Information Society &amp; ICT Law

Affitti e scambio case on-line. Il caso Airbnb

Pubblicato 3 agosto 2011 |

La storia narrata nell’articolo “Casa devastata. Bufera su Airbnb“, di Alessandro Longo per Repubblica, fa percepire come il settore della responsaiblità del provider si stia espandendo progressivamente, così come l’esigenza dei provider medesimi di offrire non la semplice intermediazione tecnica (l’interfaccia o la piattaforma UGC di social netowork tematica), ma anche l’attività supplementare di controllo dei contenuti o dell’affidabilità degli utenti che la piattaforma fa mettere in contatto.

E’ capitato, infatti, che un utente di un social network dedicato all’incontro tra domanda ed offerta di unità immobiliari in affitto anche per pochi giorni, andando in vacanza per una settimana, abbia deciso di affidarsi al servizio Airbnb per dare in affitto l’appartamento lasciato libero per il medesimo periodo di tempo, salvo poi a trovare, in occasione del ritorno dalle vacanze, la casa completamente devastata.

Questa la descrizione dell’accaduto, nella pagina di Alessandro Longo:

E.J., che vive a S. Francisco, aveva pensato di avere avuto un’idea geniale. Partire per un viaggio di una settimana affittando l’appartamento. E così guadagnare senza fatica. Senza nemmeno dover incontrare il proprio inquilino, con cui aveva solo scambiato qualche mail, dopo il contatto tramite il social network. Non sapeva nemmeno se fosse uomo o donna; su Internet si faceva chiamare “Dj Pattrson” (sic). Com’è andata a finire l’ha scritto lei stessa sul

blog: “hanno rubato la mia macchina fotografica, il mio iPod, un portatile e il disco rigido dove avevo memorizzato tutte le mie foto, i diari, insomma… la mia intera vita. Hanno trovato il mio certificato di nascita e la mia carta dell’assistenza sanitaria, che penso abbiano fotocopiato usando la fotocopiatrice che avevo gentilmente messo a disposizione degli ospiti in caso di necessità”. ” La cucina era un disastro: il lavandino era pieno di piatti sporchi, pentole usate e panni bruciacchiati e rovinati. C’era detersivo in polvere sparso dappertutto: sui piani della cucina, sui mobili di legno, sulla bellissima e nuova testiera del mio letto, sulla scrivania, nella stampante”.

Interessanti anche le successive annotazioni:

E.J. accusa Airbnb di non fare una scrematura dei possibili affittuari; di non fare controlli, di non dare garanzie. L’azienda è finita nel mirino delle critiche, sul web, anche per come ha gestito l’incidente. In prima battuta ha cercato di dissuadere E.J. dal pubblicare la storia e solo dopo che il caso è finito sui giornali americani le ha offerto un indennizzo. Ma non è finita: si stanno moltiplicando le storie simili. Troy Dayton, di Oakland, racconta di una casa vandalizzata, per migliaia di dollari di danni. L’azienda si è limitata a offrirgli , a mo’ rimborso, 21 notti gratis in una delle case disponibili sul sito. Dopo lo scandalo del caso E.J., Airbnb promette di aumentare le misure di sicurezza, ma per ora si è limitata a lanciata un supporto telefonico 24 ore su 24 e pacchetti assicurativi.

Il caso di Airbnb sta diventando esemplare di come i servizi low cost via internet possono essere meno sicuri di quelli tradizionali. Il web è comodo e fa risparmiare, va bene. Ma se in cambio ci sono meno controlli e garanzie, val la pena correre il rischio? Adesso se lo staranno chiedendo le migliaia di utenti di Airbnb e dei siti simili nati sull’onda del suo successo.

Fabio Bravo

Share and Enjoy:

Pubblicato in Commercio elettronico, Providers, Risarcimento danni, Sicurezza, Social Networking |

Contrassegnato Affitti on-line, Affitti online, Airbnb, Responsabilità dei Providers, Rischi dei social network, Scambio casa su Internet, Social Network |

iPhone e iPAD. Geoprofiling, privacy e tecniche investigative

Pubblicato 26 aprile 2011 |

Recenti articoli apparsi su testate giornalistiche nazionali hanno messo in luce per il grande pubblico italiano la tracciabilità geografica per gli utenti degli iPhone e degli iPAD 3G-enables ricavabile dalle celle agganciate dal dispositivo mobile, le cui informazioni (che solitamente in caso di investigazione vengono ricavate dagli gestori di telefonia) sono memorizzate in chiaro direttamente su un file generato proprio da tale apparecchio. Perché?

