Kaspersky decide di fare della trasparenza uno strumento di governance, e decide di rendere pubbliche le informazioni sulle richieste ricevute da enti governativi, forze dell’ordine e utenti, sia per quanto riguarda i dati sia per le competenze specifiche del proprio personale. Tutto condiviso pubblicamente attraverso il proprio “Law enforcement and government requests report” riferito all’intero 2020 e ai primi sei mesi del 2021, da cui emerge come lo scorso anno la società abbia ricevuto 160 richieste da 15 Paesi, 132 delle quali riguardavano informazioni e competenze tecniche e non personali. Tutte le richieste di dati sugli utenti, 28 complessivamente, sono state elaborate e respinte a causa dell’assenza di dati o del mancato rispetto dei requisiti di verifica legale. Quanto ai primi sei mesi del 2021, la richieste ricevute sono state 105 da 17 Paesi, di cui 89 riguardavano informazioni tecniche e competenze tecniche e non personali. Il 40% di tutte le richieste è stato elaborato e rifiutato per mancanza di dati o per il mancato rispetto dei requisiti legali di verifica.
La scelta di rendere pubbliche le informazioni fa parte dell’impegno della società specializzata in cybersecurity in direzione di una maggiore trasparenza rispetto ai software utilizzati, compresi quelli di sicurezza informatica, per aiutare gli utenti a capire come l’azienda risponde a queste richieste e qual è il suo approccio alla sicurezza e alla privacy dei dati degli utenti. “Poiché il numero di attacchi informatici aumenta ogni anno, costituendo una minaccia al corretto sviluppo e utilizzo delle tecnologie digitali – si legge in una nota della società – è sempre più necessaria una maggiore collaborazione all’interno della community IT. Per contrastare adeguatamente la criminalità informatica transnazionale e proteggere gli utenti permettendo loro di riporre maggiore fiducia nella tecnologia, Kaspersky ha collaborato con le forze dell’ordine in tutto il mondo”.
In ogni caso l’azienda sottolinea come non fornisca mai alle forze dell’ordine o alle organizzazioni governative l’accesso ai dati degli utenti o all’infrastruttura dell’azienda: “È possibile fornire questi dati su richiesta, ma nessuna terza parte può accedere direttamente o indirettamente all’infrastruttura di Kaspersky e ai suoi dati. In più, tutte le richieste passano attraverso una verifica legale obbligatoria prima di essere approvate, rifiutate o prima di fare appello a queste richieste”.
I dati degli utenti includono le informazioni fornite a Kaspersky dagli stessi utenti nel momento in cui utilizzano i prodotti e i servizi dell’azienda e dipendono dai servizi, prodotti e funzionalità utilizzati. I dati sono protetti come è descritto nell’Informativa sulla privacy di Kaspersky, e in qualità di società di sicurezza informatica, Kaspersky non elabora né ha accesso ai dati sui contenuti, ovvero tutto ciò che gli utenti creano o comunicano, e che solitamente rappresentano le prove digitali a cui le forze dell’ordine sono interessate.
Quanto infine alle richieste di competenze tecniche, queste includono informazioni tecniche non personali prodotte e fornite dai ricercatori di sicurezza di Kaspersky e da algoritmi di machine learning, come gli hash MD5 di malware, indicatori di compromissione, le informazioni sul modus operandi degli attacchi informatici, l’output del reverse engineering del malware, statistiche e altri risultati relativi a indagini e ricerche.
