[ e-privacy XIX — SPID ed Identità Digitale
"I popoli non dovrebbero temere i propri governi: sono i governi che dovrebbero temere i propri popoli."
V (da John Basil Barnhill)

Gli interventi

Vincenzo Agui

Bitcoin e anonimato delle transazioni tra mito o realtà

La diffusione ed evoluzione delle cryptovalute in questi ultimi anni ha portato agli onori della cronaca casi di utilizzo fraudlenti e riconducibili a pratiche illegali, sovente il Bitcoin si porta dietro appellativi di 'moneta dei ramsonware', 'moneta dei criminali di internet'; è questo il futuro di Bitcoin ed ul suo unico utilizzo sarà a tutela dei criminali ?

Troviamo ormai quotidiamente riferimenti, notizie, alrticoli che trattano l'argomento in maniera sensazionalistica e che ci riportano Bitcoin come strumento principe per le attività di evasione e riciclaggio.

Questa talk vuole fornire adeguata chiarezza e trasparenza sull'argomento approfondendo le casistiche e gli scenari piu comuni, verrà fatta chiarezza su strumenti e servizi di mixing e joining, verrano mostrati limiti, scenari, differenze, caratteristiche per poter fornire cosi un adeguato approfondimento tecnico ed informativo sull'attuale scenario delle cryptovalute dal punto di vista dell'anonimato e privacy.

Giuseppe Augiero

Privacy, Anonimato e Sicurezza: siamo realmente al sicuro?

Negli ultimi anni abbiamo sempre più spesso assistito a situazioni di furto telematico di dati o di identità digitali. Dati che sono stati utilizzati, successivamente in maniera illecita o che sono stati venduti al miglior offerente nel “mercato nero”.

Dall'altra parte l'esigenza di privacy dei singoli cittadini è aumentata, portando loro a fare anche scelte tecnologiche per difendere da occhi indiscreti i propri dati e le proprie informazioni.

Basta, realmente, qualche direttiva europea o un qualsiasi accorgimento tecnologico per tutelare al meglio la nostra privacy e il nostro anonimato in rete?

Lo speech tratterà i temi sopracitati e cercherà di valore se la nostre percezione di sicurezza sia reale.

Marco Calamari

Un modello di minaccia per la SPID

La SPID viene presentata come una pallottola d'argento nata perfetta per l'accesso a tutta la pubblica amministrazione ed anche al resto della Rete.

SI tratta di una operazione che apre ai privati un mercato che dal punto di vista pratico non e' mai stato sperimentato prima.

E' fatta bene? Non ne parleremo qui.

Senza volutamente entrare nei dettagli tecnici e di implementazione, questo talk descrivera' le minacce e gli attacchi che possono essere portati alla SPID, utilizzando il linguaggio della sicurezza informatica; superfice di attacco, vettori, resilienza. Terminera' con alcune considerazioni riguardanti gli effetti della SPID sulla cultura della sicurezza

Fabio Carletti

ipfire the opensource firewall distribution

Il mio talk si basa sul presentare questa distro Linux "forkata" da ipcop orientata all'ambito firewall con una serie di accortezze degne di essere prese in considerazione.

Nel talk che propongo si toccherà anche software plug-in annessi a questa distro gestibili liberamente e molto semplicemente da interfaccia grafica web quali hostapd,squid,snort e la patch grsecurity inclusa di base nel kernel di questa distro che fanno si di avere una distro degna di utilizzo router firewall ma anche router wifi attraverso hostapd e con la gestione del traffico di squid e IDS/IPS di snort.

Il talk è di stampo di divulgazione di questa distro che è molto seguita dalla comunità e rilascia con costanza gli aggiornamenti.Oltre ad un accenno alla filosofia linux e GPL e indicato i punti di forza della distro saranno presentate schermate dell'interfacciaweb e plug-in aggiuntivi installabili e facilmente gestibili quali clamav,htop..ecc è presente anche tor per la navigazione anonima per aumentare la privacy inserendo come gateway l'indirizzo di ipfire.

