A cura di:  Francesco Maldera – Pubblicato il  10 Maggio 2021 Tratto da ictsecuritymagazine.com L’autonomia dell’Europa nel mondo digitale “Solo un’Europa unita può affrontare le sfide della digitalizzazione. È per il nostro mercato unico – il più grande nel mondo – che noi dobbiamo definire standard per i big data, l’intelligenza artificiale, e l’automazione. E che, con questo, possiamo sostenere i valori, i diritti e l’identità degli Europei. Ma possiamo farlo solo se rimaniamo uniti.” Questa è una delle frasi chiave pronunciate da Jean‑Claude Junker nel discorso sullo stato dell’Unione (Europea) per il 2018 denominato “L’ora della sovranità europea”[i]. Sembrano passati secoli. Il mondo è cambiato, anche a causa della pandemia. Forse, nel contingente, stiamo affrontando altre sfide: la necessità di sviluppare un’autonomia nella ricerca sanitaria, l’esigenza di aumentare la capacità produttiva di presidi medici e farmaceutici. Rimane, tuttavia, sullo sfondo il senso dell’intervento di Junker: sostenere i diritti, i valori e l’identità che hanno fondato e che guidano l’Unione Europea. Sostenerli nello spazio digitale che, com’è noto, soffre di due elementi critici: è un mondo dominato, dal punto di vista economico e nonostante le frasi fatte sulla “libertà del web”, dagli Over The Top (Amazon, Google, Microsoft, Facebook, ecc.);è intrinsecamente vulnerabile e, quindi, potenzialmente “campo di battaglia” per qualsiasi contrapposizione o conflitto (geopolitico, commerciale, religioso, ecc.) senza la necessità di un contatto fisico o di un confronto “muscolare”. Quindi, se, da un lato, l’Unione Europea non tarda ad intervenire normativamente nella difesa dei propri valori, anche nel mondo digitale (GDPR[ii], Law Enforcement Directive – LED[iii], Proposta di Regolamento sull’intelligenza artificiale[iv], ecc.), dall’altro emerge un’obiettiva difficoltà a dare concretezza a questi princìpi in un mondo interconnesso e nel quale piccoli e grandi turbamenti, spesso esogeni rispetto ai confini europei, possono interferire con i diritti e le libertà degli individui. Per questo, la Commissione Europea ritiene strategico recuperare autonomia o, se si vuole, sovranità negli ambiti applicativi del digitale. La UE sembra dire “Le norme servono ma, ancora di più, serve riuscire ad applicarle; e se non riusciamo a indurre i nostri partner stranieri, cerchiamo, se possibile, di farne a meno, diventando partner di noi stessi”. Una strada tutta in salita che ha avuto, come tassello fondamentale, l’approvazione del Regolamento UE 2019/881 (d’ora in poi “Regolamento ENISA”)[v]. L’evoluzione dell’ENISA Il Regolamento ENISA ha, appunto, come scopo principale quello di: definire nuovi compiti, attività ed obiettivi per l’Agenzia dell’Unione Europea per la Cibersicurezza (appunto ENISA); infatti, l’ENISA era un’istutuzione già esistente (denominata Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione) istituita con Regolamento UE 2013/526[vi]; tuttavia, il legislatore europeo ha inteso sviluppare il suo ruolo, proprio nell’ottica del rafforzamento dell’autonomia continentale in ambiti che erano diventati strategici e che, appunto, richiedevano un solido centro di competenze che unificasse l’impegno degli stati membri nella cybersecurity;introdurre certificazioni di sicurezza per prodotti, servizi e processi TIC (cioè basati sulla Tecnologia dell’Informazione e della Comunicazione). L’ENISA, proprio nell’obiettivo di rilanciare l’autonomia digitale dell’Unione Europea, ha pubblicato lo scorso 23 aprile, un documento intitolato “Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy”[vii] che fornisce molti elementi sull’impegno da profondere per raggiungere lo scopo. Il documento individua sette aree che l’ENISA ritiene fondamentali per la ricerca e per lo sviluppo delle relative applicazioni: sicurezza dei dati;piattaforme software affidabili;gestione e risposta