[Flug] e-privacy 2011 - pubblicati programma, orari ed abstract

[Marco A. Calamari]

Il 3 e 4 giugno a Firenze in Palazzo Vecchio (Salone dei 200 / Sala
della Miniatura) si svolgera' l'edizione 2011 di e-privacy , il convegno
dedicato ai problemi della privacy nell'era digitale.

Sono disponibili il programma del convegno e gli abstract degli
interventi. 
Maggiori particolari su  http://e-privacy.winstonsmith.org/
Contatto stampa info@winstonsmith.org - 347/8530279.

Il convegno si aprira' la mattina di venerdi 3 nel Salone dei 200; nel
pomeriggio si trasferira' nella Sala della Miniatura dove continuera'
anche sabato 4.

La sede del convegno, Palazzo Vecchio e' il Municipio di Firenze in
Piazza della Signoria 1.
E' facilmente raggiungibile, 5 minuti a piedi, dalla stazione
ferroviaria di Santa Maria Novella, dove e' anche possibile arrivare in
automobile, utilizzandone il parcheggio sotterraneo.
Dall'aereoporto Amerigo Vespucci sono disponibili taxi (10 minuti ca.)
od autobus dedicato (costo 4 euro, partenze ogni 30 minuti).
La partecipazione e' libera ma la capienza della sala e' limitata; si
consiglia quindi di effettuare la preregistrazione inviando una mail
all'indirizzo iscrizioni-eprivacy@winstonsmith.org.


Tema dell'edizione 2011
-----------------------

I confini, una volta chiaramente percepibili, tra noi stessi e la Rete,
stanno cambiando, spostandosi e contemporaneamente diventando
indistinti.
Il successo delle comunita' sociali sta rendendo confuso il confine tra
la persona digitale e la Rete.

Il Cloud Computing, il SaaS (software as a service - software come
servizio) e l'utilizzo sempre piu' diffuso di apps su smartphone e pad
modificano radicalmente i rapporti di interdipendenza tra i cittadini
della Rete e chi fornisce loro software e servizi.
Nel modello Cloud l'utente non possiede, non controlla e non conosce il
software che usa, che e' sotto il totale controllo dei fornitori di
servizi Cloud.

E se e' vero, come dice Lessig, che solo il software e' la legge del
cyberspazio, questo portera' inevitabilmente ad un'alterazione dei
rapporti di potere tra utenti e fornitori, gia' strutturalmente
sbilanciati, a favore di questi ultimi.

Gli utenti che abbandoneranno il software tradizionale per adottare il
modello Cloud rinunceranno completamente alla non grande quota di potere
che oggi detengono; rinunceranno ad essere "cittadini digitali" per
diventare "consumatori digitali".

Il modello Cloud implica inoltre la rinuncia al controllo ed al possesso
dei dati, delegando anche questo ai fornitori di Cloud prescelti.
E se l'Io digitale e' formato dai nostri dati, sia quelli pubblici ma
soprattutto da quelli che manteniamo privati, perderne il controllo
equivale ad una dissoluzione della persona digitale nel mare non piu'
limpido ma infido di una Rete formata da fornitori e consumatori, e non
piu' da individui.


Premio Big Brother Award Italia 2011
------------------------------------

Durante il Convegno, nella mattinata di sabato, si terra' la cerimonia
di consegna dei Big Brother Award Italia 2011.

Questo premio internazionale, che si tiene da 14 anni nei principali
paesi europei ed extraeuropei, è un premio in negativo (come il noto
"Tapiro d'oro") che viene assegnato a quelle persone, associazioni e
tecnologie, che peggio hanno fatto alla privacy degli italiani
nell'ultimo anno.

Il BBA nel 2010 e' stato assegnato in 8 diverse nazioni oltre l'Italia;
qui trovate la cerimonia di premiazione dello scorso anno.

Organizzazione
--------------

Il convegno ed il premio sono organizzati dal Progetto Winston Smith,
un'associazione senza fini di lucro che si occupa della difesa del
diritto alla privacy in Rete e fuori, con la collaborazione di Privacy
International e di altre associazioni interessate alla difesa dei
diritti civili in Rete. Per contatti: eprivacy@winstonsmith.org 


Programma del Convegno
----------------------

venerdi 3 giugno
09:00 - 09:20 ----- Registrazione partecipanti
09:20 - 09:30 ----- Saluto degli organizzatori - Marco Calamari -
Progetto Winston Smith

09:30 - 10:00 - Il contratto e gli SLA con il cloud service provider -
Lucilla Mancini, Robert Rosen
10:00 - 10:30 - Cloud computing, un'opportunita' di cui comprendere
vantaggi e rischi, per privati ed aziende - Marco Piermarini
10:30 - 11:00 – Il Diritto all’anonimato nella Societa'
dell’Informazione - Alessandro Rodolfi
11:00 - 11:30 - Trattamento dei dati personali e responsabilita'
nell'era del cloud computing: istruzioni per l'uso - Stefano Aterno
11:30 - 11:45 La responsabilità penale del cloud service provider -
Francesco P. Micozzi

11:45 - 11:50 ----- break
11:50 - 12:30 - votazione e consegna dei Big Brother Award Italia 2011

12:30 - 13:00 - Responsable Disclosure: quanto e' efficace nel
contrastare il fenomeno del data leaking? - Marco Ortisi
13:00 - 14:30 ----- pausa pranzo
14:30 - 15:00 - Security, Privacy e Data retention nel cloud scenario.
Aspetti di diritto penale sostanziale e processuale - S. Marcolini, E.
Colombo, R. Flor
15:00 - 15:30 - Guardiamoci in faccia, nonostante le nuvole - Alessio
L.R. Pennasilico
15:30 - 16:00 - Il cloud data storage: stato dell'arte, rischi e tutela
della privacy - Yvette Agostini, Valerio Vertua

