commercio

Il commento del Consumer Choice Center sulle normative KYC proposte dal governo statunitense per i server cloud

30 aprile 2024
Brutta copia Yael Ossowski
Revisione in atto Blog, Privacy, Regolamento tecnico, Tecnologia
Privato

All'inizio di quest'anno, il Dipartimento del Commercio degli Stati Uniti proposto una regola normativa radicale ciò costringerebbe i fornitori di servizi cloud a raccogliere e conservare informazioni personali sui propri utenti, in particolare quelli con sede al di fuori degli Stati Uniti.

Questo regolamento, sollecitato dagli ordini esecutivi del presidente Joe Biden sul "Emergenza nazionale in relazione a importanti attività dannose abilitate al cyber”, richiederebbe un'ampia conservazione dei registri e la raccolta dei dati degli utenti per tutti i fornitori di Infrastructure as a Service (IaaS), aziende che offrono ciò che è comunemente noto come macchine virtuali, server Web, cloud computing e archiviazione, reti private virtuali (VPN), Bitcoin e nodi di criptovaluta, modelli di intelligenza artificiale e molto altro.

Gli obiettivi previsti sono servizi che hanno clienti con sede all'estero, al fine di fermare attori stranieri e hacker malintenzionati, ma la regola è scritta in modo sufficientemente ampio per cui qualsiasi fornitore di servizi cloud che non acquisisca queste informazioni dai suoi utenti nazionali negli Stati Uniti sarebbe responsabile di danni civili e sanzioni penali.

Il centro di scelta del consumatore commenti presentati opporsi alla norma proposta dal Dipartimento del Commercio, richiedendo numerosi cambiamenti e modifiche per proteggere meglio i dati e la privacy dei consumatori.

Si trova di seguito:

I prepotenti requisiti di identità KYC per i fornitori di servizi cloud mettono a rischio i consumatori e minacciano la libertà di parola e di commercio online

Caro Sottosegretario Alan F. Estevez,

Il Consumer Choice Center è un gruppo indipendente e imparziale di difesa dei consumatori che difende i vantaggi della libertà di scelta, dell'innovazione e dell'abbondanza nella vita di tutti i giorni.

In qualità di organizzazione che rappresenta i consumatori in tutto il Paese, siamo profondamente preoccupati per la norma proposta che richiede significative procedure Know Your Customer (KYC) per tutti i fornitori di Infrastruttura come servizio (IaaS), come dettagliato in Scheda n. DOC-2021-0007.

Se queste regole così come sono messe in atto, avranno conseguenze immediate sui consumatori e sugli utenti online che creano, utilizzano e distribuiscono tutti i tipi di servizi online, server, sistemi cloud e macchine virtuali. Ciò include servizi che consentono agli utenti di implementare server per ospitare i propri documenti privati e contenuti fotografici, nodi Bitcoin e criptovaluta, modelli di intelligenza artificiale, reti private virtuali (VPN) e altro ancora, in conformità con i termini di servizio offerti dai fornitori IaaS.

Sebbene queste regole abbiano lo scopo di fornire un accesso più immediato a informazioni e dati su attori stranieri malintenzionati che utilizzano l’infrastruttura cloud americana, comporteranno invece un rischio significativo per la privacy individuale, faciliteranno la perdita o l’uso dannoso dei dati e conferiranno poteri straordinari alle agenzie governative. che sono incompatibili con la Costituzione degli Stati Uniti e con la Carta dei Diritti.

Comprendiamo che l'intenzione sia quella di prendere di mira attori stranieri ostili, ma i requisiti imposti ai fornitori di servizi statunitensi richiederanno inevitabilmente che anche ogni americano fornisca queste informazioni.

Il requisito che i fornitori di servizi mantengano informazioni personali e finanziarie esaustive sui propri clienti rappresenta non solo una grave violazione della privacy, ma un rischio significativo, poiché migliaia di fornitori IaaS saranno in possesso di grandi quantità di dati personali che potrebbero essere violati o divulgati .

Inoltre, le forze dell'ordine possiedono già strumenti e autorità sufficienti per seguire i procedimenti legali per acquisire mandati e condurre informazioni.

Riteniamo che questa norma proposta vada troppo oltre nel limitare la possibilità per gli americani di utilizzare i servizi online che desiderano scegliere e limiterebbe la loro capacità di utilizzare server e servizi cloud senza rischi significativi per la privacy e i dati personali.

Inoltre, l’esaustività delle informazioni richieste da un servizio che vuole offrire agli utenti la possibilità di eseguire una macchina virtuale, un server, un modello di intelligenza artificiale o altro, spingerà necessariamente la maggior parte degli americani a rinunciare completamente all’utilizzo dei servizi domestici, creando conseguenze economiche non calcolate. nei costi di conformità della norma proposta.

