articolo di  Lorenzo Nicolao: www.corriere.it/tecnologia/22_dicembre_22/cos-e-il-wallet-digitale-europeo-che-potrebbe-arrivare-nel-2024-e-cosa-c-entra-con-spid-e-carta-di-identita-elettronica-c147384f-5b09-46c1-88a7-8fd0c90b1xlk.shtml?refresh_ce

Nel 2024 potrebbe debuttare un sistema di identità digitale comunitario, un portafoglio in cui far confluire tutte le informazioni. Un vecchio dibattito tra i vantaggi della condivisione dei dati e le regole ancora da definire

Continua a tenere banco il dibattito sul futuro dell’identità digitale Spid. In un’intervista al quotidiano La Stampa il ministro per la Pubblica amministrazione Paolo Zangrillo ha dichiarato che «non si può smontare con superficialità». L’obiettivo è «migliorare i servizi» e, ha aggiunto il ministro, bisogna tenere conto del fatto che il Parlamento europeo sta lavorando a un wallet comunitario: «Una sorta di portafoglio in cui far confluire tutte le informazioni, dal certificato di nascita agli estremi del passaporto e della firma digitale».

Ma di cosa si tratta?

Cos’è il wallet europeo – È un sistema comune di identità digitale è già da tempo oggetto di dibattito, con posizioni non sempre convergenti rispettivamente alla tecnologia da utilizzare, agli appalti da assegnare, alle regole da definire. La Commissione europea è convinta che il «wallet» possa essere lanciato nel 2024, ovvero nell’arco di due anni. L’obiettivo dell’organo esecutivo dell’Ue sarebbe quindi quello di fornire a ogni cittadino dei 27 Paesi Membri un’applicazione nella quale poter archiviare informazioni e documenti personali come la patente o la tessera sanitaria per interagire con uffici pubblici e imprese, relativamente ai dati richiesti e non oltre, a seconda dei casi. Laurea? Eccola. Data di nascita? Eccola. Ogni documento verrà digitalmente condiviso all’occorrenza, senza presentare problemi legati alla privacy. Il modello è quello del Green Pass ma, a dispetto del periodo caratterizzato dall’emergenza sanitaria, ora Bruxelles vorrebbe portare a compimento un progetto definitivo, che valga per qualsiasi necessità quotidiana.

Vantaggi e limiti – Lo sviluppo di tale piattaforma passerà da molteplici progetti pilota che saranno oggetto di una sperimentazione, per la quale si prevede una spesa che possa avvicinarsi ai 40 milioni di euro. Se da una parte sono inequivocabili i vantaggi in termini di alleggerimento della burocrazia e semplificazione dei processi all’interno delle Pa di qualsiasi Paese Ue, dall’altra gli standard e le specifiche tecniche dell’app sono ancora tutti da definire. Vanno reclutate le aziende attraverso le quali realizzare i portafogli digitali, serve un via libera per incassare una revisione del regolamento Eidas, quello relativo all’identificazione elettronica dei cittadini e, ultima ma non meno importante, la volontà politica di governi e relative aziende nella realizzazione dell’app, un traguardo che potrebbe richiedere uno slittamento dei tempi.

La posizione dell’Italia – Attualmente Spid è compatibile con il progetto, perché è richiesto un livello di garanzia differente: il «wallet» in termini di «level of assurance» sarebbe parificato a un documento come la carta d’identità, quindi il gradino più alto in termini di sicurezza dei tre considerati per questo genere di strumenti (per via del rilascio in presenza e di un chip crittografico sulla carta). Lo Spid è considerato un livello più in basso, perciò il sistema di identità digitale attualmente promosso e utilizzato potrebbe essere rimpiazzato. Per questo motivo l’Italia non si è finora schierata con il Consiglio Ue, perché «rischieremmo di buttare a mare tutti gli sforzi fatti con lo Spid», dicono da Infocert, autorità che ha erogato recentemente questo tipo di servizio. «Oltre 33 milioni di identità Spid non potranno confluire automaticamente nel wallet europeo». Tenuto conto delle divergenze di opinioni tra i vari stati che formano l’Unione, è probabile però che prima del debutto del nuovo strumento passeranno ancora diversi anni, nei quali lo Spid sarà comunque uno strumento valido per semplificare molti processi della Pubblica Amministrazione, anche se solo in Italia.

articolo: https://www.corriere.it/tecnologia/guide/cards/telecamere-wifi-casa-regole-seguire-privacy-attenzione-hacker/telecamere-wifi-agli-italiani-piacciono-sempre-di-piu_principale.shtml