alle minacce cyber;piattaforme hardware affidabili;crittografia;strumenti e procedure di sicurezza centrate sull’utente;sicurezza delle comunicazioni digitali. Per ciascuna di queste aree, cercheremo di spiegare quali siano le raccomandazioni e le prospettive che l’ENISA propone. Sicurezza dei dati Il fronte della sicurezza dei dati si biforca nella necessità di proteggere i dati personali (la cui normativa europea, GDPR e LED, è particolarmente protettiva dei diritti e le libertà delle persone fisiche) ma anche di tutelare gli “altri dati”, per esempio quelli riferiti ai segreti industriali. La “minaccia” che l’ENISA vede incombere, soprattutto sui dati personali, è l’intelligenza artificiale; la mole di dati riferiti ai nostri spostamenti, ai nostri acquisti, ecc. e che sono “trattenuti” dai player più grandi costituiscono, senz’altro, il terreno su cui operano algoritmi di intelligenza artificiale che “imparano” a conoscerci sempre meglio. Rispetto all’intelligenza artificiale l’ENISA, quindi, raccomanda di studiare soluzioni che: possano sistematicamente individuare le vulnerabilità degli algoritmi affinché si riduca il rischio che una minaccia possa sfruttarle e, quindi, interferire indebitamente nel loro funzionamento e, di conseguenza, nei diritti e nelle libertà degli individui;possano “dare contezza” delle modalità con le quali operano gli algoritmi per rispettare il principio di trasparenza nei confronti delle persone così come prescrive l’art. 13 della Proposta di Regolamento sull’intelligenza artificiale. Piattaforme software affidabili Questa è l’area più critica, per complessità, affrontata dall’ENISA perché il software agisce a vari livelli e, quindi, l’autonomia richiede che siano assicurati: sistemi operativi e middleware affidabili attraverso il rafforzamento di un sistema di competenze che possa garantirne la conoscenza profonda a partire dalle fasi di sviluppo;componenti software delle piattaforme affidabili nelle loro componenti che cooperano con i sensori che, ormai, sono diffusi sia in ambiente industriale che domestico;un mercato del cloud aperto affinché sia limitato il rischio che gli utenti rimangano prigionieri di un determinato fornitore (lock‑in). Gestione e risposta alle minacce cyber L’enorme quantità di dati acquisiti dai Security Operations Center (SOC) rende proficuamente applicabili a quest’area le tecniche di analytics e di intelligenza artificiale. L’ENISA, quindi, indica la necessità di un impegno specifico della ricerca europea nello sviluppo di applicazioni che gestiscano questa enorme mole di dati e che forniscano elementi significativi ai responsabili della cybersecurity, limitando al massimo i falsi positivi ed i falsi negativi. In quest’area, tuttavia, esiste anche la necessità di avere un quadro standard della catena di rilevazione‑mitigazione‑risposta, tendendo a sviluppare, in particolare, modalità e strumenti più efficaci di protezione degli end‑point (p.e. smartphone). Quest’ultima necessità riveste particolare importanza, soprattutto a seguito della pandemia, considerata la diffusione prevedibile (ed in parte già attuale) della telemedicina e del lavoro agile. Piattaforme hardware affidabili Le modalità di progettazione dell’hardware suggerite dall’ENISA devono seguire standard che: assicurino la catena dell’integrità, durante le fasi di avvio dei dispositivi (bootstrap), nel passaggio tra hardware, firmware e software;disvelino le caratteristiche tecniche di ogni componente evitando di riferirsi ai modelli black‑box o, più banalmente, al paradigma (spesso utilizzato anche molti grandi player) basta‑che‑funzioni. Questa tendenza deve essere sostenuta perché, ormai, le competenze degli attaccanti sono tali che permettono loro di sfruttare ogni elemento di debolezza, compresi quelli connessi all’hardware. Crittografia Per questa area, tendenzialmente molto vicina alla matematica applicata, l’ENISA