[ e-privacy X — Cloud computing e Privacy
"La paranoia è una virtù"
Anonimo, 1984

Il 3 e 4 giugno a Firenze in Palazzo Vecchio (Sala della Miniatura) si è tenuta l'edizione 2011 di e-privacy, il convegno dedicato ai problemi della privacy nell'era digitale. Il convegno è in iniziato la mattina di venerdi 3 nella Sala della Miniatura.

I confini, una volta chiaramente percepibili, tra noi stessi e la Rete, stanno cambiando, spostandosi e contemporaneamente diventando indistinti. Il successo delle comunita' sociali sta rendendo confuso il confine tra la persona digitale e la Rete. Il Cloud Computing, il SaaS (software as a service - software come servizio) e l'utilizzo sempre più diffuso di apps su smartphone e pad modificano radicalmente i rapporti di interdipendenza tra i cittadini della Rete e chi fornisce loro software e servizi. Nel modello Cloud l'utente non possiede, non controlla e non conosce il software che usa, che è sotto il totale controllo dei fornitori di servizi Cloud. E se è vero, come dice Lessig, che solo il software è la legge del cyberspazio, questo portera' inevitabilmente ad un'alterazione dei rapporti di potere tra utenti e fornitori, gia' strutturalmente sbilanciati, a favore di questi ultimi. Gli utenti che abbandoneranno il software tradizionale per adottare il modello Cloud rinunceranno completamente alla non grande quota di potere che oggi detengono; rinunceranno ad essere "cittadini digitali" per diventare "consumatori digitali". Il modello Cloud implica inoltre la rinuncia al controllo ed al possesso dei dati, delegando anche questo ai fornitori di Cloud prescelti. E se l'Io digitale è formato dai nostri dati, sia quelli pubblici ma soprattutto da quelli che manteniamo privati, perderne il controllo equivale ad una dissoluzione della persona digitale nel mare non più limpido ma infido di una Rete formata da fornitori e consumatori, e non più da individui.

Dieci anni.... chi l'avrebbe detto. Un grazie a tutti i partecipanti ed i collaboratori di questo lungo viaggio!

Programma del Convegno

Venerdì 3 Giugno

Inizio Fine Relatore Titolo
09:00 09:20 Registrazione partecipanti
09:20 09:30 Saluto degli organizzatori Marco Calamari
09:30 10:00 Il contratto e gli SLA con il cloud service provider Lucilla Mancini, Robert Rosen
10:00 10:30 Cloud computing, un'opportunita' di cui comprendere vantaggi e rischi, per privati ed aziende Marco Piermarini
10:30 11:00 Il Diritto all’anonimato nella Societa' dell’Informazione Alessandro Rodolfi
11:00 11:30 Trattamento dei dati personali e responsabilita' nell'era del cloud computing: istruzioni per l'uso Stefano Aterno
11:30 11:45 La responsabilità penale del cloud service provider Francesco P. Micozzi
11:45 11:50 Intervallo
11:50 12:30 Votazione e consegna dei Big Brother Award Italia 2011 audio in formato mp3 della cerimonia.
12:30 13:00 Responsable Disclosure: quanto è efficace nel contrastare il fenomeno del data leaking? Marco Ortisi
13:00 14:30 Pranzo
14:30 15:00 Security, Privacy e Data retention nel cloud scenario. Aspetti di diritto penale sostanziale e processuale S. Marcolini, E. Colombo, R. Flor
15:00 15:30 Guardiamoci in faccia, nonostante le nuvole Alessio L.R. Pennasilico
15:30 16:00 Il cloud data storage: stato dell'arte, rischi e tutela della privacy Yvette Agostini, Valerio Vertua
16:00 16:30 Intervallo
16:30 17:00 Il Cloud, tra contrattualistica e privacy Simone Bonavita
17:00 17:30 Le Procure nella nuvola: data retention e cloud forensics Carlo Blengino, Monica Senor
17:30 18:00 Negabilita' plausibile su disco: luci e ombre di Truecrypt Tommaso Gagliardoni

Sabato 4 Giugno

Inizio Fine Relatore Titolo
09:00 09:30 Free as in Google: Cloud Computing e Liberta' Primavera De Filippi
09:30 10:00 Cloud computing ed attivita' di impresa: la tutela dei dati personali ed aziendali Alessandro Mantelero
10:00 10:30 La privacy dei piccoli Paolo Giardini
10:30 11:00 Anonymous for fun and profit Simone Onofri
11:00 11:30 Intervallo
11:30 12:00 Il controllo dei dati nel cloud Gianluca Moro
12:00 12:30 Il leaking e la divulgazione di documenti riservati tra diritto, etica e tecnologia Giovanni Ziccardi
12:30 13:00 L'utilizzo della PEC all'interno del processo civile telematico alla luce delle regole tecniche del D.44 21-04-11: quale privacy? M. Morena Ragone, G. S. Barile
13:00 14:30 Pranzo
14:30 15:00 L’importanza della qualita' nel Web di Dati: modello di sicurezza e privacy per la gestione dell’e-profile Stefano Turchi
15:00 15:30 Designed for democracy: pattern di interferenza tra codici giuridici e codici informatici nei recenti casi di censura online e offline Alberto Cammozzo
15:30 16:00 Le Nuvole dell’Internet del futuro all’orizzonte: fra estrazione del lavoro degli utenti, oligopoli e controllo Perla Conoscenza
16:00 16:30 ISO 27001 e cloud computing Andrea Orsi
16:30 17:00 Intervallo
17:00 17:30 Gruppi, strategie e software in contrasto alla data retention Claudio Agosti
17:30 18:00 L’introduzione del principio di Responsabilita' secondo il Gruppo dei Garanti Europei Monica Gobbato
POSTER Tecnologie di face recognition e impatto sulla privacy: stato e prospettive Alberto Cammozzo
POSTER Progetto Anopticon: Input/Output Dati, informazione e Tracciamento EPTO
POSTER Il Progetto Globaleaks: introduzione e caratteristiche fondamentali Random Globaleaks Contributor

