La Comunità MonitoraPA ha avviato una nuova campagna di verifica informatizzata dei siti delle Pubbliche Amministrazioni, focalizzandosi su Google Hosted Libraries, una rete di distribuzione di librerie Javascript open source, utilizzate dagli sviluppatori per funzionalità avanzate.
L’attenzione si pone sempre su quei componenti che comportano l’acquisizione di dati degli utenti per trasferirli sugli archivi di Alphabet Inc. negli Stati Uniti, società poprietaria dei servizi della famiglia Google.
Infatti, c’è una parte della comunicazione pervenuta alle PA utilizzatrici di tale feature che ben spiega l’effetto di queste funzionalità:
Vogliamo segnalarvi che, tramite l’esecuzione del nostro osservatorio, in data 2022-11-04 …, abbiamo rilevato che il sito web del vostro Ente XXXXX incorpora:
Google Hosted Libraries (Google LLC)
https://ajax.googleapis.com/ajax/libs/jqueryui/1.11.0/jquery-ui.min.js
determinando trasferimenti sistematici non attualmente conformi, in assenza di efficaci misure tecniche supplementari, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero di dati personali, fra cui:
- indirizzo IP
- User Agent
- sistema operativo
- lingue conosciute
- la visita al vostro sito
- la data e l’ora di tale visita
- i dati personali descrittivi deducibili dall’incrocio dei dati precedenti e dall’interesse per i contenuti del vostro sito
Tali informazioni sono più che sufficienti ad identificare il soggetto interessato e ad arricchirne il profilo cognitivo-comportamentale.
La segnalazione segue quelle dei mesi precedenti relative a Google Fonts e Google Analytics, che mirano ad eliminare la “schiavitù” del web nostrano dagli strumenti sviluppati da Google per migliorare le performance dei siti internet (dietro pagamento di informazioni sui navigatori che li utilizzano). Il ragionamento dietro a tali iniziative è di facile comprensione: questi tool acquisiscono dati personali dei visitatori delle pagine web che li ospitano e li trasferiscono su server extra-europei, in contrasto ai divieti imposti dal Regolamento UE 2016/679 (meglio conosciuto come GDPR).
Il Garante si è già espresso sul tema del ricorso agli strumenti Google, chiarendone l’illegttimità.
Non è difficile capire che questa non sarà l’ultima segnalazione della Comunità MonitoraPA, determinata a ripulire il codice sorgente delle pagine web delle PA da funzionalità “contarabbandiere”. Visitando il canale github di MonitoraPA si possono vedere quali saranno i prossimi obiettivi, analizzando le parti di sviluppo già concluse che verranno utilizzate nel prossimo periodo:
Se nei giorni scorsi avete ricevuto la PEC da parte di MonitoraPA potete essere sicuri del fatto che il vostro sito ricorra a Google Hosted Libraries. In ogni caso, potete fare questa verifica puntuale:
- posizionatevi con il browser in un punto “neutro” del sito che volete verificare in cui non vi siano link;
- premete il tasto destro: si aprirà un menù contestuale da cui sceglierete “Visualizza sorgente pagina”;
- attivate la ricerca testuale con la combinazione di tasti CTRL + f;
- digitate la parola google;
- passate in rassegna tutte le istanze della parola che vi segnala il browser:
se troverete una stringa simile a ajax.googleapis.com significa che il vostro sito redirige l’utente ai server di Google per scaricare le librerie Java open source.
Per risolvere la problematica segnalata, l’unica strada è quella di comunicare il problema al vostro fornitore del sito internet (che sicuramente sarà già al corrente della nuova iniziativa di MonitoraPA) al fine di far rimuovere tale funzionalità dal codice sorgente del sito. Approcciandosi alla tematica con una visione più lungimirante, si consiglia di chiedere fin da ora al fornitore la rimozione di tutte altre funzionalità sviluppate e messe a disposizione da Google (riscontrabili con il controllo descritto poche righe fa), oltre che le altre features descritte nella figura precedente.
Un ultimo consiglio operativo: chiedete agli sviluppatori del portale di rimuovere completamente le parti che utilizzano le funzionalità di Google, non di limitarsi a inibirne il funzionamento commentando le righe di codice. Infatti, gli script di analisi di MonitoraPA fanno solamente un controllo testuale, senza analizzarne l’efficacia; quindi, lasciando le righe di codice commentate rischiate di ricevere future segnalazioni dovute a “falsi positivi”.
Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter, Facebook, YouTube, LinkedIn, Telegram, Instagram
