Se è ormai diffusa una certa sensibilità nell’opinione pubblica rispetto al trattamento dei dati personali effettuato da enti o imprese, si fa ancora poca attenzione ad altri problemi che stanno emergendo a causa della capillare diffusione di dispositivi in tutti gli ambiti della vita quotidiana e, in particolar modo, nelle abitazioni. C’è diffidenza, in alcuni casi, o indifferenza, in molti altri, di fronte a una possibile sorveglianza da parte di agenti di mercato che, tramite i dispositivi che usiamo, raccolgono informazioni sulle nostre abitudini; ma cosa succede se sono le persone a noi vicine, magari anche un familiare, che sfruttano gli oggetti intelligenti che ci circondano per avere un controllo sulla nostra vita e sanità psicologica?
Domotica smart, quello che i consumatori non sanno: così ci giochiamo privacy e sicurezza
IoT come veicolo di abuso domestico
Parlando di “dispositivi intelligenti” oggi non è più possibile pensare al solo smartphone: lo sviluppo dell’Internet of Things (IoT) ha “dato voce” a moltissimi oggetti che fino a poco tempo fa non potevano certo “parlare” con il mondo esterno né, tantomeno, tra loro. Nel 2021 gli elettrodomestici possono essere interconnessi: è già da un po’ che si trovano in giro frigoriferi intelligenti, termostati intelligenti, perfino materassi intelligenti, e tutta una miriade di dispositivi che comunicano con noi, tra loro ed eventualmente anche con altri, trattando costantemente dati personali strettamente attinenti alla nostra sfera privata, visto che riguardano ciò che facciamo nelle nostre case o, peggio, informazioni relative alla nostra fisiologia (si pensi a un materasso intelligente che monitora il battito cardiaco e la qualità del sonno). È chiaro che tutti questi dati, se non correttamente anonimizzati (ammesso che sia possibile, per l’IoT, parlare di anonimizzazione!), possono diventare uno strumento pericoloso in mano a grandi compagnie che sfruttano la profilazione per influenzare le scelte delle persone (e non solo nel contesto economico: si pensi al famigerato caso Cambridge Analytica). Ma questi sono discorsi ormai noti, per cui già da tempo sono state approntate dovute precauzioni, più o meno efficaci. Tuttavia, i dispositivi IoT e, in generale, gli oggetti smart (parliamo anche degli oggetti “wearable”, come gli smartwatch, ma anche dei “semplici” smartphone) aprono le porte della nostra sfera privata anche ad altri soggetti, come cybercriminali e hacker; o, peggio ancora, le mantengono spalancate per altri che, invece, vorremmo escludere dopo averli accolti all’interno delle nostre case.
Pensiamo a un partner abusivo, in una relazione tossica, da cui un soggetto fa fatica a emanciparsi; aggiungiamo a questa situazione la possibilità di creare e mantenere account condivisi per l’accesso a servizi digitali, quella di controllare a distanza ciò che avviene all’interno dell’abitazione, o di seguire costantemente i movimenti di una persona tramite gps; è evidente che il risultato può essere piuttosto inquietante. Oggi un partner abusivo ha la possibilità di sfruttare molti più strumenti rispetto a quelli che esistevano anche solo dieci anni fa; già abbiamo assistito alla “trasmigrazione” di molti comportamenti criminali verso il contesto digitale come, ad esempio, nel caso dello stalking, che diventa in sempre più casi “cyberstalking”, o in quello del “deep porn”, un revenge porn rafforzato dalla creazione artificiale dei video tramite tecnologie di deep fake. La diffusione della domotica deve fare i conti anche con questo aspetto. In alcuni casi, ad esempio, un semplice termostato intelligente può essere utilizzato per comportamenti intimidatori e abusivi, se controllato da remoto da un soggetto che ha intenzione di indurci in uno stato di soggezione e paura e, a tal fine, regola la temperatura della nostra casa in modo da crearci dei disagi. Altre volte, invece, le telecamere inserite di default in alcuni dispositivi smart possono essere usate per osservarci anche quando non vogliamo, come è avvenuto nel Regno Unito dove un uomo è stato condannato per stalking per aver spiato la ex moglie, hackerando il sistema di telecamere smart della casa che un tempo condividevano. Oggi esistono perfino delle app create appositamente per finalità di stalking, i cosiddetti “stalkerware”.
