Tag: Cybersecurity

Categorie
Tecnologia

Frattasi è il nuovo direttore dell’Agenzia nazionale per la cybersicurezza

Author: Wired

È il prefetto di Roma, Bruno Frattasi, a diventare nuovo direttore dell’Agenzia per la cybersicurezza nazionale. A deciderlo il Consiglio dei ministri che si è tenuto a Cutro, in Calabria. Frattasi subentra a Roberto Baldoni, che si era dimesso lunedì 6 marzo dopo aver avviato l’Agenzia (Acn).

Frattasi è una nomina voluta appieno dal sottosegretario alla presidenza del Consiglio dei ministri, Alfredo Mantovano, che ha la delega ai servizi e ha voluto mettere il cappello su un ente, come l’Acn, che gestisce milioni, appalti strategici e decisioni critiche. Una figura che non piaceva alla Lega, in quanto Frattasi è stato capo di gabinetto dell’ex ministro dell’Interno Luciana Lamorgese, prima ai tempi del Conte II, e poi sotto Draghi. E di fatto ha messo mano ai decreti sicurezza voluti da Matteo Salvini nel Conte I come ministro dell’Interno e disegnati dall’allora capo di gabinetto del leader leghista, Matteo Piantedosi, che oggi ritrova a capo del Viminale. Peraltro proprio lo spostamento di Piantedosi aveva lasciato libera la casella di prefetto di Roma che Frattasi ha occupato dallo scorso 31 ottobre.

Come prefetto di Roma Frattasi si è occupato di occupazioni abusive e movida. In passato ha scritto la riforma dei Vigili del fuoco, condotto operazioni contro la criminalità organizzata e occupato diversi ruoli sia nella polizia che in altri rami della pubblica amministrazione. Nato a Napoli, 67 anni, è laureato in Giurisprudenza alla Federico II di Napoli. In quanto capo del gabinetto del Viminale, Frattasi viene contattato dall’ex ministra delle Infrastrutture Paola De Micheli per la pratica di cittadinanza dell’ex giocatore della Juventus Suarez e le conversazioni in cui l’ex ministra gli chiede aiuto per velocizzare la cosa finiscono negli atti dell’indagine, come scrive Repubblica.

La nomina lampo di Frattasi chiude in pochi giorni il vuoto lasciato da Baldoni ai vertici dell’Acn. Ora il prefetto dovrà occuparsi di un organismo estremamente tecnico, negoziare con i colossi del digitale e mettere le mani in decisioni critiche su cloud, dati e sicurezza informatica.

Categorie
Economia Tecnologia

TikTok sta realizzando tre data center in Europa

Author: Wired

Si chiama Clover, in italiano “trifoglio”, il nuovo progetto messo in campo da TikTok. La piattaforma cinese di intrattenimento ne ha annunciato i dettagli l’8 marzo, spiegando che introdurrà nuove misure per garantire maggiore sicurezza ai dati dei paesi membri dell’Unione europea, del Regno Unito e di Islanda, Liechtenstein e Norvegia.

Sulla base dell’approccio adottato negli Stati Uniti, TikTok potenzierà gli attuali controlli sull’accesso ai dati introducendo nuovi gateway di sicurezza attraverso i quali i dipendenti potranno accedere ai dati degli utenti TikTok dello spazio economico europeo e del Regno Unito e questi ultimi potranno essere trasferiti. Di fatto, ogni accesso ai dati dovrà quindi passare prima attraverso diversi controlli.

La piattaforma cinese ha reso anche noto che garantirà supervisione e controllo indipendenti nominando come partner una terza parte europea specializzata in materia di sicurezza dei dati. Sarà quindi una società distinta a occuparsi della supervisione e del processo di audit sui controlli e sulla protezione dei dati, a monitorare il flusso di questi ultimi e a fornire verifiche indipendenti, nonché report sulle eventuali anomalie. TikTok collaborerà inoltre con altre società per includere nel proprio approccio le più recenti e avanzate tecnologie utili a rafforzare ulteriormente la privacy.