Le videocamere per la sicurezza domestica senza fili sono sempre più diffuse: facili da installare, ricche di funzioni e a buon prezzo. Corrado Giustozzi, esperto di cybersicurezza: «Evitate i prodotti low cost, non danno garanzie su aggiornamenti e bug»

Telecamere wifi: agli italiani piacciono sempre di più – Secondo il 44% degli italiani, il primo motivo per acquistare un oggetto smart è ottenere una casa più sicura (lo dice il recente Osservatorio Internet of Things del Politecnico di Milano). Nel 2021 il mercato dei dispositivi per la smart security è cresciuto del 20% e le videocamere fanno la parte del leone. Capire perché non è difficile. Fino a qualche anno fa, creare un impianto di videosorveglianza era affare riservato ad aziende o privati facoltosi e con particolari esigenze di sicurezza. Si trattava di impianti filari, cioè con telecamere collegate via cavo, centraline di registrazione e necessità di gestire il materiale acquisito. Oggi è tutto diverso. Bastano poche decine di euro per acquistare una videocamera connessa o «Ip Camera» (Ip sta per protocollo Internet). 

Che cosa possono fare le Ip Camera

Aumentando il budget è possibile portarsi a casa occhi elettronici con ottiche ultra-definite e spesso super-grandangolari, capaci di vedere anche di notte con i sensori a infrarossi, installabili all’esterno perché impermeabili, dotati di batterie e di Sim integrate per fare a meno di corrente e wifi. Non solo. 
Ci sono modelli che sfruttano l’intelligenza artificiale per riconoscere i padroni di casa e allertare solo se il volto inquadrato è di uno sconosciuto. Inoltre, ci sono abbonamenti che, con pochi euro al mese, salvano sul cloud le registrazioni e mettono al riparo dal malintenzionato che decidesse di portarsi via la scheda di memoria integrata o l’intera Ip Camera. 
Qui trovate alcuni consigli per scegliere la giusta videocamera wifi. 
Tuttavia, prima di mettersi in casa questi oggetti è bene ragionare su un paio di aspetti. Il primo è la privacy. 

Videocamere wifi e privacy: le regole

Quali sono le regole per la privacy in Italia, parlando di videocamere wifi? È ovvio dire che le camere di sorveglianza sono strumenti invasivi: siamo in Europa e c’è il severo Gdpr (General Data Protection Regulation, il regolamento dell’Unione sulla protezione dei dati personali in vigore dal 2018). Tuttavia, il Gdpr non si applica a persone fisiche nell’ambito di attività a carattere esclusivamente personale o domestico, senza legami con attività professionali o commerciali. Insomma: niente burocrazia finché installi le Ip Camera all’interno di casa tua. Ma che cosa succede se in casa, oltre ai familiari, ci sono più o meno spesso anche dei dipendenti come la tata dei bambini, la colf, una badante? «Devono essere avvisati, in maniera chiara», ci spiegano dagli uffici del Garante per la Privacy, aggiungendo che ovviamente le telecamere non vanno installate in luoghi dove possono violare l’intimità, come i bagni.

Condominio e non solo: gli spazi comuni

L’altro aspetto delicato riguarda gli spazi comuni: se installo una Ip Camera che riprende anche ambienti condominiali come passaggi condominiali, corti con accesso condiviso o marciapiedi si perde il carattere «personale o domestico». È necessario esporre i cartelli «area videosorvegliata» (il Garante ha online un esemplare semplificato). E comunque vige il divieto di condividere i filmati, sui social, web o via app. 

Attento agli hacker

Il secondo aspetto critico di questi oggetti è proprio la sicurezza. Corrado Giustozzi, esperto di cybersecurity e partner di Rexilience, ricorda che i rischi sono connaturati a qualunque dispositivo connesso alla Rete ma che aumentano se si scommette sul risparmio estremo: «Ci sono oggetti molto economici, quasi sempre di provenienza orientale. Di fatto hanno dietro gli stessi, pochi, produttori, che non danno alcuna assistenza post-vendita e non aggiornano mai il firmware per correggere bug di sicurezza. Così ci si espone al rischio che qualcuno veda le nostre immagini o che queste camere connesse diventino “zombi” all’interno di Botnet, come già successo con il malware Mirai nel 2016». E aggiunge: «Il paradosso è che per avere maggior sicurezza si portano a casa nuove vulnerabilità. Meglio allora scegliere prodotti di marca, che garantiscano standard di sicurezza e un’assistenza dopo l’acquisto. E poi cambiare la password di default e non collegarle alla rete wifi principale ma a una “ospiti” o secondaria». Per il futuro, ricorda Giustozzi, attendiamo che arrivi a compimento l’iter (rallentato dalla pandemia) del Cybersecurity Act europeo, che imporrà ai produttori di certificare i loro dispositivi, un po’ come accade per il «bollino» energetico degli elettrodomestici. 

