30 mag 2011

E-Privacy 2011, Firenze, 3-4 giugno 2011


I giorni 3 e 4 giugno 2011 interverrò come relatore al convegno e-privacy 2011, che si terrà a Firenze.


Introduzione alla decima edizione
I confini, una volta chiaramente percepibili, tra noi stessi e la Rete, stanno cambiando, spostandosi e contemporaneamente diventando indistinti.
Il successo delle comunita' sociali sta rendendo confuso il confine tra la persona digitale e la Rete.
Il Cloud Computing, il SaaS (software as a service - software come servizio) e l'utilizzo sempre piu' diffuso di apps su smartphone e pad modificano radicalmente i rapporti di interdipendenza tra i cittadini della Rete e chi fornisce loro software e servizi.
Nel modello Cloud l'utente non possiede, non controlla e non conosce il software che usa, che e' sotto il totale controllo dei fornitori di servizi Cloud.
E se e' vero, come dice Lessig, che solo il software e' la legge del cyberspazio, questo portera' inevitabilmente ad un'alterazione dei rapporti di potere tra utenti e fornitori, gia' strutturalmente sbilanciati, a favore di questi ultimi.
Gli utenti che abbandoneranno il software tradizionale per adottare il modello Cloud rinunceranno completamente alla non grande quota di potere che oggi detengono; rinunceranno ad essere "cittadini digitali" per diventare "consumatori digitali".
Il modello Cloud implica inoltre la rinuncia al controllo ed al possesso dei dati, delegando anche questo ai fornitori di Cloud prescelti.
E se l'Io digitale e' formato dai nostri dati, sia quelli pubblici ma soprattutto da quelli che manteniamo privati, perderne il controllo equivale ad una dissoluzione della persona digitale nel mare non piu' limpido ma infido di una Rete formata da fornitori e consumatori, e non piu' da individui.

Programma

venerdi 3 giugno
09:00 - 09:20 ----- Registrazione partecipanti
09:20 - 09:30 ----- Saluto degli organizzatori - Marco Calamari - Progetto Winston Smith

09:30 - 10:00 - Il contratto e gli SLA con il cloud service provider - Lucilla Mancini, Robert Rosen
10:00 - 10:30 - Cloud computing, un'opportunita' di cui comprendere vantaggi e rischi, per privati ed aziende - Marco Piermarini
10:30 - 11:00 – Il Diritto all’anonimato nella Societa' dell’Informazione - Alessandro Rodolfi
11:00 - 11:30 - Trattamento dei dati personali e responsabilita' nell'era del cloud computing: istruzioni per l'uso - Stefano Aterno
11:30 - 11:45 La responsabilità penale del cloud service provider - Francesco P. Micozzi

11:45 - 11:50 ----- break
11:50 - 12:30 - votazione e consegna dei Big Brother Award Italia 2011

12:30 - 13:00 - Responsable Disclosure: quanto e' efficace nel contrastare il fenomeno del data leaking? - Marco Ortisi
13:00 - 14:30 ----- pausa pranzo
14:30 - 15:00 - Security, Privacy e Data retention nel cloud scenario. Aspetti di diritto penale sostanziale e processuale - S. Marcolini, E. Colombo, R. Flor
15:00 - 15:30 - Guardiamoci in faccia, nonostante le nuvole - Alessio L.R. Pennasilico
15:30 - 16:00 - Il cloud data storage: stato dell'arte, rischi e tutela della privacy - Yvette Agostini, Valerio Vertua

16:00 - 16:30 ---- break

16:30 - 17:00 - Il Cloud, tra contrattualistica e privacy - Simone Bonavita
17:00 - 17:30 - Le Procure nella nuvola: data retention e cloud forensics - Carlo Blengino, Monica Senor
17:30 - 18:00 - Negabilita' plausibile su disco: luci e ombre di Truecrypt - Tommaso Gagliardoni

sabato 4 giugno
09:00 - 09:30 - Free as in Google: Cloud Computing e Liberta' - Primavera De Filippi
09:30 - 10:00 - Cloud computing ed attivita' di impresa: la tutela dei dati personali ed aziendali - Alessandro Mantelero
10:00 - 10:30 - La privacy dei piccoli - Paolo Giardini
10:30 - 11:00 - Anonymous for fun and profit - Simone Onofri

11:00 - 11:30 ----- break

11:30 - 12:00 - Il controllo dei dati nel cloud - Gianluca Moro
12:00 - 12:30 - Il leaking e la divulgazione di documenti riservati tra diritto, etica e tecnologia - Giovanni Ziccardi
12:30 - 13:00 - L'utilizzo della PEC all'interno del processo civile telematico alla luce delle regole tecniche del D.44 21-04-11: quale privacy? - M. Morena Ragone, G. S. Barile

13:00 - 14:30 ----- pausa pranzo

14:30 - 15:00 - L’importanza della qualita' nel Web di Dati: modello di sicurezza e privacy per la gestione dell’e-profile - Stefano Turchi
15:00 - 15:30 - Designed for democracy: pattern di interferenza tra codici giuridici e codici informatici nei recenti casi di censura online e offline - Alberto Cammozzo
15:30 - 16:00 - Le Nuvole dell’Internet del futuro all’orizzonte: fra estrazione del lavoro degli utenti, oligopoli e controllo - Perla Conoscenza
16:00 - 16:30 - ISO 27001 e cloud computing - Andrea Orsi