Tutto questo sarà possibile perché la piattaforma cinese, a complemento del data center europeo di Dublino già annunciato lo scorso anno, ne realizzerà un altro nella capitale irlandese e uno nella regione di Hamar, in Norvegia. Quest’ultimo funzionerà peraltro utilizzando energia rinnovabile al 100%, derivata principalmente da impianti idroelettrici locali.

TikTok ha già iniziato a conservare in Irlanda i dati delle oltre 150 milioni di persone europee che ogni mese accedono alla piattaforma e continuerà a farlo per tutto il 2023 e nel 2024. Una volta completati, i tre data center saranno in grado di conservare i dati degli utenti grazie a un investimento annuale totale di 1,2 miliardi di euro.

A lavorare al progetto Clover è impegnato già dallo scorso anno un team interno dell’azienda, con l’obiettivo non soltanto di rendere la piattaforma conforme agli standard europei in tema di sicurezza dei dati, ma di stabilirne addirittura di nuovi e più evoluti, minimizzando i flussi di dati al di fuori dall’Europa e limitando il più possibile l’accesso dei dipendenti alle informazioni degli utenti.

Il progetto Clover – afferma il vicepresidente delle Relazioni governative e delle Politiche pubbliche di TikTok in Europa Theo Bertramconsolida l’impegno che abbiamo assunto da tempo riguardo la sicurezza dei dati in Europa e contribuisce a far sì che la nostra community europea, con ben 150 milioni di utenti, possa beneficiare di un sistema di protezione e sicurezza dei dati ai massimi livelli del settore”.

Categorie
Tecnologia

Intelligenza artificiale, i 10 punti ancora irrisolti del regolamento europeo

Author: Wired

Dopo anni di negoziati, entro il 2023 è prevista l’approvazione del regolamento dell’Unione europea sull’intelligenza artificiale. Ma su molti punti dell’Artificial Intelligence Act (Ai Act) ancora non c’è accordo. Il Consiglio europeo ha idee opposte a quelle del Parlamento sul riconoscimento facciale in tempo reale, mentre all’interno dello stesso Europarlamento ci sono posizioni contrastanti sui sistemi di identificazione delle emozioni. Wired ha parlato con Brando Benifei, correlatore dell’Ai Act per l’Europarlamento e con Patrick Breyer, europarlamentare del Partito pirata tedesco, per identificare i 10 punti più controversi, che saranno al centro dei negoziati del trilogo, ovvero le riunioni tra Parlamento, Consiglio e Commissione che dovranno trovare una mediazione.

  1. Riconoscimento facciale in tempo reale
  2. Analisi delle emozioni
  3. Poligrafi e macchine della verità
  4. Verifica di impatto sui diritti fondamentali
  5. Il social scoring
  6. Punteggio sociale “di fatto”
  7. Repressione di una società libera e diversa
  8. Rischio disinformazione con Chat GPT
  9. Rischio di sostenere regimi che usano l’Ai per la repressione
  10. Rischio di fermare un gran numero di innocenti (soprattutto tra migranti e minoranze)

Brando Benifei, Mattia Fantinati e Max Schrems al Wired Next Fest 2022 di FirenzeBrando Benifei al Wired Next Fest 2022: “Tra un anno avremo le regole sull’intelligenza artificiale”

Nell’incontro di Firenze si è parlato con Max Schrems e Mattia Fantinati dello stato dell’arte della legislazione europea in fatto di digitale e intelligenza artificiale

Riconoscimento facciale in tempo reale

I sistemi di sorveglianza che identificano le persone mentre camminano in luoghi pubblici, come quando salgono le scale di una metropolitana sono proibiti nel regolamento proposto dalla Commissione. Ma sono previste eccezioni – come la lotta al terrorismo e la ricerca di persone scomparse – che permetterebbero a un giudice di attivarli. “Nel sistema informativo degli stati in qualsiasi momento ci sono centinaia di migliaia di ricercati per terrorismo – sottolinea Breyer -. Probabilmente i tribunali ordinerebbero di identificarli e questo significherebbe sorveglianza di massa biometrica permanente”. “Non abbiamo dati che il riconoscimento facciale in tempo reale aiuti la sicurezza conferma Benifei -, ma sappiamo, invece, che crea problemi di sicurezza”. Il grosso dei gruppi politici dell’Europarlamento sono stati convinti dalla campagna Reclaim your face per un bando totale alla sorveglianza di massa, ma il Consiglio ha aggiunto la “sicurezza nazionaletra le eccezioni per il suo utilizzo.

