Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on aprile 18, 2014

Portfolio

(No comments)

Tra gli articoli di rilievo sul tema Diritto & Internet comparsi nel corso della settimana si segnalano..

La Cassazione riconosce come reato di diffamazione un insulto su Facebook anche se privo del nome dell’offeso:

  • “Facebook, linea dura della Cassazione “Insulti anonimi sono diffamazione – Annullata l’assoluzione di un finanziere che aveva offeso un collega senza nominarlo: la reputazione è lesa se la vittima è riconoscibile anche da pochi”. [articolo su La Stampa]

Allarme Heartbleed:

  • “Il bug Heartbleed è in gran parte stato sanato, ma ci sono ancora più di 20.000 siti vulnerabili“. [articolo in inglese su Business Insider]
  • “In manette il primo cracker di Heartbleed”. [articolo su Il Sole 24 Ore]

Notizie dal Datagate:

  • Il botta e risposta tra Snowden e Putin. L’ex dipendente della Nsa ha partecipato a un dibattito televisivo russo, chiedendo esplicitamente a Putin se la Russia eseguisse operazioni di sorveglianza di massa”. [articolo su Wired]
  • “Nsa smentisce, non sapevamo del bug Heartbleed. Secondo alcune fonti lo avrebbe sfruttato per due anni”. [Articolo su ANSA]

L’attività di Google, è nuovamente motivo di preoccupazione in rete:

  • “Le email di Gmail verranno analizzate per favorire annunci pubblicitari mirati. Il 14 aprile Google ha aggiornato i suoi termini di servizio, informando gli utenti che tutte le loro email verranno analizzate automaticamente da un software per creare degli annunci pubblicitari mirati”.  [articolo su Internazionale]
  • “Axel Springer contro Google: «E’ un estorsore» - In una lettera aperta il ceo del gruppo editoriale tedesco, Mathias Doepfner: «Mountain View ci fa paura. Le big company troppo potenti». Ma presto la situazione si ribalterà: «La storia insegna che i monopoli non durano mai troppo a lungo»”. [articolo su Corriere delle Comunicazioni]

Il Consiglio d’Europa pubblica un documento che elenca i diritti degli utenti della rete:

  • “Quali sono i diritti dei navigatori? Ecco la guida online. A firma del Consiglio d’Europa il vademecum per orientarsi fra questioni spinose quali privacy, libertà d’espressione, contrattualistica”. [articolo su Corriere delle Comunicazioni]

Buona lettura e buone festività pasquali!

Share
Con la pubblicazione nella Gazzetta Ufficiale, Serie Generale, n. 89 del 16 aprile 2014, della circolare AGID n. 65 del 2014, entrano in vigore le nuove regole per l’accreditamento dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici.
La circolare è stata illustrata su questo blog nel post del 17 aprile 2014.
Share

L’Agenzia per l’Italia Digitale ha adottato la circolare n. 65 del 10 aprile 2014, “Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’art. 44 bis, comma 1° del decreto legislativo 7 marzo 2005, n. 82”.

La circolare, che sostituisce la precedente circolare DigitPA n. 59 del 2011, definisce le modalità per l’accreditamento presso l’Agenzia e per la vigilanza dei soggetti che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi (art. 44 bis, comma 1° del CAD).

Confrontiamo la nuova circolare con la precedente circolare DigitPA n. 59 del 2011.

Ad un primo confronto, la circolare n. 65 del 2014 non si discosta dalla precedente in relazione agli elemnti essenziali.

I requisiti generali per chiedere l’accreditamento sono rimasti identici ad eccezione dell’evidente riferimento alle regole tecniche in materia di conservazione di recente entrata in vigore (d.p.c.m. 3 dicembre 2013).

Anche i requisiti ulteriori, di natura organizzativa, richiesti nel caso in cui il conservatore sia un soggetto privato non hanno subito modifiche.

