Pillole
Noyb ha presentato un reclamo contro Meta presso l'autorità austriaca per la protezione dei dati. Gli utenti europei possono ora "scegliere" se acconsentire a essere tracciati per la pubblicità personalizzata o pagare fino a 251,88 euro all'anno per mantenere il loro diritto fondamentale alla protezione dei dati su Instagram e Facebook. Non solo il costo è inaccettabile, ma i numeri del settore indicano che solo il 3% delle persone vuole essere tracciato, mentre oltre il 99% decide di non pagare quando si trova di fronte a una "tassa sulla privacy". Se Meta riesce a farla franca, i concorrenti seguiranno presto le sue orme. Considerando che su un telefono medio sono installate 35 applicazioni, mantenere la privacy potrebbe presto costare circa 8.815 euro all'anno.
Per la prima volta, il servizio di comunicazioni criptate ha rivelato nel dettaglio quanto spende per garantire la privacy degli utenti.
La Signal Foundation, che gestisce l'applicazione, ha pubblicato un'analisi dei costi operativi del servizio: circa 40 milioni di dollari quest'anno, che sono destinati a salire fino a 50 milioni di dollari entro il 2025.
I costi di Signal
"Siamo onesti su questi costi e crediamo che questo contribuisca a far luce sul motore dell'industria tecnologica, il modello di business basato sulla sorveglianza, che non è sempre evidente alle persone", spiega Whittaker a Wired US. Gestire un servizio come Signal – ma lo stesso vale per WhatsApp ,Gmail oTelegram – è “sorprendentemente costoso. Forse non lo sapete, e c'è una buona ragione per cui non lo sapete, cioè che le aziende che pagano queste spese tramite la sorveglianza non vogliono che lo sappiate”, aggiunge.
La recente mossa di Meta Platforms, l’azienda che offre il servizio di social media Facebook, di introdurre un abbonamento a pagamento (12,99 euro/mese) al servizio, così eliminando le pubblicità, ha sollevato una serie di critiche e di dubbi.
I principali, ovviamente, si incentrano sulla privacy, un diritto fondamentale del cittadino che viene monetizzato e si declassa a mera merce.
È questo il problema? Ci siamo incamminati realmente verso un declassamento dei diritti dei cittadini? Sopratutto, l’alternativa tra un Facebook a pagamento e uno basato sulla profilazione degli utenti, è realmente conforme alle norme del regolamento europeo in materia di protezione dei dati personali?
Ormai tutti sappiamo che non esiste, attraverso Google, una vera navigazione privata
Per molto tempo gli utenti sono stati convinti che la navigazione in incognito su Chrome consentisse loro di utilizzare il browser con un livello altissimo di privacy. Si pensava fosse una “navigazione privata” che oltre a rendere “invisibili” i siti web consultati durante una sessione, non consentisse ai vari portali di tracciare i dati. In realtà non è così, ma la scarsa trasparenza (iniziale) nelle comunicazioni e le parole utilizzate per parlare di questo strumento, potrebbero costare molto care a Google.
La comodità dei servizi di Google non è esente da inconvenienti. Per conformarsi alle leggi vigenti, le Big Tech non esitano a condividere i dati dei loro utenti con le forze dell’ordine e con i Governi che dispongono dei mandati giudiziari appropriati, una peculiarità che sta generando nuovi stratagemmi di sorveglianza e investigazione.
Recentemente, Bloomberg ha pubblicato un report in cui ha esplicitato l’esistenza di una pratica poliziesca che si appoggia sui dati di geo-fencing accumulati delle varie imprese tecnologiche. In termini semplici: le autorità costringono le aziende a comunicare quante e quali dispositivi sono transitati in una specifica area geografica durante un lasso di tempo ben definito. Queste informazioni, spesso eccessivamente dispersive, vengono successivamente raffinate richiedendo a Google di tracciare le informazioni di coloro che hanno effettuato determinate ricerche sul web. Coloro che si trovano nei punti di contingenza delle due liste finiscono spesso con l’essere indagati, poco importa che la loro presenza in loco fosse innocente o casuale.
Perché dovrei preoccuparmi se non ho nulla da nascondere.
Perché dovrei condividere con una macchina cose che, se sommate, non direi neanche alla persona più cara?
Etica Digital ha rilasciato il livello 2 di PrivaSì, la guida semplice e gratuita alla privacy in rete.