16:30 - 17:00 ----- break

17:00 - 17:30 - Gruppi, strategie e software in contrasto alla data retention - Claudio Agosti - Progetto Winton Smith
17:30 - 18:00 - L’introduzione del principio di Responsabilita' secondo il Gruppo dei Garanti Europei - Monica Gobbato

POSTER - Tecnologie di face recognition e impatto sulla privacy: stato e prospettive- Alberto Cammozzo - TagMeNot.info

POSTER - Progetto Anopticon: Input/Output Dati, informazione e Tracciamento- EPTO - tramaci.org

Dettaglio degli Interventi

Lucilla Mancini - Business-e, Robert Rosen - Gianni Cimino e partners
Il contratto e gli SLA con il cloud service provider
Il Cloud ed il service provider. Requisiti di sicurezza e conformita': le leggi applicabili. Il contratto con il provider: elementi fondamentali. Gli SLA: la definizione, il controllo da parte del cliente.
Lo strumento fondamentale per gestire tutte le eventuali problematiche che vengono associate al Cloud e' il contratto insieme con i livelli di servizio condivisi. Attraverso questi elementi, infatti, se gli stessi sono creati in maniera corretta e con la totale consapevolezza degli aspetti cruciali da considerare senza complicare pero' la possibile fruizione di tali servizi, qualsiasi cliente puo' utilizzare serenamente la “nuvola”.
top

Yvette Agostini, Valerio Vertua
Il cloud data storage: stato dell'arte, rischi e tutela della privacy
L'utilizzo del Cloud Computing rappresenta per le aziende un modo per ridurre di molto i costi legati all'IT ed e' estremamente usabile per gli utenti finali.
E' percio' molto probabile che l'adozione di tali tipi di servizi andra' diffondendosi sempre di piu'. Focalizzandosi sul cloud data storage, si valuteranno alcuni dei mezzi tecnici adottati nel fornire alcune funzionalita', tentando di individuare a quali tipi di rischi sono soggetti i dati affidati a questo tipo di tecnologie.
L'analisi avra', inoltre, ad oggetto la tutela della privacy e piu' in generale la liceita' del trattamento dei dati sulla base della normativa vigente in Italia e nella UE, tenuto anche conto che i data storage sono spesso ubicati in paesi extra-UE, con l'obbiettivo di fornire delle linee guida agli utenti finali.
top

Marco Piermarini/strong> - ICT Academy
Cloud computing, un'opportunita' di cui comprendere vantaggi e rischi, per privati ed aziende
Descrizione di cos’e' il cloud, la sua evoluzione come offerta, i rischi connessi alla mancanza di una normativa uniforme.
I problemi legati alla connessione per accedere ai dati. L’evoluzione della normativa.
La soluzione di cloud computing e' assolutamente valida ed essenziale per rendere scalabile e performante l’accesso al Web. Come vengono trattati i nostri dati. Che leggi si applicano all’accesso ad un sito che e' presente in server in tante location diverse.
L’evoluzione e' verso l’Application as a service, un mondo di app accessibili con browser o altri servizi, un sistema che riduce la liberta' dell’utente vincolato da queste applicazioni e dai contratti non sempre trasparenti che definiscono a cosa accede e come vengono trattate le informazioni raccolte durante il loro uso.
Per le aziende si passa dal semplice storage, back up od hosting a servizi piu' evoluti, personalizzati e scalabili, con costi che sono proporzionati all’uso e che all’apparenza convengono alle aziende e ai privati. La difficoltà' e' capire le garanzie di sicurezza e di gestione di quelle informazioni. Altro rischio del cloud: la banda larga e la capacita' di garantire l’accesso sicuro. Da qui la necessita' di servizi che siano criptati o che tutelino il traffico generato.
Il problema della legislazione non coerente in tutti i contesti, quali diritti ha il cittadino digitale, verso chi li puo' esercitare, ma anche i diritti di chi crea, come saranno tutelati in futuro. I Garanti Europei come pensano di intervenire.
top

Stefano Aterno
Trattamento dei dati personali e responsabilita' nell'era del cloud computing: istruzioni per l'uso?
Cosa sta accadendo alle garanzie dell'individuo sul trattamento dei dati personali e alla tutela offerta dalle norme del nostro Paese ? le norme in vigore sono ancora in grado di far fronte ai nuovi e complessi strumenti tecnologici? Quanto sara' importante prevedere a livello mondiale norme e strumenti di tutela ? l'importanza della chiarezza e della trasparenza delle informative e delle informazioni. A queste domande prima o poi bisognera' dare risposte certe e strumenti di tutela efficaci. Sui problemi che pongono queste domande cercheremo di confrontarci durante il mio intervento.
top

Francesco Paolo Micozzi -
La responsabilità penale del cloud service provider
L'analisi giuridica delle problematiche che ruotano attorno ai sistemi di cloud computing e, in particolare a quelli di cloud storage, per le loro intrinseche peculiarità rinnovano l'interesse attorno all'annosa questione sulle responsabilità dei provider.
In questo breve intervento saranno tratteggiati gli eventuali profili di responsabilità penale dei cloud service provider per le attività illecite poste in essere dai destinatari dei servizi.
top

