Privacy Daily 20/2023

In che modo la tua città gestisce i tuoi dati digitali? Con un numero sempre maggiore di dati prodotti ogni giorno nelle nostre città, c’è una crescente necessità di un utilizzo socialmente responsabile della conoscenza generata dai dati per migliorare il processo decisionale e l’efficienza dei servizi pubblici. La tua auto parcheggiata può rimanere ferma perché hai già pagato il ticket? Vuoi segnalare una zona trafficata e dei rischi ad essa connessi, la necessità di manutenzione di una strada o del parco più vicino? In molti casi, le amministrazioni locali si servono di una serie di algoritmi che riducono gli oneri amministrativi e che veicolano le richieste/segnalazioni presso i reparti competenti (quindi, in maniera più certa e più rapida). Helsinky e Amsterdam hanno però fatto di più sforzandosi di stabilire uno standard per l’uso trasparente ed etico degli algoritmi delle amministrazioni cittadine con la creazione di un registro degli algoritmi. Grazie a questo sistema, i cittadini potranno essere messi nelle condizioni di accedere a informazioni comprensibili e aggiornate su come gli algoritmi influenzino le loro vite e potranno esercitare il diritto di conoscere effettivamente i sistemi di raccolta dei loro dati. “In questo modo – ha affermato André Sobczak, Segretario generale, Eurocities – le due città cercano di offrire una salvaguardia per le persone i cui dati possono essere utilizzati da algoritmi e un modello convalidato che altre città possono utilizzare immediatamente, senza dover investire ulteriori risorse stesse”. Basandosi sul lavoro di Amsterdam e Helsinki, Eurocities Digital Forum Lab ad esempio ha sviluppato uno schema di dati open source, che stabilisce un metodo comune che qualsiasi città può adottare quando crea un registro di algoritmi. Sebbene l’intelligenza artificiale possa essere un importante fattore abilitante per migliorare i servizi pubblici e sostenere l’elaborazione di politiche pubbliche, la sua applicazione può sollevare preoccupazioni etiche. Ad esempio, algoritmi complessi in sistemi automatizzati addestrati su dati distorti possono trasporre pregiudizi a gruppi di cittadini. I registri degli algoritmi offrono trasparenza in merito allo sviluppo e all’attuazione degli algoritmi e forniscono un’importante salvaguardia per l’uso responsabile dell’IA. Sulla base dell’esempio di Helsinky e Amsterdam anche altre città hanno deciso di andare nella stessa direzione: Barcellona, ​​Bologna, la Regione di Bruxelles Capitale, Eindhoven, Mannheim, Rotterdam e Sofia.

La posizione tedesca sul Data Act dell’UE, l’iniziativa legislativa per regolamentare le modalità di accesso, condivisione e trasmissione dei dati, è stata inviata la scorsa settimana alla presidenza svedese del Consiglio dell’UE, che sta raccogliendo feedback prima di presentare una nuova proposta di compromesso per la fine del mese. Nello specifico, la Germania ha chiesto chiarezza su una serie di argomenti tra cui l’interazione del Data Act con il regolamento generale sulla protezione dei dati dell’UE, le condizioni legali per la condivisione e il trasferimento dei dati e i tempi di passaggio al cloud. Per Berlino, un punto centrale sono le contraddizioni, le incoerenze e sovrapposizioni tra la proposta di Data Act e il Regolamento generale sulla protezione dei dati per cui il governo tedesco chiede di rendere esplicito che tutti i dati personali ottenuti tramite il Data Act debbano essere gestiti in conformità con il GDPR.

La politica della Cina sulle Big Tech diventa più chiara. O almeno così sembra, vista da Singapore. Dopo anni di politiche repressive nei confronti dei giganti tecnologici, le incertezze normative stanno per svanire e la strada per gli investitori diffidenti sembra più semplice. Così si è espresso Jeffrey Jaensubhakij, Chief Investment Officer del fondo sovrano GIC, nel corso di un panel al World Economic Forum di Davos. Il commento di Jaensubhakij arriva a margine delle dichiarazioni del vice premier cinese Liu He, che sembrano aver chiarito il quadro. Negli ultimi cinque anni, infatti, la Cina è passata da essere una fonte di profitto a un Paese quasi invisibile per via degli invadenti interventi del governo e delle restrizioni pandemiche. Ora, però, gli investitori mondiali stanno cercando di cambiare passo. E la Cina sembra essersi impegnata a rilanciare l’economia e ad accoglierli.

