Guerre di Rete - Il cloud Ue si è incasinato

E poi Privacy pride. Signal e dati. Spyware in lista nera.

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.116 - 7 novembre 2021

Oggi si parla di:

  • Gaia-X e cloud italiano

  • Privacy Italia e Privacy pride

  • Signal e dati

  • NSO e Candiru nella lista nera Usa

  • E molto altro

Per i sostenitori e lettori della newsletter: al festival Glocal sul giornalismo digitale il prossimo giovedì parlerò proprio dell’esperienza originale di questa newsletter, Guerre di Rete (Newsletter e giornalismo “per le nicchie”: valore e opportunità), nata quando quasi nessuno avrebbe scommesso su questi temi e format, che oggi sembrano diventati molto più mainstream. Ricordo che questa newsletter (che oggi conta quasi 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e indipendente, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori). Comunque a Glocal sarà l’occasione per fare il punto su questo progetto.

EUROPA
Il cloud europeo è un “casino”
Gaia-X, il progetto di cloud europeo promosso in particolare da Francia e Germania che avrebbe dovuto inaugurare l’era di sovranità digitale europea rispetto alle piattaforme e aziende extra-Ue, è un “casino”. Così è stato definito da alcuni funzionari e protagonisti del progetto sentiti dalla testata Politico. Gaia-X intende creare un cloud federato europeo attraverso un accordo di collaborazione per definire criteri e standard comuni di gestione dei dati e dei servizi, e prevede anche la creazione di una serie di hub regionali. Attenzione, l’idea è quella di creare non una piattaforma ma un ecosistema, prima ancora un framework, cioè una cornice in cui far funzionare servizi cloud secondo standard e regole comuni (su portabilità, sicurezza, interoperabilità ecc) e a quel punto favorire così lo sviluppo di un’industria locale. E tuttavia Gaia-X fa comunque fatica a decollare a causa degli attriti e delle diverse posizioni dei suoi membri corporate, oltre che di una pesante struttura burocratica, scrive Politico.
Tra i più preoccupati ci sono i francesi, tanto che proprio a ottobre il presidente Macron ha ammonito del ritardo europeo nei piani di sovranità digitale. In realtà anche le aziende di cloud extra-Ue sono membri del consorzio, costituitosi come noprofit nel 2021, anche se non è chiaro quale ruolo avranno. Ricordiamo che in Europa i servizi cloud di Amazon, Microsoft e Google ammontano al 69 per cento del mercato. Quanto le aziende straniere stiano contribuendo al progetto non è chiaro e i documenti tecnici che potrebbero permettere di capirlo non sono pubblici, nota Politico.
Come ricorda Formiche, il consiglio di amministrazione del consorzio è composto da aziende europee quali “OVHCloud, Airbus, Orange e ovviamente Deutsche Telekom, ma il coinvolgimento riguarda anche partner extra europei. Tra le crescenti organizzazioni che hanno aderito al progetto – circa 320 dalle poche decine di un anno fa – ci sono alcune che rappresentano gli interessi di aziende esterne, come Bitkom, CISPE e Digital Europe che sono la voce dei vari Amazon, Google e Microsoft all’interno di Gaia X. L’influenza statunitense, quindi, è ancora molto importante”.

Nel mentre, alcune aziende di hardware e software europee, scontente di come stava andando il progetto, a luglio hanno creato Euclidia, che vuole fare dell’Europa una leader nel cloud senza seguire però modelli asiatici o americani e rivendicando una più forte autonomia.