La notizia, che sta facendo il giro del mondo, è stata lanciata dal Guardian (che consiglio di leggere con attenzione).

Nell’articolo di Repubblica, viene chiarito che

E’ tutto nei termini di servizio. In realtà, il vespaio sollevato dalla notizia è più consistente della rilevazione stessa. Nei termini di servizio che l’utente accetta quando attiva il suo iPhone, è scritto chiaramente che si conferisce ad Apple il diritto di raccogliere questo tipo di dati “in forma anonima e non ricollegabile alla persona fisica”. E gli elementi di geolocalizzazione sono tra l’altro anche a disposizione degli operatori telefonici da molto prima dell’avvento dell’iPhone. Senza considerare che difficilmente chi ruba un telefono si interessa a dove è stato il legittimo possessore in precedenza.
Inoltre, che il file in questione (si chiama consolidated.db) sia raggiungibile con un minimo di perizia tecnica, non pone più problemi che averlo nel computer, sincronizzato ogni volta che si connette lo smartphone o il tablet ad iTunes. Attraverso questo programma è però possibile crittografare il backup del dispositivo e mettere al sicuro i dati. Per chi invece avesse operato il “jailbreak” sul dispositivo (azione non illegale ma che invalida la garanzia), c’è l’utility Untrackerd, che si occupa di cancellare continuamente il file in questione.

Oltre ai vantaggi ottenibili a livello investigativo, tuttavia, le modalità di funzionamento dell’iPhone hanno portato ad una pronta reazione del Garante per la protezione dei dati personali, che ha avviato un’indagine:

Garante per la privacy apre un’inchiesta. L’Autorità Garante per la protezione dei dati personali ha deciso di aprire un’istruttoria sull’argomento. Il garante, che ha già da tempo avviato accertamenti sulle app per smartphone, ha deciso di allargare le verifiche anche a questo particolare caso e chiederà informazioni ad Apple, oltre ad avviare accertamenti tecnici. L’attività di indagine sarà condotta in collaborazione con altre Autorità europee per la privacy, che si sono già attivate nei confronti della società di Cupertino.

Il problema si trova ben riassunto da Paolo Ottolina (Mal di Tech), per il Corriere della Sera, ove, nell’articolo dal titolo “L’iPhone tiene traccia di tutti i nostri spostamenti” si legge:

Due ricercatori di O’Reilly hanno mostrato che iPhone e iPad 3G tengono traccia (a partire dall’aggiornamento del sistema ad iOs 4) di tutti i nostri spostamenti, registrandoli su uno specifico file che viene archiviato su computer quando si fa una sincronizzazione dei dati. Scrivono i due, Alasdair Allan e Pete Warden:

Non siamo sicuri del perché Apple raccolga questi dati, ma è chiaramente intenzionale e i dati sono rigenerati dopo ogni backup e persino dopo un cambio di terminale. La presenza di questi dati sul vostro iPhone, iPad e nei backup hanno implicazioni di sicurezza e di privacy. Abbiamo contattato il Product Security team di Apple, ma non abbiamo avuto risposta. Quel che rende peggiore il problema è che il file non è criptato e non è protetto e che si trova su ogni computer con cui avete sincronizzato il vostro iPhone/iPad. Può anche essere letto facilmente se il vostro device cade nelle mani sbagliate. Chiunque acceda a quel file sa dove siete stati a partire dall’anno scorso, quando iOs 4 è stato rilasciato

E ancora, per chiarire meglio il punto del problema:

Gli operatori hanno sempre questo tipo di dati, ma serve l’ordine di un magistrato per accedervi. Ora queste informazioni sono a portata di mano, non protette

Niente panico, però. Allan e Warden spiegano che non ci sono tracce del fatto che Apple acceda ai dati archiviati (il file, per la cronaca, si chiama “consolidated.db”). Ma la questione resta, perché la raccolta degli spostamenti (che non è fatta attraverso il Gps, ma “triangolando” le celle della rete mobile e per questo non ha precisione assoluta sui luoghi che abbiamo toccato) non è trasparente. Non ci sono avvisi agli utenti, né modalità per disattivarla, né indicazioni sul perché Apple abbia attivato un simile meccanismo.

