È nera la fumata che si è appena alzata dal Parlamento europeo a proposito del cosiddetto Privacy Shield, l’accordo che avrebbe dovuto sostituire il cosiddetto Safe Harbour, annullato lo scorso 6 ottobre dalla Corte di Giustizia dell’Unione europea, nel governo del trasferimento dei dati personali da Europa a Stati Uniti.
Il Parlamento europeo, infatti, in una Risoluzione appena approvata ringrazia la Commissione per gli sforzi compiuti nella negoziazione con la Casa Bianca ma, al tempo stesso, mette nero su bianco che non ci siamo ancora, perché le garanzie offerte dal Governo di Barack Obama non bastano a garantire il rispetto dei principi fondamentali nei quali – a proposito del diritto alla privacy – l’Unione Europea si riconosce.
Gli impegni assunti dagli USA nei confronti dell’Europa secondo il Parlamento, in particolare, non escluderebbero ancora abbastanza eventuali ipotesi di raccolta massiccia di dati personali e non garantirebbero adeguata effettività ai meccanismi di ricorso utilizzabili dai cittadini europei contro eventuali violazioni della loro privacy ad opera delle Autorità americane.
Ma, soprattutto, il Parlamento europeo “invita la Commissione a chiarire lo status giuridico delle assicurazioni scritte fornite dagli Stati Uniti” e pur accogliendo “con favore la nomina di un mediatore nel Dipartimento di Stato americano che collaborerà con le autorità indipendenti per fornire una risposta alle autorità di controllo dell’UE che inoltrano le singole richieste in relazione alla sorveglianza governativa; ritiene tuttavia che questa nuova istituzione non sia sufficientemente indipendente e non sia dotata di poteri adeguati per esercitare efficacemente e far rispettare le proprie funzioni”.
Ed è muovendo da queste premesse che il Parlamento, nella risoluzione, “invita la Commissione a proseguire il dialogo con l’amministrazione degli Stati Uniti al fine di negoziare ulteriori miglioramenti dell’accordo sul Privacy Shield alla luce delle attuali carenze”.
La luce, in fondo al tunnel nel quale il trasferimento dei dati personali dall’Europa agli USA è entrato sul fine del 2015, sembra dunque, ancora lontana.
E non solo per la sonora bocciatura da parte del Parlamento dell’accordo faticosamente negoziato, a tempo di record, dalla Commissione ma anche perché dall’Irlanda, sempre in queste ore, rimbalza la notizia che il Garante per la privacy ha appena chiesto ai giudici di domandare alla Corte di Giustizia dell’Unione Europea di verificare la conformità con l’Ordinamento comunitario delle cosiddette Standard Contractual Clauses ovvero gli accordi in forza dei quali, specie all’indomani dell’annullamento del Safe Harbour, i giganti della Rete, Facebook, Google ed Amazon in testa, trasferiscono i dati dei cittadini europei Oltreoceano.
Secondo l’Autorità per la privacy irlandese, le stesse ragioni che hanno indotto la Corte di Giustizia a dichiarare fuori legge il vecchio Safe Harbour, dovrebbero ora indurre i Giudici del Lussemburgo a porre fuori legge anche le Standard Contractual Clauses.
Il trasferimento di dati personali tra Europa ed USA resta, dunque, ad alto rischio e, con esso, rimangono in una posizione di fragile equilibrio rapporti commerciali da miliardi di euro che hanno per presupposto proprio la libera circolazione dei dati personali degli utenti di tutti i grandi – e meno grandi – fornitori di servizi online.
È urgente trovare una soluzione definitiva capace di restituire ai cittadini europei adeguate garanzie circa la loro privacy, ed al mercato regole certe, stabili e durature senza le quali è difficile prevedere cosa potrebbe accadere.
Guido Scorza
Presidente Istituto per le politiche dell’innovazione
www.guidoscorza.it
-
Non sono troppo d'accordo
Con le problematiche rilevate, in quanto.Vista l'uso dello SPID e l'utenza tipo, poco avezza ai sistemi IT, il token fisico verrebbe lasciato in un cassetto con poco controllo in caso di sottrazione temporanea (differentemente dal cellulare dove gli utenti tipo se ne accorgerebbero più facilmente) Pensate ad un anziano con l'idraulico disonesto, una infermiera che entra in casa a fare un'iniezione ad un'anziano ecc.Lo sharing degli sms su più device limita la sicurezza da un lato ma la rinforza da un altro, creando una notifica diffusa dell'uso (diventa più difficile chiedere una OTP senza che l'utente se ne accorga, in quanto riceve notifica su più device)IL BraschioRe: Non sono troppo d'accordo
Gli sms arrivano verso la sim una sola sim = niente sharing diretto , e se fosse implementato la gia' scarsa sicurezza ( le app leggono correntemente gli sms senza problemi ) diventerebbe scarsissima ( uno potrebbe sottrarre il terzo telefono lasciato di scorta nel cassetto ... )LorenzoRe: Non sono troppo d'accordo
- Scritto da: IL Braschio> Con le problematiche rilevate, in quanto.> Vista l'uso dello SPID e l'utenza tipo, poco> avezza ai sistemi IT, il token fisico verrebbe> lasciato in un cassetto con poco controllo in> caso di sottrazione temporanea (differentemente> dal cellulare dove gli utenti tipo se ne> accorgerebbero più facilmente) Pensate ad un> anziano con l'idraulico disonesto, una infermiera> che entra in casa a fare un'iniezione ad> un'anziano> ecc.Ho sostituito la chiavetta con un iPhone.Per generare il codice devo utilizzare l'impronta digitale, inserire un codice e a quel punto si genera il codice da utilizzare per la transazione.Ethypeabominio
...e c'è anche la questione del pagare dopo il primo anno.Se questo diventerà il principale sistema per interagire con la PA, farlo pagare sarà una aberrazione uguale a quella che già esiste, di far pagare le normative a chi le deve usare.D'altra parte questa è già un'epoca di abomini, uno più, uno meno...silica gelRe: abominio
- Scritto da: silica gel> ...e c'è anche la questione del pagare dopo il> primo anno.Secondo anno a quanto mi risulta, ma questo sposta poco i termini della questione.Io lo sto ripetendo all'infinito: se la PA ha il dovere istituzionale di fornire dei servizi, e se questi servizi devono essere acceduti principalmente per via digitale, non è concepibile che il cittadino debba pagare per ottenere servizi che gli spettano.In Germania e Spagna l'hanno capito, l'equivalente dello SPID è fornito gratuitamente dallo Stato.Altri due metodi di acXXXXX sono previsti: la CNS (carta nazionale dei servizi) e la CIE (carta di identità elettronica). Il primo è disponibile "in selected theatres" - la Regione Lazio ad esempio è proiettata nel futuro, riguardo alla CNS parla in termini di "faremo, attiveremo"... :)La seconda è "sperimentale" da lustri...Nessuno di questi due strumenti è ragionevolmente utilizzabile da mobile.OTP device? Mi sembra di ricordare che in passato l'algoritmo usato da RSA - che mi sembra detenga il brevetto su questo tipo di dispositivi - fosse stato craccato, ma magari mi sbaglio. Resta comunque un dispositivo poco pratico e poco durevole. A questo punto, tanto vale consegnare ai cittadini un papiro con un elenco di codici usa e getta, che è pure più sicuro. :)Con gli attacchi MIT* c'è poco da fare; al limite, si può evitare di usare il cellulare per accedere ai servizi, così sul device non sono mai disponibili i fattori necessari per il login... :/ZLoneWRe: abominio
Poco pratico ? Un bottone da premere e un numero da leggere ? Poco durevole ? Ci passi con la macchina sopra di solito ?lorenzomah.....
sinceramente mi convincono poco entrambi gli articoli..... gia a partire dall'uso un po' "liberale" dei termini 'mitm' e 'malware'... quasi fossero intercambiabilibubbaRe: mah.....
- Scritto da: bubba> sinceramente mi convincono poco entrambi gli> articoli..... gia a partire dall'uso un po'> "liberale" dei termini 'mitm' e 'malware'...> quasi fossero> intercambiabiliMitB, non MitMNome e cognomeRe: mah.....
- Scritto da: Nome e cognome> - Scritto da: bubba> > sinceramente mi convincono poco entrambi gli> > articoli..... gia a partire dall'uso un po'> > "liberale" dei termini 'mitm' e 'malware'...> > quasi fossero> > intercambiabili> > MitB, non MitMok, non hai letto gli articoli.bubbaRe: mah.....
