Το Ευρωπαϊκό Πορτοφόλι Ψηφιακής Ταυτότητας (EUDI Wallet): Η Άβολη Αλήθεια Πίσω από την Καινοτομία
Γράφει ο Γιάννης Κωνσταντινίδης*
Μια κριτική ματιά στο νέο «πορτοφόλι» της ΕΕ και τους κρυφούς κινδύνους όσον αφορά την προστασία των προσωπικών δεδομένων και της ιδιωτικότητας στην ψηφιακή εποχή.
Τι είναι οι ψηφιακές ταυτότητες;
Οι ψηφιακές ταυτότητες (digital identities) είναι το σύνολο των πληροφοριών (π.χ. ονοματεπώνυμο, επαγγελματική ιδιότητα, διεύθυνση, αριθμός τηλεφώνου, κωδικός πρόσβασης) που μας χαρακτηρίζουν όταν χρησιμοποιούμε τις ηλεκτρονικές υπηρεσίες στο Διαδίκτυο. Με απλά λόγια, πρόκειται για τους «ψηφιακούς εαυτούς» μας όταν συνδεόμαστε στις πλατφόρμες κοινωνικής δικτύωσης, στις υπηρεσίες ηλεκτρονικής διακυβέρνησης, στα ηλεκτρονικά τραπεζικά συστήματα, κ.α. Στην πράξη, οι ψηφιακές ταυτότητες εμπεριέχουν προσωπικά δεδομένα τα οποία σε αρκετές περιπτώσεις είναι -και- ευαίσθητα (π.χ. στην περίπτωση των υπηρεσιών υγείας). Επομένως, οι ψηφιακές ταυτότητες πρέπει να επιτρέπουν την ταχεία και απροβλημάτιστη πρόσβαση στις ηλεκτρονικές υπηρεσίες και ταυτόχρονα να συνοδεύονται από πολύ αυστηρές εγγυήσεις όσον αφορά την ασφάλεια και την προστασία της ιδιωτικότητας.
Πώς εξελίχθηκαν οι ψηφιακές ταυτότητες;
Υπάρχουν τρία βασικά μοντέλα για την οργάνωση των ψηφιακών ταυτοτήτων (Εικόνα 1). Στο κεντρικοποιημένο (centralised) μοντέλο, ένας φορέας διατηρεί μια κεντρική βάση δεδομένων με τις ψηφιακές ταυτότητες όλων των χρηστών. Ένα βασικό μειονέκτημα του κεντρικοποιημένου μοντέλου είναι ότι οι χρήστες πρέπει να διατηρούν έναν ξεχωριστό λογαριασμό για κάθε υπηρεσία που χρησιμοποιούν. Αντίθετα, στο ομοσπονδιακό (federated) μοντέλο, πολλοί φορείς συνεργάζονται μεταξύ τους και ανταλλάσουν τα στοιχεία των ψηφιακών ταυτοτήτων χρησιμοποιώντας ένα κοινό πρωτόκολλο. Για παράδειγμα, εάν κάποιος χρήστης διαθέτει ένα λογαριασμό σε έναν κεντρικό πάροχο (π.χ. Facebook, Google, Microsoft ή gov.gr), τότε μπορεί να συνδεθεί σε κάποια άλλη συμβατή υπηρεσία με τα ίδια στοιχεία της ψηφιακής του ταυτότητας. Επομένως, το ομοσπονδιακό μοντέλο είναι αρκετά εύχρηστο, ωστόσο η συνολική διαχείριση των ψηφιακών ταυτοτήτων και των περιεχομένων τους πραγματοποιείται από ορισμένους κεντρικούς παρόχους (οι οποίοι ενδέχεται να γνωρίζουν τις επιμέρους δραστηριότητες των χρηστών).
Εικόνα 1:Στο κεντρικοποιημένο μοντέλο, οι χρήστες διαθέτουν ξεχωριστούς λογαριασμούς (και κωδικούς πρόσβασης) για κάθε υπηρεσία που χρησιμοποιούν. Αντίθετα, στο ομοσπονδιακό μοντέλο, υπάρχουν κεντρικοί πάροχοι που λειτουργούν ως ενιαίες «πύλες πρόσβασης» στις υπηρεσίες. Τέλος, στο αποκεντρωμένο μοντέλο, οι χρήστες χρησιμοποιούν τα ψηφιακά τους πορτοφόλια και ιδανικά επιλέγουν τις επιμέρους πληροφορίες που πρόκειται να μοιραστούν με τους παρόχους των υπηρεσιών (Δημιουργός: Γιάννης Κωνσταντινίδης)
Επομένως, τόσο στο κεντρικοποιημένο οσο και στο ομοσπονδιακό μοντέλο, ένας σημαντικός προβληματισμός είναι η συγκέντρωση ενός μεγάλου όγκου δεδομένων σε κεντρικά σημεία τα οποία θεωρούνται ελκυστικά για τους κακόβουλους επιτιθέμενους (βλ. μαζικές παραβιάσεις δεδομένων - data breaches). Ως «αντίδοτο», προτάθηκε το αποκεντρωμένο (decentralised) μοντέλο, το οποίο συχνά συνδέεται και με την έννοια της «αυτοκυρίαρχης ταυτότητας» (self-sovereign identity - SSI). Σ’ αυτό το μοντέλο, ο ίδιος ο χρήστης ελέγχει όλα τα στοιχεία της ταυτότητας που πρόκειται να χρησιμοποιηθούν από τις υπηρεσίες. Αντί να βασίζεται σε κεντρικούς παρόχους, κάθε χρήστης κρατάει μια σειρά από «διαπιστευτήρια» (credentials), τα οποία έχουν εκδοθεί από αξιόπιστους φορείς, και τα διατηρεί σε μια εφαρμογή που ονομάζεται ψηφιακό πορτοφόλι (digital wallet) ή πορτοφόλι ψηφιακής ταυτότητας (digital identity wallet). Όταν χρειάζεται να αποδείξει κάτι (π.χ. την ηλικία του), παρουσιάζει το ψηφιακό διαπιστευτήριο που είναι υπογεγραμμένο από κάποιον αξιόπιστο φορέα (π.χ. το ληξιαρχείο) και δεν αποκαλύπτει το σύνολο των προσωπικών του δεδομένων.
Εικόνα 2: Στο αποκεντρωμένο μοντέλο, ο εκδότης (issuer) εκδίδει και παραδίδει ένα διαπιστευτήριο στο χρήστη (holder), ο οποίος το αποθηκεύει στο ψηφιακό του πορτοφόλι. Στη συνέχεια, ο χρήστης παρουσιάζει το διαπιστευτήριο σε έναν ελεγκτή (verifier), δηλ. σε κάποιον φορέα που ζητά την επιβεβαίωση της ταυτότητας ή/και της ιδιότητας του χρήστη. Η εγκυρότητα του διαπιστευτηρίου επαληθεύεται με βάση τις πληροφορίες που βρίσκονται σε ένα ειδικό μητρώο. (Δημιουργός: Γιάννης Κωνσταντινίδης)
Τι συμβαίνει στην ΕΕ με τις ψηφιακές ταυτότητες;
Με την αναθεώρηση του Κανονισμού eIDAS (2024/1183), η Ευρωπαϊκή Επιτροπή έχει θεσπίσει ότι κάθε κράτος-μέλος της ΕΕ πρέπει να προσφέρει στους πολίτες ένα πορτοφόλι ψηφιακής ταυτότητας. Αυτό θα είναι μια εφαρμογή για κινητές συσκευές στην οποία κάθε χρήστης θα μπορεί να αποθηκεύει έγγραφα σε ψηφιακή μορφή (π.χ. αστυνομικές ταυτότητες, διπλώματα οδήγησης, τίτλους σπουδών, έγγραφα κοινωνικής ασφάλισης και λοιπά ταξιδιωτικά έγγραφα). Η αλληλεπίδραση του χρήστη με τις εκάστοτε υπηρεσίες θα γίνεται μέσω του πορτοφολιού, δηλαδή θα επιλέγει ο χρήστης τα διαπιστευτήρια που επιθυμεί να μοιραστεί. Όπως προαναφέρθηκε, δεν αποστέλλονται ολόκληρα τα έγγραφα από τον εκάστοτε χρήστη, αλλά μια επιλεγμένη παρουσίαση (presentation) ορισμένων δεδομένων σε συνδυασμό με τις κατάλληλες ψηφιακές αποδείξεις που αποδεικνύουν κρυπτογραφικά την εγκυρότητα των εγγράφων.
