Informazione e Covid-19: il ruolo del giornalismo digitale e dei social network

9 Aprile 2020

Sulle testate online e sui social network stanno circolando troppi dettagli sui malati di coronavirus. Il monito del Garante privacy ci ricorda quant’è importante la sfida della corretta informazione tra il rispetto della privacy e il diritto di cronaca e tra il diritto di cronaca e il dovere e/o la necessità di informare

Cosa si intende per essenzialità dell’informazione giornalistica e come trovare il giusto equilibrio in un contesto di guerra al virus Covid-19? Sul punto il Garante privacy il 31 marzo 2020 ha espresso un importante monito ai media: troppi dettagli sui malati. Tale monito riguarda in larga parte anche le testate online e i social. Difatti oramai l’informazione si esprime per larga parte anche nell’universo digitale ed è soprattutto lì che deve essere combattuta la sfida della corretta informazione tra il rispetto della privacy e il diritto di cronaca; nonché tra il diritto di cronaca e il dovere e/o la necessità di informare e perfino di educare la cittadinanza alle primarie regole igieniche e di distacco sociale.

Sul diritto alla informazione e sulla necessità di essenzialità

Come anticipato, con la raccomandazione pubblicata il 31 marzo, il Garante per la protezione dei dati personali ha ritenuto necessario richiamare l’attenzione di tutti gli organi di stampa, anche on line nonché dei social network, a non eccedere nella diffusione di dati personali eccessivi (nome, cognome, indirizzo di casa, dettagli clinici) riguardanti persone risultate positive al Covid-19.

L’Autorità ha ritenuto doveroso richiamare l’attenzione di tutti gli operatori dell’informazione al rispetto del requisito dell’“essenzialità” delle notizie che vengono fornite, astenendosi dal riportare i dati personali dei malati che non rivestono ruoli pubblici, per questi ultimi “nella misura in cui la conoscenza della positività assuma rilievo in ragione del ruolo svolto”.

Difatti anche per i personaggi pubblici, la sfera privata delle persone note o che esercitano funzioni pubbliche deve essere rispettata se le notizie o i dati non hanno alcun rilievo sul loro ruolo o sulla loro vita pubblica. Pertanto, si deve evitare di diffondere informazioni sulla vita privata e familiare, a meno che siano direttamente connesse alla condotta tenuta dal politico o dal rappresentante istituzionale in questione.

Ma cosa si intende per “essenzialità delle informazioni” nel giornalismo? Ciò che va trovato è il giusto equilibrio tra diritto di cronaca ed i fatti di interesse pubblico. A tale riguardo possiamo fare riferimento a quelli che sono stati ritenuti i tre principi-cardine di un corretto esercizio del diritto di cronaca:

  • verità (anche solo putativa),
  • continenza della forma espositiva,
  • pertinenza o interesse sociale alla notizia.

Dall’insieme di questi tre elementi si ricava un concetto di essenzialità dell’informazione, al quale il giornalista deve attenersi, sia con riferimento ai contenuti sia con riferimento allo stile di esposizione dei fatti.

Con essenzialità si intende che la divulgazione di notizie di rilevante interesse pubblico o sociale non contrasta con il rispetto della sfera privata, quando l’informazione anche dettagliata, sia indispensabile in ragione dell’originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti. L’essenzialità della informazione viene violata “quando il giornalista divulga dati sovrabbondanti rispetto al fatto di cronaca in sé. Inoltre, andrà rispettato anche il dovere di trattare i dati personali in modo corretto, a partire dall’obbligo di verifica della loro esattezza, e conseguentemente l’obbligo del giornalista di correggere senza ritardo errori e inesattezze. Tali principi costituiscono l’essenza di una corretta e professionale attività giornalistica.

Rappresenta l’Autorità che “anche in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle “Regole deontologiche relative al trattamento di dati personali nell’esercizio della attività giornalistica”. Va ricordato che le “Regole deontologiche, pubblicate il 4 gennaio 2019 ed inserite nell’allegato A.1 del Codice privacy, costituiscono una norma dell’ordinamento giuridico generale, e ad essa devono adeguarsi tutti coloro che esercitino funzioni informative mediante mezzi di comunicazione di massa. Ed è (all’art. 6) delle predette Regole che viene scolpito il principio della essenzialità della informazione.

Si rende necessario precisare che sebbene l’Autorità punti contestualmente il dito sui social network e sugli organi di stampa, anche on line, le Regole si applicano ai giornalisti professionisti, pubblicisti e praticanti e a chiunque altro, anche occasionalmente, eserciti attività pubblicistica (art. 13 Regole). Il rispetto delle disposizioni contenute nelle Regole costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali e, “in caso di violazione delle sue prescrizioni, il Garante può vietare il trattamento ovvero disporre il blocco o imporre sanzioni”. Inoltre, sempre in caso di violazione delle Regole, l’Ordine dei giornalisti può avviare, procedimenti disciplinari nei confronti degli iscritti.