articolo di Andrea Nepori: https://www.repubblica.it/tecnologia/2022/06/30/news/rischio_ransomware_cinque_motivi_per_non_pagare_il_riscatto-355999174/

Cedere ai ricatti dei cybercriminali non è mai una buona idea: può portare ad attacchi ripetuti e soprattutto non garantisce in alcun modo il ripristino completo e sicuro dei dati. Ecco il parere degli esperti

Nel 2021 il numero di richieste di riscatto a seguito di attacchi ransomware è cresciuto del 144% a livello globale (dati Unit 42 / Paloalto Networks). Il trend è in rapida ascesa anche in Italia: nel primo trimestre del 2022 gli attacchi di questo tipo sono stati 554, contro i 448 dello stesso periodo.

Nel mese di giugno si sono registrati attacchi di alto profilo all’Università di Pisa, con una richiesta di riscatto di 4,5 milioni di dollari, e all’amministrazione del Comune di Palermo, che ha dovuto disattivare i propri sistemi in via precauzionale durante il weekend elettorale del 12 giugno. È di pochi giorni fa, inoltre, la rivendicazione di un attacco ransomware ad un’importante azienda italiana del settore IT, che si va a sommare ai 31 “incidenti” di sicurezza registrati a livello globale soltanto nell’ultima settimana.

In un attacco ransomware i malintenzionati non si limitano a sottrarre i dati dai sistemi colpiti ma procedono anche a cifrarli interamente o in parte. Per ottenere la chiave necessaria a decriptarli, alle vittime viene chiesto di pagare un riscatto (ransom, in inglese), solitamente in Bitcoin o con un’altra criptovaluta. I gruppi che conducono gli attacchi tendono a rivendicare pubblicamente i propri attacchi di maggior rilievo e spesso distribuiscono porzioni dei dati rubati con il duplice scopo di confermare l’attacco e di intimidire le aziende o le istituzioni colpite, spingendole a pagare. continua a leggere

articolo di Redazione LogIn: https://www.corriere.it/tecnologia/22_giugno_25/sardegna-attacco-hacker-regione-migliaia-file-dark-web-58fabeac-f45e-11ec-b8e3-7efcb86201c6.shtml

La Regione Sardegna ha subito un attacco informatico. Finiti nel dark web «dati personali dei dipendenti e degli utenti di alcune direzioni generali»

La Regione Sardegna ha subito un attacco informatico. Finiti nel dark web «dati personali dei dipendenti e degli utenti di alcune direzioni generali»

In totale, i dati sottratti pesano 155 Giga. Ci sono informazioni personali sui dipendenti, nonché sugli utenti «di alcune direzioni generali». Dati anagrafici, come la carta d’identità, numeri di cellulare, ma anche dati sanitari — il Green Pass per esempio — e sul proprio patrimonio. Un grosso bottino quello degli hacker che hanno attaccato la Regione Sardegna. L’atto cybercriminale è stato comunicato il 24 giugno, anche se — fa sapere la stessa istituzione — è avvenuto giorni prima, il 17 giugno.

I dati rubati dagli hacker — alla Regione ma anche a Enti locali e della Protezione Civile — sono poi finiti sul dark web. Ovvero quella parte «nascosta» del World Wide Web non raggiungibile attraverso i classici browser. continua a leggere

articolo di Andrea Monti: https://www.repubblica.it/tecnologia/blog/strategikon/2022/06/23/news/google_analytics_il_garante_e_i_buchi_del_gdpr-355165697/

Il provvedimento costituisce una sorta di Faq per capire se si può continuare o meno a utilzzare il sistema di conteggio del colosso Usa sul proprio sito

Il provvedimento del Garante dei dati personali appena reso noto con il quale è stato dichiarato illecito l’utilizzo di Google Analytics da parte di un’azienda evidenzia i “buchi” del Gdpr, il tentativo di tapparli a tutti i costi e l’incapacità (o la mancanza di volontà) di perseguire fino in fondo la scelta politica di tutelare la sovranità digitale europea.

L’INDAGINE: Per il Garante l’uso di Google Analytics viola le norme sulla privacy

Il provvedimento è efficace, almeno formalmente, nei confronti della sola azienda che è stata oggetto di verifica. In realtà, tuttavia, è applicabile in termini più generali quindi costituisce una sorta di Faq per capire se si può continuare o meno a utilzzare Google Analytics sul proprio sito.