L’hub italiano
Per quanto riguarda l’Italia, il nostro Paese ha presentato il suo progetto di hub regionale di Gaia-X lo scorso maggio: il governo ha infatti affidato a Confindustria il compito di costituire e coordinare la “filiale” italiana. “L’Italia ha dimostrato grande fiducia nel progetto, con un numero di aziende partecipanti secondo solo a quello di Germania e Francia, e con l’adesione di operatori delle telecomunicazioni e delle principali infrastrutture nazionali. A differenza di altri Paesi, in cui è previsto il coordinamento da parte delle istituzioni pubbliche, sul nostro territorio il promotore dell’Hub è Confindustria”, scrive un report di I-Com. Nondimeno il governo avrebbe dato un sostegno finanziario. “Ci aspettiamo – aveva dichiarato a fine maggio il ministro per l’Innovazione tecnologica e la transizione digitale Colao rivolgendosi ai promotori dell’hub italiano – che diate uno stimolo forte alle politiche industriali europee con progetti di innovazione tecnologica e con la cooperazione di imprese di ogni dimensione. E’ importante il coinvolgimento delle pmi e dei poli di ricerca e accademici”.
Struttura, statuto e lancio operativo dell’hub dovevano essere previsti per fine giugno. 

Tuttavia anche la parte italiana sembra essere in ritardo. “Ci stanno lavorando ma non c’è stato un vero lancio”, commenta a Guerre di Rete una fonte qualificata. Che conferma anche il quadro tratteggiato da Politico rispetto alle fratture del consorzio europeo. “Ci sono due piani su cui l’Europa sta lavorando per colmare il divario nel cloud: uno è quello normativo, di policy e governance, ovvero stabilire criteri e principi per il trattamento dei dati; l’altro è quello industriale, e lì si devono vedere i capitali. Ed è su questo piano che ci sono problemi. E gli unici che si muovono sono gli americani”

La gara per il cloud della PA del Polo Strategico Nazionale
Per quanto riguarda invece il PSN, il Polo Strategico Nazionale, cioè quell’infrastruttura che in Italia dovrà ospitare i dati e i servizi critici e strategici di tutte le amministrazioni centrali (circa 200), delle Aziende Sanitarie Locali (ASL) e delle principali amministrazioni locali, a fine ottobre si contavano 3 cordate nazionali pronte a presentare i rispettivi progetti: Tim-Cdp-Sogei-Leonardo; Almaviva-Aruba; Engineering-Fastweb.

Gestirà la gara una società controllata dal ministero della Difesa. “A sorpresa la gara non sarà gestita dalla Consip, la spa del ministero dell’Economia che si è occupata delle precedenti procedure per il cloud della Pa”, ha scritto Il Sole 24 Ore. “Il decreto legge sull’attuazione del Piano di ripresa e resilienza affida l’espletamento delle procedure di gara alla società Difesa servizi spa, controllata dal ministero della Difesa. Una scelta dettata presumibilmente dagli aspetti di sicurezza nazionale collegati alla gestione dei dati in cloud che vedrà coinvolti, come fornitori del soggetto aggiudicatario, grandi operatori extra-Ue come i cloud provider americani Google (che è anche partner tecnologico di Tim nella società Noovle spa), Oracle, Microsoft, Amazon web services”.

Da notare anche il commento rilasciato giorni fa dal presidente del Copasir, Adolfo Urso. “Se la tecnologia è italiana è meglio. Ma se non riusciamo a realizzare server in Italia è preferibile che li realizziamo con i partner europei o con Paesi alleati, dato che la tecnologia per i cloud è in gran parte americana. Dobbiamo preservare il percorso tra nazioni alleate, che condividono gli stessi diritti fondamentali”.

UE E SOCIAL
La Germania spinge sulla regolamentazione delle piattaforme
Sul piano europeo della regolamentazione delle piattaforme, in particolare dei social media, un nuovo fronte potrebbe aprirsi in Germania (che, se ricordate, dal 2018 ha adottato una delle leggi più dure sull’hate speech online, il Network Enforcement Act o NetzDG).
Proprio mentre Facebook è sulla graticola per i documenti pubblicati da una serie di media e diffusi dalla ex dipendente Frances Haugen, i tre partiti tedeschi coinvolti nelle trattative per la formazione del nuovo governo di coalizione, il cosiddetto governo semaforo - i socialdemocratici dell’SPD, i liberali di FDP e i Verdi - vogliono mostrarsi proattivi sulla questione, scrive De Spiegel. E intendono fare pressione su Bruxelles e altri partner europei per passare leggi più restrittive.

