Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Ve proponiamo qui l’articolo di Giusella Finocchiaro apparso su Nòva24, la cui versione online è stata pubblicata sul sito di Nòva il 20 Aprile 2014.

“On the Internet, nobody knows you’re a dog” recitava la storica vignetta di Peter Steiner pubblicata nel periodico “The New Yorker” il 5 luglio 1993. La vignetta raffigurava due cani: l’uno seduto su una sedia davanti a un computer; l’altro, a cui questa frase era rivolta, seduto sul pavimento.

Da allora Internet è cambiata, ma il problema dell’identità è rimasto.

Gli ostacoli giuridici alla completa digitalizzazione dei processi sono stati rimossi, le norme sul documento informatico e sulle firme elettroniche consentono di fare nel digitale sostanzialmente tutto quello che si può fare nel cartaceo, ma l’identificazione on line è un problema cruciale oggi più di allora, soprattutto per lo sviluppo di alcuni servizi che richiedono un accertamento dell’identità (ad esempio: servizi erogati dalla pubblica amministrazione e servizi bancari).

È questo il problema che la proposta di Regolamento europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno vuole risolvere.

La proposta di Regolamento è stata approvata dal Parlamento europeo il 3 aprile ed è attesa in Gazzetta Ufficiale per il mese di giugno.

La più importante novità del Regolamento è nello strumento giuridico prescelto: non più una direttiva, ma un Regolamento. La conseguenza è che una volta approvato dal Parlamento sarà direttamente applicabile negli Stati membri, senza atti di recepimento, come invece accade per le direttive europee. Non più uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto. Un’identica legge europea per i 28 Stati. Senza le piccole differenze che rendono difficile realizzare compiutamente un mercato unico, perché, come si sa…il diavolo è nei dettagli…

Lo scopo principale del Regolamento è quello realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea degli strumenti elettronici di identificazione, autenticazione e firma (in inglese, electronic identification, authentication, signature, da cui l’acronimo eIDAS usato per indicare il Regolamento). Gli Stati membri hanno facoltà di notificare alla Commissione sistemi di identificazione che, una volta accettati dalla Commissione e pubblicati, devono essere riconosciuti da tutti gli Stati membri, a determinate condizioni.

Negli schemi di identificazione deve esser precisato il livello di sicurezza per l’identificazione: basso, medio, alto. Il livello di sicurezza dipende dal processo di identificazione e di verifica, dall’attività svolta, dai controlli implementati anche sotto il profilo tecnologico.

L’obbligo di riconoscere on line un soggetto identificato in un altro Stato sussiste soltanto se il livello di sicurezza è almeno il medesimo e se è almeno medio o alto. A ben vedere, non tutti i processi richiedono la modalità di identificazione più sicura che richiede, per esempio, la presenza fisica o la copia del documento di identità. Infatti, è diverso il livello di sicurezza nell’identificazione richiesto in banca o nell’e-commerce.

Il riconoscimento del sistema di identificazione on line che è stato accettato dalla Commissione è obbligatorio se l’interessato vuole identificarsi presso un soggetto pubblico (es.: partecipazione ad una gara d’appalto).

In questo caso, i “dogs” citati al’inizio dell’articolo dovrebbero essere riconosciuti.

posted by admin on aprile 28, 2014

Ecommerce e contrattualistica

(No comments)

La 49esima sessione del gruppo di lavoro sul commercio elettronico della commissione delle Nazioni Unite sul diritto commerciale internazionale (UNCITRAL) si apre oggi, 28 Aprile 2014, a New York.

L’attività del gruppo di lavoro sarà nuovamente dedicata agli electronic transferable records. La sessione operativa avrà l’incarico di discutere ulteriormente alcuni aspetti legali relativi all’utilizzo di questi particolari dati elettronici. La discussione si svilupperà sulla base della bozza di disposizioni internazionali in materia, frutto delle precedenti sessioni.

Il Gruppo di lavoro sarà inoltre impegnato in un’udienza incentrata sul report sull’assistenza tecnica e le attività di coordinamento intraprese dal Segretariato, che comprendono la promozione dei testi UNCITRAL sul commercio elettronico.

I lavori si chiuderanno il 2 maggio 2014. Come di consueto, il gruppo di lavoro vedrà la partecipazione di Giusella Finocchiaro, rappresentante italiano all’Uncitral per il commercio elettronico.

