Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on febbraio 27, 2015

Libertà di Internet

(No comments)

L’organo regolatore delle comunicazioni ha stabilito le nuove regole per la diffusione dei dati online, schierandosi contro l’eventualità di una “rete a due velocità”.

A seguito di un dibattito pubblico che ha coinvolto l’intera nazione per mesi, la Federal Communications Commission (FCC) ha votato nei giorni scorsi le nuove regole a favore della cosiddetta “net neutrality”, il principio secondo cui la rete debba essere “neutrale”, uguale per tutti, senza privilegi e limitazioni.

Con 3 voti a favore e 2 contrari, la FCC ha stabilito che i fornitori di risorse di connettività non potranno esercitare alcuna forma di blocco o limitazione, tantomeno offrire canali privilegiati per la trasmissione dei dati, differenziando in tal modo l’accesso degli utenti ai contenuti e servizi internet.

Secondo quanto votato, le infrastrutture di rete debbono essere considerate un servizio pubblico universale che non può discriminare in alcun modo l’accesso dei cittadini ai contenuti e servizi.

Inoltre, i provider tradizionali su rete fissa e gli operatori mobili vanno intesi come operatori di pubblica utilità, e in quanto tali soggetti alla vigilanza della stessa FCC, a cui dovranno rivolgersi per contenziosi ed eccezioni.

Al momento, e in attesa degli eventuali ricorsi in tribunale, sembra allontanarsi l’ipotesi della cosiddetta rete a due velocità, basata sulla differenziazione per criteri economici, sostenuta da provider di servizi come Verizon e At&t, e osteggiata da grandi gruppi tecnologici come Amazon, Google e Facebook. Un’eventualità fortemente avversata anche dalla Casa Bianca: “Grande notizia, oggi la FCC ha votato per una rete libera e aperta a tutti” ha dichiarato in un tweet Barak Obama.

posted by admin on febbraio 26, 2015

ISP, Responsabilità dei provider

(No comments)

whatsappRitirata l’ordinanza che bloccava l’utilizzo dell’app in tutto il paese, ma per WhatsApp rimane l’obbligo di consegnare i messaggi degli utenti su richiesta delle autorità brasiliane.

Lo scorso 11 febbraio un giudice dello Stato di Piauì (nord del Brasile) aveva ordinato la sospensione del servizio di messaggistica istantanea in tutto lo stato Brasiliano.

La decisione era stata presa in seguito alla mancata collaborazione di WhatsApp su un’indagine relativa a un caso di pedofilia risalente al 2013. La compagnia americana aveva negato al nucleo investigativo della Polizia Civile di Piauí l’accesso alle informazioni contenute in messaggi scambiati da alcuni clienti del servizio sul territorio brasiliano.

A fonte del reiterato rifiuto di Whatsapp di fornire le informazioni richieste, il giudice Luiz de Moura Correia del Distretto di Teresina ha ordinato ai principali ISP mobili del Brasile di inibire l’accesso al servizio nei confronti di tutti i clienti sull’intero territorio nazionale.

L’opinione pubblica ha reagito duramente alla notizia, esprimendo critiche nei confronti del giudice e pubblicando contenuti satirici sui principali social network.

Le compagnie telefoniche hanno disposto un immediato ricorso e il 26 febbraio i giudici Raimundo Nonato da Costa Alencar e José Ribamar Oliveira, del Tribunale di giustizia di Piauí hanno annullato la sentenza del giudice Correia salvguardando il diritto all’utilizzo dell’App da parte degli utenti brasiliani.

Tuttavia, hanno fatto sapere i giudici, la decisione di annullare il blocco nazionale non esime WhatsApp dall’obbligo di fornire le informazioni richieste dalle autorità investigative brasiliane.

L’obbligo è sancito dal Marco Civil, la “costituzione di Internet” del Brasile, che dispone che tutti i servizi offerti su Internet ai cittadini brasiliani siano soggetti alla legge del paese.

