. Sam Altman himself on X was reportedly adding an average of about 1 person every 8 seconds, with lines forming even well outside the premises.
Indeed, we live in a world where people stand in line to be registered by a robotic ball and receive a token in return. Meanwhile, the government of Kenya has decided to ban Worldcoin within the country, and some European authorities have initiated investigations regarding the protection of people's data.
Papers, please
An internal document of the Canadian government reveals some details about a project called Known Traveller Digital Identity (KTDI), which began as a pilot test in 2018 in collaboration with the World Economic Forum and theDutch government and the Royal Dutch Airlines. It appears that over 100 million dollars were allocated in 2021 to realize this digital identity scheme, intended to replace the paper document verification process at airports.
There is no doubt that projects of this nature will become increasingly common. In Italy, for instance, there are airports that have voluntarily integrated fast-track systems through biometric facial scanning of individuals.
However, there isn't much to celebrate for such a comfort: the experience of the green pass teaches us that a digital ID can quickly turn into a tool for approving or denying transportation access to certain people (have you paid all your taxes before leaving the country?).
Support Privacy Chronicles by subscribing!
A robot to save Boomers
A Chinese startup, Fourier Intelligence, has begun doing what many expected: building humanoid robots with a "brain" similar to chatGPT. It's called GR-1, and they claim it will be the first humanoid robot built on an industrial scale.
The mission of this humanoid robot, apparently, is to address the "Boomercaust." It's estimated that in China by 2035, the population of individuals over 60 years old will increase from 280 million to over 400 million. Meeting the demand for medical care and assistance will be challenging due to the concurrent decrease in the young working-age population, hence the need to turn to robots.
Considering that ChatGPT easily passes medical tests and there are already cases where its diagnoses are better and more accurate than those of human doctors, having a robot butler that takes care of the elderly could indeed be an interesting measure. But who will be able to afford it, and what will be the psychological repercussions of delegating human companionship to an aluminum box? The risk is that families, already affected by nearly a century of neo-Marxism, might suffer even more.
leslynlewismp.ca/wp-content/up…
privacychronicles.it/p/weekly-…
The evolution of the Chinese Social Scoring
I have often had the opportunity to talk about social credit. Between more or less developed systems and local experiments, examples are certainly not lacking. China has always been a benchmark, even if the system today is still far from how most people imagine it.
There are some pilot trials and some local systems, but other than that, not much. However, this does not mean that the government is not interested in carrying out the project. Indeed, it seems that they want to give a big boost to its development.
Want to understand what's wrong with the world and regain control of your life? Join the Privacy Chronicles newsletter and community and support our work!
Support Privacy Chronicles by subscribing!
From covid passes to social credit
It’s quite known that the Chinese government is willing to do anything to maintain social order. This is demonstrated by the extensive use of covid passes in recent months, while the western countries seems to have abandoned them. The covid pass, as mentioned several times also on these pages, is nothing more than a crude and limited social credit system passed off as something else: green, you're among the good ones; red — grounded.
The Chinese government makes no secret of it: in recent months they have had no problem using the covid pass to dampen uncomfortable protests in the bud, changing the status of the protesters' pass from green to red. I remind you that a covid red pass in China is equivalent to forced incarceration in "quarantine camps" where you know when you enter, but you don't know when you’ll be able to leave.
But why limit yourself to the covid pass, when you could create a much more pervasive system, completely integrated in every social and economic area?
The evolution of the social credit system
This is where the new bill called “Social Credit System Construction Law of the People's Republic of China” comes into play.
23 anni di trasferimenti illegali di dati a causa di DPA inattive e nuovi accordi UE-USA Una nuova analisi del Noyb mostra come la combinazione di DPA inattive e di un nuovo accordo della Commissione europea abbia portato a 23 anni di violazioni della privacy
Il vostro Fitbit è inutile - a meno che non acconsentiate alla condivisione illegale dei dati noyb ha presentato tre reclami contro Fitbit. L'azienda di fitness e salute costringe gli utenti delle nuove app ad acconsentire al trasferimento dei dati verso Paesi terzi
FPF at Singapore PDP Week 2023: Navigating Governance Frameworks for Generative AI Systems in the Asia-Pacific
Authors: Cheng Kit Pang, Elena Guañuna, Alistair Simmons, and Matthew Rostick
Cheng Kit Pang, Elena Guañuna, Alistair Simmons, and Matthew Rostick are FPF Global Privacy Interns.
From July 18 to July 21, 2023, the Personal Data Protection Commission (PDPC) of Singapore held its annual Personal Data Protection Week (PDP Week), which overlapped with the IAPP’s Asia Privacy Forum 2023.
The Future of Privacy Forum (FPF)’s flagship event during PDP Week was a roundtable on the governance implications of generative AI systems in the Asia-Pacific (APAC) region. In organizing this event together with the PDPC, FPF brought together over 80 participants from industry, academia, the legal sector, and international organizations, as well as regulators from across the APAC region, Africa, and the Middle East.
