privacy e nuove tecnologie

Napoli, 21 Maggio 2010Napoli, 21 Maggio 2010

Rapporti tra Privacy e Nuove Rapporti tra Privacy e Nuove TecnologieTecnologie

(un giusto equilibrio tra norme e tecnica)(un giusto equilibrio tra norme e tecnica)

L’Evoluzione della Privacy come diritto fondamentale del cittadino 2

INTERCETTARE INTERCETTATIINTERCETTARE INTERCETTATIUN VECCHIO PROBLEMAUN VECCHIO PROBLEMA

SEGRETI DA TRASMETTERE, LEGITTIMI O NO UN ANTICO PROBLEMA

Steganografia

Erodoto (485 – 525 BC) il primo ad usare un sistema intelligente nella guerra con I Persiani dove grande era il bisogno di comunicare, I tempi non erano però così frenetici per “trasmettere” un messaggio. Si badava molto più alla sicurezza che alla velocità..

Una volta scelto un messaggero con una folta capigliatura, veniva rasato si scriveva il messaggio sul cuoio capelluto si aspettava la ricrescita dei capelli a quel punto poteva partire verso la metà, attraversando linee nemiche, arrivato era sufficiente rasarlo per leggere il messaggio.



Nell’ultima Guerra mondiale riuscirono si ad intercettare i messaggi che Alan Turing aveva prodotto con la famosa macchina ENIGMA ma furono costretti a rubarne una per Decrittare gli stessi, il film che abbiamo visto tutti U-571 (di J. Mostow, 2000)

Potrei continuare ancora, la filosofia è:Importante non è solo intercettare ma capire!



Per combattere il crimine organizzato globale bisogna che i Governi collaborino tra loro intercettare telefonate non è la soluzione

Qualcosa ha fatto il Consiglio d’Europa con la Convenzione sul Cybercrime del 2001 con l’intento di:

Armonizzare le leggi nazionali.

Migliorare le capacità investigative.

Aumentare la cooperazione delle forze dell’ordine.

La convenzione è stata ratificata da altri paesi tra cui USA, Canada, Giappone.

Un passo avanti per creare una struttura legale internazionale per rispondere al dilagare del problema.

Purtroppo ad oggi non se ne vedono ancora i risultati se non buone intenzioni che non risolvono nulla.


UN MONDO DI SCONOSCIUTIUN MONDO DI SCONOSCIUTIL’identità digitale Alcuni principi da condividereL’identità digitale Alcuni principi da condividere

Contrariamente

a quanto si pensa, la trasmissione dei dati non avviene direttamente tra due soggetti in sicurezza come il

vecchio gioco dei due barattoli ed il filo

(Non vorrei sollevare il problema delle Intercettazioni), ma chi crede che siano solo telefoni che possono essere intercettati sbaglia è la classica cima di un

iceberg!



InternetCellulari/wireless

INFODATISMS

ISP 1

Nodo 2

ISP 3

Nodo 4

ISP 5

AziendaSito WEB

Destinatario DATI

La trasmissione dei dati, dopo aver premuto il tasto INVIA o CONFERMA da un PC, o l’invio di un SMS è incontrollata ed incontrollabile. I dati vanno in rete e

transitano in un numero imprecisato di Server/Computer, linee telefoniche, connessioni, etc. facilmente intercettabili, sottraibili ,modificabili in tutto il loro

percorso ed archiviazione ma soprattutto sono indelebili!