16:00 - 16:30 ---- break

16:30 - 17:00 - Il Cloud, tra contrattualistica e privacy - Simone
Bonavita
17:00 - 17:30 - Le Procure nella nuvola: data retention e cloud
forensics - Carlo Blengino, Monica Senor
17:30 - 18:00 - Negabilita' plausibile su disco: luci e ombre di
Truecrypt - Tommaso Gagliardoni

sabato 4 giugno
09:00 - 09:30 - Free as in Google: Cloud Computing e Liberta' -
Primavera De Filippi
09:30 - 10:00 - Cloud computing ed attivita' di impresa: la tutela dei
dati personali ed aziendali - Alessandro Mantelero
10:00 - 10:30 - La privacy dei piccoli - Paolo Giardini
10:30 - 11:00 - Anonymous for fun and profit - Simone Onofri

11:00 - 11:30 ----- break

11:30 - 12:00 - Il controllo dei dati nel cloud - Gianluca Moro
12:00 - 12:30 - Il leaking e la divulgazione di documenti riservati tra
diritto, etica e tecnologia - Giovanni Ziccardi
12:30 - 13:00 - L'utilizzo della PEC all'interno del processo civile
telematico alla luce delle regole tecniche del D.44 21-04-11: quale
privacy? - M. Morena Ragone, G. S. Barile

13:00 - 14:30 ----- pausa pranzo

14:30 - 15:00 - L’importanza della qualita' nel Web di Dati: modello di
sicurezza e privacy per la gestione dell’e-profile - Stefano Turchi
15:00 - 15:30 - Designed for democracy: pattern di interferenza tra
codici giuridici e codici informatici nei recenti casi di censura online
e offline - Alberto Cammozzo
15:30 - 16:00 - Le Nuvole dell’Internet del futuro all’orizzonte: fra
estrazione del lavoro degli utenti, oligopoli e controllo - Perla
Conoscenza
16:00 - 16:30 - ISO 27001 e cloud computing - Andrea Orsi

16:30 - 17:00 ----- break

17:00 - 17:30 - Dimostrare il fallimento delle intercettazioni online -
Claudio Agosti - Progetto Winton Smith
17:30 - 18:00 - L’introduzione del principio di Responsabilita' secondo
il Gruppo dei Garanti Europei - Monica Gobbato

POSTER - Tecnologie di face recognition e impatto sulla privacy: stato e
prospettive- Alberto Cammozzo - TagMeNot.info


Dettaglio degli Interventi
--------------------------

Lucilla Mancini - Business-e, Robert Rosen - Gianni Cimino e partners
Il contratto e gli SLA con il cloud service provider
Il Cloud ed il service provider. Requisiti di sicurezza e conformita':
le leggi applicabili. Il contratto con il provider: elementi
fondamentali. Gli SLA: la definizione, il controllo da parte del
cliente.
Lo strumento fondamentale per gestire tutte le eventuali problematiche
che vengono associate al Cloud e' il contratto insieme con i livelli di
servizio condivisi. Attraverso questi elementi, infatti, se gli stessi
sono creati in maniera corretta e con la totale consapevolezza degli
aspetti cruciali da considerare senza complicare pero' la possibile
fruizione di tali servizi, qualsiasi cliente puo' utilizzare serenamente
la “nuvola”.
top

Yvette Agostini, Valerio Vertua
Il cloud data storage: stato dell'arte, rischi e tutela della privacy
L'utilizzo del Cloud Computing rappresenta per le aziende un modo per
ridurre di molto i costi legati all'IT ed e' estremamente usabile per
gli utenti finali.
E' percio' molto probabile che l'adozione di tali tipi di servizi andra'
diffondendosi sempre di piu'. Focalizzandosi sul cloud data storage, si
valuteranno alcuni dei mezzi tecnici adottati nel fornire alcune
funzionalita', tentando di individuare a quali tipi di rischi sono
soggetti i dati affidati a questo tipo di tecnologie.
L'analisi avra', inoltre, ad oggetto la tutela della privacy e piu' in
generale la liceita' del trattamento dei dati sulla base della normativa
vigente in Italia e nella UE, tenuto anche conto che i data storage sono
spesso ubicati in paesi extra-UE, con l'obbiettivo di fornire delle
linee guida agli utenti finali.
top

Marco Piermarini/strong> - ICT Academy
Cloud computing, un'opportunita' di cui comprendere vantaggi e rischi,
per privati ed aziende
Descrizione di cos’e' il cloud, la sua evoluzione come offerta, i rischi
connessi alla mancanza di una normativa uniforme.
I problemi legati alla connessione per accedere ai dati. L’evoluzione
della normativa.
La soluzione di cloud computing e' assolutamente valida ed essenziale
per rendere scalabile e performante l’accesso al Web. Come vengono
trattati i nostri dati. Che leggi si applicano all’accesso ad un sito
che e' presente in server in tante location diverse.
L’evoluzione e' verso l’Application as a service, un mondo di app
accessibili con browser o altri servizi, un sistema che riduce la
liberta' dell’utente vincolato da queste applicazioni e dai contratti
non sempre trasparenti che definiscono a cosa accede e come vengono
trattate le informazioni raccolte durante il loro uso.
Per le aziende si passa dal semplice storage, back up od hosting a
servizi piu' evoluti, personalizzati e scalabili, con costi che sono
proporzionati all’uso e che all’apparenza convengono alle aziende e ai
privati. La difficoltà' e' capire le garanzie di sicurezza e di gestione
di quelle informazioni. Altro rischio del cloud: la banda larga e la
capacita' di garantire l’accesso sicuro. Da qui la necessita' di servizi
che siano criptati o che tutelino il traffico generato.
Il problema della legislazione non coerente in tutti i contesti, quali
diritti ha il cittadino digitale, verso chi li puo' esercitare, ma anche
i diritti di chi crea, come saranno tutelati in futuro. I Garanti
Europei come pensano di intervenire.
top