Analisi delle emozioni 

L’analisi biometrica dei movimenti per l’identificazione delle emozioni non è vietata dall’Ai Act, ma solo qualificata come tecnologia “a rischio”. Significa che i sistemi che usano questa applicazione dell’intelligenza artificiale sono elencati in un allegato al regolamento (che dovrà essere periodicamente aggiornato) e sono soggetti a specifiche procedure di certificazione. “Per me il riconoscimento delle emozioni andrebbe vietato con la sola eccezione della ricerca medica – afferma Benifei – ma il Parlamento non ha una maggioranza su questo, perché liberali di destra (Ppe) e i conservatori, sono contrari a vietare queste tecnologie ritenendo che possano essere utilizzate per la sicurezza”.

article imageLa “macchina della verità” alle frontiere di cui l’Europa preferiva non parlare

Poligrafi e macchine della verità

Tra le tecnologie di analisi biometrica delle emozioni considerate a rischio ma non vietati dall’Ai Act ci sono prodotti che promettono di identificare chi si muove in modo pericoloso nella folla (ad esempio, chi lascia un bagaglio incustodito), e ci sono poligrafi, ovvero vere e proprie macchine della verità. Tra queste, il sistema Iborder: basato su un algoritmo che analizza i micro-movimenti del viso è stato sperimentato ai confini dell’Europa per identificare sospetti terroristi. Nonostante abbia fornito risposte sbagliate a chi lo ha testato, la sua sperimentazione è stata descritta come una storia di successo dalla Commissione europea.

Verifica di impatto sui diritti fondamentali

Oggetto di accesa discussione tra il Parlamento e il Consiglio è la verifica di impatto per gli utilizzatori di sistemi di intelligenza artificiale qualificati come ad alto rischio. “Attualmente il regolamento prevede solo una certificazione per i produttori di questi sistemi. Si tratta di auto-verifiche su qualità dei dati e rischi di discriminazione, su cui vigilerà l’autorità nazionale di ogni paese membro e l’ufficio europeo sull’intelligenza artificiale spiega Benifei -. Noi vogliamo inserire un ulteriore obbligo di controllo da parte degli utilizzatori, ovvero pubbliche amministrazioni e imprese che utilizzano questi sistemi, ma il Consiglio non prevede questo meccanismo”.

article imageAnche in Italia il Garante della privacy blocca la più controversa startup di riconoscimento facciale al mondo

L’Autorità multa Clearview AI con una sanzione da 20 milioni di euro e il divieto di raccogliere foto di persone italiane e cancellare quelli esistenti. Ad accendere il faro sulla società anche l’inchiesta condotta da Wired Italia

Il social scoring

L’utilizzo dell’intelligenza artificiale per dare punteggi alle persone in base al loro comportamento è vietato nella proposta di regolamento, con un’eccezione per le piccole imprese contenuta nella bozza approvata dal Consiglio, ma cancellata in quella di mediazione redatta dalla commissione Giustizia dell’Europarlamento: “È opportuno esentare i sistemi di Ai destinati alla valutazione dell’affidabilità creditizia e del merito creditizio nei casi in cui sono messi in servizio da microimprese o piccole imprese per uso proprio”. 

Punteggio sociale di fatto

C’è il rischio che le tecnologie di riconoscimento delle emozioni vengano utilizzate per controllare minoranze nelle stazioni ferroviarie e alle frontiere con i migranti, nelle carceri e anche negli eventi sportivi – aggiunge Breyer -. In tutti i luoghi dove queste tecnologie sono state già testate”. L’esponente del Partito pirata sottolinea poi che “molte delle telecamere utilizzate per la registrazione e il monitoraggio dei movimenti sono tecnicamente in grado di riconoscere i volti, soprattutto se si acquistano da produttori cinesi”. Inoltre, “sarebbe molto facile per le forze dell’ordine attivare la funzione del riconoscimento facciale”, anche se non permesso dalla normativa europea. 

