A Luglio 2023 a Teatro, esperti di digitale e di sicurezza informatica insieme ad attori e animatori professionisti metteranno in scena un vero e proprio giallo, alternando l’evolversi della storia di un attacco informatico basato su un caso vero, ma volutamente romanzato, con la partecipazione attiva nella sua comprensione. Il Pubblico infatti dovrà risolvere il caso mettendo insieme gli indizi forniti, interrogando i sospettati (anche mediante social media), ricostruendo come si è verificata la violazione di Sicurezza, comunicandola al Garante e fornendo la soluzione finale.Regia di Monica Gobbato
Il Comitato europeo per la protezione dei dati (EDPB) ha dato il via alla sua azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023).
Nel corso dell’anno, 26 Autorità di controllo dello Spazio Economico Europeo (SEE), compreso il Garante europeo della protezione dei dati, parteciperanno al CEF 2023 focalizzandosi sulla designazione e la posizione dei Responsabili della protezione dei dati (RPD).
Operando come intermediari tra le Autorità di protezione dei dati, le persone fisiche e i titolari di trattamento pubblici e privati, i responsabili della protezione dei dati svolgono un ruolo essenziale nel contribuire al rispetto della normativa sulla protezione dei dati e nel promuovere una tutela efficace dei diritti degli interessati.
Per valutare se i RPD operino realmente nei termini previsti dagli articoli 37-39 RGPD e dispongano delle risorse necessarie per svolgere i propri compiti, le autorità di controllo realizzeranno le attività previste dal CEF a livello nazionale in diversi modi:
– saranno inviati questionari ai RPD per facilitare la raccolta di elementi istruttori ovvero per individuare la necessità di accertamenti formali;
– avvio di accertamenti formali;
– follow-up degli accertamenti formali in corso.
I risultati dell’attività congiunta saranno analizzati in modo coordinato e le autorità di controllo valuteranno eventuali azioni ulteriori a livello nazionale. Inoltre, attraverso l’aggregazione dei risultati, sarà possibile un’analisi più approfondita con un follow-up mirato a livello dell’UE. L’EDPB pubblicherà una relazione sui risultati di tale analisi una volta concluse le singole attività.
Il 24 febbraio 2023 l’European Data Protection Board ha pubblicato le Linee Guida 03/2022 per aiutare gli utenti a riconoscere i modelli di progettazione ingannevoli nelle interfacce delle piattaforme dei social media. Rispetto alla prima versione che era stata pubblicata lo scorso anno per la consultazione pubblica, adesso le Linee Guida 03/2022 in versione definitiva 2.0 vedono sostituito nel titolo il termine “dark pattern” con “deceptive design patterns”, andando così ad estendere la portata di questa subdola tipologia di violazioni del GDPR.
Il 24 febbraio 2023 l’European Data Protection Board ha pubblicato le Linee Guida 03/2022 per aiutare gli utenti a riconoscere i modelli di progettazione ingannevoli nelle interfacce delle piattaforme dei social media. Rispetto alla prima versione che era stata pubblicata lo scorso anno per la consultazione pubblica, adesso le Linee Guida 03/2022 in versione definitiva 2.0 vedono sostituito nel titolo il termine “dark pattern” con “deceptive design patterns”, andando così ad estendere la portata di questa subdola tipologia di violazioni del GDPR.
Nel contesto di queste Linee guida, si considerano “modelli di progettazione ingannevoli” le interfacce e i percorsi utente implementati sulle piattaforme di social media che tentano di influenzare gli utenti a prendere decisioni non intenzionali, non volute e potenzialmente dannose, spesso verso una decisione contraria agli interessi degli stessi utenti e a favore degli interessi delle piattaforme di social media, per quanto riguarda il trattamento dei loro dati personali e la loro privacy.
I modelli di progettazione ingannevoli mirano a influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali e di compiere scelte consapevoli. Secondo le linee guida dei garanti europei, essi possono essere suddivisi nelle seguenti sei categorie:
Overloading – Significa che gli utenti si trovano di fronte a una grande quantità di richieste, informazioni, opzioni o possibilità per spingerli a condividere più dati o consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato.
