ma ovviamente cosa poteva andare storto, l’AGICOM (ica) ci ha abituato da anni a grandi approcci tecnologici infallibili. siamo noi le cassandre negative.
Immaginiamo un mondo in cui il “Piracy Shield” italiano, con tutta la sua zelante determinazione nel combattere la pirateria online, finisce per assomigliare un po’ troppo a quel nonno che, nel tentativo di cacciare un topo dalla casa, finisce per demolire le pareti con un mazzuolo. “Via la pirateria!” grida con fervore, mentre dietro di lui una scia di siti legittimi cade come un castello di carte al minimo soffio di vento.
È come se, nel tentativo di creare una rete più sicura e legale, abbiano invece organizzato una festa in maschera dove, per errore, invece di bandire solo i “cattivi pirati”, hanno finito per chiudere la porta in faccia a capitani, marinai, e persino ai pappagalli innocenti. “Tu là, con il cappello a tre punte, non importa se stai solo cercando di leggere l’ultima uscita del tuo autore preferito, qui non entri!”
E poi c’è l’utente medio, che cercando di navigare online si trova davanti a un mare di “Accesso Negato”. Immagina di voler solo acquistare legalmente l’ultimo album del tuo artista preferito, ma scopri che il sito è stato bloccato perché qualcuno, tre server più in là, ha deciso di condividere illegalmente una foto di un gatto che indossava un cappello da pirata. “Mi dispiace, caro navigatore, questo contenuto è stato bloccato per proteggerti dalla pirateria. Per favore, goditi questa GIF di un gatto che balla, come consolazione.”
ebbene si, si sono oscurati siti che non trasmettevano streaming, e, tra l’altro, in maniera abbastanza caotica.
ma come?
quelli che l’AGICOM (ica) non erra mai
la domanda è errata, la domanda dovrebbe essere: chi paga?
Si perché se assumiamo che qualcuno tenga in piedi per legittime attività commerciali, e tali attività vengono impedite senza una valida ragione vi è un danno, e tale danno andrebbe coperto da chi ha causato tale blocco.
Potrebbe essere chi ha riferito quegli IP? Potrebbe essere l’AGICOM (ica)?
Vai a vedere che come spesso accade da noi l’accountability è creata come il piracy shield: non sarà individuabile nessuno che sia da ritenersi responsabile.
Del resto visto che il sistema non prevede verifiche preventive ne nessun controllo umano (e potrebbero far finta di usare l’AI per un minimo di controllo?)
“Rispetto ai siti oscurati senza motivo, l’autorità ricorda che hanno cinque giorni dall’oscuramento per promuovere ricorso. Tuttavia, la lista degli indirizzi Ip bloccati non è pubblica: vengono forniti solo numeri aggregati. “
Dall’articolo di Wired
E qui abbiamo il solito delirio giuridico in cui a dover chiedere che sia ripristinata la legalità è la vittima e non chi ha commesso l’abuso. geniale come sempre
(accountability de no artri lo ho già detto?)
Insomma un sistema pensato male, implementato peggio, gestito con le terga con la solita aberrante tendenza a costruire il tutto per evitare di prendersi la responsabilità.
Insomma la classica digitalizzazione all’italiana.
insomma (o insottrazione) ?
In fondo, l’humor nella situazione nasce dall’immagine di questo gigantesco e maldestro tentativo di colpire i pirati, che invece finisce per intrappolare nella sua rete anche i pesci più piccoli e innocenti. Si potrebbe quasi immaginare il Piracy Shield come quel pescatore che, orgoglioso del suo enorme retino, si stupisce di non aver catturato nulla all’infuori di qualche scarpa vecchia e molte lamentele dei bagnanti.
La morale della storia? Forse che, nel tentativo di catturare i “pirati”, è bene assicurarsi di non finire per affondare anche le navi degli innocenti. O, almeno, di lasciare un po’ di spazio per i pappagalli.
