Monitora PA: Speciale Elezioni 2022 - Partito Pirata

A Fabio Pietrosanti e, in solido, alla comunità di hacker, attiviste, attivisti, cittadine e cittadini che, attenti a riservatezza, libertà e diritti cibernetici, ha realizzato Monitora PA (https://monitora-pa.it),
monitorapa@peceasy.it, via Aretusa 34 Milano

e p.c. a tutti gli altri partiti coinvolti nelle segnalazioni di illecito di MonitoraPA e riportati pubblicamente su https://monitora-pa.it/2022/08/28/Speciale_Elezioni_2022.html

Si prega di prendere visione e pubblicare l'allegata nota di risposta alla vostra PEC del 28/08/2022, pur erroneamente spedita al generico indirizzo email hello@partito-pirata.it invece che alla PEC del Partito come pubblicata sul sito web.

Maria Rosaria Lo Muzio (segretario del Partito Pirata)
Aldo Antonio Pazzaglia (garante del Partito Pirata)
Emmanuele Somma (tesoriere del Partito Pirata)

Partito Pirata Italiano
https://www.partito-pirata.it
info@partito-pirata.it


Allegato: PARTITO PIRATA RISPOSTA A MonitoraPA 1 Settembre 2022.pdf
Subject: Re: POSTA CERTIFICATA: Partito Pirata: Risposta alla segnalazione di illecito di MonitoraPA 
         ai partiti italiani e al Partito Pirata
From: Monitora PA 
Date: 02/09/2022, 01:45
To: pp-it@tlcpec.it


Facciamo seguito alla Vostra PEC per rilevare che, fatti i dovuti
controlli, i trasferimenti sistematici verso Google ci risultano
ancora attivi sul sito https://www.partito-pirata.it

In particolare, suddetti trasferimenti di dati personali vengono avviati
dall'inclusione delle seguenti risorse:

- https://fonts.googleapis.com/css?family=Open+Sans:300italic,400italic,600italic,700italic,800italic,300,700,600,800,400
- https://fonts.googleapis.com/icon?family=Material+Icons
- https://fonts.googleapis.com/css?family=Poppins%3A700%2C600%2Cregular%2C500%2C700i&ver=6.0.2
- https://fonts.googleapis.com/css?family=Open+Sans%3A300%2C400%2C400i%2C600%2C700%2C800%7CPoppins%3A300%2C400%2C400i%2C500%2C600%2C700%2C800%2C900&display=swap&ver=6.0.2
- https://fonts.gstatic.com/s/roboto/v18/KFOlCnqEu92Fr1MmEU9fBBc4.woff2
- https://fonts.gstatic.com/s/roboto/v18/KFOmCnqEu92Fr1Mu4mxK.woff2
- https://fonts.gstatic.com/s/materialicons/v139/flUhRq6tzZclQEJ-Vdg-IuiaDsNc.woff2
- https://fonts.gstatic.com/s/opensans/v34/memSYaGs126MiZpBA-UvWbX2vVnXBbObj2OVZyOOSr4dVJWUgsjZ0B4gaVI.woff2
- https://fonts.gstatic.com/s/poppins/v20/pxiByp8kv8JHgFVrLCz7Z1xlFQ.woff2
- https://fonts.gstatic.com/s/poppins/v20/pxiByp8kv8JHgFVrLGT9Z1xlFQ.woff2
- https://fonts.gstatic.com/s/poppins/v20/pxiByp8kv8JHgFVrLEj6Z1xlFQ.woff2
- https://fonts.gstatic.com/s/opensans/v34/memSYaGs126MiZpBA-UvWbX2vVnXBbObj2OVZyOOSr4dVJWUgsg-1x4gaVI.woff2

cui si sommano 47 ulteriori trasferimenti illeciti di dati personali
verso Google LLC ed altre aziende USA, fra cui:

- Amazon.com, Inc
- Automattic, Inc
- Cloudflare, Inc
- Fastly, Inc.
- PayPal, Inc

Tale circostanza può essere verificata facilmente utilizzando
uno dei numerosissimi servizi presenti in rete (ad esempio
https://webbkoll.dataskydd.net ) oppure analizzando accuratamente
il codice sorgente della pagina web e delle risorse incorporate
tramite l'apposita funzione presente in tutti i principali browser
attualmente sul mercato (Firefox, Chrome, Edge).

Inoltre ogni accesso al vostro sito ci risulta essere intercettato 
da Cloudflare, Inc: potete verificare voi stessi analizzandone 
l'IP pubblico

- https://bgp.he.net/ip/104.21.16.101

Come spiegato nella nostra precedente comunicazione, tali trasferimenti
extra-UE violano i diritti fondamentali dei cittadini italiani ed
europei che si avvicinano al vostro partito, permettendo ad agenzie
governative statunitensi l'accesso a dati personali sensibili come le
loro opinioni politiche, segretamente e senza alcuna tutela giuridica
per gli interessati.


Speriamo inoltre di far cosa gradita a voi ed utile ai vostri
sostenitori nel informarvi che il Web è cambiato dai tempi di Mosaic.