Skipping – Si concretizza quando l’interfaccia o il percorso dell’utente è progettato in modo che gli utenti dimentichino o non pensino a tutti o ad alcuni aspetti della protezione dei dati.
Stirring – Questa tecnica influisce sulla scelta che gli utenti farebbero facendo appello alle loro emozioni o utilizzando spinte visive.
Obstructing – In questi casi, la piattaforma ostacola o blocca gli utenti nel loro processo di informazione o gestione dei loro dati personali, rendendo l’azione difficile o impossibile da realizzare.
Fickle – Tale pratica, comporta un design dell’interfaccia incoerente e non chiaro, che rende difficile per l’utente navigare tra i diversi strumenti di controllo della protezione dei dati e comprendere lo scopo del trattamento. Tra i tipi di design pattern ingannevoli vi sono la mancanza di gerarchia, la decontestualizzazione, l’interfaccia incoerente e la discontinuità linguistica.
Left in the Dark – Si tratta di un’interfaccia progettata in modo da nascondere le informazioni o gli strumenti di controllo della protezione dei dati o da lasciare gli utenti nell’incertezza su come vengono trattati i loro dati e sul tipo di controllo che possono avere su di essi per quanto riguarda l’esercizio dei loro diritti. Tra i design pattern ingannevoli di questa categoria rientrano le informazioni contrastanti e la formulazione di informazioni ambigue.
Alla luce delle Linee Guida 03/2022, le autorità per la protezione dei dati europee potranno quindi sanzionare l’uso di modelli di progettazione ingannevoli nei casi in cui non rispettano il principio di “trasparenza” richiesto dall’art.5 del GDPR e violano le disposizioni del Regolamento europeo sulla protezione dei dati personali.RiproduciPausaStopAumentaDiminuisciCarattere normale
10 borse di studio per donne disoccupate o inoccupate da formare come Cyber Security Analyst
1 marzo 2023 – Dieci borse di studio per donne disoccupate o inoccupate (cd. NEET, Not in Employment, Education or Training), per avviare un percorso professionale nella Cybersecurity. È il progetto “Women in Cyber” realizzato con Talent Garden, la digital skills academy leader in Europa, e promosso in occasione dell’8 marzo da Groupama Assicurazioni -uno dei principali player del settore assicurativo in Italia – e di Softlab S.p.A, società quotata alla Borsa di Milano e attiva a livello internazionale, specializzata in Business Advisory, ICT Consulting e Digital Entertainment.
Le donne impiegate oggi nel settore cyber sono solo il 24% a livello mondiale, anche se le professioniste in sicurezza informatica rappresentano il 7% dei Chief Technology Officer (contro il 2% di uomini), il 9% dei Vicepresidenti IT (contro il 5% degli uomini), e il 18% dei Direttori IT (vs 14%)*.
Con il susseguirsi di attacchi cyber sia ad aziende pubbliche che private, si è consolidata la consapevolezza dell’importanza di proteggersi da eventuali minacce informatiche e sempre più realtà hanno adottato nuove tecnologie e rivisto i processi interni per aumentare la sicurezza. Secondo la stima dell’Agenzia Nazionale per la Cybersicurezza Nazionale, in Italia oggi servono oltre 100.000 esperti.
Le dieci figure di Cybersecurity Analyst, ovvero le professioniste in grado di analizzare rischi e criticità nei sistemi di protezione aziendale e di pianificare e implementare i necessari meccanismi di difesa, rispondono proprio a questa domanda. Attraverso il programma “Deep – Cybersecurity Bootcamp” potranno essere subito impiegate in lavori di base sulla sicurezza informatica.
Il percorso formativo, che avrà inizio il 5 giugno, consiste in una full immersion di 13 settimane, per acquisire conoscenze pratiche e teoriche attraverso demo, tech-case del mondo reale, video, infografiche, quiz e giochi. Grazie al contributo offerto da Groupama Assicurazioni e Softlab S.p.A., da sempre impegnate nella valorizzazione dei giovani talenti, la partecipazione al corso sarà totalmente gratuita per le 10 candidate più meritevoli, alle quali le due aziende offriranno 10 borse di studio a copertura totale dei costi.
