MonitoraPA e siti web istituzionali: proviamo a dare una mano

    TL;DR Le campagne dell’osservatorio MonitoraPA hanno evidenziato problemi nei siti web istituzionali relativamente agli aspetti normativi sulla tutela dei dati personali. Non sempre gli Enti destinatari della PEC di segnalazione hanno personale dedicato, con le competenze adeguate, ad affrontare gli aspetti tecnici per la risoluzione del problema. Proviamo quindi a fare un po’ di chiarezza sulla questione.

    MonitoraPA è un osservatorio che sta tentanto, senza alcuno scopo di lucro, di sensibilizzare le istituzioni pubbliche ad un maggior rispetto sia delle norme (es. GDPR) che della privacy dei cittadini. Molti siti web istituzionali, infatti, continuano ad incorporare elementi che possono risultare lesivi della privacy dei cittadini, favorendone il tracciamento e il profilamento da parte di aziende private.

    Ne ho già parlato in un articolo qualche mese fa e chi volesse approfondire, può trovare maggiori dettagli sulla loro attività nel sito web di riferimento monitora-pa.it

    Dopo aver inviato migliaia di PEC agli Enti Comunali e alle Scuole, la terza “puntata” ha riguardato Enti Pubblici e Università, che si sono viste recapitare una comunicazione contenente i risultati dell’analisi del loro sito web di riferimento sulla presenza di strumenti di tracciamento (tracker).

    Tralasciando le questioni politiche, ho avuto modo di “intercettare” svariate richieste di supporto da parte di chi, negli Enti destinatari della missiva, si occupa di gestire il sito web istituzionale. Personale talvolta non dedicato, con la semplice passione per l’informatica che, però, non è spesso sufficiente per restare al passo con le nuove esigenze sia tecniche che normative (ennesima dimostrazione, soprattutto per gli Enti piccoli, di quanto l’ambito ICT sia ancora fortemente sottovalutato nella Pubblica Amministrazione).

    Dati personali? Non scherziamo…

    Senza entrare nelle questioni normative, avete provato a dare una occhiata ai dati che il Vostro browser comunica ogni qualvolta visitare un sito web? Provate a verificarlo, ad esempio attraverso questo strumento della EFF: coveryourtracks.eff.org

    Strumenti utili

    Prima di iniziare la carrellata dei problemi più comuni, vediamo quali sono gli strumenti che possiamo usare per diagnosticarli.

    Uno dei più diffusi e migliori, almeno a mio parere, per i browser è uBlock Origin: questa estensione monitora tutte le connessioni in uscita e blocca/evidenzia quelle verso server “alieni”.

    Dalla dashboard, accessibile cliccando sull’icona con gli ingranaggi, è possibile abilitare la modalità “avanzata” che mostra il dettaglio delle connessioni verso siti esterni, molto utile per una diagnosi più precisa di quello che avviene quando un cittadino visita il sito web.

    Sul tema, trovo comoda anche l’estensione del browser DuckDuckGo, che offre anche un rapido “rating” sulla privacy del sito web.

    Per chi non volesse o potesse installare estensioni, oppure gradisse anche un ulteriore strumento, c’è BlackLight di TheMarkup, a “Real-Time Website Privacy Inspector” utilizzare liberamente: themarkup.org/blacklight

    JQuery, Bootstrap e CDN varie

    L’uso di una CDN per le librerie javascript e velocizzare i processi di caricamento del sito web è una delle tecniche più usate sul web. Il problema nasce quando la CDN è fuori dal nostro controllo e può essere usata per tracciare i comportamenti dei cittadini, aiutandone la profilazione da parte delle grandi corporation che detengono il controllo di questi repository.

    Includere su un sito web istituzionale CDN come ajax.googleapis.com, cdn.jsdelivr.net e simili comporta che ogni qualvolta un cittadino si connette al vostro sito, il suo browser effettua una connessione a questi server per scaricarne il contenuto, portando con sé molte informazioni personali, oltre che la URL completa della pagina che stiamo cercando di visitare. Perché dovremmo comunicare a Google, per fare un esempio, che stiamo consultando le pagine web dell’Istituto Tecnico Statale al quale vogliamo iscrivere nostro figlio? Oppure, perché Facebook dovrebbe sapere che sto consultando le pagine per usufruire del consultorio comunale?

    Evitare l’uso di CDN è piuttosto semplice, anche a costo di penalizzare la velocità del nostro sito web di qualche decina di millisecondi: scaricate le librerie necessarie sul medesimo server del sito web e modificate tutti i collegamenti relativi.

    Trovate i file .js (JavaScript) e .css (Cascading Style Sheet) da includere direttamente dai rispettivi siti web di riferimento (per motivi di sicurezza, evitate di scaricare queste librerie da siti web non ufficiali). Fate attenzione alla versione che state usando, poiché installare una versione differente potrebbe causare malfunzionamenti al sito.

    Social…o no?

