Il valore strategico dei dati, tra
sicurezza economica,
trasparenza e libertà
Scuola Superiore Economia e Finanze
5 dicembre 2013
Federico FLAVIANO
Direttore
Direzione tutela dei consumatori
AGCOM
Roma, 5 dicembre 2013
Roma, 5 dicembre 2013
1 di 30
Il consumo di dati in Italia
Consumi giornalieri per persona in Italia nel 2012
TOT 274 min
10 minuti di chiamate effettuate
276 byte
di ebook
letti
21 e-mail e
lettere inviate
23 minuti passati
sui social network
115 minuti di
televisione visti
30 sms e instant
message inviati
TOT 36 GB
Roma, 5 dicembre 2013
2 di 30
Caratterizzazione del traffico su
Internet (2012)
200.000.000 email
inviate
47.000 app scaricate
da iTunes
2.000.000 di ricerche
su Google
Ogni minuto
70 ore di upload
su YouTube
100.000 tweet inviati
2.000 check-in
su Foursquare
Fonte: elaborazioni dell’Autorità su dati Domo
Roma, 5 dicembre 2013
3 di 30
Definizione di Cyberspace (DoD)
« A global domain within the
information environment consisting
of the interdependent network
of information technology
infrastructures
and resident data,
including the Internet,
telecommunications networks,
computer systems, and embedded
processors and controllers »
Roma, 5 dicembre 2013
4 di 30
I Dati nel Cyberspace
• Piattaforme social media
• Reti di sensori (che rilevano, creano e
comunicano dati)
• Servizi Cloud
 creazione di «miniere di dati» nel
Cyberspace Dati pubblici e privati su tutti gli aspetti della
vita sociale e privata delle persone
Valore commerciale dei dati = ENORME
Roma, 5 dicembre 2013
5 di 30
Social Media: esempio di elaborazione demografica
Fonte: http://www.flowtown.com/
Roma, 5 dicembre 2013
6 di 30
oltre il Web 2.0
BIG DATA
CLOUD
Computing
Roma, 5 dicembre 2013
8 di 30
L’impetuosa crescita delle informazioni
• Dal 1453 al 1503 furono stampati in Europa
circa 8 milioni di libri
• Un numero superiore a quelli prodotti dagli
amanuensi, dalla fondazione di Costantinopoli
(nei 1200 anni precedenti)
 Il patrimonio informativo (rappresentato dai libri)
impiegava circa 50 anni per raddoppiare.
Oggi sono sufficienti solo 3 anni per
raddoppiare la quantità di dati disponibili su
Internet
Roma, 5 dicembre 2013
9 di 30
Big data
• Lo sfruttamento dei BIG Data prevede l’applicazione
della matematica ad enormi quantità di dati per valutare
delle probabilità:
– nella correzione/traduzione di un testo
– sulla diffusione di un epidemia influenzale
 Evoluzione verso sistemi di valutazione automatica
L’enorme quantità di dati disponibili riduce il rischio di errori
Roma, 5 dicembre 2013
10 di 30
Big Data, social network
e valore economico
Esempio
WhatsApp all’atto dell’installazione acquisisce la rubrica
dell’utente (indicato nei Terms of service) ed è libera di
trasformare (si parla di datizzazione) in metadati
economicamente valorizzabili i rapporti interpersonali/inter-aziendali, i legami di amicizia ecc.
• Il valore della società è legato esclusivamente al valore
intriseco dei Big Data riferiti ad oltre 350 milioni di utenti
attivi ogni mese.
Roma, 5 dicembre 2013
11 di 30
BIG DATA e CLOUD Computing
• La gestione dei Big Data ha generato
l’esigenza di conservare ed elaborare
enormi quantità di dati…
 Soluzione tecnologica di storage ed
elaborazione distribuita denominata
CLOUD Computing
Roma, 5 dicembre 2013
12 di 30
Modello concettuale
Roma, 5 dicembre 2013
13 di 30
Alcune opportunità del Cloud
• Scalabilità, elasticità, flessibilità
• Quantità “infinita” di risorse di computazione disponibile
su richiesta
• Accessibilità anytime e anywhere
• Accesso ubiquo basato su Internet/Web
• Semplicità di gestione
• Economie di scala
• Velocità di sviluppo e deployment
• Innovazione di business più rapida
• Maggiore produttività
• Riduzione dell’impatto ambientale dell’ICT in ottica green
Roma, 5 dicembre 2013
14 di 30
Alcune criticità della nuvola
• Privacy e sicurezza
– Chi accede ai dati nella nuvola?
– Recupero, tracciamento ed integrità dei dati?
– La nuvola è gestita davvero in modo sicuro?
– Data leaks
• Questioni politiche e legali
– Di chi sono i dati?
– Chi può usare i dati?
– Dove sono localizzati i dati?
