Il caso che ha coinvolto Stefano De Martino e Caroline Tronelli, spiati e filmati attraverso le telecamere installate in un’abitazione privata, è solo l’ennesimo campanello d’allarme su un problema che va ben oltre la cronaca rosa.
Quelle immagini, trafugate e rilanciate su piattaforme social, dimostrano che la promessa di sicurezza offerta da videocamere, serrature smart, termostati connessi e assistenti vocali rischia di trasformarsi nell’esatto contrario: un’esposizione incontrollata della nostra vita più intima.
Indice degli argomenti
Quando la casa diventa una backdoor: il lato oscuro degli oggetti intelligenti
Il punto non è che una coppia famosa sia stata vittima di un hack spettacolare e gossipparo. Il punto è che migliaia di case italiane – oltre 70.000 secondo un’inchiesta recente – hanno sistemi di sorveglianza accessibili dall’esterno, senza che i proprietari ne abbiano la minima consapevolezza.
Telecamere configurate con password di default, firmware mai aggiornati, router lasciati aperti su Internet come vetrine digitali. E laddove un exploit tecnico non basta, subentrano tecniche di social engineering collaudate: un’email di phishing ben costruita è sufficiente a sottrarre le credenziali di accesso alle piattaforme cloud dei produttori, che custodiscono flussi video e archivi sensibili.
Tecnicamente non parliamo di “magie nere” informatiche: si tratta spesso di porte lasciate spalancate. Shodan e motori simili mostrano in chiaro dispositivi connessi in mezzo mondo, e l’Italia non fa eccezione.
In alcuni casi basta un browser per collegarsi a una telecamera non protetta, senza alcuna autenticazione. In altri, la debolezza sta in sistemi obsoleti che non ricevono patch di sicurezza da anni. È l’equivalente digitale di una porta blindata tenuta aperta con un fermaporta.
Il parallelo con i data breach tradizionali è evidente. Laddove Celebgate, dieci anni fa, aveva messo a nudo i limiti della protezione degli account cloud, oggi la minaccia si è spostata dentro le mura domestiche. Con una differenza sostanziale: mentre un account compromesso può essere recuperato, una diretta in tempo reale dalla camera da letto di casa non offre seconde possibilità.
Palumbo: il caso De Martino – Tronelli e le implicazioni per la privacy
Il caso De Martino – Tronelli evidenzia l’enorme squilibrio tra chi dispone di competenze e strumenti per violare un sistema di videosorveglianza e chi, dall’altra parte, utilizza queste tecnologie in modo legittimo, ma inconsapevole dei rischi reali che ne derivano.
Gli attaccanti agiscono nell’ombra, sfruttando vulnerabilità tecniche, ma sono spesso agevolati dal fatto che molti utenti non adottano neppure le più basilari misure di protezione, come cambiare le password di default.
Le vittime, così, subiscono un danno potenzialmente irreversibile alla propria sfera personale e reputazionale, senza alcuna possibilità concreta di prevenire o reagire tempestivamente.
Serve quindi una cultura della sicurezza domestica che vada oltre la semplice installazione del dispositivo e oltre le password di default, puntando su aggiornamenti costanti, configurazioni attente e un uso consapevole degli strumenti tecnologici. Solo così eviteremo che la smart home, invece di proteggerci, si trasformi in una finestra aperta sulla nostra vita privata, facilmente sfruttabile da chi agisce con finalità illecite o puramente voyeuristiche.
Il potere amministrativo del Garante Privacy
Il Garante Privacy esercita un potere amministrativo vincolante, previsto dall’art. 58 del Regolamento UE 2016/679 e dall’art. 154 del Codice Privacy, che gli consente di intervenire direttamente per prevenire e sanzionare violazioni della privacy.
La possibilità che immagini o filmati personali circolino in modo incontrollato, anche su WhatsApp o social network, giustifica l’avvertimento formale dell’Autorità: ogni ulteriore diffusione può configurare violazioni normative e comportare conseguenze sanzionatorie.