Non è chiaro come questo influirà nella discussione europea sulle nuove proposte di leggi per regolamentare il settore, il Digital Market Act che vuole introdurre una serie di regole e divieti per le piattaforme online di grandi dimensioni che esercitano una funzione di controllo dell'accesso, i cosiddetti "gatekeeper; e ancora più il Digital Services Act che vuole delineare le responsabilità e i doveri delle piattaforme online e dei fornitori di servizi d'informazione, “rafforzando anche il controllo sulle politiche di contenuto delle piattaforme nell'UE”. 
Come ricordava il FT qualche settimana fa, le due proposte stanno spaccando i legislatori europei su diversi fronti. Il principale riguarda quali tipi di servizi digitali (e di quale entità) includere nei regolamenti.

BIG TECH E REGOLAMENTAZIONI
“Siamo riusciti a rallentare il Regolamento ePrivacy”
Nel mentre in questi giorni Google è stata accusata, insieme alle altre grandi aziende tech, le cosiddette GAFAM - tra cui Facebook, Apple e Microsoft, è scritto nei documenti appena pubblicati relativi a una causa antitrust intentata dalla Florida e altri Stati contro Google - di aver lavorato per far ritardare l’aggiornamento delle nuove regole europee sulla privacy (il Regolamento ePrivacy, le cui trattative sono ancora in corso e si sono trascinate per anni).
In un memo interno di Google sottoposto dall’accusa si sostiene che l’azienda californiana, in preparazione a un meeting con le altre Big Tech, abbia scritto: “Siamo riusciti a rallentare e ritardare il processo [del regolamento ePrivacy] e abbiamo lavorato dietro le quinte gomito a gomito con le altre aziende”, riferisce TechCrunch.

Facebook e la complessità di una causa antitrust
Il tema dell’influenza di grandi aziende tech sul mercato, i consumatori e i legislatori è anche al centro di un approfondimento di Valigia Blu su La causa antitrust contro Facebook e il futuro dei social network.
Approfondimento che analizza la complessità delle questioni sollevate dalle cause antitrust intentate negli Usa contro Facebook che “si concentrano sulla posizione dominante di Facebook (quella dell’FTC) e sulla pratiche anticoncorrenziali (quella degli Stati). In particolare, la seconda ha articolato una teoria convincente sul danno: le politiche di Facebook sono peggiorate col tempo, più diminuiva la concorrenza più peggioravano le scelte e le impostazioni per gli utenti”.

(...) Per fortuna negli ultimi anni sembra che ci sia maggiore consapevolezza che favorire le concentrazioni di potere non è più un’opzione auspicabile, dato il peso che le grandi multinazionali (non solo quelle tecnologiche, basti pensare all'industria editoriale che ha fortemente voluto e ottenuto la direttiva copyright) hanno sull’intera società. Inoltre, con Lina Khan alla FTC, sembra che il focus delle indagini si stia spostando dalla questione degli aumenti dei prezzi. La regolamentazione degli anni ‘60 si basa sull’idea di danno ai consumatori, misurato in gran parte attraverso l’aumento dei prezzi, oggi si è finalmente compreso che il danno può essere di diverso tipo”.

SORVEGLIANZA EU
Il business milionario della sorveglianza biometrica alle frontiere dell'Europa
Le agenzie Eu-Lisa e Frontex moltiplicano gli appalti per costruire grandi banche dati e sistemi di controllo in dogana, affidati a un gruppo ristretto di imprese specializzate nel settore - Wired

ITALIA E PRIVACY
Arriva il primo Privacy Pride
E’ nato, sulla spinta di varie realtà associative, il comitato Privacy Bene Comune che sta organizzando il primo Privacy Pride in Italia per il 13 novembre anche con manifestazioni. Tra gli obiettivi: “Difesa della sfera privata dall’invadenza dello Stato e dei privati. Programmi per servizi pubblici progettati con codice pubblico (cioè libero, componente necessario per poter parlare di privacy digitale). Affermare che la privacy è sia diritto individuale che bene comune”. 
Nel mirino della manifestazione anche il dl Capienze con la sua riduzione dei poteri del Garante per la protezione dei dati personali.