Raccomanderemmo che questa regola fosse rivista completamente, eliminando i significativi rischi per la privacy che la raccolta KYC sui fornitori IaaS richiederebbe per gli utenti domestici, così come l’autorità duplicativa ed extralegale che verrebbe concessa alle forze dell’ordine, in violazione del diritto costituzionale.

Di seguito elenchiamo le due principali aree di preoccupazione per i consumatori statunitensi.

Requisiti KYC per utenti stranieri applicati agli utenti nazionali

Come notato nel Sfondo previste nelle Informazioni Supplementari della norma, questi nuovi poteri imporrebbero ai fornitori di servizi di segmentare gli utenti in base al loro Paese di origine:

Per far fronte a queste minacce, il Presidente ha emesso l'EO 13984, "Adozione di ulteriori misure per affrontare l'emergenza nazionale rispetto a significative attività dannose abilitate all'uso di strumenti informatici", che conferisce al Dipartimento l'autorità di richiedere ai fornitori IaaS statunitensi di verificare l'identità degli utenti stranieri di prodotti IaaS statunitensi, per emanare standard e procedure che il Dipartimento può utilizzare per esentare i fornitori IaaS da tale requisito, per imporre obblighi di tenuta dei registri rispetto agli utenti stranieri di prodotti IaaS statunitensi e per limitare l'accesso di alcuni attori stranieri a Prodotti IaaS statunitensi in circostanze appropriate.

Tuttavia, affinché i fornitori IaaS possano determinare in modo efficace la posizione di un utente, saranno tenuti dalle forze di legge – e dal rischio di sanzioni civili e penali – a registrare, classificare e documentare la posizione di un utente e le relative informazioni personali indipendentemente da la loro ubicazione, il tutto nel tentativo di determinare se un potenziale utente sarebbe considerato un “utente straniero” o una persona beneficiaria.

Ciò porterà a una maggiore raccolta di informazioni simili ai conti bancari e alle transazioni finanziarie, portando a diffusi requisiti di “Conosci il tuo cliente” (KYC) che non sono mai stati applicati a questo livello ai servizi online.

Al di là dell'approvazione del Congresso, riteniamo che questa proposta di regolamento superi di gran lunga i limiti dell'autorità dell'agenzia, sia da parte del Dipartimento del Commercio che tramite i menzionati ordini esecutivi, e creerebbe significative aree di rischio per gli utenti ordinari e i clienti sia all'estero che negli Stati Uniti. .

Inoltre, l'ampia applicazione e definizione di servizio coperto – “qualsiasi prodotto o servizio offerto a un consumatore, comprese offerte gratuite o di “prova”, che fornisce elaborazione, archiviazione, reti o altre risorse informatiche fondamentali e con cui il consumatore è in grado di distribuire ed eseguire software non predefinito, inclusi sistemi operativi e applicazioni” – significa essenzialmente che qualsiasi servizio cloud rientrerebbe nell’ambito di applicazione di questo regolamento.

Il rischio di violazioni della privacy

Poiché ai fornitori di servizi verrebbe richiesto di mantenere un solido programma di identificazione del cliente, come delineato nel § 7.302, ciò imporrebbe a tutti i fornitori di servizi cloud la responsabilità di raccogliere e conservare nome completo, indirizzo, numero di carta di credito, numeri di valuta virtuale, e-mail, telefono numeri, indirizzi IP e altro su qualsiasi potenziale cliente del loro servizio.

Pur apprezzando che i fornitori di cloud privati e le aziende IaaS abbiano la libertà di determinare come strutturare i propri programmi di identificazione dei clienti, riteniamo che l'obbligo di raccogliere queste informazioni e archiviarle localmente costituirà un alto potenziale di accesso a tali informazioni senza autorizzazione. , da attacchi hacker, fughe di notizie o altre attività dannose.

Poiché ai fornitori di servizi sarà richiesto di catalogare queste informazioni per anni e anni, ciò si rivelerà inevitabilmente un obiettivo di alto valore per gli autori malintenzionati, fornendo al contempo un vantaggio minimo alle forze dell'ordine che possono già ottenere legalmente queste informazioni tramite mandati eseguiti legalmente. .

Poteri straordinari e duplicativi

Le forze dell'ordine a livello federale, statale e locale possiedono già gli strumenti legali per citare in giudizio o richiedere fornitori di cloud dati o fornitori di VPN con mandati ottenuti legalmente.

Il fatto che ai fornitori IaaS venga richiesto non solo di conservare queste informazioni, ma anche di "notificare" preventivamente le forze dell'ordine senza alcun ordine giudiziario o sospetto di un crimine, viola il Quarto Emendamento e la Due Process Clause come interpretato dal Quinto e dal Quattordicesimo Emendamento.