Il rispetto dell’essenzialità della informazione nei social network

Il Garante nella raccomandazione di cui in narrativa, precisa che tali cautele – “che non pregiudicano comunque un’informazione efficace sullo stato dell’epidemia o eventuali comunicazioni che le autorità sanitarie e la protezione civile ritengano necessario fare sulla base della normativa emergenziale vigente − operano a prescindere dalla circostanza che i dati siano resi disponibili da enti o altri soggetti detentori dei dati medesimi ed inoltre salvaguardano le tante persone risultate positive al virus, e poi guarite, da una “stigmatizzazione” permanente, resa possibile dalla diffusione delle notizie sulla rete.

Continua l’autorità esplicitando che “l’obbligo di rispettare la dignità e la riservatezza dei malati vige anche per gli utenti dei social, a cominciare da alcuni amministratori locali, che spesso diffondono dati personali di persone decedute o contagiate senza valutarne interamente le conseguenze per gli interessati e per i loro famigliari.

La linea di confine, dunque, tra ciò che può essere considerato quale “essenziale e di pubblico interesse” e ciò che invece risulta “superfluo” è molto labile, spesso a discapito di soggetti deboli quali nel caso di specie, soggetti affetti dal Corona virus può travolgere tra l’altro le loro attività imprenditoriali e professionali, nonché la vita dei loro familiari, troppo spesso in rete senza che alcuna valutazione preliminare sia compiuta sul contenuto della notizia.

Al riguardo dobbiamo tutti non dimenticare, che l’ambiente dei social network non può divenire un ambito di impunita violazione di norme giuridiche e sociali in nome della libertà di espressione, del diritto di critica o della libertà del pensiero.

Pertanto nel caso di pubblicazione di post da parte di soggetti non appartenenti alla all’Ordine professionale dei Giornalisti o di pubblicisti va ricordato che, l’indebita pubblicazione di contenuti offensivi dell’altrui riservatezza e reputazione su un social network può procurare a carico del suo autore conseguenze afferenti all’ambito del diritto penale (si pensi alle fattispecie di diffamazione) o a quello del diritto civile, configurando in quest’ultimo caso fattispecie di responsabilità extracontrattuale (risarcimento del danno non patrimoniale ex art. 2059 c.c.)

Fonte: Agenda Digitale

Caso INPS. Intervista a Raoul Chiesa: “Una bugia che fa capire perché la cybersecurity in Italia non funziona”

Sulla scia del caso INPS si sono sollevate polemiche senza fine sull’accaduto, sulle dichiarazioni del presidente dell’ente, Pasquale Tridico, e sui commenti che ne sono seguiti. Sul caso, come è noto, il Garante per la protezione dei dati personali ha già disposto un intervento ispettivo di cui aspetteremo gli esiti. Intanto sull’intera vicenda abbiamo voluto raccogliere il parere di Raoul Chiesa, uno dei massimi esperti nazionali in tema di sicurezza cibernetica.

Key4biz. Chiesa, lei ha seguito in questi giorni la vicenda della presunta incursione hacker ai danni del sito dell’INPS, che idea si è fatto?

Raoul Chiesa. Ho letto commenti ed opinioni di vario genere, confronti, battute, disamine molto precise, piuttosto che post quasi “goliardici”, ma ritengo che si tratti di un “incidente interno”, e non certo di un attacco, di cui stiamo sottovalutando le conseguenze e che, secondo il mio parere, è solo la punta dell’iceberg di ciò che non funziona nel nostro Belpaese in ambito di sicurezza informatica e procedure nella Pubblica Amministrazione.

Key4biz. In che senso?

Raoul Chiesa. Innanzitutto reputo estremamente grave che il Presidente di un ente come l’INPS affermi cose non fondate. Affermare di “…essere stati oggetto di un attacco hacker…“, quando ciò non è vero, ma anzi nasconde (consapevolmente o meno) una chiara incompetenza dell’ente nella gestione di una emergenza (che era peraltro facilmente prevedibile) ed indica semmai delle problematiche a monte. E non sto parlando “solo” di cybersecurity, ma anche di comunicazione e della cosiddetta “gestione di Cyber Crisis”. Ancora qualche giorno fa, su Rai1 a “Porta a Porta”, il conduttore Bruno Vespa chiede a Pasquale Tridico, presidente di INPS degli “attacchi hacker”, e quest’ultimo conferma e ribadisce quella che è, a tutti gli effetti, una cosa non vera o, se si vuole,una “Fake News”, come si usa definirle oggi.

