NeXtQuotidiano > Due cose che non sapete di Hacking Team

Posted on 21 Luglio 2015 by Daniele Minotti

(da neXtquotidiano del 20 luglio 2015)

Della vicenda Hacking Team si è scritto veramente molto, sondando quasi tutti gli aspetti critici: sicurezza informatica, terrorismo, spionaggio, concorrenza, ecc. C’è un tema, però, che non mi sembra sia stato trattato adeguatamente. Tendiamo a credere che i clienti dell società milanese fossero soltanto Stati, magari anche ostili, ma non è così. Perché, pur senza gradi proclami, sono state scoperte fatture emesse a Carabinieri, Polizia Postale e GICO (Guardia di Finanza).

Ma è chiaro che difficilmente queste Forze dell’Ordine, che svolgono attività anche di polizia giudiziaria, agiscono d’iniziativa, specie intercettando (perché è di intercettazioni che parliamo). Mi sembra che nessuno abbia scritto o pronunciato la parolina magica: Magistratura. Che gli inquirenti chiedano sempre maggiori strumenti per accertare e perseguire reati è un dato di fatto. A tale proposito, mi sembra si possano possano menzionare due episodi recenti, passati un po’ in sordina, ma, secondo me, assai significativi, specie se letti insieme alle notizie concernenti Hacking Team.

La prima risale a qualche mese fa. Con la (solita) occasione dell’antiterrorismo (chi si ricorda il decreto Pisanu del 2005, anno del’attacco a Londra?), qualcuno prova a far passare norme che vanno ad incidere, non poco, sulla sfera privata dei cittadini, ben al di là delle indagini per terrorismo. A denunciare il tentativo di “legalizzazione” del virus di stato è Stefano Quintarelli, intervistato da Arturo di Corinto per Repubblica. Poi, fortunatamente, tutto è rientrato e il decreto è stato convertito senza l’inserimento di quelle temute e pesanti modifiche alla disciplina delle intercettazioni, anche telematiche.

La seconda notizia risale al mese scorso. Il 26 giugno la VI sezione penale della Cassazione deposita le motivazioni della sentenza 27100/2015 in tema di “virus/trojan di Stato” o “captatori informatici”. La sentenza, al di là delle raffinatezze giuridiche, dimostra che gli inquirenti hanno utilizzato strumenti illegali, vietati dalla legge, dalla Costituzione e delle norme sovranazionali, per spiare i cittadini. Con una piccola app installata sullo smartphone si è potuto prendere il completo controllo dell’apparecchio, spiando i cittadini ben al di là delle regole poste a regola delle intercettazioni. Sorge oggi il lecito sospetto che quegli strumenti fossero forniti proprio da società come Hacking Team (o simili) per il tramite delle Forze dell’Ordine cui è stata emessa fattura. La guardia contro gli abusi investigativi non deve essere abbassata, neppure quando passano per un apparentemente innocuo emendamento.

Posted in neXt, Reati informatici, Sicurezza informatica | Tagged , | 4 Comments

Alles Klar, Herr Kommissar?

Posted on 13 Luglio 2015 by Daniele Minotti

Il sito Commissariato di P.S. Online (sportello delle sicurezza degli utenti nel Web) si propone – nobile scopo – di aiutare il “cibercittadino”ad essere telematicamente sicuro.
Tra le altre cose, è presente una sezione appositamente dedicata agli approfondimenti, perché chi conosce i rischi della Rete è certamente più in grado di porre in essere condotte di autodifesa rispetto a chi non sa nulla di “quel mondo là”.
Insomma, che si cerca di creare un po’ di consapevolezza sulle minacce telematiche. Intento lodevole.
Peccato che ci siano degli scivoloni, quello più clamoroso (e grave) è in tema di “hacking“.