La sezione § 7.306(d) stabilisce la clausola per essere esentati dai requisiti come "cooperazione volontaria" con le forze dell'ordine, obbligando quindi i fornitori a consentire l'accesso a "informazioni forensi per indagini su attività informatiche dannose identificate".

Riteniamo che ciò potrebbe essere facilmente abusato, poiché fornirebbe alle aziende un percorso legale per divulgare le informazioni sui clienti alle autorità governative oltre quanto necessario e legale, e fornirebbe incentivi alle aziende e alle società per fornire volontariamente informazioni sui propri clienti alle agenzie governative, alla legge agenti delle forze dell'ordine e altro ancora.

Così come è stata scritta, riteniamo che questa norma proposta sia stata offerta in fretta e che probabilmente porterà a danni e rischi significativi per i dati dei consumatori, la privacy e la loro libertà di impegnarsi nel libero commercio. Vorremmo sollecitare che questa regola venga riscritta tenendo presenti queste preoccupazioni.

Cordiali saluti,

Yael Ossowski

Vicedirettore,

Centro di scelta dei consumatori

I nostri commenti in formato PDF

Scarica l'immagine	A schermo intero	Ingrandisci
__cf_bm	1 ora	Questo cookie, impostato da Cloudflare, viene utilizzato per supportare la gestione dei bot di Cloudflare.
cookielawinfo-checkbox-pubblicità	1 anno	Il cookie è impostato dal consenso dei cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità".
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi".
cookielawinfo-checkbox-funzionale	11 mesi	Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessario	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-altri	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro.
cookielawinfo-checkbox-prestazioni	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
CookieLawInfoConsent	1 anno	CookieYes imposta questo cookie per registrare lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie primario.
elementor	mai	Il tema WordPress del sito Web utilizza questo cookie. Consente al proprietario del sito Web di implementare o modificare il contenuto del sito Web in tempo reale.
JSESSIONID	passato	Utilizzato da siti scritti in JSP. Cookie di sessione della piattaforma per scopi generici utilizzati per mantenere lo stato degli utenti attraverso le richieste di pagina.
policy_cookie_visualizzata	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
wpEmojiSettingsSupports	sessione	WordPress imposta questo cookie quando un utente interagisce con gli emoji su un sito WordPress. Aiuta a determinare se il browser dell'utente può visualizzare correttamente gli emoji.

Scarica l'immagine	A schermo intero	Ingrandisci
__condividi questo_cookie_test__	sessione	Questo cookie è impostato da ShareThis, per verificare se il browser accetta i cookie.
biscotto	2 anni	Questo cookie è impostato da linkedIn. Lo scopo del cookie è abilitare le funzionalità di LinkedIn sulla pagina.
lang	sessione	Questo cookie viene utilizzato per memorizzare le preferenze della lingua di un utente per fornire contenuti in quella lingua memorizzata la prossima volta che l'utente visita il sito web.
lidc	1 giorno	Questo cookie è impostato da LinkedIn e utilizzato per il routing.
pll_lingua	1 anno	Questo cookie è impostato dal plug-in Polylang per i siti Web basati su WordPress. Il cookie memorizza il codice della lingua dell'ultima pagina visitata.

Scarica l'immagine	A schermo intero	Ingrandisci
__gads	1 anno 24 giorni	Questo cookie è impostato da Google e memorizzato sotto il nome dounleclick.com. Questo cookie viene utilizzato per tracciare quante volte gli utenti vedono un particolare annuncio pubblicitario che aiuta a misurare il successo della campagna e calcolare le entrate generate dalla campagna. Questi cookie possono essere letti solo dal dominio su cui sono impostati, quindi non traccerà alcun dato durante la navigazione su altri siti.
_ga	2 anni	Questo cookie è installato da Google Analytics. Il cookie viene utilizzato per calcolare i dati di visitatori, sessioni e campagne e tenere traccia dell'utilizzo del sito per il rapporto di analisi del sito. I cookie memorizzano le informazioni in modo anonimo e assegnano un numero generato casualmente per identificare i visitatori unici.
_ga_*	1 anno 1 mese 4 giorni	Google Analytics imposta questo cookie per memorizzare e contare le visualizzazioni di pagina.
_gat_gtag_UA_111177680_1	1 minuto	Questo cookie è impostato da Google e viene utilizzato per distinguere gli utenti.
_gid	1 giorno	Questo cookie è installato da Google Analytics. Il cookie viene utilizzato per memorizzare informazioni su come i visitatori utilizzano un sito Web e aiuta a creare un rapporto analitico di come sta andando il sito Web. I dati raccolti includono il numero di visitatori, la fonte da cui provengono e le pagine visitate in forma anonima.
CONSENSO	16 anni 4 mesi 8 giorni 16 ore	Questi cookie vengono impostati tramite i video di YouTube incorporati. Registrano dati statistici anonimi su ad esempio quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione. Nessun dato sensibile viene raccolto a meno che tu non acceda al tuo account google, in tal caso le tue scelte sono collegate al tuo account, ad esempio se fai clic su "Mi piace" su un video.

