Redazione RHC : 4 Novembre 2023 10:08
L’Unione Europea sta lavorando per aggiornare il regolamento eIDAS, che regola l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato unico europeo. Si tratta di un atto legislativo importante nell’era della digitalizzazione e il suo aggiornamento è logico visto il rapido sviluppo del settore. Tuttavia, il processo di aggiornamento ha causato preoccupazione. Nel marzo 2022, un gruppo di esperti ha scritto una lettera aperta ai membri del Parlamento europeo , avvertendo dei rischi della nuova versione di eIDAS per il quadro globale di sicurezza di Internet.
La versione preliminare di eIDAS 2.0, che ha ricevuto l’approvazione dei negoziatori dell’UE, suscita allarme a causa delle sue conseguenze che, secondo Mozilla, potrebbero essere ancora più gravi di quanto si pensasse. Nella sua nuova risorsa “Last Chance to Fix eIDAS”, Mozilla spiega in dettaglio come la nuova legislazione richiederà a tutti i browser web nell’UE di fidarsi delle autorità di certificazione e delle chiavi crittografiche approvate dai governi nazionali.
Secondo Mozilla, queste innovazioni potrebbero rafforzare significativamente la capacità dei governi dell’UE di monitorare i propri cittadini, fornendo loro gli strumenti per intercettare il traffico Internet crittografato in tutta l’Unione Europea. Pertanto, qualsiasi stato membro dell’UE sarà in grado di assegnare chiavi utilizzate per autenticare i siti Web e ai browser Web non sarà consentito rifiutarsi di fidarsi di queste chiavi senza l’esplicito permesso del governo.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un tale sistema consente a qualsiasi Stato membro dell’UE di rilasciare certificati di intercettazione e sorveglianza che possono essere utilizzati contro qualsiasi cittadino dell’UE, indipendentemente dal suo luogo di residenza. Tuttavia, non esiste un controllo indipendente o un bilanciamento dei poteri riguardo all’emissione e all’uso di queste chiavi. Tali misure sollevano serie preoccupazioni alla luce delle differenze nel rispetto dello stato di diritto tra gli Stati membri dell’UE e dei casi documentati di agenzie di intelligence che abusano del potere per scopi politici.
L’European Signature Dialog, che mira a “riunire i principali fornitori di servizi fiduciari europei per condividere le migliori pratiche, sviluppare una posizione comune del settore sulle questioni normative e potenziare le soluzioni europee per la sicurezza dei dati”, non è d’accordo con l’analisi presentata da Mozilla. Il post di LinkedIn dice quanto segue: “Mozilla ha recentemente lanciato una campagna accusando l’attuale legislazione eIDAS di disinformazione per bloccare le modifiche all’articolo 45 relativo ai certificati di autenticazione web qualificati dell’UE (“QWAC”).“
Un documento dell’European Signature Dialog confuterebbe presumibilmente le affermazioni di Mozilla. Per coloro che sono interessati a comprendere la tecnologia sottostante, Eric Rescorla suggerisce una introduzione a eIDAS e QWAC pubblicata sul blog Educated Guesswork. Ma c’è anche una questione meno tecnica. Mozilla afferma: “Fare in modo che i browser si fidino automaticamente delle autorità di certificazione governative è una tattica chiave utilizzata dai regimi autoritari e tale azione dell’UE potrebbe supportare questa tendenza. In breve, se questa legge fosse adottata da altri Stati, potrebbe minacciare la sicurezza informatica e i diritti umani fondamentali.“
A questa illazione risponde l’European Signature Dialog sulla firma: “L’Unione Europea non controlla le CA “root” utilizzate dagli emittenti QWAC, e quindi l’UE non può utilizzare i certificati per “spiare” i cittadini dell’UE. Mozilla dovrebbe vergognarsi di se stessa per aver fatto una simile affermazione.“
L’Unione Europea potrebbe non avere il controllo sulle CA “root”, ma Mozilla sostiene che i singoli stati membri dell’UE potrebbero effettivamente essere in grado di ottenere tale controllo, che a sua volta potrebbe consentire alle loro agenzie di intelligence di monitorare, ad esempio, il traffico web crittografato.
European Signature Dialog conclude la sua risposta con la domanda: “Perché Mozilla diffonde questa disinformazione? ” e risponde: ” Mozilla è spesso percepito come un satellite di Google, aprendo la strada a Google per promuovere i suoi interessi commerciali“. Questo attacco alle motivazioni di Mozilla, insinuando che sia semplicemente un “satellite” di Google, implica una mancanza di fiducia negli altri argomenti avanzati dall’European Signature Dialog.
Inoltre, l’accusa secondo cui si tratta solo di un tentativo di Google di aggirare la legislazione europea è smentita dal fatto che, oltre a Mozilla, 335 accademici e ricercatori di 32 paesi, nonché diverse ONG, hanno firmato una dichiarazione congiunta in cui criticano la proposta di riforma eIDAS. Gli accademici avvertono: “L’agenzia controllata dal governo sarebbe in grado di intercettare il traffico web non solo dei propri cittadini, ma di tutti i cittadini dell’UE, comprese informazioni bancarie, dati protetti dalla legge, cartelle cliniche e foto di famiglia. L’intercettazione è possibile anche quando si visitano siti web al di fuori dell’UE, poiché l’istituzione designata potrà emettere certificati per qualsiasi sito web, che tutti i browser dovranno accettare. Sebbene eIDAS 2.0 offra ai cittadini l’opportunità di rinunciare a nuovi servizi e funzionalità, ciò non si applica all’articolo 45. Ogni cittadino dovrà fidarsi di questi certificati e quindi ogni cittadino dovrà affrontare una minaccia alla propria sicurezza online.“
In conclusione riportano :”Questo regolamento non elimina nessuno dei rischi esistenti. Al contrario, minando i comprovati processi di autenticazione web sicuri, introduce nuovi rischi senza alcun beneficio per i cittadini, le imprese e le istituzioni europee. Inoltre, se la legge entrasse in vigore, si può presumere che altri paesi spingeranno per privilegi di browser simili a quelli degli Stati membri dell’UE – qualcosa che alcuni hanno tentato senza successo in passato – creando così una minaccia globale alla sicurezza web.“
RedazioneI ricercatori di Varonis hanno scoperto la piattaforma MaaS (malware-as-a-service) Atroposia. Per 200 dollari al mese, i suoi clienti ricevono un Trojan di accesso remoto con funzionalità estese, tra...
Peter Williams, ex dipendente dell’azienda appaltatrice della difesa, si è dichiarato colpevole presso un tribunale federale degli Stati Uniti di due capi d’accusa per furto di segreti commercial...
L’interruzione dei servizi cloud di Microsoft, avvenuta poche ore prima della pubblicazione dei risultati trimestrali, è solo l’ultimo episodio di una lunga serie di blackout che stanno mettendo ...
Il Dipartimento dell’Energia degli Stati Uniti (DOE) ha avviato una collaborazione strategica con Nvidia e Oracle per costruire sette supercomputer di nuova generazione basati sull’intelligenza ar...
Una interruzione del servizio DNS è stata rilevata il 29 ottobre 2025 da Microsoft, con ripercussioni sull’accesso ai servizi fondamentali come Microsoft Azure e Microsoft 365. Un’ anomalia è st...