Marco Ortisi
Responsable Disclosure: quanto e' efficace nel contrastare il fenomeno del data leaking?
Compilare form a casaccio sul web pare essere diventato uno sport nazionale.
In pochi ci pensano due volte prima di fornire i propri dati personali (nome, cognome, numero di telefono, indirizzo, data di nascita, etc..) a siti e portali di e-commerce di vario tipo, anche se il login viene effettuato un'unica volta magari per spese occasionali (ordinare i croccantini al cane, comprare un capo di abbigliamento o un articolo tecnologico, etc..).
Ma quanto i nostri dati sono effettivamente sicuri dentro questi database dall'indubbia tracciabilita' e spesso dal ciclo di vita sconosciuto? In Italia abbiamo una legge (la 196/03) che dovrebbe tutelare la privacy dei cittadini e degli utenti. Tutti i siti che trattano dati personali o comunque sensibili la citano, riportando debitamente i nomi dei responsabili del trattamento, ma pochi sembrano interessarsene ed effettivamente rispettarla.
Il talk porta all'attenzione del pubblico alcuni recentissimi casi inediti di data leaking nostrani per un totale di 500 mila record personali trafugabili e potenzialmente esposti.
Tra vicissitudini rocambolesche e silenzi imbarazzanti dall'altra parte del telefono, ricopercorremo le tappe che hanno contraddistinto le fasi della "responsable disclosure" che l'autore ha seguito nei confronti di chi ha messo in atto queste violazioni nei propri portali web, di come i dati acceduti potevano essere utilizzati per fini malevoli e di come/se le cose sono cambiate dopo la segnalazione delle falle.
top

Stefano Marcolini, Eleonora Colombo - Facolta' di Giurisprudenza, Universita' dell’Insubria, Roberto Flor Facolta' di Giurisprudenza, Universita' di Verona
Security, Privacy e Data retention nel cloud scenario. Aspetti di diritto penale sostanziale e processuale
La tutela dei diritti fondamentali attraverso la riserva di legge e quella di atto motivato dell’autorita' giudiziaria. La riserva di legge formale e sostanziale. L’atto di indagine atipico e i suoi limiti.
Il c.d. data retention e “law applicable” nel cloud scenario. Limiti costituzionali e prospettive de jure condendo alla luce di importanti decisioni dei Giudici delle Leggi in Europa. Dal caso Marper v. United Kingdom allo scenario “cloud” nella gestione delle banche dati. Prospettive di sviluppo di forme di cooperazione piu' rapide ed efficienti per la prevenzione e repressione della criminalita' transnazionale. Abstract;
La minaccia legata all’uso di Internet e delle nuove tecnologie per la commissione di reati (sia propriamente informatici, che “informatici in senso improprio”) e' particolarmente allarmante ed in continuo sviluppo, in primis per la forte dipendenza dell’attuale assetto sociale, economico e politico dalla informatizzazione e dalla rete globale.
Nel nuovo “cloud scenario” si assiste non solo ad una sostanziale modifica strutturale nella fruizione e nella archiviazione delle risorse online e nelle modalita' di condivisione e comunicazione di dati (anche di interesse e rilevanza giuridico e giudiziaria) ed informazioni attraverso Internet, ma anche alla nascita di nuovi attori, o di nuovi ruoli per soggetti gia' presenti nello scenario “tradizionale” (cloud computing provider, user, data subject, data processor).
Le caratteristiche del cloud computing, da un lato, possono essere viste alla stregua di nuove potenzialita' per la gestione di risorse sempre piu' estese territorialmente, dall’altro lato, pero', costituiscono un mezzo per la preparazione e la commissione di reati, anche gravi, contro la vita, l’incolumita' fisica e la sicurezza dello Stato (si pensi, ad esempio, ad atti terroristici, che possono avere quale obiettivo non solo vite umane, ma anche sistemi informatici sensibili o informazioni segrete dello Stato) e, dunque, sollecitano una attenta riflessione sulla necessita' di adattare il sistema penale per rispondere a nuove esigenze di tutela e, al contempo, di disciplina di tipologie di indagini a “carattere tecnologico” aventi altresi' fini preventivi. In questo contesto il c.d. data retention assume un ruolo fondamentale, in quanto si trova ed esprimere il bilanciamento fra contrapposte esigenze: di tutela della privacy, della sicurezza, nonche' della necessita' di accertare e contrastare gravi forme di criminalita' che, in quanto realizzate tramite Internet o nel cyberspace, hanno natura congenitamente transnazionale.
De jure condito, il sistema penale, nel suo insieme, si trova a dover rispondere ad importanti quesiti, ancora aperti. Il Dr. Stefano Marcolini (Universita' dell’Insubria) trattera', in particolare, della tradizionale tecnica impiegata per proteggere alcuni (i piu' importanti) diritti fondamentali nella Costituzione italiana: la riserva di legge e quella di giurisdizione.
Passera' successivamente alla ricognizione delle Carte internazionali, traendo due conclusioni: la possibilita' di ricorrere a tale doppia garanzia tutte le volte che si abbia a che fare con un diritto fondamentale, anche non rientrante tra quelli espressamente protetti (il caso della riservatezza, art. 8 CEDU); l’opportunita' di prevedere una riserva di legge contenutistica e improntata al c.d. principio di proporzionalita' in materia di tutela dei diritti fondamentali. Da ultimo, discutera' della possibilita' di introdurre nel codice di rito penale una disciplina dell’atto di indagine atipico.
Il Dr. Roberto Flor (Universita' di Verona) trattera', in particolare, del c.d. data retention nel cloud scenario, partendo dalla disciplina europea e dalla sua attuazione in alcuni Stati, in specie in quelli dove le Corti Costituzionali hanno dichiarato l’incompatibilita' della disciplina interna rispetto ai principi espressi dalle Carte Costituzionali e dalle Convenzioni Internazionali. L’intervento individuera' alcuni standard elevati per la predisposizione di una norma basata su criteri generalmente condivisibili in Europa, nonche' alcune prospettive de jure condendo nel cloud scenario, considerando sia le problematiche relative alla “law applicable” che il ruolo del “cc service provider”.
La Dr.ssa Eleonora Colombo (Universita' dell’Insubria), partendo dal problema della disciplina del cd. data retention applicata alle banche dati, come trattato nella sentenza della Corte Europea dei Diritti dell’Uomo del 4 dicembre 2008 nel caso Marper v. United Kingdom, offrira' una panoramica sulle banche dati UE esistenti, con particolare attenzione alle modalita' di funzionamento, archiviazione e flusso dei dati verso le autorita' richiedenti.
L’intervento tendera' all’individuazione dei pro e dei contra di uno scenario “cloud” di gestione delle banche dati e soprattutto dei flussi di dati, nella prospettiva di sviluppo di forme di cooperazione piu' rapide ed efficienti, per la prevenzione e repressione della criminalita' transnazionale.
top

