… dalle informazioni e all’IoT.

Gli strumenti che ogni cittadino ha oggi a disposizione e lo IOT, se da un lato introducono una serie di agevolazioni, dall’altro costituiscono una forte fonte di rischi1 dei quali è opportuno essere consapevoli.

Il primo e più ovvio rischio in cui ogni utente incorre in una realtà sempre più interconnessa riguarda la possibilità che enti, aziende, servizi di sicurezza2 hanno di profilare gli individui in maniera sempre più accurata attraverso l’uso dei Big Data, collezionando ed aggregando informazioni provenienti da diverse fonti quali:

  • i social network;
  • i sistemi di messaggistica;
  • le preferenze espresse durante la navigazione su internet;
  • gli elettrodomestici intelligenti;
  • i contatori del consumo energetico;
  • i dispositivi indossabili;
  • i navigatori e geolocalizzatori o semplici smartphone3 ;
  • i punti di connessione wifi.

Un rischio per ogni cittadino che si estende però molto al di là della semplice sfera privata, a causa da un lato della inconsapevolezza dello stesso e dall’altra dalla mancanza di regole che stiano al passo con l’evoluzione di quanto la tecnologia offre. Sono molteplici gli esempi di “incidenti” causati da questa persistente tracciatura:

  • la localizzazione di una base militare in base ad un dispositivo indossabile con localizzatore GPS da parte di un militare durante il proprio tempo libero;
  • il monitoraggio remoto delle abitazioni nelle quali siano installate telecamere che permettono tale funzionalità e per le quali non sia stata modificata la password di default o si siano utilizzate password facilmente individuabili;
  • la determinazione dei periodi di presenza/assenza dalla propria abitazione in funzione dei consumi energetici;
  • la pubblicazione sulle proprie pagine social dei periodi di vacanza (e quindi di mancato presidio della propria abitazione);
  • la ricostruzione dei reali spostamenti di un coniuge infedele consultando le impostazioni del navigatore. Tali incidenti, come si evince dagli esempi, possono essere causati da:
  • informazioni rese disponibili volontariamente dall’utente;
  • tracce lasciate involontariamente dall’utente durante lo svolgimento di un’attività, disponibili on line liberamente o “acquistate” dal soggetto che desidera utilizzarle;
  • informazioni ottenute violando sistemi di sicurezza inadeguati (come nel caso delle telecamere prima citate). Le informazioni così raccolte possono essere successivamente utilizzate per valutare, da parte delle aziende o di altre organizzazioni:
  • le abitudini e comportamenti degli utenti per finalità di marketing; !l’affidabilità economica di un utente, ai fini della concessione di un prestito;
  • la salute di un utente, ai fini assicurativi; !le idee e comportamenti di un utente, ai fini di una valutazione di idoneità per una posizione lavorativa;
  • la localizzazione di basi militari da parte di forze ostili.

È interessante notare come in questo ultimo caso, dalle conseguenze potenzialmente letali, gli episodi individuati e disponibili on line continuino a verificarsi, a testimonianza che anche i settori per i quali ci si aspetterebbero i più alti livelli di sicurezza e consapevolezza siano in realtà fragili e poco presidiati da questo punto di vista.