• Rischi di vendor lock-in
– Ad es. data lock-in: difficoltà di migrazione dei dati in caso
di cambio del Cloud provider
– Mancanza di standardizzazione nei servizi offerti
Roma, 5 dicembre 2013
15 di 30
Vincoli all’introduzione del Web 3.0
• Difficoltà a trovare soluzioni che rispettino
– Privacy dei cittadini
– Tutela segreti industriali
– Tutela proprietà intellettuale
Questo perché il Web 3.0 richiede una conoscenza approfondita delle
informazioni per ricerche semantiche e mashup evoluti
Roma, 5 dicembre 2013
16 di 30
Le problematiche relative alla privacy
• Rischio di profilazione di massa per i soggetti
che partecipano attivamente al Web 2.0
– Suddivisione degli utenti in cluster aggregati
– Molteplici ambiti applicativi della profilazione degli
utenti spesso attuati ad insaputa di questi (ad es.
pubblicità mirate, ma anche dossier, etc.)
– Gli utenti si comporterebbero con la stessa
spontaneità e naturalezza se sapessero che le
informazioni che inseriscono in rete possono essere
utilizzate da strumenti tesi alla creazione di profili?
– Necessità di informare gli utenti in modo chiaro e
preciso su cosa si vuole porre in essere con l’analisi
dei dati
Roma, 5 dicembre 2013
17 di 30
Le problematiche relative alla privacy
Ad esempio: e storicizzazione dei
• Crawling, caching
Cache di Google
dati Internet Archive – www.archive.org
– Creazione di nuove banche dati a partire dai
dati presenti in rete
– Duplicazione incontrollata dei dati personali
– Diritto all’oblio
• Chi deve cancellare cosa?
• Chi è il soggetto competente?
– Web reputation
• Nuova figura professionale: il web reputation
manager
Roma, 5 dicembre 2013
18 di 30
Le problematiche relative alla privacy
• Applicazioni di Knowledge Discovery
–
Si
possono
scoprire
informazioni
sulla
Chi è questa signora?
persona dalla correlazione di informazioni
inserite in momenti diversi e in porzioni
diverse della rete che non emergerebbero
dalla normale conoscenza dei singoli
contributi
– L’utente ne è davvero consapevole?
– Rischio di profilazione inesatta o falsata degli
individui
Roma, 5 dicembre 2013
19 di 30
Un esempio eclatante
http://www.nytimes.com/2006/08/09/technolog
y/09aol.html?pagewanted=all
Che affidabilità avrebbe,
Un giornalista del New York
[…] Ms. Arnold, who agreed to discuss her searches
in questo caso,
with a reporter, said she was shocked to hear that AOLTimes, semplicemente
analizzando le ricerche fatte
had saved and publishedun’eventuale
three months’ worth of them.
profilazione?
“My goodness, it’s my
whole personal life,”dall’utente
she
contrassegnato dal n.
said. “I had no idea somebody was looking over
my
4417749,
è riuscito a scoprirne
shoulder.” […]
l’identità: Thelma Arnold, 62 anni,
At first glance, it might appear that Ms. Arnold fears
she is suffering from a wide range of ailments. Her residente a Lilburn.
search history includes “hand tremors,” “nicotine effects
on the body,” “dry mouth” and “bipolar.” But in an
interview, Ms. Arnold said she routinely researched
medical conditions for her friends to assuage their
anxieties. Explaining her queries about nicotine, for
example, she said: “I have a friend who needs to quit
smoking and I want to help her do it.”
• Il 4 Agosto 2006, AOL rilasciò per scopi di
ricerca ed “in forma anonima” un file di
testo contenente 20 milioni di query
effettuate da 650.000 utenti
• Analizzando le query e correlandole con
dati pubblici il New York Times scoprì ben
presto l’identità dell’utente 4417749 e di
molti altri
Roma, 5 dicembre 2013
20 di 30
La posizione della UE
•
•
La Commissione UE ha presentato nel 2013 una strategia sulla sicurezza
informatica contestualmente alla proposta di direttiva della
Commissione in materia di sicurezza delle reti e dell’informazione
La strategia esprime la visione che l’UE ha della sicurezza informatica,
articolandola in cinque priorità.
“Più si conta su Internet, più si tende a credere
che essa sia sicura. La sicurezza su internet
tutela le nostre libertà e i nostri diritti, come
pure la nostra capacità di esercitare attività
economiche. È giunto il momento di adottare
iniziative coordinate, in quanto non farlo avrà
un costo assai superiore” Neelie Kroes
«Affinché il ciberspazio resti aperto e libero, occorre che alle transazioni su
internet si applichino regole, principi e valori promossi dall’UE al di fuori di tale
ambito. È necessario che nel ciberspazio siano tutelati i diritti fondamentali, la
democrazia e lo Stato di diritto. L’UE collabora con i suoi partner internazionali,
con la società civile e con il settore privato per promuovere questi diritti a livello
mondiale» Catherine Ashton,
Alta rappresentante dell’Unione europea per gli Affari esteri e la politica di sicurezza e Vicepresidente della
Commissione
Roma, 5 dicembre 2013
21 di 30
UE update/2
Le cinque priorità della strategia UE :
•
•
•
conseguire la resilienza informatica;
ridurre drasticamente la criminalità informatica;
sviluppare la politica di difesa e le capacità informatiche connesse alla
politica di sicurezza e di difesa comune;
• sviluppare le risorse industriali e tecnologiche per la sicurezza informatica;
• istituire una coerente politica internazionale del ciberspazio per l’Unione
europea e sostenere i valori fondamentali dell’UE.
