In vigore la NIS2 dal 16 ottobre

Video istituzionale NIS2 – ACN

Dal 16 ottobre 2024 è entrata in vigore la nuova normativa italiana sulla Network and Information Security (NIS).
L’Agenzia per la cybersicurezza nazionale è l’Autorità competente per l’applicazione della NIS e punto di contatto unico, delineando un percorso graduale e sostenibile per consentire alle organizzazioni pubbliche e private di adempiere ai nuovi obblighi di legge.

Aumentano i campi di applicazione della normativa. I settori interessati diventano 18, di cui 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti, distinguendoli tra essenziali e importanti in relazione al livello di criticità delle attività svolte e del settore in cui operano. Quindi, maggiori obblighi per le misure di sicurezza e per la notifica degli incidenti e più potere di supervisione all’Agenzia e agli organi preposti alla risposta agli incidenti e alla gestione della crisi.

Sono previsti anche nuovi strumenti per la sicurezza informatica, come la divulgazione coordinata delle vulnerabilità, da realizzarsi attraverso la cooperazione e la condivisione delle informazioni a livello nazionale ed europeo.

Il percorso di attuazione L’adeguamento alla normativa NIS prevede un percorso sostenibile con una graduale implementazione degli obblighi.

Il primo passo, per i soggetti interessati, è quello di registrarsi al portale di ACN. C’è tempo dal 1° dicembre 2024 fino al 28 febbraio 2025 per le medie e grandi imprese e, in alcuni casi, anche per le piccole e le microimprese. Per agevolare il recepimento degli obblighi di notifica di incidente e delle misure di sicurezza, gli stessi verranno definiti in maniera progressiva e a valle delle consultazioni nell’ambito dei tavoli settoriali in seguito alle determine del Direttore Generale di ACN che saranno adottate entro il primo quadrimestre del 2025.

È prevista, inoltre, una finestra temporale di implementazione differenziata: 9 mesi per le notifiche e 18 mesi per le misure di sicurezza, decorrenti dalla data di consolidamento dell’elenco dei soggetti NIS (fine marzo 2025). Da aprile 2025 partirà quindi un percorso condiviso di rafforzamento della sicurezza informatica nazionale ed europea.

ITU CYBER SECURITY INDEX 2024

L’Italia è un Paese modello per la sua postura nella cybersicurezza. A dirlo è l’ITU, l’International Telecommunication Union, agenzia delle Nazioni Unite specializzata in ICT, che promuove a pieni voti (100/100) il nostro Paese nel report Global Cybersecurity Index 2024. Con questa pubblicazione, giunta alla quinta edizione, l’agenzia ONU valuta il livello di maturità della cybersicurezza di oltre 190 Paesi, prendendo come parametro 5 aspetti: legale, tecnico, organizzativo, sviluppo delle capacità e cooperazione. L’ITU suddivide i Paesi in gruppi: dai più virtuosi (Tier 1) a quelli in via di costruzione (Tier 5). Il primo gruppo, a cui si accede con un voto minimo di 95/100, è composto dai 46 Paesi che hanno dimostrato un forte impegno nel settore, coordinando le attività del governo con quelle dei privati e dimostrando solidità in tutti e cinque i parametri.

L’Italia è stata quindi promossa per la normativa nazionale sulla cybersicurezza e sul cybercrime, le sue capacità tecniche come la presenza di un CSIRT nazionale, l’adozione di una strategia nazionale e la presenza di un’agenzia governativa specializzata (l’ACN appunto), gli incentivi per lo sviluppo, il miglioramento delle competenze e della consapevolezza. E, infine, per la collaborazione a livello internazionale e con i privati.

Per la rilevazione, ogni Paese ha compilato un questionario tramite il punto di contatto, che per l’Italia è l’Agenzia per la cybersicurezza nazionale. I dati così raccolti sono stati arricchiti e verificati da fonti indipendenti. Il report 2024 è stato realizzato analizzando 30mila url e più di mille pdf, fa sapere l’ITU.

Nonostante il miglioramento globale nella postura di cybersicurezza, l’ITU invita a non abbassare la guardia. Tra le minacce persistenti segnala: i ransomware, gli attacchi informatici – che toccano industrie chiave causando anche interruzioni di servizi – e le violazioni della privacy che riguardano individui e organizzazioni. 

Giornalismo e AI: profili giuridici e normativi. Le questioni aperte su privacy e cybersecurity

Un conto è vedere un deepfake nel post di instagram, un altro è vederlo in un documentario o in una inchiesta giornalistica, cioè in formati informativi che per definizione devono dare conto di fatti, persone e contesti, reali.

Per capirci, una cosa è riportare in vita i dinosauri in un film, un’altra è creare false invettive di un capo di stato in un servizio giornalistico.
Di complottisti è già pieno il mondo.

Ecco, il primo problema che il giornalismo ha con l’IA è proprio questo. In un mondo in cui è possibile simulare tutto (o quasi) come possiamo trovare e raccontare la verità?

In una dichiarazione di questi giorni un leader dell’AFD, partito di estrema destra tedesca, ha detto: “non credete a quello che c’è nei libri di storia”. Se i codici della simulazione applicati dall’IA vengono usati per riscrivere documenti storici, ci saranno nuovi argomenti e presunte prove per motivare quella affermazione.

Come diceva Stefano Rodotà, non tutto quello che è tecnicamente possibile è eticamente lecito. E neppure legale.

Di questo parleremo io e Guido Scorza martedì prossimo, 24 settembre a Roma, all’Università Sapienza, dove Il Dipartimento CoRiS ha organizzato, nell’ambito delle attività del Rome Technopole, un ciclo di seminari sui rapporti tra il mondo dell’informazione e le innovazioni tecnologiche e sociali introdotte dall’intelligenzaartificiale.

Il tema del giorno sarà “Giornalismo e AI: profili giuridici e normativi. Le questioni aperte su privacy e cybersecurity”.

PS: il seminario offre crediti formativi per i giornalisti.

La nazionale italiana degli hacker

È stata presentata oggi, in conferenza stampa, la nazionale italiana dei cyberdefender. TeamItaly, questo il nome, parteciperà alla European Cybersecurity Challenge di Torino dal 7 all’ 11 ottobre presso le Grandi Officine Riparazioni.

L’evento, organizzato da Acn e dal Laboratorio nazionale di cybersecurity del Cini vedrà la partecipazione di 38 squadre e due delegazioni ospiti in qualità di osservatori. La ECSC del 2024 è la settima competizione europea che vede competere il Team Italy nelle gare di attacco e difesa e “jeopardy” cioè sfide in parallelo in cui le singole squadre affrontano varie problematiche di sicurezza dalla crittografia alla web Security.

Alla presentazione hanno partecipato il Magnifico Rettore delL’IMT di Lucca, il Prof. Rocco De Nicola, che ha ospitato la conferenza nella sede universitaria; il neo direttore del Laboratorio nazionale di cybersecurity del CINI, professore Alessandro Armando; il vice caposervizio del Servizio Programmi e progetti tecnologici e di ricerca dell’ACN, dottoressa Liviana Lotti; gli allenatori della squadra Mario Polino ed Emilio Coppa.