Mentre ci deliziamo a discutere, da opposte condizioni, le deliziose notizie generate dal garante sui metadati il mondo va avanti anche senza di noi e le nostre velleità.
Mi ero ripromesso di scrivere delle nuove richieste di Yahoo e Google inerenti i protocolli di autenticazione della posta dopo avervi tenuto piu di un webinar. Purtroppo sono stato distratto da varie ed eventuali e i miei ultimi post sono stati “leggermente” polemici su cose del mondo italico.
Visto che non ho fatto in tempo a scrivere, il mondo non ha avuto la decenza di aspettarmi e le cose si sono messe in moto anche senza che io aveessi modo di delirarci sopra.
Di che si parla?
Si parla di SPF, DKIM e DMARC se non sapete cosa siano male, moolto male, anzi malillimo.
Si parla della richiesta di impementarli correttamente altrimenti google e yahoo non accettano più le vostre preziose email.
Non è roba nuova ma si sa da noi ad un avvertimentno si reagisce in maniera per lo più scomposta e sconclusionata, mai affrontando la radice del problema.
Ah, il mondo delle email è diventato un po’ più “piccante” nel 2024, quando Google e Yahoo, i guardiani della nostra tranquillità digitale, hanno deciso di dare una bella stretta alle regole dell’autenticazione email. Preparati a un viaggio nel bizzarro mondo dell’autenticazione, dove DMARC non è il nome di un DJ svedese e SPF non si riferisce alla tua crema solare!
Google e Yahoo Diventano i Bouncer dell’Email Club
Immagina Google e Yahoo come due buttafuori all’ingresso di un esclusivo club di email. Dal 2024, se non sei sulla lista (leggi: se le tue email non sono autenticate secondo le loro nuove regole super sofisticate), non entrerai. E non importa quanto tu sia convincente, non c’è modo di corromperli con una mancia.
I Codici di Errore: “Non Sei sulla Lista, Amico”
Se le tue email provano a intrufolarsi senza l’autenticazione adeguata, Google e Yahoo risponderanno con dei codici di errore equivalenti a un “Mi dispiace, amico, non puoi entrare”. Questi codici di errore saranno il tuo biglietto d’addio, un gentile promemoria che è ora di aggiornare le tue pratiche di autenticazione.
Apple Si Unisce alla Festa
E per non essere da meno, anche Apple ha deciso di unirsi alla festa, imponendo regole simili. Ora, immagina Apple come quel VIP che arriva alla festa e alza ulteriormente il livello. Se pensavi che aggirare Google e Yahoo fosse difficile, aspetta solo di vedere cosa ha in serbo Apple.
Altri Provider seguiranno l’Esempio
Come se non bastasse, altri provider di posta come Outlook, Hotmail, e magari anche Zoho, decidono che vogliono essere parte di questo esclusivo club dell’autenticazione. Ognuno con le proprie regole, perché, sai, più regole, più divertimento!
Cosa Fare per Non Restare Fuori dalla Festa
SPF1: Anche qui, non stiamo parlando di protezione solare, ma di un record che dice a tutti che sei chi dici di essere.
DKIM2: Un altro pass VIP per mostrare che le tue email non sono travestite.
DMARC3: Non è un nuovo tipo di drink, ma dovrai assicurarti di averlo per passare i controlli all’ingresso.
Ora italicamente la reazione è: ma si tanto poi cambieranno idea, figurati se lo fanno adesso, ma cosa vogliono questi e via dicendo.
Nuntio vobis magno cum gaudio
La cosa è iniziata:
chi manda la posta inizia a vedere
🔎 errori𝐒𝐌𝐓𝐏
E si su un piccolo numero ancora, ma google ha iniziato a fare throottling e rigettare le email non alliineate alle loro indiczioni (che cattivoni), ma la cosa è destinata a crecere che vi piaccia o meno.
Le date iniziali sono state rilassate, ma il D day (DMARC Day) si avvicina.