Per maggiori informazioni si rimanda alla pagina dell’UNCITRAL dedicata alle attività del working group.

posted by admin on aprile 24, 2014

Miscellanee

(No comments)

Dopo l’entrata in vigore del discusso regolamento sul diritto d’autore, l’Autorità per le garanzie nelle comunicazioni ha recentemente emesso la prima richiesta di blocco dei DNS da parte dei provider. Il target è il sito cineblog-01.net.

Una pioggia di richieste ha investito l’Authority da quando il controverso Regolamento sul copyright è entrato in vigore. Attualmente sono cinque i provvedimenti in corso, avviati in seguito a segnalazioni da parte di case discografiche e cinematografiche, ma soprattutto da parte della FAPAV, la Federazione Anti Pirateria Audiovisiva, com’è ovvio attivissima nell’attività di segnalazione di opere pubblicate in violazione di diritto d’autore.

Per uno di questi provvedimenti è già stata emessa una delibera vincolante per una disabilitazione di accesso.  Si tratta del procedimento che investe il sito www.cineblog-01.net, un sito in lingua italiana che offre un servizio di indicizzazione di link per lo streaming di film e serie televisive.  Il sito non ospita direttamente i contenuti pubblicati in violazione di copyright, ma fornisce agli utenti un sistema di catalogazione utile per trovare i link ai contenuti, ospitati su altri siti. Nel caso di cineblog-01, l’Agcom ha avviato un procedimento su segnalazione della società Inthelfilm, che lamentava la diffusione illecita dell’opera Come il vento, un’istanza alla quale sono andate ad aggiungersi ulteriori 8595 violazioni sul dominio segnalate dalla FAPAV.

Dal momento che il sito non risulta ospitato su server italiani, attraverso la delibera l’Agcom ha ordinato ai prestatori di servizi di mere conduit operanti sul territorio italiano di provvedere alla disabilitazione dell’accesso al sito cineblog-01.net mediante blocco del DNS, da realizzarsi entro due giorni dalla notifica del provvedimento, con contestuale reindirizzamento automatico verso una pagina internet redatta dall’Authority.

L’inottemperanza all’ordine impartito con il provvedimento comporta per i provider l’applicazione di sanzioni e la comunicazione agli organi di polizia giudiziaria ai sensi dell’art. 182- ter della legge n. 633/41.

Com’è noto, il Regolamento dell’Agcom è oggetto di tre ricorsi al TAR del Lazio e da diffuse contestazioni da parte di esperti di diritti digitali. Dai contestatori viene lamentato il fatto che il documento regolamenta in via amministrativa fattispecie di reato o illecito già previste dai codici penale e civile, attribuendo all’Authority il potere di bloccare i siti ritenuti responsabili di violazione del diritto d’autore senza l’intervento dell’autorità giudiziaria.

I provider nostrani hanno già provveduto ad istituire il blocco, come si può constatare cercando di raggiungere il sito.

Il 22 aprile 2014 il Marco Civil, la “costituzione di Internet” del Brasile, è stata definitivamente approvata dal Senato Brasiliano. La legge che regola i diritti e i doveri degli utenti della rete è stata firmata dal presidente Dilma Rousseff in apertura della conferenza “NetMundial”, un evento di due giorni dedicato alla governance mondiale della rete.

Dopo cinque anni di lavori viene approvata a San Paolo la normativa che protegge la privacy, la libertà di espressione e garantisce la net neutrality. E proprio in relazione alla net neutrality la Carta dei diritti di Internet brasiliana è considerata dagli attivisti delle libertà civili come un documento rivoluzionario nella storia di Internet. La norma impedirà infatti alle compagnie di telecomunicazione di istituire canali preferenziali di accesso alla banda ad appannaggio di alcuni servizi e a discapito di altri, una tendenza emergente nelle nuove strategie commerciali dei provider di connettività di tutto il mondo.

L’iter della legge ha subito un’accelerazione in seguito alle rivelazioni di Edward Snowden, dalle quali è emerso che gli Stati Uniti monitoravano le comunicazioni della Presidente Rousseff. Sul fronte del datagate, tuttavia, la legge brasiliana si rivela essere meno incisiva di quanto sembrasse al momento della sua prima formulazione. Infatti una delle più dibattute novità contenute nella proposta di legge, l’idea di impedire l’archiviazione di dati di cittadini brasiliani su server collocati all’estero, è stata eliminata dal testo della norma prima dell’approvazione in Senato.