Secondo un recente report, nel 2014 Whatsapp è stato il quarto applicativo mobile più usato in Brasile e ha veicolato il 13% del traffico mobile di tutto il paese.

In occasione del Safer Internet Day 2015 presso la Corte di Cassazione si è tenuto il convegno “Cybersecurity e tutela dei cittadini”, promosso dall’Accademia Italiana del Codice di Internet. Per  l’occasione si sono riuniti giuristi, esperti della materia, rappresentanti delle istituzioni e stakeholder.

L’evento è stato introdotto dal Prof. Alberto Gambino, Presidente dell’Accademia e Ordinario di Diritto privato presso l’Università Europea di Roma, e moderato dalla Prof.ssa Giusella Finocchiaro, Presidente del gruppo lavoro sul commercio elettronico della Commissione Onu per il diritto commerciale internazionale – Uncitral.

I temi su cui era incentrato l’incontro sono stati molteplici: dalle reti inter-istituzionali alla criptazione dei dati, dalla repressione della propaganda estremista alla sicurezza informatica in senso stretto.

A conclusione dell’evento Giusella Finocchiaro ha commentato le tematiche trattate sottolineando che “emerge la necessità di un approccio consapevole dei diritti in gioco costituzionalmente tutelati, ma bisogna altresì essere consapevoli che, data la dimensione globale dei temi, non c’è sempre condivisione tra i vari Paesi sui diritti e sui valori in questione.”

Secondo la professoressa, il secondo dato fondamentale è che, sotto il profilo normativo, non si può non adottare un approccio a più livelli e insieme giuridico e tecnologico. Ma soprattutto ” la sicurezza non può non essere integrata, nel senso che deve essere tecnologica, giuridica e anche umana, con un forte richiamo al ruolo politico, perché le politiche di sicurezza in questo ambito non possono essere considerate soluzioni meramente tecnlogiche”.

Per una sintesi del convegno con galleria fotografica si rimanda alla rivista Diritto Mercato e Tecnologia.

L’audio integrale del convegno è disponibile a QUESTO indirizzo.

Pubblicato dal Garante per la protezione dei dati personali il bilancio delle attività ispettive e sanzionatorie dell’ultimo anno.

Nel 2014, l’ammontare delle sanzioni applicate dal Garante Privacy nei confronti di pubbliche amministrazioni e società private raggiunge i 5 milioni di euro. La somma, con un incremento di quasi un milione rispetto al 2013, è in larga parte dovuta a violazioni in materia di misure di sicurezza, omessa o carente informativa, uso illecito di dati personali.

Sono 385 gli accertamenti ispettivi avviati che hanno coinvolto, tra gli altri, laboratori di analisi, società farmaceutiche, gestori di nodi di interscambio internet, società che gestiscono sistemi di mobile payment, app mediche e operatori telefonici.

Registrate anche 577 sanzioni amministrative contestate, che riguardano soprattutto casi di omessa o inidonea informativa, trattamento illecito di dati, mancata comunicazione di violazioni di dati personali.

Infine il Garante ha inviato all’autorità giudiziaria 39 segnalazioni relative a casi di mancata adozione delle misure minime di sicurezza, violazioni connesse al controllo a distanza dei lavoratori, accesso abusivo a sistemi informatici o telematici, false dichiarazioni e notificazioni al Garante, inosservanza dei provvedimenti dell’Autorità

Per quanto riguarda il 2015, in aggiunta ai procedimenti avviati lo scorso anno, sono già previsti 150 accertamenti di verifica, focalizzati sul trattamento dei dati personali nei sistemi di mobile payment, del fascicolo sanitario elettronico, del telemarketing e dei call-center operanti all’estero.

Approvato dall’autorità Garante il protocollo di verifica delle misure che Google adotterà per la tutela della privacy degli utenti italiani.

Per la prima volta in Europa “Big G” si assoggetta a una normativa nazionale. Con un comunicato reso pubblico in questi giorni sul sito del Garante per la protezione dei dati personali, sono state annunciate le misure con cui Google si conformerà alla normativa sui dati personali del nostro Paese.

