Pillole
Il parere di Max Schrems, watchdog delle politiche europee sul trattamento dati sul Data Privacy Framework, è impietoso
L’attività di monitoraggio di Max Schrems e del suo NOYB prosegue da tempo e il Data Privacy Framework non fa eccezione. Maximilian Schrems è noto, in particolar modo, per essere l’attivista avvocato che ha battagliato contro Facebook per i suoi numerosi atti di violazione della privacy – a partire dalle leggi europee sul trasferimento di dati personali alla NSA Usa. Una delle critiche maggiormente fatte a questo nuovo accordo, in sostanza, è quella di essere un Safe Harbor 3.0 o un Privacy Shield 2.0 – un copia-incolla degli accordi precedenti che, alla fine, non cambia le carte in tavola quanto dice di fare -. Considerate le criticità già individuate anche dall’EDPB (Comitato europeo per la Protezione dei Dati, composto dalle autorità garanti dei Paesi membri), tutto quello che abbiamo finora sembrerebbe essere il ritardo del blocco del trasferimento dati in Usa che porterebbe i cittadini Ue a non poter usare servizi come quelli forniti da Big Tech.
In vigore dall'11 luglio, dopo che i due precedenti trattati sono stanti invalidati. Per gli attivisti per i diritti digitali di Noyb però è una copia dei regolamenti precedenti e si preparano a fare ricorso
La Commissione europea ha adottato il nuovo accordo sul trasferimento dei dati tra l’Unione europea e gli Stati uniti. Il Data privacy framework arriva dopo l’annullamento degli accordi precedenti da parte della Corte di giustizia europea, a causa dell’assenza di tutele adeguate da parte degli Stati Uniti. Tuttavia, l’organizzazione per i diritti digitali Noyb si prepara a portare anche questo accordo davanti alla Corte, perché sembrerebbe una copia dei vecchi regolamenti.
[...]
L’accordo cerca poi di risolvere il problema dell’accesso incondizionato ai dati personali da parte delle agenzie di intelligence statunitensi, che nel quadro del nuovo framework dovrebbero avere solamente un accesso limitato e proporzionato a queste informazioni. Inoltre, istituisce un organo speciale, la Data protection review court (Dprc), a cui i cittadini europei potranno rivolgersi in caso di violazione delle nuove garanzie, che potrà ordinare la cancellazione dei dati ottenuti o trattati illegalmente.
Le critiche di Noyb
Il nuovo regolamento non ha convinto il gruppo per la difesa dei diritti digitali Noyb, guidato dall’attivista e avvocato Max Schrems. Per l’organizzazione, infatti, gli Stati Uniti attribuiranno alla parola “proporzionato” un significato diverso da quello della Corte di giustizia, così da assicurare alle agenzie di intelligence la possibilità di continuare a usare i dati personali europei più o meno come vogliono...
Secondo la valutazione della privacy policy e dei termini di servizio svolta da PrivacySpy e ToS;DR, Telegram è messo meglio, non peggio, di Signal, WhatsApp, Element (istanza ufficiale) e altri.
PrivacySpy: Telegram 8.8, Signal 8, Element 7.2, WhatsApp 4.7
ToS;DR: Element B, Signal B, Telegram B, WhatsApp C
Penso che siamo tutti d'accordo in teoria: Telegram è peggiore degli altri in quanto ha la crittografia e2e solo nelle chat 1:1 e non di default ed il server closed source, con client e protocollo aperti e build riproducibili. In pratica, bisogna considerare come funzionano i protocolli e le implementazioni.
WhatsApp è closed source con binari offuscati e nessuno è in grado di verificare cosa faccia effettivamente l'applicazione. La fiducia richiesta in meta è massima.
Signal, considerato da molti il miglior protocollo per le applicazioni di comunicazione, ha alcuni problemi abbastanza gravi:
- TOFU: richiede di verificare su un canale sicuro la chiave di crittografia di ogni dispositivo di ogni utente (impossibile nei gruppi con N grande) anche in caso di reinstallazione del client per escludere attacchi MiTM (https://t.me/monitoraPA/57343) (problema presente anche su WhatsApp, Telegram chat segrete e altri).
- Tecnologia SVR e server su AWS: per salvare i dati in cloud si basa sulla tecnologia fallata intel SGX (https://signal.org/blog/the-ecosystem-is-moving/). I server sono su AWS IaaS gestito da Amazon che può accedere ai dati sfruttando tali falle. Per fortuna al momento il backup riguarda solo le impostazioni e il grafo dei contatti.
- Assenza username: richiede di dare un identificativo personale come il numero di telefono anche per comunicare, non solo per iscriversi.