Βέβαια, το αρχικό όραμα της «αυτοκυρίαρχης ταυτότητας» φαίνεται να περιορίζεται αισθητά στον τρέχοντα σχεδιασμό του ευρωπαϊκού πορτοφολιού. Ειδικότερα, τα προσχέδια της αρχιτεκτονικής (Architecture and Reference Framework - ARF) προβλέπουν τη χρήση μιας παραδοσιακής υποδομής δημοσίου κλειδιού (Public Key Infrastructure - PKI). Με απλά λόγια, αντί να αξιοποιηθεί ένα πλήρως αποκεντρωμένο σύστημα, η Ευρωπαϊκή Επιτροπή επιλέγει ουσιαστικά να εκμεταλλευτεί τις υπάρχουσες εθνικές υποδομές που συγκεντρώνουν τα στοιχεία των ψηφιακών ταυτοτήτων. Άρα πρόκειται περισσότερο για ένα διασυνοριακό ομοσπονδιακό μοντέλο στο οποίο οι χρήστες είναι υπεύθυνοι για τη διαχείριση και τον διαμοιρασμό των διαπιστευτηρίων τους και όχι για ένα πλήρως αποκεντρωμένο μοντέλο.
Ενισχύεται ή υπονομεύεται η προστασία της ιδιωτικότητας και των προσωπικών δεδομένων;
Βάσει των τρεχουσών εξελίξεων, προκύπτουν αρκετοί κίνδυνοι που σχετίζονται με την προστασία των δεδομένων και την ιδιωτικότητα. Αρχικά, το πορτοφόλι μπορεί να δημιουργήσει μοναδικά αναγνωριστικά για κάθε χρήστη (αν και θεωρητικά αυτό είναι απαραίτητο για την ταυτοποίηση του εκάστοτε χρήστη κατά την πρόσβασή του σε διασυνοριακές υπηρεσίες στην ΕΕ) και αρκετοί ειδικοί εκφράζουν το φόβο ότι αυτά τα αναγνωριστικά θα επιτρέπουν τη διαρκή παρακολούθηση και το συσχετισμό όλων των δραστηριοτήτων των χρηστών.
Ειδικότερα, σύμφωνα με την τοποθέτηση μιας ομάδας διακεκριμένων ακαδημαϊκών (ειδικών σε θέματα κρυπτογραφίας), η προτεινόμενη αρχιτεκτονική δεν περιλαμβάνει επαρκή τεχνικά μέτρα για τον περιορισμό της «παρατηρησιμότητας» (observability) και την αποτροπή της «συσχέτισης» των δραστηριοτήτων των χρηστών (linkability). Αυτό σημαίνει ότι ακόμα και αν οι δραστηριότητες των χρηστών πραγματοποιούνται μέσα από τη χρήση ψευδωνύμων, δεν υπάρχει κάποια ειδική μέριμνα που να εμποδίζει τους παρόχους υπηρεσιών από το να συλλέγουν τα μοτίβα χρήσης και να τα συσχετίζουν μεταξύ τους. Άρα, στην πράξη, αυτό το κενό επιτρέπει την πλήρη ιχνηλάτηση των δραστηριοτήτων των χρηστών. Η τελευταία έκδοση της αρχιτεκτονικής (ARF 2.3.0) αναγνωρίζει αυτούς τους κινδύνους, ωστόσο, η ενσωμάτωση των κατάλληλων μηχανισμών παραμένει σε επίπεδο συζήτησης και δεν έχει ακόμα υλοποιηθεί (κυρίως λόγω της πολυπλοκότητας και ορισμένων τεχνικών περιορισμών). Σε παρόμοια κατεύθυνση φαίνεται να κινείται και το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων (ETSI) το οποίο αναγνωρίζει τη σημασία των τεχνικών μέτρων, όπως π.χ. οι αποδείξεις μηδενικής γνώσης (zero-knowledge proofs - ZKPs), αλλά επιβεβαιώνει ότι (προς το παρόν) η πλήρης εξάλειψη της ιχνηλάτησης δεν είναι εφικτή λόγω της τεχνικής πολυπλοκότητας και της έλλειψης διαλειτουργικότητας.
Όσον αφορά τη συνολική «ευελιξία» και λογοδοσία του οικοσυστήματος, υπάρχουν επίσης αρκετά αρνητικά σχόλια. Για παράδειγμα, εάν μία υπηρεσία αποφασίσει να ζητήσει περισσότερα στοιχεία απ’ όσα είναι απαραίτητα, δεν προβλέπεται κάποιος μηχανισμός αποτροπής ή έστω ελέγχου. Παράλληλα, θεωρείται ότι ένα τεράστιο μερίδιο ευθύνης θα μετατοπιστεί στους χρήστες, επειδή αυτοί θα καλούνται διαρκώς να εγκρίνουν τα διαπιστευτήρια που θα μοιράζονται με τους παρόχους των υπηρεσιών. Μάλιστα, εάν κάτι πάει στραβά (π.χ. σε περίπτωση κλοπής της συσκευής του χρήστη ή ηλεκτρονικής απάτης), δεν υπάρχουν επαρκή μέτρα προστασίας και άρα ο χρήστης επωμίζεται ένα μεγάλο μερίδιο των ευθυνών. Ενώ μάλιστα, δεν προβλέπεται (ακόμα) κάποιου είδους διαδικασία ανάκτησης ή επαναφοράς.
Τελος, ένας επιπλέον προβληματισμός αφορά την επέκταση της λειτουργικότητας του πορτοφολιού, καθότι πρόκειται να συγκεντρώσει σταδιακά κάθε είδους ηλ. έγγραφο και πιστοποιητικό (π.χ. ακόμα και τα εισιτήρια μετακινήσεων και τα στοιχεία ηλεκτρονικών πληρωμών). Έτσι, αναδύεται ο κίνδυνος ενός εκτεταμένου και διασυνδεδεμένοι ψηφιακού «φακελώματος», όπου ένας κακόβουλος αναλυτής ή επιτιθέμενος θα μπορούσε να ανακαλύψει υπερβολικά πολλές πληροφορίες για κάποιο πρόσωπο μέσα από ένα ενιαίο μέσο.
Προς μια επιφυλακτική αποδοχή ή αμφισβήτηση του πλαισίου;
Παρόλο που η νέα ευρωπαϊκή ψηφιακή ταυτότητα αποτελεί σημαντικό βήμα για την εξέλιξη των σύγχρονων ψηφιακών υπηρεσιών στο Διαδίκτυο, συνοδεύεται από αρκετές προκλήσεις. Εάν οι πολίτες πρόκειται να εμπιστευτούν μία τέτοιου είδους τεχνολογική λύση, τότε πρέπει να το πράξουν με πλήρη επίγνωση των πλεονεκτημάτων καθώς και των πιθανών κινδύνων που ελλοχεύουν. Ταυτόχρονα, οι ειδικοί οφείλουν να αναπτύξουν περαιτέρω και να τεκμηριώσουν τους μηχανισμούς που συνεισφέρουν στην ασφάλεια και στην ιδιωτικότητα, διαφορετικά ενδέχεται να περάσουμε από το «πορτοφόλι που προστατεύει τα δεδομένα του χρήστη» στο «πορτοφόλι που αποκαλύπτει αυθαίρετα τα δεδομένα του χρήστη». Τέλος, η συνεισφορά των εμπειρογνωμόνων και των οργανώσεων της κοινωνίας των πολιτών είναι εξαιρετικά σημαντική, καθότι με αυτόν τον τρόπο μπορούν να εντοπιστούν και να διορθωθούν τα κενά και οι πιθανές παραλείψεις πριν από την τελική υλοποίηση.
