Guerre di Rete - Stati, piattaforme, censura e free reach

E poi la crisi dei ransomware. Intercettazioni, privacy e dati fra Ue e Usa

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.108 - 6 giugno 2021

Oggi parliamo di:
- più censura e meno privacy sulle piattaforme
- Trump e Facebook
- la crisi dei ransomware e cosa fare
- intercettazioni privacy e rapporti fra Usa e Europa
- e altro

 Questa settimana ho scritto un lungo articolo su Valigia Blu, uscito oggi, per cui la newsletter è un po’ ridotta. 

STATI E PIATTAFORME
La pressione dei governi spinge le piattaforme verso più censura e meno privacy per gli utenti
Malgrado alcune società o organizzazioni pro-privacy sembrino avere, per ragioni di business o di principio, posizioni molto nette nella difesa del diritto alla libertà di espressione e alla riservatezza, la realtà è che in questo momento gran parte delle piattaforme digitali, specie quelle più grandi, sono messe alle strette dagli Stati. Anche con richieste che limitano fortemente questi diritti. Così crescono censure, dirette o collaterali, mentre è a rischio la privacy e sicurezza delle comunicazioni.

Non possiamo permettere ad autocrati di riplasmare internet dopo la Covid, ha scritto qualcuno. Ma anche le democrazie cosa stanno facendo? Per Patrick Breyer, parlamentare Ue, ci sono alcuni passaggi cruciali su cui intervenire, anche a livello di regolamentazione europea, per salvaguardare diritti fondamentali nell'era digitale. Per Jillian York, autrice di Silicon Values, qualsiasi regolamentazione delle piattaforme deve essere in linea con il quadro normativo internazionali sui diritti umani.

Ne ho scritto oggi qua su Valigia Blu

SOCIAL MEDIA E POLITICA
7 gennaio 2023

E’ questa la data in cui Donald Trump potrà nuovamente accedere a Facebook e Instagram (sempre che non si faccia ricacciare, come diplomaticamente sottolineato nel comunicato stampa del social). Facebook ha infatti stabilito in due anni la durata effettiva della sospensione dell’ex presidente, dopo essere stata rimproverata dal suo stesso Comitato per il controllo (Oversight Board), composto da esperti di diritto, politica e comunicazione, per aver lasciato indefinita la sospensione. Dunque la massima pena è due anni: per alcuni è tanto, per altri poco. La data permetterà comunque a Trump di riaffacciarsi su alcuni social in tempo per il nuovo ciclo elettorale, nota qualcuno.

Inoltre, Facebook ha stabilito che non tratterà più i contenuti pubblicati da politici come necessariamente di pubblico interesse o di interesse giornalistico. Il che significa che teoricamente saranno moderati come quelli di un utente comune. L’annuncio è una svolta rispetto alla linea tenuta in precedenza, scrive CNBC.

Una lezione sul potere di reach delle piattaforme
Dopo poche settimane dal roboante debutto, Trump ha chiuso la sua nuova “piattaforma di comunicazione”, ovvero il suo neonato blog, che dopo un modesto picco di interazioni iniziali (159mila il primo giorno) è crollato a 15mila al dì. Trump avrebbe deciso di chiuderlo perché ritiene che numeri così bassi lo facciano sembrare irrilevante, scrive Wired Usa, aggiungendo come questo episodio sia quasi una parabola, diciamo così, del potere delle piattaforme digitali.

“Per le piattaforme, non ci potrebbe essere una storia più potente sull’importanza dei loro meccanismi di amplificazione”, commenta anche un altro giornalista, Casey Newton. L’abbandono quasi istantaneo del blog da parte di Trump - prosegue Newton -  illustra come il potere reale delle piattaforme non sia nel free speech, la libertà di parola, ma nel free reach, la possibilità di sfruttare i loro meccanismi di amplificazione per raggiungere masse di persone.