La distro potrebbe essere inserita nel contesto industriale o scolastico dato che tramite squid è filtrabile i contenuti e snort che con il plug-in va a bloccare interrogazioni di download,o irc chat.

Qualche parola sarà spesa per la comunità di ipfire molto attiva e del costante aggiornamento di sviluppatori, guide, libro online della distro, pakfire il gestore di pacchetti della distro e delle architetture supportate per improntare access point wifi.

Il talk che vorrei presentare è adatto anche agli utenti alle prime armi dato che vorrei presentare e pubblicizzare questa ottima soluzione che uso oltre che in casa anche per uso lavorativo.

Italo Cerno (ITLawFirm)

SPID e i servizi online per i minori

Il Sistema Pubblico per la gestione dell’Identità Digitale (SPID) permette alle imprese di identificare in modo sicuro e certo i propri interlocutori e ciò costituisce una grande opportunità per le aziende che intendono erogare servizi online ai minori.

L’intervento si propone pertanto di analizzare come SPID consenta, lato impresa, una semplificazione degli obblighi di verifica sia in fase di conclusione ed esecuzione del contratto che di acquisizione del consenso al trattamento dei dati personali; e costituisca al tempo stesso, lato minore, un vantaggio in termini di personalizzazione dei servizi che gli vengono erogati/offerti.

Angela Daly (Queensland University of Technology)

Scambio libero di privacy - che cosa è in gioco nel Trans-Pacific Partnership e altri accordi - un’opinione dall’Australia

Questo intervento esaminerà le implicazioni del Trans-Pacific Partnership (TPP), un accordo di libero scambio tra vari paesi del Asia Pacific (compresi gli Stati Uniti, Australia, Vietnam, Nuova Zelanda, Canada, Messico, Giappone), per la tutela della privacy nel contesto di flussi transnazionali di dati personali. Questi flussi transnazionali e la privacy sono temi che trascendono il TPP e che sono anche l’oggetto di molte controversie in altri accordi commerciali globali contemporanei in fase di negoziazione tra cui il Trade in Services Agreement (Tisa) e il Trans-Atlantic Trade and Investment Partnership (TTIP). Nonosante gli standard globali per la protezione dei dati nel contesto delle aziende Internet transnazionali potrebbero essere desiderabile, ciò che viene proposto in questi accordi, purtroppo, è ben lungi dall'essere sufficiente per proteggere la privacy individuale.

Luca di Leo

Costruire una falsa identità digitale, conoscere i metodi per limitare i danni

Il seminario è svolto con alcuni brevi video, inizialmente in tono provocatorio, e successivamente educativo. Vengono analizzati alcuni strumenti (quasi da Hacker), accessibili a tutti, di facile reperibilità su web che consentono di generare false identità, email “evanescenti”, ed altri artifizi al limite del lecito, per fare comprendere come potrebbe essere facile creare una falsa identità digitale in pochi minuti.Identità digitale pubblica non è solo SPID, è anche social (Facebook, Instagram, Twitter, etc…), è la CNS, la firma Digitale utilizzate per l’identificazione, l’IOT, etc. Capiamo i rischi connessi alla creazione e all’utilizzo dell’identità digitale per difenderci da chi la vorrà utilizzare illecitamente a nostro rischio e pericolo.

Fernanda Faini (Circolo dei Giuristi Telematici)

Il Freedom of Information Act italiano: come cambia il diritto a conoscere.

In Italia è stato approvato un atto normativo che riconosce la freedom of information nei confronti delle amministrazioni pubbliche. Anche a seguito delle sollecitazioni della società civile e, in particolare, delle associazioni unite nell’iniziativa Foia4italy, che ha sostenuto una campagna per l’adozione di un Freedom of Information Act (FOIA) italiano, l’art. 7 della legge 124/2015 ha previsto la delega al Governo ad adottare uno o più decreti legislativi recanti disposizioni integrative e correttive del d.lgs. 33/2013. Il testo del decreto legislativo è stato approvato dal Consiglio dei Ministri, dopo un iter normativo che lo ha visto cambiare in alcuni aspetti significativi, accogliendo alcune indicazioni degli organi preposti e della stessa società civile.