*Ο Γιάννης Κωνσταντινίδης (CISSP, CIPM, CIPP/E, ISO/IEC 27001 & 27701 Lead Implementer) είναι σύμβουλος κυβερνοασφάλειας και μέλος της Homo Digitalis από το 2019.
Πίσω από τα αρκτικόλεξα: Εξηγώντας GDPR & DSA στο ευρύ κοινό
Γράφει η Νίκη Γεωργακοπούλου
Εισαγωγή
DSA, GDPR/ΓΚΠΔ … πολλά αρκτικόλεξα μαζεύτηκαν…γιατί να διαβάσω αυτό το άρθρο;
Μήπως χρησιμοποιείς ή έστω έχεις ακούσει κάποιες από τις κάτωθι εταιρείες/υπηρεσίες;
Alibaba Ali Express, Amazon Store, Apple AppStore, Booking.com, Google Search, Google Play, Google Maps, Google Shopping, Youtube, Instagram, Facebook, LinkedIn, Pinterest, Snapchat, TikTok, X (πρώην Twitter), XVideos, Wikipedia, Zalando, Bing!
Εάν ναι, τότε αφιέρωσε 3 λεπτά γιατί ίσως σε ενδιαφέρει!
Ορισμοί
DSA (Digital Service Act ), η Πράξη για τις Ψηφιακές Υπηρεσίες. Με απλά λόγια πρόκειται για έναν ευρωπαϊκό Κανονισμό, δηλαδή μια δέσμη κανόνων που εφαρμόζονται σε επίπεδο ΕΕ.
Ο νόμος αυτός αφορά τις ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες για τους καταναλωτές και τα αγαθά, τις υπηρεσίες και το περιεχόμενο.
Πιο συγκεκριμένα, ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες είναι ενδεικτικά τα μέσα κοινωνικής δικτύωσης, οι πλατφόρμες ανταλλαγής περιεχομένου, τα καταστήματα εφαρμογών, οι μηχανές αναζήτησης και οι επιγραμμικές πλατφόρμες ταξιδιών και διαμονής.
Απώτερος Στόχος:
Η προστασία θεμελιωδών δικαιωμάτων τόσο των καταναλωτών όσο και των χρηστών αυτών των υπηρεσιών καθώς και η ανάπτυξη του ανταγωνισμού, δημιουργώντας ένα νέο πρότυπο λογοδοσίας στο επιγραμμικό σύμπαν αναφορικά με το παράνομο περιεχόμενο, την παραπληροφόρηση καθώς και πληθώρα άλλων κοινωνικών κινδύνων.
GDPR (General Data Protection Regulation) ή ΓΚΠΔ (Γενικός Κανονισμός Προστασίας για την Προστασία Δεδομένων) είναι ένας Κανονισμός της ΕΕ που αποσκοπεί στην προστασία των προσωπικών δεδομένων των φυσικών προσώπων.
Ο ΓΚΠΔ εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς και δημόσιους φορείς εντός της ΕΕ, καθώς και σε οργανισμούς εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες σε άτομα εντός της ΕΕ.
Απώτερος στόχος:
Να δώσει στους πολίτες μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων και να ενοποιήσει το ρυθμιστικό πλαίσιο για τις επιχειρήσεις, διευκολύνοντας την ελεύθερη κυκλοφορία των δεδομένων εντός της ΕΕ
Κοινό σημείο και των δύο νομοθετημάτων είναι ότι αποσκοπούν στην προστασία του προσώπου που βρίσκεται εγκατεστημένο στην ΕΕ, ασχέτως της έδρας της εκάστοτε υπηρεσίας, δημιουργώντας -από διαφορετική σκοπιά- έναν πιο διαφανή και ασφαλή ψηφιακό κόσμο!
ΤΙ σχέση έχει με τον ΓΚΠΔ
Ο DSA και ο ΓΚΠΔ αλληλοσυμπληρώνονται καθώς προσεγγίζουν το ίδιο ζήτημα από διαφορετική σκοπιά.
Ο DSA αποσκοπεί στη συμπλήρωση των κανόνων του ΓΚΠΔ προκειμένου να επιτευχθεί υψηλότερο επίπεδο προστασίας των δεδομένων. Ένα χαρακτηριστικό παράδειγμα ταυτόχρονης εφαρμογής των νομοθετημάτων αποτελεί η επεξεργασία προσωπικών δεδομένων για διαφημιστικούς σκοπούς. Οι πάροχοι υπηρεσιών πλατφόρμας εμπίπτουν ταυτόχρονα και στο πεδίο εφαρμογής του DSA και του ΓΚΠΔ.
Ειδικότερα, εκτός από τις προϋποθέσεις του ΓΚΠΔ για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο DSA απαγορεύει στους παρόχους επιγραμμικών πλατφορμών να στοχεύουν διαφημίσεις που προβαίνουν σε κατάρτιση προφίλ χρηστών βασιζόμενο σε ευαίσθητα προσωπικά δεδομένα όπως βιομετρικά δεδομένα, σεξουαλικός προσανατολισμός, πολιτικές και θρησκευτικές πεποιθήσεις.
Επιπλέον, αξίζει να σημειωθεί απαγορεύεται κάθε χρήση της κατάρτισης προφίλ για την παρουσίαση στοχευμένων διαφημίσεων, όταν οι πάροχοι γνωρίζουν με εύλογη βεβαιότητα ότι ο χρήστης είναι ανήλικος.
DSA: η Ευρωπαϊκή Επιτροπή ζητά διευκρινίσεις από μεγάλες εταιρείες
Η Ευρωπαϊκή Επιτροπή με όχημα τον DSA ζητά πληροφορίες από μεγάλες εταιρείες αναφορικά με μέτρα που έχουν λάβει για την προστασία των χρηστών, την αποφυγή παραπλανητικών πρακτικών, την προστασία των ανηλίκων και τη διαφάνεια των συστημάτων συστάσεων. H Επιτροπή είχε θέσει προθεσμία απάντησης, η οποία -για ορισμένες- έχει παρέλθει, γεγονός που μπορεί να οδηγήσει σε υψηλά πρόστιμα ή/και περιορισμό των υπηρεσιών αυτών.
Ειδικότερα, η Επιτροπή έθεσε ορισμένα ερωτήματα σχετικά με τα ανωτέρω στις εταιρείες SHEIN και Τemu. Οι εταιρείες αυτές παρότι βρίσκονται στην Κίνα παρέχουν υπηρεσίες και προϊόντα σε Πολίτες εγκατεστημένους στην ΕΕ και ως εκ τούτου βρίσκει εφαρμογής ο DSA.
Το αίτημα παροχής πληροφοριών απαιτούσε διευκρινίσεις αναφορικά με το εάν έχουν ληφθεί μέτρα για τον μείωση κινδύνου που σχετίζεται με τους καταναλωτές, την δημόσια υγεία και ευημερία των χρηστών. Επιπλέον ετέθησαν και ζητήματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα και τα μέτρα που έχουν ληφθεί.
