Internet of (Thinking) Things

Internet of (Thinking) Things

Uno sguardo approfondito al tema della sicurezza delle informazioni e privacy al tempo dell’Internet delle cose. Profili problematici e questioni aperte.

 

Il tema delle implicazioni legali correlate alla interconnessione massiva di dispositivi elettronici senzienti, fenomeno noto ai più con l’espressione Internet of Things (IoT), coniata per la prima volta negli Stati Uniti già nel 1999 da Kevin Ashton, può essere affrontato da molteplici prospettive, sia con riferimento a beni e diritti super individuali, di rilevanza internazionale che possono essere bersaglio o strumento di condotte illecite; sia con riferimento a beni e diritti individuali che possono essere attaccati e messi in pericolo nello stesso scenario tecnologico, ma con modalità più subdole e meno percepibili.

Cyber weapons e Internet of Things
Dal punto di vista generale della protezione dello spazio cibernetico nazionale, si puó percepire l’Internet of Things come una fonte di grave pericolo concreto per la sicurezza delle istituzioni, dei servizi essenziali e della stessa esistenza della democrazia di un Paese. Si tratta, in buona sostanza in un’ottica ‘militare’, di un vero e proprio esercito di dispositivi, collegati a Internet solo relativamente presidiati da adeguate ed efficaci misure di sicurezza, in grado di generare traffico telematico, indirizzabile a piacimento verso un qualsiasi bersaglio. Per comprendere nella loro attualità la portata delle affermazioni appena riferite, che a un approccio superficiale potrebbero sembrare sproporzionate, mi pare sufficiente considerare le dinamiche relative al recente attacco DDos (Distributed Denial of Services) messo a segno lo scorso ottobre, attraverso DynDNS (provider di connettività) nei confronti di alcuni dei maggiori player del mercato web statunitense, tra i quali Amazon, Spotify, Netflix, Twitter e altri. Ció che in realtá maggiormente colpisce della vicenda è il fatto che, come è noto, l’attacco sia stato sferrato sfruttando le vulnerabilità proprie, e in particolare la debolezza delle password di default, non modificate dagli utenti, di alcuni dispositivi interconnessi e più in particolare di video camere di sicurezza, in precedenza infettati con il malware Mirai. Valga il vero che sin dal 10 settembre 2015, quindi ben un anno prima del verificarsi dell’attacco, l’Internet Crime Compliant Center (IC3) del Federal Bureau of Investigation (FBI), istituito presso il Dipartimento di Giustizia degli Stati Uniti d’America, aveva diffuso uno specifico avviso di aller ta. Il Nr. I-091015-PSA, dal titolo “Internet of Things poses opportunities for Cyber Crime”, nel quale, prefigurava, tra gli scenari possibili, proprio quello che si poi si è verificato con la violazione del protocollo UPnP (Universal Plug and Play Protocol) utilizzato dalle telecamere di sicurezza.

Mi riferisco, in particolare alla necessità di un approccio più prudente all’impiego di strumenti tecnologici che, in quanto dotati di logica software, svolgono, almeno a livello embrionale, una vera e propria attività di pensiero che non sempre corrisponde alla volontà e al pensiero del loro proprietario.

IoT & Privacy
Ma non è solo questo ció che preoccupa. Come sopra accennato, accanto alla lesione di beni superindividuali, un uso sconsiderato, indiscriminato e di certo illecito della tecnologia correlata all’Internet of Things può condurre, nell’attuale quadro normativo europeo in materia di Data Protection, alla violazione anche dei diritti dei singoli individui, mettendo a rischio la salvaguardia dell’anonimato e della vita privata. In argomento si puó leggere nel testo del Parere nr. 8 del 16 settembre 2014, in materia di “Recenti sviluppi nel campo dell’Internet degli oggetti” del Gruppo Europeo dei Garanti per la Protezione dei Dati Personali, a conferma di quanto appena detto, che: “Lo sviluppo dell’IoT pone chiaramente nuove sfide importanti connesse alla protezione dei dati personali e alla vita privata. Infatti alcuni sviluppi dell’IoT, se incontrollati, possono spingersi fino a sviluppare una forma di sorveglianza delle persone che può essere considerata illegale ai sensi della legislazione dell’UE”. In particolare, nel Parere menzionato, vengono presi in considerazione tre specifici ambiti tecnologici riferibili al piú ampio contesto IoT, vale a dire: il wearable computing e la sua evoluzione negli oggetti ‘quantified self ’ (oggetti che misurano fenomeni individuali, esempio braccialetti conta passi, ndr) e la domotica. Le preoccupazioni riguardano, in particolare, il fatto che l’aumento della mole di dati generato dall’IoT in combinazione con le tecniche moderne di analisi e controllo incrociato dei dati, attuabili mediante applicazioni di machine learning o artificial intelligence, possono portare a usi ‘secondari’ di questi dati, relativi o meno allo scopo assegnato al trattamento originario che in alcuni casi possono risultare del tutto estranei se non addirittura impropri.

IoT & Data Protection
Per esempio gli oggetti indossabili tenuti molto vicino agli interessati rendono disponibili, nell’ambito di quella che si definisce PAN (Personal Area Network) della quale ci siamo occupati negli scorsi numeri, una serie di altri identificativi quali indirizzi MAC di altri dispositivi, numeri IP, tipologia dei sistemi operativi impiegati, applicazioni in uso, che potrebbero essere utili per generare un device fingerprint (ovvero ‘impronta digitale del dispositivo’) che può permettere anche l’identificazione non autorizzata dell’interessato. In altre parole, la raccolta di vari indirizzi MAC provenienti da vari sensori agevola la creazione di fingerprint uniche e di identificativi stabili che i portatori di interessi dell’IoT potranno attribuire a persone specifiche, trasformando, di fatto mediante aggregazione e raffronto, dati anonimi in dati che anonimi non sono, che potrebbero essere utilizzati per vari scopi, compresa la location analytics o l’analisi degli spostamenti di gruppi di persone e di singoli individui.

Device fingerpriting e GDPR
Il tema del device fingerprinting, e gli impatti che sistemi sempre più evoluti di profilazione hanno e potranno avere sul diritto alla protezione dei dati personali e degli individui a cui questi si riferiscono, era stato oggetto di un ulteriore specifico Parere del Gruppo Europeo dei Garanti per la Protezione dei Dati Personali già nel 2014. In tale occasione il Gruppo, con il Parere nr. 9 aveva avuto modo di precisare che varie informazioni possono essere combinate per fornire un insieme di dati che sia sufficientemente univoco per fungere da fingerprint univoco del dispositivo, e costituire quindi un’alternativa ‘nascosta’ per monitorare il comportamento su Internet di un utente nel tempo.

Thinking Things
Le osservazioni svolte consentono di formulare almeno una considerazione che ritengo importante nell’ottica di sviluppare negli utenti quel minimo di consapevolezza necessaria a evitare, da un lato, l’arbitraria compromissione di diritti aventi rango costituzionale e, dall’altro, l’inopinato coinvolgimento in vicende giudiziarie correlate all’impiego illecito delle tecnologie descritte da parte di terzi. Mi riferisco, in particolare alla necessità di un approccio più prudente all’impiego di strumenti tecnologici che, in quanto dotati di logica software, svolgono, almeno a livello embrionale, una vera e propria attività di pensiero che non sempre corrisponde alla volontà e al pensiero del loro proprietario.