IL PROGRAMMA
Il programma è strutturato in 12 moduli durante i quali verranno apprese nozioni di base su hardware, software e sistemi operativi; nozioni di base sulla rete e il modello OSI, nonché overview su profili di carriera; progettazione, configurazione e risoluzione di problemi di rete; gestione e monitoraggio di una rete in modo approfondito; implementazione di sistemi di protezione aziendale e ruoli nel settore; storia di famosi hacker, nonché i diversi tipi di malware che usano per attaccare le loro vittime; metodologie di difesa e costruzione di architetture di rete sicure; identificazione, recupero, indagine e convalida di prove digitaliin computer e altri dispositivi multimediali; metodi di analisi del malware come il reverse engineering; pratiche di difesa informatica, valutazione delle vulnerabilità, analisi forensi e processi di risposta agli incidenti e agli attacchi; trend analysis e come eseguirla; progettazione della sicurezza informatica, nonché valutazione e rilevazione di difetti di progettazione dei sistemi di sicurezza.
COME PARTECIPARE
Le iscrizioni sono aperte a partire da mercoledì 8 marzo e per accedere alla selezione è necessario completare l’application al sito lp.deepcybersecurity/womenincyber. Le candidate selezionate saranno invitate a un colloquio tecnico e motivazionale per valutarne competenze e prospettive.
Giulia Amico di Meane, School Director di Talent Garden: “Siamo felici di tornare a lavorarea fianco di Groupama Assicurazioni e Softlab, partner con cui condividiamo l’attenzione ai valori di inclusione e innovazione, su una nuova iniziativa in grado di dare un’opportunità concreta a 10 donne senza occupazione per ricostruire una carriera di successo in uno dei settori più strategici. La cybersecurity è un campo in costante crescita e le donne sono ancora sottorappresentate nel settore. In questo contesto, diamo grande importanza allo sviluppo di nuove competenze necessarie a cogliere opportunità di lavoro in costante crescita, dal momento che sempre più organizzazioni hanno bisogno di specialisti in grado di proteggere i propri dati e sistemi informatici da minacce cyber.”
“Siamo orgogliosi di dare continuità al nostro impegno sociale volto alla formazione e alla valorizzazione dei talenti femminili: in questo caso puntando a giovani donne disoccupate o inoccupate per la loro promozione in un ambito – quello della sicurezza informatica e in generale delle STEM – dove il divario di genere è tra i più alti in Europa”, sostiene Pierre Cordier, Amministratore Delegato e Direttore Generale Groupama Assicurazioni. “Il programma di formazione in cybersecurity è uno strumento concreto, orientato al collocamento professionale, che ha l’obiettivo di soddisfare la domanda sempre crescente di professionisti specializzati nella sicurezza informatica. Tutti noi oggi siamo significativamente più esposti ai cyber-rischi rispetto al passato: i continui attacchi alle aziende, alle istituzioni e non per ultimo, ai cittadini, ci insegnano che nessuno è esente dal rischio. Per questo collaboriamo alla formazione di giovani donne, le esperte di domani in questo campo: un piccolo passo per colmare una disparità ancora oggi troppo presente” conclude Pierre Cordier.
Daniele Lembo, Amministratore Delegato Softlab S.p.A: “Siamo entusiasti di collaborare a questa importante iniziativa di crescita professionale che premia la volontà di mettersi in gioco e di migliorare le proprie competenze. Softlab, insieme ai suoi partner, supporta con convinzione i progetti che sostengono il Women Empowerment; per questo siamo felici di contribuire alla formazione e all’avviamento professionale delle 10 donne che saranno selezionate per intraprendere questo fondamentale progetto di crescita personale e lavorativa. Il settore della cybersecurity offre concrete e crescenti opportunità di impiego, un’occasione da non perdere per avviare percorsi di inclusione a favore delle donne”.
*****
INFORMAZIONI SU TALENT GARDEN
Talent Garden Group è il più importante operatore europeo nella Digital Education per dimensioni e presenza geografica, leader per la formazione e il networking nell’ambito dell’innovazione digitale. Nata nel 2011, ha l’obiettivo di supportare talenti e imprese nella propria crescita digitale. Un modello che si è rapidamente esteso in Europa e che oggi ha portato la società ad essere presente in 12 Paesi europei diventando leader europeo del suo settore. Questo anche grazie a soci tra le più grandi famiglie italiane capitanate da TIP – Tamburi Investment Partners, ma anche da Cassa Depositi e Prestiti, Indaco e Social Capital.