Cybermania e gli altri

Cybermania, il libro di Eviatar Matania e Amir Rapaport (Cybertech-Arrowmedia Israel, 2022), racconta di come Israele sia diventata la principale superpotenza nel dominio che sta rivoluzionando il futuro dell’Umanità, cioè il dominio cyber. Il libro descrive in maniera epica, e propagandistica, il Big bang dell’avvento della cybersecurity nel paese, il ruolo dell’ancora primo ministro Benjamin Netanyahu, il contributo dei militari e la capacità di attrazione del marchio Israele. In questo non si discosta molto dal best seller Startup Nation. The story of Israel’s economic miracle, del giornalista Saul Singer, scritto insieme allo studioso di relazioni internazionali Dan Senor, il cui racconto è sempre epico, propagandistico e marketing oriented.

La tesi centrale dei due libri è infatti la stessa: Israele è una grande potenza, economica e cibernetica, per tre motivi principali: l’apporto dato dai giovanissimi militari in servizio di leva che poi fanno nascere le start up, anche cyber; la cultura della complessità a cui è abituato il popolo del libro che fin dall’infanzia abitua i suoi uomini (non le donne), a mettere in discussione perfino la Torah; la capacità attrattiva dei risultati politici, economici e diplomatici che rendono Israele piattaforma perfetta per gli investimenti globali. Però Eviatar e Amir, nel caso di Cybermania, lo fanno attraverso racconti di prima mano e ci portano fin dentro le segrete stanze del potere. Non potrebbe essere altrimenti, visto che Amir Rapaport è il creatore di Cybertech, il maggiore evento mondiale B2B del mercato cyber, mentre Eviatar Matania, oggi professore universitario, è accreditato come l’ispiratore del Cyber Directorate israeliano.

Chi contesta ambedue i racconti è Antony Loewenstein, giornalista d’inchiesta del NYT e del Guardian, ebreo anche lui, d’origine australiana, che ha proprio un’altra tesi: il miracolo economico e cibernetico israeliano è frutto della logica di sopraffazione ai danni del popolo palestinese che, stretto nei territori occupati è il bersaglio perfetto delle sue tecnologie della sorveglianza e di repressione, le cui qualità possono essere appunto osservate, anche dai compratori, sul campo. Molto interessante è la disamina che Loewenstein fa delle cyberarmi israeliane, in particolare degli spyware di NSO come Pegasus e di quelle di Cellebrite e Intellexa. Secondo l’autore queste tecnologie sono state vendute e usate regolarmente da sistemi repressivi, democrature e dittature in tutto il mondo, sempre d’accordo col governo di Gerusalemme e a dispetto dei diritti umani di attivisti, giornalisti e politici regolarmente eletti. La dettagliata inchiesta, fatta sul campo, insieme a Elitay Mack, avvocato israeliano per i diritti civili, che ha portato regolarmente Israele sul banco degli imputati, è diventato un libro: Laboratorio Palestina. Come Israele esporta la tecnologia dell’occupazione in tutto il mondo, un libro che, al contrario di Cybermania, è stato tradotto in italiano, e pubblicato in Italia da Fazi Editore nel 2024.

Insomma, tre libri da leggere per chiunque si occupi degli aspetti economici, politici e tecnologici del mondo cyber.

Libri per l’estate: Social network e benessere

Entrare in un social network è come entrare in un casinò. Sai quando entri e non sai quando esci. Il motivo è semplice: i social sono progettati per creare attaccamento e dipendenza, dandoti poco e togliendoti molto attraverso l’illusione del controllo e della partecipazione. Nei social, come nei casinò, non sei padrone di quello che fai, le regole cambiano continuamente e il banco vince sempre. Però ti puoi giocare la reputazione anziché i soldi.

Secondo alcune ricerche (Kaspersky, 2021), la maggior parte dei giovani utenti intervistati vorrebbe poter cancellare i post che ha realizzato. Ma non sa come farlo. Quasi 1 dipendente su 3 ha ammesso di aver controllato i profili social dei colleghi, e di averli giudicati sulla base di ciò che hanno trovato. Il 42% degli intervistati ha inoltre affermato di conoscere qualcuno il cui lavoro o la cui carriera è stata influenzata negativamente da un contenuto postato sui social media in passato. Il 38% degli utenti afferma che il proprio profilo social non lo rappresenti in modo autentico.

Così il divertimento si tramuta in angoscia, paura di essere tagliati fuori, di non piacere abbastanza. I social sfruttano la psicologia spicciola delle persone e la voglia di esserci, di essere visti, di essere amati, come sostiene Raffaele Simone in Il mostro mite (2010). Ma è il conflitto la molla che ci tiene attaccati allo schermo con tutti gli effetti che conosciamo: casse di risonanza, effetto bandwagon, bolle informative.

Facebook, Twitter, Instagram, sono progettati per farci reagire in maniera emotiva (Infocrazia, Byung Chul Han, 2023) e, quando non si hanno molte occasioni di confrontarsi e di ragionare, l’impulso a litigare sui social durante la guardia al capannone, l’attesa del cliente che entra in negozio, tra un’e-mail di lavoro e un’altra, fa uscire fuori il lato peggiore di noi, irriflessivo e pulsionale, e nascono le shitstorm (Nello Sciame, Byung Chul Han, 2015).

Nonostante questo dato di fatto molti di noi boomer usano ancora Facebook. Ma Facebook è irriformabile e sbaglia chi pensa altrimenti. Nasce per essere uno strumento di sorveglianza commerciale e tale rimane la sua community, un allevamento di consumatori, profilati, schedati e attribuiti a specifiche categorie merceologiche per il profitto degli inserzionisti pubblicitari. E senza disdegnare di offrire il proprio contributo a partiti, media tycoon e spie di stato che usano la propaganda computazionale per creare consenso intorno a qualche idea politica o commerciale o disorientarci a suon di notizie false.

Le «fake news» di cui i social come Facebook e gli altri sono intrisi, rappresentano un problema cibernetico e psicologico perché proliferano proprio sui canali social dove incontriamo amici e parenti di cui ci fidiamo e quelli che abbiamo selezionato come appartenenti alla nostra cerchia, il famoso «effetto bolla». La loro riproducibilità a costo zero le rende virali e, come non sappiamo fermare le fake news, non siamo in grado di contrastare efficacemente troll, meme e fake video.

Le notizie false, prodotte con l’intento di modificare sentimenti e opinioni, sono una minaccia per la democrazia. La disinformazione che fa perno sulle bufale è da sempre un’arma in mano agli Stati per mettere in crisi gli avversari e disseminare paura, informazione e dubbio. Una tecnica che, con l’aumentare dell’importanza dell’opinione pubblica che si esprime nei social, è sfruttata per delegittimare le istituzioni e inquinare il dibattito scientifico. Sappiamo che gli esseri umani non sanno distinguere tra notizie vere e notizie false, che spesso non vogliono farlo e che, al contrario di quanto accade con i virus, invece di difendersi ne aiutano la propagazione per ottenere un vantaggio individuale.

A dispetto dei solenni impegni presi anche nel passato recente, i social non contrastano i bufalari.

Ormai abbiamo accumulato una letteratura consistente sul tema e anche i saggi divulgativi ne parlano in maniera precisa. Testi come Gli Obsoleti di Jacopo Franchi (2021) spiegano come l’utente non sia padrone del proprio profilo e che sono gli algoritmi e i moderatori che decidono cosa si può vedere e cosa no.