Stefano Aterno
Trattamento dei dati personali e responsabilita' nell'era del cloud
computing: istruzioni per l'uso?
Cosa sta accadendo alle garanzie dell'individuo sul trattamento dei dati
personali e alla tutela offerta dalle norme del nostro Paese ? le norme
in vigore sono ancora in grado di far fronte ai nuovi e complessi
strumenti tecnologici? Quanto sara' importante prevedere a livello
mondiale norme e strumenti di tutela ? l'importanza della chiarezza e
della trasparenza delle informative e delle informazioni. A queste
domande prima o poi bisognera' dare risposte certe e strumenti di tutela
efficaci. Sui problemi che pongono queste domande cercheremo di
confrontarci durante il mio intervento.
top

Francesco Paolo Micozzi -
La responsabilità penale del cloud service provider
L'analisi giuridica delle problematiche che ruotano attorno ai sistemi
di cloud computing e, in particolare a quelli di cloud storage, per le
loro intrinseche peculiarità rinnovano l'interesse attorno all'annosa
questione sulle responsabilità dei provider.
In questo breve intervento saranno tratteggiati gli eventuali profili di
responsabilità penale dei cloud service provider per le attività
illecite poste in essere dai destinatari dei servizi.
top

Marco Ortisi
Responsable Disclosure: quanto e' efficace nel contrastare il fenomeno
del data leaking?
Compilare form a casaccio sul web pare essere diventato uno sport
nazionale.
In pochi ci pensano due volte prima di fornire i propri dati personali
(nome, cognome, numero di telefono, indirizzo, data di nascita, etc..) a
siti e portali di e-commerce di vario tipo, anche se il login viene
effettuato un'unica volta magari per spese occasionali (ordinare i
croccantini al cane, comprare un capo di abbigliamento o un articolo
tecnologico, etc..).
Ma quanto i nostri dati sono effettivamente sicuri dentro questi
database dall'indubbia tracciabilita' e spesso dal ciclo di vita
sconosciuto? In Italia abbiamo una legge (la 196/03) che dovrebbe
tutelare la privacy dei cittadini e degli utenti. Tutti i siti che
trattano dati personali o comunque sensibili la citano, riportando
debitamente i nomi dei responsabili del trattamento, ma pochi sembrano
interessarsene ed effettivamente rispettarla.
Il talk porta all'attenzione del pubblico alcuni recentissimi casi
inediti di data leaking nostrani per un totale di 500 mila record
personali trafugabili e potenzialmente esposti.
Tra vicissitudini rocambolesche e silenzi imbarazzanti dall'altra parte
del telefono, ricopercorremo le tappe che hanno contraddistinto le fasi
della "responsable disclosure" che l'autore ha seguito nei confronti di
chi ha messo in atto queste violazioni nei propri portali web, di come i
dati acceduti potevano essere utilizzati per fini malevoli e di come/se
le cose sono cambiate dopo la segnalazione delle falle.
top

Stefano Marcolini, Eleonora Colombo - Facolta' di Giurisprudenza,
Universita' dell’Insubria, Roberto Flor Facolta' di Giurisprudenza,
Universita' di Verona
Security, Privacy e Data retention nel cloud scenario. Aspetti di
diritto penale sostanziale e processuale
La tutela dei diritti fondamentali attraverso la riserva di legge e
quella di atto motivato dell’autorita' giudiziaria. La riserva di legge
formale e sostanziale. L’atto di indagine atipico e i suoi limiti.
Il c.d. data retention e “law applicable” nel cloud scenario. Limiti
costituzionali e prospettive de jure condendo alla luce di importanti
decisioni dei Giudici delle Leggi in Europa. Dal caso Marper v. United
Kingdom allo scenario “cloud” nella gestione delle banche dati.
Prospettive di sviluppo di forme di cooperazione piu' rapide ed
efficienti per la prevenzione e repressione della criminalita'
transnazionale. Abstract;
La minaccia legata all’uso di Internet e delle nuove tecnologie per la
commissione di reati (sia propriamente informatici, che “informatici in
senso improprio”) e' particolarmente allarmante ed in continuo sviluppo,
in primis per la forte dipendenza dell’attuale assetto sociale,
economico e politico dalla informatizzazione e dalla rete globale.
Nel nuovo “cloud scenario” si assiste non solo ad una sostanziale
modifica strutturale nella fruizione e nella archiviazione delle risorse
online e nelle modalita' di condivisione e comunicazione di dati (anche
di interesse e rilevanza giuridico e giudiziaria) ed informazioni
attraverso Internet, ma anche alla nascita di nuovi attori, o di nuovi
ruoli per soggetti gia' presenti nello scenario “tradizionale” (cloud
computing provider, user, data subject, data processor).
Le caratteristiche del cloud computing, da un lato, possono essere viste
alla stregua di nuove potenzialita' per la gestione di risorse sempre
piu' estese territorialmente, dall’altro lato, pero', costituiscono un
mezzo per la preparazione e la commissione di reati, anche gravi, contro
la vita, l’incolumita' fisica e la sicurezza dello Stato (si pensi, ad
esempio, ad atti terroristici, che possono avere quale obiettivo non
solo vite umane, ma anche sistemi informatici sensibili o informazioni
segrete dello Stato) e, dunque, sollecitano una attenta riflessione
sulla necessita' di adattare il sistema penale per rispondere a nuove
esigenze di tutela e, al contempo, di disciplina di tipologie di
indagini a “carattere tecnologico” aventi altresi' fini preventivi. In
questo contesto il c.d. data retention assume un ruolo fondamentale, in
quanto si trova ed esprimere il bilanciamento fra contrapposte esigenze:
di tutela della privacy, della sicurezza, nonche' della necessita' di
accertare e contrastare gravi forme di criminalita' che, in quanto
realizzate tramite Internet o nel cyberspace, hanno natura
congenitamente transnazionale.
De jure condito, il sistema penale, nel suo insieme, si trova a dover
rispondere ad importanti quesiti, ancora aperti. Il Dr. Stefano
Marcolini (Universita' dell’Insubria) trattera', in particolare, della
tradizionale tecnica impiegata per proteggere alcuni (i piu' importanti)
diritti fondamentali nella Costituzione italiana: la riserva di legge e
quella di giurisdizione.
Passera' successivamente alla ricognizione delle Carte internazionali,
traendo due conclusioni: la possibilita' di ricorrere a tale doppia
garanzia tutte le volte che si abbia a che fare con un diritto
fondamentale, anche non rientrante tra quelli espressamente protetti (il
caso della riservatezza, art. 8 CEDU); l’opportunita' di prevedere una
riserva di legge contenutistica e improntata al c.d. principio di
proporzionalita' in materia di tutela dei diritti fondamentali. Da
ultimo, discutera' della possibilita' di introdurre nel codice di rito
penale una disciplina dell’atto di indagine atipico.
Il Dr. Roberto Flor (Universita' di Verona) trattera', in particolare,
del c.d. data retention nel cloud scenario, partendo dalla disciplina
europea e dalla sua attuazione in alcuni Stati, in specie in quelli dove
le Corti Costituzionali hanno dichiarato l’incompatibilita' della
disciplina interna rispetto ai principi espressi dalle Carte
Costituzionali e dalle Convenzioni Internazionali. L’intervento
individuera' alcuni standard elevati per la predisposizione di una norma
basata su criteri generalmente condivisibili in Europa, nonche' alcune
prospettive de jure condendo nel cloud scenario, considerando sia le
problematiche relative alla “law applicable” che il ruolo del “cc
service provider”.
La Dr.ssa Eleonora Colombo (Universita' dell’Insubria), partendo dal
problema della disciplina del cd. data retention applicata alle banche
dati, come trattato nella sentenza della Corte Europea dei Diritti
dell’Uomo del 4 dicembre 2008 nel caso Marper v. United Kingdom,
offrira' una panoramica sulle banche dati UE esistenti, con particolare
attenzione alle modalita' di funzionamento, archiviazione e flusso dei
dati verso le autorita' richiedenti.
L’intervento tendera' all’individuazione dei pro e dei contra di uno
scenario “cloud” di gestione delle banche dati e soprattutto dei flussi
di dati, nella prospettiva di sviluppo di forme di cooperazione piu'
rapide ed efficienti, per la prevenzione e repressione della
criminalita' transnazionale.
top