V’è poi un’applicazione (iPhone Tracker) [segnalata da Paolo Ottolina, nell'articolo sopra citato] che, per gli utenti iPhone/iPad con iOs 4, consente di controllare con una certa approssimazione gli spostamenti geografici.

A parte il rischio di violazione, sempre più pervasiva, della privacy, le modalità di accesso ai dati relativi al posizionamento geografico di un soggetto sono destinate ad incidere sulle tecniche investigative utilizzate nella conduzione delle indagini, stante anche la diffusione dei dipositivi della Apple.

Fabio Bravo

Share and Enjoy:

Pubblicato in Geolocalizzazione, GPS, Privacy, Sicurezza, Tecniche investigative |

Contrassegnato 3G, App, Apple, Applicazione, Cellulare, consolidated.db, Garante per la privacy, Garante per la protezione dei dati personali, geolocalizzazione tramite cellulare, Geoprofiling, iOs 4, iPad, iPad2, iPhone, iPhone Tracker, Mac, Mobile, Privacy, profilo geografico, tracciamento, Tracciamento geografico, Tracker |

2 commenti

La sicurezza del nucleare. Ora Fukushima è a livello 7

Pubblicato 12 aprile 2011 |

Aggiornamento sul disastro nucleare nipponico. Leggo e riporto da un articolo del Corriere della Sera intitoloato: “E’ ufficiale. Ora Fukushima è come Chernobyl“:

L’Agenzia per la sicurezza nucleare e industriale del Giappone ha alzato da 5 a 7 il livello di gravità della crisi nell’impianto nucleare di Fukushima Daiichi, che è ora lo stesso di quello del disastro di Chernobyl del 1986.

(…)

Un funzionario della Tepco, la società che gestisce l’impianto, ha evocato addirittura la possibilità che i livelli di radioattività siano superiori: «La perdita radioattiva non si è ancora arrestata completamente», ha spiegato, «e la nostra preoccupazione è che possa anche superare Chernobyl».

(…)

Secondo l’Aiea di Vienna, il nuovo ranking significa un «grave incidente», con «conseguenze più ampie» rispetto al livello precedente. «Abbiamo alzato il livello di gravità a 7 perché la fuoriuscita di radiazioni ha avuto impatto nell’atmosfera, nelle verdure, nell’acqua di rubinetto e nell’oceano», ha detto Minoru Oogoda, della Nisa appunto.

Share and Enjoy:

Pubblicato in Energia, Sicurezza, Tecnologie nucleari |

Contrassegnato Centrale nucleare, Chernobyl, Emerg, Energia Nucleare, Fukushima, Livello 7, Radiazioni, Rischii, Sicurezza |

Fusione nucleare a Fukushima. Contaminata l’acqua dell’oceano – La vicinanza del mare non è misura di sicurezza (aggiornamenti)

Pubblicato 28 marzo 2011 |

Con questo articolo il Giornale, che fino a qualche giorno fa parlava di strumentalizzazione della questione nucleare nipponica da parte di chi non condivideva la scelta del nostro governo di voler reintrodurre in Italia le centrali nucleari, mostra di condividere le preoccupazioni, che ora si fanno realtà tangibile.

Viene dato atto che alla centrale di Fukushima si è raggiunta la fusione (parziale) del nocciolo e che le contaminazioni hanno ora interessato anche l’oceano, la cui acqua è divenuta radioattiva.

C’è chi, pensando alla sicurezza delle centrali, ritiene che la vicinanza con il mare consenta di utilizzare le risorse idriche marine per il raffreddamento e, al contempo, diminuisca i rischi in caso di incidenti.

Siamo sicuri? E’ vero? La radioattività presente nell’acqua del mare come viene arrestata? Che capacità di propagazione ha? Che diffusione ha? I pesci che nuotano nel mare, raggiunti dalle radiazioni, che fine fanno? Ce li ritroveremo sulle nostre tavole, in quelle del nostro ristorante o nelle scatolette di tonno?

La vicinanza del mare sembra amplificare le possibilità di propagazione della radioattività (cfr. gli aggiornamenti riportati in calce), incidendo in maniera irreversibile sull’ecosistema marino, che diventa incontrollabile e dal quale l’uomo, da sempre, attinge per alimentarsi.

Insomma, mi sembra sia il caso di fermare la follia del nucleare in Italia, cogliendo l’occasione del Referendum sul Nucleare.