- Server semi open source: non c'è modo di verificare che la versione presente su github sia la stessa in esecuzione. Inoltre, possiamo considerarlo semi open source in quanto per lunghi periodo non ha aggiornato il repository (per non mostrare il codice legato a mobile Coin).
- Niente federazione: non supporta la federazione e contrasta l'utilizzo di client di terze parti, per questo niente versioni su f-droid (https://github.com/signalapp/Signal-Android/issues/127).
- Finanziato dal governo USA alla pari di Google e altri.
- Quindi anche Signal richiede un elevato livello di fiducia, nonostante sia completamente open source e con crittografia e2e. Personalmente se mi devo fidare cosi tanto, visti gli svantaggi dell'assenza di username, backup delle chat e applicazioni di terze parti, preferisco Telegram.
La migliore alternativa per le applicazioni di messaggistica è Element/Matrix poiché è completamente open source ed e2ee, ma soprattutto federato e quindi favorisce la decentralizzazione del sistema distribuendo il potere nelle mani degli utenti. Inoltre, supporta il cross-signing che risolve il problema TOFU e il backup delle chat in modo abbastanza intuitivo.
C'è un progetto di matrix per renderlo p2p ovvero privo di qualunque server e fiducia in terze parti.
Anche qui occorre fare attenzione a non utilizzare l'istanza ufficiale di Element che non è buona dal punto di vista della privacy e della raccolta dei dati personali. Alcuni difetti di Element/matrix sono i client PC basati su electron che consumano molte risorse CPU/memoria e il maggior consumo di traffico dati oltre all'assenza di una videoconferenza integrata attualmente basata su jitsi (questo dovrebbe essere risolto a breve).
Ringrazio Emilia che ha scritto nel canale Telegram/Matrix di Monitora-Pa questo breve riassunto della situazione delle principali app di messaggistica cosidetta istantanea.
I garanti della privacy di Italia, Austria e Francia avevano confermato che Google Analytics non rispetta il GDPR (Regolamento generale sulla protezione dei dati). L’autorità svedese ha invece deciso di sanzionare due aziende locali.
Il garante svedese ha esaminato i casi di CDON, Coop, Dagens Industri e Tele2. Dato che le misure tecniche implementate dalle quattro aziende non garantiscono un sufficiente livello di protezione dei dati inviati negli Stati Uniti, l’autorità ha ordinato di non usare più Google Analytics. Tele2 ha già rispettato l’ordine, ma dovrà pagare una multa di 12 milioni di corone (circa un milione di euro). Una sanzione di 300.000 corone (circa 25.400 euro) è stata invece inflitta a CDON.
Sarà valido fino a fine 2025, e non era scontato visto che piacciono molto al ministro dell'Interno, Matteo Piantedosi
La Camera ha approvato decreto-legge 51 del 2023 che tra le altre cose contiene l’estensione della moratoria sui sistemi di riconoscimento facciale in scadenza alla fine dell’anno. Fino al 31 dicembre 2025, e non più fino al 31 dicembre 2023, le autorità pubbliche e i privati non potranno installare impianti di videosorveglianza con sistemi di riconoscimento facciale in luoghi pubblici e aperti al pubblico. L’emendamento che ha confermato il divieto in scadenza era stato presentato da Marianna Madia, Lia Quartapelle e Filiberto Zaratti del Partito Democratico, e approvato la scorsa settimana in commissione.
La conferma della moratoria non era scontata perché alla fine di aprile il ministro dell’Interno, Matteo Piantedosi, aveva sostenuto la necessità di installare sistemi di riconoscimento facciale nelle stazioni, negli ospedali e nelle zone commerciali delle grandi città per garantire più sicurezza. «La videosorveglianza è uno strumento ormai unanimemente riconosciuto come fondamentale», aveva detto Piantedosi, intervistato dal Quotidiano Nazionale. «La sua progressiva estensione è obiettivo condiviso con tutti i sindaci. Il riconoscimento facciale dà ulteriori e significative possibilità di prevenzione e indagine». L’estensione del divieto fino al 2025 non era scontata anche perché negli ultimi anni molti sindaci, soprattutto di centrodestra, avevano cercato di installare telecamere a riconoscimento facciale: tutti i tentativi fatti finora erano stati bloccati dal Garante della privacy.
7 persone sono state accusate di terrorismo per aver messo in sicurezza le proprie comunicazioni, tramite strumenti quali il sistema operativo Tails, la rete Tor e l'applicazione di messaggistica Signal. Tra le altre cose, la conoscenza di questi strumenti e l'aver partecipato a dei "caffè della privacy" sono state usate come argomentazioni contro le persone arrestate.