Επίσης, η Επιτροπή έχει ξεκινήσει έλεγχο κατά του TikTok αναφορικά με ζητήματα για την προστασία των ανηλίκων, την διαφάνεια της διαφήμισης, την πρόσβαση των ερευνητών σε δεδομένα, καθώς και την διαχείριση κινδύνου εθιστικού σχεδιασμού και επιβλαβούς περιεχομένου. Οι εργασίες της Επιτροπής επικεντρώνονται ιδίως στο θέμα των αρνητικών επιπτώσεων που προκαλούνται από τον σχεδιασμό του αλγορίθμου, που παράγει και τονώνει τον εθισμό. Στόχος αυτής της εργασίας είναι η αντιμετώπιση πιθανών κινδύνων για τη σωματική και ψυχική ευεξία του προσώπου και ιδίως του ανηλίκου καθώς και η διασφάλιση των δικαιωμάτων του παιδιού. Σε αυτό το σημείο, αξίζει να σημειωθεί, ότι εγείρονται σοβαρές αμφιβολίες για τα εργαλεία επαλήθευσης της ηλικίας που χρησιμοποιεί το TikTok προκειμένου να αποτρέψει την πρόσβαση ανηλίκων σε ακατάλληλο περιεχόμενο. Επιπρόσθετα, άλλος ένας έλεγχος που διενεργείται στο TikTok σχετίζεται με την προστασία της ιδιωτικότητας και των ρυθμίσεων απορρήτου, δίνοντας έμφαση στις προεπιλεγμένες (by default) ρυθμίσεις που γίνονται για τους ανήλικους χρήστες.
Μια ακόμη ενδιαφέρουσα έρευνα γίνεται στη Meta και το Instagram. Βασικοί πυλώνες της έρευνας αυτής είναι α) οι παραπλανητικές διαφημίσεις και η παραπληροφόρηση, β) η προβολή πολιτικού περιεχομένου, γ) ο μηχανισμός επισήμανσης παράνομου περιεχομένου καθώς και δ) η μη διαθεσιμότητα αποτελεσματικού εργαλείου πολιτικού διαλόγου και παρακολούθησης εκλογών τρίτων σε πραγματικό χρόνο. Η διακοπή του CrowdTangle, του εργαλείου για παρακολούθηση των εκλογών σε πραγματικό χρόνο, θα μπορούσε να επιφέρει ζημία στον πολιτικό διάλογο και στις εκλογικές διαδικασίες.
Ανάλογες εργασίες και έλεγχος συμμόρφωσης με τον DSA έχει ξεκινήσει η Επιτροπή για τις: Amazon, Google, X και Microsoft.
Μέχρι στιγμής, δεν υπάρχουν πληροφορίες που να επιβεβαιώνουν ότι όλες οι εταιρείες έχουν απαντήσει στα αιτήματα-ερωτήματα της Ευρωπαϊκής Επιτροπής που άπτονται του DSA.
Επίλογος
Πριν το κλείσιμο του άρθρου αξίζει να συνοψίσουμε τους στόχους που θέτει ο DSA, ενδεικτικά: η ισχυρότερη προστασία των ατόμων που αποτελούν στόχο διαδικτυακής παρενόχλησης και εκφοβισμού, η δημιουργία εύχρηστων-δωρεάν μηχανισμών υποβολής καταγγελιών για την περίπτωση που μια διαδικτυακή πλατφόρμα μειώνει το περιεχόμενο, ύπαρξη διαφάνειας σχετικά με τη διαφήμιση (σκοπούς, απαγόρευση στοχευμένης διαφήμισης που βασίζεται στη συλλογή ευαίσθητων δεδομένων ή δεδομένων ανηλίκων).
Η πλήρης εφαρμογή του ξεκίνησε τον Φεβρουάριο 2024 και ενδεχομένως είναι πολύ νωρίς για να βγουν συμπεράσματα.
Στην Ελλάδα αρμόδιοι για ορισμένα ζητήματα που ανάγονται στον DSA είναι το Εθνικό Συμβούλιο Ραδιοτηλεόρασης (ΕΣΡ) και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενώ ως Συντονιστής Ψηφιακών Υπηρεσιών έχει οριστεί η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ).
Τέλος, ας ευχηθούμε η δήλωση της Χένα Βίρκουνεν (Φιλανδή Πολιτικός) να βγει αληθινή «Δεσμευόμαστε ότι κάθε πλατφόρμα που λειτουργεί στην Ευρωπαϊκή Ένωση θα σέβεται τη νομοθεσία μας, που ως στόχο έχει να καταστήσει το διαδικτυακό περιβάλλον δίκαιο, ασφαλές και δημοκρατικό για όλους τους Ευρωπαίους πολίτες.»
Τα σχολεία της Μεσσηνίας στο επίκεντρο της ψηφιακής ευαισθητοποίησης
Από τις 31 Μαρτίου έως τις 7 Μαΐου, η ΑΜΚΕ Homo Digitalis επισκέφθηκε 11 σχολεία πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης στη Μεσσηνία, φέρνοντας την ενημέρωση και την εκπαίδευση γύρω από την ασφάλεια στο διαδίκτυο πιο κοντά σε μαθήτριες και μαθητές.
Κατά τη διάρκεια των εκπαιδεύσεων σε Αρφαρά, Δώριο, Εύα, Θουρία, Καλαμάτα, Κυπαρισσία, Πύλο, Φιλιατρά, Φοινικούντα και Χώρα, 554 μαθήτριες και μαθητές ήρθαν σε επαφή με βασικά ζητήματα του ψηφιακού κόσμου, όπως: Διαδικτυακός εκφοβισμός, Ασφάλεια στο διαδίκτυο, Αναγνώριση και κατανόηση των deepfakes, και Υπεύθυνη χρήση των μέσων κοινωνικής δικτύωσης.
Η ενημέρωση και ευαισθητοποίηση των παιδιών, αλλά και των ενηλίκων, αποτελεί απαραίτητο βήμα για μια ασφαλή και υγιή πλοήγηση στον ψηφιακό κόσμο.
Η δράση υλοποιήθηκε με την υποστήριξη του Ιδρύματος Καπετάν Βασίλη και Κάρμεν Κωνσταντακόπουλου και θα συνεχιστεί με νέες παρουσιάσεις την περίοδο Σεπτεμβρίου – Δεκεμβρίου 2025.
Αν το σχολείο σας βρίσκεται στη Μεσσηνία και επιθυμεί να φιλοξενήσει δωρεάν εκπαιδεύσεις, επικοινωνήστε με την ομάδα της Homo Digitalis στο info@homodigitalis.gr.
Από την Ευαισθητοποίηση στη Διαχείριση του Ανθρώπινου Ρίσκου: Ώρα για μια Νέα Προσέγγιση στην Κυβερνοασφάλεια
Γράφει o Τάσος Αραμπατζής
Παρά τις τεχνολογικές εξελίξεις και τις επενδύσεις στην ασφάλεια των πληροφοριακών συστημάτων, ο ανθρώπινος παράγοντας εξακολουθεί να αποτελεί τον πιο ευάλωτο κρίκο στην αλυσίδα της κυβερνοασφάλειας.
Σύμφωνα με την αναφορά Verizon Data Breach Investigations Report (DBIR) 2025, η ανθρώπινη συμπεριφορά σχετίζεται άμεσα με το 60% των περιστατικών παραβίασης δεδομένων. Από ακούσια λάθη μέχρι κακή εκτίμηση κινδύνων και παραπλάνηση μέσω κοινωνικής μηχανικής, ο άνθρωπος παραμένει το πιο σύνθετο και απρόβλεπτο «σύστημα» εντός κάθε οργανισμού.
Phishing και κλεμμένοι κωδικοί: Οι πιο ακριβές επιθέσεις
Δεν είναι τυχαίο ότι οι επιθέσεις τύπου phishing και η χρήση κλεμμένων διαπιστευτηρίων συγκαταλέγονται ανάμεσα στις πιο δαπανηρές για τις επιχειρήσεις.
Σύμφωνα με την αναφορά της IBM, Cost of a Data Breach 2024, το μέσο παγκόσμιο κόστος μίας επίθεσης phishing ανέρχεται σε 4.88 εκατομμύρια δολάρια, ενώ μία επίθεση κοινωνικής μηχανικής κοστίζει στις επιχειρήσεις 4.77 εκατομμύρια δολάρια. Τέλος, το κόστος μίας επίθεσης που ξεκινά από κλεμμένα διαπιστευτήρια ανέρχεται σε 4.81 εκατομμύρια δολάρια.
