Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Oggi è stato approvato in via definitiva dal Consiglio dei Ministri il nuovo Codice dell’Amministrazione Digitale.

Diverse e sostanziali le modifiche apportate, fra cui l’introduzione di un quarto tipo di firma elettronica, la firma elettronica avanzata, che avrà la stessa efficacia probatoria della firma digitale e della firma elettronica qualificata.

Le novità introdotte saranno presto riprese su Diritto & Internet in un post dedicato.

Oggi è stato approvato in via definitiva dal Consiglio dei Ministri il nuovo Codice
dell’Amministrazione Digitale, su cui all’interno di questo blog avevamo già richiamato
l’attenzione dei nostri lettori. Diverse e sostanziali le modifiche apportate, fra cui
l’introduzione di un quarto tipo di firma elettronica, la firma elettronica avanzata, che avrà la
stessa efficacia probatoria della firma digitale e della firma elettronica qualificata. Le novità
introdotte susciteranno di certo un vivace dibattito da cui non si esimerà il blog dello Studio
Legale Finocchiaro.Oggi è stato approvato in via definitiva dal Consiglio dei Ministri il nuovo Codice

dell’Amministrazione Digitale, su cui all’interno di questo blog avevamo già richiamato

l’attenzione dei nostri lettori. Diverse e sostanziali le modifiche apportate, fra cui

l’introduzione di un quarto tipo di firma elettronica, la firma elettronica avanzata, che avrà la

stessa efficacia probatoria della firma digitale e della firma elettronica qualificata. Le novità

introdotte susciteranno di certo un vivace dibattito da cui non si esimerà il blog dello Studio

Legale Finocchiaro.