Una novità è costituita dalla possibilità attribuita al conservatore di affidare ad un altro conservatore accreditato le attività di supporto del processo di conservazione “limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati”. In questo caso, il manuale della conservazione dovrà descrivere le modalità con cui avviene detto affidamento e il conservatore deve fornire (si ritiene all’AGID) copia del relativo contratto.

Identiche, rispetto alla precedente circolare, sono le modalità di presentazione della domanda e identici gli elementi che dalla domanda devono risultare.

Anche l’iter istruttorio della domanda è rimasto identico al passato ad eccezione di un elemento di dettaglio relativo al termine di sospensione di novanta giorni per il silenzio assenso da parte dell’Agenzia. Se in precedenza, in caso di sospensione, la documentazione doveva essere integrata entro sessanta giorni dalla data di sospensione, attualmente il termine è stato esteso a centottanta.

È stato specificato, inoltre, che l’Agenzia svolge la sua attività istruttoria sulla base di un documento pubblicato sul sito istituzionale della Agenzia e denominato “Requisiti di qualità e sicurezza per l’accreditamento”. Ciò, evidentemente, attesta la volontà di assicurare una maggiore trasparenza nella procedura.

La nuova circolare specifica le informazioni che sono pubblicate sul sito istituzionale dell’Agenzia rispetto ai conservatori accreditati.

Maggiormente dettagliata, inoltre, rispetto alla precedente circolare risulta l’attività di vigilanza condotta dall’Agenzia e gli obblighi in capo ai conservatori accreditati di costante comunicazione di eventi idonei a modificare l’impianto e di certificazioni idonei ad attestare il rispetto della normativa.

Di immediato rilievo, infine, appare la disposizione che impone ai conservatori che avevano presentato la domanda di accreditamento, ai sensi della precedente circolare, di integrare la precedente comunicazione entro centottanta giorni dalla data di pubblicazione in Gazzetta Ufficiale.

Pubblicazione in Gazzetta Ufficiale di cui ad oggi si è in attesa.

Share

Heartbleed.svgIn considerazione dell’allarme diffuso dalla stampa sul bug Heartbleed, forniamo qui, a beneficio dei lettori, le principali cose da sapere sul “baco”, sui suoi effetti e sulle misure di sicurezza da adottare.

Cos’è Heartbleed?

Il bug Heartbleed (in italiano traducibile con “cuore che sanguina”) è una vulnerabilità informatica individuata nella library crittografica di Open SLL, che è l’implementazione open source del protocollo TLS normalmente impiegato per garantire una comunicazione sicura in rete, dalla sorgente al destinatario.

La vulnerabilità rilevata può permettere a terzi di intercettare le comunicazioni scambiate attraverso i protocolli di criptazione che, in condizioni normali, proteggono le informazioni scambiate su applicazioni internet quali email, instant messaging (IM) e alcune virtual private networks (VPNs). Il bug scoperto mette a repentaglio la sicurezza di queste comunicazioni.

Heartbleed può permettere a chiunque di accedere alla memoria dei sistemi protetti attraverso le versioni vulnerabili del software OpenSLL. In questo modo vengono compromessi i codici segreti usati per identificare i service provider e per criptare il traffico, i nomi e le password degli utenti. Attraverso queste informazioni terze parti possono accedere ai dati direttamente dai servizi e degli utenti, rubando la loro “identità digitale”.

Qual è la particolarità di questo bug?

A differenza dei consueti bug dei singoli software, Heartbleed è responsabile di una vulnerabilità diffusa su molte applicazioni internet, e per lungo tempo ha lasciato aperto un varco di accesso ad un’enorme quantità di dati.

Chi ne è maggiormente colpito?

OpenSSL è la libreria criptografica open source più diffusa in rete. Pertanto si può dire che direttamente o indirettamente qualunque utente di internet può essere vittima della vulnerabilità del bug. Social media, siti di e-commerce, network aziendali, siti istituionali:  moltissimi servizi online utilizzano il protocollo TLS per l’identificazione e per proteggere la privacy e le transazioni degli utenti. Inoltre è possibile che sul computer degli utenti siano installati client side software che potrebbero esporre i dati archiviati sul computer quando si connettono a servizi compromessi.