A seguito dell’istruttoria avviata nel 2013 (di cui abbiamo parlato QUI), il Garante aveva emesso un provvedimento prescrittivo finalizzato a rendere la privacy policy del colosso di Mountain View conforme alle norme nazionali, nel quale si dettavano le regole da osservare per i molteplici servizi offerti: dalla posta elettronica (Gmail) al social network (Google+), dalla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube) e dalle mappe on line (Street View), all’analisi statistica (Google Analytics).

Il provvedimento prevedeva inoltre la sottoscrizione un protocollo di verifica delle iniziative di adeguamento da implementare nel corso del 2015. Eccole in sintesi:

  • l’informativa sulla privacy dovrà essere accessibile e chiara, anche per ciò che concerne i dettagli sulle finalità e modalità del trattamento dei dati degli utenti;
  • per profilare chi utilizza i servizi occorrerà prima ottenerne il consenso informato degli utenti, e dovrà essere garantito il diritto ad opporsi al trattamento dei dati personali;
  • dovranno essere garantite tempistiche precise per la cancellazione dei dati, sia di quelli online sia di quelli archiviati su sistemi di back-up;
  • per quanto riguarda il diritto all’oblio, continuerà lo scambio di informazioni per il monitoraggio delle richieste di rimozione ricevute da parte degli utenti italiani.

Il provvedimento di approvazione del protocollo di verifica che disciplina le attività di controllo da parte del Garante sulle prescrizioni impartite a Google è disponibile sul sito del Garante privacy.

posted by admin on febbraio 18, 2015

Computer Crimes, Miscellanee

(No comments)

È stato definito il più grande furto perpetrato a mezzo informatico: si stima che il gruppo di hacker abbia sottratto alle banche oltre 1 miliardo di dollari in due anni.

Il furto è stato reso noto dalla compagnia di sicurezza informatica Kaspersky, che in collaborazione con l’Interpol, l’Europol e le agenzie di sicurezza nazionali di diversi paesi, ha portato alla luce un’operazione criminale senza precedenti, che ha colpito gli istituti bancari di  30 stati.

Secondo quanto scoperto, l’attività criminale avrebbe avuto inizio nel 2013 e avrebbe colpito, oltre alle banche, anche sistemi di pagamento elettronici e istituti finanziari.

Il denaro è stato sottratto attraverso un sofisticato sistema di hacking che si basa su un malware denominato Carbanak.

Sergey Golovanov, Principal Security Researcher presso il Kaspersky Lab ha reso noto che l’indagine ha avuto origine dalle riprese di una telecamera di sicurezza che mostravano un individuo che ritirava soldi da un bancomat senza toccare la macchina. Il bancomat li emetteva infatti in automatico, come se fosse controllato da remoto. Il misterioso furto si replicava su diversi bancomat della stessa banca, che ha richiesto al team di Kaspersky di iniziare ad investigare.

Le indagini inizialmente si sono concentrate sulla rete di bancomat della banca colpita dal furto ma in breve tempo hanno portato alla scoperta che tutta la rete informatica bancaria presentava una configurazione modificata da terzi attraverso due “malicious code” open-source, Carberp e Anunak.

Seguendo le tracce di questi codici non autorizzati i cyber-investigatori hanno individuato Carbanak, un malware presente nella rete aziendale interna di una banca di di Mosca. Il codice “criminale” aveva infettato il sistema bancario attraverso email di phishing inavvertitamente aperte dagli impiegati.

Alla luce di questa scoperta, il team di Kaspersky ha analizzato i sistemi bancari di tutte le banche del mondo che negli ultimi anni avevano registrato misteriosi furti ai bancomat, trasferimenti bancari non autorizzati e conti correnti fantasma. Il malware Carbanak è stato trovato in tutti i sistemi analizzati.