Inoltre anche i cittadini più attenti a limitare le proprie tracce e virtuosi nell’uso degli strumenti e nel concedere i propri dati, possono comunque subire delle conseguenze da questo costante monitoraggio. I loro dati infatti sono, loro malgrado, diffusi da parte degli altri utenti della rete, o presenti sui loro dispositivi (di solito poco protetti) e quindi facilmente acquisibili da parte di terzi in caso di furto o smarrimento. Al riguardo va precisato che, inspiegabilmente, il nuovo regolamento europeo sulla privacy limita notevolmente la tutela prevista in tal senso per i cittadini. Il D. Lgs 196/03 infatti prevedeva forti tutele per il trattamento dei dati personali anche da parte di un semplice cittadino. In prima istanza chiunque trattasse dati personali (comprendendo con questo anche l’avere una semplice rubrica sul proprio cellulare o delle foto di altri soggetti sul proprio smartphone) era tenuto ad implementare adeguate misure di sicurezza e rispondeva civilmente in caso di danni provocati dalla propria negligenza in tal senso. In secondo luogo era espressamente vietato pubblicare su internet, o comunque diffondere, dati di terzi senza il loro specifico consenso. Ora la formulazione presente nel GDPR è molto ambigua, in quanto le tutele da esso previste non si applicano quando i trattamenti sono: “c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico definendo queste ultime come: Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività.” Su tale definizione si discute in merito al fatto che il perimetro di non tutela riguardi esclusivamente una pubblicazione di dati nell’ambito della propria cerchia di contatti o se effettivamente sia concessa una assoluta libertà di pubblicazione di dati di terzi, la cui tutela è affidata quindi ad altre normative molto più onerose da invocare. In ogni caso il “rafforzamento” della tutela degli interessati, con cui viene da sempre presentato il GDPR ha su questo aspetto, almeno nei confronti della normativa italiana, un vistoso punto di debolezza.

I comportamenti e l’inconsapevolezza o più semplicemente la superficialità con cui un soggetto lascia le proprie tracce informatiche hanno effetti quindi non solo su di lui, ma anche su soggetti terzi ed in altri ambiti, ad esempio mediante la pubblicazione sui social di informazioni in merito alla propria attività lavorativa con la rilevazione involontaria di informazioni che l’azienda considera riservate (progetti sui quali si è o si sta lavorando, nuove sedi…).
È evidente che in questo caso una grossa parte di responsabilità va fatta ricadere sulle aziende, che non regolamentano e non istruiscono adeguatamente i propri dipendenti in merito alle conseguenze di determinati comportamenti, non provvedono ad emanare specifiche social policy che regolino la materia e non danno una chiara indicazione di quali siano le informazioni che debbano considerarsi riservate. Dal punto di vista della relazione fra utente ed azienda giova anche ricordare che è lecito per un’azienda utilizzare il materiale pubblicato sui social dai propri dipendenti per fini disciplinari, laddove tale materiale violi i principi di fedeltà. Un altro aspetto che si tende a sottovalutare è la persistenza delle tracce informatiche delle proprie azioni, che persistono per anni sia nella loro forma originale, sia sotto forma di successive rielaborazioni ed aggregazioni e sfuggono completamente al controllo dell’utente. Il diritto all’oblio, previsto dal GDPR, copre solo in minima parte questo aspetto, in quanto presuppone una corretta, puntuale e trasparente gestione dei propri dati personali da parte dei vari titolari di trattamento, ma la realtà è ben diversa. Il titolare che ha reso disponibile il dato potrebbe anche in teoria eliminarlo dalla rete, ma non è possibile intervenire su tutti i soggetti che il dato hanno visionato o scaricato, o aggregato ad altri dati che riguardano l’utente. Per non parlare delle repliche o delle copie che vengono effettuate per motivi di sicurezza e continuità operativa, o sulle quali ben difficilmente, al di là della teoria e delle imposizioni della normativa, sarà possibile intervenire. Nella realtà dei fatti quindi ciò che viene messo in rete volontariamente dagli utenti, o le informazioni raccolte sul loro comportamento derivante da loro azioni (ad esempio la navigazione su un sito) o da dispositivi in dotazione, ha una persistenza estremamente più lunga di quello dallo stesso desiderato. L’unica possibilità di difesa è quindi acquisire una maggior consapevolezza nel rilasciare le proprie informazioni e nell’impostare correttamente, almeno dove possibile, gli strumenti che si hanno a disposizione. !

1 To Log or not to log? Enisa 2011

2 Intelligenza artificiale e soft computing nella lotta al terrorismo, G.Butti, www.sicurezzanazionale.gov.it 3 Grazie a Pin Me è possibile localizzare la posizione di uno smartphone: Pin Me: Tracking a Smartphone User around the World, Mosenia-Dai-Mittal-Jha

Giancarlo Butti

Giancarlo Butti

Twitter
Visit Us
LinkedIn
Share
YOUTUBE