È possibile scoprire se si è subito un attacco attraverso il bug?

No. Lo sfruttamento della vulnerabilità Heartbleed non lascia tracce e non è possibile sapere se si è stati oggetto di attacchi.

È stato riparato il bug?

Sì. Una versione riparata di OpenSLL è stata rilasciata il 7 Aprile 2014, lo stesso giorno in cui è stata pubblicamente annunciata la scoperta del bug. In quel momento è stato stimato che il 17% degli Internet’s secure web servers fosse vulnerabile ad eventuali atacchi. Attualmente non è stimato il numero di provider che hanno già aggiornato il proprio Open SLL.

Come ci si difende?

Cambiare le password dei propri account sembra ad oggi l’unica mossa difensiva in capo ai singoli utenti. Tuttavia, potrebbe non essere abbastanza. È infatti recentemente emerso che sfruttando la falla è possibile rubare i certificati di sicurezza che stabiliscono l’autenticità di un sito. In una simile eventualità cambiare le password sarà inutile perché le nuove password sarebbero trasmesse direttamente a criminali informatici che fingono di essere i legittimi siti.

Importante anche aggiornare le ultime versioni disponibile di software e sistemi operativi di computer, tablet e smartphone, in particolare la versione del sistema operativo Google Android 4.1.1.

Per controllare se i siti che visitiamo hanno rimediato alla vulnerabilità è possibile utilizzare un “checker” come quello rilasciato dalla McAfee (disponibile QUI).

Seguiranno aggiornamenti su ulteriori sviluppi.

Share

Regolamento sulla conservazione, Regolamento IVASS e Regolamento eIDAS in materia di identificazione online e servizi fiduciari. In questo video, Giusella Finocchiaro illustra le ultime novità in materia di digitalizzazione.



Share

Il quotidiano Lettera43 ha recentemente intervistato Giusella Finocchiaro sul tema delle recensioni negative anonime su Tripadvisor. Vi proponiamo un estratto dell’articolo.

tripadvisor

[...] In Italia, la levata di scudi di commercianti e imprenditori è sempre più compatta: da Federalberghi, che in una nota ha parlato di «vera emergenza», a causa di «illeciti capaci di turbare il lavoro degli operatori turistici con ricatti e paure», all’associazione Sos albergatori, che con l’applicazione Pirtadvisor provano a smascherare le recensioni ingannevoli, fino a quelli diventati aperti oppositori del portale Usa, tanto da esporre all’entrata del locale un cartello inequivocabile: «Qui non si accettano utenti di TripAdvisor».
Il problema, dibattuto da anni, è innanzitutto giuridico: il decreto legislativo 70/2003 (concepito in attuazione della direttiva europea 2000/31/Ce) prescrive che il titolare del servizio sul web non è responsabile delle informazioni inviate da un utente, a meno che non sia a conoscenza del fatto che l’attività o l’informazione è illecita, o che qualora a conoscenza di tali fatti, su richiesta del giudice, non agisca subito per rimuovere le informazioni o per inibirne l’accesso.
È per questo che TripAdvisor o altri siti simili non hanno l’obbligo di verificare l’identità di chi scrive o le informazioni riportate, e dunque «l’unica tutela possibile è quella a reato già avvenuto: chiedere la rimozione della recensione, direttamente o tramite il proprio legale, e il risarcimento del danno», spiega a Lettera43.it Giusella Finocchiaro, avvocatessa e docente di Diritto di internet all’Università di Bologna, e che dal 2003 studia la privacy e l’anonimato in rete, «o agire in giudizio, anche in caso di diffamazione o lesione del diritto all’identità personale»

Continua su Lettera 43

Share

Il 3 aprile 2014 la sessione plenaria del Parlamento Europeo ha approvato la proposta di regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

Il regolamento mira a realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione Europea degli strumenti elettronici di identificazione, autenticazione e firma.

Il testo con emendamenti è disponibile QUI.

La proposta di regolamento era stata adottata dalla Commissione Europea il 4 giugno 2012.