Ο κυριότερος λόγος για την υψηλή οικονομική επίδραση αυτών των επιθέσεων είναι ότι είναι πολύ δύσκολο να ανιχνευθούν – είναι ύπουλες επιθέσεις, όπου οι επιτιθέμενοι εκμεταλλεύονται την ανωνυμία που τους παρέχουν οι κλεμμένοι κωδικοί και κινούνται αθόρυβα μέσα στα δίκτυα των επιχειρήσεων. Σε αντίθεση, π.χ., οι επιθέσεις ransomware είναι άμεσα ορατές διότι οι επιτιθέμενοι τις διαφημίζουν για να ζητήσουν λύτρα.
Το κόστος τους δεν περιορίζεται μόνο σε οικονομικές ζημίες, αλλά επεκτείνεται και σε νομικές συνέπειες, απώλεια εμπιστοσύνης, ζημιές στη φήμη και μείωση της παραγωγικότητας. Επιπλέον, οι επιθέσεις αυτές είναι εξαιρετικά εξελιγμένες, αξιοποιούν τεχνικές εξαπάτησης που βασίζονται στην ψυχολογία και «ξεγελούν» ακόμα και τους πιο προσεκτικούς χρήστες. Η χρήση της Παραγωγικής ΤΝ (GenAI) κάνει την κατάσταση ακόμα πιο πολύπλοκη για τις επιχειρήσεις και τους ανθρώπους.
Εκπαίδευση ευαισθητοποίησης: απαραίτητη, αλλά όχι επαρκής
Η εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια αποτελεί βασικό εργαλείο για την αντιμετώπιση των κινδύνων που προέρχονται από τον ανθρώπινο παράγοντα. Μελέτες δείχνουν ότι, όταν εφαρμόζεται σωστά, μπορεί να μειώσει σημαντικά την ευπάθεια των εργαζομένων σε επιθέσεις τύπου phishing. Συγκεκριμένα, πρόσφατη έρευνα αναφέρει ότι το τακτικό πρόγραμμα εκπαίδευσης μπορεί να μειώσει τον κίνδυνο από 60% σε 10% εντός του πρώτου έτους εφαρμογής.
Ωστόσο, παρά την αναγνώριση της σημασίας της, η αποτελεσματικότητα της εκπαίδευσης ευαισθητοποίησης συχνά περιορίζεται λόγω διαφόρων παραγόντων.
- Προσέγγιση συμμόρφωσης αντί αλλαγής συμπεριφοράς: Πολλοί οργανισμοί αντιμετωπίζουν την εκπαίδευση ως μια υποχρέωση συμμόρφωσης, εστιάζοντας στην ολοκλήρωση των μαθημάτων παρά στην πραγματική αλλαγή συμπεριφοράς των εργαζομένων. Αυτό οδηγεί σε προγράμματα που δεν καταφέρνουν να επηρεάσουν ουσιαστικά τις καθημερινές πρακτικές των χρηστών.
- Έλλειψη εξατομίκευσης: Η γενική προσέγγιση στην εκπαίδευση δεν λαμβάνει υπόψη τις διαφορετικές ανάγκες και ρόλους των εργαζομένων, με αποτέλεσμα να μην αντιμετωπίζονται οι συγκεκριμένοι κίνδυνοι που σχετίζονται με κάθε θέση εργασίας.
- Ανεπαρκής ενίσχυση και επανάληψη: Η εκπαίδευση συχνά παρέχεται ως εφάπαξ δραστηριότητα, χωρίς συνεχή ενίσχυση και επανάληψη, γεγονός που μειώνει την αποτελεσματικότητά της με την πάροδο του χρόνου.
- Έλλειψη μέτρησης αποτελεσματικότητας: Πολλές επιχειρήσεις δεν διαθέτουν μηχανισμούς για την αξιολόγηση της αποτελεσματικότητας των προγραμμάτων εκπαίδευσης, καθιστώντας δύσκολη την αναγνώριση και διόρθωση των αδυναμιών.
Από την ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου
Η παραδοσιακή προσέγγιση της ευαισθητοποίησης στην κυβερνοασφάλεια, αν και απαραίτητη, αποδεικνύεται ανεπαρκής για την αντιμετώπιση των σύγχρονων απειλών. Αυτό έχει οδηγήσει σε μια μετατόπιση προς τη διαχείριση του ανθρώπινου ρίσκου (Human Risk Management - HRM), μια πιο στοχευμένη και μετρήσιμη προσέγγιση που εστιάζει στην κατανόηση και την αλλαγή της ανθρώπινης συμπεριφοράς.
Σύμφωνα με την Forrester, το HRM περιλαμβάνει τη μέτρηση και την ποσοτικοποίηση των ανθρώπινων συμπεριφορών ασφαλείας, την υλοποίηση πολιτικών και εκπαιδευτικών παρεμβάσεων βάσει του ανθρώπινου ρίσκου, και την ενδυνάμωση του εργατικού δυναμικού για την προστασία του εαυτού τους και της οργάνωσης από κυβερνοεπιθέσεις.
Το HRM δημιουργεί έναν συνεχή κύκλο ανατροφοδότησης μεταξύ των λειτουργιών ασφαλείας και της εκπαίδευσης ευαισθητοποίησης. Καθώς οι ομάδες ασφαλείας εντοπίζουν νέες απειλές ή ευπάθειες, αυτές οι πληροφορίες μπορούν να ενσωματωθούν γρήγορα στα εκπαιδευτικά υλικά και να χρησιμοποιηθούν για τη δημιουργία πιο σχετικών εκπαιδευτικών εκστρατειών.
Το HRM προσφέρει επίσης τη δυνατότητα εξατομικευμένης εκπαίδευσης, προσαρμοσμένης στο προφίλ κινδύνου κάθε εργαζομένου. Για παράδειγμα, ένας υπάλληλος που έχει συχνή πρόσβαση σε ευαίσθητα δεδομένα μπορεί να λάβει εντατικότερη εκπαίδευση σχετικά με τα πρωτόκολλα διαχείρισης δεδομένων, ενώ κάποιος που ταξιδεύει συχνά για εργασία μπορεί να εκπαιδευτεί επιπλέον στις πρακτικές ασφαλούς απομακρυσμένης πρόσβασης.
Επιπλέον, το HRM επιτρέπει την ποσοτικοποίηση της αποτελεσματικότητας των προγραμμάτων ευαισθητοποίησης στην ασφάλεια. Οι οργανώσεις μπορούν να παρακολουθούν πώς οι αλλαγές στη συμπεριφορά των χρηστών συσχετίζονται με τη μείωση των περιστατικών ασφαλείας, παρέχοντας απτά αποδεικτικά στοιχεία για τον αντίκτυπο του προγράμματος και τις περιοχές που χρειάζονται βελτίωση.
Η μετάβαση από την απλή ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου είναι μια αναγνώριση ότι η ανθρώπινη συμπεριφορά είναι ένας κρίσιμος παράγοντας στην κυβερνοασφάλεια. Με την υιοθέτηση πολιτικών διαχείρισης ανθρώπινου ρίσκου, οι εταιρείες μπορούν να δημιουργήσουν μια πιο ανθεκτική και ευαισθητοποιημένη κουλτούρα ασφαλείας, μειώνοντας ουσιαστικά τον κίνδυνο που προέρχεται από τον ανθρώπινο παράγοντα.