In virtù della rimozione di questa proposta, è stato rafforzato un altro articolo della normativa, che prevede che le compagnie che raccolgono dati degli utenti generati in Brasile debbano sottostare alle regole sulla protezione dei dati del governo brasiliano, a prescindere dal luogo dove sono collocati i server su cui vengono archiviate le informazioni.

Il Marco Civil contiene anche prescrizioni contro l’attribuzione di responsabilità degli intermediari, sancendo che i provider non sono responsabili del contenuto pubblicato online dagli utenti, un tema da anni dibattuto in Europa su cui il Brasile ancora non aveva legiferato. Secondo la nuova normativa, i fornitori di servizi saranno ritenuti responsabili per i contenuti di terzi solo se non provvederanno alla rimozione del materiale in seguito ad un’ordinanza di un tribunale.

A quanto si apprende dalla stampa, il momento della firma presidenziale della legge è stato accolto con applausi e grida dal pubblico di NetMundial, composto da esperti e rappresentanti delle principali compagnie mondiali della rete.

In un intervento che ha preceduto di poco la firma della Rouseff l’inventore del World Wide Web Tim Berners-Lee ha espresso l’auspicio che altri governi seguano l’esempio del Brasile e si uniscano nella firma della carta, definita come un fantastico esempio di come i governi possono giocare un ruolo positivo nell’avanzamento dei diritti civili su Internet e nel mantenimento di una rete aperta.

Dopo l’intervento della Presidente anche la Commissaria Europea Neelie Kroes ha espresso il suo entusiasmo definendo il Marco civil come “una festa”.

posted by admin on aprile 18, 2014

Portfolio

(No comments)

Tra gli articoli di rilievo sul tema Diritto & Internet comparsi nel corso della settimana si segnalano..

La Cassazione riconosce come reato di diffamazione un insulto su Facebook anche se privo del nome dell’offeso:

  • “Facebook, linea dura della Cassazione “Insulti anonimi sono diffamazione – Annullata l’assoluzione di un finanziere che aveva offeso un collega senza nominarlo: la reputazione è lesa se la vittima è riconoscibile anche da pochi”. [articolo su La Stampa]

Allarme Heartbleed:

  • “Il bug Heartbleed è in gran parte stato sanato, ma ci sono ancora più di 20.000 siti vulnerabili“. [articolo in inglese su Business Insider]
  • “In manette il primo cracker di Heartbleed”. [articolo su Il Sole 24 Ore]

Notizie dal Datagate:

  • Il botta e risposta tra Snowden e Putin. L’ex dipendente della Nsa ha partecipato a un dibattito televisivo russo, chiedendo esplicitamente a Putin se la Russia eseguisse operazioni di sorveglianza di massa”. [articolo su Wired]
  • “Nsa smentisce, non sapevamo del bug Heartbleed. Secondo alcune fonti lo avrebbe sfruttato per due anni”. [Articolo su ANSA]

L’attività di Google, è nuovamente motivo di preoccupazione in rete:

  • “Le email di Gmail verranno analizzate per favorire annunci pubblicitari mirati. Il 14 aprile Google ha aggiornato i suoi termini di servizio, informando gli utenti che tutte le loro email verranno analizzate automaticamente da un software per creare degli annunci pubblicitari mirati”.  [articolo su Internazionale]
  • “Axel Springer contro Google: «E’ un estorsore» - In una lettera aperta il ceo del gruppo editoriale tedesco, Mathias Doepfner: «Mountain View ci fa paura. Le big company troppo potenti». Ma presto la situazione si ribalterà: «La storia insegna che i monopoli non durano mai troppo a lungo»”. [articolo su Corriere delle Comunicazioni]

Il Consiglio d’Europa pubblica un documento che elenca i diritti degli utenti della rete:

  • “Quali sono i diritti dei navigatori? Ecco la guida online. A firma del Consiglio d’Europa il vademecum per orientarsi fra questioni spinose quali privacy, libertà d’espressione, contrattualistica”. [articolo su Corriere delle Comunicazioni]

Buona lettura e buone festività pasquali!

Con la pubblicazione nella Gazzetta Ufficiale, Serie Generale, n. 89 del 16 aprile 2014, della circolare AGID n. 65 del 2014, entrano in vigore le nuove regole per l’accreditamento dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici.
La circolare è stata illustrata su questo blog nel post del 17 aprile 2014.