Disinformatia di Francesco Nicodemo (2017) e La macchina dello storytelling di Paolo Sordi (2018) descrivono il potere narrativo dei social media che mette all’asta desideri e bisogni degli utenti. Liberi di Crederci di Walter Quattrociocchi (2018) come e perché nascono le bufale, Il mercato del consenso, di Chris Wylie (2020), ci ha spiegato come Facebook sia ingegnerizzato per irretire i suoi utenti, Postverità ed altri enigmi (2022) di Maurizio Ferraris va alla radice delle peggiori litigate che scoppiano sotto un post.

Se proprio non vogliamo fare quello che Jaron Lanier dice in Dieci ragioni per cancellare subito i tuoi account social (2018), leggendo Il Manuale di disobbedienza digitale di Nicola Zamperini (2018) possiamo cominciare a imparare come difenderci.

Come dice lo storico ebreo Yuval Noah Harari nel suo 21 lezioni per il XXI secolo (2018), non esiste soluzione al problema dei pregiudizi umani che non sia la conoscenza. La razionalità è un mito e il pensiero di gruppo più potente di qualsiasi verifica. Ci abbiamo costruito sopra ideologie politiche e religioni millenarie.

La magistratura e i social network

La magistratura e i social network

Palazzo Bachelet – piazza Indipendenza 6 – Sala conferenze

Giovedì 16 maggio 2024

Prima sessione – La comunicazione social

Ore 15.30 Saluti istituzionali:

Fabio PINELLI           
Vicepresidente del CSM

Marcello BASILICO  
Presidente della Sesta commissione CSM

Ore 16.00 Relazione Introduttiva

Luigi FERRAJOLI   
già magistrato, Professore emerito filosofia del diritto – Università Roma 3

Ore 16.45 Coffee break

Ore 17.00 Dialogo a due:

Paolo BENANTI  
Presidente della Commissione sull’intelligenza artificiale – presidenza CdM

                              Membro del Comitato ONU sull’intelligenza artificiale

Adriano FABRIS  Professore di filosofia morale – Università di Pisa

                              Direttore del Master in comunicazione pubblica e politica

Coordina Antonio PREZIOSI  Direttore TG2

Ore 18.00 Dibattito

Venerdì 17 maggio 2024

Seconda Sessione – Quali limiti alla comunicazione dei magistrati

Ore 9.00-11.00 Presiede Roberto ROMBOLI, Presidente Ufficio studi e documentazione e Vicepresidente della Sesta Commissione CSM

relazioni di

Massimo LUCIANI  
Professore emerito di istituzioni diritto pubblico – Università La Sapienza Roma

Giuseppe CAMPANELLI  
Professore ordinario di diritto costituzionale – Università di Pisa

Margherita CASSANO  
Prima Presidente della Corte di Cassazione

Luigi SALVATO  
Procuratore generale presso la Corte di Cassazione

Luigi MARUOTTI  
Presidente del Consiglio di Stato

Ore 11,30

interventi programmati Gianluca GRASSO  Consigliere della Corte di Cassazione

                                      Michele PAPA  Presidente della Nona commissione CSM

a seguire, dibattito

Ore 13.00 Light lunch

Venerdì 17 maggio 2024

Terza Sessione – I magistrati e i social

Ore 14,30 Tavola rotonda

Coordina Arturo DI CORINTO  
Giornalista

Nunzia CIARDI
Vicedirettrice generale dell’Agenzia per la cybersecurity nazionale

Andrea MASCHERIN
Avvocato, già Presidente del Consiglio Nazionale Forense

Giuseppe SANTALUCIA
Consigliere Corte di Cassazione – Presidente ANM

Patrizia TULLINI
Professoressa ordinaria di diritto del lavoro – Università di Bologna

Presidenza e relazione finale: Giovanni Maria FLICK  già Presidente della Corte costituzionale e Ministro della giustizia

CRIPTOVALUTE: SU IRIDE IN CAMBIO DI DATI Il Garante Privacy avverte Worldcoin

Se il progetto Worldcoin, basato sulla scansione dell’iride per verificare l’identità degli utenti approdasse in Italia, con ogni probabilità violerebbe il Regolamento Ue, con tutte le conseguenze di carattere sanzionatorio previste dalla normativa.

Questo in sintesi l’avvertimento che il Garante Privacy ha inviato a Worldcoin Foundation, che sostiene il progetto lanciato dall’amministratore delegato di OpenAI, Sam Altman, per poter scambiare cryptovalute, dopo i primi riscontri forniti dalla società nell’ambito dell’istruttoria avviata nei mesi scorsi dall’Autorità.

Il protocollo Worldcoin ha l’obiettivo di creare un’identità (World ID) e una rete finanziaria (basata sulla cryptovaluta WLD) a livello globale. Al centro del progetto l’Orb, un dispositivo biometrico che scansiona il volto e l’iride, appunto, un codice identificativo univoco a livello mondiale per ciascun individuo – World ID – in grado, secondo la Worldcoin Foundation, di distinguere gli esseri umani dai prodotti dell’intelligenza artificiale.

Anche se i dispositivi Orb non sono ancora funzionanti in Italia, i cittadini italiani possono già scaricare, dagli app store, la World App, fornire i relativi dati personali e prenotare i propri WLD token gratuiti.

Orb, World ID e World App, strettamente interconnessi tra loro, costituiscono l’ecosistema Worldcoin.

Dalle informazioni ricevute dalla società e da quelle reperibili sul sito della stessa, l’Autorità ritiene che il trattamento dei dati biometrici basato sul consenso degli aderenti al progetto, rilasciato sulla base di una informativa insufficiente, non può essere considerato una base giuridica valida secondo i requisiti richiesti dal Regolamento europeo.

Oltretutto, la promessa di ricevere WLD token gratuiti da parte di Wordcoin incide negativamente sulla possibilità di esprimere un consenso libero e non condizionato al trattamento dei dati biometrici effettuato attraverso gli Orb.

Infine, i rischi del trattamento risultano ulteriormente amplificati dall’assenza di filtri per impedire l’accesso agli Orb e alla World App ai minori di 18 anni.

Il provvedimento del Garante è in corso di pubblicazione nella Gazzetta Ufficiale.

            Roma, 2 aprile 2024

ITASEC24

L’ottava edizione di ITASEC (https://itasec.it/), l’annuale conferenza italiana sulla cybersicurezza organizzata dal Cybersecurity National Lab. del CINI in collaborazione con l’Agenzia per la Cybersicurezza Nazionale (ACN), si terrà a Salerno dall’8 all’11 aprile 2024, presso il Grand Hotel Salerno.

Alla Conferenza, in presenza, parteciperanno ricercatori e professionisti impegnati nei vari campi della cybersicurezza, provenienti dal settore privato e da quello pubblico, dall’università, dall’industria, dagli enti di ricerca e dal settore governativo.

Tramite il sito https://itasec.it/registration-partecipants/ è possibile iscriversi alla conferenza e ai workshop scientifici di lunedì 8 aprile.

Nella speranza di incontrarci a Salerno, porgiamo i più cordiali saluti.