"Cosa ne pensi delle GAFA (Google Amazon Facebook Apple)?", "Sei contro le GAFA?" sono alcune delle domande che la polizia e i giudici hanno posto ripetutamente alle persone accusate, come se criticare queste aziende fosse segno di radicalizzazione.
Le persone arrestate sono state accusate di avere "comportamenti clandestini" e di far parte di un "culto basato sulla segretezza" solo per avere a cuore la propria privacy. Tuttavia la polizia non ha trovato alcuna prova a supporto di questa tesi.
L’app IO sta entrando nell’uso ordinario, e per essa l’esecutivo ha grandi programmi di espansione. Ma come va il suo rispetto dei principi fondamentali?
l’app IO sarà a breve utilizzata per le sperimentazioni sul futuro wallet europeo delle credenziali degli italiani; nella prospettiva che l’app IO diventi l’implementazione italiana dell’European Digital Identity Wallet Cassandra vorrebbe essere rassicurata…, anzi no, Cassandra pretende di conoscere l’adeguatezza ad un compito così importante dell’app IO; tanto per cominciare, sui fronti della privacy e della sicurezza.
Infatti IO è ben nota per contenere tre librerie traccianti, Google Firebase Analytics, MixPanel e Facebook Flipper; li conteneva il 27 settembre del 2022, nella versione 2.15.0.4, e giunta alla versione attuale 2.33.0.2 ancora li contiene.
Non è solo una questione di sanzione economica: dietro la decisione del Garante Privacy irlandese contro Menlo Park c'è molto di più
Una decisione storica. Non solo per la portata della sanzione. Il Garante della Privacy irlandese (che agisce a nome dell’Unione Europea perché la sede di Meta nel Vecchio Continente è a Dublino) ha sanzionato l’azienda di Mark Zuckerberg per la cifra record di 1,2 miliardi di euro. Un provvedimento che ha origini molto lontane nel tempo, partendo dalla denuncia fatta da Max Schrems, passando per la sentenza della Corte di Giustizia UE di “cancellare” il Privacy Shield e per arrivare a questa multa. La più alta relativa a una violazione della Privacy.
La decisione di applicare la sanzione per aver violato le norme europee sulla protezione dei dati (Gdpr) con il suo social network Facebook non ha precedenti
Multa da record per Meta Platforms. L'autorità garante della privacy irlandese ha deciso di infliggere una multa record da 1,2 miliardi di euro a Meta per violazione delle legge europea sulla privacy per aver inviato informazioni sugli utenti agli Stati Uniti: lo riporta il Wall Street Journal. La decisione di applicare la sanzione per aver violato le norme europee sulla protezione dei dati (Gdpr) con il suo social network Facebook non ha precedenti.
La presidente dell'Edpb, Andrea Jelinek, ha sottolineato che la violazione compiuta da Meta è "molto grave" poiché riguarda trasferimenti di dati personali "sistematici, continuati e ripetitivi". Facebook, ha aggiunto, "ha milioni di utenti in Europa e quindi il trasferimento di dati è stato enorme. La multa senza precedenti rappresenta un segnale forte" nei confronti degli autori dell'infrazione per indicare che "gravi violazioni comportano conseguenze di grande portata".
Mi sono imbattatuto in una inchiesta di qualche anno fa, ma tutt'ora attuale ed esemplificativa dell'importanza dei metadati.
La ricerca è di ShareLab, dal nome "Metadata Investigation : Inside Hacking Team" e prende spunto da un furto (un leak) di dati operato a danno di Hacking Team, un'azienda italiana tra le maggiori produttrici e rivenditrici di armi informatiche del mondo. In particolare sono stati la ricerca prende in esame le email dell'azienda.
Una volta online, ogni nostro movimento, ogni clic, ogni e-mail inviata o ricevuta, ogni nostra attività produce una grande quantità di tracce invisibili. Queste tracce, una volta raccolte, messe insieme e analizzate, possono rivelare i nostri modelli comportamentali, la nostra posizione, i nostri contatti, le nostre abitudini e i nostri interessi più intimi. Spesso rivelano molto più di quanto ci sentiamo di condividere.
La maggior parte di queste tracce è nascosta nei metadati, cioè in piccole informazioni memorizzate nei pacchetti IP, nelle intestazioni delle e-mail o nei file creati. La ricerca mostra quante informazioni si possano dedurre analizzando e mettedo in relazioni i metadati senza necessità di accedere ai dati veri e propri. Nel caso specifico senza accedere al contenuto delle email.