Il regolamento rappresenta il primo passo per l’attuazione degli obiettivi della Task Force Legislation Team (eIDAS) istituita dalla Commissione al fine di fornire un contesto normativo comune per l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno. L’obbiettivo è quello di aumentare la comodità d’uso, l’affidabilità e la fiducia nel mondo digitale.

La Prof. Giusella Finocchiaro ha dedicato un approfondimento sul regolamento in un post disponibile QUI.

Share

L’Istituto per la Vigilanza sulle Assicurazioni reso disponibile per la fase di consultazione pubblica lo schema di Regolamento concernente la definizione delle misure di semplificazione delle procedure e degli adempimenti nei rapporti contrattuali tra imprese di assicurazioni, intermediari e clientela.

Lo schema di regolamento dà attuazione all’articolo 22, comma 15 bis, del decreto legge 18 ottobre 2012, n.179 recante “Ulteriori misure urgenti per la crescita del Paese” convertito, con modificazioni, nella legge 17 dicembre 2012, n. 221.

Il regolamento sottoposto a consultazione prevede, in riferimento al ramo assicurativo danni, alla definizione di misure di semplificazione delle procedure burocratiche, in un’ottica di riduzione degli adempimenti cartacei e della modulistica, nei rapporti contrattuali fra imprese d’assicurazione, intermediari e clientela.

In particolare, l’intervento normativo è volto a favorire l’utilizzo della posta elettronica certificata, la firma digitale, la firma elettronica avanzata e i pagamenti elettronici e online.

Eventuali commenti e proposte possono essere inviate all’IVASS entro il 22 aprile 2014 al seguente indirizzo di posta elettronica: semplificazioni@ivass.it

Al termine della fase di consultazione sul sito dell’Istituto saranno pubblicate le osservazioni pervenute, con indicazione del mittente (fatta eccezione per i dati e le informazioni per i quali il mittente stesso richieda la riservatezza, motivandone le ragioni) e le conseguenti risoluzioni dell’Istituto.

Share

Google ha pagato una sanzione di 1 milione di euro applicata dal Garante privacy per il servizio Street View. La sanzione rislae al 18 dicembre 2013 ma è stata resa nota solo recentemente.

I fatti contestati risalgono al 2010 quando il Garante per la Protezione dei dati è intervenuto in seguito a numerose segnalazioni di cittadini che lamentavano di essere stati fotografati dalle macchine del servizio Google Street View senza il loro conosenso. In quel periodo, infatti, le auto di Mountain View circolavano in Italia senza essere perfettamente riconoscibili e non consentendo, quindi, alle persone presenti nei luoghi percorsi di decidere se sottrarsi o meno alla “cattura” delle immagini.

Il 15 ottobre 2010 il Garante ha prescritto a Google di rendere le sue vetture facilmente individuabili, attraverso cartelli o adesivi ben visibili, e di pubblicare sul proprio sito web, tre giorni prima dell’inizio delle riprese, l’elenco delle località visitate dalle Google car, stabilendo che per le grandi città fosse necessario indicare i quartieri in cui circolano le vetture. L’Authority ha inoltre ordinato che la medesima segnalazione debba essere pubblicata da Google sulle pagine di almeno due quotidiani locali e la notizia debba essere diffusa da almeno un’emittente radio per ogni regione visitata. Le misure sono state tempestivamente adottate da Google.

Il procedimento sanzionatorio si è ora concluso con un’ordinanza di ingiunzione in cui il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria di un milione di euro. La cifra è stata stabilita in considerazione del fatto che i dati raccolti illecitamente erano destinati a confluire all’interno di una grande banca dati di particolare rilevanza, quale è sicuramente quella del servizio Street View.

Nel determinare la cifra  il Garante ha deciso di avvalersi della norma del Codice privacy che mira a rendere effettive le sanzioni quando sono dirette a soggetti di notevoli dimensioni economiche.

A quanto si apprende, Google avrebbe già pagato la sanzione.