L’Agenzia per l’Italia Digitale ha adottato la circolare n. 65 del 10 aprile 2014, “Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’art. 44 bis, comma 1° del decreto legislativo 7 marzo 2005, n. 82”.

La circolare, che sostituisce la precedente circolare DigitPA n. 59 del 2011, definisce le modalità per l’accreditamento presso l’Agenzia e per la vigilanza dei soggetti che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi (art. 44 bis, comma 1° del CAD).

Confrontiamo la nuova circolare con la precedente circolare DigitPA n. 59 del 2011.

Ad un primo confronto, la circolare n. 65 del 2014 non si discosta dalla precedente in relazione agli elemnti essenziali.

I requisiti generali per chiedere l’accreditamento sono rimasti identici ad eccezione dell’evidente riferimento alle regole tecniche in materia di conservazione di recente entrata in vigore (d.p.c.m. 3 dicembre 2013).

Anche i requisiti ulteriori, di natura organizzativa, richiesti nel caso in cui il conservatore sia un soggetto privato non hanno subito modifiche.

Una novità è costituita dalla possibilità attribuita al conservatore di affidare ad un altro conservatore accreditato le attività di supporto del processo di conservazione “limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati”. In questo caso, il manuale della conservazione dovrà descrivere le modalità con cui avviene detto affidamento e il conservatore deve fornire (si ritiene all’AGID) copia del relativo contratto.

Identiche, rispetto alla precedente circolare, sono le modalità di presentazione della domanda e identici gli elementi che dalla domanda devono risultare.

Anche l’iter istruttorio della domanda è rimasto identico al passato ad eccezione di un elemento di dettaglio relativo al termine di sospensione di novanta giorni per il silenzio assenso da parte dell’Agenzia. Se in precedenza, in caso di sospensione, la documentazione doveva essere integrata entro sessanta giorni dalla data di sospensione, attualmente il termine è stato esteso a centottanta.

È stato specificato, inoltre, che l’Agenzia svolge la sua attività istruttoria sulla base di un documento pubblicato sul sito istituzionale della Agenzia e denominato “Requisiti di qualità e sicurezza per l’accreditamento”. Ciò, evidentemente, attesta la volontà di assicurare una maggiore trasparenza nella procedura.

La nuova circolare specifica le informazioni che sono pubblicate sul sito istituzionale dell’Agenzia rispetto ai conservatori accreditati.

Maggiormente dettagliata, inoltre, rispetto alla precedente circolare risulta l’attività di vigilanza condotta dall’Agenzia e gli obblighi in capo ai conservatori accreditati di costante comunicazione di eventi idonei a modificare l’impianto e di certificazioni idonei ad attestare il rispetto della normativa.

Di immediato rilievo, infine, appare la disposizione che impone ai conservatori che avevano presentato la domanda di accreditamento, ai sensi della precedente circolare, di integrare la precedente comunicazione entro centottanta giorni dalla data di pubblicazione in Gazzetta Ufficiale.

Pubblicazione in Gazzetta Ufficiale di cui ad oggi si è in attesa.

Heartbleed.svgIn considerazione dell’allarme diffuso dalla stampa sul bug Heartbleed, forniamo qui, a beneficio dei lettori, le principali cose da sapere sul “baco”, sui suoi effetti e sulle misure di sicurezza da adottare.

Cos’è Heartbleed?

Il bug Heartbleed (in italiano traducibile con “cuore che sanguina”) è una vulnerabilità informatica individuata nella library crittografica di Open SLL, che è l’implementazione open source del protocollo TLS normalmente impiegato per garantire una comunicazione sicura in rete, dalla sorgente al destinatario.

La vulnerabilità rilevata può permettere a terzi di intercettare le comunicazioni scambiate attraverso i protocolli di criptazione che, in condizioni normali, proteggono le informazioni scambiate su applicazioni internet quali email, instant messaging (IM) e alcune virtual private networks (VPNs). Il bug scoperto mette a repentaglio la sicurezza di queste comunicazioni.

Heartbleed può permettere a chiunque di accedere alla memoria dei sistemi protetti attraverso le versioni vulnerabili del software OpenSLL. In questo modo vengono compromessi i codici segreti usati per identificare i service provider e per criptare il traffico, i nomi e le password degli utenti. Attraverso queste informazioni terze parti possono accedere ai dati direttamente dai servizi e degli utenti, rubando la loro “identità digitale”.

Qual è la particolarità di questo bug?