Alessio L.R. Pennasilico
Guardiamoci in faccia, nonostante le nuvole
I servizi cloud sono di certo una ottima occasione per poter gestire con
costi contenuti i propri servizi di videoconferenza. Tuttavia potrebbero
esistere "dettagli" sul fronte security non immediatamente evidenti agli
utilizzatori.
top

Alessandro Rodolfi - Corso di Perfezionamento in Computer Forensics e
Investigazioni Digitali)
Il Diritto all’anonimato nella Societa' dell’Informazione
L’intervento presenta uno studio dell'anonimato nell’ordinamento
giuridico italiano con particolare riferimento alla protezione dei dati
personali (D.Lgs. n. 196/2003).
Nella “Societa' dell’Informazione” l’esponenziale aumento del valore
delle informazioni stesse e la facilita' di identificazione dei soggetti
attraverso l’utilizzo di nuove tecnologie rende l’anonimato un
imprescindibile strumento di difesa della propria liberta' ancor prima
che un esercizio, talvolta l’unico effettivamente possibile, del diritto
alla protezione dei dati personali e della riservatezza.
top

Simone Bonavita - Studio legale Perani Pozzi Tavella
Il Cloud, tra contrattualistica e privacy
Gli addetti ai lavori – siano essi tecnici o giuristi – lamentano una
carenza di norme atte a regolare il fenomeno del Cloud Computing. Alla
effettiva carenza di norme imperative puo', tuttavia, sopperire una
corretta regolamentazione contrattuale.
La problematica certamente più critica concerne il trattamento dei dati
personali che può essere considerato lecito solo se effettuato nel
rispetto dei criteri di liceità stabiliti dal Codice. Detta condizione
può essere rispettata tramite la sottoscrizione di specifiche clausole
che prevedano lecite modalita' del trattamento dei dati personali.
Una efficace gestione dei dati effettuata tramite sistemi Cloud non
puo', pertanto, prescindere da una corretta normazione che definisca il
perimetro della nuvola stessa.
top

Carlo Blengino, Monica A. Senor - avvocati penalisti, Foro di Torino
Le Procure nella nuvola: data retention e cloud forensics
La digital forensics subira' notevoli modifiche nel cloud computing; si
ipotizza un incremento dell’utilizzo delle intercettazioni telematiche e
delle ispezioni, che tuttavia sono mezzi di ricerca della prova molto
piu' costosi ed impegnativi della classica analisi degli hardware
proprietari. Ai fini dell’analisi forense diventeranno quindi sempre
piu' preziosi i file di log di sistema ed i cd. meta-dati.
La normativa vigente sulla data retention (la cui direttiva di
riferimento, 2006/24/CE, e' assai criticata sia dal WP 29 che dalle
associazioni a tutela dei diritti civili) consegna su di un piatto
d’argento agli investigatori prezioso materiale d’indagine, ma ha
comunque un’applicazione limitata.
Ad essa si sono negli ultimissimi tempi affiancate procedure come la
“quick freeze” che opera sulla base dell’art.16 della Convenzione di
Budapest, proposte di “quick freeze plus” (quest’ultima avanzata in
Germania ove la Corte Costituzionale Federale lo scorso anno ha
annullato la legge tedesca di recepimento della direttiva per violazione
dei diritti umani fondamentali) ed interventi legislativi ad hoc (come
l’arrêt francese n.2011-291) che prevedono nuovi obblighi di retention
ex lege in capo agli ISP.
Queste iniziative legislative, oltre a comportare l’ennesimo attacco
alla privacy dei cittadini digitali in nome di esigenze di lotta al
crimine ed al terrorismo, rappresentano un grande ostacolo al pieno
sviluppo del cloud computing.
top

