N. 118/2023

LE TRE NEWS DI OGGI:

• WHATSAPP PERMETTERA’ AGLI UTENTI DI BLOCCARE E NASCONDERE LE CONVERSAZIONI
• LA PIU’ GRANDE BANCA ISLAMICA INDONESIANA DICHIARA CHE I DATI DEI CLIENTI SONO AL SICURO
• PARERE LEGALE DEL CONSIGLIO UE DA UNO SCHIAFFO ALLA LEGGE CONTRO GLI ABUSI SESSUALI SUI MINORI

Gli utenti di WhatsApp potranno presto bloccare e nascondere le conversazioni grazie a una nuova funzione. Chat Lock rimuoverà un thread di chat dalla normale casella di posta sullo schermo dell’app e lo inserirà in una nuova cartella che potrà essere aperta solo tramite una password o un dato biometrico, come il riconoscimento facciale o l’impronta digitale. È l’ultima di una serie di funzioni del servizio di messaggistica criptata utilizzato in tutto il mondo, che lo mette in contrasto con la legge sulla sicurezza online del governo britannico. Mark Zuckerberg, amministratore delegato di Meta, ha confermato la nuova funzione in un post su Facebook. L’azienda ha già avvertito che preferirebbe che agli utenti britannici venisse impedito di utilizzare i suoi servizi piuttosto che rischiare di compromettere la loro privacy. Ma un portavoce del governo ha insistito sul fatto che la legge “non richiederà alle aziende di rompere la crittografia end-to-end o di monitorare abitualmente le comunicazioni private”. “Alcuni hanno definito questa proposta di legge come una scelta  tra privacy e sicurezza: ma è sbagliato”, ha aggiunto il portavoce che ha  proseguito: “Siamo a favore di una crittografia forte, ma questa non può andare a scapito della sicurezza pubblica . “Grazie al nostro approccio favorevole all’innovazione, siamo fiduciosi che la tecnologia possa supportare l’implementazione della crittografia end-to-end in modo tale da proteggere i bambini dagli abusi online, rispettando al contempo la privacy degli utenti”. Anche alcune associazioni di beneficenza, tra cui l’NSPCC, affermano di sostenere gli obiettivi della proposta di legge e i sondaggi indicano che essa gode del sostegno di un gran numero di adulti britannici. Tuttavia, la piattaforma di messaggistica Element, con sede nel Regno Unito e utilizzata da enti come il Ministero della Difesa, il Corpo dei Marines degli Stati Uniti e le forze armate ucraine, ha affermato che la proposta di legge è “assolutamente pericolosa” e indebolirebbe la sicurezza nazionale. Matthew Hodgson, amministratore delegato di Element, ha dichiarato: “I cattivi attori non giocano secondo le regole. Gli Stati nazione, i terroristi e i criminali che non rispettano le regole prenderanno di mira questo accesso con ogni risorsa a loro disposizione”. Hodgson ha aggiunto: “È uno shock vedere il Regno Unito, un Paese simbolo di democrazia e libertà, introdurre una sorveglianza di massa di routine e minare fondamentalmente la crittografia. “I cattivi attori continueranno semplicemente a utilizzare le applicazioni non regolamentate esistenti, mentre i buoni attori che utilizzano applicazioni conformi vedranno compromessa la loro privacy”. L’ampia legislazione mira a regolamentare i contenuti di Internet per mantenere le persone al sicuro e darebbe all’ente regolatore dei media Ofcom il potere di richiedere alle piattaforme di identificare e rimuovere i contenuti pedopornografici. Se si rifiutano di adeguarsi, le aziende potrebbero incorrere in multe salate.

Il più grande istituto di credito islamico indonesiano, Bank Syariah Indonesia (BSI) (BRIS.JK), ha dichiarato  di essere al lavoro con le autorità di regolamentazione per proteggere la propria sicurezza informatica, dopo che i media hanno riferito che i dati dei conti di 15 milioni di clienti sono stati pubblicati online.  La violazione dei dati, che secondo un esperto di cybersicurezza è stata la peggiore del Paese per un istituto finanziario, è l’ultima di una serie di fughe di notizie avvenute negli ultimi anni presso aziende e agenzie governative indonesiane. BSI, uno dei 10 principali istituti di credito in Indonesia, in un comunicato non ha confermato la fuga di dati, ma ha affermato che sta “conducendo sforzi di recupero, revisione e mitigazione in modo che non si verifichino simili interruzioni” .”Speriamo che i clienti possano rimanere tranquilli perché possiamo assicurare che i loro dati e i loro fondi sono al sicuro e che le transazioni sono sicure”, ha dichiarato la banca. L’Autorità indonesiana per i servizi finanziari ha dichiarato poi di non essere in grado di stabilire con certezza se si tratti di una fuga di dati, aggiungendo che sta conducendo un esame forense. La banca ha aggiunto che l’8 maggio i servizi finanziari del prestatore sono stati interrotti, compresi i prelievi agli sportelli automatici e l’online banking, a causa di “interferenze” nel suo sistema, ma che il problema è stato risolto il 9 maggio. Secondo l’esperto di sicurezza informatica Teguh Aprianto e la società di sicurezza tecnologica DarkTracer, con sede a Singapore, il gruppo di hacker LockBit 3.0 ha rivendicato la responsabilità dell’attacco. LockBit, che in passato ha preso di mira il gruppo francese di difesa e tecnologia Thales, ha dichiarato di aver avuto accesso ai dati di BSI l’8 maggio e di averli pubblicati online martedì. Reuters non ha potuto verificare in modo indipendente la rivendicazione del gruppo. Il quotidiano indonesiano Tempo ha dichiarato di aver verificato alcune delle informazioni trapelate con i clienti di BSI. “Questo è il peggior attacco a una banca”, ha dichiarato Teguh, un consulente di cybersicurezza i cui clienti passati includono una banca locale e diverse aziende di tecnologia finanziaria, aggiungendo che i dettagli trapelati includono i titolari dei conti bancari, i numeri, i saldi e la cronologia delle transazioni.

Il servizio giuridico del Consiglio dei ministri dell’UE ha criticato la proposta dell’Unione europea per la lotta al materiale pedopornografico (CSAM), criticando in particolare l’ambiguità degli ordini di rilevamento e il loro possibile impatto sui diritti alla privacy. Il progetto di legge sul CSAM è stato oggetto di controversie da quando è stato proposto dalla Commissione europea lo scorso anno. Questo conferisce alle autorità giudiziarie il potere di emettere ordini di accertamento nei confronti di fornitori di servizi di comunicazione che considerano a rischio significativo di essere utilizzati per diffondere questo tipo di contenuti illegali. Dopo aver ricevuto un ordine di rilevamento, servizi come Gmail o WhatsApp sarebbero costretti a implementare strumenti che scansionano automaticamente e-mail o testi privati per individuare i contenuti sospetti. Questo strumento è stato accusato di colpire in modo sproporzionato la privacy delle persone, poiché potenzialmente ogni persona che utilizza il servizio potrebbe essere interessata. A queste preoccupazioni ha fatto eco il Garante europeo della protezione dei dati, uno studio commissionato dal Parlamento europeo. Nel testo della Commissione, gli ordini di rilevamento possono essere emessi da un organo giudiziario nazionale o da un organo amministrativo indipendente per individuare materiale noto, nuovo materiale e grooming, la pratica dei predatori che cercano di adescare i bambini. Sebbene l’intento dichiarato sia quello di rendere la proposta tecnologicamente neutrale, il parere legale osserva che “il contenuto di tutte le comunicazioni deve essere accessibile e scansionato, e deve essere eseguito utilizzando gli strumenti automatizzati disponibili”. Sulla carta, il progetto di legge dovrebbe anche essere il meno invasivo possibile in termini di impatto sui diritti degli utenti alla privacy e alla protezione dei dati. Tuttavia, il parere osserva che se tutte le comunicazioni devono essere scansionate “con l’assistenza di un’operazione automatizzata”, ciò interferisce “con il diritto alla protezione dei dati, indipendentemente dall’uso successivo di tali dati”. Il parere legale aggiunge che l’applicazione degli ordini non può “superare i 24 mesi per la diffusione di CSAM noti o nuovi e i 12 mesi per l’adescamento di minori”. Secondo il documento, gli ordini di rilevamento non sono “sufficientemente chiari, precisi e completi”. Ad esempio, non viene spiegato cosa si intenda per tecnologia “efficace”. Il significato spetta in ultima analisi ai fornitori di servizi, il che solleva “seri dubbi sulla prevedibilità dell’impatto di queste misure sui diritti fondamentali in gioco” .L’entità dell’interferenza sarebbe determinata da coloro che scelgono le tecnologie utilizzate per attuare “l’ordine di rilevamento caso per caso”, come il Centro dell’UE, le autorità nazionali, i giudici e i fornitori di servizi.” L’ampiezza della discrezionalità potrebbe dare adito a una gamma molto ampia di possibili interpretazioni e preoccupazioni diverse per quanto riguarda il rispetto dei diritti fondamentali”, si legge nel parere legale, che chiede limitazioni più dettagliate.

English version

• WHATSAPP WILL ALLOW USERS TO BLOCK AND HIDE CONVERSATIONS
• INDONESIAN’S LARGEST ISLAMIC BANK SAYS CUSTOMER DATA IS SAFE
• EU COUNCIL’S LEGAL OPINION GIVES SQUASH TO LAW AGAINST CHILD SEXUAL ABUSE

WhatsApp users will soon be able to lock and hide conversations thanks to a new feature. Chat Lock will remove a chat thread from the normal inbox on the app’s screen and place it in a new folder that can only be opened via a password or biometric data, such as facial recognition or fingerprint. It is the latest in a series of features on the encrypted messaging service used worldwide that puts it at odds with the British government’s online security law. Mark Zuckerberg, Meta’s CEO, confirmed the new feature in a Facebook post. The company has already warned that it would rather have British users prevented from using its services than risk compromising their privacy. But a government spokesman insisted that the bill “will not require companies to break end-to-end encryption or routinely monitor private communications.” “Some have called this bill a choice between privacy and security: but that is wrong,” added the spokesman, who continued: “We are in favor of strong encryption, but this cannot come at the expense of public safety . “With our pro-innovation approach, we are confident that technology can support the implementation of end-to-end encryption in a way that protects children from online abuse while respecting users’ privacy.” A number of charities, including the NSPCC, also say they support the bill’s goals, and polls indicate that it has the support of a large number of British adults. However, the U.K.-based messaging platform Element, which is used by entities such as the Ministry of Defense, the U.S. Marine Corps and the Ukrainian armed forces, said the bill is “absolutely dangerous” and would weaken national security. Matthew Hodgson, CEO of Element, said, “Bad actors don’t play by the rules. Nation states, terrorists and criminals who don’t play by the rules will target this access with every resource at their disposal.” Hodgson added: “It is a shock to see the United Kingdom, a country that is a symbol of democracy and freedom, introduce routine mass surveillance and fundamentally undermine encryption. “Bad actors will simply continue to use existing unregulated applications, while good actors using compliant applications will see their privacy compromised.” The broad legislation aims to regulate Internet content to keep people safe and would give media regulator Ofcom the power to require platforms to identify and remove content.

 Indonesia’s largest Islamic lending institution, Bank Syariah Indonesia (BSI) (BRIS.JK), said it is working with regulators to protect its cybersecurity after media reports that account data of 15 million customers was posted online.  The data breach, which one cybersecurity expert said was the worst in the country for a financial institution, is the latest in a series of leaks in recent years at Indonesian companies and government agencies. BSI, one of the top 10 lending institutions in Indonesia, in a statement did not confirm the data leak, but said it is “conducting recovery, review and mitigation efforts so that similar disruptions do not occur” . “We hope customers can remain reassured that their data and funds are safe and that transactions are secure,” the bank said. The Indonesian Financial Services Authority later said it was unable to determine with certainty whether this was a data leak, adding that it is conducting a forensic examination. The bank added that the lender’s financial services were disrupted on May 8, including ATM withdrawals and online banking, due to “interference” in its system, but that the problem was resolved on May 9. According to cybersecurity expert Teguh Aprianto and Singapore-based technology security firm DarkTracer, the hacker group LockBit 3.0 claimed responsibility for the attack. LockBit, which has previously targeted French defense and technology group Thales, said it accessed BSI data on May 8 and posted it online on Tuesday. Reuters could not independently verify the group’s claim. The Indonesian newspaper Tempo said it had verified some of the leaked information with BSI customers. “This is the worst attack on a bank,” said Teguh, a cybersecurity consultant whose past clients include a local bank and several financial technology companies, adding that the leaked details include bank account holders, numbers, balances and transaction history.

 The Legal Service of the EU Council of Ministers has criticized the European Union’s proposal to combat child pornography (CSAM), criticizing in particular the ambiguity of detection orders and their possible impact on privacy rights. The draft law on CSAM has been controversial since it was proposed by the European Commission last year. It gives judicial authorities the power to issue discovery orders against communication service providers that they consider to be at significant risk of being used to disseminate this type of illegal content. After receiving a discovery order, services such as Gmail or WhatsApp would be forced to implement tools that automatically scan private emails or texts for suspicious content. This tool has been accused of disproportionately affecting people’s privacy, as potentially every person using the service could be affected. These concerns were echoed by the European Data Protection Supervisor, a study commissioned by the European Parliament. In the commission’s text, detection orders can be issued by a national judicial body or an independent administrative body to detect known material, new material, and grooming, the practice of predators seeking to lure children. Although the stated intent is to make the proposal technologically neutral, the legal opinion notes that “the content of all communications must be accessible and scanned, and must be performed using available automated tools.” On paper, the bill should also be as least intrusive as possible in terms of its impact on users’ rights to privacy and data protection. However, the opinion notes that if all communications are to be scanned “with the assistance of an automated operation,” this interferes “with the right to data protection, regardless of the subsequent use of such data.” The legal opinion adds that enforcement of the orders cannot “exceed 24 months for dissemination of known or new CSAMs and 12 months for solicitation of minors.”According to the document, the detection orders are not “sufficiently clear, precise and complete.” For example, it is not explained what is meant by “effective” technology. The meaning is ultimately up to the service providers, which raises “serious doubts about the predictability of the impact of these measures on the fundamental rights at stake.” .The extent of interference would be determined by those who choose the technologies used to implement the “detection order on a case-by-case basis,” such as the EU Center, national authorities, judges and service providers.” The breadth of discretion could give rise to a very wide range of possible