CRISI RANSOMWARE
Indagini con priorità simile al terrorismo

Il Dipartimento di Giustizia Usa sta elevando le indagini sugli attacchi ransomware (software malevoli che cifrano tutto e chiedono un riscatto) a una priorità simile a quella del terrorismo, dopo la disastrosa infezione che ha di fatto bloccato l’oleodotto Colonial Pipeline (di cui ho scritto qua), e una serie di altri episodi, riferisce Reuters. Nuove linee guida interne inviate agli uffici dei procuratori nel Paese raccomandano che le informazioni su queste indagini siano coordinate con una speciale task force creata recentemente a Washington. Le linee guida, oltre ai ransomware, includono altre attività che possono essere collegate a operazioni cybercriminali: indagini su botnet, servizi di riciclaggio, forum o mercati online illeciti, servizi di hosting cosiddetti bulletproof, ed exchange di criptovalute.

“Non si può spiegare la metastasi della crisi dei ransomware senza esaminare anni di inazione americana”, scrive la MIT Technology Review. “La crisi globale dei ransomware è cresciuta a incredibili proporzioni durante la presidenza Donald Trump. Anche mentre infrastrutture critiche Usa, città, e oleodotti venivano colpiti [si riferisce ad altri precedenti episodi rispetto a Colonial Pipeline, ndr], l’amministrazione Trump non ha fatto nulla per risolvere il problema, che è rimasto ignorato da gran parte degli statunitensi”. Oggi invece l’amministrazione Biden ha messo la questione sul tavolo, incluso quello negoziale con Putin: l’incontro fra i due è previsto il 16 giugno.

Ricordo che qualche giorno fa anche la più grande azienda di lavorazione della carne al mondo, JBS, è stata colpita da un ransomware, con la conseguenza di fermare temporaneamente le operazioni in alcuni Paesi, dagli Stati Uniti all’Australia. Anche se i suoi tempi di ripresa sono stati poi piuttosto rapidi, scrive Malwarebytes.
Secondo l’Fbi dietro l’attacco ci sarebbe un noto e prolifico gruppo cybercriminale, REvil (o Sodinokibi). Tempo fa la rivista The Record aveva intervistato un suo presunto portavoce, il quale aveva dichiarato che il gruppo prendeva di mira anche i fornitori di assicurazioni su rischi cyber, violando prima i loro sistemi per ottenere la lista clienti, e poi i singoli clienti. E per colpire, alla fine, la stessa assicurazione.

-- E in Italia?
“Bisogna accelerare la nascita di una agenzia cyber, che sarà separata dal DIS, come voluto dal neo sottosegretario Franco Gabrielli. Separazione opportuna non solo per accelerare sul perimetro [di sicurezza cibernetico] ma anche per coordinare meglio i rapporti con le aziende”, scrive Cybersecurity360.

UE E IDENTITA’ DIGITALI
La Commissione europea vuole creare un sistema di identità digitale comune
Il green pass è solo il primo passo di un più ampio progetto di identità digitale per le autorità Ue, scrive Wired Italia. Con due obiettivi. “Il primo è che tutti i 27 Paesi dotino i loro cittadini e le aziende di questi sistemi e di app dove conservare i documenti. (...) Il secondo scopo è ridurre al massimo le informazioni condivise all’esterno per identificarsi”. Il sistema di identità digitale dovrebbe fornire le informazioni strettamente necessarie senza rivelare più del dovuto e consentire ai cittadini di sapere quanti e quali dati stanno diffondendo. “Un approccio fortemente sponsorizzato dalle autorità italiane ai tavoli per la messa a punto di questo progetto”.

