I tecnologi della Electronic Frontier Foundation (EFF), insieme a 36 dei migliori esperti di sicurezza informatica del mondo, hanno esortato oggi i legislatori europei a respingere le modifiche proposte ai regolamenti dell’Unione europea (UE) per la sicurezza dei pagamenti elettronici e altre transazioni online che indeboliranno drasticamente la sicurezza del web ed esporranno gli utenti di Internet ad un maggiore rischio di attacchi da parte dei criminali informatici.
L’emendamento mal concepito proposto all’articolo 45 nel quadro dell’identità digitale dell’UE (eIDAS) richiede che i browser popolari come Firefox, Google e Safari accettino certificati web difettosi che aggirano i rigorosi standard di sicurezza costruiti nei browser di oggi per garantire che i dati degli utenti non siano intercettati e rubati dai criminali. I certificati dei siti web aiutano a garantire che, quando si usa una carta di credito per comprare qualcosa online, le informazioni di pagamento vadano al sito giusto e non ai criminali informatici che hanno creato siti web falsi che si spacciano per siti reali.
In una lettera di oggi ai membri del Parlamento europeo, il direttore dell’ingegneria EFF Alexis Hancock, il direttore dei progetti tecnologici EFF Jon Callas, e gli esperti di cybersicurezza da Belgio, Canada, Francia, Germania, Taiwan, Regno Unito e Stati Uniti hanno detto che richiedere ai browser di accettare i certificati di autenticazione del sito web qualificato (QWACs), una forma specifica dell’UE di certificato del sito web che non ha mai guadagnato trazione a causa di difetti di attuazione, metterebbe l’intero ecosistema di sicurezza del sito web a rischio, richiedendo ai browser di fidarsi di terzi designati dal governo senza alcuna garanzia di sicurezza.
Gli esperti hanno esortato i legislatori dell’UE a modificare l’articolo 45.2 rivisto per “garantire che i browser possano continuare a svolgere il loro lavoro di sicurezza cruciale per proteggere gli individui dalla criminalità informatica sul web“. Terze parti insicure possono avere un effetto devastante sulla privacy e la sicurezza online, aprendo la porta ad attacchi malware, informazioni personali e finanziarie rubate, e altri atti di criminalità informatica.
“Mentre capiamo che l’intento di queste disposizioni è quello di migliorare l’autenticazione sul web, in pratica avrebbero l’effetto opposto di indebolire drammaticamente la sicurezza del web“, 38 ricercatori di cybersicurezza, sostenitori e professionisti hanno detto nella lettera. “In un momento in cui due terzi degli europei sono preoccupati di essere vittime di furti di identità online e più di un terzo crede di non essere in grado di proteggersi sufficientemente contro la criminalità informatica, indebolire l’ecosistema della sicurezza dei siti web è un rischio insostenibile“.
L’autenticazione dei siti web è una pietra miliare della sicurezza online e la base per l’e-commerce e l’e-government. Gli utenti di Internet diventano a rischio di criminalità informatica quando le autorità di certificazione non sono rigorosamente controllate per garantire che i loro certificati siano affidabili. I firmatari della lettera stanno tenendo un workshop tecnico oggi per discutere le implicazioni dell’emendamento proposto.