English translation

How does your city manage your digital data? With more and more data being produced every day in our cities, there is a growing need for socially responsible use of data-generated knowledge to improve decision-making and the efficiency of public services. Can your parked car stay parked because you have already paid the ticket? Do you want to report a busy area and its associated risks, the maintenance of a road or the nearest park? In many cases, local administrations make use of a series of algorithms that reduce the administrative burden and channel the requests/reports to the relevant departments (thus, more reliably and faster). Helsinki and Amsterdam have, however, gone further by striving to establish a standard for the transparent and ethical use of city government algorithms with the creation of an algorithm register. Thanks to this system, citizens will be able to access comprehensible and up-to-date information on how algorithms affect their lives and will be able to exercise their right to actually know about the systems that collect their data. “In this way,” said André Sobczak, Secretary General, Eurocities, “the two cities seek to offer a safeguard for people whose data can be used by algorithms and a validated model that other cities can use immediately, without having to invest additional resources themselves. Building on the work of Amsterdam and Helsinki, Eurocities Digital Forum Lab, for instance, has developed an open source data schema, which establishes a common method that any city can adopt when creating a registry of algorithms. Although artificial intelligence can be an important enabler for improving public services and supporting public policy-making, its application can raise ethical concerns. For instance, complex algorithms in automated systems trained on biased data may transpose biases to groups of citizens. Algorithm registries offer transparency regarding the development and implementation of algorithms and provide an important safeguard for the responsible use of AI. Based on the example of Helsinky and Amsterdam, other cities have also decided to go in the same direction: Barcelona, Bologna, the Brussels Capital Region, Eindhoven, Mannheim, Rotterdam and Sofia.

Germany’s position on the EU Data Act, the legislative initiative to regulate how data is accessed, shared and transmitted, was sent last week to the Swedish EU Council Presidency, which is gathering feedback before presenting a new compromise proposal by the end of the month. Specifically, Germany has asked for clarity on a number of topics including the Data Act’s interaction with the EU’s General Data Protection Regulation, the legal conditions for data sharing and transfer, and the timing of the move to the cloud. For Berlin, a central point of criticism are the contradictions and overlaps between the proposed Data Act and the General Data Protection Regulation, whereby the German government demands that it be made explicit that all personal data obtained through the Data Act must be handled in accordance with the GDPR.

China’s Big Tech policy is becoming clearer. Or so it seems, as seen from Singapore. After years of repressive policies towards tech giants, regulatory uncertainties are about to fade and the road for wary investors seems easier. So said Jeffrey Jaensubhakij, Chief Investment Officer of the sovereign wealth fund GIC, during a panel at the World Economic Forum in Davos. Jaensubhakij’s comment comes on the sidelines of statements by Chinese Vice Premier Liu He, which seem to have clarified the picture. Over the past five years, China has gone from being a source of profit to an almost invisible country due to intrusive government interventions and pandemic restrictions. Now, however, global investors are looking for a change of pace. And China seems to be committed to reviving the economy and welcoming them.

IMMEDIAPRESS/KASPERSKY E LE MINACCE PER LE AZIENDE NEL 2023: MEDIA BLACKMAIL, FAKE DATA LEAK E PIU’ ATTACCHI VIA CLOUD

(Adnkronos) – Milano, 18 gennaio 2023. I ricercatori di Kaspersky Security Services hanno condiviso le loro previsioni sulle minacce informatiche del prossimo anno, a cui grandi aziende e pubbliche amministrazioni dovrebbero prepararsi. Tra queste, i criminali informatici utilizzano i media per ricattare le aziende, segnalando presunte fughe di dati e ottenendo gli accessi iniziali delle società precedentemente compromesse sulla darknet. Il seguente report fa parte del Kaspersky Security Bulletin (KSB), una serie annuale di previsioni e report analitici sui principali cambiamenti nel mondo della cybersecurity consultabile su Securelist.com.

Nell’ambito del Kaspersky Security Bulletin, gli esperti di Kaspersky Security Services – un gruppo che aiuta le aziende a migliorare i sistemi di sicurezza esistenti e ad attrezzarli per affrontare le nuove minacce – hanno esaminato le minacce che saranno più rilevanti per le grandi aziende e le pubbliche amministrazioni nel prossimo anno.

Blackmailing: i post degli hacker con un countdown per le fughe di dati

Gli autori di ransomware pubblicano sempre più spesso post dedicati a nuovi episodi di hacking di successo eseguiti ai danni di aziende. Il numero è cresciuto nel 2022 e il picco massimo ha superato i 500 post mensili, verificandosi più volte tra la fine del 2021 e la prima metà del 2022. All’inizio del 2021 gli esperti contavano 200-300 post mensili. I cyber criminali sono stati attivi anche alla fine dell’anno scorso: a settembre e novembre, la Digital Footprint Intelligence di Kaspersky ha rilevato rispettivamente circa 400 e 500 post.