Il funzionamento della truffa perpetrata attraverso Carbanak è stato ampiamente riportato dalla stampa per la sua ingegnosità. Una volta infettato un sistema, il malware si diffonde attraverso le reti aziendali fino ad individuare i computer degli addetti ai trasferimenti di denaro. Su queste macchine Carbanak installa dei sistemi di registrazione delle attività compiute sullo schermo per permettere ai criminali di osservare le procedure degli impiegati al lavoro.

Attraverso lo studio del lavoro quotidiano degli addetti bancari, i criminali hanno acquisito tutte le informazioni per replicare le procedure e trasferire denaro tra i conti correnti. Tuttavia, nessun furto ha colpito direttamente i clienti delle banche. Il sistema di frode infatti si basava sull’individuazione di conti controllati raramente dai proprietari. Questi conti venivano poi “gonfiati” per via telematica con l’aggiunta di svariati zeri alle cifre depositate. La somma effettivamente aggiunta al conto corrente veniva poi trasferita elettronicamente su conti di banche cinesi e americane intestati ai criminali. In questo modo, i proprietari dei conti correnti usati per trasferire il denaro non si accorgevano dell’intrusione e, di fatto, a rimetterci erano solo gli istituti bancari.

L’altra modalità con cui i criminali informatici si impossessavano dei fondi bancari passava attraverso l’utilizzo di bancomat infettati con codice malware. In questi casi, il denaro non veniva dirottato verso altri conti correnti ma direttamente presso postazioni bancomat, dove erano appostati membri dell’organizzazione criminale ad attendere il contante.

È stato calcolato che grazie a Carbanak i cyber-ladri sono riusciti a trafugare oltre 1 miliardo di dollari in due anni. I “colpi” più redditizi, perpetrati unicamente per via telematica, fruttavano ai criminali oltre 10 milioni di dollari alla volta. In media, ogni rapina richiedeva un lavoro dai due ai 4 mesi, dall’inizio dell’infezione informatica al momento del furto vero e proprio.

Gli investigatori hanno ipotizzato che i criminali siano originari dell’Europa dell’est o della Cina. Le banche vittime di furto sono principalmente statunitensi, inglesi, australiane, canadesi e di Hong Kong. I criminali ad oggi non sono stati identificati e rimangono potenzialmente attivi.

Qui, il video del Corriere.it che ricostruisce la dinamica dei furti al bancomat:

posted by admin on febbraio 17, 2015

Ecommerce e contrattualistica

(No comments)

mobilepaymentPubblicato il primo rapporto italiano dedicato alla finanza digitale: le più recenti innovazioni di mercato e regolamentari in tema di pagamenti elettronici, credito al consumo e utilizzo dei big data nel settore finanziario.

Il 17 febbraio 2015 I?Com (Istituto per la Competitività) insieme ai partner Agos Ducato, BNL, Credem, Edenred e MasterCard hanno presentato il rapporto DIGFIN, che fa il punto sullo stato della Digital Finance Innovation nel nostro Paese.

Nella classifica dei primi 10 paesi europei per numero di transazioni elettroniche, l’Italia è al quinto posto con 4,5 miliardi di operazioni eseguite nel 2013. Ai primi posti, Germania (circa 20 miliardi), UK (19, 7 miliardi) e Francia (18 miliardi);

Per quanto riguarda l’e-commerce, il settore nel 2013 in Europa ha mosso risorse per oltre 363 miliardi € (+16,3% rispetto al 2012), con un contributo significativo da parte dei paesi dell’Europa occidentale (50%), come UK e Germania. I siti on?line italiani hanno sviluppato, nel 2014, un volume di vendite pari a 13,2 miliardi € (+17% sul 2013).

Alla crescita importante del commercio elettronico sta contribuendo in maniera significativa la diffusione di dispositivi quali tablet e smartphone, che, a loro volta, sono tra le cause della convergenza tra e?payment e mobile payment. A questo proposito, il rapporto I?Com evidenzia che si prevede una crescita del 60,8% delle transazioni mobile, tra il 2010 e il 2015 (World Payment Report 2014).

L’importanza degli operatori non bancari è in crescita: nel 2015 peseranno per il 15% sul totale delle transazioni m?payment, quasi il doppio rispetto al 2011.

