Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il 22 aprile 2014 il Marco Civil, la “costituzione di Internet” del Brasile, è stata definitivamente approvata dal Senato Brasiliano. La legge che regola i diritti e i doveri degli utenti della rete è stata firmata dal presidente Dilma Rousseff in apertura della conferenza “NetMundial”, un evento di due giorni dedicato alla governance mondiale della rete.

Dopo cinque anni di lavori viene approvata a San Paolo la normativa che protegge la privacy, la libertà di espressione e garantisce la net neutrality. E proprio in relazione alla net neutrality la Carta dei diritti di Internet brasiliana è considerata dagli attivisti delle libertà civili come un documento rivoluzionario nella storia di Internet. La norma impedirà infatti alle compagnie di telecomunicazione di istituire canali preferenziali di accesso alla banda ad appannaggio di alcuni servizi e a discapito di altri, una tendenza emergente nelle nuove strategie commerciali dei provider di connettività di tutto il mondo.

L’iter della legge ha subito un’accelerazione in seguito alle rivelazioni di Edward Snowden, dalle quali è emerso che gli Stati Uniti monitoravano le comunicazioni della Presidente Rousseff. Sul fronte del datagate, tuttavia, la legge brasiliana si rivela essere meno incisiva di quanto sembrasse al momento della sua prima formulazione. Infatti una delle più dibattute novità contenute nella proposta di legge, l’idea di impedire l’archiviazione di dati di cittadini brasiliani su server collocati all’estero, è stata eliminata dal testo della norma prima dell’approvazione in Senato.

In virtù della rimozione di questa proposta, è stato rafforzato un altro articolo della normativa, che prevede che le compagnie che raccolgono dati degli utenti generati in Brasile debbano sottostare alle regole sulla protezione dei dati del governo brasiliano, a prescindere dal luogo dove sono collocati i server su cui vengono archiviate le informazioni.

Il Marco Civil contiene anche prescrizioni contro l’attribuzione di responsabilità degli intermediari, sancendo che i provider non sono responsabili del contenuto pubblicato online dagli utenti, un tema da anni dibattuto in Europa su cui il Brasile ancora non aveva legiferato. Secondo la nuova normativa, i fornitori disrvizi saranno ritenuti responsabili per i contenuti di terzi solo se non provvederanno alla rimozione del materiale in seguito ad un’ordinanza di un tribunale.

A quanto si apprende dalla stampa, il momento della firma presidenziale della legge è stato accolto con applausi e grida dal pubblico di NetMundial, composto da esperti e rappresentanti delle principali compagnie mondiali della rete.

In un intervento che ha preceduto di poco la firma della Rouseff l’inventore del World Wide Web Tim Berners-Lee ha espresso l’auspicio che altri governi seguano l’esempio del Brasile e si uniscano nella firma della carta, definita come un fantastico esempio di come i governi possono giocare un ruolo positivo nell’avanzamento dei diritti civili su Internet e nel mantenimento di una rete aperta.

Dopo l’intervento della Presidente anche la Commissaria Europea Neelie Kroes ha espresso il suo entusiasmo definendo il Marco civil come “una festa”.

Share

posted by admin on aprile 18, 2014

Portfolio

(No comments)

Tra gli articoli di rilievo sul tema Diritto & Internet comparsi nel corso della settimana si segnalano..

La Cassazione riconosce come reato di diffamazione un insulto su Facebook anche se privo del nome dell’offeso:

  • “Facebook, linea dura della Cassazione “Insulti anonimi sono diffamazione – Annullata l’assoluzione di un finanziere che aveva offeso un collega senza nominarlo: la reputazione è lesa se la vittima è riconoscibile anche da pochi”. [articolo su La Stampa]

Allarme Heartbleed:

  • “Il bug Heartbleed è in gran parte stato sanato, ma ci sono ancora più di 20.000 siti vulnerabili“. [articolo in inglese su Business Insider]
  • “In manette il primo cracker di Heartbleed”. [articolo su Il Sole 24 Ore]

Notizie dal Datagate:

  • Il botta e risposta tra Snowden e Putin. L’ex dipendente della Nsa ha partecipato a un dibattito televisivo russo, chiedendo esplicitamente a Putin se la Russia eseguisse operazioni di sorveglianza di massa”. [articolo su Wired]
  • “Nsa smentisce, non sapevamo del bug Heartbleed. Secondo alcune fonti lo avrebbe sfruttato per due anni”. [Articolo su ANSA]

L’attività di Google, è nuovamente motivo di preoccupazione in rete:

  • “Le email di Gmail verranno analizzate per favorire annunci pubblicitari mirati. Il 14 aprile Google ha aggiornato i suoi termini di servizio, informando gli utenti che tutte le loro email verranno analizzate automaticamente da un software per creare degli annunci pubblicitari mirati”.  [articolo su Internazionale]
  • “Axel Springer contro Google: «E’ un estorsore» - In una lettera aperta il ceo del gruppo editoriale tedesco, Mathias Doepfner: «Mountain View ci fa paura. Le big company troppo potenti». Ma presto la situazione si ribalterà: «La storia insegna che i monopoli non durano mai troppo a lungo»”. [articolo su Corriere delle Comunicazioni]

Il Consiglio d’Europa pubblica un documento che elenca i diritti degli utenti della rete:

  • “Quali sono i diritti dei navigatori? Ecco la guida online. A firma del Consiglio d’Europa il vademecum per orientarsi fra questioni spinose quali privacy, libertà d’espressione, contrattualistica”. [articolo su Corriere delle Comunicazioni]

Buona lettura e buone festività pasquali!

Share
Con la pubblicazione nella Gazzetta Ufficiale, Serie Generale, n. 89 del 16 aprile 2014, della circolare AGID n. 65 del 2014, entrano in vigore le nuove regole per l’accreditamento dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici.
La circolare è stata illustrata su questo blog nel post del 17 aprile 2014.
Share

L’Agenzia per l’Italia Digitale ha adottato la circolare n. 65 del 10 aprile 2014, “Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’art. 44 bis, comma 1° del decreto legislativo 7 marzo 2005, n. 82”.

La circolare, che sostituisce la precedente circolare DigitPA n. 59 del 2011, definisce le modalità per l’accreditamento presso l’Agenzia e per la vigilanza dei soggetti che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi (art. 44 bis, comma 1° del CAD).

Confrontiamo la nuova circolare con la precedente circolare DigitPA n. 59 del 2011.

Ad un primo confronto, la circolare n. 65 del 2014 non si discosta dalla precedente in relazione agli elemnti essenziali.

I requisiti generali per chiedere l’accreditamento sono rimasti identici ad eccezione dell’evidente riferimento alle regole tecniche in materia di conservazione di recente entrata in vigore (d.p.c.m. 3 dicembre 2013).

Anche i requisiti ulteriori, di natura organizzativa, richiesti nel caso in cui il conservatore sia un soggetto privato non hanno subito modifiche.

Una novità è costituita dalla possibilità attribuita al conservatore di affidare ad un altro conservatore accreditato le attività di supporto del processo di conservazione “limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati”. In questo caso, il manuale della conservazione dovrà descrivere le modalità con cui avviene detto affidamento e il conservatore deve fornire (si ritiene all’AGID) copia del relativo contratto.

Identiche, rispetto alla precedente circolare, sono le modalità di presentazione della domanda e identici gli elementi che dalla domanda devono risultare.

Anche l’iter istruttorio della domanda è rimasto identico al passato ad eccezione di un elemento di dettaglio relativo al termine di sospensione di novanta giorni per il silenzio assenso da parte dell’Agenzia. Se in precedenza, in caso di sospensione, la documentazione doveva essere integrata entro sessanta giorni dalla data di sospensione, attualmente il termine è stato esteso a centottanta.

È stato specificato, inoltre, che l’Agenzia svolge la sua attività istruttoria sulla base di un documento pubblicato sul sito istituzionale della Agenzia e denominato “Requisiti di qualità e sicurezza per l’accreditamento”. Ciò, evidentemente, attesta la volontà di assicurare una maggiore trasparenza nella procedura.

La nuova circolare specifica le informazioni che sono pubblicate sul sito istituzionale dell’Agenzia rispetto ai conservatori accreditati.

Maggiormente dettagliata, inoltre, rispetto alla precedente circolare risulta l’attività di vigilanza condotta dall’Agenzia e gli obblighi in capo ai conservatori accreditati di costante comunicazione di eventi idonei a modificare l’impianto e di certificazioni idonei ad attestare il rispetto della normativa.

Di immediato rilievo, infine, appare la disposizione che impone ai conservatori che avevano presentato la domanda di accreditamento, ai sensi della precedente circolare, di integrare la precedente comunicazione entro centottanta giorni dalla data di pubblicazione in Gazzetta Ufficiale.

Pubblicazione in Gazzetta Ufficiale di cui ad oggi si è in attesa.

Share

Heartbleed.svgIn considerazione dell’allarme diffuso dalla stampa sul bug Heartbleed, forniamo qui, a beneficio dei lettori, le principali cose da sapere sul “baco”, sui suoi effetti e sulle misure di sicurezza da adottare.

Cos’è Heartbleed?

Il bug Heartbleed (in italiano traducibile con “cuore che sanguina”) è una vulnerabilità informatica individuata nella library crittografica di Open SLL, che è l’implementazione open source del protocollo TLS normalmente impiegato per garantire una comunicazione sicura in rete, dalla sorgente al destinatario.