I criminali informatici prima contattavano direttamente la vittima ora invece comunicano la violazione direttamente attraverso i loro blog, impostando un conto alla rovescia per la pubblicazione dei dati trapelati, senza chiedere privatamente un riscatto. Questo dark trend continuerà ad aumentare nel 2023 perché, a prescindere dal fatto che la vittima paghi o meno, questa tattica avvantaggia i criminali informatici. I dati, infatti, vengono spesso messi all’asta e l’offerta finale a volte supera il riscatto richiesto.

I criminali informatici pubblicano post su false fughe di notizie per aumentare la propria credibilità

I blog post sull’estorsione attirano l’attenzione dei media e nel 2023 alcuni attori meno noti potrebbero approfittarne, sostenendo di aver presumibilmente violato un’azienda. Indipendentemente dal fatto che l’hacking sia realmente avvenuto o meno, una segnalazione di fuga di notizie potrebbe danneggiare l’azienda. La soluzione per garantire la sicurezza identificare tempestivamente questi messaggi e avviare un processo di risposta simile a quello utilizzato per gli incidenti di sicurezza delle informazioni.

Ancora fughe di dati personali ed e-mail aziendali a rischio

Gli esperti prevedono che la tendenza alla fuga di dati personali continuerà anche nel 2023. Nonostante influisca direttamente sulla privacy delle persone, anche la cybersecurity aziendale messa a rischio. Spesso infatti i dipendenti utilizzano gli indirizzi e-mail lavorativi anche per registrarsi a siti di terze parti, che possono essere esposti a fughe di dati. Quando le informazioni sensibili come gli indirizzi e-mail diventano pubblicamente accessibili, possono suscitare l’interesse dei criminali informatici e innescare discussioni su potenziali attacchi all’azienda su siti web darknet; inoltre, i dati possono essere utilizzati per il phishing e il social engineering.

Malware-as-a-service, attacchi attraverso il cloud e dati compromessi provenienti dal dark web

Gli esperti prevedono inoltre che gli attacchi ransomware diventeranno sempre più simili a causa dell’aumento degli strumenti malware-as-a-service (MaaS). La complessità degli attacchi aumenterà, il che significa che i sistemi automatizzati non saranno sufficienti a garantire una sicurezza completa. Inoltre, la tecnologia cloud diventerà un vettore di attacco popolare, poiché la digitalizzazione porta con sé maggiori rischi per la cybersecurity. Inoltre, nel 2023 i criminali informatici ricorreranno più spesso ai siti dark web per acquistare l’accesso a organizzazioni precedentemente compromesse.

Per proteggere l’azienda dalle minacce Kaspersky consiglia di:
• Tenere sempre aggiornato il software su tutti i dispositivi utilizzati per evitare che gli attaccanti si infiltrano nella rete sfruttando le vulnerabilità. Installare le patch per le nuove vulnerabilità il prima possibile. Una volta scaricata, gli attori delle minacce non possono più sfruttarla.
• Usare le informazioni più recenti di Threat Intelligence per essere sempre al corrente degli attuali TTP utilizzati dagli attori delle minacce.
• Utilizzate la Digital Footprint Intelligence per aiutare gli analisti della sicurezza a esaminare la situazione delle risorse aziendali da parte di un avversario, scoprire tempestivamente i potenziali vettori di attacco a loro disposizione e regolare di conseguenza le difese.
• In caso di incidente, il servizio Kaspersky Incident Response consente di reagire e ridurre al minimo le conseguenze, in particolare di identificare i nodi compromessi e di proteggere l’infrastruttura da attacchi simili in futuro.

Sanità: liste di attesa, Garante privacy avvia istruttoria su algoritmo Regione veneto

(GARANTE PRIVACY) – COMUNICATO STAMPA, 18 GEN – Il Garante per la protezione dei dati personali ha inviato alla Regione Veneto una richiesta di informazioni per verificare la conformità alla normativa privacy di una delibera, in base alla quale non sarebbero più i medici di medicina generale a scegliere la classe di priorità della prestazione richiesta per il paziente, ma un sistema basato sull’intelligenza artificiale. Sarebbe in sostanza un algoritmo a stabilire i tempi di attesa per le prestazioni prescritte.

Di fronte ad un possibile trattamento su larga scala di dati particolarmente delicati come quelli sulla salute, che coinvolgerebbe peraltro un numero rilevante di pazienti, il Garante ha deciso di avviare un’istruttoria. L’iniziativa della Regione era stata segnalata da alcuni articoli di stampa.

Entro 20 giorni la Regione Veneto dovrà comunicare all’Autorità ogni elemento utile alla valutazione del caso, precisando in particolare se l’attribuzione della classe di priorità delle prestazioni sanitarie (urgente, breve, differita, programmata) sia realmente effettuata in forma automatizzata, attraverso algoritmi. L’indicazione della classe di priorità non sarebbe, peraltro, modificabile dal medico.