Non sempre c’è Homer Simpson a risolvere la situazione.

***

AGGIORNAMENTI:

1) Nell’oceano 11.500 tonnellate di acqua radioattiva:

15mila tonnellate d’acqua radioattiva in mare. Intanto, la Tepco, il gestore dell’impianto nucleare di Fukushima, ha reso noto che è iniziato il travaso in mare dell’acqua radioattiva della centrale. Complessivamente verranno riversate nell’oceano 11.500 tonnellate d’acqua contaminata. L’operazione servirà per fare spazio nell’impianto ad altra acqua che presenta livelli di radioattività molto maggiori.

La Tepco ha comunque assicurato che il travaso non comprometterà l’ecosistema marino e la sicurezza del pescato. Un ufficiale della società ha assicurato che, se si consuma pesce proveniente dal mare contaminato una volta al giorno per un anno, si potranno assorbire circa 0.6 millisievert di radioattività, pari a un quarto delle normali radiazioni provenienti dall’ambiente nell’arco di un anno.

“Non abbiamo altra scelta che riversare l’acqua radioattiva nell’oceano come misura di sicurezza“, ha confermato il portavoce dell’esecutivo, Yukio Edano, durante una confernza stampa.

2) La radioattività in mare è di 7,5 milioni di volte superiore alla norma

Lo iodio radioattivo trovato nell’acqua marina dinanzi al reattore numero 2 dell’impianto atomico di Fukushima, in Giappone, è 7,5 milioni di volte superiore al limite legale. Lo scrive la stampa nipponica, precisando che il campione è stato raccolto il 2 aprile e dunque prima che la società che gestisce la disastrata centrale, la Tepco, cominciasse a riversare tonnellate di acqua radioattiva nell’Oceano Pacifico.

(…)

Il rilascio di acqua contaminata in mare è una violazione senza precedenti delle normative di sicurezza, ma è stato ritenuto inevitabile: il governo ha giustificato l’azione come una sorta di male minore

Share and Enjoy:

Pubblicato in Sicurezza, Tecnologie nucleari |

Contrassegnato Acqua, Centrali nucleari, Fukushima, Fusione del nocciolo, Homer Simpson, Mare, Oceano, Radioattività, Referendum Nucleare, ReferendumNucleare.info |

Censurati i Simpson sui rischi della centrale nucleare di Springfield

Pubblicato 24 marzo 2011 |

Un articolo di denuncia del Corriere della Sera avverte che, a seguito del disastro giapponese e di quanto sta avvenendo alla Centrale Nucleare nipponica di Fukushima, in Svizzera si è pensato di vietare la diffusione di un episodio in cui Homar, nel panico di fronte ad un allarme nucleare, non sapendo quale tasto premere per far fronte all’emergenza, pigia miracolosamente un tasto a caso: quello giusto. In tal modo sventa il processo di fusione del nocciolo, salvando la comunità di Springfield (e l’umanità intera) dall’esplosione.

L’episodio non è affatto nuovo. Rivisto oggi allarma qualcuno. Perché?

Così inizia l’interessante articolo del Corriere della Sera dal titolo “Effetto Fukushima, Simpson censurati“:

Intoppo nel settore 7G. Homer Simpson, ispettore alla sicurezza presso la centrale nucleare di Springfield, viene svegliato di colpo dalla sirena d’allarme. Centinaia di tasti sulla sua postazione di controllo lampeggiano a intermittenza. È iniziato il processo di fusione del nocciolo.

«Devo pensare, ora concentrati», dice Homer in evidente stato di panico. «Ci deve essere un coso da qualche parte che ti dice come far funzionare questa roba». E poi esclama: «Il manuale, il manuale!», che però è grosso quanto un elenco telefonico. Mancano pochi secondi alla fusione del nocciolo ma Homer, premendo a casaccio uno dei bottoni, riesce a sventare la catastrofe.

Dopo l’incidente nucleare di Fukushima I, la televisione svizzerotedesca SRF non trasmetterà più gli episodi dei Simpson che trattano di sicurezza atomica.

Tutte le puntate verranno attentamente analizzate dai responsabili di rete, quelle «inopportune», tagliate.

«Per quale motivo? Proprio ora che sarebbe interessante capire», si lamentano i fan della serie.