Interventi

Marco Calamari - Progetto Winston Smith

Saluto degli organizzatori
mp3

Lucilla Mancini - Business-e / Robert Rosen - Gianni Cimino e partners

Il contratto e gli SLA con il cloud service provider
pptx mp3

Il Cloud ed il service provider. Requisiti di sicurezza e conformita': le leggi applicabili. Il contratto con il provider: elementi fondamentali. Gli SLA: la definizione, il controllo da parte del cliente. Lo strumento fondamentale per gestire tutte le eventuali problematiche che vengono associate al Cloud è il contratto insieme con i livelli di servizio condivisi. Attraverso questi elementi, infatti, se gli stessi sono creati in maniera corretta e con la totale consapevolezza degli aspetti cruciali da considerare senza complicare pero' la possibile fruizione di tali servizi, qualsiasi cliente puo' utilizzare serenamente la “nuvola”. top

Marco Piermarini - ICT Academy

Cloud computing, un'opportunita' di cui comprendere vantaggi e rischi, per privati ed aziende
pptx mp3

Descrizione di cos’è il cloud, la sua evoluzione come offerta, i rischi connessi alla mancanza di una normativa uniforme. I problemi legati alla connessione per accedere ai dati. L’evoluzione della normativa. La soluzione di cloud computing è assolutamente valida ed essenziale per rendere scalabile e performante l’accesso al Web. Come vengono trattati i nostri dati. Che leggi si applicano all’accesso ad un sito che è presente in server in tante location diverse. L’evoluzione è verso l’Application as a service, un mondo di app accessibili con browser o altri servizi, un sistema che riduce la liberta' dell’utente vincolato da queste applicazioni e dai contratti non sempre trasparenti che definiscono a cosa accede e come vengono trattate le informazioni raccolte durante il loro uso. Per le aziende si passa dal semplice storage, back up od hosting a servizi più evoluti, personalizzati e scalabili, con costi che sono proporzionati all’uso e che all’apparenza convengono alle aziende e ai privati. La difficoltà' è capire le garanzie di sicurezza e di gestione di quelle informazioni. Altro rischio del cloud: la banda larga e la capacita' di garantire l’accesso sicuro. Da qui la necessita' di servizi che siano criptati o che tutelino il traffico generato. Il problema della legislazione non coerente in tutti i contesti, quali diritti ha il cittadino digitale, verso chi li puo' esercitare, ma anche i diritti di chi crea, come saranno tutelati in futuro. I Garanti Europei come pensano di intervenire. top

Alessandro Rodolfi - Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali

Il Diritto all’anonimato nella Societa' dell’Informazione
pptx mp3

L’intervento presenta uno studio dell'anonimato nell’ordinamento giuridico italiano con particolare riferimento alla protezione dei dati personali (D.Lgs. n. 196/2003). Nella “Societa' dell’Informazione” l’esponenziale aumento del valore delle informazioni stesse e la facilita' di identificazione dei soggetti attraverso l’utilizzo di nuove tecnologie rende l’anonimato un imprescindibile strumento di difesa della propria liberta' ancor prima che un esercizio, talvolta l’unico effettivamente possibile, del diritto alla protezione dei dati personali e della riservatezza.

Stefano Aterno

Trattamento dei dati personali e responsabilita' nell'era del cloud computing: istruzioni per l'uso?
pptx mp3

Cosa sta accadendo alle garanzie dell'individuo sul trattamento dei dati personali e alla tutela offerta dalle norme del nostro Paese? Le norme in vigore sono ancora in grado di far fronte ai nuovi e complessi strumenti tecnologici? Quanto sara' importante prevedere a livello mondiale norme e strumenti di tutela? L'importanza della chiarezza e della trasparenza delle informative e delle informazioni. A queste domande prima o poi bisognera' dare risposte certe e strumenti di tutela efficaci. Sui problemi che pongono queste domande cercheremo di confrontarci durante il mio intervento. top

Francesco Paolo Micozzi

La responsabilità penale del cloud service provider
pptx mp3

L'analisi giuridica delle problematiche che ruotano attorno ai sistemi di cloud computing e, in particolare a quelli di cloud storage, per le loro intrinseche peculiarità rinnovano l'interesse attorno all'annosa questione sulle responsabilità dei provider. In questo breve intervento saranno tratteggiati gli eventuali profili di responsabilità penale dei cloud service provider per le attività illecite poste in essere dai destinatari dei servizi.

Marco Ortisi

Responsable Disclosure: quanto è efficace nel contrastare il fenomeno del data leaking?
pptx mp3

Compilare form a casaccio sul web pare essere diventato uno sport nazionale. In pochi ci pensano due volte prima di fornire i propri dati personali (nome, cognome, numero di telefono, indirizzo, data di nascita, etc..) a siti e portali di e-commerce di vario tipo, anche se il login viene effettuato un'unica volta magari per spese occasionali (ordinare i croccantini al cane, comprare un capo di abbigliamento o un articolo tecnologico, etc..). Ma quanto i nostri dati sono effettivamente sicuri dentro questi database dall'indubbia tracciabilita' e spesso dal ciclo di vita sconosciuto? In Italia abbiamo una legge (la 196/03) che dovrebbe tutelare la privacy dei cittadini e degli utenti. Tutti i siti che trattano dati personali o comunque sensibili la citano, riportando debitamente i nomi dei responsabili del trattamento, ma pochi sembrano interessarsene ed effettivamente rispettarla. Il talk porta all'attenzione del pubblico alcuni recentissimi casi inediti di data leaking nostrani per un totale di 500 mila record personali trafugabili e potenzialmente esposti. Tra vicissitudini rocambolesche e silenzi imbarazzanti dall'altra parte del telefono, ricopercorremo le tappe che hanno contraddistinto le fasi della "responsable disclosure" che l'autore ha seguito nei confronti di chi ha messo in atto queste violazioni nei propri portali web, di come i dati acceduti potevano essere utilizzati per fini malevoli e di come/se le cose sono cambiate dopo la segnalazione delle falle.