Dl Capienze e Garante
Scrive Key4biz riguardo al Dl Capienze: “Il decreto legge, ora, cancella il potere del Garante di prescrivere, prima del rilascio di una soluzione digitale, misure e accorgimenti a garanzia dei cittadini. Sono stati abrogati i provvedimenti prescrittivi di carattere generale su casi specifici. Ora, il Garante dovrà avviare consultazioni individuali per trattamenti con impatti a rischio elevati. In virtù del decreto ‘capienze’, l’Autorità potrà intervenire solo ex post in caso di violazioni delle norme in materia, come dire “a danno fatto”.

Sulla protezione dei dati e gli impatti a lungo termine manca visione più ampia
Sulla protezione dati in generale rincara la dose Carlo Blengino su Il Post: ”Temo, non ne ho la certezza ma parliamone, che l’impatto “ambientale” di tali tecnologie sulle nostre democrazie sia rilevante e subdolo come lo furono il cemento, il petrolio o la plastica nel ‘900 per il pianeta: tutte cose queste utilissime che hanno migliorato le nostre vite, ma ora ne stiamo pagando un caro prezzo, senza ancora sapere se e come potremo raddrizzar la rotta. È mancato, all’epoca, un governo di quelle tecnologie, una visione più ampia”

O forse la visione c’è ma va nella direzione opposta.

GREENPASS
La storia dei certificati falsi
Nelle ultime settimane c’è stato un po’ di subbuglio dopo la comparsa di una serie di green pass chiaramente taroccati (intestati a Topolino, Adolf Hitler ecc) ma apparentemente validi/validati dalle applicazioni preposte. Più che furti di chiavi o falle sistemiche tali certificati sembravano arrivare da alcuni episodi di abusi commessi da chi aveva accesso al sistema, abusi su cui si sarebbe subito innestato un tentativo di commercializzazione da parte di truffatori. Ha ricostruito la vicenda Paolo Attivissimo.
”Il problema era inizialmente riconducibile alle strutture pubbliche francesi e polacche, che hanno smentito il furto delle chiavi”, ha scritto Corriere.
E ancora: “Green pass” falsi in vendita tramite il sistema italiano, dice il venditore (sempre Attivissimo)

A ricostruire in dettaglio la vicenda c’è anche Wired Italia, che segnala pure un problema di server esposti e fra le altre cose scrive: “L’Unione si muove ancora in ordine sparso, perché spetta al singolo Stato revocare il green pass falso. E siccome non c’è una linea comune tra i 27 sull’uso del digital green certificate, i tempi di reazione sono più lunghi del previsto”.

Avviso e indagine sulle “app pirata”
Intanto il Garante Privacy ha avviato una indagine sulle app “pirata”, cioè su quelle app per la verifica del green pass “che consentono a chi le scarica, inquadrando il QR Code, di leggere dati personali come nome, cognome, data di nascita, ma perfino dosi o tamponi effettuati. In alcuni casi le app richiedono anche una registrazione per il download e trasferiscono i dati a terzi.”  Il Garante ha messo in guardia tutti gli utenti dallo scaricare queste app, ricordando che l’App VerificaC19, rilasciata del Ministero della Salute, è “l’unica app di verifica delle certificazioni verdi utilizzabile per garantire la privacy delle persone”.
Interpellato su Twitter da una conversazione nata dalla pubblicazione della newsletter, il Garante ha così specificato: “Alcune app mostrano dati eccedenti, quali data della dose o tampone, oltre a nome, cognome e data di nascita, o richiedono all'utente una registrazione, senza fornire informativa”.