FPF Roundtable on Governance of Generative AI Systems in APAC
On July 21, FPF organized a high-level closed-door roundtable, titled “Navigating Governance Frameworks for Generative AI Systems in the Asia-Pacific.” The roundtable explored the issues raised by applications of existing and emerging AI governance frameworks in APAC to generative AI systems.
Dominic Paulger (Policy Manager, FPF APAC) kicked off the roundtable with a presentation on the existing governance and regulatory frameworks that apply to generative AI systems in the APAC region. The presentation highlighted that to date, most major APAC jurisdictions have opted for “soft law” approaches to AI governance, such as developing ethical frameworks and voluntary governance frameworks, rather than “hard law” approaches, such as enacting binding regulations. However, the presentation also explained that China is an exception to this rule and has been active in enacting regulations targeting specific AI technologies, such as deep synthesis technologies and most recently, generative AI. In addition, even if they do not specifically target Generative AI, the comprehensive data protection laws enacted in most jurisdictions in the region are also applicable to how these types of computer programs are trained and generally process personal data.
The presentation was followed by three hours of discussion, facilitated by Josh Lee Kok Thong (Managing Director, FPF APAC). The discussions were first initiated by firestarters from industry, regulators, and academia:
- Denise Wong (Deputy Commissioner, PDPC);
- Jeth Lee (Chief Legal Officer, Microsoft Singapore);
- Angela Xu (Senior Privacy Counsel, APAC Head, Google);
- Leandro Angelo Y. Aguirre (Deputy Commissioner, National Privacy Commission, Philippines);
- Vincenzo Tiani (Partner, Panetta & Associati, Brussels);
- Arianne Jimenez (Head of Privacy and Data Policy, Engagement, Meta); ; and
- Jason Allen Grant (Director, Centre for AI & Data Governance, and Associate Professor of Law at Singapore Management University Yong Pung How School of Law).
Turning to the wider roundtable discussion, participants highlighted the fast pace of developments in generative AI technology and hence, the importance of adopting an agile and future-proof approach to governance. Participants also identified that compared with other forms of AI technology, generative AI systems were more likely to raise challenges in addressing unseen bias in very large, unstructured data sets and “hallucinations” (generated output that is grammatically accurate but nonsensical or factually inaccurate).
To address these issues, participants highlighted the importance of developing standards and metrics for evaluating the safety of generative AI systems and for measuring the effectiveness of achieving desired outcomes. Participants also called for efforts to educate users on generative AI systems, including the capabilities, limits, and risks of these technologies.
Regarding regulation of generative AI, participants were generally in favor of an incremental approach to the development of governance principles for generative AI systems in the region – allowing actors in the AI value chain to explore ways to operationalize existing AI principles and apply existing governance frameworks to the technology – rather than enacting “hard law” regulations.
Participants also agreed on the need for AI governance principles to account for the three basic layers of the AI technology stack as different policy considerations apply at each of these levels, namely:
- The infrastructure layer, which includes the computing hardware, such as central processing units (CPUs) and graphics processing units (GPUs), that is used to train models and the data centers where this hardware is housed;
- The model layer, which includes the training and operation of generative AI models like Bard, GPT, LLaMa, Stable Diffusion, and so on; and
- The application layer, which includes software applications built on top of generative AI models and the different use cases in which these applications are deployed.
Several participants also raised that at the ecosystem level, it would be important for stakeholders to develop a common or standardized set of terminologies or taxonomies for key concepts in generative AI technology, such as “foundation models” or “large language models” (LLMs).
Some participants also called for greater collaboration between stakeholders, and a multidisciplinary approach to governance of generative AI systems and global alignment when developing best practices.
Photos: Participants from FPF Roundtable on Navigating Governance Frameworks for Generative AI Systems in the Asia-Pacific, 7/21/2023. Photos courtesy of the PDPC.
Other FPF Activities during PDP Week
IAPP Asia Privacy Forum 2023
On July 20, FPF organized an IAPP panel discussion titled “Unlocking Legal Bases for Processing Personal Data in APAC: A Practical Guide,” which built on FPF’s year-long research project on consent and other legal bases for processing personal data in the APAC region – the final report of which was released in November 2022.
Moderator Josh Lee Kok Thong led the discussion, in which panelists Deputy Commissioner Denise Wong, Deputy Commissioner Leandro Y. Aguirre, Arianne Jimenez, and David N. Alfred (Co-Head, Data Protection, Privacy & Cybersecurity Practice, Drew & Napier) explained the challenges faced by practitioners and regulators in addressing differing data requirements for consent and alternatives like “legitimate interests” in APAC data protection laws.
Photo: FPF Panel on Unlocking Legal Bases for Processing Personal Data in APAC, July 20, 2023.
FPF’s APAC office was also represented at two further panels during IAPP Asia Privacy Forum 2023:
- Josh moderated a panel titled “Privacy-First Future: Partnering with Industry and Regulators for an Open Internet” focusing on the PDPC’s newly launched PETs x Privacy Sandbox initiative to reduce cross-site and cross-app tracking.
