LA RIFLESSIONE

Privacy vulnerabile e il nodo del consenso: il quadro attuale e le abitudini da cambiare

Il nostro quotidiano è talmente dipendente dalla mole di servizi digitali che abbiamo accettato l’utilizzo dei nostri dati anche senza il consenso al trattamento per finalità diverse da quelle dichiarate. E poiché i dati sono gestiti da sistemi informatici, la privacy potrebbe essere vulnerabile. Ecco con quali conseguenze

26 Mag 2020
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder


La tutela dei nostri dati è sicuramente un tema di estrema attualità, un aspetto che coinvolge ognuno di noi: la questione è se in questo nostro mondo iperconnesso e virtuale esiste ancora il concetto di privacy, almeno quello attuale che tutti noi oggi conosciamo, e se non è forse giunto il momento di rivedere il modello di protezione dati basato sul consenso al trattamento.

Privacy vulnerabile e il nodo del consenso: lo scenario

La nostra vita è connessa e iperconnessa. La nostra quotidianità è digitale, la tecnologia è diventata parte integrante ed essenziale della nostra vita.

In ogni nostro istante affidiamo i nostri dati a motori di ricerca come Google, a sistemi come Apple, Social network, e-commerce, e-mail, applicazioni, mobile app, servizi online di ogni genere e tanto altro ancora. In parallelo usiamo sistemi di intelligenza artificiale, sistemi di machine learning, IoT, IoX. Tutti “oggetti” e “sistemi” che forniscono le nostre informazioni a soggetti terzi che trattano le nostre informazioni e le elaborano per essere più efficaci ed efficienti al fine di garantire a noi stessi un servizio migliore, un servizio che sia Taylor Made.

Abbiamo costruito un mondo virtuale che ha assunto le modalità di interazione del bar sotto casa nostra o del nostro ristorante preferito. Entri e senti: “Ciao Piero, il solito?”.

Questo livello di sofisticazione del servizio è stato possibile solo grazie alle informazioni e ai dati che abbiamo concesso. Abbiamo fornito il nostro consenso per le finalità che sono state indicate da ogni servizio.

Questo schema è perfetto, ma in un mondo ideale. Le realtà ci racconta una storia diversa.

Oggi tutti i nostri dati sono ormai da tempo disponibili pubblicamente e semi-pubblicamente con o senza il nostro consenso.

Il consenso privacy per garantirci la quotidianità digitale

L’app di tracciamento italiana anti pandemia, Immuni, ha generato una discussione che a tratti e a volte è degenerata in polemica. Il fulcro della discussione sono i nostri dati e informazioni. Le domande che ci siamo posti hanno riguardato le finalità e le modalità di trattamento per sfociare infine in argomentazioni prettamente tecniche relative all’architettura tecnologica, ai canali di comunicazione ai database.

Se il coronavirus ci ha fatti diventare tutti virologi, Immuni ci ha trasformato tutti in esperti di tecnologica. Ma non tutto il male viene per nuocere, queste discussioni aiutano e ci aiutano a proseguire per quel processo di digitalizzazione del Paese.

Premetto che la discussione e le levate di scudi che sono portate avanti hanno permesso o obbligato il Governo a delle riflessioni e revisioni delle modalità di utilizzo della stessa applicazione. Ma non possiamo nascondere un aspetto. Man mano che la discussione, la polemica e in alcuni casi il complotto si infiammava, il fulcro principale di tutto lentamente svaniva. L’aspetto privacy, i nostri dati, da protagonisti sono diventati comparse.

Una sceneggiatura che non è nuova. Abbiamo già vissuto esperienze simili se non identiche. Il monito corretto e giusto dei paladini del GDPR che hanno infervorato le folle ma poi, alla fine, il tutto è stato assorbito dalla nostra quotidiana vita digitale.

On demand
Il racconto di Carlo Cottarelli e Brunello Cucinelli. Rivivi il Think Digital Summit
Cloud
Risorse Umane/Organizzazione

Consapevoli che i nostri dati sono la merce di scambio, continuiamo a dare il nostro consenso perché vogliamo essere coccolati e ricevere servizi dedicati con un semplice clic.

È solo del 2018 il caso di Cambridge Analytica che ha sollevato la questione del “potere delle informazioni”. Il problema è stato risolto? No.

Se cerchiamo su Google “data brokers List” potremmo scoprire che stiamo parlando di un mercato presente, attivo e fiorente. Come potrebbe esistere legalmente questo mercato se non ci fossero i dati?

Solo un anno fa ci siamo “accorti” che Google aveva e ha a disposizione una mole enorme di dati relativamente alle nostre attività svolte sulle sue app, servizi di geolocalizzazione e vari (basta verificarlo accedendo a qualsiasi applicazione Google e cliccare in basso a destra nella schermata principale su Ultima attività/Dettagli). Per coerenza non dovremmo più utilizzare il più grande motore di ricerca. Ma sappiamo tutti che non è così.

Sono tante, continue e periodiche le crociate privacy contro i vari social network capeggiati da Facebook. Il risultato? Secondo Datareportal, gli utenti dei social media attivi a inizio 2020 hanno superato i 3,8 miliardi con un incremento di oltre il 9% rispetto al 2019 (321 milioni di utenti). A questo dato aggiungiamo che nuovi social stanno nascendo e prosperando: uno su tutti TikTok.