Stefano Marcolini / Eleonora Colombo - Facolta' di Giurisprudenza, Universita' dell’Insubria, Roberto Flor Facolta' di Giurisprudenza, Universita' di Verona

Security, Privacy e Data retention nel cloud scenario. Aspetti di diritto penale sostanziale e processuale
pptx pdf (Marcolini) mp3 (Colombo/Flor)

La tutela dei diritti fondamentali attraverso la riserva di legge e quella di atto motivato dell’autorita' giudiziaria. La riserva di legge formale e sostanziale. L’atto di indagine atipico e i suoi limiti. Il c.d. data retention e “law applicable” nel cloud scenario. Limiti costituzionali e prospettive de jure condendo alla luce di importanti decisioni dei Giudici delle Leggi in Europa. Dal caso Marper v. United Kingdom allo scenario “cloud” nella gestione delle banche dati. Prospettive di sviluppo di forme di cooperazione più rapide ed efficienti per la prevenzione e repressione della criminalita' transnazionale. Abstract; La minaccia legata all’uso di Internet e delle nuove tecnologie per la commissione di reati (sia propriamente informatici, che “informatici in senso improprio”) è particolarmente allarmante ed in continuo sviluppo, in primis per la forte dipendenza dell’attuale assetto sociale, economico e politico dalla informatizzazione e dalla rete globale. Nel nuovo “cloud scenario” si assiste non solo ad una sostanziale modifica strutturale nella fruizione e nella archiviazione delle risorse online e nelle modalita' di condivisione e comunicazione di dati (anche di interesse e rilevanza giuridico e giudiziaria) ed informazioni attraverso Internet, ma anche alla nascita di nuovi attori, o di nuovi ruoli per soggetti gia' presenti nello scenario “tradizionale” (cloud computing provider, user, data subject, data processor). Le caratteristiche del cloud computing, da un lato, possono essere viste alla stregua di nuove potenzialita' per la gestione di risorse sempre più estese territorialmente, dall’altro lato, pero', costituiscono un mezzo per la preparazione e la commissione di reati, anche gravi, contro la vita, l’incolumita' fisica e la sicurezza dello Stato (si pensi, ad esempio, ad atti terroristici, che possono avere quale obiettivo non solo vite umane, ma anche sistemi informatici sensibili o informazioni segrete dello Stato) e, dunque, sollecitano una attenta riflessione sulla necessita' di adattare il sistema penale per rispondere a nuove esigenze di tutela e, al contempo, di disciplina di tipologie di indagini a “carattere tecnologico” aventi altresi' fini preventivi. In questo contesto il c.d. data retention assume un ruolo fondamentale, in quanto si trova ed esprimere il bilanciamento fra contrapposte esigenze: di tutela della privacy, della sicurezza, nonchè della necessita' di accertare e contrastare gravi forme di criminalita' che, in quanto realizzate tramite Internet o nel cyberspace, hanno natura congenitamente transnazionale. De jure condito, il sistema penale, nel suo insieme, si trova a dover rispondere ad importanti quesiti, ancora aperti. Il Dr. Stefano Marcolini (Universita' dell’Insubria) trattera', in particolare, della tradizionale tecnica impiegata per proteggere alcuni (i più importanti) diritti fondamentali nella Costituzione italiana: la riserva di legge e quella di giurisdizione. Passera' successivamente alla ricognizione delle Carte internazionali, traendo due conclusioni: la possibilita' di ricorrere a tale doppia garanzia tutte le volte che si abbia a che fare con un diritto fondamentale, anche non rientrante tra quelli espressamente protetti (il caso della riservatezza, art. 8 CEDU); l’opportunita' di prevedere una riserva di legge contenutistica e improntata al c.d. principio di proporzionalita' in materia di tutela dei diritti fondamentali. Da ultimo, discutera' della possibilita' di introdurre nel codice di rito penale una disciplina dell’atto di indagine atipico. Il Dr. Roberto Flor (Universita' di Verona) trattera', in particolare, del c.d. data retention nel cloud scenario, partendo dalla disciplina europea e dalla sua attuazione in alcuni Stati, in specie in quelli dove le Corti Costituzionali hanno dichiarato l’incompatibilita' della disciplina interna rispetto ai principi espressi dalle Carte Costituzionali e dalle Convenzioni Internazionali. L’intervento individuera' alcuni standard elevati per la predisposizione di una norma basata su criteri generalmente condivisibili in Europa, nonchè alcune prospettive de jure condendo nel cloud scenario, considerando sia le problematiche relative alla “law applicable” che il ruolo del “cc service provider”. La Dr.ssa Eleonora Colombo (Universita' dell’Insubria), partendo dal problema della disciplina del cd. data retention applicata alle banche dati, come trattato nella sentenza della Corte Europea dei Diritti dell’Uomo del 4 dicembre 2008 nel caso Marper v. United Kingdom, offrira' una panoramica sulle banche dati UE esistenti, con particolare attenzione alle modalita' di funzionamento, archiviazione e flusso dei dati verso le autorita' richiedenti. L’intervento tendera' all’individuazione dei pro e dei contra di uno scenario “cloud” di gestione delle banche dati e soprattutto dei flussi di dati, nella prospettiva di sviluppo di forme di cooperazione più rapide ed efficienti, per la prevenzione e repressione della criminalita' transnazionale.

Alessio L.R. Pennasilico

Guardiamoci in faccia, nonostante le nuvole
Intervento non avvenuto

I servizi cloud sono di certo una ottima occasione per poter gestire con costi contenuti i propri servizi di videoconferenza. Tuttavia potrebbero esistere "dettagli" sul fronte security non immediatamente evidenti agli utilizzatori.