We present here an exclusive interview with Mr. Giovanni Buttarelli, European Data Protection Assistant Supervisor.
“Saving jobseekers from themselves”, is the purpose of the German draft law which will regulate the use of information concerning job applicants collected on the internet by employers. What is your opinion on restricting by law the use of personal data that can be collected online?
This is an item on the agenda of the Data Protection Supervisors and lawmakers. In Germany for example, particular attention is devoted to this issue, because the German legislation is particularly detailed and advanced regarding data protection of workers, but the problem is also increasing in other countries.  As an expert appointed by the Council of Europe, I wrote the new draft of recommendations that should replace Recommendation (89) 2 about data processing in job relationships. A Recommendation of the Council of Europe is not a simple invitation, it is an act addressed to the fifty or so states of the Council, who, by voting for it, commit themselves to putting it into effect. In Italy the Council of Europe recommendations have been mentioned in the delegated law about the adoption of the DL consequent to law n.675 and even in the 2003 Code itself as directive criteria for the production of ethical behavior codes. This document of mine, accompanied by  research, refers to the necessity for specific new rules regarding this point. Up to now we have worked with very general criteria of transparency and accuracy, with the obligation to inform and with the evaluation of the principle of incompatibility and purpose, but these criteria are no longer sufficient because practices may be widely varied today.
Actually, it is already illegal to access social network pages under false pretences such as, for example, delegating someone to use  an account or requesting job-seeker friendship on Facebook through deceit.  However, even if the employer was openly present on the social network in a transparent way, the problem would occur in any case. Social networks are used in order to socialize with a limited number of people and usually for personal reasons. Therefore, we should make this kind of evaluation, perhaps drawing a distinction between social networks used for entertainment and those used for professional relationships, such as Linked_In.
- Facebook’s CEO said that privacy is no longer a social norm for new generations. Yet, in Germany the proposal of teaching how to defend personal data in schools is under consideration.  Is the European Supervisor considering the opportunity of teaching privacy?
The 32nd Annual International Conference of Data Protection and Privacy Commissioners recently held in Jerusalem started off with this Facebook statement in order to overturn it and to maintain that it is totally inappropriate. Even Facebook’s attitude demonstrated the opposite of what its CEO had asserted. It was not by chance that they have recently solved several serious privacy issues and in all probability they will solve others in the coming weeks. The fact that people are enthusiastic about new communication systems does not mean that it is correct to consider privacy outdated. For the younger generations this may well be true now, but not necessarily in the future, when they will have to face the consequences of those problems related to a lack of information regarding privacy on social networks.
First of all, we should find an easy way to communicate privacy to  the younger generations. Pedagogical approaches must be avoided. We should not speak over their heads, trying to teach young people how to use new technologies. Paternalism will not work at all. Thus we will have to develop a better understanding of the new languages and adapt the information on privacy to the communication devices which people ordinarily use to exercise their rights. Bureaucratic forms will never be used, a user-friendly pop-up window probably will also on smartphones. For this reason the new European Commission’s Communication on the future of European law regarding this issue, draws great attention to educating the younger generations to warning and risk but also to opportunities of having new devices which are more dynamic, functional, immediate and easier to use when exercising individual rights and deleting information, for example in the event of migration from one social network to another.
Privacy by design is considered one of the most effective systems to avoid privacy violations due to the launch of new software online. Will the new European regulation order companies to add privacy consultancy in designers’ work?
Definitely yes. The European Commission’s Communication which was published in all EU languages on the 4th of November, announces the commitment of the Commission to insert privacy by design in the principles of the new discipline.
It is currently under discussion whether to consider it an independent principle or a notion that can be translated later into different practices.
What is certain is that this principle should help us to face problems from the beginning of every project in order to avoid the difficulty of developing data protection systems subsequently, when all the choices have already been made.  It is therefore necessary to have technological support to solve problems of privacy, not only through privacy-oriented software but also through the creation of devices which will automatically fulfill privacy requirements, such as the erasure of data by overwriting, or setting of alerts which would allow people to know when further data use is incompatible with the original purposes, or, in addition, something that would prevent search engines from making a personal profile based on a data collection concealed from the user.
- Geolocalization through GPS devices is the cause of a recent alert about privacy online. However, IP addresses have always contained localization information. Will the next European regulation specifically consider this point?
There is already an advanced regulation regarding this issue. Directive 2002/58, recently reviewed by the e-privacy Directive which must be acknowledged by Member States before May 2011, touches on these points and with all probability it will not be modified by the new European regulation. So, it will be a pillar for several years to come.
Today, the regulation already requires the approval of the userdata subject, who should be adequately informed, and the possibility of terminating a value-added service involving geolocalization.  The issue is also being approaching with an eye to the retention of this kind of data in the so-called data-retention Directive. Today, for police and justice purposes, recorded data is stored for one or two years (depending on whether the data source is the telephone or telematic), which can lead to a possible excess of filing of personal communication activities.
It should also be considered that geolocalization is today mainly controlled through telephone systems, but in the near future, thanks to intelligent transport, it will operate independently of mobile telecommunication systems and will be used in the field of vehicular traffic for services such as toll payments, city centre access and safety systems.  For instance, we will be able to use these devices for sending alarm messages in case of an accident. Therefore, we will once again need to have a balance between the benefits of innovative systems and the guarantee that our data will only be used on one off basis and will not be stored. In any case, it should only be used for the specific  purposes of the services and not for marketing or filing.
- The subject of company accountability was one of the most important topics discussed at The 32nd Annual International Conference of Data Protection and Privacy Commissioners in Israel. How will this issue be integrated into the new European regulation?
Not as a new principle, nor as an extra cost for public bodies and for the private companies/individuals sector?. It will, however, help to give a sense of responsibility to data custodians controllers and it will have an influence on the Data protection Authorities themselves, who will have to be more selective and must not be entirely responsible for enforcement. Our approach is to maintain the principles we have followed since 1995, while making them more dynamic and suitable for new technologies. The main point is to do things in a more responsible way; data custodians controllers should not consider these principles as something to comply with only when there is a problem, a complaint or an appeal. They should consider their duties as something to be put into practice on a day-to-day basis. They should take on the responsibility of transforming into internal procedure everything which is necessary to adhere to the principles of law, which would mean redistributing roles and tasks, creating an internal policy and in case of appeal, complaint or inspection by the authorities, they should instantly be able to demonstrate they have been adhering to these principles. So, we will no longer have a situation in which data custodians controllers choose not to fulfill their privacy obligations and run the risk of incurring fines, thinking that an inspection may never arrive. Instead we will have a new scenario in which the data custodian controller is conscious that protection of  privacy is a daily obligation. An obligation which, if not correctly carried out, may lead data custodians controller to face serious legal consequences. Therefore, this is something both new and not new at the same time.