Ψηφιακή ενδυνάμωση όλων των κοινωνικών ομάδων
Η συζήτηση για την κυβερνοασφάλεια δεν μπορεί να περιοριστεί μόνο στο επιχειρηματικό περιβάλλον. Η ψηφιακή ζωή είναι πλέον αναπόσπαστο μέρος της καθημερινότητας όλων μας. Παιδιά, έφηβοι, ηλικιωμένοι —όλοι χρησιμοποιούν το διαδίκτυο, και όλοι είναι πιθανοί στόχοι κακόβουλων ενεργειών.
Για τα παιδιά, η ενδυνάμωση αφορά την ασφαλή πλοήγηση, την αναγνώριση του διαδικτυακού εκφοβισμού και την κατανόηση των προσωπικών δεδομένων. Για τους ηλικιωμένους, η προστασία σχετίζεται συχνά με απάτες, παραπληροφόρηση και χειραγώγηση. Η εκπαίδευση αυτών των ομάδων χρειάζεται διαφορετική γλώσσα, μέσα και μεθοδολογία, αλλά είναι εξίσου σημαντική με αυτή των εργαζομένων.
Η δημιουργία μιας κουλτούρας που σέβεται τα ψηφιακά δικαιώματα όλων των πολιτών είναι πλέον κοινωνική επιταγή. Δεν αρκεί να προστατευόμαστε ατομικά· χρειάζεται συλλογική υπευθυνότητα. Ο σεβασμός στα προσωπικά δεδομένα, η ασφαλής χρήση της τεχνολογίας και η απόρριψη κακόβουλων πρακτικών είναι στάσεις ζωής που πρέπει να ενθαρρυνθούν σε όλα τα επίπεδα της κοινωνίας.
Κλείνοντας: μια πρόσκληση για σκέψη και δράση
Η διαχείριση του ανθρώπινου ρίσκου δεν είναι ζήτημα τεχνολογίας – είναι ζήτημα πολιτισμού. Αφορά την καλλιέργεια μιας κουλτούρας ευθύνης, διαρκούς μάθησης και ψηφιακού σεβασμού. Είναι καιρός να σταματήσουμε να ρίχνουμε το βάρος μόνο στους χρήστες και να αναγνωρίσουμε ότι η προστασία ξεκινά από το πώς σχεδιάζουμε τα συστήματα, τα μηνύματα και τις εμπειρίες τους.
Το μέλλον της κυβερνοασφάλειας περνά μέσα από τον άνθρωπο. Ας τον ενδυναμώσουμε.
I HAVE RIGHTS και Homo Digitalis δημοσιεύουν μελέτη για την κατάσταση που επικρατεί Κλειστή Ελεγχόμενή Δομή (ΚΕΔ) Σάμου έναν χρόνο μετά το πρόστιμο της ΑΠΔΠΧ για ΚΕΝΤΑΥΡΟ και ΥΠΕΡΙΩΝΑ
Το Υπουργείο Μετανάστευσης και Ασύλου συνεχίζει να παραβιάζει τα δικαιώματα προστασίας δεδομένων των αιτούντων άσυλο στο Κλειστή Ελεγχόμενή Δομή (ΚΕΔ) Σάμου, όπως επισημαίνουν οι οργανώσεις I Have Rights και Homo Digitalis σε έκθεση που δημοσιεύθηκε σήμερα.
Η έκθεση με τίτλο «Ποτέ δεν μας λένε τίποτα»: Συνεχιζόμενες Παραβιάσεις Δικαιωμάτων Δεδομένων στο ΚΕΔ Σάμου αναλύει την εφαρμογή της εντολής συμμόρφωσης που εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) τον Απρίλιο του 2024. Σε αυτή τη ιστορική απόφαση, η ΑΠΔΠΧ έκρινε ότι η χρήση τεχνολογιών επιτήρησης από το Υπουργείο σε δομές υποδοχής ανά την Ελλάδα, περιλαμβανομένων βιομετρικών συστημάτων πρόσβασης και εργαλείων επιτήρησης, δεν ήταν σύμφωνη με τη νομοθεσία της ΕΕ για την προστασία των προσωπικών δεδομένων (GDPR). Δέκα μήνες μετά τη λήξη της προθεσμίας συμμόρφωσης, τον Ιούλιο του 2024, η έκθεση διαπιστώνει ότι το Υπουργείο δεν έχει συμμορφωθεί με την εντολή.
«Οι συνεχιζόμενες παραβιάσεις δικαιωμάτων προστασίας δεδομένων στο ΚΕΔ Σάμου είναι ενδεικτικές ενός συστήματος όπου ο έλεγχος και η επιτήρηση υπερισχύουν των δικαιωμάτων όσων αναζητούν προστασία», δήλωσε η Réka Rebeka Rósa, Νομική Συντονίστρια της I Have Rights. «Η Ευρωπαϊκή Ένωση οφείλει να ασκήσει πίεση στις ελληνικές αρχές ώστε να αντιμετωπίσουν αυτές τις σοβαρές παραβιάσεις. Διαφορετικά, αυτές οι παραβιάσεις κινδυνεύουν να αποτελέσουν πρότυπο για περαιτέρω (ψηφιακή) καταπάτηση δικαιωμάτων ανθρώπων σε κίνηση σε όλη την Ευρώπη».
Το ΚΕΔ Σάμου άνοιξε τον Σεπτέμβριο του 2021, ως η πρώτη από τις πέντε πλέον υφιστάμενες δομές στην Ελλάδα, στο πλαίσιο συμφωνίας μεταξύ της Ευρωπαϊκής Επιτροπής και της Ελληνικής Κυβέρνησης το 2020. Από την έναρξη λειτουργίας του, ΜΚΟ, διεθνείς εμπειρογνώμονες ανθρωπίνων δικαιωμάτων και άνθρωποι που κρατούνται στη δομή εκφράζουν συνεχείς ανησυχίες για τις πρακτικές έμμεσης κράτησης, και τις ανεπαρκείς συνθήκες διαβίωσης.
Οι ανησυχίες αυτές επιτείνονται από την παντελή έλλειψη διαφάνειας στη διαδικασία ασύλου στην Ελλάδα και το αδιαφανές σύστημα επιτήρησης στο ΚΕΔ Σάμου. Όπως εξήγησε ένας εξυπηρετούμενος σχετικά με τη συλλογή βιομετρικών δεδομένων:
«Όχι, κανείς δεν μου το εξηγεί. Μόνο παίρνουν δακτυλικά αποτυπώματα και μας μετακινούν από μέρος σε μέρος, και το κάνουμε χωρίς να ξέρουμε γιατί. Δεν υπάρχει κανείς να εξηγήσει τι συμβαίνει».
Η Ελλάδα έχει νομική και ηθική υποχρέωση να διασφαλίζει τα θεμελιώδη δικαιώματα και τα δικαιώματα προστασίας δεδομένων των αιτούντων άσυλο, όπως αυτά κατοχυρώνονται στον Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ και στον GDPR. Η Ευρωπαϊκή Ένωση, και ειδικότερα η Ευρωπαϊκή Επιτροπή, δεδομένου του κομβικού της ρόλου στον σχεδιασμό, τη χρηματοδότηση, τη λειτουργία και την παρακολούθηση των ΚΕΔ στην Ελλάδα, φέρει ευθύνη να διασφαλίσει την πλήρη τήρηση αυτών των προτύπων.
«Η διαρκής έλλειψη συμμόρφωσης με τον GDPR, σε ό,τι αφορά τη διαφάνεια και τη λογοδοσία στη χρήση των συστημάτων επιτήρησης Κένταυρος και Ύπερίων στο ΚΕΔ Σάμου, αντικατοπτρίζει μια ανησυχητική υποβάθμιση των θεμελιωδών δικαιωμάτων. Με το να μην τηρεί ούτε τις βασικές απαιτήσεις προστασίας δεδομένων στην πράξη, το Υπουργείο Μετανάστευσης ενισχύει μια επικίνδυνη τάση διαχείρισης των συνόρων με όρους επιτήρησης, που απανθρωποποιεί τους ανθρώπους σε μετακίνηση», δήλωσε ο Λευτέρης Χελιουδάκης, Εκτελεστικός Διευθυντής της Homo Digitalis.