HackersIntercettatori

Infedeltà dipendenti











http://images.google.com/imgres?imgurl=http://www.giochiemusica.it/immagini/sms_gratis.jpg&imgrefurl=http://www.giochiemusica.it/premi.php&usg=__DFg1v3uKJ4NayJ5SB4zlMjCs7Cg=&h=300&w=300&sz=56&hl=it&start=45&um=1&tbnid=FfxP12LukT6o-M:&tbnh=116&tbnw=116&prev=/images%3Fq%3DSMS%2Bcellulari%26ndsp%3D20%26hl%3Dit%26rls%3Dcom.microsoft:en-US%26sa%3DN%26start%3D40%26um%3D1



• Il possesso o la proprietà di un apparato che viene usato per comunicare non dà la certezza e la prova di chi:

• Lo usi• Dove sia posizionato fisicamente• Quando lo abbia usato temporalmente• Quanto tempo lo abbia usato• In sostanza non è possibile stabilire che proprietà,

possesso , uso siano identificabili con una specifica persona fisica

• Nessuna tecnologia è in grado di dare queste certezze• Gli apparati digitali, Computer,cellulari ecc. hanno vita e

personalità autonoma indipendentemente da chi ne ha la proprietà li possiede li usa


UN MONDO DI SCONOSCIUTIUN MONDO DI SCONOSCIUTIL’identità digitaleL’identità digitale

8

??

??

L’identità di colui che opera ad un computer/cellulare é nota solo a se stesso, ogni secondo lo sconosciuto comunica, inserisce e riceve dati, sottoscrive digitalmente contratti, accetta clausole ecc. Con un’altra entità anch’essa sconosciuta

Buona parte di tutto questo va oggi a costituire, sempre più contratti, obbligazioni, dichiarazioni ecc. aventi valore legale oltre a prova in Processi.

?? ? ? ??

??

http://images.google.com/imgres?imgurl=http://upload.wikimedia.org/wikipedia/commons/a/a0/Datacenter-telecom.jpg&imgrefurl=http://commons.wikimedia.org/wiki/File:Datacenter-telecom.jpg&usg=__s0BDqiU4Wn6n-R9n28LwhUm5o4o=&h=683&w=1024&sz=289&hl=it&start=22&um=1&tbnid=6hm8X_3N885ZRM:&tbnh=100&tbnw=150&prev=/images%3Fq%3DDATA%2BCENTER%26start%3D20%26ndsp%3D20%26um%3D1%26hl%3Dit%26rls%3Dcom.microsoft:en-US%26sa%3DN

http://images.google.com/imgres?imgurl=http://it.dreamstime.com/uomo-daffari-con-il-telefono-cellulare-thumb433034.jpg&imgrefurl=http://it.dreamstime.com/uomo-daffari-con-il-telefono-cellulare-image433034&usg=__hUPVHYMkviUfVTsDYICV41_qMFw=&h=350&w=233&sz=43&hl=it&start=2&um=1&tbnid=OqoeLuiwwV8MaM:&tbnh=120&tbnw=80&prev=/images%3Fq%3DUomo%2Bcon%2Bcellulare%26hl%3Dit%26rls%3Dcom.microsoft:en-US%26sa%3DN%26um%3D1

http://images.google.com/imgres?imgurl=http://www.dueruotenelweb.it/blog/wp-content/uploads/donna-con-cellulare-alla-guida.jpg&imgrefurl=http://www.dueruotenelweb.it/2009/02/cellulare-al-volante-una-mina-vagante.html&usg=__FV-Z2xUxQQDw2Q2rjD35fK1O1mo=&h=271&w=430&sz=57&hl=it&start=12&um=1&tbnid=gDCn1W06Y7soZM:&tbnh=79&tbnw=126&prev=/images%3Fq%3DUomo%2Bcon%2Bcellulare%26hl%3Dit%26rls%3Dcom.microsoft:en-US%26sa%3DN%26um%3D1

http://images.google.com/imgres?imgurl=http://h41111.www4.hp.com/calculators/it/it/cbt/images/casual_laptop.jpg&imgrefurl=http://h41111.www4.hp.com/calculators/it/it/cbt/&usg=__8g4WR7_wiA-2fWw1I8BbYY1WkXA=&h=310&w=380&sz=33&hl=it&start=76&um=1&tbnid=BnoylVMeocbHNM:&tbnh=100&tbnw=123&prev=/images%3Fq%3Duomo%2Bcon%2Bpc%2Bportatile%26ndsp%3D20%26hl%3Dit%26rls%3Dcom.microsoft:en-US%26sa%3DN%26start%3D60%26um%3D1

