Ora che le tecnologie dell’informazione sono parte integrante della società moderna, la sicurezza informatica diventa sempre più importante e, di pari passo, la fiducia che si ripone in un’azienda. I clienti e i partner delle aziende che lavorano nel campo della sicurezza informatica hanno bisogno di capire chi è coinvolto nella protezione dei loro dati riservati, quali informazioni stanno condividendo e con chi, quali sono i principi che li guidano etc. Per rispondere a queste domande, qualche anno fa abbiamo annunciato la nostra Iniziativa Globale di Trasparenza.
Oggi, questa iniziativa riceve un importante aggiornamento: come pionieri nel mercato della cybersecurity, stiamo pubblicando un report sulla trasparenza, per condividere pubblicamente le informazioni sulle richieste che abbiamo ricevuto durante il 2020-2021 dalle forze dell’ordine e dalle organizzazioni governative di tutto il mondo, così come da parte dei nostri utenti finali. Inoltre, desideriamo cogliere questa opportunità per spiegare meglio come trattiamo queste richieste e anche che tipo di informazioni vengono fornite da parte nostra.
Vogliamo che i nostri utenti siano al sicuro, si sentano protetti e che si fidino del mondo cibernetico, un mondo la cui stessa esistenza è minacciata dal crimine informatico dilagante. Come parte del nostro contributo alla lotta contro il cybercrimine che valica le fronitere nazionali, collaboriamo regolarmente con le forze dell’ordine di tutto il mondo, fornendo analisi tecniche di programmi dannosi a supporto delle indagini. Queste organizzazioni talvolta inviano a Kaspersky richieste per ottenere competenze tecniche o informazioni tecniche non personali, nonché richieste di dati forniti dagli utenti di Kaspersky.
Come azienda di cybersecurity non trattiamo e non disponiamo di dati di contenuti (dati che gli utenti creano o comunicano), di cui a volte le forze dell’ordine vanno alla ricerca per ottenere prove elettroniche. La quantità limitata di dati utente che raccogliamo (come, ad esempio, i dettagli della licenza o la versione del sistema operativo) è quanto necessario per il corretto funzionamento dei nostri prodotti. Tuttavia, vogliamo che i nostri utenti comprendano il nostro approccio per garantire la sicurezza e la privacy dei dati e come rispondiamo alle richieste delle forze dell’ordine. Questo è il motivo per cui abbiamo deciso di pubblicare il nostro Law Enforcement and Government Requests Report, e per il quale condividiamo i nostri principi fondamentali su cui si basano le nostre risposte alle richieste delle forze dell’ordine e dei governi.
Il nostro approccio di risposta alle richieste
Prima di tutto, Kaspersky non fornisce mai a nessuna organizzazione governativa o alla polizia l’accesso ai dati degli utenti o all’infrastruttura dell’azienda. Forniamo informazioni su tali dati su richiesta, ma nessuna dall’esterno può accedere direttamente o indirettamente alla nostra infrastruttura o ai nostri dati, e i dipendenti di Kaspersky convalidano ed elaborano tutte le richieste.
In secondo luogo, riconoscendo l’importante ruolo delle forze dell’ordine regionali, nazionali e internazionali nel garantire la sicurezza dei nostri utenti e della nostra tecnologia, condividiamo competenze e informazioni tecniche non personali. I nostri ricercatori ed esperti di cybersecurity di prim’ordine considerano la condivisione di conoscenze, competenze e abilità con chi combatte i cybercriminali come parte del proprio dovere.
In terzo luogo, ogni richiesta che riceviamo passa attraverso una revisione legale per garantire la nostra conformità con le leggi e le procedure applicabili. La nostra procedura multifase, che descriviamo qui di seguito, accompagna il nostro processo decisionale nell’approvare, rifiutare o fare appello alle richieste in arrivo.
Infine, rifiutiamo sempre le richieste di chiavi di cifratura o di introdurre funzionalità poco chiare. Lavoriamo duramente per garantire la qualità e l’integrità dei nostri prodotti, come confermano le valutazioni indipendenti delle nostre pratiche ingegneristiche e dei nostri sistemi di sicurezza dei dati e come possono verificare gli organismi regolatori, i partner etc, attraverso i nostri Transparency Center.
Crediamo che la pubblicazione di questi principi e dei dati sulle richieste sia una parte importante per costruire un rapporto di fiducia e per mantenerlo nel tempo. Seguendo le best practice del settore IT, oggi pubblichiamo i dati su tali richieste per l’anno 2020 e i primi sei mesi del 2021, e continueremo ad aggiornare questi dati ogni sei mesi. Vogliamo che i nostri utenti si sentano sicuri per quanto riguarda la privacy dei propri dati e che i nostri partner, nella lotta alla criminalità informatica, siano consapevoli del nostro impegno nel sostenerli.
Oggi divulghiamo le informazioni su tutte le richieste delle forze dell’ordine e del governo. Inoltre, il report presenta i dati sulle richieste ricevute dagli utenti per molteplici scopi: per la rimozione delle loro PII (Personally Identifiable Information), su quali sono i dati conservati dell’utente e dove, così come le richieste di fornire queste informazioni agli utenti. Potete trovare il testo completo del nostro primo report sulla trasparenza qui.