ius and bit

Oggi ENISA (European Network Information and Security Agency) pubblica un nuovo report sui social network accessibili attraverso dispositivi mobili dal titolo “Online as soon as it happens” (Online non appena accade). E’ possibile scaricare il documento direttamente dal sito di ENISA.

Questo report vede anche la mia personale collaborazione per l’Italia.

ENISA nel suo comunicato stampa evidenzia che:

The report points out the risks and threats of mobile social networking services, e.g. identity theft, corporate data leakage and reputation risks of mobile social networks. The report also gives 17 ‘golden rules’ on how to combat these threats.

(Il report sottolinea i rischi e le minacce dei servizi di mobile social network, ad es. furti d’identità, perdita dei dati aziendali e rischi sulla reputazione dei social network mobile. La relazione contiene inoltre 17 “regole d’oro” su come combattere tali minacce)

Il report non riguarda il fenomeno del social networking per i minorenni ma è una sorta di guida generale per evitare i rischi connessi con il fenomeno del mobile social networking. Nel documento in questione viene fornita una descrizione di cosa si intenda per mobile social network che viene così descritto:

Mobile social networking is a means of communication using a combination of voice and data devices over networks including cellular technology and private and public IP infrastructure. Generally speaking MSNs can be divided into two categories: ‘on deck’ and ’off deck’. ‘On deck’ refers to services that operate through a partnership between social network companies and wireless phone carriers. This category of services programs and applications which enable the social networking experience are distributed via the wireless carrier and are pre-packaged with the purchase of a mobile phone. ‘Off deck’ refers instead to services whose applications do not come pre-packaged and the user has to download the application from the Internet or from a wireless provider after the time of purchase.

Bene, il documento distingue tra mobile social networkings (MSNs) “on deck” e “off deck“: nel primo caso si tratta di servizi di social network preinstallati nel cellulare o nel dispositivo mobile ed offerti in base ad un accordo tra social network provider e gestore telefonico, mentre nel secondo si tratta di applicazioni liberamente scaricabili sul dispositivo e svincolate da accordi specifici.

Il documento offre il quadro degli aspetti di privacy connessi con questo fenomeno e i principali rschi che ne derivano.

Complessivamente si tratta di un ottimo ed utile documento nello stile di ENISA.

Fonte: ENISA

Ritornando sul documento dell’art. 29 WP, ritengo utile riportare la parte conclusiva con l’elenco dei diritti e dei doveri (traduzione non ufficiale):

Summary of obligations/rights

Applicability of EC Directives

1. The Data Protection Directive generally applies to the processing of personal data by SNS, even when their headquarters are outside of the EEA (La direttiva sulla protezione dei dati personali generalmente si applica al trattamento dei dati personali da parte dei SNS, perfino quando la loro sede è fuori dall’Area dell’Europa).

2. SNS providers are considered data controllers under the Data Protection Directive (I SNS sono considerati responsabili dei dati secondo la Direttiva sulla protezione dei dati personali).

3. Application providers might be considered data controllers under the Data Protection Directive (I fornitori di software potrebbero essere considerati responsabili dei dati secondo la Direttiva sulla protezione dei dati personali).

4. Users are considered data subjects vis-à-vis the processing of their data by SNS (Gli utenti sono considerati soggetti dei dati che vengono trattati dai SNS).

5. Processing of personal data by users in most cases falls within the household exemption. There are instances where the activities of a user are not covered by this exemption (Il trattamento dei dati personali da parte degli utenti in molti casi non rientra nella esenzione).

6. SNS fall outside of the scope of the definition of electronic communication service and therefore the Data Retention Directive does not apply to SNS (Ai SNS che non rientrano nella definizione di servizio di comunicazione elettronica non si applica pertanto la Direttiva su data retention).