Key4biz. E allora cosa è successo?

Raoul Chiesa. Tornando a noi ed al giorno del down del sito INPS, immagino più o meno quello che deve essere successo. Vi è stato un prevedibile picco di richieste e non inaspettato (come qualcuno ha detto), dal momento che era stato previsto all’interno del DPCM “Cura Italia”. Il problema è ovviamente andato subito in carico alla società che gestisce il sito, (che, non sappiamo, ma magari avrà subappaltato ad altre società le lavorazioni o parte di esse?), ma, come abbiamo visto, il problema è rimasto per ore ed ore.

Key4biz. Ma lei sostiene che il problema va anche oltre, in che senso?

Raoul Chiesa. Si, vorrei andare oltre, ad un livello superiore. Mi viene da pensare al bando di gara di assegnazione di quel sito così importante. Non lo conosco, ma mi chiedo, considerato quello che è successo, cosa avranno previsto per l’infrastruttura IT e di rete, nella progettazione e gestione dei server in caso di “picchi di rete” o di emergenze, per anche ciò che riguarda Business continuityDisaster recoverySecure coding e Secure programming. O molto più banalmente: hanno previsto dei servizi di outsourcing da attivare in caso di situazioni di questo tipo con provider che gestiscano gli improvvisi aumenti di carico banda e di richieste server-side? Ma mi viene anche da pensare che, forse, si è confusa la responsabilità sistemistica con quella di networking. Insomma si possono fare tante ipotesi tra negligenza e procedure di controllo discutibili

Key4biz. Quindi è stata sbagliata anche la comunicazione, cosa avrebbero potuto o dovuto fare?

Raoul Chiesa. Beh, c’è da chiedersi se i responsabili della comunicazione non debbano studiare un po’ cosa sia una “crisi cyber“, che altro non è se non una crisi ordinaria come le altre, ma che a differenza di altre è causata però da un incidente di tipo cyber, il che potrebbe indurre ad una gestione diversa e più cauta.

Key4biz. Di certo Pasquale Tridico presidente INPS avrà detto quello che i suoi tecnici gli avranno riferito o quantomeno immaginiamo che sia accaduto ciò…

Raoul Chiesa. Naturalmente non rientra nelle competenze del presidente Tridico capire cosa sia accaduto nell’apparato IT dell’ente. Certo quando avrà chiesto cosa stesse accadendo e il responsabile del servizio avrebbe dovuto rispondere in modo cristallino, non ci sarebbe stato nulla di male ad ammettere che non si era tecnicamente preparati a fronteggiare un picco di queste dimensioni (300-500 presentazioni di domande al minuto, che si sono rapidamente ammassate l’una sull’altra). E questo senza togliere nulla alla prevedibile generosità con cui immagino i dipendenti IT dell’INPS avranno lavorato in quei giorni per fronteggiare l’ondata di richieste annunciate dal premier Conte con il “Cura Italia”.

Key4biz. Ma allora dove potrebbe essere l’errore nelle dichiarazioni del presidente dell’INPS o nei resoconti che i suoi sottoposti hanno riportato a lui?

Raoul Chiesa. Innanzitutto vorrei ricordare che il malfunzionamento ha reso in chiaro le anagrafiche di contribuenti, dati che fanno molta gola al cybercrime. Cosa avrebbe dovuto fare Tridico? Non sta a me dirlo, ma mi faccio, come voi, qualche domanda. Prima di far perdere tempo alle competenti Autorità Giudiziare e alle Forze dell’Ordine, peraltrogià stracariche di lavoro e sotto forza; prima di gridare al mondo intero di essere stato vittima di un attacco hacker, peggiorando quindi la situazione e dichiarando magari cose non effettivamente verificatesi, avrei semplicemente chiesto prove, evidenze, per porre l’ente in condizione di sapere effettivamente cosa in dettaglio fosse accaduto e decidere quindi la comunicazione pubblica conseguente.

Key4biz. E gli hacker, quelli veri, che dicono?

Raoul Chiesa. Siamo riusciti persino a fare ridere quelli di Anonymous Italia, che da sempre sono molto ironici e autoironici e non necessariamente “cattivi sempre e per forza“. Non ho visto nessun hack di LULZ o di altri gruppi di Hacktivism in questo triste periodo che il nostro Paese ed il resto del mondo stanno attraversando. Il problema vero è e sarà il Cybercrime che sa essere sempre attivo ed approfittarsi di target indifesi, senza team tecnici presenti, di entità ed asset digitali abbandonati a sé stessi, in una nazione che sta affrontando una delle crisi più grandi degli ultimi due secoli.

