Datagate: possiamo proteggere la sicurezza dei dati?

L’analisi di com’è nato e come si è sviluppato lo scandalo che sta travolgendo l’amministrazione Obama, spinge a riflettere sulle misure che le aziende possono, nel loro piccolo, adottare per salvaguardare le proprie informazioni riservate

Quello alla libertà e alla segretezza delle conversazioni private rappresenta un diritto inviolabile e costituzionalmente garantito (articolo 15) nel nostro ordinamento, tuttavia lo sviluppo della cosiddetta “società dell’informazione” ha complicato non poco la sua effettiva tutela. L’avvento dei mezzi elettronici e la capillare diffusione della rete hanno offerto la ghiotta possibilità di localizzare tecnicamente qualunque comunicazione a distanza, di conoscerne l’ora e la durata, di tracciare il percorso dei dati trasmessi, di conoscerne il contenuto, di identificarne la fonte e la destinazione. Tali informazioni sono ora disponibili e potenzialmente in mano a soggetti pubblici e privati, che possono servirsene per i propri scopi, legati al benessere della cittadinanza o ad esigenze di natura commerciale.
Alla base della questione vi è un conflitto tra diritti ugualmente meritevoli di tutela, che spinge a interrogarsi sulla legittimità o meno di azioni volte a comprimere la riservatezza per garantire il rispetto di altri interessi, non ultimo quello alla sicurezza pubblica. L’acquisizione e il trattamento del traffico dati relativo alle attività svolte dagli utenti possono, infatti, rivelarsi spesso essenziali per la repressione e la prevenzione di comportamenti illegali; allo stesso tempo, però, una simile operazione mette seriamente a repentaglio una parte della sfera dei diritti fondamentali della persona. La legislazione e la giurisprudenza nazionali e internazionali sembrano avere non poche difficoltà nel ristabilire un equilibrio, suscitando, di volta in volta, il malcontento o il plauso dei detentori di opposti diritti.
Nella ribalta mediatica del Belpaese, la discussione che ruota attorno alla privacy è stata spesso legata al tema delle intercettazioni, sulle quali si è scagliato il dito infuocato di parlamentari e pensatori non proprio illuminati, interessati forse più a insabbiare i propri illeciti che a far valere un principio superiore.
Quando, però, a impugnare lo scettro della riservatezza è un cittadino americano di 29 anni, ex collaboratore di CIA (Central Intelligence Agency) e di NSA (National Security Agency), privo – almeno apparentemente – di interessi particolari, costretto, al contrario, a rinunciare alla propria tranquillità e a vivere da fuggitivo per sostenere i propri ideali, ecco allora che si crea un vero e proprio scandalo dalle dimensioni internazionali.
A questo scandalo la retorica giornalistica ha dato il nome di Datagate e alle sue origini vi sono alcune rivelazioni della talpa Edward Snowden, rimbalzate con estreme velocità tra le molte prime pagine cartacee e digitali di tutto il mondo. Negli ultimi quattro anni, Snowden ha lavorato per la NSA, in qualità di dipendente di diverse aziende esterne, tra cui Dell e – ultima – la società di sicurezza privata Booz Allen Hamilton (quest’ultima l’ha licenziato pubblicamente, in seguito alle sue rivelazioni). Lo scorso 20 maggio egli avrebbe scelto di lasciare le Hawaii – dove si trovava proprio per conto della Booz Allen Hamilton – motivando la dipartita ai propri superiori con la necessità di curare l’epilessia. Dopo aver copiato diversi documenti riservati, aver salutato la bellissima fidanzata e aver detto addio a uno stipendio da 200mila dollari l’anno, si sarebbe rifugiato a Hong Kong, dove, a suo dire, vige un forte impegno a tutela della libertà di parola e del dissenso politico.
Dall’hotel nel quale aveva scelto di nascondersi, sarebbe, allora, partita la prima soffiata – originariamente anonima – al quotidiano britannico The Guardian circa l’esistenza di un’ordinanza che imporrebbe alla compagnia di telecomunicazioni Verizon di conservare e rivelare all’FBI tutti i dati sensibili dei propri utenti (come numeri, identificatori unici, durata, orario e luogo in cui avvengono le conversazioni telefoniche), con pesanti ripercussioni in termini di privacy. Come si legge in un documento segreto pubblicato dal quotidiano, l’ordinanza sarebbe stata emessa dalla Foreign Intelligence Surveillance Court lo scorso 25 aprile 2013 e sarebbe valida per soli tre mesi, fino al prossimo 19 luglio. Essa vieta alla Verizon di rendere pubblica la questione e, pur non estendendosi al contenuto dei messaggi o alle informazioni personali degli utenti, permette al governo di tenere sotto controllo il traffico delle telefonate realizzate, all’interno dei confini Usa o tra Usa e altri Paesi, da milioni di cittadini ignari.
Legalmente la richiesta ricade sotto le disposizioni dell’Usa Patriot Act, la discussa legge emanata dopo gli attacchi dell’11 settembre 2001, con lo scopo di intensificare la lotta al terrorismo. Allo stesso tempo essa evidenzia come siano cambiate nel tempo le attività dell’intelligence americana, prima rivolte all’estero e ora decisamente più “domestiche”.
Se questo accesso ai tabulati telefonici risulta recente, lo stesso pare non si possa dire per l’attività di capillare spionaggio relativa alle informazioni e ai dati scambiati online dagli utenti. Un successivo scoop del The Guardian e del The Washington Post ha, infatti, dimostrato l’esistenza, fin dal 2007, di un programma di sorveglianza top-secret denominato PRISM e gestito dalla NSA. Esso consentirebbe al governo statunitense di richiedere ai Big dell’informatica e della rete – tra cui Google, Facebook, Microsoft, Yahoo!, Aol, Apple, Skype (ormai parte del gruppo di Redmond) e PalTalk – l’accesso alle mail, ai video, alle foto, alle chat vocali, alle notifiche di accesso e ad altre informazioni, sotto l’approvazione di un mandato Fisa (il controverso Foreign Intelligence Surveillance Act, che autorizza il governo americano a intercettare telefonate e email all’estero). In molti hanno notato l’assenza di un nome di rilievo, nella lista di chi avrebbe cooperato con Prism, quello di Twitter, già in passato mostratosi particolarmente attento nel difendere i dati personali dei propri utenti.
Nei resoconti giornalistici della vicenda, si sono moltiplicate le voci e le ipotesi circa il reale funzionamento del PRISM: secondo alcuni – tra i quali il The New York Times – l’accesso alle informazioni non sarebbe così diretto, le aziende non fornirebbero un accesso diretto ai propri server, al contrario avrebbero costruito una sorta di casella postale protetta alla quale il governo statunitense può accedere, e dove vengono depositati i soli dati frutto di specifica richiesta Fisa, valutata legittima dagli avvocati aziendali. Nessun invio di massa e automatico, dunque. Dal canto suo, il The Guardian ha pubblicato una diapositiva tratta da una presentazione PowerPoint segreta, interna alla NSA, nella quale si parla di cinque programmi da utilizzare: quattro servirebbero a intercettare i dati “nei cavi in fibra e nelle infrastrutture in cui scorrono”, e l’ultimo, il Prism appunto, prevedrebbe la “raccolta diretta” dai server di aziende statunitensi.
La slide rientrerebbe nel materiale consegnato da Snowden al The Guardian e al The Washington Post, materiale che, tuttavia, risulta per la maggior parte ancora inedito, malgrado la richiesta del 29enne di rendere pubbliche tutte e 41 le slide inviate. Nessuno dei documenti segreti finora pubblicati sembra chiarire realmente se lo spionaggio sia automatico e ampio oppure ristretto e mediato dagli avvocati delle aziende coinvolte.
A ciò si aggiungono le pesanti parole usate dalla “talpa” Snowden nella video intervista pubblicata dal The Guardian in cui rivela la propria identità: “L’Nsa ha costruito un’infrastruttura che le permette di intercettare praticamente tutto. Con la sua capacità la grande maggioranza delle comunicazioni umane è digerita automaticamente senza obiettivi. Se volessi vedere le tue email o il telefono di tua moglie, devo solo usare le intercettazioni. Posso ottenere le tue mail, password, tabulati telefonici, carte di credito. Non voglio vivere in una società che fa questo genere di cose… Non voglio vivere in un mondo in cui ogni cosa che faccio e dico è registrata. Non è una cosa che intendo appoggiare o tollerare”.
In una successiva intervista rilasciata a un giornale di Hong Kong, il South China Morning Post, Snowden ha difeso nuovamente la propria posizione e ha alzato la posta in gioco: “Non sono né un traditore né un eroe, sono un americano”, ha affermato – parlando anche dei timori per le possibili ripercussioni della vicenda sulla sua famiglia – e ha rivelato come la NSA sia solita spiare, con vere e proprie azioni di hackeraggio, le reti informatiche di privati e istituzioni in Cina e ad Hong Kong, almeno fin dal 2009. “Coloro che pensano che ho fatto un errore a scegliere di venire ad Hong Kong equivocano le mie intenzioni”, ha detto infine. “Non sono qui per nascondermi dalla giustizia, ma per rivelare crimini”.
Sono in molti, infatti, a vedere qualcosa di sospetto nella scelta dell’ex colonia britannica per la fuga, dato che essa è sotto l’amministrazione della Repubblica Popolare Cinese dal 1997 ed è stata oggetto di forti accuse da parte della Casa Bianca, in relazione alle presunte operazioni di hackeraggio contro istituzioni, giornali e colossi informatici e finanziari Usa. Tali accuse erano al centro dell’incontro informale tra i Presidenti Obama e Xi Jinping, tenutosi proprio nei giorni in cui lo scandalo è scoppiato.
In una successiva chat con i lettori del The Guardian (l’hashtag per rivolgergli delle domande era #AskSnowden), Snowden ha, tuttavia, smentito le accuse di complicità con Pechino: “Non ho avuto contatti con il governo cinese… io lavoro solo con i giornalisti”, ha detto. Il mio, ha proseguito, “è un paese per il quale vale la pena di morire”. “Le rivelazioni daranno ad Obama l’opportunità di tornare alla ragionevolezza, alla politica costituzionale e alla legalità”. “Il governo americano” – ha concluso profetico – “non potrà insabbiare le cose uccidendomi o mettendomi in prigione. La verità sta arrivando e non può essere fermata”.
Gettando altra benzina sul fuoco, il Financial Times ha poi riferito che l’amministrazione Obama, due anni fa, chiese e ottenne dalla Commissione Europea di eliminare, dalle norme Ue sulla protezione dei dati, una misura che avrebbe complicato all’intelligence americana il compito di spiare i cittadini europei. Tale misura, nota come Anti-Fisa clause, avrebbe reso nulla qualsiasi richiesta Usa alle società di telecomunicazione e di tecnologia europee di consegnare dati relativi ai propri utenti.
I giganti della rete coinvolti hanno inizialmente negato di conoscere il programma PRISM e di aver offerto all’intelligence americana una porta aperta sui loro data center, salvo poi fare dietrofront e sferrare il contrattacco (http://daily.wired.it/news/internet/2013/06/12/datagate-rapporto-facebook-microsoft-google-426758.html#?refresh_ce), chiedendo al governo USA il permesso di pubblicare tutti i dati relativi ai loro rapporti con l’Nsa, per dimostrare una maggiore trasparenza circa il regime di sorveglianza cui sono sottoposti.
 In base a quanto dichiarato dalle stesse aziende, nel secondo semestre del 2012, Facebook avrebbe ricevuto tra le 9 mila e le 10 mila richieste da parte dell’intelligence americana, relative agli account di 18-19 mila utenti; nello stesso periodo, Microsoft ne avrebbe ricevute 6-7 mila per 31-32 mila account. Tra il primo dicembre 2012 e il 31 maggio 2013, Apple avrebbe poi ricevuto tra le 4 e le 5 mila richieste relative a 9-10 mila account, mentre Yahoo!  fra le 12 e le 13 mila. Si tratta comunque di statistiche che fanno poca chiarezza, mescolando le domande che riguardano reati comuni e quelle che hanno a che fare con la sicurezza nazionale, dato che per legge le società coinvolte non possono rivelare quali richieste ricadono nell’ambito del FISA, dunque nel programma di sorveglianza Prism. Google attende il via libera della NSA per poter effettuare la distinzione e pubblicare le informazioni relative alle sole richieste per sicurezza nazionale; al momento nel suo Transparency Report sottolinea comunque di aver ricevuto 8438 domande da parte di autorità locali, federali e nazionali degli Usa durante l’ultimo semestre dell’anno scorso (ha risposto nell’88%-90% dei casi rispetto al 94% di tre anni prima).
Dal canto suo, l’amministrazione Usa ha ammesso l’esistenza del Programma PRISM, spiegando che le informazioni cui l’FBI ha accesso riguardano solo i cittadini non americani o che vivono fuori dagli Stati Uniti, allo scopo di garantire la sicurezza nazionale da nemici esterni. Il Presidente Barack Obama ha subito evidenziato come il programma non fosse segreto, ma “riservato” e, allo stesso tempo, “legale e limitato”, autorizzato più volte dal Congresso, a partire dal 2007, con sostegno bipartisan, al solo scopo di prevenire il terrorismo.
Il Direttore della National Intelligence James Clapper ha sottolineato come le inchieste del The Guardian e del The Washington Post siano “riprovevoli” e piene di errori, mentre il Direttore dell’FBI Robert Mueller, in un’udienza al Congresso, ha ribadito il fatto che la sorveglianza delle comunicazioni da parte delle agenzie di sicurezza Usa è avvenuta nel pieno rispetto della legge e ha fatto sapere di aver avviato un’inchiesta penale nei confronti di Snowden, poiché le sue rivelazioni avrebbero causato “significativi danni” al Paese e alla sua sicurezza.
In una successiva intervista al canale Pbs, il Presidente Obama ha difeso l’operato della Casa Bianca: “Il sistema è trasparente, per questo le autorizzazioni dipendevano dal Foreign Intelligence Surveillance Act”; nel contempo ammette: “Dobbiamo trovare modi per garantire alle persone la presenza di controlli ed equilibri, la sicurezza che le loro telefonate non sono ascoltate e che i loro messaggi e mail non sono letti da un Grande Fratello”. Obama ha quindi annunciato di aver dato vita ad una Commissione per la difesa della privacy e delle libertà civili formata da cittadini indipendenti, per avviare un dialogo nazionale sulla questione. “Ritengo che il mio lavoro” – ha detto – “sia di proteggere il popolo americano, e anche di proteggere lo stile di vita americano, che comprende la nostra privacy”.
Le ultime rilevanti dichiarazioni sono quelle fatte dal Direttore della NSA Keith Alexander, nel corso di un’audizione davanti all’House Permanent Select Committee on Intelligence: egli ha rivelato come, grazie al programma PRISM, siano stati sventati oltre 50 complotti terroristici contro gli Stati Uniti, messi a punto dopo l’11 settembre. Gli attentati avrebbero riguardato più di 20 Paesi e, tra la decina pianificata nel territorio degli Stati Uniti, almeno due erano indirizzati a New York (uno alla metropolitana e uno a Wall Street).
Alexander ha anche spiegato quali siano i tipi di dati raccolti dalla NSA e in virtù di quali leggi: la sezione 215 del Patriot Act permette di raccogliere i dati relativi alle telefonate dalle compagnie, non, quindi, i dati relativi alle transazioni con carte di credito come inizialmente diffuso (che potrebbero però essere raccolti dall’Fbi), mentre la sezione 702 del Fisa permette la raccolta di dati relativi a chat, email e indirizzi Ip. Le informazioni relative al traffico telefonico – ha sostenuto ancora il capo della NSA – resterebbero a disposizione dell’agenzia per cinque anni e la loro raccolta non servirebbe ad analisi di data minging generiche, ma, al contrario, sarebbe limitata a specifici numeri di telefono. Le interrogazioni sui database telefonici, infine, possono essere richieste solo da un ventina di persone alla NSA.
La repentina giustificazione dell’amministrazione americana, che ha sottolineato come PRISM fosse rivolto esclusivamente ai cittadini esteri, è parsa a molti come una sorta di gaffe diplomatica verso il resto del mondo, suscitando non poche reazioni, anche in Italia. Lo scandalo spinge, a questo punto, a riflettere anche sulla reale capacità delle aziende italiane di proteggere i dati scambiati in rete, nei limiti, ovviamente, del proprio raggio d’azione.
Come noto, l’uso di antivirus, anti-spyware e altri strumenti classici di protezione è un requisito essenziale per la difesa dai pericoli esterni. Un’ulteriore forma di protezione potrebbe essere l’utilizzo di una rete VPN (Virtual Private Networks): essa tipicamente permette a computer ubicati in sedi fisiche diverse di stabilire un collegamento tramite Internet, ma, a differenza delle reti pubbliche, consente di crittografare i dati e inviarli solo a un computer o a gruppo di computer specifici. Ad essa possono accedere solo gli utenti autorizzati, poiché si crea una sorta di “tunnel” virtuale attraverso il web. Queste reti private vengono tipicamente usate dalle aziende per comunicare con le loro sedi remote o con i dipendenti che si lavorano fuori sede e che magari si collegano ad una rete Wi-Fi pubblica, tuttavia esse rappresentano una forma sicurezza in più anche quando si lavora su di una rete sicura locale.
La capillare diffusione delle piattaforme di Social Netwok ha poi posto nuove problematiche in tema di sicurezza, riconducibili, in particolare, a due categorie principali: da una parte i rischi derivano dai contenuti potenzialmente malevoli che possono essere scaricati dagli utenti attraverso link, file o applicazioni presenti nel canale (Malware Intrusion); dall’altra parte vi è il pericolo che alcuni dati di proprietà dell’azienda vengano divulgati in contesti e modi non conformi alla policy aziendale, causando potenziali problemi alla reputazione e alla proprietà intellettuale dell’azienda (Data Extrusion o Data Leakage).
L’utilizzo di piattaforme social non sembra essere più limitato alla sfera personale, sempre più esse rappresentano un canale informativo e commerciale; per questo la decisione di bloccare l’accesso ai Social da parte dei dipendenti, se da una parte elimina alcuni problemi di sicurezza, dall’altra persegue un modello di business piuttosto chiuso e impedisce di beneficiare dei potenziali vantaggi del web 2.0. Spetta alla specificità di ogni singola realtà valutare l’opportunità o meno di adottare simili misure, tuttavia nessuna azienda può prescindere dal definire policy aziendali capaci di indottrinare i dipendenti circa l’uso corretto dei Social Network e dall’utilizzare specifici strumenti di prevenzione.
Le minacce del tipo Malware Intrusion possono essere, ad esempio, affrontate partendo dal perimetro della rete aziendale, eliminando all’ingresso eventuali malware veicolati attraverso la connessione al Social Network (tipicamente sistemi di Network Intrusion Prevention, Network Antivirus, Content Filtering…), fino a tecnologie di protezione degli host (es. Host Antivirus, Host Intrusion Prevention). Le minacce di Data Extrusion si combattono, invece, applicando controlli di sicurezza il più vicino possibile ai dati, sugli host o analizzando i flussi di traffico in uscita per intercettare e bloccare le informazioni confidenziali.
Da qualche anno si assiste poi ad un’ampia espansione nell’utilizzo del cloud in azienda. Accanto agli ovvi benefici in termini di produttività, flessibilità e costi, si pone l’onere di adottare qualche livello di sicurezza in più per evitare che dati sensibili o riservati possano finire sotto lo sguardo di persone non autorizzate. I principali servizi di cloud storage  assicurano che i file caricati sono crittografati e protetti, tuttavia essi mantengono il controllo delle chiavi di crittografia reali, quindi non garantiscono pienamente di essere protetti da attacchi provenienti dall’esterno (ad esempio dagli stessi gestori del servizio); inoltre sui computer usati per accedere al cloud tramite specifica applicazione, i file rimangono visibili ad altre persone che accedono a quegli stessi computer. Da qui deriva l’importanza di crittografare i dati, rendendoli inaccessibili agli estranei, attraverso l’utilizzo di specifici software.
Pubblicato su: PMI-dome
Annunci