Pertanto oggi anche l’Italia, come molti altri Paesi nel mondo, riconosce il right to know e ha un Freedom of Information Act. L’intervento è finalizzato ad esaminare il decreto legislativo di recente approvazione, che allo stesso tempo ha convinto e deluso. Quanto è ampia la freedom of information nei confronti delle istituzioni? Cosa cambia nel nostro ordinamento? In che modo si bilancia il diritto a conoscere con altri interessi protetti dall’ordinamento, come la protezione dei dati personali? Queste sono alcune domande cui nell’intervento si cercherà di fornire risposta, per mezzo dell’analisi del testo normativo. L’intervento approfondirà le novità introdotte dal decreto legislativo, i punti di forza e le criticità.

Diego Giorio (SEPEL / Comune di Villanova Canavese)

L'esternalizzazione della PA (anche) attraverso il WEB: rischi e opportunità

Le grandi scoperte ed invenzioni della storia hanno cambiato il modo di vivere e rivoluzionato la società anche al di là dell’applicazione pratica. Il WEB non è da meno, per cui può essere giusto mettere in discussione il rapporto fra pubblico e privato.

Ma non è detto che esternalizzare e far subentrare soggetti privati in campi tradizionalmente dello Stato sia positivo, né di interesse pubblico. Il WEB consente di svolgere alcuni lavori da remoto ma molti settori devono restare pubblici, a cominciare dall’identificazione personale, sul WEB come nella realtà. Di contro, la Rete può aiutare ad aumentare l’efficienza del settore pubblico, attraverso un migliore controllo democratico.

Monica Gobbato

Anima Digitale, tra identità e pregiudizio

I diversi modi per catturarla, da parte di forze di polizia, Pubblica Amministrazione e colossi web.

Come proteggerla tra indicizzazione, trasparenza e sorveglianza globale, grazie al nuovo diritto all'oblio di cui al Reg. EU privacy. L'intervento esaminerà i recenti casi di accessi agli smartphone per ragioni giudiziarie e la collaborazione attiva dei colossi del web. Verranno anche esaminati i casi di deroga per l'esercizio del diritto alla libertà di espressione e di informazione. Cenni sul significato di pregiudizio digitale.

Valentina Longo

Vers. 2.016 “Educazione digitale: antivirus contro il cyberbullismo”

Dalla bozza di “Codice di Autoregolamentazione per la prevenzione e il contrasto al cyberbullismo” (Mise 2014) al disegno di legge “Disposizioni a tutela dei minori per la prevenzione e il contrasto del fenomeno del cyberbullismo” . “Punizione” o “prevenzione”? La rete è un “pericolo” o un’ ”opportunità” per i ragazzi? E’ necessario prevedere nuove fattispecie di reato? Dal dibattito parlamentare in corso, dove si confrontano il mondo delle istituzioni, delle imprese e delle associazioni, emerge con chiarezza che i ragazzi devono essere accompagnati nella costruzione della propria identità, anche digitale. L’intervento proposto intende fare il punto sull’attuale contesto a distanza di due anni dall’edizione Spring edition 2014

Giovanni Modesti

Open data e Privacy (la creazione di un organigramma aziendale per governare il processo di gestione dei dati)

Gli Open Data costituiscono un elemento centrale nelle strategie di e-Government, il cui utilizzo da parte dei cittadini, enti, imprese comporta il sorgere di una serie di problematiche legate al trattamento dei dati personali; con la conseguente necessità, in capo alla P.A., di delineare un organigramma in grado di governare correttamente il flusso dei dati.

La disponibilità, da parte di chiunque, di accedere ad un’enorme mole di dati di cui la PA è depositaria se da una parte rappresenta un indubbio volano per lo sviluppo della società della conoscenza dall’altra pone una serie di problemi che vanno ad incidere sulla potenziale compromissione di diritti fondamentali, come il diritto alla riservatezza.

