Roma, 5 dicembre 2013 1 di 30 Il valore strategico dei dati, tra sicurezza economica, trasparenza e libertà Scuola Superiore Economia e Finanze 5 dicembre

Roma, 5 dicembre 2013 1 di 30

Il valore strategico dei dati, tra Il valore strategico dei dati, tra sicurezza economica, sicurezza economica,

trasparenza e libertà trasparenza e libertà

Scuola Superiore Economia e Finanze 5 dicembre 2013

Federico FLAVIANOFederico FLAVIANODirettoreDirettore

Direzione tutela dei consumatoriDirezione tutela dei consumatoriAGCOMAGCOM

Roma, 5 dicembre 2013Roma, 5 dicembre 2013


Il consumo di dati in Italia

Consumi giornalieri per persona in Italia nel 2012

10 minuti di chiamate effettuate

23 minuti passatisui social network

115 minuti di televisione visti

276 byte di ebook

letti

TOT 274 min

TOT 36 GB

21 e-mail e lettere inviate

30 sms e instant message inviati


2.000.000 di ricerche su Google

100.000 tweet inviati

2.000 check-in su Foursquare

70 ore di upload su YouTube

47.000 app scaricate da iTunes

200.000.000 email inviate

Ogni minuto

Caratterizzazione del traffico su Internet (2012)

Fonte: elaborazioni dell’Autorità su dati Domo


Definizione di Cyberspace (DoD)

« A global domain within the information environment consisting of the interdependent network of information technology infrastructures and resident dataresident data,including the Internet, telecommunications networks, computer systems, and embedded processors and controllers »


I Dati nel Cyberspace• Piattaforme social media

• Reti di sensori (che rilevano, creano e comunicano dati)

• Servizi Cloud

creazione di «miniere di dati» nel Cyberspace Dati pubblici e privati su tutti gli aspetti della

vita sociale e privata delle persone

Valore commerciale dei dati = ENORME Valore commerciale dei dati = ENORME


Social Media: esempio di elaborazione demograficaFonte: http://www.flowtown.com/


oltre il Web 2.0 BIG DATA

CLOUD Computing


L’impetuosa crescita delle informazioniL’impetuosa crescita delle informazioni

• Dal 1453 al 1503 furono stampati in Europa circa 8 milioni di libri

• Un numero superiore a quelli prodotti dagli amanuensi, dalla fondazione di Costantinopoli (nei 1200 anni precedenti)

Il patrimonio informativo (rappresentato dai libri) impiegava circa 50 anni per raddoppiare.

Oggi sono sufficienti solo 3 anni per Oggi sono sufficienti solo 3 anni per raddoppiare la quantità di dati disponibili su raddoppiare la quantità di dati disponibili su

InternetInternet


Big data

• Lo sfruttamento dei BIG Data prevede l’applicazione Lo sfruttamento dei BIG Data prevede l’applicazione della matematica ad enormi quantità di dati per valutare della matematica ad enormi quantità di dati per valutare delle probabilità: delle probabilità: – nella correzione/traduzione di un testonella correzione/traduzione di un testo– sulla diffusione di un epidemia influenzalesulla diffusione di un epidemia influenzale

Evoluzione verso sistemi di valutazione automaticaEvoluzione verso sistemi di valutazione automatica

L’enorme quantità di dati disponibili riduce il rischio di errori


Big Data, social network e valore economico

WhatsApp all’atto dell’installazione acquisisce la rubrica dell’utente (indicato nei Terms of service) ed è libera di trasformare (si parla di datizzazionedatizzazione) in metadati economicamente valorizzabili i rapporti inter-personali/inter-aziendali, i legami di amicizia ecc.

•Il valore della società è legato esclusivamente al valore intriseco dei Big Data riferiti ad oltre 350 milioni di utenti attivi ogni mese.

EsempioEsempio


BIG DATA e CLOUD Computing

• La gestione dei Big Data ha generato l’esigenza di conservare ed elaborare enormi quantità di dati…

Soluzione tecnologica di storage ed elaborazione distribuita denominata

CLOUD Computing


Modello concettuale


Alcune opportunità del Cloud

• Scalabilità, elasticità, flessibilità• Quantità “infinita” di risorse di computazione disponibile

su richiesta• Accessibilità anytime e anywhere• Accesso ubiquo basato su Internet/Web• Semplicità di gestione • Economie di scala• Velocità di sviluppo e deployment• Innovazione di business più rapida• Maggiore produttività• Riduzione dell’impatto ambientale dell’ICT in ottica green


Alcune criticità della nuvola• Privacy e sicurezza

– Chi accede ai dati nella nuvola?– Recupero, tracciamento ed integrità dei dati?– La nuvola è gestita davvero in modo sicuro?– Data leaks

• Questioni politiche e legali– Di chi sono i dati?– Chi può usare i dati?– Dove sono localizzati i dati?