Potete leggere l'intera inchiesta nel sito di ShareLab
oppure guardare il video riassuntivo che è sufficiente ad inquadrare la questione.
Lo Spazio Europeo dei Dati Sanitari (SEDS) è una proposta europea per rendere i trasferimenti tra strutture sanitarie più semplici - che siano tra Stati diversi o all'interno dello stesso Paese.
L'idea è di creare per ogni Stato un ente governativo che faccia da custode di tali dati sanitari, forzando le strutture (ospedali, medici di famiglia ecc.) a condividerli con esso. Lɜ pazienti non avrebbero tuttavia nessun diritto a rifiutare e, considerando che i dati non possono essere anonimizzati al 100%, si perderebbe quella confidenzialità garantita dal giuramento d'Ippocrate.
Le informazioni sensibili verrebbero accentrate tutte in un unico posto, rendendo la vita di hacker e governi molto più semplice: è infatti da anni che i primi sottraggono dati sanitari per rivenderli su internet, mentre i secondi potrebbero comprendere con più facilità quando vengono eseguite procedure ritenute illegali (come gli aborti in Polonia).
L'ente governativo può poi condividere i dati sanitari con terzi, se a fini di ricerca. Questo permette ad aziende come Google di impadronirsi di tali dati (in quanto investono anche in campo medico) e, una volta nelle loro sedi, non sarebbero più tutelati dalle leggi europee
Leggi l'articolo originale sul sito European Digital Rights (EDRi)
Leggi altre informazioni nel canale Telegram di Etica Digitale
Sono molte le scuole che in questi giorni stanno provvedendo alla disattivazione dei servizi Google e\o Microsoft.
Nelle settimane scorse le scuole hanno ricevuto le richieste di Monitora PA affinché siano rimossi entro 60 giorni il servizio di posta elettronica gmail ed ogni altro servizio collegato, come Google drive, Google documents e Google workspace.
Come è noto, la contestazione di Monitora PA trae origine dalla sentenza del 16 luglio 2020 della Corte di giustizia dell’Unione europea (sentenza Schrems-II ) che di fatto ha abolito l’accordo internazionale tra USA e UE per uniformare la sicurezza del trattamento dati cosi come previsto dal Regolamento Europeo sulla Protezione dei dati (art. 45 del GDPR 679/2016).
Con la suddetta sentenza della Corte di giustizia europea (CGUE) i trasferimenti di dati verso gli Stati Uniti non possono più basarsi su questo strumento. Ciò ha determinato quel vuoto normativo, quella mancanza di adeguatezza che ha reso, di fatto, il trattamento dati negli USA non conforme al GDPR.
È iniziato tutto quando Foad Dabiri, dipendente di Twitter, ha pubblicato sul social network un post in cui raccontava: «WhatsApp ha usato il microfono di nascosto, mentre stavo dormendo e da quando mi sono alzato alle 6 (ed è solo un pezzo della linea temporale!). Che sta succedendo?».
In un oceano di segnalazioni al Garante fatte da Monitora-PA e confusione da parte delle PA, quello che si evince è che la privacy continua a essere presa sottogamba; e che nonostante le critiche che MonitoraPA ha ricevuto per i metodi crudi impiegati (principalmente segnalazioni di massa), rimane a oggi l'unico gruppo che sta riuscendo con azioni concrete a far rispettare il diritto alla privacy delle persone
Leggi la storia e guarda il grafico dell'efficacia delle segnalazioni su EticaDigitale
Caro Ministero dell'Istruzione, mi dispiace ma non posso accettare una circolare come quella che avete scritto oggi alle #scuole italiane, dove sostanzialmente si dice:
1- care scuole, voi siete i Titolari, quindi se sbagliate sono cavoli vostri.
2- comunque #Google e Microsoft sono sicuri, perché lo dicono sul loro sito.
Una circolare di questo tipo desta molta confusione tra i dirigenti, ed è evidentemente scritta da chi non ha contezza di cosa sia Schrems II.
Leggi il commento completo
p.s. Nella circolare si dice anche "Inoltre, si coglie l’occasione di ricordare che le misure del PNRR 1.2 - Migrazione al cloud (cloud qualificati) e 1.4.1 – siti web delle scuole, a cui la stragrande maggioranza delle istituzioni scolastiche ha aderito, possono rappresentare strumenti finalizzati anche a preservare l’utilizzo dei dati personali e sensibili del personale e degli alunni, utilizzando per comunicazioni di particolari tipologie di dati, servizi implementati su cloud qualificati e su aree ad accesso riservato dei siti web delle scuole"
Il che vuol dire che le scuole hanno a disposizione denaro, e tanto, per migrare a fornitori che non trasferiscano dati extra-UE.