Key4biz. E adesso cosa accadrà?

Raoul Chiesa. Le conseguenze di questo “Al Lupo-Al lupo” saranno molto gravi.

E la cosa più grave è tutto quello che questo incidente cela, nasconde, tutto ciò che non viene detto e di cui nei prossimi giorni, settimane e mesi, probabilmente, verremo piano piano a conoscenza. È l’errore, sono gli errori che stanno alla base delle nostre falle di sistema. È il nostro Sistema-Paese che non è pronto a tutte quelle belle buzzword di cui leggiamo ogni giorno, su media e social, piuttosto che nei company profile di tante “wanna-be” aziende esperte di trasformazione digitale, smartworking, cybersecurity, banda larga, big data, articial intelligence…. il tutto applicato alla Pubblica Amministrazione Centrale e Locale del nostro Belpaese.

Key4biz. Siamo vittime della fiumana delle tecnologie?

Raoul Chiesa. No, qui non vince o perde la tecnologia, perché per usare le tecnologie bisogna partire dalle persone e dalle procedure e regole. Se la Pubblica Amministrazione appare, come in questa vicenda, abbandonata a sé stessa e senza le competenze adeguate, questo dipende in primis dai sistemi di assegnazione delle gare, tutte orientate al massimo ribasso, che vuol dire decadimento della qualità. Si usa questo sistema perché contribuisce ad immunizzare dalle corruttele, nel senso che ci sono margini minori, ma il risultato è che le corruttele continuano e la qualità tecnologica della PA è in molti casi non adeguata o in mani estere.

Fonte:

https://www-key4biz-it.cdn.ampproject.org/c/s/www.key4biz.it/caso-inps-intervista-a-raoul-chiesa-una-bugia-che-fa-capire-perche-la-cybersecurity-in-italia-non-funziona/298817/amp/

Sì allo smart working nella PA, ma solo se made in Italy

06 Aprile 2020

Un emendamento del governo al decreto Cura Italia prevede che le piattaforme SaaS siano basate su “sistemi di conservazione, processamento e gestione dei dati necessariamente localizzati sul territorio nazionale”. Sprint di Italia Viva all’e-payment: obbligo nelle aree più colpite dall’emergenza Covid-19

Smart Working sì, ma solo se made in Italy. Un emendamento del governo all’articolo 75 del Cura Italia – il decreto ha iniziato il percorso di conversione al Senato – stabilisce che le piattaforme SaaS in uso nella PA siano basate su “sistemi di conservazione, processamento e gestione dei dati necessariamente localizzati sul territorio nazionale”.

L’articolo 75 del decreto istituisce un percorso semplificato per permettere alle PA di attivare rapidamente servizi digitali per i cittadini e per le imprese e facilitare l’adozione dello smart working. Fino al 31 dicembre 2020 un processo facilitato per gli enti per acquisire beni e servizi digitali, con particolare riferimento a servizi che operano in cloud: Software-as-a-Service, come ad esempio servizi di hosting, ma anche applicazioni, servizi che permettono il telelavoro, o servizi diretti al cittadino e alle imprese. Gli enti potranno acquistare questi beni e servizi con una procedura negoziata ma senza bando di gara e in deroga ad ogni disposizione di legge diversa da quella penale, fatto salvo il rispetto delle disposizioni del codice delle leggi antimafia.

Il fornitore dei servizi deve essere selezionato tra almeno quattro operatori economici, di cui una startup o una Pmi innovativa; inoltre gli acquisti di beni e servizi devono riguardare  progetti coerenti con il Piano Triennale della PA e integrati, laddove possibile con le piattaforme abilitanti (Spid, Anpr, PagoPA).

Fonte:

https://www.corrierecomunicazioni.it/lavoro-carriere/smart-working/smart-working-nella-pa-si-ma-solo-se-made-in-italy/

Coronavirus, Google Maps consentirà di monitorare gli spostamenti delle persone

03 Aprile 2020

I report si basano su dati aggregati e anonimizzati e mostrano come sono cambiati i flussi sulle diverse aree geografiche nel corso delle ultime settimane

Per contrastare la pandemia di COVID-19 ovunque nel mondo è cresciuta l’attenzione verso le strategie di salute pubblica. Una, la più nota, è il distanziamento sociale, per rallentare la velocità di trasmissione o programmare la riapertura nelle aree soggette a restrizioni sugli spostamenti. Google Maps utilizza dati aggregati e anonimi per mostrare quanto sono affollati determinati luoghi, e identificare per esempio gli orari di punta di un negozio. “Le autorità sanitarie – si legge in un post dell’azienda di Mountain View – ci hanno detto che questo stesso tipo di dati aggregati e anonimizzati potrebbe essere utile per prendere decisioni critiche nella lotta al COVID-19”.