Ecco l'indice:
- Livello 0: Introduzione
- Livello 1: Limitare i danni
- Livello 2: Mezzi per muoversi
- Livello 3: Compartimentare
I webinar interattivi di Programma il Futuro: un'occasione per parlare del nostro materiale didattico, dei temi legati alla Cittadinanza digitale consapevole e rispondere in diretta alle vostre domande.
I prossimi appuntamenti (orario: dalle 18.00 alle 19.00):
- martedì 3 ottobre – Daniele Scasciafratte – La privacy al tempo dei social network
- martedì 17 ottobre – Gabriele Ponzo – Approfondimenti su LibreOffice Calc
- martedì 31 ottobre – Alessandro Sarretta – Approfondimenti su Open Street Map
- martedì 14 novembre – Daniele Scasciafratte – Provare Linux su una macchina virtuale
- martedì 28 novembre – Gabriele Ponzo – Approfondimenti su LibreOffice Draw
- martedì 12 dicembre – Italo Vignoli – Uso di Linux come sistema operativo
Il Centro sociale occupato e autogestito “Angelina Cartella” di Reggio Calabria ha ospitato fino a domenica 10 settembre l’Hackmeeting 2023, l’incontro annuale che si tiene dal 1998 ed è dedicato alle controculture digitali italiane, “quelle comunità – si legge nell’indizione dell’appuntamento – che si pongono in maniera critica rispetto ai meccanismi di sviluppo delle tecnologie all’interno della nostra società. Ma non solo, molto di più.
l’hackit è solo per hackers, ovvero per chi vuole gestire la propria vita come preferisce e sa s/battersi per farlo. Anche se non ha mai visto un computer in vita sua”.
Il programma una quattro giorni di seminari, giochi, dibattiti, scambi di idee e apprendimento collettivo, per analizzare “assieme le tecnologie che utilizziamo quotidianamente, come cambiano e che stravolgimenti inducono sulle nostre vite reali e virtuali, quale ruolo possiamo rivestire nell’indirizzare questo cambiamento per liberarlo dal controllo di chi vuole monopolizzarne lo sviluppo, sgretolando i tessuti sociali e relegandoci in spazi virtuali sempre più stretti.
Radio Onda d'Urto ha intervistato alcuni partecipanti
Ascolta l'audio sul sito della radio
Monitora-PA ha sviluppato Minos, uno strumento che è in grado di effettuare una analisi approfondita dei trasferimenti di dati personali effettuati durante una visita ad un sito web.
Il software è ancora in versione alpha ma già funziona degnamente.
Come un qualsiasi browser web, Minos permette di navigare il sito web di interesse, eventualmente autenticandosi alle aree protette da username e password, registrando tutte le comunicazioni effettuate durante l'operazione.
Cliccando sul pulsante "Analizza" viene richiesto all'utente dove salvare il log di tali comunicazioni che verranno analizzate automaticamente per individuare eventuali trasferimenti di dati personali verso terze parti problematiche.
Tale analisi viene effettuata completamente in locale, sul PC dell'utente, così che nessuno dei dati personali registrati venga inviato a Monitora PA o a terze parti.
Laddove vengano individuati trasferimenti sospetti, Minos permette all'utente di compilare con pochi click un reclamo da inviare successivamente all'Autorità Garante per la Protezione dei Dati Personali.
Lo scopo di Minos è duplice: da un lato permettere ai Titolari di siti web pubblici o privati di individuare autonomamente eventuali illeciti in corso (senza aspettare le ormai consuete PEC di Monitora PA 😜), dall'altro permettere a ogni cittadino di analizzare i siti web che frequenta abitualmente e reclamare facilmente al Garante qualora i suoi diritti siano stati violati durante la navigazione.
Nella puntata del 19 luglio Vannini fa un po' di storia degli accordi USA - UE sulla protezione dei dati e spiega perché il tema è completamente politico.
E così gli USA hanno riottenuto da una commissione sdraiata la loro brava adeguatezza. Le aziende possono continuaree in pace a trasferire i loro dati oltreoceano. Circolare, gente, non c'è niente da vedere. Senonché nemmeno questo "aaccordo bilaterale" (trad. decidiamo che si fa come dicono gli USA) reggerà. Solo un altro giro di danza per non tirare le conclusioni dei principi che l'Europa dice di avere, salvo poi inginocchiarsi davanti allo Zio Sam.