E’ sconcertante. La satira sociale dei Simpson, in grado questa volta di destare l’attenzione dell’opinione pubblica su un tema attuale, facendo in modo che i cittadini reclamino e pretendano di comprendere come si svolge la sicurezza delle centrali nucleari, viene fatta tacere.

Ci vorrebbe quella trasparenza che da un po’ di tempo in Italia è assente in materia di centrali nucleari.

Sinceramente, anche prima del disastro nipponico, avevo manifestato il mio impegno apartitico a favore dell’abrogazione della legge sul nucleare, nella convinzione che le scelte tecnologiche devono muovere passi in altra direzione.

In vista della tornata referendaria vi invito a consultare il sito www.referendumnucleare.info ove è possibile reperire anche materiale di approfondimento.

Di seguito riporto ancora una volta il video CSR di ReferendumNucleare.info:

Share and Enjoy:

Pubblicato in Energia, Informazione, Innovazione, Sicurezza, Tecnologie nucleari |

Contrassegnato Censura, Centrali nucleari, Centrali nucleari del futuro, Cyborg, Fukushima, Homar, Homar Simpson, Referendum Nucleare, ReferendumNucleare.info, Simpson, Svizzera |

Il primo virus per PC (aggiornamento)

Pubblicato 11 marzo 2011 |

Federico Cella ha scritto sul suo blog “Vita Digitale” un interessante post dal titolo “Alla scoperta del primo virus per pc“, che vi consiglio di leggere.

Viene proposta anche la schermata del virus, rigorosamente in DOS, che vi riporto di seguito:

Come si legge sul lato sinistro, gli autori del virus hanno lasciato un messaggio autoreplicante contenente i recapiti della loro società (la Brain Computer Service Ltd.) , chiedendo di essere contattati per la rimozione del virus medesimo.

Welcome to the Dungeon © 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS…. Contact us for vaccination…

In altre parole il virus nasceva nel gennaio 1986 come una “geniale” trovata di marketing per raggiungere rapidamente la notorietà sul mercato e proporsi per la soluzione dei problemi nel settore informatico e, più in generale, per la fornitura di servizi ICT. A pensarci bene ricordano anche un po’ le strategie di marketing sottese allo spamming, con l’aggravante che il sistema era destinato ad interagire sul funzionamento dell’elaboratore, facendo visualizzare il messaggio pubblicitario senza che il destinatario potesse rimuoverlo autonomamente.

Come rileva bene Federico Cella, in chiusura del suo articolo,

Praticamente i precursori delle fortune (…) di tutti i produttori di software anti-virus.

La schermata con il “primo” virus ha un valore storico notevole.

Per la verità, però, che si tratti effettivamente del primo virus (e non di uno dei virus diffusi nei primi anni della loro apparizione) potrebbero sorgere dei dubbi e la notizia andrebbe verificata meglio.

Infatti non potrà sfuggire che risale al 1985 la nomina del Comitato Ristretto di Esperti chiamato, in seno al “Comitato per i problemi criminali” del Consiglio di Europa, a delineare la strategia di contrasto della criminalità informatica, tra le cui manifestazioni v’era proprio la diffusione di virus informatici.

Ciò non toglie nulla, ovviamente, al valore storico del virus della Brain Computer Service. Poco interessa se tale virus sia stato il capostipide: ciò che lo rende prezioso è la testimonianza che offre sul modus operandi di chi confezionava virus nei primi anni della loro manifestazione.

Il discorso è stato approfondito anche da Repubblica, che ha pubblicato un articolo ed un servizio multimediale, con videointervista:

A seguito del lavoro del Comitato Ristretto di Esperti, a cui ho fatto cenno poco sopra, v’è stato un proceso di adeguamento di molte legislazioni nazionali nella repressione penale del fenomeno dei virus informatici.

Com’è noto, nel nostro ordinamento la condotta è sanzionata penalmente dall’art. 615 quinques c.p., che di seguito trascrivo:

Art. 615-quinquies. – Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico

Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329.

Il reato viene a configurarsi, dunque, anche nell’ipotesi in cui un soggetto “produce” … “programmi informatici” … “allo scopo di favorire” … “l’alterazione del … funzionamento” di un “sistema informatico o telematico” ovvero di “informazioni“, “dati” o “programmi” “in esso contenuti o ad esso pertinenti“.