Pertanto, le esigenze collegate alla tutela della privacy e quelle attinenti all’accesso pubblico delle informazioni rappresentano una delle maggiori sfide che la P.A. dovrà affrontare e risolvere nel prossimo futuro.

Al fine di garantire la compliance con la normativa di settore, la PA deve disegnare al proprio interno un organigramma ad hoc tale da prevedere le seguenti figure: il Responsabile Open data, il Responsabile Trasparenza e il Data Protection Officer, in grado di cooperare sinergicamente al fine di assicurare alla utenza il massimo di fruibilità dei dati con il minimo di interferenza del diritto alla riservatezza.

Filomena Polito

Tecnologia e Management delle Aziende sanitarie, l'approccio organizzato alle misure del Regolamento UE sulla data Protection

Le azienda sanitarie sono senza alcun dubbio il sistema organizzativo più complesso dove vanno a applicarsi le misure di protezione dei dati, e il processo per rendere effettive quelle previste dal Regolamento 2016/679 sarà più complesso e impegnativo. Ma è necessario che queste si dotino al più presto di un proprio modello organizzativo capace di assicurare e dimostrare la tenuta in sicurezza e corretta gestione delle informazioni, modello che vede il coinvolgimento e il sostegno del management ad un processo che sempre di più sarà di collaborazione con aziende private che offrono servizi tecnologicamente avanzati.

Roberto Premoli

spionaggio elettronico e furto di privacy: come difendersi

Punto della situazione su livello di spionaggio elettronico, Raccomandazioni UE disattese, alternative percorribili, proposta di soluzione per una perfetta metodologia di cominicazione interpersonale con dimostrazione pratica durante la conferenza. (500 caratteri sono anche troppi, sono abituato alla sintesi).

Luigi Rufo (Responsabile Media del Circolo Giuristi Telematici - CIRSFID, Università di Bologna)

Oscuramento dei dati sanitari: un diritto o un rischio?

Il diritto all’oscuramento è quell’azione che consente di non rendere visibile un evento clinico a tutti (o alcuni) soggetti abilitati all'accesso. Quindi, l'Interessato può decidere se e quali dati relativi alla propria salute non devono essere inseriti nel fascicolo Sanitario Elettronico o Dossier sanitario, strumenti di supporto alle cure mediche e che negli ultimi anno stanno avendo un ruolo predominante quando si parla di Sanità elettronica.

Ma siamo sicuri che questo diritto rappresenti un vero empowerment del paziente? Infatti la sua applicazione potrebbe significare informazioni non complete, non aggiornate e non aderenti ad un processo terapeutico già in atto. L’intervento si soffermerà sull’analisi di un corretto e auspicabile bilanciamento tra il diritto all’oscuramento e l'esercizio da parte del paziente, con uno sguardo ai maggiori rischi che potrebbero configurarsi.

Fulvio Sarzana

SPID, un cammino tormentato tra sentenze del TAR e del Consiglio di > Stato ed il Codice dell'Amministrazione digitale"

la relazione affronterà le problematiche legali dello SPID, dell'autenticazione digitale e delle modifiche al Codice dell'Amministrazione digitale, prendendo le mosse dai provvedimenti giurisprudenziali e consultivi dei massimi organi di tutela amministrativi. In particolare si affronteranno le relazioni con la firma digitale, la carta di identità elettronica, la regolamentazione Comunitaria Eidas, la posta elettronica certificata, la conservazione sostituiva e tutti gli istituti previsti dal codice dell'Amministrazione digitale

Angela Spanti (Médecins du monde)

La gestione dei dati sanitari del paziente 2.0

La progressiva digitalizzazione anche in ambito sanitario impone ormai, con sempre maggiore urgenza, un’importante riflessione circa la necessità di adattare gli strumenti che regolano da sempre il rapporto fra medico e paziente alle nuove esigenze della realtà 2.0. Negli ultimi anni stiamo assistendo ad un crescente utilizzo delle App legate allo stato di salute ed agli stili di vita nonché dei “Wereable Device”, soprattutto da parte dei più giovani, con una scarsa consapevolezza delle possibili problematiche legate al loro impiego.