Obligations of SNS

7. SNS should inform users of their identity, and provide comprehensive and clear information about the purposes and different ways in which they intend to process personal data (I SNS dovrebbero informare gli utenti sulla loro identità e fornire informazioni comprensibili e chiare circa gli scopi e i diveris modi in cui essi intendono trattare i dati personali).

8. SNS should offer privacy-friendly default settings (I SNS dovrebbero offrire di default semplici impostazioni sulla privacy).

9. SNS should provide information and adequate warning to users about privacy risks when they upload data onto the SNS (I SNS dovrebbero fornire agli utenti informazione ed avvisi adeguati circa i rischi sulla privacy quando fanno l’upload di dati sui SNS).

11. Users should be advised by SNS that pictures or information about other individuals, should only be uploaded with the individual’s consent (Gli utenti dovrebbero essere avvisati dai SNS che le immagini o le informazioni su altri individui dovrebbero essere uploadati soltanto con il consenso dei soggetti interessati).

12. At a minimum, the homepage of SNS should contain a link to a complaint facility, covering data protection issues, for both members and non-members (Come minimo, la home page del SNS dovrebbe contenere un link per una semplice segnalazione, riguardo alle questioni privacy, per i membri e per i non membri).

13. Marketing activity must comply with the rules laid down in the Data Protection and ePrivacy Directives (L’attività di marketing de essere conforme con i ruolo imposto nelle direttive su data protection e eprivacy).

14. SNS must set maximum periods to retain data on inactive users. Abandoned accounts must be deleted (I SNS devono impostare periodi massimi per conservare i dati degli utenti inattivi. Gli acount abbandonati devono essere cancellati).

15. With regard to minors, SNS should take appropriate action to limit the risks (Con riguardo ai minori, i SNS dovrebbero effettuare interventi appropriati per limitare i rischi).

Rights of Users

16. Both members and non-members of SNS have the rights of data subjects if applicable, according to the provisions of Article 10 – 14 of the Data Protection Directive (Entrambi membri e non membri dei SNS hanno il diritto dei titolari dei dati se applicabile, secondo le previsioni degli articoli 10-14 della direttiva sulla data protection).

17. Both members and non-members should have access to an easy-to-use complaint handling procedure set up by the SNS (Entrambi membri e non membri dovrebbero avere accesso ad una semplice procedura di segnalazione impostata dai SNS).

18. Users should, in general, be allowed to adopt a pseudonym (Agli utenti dovrebbe, in generale, essere permesso adottare uno pseudonimo).

La posizione dell’art. 29 WP si presenta assolutamente in linea con i principi sottoscritti dai SNP a Lussemburgo il 10 febbraio scorso. Tuttavia, il documento dell’art. 29 WP è importante perché chiarisce in maniera precisa alcuni aspetti su cui c’erano delle perplessità. L’auspicio è che i SNP si adeguino presto anche per consentire il rispetto delle direttive in questione.

Il 12 giugno il c.d. Gruppo Articolo 29 (Article 29 Data Protection Working Party) ha adottato il documento dal titolo “Opinion 5/2009 on online social networking” sul social netorking online.

Detto documento costituisce un validissimo contributo all’analisi della connessione tra privacy, dati personali e social network.

Probabilmente per la prima volta viene fornita la definizione di “Social Network service” nei termini seguenti (punto 2):

Il SNS può sostanzialmente essere definito come una piattaforma di comunicazione on-line che consente alle persone di entrare o creare reti di utenti simili. In senso giuridico, le reti sociali sono servizi della società dell’informazione, come definiti all’articolo 1, paragrafo 2, della direttiva 98/34/CE, come modificata dalla direttiva 98/48/CE.

I SNS condivide determinate caratteristiche:

- gli utenti sono invitati a fornire i dati personali al fine di generare una descrizione di se stessi o ‘profilo’.