Fabio Bravo

Share and Enjoy:

Pubblicato in Reati Informatici, Sicurezza, Software |

Contrassegnato Art. 615-quinquies c.p., Brain Computer Service Ltd., Diffusione di apparecchiature dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, DOS, Federico Cella, IBM, il primo virus per PC, Virus, Vita digitale |

Hacking. Offensiva a Wikileaks e controffensiva.

Pubblicato 14 febbraio 2011 |

Una società di sicurezza informatica (HBGary Federal), che svolge attività di consulenza per il governo Usa, avrebbe rivelato di aver effettuato operazione di hacking nei confronti del gruppo di Anonymous, infiltrandosi tra i suoi membri e individuando l’identità di molti dei suoi aderenti.

Sul punto si veda quanto riportato da Repubblica:

il 4 febbraio quando Aaron Barr, amministratore delegato dell’azienda, creata per fornire consulenze sulla sicurezza informatica mirate alle necessità del dipartimento della Difesa, all’Fbi, alla Marina e alle altre agenzie del governo Usa, ha dichiarato in un’intervista al Financial Times di essersi infiltrato nel gruppo Anonymous e di aver individuato molti suoi membri. Questa “impresa” sarebbe stata al centro di una conferenza pubblica, poi cancellata.

L’offensiva ad Anonymous, sostenitori di Wikileaks, non è stata gradita, a tal punto che ne è nata una controffensiva, con un’operazione di hacking che avrebbe portato ad individuare un piano per screditare l’azione e l’immagine di Wikieaks. Dal citato articolo di Repubblica si legge, ancora:

Il gruppo di hacker-attivisti Anonymous (…) ha messo a segno un altro colpo: gli “hacktivisti” si sono introdotti nell’archivio e-mail della compagnia di sicurezza informatica HBGary Federal, hanno sottratto decine di migliaia di messaggi e li hanno pubblicati online.

(…)

Il sito dell’azienda è irraggiungibile da allora, l’account di twitter di Barr è stato rubato e vi sono stati pubblicati dati personali come l’indirizzo e il numero di telefono, ma soprattutto sono state pubblicate su un sito disponibile a tutti decine di migliaia di e-mail interne dell’azienda.

Alcuni dei messaggi di posta non erano affatto innocui: ne viene fuori un ritratto da vero e proprio controspionaggio. L’azienda aveva proposto a uno studio legale una strategia, a quanto pare mai realizzata, per difendere Bank of America e la Camera di commercio Usa dalle annunciate rivelazioni di WikiLeaks: HBGary, in collaborazione con altre due compagnia, proponeva di far trapelare documenti falsi per poi contestare il sito di Assange. Un’altra idea era di minacciare danni alle carriere dei giornalisti più strettamente legati a WikiLeaks.

Aaron Barr ha dichiarato che non si aspettava una tale reazione (…)

C’è da chiarire che l’etica hacker è una cosa e la rilevanza penale della condotta posta in essere nell’operazione di hacking è un’altra. Talvolta i due piani non si toccano in quanto l’hacker etico, sfuggendo dai processi di stigmatizzazione, non si colloca ex se come soggetto autore di illeciti penali. Altre volte, però, tali piano si intersecano, perché l’azione di hacking, anche se mossa da dichiarati intenti “etici”, finisce per porsi in violazione delle norme penali (come ad esempio quelle che puniscono l’accesso abusivo al sistema informatico o telematico o l’intercettazione e la divulgazione di corrispondenza, anche telematica).

Ovviamente, rifiutanto discorsi preconcetti, occorrerà valutare caso per caso, evitando generalizzazioni di etichettamento e di stigmatizzazione nei confronti degli hackers generalmente intesi.

Certo, però, che si può concludere così come l’articolo di Repubblica inizia:

Lo stile WikiLeaks ha stabilito un nuovo standard: le guerre contro la segretezza ormai si combattono a colpi di hacker.

A ben guardare, se quanto emerso risulta attendibile, il piano di discredito nei confronti di Wikileaks farebbe anche venire qualche dubbio in più sulla serietà, niente affatto pacifica, delle accuse per i sex crimes contestati a Julian Assange. Senza cadere nella dietrologia, mi sembra che l’ipotesi del complotto risulti rafforzata.

