Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Michele Pinassi : 16 Maggio 2022 06:43
Autore: Michele Pinassi
Data Pubblicazione: 15/05/022
Giovedì 12 maggio 2022 è stata inviata, a quasi 8000 indirizzi PEC di altrettante Pubbliche Amministrazioni italiane, una diffida a usare lo strumento Google Analytics, popolare strumento di monitoraggio e analisi per i siti web. Il motivo? Secondo l’European Data Protection Board, se non adeguatamente configurato, questo strumento lede i diritti degli utenti ed espone l’Ente a sanzioni anche pesanti.
“Sono ancora troppi i siti web delle PA italiane che non rispettano a pieno quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali (GDPR): quando le violazioni vengono commesse dalle istituzioni pubbliche, oltre al diritto individuale dei cittadini viene lesa anche la credibilità della Democrazia.”
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
è il paragrafo di apertura della presentazione del progetto MonitoraPA.
Portato avanti in modo totalmente volontario da “un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese” (come si legge nelle prime righe della PEC che hanno inviato a migliaia di PA italiane) con l’obiettivo di far rimuovere, dal codice dei portali istituzionali, Google Analytics.
Sul sito web dell’iniziativa è stato messo a disposizione l’elenco delle PA con tanto di analisi e tracking-id individuato.
Come saprete, Google Analytics è uno strumento di Google per il monitoraggio delle visite e delle attività degli utenti sui siti web. Disponibile sia per privati che per Enti, Aziende e Istituzioni, sono tantissimi i siti web che, anche in Italia, lo hanno implementato.
Ne abbiamo già parlato in altre occasioni, soprattutto perché in Europa, con l’approvazione del Regolamento EU 2016/679 “GDPR”, sono stati evidenziati profili d’incompatibilità di questo strumento con la normativa, iniziando proprio dal trasferimento dei dati personali.
Criticità evidenziate proprio di recente da alcune Autorità dei Dati Personali, come quella francese e austriaca, attraverso pronunciamenti che lasciano ben poco spazio all’interpretazione: l’utilizzo di Google Analytics, se non opportunamente configurato e implementato, è stato ritenuto illecito dall’EDPS (European Data Protection Supervisor, il garante della privacy europeo).
A poche ore dall’invio delle migliaia di PEC da parte del gruppo attivista MonitoraPA, sui social si è scatenato un interessante dibattito, a tratti con toni piuttosto accesi, tra chi condivideva l’iniziativa e chi, invece, ha ritenuto la comunicazione minacciosa e destituita di fondamento.
Tra i vari interventi, credo che valga la pena leggere quello di Andrea Lisi, DPO e Titolare dello Studio Legale Lisi
che ripercorre gli aspetti più squisitamente normativi della questione in modo abbastanza chiaro ed esauriente, anche se sotto alcuni aspetti meno tecnici mi trova non sempre concorde.
Tuttavia, oltre agli aspetti squisitamente tecnico-normativi, credo che ci sia anche un aspetto, nondimeno importante, di opportunità.
Ricordiamo infatti che parliamo dei portali web, delle “vetrine” istituzionali, di Enti Pubblici. Siti web dove i cittadini accedono per richiedere e beneficiare dei servizi della PA, non per svago o per diletto, e per questo credo che –più di altri siti web– essi debbano essere rispettosi della privacy dei cittadini stessi. Insomma, per dirla in modo brutale, ma perché devo far sapere a Google o a Facebook (o a qualsiasi altra azienda terza) che ho appena fatto richiesta di un alloggio popolare? Oppure che ho bisogno di una certa prestazione sanitaria?
Da un punto di vista squisitamente etico e morale apprezzo l’iniziativa MonitoraPA. Anche se ha scosso migliaia di DPO dalla tranquillità del loro rapporto con le PA italiane, credo che sia un messaggio forte e chiaro a chi ancora oggi subisce la più dannosa delle frasi, quel “abbiamo sempre fatto così” pronto a bloccare qualsiasi tipo di confronto, miglioria, innovazione. L’impressione, infatti, è che in molti siti web sia presente Google Analytics perché “si fa così“, spesso anche all’insaputa dei responsabili del sito stesso, è forte.
Che poi, parliamo semplicemente di adeguarsi a quanto previsto, tra l’altro, anche dal Piano Triennale per l’Informatica della PA. Nel trienno 2021-2023 è infatti previsto, all’obiettivo “OB.1.1 – Migliorare la capacità di generare ed erogare servizi digital“:
Web Analytics Italia, per completezza, è la piattaforma di web analysis, basata su Matomo, messa a disposizione dall’AgID gratuitamente per le PA italiane: l’installazione, analogamente a Google Analytics, è semplice e banale ma i dati raccolti, relativi agli utenti, rimangono entro il perimetro europeo e tutelati dalla normativa GDPR.
P.S. Per verificare la conformità del Vs sito web potete usare la piattaforma Cookiebot, che effettua gratuitamente una analisi di conformità al GDPR del proprio sito web.
Michele Pinassi