http://images.google.com/imgres?imgurl=http://www.mymarketing.it/public/TV_Cellulare.jpg&imgrefurl=http://www.azionetradizionale.com/2007/12/14/glielhanno-fatta-pagare/&usg=__weCh90Pocsx5oNXhKzCXLvXQMk0=&h=444&w=530&sz=18&hl=it&start=1&um=1&tbnid=DtS3zX_AIeTmPM:&tbnh=111&tbnw=132&prev=/images%3Fq%3DUomo%2Bcon%2Bcellulare%26hl%3Dit%26rls%3Dcom.microsoft:en-US%26sa%3DN%26um%3D1



9

Protezione è l’identificazione dell’identità personale I termini del problemaProtezione è l’identificazione dell’identità personale I termini del problema

Neanche i più moderni sistemi di trasmissione dati Pec,certificati e firma digitale danno la certezza di chi riceve e trasmetteNeanche i più moderni sistemi di trasmissione dati Pec,certificati e firma digitale danno la certezza di chi riceve e trasmette

9

Bruno

Esempio: Bruno invia un messaggio ad Anna che lascia il PC Incustodito

Ciao Anna

CIFRA

C=E(M, K)

xpL98?

M: - 43

xpL98?

M: - 43DECIFRA

C=Testo CifratoM=Messaggio (testo in chiaro)K= Chiave SegretaE= Funzione di cifratura

M=D(C, K)

D= Funzione di Decifratura

Anna

Ciao Anna

Chiave simmetrica(nota solo a Bruno e Anna)

IntrusoAl posto di Anna potrebbe esserci chiunque malgrado la crittografia e la firma digitale il certificato residente nel computer diviene il pericolo ancora più grave.

Intruso

http://images.google.it/imgres?imgurl=http://www.pivotnetworks.com/hacker.jpg&imgrefurl=http://intimissimi.splinder.com/archive/2006-03&h=528&w=385&sz=14&hl=it&start=24&sig2=c1COQkL48pdw2nyzcf80CA&tbnid=uKIfIgaWuXQbYM:&tbnh=132&tbnw=96&ei=-IwoR--BNpaGeJzvrKMM&prev=/images%3Fq%3DHacker%26start%3D20%26ndsp%3D20%26svnum%3D10%26hl%3Dit%26rls%3DGGLJ,GGLJ:2007-36,GGLJ:it%26sa%3DN



10

Anna

Analoga problematica si ripresenta se si usa una connessione sicura X509 (SSL) tipica dell’Home Banking Anna lascia il PC Incustodito con il proprio certificato installato

Ciao Anna

accetta inviariceve/Informazioni

connessione

Ciao Anna

La Sessione SSL può essere immediatamente aperta con semplice uso di Password

Intruso

Intruso

Al posto di Anna Potrebbe esserci chiunque malgrado il certificato che residente nel computer diviene un pericolo ancora più grave.

Controlla l’esistenza dell’utente (password e del certificato

L’Intruso accede al PC di Anna con l’uso della password/ID della stessa.

http://images.google.it/imgres?imgurl=http://www.pivotnetworks.com/hacker.jpg&imgrefurl=http://intimissimi.splinder.com/archive/2006-03&h=528&w=385&sz=14&hl=it&start=24&sig2=c1COQkL48pdw2nyzcf80CA&tbnid=uKIfIgaWuXQbYM:&tbnh=132&tbnw=96&ei=-IwoR--BNpaGeJzvrKMM&prev=/images?q=Hacker&start=20&ndsp=20&svnum=10&hl=it&rls=GGLJ,GGLJ:2007-36,GGLJ:it&sa=N

http://images.google.it/imgres?imgurl=http://www.pivotnetworks.com/hacker.jpg&imgrefurl=http://intimissimi.splinder.com/archive/2006-03&h=528&w=385&sz=14&hl=it&start=24&sig2=c1COQkL48pdw2nyzcf80CA&tbnid=uKIfIgaWuXQbYM:&tbnh=132&tbnw=96&ei=-IwoR--BNpaGeJzvrKMM&prev=/images?q=Hacker&start=20&ndsp=20&svnum=10&hl=it&rls=GGLJ,GGLJ:2007-36,GGLJ:it&sa=N