- I SNS forniscono anche strumenti che consentono agli utenti di pubblicare i propri materiali (contenuti generati dagli utenti, come una fotografia o un appunto, musica o video-clip o link ad altri siti);

- il “social networking” è attivato utilizzando strumenti che forniscono un elenco dei contatti per ogni utente, e con il quale gli utenti possono interagire. I SNS generano gran parte del loro reddito attraverso la pubblicità che viene proposta insieme alle pagine web impostate e raggiunte dagli utenti. Gli utenti che hanno posto una grande quantità di informazioni sui loro interessi sui loro profili offrono un raffinato mercato per gli inserzionisti che desiderano proporre la pubblicità mirata sulla base di tali informazioni.

È quindi importante che i SNS operino in un modo da rispettare i diritti e le libertà degli utenti che hanno un legittimo affidamento nel corretto trattamento dei dati personali secondo la legislazione sulla privacy nazionale ed europea.

È molto importante quanto affermato al successivo punto 3.1 sul responsabile dei dati personali. Difatti, il documento in commento dispone che i Social Network Service provider sono responsbili dei dati personali secondo la Direttiva sui dati personali. Si dispone, inoltre, che anche i produttori di software (applicazioni) potrebbero essere anche responsabili del trattamento dei dati se sviluppano applicazioni che funzionano unitamente alla piattaforma software del social network e l’utente decide di utilizzare quella determinata applicazione.

Ulteriore precisazione riguarda il ruolo dell’utente che se utilizza le informazioni per attività puramente personali o familiari gode di una sorta di esenzione (definita “household exemption”). Tuttavia, in alcuni casi l’utente non può godere della citata esenzione come ad esempio quando il social network viene utilizzato come piattaforma condivisa da associazioni o società, oppure quando le informazioni del profilo personale vengono estese a tutti i membri del social network tanto da essere indicizzate nei motori di ricerca, ed infine quando devono essere garantiti i diritti dei terzi nel caso in cui l’utente si rendesse responsabile in base alle norme nazionali (es. diffamazione, ecc.).

Deve essere ovviamente garantito un livello di sicurezza e di privacy nelle impostazioni di default. I dati sensibili possono essere resi pubblici soltanto con il consenso esplicito dell’interessato.

Si chiama Twitter ed è uno strumento di social messaging. Come si è già scritto, il social networking è sostanzialmente il frutto del web 2.0. Numerosi sono i provider che attualmente si contendono il campo dei social network. Twitter sembra aver fatto un balzo in avanti e – salvo smentita – è un sistema che riscuoterà successo. In effetti, già ora i primi feedback positivi che riguardano questo strumento di social messaging si avvertono in ambito giornalistico. Del resto, è sufficiente dare uno sguardo al grafico che sege.

 Fonte: compete.com

Ma in che cosa consiste Twitter ? In sostanza, attivando un account è possibile allacciare una sorta di amicizia con altri contatti (si dice follow qualcuno, cioè appunto seguire qualcuno); diversamente si può essere seguiti, ossia altri utenti di Twitter si “agganciano” ad un certo account (in tal caso si parla di followers). Instaurate queste relazioni, è possibile scambiare messaggi in tempo reale con gli altri utenti (following/followers). La piattaforma di Twitter è caratterizzata dal fatto che i messaggi che si inviano non possono essere più lunghi di 140 caratteri. Difatti, se nel corpo del messaggio si deve inserire un URL è opportuno utilizzare sistemi che abbreviano la stringa dell’URL, come ad esempio TinyURL (www.tinyurl.com). Inoltre, è anche possibile, ma solo se esiste reciprocità tra following e followers scambiare i così detti “direct messages” (abbreviati come DMs); si tratta di una sorta di messaggi privati inviati direttamente all’altro twitter user via email. Tra le altre features, solo per gli utenti di alcuni Paesi (non ancora per l’Italia) è possibile ricevere i twiter messages direttamente sul cellulare. Inoltre, utilizzando sempre lo stesso account di Twitter, è possibile – attraverso il portale TwitPic (www.twitpic.com) – eseguire l’upload di foto che possono poi essere condivise su Twitter.