Μπορείτε να διαβάσετε τη μελέτη εδώ.
Με επιτυχία ολοκληρώθηκε η συμμετοχή της Homo Digitalis στο TEDx Patras για το NGI TALER
Στις 17 Μάη, η Homo Digitalis είχε την μεγάλη τιμή να δώσει το παρόν στο TEDxPatras στο Συνεδριακό και Πολιτιστικό Κέντρο του Πανεπιστημίου Πατρών εκπροσωπώντας εκεί το NGI TALER!
Παραχωρήσαμε ένα workshop 40 λεπτών, κατά τη διάρκεια του οποίου είχαμε τη δυνατότητα να μιλήσουμε για τις ψηφιακές πληρωμές, τα επιχειρηματικά μοντέλα που καταγράφουν τις καταναλωτικές μας συνήθειες με σκοπό το κέρδος, το νομικό πλαίσιο που ισχύει, και τους λόγους για τους οποίους είναι σημαντικό να αναδιαμορφώσουμε τις ψηφιακές πληρωμές του μέλλοντος με προσανατολισμό την προστασία της ιδιωτικής ζωής και την προώθηση των λύσεων που βασίζονται σε ελεύθερο λογισμικό, όπως το GNU TALER (Taler Systems S.A.)!
Επίσης, στην παρουσίασή μας κάναμε αναφορά στις αιτήσεις χρηματοδότησης του NGI TALER, οι οποίες είναι ακόμα ανοιχτές, καθώς και στο ακαδημαϊκό υλικό που έχει αναπτυχθεί, το οποίο είναι ελεύθερα διαθέσιμο στην ιστοσελίδα του NGI TALER!
Τη Homo Digitalis εκπροσώπησαν σε αυτή την εκδηλωση οι Αλεξάνδρα Γιαννοπούλου και Λευτέρης Χελιουδάκης! Ευχαριστούμε θερμά τους διογανωτές για τη δυνατότητα συμμετοχής!
Η Homo Digitalis συμμετέχει με ομιλία στο Digital World Summit Greece
Speaker Announcement Digital World Summit Greece2025 – 22/5/2025
Είμαστε στην ευχάριστη θέση να ανακοινώσουμε ότι ο Στέφανος Βιτωράτος θα εκπροσωπήσει τη Homo Digitalis ως ομιλητής στο 2ο πάνελ του Digital World Summit Greece 2025 με θέμα “Το Μέλλον της Τεχνητής Νοημοσύνης: Η επόμενη δεκαετία στην εξέλιξη της ΤΝ και καλές πρακτικές”.
Κάνε εγγραφή εδώ για να παρακολουθήσεις δωρεάν το συνέδριο, που θα πραγματοποιηθεί δια ζώσης στην Τεχνόπολη Δήμου Αθηναίων και διαδικτυακά.
Ο Στέφανος Βιτωράτος είναι Co-founder, της Homo Digitalis και Διαχειριστής Εταίρος της δικηγορικής εταιρείας Digital Law Experts (DLE) με εξειδίκευση στη συμμόρφωση με το πλαίσιο προστασίας προσωπικών δεδομένων, την κυβερνοασφάλεια και την τεχνητή νοημοσύνη. Ανήκει στο Pool of Experts του European Data Protection Board (EDPB) για την Ελλάδα, είναι Co-Chair του Hellenic Knowledgenet Chapter της International Association of Privacy Professional (IAPP), ενώ έχει αναγνωριστεί ως Fellow of Information Privacy (FIP) από τον ίδιο οργανισμό διαθέτοντας πιστοποιήσεις CIPP/E & CIPM. Επίσης είναι μέλος του Research Group του Center of AI & Digital Policy (CAIDP). Επιπλέον συνεργάζεται με την Ευρωπαϊκή Επιτροπή ως αξιολογητής χρηματοδοτούμενων έργων (Ethics Expert), ενώ στο παρελθόν έχει εργαστεί ως σύμβουλος για διακεκριμένες εταιρείες στην Ελλάδα, αλλά και στην Μόνιμη Ελληνική Αντιπροσωπεία της Ελλάδας στο ΝΑΤΟ. Παράλληλα, συνεχίζει την ακαδημαϊκή του πορεία ως Yποψήφιος Διδάκτορας του Τμήματος Δημόσιας Διοίκησης του Παντείου Πανεπιστημίου, με γνωστικό αντικείμενο τη χρήση της τεχνητής νοημοσύνης στη δημόσια διοίκηση και τη συνεργασία δημόσιου-ιδιωτικού τομέα σε αντίστοιχα έργα. Είναι απόφοιτος της Νομικής Σχολής του Πανεπιστημίου Αθηνών και κάτοχος δύο μεταπτυχιακών τίτλων από το City, University of London και από το Πάντειο Πανεπιστήμιο, ενώ συχνά, παραδίδει σεμινάρια για άλλους επαγγελματίες στο πεδίο εξειδίκευσής του, δημοσιεύει επιστημονική αρθρογραφία και συμμετέχει σε επιστημονικά συνέδρια ως ομιλητής ή συντονιστής.
Η Homo Digitalis στο Startup Europe Week 2025 του JOIST Park
Στις 13 Μαΐου, σε περιμένουμε στο JOIST Innovation Park, εκεί όπου η καινοτομία συναντά τις ευκαιρίες.
Το φετινό event συγκεντρώνει πρωτοπόρους στην τεχνητή νοημοσύνη, την κυβερνοασφάλεια, την επιστημονική έρευνα και την επιχειρηματικότητα χωρίς σύνορα – για μια ημέρα γεμάτη τολμηρές ιδέες και ουσιαστικό αντίκτυπο.
Τι περιλαμβάνει το πρόγραμμα;
AI, Cybersecurity, and the Future of Startups
• Λαμπρινή Γυφτοκώστα – Homo Digitalis
• Αναστάσιος Αραμπατζής – Ειδικός Κυβερνοασφάλειας
• Παναγιώτης Πιέρρος – TicTac S.A.
Bridging the Gap: Turning European Scientific Research into Startups
• Ιωάννης Κουρούτζης – Πανεπιστήμιο Θεσσαλίας
• Φώτης Τέκος – Foodoxys / Olea Fortius
• Κέλλυ Παπαδοπούλου – Pi tech
• Κωνσταντίνος Ακρίβος – Indeex
Scaling Startups Across Borders in Europe
• Λάμπρος Κούρτης – Επενδυτής & Μέλος VC
• Manuel Seuffert – IMP³ROVE Academy
• Αχιλλέας Μπαρλάς – Enterprise Europe Network Hellas
Είσαι έτοιμος να συνδεθείς με το ευρωπαϊκό startup οικοσύστημα;
Κάνε εγγραφή εδω.
Γενετικά Δεδομένα και Ιδιωτικές Εταιρείες: Το Παράδειγμα της 23andMe και οι Προκλήσεις για την Ελλάδα
Γράφει o Τάσος Αραμπατζής
Τα γενετικά δεδομένα αποτελούν μία από τις πιο πολύτιμες και ευαίσθητες μορφές προσωπικών πληροφοριών. Ο τρόπος με τον οποίο συλλέγονται, αποθηκεύονται και αξιοποιούνται από ιδιωτικές εταιρείες εγείρει πλήθος νομικών, ηθικών και κοινωνικών ερωτημάτων. Η περίπτωση της αμερικανικής εταιρείας 23andMe, σε συνδυασμό με τις πρόσφατες εξελίξεις στην Ελλάδα, αναδεικνύουν με σαφήνεια τους κινδύνους που σχετίζονται με την εμπορική διαχείριση γενετικών δεδομένων.