👉 Se vedi repliche SMTP che iniziano con un 4, si tratta di un errore temporaneo e significa che il sistema può inviare nuovamente il messaggio per la consegna; ma se inizia con 5, è un fallimento permanente, e significa che viene rifiutato e non verrà mai consegnato.
Queste sono alcune delle risposte SMTP di Google che possiamo vedere ora:
I nuovi requisiti di Google e Yahoo mirano a garantire che le email inviate siano autentiche e desiderate dai destinatari. Ecco un riassunto delle principali novità e dei requisiti previsti:
Google
Autenticazione delle Email: A partire da febbraio 2024, Google richiederà che i mittenti di email massive autentichino le loro comunicazioni seguendo le best practice stabilite.
Facilità di Disiscrizione: I mittenti dovranno fornire un meccanismo semplice, tipicamente un clic, per consentire ai destinatari di disiscriversi dalle comunicazioni email.
Controllo del Tasso di Spam: I mittenti dovranno mantenere il tasso di segnalazioni spam al di sotto di una determinata soglia (.3%) per evitare che le loro email vengano marcate come indesiderate.
Yahoo
Yahoo, insieme a Google, ha sottolineato l’importanza di queste nuove misure per migliorare l’affidabilità e la sicurezza delle comunicazioni email, enfatizzando l’esigenza di un impegno collettivo per proteggere gli utenti da spam e frodi email.
Motivazioni dietro le Nuove Richieste
Le motivazioni dietro queste nuove richieste includono la necessità di combattere lo spam e migliorare la sicurezza delle comunicazioni email. Google ha segnalato che le sue difese basate sull’intelligenza artificiale bloccano quotidianamente più del 99,9% di spam, phishing e malware, ma nonostante questo, le minacce sono diventate più complesse e pressanti. Queste nuove misure sono volte a colmare le lacune che permettono agli attaccanti di nascondersi tra i mittenti legittimi, migliorando l’autenticazione delle email e rendendo più semplice per gli utenti gestire le iscrizioni.
Requisiti Tecnici e RFC Richiamate
RFC Richiamate
Le richieste di Google e Yahoo si basano su standard definiti nelle seguenti RFC (Request for Comments):
Autenticazione Email: Le pratiche di autenticazione si basano su standard come SPF (RFC 7208), DKIM (RFC 6376) e DMARC (RFC 7489).
Link di Disiscrizione: L’implementazione di un meccanismo di disiscrizione semplice e diretto può riferirsi agli standard definiti in RFC 8058, che descrive il metodo “One-Click” per la disiscrizione dalle email commerciali.
Queste RFC forniscono le linee guida tecniche su come implementare correttamente l’autenticazione delle email e i meccanismi di disiscrizione, assicurando che i mittenti aderiscano ai livelli richiesti di sicurezza e affidabilità nelle loro comunicazioni email.
Implementare i rotocolli di autenticzione, primi enforcement con throttling
Aprile
Enforcement nuove regole per tutti
Giugno
Termine per i mass sender per unsubscribe link
In breve, il 2024 sarà l’anno in cui l’email si metterà in tiro per entrare nel club più esclusivo del mondo digitale. Google, Yahoo, e ora anche Apple, hanno alzato il livello, e se non vuoi restare fuori a guardare, è ora di iniziare a prendere sul serio questi protocolli di autenticazione. Mettiti in coda, mostra i tuoi ID digitali e preparati a ballare al ritmo dell’autenticazione email!
Ricorda, in questo mondo digitale in evoluzione, avere le giuste credenziali è come avere il biglietto d’oro per il club più esclusivo. Non essere quel tipo alla porta che non riesce a entrare perché indossa le scarpe sbagliate!
Insomma la favola dei 7+2 che sta appassionando l’etere.
La questione sarebbe semplice se si sapesse di cosa si parla, ma visto le evoluzioni correnti, dubbi, imprecazioni e salamelecchi vari occorre seguire la cosa con un pochino più di attenzione.