GREEN PASS
Il certificato e le app IO e Immuni
Cosa è il Green o Covid pass e come funziona? Lo spiega il Corriere: “Al momento in Italia ci sono tre documenti cartacei separati che possono essere presentati, laddove è richiesto o accettato”: il documento che attesta l’inoculazione di almeno la prima dose del vaccino, il risultato negativo di un tampone e il referto della fine dell’infezione.
Dunque il Green o Covid pass è “un’attestazione di almeno una delle condizioni appena citate (vaccino, tampone, guarigione) pensata per essere leggibile, e considerata valida anche a distanza, da enti e autorità nazionali diversi”.
Il certificato sarà o in formato cartaceo o digitale, sotto forma di Qr code. Secondo Vittorio Colao, la versione digitale si potrà scaricare anche sulle applicazioni IO e Immuni (o salvare nel Wallet di Apple). In alternativa ci sarà un sito.
“Nel caso di IO — scaricata da 11 milioni di italiani — l’idea è che il cittadino debba fare poco e niente: visto che si è autenticato con Spid o con Carta d’identità elettronica, troverà il certificato nell’app dopo aver fatto vaccino, tampone o visita (...). Diverso il discorso per Immuni (...) l’utente potrà inserire uno dei codici che gli o le verranno inviati o consegnati quando fa il vaccino-tampone-visita e il numero di tessera sanitaria. Immuni e il sito generano a questo punto il codice Qr”.

ITALIA SOCIAL
Sfida Meloni-Salvini
Il Corriere fa un confronto sulle strategie social di Fratelli d’Italia e Lega. Il Carroccio spende 7,5 volte in più per sponsorizzare i post: Salvini più popolare in numeri assoluti, ma coinvolge meno e perde follower su Instagram. Meloni: trend in crescita rapida e crea sempre più interazioni

-------------------------------

SORVEGLIANZA, DATI E LEGGI
Sezione a cura di Vincenzo Tiani

50 sfumature di Snowden
Il caso vuole che ieri sera abbia guardato il penultimo episodio dell’ultima stagione di The Newsroom, serie magistralmente scritta da Aaron Sorkin andata in onda dal 2012 al 2014. Protagonisti della serie sono i giornalisti di una redazione televisiva che proprio in quell’episodio si trovano all’aeroporto di Mosca per cercare di intervistare Edward Snowden, l’uomo che, dopo le sue rivelazioni sui sistemi di sorveglianza dell’intelligence americana, tutto il mondo sta cercando. 

L’aiutino danese alla NSA
Ecco, proprio in questi giorni l’emittente di stato danese DR ha pubblicato un’inchiesta che ha portato alla luce nuove circostanze (rispetto a quanto già emerso con le rivelazioni di Snowden nel 2013) che stanno facendo squillare i telefoni dei governi di Francia, Germania e Svezia in primis. Se già si sapeva infatti che la cancelliera Merkel ed altri politici di spicco di questi Paesi erano stati intercettati dalla NSA, quello che DR ha rivelato è che la NSA lo ha potuto fare con la collaborazione dei servizi segreti danesi, FE, che hanno accesso diretto ai cavi sottomarini da cui passa il traffico internet e telefonico che collega gli Stati Uniti all’Europa settentrionale, utilissimi anche per il traffico dati che arriva dalla Russia. 

Se da un lato operazioni di intelligence che abbiano come obiettivo degli alleati non sono una novità, quando questo avviene tra Paesi vicini dell’Unione Europea l’opportunità politica è da tenere in considerazione. Come ha poi riportato il Fatto, benché la Commissione Europea non abbia voce in capitolo sui temi di sicurezza nazionale dei singoli Paesi, la vice presidente della Commissione Europea, la danese Margrethe Vestager, era vicepremier e ministro dell’interno al tempo delle intercettazioni raccolte.