Divisi per categorie

Da oggi Google pubblica un’anticipazione dei Report sulla mobilità delle comunità durante COVID-19, per fornire informazioni su cosa è cambiato a seguito delle misure prese per appiattire la curva di questa pandemia. “Questi report, che verranno aggiornati regolarmente – prosegue il post – sono stati sviluppati per essere d’aiuto nel rispetto dei nostri rigorosi protocolli e norme sulla privacy”.

I report si basano su dati aggregati e anonimizzati per mostrare come si sono modificati gli spostamenti nel tempo e sulle diverse aree geografiche, in relazione a una serie di luoghi riuniti in categorie generali come “negozi e attività ricreative”, “generi alimentari e farmacie”, “parchi”, “stazioni di trasporto pubblico”, “luoghi di lavoro” e “abitazioni”. “Mostreremo le tendenze su un arco di diverse settimane, con le informazioni più recenti che si riferiscono a 48-72 ore prima della pubblicazione. L’aumento o la diminuzione delle visite apparirà in punti percentuale, mentre non saranno condivisi i numeri assoluti delle visite. Per proteggere la privacy delle persone, non verrà resa disponibile alcuna informazione personale identificabile – come la posizione di una persona, i contatti intercorsi o gli spostamenti”.

Un aiuto per il social distancing

Non è l’app di tracciamento tanto invocata in questi giorni, che dovrebbe arrivare a breve. E tuttavia, vista la quantità di dati in possesso di Google, questa iniziativa potrebbe essere molto utile a livello di studio: i report copriranno inizialmente 131 Paesi nel mondo, con approfondimenti su aree geografiche più specifiche; ma col tempo il numero  crescerà. .

“I dati – spiega Google – potrebbero aiutare a comprendere come sono cambiati gli spostamenti essenziali, e in questo modo permettere di suggerire raccomandazioni sugli orari di apertura dei negozi oppure su servizi di consegna a domicilio. In modo analogo, le visite frequenti a determinate stazioni di trasporto pubblico potrebbero indicare la necessità di aggiungere ulteriori autobus o treni, al fine di consentire maggiore spazio e distanziamento sociale tra le persone che devono viaggiare. In definitiva, capire non solo se le persone viaggiano, ma anche quali sono le destinazioni principali, in modo da poter progettare linee guida che salvaguardino la salute pubblica e le esigenze essenziali delle comunità”.

Oltre a questi report, l’azienda sta collaborando con un gruppo di epidemiologi, fornendo loro  un insieme aggiornato, aggregato e anonimizzato di dati, per aiutarli a comprendere e prevedere meglio la pandemia.

Tutela della privacy

I Report sulla mobilità delle comunità durante COVID-19 sono basati sulla stessa tecnologia usata per anonimizzare le informazioni nei prodotti di Google: si chiama privacy differenziale, e funziona aggiungendo rumore artificiale ai set di dati, e consente di avere risultati di alta qualità senza identificare nessuno. Le informazioni arrivano dagli utenti che hanno scelto di attivare la Cronologia delle posizioni, un’impostazione che è disattivata per default. È possibile disattivare l’impostazione in qualsiasi momento dall’Account Google o cancellare i dati direttamente dalla  Cronologia.

Fonte: LaStampa

Tracciare i contagiati tutelando la privacy è possibile. Grazie al bluetooth

31 Marzo 2020

di Alessandro Longo

Le app per tracciare i contagiati da coronavirus possono funzionare senza usare dati sensibili, nel rispetto delle norme privacy invocate dal Garante Privacy italiano e dal Consiglio d’Europa. Lo dimostrano alcuni progetti già realizzabili, presentati al Ministero dell’innovazione, che in questi giorni deve scegliere quello da attuare in Italia.

Il punto chiave, che accomuna molte di queste soluzioni, è fondare il funzionamento sul bluetooth (versione low energy, soprattutto), invece del gps, che è intrinsecamente più invasivo.

Questa è l’idea, con alcune differenze, al centro di diverse app: Coronavirus Outbreak Control proposta da un team internazionale e promossa dall’esperto di intelligenza artificiale presso la Commissione europea Stefano Quintarelli; il progetto di AIxIA, Università di Pisa, con il professore Giuseppe Attardi, e BeeApp; la soluzione Private Kit del Massachusetts Institute of Technology (MIT) di Boston. Come anche della soluzione del Centro Medico Sant’Agostino e di quella Stop-Covid della fondazione Ugo Bordoni.