La vulnerabilità rilevata può permettere a terzi di intercettare le comunicazioni scambiate attraverso i protocolli di criptazione che, in condizioni normali, proteggono le informazioni scambiate su applicazioni internet quali email, instant messaging (IM) e alcune virtual private networks (VPNs). Il bug scoperto mette a repentaglio la sicurezza di queste comunicazioni.

Heartbleed può permettere a chiunque di accedere alla memoria dei sistemi protetti attraverso le versioni vulnerabili del software OpenSLL. In questo modo vengono compromessi i codici segreti usati per identificare i service provider e per criptare il traffico, i nomi e le password degli utenti. Attraverso queste informazioni terze parti possono accedere ai dati direttamente dai servizi e degli utenti, rubando la loro “identità digitale”.

Qual è la particolarità di questo bug?

A differenza dei consueti bug dei singoli software, Heartbleed è responsabile di una vulnerabilità diffusa su molte applicazioni internet, e per lungo tempo ha lasciato aperto un varco di accesso ad un’enorme quantità di dati.

Chi ne è maggiormente colpito?

OpenSSL è la libreria criptografica open source più diffusa in rete. Pertanto si può dire che direttamente o indirettamente qualunque utente di internet può essere vittima della vulnerabilità del bug. Social media, siti di e-commerce, network aziendali, siti istituionali:  moltissimi servizi online utilizzano il protocollo TLS per l’identificazione e per proteggere la privacy e le transazioni degli utenti. Inoltre è possibile che sul computer degli utenti siano installati client side software che potrebbero esporre i dati archiviati sul computer quando si connettono a servizi compromessi.

È possibile scoprire se si è subito un attacco attraverso il bug?

No. Lo sfruttamento della vulnerabilità Heartbleed non lascia tracce e non è possibile sapere se si è stati oggetto di attacchi.

È stato riparato il bug?

Sì. Una versione riparata di OpenSLL è stata rilasciata il 7 Aprile 2014, lo stesso giorno in cui è stata pubblicamente annunciata la scoperta del bug. In quel momento è stato stimato che il 17% degli Internet’s secure web servers fosse vulnerabile ad eventuali atacchi. Attualmente non è stimato il numero di provider che hanno già aggiornato il proprio Open SLL.

Come ci si difende?

Cambiare le password dei propri account sembra ad oggi l’unica mossa difensiva in capo ai singoli utenti. Tuttavia, potrebbe non essere abbastanza. È infatti recentemente emerso che sfruttando la falla è possibile rubare i certificati di sicurezza che stabiliscono l’autenticità di un sito. In una simile eventualità cambiare le password sarà inutile perché le nuove password sarebbero trasmesse direttamente a criminali informatici che fingono di essere i legittimi siti.

Importante anche aggiornare le ultime versioni disponibile di software e sistemi operativi di computer, tablet e smartphone, in particolare la versione del sistema operativo Google Android 4.1.1.

Per controllare se i siti che visitiamo hanno rimediato alla vulnerabilità è possibile utilizzare un “checker” come quello rilasciato dalla McAfee (disponibile QUI).

Seguiranno aggiornamenti su ulteriori sviluppi.

Share

Regolamento sulla conservazione, Regolamento IVASS e Regolamento eIDAS in materia di identificazione online e servizi fiduciari. In questo video, Giusella Finocchiaro illustra le ultime novità in materia di digitalizzazione.



Share

Il quotidiano Lettera43 ha recentemente intervistato Giusella Finocchiaro sul tema delle recensioni negative anonime su Tripadvisor. Vi proponiamo un estratto dell’articolo.

tripadvisor

[...] In Italia, la levata di scudi di commercianti e imprenditori è sempre più compatta: da Federalberghi, che in una nota ha parlato di «vera emergenza», a causa di «illeciti capaci di turbare il lavoro degli operatori turistici con ricatti e paure», all’associazione Sos albergatori, che con l’applicazione Pirtadvisor provano a smascherare le recensioni ingannevoli, fino a quelli diventati aperti oppositori del portale Usa, tanto da esporre all’entrata del locale un cartello inequivocabile: «Qui non si accettano utenti di TripAdvisor».
Il problema, dibattuto da anni, è innanzitutto giuridico: il decreto legislativo 70/2003 (concepito in attuazione della direttiva europea 2000/31/Ce) prescrive che il titolare del servizio sul web non è responsabile delle informazioni inviate da un utente, a meno che non sia a conoscenza del fatto che l’attività o l’informazione è illecita, o che qualora a conoscenza di tali fatti, su richiesta del giudice, non agisca subito per rimuovere le informazioni o per inibirne l’accesso.
È per questo che TripAdvisor o altri siti simili non hanno l’obbligo di verificare l’identità di chi scrive o le informazioni riportate, e dunque «l’unica tutela possibile è quella a reato già avvenuto: chiedere la rimozione della recensione, direttamente o tramite il proprio legale, e il risarcimento del danno», spiega a Lettera43.it Giusella Finocchiaro, avvocatessa e docente di Diritto di internet all’Università di Bologna, e che dal 2003 studia la privacy e l’anonimato in rete, «o agire in giudizio, anche in caso di diffamazione o lesione del diritto all’identità personale»

Continua su Lettera 43

Share

Il 3 aprile 2014 la sessione plenaria del Parlamento Europeo ha approvato la proposta di regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

Il regolamento mira a realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione Europea degli strumenti elettronici di identificazione, autenticazione e firma.