La Regione dovrà indicare la norma giuridica alla base del trattamento, la tipologia di algoritmo utilizzato, i data base e i tipi di informazioni e documenti clinici che verrebbero trattati.

Dovrà inoltre specificare le modalità utilizzate per informare gli assistiti dell’iniziativa, fornire elementi sulla valutazione di impatto effettuata e indicare il numero di pazienti coinvolti dal trattamento.

Privacy Daily 5/2023

Twitter intende riaprire alla pubblicità politica dopo che nel 2019 aveva deciso di vietare la maggior parte degli annunci politici. Nelle prossime settimane, la società “allineerà la politica pubblicitaria a quella della TV e di altri media”, secondo alcuni tweet dell’account Twitter Safety, a riprova che Elon Musk sta intervenendo anche su questo tipo di business in discontinuità con le precedenti politiche della piattaforma, che avevano messo al bando gli annunci di candidati, partiti politici o funzionari governativi eletti o nominati.

È da leggere la comunicazione con la quale lo scorso 22 dicembre il Segretario di Stato per gli Interni e le Relazioni con il Regno olandese ha informato il Parlamento della politica che il Governo intende implementare in fatto di regolamentazione e vigilanza sugli algoritmi di intelligenza artificiale utilizzati da soggetti pubblici e privati in attesa del varo del Regolamento europeo. Al centro della nuova politica l’attribuzione all’autorità olandese per la protezione dei dati, Autoriteit Persoonsgegevens del ruolo di “supervisore degli algoritmi” con il compito di vigilare direttamente sull’utilizzo crescente di dati personali ai fini dell’adozione di decisioni – anche pubbliche – automatizzate e di promuovere forme di cooperazione con le altre Autorità di settore negli ambiti di specifica competenza di ciascuna. Il Segretario di Stato ha, tra l’altro, anticipato la messa a disposizione del Garante olandese di adeguate risorse economiche in maniera progressiva tra quest’anno e il 2026, quando è previsto il completamento dell’implementazione della nuova strategia. Si tratta, probabilmente, di un esempio da imitare.

Milioni di giocattoli regalati nel Natale appena passato dai genitori, parenti e amici ai più piccoli sono “intelligenti”, smart, come in genere si dice e, quindi, nella più parte dei casi, connessi a Internet, spesso attraverso smartphone e tablet.

Tutto questo li rende, naturalmente, straordinariamente affascinanti per i più piccoli.

È un sogno o un incubo? L’uno o l’altro, a seconda dei casi ma anche a seconda di come i più grandi regolano le impostazioni dei giocattoli in questione, tra l’altro, decidendo quali e quanti dati personali possono e devono condividere.

In un bellissimo articolo che tutti i genitori dovrebbero leggere, Wired spiega come fare in modo che il nuovo giocattolo sia più simile possibile a un sogno per il nostro bambino e il meno simile possibile a un incubo.

ENGLISH TRANSLATION

Twitter plans to reopen to political advertising after it decided to ban most political ads in 2019. In the coming weeks, the company will “align its advertising policy with that of TV and other media,” according to some tweets from the Twitter Safety account, proving that Elon Musk is also taking action on this type of business in discontinuity with the platform’s previous policies, which had banned ads from candidates, political parties, or elected or appointed government officials.

It is worth reading the communication in which the Dutch Secretary of State for the Interior and Kingdom Relations informed Parliament last Dec. 22 of the policy that the government intends to implement regarding the regulation and supervision of artificial intelligence algorithms used by public and private entities pending the enactment of European regulations. At the center of the new policy is the assignment to the Dutch data protection authority, Autoriteit Persoonsgegevens, of the role of “supervisor of algorithms” with the task of directly supervising the increasing use of personal data for the purpose of automated decision-making – including public decision-making – and promoting forms of cooperation with other sector authorities in the areas of specific competence of each. The Secretary of State has, among other things, anticipated the provision of adequate economic resources to the Dutch Data Protection Authority in a progressive manner between this year and 2026, when the implementation of the new strategy is scheduled to be completed. This is probably an example to be imitated.

Millions of toys given in the Christmas just past by parents, relatives and friends to the little ones are “smart,” smart, as they are generally called and, therefore, in most cases, connected to the Internet, often through smartphones and tablets.

All this makes them, of course, extraordinarily fascinating for the little ones.

Is it a dream or a nightmare? One or the other, depending on the case but also depending on how the older ones adjust the settings of the toys in question, among other things, deciding what and how much personal data they can and should share.

In an important article that all parents should read, Wired explains how to make sure that the new toy is as much like a dream for our child as possible and as little like a nightmare as possible.