Tommaso Gagliardoni - Progetto Winston Smith
Negabilita' plausibile su disco: luci e ombre di Truecrypt
Digressione su alcuni sistemi di protezione dei dati nel proprio
computer, attacchi legali e illegali alla propria riservatezza ed esempi
pratici e teorici, con particolare enfasi sul software di cifratura
Truecrypt. E tanta, tanta paranoia.
Spesso il furto di un laptop viene a costarci ben piu' del valore
commerciale dell'oggetto fisico: i dati che quotidianamente vengono
salvati nei nostri dispositivi digitali sono un tesoro da custodire
gelosamente.
Questo tanto pi vero se siamo in possesso di informazioni sensibili, e
se c'e' qualcuno che ha intenzione di impossessarsene con metodi piu' o
meno legali - pensiamo a giornalisti in zone di guerra o in paesi a
bassa democrazia, o a manager depositari di importanti segreti
industriali.
Negli ultimi anni, inoltre, si sono moltiplicate discutibili azioni dei
legislatori in varie parti del mondo atte a garantire l'accesso a
informazioni riservate da parte dell'autorita', indipendentemente dalla
volonta' del proprietario dei dati, e spesso per motivi che esulano
dalla legittima necessita' del mantenimento della pubblica sicurezza.
Sotto queste condizioni una tradizionale cifratura dei dati non
sufficiente. La negabilita' plausibile (plausible deniability) un
insieme di tecniche atte a fornire un alibi credibile nel caso in cui si
venga costretti in qualche modo a dover rivelare un segreto.
Truecrypt un software opensource implementa la plausible deniability
mediante la creazione di contenitori "nascosti" all'interno di un
computer, ove poter immagazzinare informazioni riservate. Nonostante sia
un software considerato sicurissimo e largamente usato, Truecrypt ha
alcune limitazioni e alcuni lati oscuri di cui indispensabile essere
informati per un utilizzo consapevole.
top

Primavera De Filippi - CERSA / CNRS – Universite' Paris II
Free as in Google: Cloud Computing e Liberta'
Il Cloud Computing si caratterizza dal fatto che la maggior parte dei
dati o delle applicazioni sono salvati o condivisi su server gestiti da
terzi. Dato che le risorse si stanno allontanando dagli utenti finali
per dirigersi verso sistemi centralizzati governati da aziende di grandi
dimensioni, e' diventato essenziale garantire una buona riservatezza dei
dati e una maggiore sicurezza delle informazioni.
Non solo e' necessario sapere dove si trovano i dati, ma anche chi ci
puo' accedere e come possono essere utilizzati. La difficolta' risiede
nel fatto che, essendo il Cloud di natura internazionale, e' spesso
difficile determinare la legge applicabile.
Lo spostamento del patrimonio informativo dai dispositivi degli utenti
verso il “Cloud” ha portato a una serie di cambiamenti molto simili a
quelli che si sono osservati dopo la rivoluzione industriale.
Mentre il Web 2.0 ha introdotto nuove opportunita' per gli utenti,
consentendo loro di esprimersi e di sperimentare con nuovi modi di
produzione di tipo collaborativo, l’avvento del Cloud Computing ha
ridotto la capacita' (e la volonta') degli utenti a produrre con mezzi
propri. La maggior parte dei mezzi di produzione (hardware, software,
dati o informazione), cosi' come gli output di produzione
(user-generated content), sono concentrati nelle mani dei grandi
provider di servizi su Internet, che si avvalgono di un potere assoluto
sul loro accesso e utilizzo.
Gli utenti si trovano spesso a dover sacrificare la loro privacy tramite
accordi contrattuali per ottenere un servizio migliore ad un costo
minore. Molti rinunciano volontariamente ai loro diritti in cambio di un
servizio piu' attento e personalizzato. Altri, invece, rinunciano ai
loro diritti e alla loro liberta' senza neanche rendersene conto.
top

Alessandro Mantelero - Politecnico di Torino
Cloud computing ed attivita' di impresa: la tutela dei dati personali ed
aziendali
Il trattamento dei dati personali ad opera del fornitore dei servizi di
cloud computing: l'organigramma del trattamento ed i rapporti con il
fruitore del servizio. La localizzazione dei servizi di cloud computing
e la connotazione transfrontaliera del trattamento. La sicurezza dei
dati e delle informazioni aziendali.
La regolamentazione dei flussi di dati generati dal ricorso al cloud
computing e' destinata ad assumere notevole rilievo, per le ricadute in
termini organizzativi e di responsabilita' che ha sulle imprese.
Nello specifico, stante la natura dato-centrica della normativa sui dati
personali, la diversita' soggettiva fra cliente e fornitore del servizio
non comporta necessariamente l'autonomia degli stessi sul piano del
trattamento dati, dovendosi guardare alle posizioni assunte in concreto
dalle parti rispetto al trattamento dati.
Occorrera' dunque interrogarsi sulla qualificazione giuridica del
fornitore dei servizi di cloud computing; in proposito, dalla disamina
dei diversi profili operativi, pare potersi ravvisare nel rapporto fra
gestore del cloud e cliente una relazione fra processor e controller,
con precise ricadute in termini organizzativi, di gestione della
sicurezza e di responsabilita'.
Considerata la delocalizzazione di molti servizi cloud, verra' altresi'
posta attenzione alla disciplina dei flussi transfrontalieri di dati,
con particolare riguardo all'impiego delle clausole-tipo approvate dalla
Commissione Europea.
Da ultimo verra' esaminato il profilo inerente la sicurezza dei dati,
tanto con riferimento alla perdita di controllo sulle informazioni che,
in maggior o minor maniera, il ricorso al cloud computing implica,
quanto con riguardo alle criticita' correlate ai possibili processi di
concentrazione.
top