Il Team del Cybersecurity National Lab – CINI

LAVORO: DAL GARANTE PRIVACY NUOVE TUTELE PER LA EMAIL DEI DIPENDENTI

Varato un Documento di indirizzo sulla conservazione dei metadati

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità Garante per la protezione dei dati personali dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

La sicurezza nel cyberspazio

Internet e il World Wide Web hanno messo in crisi i tradizionali concetti giuspubblicistici di sicurezza e protezione, proiettandoci in uno spazio virtuale, il Cyberspazio, che nella sua virtualità ha effetti così reali da destare la preoccupazione degli Stati. Dell’evoluzione di questi concetti, safety, security e defense, tratta il libro La Sicurezza nel cyberspazio (Franco Angeli, 2023), curato da Riccardo Ursi docente di Diritto della Pubblica Sicurezza all’Università degli Studi di Palermo. Un testo corale che affronta i temi sia della governance che del government della cybersecurity.
Al cuore del testo si situa la riflessione sul nuovo ordine pubblico digitale, declinato come protezione delle condotte lesive nei confronti dei sistemi e delle reti informatiche: un ambito che coinvolge l’insieme delle misure di risposta e mitigazione progettate per tutelare reti, computer, programmi e dati da attacchi, danni o accessi non autorizzati, in modo da garantirne riservatezza, disponibilità e integrità. Un insieme di interessi primari da proteggere che qualifica la sicurezza cibernetica come funzione pubblica che mira a limitare e inibire pericoli e minacce alle persone.

Una funzione che fino all’inizio del secolo era ancora delegata in maniera massiccia al mondo privato-imprenditoriale che si occupava del disegno e della gestione dell’architettura cibernetica, in una dimensione della sicurezza avulsa dalla categorie giuridiche di cui si è sempre nutrita, la legittimazione, la polarità privato-pubblico, il nesso di spazialità-temporalità. Tra l’inadeguatezza dell’ultraregolazione come pure dell’esercizio del soft power esercitato sulle big tech per garantire il funzionamento democratico e l’esercizio delle attività economiche, dicono gli autori, lo sforzo della cybersecurity si è però venuto dettagliando attraverso la creazione di un modello organizzato e policentrico, più idoneo a monitorare e sorvegliare il fortino, a rafforzare i bersagli vulnerabili, a costruire sistemi resilienti in grado di continuare a funzionare durante un attacco, riprendersi rapidamente ed
eventualmente contrattaccare.


Dalla nascita dell’Enisa alla strategia dell’Unione Europea per la cybersicurezza del 2013, dal Cybersecurity Act del 2019 fino alla direttiva NIS II, gli autori ripercorrono le tappe, e ricostruiscono gli sforzi, politici, giuridici e legislativi che hanno puntato a mettere in sicurezza quel cyberspace, immaginato inizialmente dagli autori di fantascienza come un universo alternativo e che oggi rappresenta il nuovo mondo che tutti abitiamo. Una trattazione dettagliata è offerta nel libro al contesto italiano, al cui centro si situa la strategia che ha portato alla creazione della Agenzia per la Cybersicurezza Nazionale che, di fronte al rischio cibernetico sempre più elevato, ha trasformato la precedente architettura nazionale di cybersicurezza contribuendo a rendere il paese un poco più sicuro e forse un poco più fiducioso nel futuro.

La sicurezza nel cyberspazio

Cyber & Privacy Forum – Convegno Federprivacy 2023

Cyber & Privacy Forum si terrà a Verona il 29 novembre.

Evento organizzato da Ethos Media Group con il patrocinio di Federprivacy con l’obiettivo di aiutare tutti i professionisti che si occupano di proteggere i dati “a parlare una lingua comune”.

Esperti del mondo giuridico e di quello della sicurezza informatica a confronto per parlare della protezione dei dati come un’unica materia. Dalle autorità, attesa la partecipazione di Agostino Ghiglia, Guido Scorza, Riccardo Acciai, e Claudio Filippi del Garante per la protezione dei dati personali. Per l’Agenzia per la Cybersecurezza Nazionale parteciperanno invece Andrea Billet, Arturo Di Corinto, e Stefano Marzocchi.  “Privacy e cybersecurity, due facce della stessa medaglia”. Una ricerca per raccogliere i feedback degli addetti ai lavori sui gap da colmare e le possibili soluzioni per facilitare la convergenza.

Cybertech Europe 2023

La pandemia Covid 19 ha trasformato la nostra vita modificando per sempre il modo di lavorare, di effettuare acquisti, pagamenti, di rapportarsi con il mondo esterno.
Ma nuove opportunità comportano nuove sfide. Il massiccio ricorso al lavoro da remoto ha creato un terreno fertile per tutte quelle minacce pronte a sfruttare le vulnerabilità Zero-Day, il fattore umano e gli altri punti deboli nelle organizzazioni che non godono più della protezione OnPrem.
Gli attacchi alla Supply Chaine, che stanno causando distruzioni nei settori critici e nelle infrastrutture mondiali nel 2021 si prevede che si quadruplicheranno rispetto allo scorso anno.

Il pagamento per la rimozione dei Ransomware che, su scala mondiale, nel 2020 aveva raggiunto i 400.milioni di dollari americani, solo nel primo quarto del 2021 ha superato 81,000 dollari statunitensi. Ognuno di noi ha sperimentato un caso di phishing, un messaggio di posta elettronica hackerato od un tentativo di violazione della privacy.

A seguito del grande successo riscosso dalla quarta edizione del 2019, la Cybertech-Europe ritornerà sul palco principale a Roma il 3-4 ottobre 2023 per discutere di questo nuovo mondo, sfaccettato ed avvincente. Tema centrale della conferenza sarà: “Ecosistema su scala globale”.
Ai lavori parteciperanno relatori di prim’ordine tra i quali alti funzionari statali, dirigenti di livello C ed i pioneri del settore provenienti dall’Europa e da tutto il mondo.

https://italy.cybertechconference.com

Fake Reputation

Dalla manipolazione della reputazione all’etica professionale

Admin ed editor “in vendita” disponibili a manipolare schede su Wikipedia, agenzie pronte ad ingannare gli algoritmi di Google per migliorare la reputazione dei loro clienti, e altre disponibili ad infangare, a caro prezzo, quella della concorrenza.

Una recente inchiesta della Media Foundation Qurium, ripresa e ampliata in Italia da Lorenzo Bagnoli per conto di Investigative Reporting Projecy Italy, denuncia ciò che era già assai noto tra gli addetti ai lavori, ovvero che esistono, ad esempio, vere e proprie “lavanderie reputazionali”, agenzie e organizzazioni che hanno come scopo precipuo la sistematica alterazione del perimetro reputazionale di marchi e di personaggi, con tecniche le più varie: applicazione esasperata e forzate delle norme sul diritto all’oblio; comunicazioni dal sapore vagamente intimidatorio indirizzate alle redazioni giornalistiche finalizzate a ottenere la rimozione di articoli poco lusinghieri pubblicati in passato sui clienti di queste agenzie; pubblicazione di articoli positivi a raffica – basati sul nulla, costruiti a tavolino – con l’intento di far scalare quelli negativi nelle ultime pagine di Google; backlink selvaggio.

Tra i Clienti di queste agenzie, nella migliore delle ipotesi risultano aziende che hanno subito e patito precedenti campagne di “black PR” e che desiderano quindi – a volte legittimamente – riposizionare la propria immagine; ma, nella peggiore, troviamo anche società interessate a spingere forsennatamente sulle vendite a qualunque costo, o uomini dello spettacolo accusati di molestie sessuali, professionisti coinvolti in frodi finanziarie internazionali, o peggio ancora banchieri condannati per riciclaggio, corruttori e trafficanti di droga.

Le più autorevoli inchieste giornalistiche fanno coraggiosamente diversi nomi e cognomi, sia dei clienti, italiani e stranieri, ma anche delle agenzie di RP e comunicazione pronte a imbastire e gestire progetti di questo tipo, con una spregiudicatezza degna forse dell’attenzione della Magistratura, ma sicuramente d’interesse per qualunque operatore professionista del settore attento al proprio profilo etico ed alla propria stessa reputazione.

Quest’evento vuole stimolare una pubblica riflessione su queste male pratiche consulenziali, che alterano e “dopano” il mercato della reputazione nel nostro Paese, falsando anche la percezione che i cittadini hanno di marchi e persone influenti. Oltre a vaghe dichiarazioni di principio, nei Codici etici delle associazioni di categoria, attualmente non si va: ma vista la pervasività del fenomeno, forse è arrivata l’ora di promuovere azioni più incisive.

Ne parleranno alcuni tra i maggiori esperti di reputation management d’Italia, specialisti ed esperti:

  • Daniele Chieffi, Giornalista, Docente Universitario, Cofounder BiWise
  • Arturo Di Corinto, Public Affairs & Communication, Agenzia Cybersicurezza Nazionale
  • Giovanna Cosenza, Professoressa di Semiotica e New Media, Università di Bologna
  • Toni Muzi Falconi, Relatore pubblico, Senior Counsel Methodos
  • Matteo Flora, Docente universitario, imprenditore, esperto in reputazione e Data Driven Strategy
  • Elisa Giomi, Commissaria Autorità Garante delle Comunicazioni
  • Filippo Nani, Presidente Nazionale FERPI
  • Nicola Menardo, Avvocato, Partner Studio Grande Stevens
  • Luca Poma, Professore di Reputation Management, Università LUMSA di Roma

Codice Breve della Cybersicurezza

Codice Breve della Cybersicurezza. Aggiornato al Decreto del Presidente del Consiglio dei ministri 9 dicembre 2021 n. 223. Raccolta delle principali normative in materia di sicurezza delle reti e dei sistemi informatici. A cura di Alessio Cicchinelli e Luca D’Agostino, Public Procurement Institute, 2022.

Il testo, alla sua prima edizione, datata 1° gennaio 2022, non può mancare sulla scrivania di chi si occupa di cybercrime, infrastrutture critiche, Incident Response e cyber-resilienza. È solo la prima edizione, e da allora ci sono state alcune novellazioni di cui gli interessati avranno sicuramente tenuto traccia, ma rappresenta comunque un compendio importante per gli specialisti.

Aggiornato al dicembre 2021 ha il grande pregio della portabilità, entra in una tasca, è di facile consultazione per il modo in cui è organizzato e per questo si presenta come una sorta di Bignami utile a orientarsi nel settore.

Dalla quarta di copertina si legge: “Il Codice intende fornire una guida agli addetti ai lavori nell’applicazione delle norme in tema di cybersicurezza. Esso si rivolge, in particolare, al personale coinvolto nei processi di sicurezza di aziende e P.A., con l’obiettivo di offrire una visione d’insieme delle principali normative e degli strumenti necessari per agevolare la delicata attività di compliance in materia di sicurezza informatica. A tal fine, il Codice è accompagnato da un indice analitico contenente un “glossario ragionato” dei principali termini di riferimento della materia, con focus particolare su quelli contenuti nel DPCM 81/2021.”

National Security in The New World Order. Government and the technology of information

Il libro National Security in The New World Order. Government and the technology of information, scritto a quattro mani da Andrea Monti e Raymond Wacks (Routledge 2022), esplora le preoccupazioni contemporanee sulla protezione della sicurezza nazionale. Il saggio esamina il ruolo, l’influenza e l’impatto di Big Tech sulla politica, sul potere e sui diritti individuali. Il volume considera il modo in cui la tecnologia digitale ei suoi modelli di business hanno plasmato le politiche pubbliche e traccia il suo corso futuro.

A partire dall’analisi di diversi casi di studio i due autori analizzano la natura mutevole della sicurezza nazionale e l’idea tradizionale della sovranità dello Stato. Nello sviluppo del testo gli studiosi sottolineano alcuni dei limiti della comprensione convenzionale dell’ordine pubblico, della sicurezza nazionale e dello stato di diritto per rivelare il ruolo della tecnologia digitale come facilitatore e discriminatore nella governance e nel disordine sociale.

I diversi capitoli del libro esplorano il tenue equilibrio tra libertà individuale e sicurezza nazionale; il ruolo chiave della protezione dei dati nella salvaguardia dei dati digitali; l’appropriazione da parte di Big Tech della politica di sicurezza nazionale; il dibattito relativo alle tecnologie di raccolta dei dati e alla loro cifratura.

Infocrazia. Le nostre vite manipolate dalla rete

“Chiamiamo regime dell’informazione quella forma di dominio nella quale l’informazione e la sua diffusione determinano in maniera decisiva, attraverso algoritmi e Intelligenza Artificiale, i processi sociali, economici e politici. Diversamente dal regime disciplinare, a essere sfruttati non sono corpi ed energie ma informazioni e dati. Decisivo per la conquista del potere non è il possesso dei mezzi di produzione, bensì l’accesso a informazioni che vengono utilizzate ai fini della sorveglianza psico-politica, del controllo e della previsione dei comportamenti. Il regime dell’informazione si accompagna al capitalismo dell’informazione, che evolve in capitalismo della sorveglianza e declassa gli esseri umani a bestie da dati e consumo”.

Byung Chul Han autore di Infocrazia. Le nostre vite manipolate dalla rete (Einaudi, 2023), ci offre così la sua riflessione sulla presunta libertà di cliccare, mettere like e postare.

Byung Chul Han è un filosofo coreano naturalizzato tedesco che al di fuori delle tradizionali correnti di pensiero si erge a critico feroce dell’attuale società dei consumi digitali. Prima edito in Italia da Nottetempo, il lavoro del filosofo adesso compare nei tipi di Einaudi. Divenuto famoso presso il grande pubblico con il testo “Le Non cose”, i suoi primi lavori tradotti in italiano, Nello Sciame, Psicopolitica, Cos’è il Potere, si presentano come lezioni di filosofia per gli umani-cyborg come noi.

Blue Book. A set of cybersecurity roadmaps and challenges for researchers and policymakers

Il Blue book. A set o cybersecurity roadmaps and challenges for researchers and policymakers curato da Evangelos Markatos e Kai Rannenberg è uno dei deliverable di Cyber Security for Europe, un progetto pilota di ricerca e innovazione del Centro europeo di competenza sulla cybersicurezza di Bucarest e della rete dei centri nazionali di coordinamento.

Il libro esplora le diverse aree relative alla sicurezza informatica con un approccio manualistico: descrizione dell’argomento – privacy, software, machine learning, etc. -, descrizione degli attori coinvolti, previsione degli effetti futuri delle criticità riscontrate e indicazione delle future direzioni di ricerca.

Tra le aree di ricerca più importanti trattate nel libro troviamo: la comunicazione anonima su larga scala e la crittografia dei dati; la costruzione di metaversi affidabili; l’autenticazione senza password; la gestione dei malware; la sicurezza degli ambienti industriali; la resilienza agli attacchi informatici delle infrastrutture critiche; la certificazione “by-design”. Aree e problemi che integrano rilevanti questioni industriali, sociali ed etiche nell’ambito della cybersecurity.