TWITTER
La strategia del social contro la misinformation sul clima
Durante Cop26, la conferenza sul clima delle Nazioni Unite, Twitter ha adottato una nuova strategia per contrastare la disinformazione e la misinformation (cattiva informazione) sul clima, una strategia non di debunk (smontare notizie false a posteriori) ma di prebunk (contrastare la cattiva informazione diffondendo prima informazioni accurate e da fonti autorevoli sul tema). Significa che informazioni sulla questione provenienti da esperti e altre fonti qualificate venivano esposte o apparivano nei tab Esplora, o nelle ricerche e nella lista dei trend. Twitter non ha invece preso iniziative contro tweet individuali contenenti misinformation sul clima, diversamente dalle info sui vaccini. Axios

RICONOSCIMENTO FACCIALE
Sospesa sperimentazione nelle mense scolastiche
Alcune scuole in UK hanno sospeso i progetti che miravano a implementare una tecnologia di riconoscimento facciale nelle mense per “agevolare” il pagamento contactless del pranzo, dopo i rilievi critici dell’autorità garante per la protezione dei dati personali, l’Information Commissioner's Office (ICO) - BBC

SIGNAL
Quali dati possono essere richiesti, e quali fornisce
La polizia di Santa Clara ha presentato a Signal un mandato in cui chiedeva informazioni su un certo utente, tra cui il suo indirizzo, corrispondenza, contatti, gruppi e registro chiamate, indirizzo IP e date di ogni connessione. La risposta di Signal  - in un post - è che non hanno dato nulla di quanto richiesto perché “è impossibile consegnare dati cui non abbiamo accesso”. Tra questi, cioè i dati a cui Signal non avrebbe accesso, ci sono i gruppi, i contatti, il nome profilo o avatar. Alla fine Signal ha consegnato solo la data di creazione dell’account e di quando si è connesso al servizio l’ultima volta. Zdnet

SPYWARE
NSO e Candiru sono ora nella lista nera americana
Il dipartimento del Commercio Usa ha aggiunto le società israeliane NSO Group e Candiru, produttrici di spyware, nella sua entity list, la lista nera sull’export. Significa che le esportazioni da parte di soggetti statunitensi a queste società sono soggette a restrizioni. Nello specifico le restrizioni rendono più difficile la vendita di exploit e altre informazioni su vulnerabilità alle due società da parte di ricercatori americani e chi vorrà farlo dovrà ottenere una licenza, che probabilmente sarà negata, scrive Reuters.
Oltre alle due società israeliane, sono state aggiunte alla lista la russa Positive Technologies, società di cybersicurezza accusata dagli americani di aver dato supporto ai servizi segreti russi,  e Computer Security Initiative Consultancy PTE LTD, di Singapore, nota come COSEINC e fornitore di exploit.
Secondo il Dipartimento del Commercio Usa, queste 4 entità “hanno agito in maniera contraria agli interessi di sicurezza nazionale e di politica estera degli Stati Uniti”. E “informazioni emerse da investigazioni hanno mostrato che le aziende israeliane NSO Group e Candiru hanno sviluppato e fornito spyware a governi stranieri che hanno usato questi strumenti per prendere di mira funzionari governativi, giornalisti, uomini d’affari, attivisti, accademici e personale nelle ambasciate”.

Questa decisione americana è molto rilevante e potrebbe essere uno spartiacque. C’è già chi sta chiedendo all’Europa di prendere ora decisioni forti in materia.

Come sapete qualche settimana fa Guerre di Rete ha pubblicato un lungo speciale in 3 parti su questo tema, Spyware Ltd (en passant, nello speciale a un certo punto parlo dei tanti “nomi” di Candiru, un tema sottolineato anche dal documento del Dipartimento del Commercio che scrive: “Candiru, anche nota con i seguenti sette alias: -Candiru Ltd.; -DF Associates Ltd.; -Grindavik Solutions Ltd.; -Taveta Ltd.; -Saito Tech Ltd.; -Greenwick Solutions; and -Tabatha Ltd")