Paolo 'Aspy' Giardini - O.P.S.I - Osservatorio Privacy e Sicurezza
Informatica
La privacy dei piccoli
Le Micro e mini imprese e gli "adempimenti privacy". La situazione sul
campo a 14 anni dalla entrata in vigore della 675/96 ed a 7 anni dalla
entrata in vigore della 196/2003. Riflessioni sulla applicazione della
normativa privacy, sulla sua diffusione, sui risultati rispetto alle
finalita' ed in definitiva, sulla sua opportunita' o meno in questo
settore.
top

Simone Onofri
Anonymous for fun and profit
Partendo dalla comprensione delle informazioni che rilasciamo quando
siamo on-line e off-line quali sono i metodi e gli accorgimenti tecnici
e sociali che possiamo usare per essere anonimi.
"avrebbero potuto analizzare e mettere su carta, nei minimi particolari,
tutto quello che s'era fatto, s'era detto e s'era pensato" - 1984
Il mercato dell'identita' - anonima o meno - e' molto variegato. C'e'
chi ha fatto un business nella raccolta e analisi di informazioni e chi
ha fatto, invece, un business sull'anonimita'.
Se la "paranoia e' una virtu'", quali sono le informazioni che
rilasciamo piu' o meno consciamente anche solo quando siamo on-line
oppure off-line? Quali gli effetti e i pericoli? Quali i metodi e gli
accorgimenti che possiamo usare per controllare le nostre informazioni?
Guidati dai testi degli Anonymous, partendo dal concetto di "identita'"
e "identita' digitale" e da esempi tratti dalle operazioni che facciamo
tutti i giorni, vedremo insieme i consigli e strumenti tecnici e non per
l'anonimita' anche se programmi e configurazioni sono solo l’inizio di
un atteggiamento "sociale" piu' profondo.
Anche la sola visita di una pagina web comporta un rilascio di
informazioni personali a piu' soggetti, informazioni che partono dal
dispositivo che utilizziamo e arrivano. E se quella pagina e' un social
network, un negozio o ci permette di interagire in qualche modo con
altre persone entrano in gioco una serie di fattori più sociali che
tecnici.
top

Gianluca Moro - CloudUSB Project
Il controllo dei dati nel cloud
Si presenta un possibile approccio all'uso di tecnologie di storage
distribuito, che unisca la comodita' di avere i dati disponibili
ovunque, alla garanzia per l'utente della proprieta' e controllo sugli
stessi.
Il progetto http://cloudusb.net fornisce un proof-of-concept dell'idea.
Lo sviluppo di tecnologie basate sul cloud-computing ha due risvolti
fondamentali: la disponibilita' di dati e programmi ovunque ci si trovi
e la perdita del controllo, della proprieta', della tracciabilita' sui
propri dati.
Il primo punto rappresenta una grande comodita', tale che si tende a
chiudere un occhio sul secondo, con grande gioia di chi tali dati li
gestisce. Il progetto CloudUSB.net si propone come proof-of-concept di
un approccio allo storage distribuito basato sul "Punto di controllo": i
dati possono essere distribuiti a piacere in rete ma l'utente ne
controlla l'accessibilita' e la sicurezza all'origine.
I programmi di gestione e quelli che garantiscono la sicurezza restano
fisicamente in mano all'utente, memorizzati su una chiavetta USB con
relativo sistema operativo.
L'ingombro di quanto si deve avere con se' e' minimo, ma avendo accesso
ad un qualunque computer, si possono usare i propri dati ovunque ci si
trovi. CloudUSB fornisce, in un dispositivo fisico molto comune, un
punto di controllo che consente all'utente di mantenere la privacy dei
propri dati, lasciando tuttavia la flessibilita' nell'uso di risorse di
memorizzazione distribuite e facilmente accessibili da ogni luogo.
Nel caso di perdita del dispositivo (la chiave USB), il software
garantisce comunque la sicurezza e privacy dei dati, e consente il loro
recupero. Il progetto e' attivo all'indirizzo: http://cloudusb.net
top

Giovanni Ziccardi - Universita' degli Studi di Milano
Il leaking e la divulgazione di documenti riservati tra diritto, etica e
tecnologia
Il leaking pone, contestualmente, problemi giuridici, etici e
tecnologici. Il diritto si interessa al problema della rivelazione di
documenti riservati, soprattutto provenienti da infrastrutture critiche.
La tecnologia si occupa di garantire metodi i piu' sicuri possibili per
la trasmissione e la divulgazione dei documenti. Un approccio
interdisciplinare e' particolarmente interessante e, per alcuni versi,
indispensabile.
In questo intervento si metteranno in luce i punti critici del sistema
ma anche i vantaggi che un sistema simile puo' portare in qualsiasi
sistema politico.
top

M. Morena Ragone, Giuseppe Santo Barile
L'utilizzo della PEC all'interno del processo civile telematico alla
luce delle regole tecniche di cui al Decreto n. 44 del 21 febbraio 2011:
quale privacy?
L'intervento intende fare luce sulle problematiche relative alla privacy
nascenti dall'utilizzo delle comunicazioni mediante posta elettronica
certificata in applicazione del Regolamento concernente le regole
tecniche per l'adozione nel processo civile telematico delle tecnologie
dell'informazione e della comunicazione, adottate dal Ministero con
Decreto n. 44 del 21 febbraio scorso.
top