A differenza dei consueti bug dei singoli software, Heartbleed è responsabile di una vulnerabilità diffusa su molte applicazioni internet, e per lungo tempo ha lasciato aperto un varco di accesso ad un’enorme quantità di dati.

Chi ne è maggiormente colpito?

OpenSSL è la libreria criptografica open source più diffusa in rete. Pertanto si può dire che direttamente o indirettamente qualunque utente di internet può essere vittima della vulnerabilità del bug. Social media, siti di e-commerce, network aziendali, siti istituionali:  moltissimi servizi online utilizzano il protocollo TLS per l’identificazione e per proteggere la privacy e le transazioni degli utenti. Inoltre è possibile che sul computer degli utenti siano installati client side software che potrebbero esporre i dati archiviati sul computer quando si connettono a servizi compromessi.

È possibile scoprire se si è subito un attacco attraverso il bug?

No. Lo sfruttamento della vulnerabilità Heartbleed non lascia tracce e non è possibile sapere se si è stati oggetto di attacchi.

È stato riparato il bug?

Sì. Una versione riparata di OpenSLL è stata rilasciata il 7 Aprile 2014, lo stesso giorno in cui è stata pubblicamente annunciata la scoperta del bug. In quel momento è stato stimato che il 17% degli Internet’s secure web servers fosse vulnerabile ad eventuali atacchi. Attualmente non è stimato il numero di provider che hanno già aggiornato il proprio Open SLL.

Come ci si difende?

Cambiare le password dei propri account sembra ad oggi l’unica mossa difensiva in capo ai singoli utenti. Tuttavia, potrebbe non essere abbastanza. È infatti recentemente emerso che sfruttando la falla è possibile rubare i certificati di sicurezza che stabiliscono l’autenticità di un sito. In una simile eventualità cambiare le password sarà inutile perché le nuove password sarebbero trasmesse direttamente a criminali informatici che fingono di essere i legittimi siti.

Importante anche aggiornare le ultime versioni disponibile di software e sistemi operativi di computer, tablet e smartphone, in particolare la versione del sistema operativo Google Android 4.1.1.

Per controllare se i siti che visitiamo hanno rimediato alla vulnerabilità è possibile utilizzare un “checker” come quello rilasciato dalla McAfee (disponibile QUI).

Seguiranno aggiornamenti su ulteriori sviluppi.

Regolamento sulla conservazione, Regolamento IVASS e Regolamento eIDAS in materia di identificazione online e servizi fiduciari. In questo video, Giusella Finocchiaro illustra le ultime novità in materia di digitalizzazione.



Il quotidiano Lettera43 ha recentemente intervistato Giusella Finocchiaro sul tema delle recensioni negative anonime su Tripadvisor. Vi proponiamo un estratto dell’articolo.

tripadvisor

[...] In Italia, la levata di scudi di commercianti e imprenditori è sempre più compatta: da Federalberghi, che in una nota ha parlato di «vera emergenza», a causa di «illeciti capaci di turbare il lavoro degli operatori turistici con ricatti e paure», all’associazione Sos albergatori, che con l’applicazione Pirtadvisor provano a smascherare le recensioni ingannevoli, fino a quelli diventati aperti oppositori del portale Usa, tanto da esporre all’entrata del locale un cartello inequivocabile: «Qui non si accettano utenti di TripAdvisor».
Il problema, dibattuto da anni, è innanzitutto giuridico: il decreto legislativo 70/2003 (concepito in attuazione della direttiva europea 2000/31/Ce) prescrive che il titolare del servizio sul web non è responsabile delle informazioni inviate da un utente, a meno che non sia a conoscenza del fatto che l’attività o l’informazione è illecita, o che qualora a conoscenza di tali fatti, su richiesta del giudice, non agisca subito per rimuovere le informazioni o per inibirne l’accesso.
È per questo che TripAdvisor o altri siti simili non hanno l’obbligo di verificare l’identità di chi scrive o le informazioni riportate, e dunque «l’unica tutela possibile è quella a reato già avvenuto: chiedere la rimozione della recensione, direttamente o tramite il proprio legale, e il risarcimento del danno», spiega a Lettera43.it Giusella Finocchiaro, avvocatessa e docente di Diritto di internet all’Università di Bologna, e che dal 2003 studia la privacy e l’anonimato in rete, «o agire in giudizio, anche in caso di diffamazione o lesione del diritto all’identità personale»

Continua su Lettera 43