Il rapporto Digfin sottolinea la potenziale incidenza del credito al consumo sull’e?commerce, qualora se ne eguagliasse la possibilità di impiego rispetto alle vendite tradizionali. Nel nostro paese, il potenziale inespresso del credito al consumo a supporto dell’e?commerce è stato quantificato in 4,5 miliardi $ per il triennio 2015?2017. Tra gli interventi da implementare per concretizzare questo scenario, l’introduzione di nuove modalità di erogazione dei finanziamenti, l’apertura all’identificazione elettronica ed alla dematerializzazione dei processi, l’adozione di modelli multicanale, l’allargamento della rete distributiva di prodotti di credito al consumo ai merchant online e il supporto all’alfabetizzazione finanziaria del consumatore.

Il rapporto completo è disponibile QUI.

posted by admin on febbraio 16, 2015

Ecommerce e contrattualistica

(No comments)

ecuador_flag_58512Nel febbraio 2015 è stato dato il via all’utilizzo del Sistema de Dinero Electrónico, una funzionalità gestita dalla Banca Centrale del paese. Entro l’anno 500mila cittadini ecuadoriani potranno utilizzare la valuta digitale per pagare servizi e scambiarsi denaro.

L’Ecuador, 16 milioni di abitanti, è il primo paese al mondo a dotarsi di un apparato di valuta elettronica gestita dallo stato. Altri paesi, tra cui la Svezia, hanno sperimentato in questi anni sistemi di denaro virtuale relativo al pagamento di alcuni servizi, ma la gestione è sempre rimasta in mano a privati.

L’introduzione di una valuta elettronica è stata vista da parte di alcuni commentatori di economia come un primo passo dell’Ecuador verso l’affrancamento dal dollaro americano, che dal 2000 è la moneta ufficiale del paese. L’utilizzo della moneta digitale permetterebbe teoricamente all’Ecuador di poter emettere nuova valuta senza necessità di richiederla agli Stati Uniti. Tuttavia, il governo di Quito ha negato di avere questa intenzione, sottolineando che il Dinero Electronico si basa sui dollari americani ed è convertibile in qualunque momento in biglietti verdi.

A quanto si apprende dalla stampa, l’utilizzo di una moneta elettronica ha come primo obiettivo quello di risparmiare costi governativi legati all’uso della carta. L’Ecuador spende oltre $3 milioni all’anno nella sostituzione di banconote deteriorate con dollari freschi di conio e i pagamenti elettronici permetterebbero alle banconote di essere conservate in buono stato più a lungo.

È stato inoltre evidenziato un altro vantaggio: la gestione esclusiva della valuta digitale permetterebbe al governo di ottenere un monopolio statale sui pagamenti elettronici. Già dal luglio 2014 la più famosa valuta virtuale, il BitCoin, è stato dichiarato illegale nel paese.

La nuova valuta sarà utilizzabile attraverso i dispositivi mobili. Dal momento che non è necessario l’accesso ad Internet, i pagamenti saranno possibili non solo tramite smartphone ma anche con telefonini di vecchia generazione, ancora ampiamente diffusi nel paese.

La Banca Centrale dell’Ecuador ha annunciato che è già in essere un accordo con 60.000 membri dell’organizzazione dei taxisti del paese per il pagamento elettronico dei viaggi. Una seconda fase del progetto, prevista per metà febbraio, renderà possibile gli scambi di denaro virtuale fra le persone. Entro la fine del 2015, sarà poi possibile utilizzare la moneta elettronica per pagare le tasse.

A quanto si apprende, il nuovo sistema è stato accolto positivamente dalla cittadinanza ecuatoriana. Sono tuttavia state evidenziate possibili lacune in materia di protezione dei dati relativi ai pagamenti.

Il 10 febbraio 2015 il Garante per la protezione dati italiano e il Garante della protezione dei dati albanese hanno firmato un accordo di cooperazione per la tutela dei dati personali dei cittadini italiani e albanesi raccolti e utilizzati da soggetti pubblici e privati che operano in Albania.