Stefano Turchi - Dip. Elettronica e Telecomunicazioni, Facolta' di
Ingegneria, Universita' di Firenze
L’importanza della qualita' nel Web di Dati: modello di sicurezza e
privacy per la gestione dell’e-profile
I recenti sviluppi del Web hanno messo in luce la grande convenienza nel
riuso, aggregazione e pubblicazione di dati granulari utilizzabili dalle
applicazioni per costruire contenuti significativi ed utili per
l’utenza. Iniziative del calibro del Linked Data sostengono
significativamente queste tendenze.
La possibilita' di aggregare “mattoni informativi” appartenenti a
sorgenti eterogenee rappresenta il punto di forza di questo approccio
perche' apre le porte ad un Web sempre piu' interconnesso,
interoperabile ed espressivo sia per le macchine che per le persone.
Ad esempio, la gestione dell’e-profile costituisce un’esigenza concreta
che avvalora l’importanza di (ri)usare e rendere interoperabili dati
distribuiti nel Web che rappresentano le identita' di un utente.
Tuttavia esiste un’altra faccia della medaglia che riguarda la qualita'
dei dati costruiti a partire da mattoni informativi che provengono da
fonti incerte. InterDataNet (IDN) e' un’architettura Web nata proprio
con lo scopo di aprire le porte dell’interconnessione e del riuso anche
a quelle applicazioni che necessitano di trattare con dati sui quali
devono essere garantite proprieta' come sicurezza, trust, privacy,
provenance, licensing, versioning, availability, ecc...
In questa presentazione si illustra in particolare il modello di
sicurezza e privacy adottato da IDN per la gestione dell’e-profile, un
applicazione critica per quanto concerne la qualita' dei dati,
focalizzandosi su autenticazione ed identificazione. Queste proprieta'
sono abilitate all’interno dell’architettura di IDN per consentire ad un
qualsiasi utente di beneficiare del livello di protezione e privacy a
prescindere dall’applicazione utilizzata. Il progetto prevede la
creazione di un sistema di autenticazione ed identificazione
completamente distribuito e decentralizzato in cui il dato stesso sia in
grado di auto proteggersi, sostenuto dall’architettura.
Il sistema utilizza un protocollo basato su OAuth2 per la gestione
dell’autorizzazione e su OpenID2 per identificare le entita' coinvolte.
top

Alberto Cammozzo
Designed for democracy: pattern di interferenza tra codici giuridici e
codici informatici nei recenti casi di censura online e offline
Il 2010 ha visto il confronto tra i poteri territoriali sovrani e quelli
espressi da cittadini organizzati dotati di volonta' comune e di
infrastrutture di comunicazione.
Le vicende Wikileaks e quelle delle rivoluzioni nordafricane hanno
dimostrato quali possono essere le interferenze tra due poteri. Il
dipanarsi delle mosse di attacco e difesa hanno messo in evidenza punti
di forza e di debolezza dell'architettura della Rete e quindi –stando a
Lessig– del suo codice.
Da una parte i governi hanno dimostrato una grande facilita' di
esercitare censura e controllo (sia sugli individui che sulle
infrastrutture). Dall'altra la facilita' di replicare e spostare dati
rende inefficaci questi processi di controllo. I punti critici si sono
rivelati quelli in cui gli spazi territoriali si incontrano con il
cyberspace.
Dall'esperienza Wikileaks abbiamo appreso che ridondanza e
policentrismo, ove possibili, hanno efficacemente combattuto la censura
nel cyberspace. Le vicende Wikileaks e quelle nordafricane hanno
mostrato invece che le strutture accentrate e legate al territorio sono
quelle piu' soggette al controllo. Le scelte tecnologiche
sull'architettura della rete che verranno effettuate oggi decideranno se
quella di domani sara' disegnata per il controllo o per la democrazia.
top

Perla Conoscenza - Libero Sapere
Le Nuvole dell’Internet del futuro all’orizzonte: fra estrazione del
lavoro degli utenti, oligopoli e controllo
I principi di Internet. Internet una rete storicamente determinata.
Mutamento delle condizioni storiche. La fine dell'architettura
distribuita e la concentrazione: il cloud computing. Il ruolo del
Sapere. Il ritorno dei monopoli. Gli oligopolisti. La fine della
neutralita' della rete e l'esempio del VoiP. La battaglia sulla
neutralita' in USA e in Europa. E in Europa? Ci affidiamo alla
trasparenza del mercato. Mediaset e Telecom.
Conclusioni e due esempi a margine:
Facebook offre di controllare l'identita' di chi scrive sui blog dei
quotidiani.
Il consiglio EU: creazione di un "single secure EU cyberspace" e
"virtual Schengen border" dove gli ISP devono bloccare contenuti e
comunicazioni illecite.
Nel XXI secolo, i saperi e le conoscenze sono la risorsa chiave per
l’egemonia politica e economica; per lo sviluppo e il controllo della
societa'. e' in corso una battaglia globale per la recinzione e la
trasformazione di queste risorse in merci, dalle quali alcuni oligopoli
globali potranno avere un controllo totale sui nostri comportamenti e
potranno estrarre profitti astronomici.
Elemento chiave di questa battaglia e' la profilazione dei comportamenti
degli utenti, utilizzato sia per fini di business e marketing che di
controllo politico, si basa sull’integrazione del lavoro volontario
degli utenti delle “reti sociali” e dell’integrazione dei dati estratti
dai device mobili e dalla triangolazione delle celle di comunicazione.
Le caratteristiche della rete internet che conosciamo non sono
caratteristiche naturali delle reti, ma sono storicamente determinate e
sono dovute al peculiare momento storico di 50 anni fa quando sono nati
i presupposti di internet. Rassegnamoci quindi alla graduale sparizione
di principi della rete, quali la net neutrality e la sua struttura
distribuita della rete e prepariamoci all’internet del futuro:
informazioni centralizzate in poche grandi nuvole oligopolistiche;
discriminazione e controllo del traffico.
Un modello simile all’editoria del passato e ai broadcast televisivi,
dove chi ha il controllo dell’ultimo miglio e dei cloud, in combutta con
i governi, decide cosa puo' essere in rete e a quale costo. Dove i
grandi attori lavorano alacremente per ricostruire frontiere e le
barriere.
top