Share and Enjoy:

Pubblicato in Reati Informatici, Sicurezza |

Contrassegnato Anonymous, Assange, hacker, Hacking, HBGary Federal, violazione dei segreti, WikiLeaks |

Lavoratori, biometria e privacy nel settore dei trasporti

Pubblicato 11 febbraio 2011 |

Recentemente è intervenuto in Garante per la protezione dei dati personali negando il consenso, in sede di verifica preliminare, all’utilizzo di sistemi di rilevazione biometrica dei lavoratori di un’impresa di trasporti, che intendeva utilizzare sistemi di autenticazione basati sulle impronte digitali dei lavoratori al fine di verificare l’identità dei medesimi.

Da uno dei due provvedimenti resi dal Garante, si leggono le motivazioni a base della richiesta e le caratteristiche dei sistemi biometrici in questione:

1. Trattamento di dati personali dei dipendenti attraverso un sistema di autenticazione su base biometrica (impronte digitali).

Autotrasporti Irpini S.p.a. (A.IR. S.p.a.), società che effettua il servizio di trasporto pubblico di persone su tutto il territorio della Regione Campania e, in parte, in altre regioni limitrofe, intende adottare un sistema di rilevazione di dati biometrici basato sulla elaborazione di template originati dalla lettura delle impronte digitali di alcuni dipendenti della società. In particolare, si tratterebbe di un “dispositivo di rilevazione delle presenze per il personale addetto al controllo degli automezzi e del personale di guida e per quello autorizzato ad entrare nelle aree ad accesso controllato (…) finalizzato ad assicurare, inequivocabilmente, la presenza del suddetto personale in servizio”, con esclusione della sua utilizzazione “per verificare l’orario di lavoro ai fini del calcolo della retribuzione ordinaria e straordinaria”.

La società ha affermato che il trattamento di dati biometrici che intenderebbe effettuare per verificare la presenza in servizio del personale addetto al controllo sugli automezzi e sul personale di guida, oltre ad essere connesso alla sicurezza del trasporto pubblico, sarebbe giustificato dall’esigenza di prevenire condotte irregolari poste in essere da alcuni dipendenti, tra cui lo scambio dei badge attestanti la presenza in servizio; secondo la società, detti inconvenienti sarebbero ovviabili attraverso il sistema di rilevazione biometrica che si intenderebbe installare, perché in grado di assicurare un elevato grado di certezza nell’identificazione dei lavoratori e, di conseguenza, di impedire eventuali false attestazioni relative a controlli effettuati sull’efficienza dei mezzi e sullo stato di salute del personale addetto alla guida, con evidenti benefici per l’incolumità degli utenti e del personale viaggiante.

L’azienda ha precisato che il controllo preliminare sull’efficienza degli automezzi – avente ad oggetto, in particolare, le parti elettriche, le parti meccaniche, l’usura delle gomme e la funzionalità delle porte – viene effettuato da meccanici, mentre quello sugli autisti – concernente il rispetto dei turni di lavoro e la verifica sommaria delle loro condizioni psico-fisiche – viene effettuato da personale con qualifica di capo servizio.

Per quanto concerne, invece, il controllo degli accessi dei lavoratori ad alcuni locali dove sono custodite le banche dati cartacee ed informatiche, la società ha dichiarato che le stesse conterrebbero dati sensibili relativi ai dipendenti, informazioni concernenti eventuali procedimenti disciplinari, dati giudiziari relativi a partecipanti a gare, informazioni “su utenti colpiti da multe e terzi coinvolti in sinistri”, “dati relativi ai turni di servizio del personale viaggiante” e informazioni connesse a transazioni commerciali (contratti e fatture). Da qui deriverebbe l’esigenza di un dispositivo di verifica degli accessi assolutamente affidabile, che dovrebbe riguardare 48 dipendenti appositamente incaricati del trattamento di tali dati.

1.2. Caratteristiche tecnico-organizzative del sistema

Il sistema oggetto di verifica preliminare comporterebbe un trattamento di dati personali biometrici (impronta del dito indice), i quali, al termine della fase di enrollment, verrebbero memorizzati su una card rilasciata in possesso esclusivo degli interessati, priva dei dati anagrafici di costoro.

Nella fase di enrollment, la predisposizione delle card verrebbe affidata al responsabile della sicurezza informatica (designato anche responsabile del trattamento dei dati ex art.29 del d.lgs. 196/03), il quale, dopo la consegna della card, avrebbe anche il compito di verificare l’inesistenza di tracce dei dati biometrici rilevati sulle apparecchiature informatiche aziendali.