Le immagini che metti sui socialnework sono molto più di un ricordo. Il video che ogni genitore dovrebbe guardare
Il 75% dei genitori condivide immagini e dati dei propri figli sui social media. Otto genitori su 10 sono seguiti sui propri social da gente che conoscono e non hanno mai incontrato. Inizia così un video targato Telekom, uno dei maggiori operatori di telecomunicazione tedeschi - ma questo conta poco o, forse nulla perché i suoi contenuti non riguardano un prodotto o un servizio commerciale – tutti, da genitori, dovremmo guardare e riguardare.
La storia raccontata nel video è quella di Ella, una bambina di 9 anni, i cui genitori, appartengono a quel 75% che usa condividere foto, video e dati dei propri figli online, momenti e scene di vita vissuta innocenti, naturali, magari semplici ricordi.
Critiche da ogni parte, anche in seno all’Europa. Schrems ha annunciato ricorso. Tutto ciò, inevitabilmente, solleva grossi dubbi riguardo alla consistenza e alla lunga durata di un accordo che è stato gestito in modo affrettato dalla Commissione e che potrebbe quindi essere impugnato e nuovamente invalidato dalla Corte di Giustizia
La recente approvazione da parte della Commissione Europea del “EU-US Data Privacy Framework”, accordo sul trasferimento dei dati tra l’Unione Europea e gli Stati Uniti, ha suscitato reazioni contrastanti e sollevato quesiti sulla sua autentica validità e capacità di garantire la protezione dei dati personali dei cittadini europei.
Tutte le critiche al Data Privacy Framework
Ricordiamo che secondo il comunicato stampa della Commissione europea, la decisione stabilisce che gli Stati Uniti garantiscono un livello di protezione adeguato – paragonabile a quello dell’Unione europea – per i dati personali trasferiti dall’UE alle società statunitensi nell’ambito del nuovo quadro normativo”.
Il parere di Max Schrems, watchdog delle politiche europee sul trattamento dati sul Data Privacy Framework, è impietoso
L’attività di monitoraggio di Max Schrems e del suo NOYB prosegue da tempo e il Data Privacy Framework non fa eccezione. Maximilian Schrems è noto, in particolar modo, per essere l’attivista avvocato che ha battagliato contro Facebook per i suoi numerosi atti di violazione della privacy – a partire dalle leggi europee sul trasferimento di dati personali alla NSA Usa. Una delle critiche maggiormente fatte a questo nuovo accordo, in sostanza, è quella di essere un Safe Harbor 3.0 o un Privacy Shield 2.0 – un copia-incolla degli accordi precedenti che, alla fine, non cambia le carte in tavola quanto dice di fare -. Considerate le criticità già individuate anche dall’EDPB (Comitato europeo per la Protezione dei Dati, composto dalle autorità garanti dei Paesi membri), tutto quello che abbiamo finora sembrerebbe essere il ritardo del blocco del trasferimento dati in Usa che porterebbe i cittadini Ue a non poter usare servizi come quelli forniti da Big Tech.
In vigore dall'11 luglio, dopo che i due precedenti trattati sono stanti invalidati. Per gli attivisti per i diritti digitali di Noyb però è una copia dei regolamenti precedenti e si preparano a fare ricorso
La Commissione europea ha adottato il nuovo accordo sul trasferimento dei dati tra l’Unione europea e gli Stati uniti. Il Data privacy framework arriva dopo l’annullamento degli accordi precedenti da parte della Corte di giustizia europea, a causa dell’assenza di tutele adeguate da parte degli Stati Uniti. Tuttavia, l’organizzazione per i diritti digitali Noyb si prepara a portare anche questo accordo davanti alla Corte, perché sembrerebbe una copia dei vecchi regolamenti.
[...]
L’accordo cerca poi di risolvere il problema dell’accesso incondizionato ai dati personali da parte delle agenzie di intelligence statunitensi, che nel quadro del nuovo framework dovrebbero avere solamente un accesso limitato e proporzionato a queste informazioni. Inoltre, istituisce un organo speciale, la Data protection review court (Dprc), a cui i cittadini europei potranno rivolgersi in caso di violazione delle nuove garanzie, che potrà ordinare la cancellazione dei dati ottenuti o trattati illegalmente.
Le critiche di Noyb
Il nuovo regolamento non ha convinto il gruppo per la difesa dei diritti digitali Noyb, guidato dall’attivista e avvocato Max Schrems. Per l’organizzazione, infatti, gli Stati Uniti attribuiranno alla parola “proporzionato” un significato diverso da quello della Corte di giustizia, così da assicurare alle agenzie di intelligence la possibilità di continuare a usare i dati personali europei più o meno come vogliono...