Alessio L.R. Pennasilico
Guardiamoci in faccia, nonostante le nuvole
I servizi cloud sono di certo una ottima occasione per poter gestire con costi contenuti i propri servizi di videoconferenza. Tuttavia potrebbero esistere "dettagli" sul fronte security non immediatamente evidenti agli utilizzatori.
top

Alessandro Rodolfi - Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali)
Il Diritto all’anonimato nella Societa' dell’Informazione
L’intervento presenta uno studio dell'anonimato nell’ordinamento giuridico italiano con particolare riferimento alla protezione dei dati personali (D.Lgs. n. 196/2003).
Nella “Societa' dell’Informazione” l’esponenziale aumento del valore delle informazioni stesse e la facilita' di identificazione dei soggetti attraverso l’utilizzo di nuove tecnologie rende l’anonimato un imprescindibile strumento di difesa della propria liberta' ancor prima che un esercizio, talvolta l’unico effettivamente possibile, del diritto alla protezione dei dati personali e della riservatezza.
top

Simone Bonavita - Studio legale Perani Pozzi Tavella
Il Cloud, tra contrattualistica e privacy
Gli addetti ai lavori – siano essi tecnici o giuristi – lamentano una carenza di norme atte a regolare il fenomeno del Cloud Computing. Alla effettiva carenza di norme imperative puo', tuttavia, sopperire una corretta regolamentazione contrattuale.
La problematica certamente più critica concerne il trattamento dei dati personali che può essere considerato lecito solo se effettuato nel rispetto dei criteri di liceità stabiliti dal Codice. Detta condizione può essere rispettata tramite la sottoscrizione di specifiche clausole che prevedano lecite modalita' del trattamento dei dati personali.
Una efficace gestione dei dati effettuata tramite sistemi Cloud non puo', pertanto, prescindere da una corretta normazione che definisca il perimetro della nuvola stessa.
top

Carlo Blengino, Monica A. Senor - avvocati penalisti, Foro di Torino
Le Procure nella nuvola: data retention e cloud forensics
La digital forensics subira' notevoli modifiche nel cloud computing; si ipotizza un incremento dell’utilizzo delle intercettazioni telematiche e delle ispezioni, che tuttavia sono mezzi di ricerca della prova molto piu' costosi ed impegnativi della classica analisi degli hardware proprietari. Ai fini dell’analisi forense diventeranno quindi sempre piu' preziosi i file di log di sistema ed i cd. meta-dati.
La normativa vigente sulla data retention (la cui direttiva di riferimento, 2006/24/CE, e' assai criticata sia dal WP 29 che dalle associazioni a tutela dei diritti civili) consegna su di un piatto d’argento agli investigatori prezioso materiale d’indagine, ma ha comunque un’applicazione limitata.
Ad essa si sono negli ultimissimi tempi affiancate procedure come la “quick freeze” che opera sulla base dell’art.16 della Convenzione di Budapest, proposte di “quick freeze plus” (quest’ultima avanzata in Germania ove la Corte Costituzionale Federale lo scorso anno ha annullato la legge tedesca di recepimento della direttiva per violazione dei diritti umani fondamentali) ed interventi legislativi ad hoc (come l’arrêt francese n.2011-291) che prevedono nuovi obblighi di retention ex lege in capo agli ISP.
Queste iniziative legislative, oltre a comportare l’ennesimo attacco alla privacy dei cittadini digitali in nome di esigenze di lotta al crimine ed al terrorismo, rappresentano un grande ostacolo al pieno sviluppo del cloud computing.
top

