Il tema della sicurezza dei dispositivi del cosiddetto Internet delle Cose (IoT) è centrale in Europa e a livello globale.
La ricerca avanza spedita e sia nella Ue che negli Usa e in Asia si sono adottate normative volte a garantire la riservatezza dei dati e la sicurezza dei sistemi, ma la vera domanda da porsi è se tali novità introdotte sul piano legislativo siano sufficienti a dare un’adeguata risposta alle problematiche poste da tale fenomeno.
Cos’è l’Internet delle cose
Giova ricordare che per IoT si intende quell’insieme di apparecchiature e strumenti tecnologici smart collegati a internet e dotati di un software che gli consente di scambiare dati con altri oggetti connessi. Gli esempi possono essere diversi: si va dalle automobili alle aspirapolvere, dalle telecamere agli strumenti per il fitness, fino ad arrivare anche ad apparecchi e misuratori di natura medica. Le previsione parlano di circa 20 miliardi di dispositivi connessi a internet entro il 2020.
L’elemento che accomuna tutti questi dispositivi è dato dall’utilizzo quotidiano di essi da parte dei consumatori, i quali, attirati dall’innovatività e dalle numerose funzionalità di cui tali tecnologie sono dotate, spesso sottovalutano gli aspetti legati alla sicurezza sia fisica che informatica: ciò che preoccupa non è solo l’aspetto legato alla raccolta di dati, alla loro condivisione e manomissione da parte di terzi, ma anche l’eventualità che tali oggetti possano essere controllati e gestiti da remoto da parte di soggetti malintenzionati.
Le maggiori criticità legate all’IoT
Sulla base dello studio presentato durante il convegno “Winter is coming: ability to react”, le maggiori criticità legate all’Iot sono date dalla mancanza di una logica di security by design (sulla base del 73 % del campione), dalla scarsa consapevolezza di tali problematiche da parte degli utenti (58 %) e dall’assenza di standard tecnologici e di sicurezza (53 %). Occorre interrogarsi, infatti, se sia eticamente e giuridicamente corretto sacrificare le esigenze di riservatezza e di sicurezza degli utenti in nome dell’evoluzione tecnologica, nonché se sia opportuno coinvolgere le aziende produttrici in un processo di responsabilizzazione circa il trattamento dei dati personali raccolti e le finalità del loro utilizzo.
In tal senso, di notevole importanza è stato l’intervento regolatore elaborato dall’Unione Europea con il “General Data Protection Regulation” (GDPR), con il quale si introducono dei concetti chiave nell’ottica di colmare il vuoto normativo sulla materia con l’obiettivo di conferirle una disciplina chiara e organica.
I principi di security e privacy by design
Il regolamento, infatti, si fonda sul principio del “security by design” imponendo ai produttori dei dispositivi di concentrarsi sugli aspetti relativi alla sicurezza già in fase di progettazione e realizzazione e non in seguito alla loro commercializzazione. A presidio di questo nuovo processo di responsabilizzazione (cosìddetta “accountability”) viene prevista una sanzione quantificata in una multa di misura non superiore al 4 % del fatturato annuo dell’azienda titolare del trattamento dei dati nel caso in cui si verifichi un data breach che comporti la divulgazione dei dati personali degli utenti e l’azienda non osservi i relativi obblighi di comunicazione.
Altro elemento fondante del GDPR è quello del “privacy by design”, che risponde alla sempre più incessante richiesta dei consumatori di protezione dei propri dati personali, con il quale il Titolare viene coinvolto già nelle fasi preliminari del trattamento, dovendo peraltro dimostrare la propria compliance al regolamento europeo e la piena considerazione della protezione dei dati personali dell’utente già in fase di disegno e progettazione, ponendo così un argine decisivo e fondamentale alla pratica diffusa per cui le aziende tendono a valorizzare questo tema solo nelle fasi successive all’immissione nel mercato dei prodotti.