We present here the english translation of the interview with Mr Giovanni Buttarelli, European Data Protection Assistant Supervisor.

“Saving jobseekers from themselves”, is the purpose of the German draft law which will regulate the use of information concerning job applicants collected on the internet by employers. What is your opinion on restricting by law the use of personal data that can be collected online?

This is an item on the agenda of the Data Protection Supervisors and lawmakers. In Germany for example, particular attention is devoted to this issue, because the German legislation is particularly detailed and advanced regarding data protection of workers, but the problem is also increasing in other countries. As an expert appointed by the Council of Europe, I wrote the new draft of recommendations that should replace Recommendation (89) 2 about data processing in job relationships. A Recommendation of the Council of Europe is not a simple invitation, it is an act addressed to the fifty or so states of the Council, who, by voting for it, commit themselves to putting it into effect. In Italy the Council of Europe recommendations have been mentioned in the delegated law about the adoption of the D.Lgs consequent to law n.675 and even in the 2003 Code itself as directive criteria for the production of ethical behavior codes. This document of mine, accompanied by research, refers to the necessity for specific new rules regarding this point. Up to now we have worked with very general criteria of transparency and accuracy, with the obligation to inform and with the evaluation of the principle of incompatibility and purpose, but these criteria are no longer sufficient because practices may be widely varied today.

Actually, it is already illegal to access social network pages under false pretences such as, for example, delegating someone to use an account or requesting job-seeker friendship on Facebook through deceit. However, even if the employer was openly present on the social network in a transparent way, the problem would occur in any case. Social networks are used in order to socialize with a limited number of people and usually for personal reasons. Therefore, we should make this kind of evaluation, perhaps drawing a distinction between social networks used for entertainment and those used for professional relationships, such as Linked_In.

Facebook’s CEO said that privacy is no longer a social norm for new generations. Yet, in Germany the proposal of teaching how to defend personal data in schools is under consideration. Is the European Supervisor considering the opportunity of teaching privacy?

The 32nd Annual International Conference of Data Protection and Privacy Commissioners recently held in Jerusalem started off with this Facebook statement in order to overturn it and to maintain that it is totally inappropriate. Even Facebook’s attitude demonstrated the opposite of what its CEO had asserted. It was not by chance that they have recently solved several serious privacy issues and in all probability they will solve others in the coming weeks. The fact that people are enthusiastic about new communication systems does not mean that it is correct to consider privacy outdated. For the younger generations this may well be true now, but not necessarily in the future, when they will have to face the consequences of those problems related to a lack of information regarding privacy on social networks.

First of all, we should find an easy way to communicate privacy to the younger generations. Pedagogical approaches must be avoided. We should not speak over their heads, trying to teach young people how to use new technologies. Paternalism will not work at all. Thus we will have to develop a better understanding of the new languages and adapt the information on privacy to the communication devices which people ordinarily use to exercise their rights. Bureaucratic forms will never be used, a user-friendly pop-up window probably will also on smartphones. For this reason the new European Commission’s Communication on the future of European law regarding this issue, draws great attention to educating the younger generations to warning and risk but also to opportunities of having new devices which are more dynamic, functional, immediate and easier to use when exercising individual rights and deleting information, for example in the event of migration from one social network to another.

Privacy by design is considered one of the most effective systems to avoid privacy violations due to the launch of new software online. Will the new European regulation order companies to add privacy consultancy in designers’ work?

Definitely yes. The European Commission’s Communication which was published in all EU languages on the 4th of November, announces the commitment of the Commission to insert privacy by design in the principles of the new discipline.

It is currently under discussion whether to consider it an independent principle or a notion that can be translated later into different practices.

What is certain is that this principle should help us to face problems from the beginning of every project in order to avoid the difficulty of developing data protection systems subsequently, when all the choices have already been made. It is therefore necessary to have technological support to solve problems of privacy, not only through privacy-oriented software but also through the creation of devices which will automatically fulfill privacy requirements, such as the erasure of data by overwriting, or setting of alerts which would allow people to know when further data use is incompatible with the original purposes, or, in addition, something that would prevent search engines from making a personal profile based on a data collection concealed from the user.

Geolocalization through GPS devices is the cause of a recent alert about privacy online. However, IP addresses have always contained localization information. Will the next European regulation specifically consider this point?