Tommaso Gagliardoni - Progetto Winston Smith
Negabilita' plausibile su disco: luci e ombre di Truecrypt
Digressione su alcuni sistemi di protezione dei dati nel proprio computer, attacchi legali e illegali alla propria riservatezza ed esempi pratici e teorici, con particolare enfasi sul software di cifratura Truecrypt. E tanta, tanta paranoia.
Spesso il furto di un laptop viene a costarci ben piu' del valore commerciale dell'oggetto fisico: i dati che quotidianamente vengono salvati nei nostri dispositivi digitali sono un tesoro da custodire gelosamente.
Questo tanto pi vero se siamo in possesso di informazioni sensibili, e se c'e' qualcuno che ha intenzione di impossessarsene con metodi piu' o meno legali - pensiamo a giornalisti in zone di guerra o in paesi a bassa democrazia, o a manager depositari di importanti segreti industriali.
Negli ultimi anni, inoltre, si sono moltiplicate discutibili azioni dei legislatori in varie parti del mondo atte a garantire l'accesso a informazioni riservate da parte dell'autorita', indipendentemente dalla volonta' del proprietario dei dati, e spesso per motivi che esulano dalla legittima necessita' del mantenimento della pubblica sicurezza. Sotto queste condizioni una tradizionale cifratura dei dati non sufficiente. La negabilita' plausibile (plausible deniability) un insieme di tecniche atte a fornire un alibi credibile nel caso in cui si venga costretti in qualche modo a dover rivelare un segreto.
Truecrypt un software opensource implementa la plausible deniability mediante la creazione di contenitori "nascosti" all'interno di un computer, ove poter immagazzinare informazioni riservate. Nonostante sia un software considerato sicurissimo e largamente usato, Truecrypt ha alcune limitazioni e alcuni lati oscuri di cui indispensabile essere informati per un utilizzo consapevole.
top

Primavera De Filippi - CERSA / CNRS – Universite' Paris II
Free as in Google: Cloud Computing e Liberta'
Il Cloud Computing si caratterizza dal fatto che la maggior parte dei dati o delle applicazioni sono salvati o condivisi su server gestiti da terzi. Dato che le risorse si stanno allontanando dagli utenti finali per dirigersi verso sistemi centralizzati governati da aziende di grandi dimensioni, e' diventato essenziale garantire una buona riservatezza dei dati e una maggiore sicurezza delle informazioni.
Non solo e' necessario sapere dove si trovano i dati, ma anche chi ci puo' accedere e come possono essere utilizzati. La difficolta' risiede nel fatto che, essendo il Cloud di natura internazionale, e' spesso difficile determinare la legge applicabile.
Lo spostamento del patrimonio informativo dai dispositivi degli utenti verso il “Cloud” ha portato a una serie di cambiamenti molto simili a quelli che si sono osservati dopo la rivoluzione industriale.
Mentre il Web 2.0 ha introdotto nuove opportunita' per gli utenti, consentendo loro di esprimersi e di sperimentare con nuovi modi di produzione di tipo collaborativo, l’avvento del Cloud Computing ha ridotto la capacita' (e la volonta') degli utenti a produrre con mezzi propri. La maggior parte dei mezzi di produzione (hardware, software, dati o informazione), cosi' come gli output di produzione (user-generated content), sono concentrati nelle mani dei grandi provider di servizi su Internet, che si avvalgono di un potere assoluto sul loro accesso e utilizzo.
Gli utenti si trovano spesso a dover sacrificare la loro privacy tramite accordi contrattuali per ottenere un servizio migliore ad un costo minore. Molti rinunciano volontariamente ai loro diritti in cambio di un servizio piu' attento e personalizzato. Altri, invece, rinunciano ai loro diritti e alla loro liberta' senza neanche rendersene conto.
top

Alessandro Mantelero - Politecnico di Torino
Cloud computing ed attivita' di impresa: la tutela dei dati personali ed aziendali
Il trattamento dei dati personali ad opera del fornitore dei servizi di cloud computing: l'organigramma del trattamento ed i rapporti con il fruitore del servizio. La localizzazione dei servizi di cloud computing e la connotazione transfrontaliera del trattamento. La sicurezza dei dati e delle informazioni aziendali.
La regolamentazione dei flussi di dati generati dal ricorso al cloud computing e' destinata ad assumere notevole rilievo, per le ricadute in termini organizzativi e di responsabilita' che ha sulle imprese.
Nello specifico, stante la natura dato-centrica della normativa sui dati personali, la diversita' soggettiva fra cliente e fornitore del servizio non comporta necessariamente l'autonomia degli stessi sul piano del trattamento dati, dovendosi guardare alle posizioni assunte in concreto dalle parti rispetto al trattamento dati.
Occorrera' dunque interrogarsi sulla qualificazione giuridica del fornitore dei servizi di cloud computing; in proposito, dalla disamina dei diversi profili operativi, pare potersi ravvisare nel rapporto fra gestore del cloud e cliente una relazione fra processor e controller, con precise ricadute in termini organizzativi, di gestione della sicurezza e di responsabilita'.
Considerata la delocalizzazione di molti servizi cloud, verra' altresi' posta attenzione alla disciplina dei flussi transfrontalieri di dati, con particolare riguardo all'impiego delle clausole-tipo approvate dalla Commissione Europea.
Da ultimo verra' esaminato il profilo inerente la sicurezza dei dati, tanto con riferimento alla perdita di controllo sulle informazioni che, in maggior o minor maniera, il ricorso al cloud computing implica, quanto con riguardo alle criticita' correlate ai possibili processi di concentrazione.
top