- Scritto da: bubba> - Scritto da: Nome e cognome> > - Scritto da: bubba> > > sinceramente mi convincono poco entrambi> gli> > > articoli..... gia a partire dall'uso un po'> > > "liberale" dei termini 'mitm' e> 'malware'...> > > quasi fossero> > > intercambiabili> > > > MitB, non MitM> ok, non hai letto gli articoli.No, ne ho letti piu' di te ....Nome e cognomeDimentichi l'usability
Marco, tu hai ragione su SPID3. Ragione sul piano della sicurezza.Però dimentichi che SPID è pensato per essere USABILE dagli utOnti.Per farti capire chiaramente cosa intendo ti chiedo se hai mai provato a configurare una "postazione di firma" o un "posto di lavoro" per la CNS.Allora...-Devi avere un PC. Nel migliore dei casi è un ultra-portatile, nel peggiore un desktop che non puoi muovere dalla scrivania-Devi avere un lettore di smart card. Fortunatamente alcuni certificatori forniscono dei token USB-Devi installare i driver del lettore/token-Devi installare il CSP (Crypto Service Provider) che legge i certificati dalla smart cardSe hai un Mac o un sistema Unix non ho la benchè minima idea di come si configuri una postazione.L'utOnto medio è una persona che informatica non ne mastica. All'utOnto si chiede, a prescindere da Winzozz, Mac o Linux di:-Inserire lo user name annotato sul post it-Inserire la password annotata sullo stesso post it-Aspettare che arrivi l'SMSOra... già dare un token hardware potrebbe essere una scelta azzeccata sempre per la storia della sicurezza, così non resta un punto vulnerabile nella catena.Ma pensa che addirittura c'è una banca... olandese... arancione... fan delle zucche di Halloween...Che ai clienti, a grande richiesta, ha sostituito la "carta dei codici operativi" con un'applicazione iOS/Android che genera gli stessi codici one time.Sottolineo questo: a grande richiesta!L'utOnto medio non vuole riempirsi la borsa di: chiavette, tessere, post it con le password, strani congegni elettronici che potrebbero essere scambiati per mini-dildo.SPID non è perfetto. Sempre meglio di quell'obbrobbio della PEC.Ai posteri l'ardua sentenzadjechelonRe: Dimentichi l'usability
Linux : installi driver lettore usb , installi servizi di gestione delle smartcard ( se non sono gia' installati ) , inserisci la smartcard , digiti pin .lorenzoRe: Dimentichi l'usability
- Scritto da: lorenzo> Linux : installi driver lettore usb , installi> servizi di gestione delle smartcard ( se non sono> gia' installati ) , inserisci la smartcard ,> digiti pin > .OSX: paghi! il resto "it's magic!"panda rossaRe: Dimentichi l'usability
Ok mi dici le istruzioni che provo a farlo fare a mia madre? :-)Indoviniamo un po'...Per trovare i driver del lettore cerchi su apt/yum/yast. Uff non c'è.Sbatti a cercare il sito del produttore. Cacchio è in formato deb, io ho suse...No allora vediamo i sorgenti. Ok sì... configure... ma la option --prefix...Ok poi per essere sicuro devo controllare udev e farmi un init scriptServizi di gestione della smart card non ci sono, uff stessa trafila di prima...No forse ho esagerato un po', ma seriamente mia madre preferirebbe il PIN sul post it. Io glielo dico che non è sicuro, ma lei lo custodisce gelosamente. Me ne farò una ragione?djechelonRe: Dimentichi l'usability
Che senso ha lo spid senza un pc ?lorenzonon basta un cell vecchio?
non sarebbe è sufficiente avere un celluare senza acXXXXX a internet, non smartphone, con una sim dedicata da usare quindi solo come token per tutti questi servizi?DonRe: non basta un cell vecchio?
Non e' molto meglio un piccolo token che genera i codici temporanei ? Piu' leggero , non si scarica la batteria sul piu' bello , non richiede una sim ( su tutte le sim stanno comparendo dei costi fissi per servizi "super-mega-vantaggiosi" che non servono a nulla ! )lorenzoRe: non basta un cell vecchio?
- Scritto da: lorenzo> Non e' molto meglio un piccolo token che genera i> codici temporanei ? Piu' leggero , non si scarica> la batteria sul piu' bello , non richiede una simLo devi cambiare ogni due anni, giusto? E magari devi fare pellegrinaggi burocratici per averlo, come in banca.E se uno tirasse fuori il vecchio cellulare del nonno dal cassetto, ci mettesse sopra una SIM Tiscali ricaricabile solo voce (che non scade), certificasse quel numero lì e campasse tranquillo? :DZLoneWRe: non basta un cell vecchio?
- Scritto da: ZLoneW> > Lo devi cambiare ogni due anni, giusto? no.quello della mia banca ce l'ho di più di 10 anniinformatiRe: non basta un cell vecchio?
Il token dura parecchio il vecchio cellulare con la batteria ni-mh bruciata un poco meno ... per non parlare del peso e delle dimensioni e del fatto che non e' legato ad un terzo ( sim ) per funzionare .lorenzoarticolo molto interessante, ma
con queste pagine dinamiche del cavolo, che si aggiornano in continuazione, ogni pochi secondi il testo viene riposizionato e la lettura ne è ostacolata.GiacomoRe: articolo molto interessante, ma
- Scritto da: Giacomo> con queste pagine dinamiche del cavolo, che si> aggiornano in continuazione, ogni pochi secondi> il testo viene riposizionato e la lettura ne è> ostacolata.Leggi questo visto che ti piace leggere:https://www.maketecheasier.com/disable-web-page-auto-refresh-for-various-browsers/Così magari la smettete pure di romperci il tasso.refreshatev i dal c....Dibattito pubblico
Buonasera, sono molto d'accordo, direi per principio, sul fatto che iniziative come quella di SPID siano oggetto di una pubblica discussione. Segnalo in tal senso che nell'ambito del SecuritySummit di Roma, l'8 Giugno ne parleremo in questa tavola rotonda: https://www.securitysummit.it/roma-2016/tavole-rotonde/talk-296/L'evento è liberamente fruibile, previo registrazione.bechelligrande MARCO non mollare mai
finché respiri, finché ci vedi, ci senti, riesci a interagire e ti funziona il cervello:NON MOLLARE MAI, scrivi, rompi le palle, rispondi, obietta, fai pensare.furryGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 26 mag 2016Ti potrebbe interessare