Notizie online: da consumarsi preferibilmente entro il…

Una recente sentenza del Tribunale di Ortona condanna la testata online PrimaDaNoi.it al pagamento di 17mila euro quale risarcimento per aver conservato, nel proprio archivio elettronico, una notizia del 2008 ritenuta lesiva dell’altrui privacy. Ecco la declinazione online del diritto all’oblio

La questione centrale è un conflitto tra diritti ugualmente – almeno in termini astratti – meritevoli di tutela normativa e sociale. Alla base vi è un vuoto legislativo colmabile solo in parte dalla giurisprudenza in materia, costretta a scendere a patti con l’interpretazione e la contestualizzazione. In gioco vi è la libertà di informazione, uno dei capisaldi dell’edificio comunitario, una delle conquiste progressive più bramate dall’opinione pubblica, una delle risorse più tenacemente custodite dalla collettività digitale.
LE SENTENZE
L’ultimo capitolo scritto nella storia dell’informazione made in Italy sembra far emergere ancora una volta l’estrema difficoltà che il legislatore italiano ha nel partorire una stabile regolamentazione della rete e pare aver scosso non poco gli animi di quanti continuamente si battono per offrire ai cittadini la solida garanzia di essere informati, in modo limpido e puntuale, circa fatti e misfatti ritenuti socialmente rilevanti. Protagonista della vicenda è il piccolo ma prestigioso quotidiano abruzzese online PrimaDaNoi.it, condannato dal giudice unico del Tribunale di Ortona, Rita Di Donato, al pagamento di un multa di oltre 17mila euro (tra risarcimento danni e spese legali), per aver conservato, nel proprio archivio elettronico, la notizia relativa a un fatto di cronaca, avvenuto nel 2008, all’interno di un ristorante pescarese, che coinvolse i titolari del locale in una vicenda giudiziaria di natura penale, non ancora conclusa.
Il giudice ha accolto, in sostanza, la domanda dei ricorrenti (i titolari), che chiedevano la rimozione della pagina contenente la notizia, preoccupati per il pregiudizio che la stessa avrebbe potuto recare alla loro reputazione personale e professionale e all’immagine del proprio locale. Sottolinea, infatti, il giudice come “la facile accessibilità e consultabilità dell’articolo giornalistico [pubblicato il 29 marzo 2008], molto più dei quotidiani cartacei tenuto conto dell’ampia diffusione locale del giornale online, consente di ritenere che dalla data di pubblicazione fino a quella della diffida stragiudiziale [il 6 settembre 2010] sia trascorso sufficiente tempo perché le notizie divulgate con lo stesso potessero soddisfare gli interessi pubblici sottesi al diritto di cronaca giornalistica, e che quindi, almeno dalla data di ricezione della diffida, il trattamento di quei dati [relativi ai titolari del ristorante e al nome dell’esercizio] non poteva più avvenire”. Il persistere del trattamento dei dati personali – prosegue il giudice – “ha determinato una lesione del diritto dei ricorrenti alla riservatezza ed alla reputazione, e ciò in relazione alla peculiarità dell’operazione di trattamento, caratterizzata da sistematicità e capillarità della divulgazione dei dati (consultabili semplicemente digitando il nominativo del ricorrente e la denominazione del ristorante sul motore di ricerca Google) e alla natura degli stessi dati trattati, particolarmente sensibili attenendo a vicenda penale”. L’articolo era stato già rimosso – è bene precisarlo – dai motori di ricerca, nel 2011, ma non anche dall’archivio del giornale online.
Accolta pure la richiesta di ottenere un risarcimento danni poiché – si legge nella sentenza – il trattamento dei dati personali si è protratto per un periodo di tempo superiore a quello necessario agli scopi – esercizio del diritto di cronaca giornalistica – per i quali i dati sono stati raccolti e trattati”.
Invocando il cosiddetto “diritto all’oblio”, il giudice sembra, dunque, far prevalere la tutela della privacy sul diritto di cronaca, nonostante la notizia diffusa fosse – lo stesso provvedimento lo evidenzia – vera, corretta nella forma e non diffamatoria e nonostante in Italia non esista alcuna legge che formalizzi le condizioni di applicabilità di tale diritto all’oblio. Egli ha imposto, in sostanza, una scadenza alla notizia (pari a due anni e mezzo, nella fattispecie).
La sentenza, datata 16 gennaio 2013, ricalca in realtà una precedente pronuncia da parte del giudice Rita Carosella, dello stesso Tribunale, datata 20 gennaio 2011. In quell’occasione, a suscitare la reazione dei due coniugi ricorrenti era stata la notizia, riportata dal giornale abruzzese, relativa al loro arresto per tentata estorsione continuata in concorso. La posizione dei due era stata poi archiviata e l’articolo, datato originariamente 23 marzo 2006, era stato più volte aggiornato nel corso degli anni, per dare conto dell’intero iter giudiziario, dunque anche dell’archiviazione della vicenda. Per far valere il diritto alla tutela della propria riservatezza, i coniugi avevano scelto in primis di rivolgersi al Garante della Privacy, il quale, tuttavia, si era espresso a favore della permanenza online dell’articolo, considerando che il trattamento dei dati personali era stato effettuato “nel rispetto della disciplina di settore per finalità giornalistiche”. Diversa invece era stata la pronuncia del Tribunale, che impose al giornale di cancellare la notizia e di sborsare 5 mila euro (più le spese legali) ai coniugi per i danni subiti, vista la “durata, gravità e modalità dell’illecito”.
Il giudice Carosella aveva allora sottolineato come, alla data della richiesta di cancellazione da parte dei ricorrenti (circa quattro mesi dopo l’ultima modifica dell’articolo), fosse trascorso tempo sufficienteperché le notizie potessero soddisfare gli interessi pubblici sottesi al diritto di cronaca giornalistica, informare la collettività, creare opinioni, stimolare dibattiti, suggerire rimedi” e come, di conseguenza, il trattamento dei dati non potesse avvenire, se non con “lesione del diritto dei ricorrenti alla riservatezza e alla reputazione, stante la peculiarità dell’operazione di trattamento, sistematicità e capillarità della divulgazione dei dati, e stante la natura degli stessi dati trattati, particolarmente sensibili attenendo a vicenda giudiziaria penale”. Anche in questo caso la sentenza sembra voler offrire una durata temporale – basata su soggettive valutazioni – e una relativa scadenza all’esercizio del diritto di cronaca. Essa consentiva, inoltre, “a costituire memoria storica della collettività”, la conservazione di “una copia cartacea dell’articolo nell’archivio della testata, archivio che tuttavia – come sottolinea PrimaDaNoi.it e come era facile immaginare in tempi di villaggio globale e informazione 2.0 – non esiste.
COME NASCE UNA NOTIZIA
Le soluzioni individuate nascondono non poche ambiguità e fanno emergere perplessità e dubbi interpretativi. Per comprendere meglio la questione, facciamo, allora, per un attimo, un passo indietro e cerchiamo di capire come nasce una notizia. La giurisprudenza ha, nel corso degli anni, elaborato tre requisiti al cui rispetto dev’essere subordinato il legittimo esercizio del diritto di cronaca da parte dei giornalisti: dev’esservi innanzitutto un interesse pubblico e attuale alla conoscenza del fatto oggetto di notizia; la verità di questo stesso fatto deve, inoltre, essere oggettiva, o anche solo putativa, purché frutto di un serio e diligente lavoro di ricerca (da qui la necessità di verificare accuratamente le fonti e al contempo la rilevanza assunta dalla buona fede del giornalista, il quale, pubblicando notizie che egli crede vere dopo le relative verifiche, mantiene la propria condotta nei limiti del diritto di cronaca); infine la notizia deve rispettare la cosiddetta “continenza espositiva”, la correttezza cioè formale nell’esposizione dei fatti e della loro valutazione, non eccedente rispetto allo scopo informativo, improntata a un ideale di obiettività, priva di un preconcetto intento denigratorio e comunque rispettosa della dignità altrui.
Il diritto di cronaca è, come quello di critica e di satira, un diritto di rilevanza costituzionale, protetto da quell’ampio cappello che è l’articolo 21 delle nostra Costituzione (che prevede, in poche parole, la libertà di manifestazione del pensiero). I tre requisiti elaborati sono il frutto della volontà di bilanciare tale garanzia costituzionale con il diritto alla tutela della propria persona, della propria reputazione e della propria riservatezza, anch’essi costituzionalmente previsti.
L’utilità e il rilievo sociale dell’informazione (in sostanza il primo dei requisiti cui prima si faceva riferimento) è, allora, fondamentale affinché questo conflitto tra diritti di pari dignità possa essere in qualche modo superato. Per valutare l’interesse pubblico alla diffusione della notizia non si può ovviamente prescindere dal contesto: esso dipende dal pubblico cui ci si rivolge, dal giornale e dalla pagina in cui si scrive, dal momento storico in cui ci si trova. L’interesse pubblico deve sussistere nel preciso momento in cui si scrive. Esso è il presupposto che impone ad un fatto privato (dunque tutelato dalla privacy) di diventare oggetto legittimo di cronaca, tuttavia una volta che la comunità ne sia stata informata con correttezza, esso ha esaurito la sua funzione e torna alla sua originaria dimensione di fatto privato. Riproporlo sulla ribalta mediatica sarebbe non solo inutile per la collettività, ma addirittura dannoso per i protagonisti in negativo del fatto. In questo meccanismo rientra il “diritto all’oblio”: si tratta di un diritto creato dalla giurisprudenza della Cassazione, tipicamente collocato tra i diritti inviolabili citati da quella norma dinamica che è l’art. 2 della Costituzione. È in sostanza il diritto, che ognuno di noi ha, a non essere più ricordato dalla stampa e dagli altri canali di divulgazione per fatti che in passato sono stati oggetto di cronaca. Un ulteriore fondamento legislativo di tale diritto è stato rinvenuto nell’art. 27, comma 3, della Costituzione, che prevede la funzione rieducativa della pena, la necessità cioè di favorire il reinserimento sociale del condannato.