Terza puntata - CSA NextEmerson - Presentazione dell'Osservatorio Nessuno - venerdì 17 marzo 20:00-23:00
In questo ultimo appuntamento, ospitiamo l'Osservatorio Nessuno: un progetto per sostenere la rete Tor in Italia, associazione no-profit che tutela i diritti alla privacy e all’anonimato, la libertà di informazione, espressione e comunicazione.
Osservatorio Nessuno si occupa di divulgazione dei diritti digitali e contribuisce a progetti internazionali per la difesa di tali diritti: tra questi,Tor Project.
A seguire musica live, cibo e birrette!
Terza puntata - CSA NextEmerson - mercoledì 15 marzo 20:00-00:00
Presentazione del progetto Tails: un sistema live in difesa di privacy e anonimato.
Tails è un sistema operativo portatile che protegge da sorveglianza e censura. Nella prima puntata di questo ciclo di appuntamenti l'abbiamo iniziato a conoscere, muovendo i primi passi e imparandone l'alfabeto minimo. In questo incontro si entra più nel dettaglio di come funziona, delle scelte che stanno alla base, delle idee che animano la comunità di persone che lo sviluppa e lo mantiene.
Un genitore e docente, ha scritto, con il supporto di Monitora-Pa, una lettera per richiedere alle scuole dei suoi figli l'interruzione dei trasferimenti di dati verso Google ed altri fornitori statunitensi. La lettera è stata generosamente condivisa affinché altri genitori possano adattarla al proprio contesto ed inviarla agli Istituti dei propri figli.
Puoi scaricare la lettera da adattare dal sito di Monitora-PA.
Come proteggere i nostri ragazzi (e la Democrazia)?
Impedire che i nostri figli si riducano a burattini nelle mani dei Big Tech è ancora possibile, ma è urgente agire con decisione.
La normativa italiana ed europea, garantisce ancora molti diritti ai genitori degli studenti che facendoli valere possono consentire ai Dirigenti Scolastici (spesso mal consigliati da DPO francamente incompetenti, come si è visto in occasione del FOIA di Fabio) di prendere coscienza dei gravi danni che stanno causando ai propri studenti, nonché dei rischi legali di cui verranno chiamati a rispondere nei prossimi mesi.
Leggi il testo completo delle motivazioni della lettera sul sito di Montitora-PA
Apriamo sulla notizia tecnologica del momento: un gruppo israeliano, Team Jorge, era impegnato nel dare supporto a campagne elettorali ed aziendali utilizzando il solito repertorio della disinformazione online, unito però ad una elevata competenza tecnologica, facendo largo uso di bot.
A proposito di disinformazione, il nuovo nemico è TikTok: dopo il divieto USA, anche la commissione europea lo proibisce per il personale della commissione. Si parla di proibirlo anche in Italia. Il motivo? aldilà delle dichiarazioni di facciata, sulla privacy, sulla disinformazione, e sui minorenni, il timore evidentemente è quello che funga da cavallo di Troia per il governo cinese.
A proposito: secondo Google (nello specifico, consultando il Play Store) TikTok, Twitter, e tante altre applicazioni non diffondono dati a terzi. È vero? A giudicare dalle stesse Privacy Policy pubblicate sui siti delle rispettive compagnie, no. Una ricerca di Mozilla ci aiuta a capirne di più.
A seguire notiziole.
Chiudiamo con il periodico aggiornamento ferroviario.
Puntata del 26/02/2023
Ascolta il podcast sul sito di Radio Onda Rossa
Abbiamo parlato con il co-fondatore della comunità di attivisti hacker che hanno come obiettivo quello della protezione dei dati personali degli italiani online
Giornalettismo ha trattato in diverse occasioni le tematiche riguardanti il caso Google Analytics e il trasferimento di dati presso Paesi Terzi. Questioni affrontate anche a livello normativo sia dall’Italia che dall’Europa, con interventi che hanno modificato quello status quo divenuto una vera e propria routine. Ma cosa accade se anche la Pubblica Amministrazione non riesce a rimettersi al passo utilizzando strumenti in linea con gli impianti legislativi forniti dallo European Data Protection Board? Ne abbiamo parlato con Giacomo Tesio, co-fondatore di Monitora PA, la comunità italiana di hacker attivisti che ha come obiettivo primario quello di proteggere i dati riservati degli italiani.
Leggi l'intervista integrale sul sito "Giornalettismo".
Leggi anche "Come hanno reagito gli Atenei italiani alla richiesta di smettere di utilizzare i servizi di Google?"
Leggi anche la seconda parte dell'intervista