Secondo la valutazione della privacy policy e dei termini di servizio svolta da PrivacySpy e ToS;DR, Telegram è messo meglio, non peggio, di Signal, WhatsApp, Element (istanza ufficiale) e altri.
PrivacySpy: Telegram 8.8, Signal 8, Element 7.2, WhatsApp 4.7
ToS;DR: Element B, Signal B, Telegram B, WhatsApp C
Penso che siamo tutti d'accordo in teoria: Telegram è peggiore degli altri in quanto ha la crittografia e2e solo nelle chat 1:1 e non di default ed il server closed source, con client e protocollo aperti e build riproducibili. In pratica, bisogna considerare come funzionano i protocolli e le implementazioni.
WhatsApp è closed source con binari offuscati e nessuno è in grado di verificare cosa faccia effettivamente l'applicazione. La fiducia richiesta in meta è massima.
Signal, considerato da molti il miglior protocollo per le applicazioni di comunicazione, ha alcuni problemi abbastanza gravi:
- TOFU: richiede di verificare su un canale sicuro la chiave di crittografia di ogni dispositivo di ogni utente (impossibile nei gruppi con N grande) anche in caso di reinstallazione del client per escludere attacchi MiTM (https://t.me/monitoraPA/57343) (problema presente anche su WhatsApp, Telegram chat segrete e altri).
- Tecnologia SVR e server su AWS: per salvare i dati in cloud si basa sulla tecnologia fallata intel SGX (https://signal.org/blog/the-ecosystem-is-moving/). I server sono su AWS IaaS gestito da Amazon che può accedere ai dati sfruttando tali falle. Per fortuna al momento il backup riguarda solo le impostazioni e il grafo dei contatti.
- Assenza username: richiede di dare un identificativo personale come il numero di telefono anche per comunicare, non solo per iscriversi.
- Server semi open source: non c'è modo di verificare che la versione presente su github sia la stessa in esecuzione. Inoltre, possiamo considerarlo semi open source in quanto per lunghi periodo non ha aggiornato il repository (per non mostrare il codice legato a mobile Coin).
- Niente federazione: non supporta la federazione e contrasta l'utilizzo di client di terze parti, per questo niente versioni su f-droid (https://github.com/signalapp/Signal-Android/issues/127).
- Finanziato dal governo USA alla pari di Google e altri.
- Quindi anche Signal richiede un elevato livello di fiducia, nonostante sia completamente open source e con crittografia e2e. Personalmente se mi devo fidare cosi tanto, visti gli svantaggi dell'assenza di username, backup delle chat e applicazioni di terze parti, preferisco Telegram.
La migliore alternativa per le applicazioni di messaggistica è Element/Matrix poiché è completamente open source ed e2ee, ma soprattutto federato e quindi favorisce la decentralizzazione del sistema distribuendo il potere nelle mani degli utenti. Inoltre, supporta il cross-signing che risolve il problema TOFU e il backup delle chat in modo abbastanza intuitivo.
C'è un progetto di matrix per renderlo p2p ovvero privo di qualunque server e fiducia in terze parti.
Anche qui occorre fare attenzione a non utilizzare l'istanza ufficiale di Element che non è buona dal punto di vista della privacy e della raccolta dei dati personali. Alcuni difetti di Element/matrix sono i client PC basati su electron che consumano molte risorse CPU/memoria e il maggior consumo di traffico dati oltre all'assenza di una videoconferenza integrata attualmente basata su jitsi (questo dovrebbe essere risolto a breve).
Ringrazio Emilia che ha scritto nel canale Telegram/Matrix di Monitora-Pa questo breve riassunto della situazione delle principali app di messaggistica cosidetta istantanea.
I garanti della privacy di Italia, Austria e Francia avevano confermato che Google Analytics non rispetta il GDPR (Regolamento generale sulla protezione dei dati). L’autorità svedese ha invece deciso di sanzionare due aziende locali.
Il garante svedese ha esaminato i casi di CDON, Coop, Dagens Industri e Tele2. Dato che le misure tecniche implementate dalle quattro aziende non garantiscono un sufficiente livello di protezione dei dati inviati negli Stati Uniti, l’autorità ha ordinato di non usare più Google Analytics. Tele2 ha già rispettato l’ordine, ma dovrà pagare una multa di 12 milioni di corone (circa un milione di euro). Una sanzione di 300.000 corone (circa 25.400 euro) è stata invece inflitta a CDON.