Vi sono, tuttavia, alcuni fatti ritenuti particolarmente gravi, per i quali l’interesse pubblico alla loro pubblicazione non viene mai meno (si pensi, ad esempio, a fatti che hanno inciso sul corso della storia, come Tangentopoli o l’attentato al Papa).
Parallelamente può succedere che, a distanza di anni, sorga nuovamente un interesse pubblico alla riproposizione della notizia: ciò avviene, in particolare, quando si crea un certo nesso, un collegamento, tra un fatto di cronaca attuale e uno passato sul quale si era in già posato il diritto all’oblio. È il caso del condannato di stupro che, uscito di galera e, dunque, scontata la pena, commette una nuova violenza sessuale, legittimando il giornalista a far riferimento alla precedente condanna nel resoconto dell’evento.
A far scattare il diritto all’oblio non è, allora, il trascorrere di un determinato numero di anni dal verificarsi del fatto (come le sentenze sopra descritte potrebbero lasciare intendere): esso può essere fatto valere nel momento in cui tale fatto passato esaurisce la propria valenza pubblica e non possiede alcun rapporto diretto con la notizia all’ordine del giorno. Se scrivo di una donna dedita alla prostituzione in casa propria, non potrò, ad esempio, ricordare che la precedente proprietaria dell’immobile esercitava, magari vent’anni prima, la stessa professione: se quest’ultima avesse, nel frattempo, cambiato completamente vita e si sentisse turbata dal vedere il proprio nome accostato ad un nuovo fatto di cronaca in cui non c’entra nulla, potrebbe a ragione fare causa al giornalista poco saggio.
… E PER IL WEB?
Il Web sconvolge ovviamente l’intera logica appena descritta, dovendo fare i conti con un’infrastruttura digitale che, per natura, tende a mantenere traccia di ogni singola manifestazione. Nel Web l’informazione può essere decontestualizzata, frammentata, copiata e incollata.
Il fatto di dare una scadenza temporale alla notizia, giustificando la cosa proprio con le peculiarità del mezzo informatico, sembra essere una soluzione non molto illuminata e ben si presta a diventare terreno fertile per le critiche di quanti si battono per la libertà d’informazione. Quanti anni o mesi dovrebbero poi trascorrere prima che si realizzi tale scadenza?
Oggi siamo stati condannati [… ] per aver scritto notizie vere e senza errori. Siamo stati condannati perché ci hanno detto che quello che scriviamo ha una data di scadenza ma nessuno sa dirci qual è questa data”, lamenta la redazione di PrimaDaNoi.it.
In un sistema legislativo che cerca esasperatamente di codificare il comportamento umano in ogni situazione, restringendo quanto più possibile la funzione interpretativa e applicativa della norma (diversamente da quanto avviene nei sistemi “common law”), si determina la strana condizione in cui l’attenzione, in fase di pronuncia, cade più sul cavillo da aggirare che non sul principio da rispettare.
I giudici delle sentenze analizzate dimostrano scarsa sensibilità e padronanza verso il mondo dell’informazione ai tempi del Web. Declinare il diritto all’oblio a simili fattispecie online risulta una forzatura, una storpiatura: stando ai principi enunciati dal Tribunale abruzzese, tutti gli archivi storici delle principali testate italiane e internazionali dovrebbero essere rimossi, poiché inevitabilmente essi conterranno notizie sgradite a qualcuno.
Certo il Web non può essere – d’altro canto – una giustificazione a fare del cattivo giornalismo, eludendo il rispetto delle fondamentali norme deontologiche che regolano la professione. Nei processi comunicativi sottesi alla notizia, i meccanismi temporali hanno un’importanza fondamentale: la notizia diffusa per prima rimarrà sempre quella considerata “vera”, le notizie che seguiranno verranno inevitabilmente percepite dal pubblico come semplici giustificazioni. La notizia di una sentenza di assoluzione a termine di un processo show, rimbalzato da una ribalta televisiva all’altra, non cesserà di mantenere vivi i sospetti sui protagonisti in negativo della vicenda. Proprio per questo il giornalista ha una forte responsabilità, nel valutare l’opportunità o meno di pubblicare nomi, dettagli e retroscena e il modo in cui pubblicarli. I toni sensazionalistici e lo scoop a orologeria non si addicono all’ideale di giornalismo come strumento di informazione e di garanzia per l’opinione pubblica. E tuttavia queste sono questioni più ampie, che coinvolgono l’etica professionale, non riguardano solo la Rete. Solo partendo dai precetti deontologici si potranno risolvere le difficile controversie dell’informazione online, tenute presenti le specificità del mezzo e l’equo bilanciamento tra diritti.
Questa sentenza ci condanna per aver voluto difendere il diritto di ogni cittadino di conoscere e di sapere […]. Ci spiace per i giudici , ma la storia, i fatti, la memoria non si cancellano a colpi di sentenze”.
Pubblicato su: PMI-dome

Il mercato italiano della sicurezza ICT

Hacktivism rivolto a siti governativi, questa la tendenza principale, in una situazione di generale impennata nel numero di attacchi alla sicurezza digitale

L’innovazione tecnologica, in sempre più rapida ascesa, ha portato allo sviluppo di modelli produttivi e di consumo completamente rinnovati, i quali hanno inevitabilmente e radicalmente modificato le nostre vite in qualità di impiegati, imprenditori, semplici cittadini. Nuove prassi, nuovi Know how, nuove tendenze e abitudini, per un processo di trasformazione che deve essere in primis compreso e, cosa ancor più importante, difeso in ogni suo aspetto.

Proprio allo scopo di sensibilizzare l’opinione pubblica circa la necessità di “rendere l’ICT più sicura” e “combattere l’illegalita?”, il CLUSIT (Associazione Italiana per la Sicurezza Informatica) ha di recente pubblicato il Rapporto 2012 sullo stato della sicurezza delle informazioni e dei sistemi in Italia. Si tratta di un tema che, sostiene Danilo Bruschi, Presidente onorario CLUSIT, “sembra dimenticato dai media e, fatto molto più grave, dai decision maker”, nonostante il fenomeno stia “dilagando in termini di severità delle forme di attacco e di dimensioni”.

Ad essere stata delineata è, in particolare, “una realtà paese che nel panorama delle società occidentali risulta essere tra le più arretrate in termini di consapevolezza e pratiche di gestione del rischio informatico”, anche se questo sembra essere dovuto, in parte, al generale ritardo italiano in materia di innovazione e tecnologie ICT.

Eppure, sottolineano i promotori, non esiste, né a livello internazionale né locale, alcun settore strategico che possa dirsi esente da problematiche legate alla sicurezza dei dispositivi informatici. Nel corso dell’anno appena trascorso e dei primi due mesi del 2012, gravissime sono state la quantità e la gravità degli attacchi e degli incidenti informatici registrati. Le stime relative ai ricavi diretti del computer crime market parlano, a livello mondiale, di un valore che va dai 7 ai 10-12 miliardi di dollari all’anno.

Il Rapport CLUSIT ha inteso, allora, sottolinea Gigi Tagliapietra, Presidente CLUSIT, offrire “un importante contributo per assicurare che lo sviluppo della rete, a cui tutti guardano come condizione essenziale alla crescita, possa poggiare su basi sicure, che ne garantiscano la continuità operativa, la qualità e la effettiva fruizione da parte di istituzioni, imprese e cittadini”.

In un contesto di generale aumento degli attacchi informatici, è stato possibile delineare una sorta di quadro relativo alla distribuzione e tipologia degli stessi in Italia, nel periodo compreso tra febbraio 2011 e marzo 2012. A far la parte del protagonista è stato il cosiddetto “attivismo informatico” (hacktivism), alla base di ben 78 attacchi sugli 82 complessivamente rilevati; i restanti quattro sono riconducibili, invece, al Cyber Crime (3 casi) ed al Cyber Espionage.

Con riferimento alla vittima dell’attacco, si nota che nell’oltre 45% dei casi essa è coincisa con siti governativi o di associazioni a carattere politico, in linea, dunque, con la matrice prevalentemente hacktivista. A deludere particolarmente è, poi, il secondo posto tra gli obiettivi, occupato dai siti delle Università; in termini numerici, gli attacchi sono stati solo due, tuttavia è bene sottolineare come, nel solo caso rivendicato il 6 luglio, fossero ben 18 gli Atenei contemporaneamente colpiti. Indipendentemente dalla natura più o meno dimostrativa di tali attacchi e dalla scarsa rilevanza di alcune informazioni trafugate, tale dato esprime l’arretratezza italiana, poiché sono state colpite intimamente delle istituzioni di fondamentale importanza per il nostro paese, prime depositarie della conoscenza necessaria ad una gestione sicura del patrimonio informatico.

L’industria dell’intrattenimento segue, poi, a distanza, nella classifica delle vittime, anche se essa occupa la prima posizione rispetto a tutte le altre categorie; questo soprattutto a causa delle azioni commesse nel gennaio del 2012, sulla scia delle proteste relative al tentativo di far approvare le leggi SOPA/PIPA e alla chiusura di MegaUpload ad opera dell’FBI.

Analizzando il trend annuale degli attacchi, ci si accorge di come esso risenta dell’influenza di fattori esterni: la prima parte del 2011 è stata caratterizzata da azioni di hacktivism legate alla protesta per l’intervento italiano in Libia, contro grandi aziende strategiche e della difesa nazionale. Successivamente, nel periodo maggio-agosto 2011 è stato forte l’impatto emotivo del collettivo LulzSec, che anche qui in Italia ha raccolto proseliti e tentativi di imitazione. Nell’ultima parte del 2011 gli attacchi si sono notevolmente ridotti, per poi riprendere con nuovo vigore a inizio 2012, in corrispondenza alla protesta contro alcune proposte di legge considerate repressive della libertà di espressione in rete. Oltre alle sopracitate SOPA e PIPA, a creare malumori sono stati anche l’ACTA – l’accordo sottoscritto da 22 membri dell’Unione europea e volto a contrastare la contraffazione e la pirateria informatica – e la proposta di legge Fava (declinazione italiana dell’ACTA, poi bocciata alla Camera l’1 febbraio); obiettivi degli attacchi sono stati, in questo caso, quelle organizzazioni considerate depositarie di un ormai obsoleto modello di copyright (SIAE, copyright.it, ministero della Giustizia).