invita gli stati membri ad investire nelle nuove frontiere di ricerca (crittografia post‑quantum) ma, soprattutto, a: introdurre le nuove tecniche di cifratura nell’ambito dei protocolli di comunicazione;realizzare un’infrastruttura europea per la verifica delle chiavi pubbliche nelle tecniche di cifratura basate su chiavi asimmetriche. Strumenti e procedure di sicurezza centrate sull’utente L’ENISA, nel prendere atto che sono disponibili una molteplicità di strumenti di “protezione dell’utente”, non può che rilevare la circostanza che esiste un gap, finora non colmato, tra le funzionalità disponibili e le conoscenze e competenze dell’utente medio. Per colmare tale gap, suggerisce di: sviluppare metodi e strumenti che vadano concretamente incontro alle necessità dell’utente e che supportino la sua attività anziché agire come barriera (spesso rimossa volontariamente) alla sua produttività;sviluppare metodi e strumenti che permettano all’utente di poter verificare autonomamente la fiducia che può accordare agli elementi ICT con i quali interagisce (siano essi sistemi di messaggistica piuttosto che piattaforme cloud). Sicurezza delle comunicazioni digitali La sicurezza della “catena comunicativa” è considerata dall’ENISA il principale building‑block della sicurezza dei sistemi informativi. In particolare, l’ENISA invita a curare tutti gli anelli della catena e a proporre modelli di gestione di tutti gli apparati, con particolare attenzione ai dispositivi intermedi, fisici o virtuali, per i quali gli aggiornamenti di sicurezza sono, spesso, trascurati. Conclusioni Sarebbe stato auspicabile, a fronte delle prospettive indicate dall’ENISA, che nel Piano Nazionale di Ripresa e Resilienza[viii] italiano fossero presenti incisivi interventi volti a: migliorare la percezione dei cittadini dei rischi presenti in rete;investire in attività di ricerca e sviluppo specificatamente volte a fronteggiare le sfide del cyberspazio. Purtroppo, invece, spiace constatare che sono previsti solo marginali interventi (Investimento 1.5: Cybersecurity e Investimento 1.7: Competenze digitali di base) nell’ambito della missione M1C1.1 Digitalizzazione della PA. Troppo poco per far crescere i nostri cittadini. Note [i]       https://ec.europa.eu/info/sites/default/files/soteu2018-speech_en_0.pdf [ii]      https://eur-lex.europa.eu/eli/reg/2016/679/oj [iii]     https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680 [iv]     https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:52021PC0206 [v]      https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32019R0881 [vi]     https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32013R0526&from=IT [vii]    https://www.enisa.europa.eu/publications/cybersecurity-research-directions-for-the-eu2019s-digital-strategic-autonomy/at_download/fullReport [viii]   https://www.pmi.it/app/uploads/2021/04/pnrr.pdf Lo staff di Odisseo condivide le conclusioni

Il GDPR sulla protezione dei dati riserva numerosi articoli alla “trasparenza”, questa normalizza il trattamento dei dati personali nella sua totalità. Questo dimostra che la materia non è riducibile alle sole “informative”, infatti la trasparenza ha come meta il facilitare la sorveglianza da parte dell’autorità di controllo o del legislatore o dell’autorità giudiziaria o, non ultimo, dell’interessato stesso. Questi dispone di strumenti di verifica e di controllo relative alle situazioni che lo interessano direttamente. Esempio importante è la “valutazione di impatto”, regolamentata dall’articolo 35 GDPR, dove si stabilisce che il titolare o il responsabile del trattamento deve verificare se sia opportuno richiedere l’opinione degli interessati al riguardo; in questa circostanza si concretizza una trasparenza, che supera gli adempimenti caratteristici dell’informazione all’interessato. Quest’aspetto della trasparenza è direttamente collegato all’intera