Ora mi balza all’occhio un altra nota del garante su un provvedimento contro un sito di incontri:
in questo provvedimento sembrerebbe che il garante chieda esattamente l’opposto di quanto espresso per le email.
Si legge infatti:
Insomma come a dire che i log non li devi tenere ma li devi tenere, ed oltretutto inalterabili, per non tracciare ma tracciare quello che fanno i dipendenti.
Ed oltretutto tracciare anche l’accesso ai Log stessi e medesimi.
Operazione illegittima di modifica dei Log 😂
Altro che monitoraggio delle attività del lavoratore 🤣
Ora il fatto che si tratti di un provvedimento verso un sito che vive di incontri da tenere segreti non credo sia il punto dirimente.
(e comunque lo so con che account vi siete registrati 😂)
l’acaro
Il punto dirimente è che la giustificazione delle motivazioni di ritenzione di log e metadati è, paradossalmente, data dal garante stesso quando fa queste richieste.
Occorre infatti ripetere, repetita iuvant sed secant, che le indicazioni del garante (che in quanto indicazioni NON sono un obbligo) in merito ai metadati della posta elettronica facevano riferimento ad un aspetto specifico inerente lo statuto dei lavoratori
Per quello che concerne il GDPR già l’articolo 32 darebbe ampia giustificazione alla retention di metadati e log nelle esigenze di sicurezza e ripristino:
Art 32: “Sicurezza del trattamento”
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: => Articolo: 24 a) la pseudonimizzazione e la cifratura dei dati personali; => Articolo: 4 b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
E tali richieste sono rimarcate nella esigenza di avere un controllo puntuale dei dati e di chi vi accede.
Ma, per tornare al punto della posta, tali richieste coincidono sia con il doversi tenere i metadati
/che ricordo sono in gran parte, parte integrante del messaggio di posta /
che di gestire con precisione ed efficacia il tracciamento di chi a questi dati accede.
In altre parole, a meno di non voler limitare a 7+2 giorni, le caselle di posta elettronica la risposta alle indicazione del garante è, mi sento di poter affermare con confidenza:
Teneteli questi dati se servono alla sicurezza e mantenimento del sistema (ex Art. 32 GDPR), dati che si trovano NON solo nei log delle soluzioni ma condivisi anche e sopratutto per motivi di sicurezza (pensate anche ai SIEM1 magari)
Ma, come dovreste comunque fare, giustificate il tutto in maniera sensata.
Il motivo di tale esternazione è legato alle leggerissime tempistiche di attesa che spingono chi, ha un passaporto in scadenza, a muoversi con quei 12 o 13 mesi di anticipo per avere un lumicino di speranza di avere l’agognato documento nelle tempistiche che ti aspetti.
Ebbene si ho un passaporto che scade nel 2025, e quindi occorre che inizia vedere adesso quando riesco ad ottenere uno slot per rinnovarlo.
Ora, per evitare che ci siano incomprensioni, vi ricordo che per ottenere il visto3 o entrare in alcuni paesi il passaporto medesimo deve avere avere una data di scadenza superiore ai 6 mesi, e non vale dire che lo hai tenuto nel freezer e quindi non si è alterato.
Il passaporto
Ora se consideriamo tempi di attesa attorno ai 10 mesi in alcune regioni per ottenere l’agognato appuntamento e dai 15 ai 30 giorni il tempo per il rilascio il conto si fa abbastanza presto.
Ti devi muovere con un’anno di anticipo.
Si potrebbe pensare che avere un passaporto sia un diritto, che il viaggiare sia anch’esso un diritto e che tali diritti possano essere contratti solo in casi di conclamata necessità, ne deduco che la limitazione del diritto di spostamento legato alle lunghe tempistiche di ottenimento del passaporto sia legato ad una contingente necessità.
Contestualmente4 si potrebbe obiettare che il passaporto, in quanto strumento che serve, essenzialmente, a visitare paesi diversi dal patrio suolo italico, sia un oggetto profondamente antipatriota ed anti italiano.