I limiti del Gps

La premessa, alla base di queste soluzioni, è che il “contact tracing” permette di contenere il contagio consentendo di scoprire quali sono i soggetti che sono entrati in contatto, nei 14 giorni precedenti, con persone risultate positive al coronavirus. In Cina, Singapore, Corea del Sud l’informazione di avvenuto contatto è disponibile al governo e georeferenziata su mappa (Gps). Il Gps lì è usato anche per fare geo-fencing di chi è in quarantena.

In Europa e Stati Uniti le nostre norme e cultura democratica spingono verso soluzioni diverse.

Analizziamo per esempio come funziona Coronavirus Outbreak Control, com’è descritta nel documento presentato al ministero. L’app fa una scansione bluetooth continua dei dintorni e, sfruttando questa tecnologia, raccoglie l’ID dei dispositivi vicini. Un ID che non è riconducibile in nessun modo all’identità del proprietario dello smartphone.

La condizione è che tutti i dispositivi da tracciare in questo modo abbiano installata quest’app, che potrebbe diventare subito virale una volta che è promossa dal governo come strumento di salvaguardia per sé e per gli altri.

Gli ID sono memorizzati in un unico database centralizzato e sicuro in modalità cloud. Qui i medici certificati intervengono indicando quali sono gli ID corrispondenti a persone infette, di nuovo senza scambio di informazioni personali. Il server quindi manda all’app la segnalazione di avvenuto contatto con l’ID del contagiato. L’utente riceve una notifica che lo avvisa e gli consiglia di seguire la profilassi richiesta.

Identificazione anonima

«Usiamo Bluetooth LE, una tecnologia che permette di pubblicare un ID che decidiamo noi stessi in fase di installazione. QuestoID e il token rilasciato da Google o Apple (a seconda del modello di smartphone) sono collegati nei nostri server», spiega Luca Mastrostefano, responsabile tecnico del progetto.

«Il server – prosegue – associa l’ID del bluetooth e il token dell’app. Entrambi completamente anonimi e, anche per noi come organizzazione, completamente inutilizzabili per identificare chi sia l’utente».

Per la precisione, «durante la prima installazione mandiamo questo token Google o Apple ai nostri server che rispondono all’app con l’ID anonimo che da quel momento in poi l’utente trasmetterà tramite Bluetooth LE».

Tra le altre app ci sono alcune differenze. Ad esempio quella del Centro Medico Sant’Agostino incrocia vari dati, quelli acquisiti con i sensori dello smartphone e i dati statistici forniti dall’Istat. In questo modo, oltre a fare tracking dei potenziali contagiati, avvisandoli come l’app precedente, può creare una mappa di possibili focolai.

In questo caso i dati sono aggregati e non riconducibili a persone singole (tecniche di crittografia e pseudo-anonimizzazione impediscono la re-identificazione dei soggetti cui i dati si riferiscono, come richiesto dal Garante Privacy). Quest’app permette all’utente anche di tenere un diario clinico e di avere una chat con personale medico.

Diverse soluzioni in bluetooth

Sempre con bluetooth ma basata su un’impostazione molto diversa la soluzione AlxIA.

È l’unica a non prevedere che tutti i soggetti coinvolti debbano installare l’app. L’idea alla base è che quest’app va installata in tutti i luoghi pubblici (locali, metro, bus…). L’app raccoglie via bluetooth i dati dei dispositivi intorno, che sono tutti quelli dotati di questa connessione attiva. Non solo smartphone ma anche orologi, quindi.

Se un cittadino si scopre contagiato, fornisce alle autorità il suo dato identificativo del dispositivo, che non viene però associato al nome della persona.

Quell’informazione permette di fare una mappa con luoghi e orari dov’è stata quella persona (cioè tutti quelli dov’è avvenuto il contatto con l’app). Ogni cittadino può consultare la mappa, facendo una ricerca con il proprio identificativo bluetooth, per capire se è stato in quel luogo e in quel momento.

Fonte: Il Sole24Ore

Cybercrime, falsi aggiornamenti di Google Chrome scaricano malware

di Pierguido Iezzi

30 Marzo 2020

Il cybercrime usa falsi aggiornamenti di Google Chrome per distribuire malware: una backdoor

Un gruppo di ricercatori di cyber security di un laboratorio in Russia ha scoperto che migliaia di utenti sono stati ingannati e hanno scaricato una pericolosa backdoor, camuffata da aggiornamento di Google Chrome. Gli update e le patch sono stati oggetto di molte notizie la scorsa settimana, con Microsoft che ha confermato modifiche senza precedenti agli aggiornamenti di Windows 10, i quali hanno coinvolto quasi 1 miliardo di utenti. Lo scorso 19 marzo, di contro, Google aveva annunciato la sospensione di tutte le prossime uscite di Chrome, poiché l’impatto della pandemia del coronavirus aveva causato troppi ritardi nella delivery da parte dei suoi sviluppatori. Google ha anche deciso di “saltare” la prossima release, che doveva essere Chrome 82. Tuttavia, l’azienda ha confermato che “continuerà a dare priorità a tutti gli aggiornamenti relativi alla sicurezza”. Evidentemente, il cybercrime ha sfruttato l’occasione per diffondere malware.