Il testo con emendamenti è disponibile QUI.

La proposta di regolamento era stata adottata dalla Commissione Europea il 4 giugno 2012.

Il regolamento rappresenta il primo passo per l’attuazione degli obiettivi della Task Force Legislation Team (eIDAS) istituita dalla Commissione al fine di fornire un contesto normativo comune per l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno. L’obbiettivo è quello di aumentare la comodità d’uso, l’affidabilità e la fiducia nel mondo digitale.

La Prof. Giusella Finocchiaro ha dedicato un approfondimento sul regolamento in un post disponibile QUI.

Share

L’Istituto per la Vigilanza sulle Assicurazioni reso disponibile per la fase di consultazione pubblica lo schema di Regolamento concernente la definizione delle misure di semplificazione delle procedure e degli adempimenti nei rapporti contrattuali tra imprese di assicurazioni, intermediari e clientela.

Lo schema di regolamento dà attuazione all’articolo 22, comma 15 bis, del decreto legge 18 ottobre 2012, n.179 recante “Ulteriori misure urgenti per la crescita del Paese” convertito, con modificazioni, nella legge 17 dicembre 2012, n. 221.

Il regolamento sottoposto a consultazione prevede, in riferimento al ramo assicurativo danni, alla definizione di misure di semplificazione delle procedure burocratiche, in un’ottica di riduzione degli adempimenti cartacei e della modulistica, nei rapporti contrattuali fra imprese d’assicurazione, intermediari e clientela.

In particolare, l’intervento normativo è volto a favorire l’utilizzo della posta elettronica certificata, la firma digitale, la firma elettronica avanzata e i pagamenti elettronici e online.

Eventuali commenti e proposte possono essere inviate all’IVASS entro il 22 aprile 2014 al seguente indirizzo di posta elettronica: semplificazioni@ivass.it

Al termine della fase di consultazione sul sito dell’Istituto saranno pubblicate le osservazioni pervenute, con indicazione del mittente (fatta eccezione per i dati e le informazioni per i quali il mittente stesso richieda la riservatezza, motivandone le ragioni) e le conseguenti risoluzioni dell’Istituto.

Share

Google ha pagato una sanzione di 1 milione di euro applicata dal Garante privacy per il servizio Street View. La sanzione rislae al 18 dicembre 2013 ma è stata resa nota solo recentemente.

I fatti contestati risalgono al 2010 quando il Garante per la Protezione dei dati è intervenuto in seguito a numerose segnalazioni di cittadini che lamentavano di essere stati fotografati dalle macchine del servizio Google Street View senza il loro conosenso. In quel periodo, infatti, le auto di Mountain View circolavano in Italia senza essere perfettamente riconoscibili e non consentendo, quindi, alle persone presenti nei luoghi percorsi di decidere se sottrarsi o meno alla “cattura” delle immagini.

Il 15 ottobre 2010 il Garante ha prescritto a Google di rendere le sue vetture facilmente individuabili, attraverso cartelli o adesivi ben visibili, e di pubblicare sul proprio sito web, tre giorni prima dell’inizio delle riprese, l’elenco delle località visitate dalle Google car, stabilendo che per le grandi città fosse necessario indicare i quartieri in cui circolano le vetture. L’Authority ha inoltre ordinato che la medesima segnalazione debba essere pubblicata da Google sulle pagine di almeno due quotidiani locali e la notizia debba essere diffusa da almeno un’emittente radio per ogni regione visitata. Le misure sono state tempestivamente adottate da Google.

Il procedimento sanzionatorio si è ora concluso con un’ordinanza di ingiunzione in cui il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria di un milione di euro. La cifra è stata stabilita in considerazione del fatto che i dati raccolti illecitamente erano destinati a confluire all’interno di una grande banca dati di particolare rilevanza, quale è sicuramente quella del servizio Street View.

Nel determinare la cifra  il Garante ha deciso di avvalersi della norma del Codice privacy che mira a rendere effettive le sanzioni quando sono dirette a soggetti di notevoli dimensioni economiche.

A quanto si apprende, Google avrebbe già pagato la sanzione.

Share