Cracker

Io, personalmente, ci vedo due errori macroscopici:
– la distinzione tra hacker e cracker verterebbe soltanto sullo scopo di lucro che muove i secondi e non i primi;
– entrambe le figure sarebbero punibili per la legge italiana.
Siamo nel 2015 e si è scritto sin troppo sul tema. Io non sono uno di quelli che santificano a prescindere il mondo dell’hacking.
Da un lato perché credo che occorra mantenere sempre un atteggiamento critico, evitando di subire, appunto, acriticamente le “autodefinizioni” degli interessati, onde evitare di legittimare, a priori, ogni fatto compiuto sotto una certa bandiera. In quanto giurista che si occupa della materia, ritengo di dover argomentare razionalmente e schiettamente, non per compiacere il mio interlocutore.
Specie perché, in effetti, col tempo le cose sono un po’ cambiate, l’approccio di taluni è divenuto assai meno romantico ed esistono delle zone grige di confine assai estese. Però, lo smanettone (mia personale traduzione di “hacker”, non certo perfetta, ma credo abbastanza condivisibile) è certamente una figura positiva, qualora stia nei confini della legge.
Ciò premesso, dire semplicisticamente che un cracker è un hacker mosso da fini di lucro è offrire una definizione fuorviante.
Siamo sempre nel 2015 e l’utente telematico deve sapere che la vera distinzione tra le due figure riguarda i fini, ma con qualche precisazione in più rispetto al mero lucro.
L’hacker agisce per meri motivi di studio (è una cosa che non si può tacere), per il cracker i fini sono i più disparati (di lucro, ma anche di danneggiamento, terroristici, ecc.), consapevolmente e volutamente illegali.
Tuttavia, il cracker ha certamente un’origine hacker, ma è malevolo: il cracker, insomma, è un hacker cattivo (così come meglio visto).
Da ciò consegue che l’affermazione (peraltro non dimostrata, giuridicamente) secondo cui “entrambe le figure, per la legge italiana, sono punibili” contiene un grave errore di fondo.
E’ inaccettabile, logicamente e giuridicamente, ritenere di poter sanzionare uno status (hacker o cracker) di per sé.
Occorre, invece, badare al caso concreto, alla condotta, all’evento, all’approccio e alle motivazioni che vi stanno dietro.
In tal senso, il Commissariato online non sta facendo un buon lavoro.

Posted in Reati informatici, Sicurezza informatica | Tagged , , | 1 Comment

Secondo Rita Dalla Chiesa (updated)

Posted on 5 Luglio 2015 by Daniele Minotti

Italiani: un popolo di santi, poeti, navigatori ed aiutatori di greci contro i tedeschi (in qualche modo)

Dalla_Chiesa

Il chiarimento

dallachiesa_2

Posted in Personali (i.e.: OT) | Tagged | Leave a comment

NextQuotidiano > In che senso la diffamazione su Facebook è “a mezzo stampa”

Posted on 11 Giugno 2015 by Daniele Minotti

(pubblicato su NeXtQuotidiano del 10 giugno 2015)

Sgomberiamo subito il campo da ogni equivoco: Internet non è stampa e neppure Facebook lo è.

La recente sentenza della Cassazione, che molti hanno commentato malamente, sembrerebbe per fare il titolone, in realtà dice cose diverse.

Di certo, chi crede che i social network garantissero l’impunità per contenuti diffamatori si sbaglia di grosso. E dovrebbe essere diversamente?

 La Suprema Corte dice soltanto, come già fatto altre volte, che Facebook (anche se non precisa meglio) è un “mezzo di pubblicità” perché ha potenzialità diffusive elevate e, pertanto, una diffamazione per esso veicolata merita una sanzione più elevata rispetto ad un altro contesto (es.: una riunione condominiale) e al pari della stampa.

Tutto qui, si può essere d’accordo oppure no, ma la Cassazione non ha detto che Internet è stampa, proprio no.

Del resto, se i tanti articoli avessero linkato la pronuncia, non ci sarebbe stato bisogno di spiegare.

Posted in Articolo 21, Internet e stampa, neXt, Social Network | Tagged , , , | Leave a comment

Agendadigitale.eu > Sulla “Cookie Law”

Posted on 10 Giugno 2015 by Daniele Minotti

(da Agendadigitale.eu dell’8 giugno 2015)
Ho scritto una cosa per Agendadigitale.eu, sui cookie, visto che se ne parla molto insistentemente.
Un primo abbozzo di idee, con la consapevolezza di non poter toccare tutti i punti nevralgici.
La mia prima impressione è stata che molti dei critici in realtà non hanno letto la “Cookie Law”, preferendo arrovellarsi su questioni tecniche francamente ultronee nel più classico degli italici atteggiamenti: quello del lamento.
In realtà, pur con certi chiarimenti del Garante che hanno reso le cose un po’ fumose, la “Cookie Law” è molto più semplice di quanto si creda.
Stiano tranquilli i blogger se la loro attività è per fini personali (il Codice della privacy stesso ci dice che non è applicabile se il trattamento è fatto a fini personali). Chi, invece, effettua un trattamento per fini imprenditoriali si adegui, magari affidandosi ad un consulente che abbia fondate cognizione giuridiche in materia.
Ecco il pezzo, originariamente QUI. Dando per scontato che i lettori di questo blog sappiano di cosa stiamo parlando.

Tutti contro la “Cookie Law”. Fioccano articoli (ovviamente critici) e, addirittura, petizioni online perché venga meno l’obbligo di dare informativa per l’uso dei cookie ed inserire il relativo banner.

Ed è un moltiplicarsi di sedicente perseguitati, prevalentemente tra le fila dei blogger (o quelli che sono sopravvissuti ai social network).

In realtà, si scopre che non è tutto così nero come sembra, sebbene la materia sia in parte ostica (ma proprio per questo occorrerebbe lasciarla a chi se ne intende) e lo spauracchio delle sanzioni colpisca non poco.

Diciamo, anzitutto, che la “Cookie Law” non è un’invenzione del Garante italiano. Dietro ci sono fonti europee (una direttiva specifica) e italiane (un paio di decreti).

Dunque, il nostro Garante non ha potuto che adattarsi con un provvedimento (ed altri documenti) tutto sommato abbastanza ampio e chiaro, dando un congruo preavviso per gli adeguamenti (ben un anno), malgrado si intravvedano, all’orizzonte, ulteriori chiarimenti ufficiali (che, al momento, lasciano ragionevolmente pensare che non ci saranno immediati controlli e sanzioni).

Ma scendiamo nei particolari.

I cookie sono piccoli file che, all’atto della visita di un sito, si installano, eventualmente, nel dispositivo (quindi, anche sullo smartphone) del visitatore.

Servono per tante finalità e si distinguono in due grandi categorie: tecnici e di profilazione. Poi, capiremo la differenza, ma sin d’ora va detto che quelli di profilazione possono farsi molti (anzi troppi) affari nostri, donde la necessità di una certa disciplina a tutela dei dati personali (o privacy, se vogliamo usare questo termine).

Per proteggere chi, in un certo qual modo, può essere tenuto “sotto osservazione”, si è deciso, con la “Cookie Law” (locuzione oramai usata per comprendere tutte le norme sull’argomento), di imporre determinate formalità. Si valuti, almeno, questa tutela prima di scandalizzarsi.

Approfondendo, si parla della eventualità di dover inserire, sui siti Internet, un banner e/o un’informativa. Ma, in realtà, l’obbligo non vale per tutte le realtà del Web. Stiano tranquilli i più ansiosi.

E’ ovvio, anzitutto, che se il sito non utilizza cookie non si deve fare alcun adeguamento.

Tuttavia se i cookie ci sono un’informativa va sempre data; anche se essi sono utilizzati per mere questioni tecniche (es.: per il login automatico, per tenere traccia del carrello, ecc.). Ma qui credo sia inevitabile affidarsi a chi conosce la materia.

Ma c’è qualcosa che sembra spaventare di più, perché comporta adempimenti tecnici non alla portata di tutti. Insomma, non basta il copia e incolla dell’informativa (pratica che, personalmente, sconsiglio comunque perché le sanzioni ci sono e sbagliare è un attimo).

Si tratta del famigerato banner che, proprio nei giorni a ridosso dell’entrata in vigore della nuova disciplina, è comparso su tanti siti.

Piccola parentesi: a cosa serve il banner? Per far dare il consenso al visitatore informandolo contestualmente del trattamento. Quindi, deve possedere dei precisi caratteri formali, non si può navigare a vista sperando nella buona sorte di azzeccarci.

Siccome sopra abbiamo visto che esistono differenti tipi di cookie, riassumibili in due macro-categorie (tecnici e di profilazione), il banner va inserito sempre o soltanto in presenza di alcuni specifici? Fortunatamente, il banner per il consenso informato è necessario esclusivamente quando si fa profilazione, cioè quando si “studia” il comportamento del navigatore, tipicamente per propinargli qualcosa. Ed è il caso, classico, della pubblicità.

Sotto una diversa prospettiva, nasce l’interrogativo su chi debba provvedere agli adempimenti qualora titolare del sito e “profilatore” (chi fornisce la pubblicità, cioè la “terza parte”) non siano la stessa persona.

Certamente, nell’informativa occorre dichiarare che ci sono terzi che forniscono i cookie, ma il punto è se il titolare del sito (non fornitore di cookie) sia in prima persona tenuto ad ottenere il consenso mediante l’inserimento del banner già visto.

Al momento, questo sembra essere uno dei punti più controversi, almeno in attesa di quanto già accennato, ciò è dei probabili chiarimenti del Garante.

Certo è che – come consiglio finale – se uno vuole essere tranquillo, non sbaglia di certo ad inserire banner ed informative complete, ovviamente fatte come si deve.

Posted in Privacy e dati personali | Tagged , | 4 Comments

Son tutti sceriffi con il Far West degli altri

Posted on 25 Maggio 2015 by Daniele Minotti

“Dobbiamo evitare di cadere in un nuovo Far West. Servono regole anche per Internet”.

La citazione appartiene a Giovanni Pitruzzella, presidente AGCOM. L’ho tratta da un articolo-intervista di Daniele Manca pubblicata, ieri, sul Corriere online.

Ed è un’affermazione nota, che ritorna sovente, dunque, tutto sommato, ben poco originale.

Tuttavia, ogni volta che la sento o la leggo io mi allarmo puntualmente perché la premessa “Far West” accostata alla (ritenuta) necessità di “regole per Internet” è il peggiore degli approcci. Lo sostengono in molti, non sono certo il primo né l’unico.

Internet non è il “Far West” semplicemente perché Internet non è un “luogo”, ma è soltanto un “mezzo”. E credo che una personalità così apicale dovrebbe saperlo. Temo, però, che prevalgano ignoranza e pregiudizio, come al solito.

Donde, il riferimento a “regole per Internet”, oltre a fare un po’ paura a chi ha a cuore le libertà, è improprio, giusta l’erroneità della premessa.

Ma c’è un altro passaggio, specifico, molto interessante: a proposito di informazione.

“Appropriandosi dei contenuti che vengono offerti gratuitamente ai cittadini, si fa passare il concetto che quei contenuti non siano stati prodotti con dei costi. Ci si abitua a considerare l’informazione attendibile qualcosa di gratuito. Questo significa mettere fuori mercato gli editori, vale per la carta stampata come per la tv. A lungo andare, come faranno a sopravvivere senza poter sostenere i costi?”

Anche in questo caso, Internet c’entra realmente poco, forse niente.

Lo “sciacallaggio” dei contenuti editoriali sulla Rete non è cosa nuova ed è, anzi, spesso praticata dalle grandi testate. Ce lo ricordava, proprio in questi ultimi giorni, Massimo Mantellini a commento di una nota Fieg.

Eppure, nessuno pensa che la colpa di questo sciacallaggio sia Internet e che per evitare il Far West ci vogliano nuove regole.

Ci sarà un perché.

Posted in Diritto d'autore | Tagged | Leave a comment

Die hard (ennesima *curiosità* sul Processo Civile Telematico, *PCT*)

Posted on 20 Maggio 2015 by Daniele Minotti

Simone Aliprandi, complice Carlo Piana, ci riferisce che un avvocato che credo si possa tranquillamente – e senza alcuna offesa – definire *utonto* o *infoleso* (oltre che non adeguato all’evolversi della legge) può eludere le regole del Processo Civile Telematico perché… non è riuscito ad aprire un allegato *Acrobat” (meglio: .pdf).
Il punto è che trova sponda nella decisione di un giudice.
Anno 2015.

Posted in Giustizia tecnologica | Tagged , , , | 1 Comment

Responsabilità dei magistrati

Posted on 17 Maggio 2015 by Daniele Minotti

Dice che accompagnare la moglie presso un centro oncologico non è legittimo impedimento per il coniuge avvocato.
In un processo per guida senza patente, per giunta, manco fosse per un omicidio di mafia.
C’è voluta la Cassazione per raddrizzare l’insulto, per sanare una ferita quanto meno al buon senso.
Chi pagherà le spese per arrivare sino alla Suprema Corte?
Lo sappiamo già, non certo il magistrato.

Posted in Giustizia, Sentenze e sentenzine | 1 Comment

E il privacy officer?

Posted on 13 Maggio 2015 by Daniele Minotti

Gli addetti ai lavori sanno che se ne parla da tempo, nell’àmbito della più vasta discussione, a livello comunitario, riguardante una proposta di regolamento sulla privacy.
Nel frattempo, qualcuno si è già organizzato, si è messo avanti col lavoro, si potrebbe dire “sulla fiducia”.
Ne scrivono Andrea Lisi, Graziano Garrisi ed Enrica Maio, QUI.

Posted in Privacy e dati personali | Tagged , | Leave a comment

Toghe creative

Posted on 7 Maggio 2015 by Daniele Minotti

Il copia&incolla è una gran bella cosa, ma se un giudice copia e incolla le considerazioni dell’accusa senza aggiungere molto di suo, be’ per me è un po’ un dramma.

E, purtroppo, è un dramma non certo quotidiano, ma molto frequente e si manifesta, soprattutto, nel flusso che nasce dalla notizia di reato della polizia giudiziaria, prosegue nella richiesta di applicazione della misura cautelare a firma del pubblico ministero e sbocca nell’ordinanza con la quale il giudice accoglie la richiesta.

Ne ho già scritto, sin dal 2013, perché era uscita una sentenza della Cassazione che avallava tale pratica. Poi, ci sono stati altri accadimenti, l’ultimo mio post sull’argomento è del novembre dell’anno scorso.

Succede, però, che da domani tutto ciò non dovrebbe essere più possibile. Lo stabilisce la  legge 16 aprile 2015, n. 47 che, pur un po’ taciuta, impone al giudice della cautela di operare un’”autonoma valutazione” circa – senza voler abusare del legalese – i fondamenti della misura, pena l’annullamento da parte del tribunale per il riesame.

Quanto meno, il vocabolario dei giudicante si arricchirà di tanti sinonimi, uno scossone per certe intelligenze pigre che stanno nei tribunali.

 

Posted in Giustizia, Leggi e leggine | Tagged , , | Leave a comment