http://images.google.it/imgres?imgurl=http://www.digitaljournal.com/images/photo/comptuerlockdatasafe.jpg&imgrefurl=http://www.digitaljournal.com/article/203478/Secure_Data_Inside_the_PC_Forensics_Lab_and_the_Search_for_Criminal_Evidence&h=300&w=260&sz=92&hl=it&start=30&tbnid=oFULy9cPw5y-DM:&tbnh=116&tbnw=101&prev=/images?q=Secure+data&start=20&ndsp=20&svnum=10&hl=it&rls=GGLJ,GGLJ:2007-34,GGLJ:it&sa=N

http://images.google.it/imgres?imgurl=http://www.ready.it/Citrix/postit.jpg&imgrefurl=http://www.ready.it/Citrix/passwordmanager.htm&h=154&w=143&sz=6&hl=it&start=7&tbnid=Jjaa5Tc0q8IhJM:&tbnh=96&tbnw=89&prev=/images?q=password+on+post-it&svnum=10&hl=it&rls=GGLJ,GGLJ:2007-34,GGLJ:it



Il fatto che arrivi un messaggio SMS da un numero di cellulare noto non vuol dire che “il pollice” sia della persona che conoscete

??

http://images.google.com/imgres?imgurl=http://www.mymarketing.it/public/TV_Cellulare.jpg&imgrefurl=http://www.azionetradizionale.com/2007/12/14/glielhanno-fatta-pagare/&usg=__weCh90Pocsx5oNXhKzCXLvXQMk0=&h=444&w=530&sz=18&hl=it&start=1&um=1&tbnid=DtS3zX_AIeTmPM:&tbnh=111&tbnw=132&prev=/images%3Fq%3DUomo%2Bcon%2Bcellulare%26hl%3Dit%26rls%3Dcom.microsoft:en-US%26sa%3DN%26um%3D1

http://images.google.com/imgres?imgurl=http://misilmeriblog.files.wordpress.com/2009/02/sms.jpg&imgrefurl=http://misilmeriblog.wordpress.com/2009/02/07/al-via-i-misilmeri-oscar-ecco-come-votare/&usg=__L3GXUnIcNrzMBDnDu4Q60_CT9Z0=&h=300&w=300&sz=13&hl=it&start=5&um=1&tbnid=ldQtALuvwjfATM:&tbnh=116&tbnw=116&prev=/images%3Fq%3DSMS%2Bcellulare%26hl%3Dit%26rls%3Dcom.microsoft:en-US%26sa%3DN%26um%3D1



Un altro sistema di comunicare è quello dei moduli detti anche Form-Online, spesso accompagnati da concorsi di vario genere atti ad invogliare chi accede al sito web a rilasciare le propri dati personali una sorta di gratta e vinci al contrario, prima chiedono i tuoi dati e poi puoi controllare se hai vinto ??!!Questo però solo in Italia !!! Come vedrete in uno dei molteplici esempi trovato ON-LINE.Questa anche se è un modo di comunicare unidirezionale, il sito chiede e voi rispondete è un altro sistema di estrema pericolosità ed a rischio anche d’intercettazione se la trasmissione dei dati non è protetta, nessuno garantisce poi che il sito con il quale si sta comunicando sia quello vero, ed altro ancora.



ECCO UN ESEMPIO IN ITALIA CHE TUTTI VOI POTRETE VERIFICARE.

13

Questo caso, riferito al sito Italiano di Duracell, ha lo scopo di raccogliere i dati dell’utente e non si preoccupa di fare uso di misure di protezione dei dati (infatti il protocollo utilizzato è HTTP). I dati richiesti, inoltre, sono di natura non propriamente legata ad un concorso. Sembrano più essere raccolti a scopo di attività di vera e propria profilazione.