Gli autori dell’operazione sono coinvolti anche nella diffusione di un falso installer dell’editor video VSDC

Il download stesso del falso aggiornamento di Google Chrome è stato collegato a più siti WordPress, compromessi dai Criminal Hacker. Quelle pagine, che includono tutto dai blog di notizie ai siti ufficiali delle aziende, sono state colpite con una storia di campagne di hacking di successo. Il gruppo del cybercrime dietro all’attacco, infatti, è stato precedentemente coinvolto nella diffusione di un falso installer del popolare editor video VSDC attraverso il suo sito ufficiale e la piattaforma software CNET. In questa occasione, ha ottenuto il controllo degli account amministratore di più siti per creare una catena di infezione. Una volta dentro, gli hacker malevoli hanno incorporato uno script di reindirizzamento JavaScript, che invia i visitatori direttamente a quella che sembra essere una legittima pagina di aggiornamento di Google Chrome. Questa, ovviamente, è tutt’altro che legittima e in realtà fa partire l’installazione del malware.

Gli esperti di cyber security: La backdoor è stata scaricata più di 2.000 volte. Attenzione, permette a chi la controlla di installare altri payload e il data-stealer Predator the Thief

La backdoor di Chrome, peraltro, secondo gli esperti di cyber security, è stata scaricata più di 2.000 volte. Una volta eseguito il file, viene installata un’applicazione di controllo remoto di TeamViewer insieme ad archivi protetti da password. Questi contengono file che il cybercrime utilizza per offuscare il malware dalla protezione antivirus di Windows. A questo punto possono essere installati anche altri payload malevoli, tra cui un keylogger e un sofisticato data-stealer. Chiamato Predator the Thief, è attivo da 18 mesi ed è noto per utilizzare tecniche anti-debugging e anti-analisi per sviare il rilevamento e l’analisi da parte dell’utente target. Finora le vittime sono state presi di mira sulla base di una combinazione di geolocalizzazione e rilevamento del browser. Includono persone negli USA, Canada, Israele, Australia, Turchia e UK.

Fonte: Difesa & Sicurezza

Il Garante della privacy: “Sì al tracciamento dei contatti, ma con un decreto legge temporaneo”

25 Marzo 2020

Il team di Antonello Soro sta studiando la strategia “coreana” del governo: contact tracing tramite app dei soggetti a rischio contagio. “Le società coinvolte devono rispondere ai nostri protocolli di sicurezza e garanzia sulla protezione dei dati. I privati gestirebbero dati con pseudonimi (o anonimi), lasciando allo Stato la re-identificazione in caso di necessità”

Tra le strategie messe in campo dal governo per contenere il contagio da coronavirus c’è il cosiddetto contact tracing digitale, cioè l’uso dei dispositivi mobili dei cittadini per la mappatura e il tracciamento dei soggetti entrati in contatto con persone infette. Si tratta di un protocollo previsto dall’Oms in caso di epidemie e che in modo analogico viene già effettuato anche in Italia

Fonte: Rep.Repubblica

Un attacco informatico sventato ai danni dell’OMS

L’Organizzazione Mondiale della Sanità, nel bel mezzo dell’epidemia di coronavirus, ha dovuto fare i conti anche con un attacco informatico.

Fonti hanno riferito a Reuters di un attacco informatico fortunatamente non andato a segno nei confronti dell’Organizzazione Mondiale della Sanità. Un evento che risale alle scorse settimane, proprio quando l’emergenza coronavirus ha iniziato a farsi sentire in modo importante a livello globale. Ignoti al momento gli autori, anche se un’ipotesi è stata formulata.
OMS: attacco informatico non andato a buon fine

Più nel dettaglio l’azione è stata individuata il 13 marzo quando malintenzionati hanno messo online un portale che riproduceva in modo contraffatto il sistema interno per la gestione della posta elettronica utilizzato dai membri della World Health Organization. L’obiettivo era ovviamente quello di trarre in inganno membri dello staff e sottrarre loro le credenziali di accesso agli account, mettendo poi le mani su informazioni riservate. Riportiamo a tal proposito il commento di Max Heinemeyer, Director of Threat Hunting di Darktrace.