Repressione di una società libera e diversa

Nonostante il divieto di dare crediti sociali, per Breyer esiste il pericolo che le informazioni provenienti da sistemi di riconoscimento delle emozioni finalizzate a ragioni di sicurezza, possano essere utilizzate per identificare chi si comporta in modo diverso dalla massa e costituire, di fatto, un sistema di credito sociale che reprime chi voglia adottare comportamenti diversi da quelli della massa, come partecipare a manifestazioni politiche. 

Rischio disinformazione con ChatGPT

Nella proposta di compromesso dell’Europarlamento, i contenuti generati dall’intelligenza artificiale che sembrano scritti da una persona, così come le immagini deepfake – sono soggetti a obbligo di trasparenza verso gli utenti. Si obbliga a informare gli utenti, durante il momento dell’esposizione al contenuto (chatbot o deepfake) che è stato generato da un algoritmo. “Questo obbligo di trasparenza è previsto nella bozza dell’Europarlamento ma non nella posizione del Consiglio“, sottolinea Benifei.

fumettiLe risposte di ChatGPT e delle altre intelligenze artificiali sono piene di pregiudizi

Da Google Translate a Character.AI fino a Chatsonic, i sistemi di deep learning addestrati per conversare non riescono fare a meno di ripetere i più classici stereotipi, nonostante le premure dei programmatori

Rischio di sostenere regimi che usano l’Ai per la repressione

L’Iran ha annunciato di utilizzare il riconoscimento facciale per segnalare le donne che non indossano correttamente il velo, la Russia per identificare le persone da arrestare. L’utilizzo di questa tecnologia su larga scala in Europa, porterebbe le aziende a rafforzarne la produzione e questo avrebbe un impatto anche su regimi autoritari fuori dal continente”, avverte Breyer.

Rischio di fermare un gran numero di innocenti

Anche se le tecnologie di riconoscimento facciale raggiungono un’accuratezza del 99%, quando sono applicate su migliaia di persone, rischiano di identificare un numero enorme di cittadini innocenti – ricorda Breyer -. Uno studio dell’Istituto nazionale per la standardizzazione della tecnologia degli Stati Uniti ha rilevato la scarsa attendibilità di molte tecnologie di riconoscimento facciale biometrico sul mercato quando si tratta di persone non bianche – evidenzia l’europarlamentare -, probabilmente perché i dati di addestramento dell’algoritmo erano viziati: queste tecnologie tendono a essere utilizzate in zone con alti tassi di criminalità, dove vivono principalmente minoranze etniche”.

Categorie
Tecnologia

Apple, il nuovo e insidioso bug scoperto su iOs e macOs

Author: Wired

Da anni Apple rafforza i sistemi di sicurezza dei suoi dispostivi. A riprova del fatto che nessuna azienda è però immune dai problemi, una nuova ricerca ha rivelato l’esistenza di una nuova classe di bug in grado di colpire i sistemi operativi di Apple per iPhone e Mac che, se sfruttati, potrebbero consentire a un malintenzionato di raccogliere messaggi, foto e la cronologia delle chiamate degli utenti.

Il 21 febbraio i ricercatori dell’Advanced research center della società di sicurezza Trellix hanno pubblicato un rapporto relativo a un bug che potrebbe consentire ai criminali informatici di eludere le protezioni di sicurezza di Apple e impartire i loro comandi illeciti. Il team dell’azienda riporta che le falle, classificate come di gravità medio-alta, permettono di aggirare le protezioni messe in campo da Apple per proteggere gli utenti.

L’aspetto chiave è che le vulnerabilità infrangono il modello di sicurezza di Apple a un livello fondamentale“, afferma Doug McKee, direttore della ricerca sulle vulnerabilità di Trellix. McKee sottolinea che alla luce della scoperta della nuova classe di bug, i ricercatori e Apple saranno potenzialmente in grado di scovare vulnerabilità simili e migliorare le protezioni di sicurezza della società. Apple ha già corretto i bug rilevati da Trellix e non ci sono prove che le vulnerabilità siano state sfruttate.