Tra le cause alla base dell’impennata di attacchi nell’ultimo anno, vi sono sicuramente la fruizione, sempre più massiccia, di servizi online tramite dispositivi mobile (un trend inarrestabile, dato che si stima che a fine 2012 il numero di tali dispositivi supererà quello degli abitati del pianeta) e il numero sempre maggiore di utenti connessi ai Social Network, Twitter in particolare (2 milioni i profili a fine 2011), poiché usato primariamente per dare comunicazione dell’esecuzione di un attacco e, nel caso dell’hacktivism, per lo stesso reclutamento di seguaci.

Nonostante tecnologia e normativa vigente spingano sempre più verso una piena convergenza tra identità reale e virtuale, pare che solo il 2% degli utenti web italiani abbia piena consapevolezza dei rischi che certe loro azioni sulla rete possono avere e possieda delle conoscenze adeguate ad attivare processi di protezione, questo stando ad una statistica rilasciata in occasione del Safer Internet Day, lo scorso 7 febbraio. Una simile mancanza di consapevolezza si paga, non solo in termini metaforici, ma anche reali: il cybercrime farebbe sparire dalle tasche degli italiani circa 6,7 miliardi di euro ogni anno (6,1 miliardi per il solo valore del tempo perso dalle vittime per rimediare all’accaduto, 600 milioni per i costi diretti).

Il rapporto CLUSIT ha scelto, poi, di analizzare il mercato italiano della sicurezza ICT, attraverso i risultati di una survey, basata su un campione di 142 aziende italiane di ogni dimensione, delle quali 77 offrono prodotti e servizi ICT (vendors) e 65 utilizzano, invece, tali prodotti e servizi (users).

Innanzitutto un dato incoraggiante emerge dalle dichiarazioni del campione analizzato: il mercato della ICT security sembra destinato a crescere, con un +5% sugli investimenti del 2012 rispetto a quelli del 2011. Se nel 2011 le aziende che hanno aumentato gli investimenti sono state il 19%, nel 2012 esse salgono di ben 5 punti percentuali, arrivando al 24%. Aumentano anche le previsioni di investimenti invariati (dal 68% del 2011 al 70% del 2012), mentre calano, di conseguenza, le ipotesi di riduzione degli investimenti (dal 13% al 6%).

Tra vendors e imprese utenti si riscontrano notevoli divergenze di vedute, dovute in parte al ruolo economico che essi ricoprono (offerta da un lato e domanda dall’altro), in parte ad una concreta diversità  nell’approccio strategico.
Con riferimento alle priorità emergenti nel mercato, secondo i vendors le principali sarebbero la security sui dispositivi personali (tablet, smartphone, pc desk e portatili) e la security nel cloud computing; essi focalizzano, cioè, la loro attenzione in primis sull’evoluzione tecnologica e sulla conseguente riorganizzazione dei processi aziendali.

Per gli Users, invece, l’area di maggiore interesse coincide con l’IT Service management security, vale a dire con i processi di gestione della sicurezza: in questo essi sembrano maggiormente orientati al presente, piuttosto che al futuro.
Se per i vendors la cloud security si piazza al secondo posto, per gli utenti essa occupa la penultima posizione, appena prima di standard e metodologie. La causa va, forse, individuata nel cambiamento organizzativo radicale che la nuova tecnologia impone e che molte aziende non sono, in questa fase economica delicata, disposte a fare.
Anche nei criteri di selezione dei vendors si esprime un punto di vista diverso tra domanda e offerta. Secondo le aziende utenti, la principale caratteristica che deve avere un fornitore per essere scelto è l’affidabilità: storie di successo alle spalle, durata di permanenza sul mercato, solidità finanziaria sono preferibili alla maggiore qualità di servizio e, ancor più, alla maggior convenienza (l’economicità della proposta è solo al terzo posto, al pari di competenza e certificazioni, date ormai per assodate e per questo non ritenute prioritarie).

Opposta la visione dei vendors stessi, i quali vedono proprio nell’economicità il principale criterio di scelta nella fornitura. La qualità per loro è solo al terzo posto, dopo l’affidabilità. Ultima posizione, anche in questo caso, per competenze e certificazioni. Sbagliano, dunque, quei vendors che puntano, nella propria campagna di promozione commerciale, sull’enfatizzazione dell’economicità della propria proposta.

“Riteniamo – dichiarano i promotori del rapporto – che non si sia ancora raggiunta quella consapevolezza che imporrebbe un forte cambiamento nelle scelte di investimento in sicurezza ICT”.

Questo è tanto più vero se si considera che vendors e users nel 2011 hanno mantenuto invariato (61%) o addirittura ridotto (23%) il numero del personale addetto alla security, mentre solo il 16% ha aumentato le risorse. Tale scenario pare, inoltre, destinato, nel corso del 2012, a rimanere abbastanza stabile: la percentuale di aziende che non intendono modificare il numero di addetti salirà al 79%, quelle che prevedono di assumere nuovo personale scendono di un punto (15%), tuttavia diminuiscono al 6% le aziende che ridurranno gli investimenti.

Quali sono, infine, le figure più ricercate nel mercato della sicurezza ICT e quali sono i requisiti professionali maggiormente richiesti?

Le aziende utenti cercano soprattutto figure consulenziali, security auditor, analisti, mentre per i vendors le figure più appetibili sono quelle con competenze tecniche (sviluppatori, amministratori, progettisti). Meno rilevante è, invece, la richiesta di figure di supporto alla gestione, di project e program manager, di advisor.

Tra i requisiti più richiesti dalle aziende al nuovo personale assunto, users e vendors sono concordi nel ritenere che le certificazioni rilasciate da organismi neutrali abbiano un valore più elevato rispetto a 5 anni di esperienza nel settore, caratteristica, quest’ultima, che comunque conquista il secondo posto. Tuttavia per le aziende utenti il possesso di una laurea rappresenta un requisito più importante rispetto alle certificazioni rilasciate da un vendor o ad una esperienza almeno decennale. Per i vendors, invece, è più apprezzabile avere una certificazione rilasciata da altri vendors, mentre si collocano sullo stesso piano laurea ed esperienza almeno decennale.

Privacy e Web: la percezione degli utenti

Un’indagine svolta da Human Highway per conto di Diennea MagNews ha indagato sull’effettiva conoscenza e considerazione dei navigatori italiani circa gli strumenti di tracciamento usati nella rete e i rischi in materia di riservatezza dei propri dati

Nel dibattito collettivo riferito alle tendenze sociali registrate nella modernità, ci si ritrova spesso a far riferimento alla figura, piuttosto inquietante, del Grande Fratello orwelliano, che dall’alto osserva, controlla e manipola le nostre stesse esistenze. Nessuno scomodi Alessia Marcuzzi per favore, l’intento della presente riflessione esula dai contenitori televisivi svuotati e coinvolge piuttosto la discussione che circonda il cosiddetto regime del controllo.

Nel dare corso alla nostra quotidianità, compiamo una serie di gesti che, più o meno volontariamente, lasciano delle tracce memorizzabili nei database di molte organizzazioni: parliamo al telefono, paghiamo con carta di credito, accumuliamo punti nella tessera del supermercato, salutiamo divertiti – quando la notiamo – la telecamera di videosorveglianza.
Per non parlare, poi, del web. Ogni attività da noi compiuta nel www rivela qualcosa di noi stessi, delle nostre inclinazioni, dei nostri interessi, delle nostre abitudini, delle nostre reti sociali, in una parola del nostro microuniverso esperienziale. Mentre tracciamo il nostro percorso lungo le infinite vie della rete (chattiamo, scambiamo foto, condividiamo dati personali e stati d’animo, realizziamo delle ricerche…), segniamo una serie di manifestazioni della nostra personalità che nel loro insieme vanno a costruire la nostra identità virtuale.

Questa cosa – tanto più vera nell’epoca dei molti network sociali e seppur apparentemente ovvia e banale – implica, in realtà, una serie di conseguenze che devono essere prese in seria considerazione e che hanno portano a non poche difficoltà nella ricerca di una regolamentazione giuridica equa della rete, capace, da un lato, di consentire l’acquisizione e il trattamento dei dati riferiti alle attività svolte in rete (spesso essenziali per la repressione e la prevenzione di comportamenti illeciti) e, dall’altro lato, di non comprimere il valore fondamentale della segretezza nelle comunicazioni (art. 15 della Costituzione italiana).

La particolare natura del dato informativo relativo al traffico generato dall’utente è in grado di documentare in modo oggettivo il fatto che determinati episodi sono avvenuti in un determinato arco temporale, a partire da determinati luoghi, manifestando determinati effetti.

Come reagiscono, allora, gli utenti ad una simile consapevolezza? E ancor prima: tale consapevolezza può dirsi realmente generalizzata? A quale livello si colloca la conoscenza degli strumenti di tracciamento e come ci si tutela da essi?
A queste e ad altre domande ha cercato di dare risposta il report 2011 “Privacy & Permission Marketing online”, con riferimento al contesto italiano: nel mese di settembre 2011 MagNews – “uno dei principali player dell’email marketing in Italia” e “core business di Diennea, azienda leader nella creazione di tecnologie per la comunicazione e il marketing” – ha commissionato a Human Highway un lavoro di ricerca con l’intento di “descrivere l’attuale percezione da parte dell’utenza internet italiana delle tematiche relative alla tutela della privacy nel Web e ai sistemi di profilazione e riconoscimento personale che sono comunemente utilizzati online”.

In seguito all’invio, tramite mail, dell’invito a partecipare, rivolto alle 2.765 persone appartenenti al panel OpLine di Human Highway, sono entrati a far parte del campione di riferimento 1.018 casi utili, rappresentativi della popolazione italiana con almeno 15 anni di età e con una frequenza di navigazione in rete non inferiore ad una volta la settimana (popolazione stimata in circa 26 milioni di individui).

Sulla base delle informazioni rese disponibili dalla Ricerca di Base condotta a giugno 2011 da Human Highway su 2.000 casi CATI per descrivere l’universo Internet italiano, una prima preliminare analisi rivela un tasso generale di penetrazione della rete in Italia pari al 50% della popolazione, percentuale che si innalza al 91% se si considerano le sole persone di età compresa tra i 15 e i 24 anni, salvo ridimensionarsi al 68% per i 25-34enni e al 66% per i 35-44enni. In conformità con questa stessa Ricerca di Base il campione di partenza è stato suddiviso per sesso, età (cinque fasce) e area geografica di appartenenza.
Stando al Report, il grado di preoccupazione in merito al tracciamento dei propri comportamenti divide la popolazione italiana in tre gruppi principali, di dimensione simile ma con predisposizione diversa, confermando sostanzialmente i dati rilevati in una ricerca simile riferita al 2009: il 38% degli intervistati non sa se essere o meno preoccupato (37% nel 2009), il 31% si dichiara per nulla o poco preoccupato (29% nel 2009), mentre il 30% è abbastanza o molto preoccupato (34% nel 2009).

Cercando di cogliere la distribuzione della preoccupazione in relazione al mezzo utilizzato, il report rivela come Facebook rappresenti una sede privilegiata per i timori degli utenti, sia con riferimento ai contenuti propri diffusi, per il possibile uso improprio degli stessi da parte del sistema (39% si dichiara molto o abbastanza preoccupato), sia soprattutto con riferimento alla mancanza di controllo per i contenuti inseriti da altri (53% è molto o abbastanza preoccupato); ben il 44,1% degli intervistati ha, allora, dichiarato di essere influenzato molto o in diversi aspetti da simili timori, modificando di conseguenza il proprio agire all’interno della piattaforma sociale.
La forte diffusione dei Social Network e la discussione sulle problematiche di privacy che ne è derivata hanno fatto in modo che passasse in secondo piano la paura del tracciamento dei dati relativi alla propria carta di credito, paura che ha perso il primato detenuto nel 2009 ma che è comunque sentita da una quota consistente della popolazione (44%); il 36% del campione dichiara di lasciarsi influenzare da questa consapevolezza, tenendo sotto controllo l’utilizzo che si fa dello strumento carta di credito.
La geolocalizzazione turba il 34% della popolazione e influenza, di conseguenza, il comportamento del 30,5%, superando il timore – ben più sentito nel 2009 – di essere intercettati telefonicamente (che preoccupa il 29% e condiziona le azioni del 26,2%).
Più basso l’allarme per la chat e per la navigazione sul web, ciascuna delle quali preoccupa il 28% della popolazione (condizionando reciprocamente il 24,9% e il 24,4% degli utenti) e per l’intercettazione delle proprie mail (il 23% se ne dichiara preoccupato e il 20,8 modifica i propri comportamenti in relazione a tale preoccupazione). Seguono fare ricerche sul web, usare il telefono fisso e la possibilità di essere spiati per strada dai circuiti di sorveglianza, alternative che raggiungono ciascuna una quota di preoccupazione pari al 20% (e influenzano rispettivamente il 20,5%, il 19,3% e il 19,2% delle persone). Ad allarmare in misura inferiore sono, infine, l’uso di carte fedeltà per la raccolta punti (15% e un condizionamento valido per il 16,4% del campione) e utilizzo del fax (11% e influenza per il 10,5%).