- Josh alsospoke on another panel titled “From DPO to Data Ethics Officer, Don’t Fall Behind!” which explored whether data protection officers (DPOs) are suited to fulfill the emerging role of a “data ethics officer” and how DPOs can raise data ethics issues to their company boards.
FPF Training on EU AI Act
On the sidelines of PDP Week, FPF held its inaugural in-person FPF Training session in the APAC region. The closed-door training session, which focused on the forthcoming EU AI Act and its impact on the APAC region, was held on July 20 and was conducted by Katerina Demetzou (Senior Counsel for Global Privacy, FPF) with interventions from Vincenzo Tiani from his experience of advising Members of the European Parliament (MEPs) on drafting the EU AI Act. The training provided a detailed analysis of the draft AI Act and explained the lifecycle of AI systems and the law-making process in the EU. The training drew close to 20 attendees comprising regulators and representatives from industry and the legal sector.
Photo: FPF Training on the EU AI Act, 7/20/2023
Conclusion
This was the second time that FPF organized events around PDP Week since the launch of FPF’s APAC office in 2021. The week’s events enabled FPF APAC to foster collaborative dialogues among regulators, industry, academia, and civil society from the APAC region and draw links with the EU, and the US. FPF is grateful for the support of the PDPC and IAPP in organizing these activities.
Edited by Dominic Paulger and Josh Lee Kok Thong
5 anni di contenzioso: Meta sembra passare al consenso per gli annunci comportamentali Meta ha annunciato che presto passerà al "consenso" per gli annunci comportamentali. Resta da vedere quali saranno le conseguenze di questo passaggio
Prenotare un volo Ryanair attraverso un'agenzia di viaggi online potrebbe riservare una brutta sorpresa noyb ha presentato un reclamo contro Ryanair. Quando si prenota tramite un'agenzia di viaggi online, la compagnia aerea spinge alcuni clienti a sottoporsi a un processo di riconoscimento facciale invasivo
Prenotare un volo Ryanair attraverso un'agenzia di viaggi online potrebbe riservare una brutta sorpresa noyb ha presentato un reclamo contro Ryanair. Quando si prenota tramite un'agenzia di viaggi online, la compagnia aerea spinge alcuni clienti a sottoporsi a un processo di riconoscimento facciale invasivo
#40 / Di telecamere, peculiari attivisti e strane priorità
Entro il 2025 mille nuove telecamere a Roma
Il sindaco Gualtieri ha già dato disposizioni per far sì che Roma sia sicura per residenti e turisti in occasione del Giubileo del 2025: mille nuove telecamere, una sala operativa super smart per la polizia e un SOC (Cybersecurity Operation Center) per garantire la sicurezza delle telecamere e della sala operativa1. La sicurezza della sicurezza prima di tutto.
Di tutta questa sicurezza, ne saranno certamente felici gli amici romani. Finalmente potranno essere ripresi in tempo reale mentre vengono derubati in metro.
Hey, il portafoglio sparirà comunque e nessuno certamente sarà né catturato né processato — ma almeno saprete che da qualche parte c’è un vigile urbano che vi osserva, che veglia su di voi, e che prova tanta compassione. Mentre sorseggia il suo caffé con panna.
Lo so, forse sono eccessivamente critico. Magari le telecamere funzionano davvero come mezzo di repressione del crimine. In effetti, Milano è la città con più telecamere d’Italia ed è anche la più sicura. Che gli operatori del 112 la chiamino amichevolmente la Gotham City d’Italia è solo uno scherzo. È sicurissima, fidatevi. Soprattutto in zona Stazione Centrale, che è letteralmente invasa di telecamere.
Iscriviti e fai iscrivere a Privacy Chronicles, abbiamo i biscotti buoni.
Blade Runners, gli attivisti che non ci meritiamo
Non tutti la pensano come Gualtieri e altri sindaci illuminati che non vogliono altro che il nostro benessere e sicurezza. In UK in particolare è da poco nato un movimento chiamato “Blade Runners” che ha una missione particolare: distruggere ogni telecamera di videosorveglianza nella città di Londra2.
A loro la sorveglianza di massa non piace, e non gli piace neanche l’espansione illimitata delle nuove ZTL videosorvegliate che da qualche tempo vengono spacciate come soluzione contro il cambiamento climatico.
Questi gentiluomini, che chiaramente non ci meritiamo, stanno progressivamente distruggendo e smantellando ogni telecamera. Un esponente, rimasto anonimo, ha recentemente dichiarato che non si fermeranno fino a che non le avranno distrutte tutte “no matter what”.
Pare che la loro azione sia stata così efficiente finora da aver messo in crisi le autorità locali, che potrebbero perfino decidere di sospendere il progetto ULEZ, simile alla Area B di Milano (una ZTL), per mancanza di apparati di sorveglianza.
Nel dissociarmi da queste terribili notizie di danneggiamento di proprietà pubblica, mi limito a dire che sarebbe davvero terribile se nascessero gruppi di emulazione in altre città europee, vista la fatica e l’amore che i nostri sindaci impiegano per tenerci al sicuro.