Paolo 'Aspy' Giardini - O.P.S.I - Osservatorio Privacy e Sicurezza Informatica
La privacy dei piccoli
Le Micro e mini imprese e gli "adempimenti privacy". La situazione sul campo a 14 anni dalla entrata in vigore della 675/96 ed a 7 anni dalla entrata in vigore della 196/2003. Riflessioni sulla applicazione della normativa privacy, sulla sua diffusione, sui risultati rispetto alle finalita' ed in definitiva, sulla sua opportunita' o meno in questo settore.
top

Simone Onofri
Anonymous for fun and profit
Partendo dalla comprensione delle informazioni che rilasciamo quando siamo on-line e off-line quali sono i metodi e gli accorgimenti tecnici e sociali che possiamo usare per essere anonimi.
"avrebbero potuto analizzare e mettere su carta, nei minimi particolari, tutto quello che s'era fatto, s'era detto e s'era pensato" - 1984
Il mercato dell'identita' - anonima o meno - e' molto variegato. C'e' chi ha fatto un business nella raccolta e analisi di informazioni e chi ha fatto, invece, un business sull'anonimita'.
Se la "paranoia e' una virtu'", quali sono le informazioni che rilasciamo piu' o meno consciamente anche solo quando siamo on-line oppure off-line? Quali gli effetti e i pericoli? Quali i metodi e gli accorgimenti che possiamo usare per controllare le nostre informazioni? Guidati dai testi degli Anonymous, partendo dal concetto di "identita'" e "identita' digitale" e da esempi tratti dalle operazioni che facciamo tutti i giorni, vedremo insieme i consigli e strumenti tecnici e non per l'anonimita' anche se programmi e configurazioni sono solo l’inizio di un atteggiamento "sociale" piu' profondo.
Anche la sola visita di una pagina web comporta un rilascio di informazioni personali a piu' soggetti, informazioni che partono dal dispositivo che utilizziamo e arrivano. E se quella pagina e' un social network, un negozio o ci permette di interagire in qualche modo con altre persone entrano in gioco una serie di fattori più sociali che tecnici.
top

Gianluca Moro - CloudUSB Project
Il controllo dei dati nel cloud
Si presenta un possibile approccio all'uso di tecnologie di storage distribuito, che unisca la comodita' di avere i dati disponibili ovunque, alla garanzia per l'utente della proprieta' e controllo sugli stessi.
Il progetto http://cloudusb.net fornisce un proof-of-concept dell'idea.
Lo sviluppo di tecnologie basate sul cloud-computing ha due risvolti fondamentali: la disponibilita' di dati e programmi ovunque ci si trovi e la perdita del controllo, della proprieta', della tracciabilita' sui propri dati.
Il primo punto rappresenta una grande comodita', tale che si tende a chiudere un occhio sul secondo, con grande gioia di chi tali dati li gestisce. Il progetto CloudUSB.net si propone come proof-of-concept di un approccio allo storage distribuito basato sul "Punto di controllo": i dati possono essere distribuiti a piacere in rete ma l'utente ne controlla l'accessibilita' e la sicurezza all'origine.
I programmi di gestione e quelli che garantiscono la sicurezza restano fisicamente in mano all'utente, memorizzati su una chiavetta USB con relativo sistema operativo.
L'ingombro di quanto si deve avere con se' e' minimo, ma avendo accesso ad un qualunque computer, si possono usare i propri dati ovunque ci si trovi. CloudUSB fornisce, in un dispositivo fisico molto comune, un punto di controllo che consente all'utente di mantenere la privacy dei propri dati, lasciando tuttavia la flessibilita' nell'uso di risorse di memorizzazione distribuite e facilmente accessibili da ogni luogo.
Nel caso di perdita del dispositivo (la chiave USB), il software garantisce comunque la sicurezza e privacy dei dati, e consente il loro recupero. Il progetto e' attivo all'indirizzo: http://cloudusb.net
top

Giovanni Ziccardi - Universita' degli Studi di Milano
Il leaking e la divulgazione di documenti riservati tra diritto, etica e tecnologia
Il leaking pone, contestualmente, problemi giuridici, etici e tecnologici. Il diritto si interessa al problema della rivelazione di documenti riservati, soprattutto provenienti da infrastrutture critiche. La tecnologia si occupa di garantire metodi i piu' sicuri possibili per la trasmissione e la divulgazione dei documenti. Un approccio interdisciplinare e' particolarmente interessante e, per alcuni versi, indispensabile.
In questo intervento si metteranno in luce i punti critici del sistema ma anche i vantaggi che un sistema simile puo' portare in qualsiasi sistema politico.
top

M. Morena Ragone, Giuseppe Santo Barile
L'utilizzo della PEC all'interno del processo civile telematico alla luce delle regole tecniche di cui al Decreto n. 44 del 21 febbraio 2011: quale privacy?
L'intervento intende fare luce sulle problematiche relative alla privacy nascenti dall'utilizzo delle comunicazioni mediante posta elettronica certificata in applicazione del Regolamento concernente le regole tecniche per l'adozione nel processo civile telematico delle tecnologie dell'informazione e della comunicazione, adottate dal Ministero con Decreto n. 44 del 21 febbraio scorso.
top