Le intercettazioni di massa indiscriminate da parte dei servizi segreti inglesi erano illegittime
Di intercettazioni si è occupata di recente anche la Corte Europea dei Diritti dell’Uomo che ha riconosciuto che le intercettazioni di massa indiscriminate da parte dei servizi segreti inglesi GCHQ erano illegittime per aver violato il diritto alla privacy e alla libera espressione tutelati dagli articoli 8 e 10 della Carta Europea dei Diritti dell’Uomo. “Pur non disconoscendo del tutto la possibilità di effettuare intercettazioni di massa, la Corte ha richiesto, per la loro legittimità, che queste siano approvate da un soggetto terzo e indipendente dal governo, come un giudice, e che l’autorizzazione sia precisa, rigorosa e controlli che siano in essere delle vere salvaguardie per i cittadini. Inoltre non esistevano termini di ricerca specifici né un’autorizzazione preventiva per la ricerca nelle comunicazioni di un individuo specifico. In poche parole l’agenzia Gchq poteva cercare qualsiasi informazione su chiunque, senza limiti di ricerca e senza il mandato di un giudice terzo che valutasse le esigenze investigative e la fondatezza della necessità di un’intercettazione.” (Wired Italia). Inutile dirlo, la causa che ha portato a questa sentenza, fatta partire da Big Brother Watch, Privacy International, Amnesty ed altre, è partita dopo le rivelazioni di Snowden del 2013.

Biden cerca un accordo con l’Europa sui dati
Un’altra conseguenza di quelle rivelazioni è che l’allora studente di legge austriaco Max Schrems chiese al Garante Irlandese della privacy di verificare che i trasferimenti di dati tra USA ed Europa operati da Facebook fossero legittimi, visti i vasti poteri di sorveglianza americani. Da quella prima richiesta sono arrivate due sentenze della Corte di Giustizia Europea che hanno annullato i due accordi tra Ue e Usa (Safe Harbour e Privacy Shield) che dovevano regolare un trasferimento di dati sicuro tra le due sponde dell’Atlantico. Quel tipo di accordo è molto importante per le aziende di entrambi i continenti perché facilita la dimostrazione che i propri partner commerciali e fornitori di servizi (anche della sola email o del cloud) rispettino le norme del GDPR. Per questo è degna di nota la notizia di POLITICO secondo cui il Presidente Biden il 15 giugno, in occasione del summit EU-US che si terrà a Bruxelles, potrebbe già mettere sul tavolo una prima proposta. 

Molti, tra cui la stessa Commissione europea, si augurano che gli Usa modifichino le proprie leggi sulla sorveglianza nonché il problematico Cloud Act del 2018 che permette ai giudici americani di chiedere accesso ai dati alle aziende americane in Europa, senza passare dagli accordi internazionali tra le procure. Circostanza da considerare quando non solo il piano per il Cloud europeo Gaia-X (Wired Italia) ma anche quello per il cloud italiano (Domani, paywall) prevedono accordi con diverse big tech americane. 

Gli utenti devono essere informati sul funzionamento degli algoritmi
Venendo all’Italia, la Corte di Cassazione ha dichiarato che l’utente deve essere informato sul funzionamento dell’algoritmo perché il suo consenso sia valido. La sentenza si riferisce a fatti avvenuti prima dell’entrata in vigore del GDPR, il regolamento generale sulla protezione dei dati, ma ribadisce un principio fondamentale in tempi in cui gli algoritmi sono sempre più diffusi, dalla scansione dei CV alla richiesta di un mutuo: quando hanno un impatto significativo devono essere trasparenti e dunque chi li adotta deve informare gli utenti (Wired Italia).

Ue, indagine antitrust su Facebook
“La Commissione europea ha aperto un'indagine antitrust per valutare se Facebook ha violato le regole di concorrenza dell'Ue utilizzando i dati pubblicitari raccolti dagli inserzionisti al fine di competere con loro nei mercati in cui Facebook è attivo. L'indagine formale valuterà anche se Facebook lega il suo servizio di annunci online "Facebook Marketplace" al suo social network, in violazione delle norme UE sulla concorrenza.” (Commissione Europea)

---------------------------

—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple PodcastsSpotifyGoogle PodcastAnchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.