Il libro, in inglese, può essere scaricato qui: https://cybersec4europe.eu/wp-content/uploads/2023/02/The-Blue-Book.pdf

Internet Governance e le sfide della trasformazione digitale

Cari amici

ho il piacere di invitarvi alla presentazione del volume “La Internet Governance e le sfide della trasformazione digitale” 

La monografia, pubblicata dall’Istituto di Informatica Giuridica e Sistemi Giudiziari del Consiglio Nazionale delle Ricerche, con il supporto di Internet Society Italia, offre preziose riflessioni sui temi centrali in materia di Internet Governance, tra i quali la protezione dei diritti umani e delle libertà fondamentali; la tutela del carattere globale di Internet contro i rischi di frammentazione e “balcanizzazione”; il diritto di accesso a Internet attraverso il superamento di ogni forma di digital divide; il ruolo strategico della cybersecurity.

L’evento si terrà giovedì 19 gennaio 2023 presso la Sala Convegni della sede centrale del CNR in Roma, P.le Aldo Moro 7, con inizio dalle ore 14.30. 
L’incontro sarà in presenza.

Per motivi di sicurezza è necessario registrarsi qui entro il 17 gennaio 2023

PROGRAMMA DELL’EVENTO

Saluti Maria Chiara Carrozza Presidente del Consiglio Nazionale delle Ricerche (partecipazione in attesa di conferma)

Modera Arturo di Corinto Agenzia per la Cybersicurezza Nazionale

Discutono

  • Andrea Simoncini Professore presso l’Università degli Studi di Firenze,
  • Ginevra Cerrina Feroni Vice Presidente del Garante per la protezione dei dati personali,
  • Gabriele Della Morte Professore presso l’Università Cattolica di Milano,
  • Elisa Giomi Commissaria dell’Autorità per le Garanzie nelle Comunicazioni,
  • Nunzia Ciardi Vice Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale,
  • Carlo Colapietro Professore presso l’Università degli Studi Roma Tre.

Saranno presenti le curatrici, Laura Abba, Adriana Lazzaroni e Marina Pietrangelo, studiose del Consiglio Nazionale delle Ricerche e Sebastiano Faro Direttore dell’IGSG-CNR, che è autore della Prefazione del volume.

Radio Onda D’Urto – Intervista Arturo Di Corinto

META ANNUNCIA IL LICENZIAMENTO DEL 13% DEI DIPENDENTI – 9 novembre 2022

Meta, la società che controlla Facebook, Instagram e WhatsApp, ha licenziato 11Mila dipendenti con una lettera del fondatore Mark Zuckerberg. Si tratta di circa il 13% della forza lavoro, per lo più dedicata al cruciale (e logorante) lavoro di moderazione dei contenuti. Solo pochi giorni fa era stato annunciato dal neopadrone di Twitter, Elon Musk, il licenziamento di massa di migliaia di dipendenti, poi ritrattato e di nuovo riconfermato, tanto che ancora non si sa quante siano effettivamente le persone rimaste senza lavoro. E i mercati applaudono: oggi il valore di Meta è salito del 7%, dopo un anno decisamente difficile sui mercati finanziari in cui ha perso il 70% del valore.

Le mani di Musk sull’uccellino

Le mani di Musk sull’uccellino

Hacker’s Dictionary. Elon Musk, l’uomo più ricco del mondo ha comprato il social dell’uccellino. Geniale innovatore e abile manipolatore dei mercati vuole trasformare la piattaforma di microblogging in una super app per servizi finanziari

di Arturo Di Corinto per Il Manifesto del 3 Novembre 2022

In attesa che Elon Musk decida quale sarà il nuovo modello di business di Twitter, i cyber-malfattori stanno già sfruttando il caos conseguente alla mancanza di chiarezza sul futuro della piattaforma acquistata dal magnate americano per 44 miliardi di dollari.

I truffatori, non ancora identificati, hanno architettato una campagna di email phishing per rubare le password degli utenti. Spedite a ridosso del passaggio di proprietà, le email hanno lo scopo di indurre gli utenti di Twitter a pubblicare il proprio nome utente e password su di un sito web illegittimo camuffato da modulo di assistenza. Inviate da un account Gmail, si presentano con un link a un documento Google che rimanda ad altro sito Google, per rendere più complesso il rilevamento della truffa.

Ma la sorpresa è un’altra, la pagina del sito contiene un «frame» incorporato da un altro sito, ospitato su un web host russo, Beget, che richiede l’indirizzo Twitter, la password e il numero di telefono dell’utente, sufficienti per compromettere gli account che non utilizzano l’autenticazione a due fattori. Google nel frattempo ha già rimosso il sito di phishing.

Twitter non è nuova a questi attacchi ma la mancanza di informazioni chiare e definitive da parte del nuovo proprietario è probabile che li faciliteranno.

Abile innovatore – Elon Musk è a capo della multinazionale automobilistica Tesla e della compagnia aerospaziale SpaceX, cofondatore di Neuralink e OpenAI -, il miliardario è abituato a manipolare i mercati e l’opinione pubblica. Come aveva rinunciato a far pagare in Bitcoin le sue auto Tesla causandone il crollo, anche stavolta Musk aveva accampato varie scuse per non chiudere l’accordo di acquisto di Twitter dicendo che non valeva la cifra concordata, riducendone il valore azionario e sperando forse di pagarla meno. Una strategia che aveva obbligato il management a intentargli causa.

La redazione consiglia:

Bitcoin sfonda: record dei 68mila dollari

Nel dettaglio, Musk aveva minacciato di sottrarsi dall’accordo spiegando che la piattaforma, il cui valore è stimato sulla base del numero di utenti esposti alla pubblicità, aveva dichiarato più utenti di quelli effettivi lamentando un numero elevato di bot e profili inattivi pari al 20% dell’utenza a fronte del 5% dichiarato dal management.

Alla fine Musk i 44 miliardi di dollari li ha scuciti facendosi aiutare da fondi sovrani sauditi e qatarini, vendendo quasi 10 miliardi di azioni di Tesla e chiedendo un prestito alle banche per sottrarsi al tribunale che doveva mettere la parola fine ai suoi tentennamenti obbligandolo ad onorare l’accordo.

La redazione consiglia:

Musk piega Twitter con l’offerta che non si poteva rifiutare

Così, senza rinunciare a presentarsi come paladino della libertà d’espressione – vuole far rientrare Trump sul social da cui è stato bannato – Musk ha deciso di acquistare Twitter, ma senza rimetterci.

Da qui l’idea di far pagare un abbonamento di almeno 8 dollari agli utenti in cambio della verifica dell’account e dell’accesso ai servizi premium, la famosa «spunta blu», invocando più «Potere al popolo».

Potrebbe essere solo il primo passo della trasformazione del social.

Tra i piani di Musk c’è l’idea che chi paga potrà accedere a contenuti giornalistici di qualità da versare agli editori che li producono, nella misura di 10 centesimi a pezzo.

Però in pochi credono che sarà questo il modello di business del miliardario.

Il suo scopo è probabilmente quello di trasformare Twitter in un’app per servizi finanziari, un «marketplace» dove vendere e comprare beni e servizi digitali come gli Nft, i «Non Fungible Tokens», trasferire denaro, fruire di servizi aziendali a pagamento oltre che condividere musica e articoli come già accade con la app cinese WeChat.