Ripropongo un mio (e di Giacomo De Simio) vecchio articolo che avevo pubblicato su FederPrivacy nel 2019 anche per annunciare che sarò presente al Privacy Day quest’anno a Pisa il 25 Maggio con uno speech a tema Social network.
*****
A partire dal 2020 il progetto di citizen score diventerà obbligatorio e, in Cina, il Social Credit System, da immaginario di serie tv, sarà a tutti gli effetti realtà. L’idea cinese si basa sull’attribuzione di uno Scoring (punteggio) ai cittadini (ma non solo) fondato su cinque fattori:
In relazione a questi cinque fattori saper tenere una condotta conforme alle regole determina l’attribuzione di bonus (agevolazioni nei viaggi, prestiti più cospicui ecc..), mentre contravvenire alle stesse comporta dei malus (come il rallentamento della velocità di navigazione di internet, l’accesso limitato a locali e ristoranti o, ancora, la soppressione del diritto di viaggiare all’estero e/o di ottenere visti).
La Rivoluzione digitale dovrebbe avere il supporto della collettività che sia in grado di scegliere tra benefici e rischi derivanti dall’utilizzo di dispositivi tecnologici. L’ingegneria sul riconoscimento facciale ha raggiunto, in Cina come in altri Paesi, uno sviluppo tecnologico tale che occorre fermarsi e chiedersi se valgano davvero il sacrificio di certi diritti o libertà fondamentali.
Le finalità di governo con cui la Cina attua il Social Credit System rappresentano sicuramente una deriva distopica in cui è evidente l’alta intrusività dello scoring nei confronti di diritti e libertà fondamentali che invece trovano maggior tutela in Europa.
In Italia, finalità di polizia giustificano l’utilizzo di S.A.R.I. Enterprise (il Sistema Automatico di Riconoscimento delle Immagini), che associa immagini catturate da videocamere di pubblica sorveglianza con immagini presenti in schedari e archivi della polizia di Stato; per il riconoscimento bastano pochi secondi o frazioni di secondo.
Il Garante, con il provvedimento n. 440 del 26 luglio 2018, accerta che i dati in questione vengono trattati per le sole finalità di prevenzione, accertamento, perseguimento e esecuzione di sanzioni penali e che oggetto di trattamento sono le sole immagini presenti nei database, in modo da non interferire sui diritti di tutti coloro che non hanno mai avuto problemi con la giustizia.
Certamente non mancano applicazioni private basate sul riconoscimento facciale: ad esempio, i nuovi dispositivi mobili in nostro possesso già consentono lo sbocco tramite associazione di immagini. Tuttavia i dispositivi con detta funzionalità, al prezzo di mercato, spesso rivelano uno scarso investimento sulla sicurezza e possono essere facilmente ingannati anche da una foto fatta scansionare dalla videocamera.
Ora grazie all’art 35 del GDPR (General Data Protection Regulation) prima di procedere al trattamento con nuovi dispositivi tecnologici, o cumunque in caso di utilizzi innovativi di tecnologie già esistenti, il titolare deve effettuare una D.P.I.A. (Valutazione di impatto) adeguata alle finalità perseguite dal nuovo trattamento. L’elevato rischio di compromettere diritti e libertà fondamentali determina l’obbligo di condurre una D.P.I.A. e il titolare è tenuto a consultare l’Autorità Garante se le misure tecniche e organizzative, individuate per mitigare l’impatto, non sono ritenute sufficienti. È quanto affermano i Garanti europei nelle linee guida in materia di valutazione di impatto, del 4 aprile 2017, indicando che, in ogni caso, condurre una D.P.I.A. è sempre espressione di accountability (autoresponsabilizzazione) dei titolari.
La D.P.I.A. è anche espressione di “privacy by design” perché interessa la protezione dei dati già dalla fase di progettazione del trattamento; aiuta il titolare a comprendere e gestire rischi, nonché a formulare idonee informative da sottoporre a un’utenza che possa esprimere il consenso libero e informato, in particolare nei casi in cui si fa profilazione.