Yvette Agostini / Valerio Vertua

Il cloud data storage: stato dell'arte, rischi e tutela della privacy
pptx mp3 prima e mp3 seconda parte e del mp3 Q&A

L'utilizzo del Cloud Computing rappresenta per le aziende un modo per ridurre di molto i costi legati all'IT ed è estremamente usabile per gli utenti finali. È percio' molto probabile che l'adozione di tali tipi di servizi andra' diffondendosi sempre di più. Focalizzandosi sul cloud data storage, si valuteranno alcuni dei mezzi tecnici adottati nel fornire alcune funzionalita', tentando di individuare a quali tipi di rischi sono soggetti i dati affidati a questo tipo di tecnologie. L'analisi avra', inoltre, ad oggetto la tutela della privacy e più in generale la liceita' del trattamento dei dati sulla base della normativa vigente in Italia e nella UE, tenuto anche conto che i data storage sono spesso ubicati in paesi extra-UE, con l'obbiettivo di fornire delle linee guida agli utenti finali. top

Simone Bonavita - Studio legale Perani Pozzi Tavella

Il Cloud, tra contrattualistica e privacy
pptx , mp3 qa

Gli addetti ai lavori – siano essi tecnici o giuristi – lamentano una carenza di norme atte a regolare il fenomeno del Cloud Computing. Alla effettiva carenza di norme imperative puo', tuttavia, sopperire una corretta regolamentazione contrattuale. La problematica certamente più critica concerne il trattamento dei dati personali che può essere considerato lecito solo se effettuato nel rispetto dei criteri di liceità stabiliti dal Codice. Detta condizione può essere rispettata tramite la sottoscrizione di specifiche clausole che prevedano lecite modalita' del trattamento dei dati personali. Una efficace gestione dei dati effettuata tramite sistemi Cloud non puo', pertanto, prescindere da una corretta normazione che definisca il perimetro della nuvola stessa.

Carlo Blengino / Monica A. Senor - avvocati penalisti, Foro di Torino

Le Procure nella nuvola: data retention e cloud forensics
mp3

La digital forensics subira' notevoli modifiche nel cloud computing; si ipotizza un incremento dell’utilizzo delle intercettazioni telematiche e delle ispezioni, che tuttavia sono mezzi di ricerca della prova molto più costosi ed impegnativi della classica analisi degli hardware proprietari. Ai fini dell’analisi forense diventeranno quindi sempre più preziosi i file di log di sistema ed i cd. meta-dati. La normativa vigente sulla data retention (la cui direttiva di riferimento, 2006/24/CE, è assai criticata sia dal WP 29 che dalle associazioni a tutela dei diritti civili) consegna su di un piatto d’argento agli investigatori prezioso materiale d’indagine, ma ha comunque un’applicazione limitata. Ad essa si sono negli ultimissimi tempi affiancate procedure come la “quick freeze” che opera sulla base dell’art.16 della Convenzione di Budapest, proposte di “quick freeze plus” (quest’ultima avanzata in Germania ove la Corte Costituzionale Federale lo scorso anno ha annullato la legge tedesca di recepimento della direttiva per violazione dei diritti umani fondamentali) ed interventi legislativi ad hoc (come l’arrêt francese n.2011-291) che prevedono nuovi obblighi di retention ex lege in capo agli ISP. Queste iniziative legislative, oltre a comportare l’ennesimo attacco alla privacy dei cittadini digitali in nome di esigenze di lotta al crimine ed al terrorismo, rappresentano un grande ostacolo al pieno sviluppo del cloud computing.

Tommaso Gagliardoni - Progetto Winston Smith

Negabilita' plausibile su disco: luci e ombre di Truecrypt
pptx mp3

Digressione su alcuni sistemi di protezione dei dati nel proprio computer, attacchi legali e illegali alla propria riservatezza ed esempi pratici e teorici, con particolare enfasi sul software di cifratura Truecrypt. E tanta, tanta paranoia. Spesso il furto di un laptop viene a costarci ben più del valore commerciale dell'oggetto fisico: i dati che quotidianamente vengono salvati nei nostri dispositivi digitali sono un tesoro da custodire gelosamente. Questo tanto pi vero se siamo in possesso di informazioni sensibili, e se c'è qualcuno che ha intenzione di impossessarsene con metodi più o meno legali - pensiamo a giornalisti in zone di guerra o in paesi a bassa democrazia, o a manager depositari di importanti segreti industriali. Negli ultimi anni, inoltre, si sono moltiplicate discutibili azioni dei legislatori in varie parti del mondo atte a garantire l'accesso a informazioni riservate da parte dell'autorita', indipendentemente dalla volonta' del proprietario dei dati, e spesso per motivi che esulano dalla legittima necessita' del mantenimento della pubblica sicurezza. Sotto queste condizioni una tradizionale cifratura dei dati non sufficiente. La negabilita' plausibile (plausible deniability) un insieme di tecniche atte a fornire un alibi credibile nel caso in cui si venga costretti in qualche modo a dover rivelare un segreto. Truecrypt un software opensource implementa la plausible deniability mediante la creazione di contenitori "nascosti" all'interno di un computer, ove poter immagazzinare informazioni riservate. Nonostante sia un software considerato sicurissimo e largamente usato, Truecrypt ha alcune limitazioni e alcuni lati oscuri di cui indispensabile essere informati per un utilizzo consapevole.

Primavera De Filippi - CERSA / CNRS – Universitè Paris II

Free as in Google: Cloud Computing e Liberta'
pptx .