Fatture in Cloud, Aruba, Dhl: attenti a phishing e sim swapping

Fatture in Cloud, Aruba, Dhl: attenti a phishing e sim swapping

Hacker’s Dictionary. La duplicazione della Sim card è l’anticamera di molte truffe bancarie, e comincia con i dati ottenuti attraverso il phishing. Verizon, D3Lab e Cert-Agid lanciano l’allarme. Ecco i consigli per proteggersi

di ARTURO DI CORINTO per Il Manifesto del 27 Ottobre 2022

Verizon, tra i maggiori operatori Usa di telecomunicazioni, qualche giorno fa ha notificato ai propri utenti un attacco ai loro account finalizzato al SIM swapping per sfruttare i dati di carte di credito divulgate illegalmente. Che cos’è il Sim swapping? É lo “scambio”, ovvero la duplicazione della Sim card del proprio numero di telefono. 

Affinché un criminale possa riuscirci deve però prima ottenere l’accesso ai dati personali dell’utente, si tratti di carte di identità, numero di telefono con nome e cognome, oppure altri dati che possono essere rubati con tecniche di phishing. A quel punto il delinquente può contattare l’operatore mobile fingendo di essere l’utente di un telefono perduto e ottenere una nuova Sim. Alcuni operatori consentono di farlo via Internet, ma la criminalità organizzata è così spavalda da rivolgersi anche in negozio.

Ottenuto il duplicato della Sim, il delinquente può inserirla in un altro dispositivo e acquisire tutte le informazioni e i dati dell’account della vittima, riuscendo ad aggirare il processo di autenticazione a due fattori che protegge servizi essenziali come l’home banking e i servizi di e-commerce, identità digitale, eccetera.

Per questo è molto importante prestare attenzione alle tecniche di phishing, la tecnica fraudolenta che ci porta a cedere fiduciosi i nostri dati personali.

Proprio ieri il Threat Intelligence Team di D3Lab durante la normale routine di analisi delle frodi online ha rilevato una pericolosa campagna di phishing ai danni di Fatture in Cloud, un servizio e portale web per la fatturazione online di società e autonomi con partita Iva che attraverso il suo portale gestiscono fatture, preventivi e acquisti. La campagna, diffusa tramite e-mail, richiede all’utente di confermare il proprio account reinserendo email e password su un sito fasullo.

In questi giorni al phishing c’è da fare attenzione perché, come ci ricorda una nota di Check Point Software, Halloween è alle porte e molti utenti potrebbero ordinare prodotti da consegnare in fretta e furia. Una pacchia per gli operatori di brand phishing che ci imbrogliano inviandoci finte comunicazioni dei principali marchi commerciali per impossessarsi dei nostri dati personali. Quelli più sfruttati sono DHL (22% di tutti gli attacchi phishing a livello mondiale), Microsoft (16%), LinkedIn (11%), Google (6%), Netflix (5%), WeTransfer (5%), Walmart (5%), Whatsapp (4%), HSBC (4%), Instagram (3%).

Nel frattempo il Computer Emergency Team dell’Agenzia per l’Italia digitale, Agid, ha individuato otto brand coinvolti in 14 campagne di phishing anche via Pec. I brand usati per ingannare gli utenti italiani sono Aruba e Inps, le banche Bper, Banco Desio, Sella e quindi Microsoft e Amazon.

In fondo però basta seguire poche regole per stare tranquilli: 

  1. 1. Proteggiamo i dati personali di cui i criminali hanno bisogno per duplicare la SIM:  attenzione ai siti che visitiamo, controlliamo che ci sia il lucchetto nella barra indirizzi, evitiamo di fornire dati che non servono per ottenere un servizio online.
  2. 2. Attenzione al phishing: prima di rispondere alle e-mail di sconosciuti pensiamoci due volte, esaminiamo attentamente il nome del dominio per essere sicuri che sia autentico e ricordiamo che nessuno ci regala niente, quindi attenti a premi e offerte speciali.
  3. 3. Insospettiamoci per le perdite di segnale: perdere completamente il segnale è un indizio facile per capire se è stata duplicata la nostra Sim card. Quando accade, bisogna contattare l’operatore mobile ed eventualmente disattivare la Sim e iniziare il processo di recupero dei dati.

Ottobre è il Mese europeo della Sicurezza informatica

Ottobre è il Mese europeo della Sicurezza informatica

Ecco gli appuntamenti italiani per capire come proteggere computer e privacy, ma anche per difendersi dalla violenza di genere in Rete

di ARTURO DI CORINTO per ItalianTech/La Repubblica del 1 Ottobre 2022

La disinformazione russa, i bulli in rete, il ransomware che raddoppia ogni anno le sue vittime. E poi, Roma Tor Vergata presa di mira dal gruppo Stormous, gli attacchi al Made in Italy e al settore energetico italiano, le campagne di phishing segnalate dal Cert-Agid, eccetera: insomma, quando parliamo di sicurezza informatica e dei suoi fallimenti, l’elenco è sempre lungo.

Qualche volta è colpa delle tensioni geopolitiche, altre volte di chi vende software difettosi, altre ancora di analisti che non vedono i pericoli arrivare, perché esauriti e stanchi, in burn out, ma la maggior parte delle volte il successo delle violazioni informatiche dipende da utenti poco preparati e peggio difesi dalla propria organizzazione, per un ammontare complessivo di 6 trilioni di dollari di danni stimati nel 2021. Perciò quest’anno assume particolare rilievo il Mese europeo della sicurezza informatica, dal primo al 30 ottobre, che celebra il suo decimo anniversario al motto di “Pensaci, prima di cliccare” (#ThinkB4UClick). Italia, Germania, Austria e Ungheria sono tra le nazioni che partecipano con il maggior numero di eventi.

Intervista WDR Di Corinto: La raccolta dei dati sensibili in Germania

La raccolta dei dati sensibili in Germania

Stand: 27.09.2022, 17:16 Uhr

di Francesco Marzano, Giulio Galoppo e Tommaso Pedicini

I ministri dell’Interno e della Giustizia dei Länder tedeschi si sono riuniti oggi  Monaco di Baviera per una conferenza congiunta. Sul tavolo temi come la lotta agli abusi sui minori e la pedopornografia, ma anche la questione dei poteri di cui dotare le forze dell’ordine nella lotta alla criminalità. Uno dei metodi più efficaci è la raccolta dei cosiddetti dati sensibili. La Corte di Giustizia europea ha stabilito, tuttavia, proprio la scorsa settimana, che la raccolta di dati, così come viene attuata in Germania, è illegale. Giulio Galoppo ci illustra le reazioni del governo tedesco, molto diviso su questo tema. Ma cosa ne pensa chi, invece, di sicurezza si occupa ogni giorno? Lo abbiamo chiesto a Rainer Wendt, presidente nazionale del sindacato di polizia. Arturo Di Corinto, giornalista ed esperto di cybersecurity e diritti e le libertà digitali, ci spiega, invece, come sia regolamentata la raccolta di dati sensibili in Italia.Vorratsdatenspeicherung - Symbolbild

In Germania è di nuovo acceso il dibattito sulla raccolta dei dati sensibili

Niente cybersecurity nei programmi elettorali

Niente cybersecurity nei programmi elettorali

Nonostante l’ondata di attacchi informatici che ha colpito l’Italia, compresi i gestori energetici e le infrastrutture critiche, i partiti politici non trattano l’argomento nella loro campagna elettorale. Eppure senza cybersecurity non ci sono né sicurezza né innovazione

di ARTURO DI CORINTO per ItalianTech/La Repubblica del 6 Settembre 2022

L’attacco all’Eni, l’attacco al Gestore dei servizi energetici, l’attacco al Ministero della transizione ecologica: se tre indizi fanno una prova, possiamo affermare senza timore di essere smentiti che l’Italia è sotto attacco. O, meglio, è bersaglio di una serie di attacchi informatici che da mesi colpiscono il cuore delle sue infrastrutture critiche. Ricordate l’attacco alle Ferrovie dello Stato? E quelli agli ospedali, alle Usl, alle agenzie regionali come l’Arpac?