In quest’ottica chiunque richieda un passaporto è quasi un traditore, il vero italiano deve stare in Italia ove trova tutto e solo quello che gli serve, e la sola idea di voler andare all’estero è, di per se, deplorevole. Va quindi disincentivata questa assurda pretesa in tutti i modi.
da molti post su X
Ecco se non siete fautori del punto precedente (che potrebbe descrivere bene, però, le ragioni di tali tempistiche) dobbiamo provare a comprendere quali siano le difficoltà legate a questi benedetti rinnovi e\o rilasci.
Se mi sento di escludere eventuali implicazioni legali che coinvolgano l’intera popolazione italiana, deve esserci qualcosa d’altro.
Il sospetto che mi sovviene è che tale problema sia riscontrabile in una criticità ben precisa:
l’incompetenza.
Che potremmo tradurre come mancanza di preparazione specifica ma che, in questo caso, preferisco declinare come:
Carenza o difetto del potere necessario, da parte di un organo, di svolgere una determinata funzione, spec. nell'ambito del diritto processuale o amministrativo.
Insomma il passaporto è un diritto che ci viene parzialmente negato a causa di un problema di “incompetenza” da parte degli organi preposti a rilasciarlo.
Questo difetto di potere, si potrebbe sospettare, sia legato a diversi fattori:
carenza di personale
procedure farraginose
mancanza di interesse da parte degli organismi competenti a risolvere la questione vissuta come marginale
interfacce online che definire pessime è un evidente caso di sopravalutazione
ed intendiamoci, qui il personale cui deve andare il nostro ringraziamento, non ha responsabilità specifiche, fa quello che può per gestire, con le risorse a disposizione, un carico di lavoro eccessivo.
Insomma si potrebbe dire che, cosa quasi mai accaduta in italia, la problematica sia strettamente legata a mancanza di programmazione, che è, a sua volta, legata a mancanza di comprensione e valorizzazione dei volumi di richiesta in rapporto alle procedure messe in piedi (o forse sarebbe meglio dire in ginocchio).
Ovviamente non esistono “colpe” ma, interessante, non esistono neanche “responsabilità”. Per fortuna l’accountability da noi non è contemplata.
Del resto chi si poteva immaginare che con la Brexit sarebbe aumentata la richiesta di passaporti anche per andare nella perfida albione5?
Il problema non è solo mio, ma diffuso in italia. basta vedere cosa ci racconta una educativa analisi di altroconsumo:
Per fortuna l'aumento dei prezzi dei biglietti aerei rende il tutto più equo, il viaggio costa troppo e quindi vedi che il passaporto non ti serve? Ringrazia che ti hanno fatto risparmiare.
Adesso proverò, contestualmente alle esigenze di lavoro, di visite mediche e di altri impegni di provare a avere un felice risultato magari andando a chiedere in posta.
Si la novità è che sembra, ma come san tommaso se non lo vedo non ci credo, che anche in italia come in molti altri paesi più sviluppati del nostro, si potrà fare richiesta di rilascio del passaporto anche in posta.
E persino farselo spedire a casa (cosi magari aggiungiamo un poco altro ritardo).
Certo far fare questa cosa ai comuni come per la carta di identità sarebbe stato impensabile. Ma sono io che per ottusità e malafede non vedo le evidenti controindicazioni.
Insomma Se tutto va bene in un’anno avrò un bel passaporto rinnovato, vi tenrrò informati sulle vicissitudini 🤣
Ho appena finito di “elogiare” l’AGICOM per l’ennesima implementazione a mentula canis del “piracy shield de no artri”, che mi trovo a dover confrontarmi con la ennesima trovata italica, questa volta del GPDP.
Intendiamoci io capisco che occorra imporre delle limitazioni per legge sull’uso distorto e non autorizzato di dati, e che queste non necessariamente siano coerenti con gli sviluppi tecnologici, ma ogni tanto metterci un po di cervello non guasterebbe. Qui il riferimento più che al garante va ai DPO e responsabili aziendali che, per mettersi in una “posizione sicura” interpretano certi indirizzi in maniera rigida e decontestualizzata.