RANSOMWARE
10 milioni per chi consegna i leader di Darkside
C’erano molte cose da dire sui ransomware questa settimana ma mi limito alla notizia più significativa. Il Dipartimento di Stato Usa ha appena messo una taglia, pardon, una ricompensa, fino a 10 milioni di dollari, per informazioni che possano identificare e tracciare i leader dalla gang ransomware Darkside. Cinque milioni per chi invece porti informazioni rilevanti su chiunque abbia partecipato a incidenti di sue varianti. Insomma si vogliono prendere i leader in primis, ma si vuole colpire anche il sistema delle affiliazioni. Darkside è il gruppo responsabile dell’attacco a Colonial Pipeline, l’oleodotto americano, gruppo poi ribattezzato BlackMatter.

La notizia si commenta da sola, nel caso non si fosse ancora capito quanto gli americani abbiano messo le gang ransomware in cima alle loro priorità. Come ho scritto anche in precedenti newsletter, questo sarà un game changer, cioè un punto di svolta (non nel senso di far scomparire il fenomeno ma sicuramente andrà mutando).

CYBERSECURITY
Ibm acquisirà ReaQta
Ibm ha annunciato di stare per acquisire ReaQta, una società di sicurezza degli endpoint basata su AI con sede nei Paesi Bassi che è stata fondata dall’italiano Alberto Pelliccione. Zdnet

APPROFONDIMENTI

QANON
4 anni di QAnon, la teoria complottista che è ormai diventata un movimento politico. E che non accenna a scomparire. Speciale di Daily Dot (inglese)

FACEBOOK E LEGGI
Mike Masnick su TechDirt mette in guardia dal regolare internet come se Facebook fosse internet. Il risultato potrebbe essere una profezia che si autoavvera. Ovvero uccidere internet e far sopravvivere solo Facebook. TechDirt

METAVERSI
Una critica al Metaverso di Facebook da chi aveva contribuito ai primi metaversi (terribili allora, ma terribile anche oggi, scrive Ethan Zuckerman)
The Atlantic

MILITARI E INTELLIGENCE
Anche l’intelligence  ha subito i cambiamenti della rivoluzione digitale e ha bisogno di un nuovo linguaggio (inglese)
RealClearDefense

A ottobre la Nato ha adottato una Strategia sull’Intelligenza Artificiale
Natio Review

SOCIAL E GIORNALISMO
Una guida di Bellingcat per la verifica dei contenuti sui social media

GIORNALISMO E SICUREZZA
Il Global Investigative Journalism Network ha prodotto uno strumento di autovalutazione per la sicurezza e cybersicurezza delle redazioni

COMUNITÀ E OPERAZIONI DI INFLUENZA
Comunità virtuali dedicate alla finanza stanno crescendo in dimensioni e potenziale impatto, come dimostrato dal ruolo giocato da gruppi online nella vicenda GameStop. Tali comunità però possono essere esposte a manipolazione e potrebbero diventare un target per le operazioni di influenza e disinformazione di attori statali e non.

Un’analisi in inglese di due italiani, Claudia Biancotti e Paolo Coccia per il Carnagie Endowment

LIBRI

I figli dell’algoritmo (Luiss University Press, pp. 188, euro 18) di Veronica Barassi.
L’ultima frontiera del controllo: la raccolta dati sui bambini a pochi istanti dal loro concepimento. «Con la pandemia processi già in atto sono stati ulteriormente estesi: software che verificano a distanza i lavoratori o che analizzano l’espressione degli studenti a casa» - Simone Pieranni su Il manifesto

The Oxford Handbook of Cyber Security (per specialisti)

EVENTI

Se vi siete persi HackInBo, una delle più belle conferenze di cyber italiane, la trovate comunque tutta online qua (VIDEO)

Come dicevo in apertura giovedì al festival Glocal parlerò di piattaforme digitale e rapporti con gli Stati in questo panel, e di newsletter e giornalismo in questo altro panel.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti. 

—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter e un neonato profilo Instagram. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).