Di fatto, al divieto generale di profilazione, sancito all’art 22, co. 1, GDPR, il co. 2 ammette deroghe fondate sul consenso esplicito dell’interessato, la conformità al diritto dell’Unione Europea e la necessità di dover concludere o eseguire un contratto.
Tramite la profilazione, i dati, che rivelano valutazioni su aspetti personali, sono trattati in modo automatizzato al fine di suddividere l’utenza in gruppi, in base al comportamento da ciascuno tenuto nell’utilizzare un certo servizio. Alcuni rischi connessi alla profilazione riguardano potenziali iniquità e discriminazioni, ad esempio se viene negato l’accesso a opportunità di lavoro, credito o assicurazione, oppure se vengono offerti prodotti finanziari eccessivamente rischiosi o costosi.
Dimostrare accountability permette l’attenuazione o esclusione di sanzioni amministrative previste dal GDPR, pertanto il titolare è tenuto ad un comportamento proattivo che tuteli i diritti dell’utenza.
L’adozione o l’adesione a codici di condotta rappresenta uno tra gli strumenti più efficaci per dimostrare accountability. Il codice di condotta è uno spazio di autoregolamentazione per la salvaguardia dei dati in specifiche realtà di settore; rappresenta un metodo pratico per garantire un elevato grado di protezione dei dati, dimostrando compliance al GDPR. Ma oltre ad essere utile per dimostrare accountability, un codice di condotta colma i gap esistenti tra gli Stati membri nell’applicazione della disciplina sulla data protection e sintetizza requisiti e obblighi imposti dal GDPR.
È uno strumento in linea con il promuove la libera circolazione dei dati, nello sviluppo di un mercato unico digitale per l’Unione Europea.
Se l’utente dice “no” alla telefonata commerciale indesiderata il call center o la società che lo ha contattato deve annotare subito la sua volontà e cancellare il nominativo dalle liste utilizzate per il telemarketing. L’opposizione espressa nel corso della telefonata non deve essere confermata con email o altre modalità, come invece viene spesso richiesto di fare da parte degli operatori, ed è valida anche per le campagne promozionali future.
Il principio è stato affermato dal Garante privacy che, al termine di una complessa attività istruttoria, ha rilevato diverse condotte illecite messe in atto da Edison Energia spa nei confronti di un numero rilevante di utenti. L’Autorità ha quindi ingiunto alla società l’adozione di una serie di misure per mettersi in regola e le ha ordinato il pagamento di una sanzione di 4 milioni e 900 mila euro.
Entro il termine stabilito, la società si è avvalsa della facoltà di definire la controversia ed ha pagato un importo pari alla metà della sanzione comminata.
Le gravi irregolarità sono emerse nel corso degli accertamenti effettuati dall’Autorità a seguito di diverse segnalazioni ed hanno evidenziato: la ricezione di telefonate senza consenso; il mancato riscontro alle richieste di non ricevere più telefonate indesiderate; l’impossibilità di esprimere consensi liberi e specifici per diverse finalità (promozionali, profilazione, comunicazione di dati a terzi) nell’ambito del sito o dell’app, la presenza di informative carenti o inesatte.
Il Garante ha quindi ordinato a Edison di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e fornire riscontro, senza ritardo, alle istanze, comprese quelle relative al diritto di opposizione.
Diritto che – ha specificato l’Autorità – può essere esercitato “in qualsiasi momento” (anche nel corso della telefonata promozionale) e la volontà dell’utente deve essere correttamente registrata.
Il Garante ha inoltre vietato alla società ogni ulteriore trattamento per finalità promozionali effettuato utilizzando liste di contatti predisposte da altre aziende che non abbiano acquisito un consenso libero, specifico, informato e documentato alla comunicazione dei dati degli utenti. Se la società vorrà, in futuro, utilizzare per l’attività promozionale utenze telefoniche fornite da terzi dovrà verificare costantemente, anche attraverso adeguati controlli a campione, che i dati siano trattati nel pieno rispetto della normativa privacy.
Alla società infine è stato vietato il trattamento dei dati per finalità di marketing e di profilazione raccolti senza un consenso libero e specifico e le è stato ingiunto di fornire agli utenti un’informativa corretta, nella quale siano indicate solo le attività di trattamento effettivamente svolte.