Allora vediamo di cosa si tratta questa volta:
A seguito di alcune sentenze, e alle considerazioni che già il garante aveva espresso in passato, il garante stesso si è posto il problema dei cosiddetti “metadati” della posta elettronica.
I metadati
I metadati sono, fondamentalmente, tutto quello che concerne la descrizione di un messaggio di posta elettronica, fatta eccezione dei contenuti. Vengono ricavati durante la transazione SMTP (il protocollo che serve al trasferimento dei messaggi della posta elettronica), le intestazioni tecniche del messaggio di posta elettronica stesso (fate riferimento ai miei Email files per capirne di più), e i log dei nodi attraverso cui passa il messaggio fino al raggiungimento (o meno) della casella di posta dell’utente.
Questi dati, se non gestiti correttamente ed usati in maniera non legale, possono dare adito a processi che violano la riservatezza di mittente e destinatario, e possono consentire un monitoraggio non legittimo, ad esempio, delle attività dei lavoratori ai sensi dello statuto dei lavoratori.
I metadati quindi possono e devono essere oggetto di attenta considerazione.
Ma
Ma, ettepareva, c'è un ma.
io me
I metadati sono anche fondamentali per il funzionamento delle soluzioni che gestiscono la posta, e tra queste esigenze vi è una roba che, sempre per esigenze anche delle normicciuole sulla protezione dei dati, si chiama sicurezza.
Esiste quindi un esigenza di capire quanti metadati vanno tenuti per preservare le esigenze di riservatezza verso quanti servano per il corretto funzionamento dei sistemi.
Il garante ci da una prima risposta: 7 giorni
il garante
Infatti, il Garante ha analizzato (in precedenti provvedimenti) quale fosse il tempo di conservazione dei metadati compatibile con l’attività di raccolta e conservazione degli stessi metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e che rispettasse il principio di accountability e il comma 2 dell’art. 4 dello Statuto dei Lavoratori. La conclusione del Garante è stata – appunto – in poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.
Sarei curioso di capire quale sia la componente “tecnica” sottesa a tale valutazione. e metto le virgolette a ragion veduta.
Limitarsi a 7 giorni di metadati è, di per se, una stupidata galattica. Non me ne voglia il garante ed i suoi illuminati esperti, ma evidentemente non hanno mai avuto a che fare con la posta elettronica sia dal punto di vista gestionale che tecnico, e si vede.
Sono pronto a discutere della cosa con qualsiasi “esperto” che ritenga che i 7 giorni siano piu che sufficienti.
Vi sono ottime ragioni per considerare tale finestra temporale inadatta, facciamo qualche esempio:
Cosa succede se occorre fare ricerca di un messaggio, si pensi ad esempio a problematiche legali in cui le email possano essere oggetto della contesa, risalente a problemi anteriori ai 7 (+2) giorni?
Cosa succede se occorre fare troubleshooting di problematiche che si protraggono nel tempo e che richiedono, ad esempio, l’analisi di log di server e MTA?
Cosa succede se occorrono informazioni per monitorare i livelli di sicurezza del sistema?
Cosa succede se per motivi di sicurezza si cerca di capire quale sia la esposizione al rischio degli utenti in funzione delle metriche di attacco che avvengono sulla posta medesima?
Potrei continuare, ma sono sicuro che i più (voglio essere positivo) hanno capito la problematica.
Ma siccome sono duro di comprendonio mi chiedo:
Tali metadati hanno esigenze di vita diverse se si parla di un Mail Server o di un security gateway?
Le due cose solo marginalmente coincidono (la condivisione, ad esempio, del protocollo SMTP e la modifica degli Header di posta)
Alcuni dei metadati citati sono, quantomeno, da meglio definire ad esempio:
Cosa si intende per mittente? il campo “from: ” nella intestazione tecnica o il campo “from: ” in quella visibile?