Il Cloud Computing si caratterizza dal fatto che la maggior parte dei dati o delle applicazioni sono salvati o condivisi su server gestiti da terzi. Dato che le risorse si stanno allontanando dagli utenti finali per dirigersi verso sistemi centralizzati governati da aziende di grandi dimensioni, è diventato essenziale garantire una buona riservatezza dei dati e una maggiore sicurezza delle informazioni. Non solo è necessario sapere dove si trovano i dati, ma anche chi ci puo' accedere e come possono essere utilizzati. La difficolta' risiede nel fatto che, essendo il Cloud di natura internazionale, è spesso difficile determinare la legge applicabile. Lo spostamento del patrimonio informativo dai dispositivi degli utenti verso il “Cloud” ha portato a una serie di cambiamenti molto simili a quelli che si sono osservati dopo la rivoluzione industriale. Mentre il Web 2.0 ha introdotto nuove opportunita' per gli utenti, consentendo loro di esprimersi e di sperimentare con nuovi modi di produzione di tipo collaborativo, l’avvento del Cloud Computing ha ridotto la capacita' (e la volonta') degli utenti a produrre con mezzi propri. La maggior parte dei mezzi di produzione (hardware, software, dati o informazione), cosi' come gli output di produzione (user-generated content), sono concentrati nelle mani dei grandi provider di servizi su Internet, che si avvalgono di un potere assoluto sul loro accesso e utilizzo. Gli utenti si trovano spesso a dover sacrificare la loro privacy tramite accordi contrattuali per ottenere un servizio migliore ad un costo minore. Molti rinunciano volontariamente ai loro diritti in cambio di un servizio più attento e personalizzato. Altri, invece, rinunciano ai loro diritti e alla loro liberta' senza neanche rendersene conto.

Alessandro Mantelero - Politecnico di Torino

Cloud computing ed attivita' di impresa: la tutela dei dati personali ed aziendali
pptx mp3

Il trattamento dei dati personali ad opera del fornitore dei servizi di cloud computing: l'organigramma del trattamento ed i rapporti con il fruitore del servizio. La localizzazione dei servizi di cloud computing e la connotazione transfrontaliera del trattamento. La sicurezza dei dati e delle informazioni aziendali. La regolamentazione dei flussi di dati generati dal ricorso al cloud computing è destinata ad assumere notevole rilievo, per le ricadute in termini organizzativi e di responsabilita' che ha sulle imprese. Nello specifico, stante la natura dato-centrica della normativa sui dati personali, la diversita' soggettiva fra cliente e fornitore del servizio non comporta necessariamente l'autonomia degli stessi sul piano del trattamento dati, dovendosi guardare alle posizioni assunte in concreto dalle parti rispetto al trattamento dati. Occorrera' dunque interrogarsi sulla qualificazione giuridica del fornitore dei servizi di cloud computing; in proposito, dalla disamina dei diversi profili operativi, pare potersi ravvisare nel rapporto fra gestore del cloud e cliente una relazione fra processor e controller, con precise ricadute in termini organizzativi, di gestione della sicurezza e di responsabilita'. Considerata la delocalizzazione di molti servizi cloud, verra' altresi' posta attenzione alla disciplina dei flussi transfrontalieri di dati, con particolare riguardo all'impiego delle clausole-tipo approvate dalla Commissione Europea. Da ultimo verra' esaminato il profilo inerente la sicurezza dei dati, tanto con riferimento alla perdita di controllo sulle informazioni che, in maggior o minor maniera, il ricorso al cloud computing implica, quanto con riguardo alle criticita' correlate ai possibili processi di concentrazione.

Paolo 'Aspy' Giardini - O.P.S.I - Osservatorio Privacy e Sicurezza Informatica

La privacy dei piccoli
pptx mp3

Le Micro e mini imprese e gli "adempimenti privacy". La situazione sul campo a 14 anni dalla entrata in vigore della 675/96 ed a 7 anni dalla entrata in vigore della 196/2003. Riflessioni sulla applicazione della normativa privacy, sulla sua diffusione, sui risultati rispetto alle finalita' ed in definitiva, sulla sua opportunita' o meno in questo settore.

Simone Onofri

Anonymous for fun and profit
pptx mp3

Partendo dalla comprensione delle informazioni che rilasciamo quando siamo on-line e off-line quali sono i metodi e gli accorgimenti tecnici e sociali che possiamo usare per essere anonimi. "avrebbero potuto analizzare e mettere su carta, nei minimi particolari, tutto quello che s'era fatto, s'era detto e s'era pensato" - 1984 Il mercato dell'identita' - anonima o meno - è molto variegato. C'è chi ha fatto un business nella raccolta e analisi di informazioni e chi ha fatto, invece, un business sull'anonimita'. Se la "paranoia è una virtù", quali sono le informazioni che rilasciamo più o meno consciamente anche solo quando siamo on-line oppure off-line? Quali gli effetti e i pericoli? Quali i metodi e gli accorgimenti che possiamo usare per controllare le nostre informazioni? Guidati dai testi degli Anonymous, partendo dal concetto di "identita'" e "identita' digitale" e da esempi tratti dalle operazioni che facciamo tutti i giorni, vedremo insieme i consigli e strumenti tecnici e non per l'anonimita' anche se programmi e configurazioni sono solo l’inizio di un atteggiamento "sociale" più profondo. Anche la sola visita di una pagina web comporta un rilascio di informazioni personali a più soggetti, informazioni che partono dal dispositivo che utilizziamo e arrivano. E se quella pagina è un social network, un negozio o ci permette di interagire in qualche modo con altre persone entrano in gioco una serie di fattori più sociali che tecnici.