• Rischi di vendor lock-in– Ad es. data lock-in: difficoltà di migrazione dei dati in caso

di cambio del Cloud provider – Mancanza di standardizzazione nei servizi offerti


Vincoli all’introduzione del Web 3.0

• Difficoltà a trovare soluzioni che rispettino

– Privacy dei cittadini– Tutela segreti industriali– Tutela proprietà intellettuale

Questo perché il Web 3.0 richiede una conoscenza approfondita delle informazioni per ricerche semantiche e mashup evoluti


Le problematiche relative alla privacy

• Rischio di profilazione di massa per i soggetti che partecipano attivamente al Web 2.0– Suddivisione degli utenti in cluster aggregati– Molteplici ambiti applicativi della profilazione degli

utenti spesso attuati ad insaputa di questi (ad es. pubblicità mirate, ma anche dossier, etc.)

– Gli utenti si comporterebbero con la stessa spontaneità e naturalezza se sapessero che le informazioni che inseriscono in rete possono essere utilizzate da strumenti tesi alla creazione di profili?

– Necessità di informare gli utenti in modo chiaro e preciso su cosa si vuole porre in essere con l’analisi dei dati



• Crawling, caching e storicizzazione dei dati – Creazione di nuove banche dati a partire dai

dati presenti in rete– Duplicazione incontrollata dei dati personali– Diritto all’oblio

• Chi deve cancellare cosa? • Chi è il soggetto competente?

– Web reputation• Nuova figura professionale: il web reputation

manager

Ad esempio: Cache di Google

Internet Archive – www.archive.org



• Applicazioni di Knowledge Discovery – Si possono scoprire informazioni sulla

persona dalla correlazione di informazioni inserite in momenti diversi e in porzioni diverse della rete che non emergerebbero dalla normale conoscenza dei singoli contributi

– L’utente ne è davvero consapevole?– Rischio di profilazione inesatta o falsata degli

individui

Chi è questa signora?


Un esempio eclatante

• Il 4 Agosto 2006, AOL rilasciò per scopi di ricerca ed “in forma anonima” un file di testo contenente 20 milioni di query effettuate da 650.000 utenti

• Analizzando le query e correlandole con dati pubblici il New York Times scoprì ben presto l’identità dell’utente 4417749 e di molti altri

Un giornalista del New York Times, semplicemente

analizzando le ricerche fatte dall’utente contrassegnato dal n. 4417749, è riuscito a scoprirne

l’identità: Thelma Arnold, 62 anni, residente a Lilburn.

http://www.nytimes.com/2006/08/09/technology/09aol.html?pagewanted=all

[…] Ms. Arnold, who agreed to discuss her searches with a reporter, said she was shocked to hear that AOL had saved and published three months’ worth of them.

“My goodness, it’s my whole personal life,” she said. “I had no idea somebody was looking over my

shoulder.” […]At first glance, it might appear that Ms. Arnold fears she is suffering from a wide range of ailments. Her

search history includes “hand tremors,” “nicotine effects on the body,” “dry mouth” and “bipolar.” But in an

interview, Ms. Arnold said she routinely researched medical conditions for her friends to assuage their anxieties. Explaining her queries about nicotine, for

example, she said: “I have a friend who needs to quit smoking and I want to help her do it.”

Che affidabilità avrebbe, in questo caso, un’eventuale profilazione?


La posizione della UE• La Commissione UE ha presentato nel 2013 una strategia sulla sicurezza

informatica contestualmente alla proposta di direttiva della Commissione in materia di sicurezza delle reti e dell’informazione

• La strategia esprime la visione che l’UE ha della sicurezza informatica, articolandola in cinque priorità. “Più si conta su Internet, più si tende a credere

che essa sia sicura. La sicurezza su internet tutela le nostre libertà e i nostri diritti, come pure la nostra capacità di esercitare attività economiche. È giunto il momento di adottare iniziative coordinate, in quanto non farlo avrà un costo assai superiore” Neelie KroesNeelie Kroes

«Affinché il ciberspazio resti aperto e libero, occorre che alle transazioni su internet si applichino regole, principi e valori promossi dall’UE al di fuori di tale ambito. È necessario che nel ciberspazio siano tutelati i diritti fondamentali, la democrazia e lo Stato di diritto. L’UE collabora con i suoi partner internazionali, con la società civile e con il settore privato per promuovere questi diritti a livello mondiale» Catherine AshtonCatherine Ashton, Alta rappresentante dell’Unione europea per gli Affari esteri e la politica di sicurezza e Vicepresidente della Commissione


UE update/2

Le cinque priorità della strategia UE :

•conseguire la resilienza informatica;

•ridurre drasticamente la criminalità informatica;

•sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune;

•sviluppare le risorse industriali e tecnologiche per la sicurezza informatica;

•istituire una coerente politica internazionale del ciberspazio per l’Unione europea e sostenere i valori fondamentali dell’UE.