Sarà valido fino a fine 2025, e non era scontato visto che piacciono molto al ministro dell'Interno, Matteo Piantedosi
La Camera ha approvato decreto-legge 51 del 2023 che tra le altre cose contiene l’estensione della moratoria sui sistemi di riconoscimento facciale in scadenza alla fine dell’anno. Fino al 31 dicembre 2025, e non più fino al 31 dicembre 2023, le autorità pubbliche e i privati non potranno installare impianti di videosorveglianza con sistemi di riconoscimento facciale in luoghi pubblici e aperti al pubblico. L’emendamento che ha confermato il divieto in scadenza era stato presentato da Marianna Madia, Lia Quartapelle e Filiberto Zaratti del Partito Democratico, e approvato la scorsa settimana in commissione.
La conferma della moratoria non era scontata perché alla fine di aprile il ministro dell’Interno, Matteo Piantedosi, aveva sostenuto la necessità di installare sistemi di riconoscimento facciale nelle stazioni, negli ospedali e nelle zone commerciali delle grandi città per garantire più sicurezza. «La videosorveglianza è uno strumento ormai unanimemente riconosciuto come fondamentale», aveva detto Piantedosi, intervistato dal Quotidiano Nazionale. «La sua progressiva estensione è obiettivo condiviso con tutti i sindaci. Il riconoscimento facciale dà ulteriori e significative possibilità di prevenzione e indagine». L’estensione del divieto fino al 2025 non era scontata anche perché negli ultimi anni molti sindaci, soprattutto di centrodestra, avevano cercato di installare telecamere a riconoscimento facciale: tutti i tentativi fatti finora erano stati bloccati dal Garante della privacy.
7 persone sono state accusate di terrorismo per aver messo in sicurezza le proprie comunicazioni, tramite strumenti quali il sistema operativo Tails, la rete Tor e l'applicazione di messaggistica Signal. Tra le altre cose, la conoscenza di questi strumenti e l'aver partecipato a dei "caffè della privacy" sono state usate come argomentazioni contro le persone arrestate.
"Cosa ne pensi delle GAFA (Google Amazon Facebook Apple)?", "Sei contro le GAFA?" sono alcune delle domande che la polizia e i giudici hanno posto ripetutamente alle persone accusate, come se criticare queste aziende fosse segno di radicalizzazione.
Le persone arrestate sono state accusate di avere "comportamenti clandestini" e di far parte di un "culto basato sulla segretezza" solo per avere a cuore la propria privacy. Tuttavia la polizia non ha trovato alcuna prova a supporto di questa tesi.
L’app IO sta entrando nell’uso ordinario, e per essa l’esecutivo ha grandi programmi di espansione. Ma come va il suo rispetto dei principi fondamentali?
l’app IO sarà a breve utilizzata per le sperimentazioni sul futuro wallet europeo delle credenziali degli italiani; nella prospettiva che l’app IO diventi l’implementazione italiana dell’European Digital Identity Wallet Cassandra vorrebbe essere rassicurata…, anzi no, Cassandra pretende di conoscere l’adeguatezza ad un compito così importante dell’app IO; tanto per cominciare, sui fronti della privacy e della sicurezza.
Infatti IO è ben nota per contenere tre librerie traccianti, Google Firebase Analytics, MixPanel e Facebook Flipper; li conteneva il 27 settembre del 2022, nella versione 2.15.0.4, e giunta alla versione attuale 2.33.0.2 ancora li contiene.
Non è solo una questione di sanzione economica: dietro la decisione del Garante Privacy irlandese contro Menlo Park c'è molto di più
Una decisione storica. Non solo per la portata della sanzione. Il Garante della Privacy irlandese (che agisce a nome dell’Unione Europea perché la sede di Meta nel Vecchio Continente è a Dublino) ha sanzionato l’azienda di Mark Zuckerberg per la cifra record di 1,2 miliardi di euro. Un provvedimento che ha origini molto lontane nel tempo, partendo dalla denuncia fatta da Max Schrems, passando per la sentenza della Corte di Giustizia UE di “cancellare” il Privacy Shield e per arrivare a questa multa. La più alta relativa a una violazione della Privacy.