No signor tenente non coincidono.
e l’ip mittente si intende quello dell’ultimo HoP o quello indicato come iniziale?
E cosi il dominio di provenienza (HELO/EHLO) quale è?
Ovviamente se fossi un pessimo soggetto potrei ricordare che l’alterazione, o la costruzione malevola, di questi metadati è alla base di diversi attacchi perpetrati attraverso la posta elettronica, e siccome sono, fondamentalmente, un pessimo soggetto lo ricordo
I metadati della posta elettronica sono spesso modificati ed alterati da attori malevoli al fine di perpetrare attacchi attraverso tale canale di comunicazione
un cattivo soggetto
La conseguenza di questo piccolo punto è, quindi, che il monitoraggio di questi elementi è fondamentale per questioni di gestione della posta, troubleshooting di problematiche e analisi di sicurezza. Pensare che tali esigenze possano essere ricondotte a un 7+2 giorni significa non avere la benchè minima ne pallida idea della realtà tecnica e delle esigenze di sicurezza.
E quindi?
Li vedo i puristi della “privacy” già si ergono:
le questioni tecniche non devono prevalere sui legittimi diritti e protezione delle lavoratrici e dei lavoratori
i DPO duri e puri del GDPR e gli avvocati indefessi dello statuto dei lavoratori
In realtà il garante ha un problema: far si che i metadati siano usati in maniera legittima e consapevole da parte dei soggetti.
Il garante stesso da la soluzione al di la della delirante richiesta dei 7+2 giorni:
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, per la sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso (quindi tutti salvo rarissime eccezioni quali gli esperti del garante), dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro).
L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore ma non per il metadato in se, ma per l’uso illecito effettuato di dali dati.
Del resto se vogliamo estendere la vexata quaestio al piu generico mondo della posta elettronica, compreso, quindi, il messaggio intero, potremmo per estensione pensare di chiederci se è possibile tenere nella casella di posta dell’utente un messaggio per piu di 7+2 giorni.
Attenzione che in pancia a quel mail-server le informazioni sono, almeno negli assunti indicati dal garante per indicare il metadato, tutti presenti.
La eliminazione, quindi, dei metadati comporterebbe la necessaria eliminazione dei messaggi archiviati nel server nella casella dell’utente.
Certo possiamo fargli creare archivi locali, ma questa non è certo una soluzione che si accompagni alla sicurezza (e se volete ne possiamo parlare).
Spieghi il garante allora agli utenti il razionale di tale vincolo e limitazione 🙂
Insomma ad essere chiari le finalità primarie per tenere i metadati per oltre 7+2 giorni, ovviamente, restano troubleshooting di problemi e la sicurezza informatica e i necessari accertamenti da fare a seguito di data breach o comunque incidente sulla sicurezza informatica. Elementi più che validi per ritenere che le indicazioni date siano non sufficienti ne adatte al mantenimento e gestione dei sistemi di posta elettronica.
Ma, occorre dire, il garante stesso non indica un vincolo assoluto nei 7 giorni, ma richiede che retention più lunghe siano poste in essere con la garanzia del rispetto delle tutele previste dal GDPR e dallo statuto dei lavoratori.
io comprendo la esigenza di bloccare la pirateria dei contenuti legittimamente offerti dalle piattaforme che li hanno acquistati, ma talvolta la cura proposta è semplicemente aberrante.
Ogni riferimento al nostro Piracy Shield, creata dalla mai doma #AGICOM (ica) è dovuto: l’ennesimo esempio di come implementare male una pessima idea.
Non devo neanche scriverci, tutto è già stato scritto qui da #AirVPN annunciando che lascia il mercato italiano.