Dai dati riportati emerge, allora, come sia presente una relazione diretta tra timore verso una particolare modalità di tracciamento e modificazione del comportamento in senso di difesa, dunque più è alto il primo, maggiore sarà l’entità dichiarata della seconda. È interessante, tuttavia, notare come questa correlazione venga in parte meno con riferimento alla navigazione via web: pur essendo consapevoli di lasciare tracce nel corso del proprio peregrinare lungo la rete, gli utenti intervistati si dimostrano meno propensi a variare il proprio atteggiamento in questo senso e, dunque, più propensi a rinunciare ad una piccola fetta della propria riservatezza, probabilmente a causa dei molti vantaggi veicolati dalla navigazione.
Particolarmente sentita e ricercata dagli intervistati è, poi, la tutela della privacy per i minori: ad essere predilette come soluzioni alla problematica sono la formazione rivolta ai bambini circa i rischi che in tal senso si possono incontrare in Internet e l’intervento a monte dei genitori, attraverso filtri o altri controlli speciali sugli account di posta e attraverso la limitazione dei siti sui quali i bambini possono navigare. Tali metodi sono ritenuti maggiormente efficaci rispetto ad interventi più coercitivi o di divieto, interventi, questi ultimi, comunque ritenuti utili, soprattutto considerando il dato in forma evolutiva: rispetto al 2009 l’atteggiamento di protezione sembra essersi intensificato, aumentando la quota di coloro che adotterebbero queste misure coercitive pur di tutelare la privacy minorile.

Il report passa poi ad analizzare il livello di conoscenza e l’atteggiamento generale verso gli strumenti di profilazione passiva presenti in rete (cookie, indirizzi IP o Google Dasahboard).
Gli utenti hanno dimostrato un livello di conoscenza discreto verso questi strumenti: il 63,3%, ad esempio, è consapevole del fatto che nel web è possibile rintracciate il link su cui si ha cliccato per arrivare ad un determinato sito, il 62% sa che è possibile conoscere il paese in cui ci si trova e 59,7% sa che può essere riconosciuto il modello di browser che si sta utilizzando. Tutte queste consapevolezze generano comunque la sensazione di sentirsi osservati e infastidiscono gli utenti.
Il 48%, poi, ha dichiarato di conoscere i cookie e di sapere a cosa servono o quale sia la loro funzione, il 25% di averne sentito parlare e di sapere vagamente di cosa si tratta. Il 71% ha rivelato di sapere cosa sono e a cosa servono o come funzionano gli indirizzi Ip e il 17% di averne una conoscenza vaga. Il 48% conosce i metodi di profilazione passiva dell’e-mail marketing (sa che, se si è iscritti alla newsletter di un sito, esso può sapere se apro le mail che mi invia o se clicco nei link in esse presenti). Minore, invece, la conoscenza di Google Dashboard, padronanza di un solo 16% degli intervistati, al quale si somma un 14% riferito a chi ne ha solo sentito parlare vagamente; tra le reazioni all’aver scoperto i contenuti presenti in Dashboard, la più comune è la sensazione di essere osservati (28,6%), seguita dal sentirsi incuriositi e interessati (26%), dall’indifferenza (19,7%) e dal fastidio (15,7%): delle reazioni, tutto sommato, di non eccessiva preoccupazione, dettate, forse, dall’utilità dello strumento, per chi se ne serve.
Sulla base delle risposte fornite circa la conoscenza dei meccanismi di profilazione passiva del web, la popolazione è stata suddivisa in tre categorie: gli utenti “evoluti” (22%), gli utenti con una conoscenza media della rete (42%) e quelli con una conoscenza scarsa (37%).
Si rileva una forte correlazione tra consapevolezza di questi strumenti e sesso e età del rispondente: gli utenti più evoluti sono uomini (28% degli utenti uomini è evoluto, contro il 15% delle donne) appartenenti alla fascia centrale d’età (dai 35 ai 44 anni) e dopo i 45 anni la percentuale di utenti evoluti diminuisce lasciando spazio agli utenti medi (che raggiungono il 49% nella fascia 45-54 anni e si ridimensionano ad un 42% nella fascia over 54) e agli utenti base (raggiungono il 46% tra gli over 54).

Con riferimento al titolo di studio conseguito e alla zona di residenza, pare che gli utenti più evoluti si concentrino prevalentemente tra i laureati, residenti nel Nord Ovest.

Gli utenti più esperti sono anche i più consapevoli della tendenza, propria dei mezzi di informazione, ad enfatizzare il rischio per la privacy veicolato dal web; ciononostante sono ben consapevoli circa la presenza reale di tale rischio; gli utenti evoluti, anzi, risultano più preoccupati degli altri per la propria privacy su molti degli aspetti considerati a inizio analisi (uso del cellulare e del telefono fisso, geolocalizzazione, ricerca e navigazione sul web, videosorveglianza, scrittura mail, uso di fax e carte fedeltà) e sono gli utenti maggiormente influenzati nei loro comportamenti di utilizzo di questi mezzi, poiché cercano continuamente di tutelarsi tramite piccoli accorgimenti.
Essi, tuttavia, accettato il rischio per la privacy in rete – principalmente per la convinzione che, sia sul mondo virtuale sia su quello reale, non esistano ormai più posti “sicuri” – e dichiarano che, se anche ne sapessero di più su queste tematiche, non sarebbero disposti a cambiare il proprio atteggiamento di utilizzo del mezzo e a rinunciare ai privilegi forniti dal web.
Si osserva anche come, al crescere dell’età dei rispondenti, l’atteggiamento verso il tema della privacy sulla rete diventi sempre meno severo, meno allarmistico rispetto a quello dei più giovani, poiché cresce, appunto, la consapevolezza – o la disillusione, dicono i promotori del report – che non si possa riuscire a tutelare pienamente la propria riservatezza nemmeno nel mondo fisico; ci si dimostra, piuttosto, sempre più disponibili a rinunciare alla propria privacy in cambio di servizi specifici o dei semplici vantaggi che derivano dalla navigazione sul web.
Anche per quanto riguarda il marketing comportamentale, cambia l’atteggiamento dell’utenza in relazione ad età e al livello di conoscenza della rete: i più vecchi e i più esperti sono consapevoli del fatto che esso rappresenti la normale evoluzione della pubblicità in rete.
Con riferimento alla propria reputazione on-line, si osserva come tre rispondenti su quattro abbiano dichiarato di aver cercato almeno una volta il proprio nome su Google (18% lo ha fatto una sola volta, il 42% qualche volta e il 12% spesso), mentre il restante quarto non se ne sia curato in nessun modo; di fronte alla scoperta che sono stati pubblicati a propria insaputa da altri contenuti riferiti a sé, gli utenti si dichiarano infastiditi, ma allo stesso tempo anche meravigliati e sorpresi.
Le informazioni potenzialmente “intercettate” ritenute più personali di tutte sono la capacità del sito di localizzare qualcuno, di riconoscere il cookie e di sapere se si siano aperti o meno i messaggi ricevuti.
Altri due sono, per concludere, gli aspetti indagati dal report: i sistemi di profilazione attiva sul web e la conoscenza degli utenti circa l’informativa sulla privacy.
Con riferimento al primo, si evidenzia come, nel momento in cui all’utente venga richiesto di compilare dei form online, i campi che provocano più fastidio siano quelli relativi alla richiesta di informazioni sul reddito, sul patrimonio, sui conti correnti e sulla sfera economica in generale. Risulta diminuita notevolmente la quota di utenti che non terminano la compilazione di un form poiché vengono richieste informazioni sulla composizione del nucleo familiare, sul titolo di studio e sul sesso, mentre sono aumentati gli utenti che interrompono la profilazione quando vengono richieste informazioni come la tipologia di abitazione o altre domande sul tempo libero; in ogni caso – l’abbiamo detto – le la sfera economica continua a rappresentare la maggiore inibitrice.

Con riferimento all’informativa sulla privacy, risulta che la maggior parte (41,6%) degli intervistati non legge il testo della normativa, mentre l’atteggiamento più scrupoloso di tutti, cioè di chi legge sempre per intero il testo e ne conserva una copia sul pc, è passato da rappresentare il 10,6% degli intervistati nel 2009 al 4,4% nel 2011.
Nonostante, infine, gli intervistati conoscano abbastanza bene i propri diritti in materia di privacy e dichiarino di sapersi muovere in caso di violazione, solamente il 17% si sente tutelato dalla normativa attuale e, di questi, solo l’1% completamente, contro una percentuale del 41% riferita agli utenti che si sentono poco o per nulla tutelati (in conformità con la tendenza evidenziata nel 2009).

Pubblicato su: pmi-dome

Sicurezza: quando i rischi sono interni all’azienda?

A minacciare la sicurezza e la riservatezza dei dati non sono solo agenti esterni alla struttura organizzativa imprenditoriale…

…ma la mancanza di un approccio organico e proattivo alla sicurezza, che consideri anche possibili negligenze e vulnerabilità interne, rischia di danneggiare gravemente l’attività d’impresa.

Alla base di una qualunque attività imprenditoriale vi è l’informazione, unico autentico ed originale patrimonio capace di garantire un particolare successo e vantaggio competitivo. A prescindere dalle dimensioni, nessuna azienda può dirsi indipendente dal proprio sistema informativo, che ne rappresenta la struttura portante e deve, per questo motivo, passare attraverso una fase di valutazione, classificazione e, soprattutto, protezione. Questo è tanto più vero se si considerano le più moderne realtà imprenditoriali, dove la convergenza di informatica e telematica hanno imposto nuove modalità nella trasmissione di tali informazioni: l’innovazione tecnologica e la pervasività dei sistemi ICT hanno reso il sistema informativo sempre più complesso, difficile da governare e, dunque, vulnerabile.

Una simile considerazione, pur nella sua estrema banalità ed ovvietà, permette di cogliere l’importanza fondamentale di assicurare una reale protezione all’intera architettura dell’informazione aziendale, attraverso mirate strategie di messa in sicurezza. Queste strategie devono essere in grado di coniugare gli obiettivi e il contesto informativo aziendale con i possibili rischi ai quali esso può essere sottoposto, arrivando a delineare delle contromisure tecnologiche ed organizzative che, a supporto degli obiettivi, permettano di scongiurare tali rischi.

Quella di delineare una precisa strategia di sicurezza rappresenta una necessità generalizzata, che certo va adattata, nei tempi e nelle modalità, alle dimensioni e alle particolarità delle singole aziende, ma che non può venire elusa dalle piccole realtà, spesso spaventate dalla complessità, dal costo e dalle tempistiche; le PMI tendono a sottovalutare il problema, avendo limitata percezione delle problematiche ad esso legate, scarsa conoscenza delle tematiche e delle procedure relative e limitandosi ad una valutazione superficiale.

In realtà l’approccio corretto invita a considerare la sicurezza non come un costo aggiuntivo, dunque la moneta da pagare per lo sfruttamento di risorse innovative, ma come un indispensabile investimento per il business aziendale, senza il quale si può rischiare di vanificare gli sforzi fatti: un modo per proteggersi, oltre che dalle minacce esterne, anche dagli errori involontari, interni all’azione aziendale o relativi a malfunzionamenti.

Le reti, le infrastrutture tecnologiche e i sistemi multimediali vengono utilizzati nelle normali routine lavorative non soltanto per facilitare il rapporto tra azienda e clienti (in maniera, cioè, idonea alla soddisfazione di particolari esigenze conoscitive e operative di questi ultimi), ma anche per permettere lo scambio funzionale tra i diversi settori e uffici dell’azienda stessa, e l’interazione tra titolari, dipendenti e fornitori.

Quello della sicurezza è, allora, un problema interdisciplinare, che coinvolge differenti competenze, settori e processi e deve essere gestito dinamicamente in funzione degli obiettivi e della tipologia di azienda considerata e in relazione all’evoluzione del business e delle tecnologie. All’analisi dei rischi, alla stesura delle policy di sicurezza, alla classificazione delle informazioni, deve inevitabilmente seguire un programma di sensibilizzazione, formazione e organizzazione funzionale di tutto il personale interno all’azienda, idoneo a garantire i requisiti di integrità, disponibilità e confidenzialità delle informazioni trattate.