disciplina della protezione dei dati; la trasparenza si incunea tra le funzioni che hanno una importanza universale superando le necessità dei singoli attori e protagonisti delle singole operazioni di trattamento. Il trattamento dei dati personali ha una rilevante importanza economico-sociale ed è disciplinata dalle norme che il Regolamento ha previsto per contrastare il possibile verificarsi di situazioni pericolose e/ o dannose (data breach) per i diritti e le libertà delle persone. La trasparenza ha una rilevanza intersecante, che si palesa non solo in osservanze e vincoli da considerare verso gli interessati, ma principalmente attraverso impegni e soddisfacimenti nell’interesse collettivo e nei riguardi dell’autorità di controllo. Questa, infatti, può chiedere bonariamente ma anche in via coercitiva, documenti e notizie sulla progettazione ed attuazione delle misure organizzative e tecniche messe in atto dai titolari e dai responsabili del trattamento. A proposito della trasparenza quale sorgente di impegni nell’interesse generale, si sottolinea, per ultimo, che le misure data subject-oriented di salvaguardia della trasparenza sono misure tecniche organizzative complementari dei modelli di compliance (conformità). Della trasparenza bisogna fornire notizie:  negli atti di informazione, principalmente e meticolosamente per le informative relative alle decisioni automatizzate, nel trattamento dei dati sensibili, giudiziari e particolari (preferenze politiche, religiose, sessuali e così via);nella “valutazione dei rischi”;nelle DPIA;negli accordi di contitolarità (l’articolo 26 RGDP indica in maniera espressa che il contenuto essenziale di tale accordo deve essere messo a disposizione dell’interessato. La trasparenza sarà una parte fondamentale dei “codici di condotta” e delle prerogative delle certificazioni. Concludiamo nel sottolineare il ruolo complesso del DPO (Data Protection Officer), che non si deve sostituire al titolare del trattamento, ma che deve esercitare la funzione di facilitare e agevolare la trasparenza quale materia dei diritti dell’interessato e, svolgere il ruolo, anch’esso importante di stimolare l’adeguamento al GDPR e, quindi, della trasparenza intesa come modalità di attuazione dei trattamenti. Alla luce di tutto ciò, potete richiedere ai nostri esperti indicazioni specifiche e chiarificatrici in relazione agli adempimenti conformi alla disciplina della trasparenza, compilando il form nell’ultima sezione di questo sito. Riflessioni dello staff di “Odisseo Privacy”

Dal Garante per la PrivacyMartedì, 06 Aprile 2021 20:03 Con riferimento ai dati di circa 36 milioni italiani, compresi in molti casi numeri telefonici e indirizzi mail, disponibili online a seguito di una violazione dei sistemi di Facebook, il Garante per la protezione dei dati personali ha chiesto al social network di rendere immediatamente disponibile un servizio che consenta a tutti gli utenti italiani di verificare se la propria numerazione telefonica o il proprio indirizzo mail siano stati interessati dalla violazione. In caso affermativo, infatti, il numero di telefono potrebbe essere utilizzato per una serie di condotte illecite, che vanno da chiamate e messaggi indesiderati sino a serie minacce come il cosiddetto “SIM swapping”, una tecnica di attacco che consente di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione. Il Garante avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione che il loro eventuale utilizzo, anche per fini positivi, è vietato dalla normativa in materia di privacy, essendo tali informazioni frutto di un trattamento illecito. L’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica: come, ad esempio, l’improvvisa assenza di campo in luoghi dove normalmente il cellulare ha una buona ricezione. Un tale evento potrebbe essere il segnale che un criminale si è impossessato del nostro numero di telefono per usarlo a scopo