“Agli occhi di chi si occupa di sicurezza informatica l’attacco contro l’OMS non rappresenta una sorpresa. Nelle ultime tre settimane abbiamo assistito a una escalation negli attacchi che sfruttano l’emergenza sanitaria globale in corso. In particolare, osserviamo un aumento di quelli che abbiamo denominato attacchi “fearware”, ovvero email apparentemente benigne che fanno leva sulle notizie di attualità e sfruttano la paura collettiva a scopo criminoso.”

Addetti ai lavori, pur non confermandolo, ipotizzano che la responsabilità possa essere del gruppo DarkHotel attivo fin dal 2007 e già capace di prendere di mira istituzioni e governi di tutto il mondo. Prosegue Heinemeyer.

“L’OMS si trova nell’epicentro dell’emergenza e, anche se l’identità dell’hacker responsabile dell’attacco è tuttora sconosciuta, le informazioni sulla pandemia in possesso dell’organizzazione (come il virus si diffonde, come può essere contenuto e i progressi sui vaccini, ad esempio) sono elementi preziosi da conoscere per le agenzie di intelligence e i governi di tutto il mondo, che si stanno adoperando per affrontare la crisi.”

Restando in tema coronavirus, l’emergenza e l’attenzione rivolta al tema in queste settimane hanno innescato un moltiplicarsi di minacce come campagne di phishing e distribuzione di codice maligno. La raccomandazione, oggi più che mai, è sempre la stessa: massima attenzione.

Fonte: Puntoinformatico

L’Antitrust blocca siti truffaldini sul Coronavirus

Affossati due siti truffaldini in tema Coronavirus: uno vendeva una cura, un altro vendeva un macchinario per test casalinghi sul contagio.

Con una fondamentale attività di repressione delle truffe, di particolare importanza in questo momento di emergenza sanitaria, l’autorità antitrust ha portato al sequestro di due domini registrati con evidenti finalità truffaldine. Entrambi i tentativi sono chiaramente legati al contesto della lotta al Coronavirus, giocando sul momento di grave difficoltà che si sta vivendo in Italia e cercando di approfittarne sulla pelle delle persone meno attente e – probabilmente – più fragili.

Farmacocoronavirus.it

Il primo intervento è relativo a sequestro del dominio farmacocoronavirus.it ed alla relativa chiusura del sito. Non serve aver visto i contenuti del sito per capire che si trattava di un tentativo del tutto truffaldino di giocare con le paure delle persone e con il posizionamento SEO del dominio.

Il sito focalizzava l’attenzione sul “farmaco generico Kaletra” (venduto al prezzo di 634,44 euro), paventando proprietà curative particolari e di miracolosa utilità per la cura della Covid-19:

“Più precisamente, i claim impiegati sembrerebbero suggerire che detto prodotto, contrariamente al vero, sia l’”unico farmaco contro il Coronavirus (COVID-19)” e l’”unico rimedio di combattere il Coronavirus (COVID-19)”. Inoltre, il complessivo contesto narrativo sembrerebbe far leva sulla tragica pandemia in atto per orientare i consumatori all’acquisto. Parimenti, il professionista sembrerebbe vantare, contrariamente al vero, di essere una farmacia online, legale al 100% e di avere un’esperienza ultradodecennale. A ciò si aggiungono l’omessa fornitura di informazioni precontrattuali in ordine all’identità del professionista e al suo indirizzo geografico e un’assai stringente limitazione dell’esercizio del diritto di recesso.”

Testcoronavirus.shop.it

Altro intervento soppressivo è relativo al sito che prometteva la fornitura di un dispositivo per il test casalingo del Coronavirus: in giorni nei quali si fa gran parlare della quantità di tamponi eseguiti ed eseguibili, anche questo sito è stato ritenuto fortemente ingannevole e di particolare pericolosità. Spiega l’Authority:

“Il prodotto in questione viene reclamizzato come un dispositivo medico diagnostico destinato ad essere utilizzato a domicilio, da parte di persone non esperte di test diagnostici, al fine di auto-diagnosticare in maniera rapida ed affidabile l’eventuale contagio da COVID-19. In realtà, le informazioni fornite dal professionista sull’efficacia del test, sulla sua destinazione di uso e sul suo carattere sperimentale appaiono ambigue, confuse e oscure.”

La gravità del momento autorizza procedure immediate da parte dell’AGCM, che promette nel nuovo bollettino di voler continuare a “monitorare il mercato concentrando la propria attenzione su operatori attivi nell’e-commerce che adottano comportamenti scorretti e ingannevoli“.

 

Fonte: Puntoinformatico