Però i partiti non se ne occupano. A leggere i programmi depositati dalle forze politiche la parola sicurezza compare molte e molte volte, raramente insieme alla parola computer. Eppure, in un mondo digitale e iperconnesso è proprio ai computer che affidiamo la certezza dell’erogazione di servizi essenziali come gas, luce, sanità e trasporti. La sicurezza di quei computer dovrebbe essere una priorità della politica.

Data commons: privacy e cybersecurity sono diritti umani fondamentali

Data commons: privacy e cybersecurity sono diritti umani fondamentali

  • Arturo Di Corinto

DOI: https://doi.org/10.32091/RIID0053

Parole chiave: Data commons, Privacy, GDPR, Cybersecurity, Big Tech

Abstract

Google sa di noi più cose di quante ne ricordiamo, conosce abitudini e percorsi quotidiani, sa con chi, quando e per quanto tempo siamo stati; Zoom sa con chi lavoriamo; Facebook mette all’asta le nostre preferenze; bot e troll su Twitter influenzano le nostre opinioni. Anche i meme della disinformazione affollano i social e inquinano il dibattito scientifico. Se non impariamo a proteggere i comportamenti trasformati in dati digitali saremo esposti a un potere incontrollabile, quello della persuasione commerciale, della manipolazione politica e della sorveglianza statuale.

Biografia dell’autore

Arturo Di Corinto

Insegna Identità digitale, Privacy, Cybersecurity nel Corso di laurea in Media, comunicazione digitale e giornalismo di Sapienza – Università di Roma

L’umanesimo digitale del Garante della Privacy: attenti alla Social War

L’umanesimo digitale del Garante della Privacy: attenti alla Social War

Presentata stamattina al Senato della Repubblica la relazione annuale del collegio dell’Autorità garante della protezione dei dati dati personali. Nel 2021 l’Autorità ha riscosso 13 milioni di euro di sanzioni e risposto a 19 mila quesiti dei cittadini per rendere effettivo il diritto alla riservatezza

di ARTURO DI CORINTO per ItalianTech/La Repubblica del 7 Luglio 2022

Stefano Rodotà, l’architetto dell’edificio della privacy italiana, oggi avrebbe applaudito alla presentazione della relazione annuale del suo ultimo successore alla guida del Garante per la protezione dei dati personali, il professore Pasquale Stanzione.

Nelle 40 pagine della relazione emerge chiaramente il prezioso lavoro di bilanciamento dei diritti individuali che l’Autorità ha esercitato dal 1997 seguendo il binario liberale e garantista che negli anni del suo mandato il giurista scomparso il 23 giugno di cinque anni fa gli aveva impresso.

Un codice europeo contro la disinformazione

Un codice europeo contro la disinformazione

Hacker’s Dictionary. False notizie e propaganda sono spesso organizzate a livello centrale e burocratico e possono danneggiare i diritti di cui godiamo in una società aperta. Per questo la Ue ha avviato un percorso per demonetizzare la diffusione della disinformazione online

di ARTURO DI CORINTO per Il Manifesto del 7 Luglio 2022

Pausania, l’eroico condottiero greco della battaglia di Platea, fu vittima di una fake news. Accusato di essere in combutta col nemico, il re persiano Serse, sulla base di un falso carteggio fu costretto a fuggire e, murato vivo nel tempio di Atena, vi morì di fame e di sete.

Ottaviano Augusto fece diffondere delle menzogne su Marco Antonio per privarlo di alcune prerogative e indebolirlo. Sconfitto nella battaglia di Azio e riparato ad Alessandria, si suicidò.

Fu il primo romano a essere vittima d’un provvedimento di damnatio memoriae, la condanna all’oblio riservata ai traditori.
La donazione di Costantino è un documento apocrifo in cui l’allora imperatore faceva concessioni alla Chiesa cattolica. Un falso, ma usato per legittimare la nascita del potere temporale dei pontefici.

Bugie, disinformazione e propaganda non sono una novità nella storia.

Una famosa opera di disinformazione fu organizzata dalla Ceka sovietica negli anni 20 del ‘900 per far credere ai russi bianchi, seguaci dei monarchi zaristi, che la Russia bolscevica fosse tanto debole da essere attaccata e vinta: era l’operazione Trust.
Il documento Tanaka, un falso storico di origine russa, fu presentato come il Mein Kampf giapponese perché il presunto autore teorizzava l’appropriazione della Manciuria e l’intenzione del Giappone di distruggere gli Usa e dominare il mondo.

Il presidente americano Truman nel 1947 creò la Cia che per un ventennio si distinse a Berlino nella political warfare contro l’Unione Sovietica, finanziando finti quotidiani con notizie vere per destabilizzare il nemico. Viceversa i sovietici crearono documenti e lettere fasulle per screditare gli anticomunisti in America.

Si potrebbe continuare a lungo con questi riferimenti storici. Che però hanno un elemento in comune: disinformazione e propaganda sono sempre un tentativo di manipolare le coscienze con informazioni false, disoneste e ingannevoli. Anche oggi ciò che le distingue è l’intenzionalità di fuorviare chi le riceve. E il loro contrasto è fondamentale, essendo un’arma di conflitto e di terrorismo.

È per questo motivo che il 16 giugno 2022 i regolatori UE hanno avviato un percorso per rafforzare il codice di condotta elaborato contro la disinformazione online nel 2018 per demonetizzarne la diffusione, garantire la trasparenza della pubblicità politica e rafforzare la cooperazione con i fact checker. In astratto l’idea di contrasto su cui si basa è quella di evitare un public harm, un danno pubblico.

Nella definizione di public harm la falsità è meno centrale dell’intenzione di ingannare visto che in una democrazia è necessario proteggere anche la libera espressione di falsità, che può però essere censurata quando danneggia altri diritti.
O almeno questo è quello che pensa il legislatore europeo, visto che negli Usa tutto ciò che viaggia attraverso Internet gode della stessa protezione della stampa, una protezione totale, tranne, purtroppo, come nel caso Assange, della divulgazione di notizie di carattere riservato ma non segrete.

Ma perché i regolatori europei sono arrivati a pensare di limitare la libertà di espressione sui social? Perché può causare un danno pubblico che le grandi piattaforme non riescono a contenere.

E non ci riescono perché il loro modello di business è basato sull’attenzione – una risorsa scarsa gestita dagli algoritmi a favore degli inserzionisti – che si attiva di fronte a conflitti, fatti inconsueti e dissonanti, le bufale, perno della propaganda social e della manipolazione delle percezioni organizzata dalle centrali della disinformazione di massa.

* Se ne parlerà a un convegno di Stampa Romana il giorno 8 Luglio dalle 15:30. L’evento sarà trasmesso in diretta streaming sui canali Facebook e YouTube di Stampa Romana

Codice contro la disinformazione