Le strane priorità della Bank of England
La Bank of England ha deciso di dedicare il settimo piano del suo edificio a bagni unisex, o per meglio dire “gender neutral”. La decisione segue una serie di politiche inclusive e alcune dichiarazioni peculiari, anch’esse inclusive, come ad esempio il fatto che chiunque possa avere una gravidanza3.
Voi pensavate che alla Bank of England fossero impegnatissimi a scongiurare la più grande crisi finanziaria del secolo e contrastare l’inflazione (che loro stessi hanno causato). E invece no. Qua bisogna essere inclusivi. Ma perché parlarne su queste pagine?
Perché la questione dei bagni “gender neutral” riguarda molto da vicino anche la privacy e la dignità delle donne, per ovvi e oggettivi motivi, che però oggi sembrano essere fuori dalla portata delle più elevate menti dei nostri continenti.
Condividere un bagno o uno spogliatoio con persone dell’altro sesso può infatti essere un’esperienza negativa per molte donne, che magari preferirebbero non farsi guardare nude da persone dotate di prostata (questo è linguaggio inclusivo?).
D’altronde, se così non fosse, potremmo tutti già oggi usare bagni e spogliatoi uguali per tutti. Se nel corso della storia umana abbiamo deciso di separarli, forse un motivo c’era.
Nella letteratura in materia di privacy (in particolare Solove) si fa spesso riferimento all’impatto di azioni che in qualche modo invadono la sfera privata fisica della persona contro la sua volontà. L’esposizione forzosa di funzioni corporee o di nudità, unita alla sensazione di intrusione nella propria sfera privata, può infatti causare notevoli disagi psicologici nelle persone, oltre ad alterazioni dei loro comportamenti e perfino aumentare il rischio di micro-conflitti e violenze.
Senza contare che i bagni, in generale, sono spesso frequentati anche da bambini — o da adulti con capacità intellettuali di bambini, nel caso delle Banche Centrali.
Quale genitore sarebbe felice di sapere che nel bagno o nello spogliatoio in cui si cambia sua figlia tredicenne dopo l’allenamento è presente anche una persona dotata di prostata di mezza età che ha deciso da un momento all’altro di farsi chiamare Jessica?
In che modo un’imposizione così violenta, che viola la privacy e la dignità delle donne a favore di alcune persone dotate di prostata, può dichiararsi inclusiva? Dov’è finito il femminismo di una volta?
Torna la Privacy Week
Torna la Privacy Week, quest’anno alla sua terza edizione. Un festival di cinque giorni a Milano in cui si alterneranno tanti eventi interessanti come hackaton, interviste, dibattiti, tavole rotonde, serate e incontri di networking. Anche quest’anno tutti gli eventi potranno essere visti comodamente da casa su www.privacyweek.it, mentre per alcuni ci si potrà anche registrare e partecipare dal vivo per chi volesse (posti limitati).
Privacy Week 2023 si terrà dal 25 al 29 settembre e naturalmente ci sarò anch’io, per chi volesse scambiare due chiacchiere dal vivo. Il palinsesto, che è ancora in corso di definizione, è già descritto qui.
Nel frattempo, vi consiglio la registrazione alla piattaforma anche per ricevere la newsletter settimanale e ricevere tutti gli aggiornamenti sulle varie attività!
Meme della settimana
Citazione della settimana
“Don't feel sorry for yourself. Only assholes do that.”
Haruki Murakami
Aiutaci a sostenere Privacy Chronicles!
Ogni settimana siamo nella tua casella di posta a farti compagnia con notizie e approfondimenti che spesso sembrano usciti da un episodio di Twilight Zone. E speriamo di continuare a farlo!
Un modo per sostenere Privacy Chronicles è condividere questo articolo con i tuoi amici e conoscenti e lasciare un like o un commento! Un altro modo è abbonarsi (anche in Bitcoin) per l’equivalente di una colazione al mese.
O ancora, puoi fare una donazione libera in sats, scansionando questo QR Code:
Scansiona il QR Code con il tuo wallet LN oppure clicca qui!
1
romatoday.it/politica/sicurezz…
standard.co.uk/news/london/bla…
telegraph.co.uk/business/2023/…
#39 / Di cacche di cane e privacy
Il piccolo comune di Béziers invaso dalle cacche di cane - oppure no
Robert Ménard è il sindaco di Béziers, un piccolo comune sulla costa della Francia meridionale. Robert Ménard ha un problema: le cacche di cane lasciate in giro per strada.
Cosa farebbe una persona normale per affrontare questa grave piaga sociale? Magari cercherebbe di sensibilizzare i cittadini; o forse potrebbe distribuire “gratuitamente” bustine per raccogliere la cacca dei cani. O magari, non farebbe proprio nulla e penserebbe a risolvere questioni più importanti di qualche cacca per terra.
Iscriviti a Privacy Chronicles per non perdere neanche un’uscita e sostieni il piano editoriale!