Sicurezza by design
Il progresso tecnologico e la digitalizzazione della società non sono fenomeni negativi in sé, anzi, possono portare a degli indubbi benefici per la vita quotidiana di tutti gli individui. Tuttavia, è fondamentale avere piena consapevolezza dei rischi posti dalle nuove tecnologie e delle possibili soluzioni, per evitare di trovarsi in situazioni in cui i propri dispositivi si ritorcono contro di noi, ad esempio impedendoci l’emancipazione da un partner abusivo, fornendogli il pieno controllo sulla nostra casa e la possibilità di seguire ogni nostro spostamento tramite gps.
Ricerca, condividere i dati rispettando la privacy: come fare
Per questo, come si è detto in apertura, la normativa a tutela dei dati personali non basta. È necessario, invece, concentrarsi sulla sicurezza dei dispositivi. In fondo, come si impedisce l’accesso a un hacker che ha carpito la nostra password, si può bloccare l’attività di un partner abusivo. L’importante è conoscere a fondo le tecnologie che ci circondano, e avere – o riprendere – il pieno controllo su di esse.
Un esempio interessante lo troviamo nel Regno Unito, dove già nel 2018 il governo ha emanato il “Code of Practice for consumer IoT security”, nel quale sono indicate alcune misure pratiche che devono essere seguite dagli sviluppatori nella produzione di oggetti di IoT o prodotti a essi associati. L’ottica è quella di introdurre una “sicurezza by design”, ossia spostare l’onere di occuparsi della sicurezza del dispositivo dal consumatore al produttore stesso, che deve implementare misure di protezione durante la progettazione. Tale obiettivo deve essere raggiunto introducendo alcune misure di sicurezza: tra queste troviamo l’assenza di password inserite di default dal produttore (che molti utenti non cambiano), la possibilità per gli utenti di segnalare al produttore eventuali elementi di vulnerabilità, l’obbligo di garantire periodici aggiornamenti di sicurezza e comunicare prima della vendita del prodotto quando non verranno più prodotti aggiornamenti per quel dispositivo, oltre che la possibilità di conservare le credenziali e i dati nel dispositivo in un modo sicuro e assicurare la crittografia dei dati nel momento in cui vengono trasferiti. Deve essere inoltre resa facile per l’utente la cancellazione dei propri dati personali e la manutenzione del dispositivo, che deve essere resiliente per i casi di blackout e interruzioni e i cui dati telemetrici (se raccolti) devono essere monitorati per individuare eventuali anomalie di sicurezza.
Elementi di questo codice di condotta britannico potrebbero essere incorporati in un vero e proprio atto legislativo: il governo del Regno Unito sta pianificando una nuova legge sulla cybersecurity a partire dalle indicazioni già fornite agli operatori nel 2018, che non si fermerà all’IoT ma ricomprenderà anche gli smartphone.
Al di là delle leggi: precauzioni di base per la sicurezza dei dispositivi
Per quanto una obbligazione giuridica per i produttori di inserire elementi di sicurezza by design nei dispositivi sia certamente auspicabile, vi sono anche alcuni semplici accorgimenti che possono essere messi in atto da tutti per evitare di trovarsi in situazioni in cui i propri oggetti digitali contribuiscono ad abusi domestici.