Gianluca Moro - CloudUSB Project

Il controllo dei dati nel cloud
pptx mp3

Si presenta un possibile approccio all'uso di tecnologie di storage distribuito, che unisca la comodita' di avere i dati disponibili ovunque, alla garanzia per l'utente della proprieta' e controllo sugli stessi. Il progetto http://cloudusb.net fornisce un proof-of-concept dell'idea. Lo sviluppo di tecnologie basate sul cloud-computing ha due risvolti fondamentali: la disponibilita' di dati e programmi ovunque ci si trovi e la perdita del controllo, della proprieta', della tracciabilita' sui propri dati. Il primo punto rappresenta una grande comodita', tale che si tende a chiudere un occhio sul secondo, con grande gioia di chi tali dati li gestisce. Il progetto CloudUSB.net si propone come proof-of-concept di un approccio allo storage distribuito basato sul "Punto di controllo": i dati possono essere distribuiti a piacere in rete ma l'utente ne controlla l'accessibilita' e la sicurezza all'origine. I programmi di gestione e quelli che garantiscono la sicurezza restano fisicamente in mano all'utente, memorizzati su una chiavetta USB con relativo sistema operativo. L'ingombro di quanto si deve avere con sè è minimo, ma avendo accesso ad un qualunque computer, si possono usare i propri dati ovunque ci si trovi. CloudUSB fornisce, in un dispositivo fisico molto comune, un punto di controllo che consente all'utente di mantenere la privacy dei propri dati, lasciando tuttavia la flessibilita' nell'uso di risorse di memorizzazione distribuite e facilmente accessibili da ogni luogo. Nel caso di perdita del dispositivo (la chiave USB), il software garantisce comunque la sicurezza e privacy dei dati, e consente il loro recupero. Il progetto è attivo all'indirizzo: http://cloudusb.net

Giovanni Ziccardi - Universita' degli Studi di Milano

Il leaking e la divulgazione di documenti riservati tra diritto, etica e tecnologia
Intervento non avvenuto

Il leaking pone, contestualmente, problemi giuridici, etici e tecnologici. Il diritto si interessa al problema della rivelazione di documenti riservati, soprattutto provenienti da infrastrutture critiche. La tecnologia si occupa di garantire metodi i più sicuri possibili per la trasmissione e la divulgazione dei documenti. Un approccio interdisciplinare è particolarmente interessante e, per alcuni versi, indispensabile. In questo intervento si metteranno in luce i punti critici del sistema ma anche i vantaggi che un sistema simile puo' portare in qualsiasi sistema politico.

M. Morena Ragone / Giuseppe Santo Barile

L'utilizzo della PEC all'interno del processo civile telematico alla luce delle regole tecniche di cui al Decreto n. 44 del 21 febbraio 2011: quale privacy?
pptx mp3

L'intervento intende fare luce sulle problematiche relative alla privacy nascenti dall'utilizzo delle comunicazioni mediante posta elettronica certificata in applicazione del Regolamento concernente le regole tecniche per l'adozione nel processo civile telematico delle tecnologie dell'informazione e della comunicazione, adottate dal Ministero con Decreto n. 44 del 21 febbraio scorso.

Stefano Turchi - Dip. Elettronica e Telecomunicazioni, Facolta' di Ingegneria, Universita' di Firenze

L’importanza della qualita' nel Web di Dati: modello di sicurezza e privacy per la gestione dell’e-profile
pptx mp3

I recenti sviluppi del Web hanno messo in luce la grande convenienza nel riuso, aggregazione e pubblicazione di dati granulari utilizzabili dalle applicazioni per costruire contenuti significativi ed utili per l’utenza. Iniziative del calibro del Linked Data sostengono significativamente queste tendenze. La possibilita' di aggregare “mattoni informativi” appartenenti a sorgenti eterogenee rappresenta il punto di forza di questo approccio perchè apre le porte ad un Web sempre più interconnesso, interoperabile ed espressivo sia per le macchine che per le persone. Ad esempio, la gestione dell’e-profile costituisce un’esigenza concreta che avvalora l’importanza di (ri)usare e rendere interoperabili dati distribuiti nel Web che rappresentano le identita' di un utente. Tuttavia esiste un’altra faccia della medaglia che riguarda la qualita' dei dati costruiti a partire da mattoni informativi che provengono da fonti incerte. InterDataNet (IDN) è un’architettura Web nata proprio con lo scopo di aprire le porte dell’interconnessione e del riuso anche a quelle applicazioni che necessitano di trattare con dati sui quali devono essere garantite proprieta' come sicurezza, trust, privacy, provenance, licensing, versioning, availability, ecc... In questa presentazione si illustra in particolare il modello di sicurezza e privacy adottato da IDN per la gestione dell’e-profile, un applicazione critica per quanto concerne la qualita' dei dati, focalizzandosi su autenticazione ed identificazione. Queste proprieta' sono abilitate all’interno dell’architettura di IDN per consentire ad un qualsiasi utente di beneficiare del livello di protezione e privacy a prescindere dall’applicazione utilizzata. Il progetto prevede la creazione di un sistema di autenticazione ed identificazione completamente distribuito e decentralizzato in cui il dato stesso sia in grado di auto proteggersi, sostenuto dall’architettura. Il sistema utilizza un protocollo basato su OAuth2 per la gestione dell’autorizzazione e su OpenID2 per identificare le entita' coinvolte.

Alberto Cammozzo

Designed for democracy: pattern di interferenza tra codici giuridici e codici informatici nei recenti casi di censura online e offline
pptx mp3

Il 2010 ha visto il confronto tra i poteri territoriali sovrani e quelli espressi da cittadini organizzati dotati di volonta' comune e di infrastrutture di comunicazione. Le vicende Wikileaks e quelle delle rivoluzioni nordafricane hanno dimostrato quali possono essere le interferenze tra due poteri. Il dipanarsi delle mosse di attacco e difesa hanno messo in evidenza punti di forza e di debolezza dell'architettura della Rete e quindi –stando a Lessig– del suo codice. Da una parte i governi hanno dimostrato una grande facilita' di esercitare censura e controllo (sia sugli individui che sulle infrastrutture). Dall'altra la facilita' di replicare e spostare dati rende inefficaci questi processi di controllo. I punti critici si sono rivelati quelli in cui gli spazi territoriali si incontrano con il cyberspace. Dall'esperienza Wikileaks abbiamo appreso che ridondanza e policentrismo, ove possibili, hanno efficacemente combattuto la censura nel cyberspace. Le vicende Wikileaks e quelle nordafricane hanno mostrato invece che le strutture accentrate e legate al territorio sono quelle più soggette al controllo. Le scelte tecnologiche sull'architettura della rete che verranno effettuate oggi decideranno se quella di domani sara' disegnata per il controllo o per la democrazia.