Non è un comportamento neutro diffondere contenuti altrui: anche un gesto apparentemente innocuo può comportare una responsabilità legale diretta. Il provvedimento sottolinea così l’importanza della responsabilità individuale nella gestione dei dati altrui.
Le modalità concrete di diffusione
La responsabilità per la condivisione su social network o piattaforme di messaggistica non è soltanto di tipo amministrativo: a seconda delle modalità concrete di diffusione, può infatti estendersi anche sul piano penale, potendo integrare – in particolare – i reati di comunicazione o diffusione illecita su larga scala di dati personali (art. 167-bis Codice Privacy) e, nei casi in cui ne ricorrano i presupposti, la diffusione illecita di immagini o video a contenuto sessualmente esplicito (art. 612-ter c.p.) cosiddetto revenge porn.
Rosario Palumbo (Giurista d’impresa, Data protection specialist)
Come mitigare il rischio
La risposta tecnica esiste, ma non è per tutti. Segmentare le reti casalinghe, impedendo che i dispositivi IoT condividano lo stesso spazio del PC o dello smartphone, è un primo passo.
L’uso di VPN o tunnel cifrati per accedere alle telecamere a distanza elimina l’esposizione diretta su Internet.
La sostituzione di apparati troppo economici o datati è una scelta obbligata, perché nessun aggiornamento arriverà mai a sanare un hardware abbandonato dal produttore. Ma tutto ciò richiede consapevolezza e competenze che l’utente medio difficilmente possiede.
Il rischio sistemico, dunque, non è tanto tecnologico quanto culturale. La pervasività degli oggetti intelligenti ha reso normale l’idea che la nostra quotidianità sia sorvegliata da una costellazione di microfoni e obiettivi sempre accesi. È un’infrastruttura domestica fragile, esposta a chiunque sappia dove guardare e connessa a reti globali che annullano i confini tra pubblico e privato.
Il caso De Martino-Tronelli non è un incidente isolato, ma l’anticipazione di uno scenario in cui la casa, il luogo che associamo alla protezione, diventa il bersaglio più vulnerabile.
La vera domanda non è come sia successo a loro, ma quanto tempo ci separa dal momento in cui potrà succedere a chiunque di noi.
Il Garante Privacy interviene sul caso De Martino e immagini rubate
Il Garante della privacy ha ordinato “l’immediata limitazione definitiva del relativo trattamento”. L’Autorità è infatti intevenuta, spiegando di aver “adottato un provvedimento di avvertimento circa il carattere presumibilmente illecito di ogni eventuale ulteriore diffusione dei medesimi filmati”.
L’indagine potrebbe dunque coinvolgere molti soggetti. Infatti è illegale la divulgazione di immagini private riguardanti la sfera privata e intima, anche se i protagonisti sono personaggi famosi.
Chi condivide il video che ha come protagonisti De Martino e Tronelli sta quindi commettendo un reato. La scritta che recita “inoltrato molte volte”, riferita al video che circola su WhatsApp, dovrebbe mettere in guardia.
I rischi e i consigli secondo l’Acn
Csirt Italia ha rilasciato un bollettino con 12 buone pratiche ad utilizzo domestico e 20 per le organizzazioni pubbliche o private.
L’Acn analizza il caso De Martino: i rischi delle immagini rubate
I rischi che derivano dalla violazione di dispositivi e servizi connessi in rete riguardano la possibilità che telecamere IP, dispositivi Iot, controllori, router e sistemi di supervisione industriali, senza adeguate misure di prevenzione e protezione (e senza una preventiva valutazione del livello di rischio connesso), una volta compromessi, diventino la porta d’ingresso per cyber attacchi.
I fatti di cronaca, riguardanti l’accesso abusivo a telecamere ad utilizzo privato, confermano l’attualità del problema e l’importanza di proteggere adeguatamente questi dispositivi, i cui rischi correlati, come per esempio la violazione della privacy o l’uso di tali dispositivi per sferrare ulteriori attacchi, sono generalmente sottostimati.