Il cosiddetto “Scudo Italiano Anti-Pirateria” è un quadro normativo con regolamento attuativo dell’AGCOM (Autorità Italiana per le Telecomunicazioni) che obbliga gli operatori che offrono servizi in Italia a bloccare l’accesso ai servizi finali attraverso il blocco IP e/o l’avvelenamento DNS. L’elenco degli indirizzi IP e dei nomi a dominio da bloccare viene stilato da organismi privati autorizzati dall’AGCOM (attualmente, ad esempio, Sky e DAZN). Questi enti privati inseriscono le blocking list in una piattaforma specifica. I blocchi devono essere imposti entro 30 minuti dalla loro prima comparsa da parte degli operatori che offrono qualsiasi servizio ai residenti in Italia.
Non esiste alcun controllo giurisdizionale e nessun controllo da parte dell’AGCOM. Il blocco deve essere eseguito inaudita altera parte e senza possibilità di reale rifiuto, anche in caso di errore manifesto. L’eventuale opposizione della parte lesa potrà essere proposta solo in una fase successiva, dopo l’imposizione del blocco.
We regret to inform you that we will be discontinuing the service to residents of Italy as of February the 19th, 2024. From the above date, any user registering on the platform must declare that he/she is not a resident of Italy. The purchase page will have IP address-based geolocation and will not be served to IP addresses located in Italy. We will not interrupt the service to current subscribers until the natural expiry date and the refund policy will be granted as usual.
REASONS FOR DISCONTINUATION
The so-called “Italian Piracy Shield” is a legal framework with implementing regulation by AGCOM (Italian Telecommunications Authority) that forces operators offering services in Italy to block access to end services through IP blocking and/or DNS poisoning. The list of IP addresses and domain names to be blocked is drawn up by private bodies authorised by AGCOM (currently, for example, Sky and DAZN). These private bodies enter the blocking lists in a specific platform. The blocks must be enforced within 30 minutes of their first appearance by operators offering any service to residents of Italy.
The above requirements are too burdensome for AirVPN, both economically and technically. They are also incompatible with AirVPN’s mission and would negatively impact service performance. They pave the way for widespread blockages in all areas of human activity and possible interference with fundamental rights (whether accidental or deliberate). Whereas in the past each individual blockade was carefully evaluated either by the judiciary or by the authorities, now any review is completely lost. The power of those private entities authorized to compile the block lists becomes enormous as the blocks are not verified by any third party and the authorized entities are not subject to any specific fine or statutory damage for errors or over-blocking.
By withdrawing service availability from Italy, AirVPN will be able to stay outside the scope of the framework and maintain integrity and efficient operations.
We certainly sympathise with our fellow Italian citizens, and we will be happy to offer advice and alternatives. We would also like to remind them of our more than ten years of support for the Tor network, which is freely accessible even from Italy, and which is becoming increasingly reliable and fast thanks to a myriad of small contributions like ours.
Kind regards and datalove AirVPN Staff
AirPN
Insomma neanche nato e piracy shield de no artri già miete successi.
Del resto cosa può andare male a fronte ti tanta genialità, abbiamo pure una safelist per evitare problemi.
certo uno potrebbe far notare che un IP può essere utilizzato da più di un servizio, e alcuni potrebbero essere assolutamente legittimi e quindi “bloccati” senza ragione
uno potrebbe osservare che senza un monitoraggio attento il rischio di avere in blocklist ip importanti per un “errore” o per attività malevola non è nullo (immaginatevi di bloccare 8.8.8.8 o qualche nodo BGP importante)
Uno potrebbe discutere sulla liceità di blocchi che non consentano una contestuale ed immediata opposizione
Ma perchè fermarsi di fronte a certe sciocchezze. La cosa certa che i successi arrivano e qui abbiamo la dimostrazione autoreferenziale indiscutibile ed indiscussa:
Che cosa significhi che hanno bloccato 65 DNS lo chiedo agli esperti 🙂
Oggi piango la morte di Alfredo Castelli. A lui devo ore di letture amene, non solo con Martin Mystère. Ma proprio al detective dell’impossibile devo una passione per la curiosità e lo “strano”.
Anche i fumetti, se ben fatti, sono letteratura, e possono aprire le strade alla voglia di imparare.