Twitter viene utilizzato molto, tant’è che è rilevante l’aumento che indica il numero di post per giorno come è evidenziato dal grafico riportato di seguito.

La piattaforma sta suscitando notevole successo, come emerge anche da ulteriore tabella da noi già pubblicata, per l’interesse mostrato sia per il numero di utenti registrati, sia per le Twitter applications che si stanno diffondendo e ciò è dimostrato dai grafici riportati.

Due nuove proposte di legge federale che secondo i sostenitori repubblicani proteggeranno i bambini hanno allarmato le aziende della rete internet. In una conferenza stampa fissata per giovedì 26 febbraio verranno illustrati i due progetti di legge entrambi chiamati “Internet Safety Act”. Si prevede l’istituzione di un registro sugli utenti i cui dati devono essere conservati per due anni. Pene severe (multa e carcere per un massimo di 10 anni) per i provider che consentono o facilitano l’accesso all’uso ed al possesso di materiale pedopornografico. In realtà, questi disegni di legge hanno allarmato l’associazione americana degli ISP (tra cui Verizon, Comcast, AOL, AT & T, e EarthLink), poiché si è detto che la mera fornitura di e-mail, l’archiviazione elettronica, i servizi di cloud-computing, e i siti di social networking potrebbero essere considerati ognuno come atto che “facilita l’accesso a” contenuti illegali.

Fonte: CNET.com

Il 17 febbraio è stato pubblicato dal Secure Enterprise 2.0 Forum (un grouppo composto da organizzazioni e individui i quali ritengono che sia inevitabile l’uso di tools e servizi per il Web 2.0) un report sulle principali minacce alla sicurezza del Web 2.0.

Sono state individuate le seguenti principali minacce:

1. INSUFFICIENT AUTHENTICATION CONTROLS
2. CROSS SITE SCRIPTING (XSS)
3. CROSS SITE REQUEST FORGERY (CSRF)
4. PHISHING
5. INFORMATION LEAKAGE
6. INJECTION FLAWS
7. INFORMATION INTEGRITY
8. INSUFFICIENT ANTI-AUTOMATION

Tra queste minacce su menzionate sembra che quella più seria sia proprio la perdita di informazioni (information leakage). Infatti, il report individua uno scenario in cui le informazioni sensibili vengono inviate ai siti di natura differente tra social network, blog o portali di condivisione. In effetti, proprio i siti di social network e i blog per loro caratteristica di essere user-centric si prestano meglio a far miscelare informazioni personali con quelle aziendali ed il relativo confine è molto labile.

Inoltre, secondo il report in questione un ulteriore rischio consiste nell’aggregazione di informazioni che singolarmente sono valutabili come benigne (data una certa azienda, l’aggregazione di dati quali il numero di dipendenti, di quelli licenziati, ecc. può essere nociva). Ulteriore elemento è l’unione tra dati personali e dati pubblici come ad es. mappe, immagini, ecc. Da ultimo, il facile recupero di informazioni attraverso i web service.

In sostanza, è necessario che aumenti la consapevolezza in ciascun utente di quanto sia opportuno prestare attenzione ai propri dati personali al fine di evitare di trovarsi in situazioni assolutamente spiacevoli.

Alcuni brevi consigli:

• non è consigliabile pubblicare la propria data di nascita (spesso nei social network è facile trovare informazioni personali dei singoli utenti) e/o altri dati personali o familiari;
• non rispondere ad email che risultano “strane” o che contengano richieste di dati riservati;
• sui social network è opportuno non aderire incondizionatamente alle richieste di amicizia, ma – ove possibile – è bene valutarle preventivamente;
• per le applicazioni web-based è consigliabile un doppio livello di protezione degli accessi;
• prestare cautela alla pubblicazione di foto e/o video che riproducono l’utente da solo o con altri.