There is already an advanced regulation regarding this issue. Directive 2002/58, recently reviewed by the e-privacy Directive which must be acknowledged by Member States before May 2011, touches on these points and with all probability it will not be modified by the new European regulation. So, it will be a pillar for several years to come.

Today, the regulation already requires the approval of the userdata subject, who should be adequately informed, and the possibility of terminating a value-added service involving geolocalization. The issue is also being approaching with an eye to the retention of this kind of data in the so-called data-retention Directive. Today, for police and justice purposes, recorded data is stored for one or two years (depending on whether the data source is the telephone or telematic), which can lead to a possible excess of filing of personal communication activities.

It should also be considered that geolocalization is today mainly controlled through telephone systems, but in the near future, thanks to intelligent transport, it will operate independently of mobile telecommunication systems and will be used in the field of vehicular traffic for services such as toll payments, city centre access and safety systems. For instance, we will be able to use these devices for sending alarm messages in case of an accident. Therefore, we will once again need to have a balance between the benefits of innovative systems and the guarantee that our data will only be used on one off basis and will not be stored. In any case, it should only be used for the specific purposes of the services and not for marketing or filing.

The subject of company accountability was one of the most important topics discussed at The 32nd Annual International Conference of Data Protection and Privacy Commissioners in Israel. How will this issue be integrated into the new European regulation?

Not as a new principle, nor as an extra cost for public bodies and for the private sector. It will, however, help to give a sense of responsibility to data controllers and it will have an influence on the Data protection Authorities themselves, who will have to be more selective and must not be entirely responsible for enforcement. Our approach is to maintain the principles we have followed since 1995, while making them more dynamic and suitable for new technologies. The main point is to do things in a more responsible way; data controllers should not consider these principles as something to comply with only when there is a problem, a complaint or an appeal. They should consider their duties as something to be put into practice on a day-to-day basis. They should take on the responsibility of transforming into internal procedure everything which is necessary to adhere to the principles of law, which would mean redistributing roles and tasks, creating an internal policy and in case of appeal, complaint or inspection by the authorities, they should instantly be able to demonstrate they have been adhering to these principles. So, we will no longer have a situation in which data controllers choose not to fulfill their privacy obligations and run the risk of incurring fines, thinking that an inspection may never arrive. Instead we will have a new scenario in which the data custodian controller is conscious that protection of privacy is a daily obligation. An obligation which, if not correctly carried out, may lead data controller to face serious legal consequences. Therefore, this is something both new and not new at the same time.

[ Please note that the acronyms of the Italian legislative documents have been left in their original form.

D. Lgs. may be translated as Legislative Decree].

posted by admin on dicembre 17, 2010

Diritto d'autore e copyright

(No comments)

Il Consiglio dell’Autorità per le garanzie nelle comunicazioni ha approvato all’unanimità un pacchetto di iniziative concernenti l’esercizio delle competenze in materia di tutela del diritto d’autore, che  passa ora alla consultazione pubblica.

La nuova bozza, recentemente pubblicata da il Sole 24Ore, concentra i provvedimenti per la protezione del copyright contro i siti che diffondono illegalmente i file musicali e audiovisivi protetti da diritto d’autore, anche attraverso la sola indicizzazione di link ad altri siti.

L’attività di contrasto alla pirateria si sposta quindi dal monitoraggio dell’attività degli utenti al controllo sui siti che contribuiscono a diffondere file illegali, in particolare in attività quali “la ritrasmissione su internet di contenuti audiovisivi premium in tecnologia live streaming senza detenerne i diritti; la messa a disposizione su internet – non autorizzata – di opere cinematografiche in tecnologia streaming; l’indicizzazione di file audiovisivi, sonori e di testo protetti da copyright intesa ad agevolarne la diffusione gratuita tra gli utenti di internet senza il consenso dei titolari di diritti”.

Nel nuovo regolamento la procedura che impone ai siti di rimuovere i contenuti pirata è più complessa.

Se un sito non adempie entro 48 ore alla  richiesta di rimozione  di un contenuto segnalato come in violazione del diritto d’autore, il titolare del diritto può rivolgersi all’Autorità, che  procede all’apertura di un contraddittorio con le parti. Dopo i primi accertamenti, l’Autorità può adottare un provvedimento in cui ordina al sito di rimuovere il materiale. Da quel momento la rimozione deve essere attuata entro cinque giorni, passati i quali  il proprietario del sito potrà incorrere in sanzioni pecuniarie anche di notevole entità.