Gli ambiti di ricerca Ue e le iniziative internazionali
In Europa sono stati avviati altri programmi e progetti di ricerca mirati a sensibilizzare il tema della sicurezza nell’uso dei dispositivi IoT. Fra questi si possono annoverare il programma avviato da ENISA dedicato alla realizzazione di linee guida in tema di sicurezza di infrastrutture critiche basate su tecnologie Iot nel settore automobilistico, nelle case e nelle smart city. Nell’ambito dei progetti di ricerca, la Commissione Europea ha finanziato il progetto USEIT finalizzato allo sviluppo di nuovi algoritmi di crittografia, linguaggi di policy e strumenti di sicurezza a tutela dell’utente dei dispositivi IoT con l’obiettivo di garantire ad esso un accesso riservato e sicuro. Di peculiare importanza è, inoltre, il programma IOTUK che vuole incentivare l’utilizzo di dispositivi IoT di elevata qualità in ambito sanitario, industriale e nelle smart cities e, in aggiunta, mira ad agevolare delle iniziative di cooperazione tra aziende, start-up e laboratori di ricerca.
L’attenzione al tema riguarda, però, anche altre istituzioni e Paesi: gli Stati Uniti, infatti, si sono contraddistinti per una forte attenzione alle problematiche poste dall’utilizzo di tali tecnologie. In primo luogo, il NIST ha elaborato il cosiddetto “Nist Cybersecurity for Iot Program” finalizzato alla produzione di nuovi standard e linee guida per potenziare la cybersecurity dei dispositivi Iot e degli ambienti in cui essi vengono inseriti. Analoga attenzione al tema nell’ambito, però, degli spazi o beni pubblici è stata posta dal Dipartimento di Tecnologia e Innovazione della Città di New York che ha realizzato un progetto di ricerca con la collaborazione di organizzazioni pubbliche e private con l’obiettivo di fornire delle linee guida nell’utilizzo di quei dispositivi Iot dal cui utilizzo possano scaturire degli effetti su spazi pubblici.
In ordine cronologico, l’ultimo atto dedicato al fenomeno dell’Iot risale allo scorso 11 marzo, quando il Congresso statunitense ha introdotto “The IoT Cybersecurity Improvement Act of 2019” il cui obiettivo è quello di sfruttare il potere di approvvigionamento del governo federale per incoraggiare una maggiore sicurezza dei dispositivi Iot. La legge mira a far fronte a questa minaccia sfruttando il notevole potere d’acquisto del governo degli Stati Uniti spingendo i produttori a costruire dei dispositivi sicuri già a partire dalla fase di progettazione. Per realizzare tale obiettivo è necessaria, però, la cooperazione fra il NIST, l’OMB (Office of management and budget), agenzie governative, ricercatori, esperti in ambito cybersecurity e fornitori di dispositivi IoT: il NIST emette, infatti, le raccomandazioni per garantire lo sviluppo sicuro dei dispositivi, mentre l’OMB produce delle linee guida indirizzate alle agenzie governative, le quali dovrebbero essere riviste a cadenza almeno quinquennale.
Anche in Asia, l’attenzione al tema non è stata inferiore: il governo di Singapore ha, attivato, infatti, il progetto “Smart Nation” che mira al miglioramento della qualità della vita tramite le tecnologie dell’Iot, ma, al contempo, ha realizzato il programma “Singapore Cybersecurity strategy” che valorizza il tema della sicurezza al fine di dare una corretta applicazione al progetto “Smart Nation”. La Cina nel 2017 ha, invece, adottato la Cybersecurity Law che ha dato alle autorità cinesi il diritto di analizzare il codice sorgente delle tecnologie utilizzate da società straniere in Cina, con il pretesto di identificare le vulnerabilità durante le “revisioni della sicurezza nazionale” per garantire la sicurezza nazionale.
La vera domanda da porsi è se tali novità introdotte sul piano legislativo siano sufficienti a dare un’adeguata risposta alle problematiche poste da tale fenomeno. Ciò che è certo però è che con la progressiva diffusione di dispositivi IoT il tema della sicurezza sarà sempre più centrale e ciò condurrà inevitabilmente gli enti regolatori a dover dare delle risposte adeguate a un pubblico di consumatori sempre più consapevole dei risvolti positivi e negativi che l’utilizzo di tali dispositivi comporta e, per questo, sempre più dubbioso circa la diffusione dei propri dati e delle proprie informazioni personali.