Stefano Turchi - Dip. Elettronica e Telecomunicazioni, Facolta' di Ingegneria, Universita' di Firenze
L’importanza della qualita' nel Web di Dati: modello di sicurezza e privacy per la gestione dell’e-profile
I recenti sviluppi del Web hanno messo in luce la grande convenienza nel riuso, aggregazione e pubblicazione di dati granulari utilizzabili dalle applicazioni per costruire contenuti significativi ed utili per l’utenza. Iniziative del calibro del Linked Data sostengono significativamente queste tendenze.
La possibilita' di aggregare “mattoni informativi” appartenenti a sorgenti eterogenee rappresenta il punto di forza di questo approccio perche' apre le porte ad un Web sempre piu' interconnesso, interoperabile ed espressivo sia per le macchine che per le persone.
Ad esempio, la gestione dell’e-profile costituisce un’esigenza concreta che avvalora l’importanza di (ri)usare e rendere interoperabili dati distribuiti nel Web che rappresentano le identita' di un utente.
Tuttavia esiste un’altra faccia della medaglia che riguarda la qualita' dei dati costruiti a partire da mattoni informativi che provengono da fonti incerte. InterDataNet (IDN) e' un’architettura Web nata proprio con lo scopo di aprire le porte dell’interconnessione e del riuso anche a quelle applicazioni che necessitano di trattare con dati sui quali devono essere garantite proprieta' come sicurezza, trust, privacy, provenance, licensing, versioning, availability, ecc...
In questa presentazione si illustra in particolare il modello di sicurezza e privacy adottato da IDN per la gestione dell’e-profile, un applicazione critica per quanto concerne la qualita' dei dati, focalizzandosi su autenticazione ed identificazione. Queste proprieta' sono abilitate all’interno dell’architettura di IDN per consentire ad un qualsiasi utente di beneficiare del livello di protezione e privacy a prescindere dall’applicazione utilizzata. Il progetto prevede la creazione di un sistema di autenticazione ed identificazione completamente distribuito e decentralizzato in cui il dato stesso sia in grado di auto proteggersi, sostenuto dall’architettura.
Il sistema utilizza un protocollo basato su OAuth2 per la gestione dell’autorizzazione e su OpenID2 per identificare le entita' coinvolte.
top

Alberto Cammozzo
Designed for democracy: pattern di interferenza tra codici giuridici e codici informatici nei recenti casi di censura online e offline
Il 2010 ha visto il confronto tra i poteri territoriali sovrani e quelli espressi da cittadini organizzati dotati di volonta' comune e di infrastrutture di comunicazione.
Le vicende Wikileaks e quelle delle rivoluzioni nordafricane hanno dimostrato quali possono essere le interferenze tra due poteri. Il dipanarsi delle mosse di attacco e difesa hanno messo in evidenza punti di forza e di debolezza dell'architettura della Rete e quindi –stando a Lessig– del suo codice.
Da una parte i governi hanno dimostrato una grande facilita' di esercitare censura e controllo (sia sugli individui che sulle infrastrutture). Dall'altra la facilita' di replicare e spostare dati rende inefficaci questi processi di controllo. I punti critici si sono rivelati quelli in cui gli spazi territoriali si incontrano con il cyberspace.
Dall'esperienza Wikileaks abbiamo appreso che ridondanza e policentrismo, ove possibili, hanno efficacemente combattuto la censura nel cyberspace. Le vicende Wikileaks e quelle nordafricane hanno mostrato invece che le strutture accentrate e legate al territorio sono quelle piu' soggette al controllo. Le scelte tecnologiche sull'architettura della rete che verranno effettuate oggi decideranno se quella di domani sara' disegnata per il controllo o per la democrazia.
top

Perla Conoscenza - Libero Sapere
Le Nuvole dell’Internet del futuro all’orizzonte: fra estrazione del lavoro degli utenti, oligopoli e controllo
I principi di Internet. Internet una rete storicamente determinata. Mutamento delle condizioni storiche. La fine dell'architettura distribuita e la concentrazione: il cloud computing. Il ruolo del Sapere. Il ritorno dei monopoli. Gli oligopolisti. La fine della neutralita' della rete e l'esempio del VoiP. La battaglia sulla neutralita' in USA e in Europa. E in Europa? Ci affidiamo alla trasparenza del mercato. Mediaset e Telecom.
Conclusioni e due esempi a margine:
Facebook offre di controllare l'identita' di chi scrive sui blog dei quotidiani.
Il consiglio EU: creazione di un "single secure EU cyberspace" e "virtual Schengen border" dove gli ISP devono bloccare contenuti e comunicazioni illecite.
Nel XXI secolo, i saperi e le conoscenze sono la risorsa chiave per l’egemonia politica e economica; per lo sviluppo e il controllo della societa'. e' in corso una battaglia globale per la recinzione e la trasformazione di queste risorse in merci, dalle quali alcuni oligopoli globali potranno avere un controllo totale sui nostri comportamenti e potranno estrarre profitti astronomici.
Elemento chiave di questa battaglia e' la profilazione dei comportamenti degli utenti, utilizzato sia per fini di business e marketing che di controllo politico, si basa sull’integrazione del lavoro volontario degli utenti delle “reti sociali” e dell’integrazione dei dati estratti dai device mobili e dalla triangolazione delle celle di comunicazione.
Le caratteristiche della rete internet che conosciamo non sono caratteristiche naturali delle reti, ma sono storicamente determinate e sono dovute al peculiare momento storico di 50 anni fa quando sono nati i presupposti di internet. Rassegnamoci quindi alla graduale sparizione di principi della rete, quali la net neutrality e la sua struttura distribuita della rete e prepariamoci all’internet del futuro: informazioni centralizzate in poche grandi nuvole oligopolistiche; discriminazione e controllo del traffico.
Un modello simile all’editoria del passato e ai broadcast televisivi, dove chi ha il controllo dell’ultimo miglio e dei cloud, in combutta con i governi, decide cosa puo' essere in rete e a quale costo. Dove i grandi attori lavorano alacremente per ricostruire frontiere e le barriere.
top