Con l’mHealth[1] (e più in generale con tutte le IoT[2]) si modifica il concetto di raccolta, consenso e condivisione dei dati personali. Quando utilizziamo un App e/o un Wereable Device accettiamo i termini di utilizzo e l’informativa sulla privacy solo all’atto dell’installazione (e spesso senza neanche leggerla!), mentre i nostri dati personali vengono automaticamente e costantemente raccolti, inviati e condivisi ogni volta che utilizziamo quei dispositivi. La considerevole quantità di dati raccolti e analizzati dagli utenti, l’ubiquità e la continuità del processo di comunicazione pongono molte e rilevanti problematiche riguardanti la privacy:

  • a chi vengono inviate queste informazioni?
  • come verranno utilizzate le informazioni da questi soggetti?
  • chi è il responsabile del trattamento di questi dati sanitari?
  • dopo quanto tempo verranno cancellati i dati sanitari?
  • quali misure di protezione vengono attuate per garantire la sicurezza dei dati sanitari, soprattutto in caso di guasto o malfunzionamento del device, furto o smarrimento?
  • come verranno impiegati i dati post mortem?
  • come vengono gestiti i dati sanitari dei minori?

Il problema non investe solo i dati sanitari e medici, ma anche i dati desunti da App per il benessere e gli stili di vita. Si tratta di dati detti “grezzi” (row data) che anche se non sono direttamente medici, combinati ad altri dati, possono avere una rilevanza medica e consentire la definizione del profilo sanitario dell’utente, con riferimento alla salute ed ai rischi per la stessa.

Il Comitato Nazionale per la Bioetica[3] evidenzia i seguenti elementi di problematicità connessi con la privacy, nell’ambito della mHealth:

  1. mancanza d’informazione trasparente agli utenti, prima di scaricare l’applicazione di dati, su: quali e quanti dati sono utilizzati per eventuali ricerche; da chi sono usati e gestiti i dati; dove sono conservati;
  2. assenza d’informazione sulla possibilità di revoca del consenso, rettifica e distruzione/cancellazione dei dati;
  3. assenza d’informazione sul rischio di identificazione, quando la parziale anonimizzazione non è possibile o garantita;
  4. mancanza di informazione sui rischi relativi all’accesso dei dati da parte di terzi e sulla possibilità che chi conserva i dati li “venda” per costituire un database per le ricerche.

Ad oggi il sito medicapp[4], aggiornato mensilmente, indicizza sul proprio portale circa 15.197 App sanitarie, molte delle quali possono connettersi a device. Il numero di tali App sta crescendo a dismisura e sono molto variegate: si va dal braccialetto che registra i dati sanitari e monitorizza l’attività fisica ed il sonno, alla misurazione della frequenza cardiaca, ai sensori sui vestiti, fino alle lenti a contatto intelligenti. Alcune statistiche fanno prevedere che nel 2016 il numero di pazienti monitorati con i wereable device potrà essere di 3 milioni, che entro il 2017 saranno 3,4 miliardi le persone in possesso di uno smartphone e la metà di loro utilizzerà applicazioni di mHealth.

I device che fanno parte dell’Internet of things dovrebbero prevedere un privacy test, essere realizzati secondo i principi del "privacy by design" e del "privacy by default", permettere agli utenti di esercitare un totale controllo sui dati trattati e nessuna penalizzazione sulle funzionalità del dispositivo nel caso in cui venga negato il consenso. Le piattaforme social sulle quali i dati raccolti tramite i dispositivi IoT, infine, dovrebbero essere preimpostate per evitare la condivisione pubblica dei dati.

Ancor più problematica diviene la raccolta, la conservazione e la diffusione dei dati sanitari riguardanti i migranti che sbarcano clandestinamente nei porti del nostro paese. Oltre ai problemi di carattere “linguistico”, legati alla comunicazione e quindi alla corretta acquisizione del consenso informato, vi sono quelli legati alla raccolta dei dati sanitari in un contesto ed in un momento particolarmente delicato qual è lo sbarco in un porto, alla difficoltà di creare un database nonché una cartella clinica elettronica contenente tutti i dati necessari e farli circolare assieme al titolare (migrante) nei paesi in cui si sposterà, senza violare le varie norme nazionali.