La politica internazionale dell’UE per il ciberspazio intende promuovere il
rispetto dei valori fondamentali dell’Unione europea, definire regole di
comportamento responsabile, favorire l’applicazione nel ciberspazio delle leggi
internazionali
Roma, 5 dicembre 2013
22 di 30
UE update/3
La proposta di direttiva stabilisce misure che prevedono:
a) l’elaborazione da parte degli Stati membri di una strategia per la sicurezza delle
reti e dell’informazione e la designazione di un’autorità nazionale competente in
materia, dotata delle risorse finanziarie e umane necessarie per prevenire, far fronte e
rispondere ai rischi e agli incidenti che si verificano in tale ambito;
b) l’istituzione di un meccanismo di cooperazione tra gli Stati membri e la Commissione,
al fine di mettere in comune mediante un’infrastruttura sicura i sistemi di preallarme
riguardo a rischi e incidenti, collaborare e organizzare regolarmente valutazioni inter
pares;
c) l’adozione da parte degli operatori di infrastrutture critiche in alcuni settori (servizi
finanziari, trasporti, energia, sanità), degli operatori di servizi della società d’informazione
(in particolare: app stores, piattaforme di commercio elettronico, pagamenti su internet,
“cloud computing”, motori di ricerca, reti sociali) e degli amministratori pubblici di prassi in
materia di gestione dei rischi e di notifica degli incidenti gravi a livello di sicurezza nei
rispettivi servizi fondamentali.
Roma, 5 dicembre 2013
23 di 30
DPCM del 24/01/2013 – «Direttiva recante indirizzi per la protezione
cibernetica e la sicurezza informatica nazionale»
• In Italia l’esigenza di una adeguata tutela della sicurezza
istituzionale, oltre che economico-finanziaria più in generale, è
all’origine del Decreto del Presidente del Consiglio dei Ministri 24
gennaio 2013 (G.U. n. 66 del 19 marzo 2013) -.
 Obiettivo:
–
–
Riorganizzare l’architettura istituzionale nel settore della sicurezza cibernetica;
Framework organizzativo con a capo il Presidente del Consiglio ed i ministri che
compongono unitamente il Comitato per la sicurezza della Repubblica (CISR) a cui sono
demandati i compiti di indirizzo politico-strategico.
 Strumenti:
–
Definizione di
•
•
–
quadro strategico nazionale per la sicurezza dello spazio cibernetico
Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali
emanazione delle conseguenti direttive d’indirizzo.
Roma, 5 dicembre 2013
24 di 30
Le macro-attività della regolamentazione di AGCOM
Roma, 5 dicembre 2013
25 di 30
AGCOM: le competenze in materia
Legge n. 249/1997 «istituzione dell’Autorità per le garanzie nelle
comunicazioni»
art. 1, comma 6, lett. a) riferito alle competenze della Commissione
Infrastrutture e Reti (CIR):
3) definisce, fermo restando quanto previsto dall'articolo 15 della legge 31
dicembre 1996, n. 675 , le misure di sicurezza delle comunicazioni (…);
Art. 1, c. 13:
L'Autorità si avvale degli organi del Ministero delle comunicazioni e degli
organi del Ministero dell'interno per la sicurezza e la regolarità dei servizi
di telecomunicazioni (…)
Roma, 5 dicembre 2013
26
26 di 30
Le tutele messe in campo da Agcom
• L’affidabilità e prestazioni delle connessioni
di rete diventano aspetti cruciali per
l’utilizzo dei servizi cloud
– Qualità del servizio
– Business continuity
– Accesso da reti mobili
• Alcune tutele sono già disponibili
Roma, 5 dicembre 2013
27 di 30
Problemi aperti
• Le tutele offerte da Agcom coprono,
essenzialmente, i servizi di
connettività offerti dai cloud carriers
• Quali tutele per i fruitori dei servizi
degli altri attori?
– Cloud providers spesso internazionali, ad
es. Amazon
– Nessuna possibilità di ADR?
– Di chi la competenza?
• I tempi sono maturi per una
regolamentazione della nuvola?
– SLA e QoS
– Tutela ex-post
Roma, 5 dicembre 2013
28 di 30
QoS
Broadband Map
Tutela degli utenti
Reti di
nuova
generazione
Trasparenza
QoS
Trasparenza
Tutela degli utenti
Net
neutrality
Nuove
sfide per
AGCOM
Cloud
Computing
Roma, 5 dicembre 2013
Servizi
Internet,
VoIP,
Over The
Top
Sicurezza
QoS
29 di 30
Grazie per l’attenzione
Ing. Federico Flaviano
Autorità per le Garanzie nelle Comunicazioni
Direzione Tutela dei Consumatori
[email protected]
Roma, 5 dicembre 2013
30 di 30