Perla Conoscenza - Libero Sapere

Le Nuvole dell’Internet del futuro all’orizzonte: fra estrazione del lavoro degli utenti, oligopoli e controllo
pptx
Intervento non avvenuto

I principi di Internet. Internet una rete storicamente determinata. Mutamento delle condizioni storiche. La fine dell'architettura distribuita e la concentrazione: il cloud computing. Il ruolo del Sapere. Il ritorno dei monopoli. Gli oligopolisti. La fine della neutralita' della rete e l'esempio del VoiP. La battaglia sulla neutralita' in USA e in Europa. E in Europa? Ci affidiamo alla trasparenza del mercato. Mediaset e Telecom. Conclusioni e due esempi a margine: Facebook offre di controllare l'identita' di chi scrive sui blog dei quotidiani. Il consiglio EU: creazione di un "single secure EU cyberspace" e "virtual Schengen border" dove gli ISP devono bloccare contenuti e comunicazioni illecite. Nel XXI secolo, i saperi e le conoscenze sono la risorsa chiave per l’egemonia politica e economica; per lo sviluppo e il controllo della societa'. è in corso una battaglia globale per la recinzione e la trasformazione di queste risorse in merci, dalle quali alcuni oligopoli globali potranno avere un controllo totale sui nostri comportamenti e potranno estrarre profitti astronomici. Elemento chiave di questa battaglia è la profilazione dei comportamenti degli utenti, utilizzato sia per fini di business e marketing che di controllo politico, si basa sull’integrazione del lavoro volontario degli utenti delle “reti sociali” e dell’integrazione dei dati estratti dai device mobili e dalla triangolazione delle celle di comunicazione. Le caratteristiche della rete internet che conosciamo non sono caratteristiche naturali delle reti, ma sono storicamente determinate e sono dovute al peculiare momento storico di 50 anni fa quando sono nati i presupposti di internet. Rassegnamoci quindi alla graduale sparizione di principi della rete, quali la net neutrality e la sua struttura distribuita della rete e prepariamoci all’internet del futuro: informazioni centralizzate in poche grandi nuvole oligopolistiche; discriminazione e controllo del traffico. Un modello simile all’editoria del passato e ai broadcast televisivi, dove chi ha il controllo dell’ultimo miglio e dei cloud, in combutta con i governi, decide cosa puo' essere in rete e a quale costo. Dove i grandi attori lavorano alacremente per ricostruire frontiere e le barriere.

Andrea Orsi - A.ma.di.r - Alumni Master Diritto della Rete

ISO 27001 e cloud computing
pptx mp3

Qual è il significato della certificazione ISO 27001 per i fornitori di servizi cloud? Per l’utente puo' essere una discriminante per la scelta del provider? Questi sono i quesiti principali a cui il nostro intervento risponde dal punto di vista dell’utente (business o customer) e del fornitore. Quanto le nostre vite, o pezzi assemblabili di esse, si siano riversate nel web, è palese a tutti. Una parola (web) per indicare una delicata catena in cui chi opera si propone spesso su una base autoreferenziale sfruttando, a volte, l’inconsapevolezza dell’utente. E’ prassi di tutti utilizzare servizi web percepiti come gratuiti o barattati con un piccolo pezzo della nostra vita. La privacy è moneta di scambio, un diritto vessabile, come se la sua intangibilita' la rendesse rigenerabile all’infinito. Ma cosa comporta un’inevitabile sviluppo di una coscienza critica da parte dell’utente finale della Rete (business o customer)? Nel mercato dei provider di servizi cloud un vantaggio competitivo sara' quello di uscire dall’autoreferenzialita', riuscire a portare le evidenze in chiave più oggettiva e misurabile possibile delle modalita' di trattamento dei dati di terzi, attraverso, per esempio, la certificazione ISO 27001:2005. Tale norma rappresenta lo standard internazionale per garantire l’integrita', la riservatezza e disponibilita' dei dati; in generale, la sicurezza del patrimonio informativo. Questa è la strada gia' intrapresa da opinion leader come Amazon ed annunciata da altri come Microsoft. La nostra presentazione pone in evidenza cosa comporti la conformita' alla norma ISO 27001 per i fornitori di servizi cloud e cosa significhi il bollino di certificazione.

Claudio Agosti - Progetto Winston Smith

Gruppi, strategie e software di contrasto alla data retention
pptx mp3

La comunita' di Vorratsdatenspeicherung studia da anni elementi perchè la comunita' europea interrompa di legiferare pro-data retention. In parallelo in Inghilterra, societa' storicamente più controllata, escono i primi dati sugli effetti lesivi del controllo. Queste considerazioni come corollario del progetto SniffJoke, un software che dal punto di vista scientifico confonde le intercettazioni online, realizzato per essere facilmente usabile da un utente. Se quindi chiunque puo' renersi invisibile alle intercettazioni, perchè sostenere tali investimenti e tali rischi in materia di privacy ?