Secondo l’Autorità, la procedura della rimozione selettiva sè particolarmente appropriata nei casi in cui non tutti i contenuti del sito web violino il diritto d’autore e siano collocati sul territorio italiano.

Nel caso di siti che abbiano il solo fine di diffusione di contenuti illeciti o i cui server siano localizzati fuori dai confini nazionali, l’Autorità ipotizza due ipotesi alternative per le quali chiede il parere degli operatori: la predisposizione di una lista di siti illegali da mettere a disposizione degli internet service provider o, in casi estremi e previo contraddittorio, l’inibizione del nome di dominio del sito web.

Nei giorni scorsi nell’attesa della valutazione del consiglio dell’Agcom, sono apparse in rete diverse opinioni di esperti, anche di vedute opposte, che hanno espresso una certa perplessità riguardo al nuovo testo. Tra questi segnaliamo, sul blog di Vittorio Zambardino, il dibattito fra Nicola D’angelo, consigliere Agcom, e Enzo Mazza, presidente della Fimi (Federazione Industria Musicale Italiana).

È passata sotto silenzio la recente modifica del’art. 1 del Codice per la protezione dei dati personali disposta dalla l. 4 novembre 2010, n. 183, legge che ha ad oggetto materia assai diversa e precisamente le deleghe al Governo in materia di lavoro.

La legge è già stata pubblicata nella G. U. 9 novembre 2010, n. 262, S.O.

La nuova norma corregge le modifiche introdotte dalla l. 4 marzo 2009. n, 15, che avevano introdotto nell’art. 1 del Codice per la protezione dei dati personali modifiche mal scritte e di difficile interpretazione. Riporta l’art. 1 del Codice per la protezione dei dati personali alla versione originaria e sposta le modifiche intervenute nel 2009, dopo averle corrette , all’art. 19.

Partiamo dall’inizio.

L’art. 1 del Codice per la protezione dei dati personali, norma di apertura del Testo unico, enuncia un nuovo diritto della personalità, con una disposizione chiara e lineare: “Chiunque ha diritto alla protezione dei dati personali”.

Questa norma è modificata nel 2009, quando viene aggiunta la seguente frase: “Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale”. La norma nasce per consentire la pubblicazione sul web di informazioni sullo svolgimento delle prestazioni lavorative da parte dei dipendenti pubblici.

Questa norma, totalmente disomogenea rispetto al Codice (che non parla di notizie ma di dati personali, di diritto alla protezione dei dati personali e non di riservatezza, diritto rispetto al quale il termine personale non ha semplicemente senso declinare) era interpretabile addirittura nel senso che ai dipendenti pubblici non fosse riconosciuto alcun diritto alla protezione dei dati personali costituiti dalle prestazioni lavorative.

Finalmente nel 2010 viene posto rimedio a questo errore e ora la norma, che è correttamente spostata nell’art. 19, dispone che “Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione sono rese accessibili dall’amministrazione di appartenenza” e non sono ostensibili i dati sensibili.

Dunque pubblicazione dei dati sullo svolgimento delle prestazioni lavorative, ma solo da parte della pubblica amministrazione di appartenenza del lavoratore.

Flash-logobigLa Federal Trade Commission, Autorità Garante alla tutela dei consumatori negli Stati Uniti, ha recentemente dichiarato di essere in contatto con la compagnia Adobe per risolvere il “problema di Flash”.

La questione riguarda i Local Shared Object, piccoli file che si installano sul disco rigido degli utenti quando utilizzano un’applicazione in linguaggio Flash, come ad esempio un videogioco online o un filmato interattivo. Questi file sono il corrispettivo dei normali cookie HTML: tracciano l’attività dell’utente e la comunicano all’applicazione online. In questo modo l’applicazione può fornire un servizio personalizzato, come ad esempio, il ripristino di impostazioni precedentemente scelte dall’utente.

