Pubblicato il

Per un pugno di dollari

1.000 indirizzi mail di Yahoo=10$

1.000 like su Facebook=15$

1 identità di un altro soggetto=21,35$

1.000 indirizzi mail di Gmail=200$

Questa è una parte del “listino prezzi” del web sommerso: una carta di credito clonata, ad esempio, costa 250 dollari!!! Insomma, per un pugno di dollari si può acquistare qualunque cosa.

Alcuni commentatori specializzati raccontano che le informazioni sono il nuovo petrolio del mercato nero nel web. Significa che il loro traffico illecito è diventato ormai più redditizio delle armi e della droga.

Ecco perché:

  • la normativa per la protezione dei dati personali è molto diversa a livello internazionale; alcuni Paesi, fuori dall’Unione Europea, non puniscono il trattamento illecito dei dati. Basta, quindi, che un cyber-criminale abbia la propria base operativa in uno di questi Paesi per rendere molto difficile l’applicazione di sanzioni anche quando sottrae dati in Italia;
  • le polizie non hanno un sufficiente coordinamento per la gestione di atti illeciti legati al traffico di dati personali. Sono molto attrezzate a combattere i traffici di droga e armi, ma non ancora per inseguire i traffici di dati;
  • il comportamento di chi sottrae dati personali si è molto raffinato nel tempo; i “colpi” sono messi a segno con tecniche che agiscono “low and slow”, ovvero senza clamore e lentamente, con la conseguenza che potremmo non accorgerci mai del fatto che ci è stato sottratto l’indirizzo email;
  • il titolare che tratta i nostri dati personali (banca, service provider, supermercato) è, normalmente, restio a denunciare di aver subito una violazione, per timore della perdita di reputazione.

Un famoso crittografo statunitense amava ripetere “If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology” (“Se pensi che la tecnologia possa risolvere i tuoi problemi di sicurezza, allora tu non capisci i problemi né la tecnologia”).

Sicuramente chi tratta dati personali deve impegnarsi ad applicare tutte le misure di sicurezza rese disponibili dalla tecnologia: è necessario, lo prevede il GDPR. Tuttavia, può non essere sufficiente. L’antidoto più efficace, in questi casi, è la consapevolezza di ognuno di noi: mai essere leggeri, soprattutto se ci viene offerta qualcosa gratis.

Condividi
Pubblicato il

Informativa alla Totò

Faccio una ricerca su Google scrivendo “informativa privacy pdf”.

Le informative che trovo sono tutte rese ai sensi del Codice della Privacy, art. 13, e non sono state ancora adeguate al Reg. UE 679/2016. Provo, quindi, a fare un piccolo test di conformità alla normativa italiana (che sta per essere superata) ed a verificare quanti e quali aggiornamenti sono necessari.

Comincio leggendo la prima informativa. Non è lunga, solo una pagina: ce la posso fare. È l’informativa di una società di brokeraggio. Andando avanti, mi rendo conto che la forma è concisa, trasparente, intellegibile ed il linguaggio semplice e chiaro (così come prescritto dall’art. 12 del Reg. UE 679/2016). Mi soffermo sul paragrafo dedicato alla “Comunicazione dei dati” (forse quello più delicato) e mi colpisce un “rimando” (nelle informative ce ne sono spesso anche se sarebbero da evitare) che riferisce testualmente “I dati personali possono essere comunicati per le finalità di cui al punto 1) lettera a)…”. Vado a rivedere il punto 1 e scopro che non c’è nessuna lettera a): il punto 1 è una sezione senza “sottosezioni”. Non è un errore banale, perché il paragrafo prosegue con “inoltre i dati personali possono essere comunicati per le finalità di cui al punto 1) lettera b)…”. No, così non va: c’è da lavorare. Passiamo alla prossima.

È l’informativa di una università: 10 righe. Perfetto. Ma c’è tutto? Ci sono le finalità del trattamento ma non le modalità. Poi, testualmente, si dice “la comunicazione o la diffusione dei dati personali a soggetti privati sarà effettuata…”. Ma come? Confondiamo “comunicazione” e “diffusione”? La comunicazione è il trasferimento dei dati verso soggetti identificati (l’analogo dell’invio di una lettera in busta chiusa all’indirizzo di qualcuno) mentre la diffusione è il trasferimento dei dati a soggetti non qualificati né quantificati (l’analogo di mettere i manifesti). Mancano, inoltre, le conseguenze di un rifiuto al conferimento dei dati. Anche qui c’è molto da lavorare.

La terza è l’informativa di un big player italiano nel settore dei servizi. E si vede: cinque pagine di informativa. Certo, i servizi che offre sono articolati ma pochi riescono a leggere cinque pagine di informativa senza distrarsi. Quello che più stona, però, è una certa ambiguità insita nell’uso del futuro: “i dati personali saranno trattati…”, “i dati sensibili potranno essere trattati…”, “il trattamento dei dati personali avverrà mediante…”. Parliamo di realtà o di ipotesi?

L’ultima informativa appare sobria: una sola pagina. Ma risulta fantasiosa nel contenuto. In particolare, quando dice “Il trattamento che intendiamo effettuare è finalizzato alla gestione dell’invio delle informative”: sbigottimento! Quindi, è l’informativa dell’informativa. E, poi, quando dichiara solennemente “Il conferimento dei dati è facoltativo ma necessario”. Perfetta per un film di Totò.

Condividi