L’accordo assume una particolare rilevanza per l’Italia in quanto l’Albania ospita i centri di assistenza telefonici di molte aziende italiane, o operanti in Italia.

Il Garante ha reso noto che “la cooperazione prevede un’attività ispettiva congiunta presso pubbliche amministrazioni e aziende private, inclusi i call center che operano in Albania, e si svilupperà perseguendo una serie di importanti obiettivi finalizzati allo scambio di esperienze e know-how, alla trattazione dei ricorsi presentati da cittadini di entrambi i Paesi, all’assistenza nella stesura di report e analisi, all’aggiornamento delle norme.”

L’accordo a tutela della privacy degli utenti nei call center “delocalizzati”, giunge a conclusione di una serie di incontri e momenti di scambio formativo tenuti presso l’Autorithy italiana.

posted by admin on febbraio 6, 2015

Computer Crimes, Eventi

(No comments)

Schermata 2015-02-09 alle 19.14.44In occasione del Safer Internet Day 2015, l’Accademia Italiana del Codice di Internet organizza presso la Corte Suprema di Cassazione un convegno dedicato al delicato tema del bilanciamento tra i diritti dei cittadini e la sicurezza della rete.

I drammatici episodi di Parigi e i conseguenti annunci di nuove misure antiterrorismo da parte dei governi occidentali hanno riaperto il dibattito su quali strumenti possano garantire, da un lato una maggiore sicurezza sulle reti informatiche e dall’altro la tutela dei diritti dei cittadini. Una tematica di rilievo ricordata anche dal nuovo Presidente della Repubblica, Sergio Mattarella, durante il suo discorso di insediamento.

Dalle reti inter-istituzionali alla criptazione dei dati, dalla repressione della propaganda estremista alla sicurezza informatica in senso stretto, non mancano temi e strumenti sui quali incardinare e sviluppare un dibattito al quale l’Accademia Italiana del Codice di Internet mira a contribuire promuovendo “Cybersecurity e tutela dei cittadini: strumenti normativi, modelli d’intervento e interessi in gioco”, convegno previsto nel pomeriggio del prossimo 11 febbraio a Roma presso l’Aula Giallombardo della Suprema Corte di Cassazione.

L’evento riunirà giuristi, esperti della materia, rappresentanti delle istituzioni e stakeholder in un confronto che sarà introdotto dal Prof. Alberto Gambino, Presidente dell’Accademia e Ordinario di Diritto privato presso l’Università Europea di Roma, e moderato dalla Prof.ssa Giusella Finocchiaro, Socio Fondatore dell’Accademia e Presidente del gruppo lavoro sul commercio elettronico della Commissione Uncitral.

La prima parte “Quali strumenti normativi che garantiscano i diritti fondamentali?” sarà animata dagli interventi del Min. Plen. Giovanni Brauzzi (Vice Direttore Generale per gli Affari Politici e Direttore Centrale per la Sicurezza), dell’Avv. Giuseppe Busia (Segretario Generale Autorità Garante per la protezione dei dati personali), del Tenente Colonnello Antonio Colella (Presidenza del Consiglio dei Ministri – Ufficio del Consigliere Militare), di Corrado Giustozzi (membro del Permanent Stakeholders’ Group ENISA), di Alessandro Politi (direttore NATO Defense College Foundation) e dell’Ing. Mario Terranova (Area Sistemi e Tecnologie – AgID).

Spazio poi a “Quali modelli d’intervento efficaci per il contemperamento degli interessi in gioco?”, alla quale parteciperanno il Prof. Francesco Saverio Romolo (Université de Lausanne), Anna Cataleta (H3G), Roberto Fermani (Telecom Italia) e Andrea Stazi (Google). È stato richiesto l’accreditamento per 4 crediti formativi al Consiglio dell’Ordine degli Avvocati di Roma.

La partecipazione al Convegno è gratuita per maggiori informazioni si rimanda al sito IAIC.