Il rovescio della medaglia, almeno per gli utenti, sta nel fatto che questi file “traccianti”, come tutti i cookie, permettono alle applicazioni di identificare univocamente un utente e di raccogliere dati sulla sua navigazione. Nel caso in cui l’utente compili, per qualunque motivo, moduli online, la sua identificazione può quindi anche essere associata a dati personali.

A differenza dei normali cookie, tuttavia, i Local Shared Object di Flash sono particolarmente difficili da cancellare. Ad eccezione di Chrome, i principali browser di navigazione come Firefox, Explorer e Safari non li gestiscono, né tantomeno li visualizzano, attraverso il loro menu di cancellazione dei cookie. La loro esistenza quindi rimane nascosta alla maggioranza degli utenti, e i pochi che decidono di cercarli ed eliminarli devono collegarsi al sito dell’Adobe e utilizzare un’applicazione online.

Sebbene un portavoce dell’Adobe abbia dichiarato che i cookie di Flash non vengano utilizzati per la raccolta dei dati personali, la Federal Trade Commission ha iniziato a raccogliere informazioni per impostare un eventuale provvedimento nei suoi confronti.

L’iniziativa è stata applaudita da molti esperti di privacy, che richiamavano l’attenzione sui cookie di Flash dal 2009, quando uno studio dell’università di Berkley ha per primo sollevato il problema dei Local Shared Objects.

I Flash Player di Adobe sono presenti sul 98% dei computer nel mondo e sono necessari per visualizzare siti molto visitati, come YouTube. Recentemente in una class action americana contro una compagnia accusata di usare illecitamente i cookie di Flash, gli avvocati dell’azienda hanno proposto un patteggiamento da 2,4 milioni di dollari.

posted by admin on dicembre 7, 2010

Miscellanee

(No comments)

wikileaksLa pubblicazione dei cablogrammi diplomatici ha portato Wikileaks sulle prime pagine delle testate di tutto il mondo.
All’improvvisa notorietà del sito è seguita un’esplosione di giudizi su Wikileaks e sul suo portavoce Julian Assange, che si è consegnato oggi alle autorità di polizia inglese.

Il ventaglio dei vari commenti dei media su Wikileaks va dall’entusiasmo più estremo alla condanna irrevocabile. Il moltiplicarsi delle voci non ha naturalmente aiutato quanti in questi giorni stanno cercando di farsi un’idea sull’operato del gruppo che controlla Wikileaks.

Nel tentativo di fare chiarezza, Diritto&Internet, che ha seguito le vicende di Assange & soci da gennaio, propone qui una sintesi a ritroso delle vicende che hanno coinvolto il gruppo nel 2010.

Ad oggi i cables diplomatici dell’ambasciata USA  pubblicati sul sito sono solo una minima parte di quelli in possesso di Wikileaks (931 su 251,287). L’enorme mole di documenti copre un periodo che va dal 1966 al febbraio 2010 e contiene materiale proveniente da 274 ambasciate americane nel mondo.

Il gruppo che lavora dietro a Wikileaks sta compiendo un complesso lavoro di indicizzazione per permettere agli utenti di cercare i documenti delle ambasciate per paese, per data e per argomento. I files vengono pubblicati in blocchi per garantire una maggior attenzione agli argomenti più importanti e per questo il processo di pubblicazione durerà qualche mese.

Per quanto riguarda il loro contenuto, i cables diplomatici diffusi fino ad ora hanno riportato, come è noto, le opinioni dei diplomatici americani sui leader politici dei vari paesi. Wikileaks annuncia tuttavia che molti dei documenti ancora da pubblicare contengono rivelazioni su altri importanti argomenti quali gli affari governativi interni, i diritti umani, le condizioni economiche dei paesi, il  terrorismo e il consiglio di sicurezza dell’ONU.

La pubblicazione dei files diplomatici era attesa dalla fine di maggio, quando si è diffusa la notizia dell’esistenza di una grande quantità di materiali segreti delle ambasciate USA inviati a Wikileaks da un utente anonimo.

La notizia è emersa dopo l‘arresto del soldato scelto Bradley Manning, 22 anni, accusato di aver diffuso materiale classificato dell’esercito americano. Il ragazzo è stato messo in stato di detenzione preventiva in seguito alle rivelazioni di un suo (ex) amico hacker, al quale Manning avrebbe confidato -via chat – di avere passato a Wikileaks documenti segreti trovati nell’archivio informatico dell’Esercito degli Stati Uniti.