Monica Gobbato - Foro di Milano

L’introduzione del principio di Responsabilita' secondo il Gruppo dei Garanti Europei
pptx mp3

La relazione intende offrire un’analisi del nuovo principio di Responsabilita' di prossima introduzione nella versione riveduta della direttiva europea 95/46. Si esamineranno le proposte del Gruppo riunito ai sensi dell’art. 29 per migliorare nella pratica l’efficacia delle misure di protezione dei dati personali gia' previste dalla direttiva e dalle leggi nazionali. La relazione riguardera' il cosiddetto principio di Responsabilita' illustrato dai Garanti Europei riuniti ai sensi dell’art. 29 della direttiva 46/95. Il parere dei Garanti intende sviluppare il precedente contributo fornito sull’argomento dal Gruppo di lavoro sul futuro della privacy, gia' relazionato nell’ambito da e-privacy 2010, sempre dall’avv. Gobbato. Lo scopo del parere è quello di assistere la Commissione Europea nella revisione della direttiva 95/46, attualmente in corso. I Garanti si sono resi conto di quello che hanno definito l’“effetto diluvio”, cioè un continuo aumento della quantita' di dati personali esistenti, elaborati e ulteriormente trasferiti. Questo fenomeno è favorito sia dai progressi tecnologici, nel senso di sviluppo dei sistemi di informazione e di comunicazione, sia dalla crescente capacita' degli utenti di impiegare le tecnologie e interagire con esse. Con l’aumento della quantita' di dati trasferiti in tutto il mondo, aumentano di conseguenza anche i rischi di abuso. Cio' considerato, il Gruppo ritiene che si debba introdurre un principio di responsabilita' nella versione riveduta della direttiva 46/95 in modo che i Titolari siano messi in grado di far funzionare meglio i principi sostanziali di protezione dei dati personali gia' esistenti. L’introduzione del principio di responsabilita' non rappresenta una grande novita' nel senso che non impone obblighi che non fossero gia' impliciti nella normativa vigente. In pratica la nuova disposizione non mira ad assoggettare i responsabili del trattamento a nuovi principi, ma piuttosto a garantire di fatto l’effettiva osservanza di quelli esistenti. La relazione intende chiarire tutti questi aspetti fornendo l’ipotetico ma prossimo scenario giuridico e pratico sulla protezione dei dati personali.

Poster disponibili durante il Convegno

Alberto Cammozzo - TagMeNot.info

Tecnologie di face recognition e impatto sulla privacy: stato e prospettive
POSTER in formato A4 pdf mp3

La celebre vignetta di Steiner deve essere emendata: "In Internet, nessuno dimentica che sei un cane". Con "Face recognition" vengono ricomprese un certo numero di diverse tecnologie tra cui la "face detection", il "matching" della stessa faccia in diverse immagini, l'associazione della faccia con l'identita' di una persona, la verifica biometrica di identita', ecc... L'intervento vuole porre molte domande e iniziare una riflessione condivisa sulle possibili soluzioni, tecnologiche e normative. Qual è lo stato attuale della tecnologia? Quali problemi pone in termini di privacy? Quali problemi emergono in termini di asimmetrie nel mercato della merce che sono i dati personali? Perchè Google e altri si trattengono dal rilasciare applicazioni strepitose gia' pronte basate su queste tecnologie? Cosa succede o puo' succedere fuori dai riflettori? Cosa fanno le autorita' garanti? Quali sono i meccanismi possibili di opt-out? Una modesta risposta tecnologica puo' venire dal progetto TagmeNot.info. Sul piano normativo si attendono sviluppi dalle autorita' garanti europee interpellate il 13 Aprile 2011 con una lettera aperta disponibile online:

EPTO - tramaci.org

Progetto Anopticon: Input/Output Dati, informazione e Tracciamento
I due video relativi ad ARGOS (su Youtube); video1 , video2 mp3

La paura l'oro nero, la password per ottenere consensi ed attuare il controllo. Quanto stata usata? Quanto L'informazione controllata? Quanto modifica la scelta politica? Dati alla mano, sar esposta una tesi sul controllo politico e mentale. Videosorveglianza e Panopticon: cosa sono e soprattutto dove sono. Quanto siamo controllati? Violazione della privacy del singolo e delle masse. Cosa comportano? Dati alla mano, sara' dimostrato il livello di controllo di 10 localita'.

Random Globaleaks Contributor - Globaleaks

Il Progetto Globaleaks
pptx mp3

Una breve introduzione al Progetto Globaleaks.

Sede del convegno

La sede del convegno, Palazzo Vecchio è il Municipio di Firenze in Piazza della Signoria 1. È facilmente raggiungibile, 5 minuti a piedi, dalla stazione ferroviaria di Santa Maria Novella, dove è anche possibile arrivare in automobile, utilizzandone il parcheggio sotterraneo. Dall'aereoporto Amerigo Vespucci sono disponibili taxi (10 minuti ca.) od autobus dedicato (costo 4 euro, partenze ogni 30 minuti).

Qualche foto

Premio Big Brother Award Italia 2011

Durante il Convegno, nella mattinata di sabato, si è tenuta la cerimonia di consegna dei Big Brother Award Italia 2011. Maggiori particolari sul sito. Questo premio internazionale, che si tiene da 14 anni nei principali paesi europei ed extraeuropei, è un premio in negativo (come il noto "Tapiro d'oro") che viene assegnato a quelle persone, associazioni e tecnologie, che peggio hanno fatto alla privacy degli italiani nell'ultimo anno. Il BBA nel 2010 è stato assegnato in 8 diverse nazioni oltre l'Italia.

E-privacy 2011 è stato accreditato come corso di formazione dall'Ordine degli Avvocati di Firenze

La partecipazione ad e-privacy 2011 da parte degli iscritti all'Ordine ha permessso di ottenere 4 crediti formativi, a scelta in materia civile o penale. Estratto della delibera: _"Ai sensi del Regolamento per la Formazione Professionale Continua del Consiglio dell'Ordine degli Avvocati di Firenze, la partecipazione all'evento denominato "E-Privacy 20011" consente l'attribuzione di n. 4 crediti formativi obbligatori in materia Civile o Penale, così come determinato dal provvedimento del 25 maggio 2011 C.O.A. Firenze".

Organizzatori di e-privacy

Il convegno ed il premio sono organizzati dal Progetto Winston Smith, un'associazione senza fini di lucro che si occupa della difesa del diritto alla privacy in Rete e fuori, con la collaborazione di Privacy International e di altre associazioni interessate alla difesa dei diritti civili in Rete.

Organizzato da

In collaborazione con

Patrocinato da