Per prevenire accessi non autorizzati al sistema, sarebbero state previste alcune misure di sicurezza, consistenti in:

• utilizzazione di un computer “stand alone”, non collegato quindi ad alcuna rete;

• cancellazione dal computer dei dati al termine dell’operazione di enrollment;

• esecuzione dell’operazione a cura del solo responsabile della sicurezza informatica (ingegnere informatico dirigente dell’azienda) particolarmente formato sul d.lgs 196/2003.

I dipendenti sottoposti al rilevamento biometrico, inserirebbero la card in un’apposita fessura, poggiando l’indice in un alloggio predisposto dell’apparecchio. Il dispositivo rileverebbe la corrispondenza dei dati contenuti nella card con quelli dell’indice e, conseguentemente, poiché ad essa sarebbe associato un numero di identificazione del dipendente, ne rileverebbe la presenza al lavoro.

Il sistema, tuttavia, non verrebbe utilizzato per verificare il rispetto dell’orario di lavoro ai fini del calcolo della retribuzione ordinaria e straordinaria.

Stando a quanto dichiarato dalla società, il personale tenuto a servirsi del sistema di autenticazione, una volta informato, sarebbe invitato a prestare il proprio consenso al trattamento dei dati sin dalla fase di enrollment; inoltre, sarebbe comunque previsto un sistema di rilevazione delle presenze alternativo, da utilizzare nel caso in cui i dipendenti fossero impossibilitati a partecipare all’enrollment (in ragione delle proprie caratteristiche fisiche) o non intendessero acconsentire al trattamento.

Il diniego è avvenuto per le motivazioni sintetizzate nel Comunicato Stampa del Garante, che di seguito si trascrive:

Trasporto: impronte digitali solo in casi particolari

Occorre dimostrare che non sono sufficienti strumenti alternativi

Le imprese che intendono adottare sistemi di lettura delle impronte digitali per verificare la presenza in servizio dei dipendenti devono prima dimostrare che le finalità di controllo non possano essere realizzate con sistemi meno invasivi. Questa la decisione Garante che ha respinto le richieste di verifica preliminare con le quali due società – una impresa di autotrasporti e la sua capogruppo – chiedevano di poter usare un meccanismo di autenticazione biometrico. [vedi doc. web 1779745 e 1779758]

In base alla documentazione presentata, tale procedura avrebbe dovuto riguardare in primo luogo i lavoratori addetti al controllo degli automezzi e del personale di guida. Secondo le società, il rilevamento delle impronte avrebbe evitato eventuali condotte irregolari, come lo scambio di badge attestanti la presenza in servizio, e avrebbe di conseguenza determinato anche maggiori garanzie per l’incolumità degli utenti e del personale viaggiante. Nel corso dell’istruttoria è però emerso che i tradizionali metodi di controllo si erano dimostrati più che sufficienti a garantire la verifica della presenza in servizio dei dipendenti, evidenziando la mancata necessità di introdurre sistemi così invasivi. L’uso dei sistemi biometrici era stato richiesto dalle due società anche per accedere ai locali dove sono custoditi le banche dati cartacee e informatiche contenenti i dati personali dei dipendenti. Anche in questo caso, dagli accertamenti effettuati dal Garante è però emerso che tali dati non richiedevano particolari sistemi di controllo, trattandosi di informazioni solitamente elaborate dagli uffici amministrativi di qualsiasi azienda.

Nei provvedimenti con i quali ha respinto la richiesta delle due società di autotrasporti, l’Autorità ha ritenuto opportuno sottolineare che l’utilizzo di sistemi di riconoscimento basati su dati biometrici è possibile solo in casi particolari, per i quali sia dimostrato che non siano sufficienti strumenti alternativi e che dunque la raccolta delle impronte digitali risulti davvero necessaria e proporzionata.

Fabio Bravo

Information Society & ICT Law

Share and Enjoy:

Pubblicato in Lavoro, Normativa, Privacy, Sentenze, Sicurezza |

Contrassegnato Autenticazione biometrica, Biometria, Garante per la privacy, Garante per la protezione dei dati personali, Impronte digitali, Lavoro, Privacy, Privacy dei lavoratori, Sicurezza, Sistemi biometrici, Trasporti |

Intervista ad Assange. Perchè Wikileaks

Pubblicato 8 febbraio 2011 |