    Capisco che vada di moda essere sui social network, anche per le PA. Ormai quasi tutte hanno un profilo su Facebook, su Twitter, su Instagram… ma le ripercussioni sulla privacy degli utenti sono state valutate? Includere sul sito web istituzionale i tracker di questi social network è potenzialmente lesivo della riservatezza degli utenti, poiché comunica a questi servizi quali siti web stanno visitando. E parliamo di servizi che sfruttano, letteralmente, i dati personali dei cittadini per fare business, profilando e rivendendo i dati raccolti.

    Rimuovere quindi qualsiasi “widget” social dal sito web istituzionale è doveroso. Se volete dare evidenza alla pagina social, è sufficiente un banale link.

    Google Analytics

    E’ stato oggetto della prima campagna di MonitoraPA, quella che probabilmente ha avuto la maggiore eco mediatica. Molti “wannabe” sistemisti hanno scoperto, grazie alla PEC di MonitoraPA, che sul sito web istituzionale era incluso un breve pezzettino di codice Javascript che inviava sui server oltreoceano di Google i dati relativi ai visitatori. Offrendo in cambio statistiche di visita ma… quanti, di questi Enti, ne erano consapevoli e ne facevano uso?

    Presenza di Google Analytics sui siti web monitorati

    Ci sono strumenti molto meno invasivi per ottenere le statistiche di visita al proprio sito web, come Matomo (e la relativa istanza governativa Web Analytics Italia), ammesso ovviamente che ne abbiate davvero bisogno. Perché, in tutta sincerità, le statistiche di visita al sito web non sono uno strumento “di sicurezza”, come purtroppo mi sono sentito rispondere: se non sono utili, rimuovetele. E, giudicando dai dati diffusi da MonitoraPA sugli effetti della loro campagna relativa, sono rimaste ben poche quelle che si ostinano ad usarle. Il difficile è riuscire a farlo in conformità con la normativa europea, come evidenziato anche dal Garante della privacy: Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie

    Google Fonts

    Altro elemento della galassia “Big G” molto diffuso sui siti web istituzionali è Google Fonts. Parliamo di un servizio che consente, attraverso l’incorporazione di uno snippet di codice sul sito web, l’utilizzo di migliaia di font sul proprio sito.

    Anche in questo caso, valgono le medesime considerazioni fatte fino ad ora: ogni connessione del browser utente verso server esterni porta con sé i dati personali dell’utente stesso. Bene evitare, se possibile.

    Molti temi e moduli per i CMS più diffusi includono automaticamente Google Fonts e questo può essere un problema per la disattivazione dell’inclusione, che può essere fatta comodamente seguendo una delle tante guide disponibili online (ad esempio, How to Host Google Fonts Locally).

    Conclusioni

    Molte delle richieste di supporto che ho intercettato provengono dal canale Telegram ufficiale dell’osservatorio MonitoraPA. E’ un luogo dove sia gli appassionati che semplici curiosi si confrontano con le tematiche promosse dall’osservatorio ma che, negli ultimi giorni, ha visto approdare anche alcuni tecnici degli Enti destinatari della PEC alla richiesta di aiuto, supporto e chiarimenti. Per chi avesse bisogno, si tratta di una possibilità ricordando che parliamo di una attività del tutto volontaria, quindi bene non abusarne e avere un approccio collaborativo.

    Inoltre, e qui una modesta proposta, sarebbe opportuno che ogni Ente sviluppasse competenze interne, sia prevedendo formazione mirata che spazi adeguati per intervenire. Competenze necessarie non tanto per prendersi cura –ed è comunque un lavoro continuo e costante!– del sito web e delle risorse informatiche istituzionali, quanto per avere una maggiore consapevolezza sui rischi e su come intervenire, anche valutando gli strumenti più idonei.

    Gli Enti dovrebbero, se necessario, avvalersi anche della consulenza di personale tecnico specializzato sia in ambito privacy che sicurezza cyber: parliamo di temi che abbracciano sia aspetti tecnici che legali, per i quali sono necessarie specifiche competenze. Il trasferimento di dati, infatti, comporta anche aspetti di sicurezza informatica non trascurabili, oltre a essere un trattamento di dati personali per i quali è necessario attuare quanto richiesto dalla normativa vigente.

    Sul tema del trasferimento dei dati extra-UE segnalo la relativa pagina sul sito web del Garante della privacy: Trasferimento di dati personali all´estero

    In chiusura segnalo anche il recentissimo progetto AGID IPA Scans di Raw Main sull’uso di queste tecnologie negli oltre 20.000 portali istituzionali censiti da AgID.

    Questo articolo è stato visto 1.462 volte (Oggi 1 visite)

    Hai trovato utile questo articolo?

    Potrebbero interessarti anche:

    1. Lightbeam e Blacklight: far luce sul tracciamento dei siti web
    2. MonitoraPA, hacking civico per liberare le (quasi) 8000 PA italiane da Google Analytics
    3. Watson Health: i nostri dati sanitari in mano a IBM ?
    Related Tags

    Wannabe hacker, currently dad and cybersec op for fun and profit

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.