Alla luce dell’analisi etica, il Comitato Nazionale per la Bioetica[5] esprime alcune raccomandazioni, con particolare riferimento alla classificazione delle applicazioni in funzione dei rischi, alla promozione di una ricerca interdisciplinare tra informatici, progettisti e medici, insieme ad esperti di etica, scienze cognitive e sociali, nella fase di progettazione, sperimentazione e valutazione delle applicazioni, alla incentivazione delle industrie a produrre app effettivamente utili per la salute dei cittadini e alla identificazione di responsabilità delle compagnie che producono app, nell’ambito dei profili di sicurezza e privacy.

La soluzione al problema del trattamento dei dati relativamente alle App ed ai Wereable Device, viene data dalla DG Health nel manuale “borderline”[6] nel quale vengono individuati i criteri di qualificazione delle App. Inoltre, il recente regolamento 679/2016 ridefinisce la nozione di “dato sanitario” ed il documento di lavoro WP29[7] quali dati devono essere considerati sanitari (tra cui quelli generati da dispositivi e applicazioni usati in ambito medico).

Note:

  • [1] pratica medica e di salute pubblica supportata da dispositivi mobili quali smartphone, dispositivi di monitoraggio dei pazienti, PDAs e altri dispositivi wireless (Organizzazione Mondiale della Sanità)
  • [2] Internet of Things
  • [3,5] Mobile-health e applicazioni per la salute: aspetti bioetici, Comitato Nazionale per la Bioetica
  • [4] sito http://medicapp.info/
  • [6] http://ec.europa.eu/health/medical-devices/files/meddev/2_1_6_ol_en.pdf
  • [7] Gruppo di Lavoro 29 (WP29), 5 febbraio 2015

Riferimenti:

  • Reg. 679/2016 sulla protezione dei dati personali
  • Gruppo di Lavoro 29 (WP29), 5 febbraio 2015
  • Mauritius Declaration on the Internet of Things Balaclava, 14 October 2014
  • Mobile-health e applicazioni per la salute: aspetti bioetici, Comitato Nazionale per la Bioetica
  • http://ec.europa.eu/digital-agenda/en/news/green-paper-mobile-health-mhealth
  • Linea Guida FDA: Mobile medical Application – Guidance for Industry and Food and Drug Administration Staff
  • http://ec.europa.eu/health/medical-devices/files/meddev/2_1_6_ol_en.pdf
  • http://ec.europa.eu/health/medical-devices/files/wg_minutes_member_lists/borderline_manual_ol_en.pdf
  • http://www.medecinsdumonde.org

Daniele Tumietto (Menocarta)

Perchè è necessario collegare SPID ad eIDAS

Il quadro strategico europeo relativo alla digitalizzazione dei processi amministrativi incoraggia gli Stati membri a dotarsi di un assetto normativo, organizzativo e tecnologico adeguato per la gestione totalmente elettronica dell’intero ciclo degli acquisti. Per definire un quadro giuridico di riferimento, senza possibilità di interpretazione equivoca dei dati, la pubblicazione del Regolamento “eIDAS” n.910/2014 avvia l’introduzione di un insieme di servizi di terze parti o fiduciari (Trust Service Provider) e di servizi di identificazione ed autenticazione, al fine di creare un Mercato Digitale Europeo che sia basato su fiducia e certezza nelle transazioni commerciali on-line dei soggetti coinvolti. SPID è il sistema di identificazione attualmente disponibile in Italia, per questo sarà presentato insieme alle definizioni di eIDAS per identità digitali, firme e sigilli elettronici, servizi fiduciari digitali, anche in riferimento alle fatture elettroniche e all'e-procurement.

Valerio Edoardo Vertua (CSA Italy)

Cloud computing & Privacy Shield.