Ci preme a questo punto focalizzare l’attenzione su un aspetto fondamentale, spesso poco considerato in materia di sicurezza, e cioè il fatto che gli attacchi possono venire non solo dall’esterno, ma anche dall’interno del network aziendale, sia per negligenza, sia, appunto, per mancanza di una adeguata alfabetizzazione e formazione del personale in materia.
Si pensi ad esempio alla chiavetta usb, anzi, per dirla con Farhad Manjioo (“Quando il pericolo viene da una chiavetta”, Internazionale, 19 ottobre 2010), all’“onnipresente, apparentemente innocua chiavetta usb”; queste “zanzare del mondo digitale […] sono piccole, portatili […], così comuni da essere praticamente invisibili”. La pericolosità di simili driver risiede proprio nel fatto che nessuno li percepisce come potenzialmente pericolosi: “negli ultimi dieci anni ci siamo abituati al malware che circola su internet. Sappiamo che non dobbiamo cliccare sugli allegati delle email sconosciute e che non si deve digitare la password su siti di cui non ci possiamo fidare. Ma le chiavette usb sono sempre riuscite a sfuggire ai nostri sospetti”, non creano timori, anzi, “se ne troviamo una per strada o in ufficio, di solito la colleghiamo al computer per capire di chi è”. Molti degli attacchi informatici più eclatanti degli ultimi anni sono stati generati da una contaminazione via usb: ad esempio Conficker, il virus che nel 2009 entrò nei computer della marina francese grazie a chiavette usb infette e contaminò milioni di PC; o Stuxnet, “il più raffinato attacco informatico di sempre”, “capace di programmare di nascosto macchine che gestiscono processi industriali delicati come l’attività di centrali energetiche, oleodotti, gasdotti, aeroporti e navi”. I virus di questo tipo si installano spesso grazie alla funzione di AutoRun, pensata dal sistema operativo per rendere più immediata l’installazione del software, e, nonostante alcuni tecnici aziendali disabilitino per questo motivo la funzione, sono stati sviluppati virus capaci di aggirare simili misure. L’unica soluzione davvero efficace, pur di non semplice realizzazione, sembra essere quella di proibire ai collaboratori di inserire periferiche usb scambiate in precedenza o di provenienza ignota. Rafforzare i controlli e introdurre regole precise sulle condizioni di ammissione dei dispositivi, dunque.

Ma le chiavette non sono le uniche soluzioni “mobili” tipicamente usate in azienda e potenzialmente pericolose: notebook portatili e smartphone impongono altrettanta attenzione. Si consideri, in particolare, l’eventualità che ci si colleghi involontariamente a delle reti non sicure, con notevoli rischi anche in riferimento alla diffusione di dati riservati: dispositivi di questo tipo rendono mobili informazioni che appartengono all’azienda e che devono, per questo, essere tutelate. Le soluzioni potrebbero essere l’implementazione di un sistema cifrato per i dati sensibili e il controllo gli end point in entrata e in uscita dal sistema interno. È auspicabile comunque lo sviluppo di una strategia aziendale appositamente pensata per la sicurezza lato mobile, che preveda un approccio trasversale capace di definire strategicamente le procedure e i processi necessari a contrastare i rischi di perdita dei dispositivi, le vulnerabilità e gli attacchi, senza penalizzare produttività, efficienza e flessibilità aziendale. Tale strategia richiede di essere supportata da una policy aziendale e da linee guida (la cui osservanza deve essere monitorata), da un programma di distribuzione dei ruoli e delle responsabilità, infine dalla formazione dei dipendenti per ridurre la loro disattenzione.

Ampliando per un secondo la prospettiva, ci si rende conto anche di un altro aspetto legato alle problematiche di sicurezza per usb e devices: un qualsiasi dipendente malintenzionato potrebbe facilmente sottrarre, mettendola letteralmente in tasca, qualsiasi tipo di informazione riservata per condurla all’esterno, del tutto inosservato. Certo una simile preoccupazione rientra nella capacità che titolari e responsabili devono avere di attorniarsi di persone non solo qualificate ma anche integre e oneste, tuttavia non può non essere presa in seria considerazione.

Meritano particolare controllo anche i punti di accesso alla rete messi a disposizione dei dispositivi aziendali, particolarmente vulnerabili ad attacchi: si rende necessario imporre una password per l’accesso, password che dovrebbe essere piuttosto complessa e cambiata periodicamente.

Infine le e-mail, sede privilegiata di spamming, a volte non direttamente dannoso per l’azienda (se non in termini di tempo perso per eliminare la posta indesiderata), altre volte veicolo di trojan horse, virus e worm. Al fenomeno dello spamming è legato quello del phishing, che consiste nell’indurre le persone a divulgare dati sensibili, facendo credere che la richiesta provenga da una fonte autentica, simulata dai cosiddetti “phisher”. L’azienda deve quindi sensibilizzare l’intero capitale umano a sua disposizione, affinché non apra allegati provenienti da mittenti sconosciuti e affinché presti particolare attenzione nel diffondere qualunque tipo di informazione riservata, anche qualora il mittente appaia come conosciuto e accreditato.

I numerosi vantaggi e le indispensabili opportunità offerte dai nuovi strumenti di impresa possono, in definitiva, trasformarsi in una fonte di vulnerabilità per l’azienda, la quale è tenuta, inevitabilmente, ad adottare le misure idonee a bloccare i tentativi di intrusione nei propri sistemi da parte di soggetti, sia esterni che interni, non autorizzati. Essa deve anche prestare particolare attenzione alla custodia dei dati raccolti, evitando perdite, disgregazioni e danneggiamenti dovuti ad una scarsa consapevolezza, sensibilità e formazione sul tema sicurezza da parte del personale interno.
La violazione può rappresentare per l’azienda una perdita non solo in termini di produttività, di dati e di vantaggio competitivo, ma anche in termini di immagini, dato che tale violazione mette a rischio la riservatezza dei dati con cui l’azienda si trova ad avere a che fare all’interno del complesso sistema di relazioni con clienti e fornitori.
Rischi sia esterni, sia interni determinano, quindi, conseguenze negative a loro volta sia esterne che interne all’azienda e l’unica soluzione pare essere un approccio proattivo alla sicurezza, che preveda la stesura preliminare di una organica strategia da seguire ed attuare.

Pubblicato su: PMI-dome

Behavioural advertising: ti proponiamo solo ciò che ti interessa

Il nuovo approccio alla pubblicità in rete prevede l’utilizzo delle tracce relative alla nostra navigazione, con inevitabili ripercussioni a livello di privacy

Non stai pagando per il prodotto che usi perché il prodotto sei tu”: era questo il messaggio lanciato qualche settimana fa da un’inchiesta condotta da Stefania Rimini per la trasmissione televisiva “Report”. I toni erano parsi a molti un po’ troppo allarmistici, e probabilmente lo furono, tuttavia ciò che si era colta è una questione di estrema importanza, da non sottovalutare quando si parla di navigazione in rete. Il riferimento era a come le più famose e diffuse piattaforme virtuali siano interessate ad ottenere informazioni su di noi e sulle nostre abitudini per sfruttare tali informazioni a vari scopi, primo fra tutti quello pubblicitario.

Nell’esperire il mezzo virtuale, lasciamo traccia di tutto ciò che facciamo e da questa traccia deriva, dunque, la descrizione degli interessi, delle consuetudini, dei modi di essere e di pensare che ci sono propri; una simile descrizione è dotata di un potenziale economico piuttosto rilevante per molte aziende, le quali, avvalendosi, allora, di un potentissimo strumento come Internet, cercano di analizzare il mercato per poi captare nuovi possibili consumatori e instaurare con loro relazioni di business. Il limite raggiunto da questa prassi ormai diffusa è rappresentato dalla cosiddetta “pubblicità comportamentale”, o “behavioural advertising”, e dall’intento di puntare su un target ben ristretto, selezionato e fortemente interessato che lo contraddistingue, il “behavioural targeting”.

Il Gruppo di lavoro istituito in virtù dell’articolo 29 della direttiva 95/46/CE (l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata), in un parere adottato il 22 giugno 2010 allo scopo di offrire un quadro giuridico di riferimento per la materia, ha definito la pubblicità comportamentale come quella basata “sull’osservazione del comportamento delle persone nel tempo”: essa intende “studiare le caratteristiche del comportamento delle persone attraverso le loro azioni (frequentazione ripetuta di certi siti, interazioni, parole chiave, produzione di contenuti online, ecc.) al fine di elaborare un profilo specifico e quindi inviare messaggi pubblicitari che corrispondano perfettamente agli interessi dedotti”.

Offrendo agli inserzionisti un quadro estremamente dettagliato dell’attività online svolta dall’interessato (siti web e pagine specifiche visitate, durata di permanenza, ordine di visualizzazione dei vari elementi, ecc.), la pubblicità comportamentale si differenzia da quella contestuale, molto diffusa in rete, la quale, al contrario, si fonda su delle informazioni “istantanee” relative alla navigazione, cioè sui contenuti visualizzati in quel preciso momento: con riferimento ai motori di ricerca “il contenuto puo? essere dedotto dalle parole chiave della ricerca effettuata, dalla ricerca precedente o dall’indirizzo IP dell’utente (se indica la probabile ubicazione geografica dell’utente)”. Altro metodo usato per creare messaggi promozionali mirati in rete è la pubblicità segmentata, cioè “selezionata in base a caratteristiche note dell’interessato (eta?, sesso, ubicazione, ecc.), fornite dallo stesso nella fase di registrazione a un sito”.

La pubblicità comportamentale, in sostanza, distingue gli utenti tra quelli potenzialmente interessati alla sua azione promozionale e quelli sui quali tale azione cadrebbe presumibilmente inascoltata. Per farlo utilizza delle forme di elaborazione lato client, tipicamente dei marcatori detti “tracking cookie”: si tratta di un breve testo alfanumerico che viene archiviato, e successivamente recuperato, da un fornitore di rete pubblicitaria, nell’apparecchiatura terminale dell’utente che visita una particolare pagina rientrante nella sua rete, consentendo, in questo modo, al fornitore di creare un profilo del visitatore, profilo che verrà usato per trasmettere messaggi pubblicitari personalizzati. C’è da dire che la maggior parte dei browser web offre la possibilita? di bloccare tali cookie o di attivare sessioni private di navigazione che in automatico eliminano i cookie; per questo i fornitori di rete pubblicitaria hanno iniziato a sostituire quelli tradizionali con i “flash cookie”, che non possono essere cancellati attraverso le normali impostazioni di privacy previste dal browser web (pratica chiamata“respawning”). Di particolare interesse, proprio in materia di cookie, risulta un documento ufficiale redatto da ENISA, l’Agenzia Europea per la sicurezza delle informazioni e della rete, dal titolo “Bittersweet cookies. Some security and privacy considerations“.

Come si può facilmente intuire, il problema principale connesso ad una simile tecnica promozionale è rappresentato dall’implicita lesione della privacy per l’utente, spesso del tutto inconsapevole dell’elevata invasività nel tracciamento dei propri comportamenti. Stando all’interpretazione fornita nel parere del Gruppo di lavoro articolo 29 – teso a sottolineare come “tale pratica non debba essere attuata a spese del diritto della persona al rispetto della vita privata e alla protezione dei dati” – i fornitori di reti pubblicitarie sono vincolati all’articolo 5, paragrafo 3, della direttiva relativa alla vita privata e alle comunicazioni elettroniche, la “direttiva e-privacy” (2002/58/CE), modificata dalla direttiva 2009/136/CE che avrebbe dovuto ricevere (ma non ha ricevuto) attuazione nel territorio italiano entro il 25 maggio 2011; secondo le indicazioni fornite dalla direttiva, si renderebbe necessario il consenso preventivo ed informato dell’interessato, per poter memorizzare od accedere ad informazioni archiviate nella sua apparecchiatura terminale. L’obbligo è riferito alla generica protezione di un aspetto della vita privata, perciò si applica a qualunque tipo di informazione, non solo ai dati di natura personale. Ad ogni modo, poiché la pubblicità comportamentale si basa “sull’uso di identificatori che consentono la creazione di profili utente molto dettagliati, considerati nella maggior parte dei casi dati personali”, si dovrebbero adottare in aggiunta anche i dettami della “direttiva privacy” (95/46/CE), relativi ai diritti degli interessati, alla qualità dei dati, alla sicurezza dei trattamenti ed ai limiti per il trasferimento internazionale dei dati. Nell’ordinamento italiano il riferimento è ovviamente al cosiddetto “Testo Unico sulla privacy”, il D.Lgs. 196/2003.

Le impostazioni dei browser e i meccanismi di opt-out attualmente messi a disposizione non sembrano essere adeguati, trasmettendo “il consenso soltanto in circostanze assai limitate”; l’auspicio è che i fornitori di reti pubblicitarie provvedano alla creazione di meccanismi di opt-in preliminare che “richiedano un’azione positiva dell’interessato” dalla quale “risulti la volontà di ricevere cookie o dispositivi analoghi e di accettare il conseguente monitoraggio del comportamento di navigazione ai fini della trasmissione di pubblicità personalizzata”. Sembra essere, inoltre, insufficiente, dal punto di vista dell’obbligo informativo, la semplice menzione dell’uso della pubblicità comportamentale all’interno delle condizioni generali del sito o dell’informativa sulla privacy, rendendosi, piuttosto, necessario comunicare agli utenti in modo semplice e chiaro tutti i dettagli del trattamento.

Lo scorso 14 aprile lo IAB, l’Associazione internazionale dedicata allo sviluppo della comunicazione pubblicitaria interattiva, ha varato un autoregolamento assieme ad alcune tra le principali aziende mondiali che si servono della pubblicità comportamentale (ad esempio Google, Yahoo, Aol, Yell, assente importante Facebook), imponendo loro di comunicare agli utenti se e quando utilizzino tale modalità promozionale. Ad affiancare l’iniziativa, fu creato anche un sito chiamato youronlinechoices, all’interno del quale gli utenti possono trovare facili spiegazioni e chiarimenti in merito al behavioural advertising e dove è possibile anche disattivare la pubblicità comportamentale delle società iscritte all’autoregolamentazione.