Η Περίπτωση της 23andMe
Η 23andMe ιδρύθηκε με την υπόσχεση να φέρει την γενετική ανάλυση στο ευρύ κοινό, προσφέροντας προσιτά τεστ DNA για πληροφορίες καταγωγής και υγείας. Ωστόσο, τον Μάρτιο του 2025, η εταιρεία υπέβαλε αίτηση πτώχευσης, μετά από χρόνια οικονομικών προβλημάτων λογω του μη βιώσιμου επιχειρηματικού μοντέλου της, μείωση στη ζήτηση των υπηρεσιών της και σοβαρά περιστατικά παραβίασης ασφαλείας.
Τον Οκτώβριο του 2023, η 23andMe υπέστη μια σοβαρή παραβίαση ασφαλείας που επηρέασε περίπου 6,9 εκατομμύρια χρήστες. Η επίθεση πραγματοποιήθηκε μέσω τεχνικής γνωστής ως "credential stuffing", όπου οι εισβολείς χρησιμοποίησαν επαναχρησιμοποιημένα ονόματα χρήστη και κωδικούς πρόσβασης από προηγούμενες διαρροές για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών.
Η διαρροή περιλάμβανε ευαίσθητες πληροφορίες, όπως ονόματα, φωτογραφίες προφίλ, έτος γέννησης, τοποθεσία, εθνοτική καταγωγή, και γενετικά δεδομένα, όπως ομάδες απλοτύπων μιτοχονδριακού DNA και Y-χρωμοσώματος. Ιδιαίτερη ανησυχία προκάλεσε το γεγονός ότι οι εισβολείς στόχευσαν συγκεκριμένες εθνοτικές ομάδες, όπως Εβραίους Ασκενάζι και άτομα κινεζικής καταγωγής, με τα δεδομένα τους να πωλούνται στο dark web.
Η αντίδραση της εταιρείας επικρίθηκε έντονα, καθώς απέδωσε την ευθύνη στους χρήστες για τη χρήση επαναλαμβανόμενων κωδικών πρόσβασης, ενώ καθυστέρησε να αναγνωρίσει δημόσια την παραβίαση. Αυτό οδήγησε σε περισσότερες από δύο δωδεκάδες ατομικές και συλλογικές αγωγές, κατηγορώντας την εταιρεία για αμέλεια και παραβίαση της ιδιωτικότητας .
Ωστόσο, το ζήτημα δεν περιορίζεται μόνο στην παραβίαση. Κατά τη διαδικασία πτώχευσης, το πτωχευτικό δικαστήριο ενέκρινε την πώληση των περιουσιακών στοιχείων της εταιρείας -συμπεριλαμβανομένων των γενετικών δεδομένων- σε νέο επενδυτή, υπό τον όρο ότι θα τηρηθεί η ισχύουσα νομοθεσία. Παρ’ όλα αυτά, στις ΗΠΑ δεν υπάρχει ενιαίο αυστηρό νομικό πλαίσιο για την προστασία τέτοιων δεδομένων από ιδιωτικές εταιρείες, αφήνοντας σημαντικά κενά και ενισχύοντας τους φόβους για κακή χρήση τους.
«23andMe» και στην Ελλάδα;
Το πρόβλημα όμως δεν είναι μόνο αμερικανικό. Στην Ελλάδα, όπως αποκάλυψαν οι Reporters United και δημοσίευσε και η ΕφΣυν, το Υπουργείο Υγείας υπέγραψε προγραμματική σύμβαση με ιδιωτικές εταιρείες (RealGenix και Beginnings) για την υλοποίηση του προγράμματος "First Steps", το οποίο προβλέπει την αλληλούχιση του πλήρους γονιδιώματος 100.000 νεογνών μέχρι το 2029. Σύμφωνα με τη σύμβαση, τα ερευνητικά αποτελέσματα των αναλύσεων θα αποτελούν αποκλειστική ιδιοκτησία της ιδιωτικής εταιρείας, γεγονός που έχει προκαλέσει σφοδρές αντιδράσεις.
Το Ινστιτούτο Υγείας του Παιδιού, αρμόδιος δημόσιος φορέας για τον προληπτικό έλεγχο νεογνών, εξέφρασε σοβαρές επιφυλάξεις, επισημαίνοντας την απουσία επιστημονικής αξιολόγησης και τους ηθικούς κινδύνους της ιδιωτικοποίησης του ανθρώπινου γονιδιώματος. Αν και η κυβέρνηση αναφέρει ότι τα δεδομένα θα είναι ψευδωνυμοποιημένα και θα εφαρμόζεται ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), δεν διευκρινίζονται συγκεκριμένες ασφαλιστικές δικλείδες, ούτε ο τρόπος που οι εταιρείες θα διαχειρίζονται τα δεδομένα μετά την ολοκλήρωση του έργου.
Ο Υπουργός Υγείας, Άδωνις Γεωργιάδης, υπερασπίστηκε το πρόγραμμα, δηλώνοντας ότι πιστεύει στη διαφάνεια και τη λογοδοσία, και ότι το πρόγραμμα έχει ως στόχο την πρόληψη και την προστασία της δημόσιας υγείας. Ωστόσο, οι ανησυχίες παραμένουν σχετικά με την ιδιωτικοποίηση του γενετικού υλικού και την έλλειψη σαφών όρων και προϋποθέσεων για τη χρήση των δεδομένων.
Οι Κίνδυνοι της Ιδιωτικοποίησης
Η σύνδεση με την περίπτωση της 23andMe είναι προφανής: και στις δύο περιπτώσεις, η διαχείριση γενετικών δεδομένων περνά σε χέρια ιδιωτών, με ελλιπές ή ασαφές πλαίσιο προστασίας.
Τα γενετικά δεδομένα είναι μοναδικά, δεν αλλάζουν, και μπορούν να χρησιμοποιηθούν όχι μόνο για ιατρικούς σκοπούς, αλλά και για ταυτοποίηση, κοινωνική μηχανική, ή ακόμη και impersonation attacks – επιθέσεις στις οποίες κάποιος προσποιείται την ταυτότητα του ατόμου βάσει γενετικής πληροφορίας. Η ιδιωτικοποίησή τους χωρίς αυστηρούς όρους διαχείρισης καθιστά εφικτή την επαναπροσδιορισιμότητα της ταυτότητας των υποκειμένων και δημιουργεί εύλογες ανησυχίες για μελλοντική κακή χρήση.
Επιπρόσθετα, η πρόσβαση στο γενετικό υλικό δεν αφορά μόνο το υποκείμενο, αλλά και τους συγγενείς του. Οποιοσδήποτε αποκτήσει πρόσβαση σε αυτή την πληροφορία μπορεί να λάβει πληροφορίες και για το στενό συγγενικό περιβάλλον, οπότε η παραβίαση ασφαλείας αυτών των δεδομένων εγκυμονεί σοβαρούς κινδύνους για οποιονδήποτε σχετίζεται βιολογικά με το θύμα.
Επιπλέον, η απώλεια ελέγχου του γενετικού υλικού από τους πολίτες και το δημόσιο τομέα ανοίγει τον δρόμο για εμπορική εκμετάλλευση χωρίς διαφάνεια. Όπως έδειξε η περίπτωση της 23andMe, σε ένα καθεστώς πτώχευσης ή εξαγοράς, η τύχη των δεδομένων εξαρτάται περισσότερο από τις οικονομικές επιδιώξεις των επενδυτών και λιγότερο από τα δικαιώματα των πολιτών.
Η ανάγκη για αυστηρότερο νομοθετικό πλαίσιο, διαφανείς διαδικασίες, ισχυρή δημόσια εποπτεία και ενημέρωση των πολιτών είναι επιτακτική. Τα γενετικά δεδομένα δεν είναι απλά ιατρικές πληροφορίες. Είναι φορείς ταυτότητας, ιστορίας και μελλοντικών δυνατοτήτων. Οφείλουμε να τα προστατεύσουμε ως τέτοια – όχι μόνο για εμάς, αλλά και για τις επόμενες γενιές.