Innanzitutto, è importante essere consapevoli di quali e quanti dei dispositivi che ci circondano possono aprire le porte della nostra sfera privata ad altri soggetti, capendo in quali casi e in che modo i nostri dati personali vengono trattati dagli oggetti tecnologici che possediamo. In questo modo sapremo, ad esempio, se portare con noi il nostro smartphone può consentire al nostro ex di seguire gli spostamenti che facciamo, accedendo ai dati del gps del telefono; ma anche se le telecamere di videosorveglianza possono essere controllate a distanza da un marito geloso, spiando le conversazioni che avvengono in casa quando lui è assente. La consapevolezza ci dà la possibilità di scegliere se usare o meno quegli oggetti, se averli con noi in determinati momenti, se e quando spegnerli e se le precauzioni che stiamo prendendo sono sufficienti a impedire eventuali abusi. In alcuni casi anche banali malfunzionamenti dello smartphone, come la batteria che si scarica troppo in fretta, possono essere campanelli d’allarme che ci segnalano la presenza di app di stalkerware o altri software spia.
Altre buone prassi di sicurezza piuttosto semplici, evidenziate anche dal codice di condotta inglese, sono il periodico aggiornamento e il cambio frequente delle credenziali di accesso, possibilmente utilizzando meccanismi di autenticazione a due fattori. Per quanto riguarda lo smartphone, è importante controllare quali app siano installate e le varie impostazioni sul trattamento dei dati personali, ad esempio verificando se il gps è attivo.
Conclusioni
Il progressivo aumento di dispositivi digitali interconnessi che in media vengono usati dalle persone, non solo nel contesto lavorativo ma anche nella propria sfera privata quotidiana, ha messo già da tempo in allarme le istituzioni e il legislatore europeo per quanto riguarda la tutela della privacy degli individui. Tuttavia, come detto, l’attenzione in questo contesto si è focalizzata sulla protezione da ingerenze nella sfera privata delle persone da parte delle grandi compagnie dei “Big Data”, o comunque di attori del mercato interessati a sfruttare le informazioni carpite dai dispositivi per scopi di profitto. Lo stesso Regolamento europeo sulla protezione dei dati personali n. 679/2016 (il cosiddetto “GDPR”) non si applica alle persone fisiche che trattano dati per l’esercizio di attività esclusivamente personali e domestiche (articolo 2 paragrafo 2 lettera c del GDPR).
Ma anche nel GDPR la cybersecurity ricopre un ruolo centrale, ad esempio nella disciplina del data breach. Il passo ulteriore, in questo contesto, deve essere fatto nella direzione di proteggerci non solo da soggetti esterni, ma anche da eventuali comportamenti abusivi di quelli interni alla nostra cerchia più intima. Qui la legge si ferma e cede il passo alla consapevolezza e alle buone prassi, finché l’abuso non sfocia in comportamenti penalmente rilevanti. È necessario quindi sensibilizzare sul tema della protezione della privacy anche a prescindere dallo sfruttamento economico dei dati personali, pensando a come le informazioni su di noi possano fornire agli altri il potere di influenzarci anche nella nostra sfera più intima o, più semplicemente, di seguirci e imporci un costante senso di angoscia e sottomissione. Pensiamo al caso del termostato intelligente che viene riprogrammato a distanza per diffondere aria calda in casa d’estate, creando disagi per chi in quella casa ci vive, o all’impianto di videosorveglianza che consente a un ex che ne conosca la password di ascoltare quello che diciamo e osservare ciò che facciamo. Ricordiamoci che i dispositivi di cui ci circondiamo sono delle porte, che se lasciate aperte per chi non è più gradito possono consentirgli di tornare a importunarci, o peggio. Siamo consapevoli che le nostre disattenzioni sulla sicurezza dei dati personali trattati dagli oggetti di IoT presenti nella nostra abitazione possono mettere a rischio anche gli altri che ci vivono con noi, o chi ci viene a trovare.
La tutela della privacy è un valore che si pone alla base della protezione di altri diritti fondamentali come, ad esempio, della libertà, ma anche della sicurezza.