E invece no. Il caro Robert non è certo una persona qualunque e non si farà intimorire da qualche cacca di cane. La soluzione è tanto semplice quanto grottesca: obbligare tutti i residenti a schedare il DNA del loro cane, cosicché attraverso i campioni dalle feci lasciate in terra si possa scovare il colpevole a quattro zampe e — di riflesso — il suo padrone.
“È necessario punire i cittadini per farli comportare meglio”, afferma Robert France Bleu Radio.
Hey Robert, ma siamo sicuri che punire i cittadini per modificare il loro comportamento sia il ruolo di un sindaco?
Anche Alto Adige, Genova e Roma sommerse dalla cacca di cane - oppure no
Robert Ménard non è però solo nel suo dramma. Ho infatti scoperto che anche in Alto Adige sarà obbligatoria dal 31 dicembre 2023 la profilazione genetica di tutti i cani residenti1. Lo scopo, a dire dell’assessore provinciale Arnold Schuler è identificare gli escrementi dei cani e sanzionare i proprietari che non raccolgono. Accidenti, non pensavo che anche in Alto Adige fosse così pieno di cacche di cane da richiedere tali interventi.
Pare che diverse città e regioni siano interessate al “progetto pilota” dell’Alto Adige. Ad esempio gli assessori del comune di Genova hanno incontrato Schuler per valutare la possibilità di rendere obbligatoria questa profilazione genetica. E dire che a Genova ci vado spesso e non ho mai pestato una cacca di cane. Evidentemente sono molto fortunato.
Anche a Roma qualcuno è impegnato nell’arduo compito di mitigare il flagello delle deiezioni canine. Il consigliere del XV municipio Max Petrassi (Italia Viva)2 ha però avuto un’idea originale e innovativa: obbligare i cittadini romani a schedare geneticamente i loro cani e poi effettuare test sulle cacche per scovare i malfattori e multarli. Aspetta… dove l’ho già sentita questa?
Il business delle cacche di cane
Okay qui c’è qualcosa che puzza. Possibile che tutte queste menti illuminate siano improvvisamente arrivate alla stessa conclusione? Mah. Più probabile invece che ci sia qualche azienda, come PooPrints — che fattura più di 7 milioni di euro l’anno — che ha inventato questa articolata soluzione per risolvere un non-problema.
Più probabile che sindaci, consiglieri e assessori, ben poco illuminati, vogliano far bella figura emulando altri che prima di loro sono cascati nelle braccia del dipartimento marketing di qualche azienda con troppa fuffa da vendere.
In effetti basta googlare per vedere molti esempi di altre città che hanno adottato soluzioni tecnologiche uguali a quelle proposte in Francia e Italia: Tel Aviv3, Denver4, Mallorca5…
Esiste davvero un problema globale di cacche non raccolte, o questi politici stanno invece usando soldi estorti ai cittadini per inventare complessi schemi di sorveglianza e tassazione occulta?
Sì, perchè schedare geneticamente il cane significa anche sorvegliare indirettamente il proprietario. Come dichiarato anche dall’azienda PooPrints6, una volta schedato il DNA del cane sarà possibile tracciarlo ovunque nel mondo, e con lui il suo padrone.
Qualcuno potrebbe dire che ci sono modi migliori per sorvegliare le persone. Certo, ma non per questo bisogna sottovalutare e accettare un ulteriore ingerenza dello Stato nella nostra vita.
Per quanto riguarda la tassazione occulta invece non c’è molto da dire: queste schedature genetiche si pagano (circa €65). Chi non lo fa, sarà sanzionato. Un buon modo per far cassa, anche senza raccogliere cacche in giro. In Alto Adige si stimano 45.000 cani registrati, che equivale a un’entrata di quasi 3 milioni di euro. Così, de botto.
Le grandi cose arrivano dalle piccole cose
La questione, abbastanza ridicola, dovrebbe farci riflettere sul potenziale distruttivo della tecnologia nelle mani di politici che non vedono l’ora di spendere i nostri soldi per inventarsi fantasiosi modi per renderci la vita più difficile.
A qualcuno potrà sembrare una piccola cosa; perfino una misura ragionevole per insegnare una lezione agli incivili. Se non fosse che, dato il copia-incolla di questa incredibile “soluzione” è molto probabile che la cacca del cane non sia altro che un pretesto, e che gli incivili siano in verità ben pochi.
In ogni caso: grandi cose vengono costruite a partire dalle piccole. Ieri era l’obbligo di microchip, oggi è la schedatura genetica. Domani sarà un collare GPS collegato alle forze dell’ordine. O qualche altra diavoleria che inevitabilmente finirà per intaccare quel poco di privacy che ci rimane, pure quando interagiamo col nostro cane.
Ma parliamo anche della questione ontologica. È evidente che l’oggetto dell’intervento non è il cane, ma il padrone. Il cane, in quanto avente una relazione diretta col padrone, è uno strumento attraverso cui estrarre risorse e punire i cittadini; d’altronde sono loro ad essere responsabili del comportamento del cane, no?
Perché allora non fare lo stesso coi bambini? Perché non obbligare ogni genitore a legare un braccialetto elettronico con GPS alla caviglia dei figli? Qual è la differenza tra un cane che caga davanti alla porta di casa del sindaco e un ragazzino che gli disegna un pisello sul muro? Entrambi sono soggetti all’autorità e alla responsabilità del padrone/genitore.