Sarebbe ovviamente impossibile ripercorrerne insieme anche solo le tappe
salienti di tale evoluzione, dall'introduzione di SSL a Heartbleed per
arrivare a log4shell, ma crediamo possa esservi utile ricordare alcuni
passaggi che evidentemente vi sono sfuggiti:

- a febbraio 2013, WebKit introduceva la partizione delle cache per
  dominio, progettate per impedire determinate tecniche di tracciatura
  degli utenti https://bugs.webkit.org/show_bug.cgi?id=110269

- nell'ottobre 2020, Google introduceva la stessa feature in Chrome
  https://developer.chrome.com/blog/http-cache-partitioning/#is_this_standardized_do_other_browsers_behave_differently

- a gennaio 2021, anche Mozilla tale feature in Firefox
  https://arstechnica.com/gadgets/2020/12/firefox-v85-will-improve-its-cache-partitioning-for-stronger-privacy/

Ad usum Delphini: il cache partitioning separa le cache del browser fra
i diversi domini visitati. Di conseguenza lo scaricamento susseguente
della stessa risorsa (css, javascript, immagine, font etc...) da parte
di due siti diversi non produce un cache hit.

In altri termini, tutto ciò che avete scritto nella vostra supercazzola
prematurata a Destra riguardo al caching dei font ed alla probabilità
trascurabile che una visita al vostro sito scateni un trasferimento
verso Google... è sbagliato.

Inoltre i css di Google Fonts (sono tre delle richieste che il vostro
sito effettua, quelle che contengono la parola "/css") vengono
comunque mantenuti in cache per solo un giorno, a causa dell'header
HTTP "Expires" che il server di Google invia ai browser dei vostri
visitatori.

Dunque ogni volta che un vostro sostenitore visita il vostro sito
per la prima volta della giornata, il vostro sito ordina al browser
di informare Google del suo interesse per le vostre opinioni politiche.


Vi suggeriamo dunque di ripassare il protocollo HTTP (anch'esso
notevolmente cambiato negli ultimi 20 anni) nonché il linguaggio HTML
giacché sembrate confondere le risorse esterne incorporate nella pagina,
e i link a pagine esterne.

I link infatti non scatenano automaticamente richieste HTTP verso server 
di terze parti al caricamento della pagina, ma rimangono in attesa 
dell'interazione dell'utente.

Qualora non vi fosse chiaro, non vi abbiamo chiesto di rimuovere link,
ma di interrompere quei trasferimenti sistematici di dati personali
causati dalle risorse che voi (non l'utente) avete deciso di
incorporare da server remoti.

E vogliamo rassicurarvi in proposito: potete facilmente incorporare le
stesse risorse dal vostro server, evitando di rendere disponibili i dati
personali dei vostri visitatori ad agenzie governative straniere.


Inoltre potrebbe giovarvi studiare le rivelazioni di Snowden (2013),
riguardanti le pratiche illegali condotte dalle agenzie di intelligence
statunitensi dentro e fuori il proprio territorio.
A fronte dello scandalo globale che seguì dette rivelazioni, gli USA
decisero di legalizzare tali pratiche.

Legalizzazione che fece riconoscere alla Corte di Giustizia Europea
il Privacy Shield come carta straccia nel luglio 2020, proprio per la
totale incompatibilità della normativa USA con i diritti fondamentali
dei cittadini europei.

Per approfondire, potete cercate sul web le parole "Schrems II",
"CLOUD Act", "FISA 702" ed "Executive Order 1233".


Vi suggeriamo altresì di studiare il Regolamento generale sulla
protezione dei dati dell'Unione Europea 2016/679, con particolare
attenzione agli articoli da 25 a 50, giacché non sembrate
comprendere bene le responsabilità che tale normativa attribuisce
ai Titolari del Trattamento (ovvero voi).

Sostenere che la profilazione sia colpa degli utenti che non utilizzano
protezioni avanzate (e spesso comunque insufficienti) quali TorBrowser o
una VPN, è simile a sostenere che lo stupro sia colpa delle donne che
vanno in giro da sole o non si coprono abbastanza.


Siamo fiduciosi che i vostri elettori ed i vostri compagni presso il
Partito Pirata Europeo sapranno giudicare le vostre parole e la scelta
di continuare ad alimentare e sostenere il Capitalismo di Sorveglianza.


Ci scusiamo per avervi scritto a hello@partito-pirata.it ma a tutt'oggi
sulla pagina contatti del vostro sito, disponibile all'indirizzo

- https://www.partito-pirata.it/contatti/

troviamo indicato solo tale indirizzo email e, sebbene siano presenti
i vostri indirizzi Telegram, Facebook, Twitter, Instagram, YouTube e
Linkedin, non troviamo indicata alcuna casella PEC.

Analogamente, non abbiamo trovato altri indirizzi sulla vostra
informativa privacy, disponibile all'indirizzo

- https://meet.partito-pirata.it/pirvacy-policy-base

che peraltro non menziona i trasferimenti suddetti ma al link 
"Contact" (curiosamente in inglese) fa riferimento proprio a
mailto:hello@partito-pirata.it


Sebbene la correttezza della privacy policy e i 47 ulteriori
trasferimenti illeciti operati dal vostro sito in violazione del GDPR
non siano oggetto della nostra prossima segnalazione all'Autorità
Garante per la Protezione dei Dati Personali, vi invitiamo ad
interromperli al più presto, a tutela dell'autonomia e della
libertà dei cittadini italiani che ambite a rappresentare.


Rimaniamo a disposizione per ogni eventuale ulteriore chiarimento.

Con i più cordiali saluti.


Il team tecnico-legale di Monitora PA.
https://monitora-pa.it


			
A Fabio Pietrosanti e, in solido, alla comunità di
hacker, attiviste, attivisti, cittadine e cittadini che,
attenti a riservatezza, libertà e diritti cibernetici, ha
realizzato Monitora PA

Si prega di prendere visione della nota allegata in risposta alla vostra del 2/9/2022

Partito pirata Italiano
hello@partito-pirata.it
https://partito-pirata.it
Allegato: 20220905_RISPOSTA_MONITORAPA.pdf