La politica internazionale dell’UE per il ciberspazio intende promuovere il rispetto dei valori fondamentali dell’Unione europea, definire regole di comportamento responsabile, favorire l’applicazione nel ciberspazio delle leggi internazionali


UE update/3La proposta di direttiva stabilisce misure che prevedono:

a) l’elaborazione da parte degli Stati membri di una strategia per la sicurezza delle reti e dell’informazione e la designazione di un’autorità nazionale competente in materia, dotata delle risorse finanziarie e umane necessarie per prevenire, far fronte e rispondere ai rischi e agli incidenti che si verificano in tale ambito;

b) l’istituzione di un meccanismo di cooperazione tra gli Stati membri e la Commissione, al fine di mettere in comune mediante un’infrastruttura sicura i sistemi di preallarme riguardo a rischi e incidenti, collaborare e organizzare regolarmente valutazioni inter pares;

c) l’adozione da parte degli operatori di infrastrutture critiche in alcuni settori (servizi finanziari, trasporti, energia, sanità), degli operatori di servizi della società d’informazione (in particolare: app stores, piattaforme di commercio elettronico, pagamenti su internet, “cloud computing”, motori di ricerca, reti sociali) e degli amministratori pubblici di prassi in materia di gestione dei rischi e di notifica degli incidenti gravi a livello di sicurezza nei rispettivi servizi fondamentali.


DPCM del 24/01/2013 – «Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale»

• In Italia l’esigenza di una adeguata tutela della sicurezza istituzionale, oltre che economico-finanziaria più in generale, è all’origine del Decreto del Presidente del Consiglio dei Ministri 24 gennaio 2013 (G.U. n. 66 del 19 marzo 2013) -. Obiettivo:

– Riorganizzare l’architettura istituzionale nel settore della sicurezza cibernetica;

– Framework organizzativo con a capo il Presidente del Consiglio ed i ministri che compongono unitamente il Comitato per la sicurezza della Repubblica (CISR) a cui sono demandati i compiti di indirizzo politico-strategico.

Strumenti:– Definizione di

• quadro strategico nazionale per la sicurezza dello spazio cibernetico• Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali

– emanazione delle conseguenti direttive d’indirizzo.


Le macro-attività della regolamentazione di AGCOM


AGCOM: le competenze in materia

Legge n. 249/1997 «istituzione dell’Autorità per le garanzie nelle comunicazioni»

art. 1, comma 6, lett. a) riferito alle competenze della Commissione Infrastrutture e Reti (CIR):

3) definisce, fermo restando quanto previsto dall'articolo 15 della legge 31 dicembre 1996, n. 675 , le misure di sicurezza delle comunicazioni (…);

Art. 1, c. 13: L'Autorità si avvale degli organi del Ministero delle comunicazioni e degli organi del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazioni (…)


Le tutele messe in campo da Agcom

• L’affidabilità e prestazioni delle connessioni di rete diventano aspetti cruciali per l’utilizzo dei servizi cloud– Qualità del servizio– Business continuity– Accesso da reti mobili

• Alcune tutele sono già disponibili


Problemi aperti

• Le tutele offerte da Agcom coprono, essenzialmente, i servizi di connettività offerti dai cloud carriers

• Quali tutele per i fruitori dei servizi degli altri attori?– Cloud providers spesso internazionali, ad

es. Amazon– Nessuna possibilità di ADR?– Di chi la competenza?

• I tempi sono maturi per una regolamentazione della nuvola?– SLA e QoS– Tutela ex-post


SicurezzaQoS

TrasparenzaTutela degli utenti

QoSBroadband Map

Tutela degli utenti

TrasparenzaQoS


Grazie per l’attenzione

Ing. Federico FlavianoAutorità per le Garanzie nelle ComunicazioniDirezione Tutela dei [email protected]

Documents

Roma, 5 dicembre 2013 1 di 30 Il valore strategico dei dati, tra sicurezza economica, trasparenza e libertà Scuola Superiore Economia e Finanze 5 dicembre