fraudolento. In questo caso è importante contattare immediatamente il call center del proprio operatore telefonico per verificare le ragioni del problema e, in particolare, per verificare che terzi, fingendosi noi, non abbiano chiesto e ottenuto un trasferimento della nostra numerazione su un’altra SIM. Il Garante richiama infine l’attenzione di tutti gli utenti sull’importanza di diffidare di eventuali messaggi di testo provenienti dal numero di telefono di persone che conosciamo, con i quali vengano chiesti soldi, aiuto o dati personali, perché potrebbe trattarsi di una truffa azionata da malintenzionati che si sono impossessati della nostra numerazione. Fonte: Garante Privacy

Dal Garante per la Privacy Martedì, 27 Aprile 2021 09:04 Negli ultimi anni la gestione del rapporto di lavoro appare sempre più complessa sotto molteplici profili, tra cui quello non meno importante della privacy. Infatti, la mole di dati del lavoratore, che i datori di lavoro e i professionisti che li assistono sono chiamati a trattare, è cresciuta specie nell’ultimo anno dove, a causa della pandemia da Covid-19, si sono aggiunte ulteriori tipologie d’informazioni. In questo solco s’inserisce, ora, il protocollo d’intesa siglato il 22 aprile 2021 tra l’Ispettorato nazionale del lavoro (Inl) e il Garante per la protezione dei dati personali, con il quale è stato avviato un rapporto di collaborazione strategica al fine di assumere orientamenti condivisi su questioni specifiche. L’accordo di “prospettiva” e strumenti tecnologici nelle attività lavorative – Per tale strada, quindi, Inl e Garante hanno stretto un accordo, avente una durata biennale, che tiene conto sia dell’esigenza di una più intensa cooperazione tra le due istituzioni, sia delle possibili dinamiche che potrebbero svilupparsi nei prossimi anni; infatti, come sottolineato nella premessa, nell’ambito dell’attuale emergenza epidemiologica «è sempre più frequente il ricorso a modelli di prestazione “a distanza” (ad. es. c.d. lavoro agile) e all’adozione di strumenti tecnologici preordinati a contenere il rischio di contagio nei contesti lavorativi pubblici e privati, anche mediante applicativi da installare su dispositivi mobili indossabili o su smartphone» ed «è altamente probabile che i predetti processi siano destinati a permanere, potenzialmente sotto altra veste, anche oltre l’emergenza». Da qui la necessità di muoversi lungo una linea condivisa, in un’ottica sia di prospettiva interna di approfondimento e confronto, sia di prospettiva esterna, implementando lo sviluppo sinergico e la coerenza delle decisioni dei due organismi. Sulla base, quindi, di tali elementi le due parti si sono impegnate ad avviare un processo di reciproca collaborazione e sviluppo di attività consultive sulle tematiche di rispettiva competenza, con particolare riferimento all’utilizzo di strumenti tecnologici connessi allo svolgimento del rapporto di lavoro, anche fuori dei casi in cui è previsto un parere formale, concorrendo così all’individuazione delle soluzioni più idonee e coerenti con il quadro ordinamentale. Campagne informative e azioni formative – Un altro punto fondamentale del Protocollo riguarda l’impegno in materia d’informazione e di formazione. Le parti si sono impegnate a promuovere campagne comuni d’informazione e azioni formative, con l’obiettivo di «condividere e diffondere buone prassi e prevenire trattamenti di dati personali non conformi alla disciplina in materia di protezione dei dati e alla rilevante disciplina nazionale di settore, e in particolare, quella in materia di controllo a distanza dei lavoratori». Sotto tale profilo non va nemmeno dimenticato che il rimaneggiamento dell’articolo 4 della legge 300/1970, operato dall’articolo 23 del Dlgs 151/2015, se da un lato ha inciso profondamente sul potere di controllo a distanza da parte del datore di lavoro, dall’altro ha fatto anche crescere l’esigenza