In questo caso si può vedere come il sito richiede un codice che deve corrispondere ad una confezione di prodotto acquistato onde verificare se abbia vinto o meno. Coerente e molto simile al nostro gratta e vinci, chi ha vinto deciderà poi come ritirare il premio.D

ura

cell

In S

vezi

aCosa succede negli altri paesi da parte del medesimo soggetto



Negli Stati Uniti i dati vengono rigidamente trasmessi in modo sicuro cioè attraverso il protocollo SSL :

15

Nel caso Americano vediamo come viene fatto uso di HTTPS per dare il via all’inserimento dei dati degli utenti nel form, in modo da poter trasmettere in totale sicurezza i dati, ma anche per dare modo all’utente di verificare, tramite il certificato digitale, chi è realmente il sito che ci sta richiedendo i dati.

Du

race

ll In

Am

eric

a



Anche in questo caso si può vedere come il sito richiede un codice che deve corrispondere ad una confezione di prodotto acquistato onde verificare se abbia

vinto o meno.

Du

race

ll In

Ing

hilt

erra

Anche l’esempio riferito al sito Inglese è del tutto simile al precedente:



Come si fa a vedere se un sito trasmette i dati in modo sicuro? Due accortezze molto semplici garantiscono che il sito a cui si accede sta trattando i dati in modo sicuro…



• Nessuna Tecnologia o Legge permette la sicura identificazione a distanza del soggetto: l’identità digitale !

• Come si è visto neanche tecnologie avanzate permettono di avere la certezza di chi veramente ci sia dall’altra parte del “filo”.

• Come si può quindi immaginare di far sottoscrivere digitalmente, con il classico click del mouse, ad un soggetto sconosciuto una normativa come ad esempio quella che viene comunemente definita” Informativa sulla privacy”? Questo vale anche per un’infinità di altre cose, contratti onerosi e non, auto-dichiarazioni ecc. tutto quello che insomma la nostra pesante burocrazia richiede .



I TERMINI DEL PROBLEMA:- Rilasciare i propri dati compilando un questionario su Internet, che trasmette in

chiaro gli stessi, privo dei requisiti minimi previsti, non solo dalla legge italiana, codice della privacy, ma da tutte le normative internazionali in materia, oltre a violare la legge, provoca:

1. La sottrazione dei dati - inseriti nel modulo da parte di chiunque e conseguentemente il furto della Privacy ed il furto di identità.

2. La sostituzione, cancellazione, falsificazione di parte o tutti i dati.

3. La vendita/acquisto, da parte di vere a proprie bande criminali dei dati stessi, con la conseguenza di farne l’uso delittuoso che vogliono.

4. Il fenomeno dello spamming, che arriva ad intasare/saturare le caselle postali elettroniche (E-mail) inviando messaggi di grandi dimensioni rendendole inservibili, provocando così l’interruzione se non il mancato utilizzo di un servizio che ormai può definirsi pubblico.

5. Il fenomeno delle telefonate indesiderate, offerte di vario genere, pubblicità al proprio cellulare ed al proprio telefono fisso oltre a comunicazioni indesiderate al proprio numero di fax.



6. Ricezione massiva di posta indesiderata al proprio indirizzo di abitazione od ufficio;

7. In base alle informazioni date sesso, età, abitudini, etc. redazione di veri e propri schedari che opportunamente elaborati danno luogo a truffe di ogni genere;

8. Invio di messaggi, usufruendo del proprio indirizzo di posta elettronica ‘impersonificazione”;

9. Truffe on-line di ogni genere;

10. Nessuna possibilità di risalire all’autore di uno dei su richiamati eventi in quanto il titolare del sito web, in qualsiasi caso, potrà sempre trincerarsi dietro al fatto che chiunque, una volta compilato il modulo ed inviato on-line, può essersi appropriato dei dati di coloro che “imprudentemente” lo hanno compilato;

11. Non perseguibilità obbiettiva - essendo ON-Line ormai oltre 3 miliardi di individui ed organizzazioni di tutto il mondo, sarebbe impossibile stabilire il colpevole, che anche se individuato, rimarrebbe comunque impunito, perché il reato o l’illecito sarebbe al di fuori della nostra giurisdizione;

12. Intasamento dei nostri sistemi di Polizia delle comunicazioni e degli altri Paesi - ci sarebbero milioni di denunce da fare ed il sistema non reggerebbe all’ “urto” e non si arriverebbe comunque a nulla di tangibile.