Le scoperte di Trellix si basano su un precedente lavoro di Google e Citizen Lab, un ente di ricerca della University of Toronto. Nel 2021 le due organizzazioni avevano scoperto ForcedEntry, un exploit zero-click e zero-day per iOs, collegato al produttore israeliano di spyware Nso Group. (l’exploit, descritto come molto sofisticato, era stato trovato sull’iPhone di un attivista saudita e utilizzato per installare il malware Pegasus di Nso).

L’analisi di ForcedEntry ha permesso di capire che l’exploit era diviso in due parti. Nella prima, si induce un iPhone ad aprire un file pdf dannoso camuffato da gif, mentre la seconda componente consente agli aggressori di eludere la sandbox di Apple, un meccanismo che impedisce alle app di accedere ai dati memorizzati da altre app o ad altre parti del dispositivo. La ricerca di Trellix, condotta dal ricercatore Austin Emmitt, si concentra su questa seconda parte e ha sfruttato le falle per aggirare la sandbox.

Categorie
Tecnologia

16 anni l’età minima per iscriversi ai social network: la proposta

Author: Wired

Sette proposte per rendere il web un luogo virtuale più sicuro per i minorenni. È il pacchetto di misure che il 6 e il 7 febbraio scorsi, in occasione del Safer Internet Day, ricorrenza annuale istituita dalla Commissione europea per promuovere un uso consapevole della rete, il Telefono Azzurro ha presentato nell’aula dei gruppi parlamentari della Camera.

Il progetto, che come priorità ha identificato l’innalzamento dagli attuali quattordici ai 16 anni della cosiddetta età di connessione, nasce con l’obiettivo di tutelare i diritti dei bambini e degli adolescenti. “Sono – ha spiegato il presidente della onlus Ernesto Caffo – gli stessi ragazzi a chiederlo”. Ecco perché occorre “sensibilizzare – ha aggiunto – non solo l’opinione pubblica, ma anche i legislatori affinché adottino misure di maggiore tutela del minore che naviga sul web e utilizza i social network”.

Il Telefono Azzurro ha proposto al governo di rendere “invalidi” i contratti conclusi dai minori di sedici anni con i fornitori dei servizi delle società di informazione e di obbligare questi ultimi a verificare l’età dell’utente all’atto del perfezionamento del contratto stesso. La onlus ha inoltre invitato l’esecutivo a limitare la possibilità di manifestare il consenso al trattamento dei propri dati solo ai maggiori di 16 anni.

In materia di sextorsion, il Telefono Azzurro suggerisce di rafforzare il potere del garante della privacy. Questa particolare forma di estorsione si verifica quando alla vittima viene richiesto il pagamento di una somma di denaro sotto la minaccia di diffusione di video o immagini vere o presunte che la ritraggono in pose o atteggiamenti sessualmente espliciti

Le altre proposte della onlus riguardano poi il potenziamento del servizio del 114, Emergenza infanzia, attraverso la previsione del “contatto di emergenza in app” e l’introduzione dell’educazione civica digitale e di una nuova governance dell’agenda digitale dei bambini.

article imageI problemi della legge francese per vietare ai minori l’accesso ai siti porno

Il governo vuole introdurre nuovi meccanismi per verificare l’identità. Che comportano grossi rischi per la privacy degli utenti in rete

La posizione del governo

Le richieste dell’associazione presieduta da Caffo hanno trovato il pieno appoggio del governo. “La tutela dell’infanzia e dell’adolescenza rispetto al mondo digitale – ha infatti affermato nel corso dell’evento il viceministro del Lavoro e delle Politiche sociali Maria Teresa Bellucciè certamente una priorità di questo esecutivo”. 

Troviamo – ha aggiunto – che ci debbano essere una responsabilità e una consapevolezza della responsabilità a tutti i livelli: a livello istituzionale; a livello delle piattaforme, che devono essere sempre più capaci di introdurre dei sistemi di misurazione dell’età; a livello della scuola, che deve formare ed educare per fare in modo che le nuove generazioni che vivono in un mondo digitale possano vedere in quel mondo un luogo delle opportunità e non di malessere e devianza“.