Oltre ai 260.000 cables diplomatici il soldato avrebbe confessato all’amico di avere anche inviato a Wikileaks due video che dimostrano come in due diverse incursioni aeree in Medio Oriente l’aviazione americana abbia ucciso deliberatamente dei civili, si suppone credendoli armati.

Il primo video, intitolato collateral murder, è stato reso pubblico su Wikileaks in aprile. Si tratta di una ripresa aerea che mostra l’uccisione di 12 abitanti del sobborgo di New Baghdad, tra cui due bambini.

In luglio Assange ha dichiarato al Guardian che Wikileaks stava lavorando sulla pubblicazione del secondo filmato, che sarebbe  la testimonianza della strage di Garani, nel 2009.

In quell’occasione l’incursione aerea statunitense causò molte vittime. Secondo il governo afghano i morti furono 140, di cui 92 bambini. L’Esercito degli Stati Uniti tuttavia ha sostenuto di aver ucciso 95 persone, di cui 65 erano ribelli armati. Il video dell’incursione sarebbe quindi la prova decisiva. Il governo degli Stati Uniti si è comunque scusato per gli eventuali errori.

Il filmato sulla strage di Garani non è ancora mai stato pubblicato su Wikileaks. Molti pensano che faccia parte del pacchetto di file chiamato insurance.aes256, l’assicurazione sulla vita di Julian Assange.

Pare che il portavoce di Wikileaks abbia ritenuto opportuno tutelarsi da eventuali attacchi in seguito a pressioni e a minacce ricevute. In un report dell’Esercito americano reso pubblico in marzo, l’operato di Wikileaks era classificato come un pericolo per l’esercito degli Stati Uniti. La pubblicazione dei documenti segreti sulle operazioni militari americane in Afghanistan e in Iraq, diffusi rispettivamente in luglio e in ottobre, non può che avere confermato l’analisi del rapporto.

Contrariamente a quanto può sembrare tuttavia, l’attività di Wikileaks non è stata sempre incentrata sulla denuncia dell’operato delle forze governative degli Stati Uniti. Dal 2007, anno della sua nascita, il sito di “fughe di notizie” (questo il significato della parola leaks) ha pubblicato materiali che hanno disvelato crimini e attività illecite di molte altre organizzazioni, istituzioni e personalità politiche come il Dipartimento di Pubblica Sicurezza Cinese,  l’ex presidente del Kenya, il premier delle Bermuda, Scientology, la Chiesa Cattolica e Mormona, la banca svizzera Julius Baer Bank e alcune importanti aziende russe.

Per la sua attività di informazione Wikileaks ha anche ricevuto due premi importanti. Nel 2008 ha ottenuto il premio Index of Censorship Freedom of Expression award da parte del gruppo editoriale dell’Economist e del Guardian, mentre nel 2009 è stato premiato da Amnesty International per la categoria new media del Human Rights Reporting award.

posted by Giusella Finocchiaro on dicembre 1, 2010

Miscellanee, PA telematica

8 comments

Le Commissioni Affari Costituzionali di Camera e Senato hanno espresso parere favorevole sulla proposta di riforma di CAD. Fra le modifiche apportate al Cad dalla bozza in circolazione, si devono segnalare l’introduzione della firma elettronica avanzata e la modifica delle norme sull’efficacia probatoria e sulla forma scritta.

Spiegare le definizioni delle varie firme informatiche, l’efficacia probatoria, il valore giuridico e le modifiche in corso è complicato.

Ci provo. Ma non pretendo di riuscirci con un solo post.

D’altronde il tema è caldo e c’è davvero tanta confusione….




1) Quante saranno i tipi di firme informatiche se verrà approvata la modifica al CAD oggi in circolazione?

Quattro: firma elettronica, firma elettronica avanzata, firma elettronica qualificata, firma digitale.

2) Cosa cambia rispetto al CAD oggi vigente?

Ci sarà una firma in più: la “firma elettronica avanzata”.