Share

ehealthL’Agenzia per l’Italia digitale ha pubblicato le linee guida per la presentazione dei piani di progetto regionali per la realizzazione del fascicolo sanitario elettronico (FSE).

Il documento definisce le modalità per la compilazione e la presentazione dei progetti che dovranno essere presentati dalle Regioni e dalle Provincie Autonome entro il 30 giugno 2014. I progetti potranno essere inviati esclusivamente online.

Con la pubblicazione delle linee guida si dà inizio al processo che porterà all’attivazione del FSE presso tutte le Regioni e le Province Autonome entro il 30 giugno 2015, come previsto dalle modifiche introdotte al D.L. n. 179/2012 (Decreto “Crescita 2.0″) con il D.L. n.69/2013 (Decreto “del fare”).

Le linee guida sono destinate alle Regioni e alle Province Autonome e sono il risultato dell’analisi tecnica, normativa e procedurale svolta dal Tavolo tecnico, coordinato dall’Agenzia per l’Italia Digitale e dal Ministero della salute, con rappresentanti del Ministero dell’economia e delle finanze, delle Regioni e Province Autonome, nonchè dal Consiglio Nazionale delle Ricerche e del CISIS (Centro Interregionale per i Sistemi Informatici, Geografici e Statistici).

Le linee guida sono disponibili QUI.

Sono disponibili le Linee guida per la presentazione dei piani di progetto regionali per la realizzazione del fascicolo sanitario elettronico (FSE).

Le Linee guida costituiscono il risultato del lavoro congiunto svolto dal Tavolo tecnico appositamente costituito, coordinato dall’Agenzia per l’Italia Digitale e dal Ministero della salute, nel quale sono stati coinvolti attivamente i rappresentanti delle Regioni, del Ministero dell’economia e delle finanze e il CNR, per analizzare gli aspetti tecnici, normativi e procedurali e disegnare gli scenari di riferimento nella progettazione dell’intervento.

Le linee guida, che oltre a fornire istruzioni per la compilazione e la presentazione dei progetti individuano anche alcuni primi indicatori di monitoraggio sullo stato di avanzamento dei lavori, sono destinate alle Regioni e alle Province Autonome, che dovranno predisporre e presentare i propri progetti regionali per la realizzazione del FSE entro il 30 giugno 2014.

Si dà inizio così al primo intervento per mettere a punto in tutte le Regioni soluzioni di FSE, nei tempi previsti dalla norma (il decreto “Crescita 2.0” n.179/2012) e rispettando pienamente l’accelerazione imposta dal decreto Fare (n.69/2013), che impone alla realizzazione della misura una tempistica stringente. Per questo, si è posta particolare attenzione alla coerenza e all’interoperabilità delle soluzioni scelte: tenendo conto del diverso livello di sviluppo delle iniziative sul FSE già avviate nelle varie Regioni, ciascuna potrà optare per la soluzione migliore per avviare o completare, se già in corso, gli interventi necessari a rendere disponibile a tutti i cittadini il FSE, nei tempi di attivazione previsti dalla norma (30 giugno 2015).

La progettazione condivisa dell’intervento per il FSE disegna una nuova frontiera per poter offrire servizi sanitari di qualità crescente ai cittadini, basati su interventi ad alto tasso di digitalizzazione, ma al contempo in grado di garantire un elevato grado di riservatezza, sicurezza e affidabilità.

Le amministrazioni regionali potranno cogliere l’opportunità offerta dall’intervento nel suo complesso per avviare processi di razionalizzazione dei centri di elaborazione territoriali e per ottimizzare più in generale le risorse informative e tecnologiche di cui dispongono. L‘obiettivo è quello di arrivare ad un vero e proprio “ecosistema digitale” per il FSE in cui cittadini, medici e strutture possano trovare, sia pure con le specificità che ogni territorio avrà stabilito di sviluppare, dati e servizi utili alla collettività.

- See more at: http://www.agid.gov.it/notizie/fascicolo-sanitario-elettronico-online-le-linee-guida-i-piani-progetto#sthash.M5XqApIh.dpuf

Share