Scarica l'immagine	A schermo intero	Ingrandisci
_fbp	3 mesi	Questo cookie è impostato da Facebook per fornire pubblicità quando sono su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook dopo aver visitato questo sito web.
_tt_enable_cookie	1 anno 24 giorni	Tiktok imposta questo cookie per raccogliere dati sul comportamento e sulle attività sul sito web e per misurare l'efficacia della pubblicità.
_ttp	1 anno 24 giorni	TikTok imposta questo cookie per tracciare e migliorare le prestazioni delle campagne pubblicitarie, nonché per personalizzare l'esperienza dell'utente.
biscotto	2 anni	Questo cookie è un cookie ID del browser impostato da pulsanti di condivisione collegati e tag di annunci.
fr	3 mesi	Il cookie è impostato da Facebook per mostrare annunci pertinenti agli utenti e misurare e migliorare gli annunci pubblicitari. Il cookie tiene inoltre traccia del comportamento dell'utente attraverso il Web su siti che dispongono di pixel di Facebook o plug-in social di Facebook.
IDE	1 anno 24 giorni	Utilizzato da Google DoubleClick e memorizza informazioni su come l'utente utilizza il sito Web e qualsiasi altro annuncio pubblicitario prima di visitare il sito Web. Viene utilizzato per presentare agli utenti annunci pertinenti per loro in base al profilo utente.
li_sugr	3 mesi	LinkedIn imposta questo cookie per raccogliere dati sul comportamento degli utenti per ottimizzare il sito Web e rendere gli annunci pubblicitari sul sito più pertinenti.
muc_ads	1 anno 1 mese 4 giorni	Twitter imposta questo cookie per raccogliere dati sul comportamento e sull'interazione dell'utente per ottimizzare il sito web.
personalizzazione_id	2 anni	Questo cookie è impostato da twitter.com. Viene utilizzato per integrare le funzionalità di condivisione di questo social media. Memorizza anche informazioni su come l'utente utilizza il sito Web per il monitoraggio e il targeting.
biscotto di prova	15 minuti	Questo cookie è impostato da doubleclick.net. Lo scopo del cookie è determinare se il browser dell'utente supporta i cookie.
VISITATORE_INFO1_LIVE	5 mesi 27 giorni	Questo cookie è impostato da Youtube. Utilizzato per tenere traccia delle informazioni dei video di YouTube incorporati su un sito web.
VISITOR_PRIVACY_METADATI	6 mesi	YouTube imposta questo cookie per memorizzare lo stato del consenso ai cookie dell'utente per il dominio corrente.
YSC	sessione	Questo cookie è impostato da Youtube e viene utilizzato per tracciare le visualizzazioni dei video incorporati.
yt-dispositivi-remoti-connessi	mai	Questi cookie vengono impostati tramite i video di YouTube incorporati.
yt-id-dispositivo-remoto	mai	Questi cookie vengono impostati tramite i video di YouTube incorporati.
yt.innertube::nextId	mai	Questi cookie vengono impostati tramite i video di YouTube incorporati.
yt.innertube::richieste	mai	Questi cookie vengono impostati tramite i video di YouTube incorporati.

Scarica l'immagine	A schermo intero	Ingrandisci
__gpi	1 anno 24 giorni	Nessuna descrizione
_gtm_session_start	1 ora	La descrizione non è attualmente disponibile.
_mailmunch_visitor_id	mai	Questo cookie è impostato da MailMunch, che è una piattaforma di raccolta di email e di email marketing. Non conosciamo lo scopo esatto del cookie.
AnalyticsSyncHistory	1 mese	Nessuna descrizione
asp_transient_id	7 giorni	Nessuna descrizione disponibile.
Test di pubblicazione degli annunci di Google	sessione	Nessuna descrizione
li_gc	2 anni	Nessuna descrizione
mailmunch_second_pageview	mai	Questo cookie è impostato da MailMunch, che è una piattaforma di raccolta di email e di email marketing. Non conosciamo lo scopo esatto del cookie.
raygun4js-userid	mai	Descrizione non disponibile.
st_stesso sito	sessione	Nessuna descrizione
UserMatchHistory	1 mese	Linkedin - Utilizzato per tracciare i visitatori su più siti Web, al fine di presentare annunci pubblicitari pertinenti in base alle preferenze del visitatore.

Polizia divertente

Podcast per consumatori

Cast del centro di scelta dei consumatori

Stile del corpo

Seguici

Informazioni di contatto