Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

E’ bufera su EIDAS 2.0: La controversa legge europea che potrebbe portarci ad una “Europa di sorveglianza”

Redazione RHC : 4 Novembre 2023 10:08

L’Unione Europea sta lavorando per aggiornare il regolamento eIDAS, che regola l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato unico europeo. Si tratta di un atto legislativo importante nell’era della digitalizzazione e il suo aggiornamento è logico visto il rapido sviluppo del settore. Tuttavia, il processo di aggiornamento ha causato preoccupazione. Nel marzo 2022, un gruppo di esperti ha scritto una lettera aperta ai membri del Parlamento europeo , avvertendo dei rischi della nuova versione di eIDAS per il quadro globale di sicurezza di Internet.

La versione preliminare di eIDAS 2.0, che ha ricevuto l’approvazione dei negoziatori dell’UE, suscita allarme a causa delle sue conseguenze che, secondo Mozilla, potrebbero essere ancora più gravi di quanto si pensasse. Nella sua nuova risorsa “Last Chance to Fix eIDAS”, Mozilla spiega in dettaglio come la nuova legislazione richiederà a tutti i browser web nell’UE di fidarsi delle autorità di certificazione e delle chiavi crittografiche approvate dai governi nazionali.

Secondo Mozilla, queste innovazioni potrebbero rafforzare significativamente la capacità dei governi dell’UE di monitorare i propri cittadini, fornendo loro gli strumenti per intercettare il traffico Internet crittografato in tutta l’Unione Europea. Pertanto, qualsiasi stato membro dell’UE sarà in grado di assegnare chiavi utilizzate per autenticare i siti Web e ai browser Web non sarà consentito rifiutarsi di fidarsi di queste chiavi senza l’esplicito permesso del governo.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Un tale sistema consente a qualsiasi Stato membro dell’UE di rilasciare certificati di intercettazione e sorveglianza che possono essere utilizzati contro qualsiasi cittadino dell’UE, indipendentemente dal suo luogo di residenza. Tuttavia, non esiste un controllo indipendente o un bilanciamento dei poteri riguardo all’emissione e all’uso di queste chiavi. Tali misure sollevano serie preoccupazioni alla luce delle differenze nel rispetto dello stato di diritto tra gli Stati membri dell’UE e dei casi documentati di agenzie di intelligence che abusano del potere per scopi politici.

L’European Signature Dialog, che mira a “riunire i principali fornitori di servizi fiduciari europei per condividere le migliori pratiche, sviluppare una posizione comune del settore sulle questioni normative e potenziare le soluzioni europee per la sicurezza dei dati”, non è d’accordo con l’analisi presentata da Mozilla. Il post di LinkedIn dice quanto segue:Mozilla ha recentemente lanciato una campagna accusando l’attuale legislazione eIDAS di disinformazione per bloccare le modifiche all’articolo 45 relativo ai certificati di autenticazione web qualificati dell’UE (“QWAC”).

Un documento dell’European Signature Dialog confuterebbe presumibilmente le affermazioni di Mozilla. Per coloro che sono interessati a comprendere la tecnologia sottostante, Eric Rescorla suggerisce una introduzione a eIDAS e QWAC pubblicata sul blog Educated Guesswork. Ma c’è anche una questione meno tecnica. Mozilla afferma: “Fare in modo che i browser si fidino automaticamente delle autorità di certificazione governative è una tattica chiave utilizzata dai regimi autoritari e tale azione dell’UE potrebbe supportare questa tendenza. In breve, se questa legge fosse adottata da altri Stati, potrebbe minacciare la sicurezza informatica e i diritti umani fondamentali.

A questa illazione risponde l’European Signature Dialog sulla firma: “L’Unione Europea non controlla le CA “root” utilizzate dagli emittenti QWAC, e quindi l’UE non può utilizzare i certificati per “spiare” i cittadini dell’UE. Mozilla dovrebbe vergognarsi di se stessa per aver fatto una simile affermazione.

L’Unione Europea potrebbe non avere il controllo sulle CA “root”, ma Mozilla sostiene che i singoli stati membri dell’UE potrebbero effettivamente essere in grado di ottenere tale controllo, che a sua volta potrebbe consentire alle loro agenzie di intelligence di monitorare, ad esempio, il traffico web crittografato.

European Signature Dialog conclude la sua risposta con la domanda: Perché Mozilla diffonde questa disinformazione? ” e risponde: ” Mozilla è spesso percepito come un satellite di Google, aprendo la strada a Google per promuovere i suoi interessi commerciali“. Questo attacco alle motivazioni di Mozilla, insinuando che sia semplicemente un “satellite” di Google, implica una mancanza di fiducia negli altri argomenti avanzati dall’European Signature Dialog.

Inoltre, l’accusa secondo cui si tratta solo di un tentativo di Google di aggirare la legislazione europea è smentita dal fatto che, oltre a Mozilla, 335 accademici e ricercatori di 32 paesi, nonché diverse ONG, hanno firmato una dichiarazione congiunta in cui criticano la proposta di riforma eIDAS. Gli accademici avvertono: “L’agenzia controllata dal governo sarebbe in grado di intercettare il traffico web non solo dei propri cittadini, ma di tutti i cittadini dell’UE, comprese informazioni bancarie, dati protetti dalla legge, cartelle cliniche e foto di famiglia. L’intercettazione è possibile anche quando si visitano siti web al di fuori dell’UE, poiché l’istituzione designata potrà emettere certificati per qualsiasi sito web, che tutti i browser dovranno accettare. Sebbene eIDAS 2.0 offra ai cittadini l’opportunità di rinunciare a nuovi servizi e funzionalità, ciò non si applica all’articolo 45. Ogni cittadino dovrà fidarsi di questi certificati e quindi ogni cittadino dovrà affrontare una minaccia alla propria sicurezza online.

In conclusione riportano :”Questo regolamento non elimina nessuno dei rischi esistenti. Al contrario, minando i comprovati processi di autenticazione web sicuri, introduce nuovi rischi senza alcun beneficio per i cittadini, le imprese e le istituzioni europee. Inoltre, se la legge entrasse in vigore, si può presumere che altri paesi spingeranno per privilegi di browser simili a quelli degli Stati membri dell’UE – qualcosa che alcuni hanno tentato senza successo in passato – creando così una minaccia globale alla sicurezza web.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence
RUBRICHE
Alla scoperta della Sicurezza Informatica
Alla scoperta dell’Hacking
Interviste ai Threat Actors

RISORSE
Red Hot Cyber Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
COMMUNITY
Scrivi per Red Hot Cyber
Whistleblower
Red Hot Cyber Conference
Report
Contatti

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009

Facebook Twitter Youtube Linkedin Telegram Whatsapp