Dal punto di vista generale, della protezione dello spazio cibernetico nazionale, si puó percepire l’Internet of Things, come una fonte di grave pericolo concreto per la sicurezza delle istituzioni, dei servizi essenziali e della stessa esistenza della democrazia di un Paese.
Si tratta, in buona sostanza, in un’ottica militare, di un vero e proprio esercito di dispositivi, collegati ad Internet, solo relativamente presidiati da adeguate ed efficaci misure di sicurezza, in grado di generare traffico telematico, indirizzabile a piacimento verso un qualsiasi bersaglio.
Per comprendere nella loro attualità la portata delle affermazioni appena riferite che, ad un approccio superficiale, potrebbero sembrare sproporzionate, mi pare sufficiente considerare le dinamiche relative al recente attacco DDos (Distributed Denial of Services) messo a segno lo scorso Ottobre, attraverso DynDNS un Provider di connettività, nei confronti di alcuni dei maggiori player del mercato Web Statunitense, tra i quali Amazon, Spotify, Netflix Twitter ed altri.
Ció che in realtá maggiormente colpisce della vicenda, è il fatto che, come è noto, l’attacco sia stato, sferrato sfruttando le vulnerabilità proprie, ed in particolare la debolezza delle password di default, non modificate dagli utenti, di alcuni dispositivi interconnessi, in particolare, video camere di sicurezza, in precedenza infettati con il Malware Mirai.
Valga il vero, sin dal 10 settembre 2015, quindi ben un anno prima del verificarsi dell’attacco, l’Internet Crime Compliant center (IC3) del Federal Bureau of Investigation (FBI), istituito presso il Dipartimento di Giustizia degli Stati Uniti d’America, aveva diffuso uno specifico avviso di allerta, il Nr. I-091015-PSA, dal titolo “Internet of Things poses opportunities for Cyber Crime”, nel quale, prefigurava, tra gli scenari possibili, proprio quello che si poi si è verificato con la violazione del protocollo UPnP (Universal Plug and Play Protocol) utilizzato dalle telecamere di sicurezza.
IoT & Privacy.
Ma non è solo questo ció che preoccupa.
Come sopra accennato, accanto alla lesione di beni superindividuali, un uso sconsiderato, indiscriminato e di certo illecito, della tecnologia correlata all’Internet of Things, può condurre, nell’attuale quadro normativo europeo in materia di Data Protection, alla violazione, anche dei diritti dei singoli individui, mettendo a rischio la salvaguardia dell’anonimato e della vita privata.
In argomento, si puó leggere, nel testo del Parere nr. 8 del 16 settembre 2014, in materia di “Recenti sviluppi nel campo dell’Internet degli oggetti” del Gruppo Europeo dei Garanti per la Protezione dei Dati Personali, a conferma di quanto appena detto, che: “lo sviluppo dell’IoT pone chiaramente nuove sfide importanti connesse alla protezione dei dati personali e alla vita privata, infatti alcuni sviluppi dell’IoT, se incontrollati, possono spingersi fino a sviluppare una forma di sorveglianza delle persone che può essere considerata illegale ai sensi della legislazione dell’UE.
In particolare, nel Parere menzionato, vengono presi in considerazione tre specifici ambiti tecnologici riferibili al piú ampio contesto IoT, vale a dire: il Wereable Computing, gli oggetti Quantified Self e la Domotica.
Le preoccupazioni riguardano, in particolare, il fatto che l’aumento della mole di dati generato dall’IoT in combinazione con le tecniche moderne di analisi e controllo incrociato dei dati, attuabili mediante applicazioni di Machine Learning o Artificial Intelligence, possono portare a usi secondari di questi dati, relativi o meno, ed in alcuni casi del tutto estranei, allo scopo assegnato al trattamento originario.
IoT & Data Protection.
Ad esempio gli oggetti indossabili (Wereable), tenuti molto vicino agli interessati, rendono disponibili, nell’ambito di quella che si definisce PAN (Personal Area Network), della quale ci siamo occupati negli scorsi numeri, una serie di altri identificativi, quali indirizzi MAC di altri dispositivi, numeri IP, tipologia dei sistemi operativi impiegati, applicazioni in uso, che potrebbero essere utili per generare un Device Fingerprint (“impronta digitale del dispositivo”) che può permettere anche l’identificazione non autorizzata dell’interessato.
In altre parole, la raccolta di vari indirizzi MAC provenienti da vari sensori agevola la creazione di fingerprint uniche e di identificativi stabili che i portatori di interessi dell’IoT potranno attribuire a persone specifiche, trasformando, di fatto, mediante aggregazione e raffronto, dati anonimi in dati che anonimi non sono, che potrebbero essere utilizzati per vari scopi, compresa la location analytics o l’analisi degli spostamenti di gruppi di persone e di singoli individui.
Device Fingerpriting e GDPR.
Il tema del Device Fingerprinting e gli impatti che sistemi sempre più evoluti di profilazione hanno e potranno avere sul diritto alla protezione dei dati personali degli individui cui i relativi dati si riferiscono era stato oggetto di un ulteriore specifico Parere del Gruppo Europeo dei Garanti per la Protezione dei Dati Personali già nel 2014.
In tale occasione il Gruppo, con il Parere nr. 9 aveva avuto modo di precisare che varie informazioni possono essere combinate per fornire un insieme di dati che sia sufficientemente univoco per fungere da fingerprint univoco del dispositivo e costituire una alternativa “nascosta” per monitorare il comportamento su Internet di un utente nel tempo.
Conclusioni: Thinking Things.
Le osservazioni svolte consentono di formulare almeno una considerazione che ritengo importante nell’ottica di sviluppare, negli utenti, quel minimo di consapevolezza necessaria ad evitare, da un lato, l’arbitraria compromissione di diritti aventi rango costituzionale e, dall’altro, l’inopinato coinvolgimento in vicende giudiziarie correlate all’impiego illecito delle tecnologie descritte da parte di terzi.
Mi riferisco, in particolare alla necessità di un approccio più prudente all’impiego di strumenti tecnologici che, in quanto dotati di logica software, svolgono, almeno a livello embrionale, una vera e propria attività di pensiero, che non sempre corrisponde alla volontà ed al pensiero del loro proprietario.