che al lavoratore sia garantita una piena tutela rispetto a possibili trattamenti invasivi dei propri dati personali. Da qui l’ulteriore esigenza delle due istituzioni di dare vita a rapporti più stretti, anche attraverso attività formative di aggiornamento e di approfondimento in merito alle tematiche di interesse comune. Protocollo d’intesa tra Garante e Guardia di Finanza – Da rilevare, infine, che tale accordo si va ad affiancare al protocollo firmato lo scorso 31 marzo tra il Garante e la Guardia di Finanza, con l’obiettivo di rafforzare le sinergie e migliorare l’efficacia complessiva delle attività connesse alla vigilanza sul rispetto delle norme che disciplinano la tutela dei dati personali. Fonte: Il Sole 24 Ore del 27 aprile 2021

Privacy & Società Sabato, 20 Marzo 2021 09:07 Secondo uno studio condotto da OpenText per indagare il rapporto degli utenti con le aziende in materia di privacy dei dati, oltre la metà degli italiani (56%) sarebbe disposta a spendere di più pur di affidarsi ad aziende che offrono una maggiore protezione dei dati personali, superando così inglesi (49%), tedeschi (41%), spagnoli (36%) e francesi (17%). La ricerca evidenzia che gli italiani fanno ancora fatica a fidarsi del tutto dei metodi di gestione dei dati personali: più di 1 su 4 (26%) diffida infatti della capacità da parte delle aziende di mantenere le informazioni private e al sicuro, mentre addirittura quasi la metà (48%) ritiene che solo alcune realtà possano essere considerate davvero affidabili. Nonostante gli standard imposti dalle normative in materia di data privacy si stiano facendo sempre più rigidi in tutto il mondo – anche grazie all’introduzione nell’Unione Europea, già dal 2018, del Regolamento Generale sulla Protezione dei Dati (GDPR), la cui violazione può comportare sanzioni fino a 20 milioni di euro o fino al 4% del giro d’affari totale annuo – i dati rivelano che il percorso verso la fiducia totale da parte degli utenti è ancora lungo. In tale contesto, inoltre, il 40% degli italiani ha espresso una preferenza per i sistemi di protezione che sfruttano le tecnologie di automazione, ritenute in grado di eliminare i possibili errori umani. Quasi 1 italiano su 2 (43%) dichiara di “non avere la minima idea” di quante aziende utilizzino, archivino o abbiano accesso ai suoi dati personali, tra cui indirizzi e-mail, numeri di telefono e coordinate bancarie. Inoltre, se la maggior parte degli intervistati (69%) conferma di avere almeno una vaga conoscenza delle leggi sulla protezione della privacy, solo il 18% (meno di un quinto) si sente ben informato al riguardo, contrariamente a quanto accade in Germania (44%), Spagna (32%) e Francia (32%). Gli utenti si dimostrano, tuttavia, ben disposti a informarsi: oltre la metà (59%), infatti, afferma che potrebbe contattare un’azienda direttamente per capire come vengono trattati i dati personali o per verificare se questi vengano archiviati nel rispetto delle normative. Poco più di 1 su 10 (13%), tuttavia, lo ha già davvero fatto almeno una volta. Più di tre quarti (79%) degli italiani pensano di sapere come mantenere i propri dati privati e protetti su app, account di posta elettronica e social media, per esempio utilizzando le specifiche impostazioni sulla privacy o disattivando la geolocalizzazione. Al contrario, solo il 2% degli intervistati ritiene che mantenere i propri dati privati e protetti sia unicamente responsabilità dell’app o dell’azienda in questione. Un quinto degli italiani (20%) pensa inoltre che le aziende stiano già completamente adempiendo ai propri obblighi legali di mantenere privati i dati dei clienti, rivelando maggiore fiducia di quella riscontrata in Spagna (17%), Germania (13%) e Francia (11%). Il 40% ritiene, invece, che siano necessari ancora alcuni anni perché le aziende riescano ad adeguare pienamente la propria condotta. (Fonte: Federprivacy – Tom’s Hardware)