Il venir meno del Safe Harbour ha portato delle grosse incertezze negli utenti che fruiscono di servizi di cloud computing americani. Il suo successore, il Privacy Shield, è quindi guardato con molta attenzione sia dai fornitori di servizi cloud americani, sia dai rispettivi clienti. Questo, per altro, fa ancora discutere alla luce delle osservazioni mosse dal WP29. Non deve poi essere dimenticata la stretta correlazione con il GDPR appena entrato in vigore. L'intervento ha quindi lo scopo di fare il punto della situazione in materia fornendo alcuni spunti di riflessione al fine di tenere vivo il dibattito su tematiche che, di fatto, coinvolgono tutti.

Giovambattista Vieri

considerazioni su GDPR vs FLOSS

La GDPR e' un passo molto importante per la protezione della privacy, per avere una gestione dei dati equilibrata tra utenti e industrie, per avere un framework che descriva i flussi di dati intra-UE e extra-UE. La GDPR contiene anche delle "norme" tecniche che possono avere impatti sullo sviluppo del software, libero o meno, e delle aziende che lo usano. Il talk tenendo conto del fatto che la GDPR deve ancora essere recepita nelle normative nazionali, cerchera' di vedere gli impatti su utenti e SME. Si accennera' anche alla figura del DPO, Data Protection Officer.

Zanoni Gabriele

Cosa gli altri possono fare con nostri i dati e metadati

I dati ed i metadati contenuti nei nostri telefoni, computer, Social Network, servizi Cloud etc.. possono e sono usati per ottenere informazioni su noi. Per gli utenti finali non è facile identificare le implicazioni relative alla condivisione (più o meno volontaria) dei propri dati e metadati.

Lo scopo di questo talk è quello di raccontare come vengono usati i dati ed i metadati che provengono da accelerometri, dai sensori GPS, Reti WiFi, foto, email, registri delle telefonate e molto altro ancora.

Le applicazioni per i telefoni spesso richiedono un numero “smodato” di autorizzazioni di accesso ai nostri dati, anche se, per le effettive funzionalità erogate dalle applicazioni stesse, non sarebbe necessario.

Se avete un telefono Android provate a fare questo test: collegatevi al PlayStore e guardate quante autorizzazioni sono richieste per installare alcune delle app “torcia” più famose. Come vedrete molte richiedono di conoscere la vostra identità, di accedere al vostro storage, di vedere le vostre reti WiFi, la vostra posizione etc..

Tutte queste informazioni collezionate possono rivelare molto più di quello che ci s’immagina:

  • anche senza sapere il contenuto di una conversazione telefonica si possono dedurre molte informazioni analizzando, ad esempio, a chi appartengono i numeri di telefono che si stanno parlando
  • se cifriamo il body di una email per garantire la confidenzialità del contenuto, il nostro webmail provider potrebbe capire molto di noi anche solo analizzando l’oggetto delle nostre email
  • l’osservazione della velocità di scrittura sulla tastiera consente di acquisire informazioni valide per profilare un utente.
  • l’analisi statistica degli orari delle modifiche ai file possono permettere, sotto determinare condizioni, di identificarne la localizzazione. Ad esempio, l’analisi dei tempi di compilazione di APT28 ha permesso di determinare che ragionevolmente gli “sviluppatori” fossero basati in Russia
  • usando i dati dell’accelerometro è stato dimostrato che si può identificare se una persona ha preso la metropolitana. La localizzazione, inoltre, può anche essere determinata in base al consumo della batteria nel cellulare!
  • i wearable spesso divulgano identificativi univoci che possono permettere di tracciare chi sono le persone nelle vicinaze.

Durante questo talk saranno pertanto mostrati esempi reali cosa è possibile dedurre in base alle diverse tipologie di dati e metadati a disposizione. Lo scopo ultimo è mostrare come da spesso quelle informazioni, a cui noi non badiamo, sono in realtà estremamente preziose e posso rivelare molto di noi.

Organizzatori

Media Partner