A fronte della difficoltà di controllare l’enorme massa di informazioni quotidianamente raccolta e trasmessa dai dispositivi elettronici, servono meccanismi di sicurezza in grado di garantire alle imprese e ai consumatori un livello elevato di affidabilità dei sistemi digitali.
In Europa, le autorità di controllo stanno cercando di disciplinare i flussi di dati personali – tecnicamente noti come informazioni identificative di persone fisiche (PII) – con alterne fortune e molti contenziosi. La situazione non è diversa oltreoceano, dove le norme di riferimento sono quelle varate da alcuni stati nordamericani, o in Oriente, dove la Repubblica Popolare Cinese è alle prese con un nuovo standard che mutua l’esperienza europea, ma senza disciplinare il trattamento dei dati da parte delle strutture pubbliche.
Nei rapporti internazionali la situazione si complica ulteriormente, poiché l’avvento del mondo digitale ha abbattuto le frontiere, ma non le differenze tra i vari ordinamenti: il riferimento è non solo alla necessità di armonizzazione tra le attività dei Paesi di civil law (di derivazione romana, intesa come “dall’impero romano) e gli stati che provengono dall’esperienza di common law anglosassone, ma anche all’esigenza di conciliazione con gli ordinamenti di nazioni (per esempio Cina, Russia e Pakistan) in cui la presenza delle agenzie governative nella vita pubblica e privata del cittadino è vissuta come normale e ineluttabile.
La Commissione Europea ha cercato di porre parziale rimedio a questa situazione – che rimane comunque in attesa di essere governata – con le Standard Contractual Clauses for data transfers between EU and non-EU countries, che consentono di disciplinare i rapporti tra privati in modo da ritenere plausibile che il destinatario delle informazioni in territorio extra-europeo si impegni a garantire lo stesso livello di riservatezza accordato dal GDPR. Le istituzioni non sembrano però tenere conto, almeno al momento, della mole di informazioni che si muove in canali ben diversi da quelli tradizionali, come i segnali generati dagli apparati di varia natura appartenenti alla categoria dell’Internet of Things.
La giornata tipo dei dati del comune cittadino
Impianti d’allarme, sensori, termocamere – e anche lavatrici, smart TV, impianti dei videocitofoni, cornici digitali e assistenti vocali – percepiscono e trasmettono quotidianamente ai server dei produttori e/o dei gestori dei relativi servizi una quantità incredibile di dati, che possono essere ricollegati agli utenti o alle persone in prossimità dei dispositivi utilizzati, oltre a venire incrociati con le informazioni provenienti da bancomat, carte di credito, sportelli automatici, biglietterie online, carte e app di fidelizzazione della clientela, smartphone, tablet e altri weareble devices.
Focalizzando l’attenzione sulla giornata tipo di un comune cittadino, è possibile stimare la quantità di informazioni che vengono trasmesse all’esterno della sua sfera di pertinenza giuridica, spesso inconsapevolmente: già durante il sonno, i parametri vitali della persona vengono rilevati dall’orologio o dal dispositivo che indossa al polso e trasmessi al cloud per la conservazione. Al momento di alzarsi, un dispositivo elettronico o un assistente vocale rilevano l’attività di spegnimento della sveglia, mentre i sensori dell’impianto di allarme o di domotica percepiscono i movimenti all’interno dell’abitazione, attivando il relativo cambio di scenario.
La vita quotidiana inizia con la consultazione delle news, dei messaggi di posta elettronica e dei social network attraverso lo smartphone, che registra anche, grazie al GPS integrato, l’uscita di casa e il tragitto verso il luogo di lavoro, fermate intermedie incluse.
Molti dipendenti utilizzano sul lavoro app per la rilevazione delle presenze, che stanno rapidamente sostituendo il vecchio badge, o fanno ricorso al wallet dello smartphone per memorizzare le tessere delle società di trasporti pubblici. Chi utilizza un’autovettura si collega, nel momento dell’accensione, al sistema di entertainment del veicolo, che a sua volta è connesso ai server dell’azienda produttrice per l’aggiornamento delle centraline e la rilevazione dei parametri di funzionamento (o malfunzionamento) dell’auto.
Durante il tragitto, il telepass o altre app dedicate provvedono al pagamento degli ecopass urbani, dei pedaggi e dei parcheggi. Tutti i dati transitano sui server delle società finanziarie e degli istituti di credito che erogano i servizi di pagamento, per poi essere indirizzati verso i database delle società di gestione. Nel frattempo, gli utenti utilizzano gli assistenti vocali di computer, smartphone, tablet e hub intelligenti – che monitorano le conversazioni alla ricerca di parole chiave per l’attivazione dei servizi – senza avere idea della destinazione dei dati, della loro eventuale memorizzazione e del tipo di analisi eseguita su quanto captato.
L’uso del bancomat o della carta di credito, assieme ai flussi dell’Internet banking e del conto corrente, consente di analizzare redditi, spese e comportamenti dell’individuo, mentre le fidelity card o le app di coinvolgimento della clientela consentono di approfondire gusti e abitudini dei singoli utilizzatori e delle loro famiglie. A tutto questo, si può facilmente aggiungere la mole di informazioni ricavabile dalle immagini delle telecamere di sorveglianza, pubbliche e private, e dai dati sul traffico e sulla posizione provenienti dallo smartphone, che possono venire utilizzati per rilevare con chi ha parlato o si è incontrato il proprietario del dispositivo.
Meccanismi di sicurezza cercasi
Da quanto detto, è evidente come il problema della liquidità e fragilità della vita digitale dei singoli sia oltremodo attuale: il cittadino medio è anestetizzato dai colori accattivanti e dal coinvolgimento di giochi e servizi, ma i titolari delle aziende – che ricoprono anche il ruolo di responsabili del trattamento dei dati personali – hanno una responsabilità crescente nel settore della conservazione e analisi dei dati, con particolare riferimento alla protezione delle informazioni da aggressioni esterne.
Il mercato è invaso da prodotti a basso costo, che non offrono alcuna garanzia di protezione immediata o proiettata nel futuro, visto che i prezzi accattivanti che ingolosiscono consumatori e installatori impediscono ai produttori di curare la progettazione e l’aggiornamento degli apparati e dei firmware per impedire la rilevazione e la trasmissione delle informazioni. Il problema non è di poca rilevanza, poiché un sistema di allarme o di monitoraggio, pur progettato egregiamente dall’installatore, potrebbe presentare una falla nella sicurezza a causa di un singolo dispositivo non adeguatamente protetto (il cosiddetto anello debole della catena).
Per questo motivo, nella Pubblica Amministrazione è stata costituita recentemente l’Agenzia per la Cybersecurity Nazionale, che si avvale di laboratori di certificazione accreditati per verificare la qualità dei prodotti offerti alle infrastrutture critiche del panorama nazionale, assicurando un livello di sicurezza elevato e un altrettanto elevato grado di affidabilità del produttore.
Nei prossimi anni si perverrà probabilmente anche all’adozione di standard di certificazione finalizzati alla semplificazione dei processi di accreditamento, così che i produttori possano autonomamente organizzarsi per presentare all’agenzia intere classi di prodotti già idonei al mercato delle infrastrutture critiche.