L’augurio è, allora, che si trovi il modo migliore per offrire una connotazione limpida ad una forma di comunicazione promozionale certamente positiva per molti aspetti, essendo ritagliata sull’utente, ma potenzialmente lesiva della volontà di riservatezza di questo utente, per non vederci costretti a protegger la nostra privacy ricorrendo a soluzioni tanto drastiche quanto paradossali, come lo è stato il Seppukoo, o suicidio virtuale…

Pubblicato su: PMI-dome

Guai a rubare una social identity

Due trentenni esperti di informatica rischiano la galera per aver aperto un profilo su Facebook a nome del ministro Tremonti

Un anno di reclusione. Questa la possibile condanna per i due trentenni, uno dalla provincia di Torino e uno dalla provincia di Firenze, rintracciati e denunciati dalla Guardia di Finanza per furto d’identità.

La gravità della pena preannunciata è dovuta, probabilmente, alle generalità e al ruolo istituzionale della vittima, il ministro italiano dell’Economia, Giulio Tremonti. La piattaforma sede del reato, manco a dirlo, il diffuso social network Facebook: il falso profilo creato dai due giovani esperti di informatica era riuscito, in poche ore, a totalizzare ben cinquemila amici – “inutilmente orgogliosi di aver preso contatto con il ministro dell’Economia e delle Finanze”, come scrive la GdF – ed è finito sotto la lente d’ingrandimento degli inquirenti in seguito ad alcuni post ritenuti sospetti perché “fuori protocollo”.
Le indagini sono state coordinate dalla procura di Roma e hanno coinvolto le forze congiunte del Gat, nucleo delle Fiamme Gialle specializzato in frodi telematiche, della polizia tributaria di Roma e delle tenenza di Pontassieve.

Stando a quanto riportato, i collegamenti alla rete, funzionali all’identificazione virtuale fasulla, sono avvenuti da postazioni diverse, tramite, cioè, connessioni intestate ad aziende per le quali i due lavoravano, o ad amici e conoscenti. Il nucleo frodi telematiche è comunque riuscito a ricostruire ogni singolo passaggio e a risalire all’identità dei due “ladri”, grazie anche alla logica di collaborazione alle indagini adottata dai dirigenti di Facebook, sintomo di una particolare attenzione alle implicazioni social in fatto di privacy.

Di profili palesemente falsi (magari riferiti a personaggi della nostra storia sociale e culturale, come Rino Gaetano, Marylin Monroe, Mike Buongiorno e addirittura Giovanni Giolitti e Giuseppe Garibaldi), di pagine ufficiose e di gruppi non autorizzati se ne trovano moltissimi all’interno dei network virtuali, non stupisce, dunque, una simile prassi, ormai consolidata. Essa rientra in quella serie di fenomeni non propriamente positivi (ma, ovviamente, si tratta pur sempre di giudizi controvertibili) studiati dagli esperti di sociolinguistica e funzionali alla volontà di creare, camuffare, deviare o impreziosire la propria social identity. Ci riferiamo, ad esempio, al code switching (la commutazione di codice, dunque, ad esempio, fingersi fruitori di una lingua diversa da quella madre), legato alla pratica più “ortodossa” delle enunciazioni mistilingue o code mixing; e soprattutto all’age- e gender switching (dichiarare un’età e un sesso diversi da quelli propri); e la lista potrebbe allungarsi con l’infinita serie di “bugie”, più o meno bianche che siano, confinate nei circuiti virtuali e destinate in buona parte alla costruzione di una nuova identità, dunque, in definitiva di un’approvazione sociale o, al contrario, di un rifiuto stesso alla socialità.

Nel caso ad oggetto, certo, la pena è motivata dalla violazione dell’articolo 494 del codice penale ed è, dunque, oggettivamente riconducibile ad una disposizione normativa; rimane, tuttavia, da considerare se questa stessa violazione possa valere nella rete, dove – inutile affermare il contrario – le logiche vigenti, e dunque le conseguenze di simili azioni, sono completamente diverse da quelle reali.

Pubblicato su: PMI-dome

Il DPCM 2 marzo 2011 e la conservazione sostitutiva di documenti con rilevanza fiscale

Il provvedimento attuativo del CAD prevede che si continuino a far valere le indicazioni previste dal DM 23 gennaio 2004

 

Attraverso il D.P.C.M. 2 marzo 2011, pubblicato nella Gazzetta Ufficiale del 25 marzo, si precisa il fatto che, per la conservazione sostitutiva dei documenti con rilevanza tributaria, continuano a valere le regole previste dal D.M. 23 gennaio 2004.

Questo nonostante la previsione dell’articolo 20, comma 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice delle amministrazioni digitali (CAD) – recentemente modificato dal decreto legislativo 30 dicembre 2010 , n. 235 – secondo il quale “gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle regole tecniche dettate ai sensi dell’articolo 71”.

Il D.P.C.M. in questione rappresenta il primo provvedimento attuativo per la disciplina di casi particolari, così come previsto dall’articolo 2, comma 6 del CAD: “[…] con decreti del Presidente del Consiglio dei ministri, tenuto conto delle esigenze derivanti dalla natura delle proprie particolari funzioni, sono stabiliti le modalità, i limiti ed i tempi di applicazione delle disposizioni del presente Codice alla Presidenza del Consiglio dei Ministri, nonché all’Amministrazione economico-finanziaria”.

Per la conservazione dei documenti informatici di natura tributaria si parte, allora, dalla loro memorizzazione e si arriva alla sottoscrizione elettronica e all’apposizione della marca temporale, diversamente dal riferimento temporale richiesto dalle regole tecniche DigitPa, Ente nazionale per la digitalizzazione della pubblica amministrazione (prima Cnipa, Centro Nazionale per l’Informatica nella Pubblica Amministrazione).

Per quanto riguarda, invece, la conservazione informatica di documenti analogici rilevanti ai fini fiscali, si procede con la digitalizzazione di tali documenti tramite scanner e il risultato di tale operazione sarà un’immagine che seguirà un processo identico a quello usato per i documenti informatici.

Il processo di conservazione deve essere realizzato almeno ogni quindici giorni, con riferimento alle fatture di tipo elettronico, o annualmente, con riferimento, invece, a tutti gli altri documenti. Il responsabile della conservazione o il soggetto eventualmente interessato ad estendere la validità dei documenti conservati in via sostitutiva deve dare comunicazione, attraverso la rete, all’Agenzia delle Entrate circa l’impronta dell’archivio informatico conservato, la relativa sottoscrizione elettronica e la marca temporale, il tutto entro il quarto mese successivo alla scadenza dei termini stabiliti per la presentazione delle dichiarazioni relative alle imposte sui redditi, all’Irap e all’Iva.

In ambito tributario, inoltre, continueranno ad essere usate delle logiche autonome nella gestione delle dinamiche connesse alla sicurezza informatica, alla privacy e allo scambio comunicativo (l’utilizzo di PEC rimane obbligatoria per tutte le PA ma non per l’ambito in questione, anche se l’amministrazione finanziaria potrà notificare propri atti impositivi, quali avvisi di accertamento e di rettifica o liquidazione, alla casella di PEC conosciuta): Fisconline e Entratel saranno ancora canali privilegiati di dialogo tra Fisco e contribuenti od intermediari abilitati.

Pubblicato su: PMI-dome

Furto d’identità in Rete: identikit all’italiana

Secondo una ricerca realizzata da Cpp Italia e Unicri, a subire maggiormente il furto d’identità in Italia sarebbero i giovani tra i 25 e i 30 anni e le aree più a rischio sarebbero quelle nord occidentali e centrali

È giovane, di età compresa tra i 25 e i 30 anni ed è residente nell’Italia nord occidentale e centrale: questo, incredibilmente, l’identikit dell’italiano maggiormente esposto al pericolo di subire un furto di identità in Rete.

A delineare tale profilo è stata una ricerca realizzata da Cpp Italia – divisione della compagnia inglese “leader a livello internazionale nella protezione e tutela di tutti quegli strumenti che sono diventati ormai necessari nella vita quotidiana come le carte di credito e di debito (Bancomat), i telefoni cellulari, le chiavi di casa e la difesa della propria identità” – in collaborazione con Unicri, l’Istituto Interregionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia, fondato nel 1969.

Il dato contrasta certo con il senso comune che tende a considerare i giovani di quell’età come maggiormente capaci di padroneggiare il mezzo; al contrario l’etichetta di navigatori particolarmente attenti sembra andare ai cittadini rientranti nella fascia d’età che va dai 31 ai 40 anni, meno ingenui e più smaliziati rispetto ai possibili pericoli della rete. A rischio, invece, pure i 41-50enni, probabilmente a causa di un’alfabetizzazione informatica avvenuta in età piuttosto avanzata.

Dal punto di vista geografico, le aree più esposte sono il Nordovest e il Centro Italia, meno il Nordest e il Sud (con le Isole). La ricerca si è soffermata, inoltre, sui comportamenti adottati dagli utenti a difesa da questo pericolo: il 92% degli intervistati da Cpp Italia utilizza un antivirus, l’84% cancella le e-mail di sconosciuti, mentre solo il 57% utilizza password differenziate; una percentuale compresa tra il 50% e il 54% degli intervistati utilizza firewall e antispyware o cancella la cronologia del browser e i suoi cookies. A rischio è la sicurezza dei dati sensibili non solo di coloro che su Internet navigano regolarmente (circa 55%), ma anche di coloro che non ci vanno mai (34%). Per quanto riguarda, invece, lo stato psicologico di chi subisce la frode, stando al resoconto di Cpp, il sentimento più diffuso è, comprensibilmente, quello di rabbia, frustrazione e impotenza, con risvolti di depressione, specie nelle donne. Coloro che non sono stati vittime di furto d’identità hanno dichiarato, per la maggior parte, che sarebbero stati colti da panico, nell’ipotesi della scoperta di un simile furto, a causa delle numerose cose da fare contemporaneamente e a causa della mancanza di un’idea precisa circa tutti i passi da seguire per risolvere il problema. Gli intervistati sembrano, quindi, auspicare un livello di informazione maggiore da parte dei media, per capire a chi rivolgersi e come muoversi.

L’attenzione al fenomeno si è concentrata finora soprattutto nei Paesi anglosassoni, dove il furto d’identità è massicciamente presente (in particolare negli USA), ma certo anche in Italia tale reato – già punito dall’art. 494 c.p., rubricato “Sostituzione di persona” – sembra destinato ad espandersi. «La nostra ricerca – spiega Walter Bruschi, amministratore delegato di Cpp Italiaha rilevato una serie di comportamenti potenzialmente pericolosi, che tutti poniamo in essere ogni giorno. L’82,5%, degli intervistati, ad esempio, rilascia online il proprio nome e cognome. Il 59% mette anche la data di nascita, il 48% anche il proprio indirizzo e il 33% anche il proprio numero di cellulare. Anche se pochi rilasciano tranquillamente il numero della propria carta di credito o il Pin».

«Tutti questi comportamenti – continua Bruschi – non sono pericolosi in assoluto. A fare la differenza sono i siti Internet sui cui vengono rilasciati i dati […] .Il consiglio è quindi sempre quello di prestare attenzione all’attendibilità di chi ci richiede le informazioni e soprattutto di non accedere mai a un sito Internet cliccando su un link presente in una e-mail ricevuta, ma digitare sempre personalmente l’indirizzo: quel link, infatti, potrebbe riportare a un sito “falso” ma con tutte le caratteristiche grafiche di quello originale. Immettendoci i nostri dati, li consegneremmo nelle mani dei truffatori». Meglio, conclude Bruschi, «non inserire troppi dati personali quando ci si iscrive a un social network e soprattutto meglio utilizzare password differenti per i vari accessi a siti o servizi Internet».

Pubblicato su: PMI-dome

Sicurezza & PMI: ecco i virus dell’anno

A dominare la classifica i Trojan bancari, mentre Facebook e Twitter sono i network più coinvolti

Si sa, la crisi aguzza l’ingegno. È forse questo il principale motivo per cui il 2010 ha conosciuto un proliferare di virus rinnovati nella forma e nella manifestazione e studiati dai professionisti di Panda Security. Dopo aver ricevuto e analizzato oltre 20 milioni di nuovi esemplari di malware, anche quest’anno l’azienda attiva nel settore della sicurezza informatica ha pubblicato l’almanacco dei viruspiù bizzarri, che non sono stati i più prolifici o pericolosi, ma che semplicemente hanno destato maggiore curiosità”.

Panda Security è “una delle poche multinazionali europee a essere riuscita a posizionarsi tra i protagonisti [mondiali] del mercato della security” grazie alla creazione e allo sviluppo di “soluzioni di sicurezza integrate in grado di combattere efficacemente virus, hacker, trojan, spyware, phishing, spam e tutte le altre minacce provenienti da Internet”, “al più basso costo di gestione possibile”. Fondata nel 1990 a Bilbao (Spagna) da Mikel Urizarbarrena e con milioni di clienti in più di 200 paesi e prodotti disponibili in 23 lingue, l’azienda riassume nello slogan “One step ahead” (Un passo avanti) il proprio vantaggio competitivo, vantaggio fondato sull’“impegno nell’innovazione continua e nel cambiamento”, su “tecnologie di protezione preventiva integrate” “con capacità di rilevamento ed efficienza più elevate rispetto agli altri vendor”, su “un nuovo modello di sicurezza, appositamente progettato per combattere in modo adeguato tutti i nuovi tipi di criminalità informatica”.