Le buone pratiche di Acn per mitigare i rischi
Ecco le 12 best practice dell’Acn applicabili in ambiente domestico:
- modificare le credenziali predefinite su telecamere, router, Nas ed altri dispositivi;
- mai usare l’impego delle configurazioni di default: occorre personalizzare porte, impostazioni di sicurezza, nomi di rete e utenti;
- sfruttare l’autenticazione a più fattori ogni volta in cui è possibile;
- impostare password forti ed uniche per ogni device (a partire da 12 caratteri, mescolando maiuscole, minuscole, lettere, numeri, caratteri speciali);
- effettuare regolari aggiornamenti del firmware dei dispositivi, attivando gli update automatici quando disponibili;
- disabilitare l’UPnP (Universal Plug and Play) sul router, in grado di esporre servizi automaticamente su Internet.
- porre limiti all’accesso remoto, disattivando il controllo da remoto se non serve;
- mettere in isolamento i dispositivi IoT su una rete guest, effettuando una separazione da Pc, smartphone e dispositivi personali;
- eseguire il monitoraggio dell’attività del router, verificando connessioni aperte e traffico anomalo, via pannello di gestione o app;
- usare Dns sicuri per il filtro di contenuti non desiderati e migliorare la sicurezza;
- impostare il firewall del router per il blocco delle connessioni in ingresso prive di autorizzazione;
- l’accesso remoto richiede un utilizzo sicuro: evitare l’apertura di porte sul router/firewall per servizi come SSH, RDP o VNC; prefediligere l’impiego di soluzioni VPN destinate all’accesso alla rete domestica.
Venti best practice in ambito aziendale, industriale o istituzionale
- formazione continua del personale su sicurezza informatica, anche per riconoscere i tentativi d’attacco;
- configurare password robuste e univoche, centralizzando la gestione delle credenziali;
- applicare una policy del Least Privilege: limitare gli accessi unicamente al personale e ai sistemi strettamente necessitari;
- aggiornare tempestivamente e continuamente firmware, software e applicare patch di sicurezza per ogni dispositivo e servizio;
- obbligo d’uso dell’autenticazione multifattoriale (MFA) per tutti gli accessi da remoto;
- segmentare la rete e isolare i sistemi critici, grazie per esempio a VLAN o subnet fisiche dedicate;
- usare Vpn aziendali sicure per ciascun accesso remoto, impedendo di esporre direttamente servizi (RDP, SSH, VNC eccetera) su Internet;
- disattivare servizi non necessari e chiudere porte non impiegate;
- adottare firewall con regole restrittive e sistemi di prevenzione intrusioni (IPS/IDS);
- monitorare continuamente e in maniera centralizzata gli accessi e i log attraverso soluzioni SIEM;
- applicare politiche di controllo accessi in base al ruolo (RBAC) e revisione periodica delle autorizzazioni;
- implementare sistemi di protezione evoluta, come endpoint detection and response (EDR) e antivirus da mantenere aggiornati;
- configurare sistemi di notifica e allarme per accessi sospetti o anomalie di rete;
- formalizzare, testare e implementare Incident Response Plan (IRP), per la gestione rapida ed efficace di eventuali incidenti di sicurezza;
- adottare geofencing o whitelist IP, limitando gli accessi da aree geografiche o indirizzi IP privi di autorizzazione in particolare per sistemi critici;
- impiegare DNS sinkhole o firewall DNS per il blocco di noti domini malevoli;
- analizzare e testare periodicamente vulnerabilità, compresi penetration test sui servizi esposti;
- implementare soluzioni di Zero Trust Network Access (Ztna) per verificare continuamente identità e dispositivi;
- effettuare backup sicuri regolarmente delle configurazioni e dei dati critici per ripristinare tempestivamente in caso di violazione;
- adottare policy di sicurezza documentate e periodicamente audit di conformità normativa.