Andrea Orsi - A.ma.di.r - Alumni Master Diritto della Rete
ISO 27001 e cloud computing
Qual e' il significato della certificazione ISO 27001 per i fornitori di servizi cloud? Per l’utente puo' essere una discriminante per la scelta del provider?
Questi sono i quesiti principali a cui il nostro intervento risponde dal punto di vista dell’utente (business o customer) e del fornitore.
Quanto le nostre vite, o pezzi assemblabili di esse, si siano riversate nel web, e' palese a tutti. Una parola (web) per indicare una delicata catena in cui chi opera si propone spesso su una base autoreferenziale sfruttando, a volte, l’inconsapevolezza dell’utente.
E’ prassi di tutti utilizzare servizi web percepiti come gratuiti o barattati con un piccolo pezzo della nostra vita. La privacy e' moneta di scambio, un diritto vessabile, come se la sua intangibilita' la rendesse rigenerabile all’infinito.
Ma cosa comporta un’inevitabile sviluppo di una coscienza critica da parte dell’utente finale della Rete (business o customer)?
Nel mercato dei provider di servizi cloud un vantaggio competitivo sara' quello di uscire dall’autoreferenzialita', riuscire a portare le evidenze in chiave piu' oggettiva e misurabile possibile delle modalita' di trattamento dei dati di terzi, attraverso, per esempio, la certificazione ISO 27001:2005. Tale norma rappresenta lo standard internazionale per garantire l’integrita', la riservatezza e disponibilita' dei dati; in generale, la sicurezza del patrimonio informativo.
Questa e' la strada gia' intrapresa da opinion leader come Amazon ed annunciata da altri come Microsoft. La nostra presentazione pone in evidenza cosa comporti la conformita' alla norma ISO 27001 per i fornitori di servizi cloud e cosa significhi il bollino di certificazione.
top

Claudio Agosti - Progetto Winston Smith
Gruppi, strategie e software di contrasto alla data retention
La comunita' di Vorratsdatenspeicherung studia da anni elementi perche' la comunita' europea interrompa di legiferare pro-data retention.
In parallelo in Inghilterra, societa' storicamente piu' controllata, escono i primi dati sugli effetti lesivi del controllo.
Queste considerazioni come corollario del progetto SniffJoke, un software che dal punto di vista scientifico confonde le intercettazioni online, realizzato per essere facilmente usabile da un utente. Se quindi chiunque puo' renersi invisibile alle intercettazioni, perche' sostenere tali investimenti e tali rischi in materia di privacy ?
top

Monica Gobbato - Foro di Milano
L’introduzione del principio di Responsabilita' secondo il Gruppo dei Garanti Europei
La relazione intende offrire un’analisi del nuovo principio di Responsabilita' di prossima introduzione nella versione riveduta della direttiva europea 95/46. Si esamineranno le proposte del Gruppo riunito ai sensi dell’art. 29 per migliorare nella pratica l’efficacia delle misure di protezione dei dati personali gia' previste dalla direttiva e dalle leggi nazionali.
La relazione riguardera' il cosiddetto principio di Responsabilita' illustrato dai Garanti Europei riuniti ai sensi dell’art. 29 della direttiva 46/95. Il parere dei Garanti intende sviluppare il precedente contributo fornito sull’argomento dal Gruppo di lavoro sul futuro della privacy, gia' relazionato nell’ambito da e-privacy 2010, sempre dall’avv. Gobbato. Lo scopo del parere e' quello di assistere la Commissione Europea nella revisione della direttiva 95/46, attualmente in corso.
I Garanti si sono resi conto di quello che hanno definito l’“effetto diluvio”, cioe' un continuo aumento della quantita' di dati personali esistenti, elaborati e ulteriormente trasferiti. Questo fenomeno e' favorito sia dai progressi tecnologici, nel senso di sviluppo dei sistemi di informazione e di comunicazione, sia dalla crescente capacita' degli utenti di impiegare le tecnologie e interagire con esse. Con l’aumento della quantita' di dati trasferiti in tutto il mondo, aumentano di conseguenza anche i rischi di abuso.
Cio' considerato, il Gruppo ritiene che si debba introdurre un principio di responsabilita' nella versione riveduta della direttiva 46/95 in modo che i Titolari siano messi in grado di far funzionare meglio i principi sostanziali di protezione dei dati personali gia' esistenti. L’introduzione del principio di responsabilita' non rappresenta una grande novita' nel senso che non impone obblighi che non fossero gia' impliciti nella normativa vigente. In pratica la nuova disposizione non mira ad assoggettare i responsabili del trattamento a nuovi principi, ma piuttosto a garantire di fatto l’effettiva osservanza di quelli esistenti.
La relazione intende chiarire tutti questi aspetti fornendo l’ipotetico ma prossimo scenario giuridico e pratico sulla protezione dei dati personali.
top


Nessun commento:

Chi legge il mio blog - Blog Visitors