Prima di conoscere nel dettaglio la lista dei “premiati” presenti nell’almanacco, non nuoce avere un quadro d’insieme relativo all’attuale stato di infezione virale del web. Stando al report annuale sulla sicurezza stilato dai laboratori della stessa Panda Security, The Cloud Security Company, nel 2010 gli hacker hanno realizzato e diffuso un terzo del totale di tutti i virus esistenti e, in 12 mesi, hanno creato il 34% di tutto il malware apparso finora. L’Intelligenza Collettiva, la nuova generazione di prodotti antivirus usata, che ha studiato e classificato in maniera automatica il 99,4% degli esemplari ricevuti, comprende attualmente 134 milioni di file unici, dei quali 60 milioni sono malware (virus, worm, Trojan e altre minacce). Una buona notizia, tuttavia, pare esserci: dal 2003 i nuovi codici infettivi aumentavano del 100% ogni 12 mesi, mentre nel 2010 sono incrementali del “solo” 50%, quindi la crescita di nuove minacce sarebbe in diminuzione.

A dominare la classifica del malware nel 2010, con una percentuale del 55,91%, sono stati i Trojan bancari, seguiti da virus (22,13%) e worm (10,38%). L’11.6% di tutto il malware raccolto dall’Intelligenza Collettiva è costituito da rogueware (o fake-falsi antivirus), categoria che, pur presente da soli 4 anni, sta creando molti danni agli utenti di tutto il mondo: in sostanza si tratta di un software che, inserendosi nel computer, segnala la presenza di una miriade di virus, in realtà fittizi, e impone l’inserimento del codice d’acquisto di un particolare programma per tornare alla normalità.

A capo, invece, della classifica dei paesi più colpiti vi è la Thailandia, seguita da Cina e Taiwan, con 60-70% di computer infetti, mentre tra le tecniche di attacco più usate troviamo, innanzitutto, quelle rivolte ai social media: Facebook e Twitter sono stati i network più coinvolti, ma si sono verificati attacchi, ad esempio, anche su LinkedIn e Fotolog; gli utenti sono stati ingannati sfruttando il bottone “Mi piace” di Facebook, compiendo furti d’identità per inviare messaggi da fonti fidate, approfittando delle vulnerabilità di Twitter per eseguire codici javascript e diffondendo false applicazioni per deviare la navigazione su siti infetti. Altri metodi usati sono stati gli attacchi BlackHat SEO per l’indicizzazione e il posizionamento di falsi siti web (brillante metafora cinematografica che indica il parallelo tra il classico “cattivo” che nei film western indossava il cappello nero e un posizionatore che non si avvale di tecniche lecite, consentite dalle linee guida dei motori di ricerca, per scalare le serp) e lo sfruttamento di vulnerabilità zero-day (vulnerabilità del “giorno zero”, per le quali, cioè, non è ancora disponibile una patch risolutiva). Mantiene il proprio ruolo da protagonista pure lo spam, nonostante sembri diminuire la percentuale di spam nel traffico mail (nel 2009 era pari al 95%, nel 2010 è scesa all’85%).

Altri metodi, come le presentazioni PowerPoint inviate a catena tra amici, sembrano essere scomparsi, mentre preoccupa il proliferare sul web di kit per sferrare attacchi informatici già confezionati: delle vere e proprie “cassette degli attrezzi” – a disposizione non solo di esperti informatici, ma anche di aspiranti lamer o di criminali comuni con scarsa competenza informatica – la cui relativa semplicità d’accesso e d’utilizzo e la cui efficacia hanno contribuito ad un incremento del loro utilizzo per attività di cyber crime, come rivelano i risultati di un rapporto realizzato da Symantec Corp. e diffusi il 18 gennaio sul sito della stessa azienda statunitense. Stando a tale rapporto, l’uso di questi kit, che permettono di personalizzare le minacce per evitare di essere individuati e per automatizzare il processo di attacco, rappresenterebbe una delle maggiori minacce rivolte alla rete, generando un’economia sommersa di milioni di dollari, e costituirebbe i due terzi di tutti gli attacchi informatici individuati fra giugno 2009 e giugno 2010. “In passato, gli hacker dovevano creare le loro minacce dal nulla. Questo processo più complicato limitava il numero degli attaccanti ad una cerchia ristretta di cyber criminali molto competenti” ha dichiarato Stephen Trilling, senior vice president, Symantec Security Technology and Response. “Al giorno d’oggi i kit di attacco rendono relativamente semplice il lancio di un cyber attacco anche per un principiante. Per questo ci aspettiamo di assistere ad un incremento dell’attività in quest’area e che ci siano maggiori possibilità per l’utente medio di trasformarsi in vittima”.

Il 2010 è stato, inoltre, un anno caratterizzato, oltre che da cyber crimine (malware legato ad un business orientato alla creazione di ritorni economici), anche da due fenomeni completamente nuovi e presumibilmente in costante ascesa: stiamo parlando di “cyber guerra” e “cyber attivismo”. Quest’ultimo movimento è stato reso famoso dai gruppi Anonymous e Operation Payback e ha avuto come obiettivi primari quelli di colpire le organizzazioni che cercano di combattere la pirateria in rete e di supportare Julian Assange, autore di Wikileaks. Malgrado la legislazione mondiale si stia muovendo in direzione di una sempre più severa soppressione di tale forma di protesta, si è pronti a credere che essa sarà, nel prossimo anno, in continuo aumento, proprio per la capacità della rete di assicurare un canale di espressione relativamente anonimo e libero

Tuttavia, nonostante i riflettori degli ultimi mesi del 2010 siano rimasti puntati su Wikileaks e sugli attacchi online condotti dai suoi sostenitori o dai suoi detrattori, “non c’è niente di nuovo nel tipo di attacchi Distributed Denial of Service (DDoS) utilizzati per colpire aziende che si sono dissociate da Wikileaks, come Mastercard, Visa e Paypal”, ha dichiarato Mikko Hypponen, Responsabile dei Laboratori di Ricerca della società di sicurezza informatica finlandese F-Secure. Secondo uno studio della stessa società, la più importante novità nel campo del malware del 2010, e forse dell’intero decennio, è stata, invece, il sofisticatissimo worm Stuxnet, che può arrivare a colpire direttamente i sistemi industriali e a modificare i processi automatizzati, permettendo, così, di provocare danni gravissimi nel mondo reale. “Sfortunatamente – osserva Mikko Hypponen – è probabile che assisteremo ad altri attacchi di questo tipo in futuro”.

Più in particolare, questo worm ha interferito nel 2010 con i processi delle centrali nucleari, colpendo quella di Bushehr, come confermato dalle autorità iraniane. È stato questo l’esito più eclatante di quella che abbiamo definito “cyber guerra”: azioni di guerrilla nelle quali non si riesce a comprendere chi sia l’esecutore e da dove provenga l’attacco, ma dalle quali si riesce a dedurre esclusivamente lo scopo. Altro esempio di tale fenomeno è stato “Here you have”, il worm, diffuso però con metodo classico, creato dall’organizzazione terroristica “Brigades of Tariq ibn Ziyad”, con l’obiettivo di ricordare agli Stati Uniti l’attacco dell’11 settembre e rivendicare il rispetto per la religione islamica, in risposta alla provocazione del pastore Terry di bruciare il Corano.

Sempre secondo lo studio F-Secure menzionato, il 2010 è stato l’anno in cui si è registrato il maggior numero di arresti e condanne per persone ree di aver commesso crimini online: l’Fbi ha arrestato più di 90 persone, sospettate di appartenere a una rete internazionale di criminali informatici e accusate di aver rubato circa 70 milioni di dollari da conti bancari negli Stati Uniti, ottenendo l’accesso ai dati di banking online attraverso messaggi spam infetti. Altri importanti arresti sono stati effettuati nel Regno Unito e in Ucraina.

Oltre agli ulteriori attacchi firmati Stuxnet, un’altra previsione dell’analisi F-Secure pare essere motivo di preoccupazione: “dal punto di vista della sicurezza mobile” – ha affermato Hypponen, “ci aspettiamo di vedere un numero crescente di malware progettato per colpire la piattaforma Android e gli iPhone jailbreak”.

Insomma, da quel gennaio di ben 25 anni fa, in cui nasceva il primo virus della storia dell’informatica, di strada se ne è fatta molta e l’evoluzione è stata notevole. Allora si trattava – è curioso ricordarlo – di un malware piuttosto innocuo, Brain, creato fai fratelli pakistani Basit e Amjad Alvi per punire chi copiava illegalmente i loro software, colpendo direttamente i floppy-disk, unità di archiviazione allora addirittura più utilizzata degli hard disk. I due avevano pure deciso di inserire nello stesso virus i loro contatti, con l’implicita volontà di ottenere guadagno dalle richieste di aiuto degli utenti infetti e con la speranza di venir contattati da qualche big del settore.

Facciamo ora un passo indietro in questa nostra disamina e concentriamo l’attenzione sulle voci presenti nell’almanacco dei virus 2010 pubblicato da Panda Security, elencandole in relazione al riconoscimento ottenuto:

Il dispettoso amante dei Mac.

Titolo vinto da HellRaiser.A, un programma di controllo remoto che colpisce solo i sistemi Mac e, una volta installato sul computer tramite la necessaria autorizzazione dell’utente, prende il controllo del sistema e realizza numerose attività, tra le quali, addirittura, l’apertura del cassettino DVD.

 

Il buon samaritano.

È Bredolab.Y il vincitore (Panda Security ne ha messo a disposizione un’immagine sul proprio profilo flickr), il quale si presenta sotto forma di messaggio da parte di Microsoft Support, richiedendo una nuova patch di sicurezza per Outlook; procedendo con il download, si installerà una falsa soluzione SecurityTool che segnalerà la presenza di codici pericolosi sul sistema e condurrà all’acquisto di una soluzione per eliminarli, soluzione che, inutile dirlo, non giungerà in seguito al versamento del denaro.

 

Il poliglotta dell’anno
Il premio va a MSNWorm.IE, un virus diffuso via Messenger tramite un link che invitava gli utenti a visualizzare un’immagine, in 18 lingue. Al termine della frase troviamo l’emoticon :D, che utilizza, quindi, un codice decisamente universale: date queste premesse, noi avremmo proposto un premio per il forte sentimento di interculturalità.
Oltre ad un’immagine del virus, Panda Security ha pubblicato anche la lista delle diverse manifestazioni dello stesso, che di seguito vi proponiamo:

Español: mira esta fotografia 😀
Inglés: seen this?? 😀
look at this picture 😀
Portugués: olhar para esta foto 😀
Francés: regardez cette photo 😀
Alemán: schau mal das foto an 😀
Holandés: bekijk deze foto 😀
Sueco: titta p? min bild 😀
Danés: ser p? dette billede 😀
Noruego: se p? dette bildet 😀
Finés: katso t?t? kuvaa 😀
Esloveno: poglej to fotografijo 😀
Eslovaco: pozrite sa na tto fotografiu 😀
Checo: pod?vejte se na mou fotku 😀
Polaco: spojrzec na to zdjecie 😀
Rumano: uita-te la aceasta fotografie 😀
Húngaro: n?zd meg a k?pet 😀
Turco: bu resmi bakmak 😀

Il più audace.

Come si deduce da quanto già abbiamo detto, il vincitore è indiscutibilmente Stuxnet.A, virus che, accompagnato metaforicamente dalla nota colonna sonora del film “Mission Impossible” o de “Il Santo”, colpisce i sistemi SCADA (“Supervisory Control And Data Acquisition”, ossia “Controllo di supervisione e acquisizione dati”, per il monitoraggio elettronico di sistemi fisici). Esso sfrutta falle di sicurezza di Microsoft attraverso dispositivi USB per raggiungere il cuore delle centrali nucleari.

 

Il più fastidioso.

Replicando la prassi di quei programmi che, una volta installati, pongono la domanda “Sei sicuro di voler chiudere il programma? Sì – No?”, Oscarbot.YQ mostra di continuo, ogni volta che si cerca di chiudere un programma o di aprire una finestra del browser, la stessa schermata con la ripetizione della domanda, mettendo seriamente alla prova la pazienza degli utenti. Un’immagine è disponibile su flickr.

 

Il worm più sicuro.

A vincere è Clippo.A, con questo nome che ricorda implicitamente “Clippy”, il supporto di Microsoft a forma di graffetta: una volta installato, inserisce una password su tutti i documenti Office, impedendo in qualunque modo agli utenti di aprirli.

Una vittima della crisi.

Vince Ransom.AB, un ransomware (programmi che bloccano il computer e richiedono un riscatto per renderli nuovamente operativi) che, vista la forte competizione e la recessione, “si accontenta” di soli 12 dollari per “liberare” il pc, diversamente da qualche anno fa, quando la richiesta si aggirava attorno ai 300 dollari.

 

Il meno sincero

SecurityEssentials2010 (la falsa versione dell’antivirus, non quella ufficiale Microsoft), sotto la falsa apparenza di adware, avvisa gli utenti di essere stati colpiti da codici pericolosi e conduce loro all’acquisto di un prodotto che fornisca protezione. Il design così convincente, con messaggi e schermate autentici, è stato causa delle 10 infezioni più estese dell’anno. Un’immagine è disponibile su flickr.

A chiusura dell’almanacco 2010, viene citato, infine, l’insetto dell’anno, Mariposa (farfalla in spagnolo), la botnet “estintasi” nel mese di marzo, con l’arresto dei suoi autori, grazie alla collaborazione tra Panda Security, Guardia Civil spagnola, FBI e Defense Intelligence.

Pubblicato su: PMI-dome