Andrea Orsi - A.ma.di.r - Alumni Master Diritto della Rete
ISO 27001 e cloud computing
Qual e' il significato della certificazione ISO 27001 per i fornitori di
servizi cloud? Per l’utente puo' essere una discriminante per la scelta
del provider?
Questi sono i quesiti principali a cui il nostro intervento risponde dal
punto di vista dell’utente (business o customer) e del fornitore.
Quanto le nostre vite, o pezzi assemblabili di esse, si siano riversate
nel web, e' palese a tutti. Una parola (web) per indicare una delicata
catena in cui chi opera si propone spesso su una base autoreferenziale
sfruttando, a volte, l’inconsapevolezza dell’utente.
E’ prassi di tutti utilizzare servizi web percepiti come gratuiti o
barattati con un piccolo pezzo della nostra vita. La privacy e' moneta
di scambio, un diritto vessabile, come se la sua intangibilita' la
rendesse rigenerabile all’infinito.
Ma cosa comporta un’inevitabile sviluppo di una coscienza critica da
parte dell’utente finale della Rete (business o customer)?
Nel mercato dei provider di servizi cloud un vantaggio competitivo sara'
quello di uscire dall’autoreferenzialita', riuscire a portare le
evidenze in chiave piu' oggettiva e misurabile possibile delle modalita'
di trattamento dei dati di terzi, attraverso, per esempio, la
certificazione ISO 27001:2005. Tale norma rappresenta lo standard
internazionale per garantire l’integrita', la riservatezza e
disponibilita' dei dati; in generale, la sicurezza del patrimonio
informativo.
Questa e' la strada gia' intrapresa da opinion leader come Amazon ed
annunciata da altri come Microsoft. La nostra presentazione pone in
evidenza cosa comporti la conformita' alla norma ISO 27001 per i
fornitori di servizi cloud e cosa significhi il bollino di
certificazione.
top

Claudio Agosti - Progetto Winston Smith
Dimostrare il fallimento delle intercettazioni online
La comunita' di Vorratsdatenspeicherung studia da anni elementi perche'
la comunita' europea interrompa di legiferare pro-data retention.
In parallelo in Inghilterra, societa' storicamente piu' controllata,
escono i primi dati sugli effetti lesivi del controllo.
Queste considerazioni come corollario del progetto SniffJoke, un
software che dal punto di vista scientifico confonde le intercettazioni
online, realizzato per essere facilmente usabile da un utente.
top

Monica Gobbato - Foro di Milano
L’introduzione del principio di Responsabilita' secondo il Gruppo dei
Garanti Europei
La relazione intende offrire un’analisi del nuovo principio di
Responsabilita' di prossima introduzione nella versione riveduta della
direttiva europea 95/46. Si esamineranno le proposte del Gruppo riunito
ai sensi dell’art. 29 per migliorare nella pratica l’efficacia delle
misure di protezione dei dati personali gia' previste dalla direttiva e
dalle leggi nazionali.
La relazione riguardera' il cosiddetto principio di Responsabilita'
illustrato dai Garanti Europei riuniti ai sensi dell’art. 29 della
direttiva 46/95. Il parere dei Garanti intende sviluppare il precedente
contributo fornito sull’argomento dal Gruppo di lavoro sul futuro della
privacy, gia' relazionato nell’ambito da e-privacy 2010, sempre
dall’avv. Gobbato. Lo scopo del parere e' quello di assistere la
Commissione Europea nella revisione della direttiva 95/46, attualmente
in corso.
I Garanti si sono resi conto di quello che hanno definito l’“effetto
diluvio”, cioe' un continuo aumento della quantita' di dati personali
esistenti, elaborati e ulteriormente trasferiti. Questo fenomeno e'
favorito sia dai progressi tecnologici, nel senso di sviluppo dei
sistemi di informazione e di comunicazione, sia dalla crescente
capacita' degli utenti di impiegare le tecnologie e interagire con esse.
Con l’aumento della quantita' di dati trasferiti in tutto il mondo,
aumentano di conseguenza anche i rischi di abuso.
Cio' considerato, il Gruppo ritiene che si debba introdurre un principio
di responsabilita' nella versione riveduta della direttiva 46/95 in modo
che i Titolari siano messi in grado di far funzionare meglio i principi
sostanziali di protezione dei dati personali gia' esistenti.
L’introduzione del principio di responsabilita' non rappresenta una
grande novita' nel senso che non impone obblighi che non fossero gia'
impliciti nella normativa vigente. In pratica la nuova disposizione non
mira ad assoggettare i responsabili del trattamento a nuovi principi, ma
piuttosto a garantire di fatto l’effettiva osservanza di quelli
esistenti.
La relazione intende chiarire tutti questi aspetti fornendo l’ipotetico
ma prossimo scenario giuridico e pratico sulla protezione dei dati
personali.


Poster disponibili durante il Convegno
--------------------------------------

Alberto Cammozzo - TagMeNot.info
Tecnologie di face recognition e impatto sulla privacy: stato e
prospettive
La celebre vignetta di Steiner deve essere emendata: "In Internet,
nessuno dimentica che sei un cane".
Con "Face recognition" vengono ricomprese un certo numero di diverse
tecnologie tra cui la "face detection", il "matching" della stessa
faccia in diverse immagini, l'associazione della faccia con l'identita'
di una persona, la verifica biometrica di identita', ecc... L'intervento
vuole porre molte domande e iniziare una riflessione condivisa sulle
possibili soluzioni, tecnologiche e normative.
Qual'e' lo stato attuale della tecnologia? Quali problemi pone in
termini di privacy? Quali problemi emergono in termini di asimmetrie nel
mercato della merce che sono i dati personali?
Perche' Google e altri si trattengono dal rilasciare applicazioni
strepitose gia' pronte basate su queste tecnologie? Cosa succede o puo'
succedere fuori dai riflettori? Cosa fanno le autorita' garanti? Quali
sono i meccanismi possibili di opt-out?
Una modesta risposta tecnologica puo' venire dal progetto TagmeNot.info.
Sul piano normativo si attendono sviluppi dalle autorita' garanti
europee interpellate il 13 Aprile 2011 con una lettera aperta
disponibile online: