PRIVACYDAILY

N. 152/2023

LE TRE NEWS DI OGGI:

• SVIZZERA, IN VIGORE LA NUOVA LEGGE SULLA PRIVACY
• NUOVA ZELANDA, GLI ESPERTI DI TECNOLOGIA CHIEDONO AI PARTITI DI REGOLARE L’AI AL PIU’ PRESTO
• I CRIMINALI INFORMATCI SFRUTTANO LA DEBOLEZZA DELLE NORMATIVE PER RACCOGLIERE DATI E FRODARE I NIGERIANI

Dal primo settembre la Svizzera si è dotata di una nuova legge sulla protezione dei dati. Per capirne l’importanza basti dire che dal 2021 al 2022 gli attacchi hacker e i furti di informazioni nel nostro Paese sono cresciuti del 61%.Le nuove norme, approvate tre anni fa dall’Assemblea federale anche per adeguarsi alle disposizioni dell’UE, introducono per chi ha un’attività l’obbligo di garantire la sicurezza dei dati raccolti. Ciò deve avvenire attraverso misure tecniche (che toccano quindi la tecnologia e i programmi usati) ma anche tramite un’organizzazione interna all’azienda che limiti l’accesso a tali informazioni. Che sono una miriade e toccano tutti. Basti pensare a quante volte ci vengono chiesti l’indirizzo e-mail, il luogo di domicilio, il numero di telefono, per gli acquisti online. Oppure per prenotare un ristorante o comprare un biglietto al cinema. L’elenco è infinito e la nuova legge tocca tutte queste attività. In che modo? Migliorando la trasparenza del trattamento di queste informazioni sensibili: le imprese possono raccogliere, usare e divulgare i dati solo con il consenso della persona, che quindi deve essere informata. Chi non si adegua alle nuove disposizioni rischia conseguenze penali e multe fino a 250’000 franchi.Non tutte le aziende ticinesi si sono fatte trovare pronte e c’è chi ha cercato aiuto. La conferma arriva da Luca Albertoni, direttore della Camera di commercio TI: “Le sollecitazioni sono state parecchie nelle ultime settimane in cui molti hanno capito che occorreva affrettarsi”. La sensibilità al tema è elevata, continua il direttore, e il problema sta soprattutto nella difficoltà di applicazione: “La legge è abbastanza complessa. Ci sono definizioni che vanno interpretate. È davvero un lavoro di ripensamento aziendale. La grande distribuzione, oppure le grandi imprese della farmaceutica, abituate a trattare anche i dati sensibili, sono un po’ più avanti. Ma non ci sono bravi o cattivi”. Tutti, si diceva all’inizio, sono toccati. La legge è anche sul tavolo della ristorazione come confermano all’Antica Osteria del Leone Barberini di Mendrisio: “Noi ci siamo avvalsi dell’aiuto di un ufficio tecnico legale. Il nostro è più che altro un sito web vetrina, però abbiamo preso tutte le misure tecniche necessarie per il rispetto dell’utente”. Gli esperti di tecnologia esortano il Labour e il National ad adottare una strategia sull’intelligenza artificiale prima delle elezioni di ottobre.

I neozelandesi hanno usato questa tecnologia in rapida evoluzione per truccare i compiti a casa e diffondere disinformazione online, ma nessuno dei due partiti ha annunciato politiche su come gestirla. L’amministratore delegato della Tech Users Association of New Zealand, Craig Young, ha dichiarato che il prossimo governo dovrà intervenire prima che la tecnologia sfugga di mano.” Se si applica l’approccio standard del governo alla gestione dell’IA, non riusciremo a tenere il passo”, ha detto. “Non si può certo fare quello che si è fatto in passato, cioè prendere tempo e sviluppare qualcosa, bisogna farlo al momento”. Non è necessario che sia perfetto, ma che sia tempestivo.” Abbiamo bisogno di un approccio flessibile e di un governo che sia pronto a pensare con i propri mezzi quando si tratta di IA, non solo per quanto riguarda il modo in cui la utilizzano, ma anche per quanto riguarda la regolamentazione e le protezioni che vi pongono”, ha affermato. Strumenti di IA come ChatGPT e Midjourney vengono utilizzati per generare grandi quantità di testo e milioni di immagini. Young si è detto entusiasta del suo potenziale, ma la tecnologia presenta una serie di problemi irrisolti.” Potrebbe essere usata in aree che non vorremmo, e poi naturalmente ci sono i problemi di privacy e di integrità dei dati”, ha detto.” Quando utilizziamo lo strumento e inseriamo i dati, dove vengono archiviati? Chi li sta usando? Per cosa vengono utilizzati?”. Andrew Lensen, docente di informatica della Victoria University, ha affermato che l’IA dovrebbe essere una priorità assoluta nelle elezioni del 2023.”C’è molta paura e ansia nella popolazione quando si leggono cose come ChatGPT e come viene usata per sostituire i posti di lavoro e come viene usata nell’istruzione”, ha detto.” Penso che abbiamo bisogno di vedere più dibattiti e più proposte politiche da parte dei partiti politici, con il loro punto di vista sull’IA e su come dovrebbe essere regolamentata”. Diversi modelli di IA raccolgono dati da Internet e dai loro utenti, il che, secondo il dottor Lensen, solleva problemi di privacy. Ha detto che il prossimo governo potrebbe dover rivalutare la legge sulla privacy.” Abbiamo una legge sulla privacy, che al giorno d’oggi è piuttosto vecchia, e mi piacerebbe davvero che alcune di queste leggi venissero modernizzate per questa nuova era dell’IA”, ha affermato.

Ci sono nuove preoccupazioni per un presunto aumento illegale della raccolta di dati appartenenti ai nigeriani attraverso i terminali dei punti vendita (PoS), una circostanza che sta minacciando la sussistenza dell’agent banking, uno schema avviato per approfondire l’inclusione finanziaria nel Paese. La Banca Centrale della Nigeria (CBN) stima che l’inclusione finanziaria in Nigeria sia pari al 64% e spera di portarla al 95% entro il 2024. Ma il programma di riferimento per far progredire la pratica sta vacillando, poiché i criminali minacciano di sfruttare il sistema per ottenere vantaggi loschi. La spinta all’inclusione finanziaria ha dovuto affrontare molte sfide e ultimamente sono aumentati i casi di acquisizione illegale dei dati dei clienti, con conseguenti perdite finanziarie. Si stima che in Nigeria vi siano oltre 250 società fintech, molte delle quali si assicurano fondi offshore per portare avanti le loro operazioni. Sempre più spesso, i criminali, dotati di strumenti sofisticati, prendono regolarmente di mira i terminali PoS vulnerabili dei commercianti, estrapolando i dati delle carte di pagamento e i PIN per la clonazione delle carte e per altri scopi fraudolenti, come ha appreso il Guardian. Negli ultimi tempi, questa pratica è diventata pericolosamente rischiosa, in quanto i cybercriminali, attraverso varie piattaforme, stanno sfruttando le vulnerabilità di persone ignare per creare problemi, soprattutto finanziari, a loro danno. Questo fenomeno sta destando preoccupazione in tutto l’ecosistema. Mentre il sistema di agent banking è fiorente e ha incoraggiato un’impennata nell’uso dei PoS e nelle transazioni nel Paese, la sfida posta dall’estrazione illegale di dati sembra essere più feroce. La CBN, attraverso le Shared Agent Network Expansion Facilities (SANEF), ha dichiarato che il numero di agenti nel Paese è ora superiore a 1,4 milioni rispetto agli appena 86.000 registrati nel 2018, proprio mentre i controlli di The Guardian hanno mostrato che il numero di terminali PoS distribuiti da commercianti e privati è salito a 1,8 milioni nel mese di marzo, rappresentando un aumento del 75% su base annua rispetto al numero di terminali distribuiti nello stesso periodo dell’anno scorso, pari a 1,04 milioni.

English version

• SWITZERLAND: NEW PRIVACY LAW IN FORCE
• NEW ZEALAND: TECHNOLOGY EXPERTS CALL ON PARTIES TO REGULATE AI ASAP
• CYBERCRIMINALS EXPLOIT WEAK REGULATIONS TO HARVEST DATA DEFRAUD NIGERIANS

Since 1 September, Switzerland has had a new data protection law. In order to understand the significance of this, it suffices to say that from 2021 to 2022, hacker attacks and information theft in our country increased by 61%.The new regulations, which were approved by the Federal Assembly three years ago also in order to comply with EU provisions, introduce an obligation for those who have a business to ensure the security of the data they collect. This must take place through technical measures (thus affecting the technology and programmes used) but also through an internal organisation within the company that limits access to such information. Which are myriad and affect everyone. Just think of how often we are asked for our e-mail address, place of residence, telephone number, for online purchases. Or to book a restaurant or buy a ticket to the cinema. The list is endless and the new law touches on all these activities.How? By improving transparency in the processing of this sensitive information: companies can only collect, use and disclose data with the consent of the person, who must then be informed. Those who do not comply with the new provisions risk criminal consequences and fines of up to CHF 250,000.Not all companies in Ticino have been ready and some have sought help. This is confirmed by Luca Albertoni, director of the TI Chamber of Commerce: ‘There have been a lot of requests in recent weeks when many realised that we needed to hurry. Sensitivity to the issue is high, the director continues, and the problem lies above all in the difficulty of application: ‘The law is quite complex. There are definitions that have to be interpreted. It is really a business rethink. Large retailers, or the big pharmaceutical companies, which are used to handling even sensitive data, are a bit ahead. But there are no good ones or bad ones’.Everyone, it was said at the beginning, is affected. The law is also on the table in the restaurant industry, as they confirm at the Antica Osteria del Leone Barberini in Mendrisio: ‘We have enlisted the help of a legal technical office. Ours is more of a showcase website, but we have taken all the necessary technical measures to respect the user’.

Technology experts are urging Labour and National to announce an Artificial Intelligence strategy before October’s election.New Zealanders have used the rapidly advancing technology to cheat on homework and spread disinformation online, but neither party has announced policies for how they would deal with it.Tech Users Association of New Zealand chief executive Craig Young said the next government must take action before the technology grows out of hand.”If you apply the standard government approach to managing AI, we won’t keep up,” he said. “You certainly can’t do what you’ve done before which is take your time and develop something, you’ve got to do it on the fly.”He said it didn’t need to be perfect, but it needed to be timely.”We need a flexible [approach] and we need a government that’s prepared to think on their feet when it comes to AI, not only in the way they use it but how they regulate it and the guard-rails they put on it,” he said.AI tools like ChatGPT and Midjourney are being used to generate reams of text and millions of images.Young said he was excited by its potential, but the technology had a number of unsolved issues.”It might be used in areas we don’t want it to be used, and then of course you get the privacy and data-integrity issues,” he said.”As we use the tool and we input data, where’s it being stored? Who’s using it? What’s it being used for?”Victoria University computer science lecturer Andrew Lensen said AI should be a high priority in 2023’s election.”There’s a lot of fear and anxiety in the population when they read about things like ChatGPT and how it’s being used to replace jobs and how it’s being used in education,” he said.”I think we need to see more discourse and more policies being released by political parties with their views on AI and how it should be regulated.”Several AI models collected data from the internet and their users, which Dr Lensen said raised privacy concerns. He said the next government might have to reassess the Privacy Act.”We have a Privacy Act, which is quite an old piece of law these days, and I would really like to see some of that law modernised for this new AI era,” he said.There are fresh concerns over an alleged illegal surge in mining of data belonging to Nigerians through point of sales (PoS) terminals, a situation that is threatening the survival of agent banking, a scheme initiated to deepen financial inclusion in the country.The Central Bank of Nigeria (CBN) puts financial inclusion in Nigeria at 64 per cent and hopes to increase it to 95 per cent by 2024. But the flagship programme for advancing the cause is faltering as criminals are threatening to hijack the system for sinister gains.

The financial inclusion drive has been confronted with many challenges and lately, cases of illegal mining of customers’ data across the board, leading to financial losses which are on the rise. There is a guesstimate of over 250 fintech companies in Nigeria with a lot of the companies securing offshore funds to advance their operations.Increasingly, criminals with sophisticated tools are actively targeting vulnerable merchant PoS terminals, mining payment card data and PINs for card cloning and other fraud purposes, The Guardian learnt.Ordinarily, data mining is the process of sorting through large data sets to identify patterns and relationships that can help solve business problems through analysis. Lately, the practice has become dangerously exploitative, as cyber criminals through various platforms are exploiting the vulnerabilities of unsuspecting individuals to wreak havoc, largely financials on them.The art is brewing concern across the ecosystem. While the agent banking system is thriving and has encouraged a surge in PoS usage and transactions in the country, the challenge posed by illegal data mining appears to be fiercest.The CBN, through the Shared Agent Network Expansion Facilities (SANEF), said the number of agents in the country is now over 1.4 million from just 86,000 on record in 2018, just as checks by The Guardian showed that the number of PoS terminals deployed by merchants and individuals rose to 1.8 million in March, representing a 75 per cent increase year-on-year when compared with the number of deployed terminals in the same period last year, which was 1.04 million.