Meme del giorno
Citazione del giorno
“It's only because of their stupidity that they're able to be so sure of themselves.”
Franz Kafka
Aiutaci a sostenere Privacy Chronicles!
Ogni settimana siamo nella tua casella di posta a farti compagnia con notizie e approfondimenti che spesso sembrano usciti da un episodio di Twilight Zone. E speriamo di continuare a farlo!
Un modo per sostenere Privacy Chronicles è condividere questo articolo con i tuoi amici e conoscenti e lasciare un like o un commento! Un altro modo è abbonarsi (anche in Bitcoin) per l’equivalente di una colazione al mese.
O ancora, puoi fare una donazione libera in sats, scansionando questo QR Code:
Scansiona il QR Code con il tuo wallet LN oppure clicca qui!
1
news.provincia.bz.it/it/news/p…
roma.repubblica.it/cronaca/202…
timesofisrael.com/tel-aviv-wil…
denverpost.com/2019/12/07/denv…
theolivepress.es/spain-news/20…
cnbc.com/2018/12/19/pooprints-…
privacychronicles.it/p/39-di-c…
#39 / Di cacche di cane e privacy
Il piccolo comune di Béziers invaso dalle cacche di cane - oppure no
Robert Ménard è il sindaco di Béziers, un piccolo comune sulla costa della Francia meridionale. Robert Ménard ha un problema: le cacche di cane lasciate in giro per strada.
Cosa farebbe una persona normale per affrontare questa grave piaga sociale? Magari cercherebbe di sensibilizzare i cittadini; o forse potrebbe distribuire “gratuitamente” bustine per raccogliere la cacca dei cani. O magari, non farebbe proprio nulla e penserebbe a risolvere questioni più importanti di qualche cacca per terra.
Iscriviti a Privacy Chronicles per non perdere neanche un’uscita e sostieni il piano editoriale!
E invece no. Il caro Robert non è certo una persona qualunque e non si farà intimorire da qualche cacca di cane. La soluzione è tanto semplice quanto grottesca: obbligare tutti i residenti a schedare il DNA del loro cane, cosicché attraverso i campioni dalle feci lasciate in terra si possa scovare il colpevole a quattro zampe e — di riflesso — il suo padrone.
“È necessario punire i cittadini per farli comportare meglio”, afferma Robert France Bleu Radio.
Hey Robert, ma siamo sicuri che punire i cittadini per modificare il loro comportamento sia il ruolo di un sindaco?
Anche Alto Adige, Genova e Roma sommerse dalla cacca di cane - oppure no
Robert Ménard non è però solo nel suo dramma. Ho infatti scoperto che anche in Alto Adige sarà obbligatoria dal 31 dicembre 2023 la profilazione genetica di tutti i cani residenti1. Lo scopo, a dire dell’assessore provinciale Arnold Schuler è identificare gli escrementi dei cani e sanzionare i proprietari che non raccolgono. Accidenti, non pensavo che anche in Alto Adige fosse così pieno di cacche di cane da richiedere tali interventi.
Pare che diverse città e regioni siano interessate al “progetto pilota” dell’Alto Adige. Ad esempio gli assessori del comune di Genova hanno incontrato Schuler per valutare la possibilità di rendere obbligatoria questa profilazione genetica. E dire che a Genova ci vado spesso e non ho mai pestato una cacca di cane. Evidentemente sono molto fortunato.
Anche a Roma qualcuno è impegnato nell’arduo compito di mitigare il flagello delle deiezioni canine. Il consigliere del XV municipio Max Petrassi (Italia Viva)2 ha però avuto un’idea originale e innovativa: obbligare i cittadini romani a schedare geneticamente i loro cani e poi effettuare test sulle cacche per scovare i malfattori e multarli. Aspetta… dove l’ho già sentita questa?
Il business delle cacche di cane
Okay qui c’è qualcosa che puzza. Possibile che tutte queste menti illuminate siano improvvisamente arrivate alla stessa conclusione? Mah. Più probabile invece che ci sia qualche azienda, come PooPrints — che fattura più di 7 milioni di euro l’anno — che ha inventato questa articolata soluzione per risolvere un non-problema.
Più probabile che sindaci, consiglieri e assessori, ben poco illuminati, vogliano far bella figura emulando altri che prima di loro sono cascati nelle braccia del dipartimento marketing di qualche azienda con troppa fuffa da vendere.
In effetti basta googlare per vedere molti esempi di altre città che hanno adottato soluzioni tecnologiche uguali a quelle proposte in Francia e Italia: Tel Aviv3, Denver4, Mallorca5…
Esiste davvero un problema globale di cacche non raccolte, o questi politici stanno invece usando soldi estorti ai cittadini per inventare complessi schemi di sorveglianza e tassazione occulta?
Sì, perchè schedare geneticamente il cane significa anche sorvegliare indirettamente il proprietario. Come dichiarato anche dall’azienda PooPrints6, una volta schedato il DNA del cane sarà possibile tracciarlo ovunque nel mondo, e con lui il suo padrone.
Qualcuno potrebbe dire che ci sono modi migliori per sorvegliare le persone. Certo, ma non per questo bisogna sottovalutare e accettare un ulteriore ingerenza dello Stato nella nostra vita.
Per quanto riguarda la tassazione occulta invece non c’è molto da dire: queste schedature genetiche si pagano (circa €65). Chi non lo fa, sarà sanzionato. Un buon modo per far cassa, anche senza raccogliere cacche in giro. In Alto Adige si stimano 45.000 cani registrati, che equivale a un’entrata di quasi 3 milioni di euro. Così, de botto.
Le grandi cose arrivano dalle piccole cose
La questione, abbastanza ridicola, dovrebbe farci riflettere sul potenziale distruttivo della tecnologia nelle mani di politici che non vedono l’ora di spendere i nostri soldi per inventarsi fantasiosi modi per renderci la vita più difficile.
A qualcuno potrà sembrare una piccola cosa; perfino una misura ragionevole per insegnare una lezione agli incivili. Se non fosse che, dato il copia-incolla di questa incredibile “soluzione” è molto probabile che la cacca del cane non sia altro che un pretesto, e che gli incivili siano in verità ben pochi.
In ogni caso: grandi cose vengono costruite a partire dalle piccole. Ieri era l’obbligo di microchip, oggi è la schedatura genetica. Domani sarà un collare GPS collegato alle forze dell’ordine. O qualche altra diavoleria che inevitabilmente finirà per intaccare quel poco di privacy che ci rimane, pure quando interagiamo col nostro cane.
Ma parliamo anche della questione ontologica. È evidente che l’oggetto dell’intervento non è il cane, ma il padrone. Il cane, in quanto avente una relazione diretta col padrone, è uno strumento attraverso cui estrarre risorse e punire i cittadini; d’altronde sono loro ad essere responsabili del comportamento del cane, no?
Perché allora non fare lo stesso coi bambini? Perché non obbligare ogni genitore a legare un braccialetto elettronico con GPS alla caviglia dei figli? Qual è la differenza tra un cane che caga davanti alla porta di casa del sindaco e un ragazzino che gli disegna un pisello sul muro? Entrambi sono soggetti all’autorità e alla responsabilità del padrone/genitore.
Meme del giorno
Citazione del giorno
“It's only because of their stupidity that they're able to be so sure of themselves.”
Franz Kafka
Aiutaci a sostenere Privacy Chronicles!
Ogni settimana siamo nella tua casella di posta a farti compagnia con notizie e approfondimenti che spesso sembrano usciti da un episodio di Twilight Zone. E speriamo di continuare a farlo!
Un modo per sostenere Privacy Chronicles è condividere questo articolo con i tuoi amici e conoscenti e lasciare un like o un commento! Un altro modo è abbonarsi (anche in Bitcoin) per l’equivalente di una colazione al mese.
O ancora, puoi fare una donazione libera in sats, scansionando questo QR Code:
Scansiona il QR Code con il tuo wallet LN oppure clicca qui!
1
news.provincia.bz.it/it/news/p…
roma.repubblica.it/cronaca/202…
timesofisrael.com/tel-aviv-wil…
denverpost.com/2019/12/07/denv…
theolivepress.es/spain-news/20…
cnbc.com/2018/12/19/pooprints-…
privacychronicles.it/p/39-di-c…
La DPA belga ha permesso alle testate giornalistiche di comprarsi l'esenzione dalla conformità al GDPR Oggi la noyb presenta un reclamo contro 15 siti di notizie belgi che utilizzano banner cookie illegali. Tra questi ci sono testate giornalistiche come RTL Belgio, Het Laatste Nieuws e L'Avenir
How to create and protect an anonymous identity
Have you ever thought of creating an anonymous identity online with which to interact or spread your ideas without fear of repercussions?
Easier said that done.
Technology is seldom enough to keep an identity anonymous. Being truly anonimous takes a lot of effort, planning and risk assessment — based on who you are, where you live and what you want to do with your anonymous identity.
“Even a poor plan is better than no plan at all.”
Mikhail Chigorin
Today I’d like to offer you a glimpse of what you should keep in mind to protect your real identity. Before starting, however, we should clarify one issue: privacy and anonymity are not the same thing. They shouldn't be confused, and they cannot be protected in the same way.
Join Privacy Chronicles to receive weekly updates and support our work.
Differences between privacy and anonymity
Privacy is many things.
However, as far as we are concerned here, we can say that it’s also the power to keep certain information confidential with respect to the outside world. For example, you might want to keep your communications or transactions confidential towards certain people or organisations. Privacy is therefore something that belongs to content: what we say or what we do.
Anonymity, on the other hand, belongs to identity.
Being anonymous means not being identifiable. Anonymity is often used as a way to give up privacy safely. For example, you may decide that you need an anonymous identity precisely to spread your thoughts publicly without fear of backlashes.