Senza girarci attorno, la posizione del Garante italiano è esplicita: Google Analytics non si può usare perché il modo in cui è progettato il servizio consente alla autorità americane di accedere anche ai dati personali degli utenti europei e non ci sono “misure di sicurezza” che il cliente di Google possa utilizzare o pensare di imporre contrattualmente alla multinazionale statunitense. continua a leggere

articolo di Andrea Monti: Liberarsi dalla schiavitù degli analytics (di tutti gli analytics)

articolo di Andrea Monti: Google Analytics è illegale? La risposta in dieci domande (più una)

Andrea Monti: Avvocato, scrittore e studioso di High Tech Law. Si occupa di bioinformatica, diritto delle telecomunicazioni e delle tecnologie dell’informazione. Ha lavorato – e lavora – per strutture di ricerca, software house internazionali, operatori telefonici, internet provider, società internazionali di consulenza, gruppi bancari, gruppi editoriali e case editrici

Per il Garante l’uso di Google Analytics viola le norme sulla privacy

articolo: https://www.repubblica.it/tecnologia/2022/06/23/news/garante_privacy_google_analytics-355145369/

Da un’indagine è emerso che gestori dei siti web che utilizzano il servizio di Mountain View raccolgono, tramite l’uso di cookie, “informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti”

L’uso di Google Analytics da parte dei siti internet viola la normativa europea sulla protezione dei dati personali, perché questi dati vengono trasferiti e elaborati negli Stati Uniti. E’ quanto sostiene il Garante della privacy che ha pubblicato i risultati di un’istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee.

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, tramite l’uso di cookie, “informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti”. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti, Paese considerato poco attento alla tutela della Privacy degli utenti. continua a leggere

articolo di Arturo Di Corinto: https://www.repubblica.it/tecnologia/2022/06/24/news/rcs_lab_azienda_spyware_ios_android-355246174/

In un dettagliato report appena pubblicato i ricercatori di Alphabet e l’azienda di cybersecurity Lookout indicano in un triangolo tra Milano, Roma e Torino, l’origine della creazione e diffusione di uno spyware che arriva via SMS o attraverso download non autorizzati. Si chiama Rcs Lab

L’industria della sorveglianza sta crescendo a ritmi forsennati e questa tendenza dovrebbe preoccupare tutti gli utenti di Internet. Lo dicono a chiare lettere Benoit Sevens e Clement Lecigne in un dettagliato report dove i due ricercatori di Google denunciano l’uso di un software italiano per spiare gli utenti Apple e Android.

Nel rapporto, pubblicato giovedì, viene esplicitamente nominata l’italiana RCS Lab i cui strumenti sarebbero stati utilizzati per spiare smartphone di utenti in Italia e Kazakistan. La denuncia è rilanciata da una seconda ricerca pubblicata dall’azienda di cybersecurity Lookout secondo cui “Sulla base della nostre analisi, lo spyware che abbiamo chiamato ‘Hermit‘ è presumibilmente sviluppato dall’italiana RCS Lab e da Tykelab Srl, azienda che offre soluzioni di telecomunicazione e che sospettiamo operare come “front company“. Secondo Lookout il software di sorveglianza è stato usato dal governo kazako.

Secondo Lookout lo spyware su Android consente di registrare audio, di effettuare e reindirizzare chiamate telefoniche, raccogliere i registri delle chiamate, i contatti, le foto, posizione del dispositivo e messaggi SMS. Secondo i ricercatori di Google lo spyware è distribuito tramite messaggi WhatsApp ed SMS che fingono di provenire da una fonte legittima come società di telecomunicazioni o produttori di smartphone con la scusa di risolvere un problema di connettività e li reindirizzano a pagine di supporto scritte in italiano.

Come viene distribuito il makware – Per distribuire il malware in grado di realizzare le intercettazioni sugli iPhone pare che sia stato usato il certificato digitale dell’azienda torinese 3-1 mobile che abbiamo contattato per un commento. Per adesso si fanno due ipotesi, tutte da verificare: il certificato gli è stato rubato oppure c’è una collaborazione tra queste aziende.

Secondo Luca Sambucci, esperto di cybersecurity e intelligenza artificiale: “I certificati digitali sono un metodo per firmare il software da parte degli sviluppatori, affinché sia chiara l’origine. Nei maggiori sistemi operativi, far partire un software sprovvisto di firma digitale causerebbe il blocco all’esecuzione del programma e un avvertimento del sistema, cosa che in genere mette in allarme gli utenti. continua a leggere