Il servizio prevale sul non consenso privacy

Scegliere di pagare con i nostri dati i vari servizi gratuiti e non, di fatto, rientra nel nostro libero arbitrio. Abbiamo scelto liberamente di accettare queste finalità di trattamento. Una nostra decisione, mettiamo a disposizione i dati personali nostri e dei nostri cari a soggetti terzi, per garantirci la nostra quotidianità digitale. Abbiamo la necessità di rimanere connessi e iperconnessi.

Ma cosa succede se le terze parti, proprietari dei servizi, utilizzano le nostre informazioni per finalità di trattamento a cui non abbiamo dato il consenso? Smettiamo di utilizzare questi servizi? Assolutamente no, come è stato dimostrato in questi anni.

Solo qualche mese fa Zoom è stato nell’occhio del ciclone per aver condiviso i dati direttamente con Facebook ad insaputa degli utenti, non c’era alcun consenso. La criticità è stata risolta con un aggiornamento e noi tutti continuiamo ad usarlo per le nostre videocall.

Facebook è stata protagonista di diversi casi come quello di Zoom. Quasi due anni fa, secondo il New York Time, ha condiviso i dati personali degli utenti con oltre 60 brand di smartphone, sempre ad insaputa degli utenti.

Un anno fa Amazon ha dichiarato che archiviava e conservava indefinitamente le trascrizioni testuali delle registrazioni vocali degli utenti di Alexa. Sapete qual è il leader di mercato degli Home Assistant?

Nonostante le tante “voci” sui prodotti Huawei, a questo punto non dovrebbe stupire scoprire che secondo la piattaforma di benchmark Master Lu, Huawei guida la classifica smartphone dei brand più venduti con il 18,51% delle quote di mercato nel primo trimestre del 2020.

Questi sono solo alcuni dei casi in cui le terze parti a cui abbiamo affidato i dati hanno deliberatamente trattato le nostre informazioni per finalità diverse a quelle del consenso che abbiamo fornito. Ci siamo indignati? Abbiamo boicottato queste piattaforme?

Il nostro quotidiano è talmente dipendente da questa mole di servizi digitali che abbiamo accettato questi comportamenti: l’utilizzo dei nostri dati anche senza il nostro consenso al trattamento per finalità diverse da quelle dichiarate.

La privacy vulnerabile

La questione privacy non è solo una pura questione di consenso o non consenso al trattamento. I nostri dati sono gestiti da sistemi informatici.

Potrebbe accadere che per un errore umano vengano esposti interi database aziendali. Database con i nostri dati. Dati che abbiamo consegnato con il nostro consenso a soggetti terzi con la garanzia che vengano tutelati in maniera “adeguata”.

Solo qualche giorno fa la notizia che oltre 22 milioni di data record relativi a numeri di telefono, nome utente, password, account di social media sono stati resi pubblici. Oltre 90GB di informazioni personali. È o era il DB dell’azienda Covve, una piattaforma che scansiona e digitalizza i biglietti da visita.

Alcune volte potrebbero esserci errori di configurazione o architettura dei sistemi che gestiscono i nostri dati. È il caso di Firebase, una piattaforma di sviluppo di applicazioni Web e App Mobili. Una settimana fa, l’azienda Comparitech ha scoperto che il 4,8% delle app mobili che utilizzano Firebase, per archiviare i dati, non sono sicure. È stata identificata una vulnerabilità che permette a terzi malintenzionati di accedere ai database contenenti le informazioni personali degli utenti. Stiamo parlando dei dati degli utenti che si sono registrati e dato il consenso al trattamento di circa 4.000 applicazioni mobile presenti su Google Play.

In altri casi le misure di sicurezza adottate dai proprietari dei servizi per proteggere le nostre informazioni potrebbero non essere adeguate. È solo di qualche giorno fa la notizia di EasyJet che ha subito un data breach che ha coinvolto oltre 9 milioni di dati di utenti.

Non credo ci siano dubbi che il mondo del cyber crime sia interessato ai nostri dati. Per avere la dimensione del fenomeno, lo studio condotto da Varonis dichiara che ogni giorno vengono compromessi circa 7 milioni di record di dati. Quest’anno potremmo avere circa 2,55 miliardi di dati compromessi. Stiamo parlando dei nostri dati che sono e saranno disponibili pubblicamente con o senza il nostro consenso.

Il paradosso della privacy

La tecnologia non è più parte integrante del nostro quotidiano: è il nostro quotidiano. La dipendenza che si è venuta a creare ci ha obbligato a sacrificare i nostri dati, i nostri interessi, le nostre informazioni per un bene che la società e noi stessi di fatto consideriamo superiore. L’essere connessi e far parte di un mondo virtuale iperconnesso. Un mondo one clic.

Stiamo vivendo un periodo di pesanti e forti cambiamenti a livello sociale, digitale e business. Nel vortice di questo cambiamento, quello che consideravamo normalità è ormai il passato. È forse opportuno rivedere il concetto di privacy che siamo abituati a conoscere?

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

La privacy è morta, lunga vita alla privacy.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5