And then, there is pseudonymity: a “soft” form of anonymity. It’s the ability to create a digital identity recognizable by the public, but not immediately and easily referable to you.
This is the main difference: if you’re truly anonymous, your what you do or write cannot be referable to you, ever. If you’re pseudoanonimous, someone with a lot of resources (e.g. an intelligence agency) might be able to re-identify you. The simplest, and least secure example of a pseudoanonimous identity is being registered to a social network such as Twitter or Reddit using a nickname instead of your real name. You’re still quite easily identifiable though, since they keep track of IP addresses and other metadata.
Pseudonymity is therefore not anonymity.
But above all, always remember that privacy, as well as anonymity, are dynamic states of information that will change according to the context: between full identifiability and absolute anonymity (which does not exist, except in specific contexts) there are infinite gradations.
Our digital identities
Most of us have at least two digital identities: a private one and a work one.
In addition to these two identities, some people may need to create other identities to protect themselves: whistleblowers, journalists, political dissidents, researchers or anyone who wants to express their opinion without being prosecuted or discriminated against — like dangerous libertarian extremists that believe in the Non Aggression Principle. In these cases it might be useful to create an anonymous identity that can mitigate the risk of identification.
But being anonymous online isn't easy. To hope to be so, you need the right tools, but above all a plan that will allow you to have an adequate level of security.
Ten rules of thumb
Now that we have made the necessary introductions, we can move on to seeing how to create and protect our anonymous identity, thanks to a few principles borrowed from the world of OPSEC (Operations security). The following rules, to be understood more as "general principles" are designed to help you protect your online identity and to increase your level of anonymity:
1. Like Fight Club
The first rule is… don't talk about your anonymous identity or your plan. Never reveal the details of your security system or the tools you use to anyone. Not even to close friends or family members.
Basically: Shut the Fuck Up.
2. Start from scratch
If you already have an identity, make sure it's not tainted. If you are not able to assess the risk of contamination (see rule n. 3) and the various vulnerabilities, better create an identity from scratch.
The identities and tools used (e.g. means of communication) can also change on a regular basis to mitigate the risk over time. That way, if an identity is discovered or surveilled, the compromise will be less severe.
Fun fact: this site allows you to create fictitious identities full of realistic details.
3. Don't taint your identities
Having one or more anonymous identities is useless if you don't pay attention to contaminations. Anonymity is a delicate balance that is easily broken.
Don't ever use the same email, account, browser, or login credentials. Separate as much as possible the devices, operating systems, and wi-fi networks with which you access the Internet. Don't communicate with the same people through different identities.
The level of identity segmentation should increase depending on your risk profile. The higher the risk, the more the identities must remain separate.
4. Stay in character
Create a background and stay in character. Avoid creating over-the-top identities that lack credibility or identities that you can't handle easily. If you are a 40 year old man who doesn’t speak French, don't try to pass yourself off as a french female teenager.
5. Trust no one
The zero-trust approach is a good habit in many aspects of life. Don't trust anyone, and especially don't trust anyone who says you can trust them.
Reducing the required level of trust automatically decreases the risk of exposure as well. Don't give anyone the power to blackmail or expose you. The oldest intelligence trick is to buy (or coerce) information from people.
6. Don't expose yourself unnecessarily
Don't brag about your security protocols and avoid any behavior that may ring an alarm somewhere. Do not draw too much attention to particularly sensitive issues and avoid getting reported for any kind of violation.
7. Recognize your limits
Don't overcomplicate things and only do what you 100% understand. If you don't understand a tool or the full implications of what you're doing, don't do it. Keep it easy!
8. Leave no traces
Store only the essential information you need, and securely delete everything else. Delete or better yet — do not record any information, documents, logs that are not strictly necessary. If you can't help it, use encrypted documents (and adequately protect private keys). Avoid storing documents and encryption keys on public clouds.
9. No personal details
Avoid giving real personal details when interacting with people from your anonymous identity. Do not give information about your real gender/age/ethnicity. Avoid talking about your interests, hobbies, or any other information that can help identify you. Avoid posting photos and identification marks. Giving out personal details can lead to being identified.
10. Watch out for anomalies
Being anonymous is very difficult, and it is even more difficult if you surround yourself with anomalies that can be exploited to profile you and track your real-life identity. For example, writing weird coded messages that make no sense on Twitter is an anomaly. The best thing is to blend in and be as normal as possible, to stay in the background noise.
In summary
- Shut the f*ck up
- Do not trust anybody
- Compartmentalize identities and means of communication
- Leave no traces
- Remember that intelligence and law enforcement also follow the same rules:
Thanks for reading!
Want to support Privacy Chronicles? Either subscribe or donate a few sats with your favourite LN wallet. Just scan the QR Code!
privacychronicles.it/p/how-to-…
La DPA norvegese vieta temporaneamente la pubblicità comportamentale su Facebook e Instagram La DPA norvegese è la prima autorità nazionale per la protezione dei dati che dichiara illegale la pubblicità comportamentale sulle piattaforme Meta. noyb accoglie con favore questa decisione