UNA DELLE CONSEGUENZE UNA DELLE CONSEGUENZE DELL’INTERCETTAZIONE DI DATI DELL’INTERCETTAZIONE DI DATI PERSONALI IL FURTO D’ IDENTITA’PERSONALI IL FURTO D’ IDENTITA’

Esaminare tutte le conseguenze che possono derivare dalla intercettazione di dati personali occorrerebbeun convegno a parte, parlerò brevemente di una delle problematiche più pericolose e con impatti molto forti sul singolo individuo e sulla comunità:

IL FURTO D’IDENTITA’


UNA DELLE CONSEGUENZEUNA DELLE CONSEGUENZEIL FURTO D’ IDENTITAIL FURTO D’ IDENTITA


NON SOLO INTERCETTAZIONI ADNON SOLO INTERCETTAZIONI ADAlta tecnologiaAlta tecnologia

Chi crede che le intercettazioni sono solo quelle sofisticate High-tech Sbaglia


LA COMPLESSITA’ DEL MONDO IT LA COMPLESSITA’ DEL MONDO IT COME CERCARE L’AGO NEL COME CERCARE L’AGO NEL PAGLIAIO PAGLIAIO


Falsificazione Documenti Furto e

sostituzione di dati clinici

Reati finanziari

Il Furto d’identità non è solo commesso attraverso Internet e non riguarda solo le carte di Credito

Il furto d’identità è un crimine Globale con forti problematiche internazionali di competenza legislativa

Sostituzione Codice Fiscale

Cancellazione/sostituzione d’identità di

criminali

I

Sei più comuni furti d’identitàSei più comuni furti d’identità

Furto corrispondenza



Chi crede che le intercettazioni sono solo quelle sofisticate High-tech SbagliaI PIU’ COMUNI SISTEMI DINTERCETTAZIONE FISICA DEI DATI

PERSONALI: Cercare tra la spazzatura Fotocopia della carta di credito al pagamento di un conto es. ristorante Sottrazione dalla cassetta della posta di corrispondenza es. Estratto conto

banca/carta di credito/bollette varie Infedeltà di colleghi in ufficio es. Ufficio del personale Furto del portatile/CELLULARE VOSTRO OD AD ES. QUELLO DEL MEDICO Cartella clinica dell’ospedale o di qualunque altro ufficio pubblico che conserva

I vostri dati. Distribuzione pubblica di dati anagrafici, lo sapevate che ??!! Elenchi telefonici Acquisto Tramite Internet

In Internet ormai l’offerta di dati personali è variegata ed a portata di tutti con un vero e proprio listino prezzi come quello qui a fianco

Privacy: oltre le intercettazioni telefoniche 27



CONSIDERAZIONI FINALICONSIDERAZIONI FINALI

Giusto Equilibrio tra Privacy e sicurezza

La Privacy è la base della dichiarazione dei diritti umani

“Articolo 12…Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza …..,

La Privacy in una rete globale è importante e va difesa


CONSIDERAZIONI FINALICONSIDERAZIONI FINALI

Limiti della legge sulle investigazioni su Computer Crimes ed Intercettazione di dati

Quale è il giusto compromesso?E’ una domanda che rimarrà purtroppo senza una risposta, come tutti sanno, special modo per le intercettazioni il dibattito è tuttora aperto, ancora una volta, anche in questo caso vale il mio detto:

“L'attività umana deve essere guidata dal senso comune dei singoli individui”


’’

privacy e nuove tecnologie

Documents