3) In cosa consistono le quattro firme?

a. La “firma elettronica” è un insieme di dati associato ad un altro insieme di dati, utilizzati come metodo di identificazione informatica (si va dalla password alla firma biometrica). Le caratteristiche tecniche non sono definite, né il livello di sicurezza.

b. La “firma elettronica avanzata” è una firma elettronica con alcune caratteristiche di sicurezza (essere connessa in maniera unica al firmatario; essere idonea ad identificare il firmatario; essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; essere collegata ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati). Può trattarsi, verificati i requisiti, dell’ OTP (One Time Password), ad esempio contenuta nella chiavetta utilizzata da alcune banche. Come sia associata la firma elettronica avanzata al firmatario, la definizione non lo precisa.

c. La “firma elettronica qualificata” è la firma elettronica avanzata basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma. Nella definizione di firma elettronica qualificata si precisa che l’associazione al firmatario avviene attraverso un certificato qualificato.

d. La “firma digitale” è un particolare tipo di firma elettronica qualificata basata su un sistema di crittografia a chiave pubblica. E’ la firma apposta con smart card o token rilasciato dal certificatore qualificato. In questo caso si sceglie una particolare tecnologia.

4) La definizione di “firma digitale” come “un particolare tipo di firma elettronica avanzata basata su un sistema di chiavi crittografiche” che sarebbe stata introdotta nel Cad era sbagliata?

Sì, perché stando a questa definizione la firma digitale sarebbe stata senza certificato. Stando alle notizie di oggi, risulta modificata la definizione, che tuttavia è ancora priva del riferimento al dispositivo di firma sicuro che invece è ancora presente nella definizione di firma elettronica qualificata. Si potrebbe, semplicemente, non modificare la definizione di firma digitale.

5) In sintesi, quali sono le firme più sicure?

Si confrontano cose diverse.

In sintesi, le definizioni di firma elettronica e di firma elettronica avanzata non si riferiscono a un livello di sicurezza predeterminato o a una tecnologia precisa. Sono “neutre”, come previsto dalla direttiva.

Invece, le definizioni di firma elettronica qualificata e digitale, sono collegate a livelli di sicurezza predeterminati e ad una tecnologia predefinita.

6) È corretto affermare che la “firma elettronica avanzata” è imposta dalla direttiva europea e che quella “qualificata” è un’invenzione italiana?

No, non è corretto. Vero è che la direttiva definisce la” firma elettronica avanzata” e non quella “qualificata”, ma gli effetti giuridici previsti dalla direttiva si riferiscono a “firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura”, cioè alle “firme qualificate”.

La “firma elettronica qualificata” è la “firma elettronica avanzata basata su un certificato qualificato e creata mediante un dispositivo per la creazione di una firma sicura” cui la direttiva collega determinati effetti giuridici.

7) Quale efficacia probatoria avranno i documenti con le quattro firme, secondo la bozza di modifica del Cad?

a. Il documento informatico con la firma elettronica sarà, come oggi, valutabile dal giudice, caso per caso, sulla base delle caratteristiche di caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

b. I documenti informatici con firma elettronica avanzata, firma elettronica qualificata, firma digitale, avranno la medesima efficacia probatoria, quella prevista dall’art. 2702 del codice civile per la scrittura privata. Come oggi, l’utilizzo del dispositivo di firma si presumerà riconducibile al titolare, salvo che questi dia prova contraria.

8) Saranno gli atti firmati con le quattro firme idonei ad integrare la forma scritta?

a. L’atto con la firma elettronica sarà, come oggi, valutabile dal giudice, caso per caso, sulla base delle caratteristiche di caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

b. Gli atti con firma elettronica avanzata, firma elettronica qualificata, firma digitale potranno integrare la forma scritta.

c. Unica eccezione: la firma elettronica avanzata non basterà per gli atti aventi ad oggetto beni immobili (art. 1350 c.c., nn. 1-12). Solo per questi atti sono richieste la firma elettronica qualificata o la firma digitale.

9) Alcuni esempi?

Le banche potranno utilizzare la firma elettronica avanzata per i contratti bancari. Potrebbero ricondursi alla firma elettronica avanzata (ma occorre verificarne caratteristiche e requisiti) sistemi OTP e firma autografa su dispositivi elettronici.

10) A cosa servirà la firma digitale?

Certamente alla conclusione di contratti aventi ad oggetto beni immobili, alla stipula dell’atto pubblico informatico, alla conservazione sostitutiva.