Il futuro della protezione dei dati

protezione dei dati

A fronte della difficoltà di controllare l’enorme massa di informazioni quotidianamente raccolta e trasmessa dai dispositivi elettronici, servono meccanismi di sicurezza in grado di garantire alle imprese e ai consumatori un livello elevato di affidabilità dei sistemi digitali.

In Europa, le autorità di con­trollo stanno cercando di di­sciplinare i flussi di dati perso­nali - tecnicamente noti come informazioni identificative di persone fisiche (PII) - con al­terne fortune e molti contenziosi. La situazio­ne non è diversa oltreoceano, dove le norme di riferimento sono quelle varate da alcuni stati nordamericani, o in Oriente, dove la Repubblica Popolare Cinese è alle prese con un nuovo stan­dard che mutua l’esperienza europea, ma senza disciplinare il trattamento dei dati da parte delle strutture pubbliche.

Nei rapporti internazionali la situazione si com­plica ulteriormente, poiché l’avvento del mondo digitale ha abbattuto le frontiere, ma non le dif­ferenze tra i vari ordinamenti: il riferimento è non solo alla necessità di armonizzazione tra le attività dei Paesi di civil law (di derivazione romana, intesa come “dall’impero romano) e gli stati che provengono dall’esperienza di common law anglosassone, ma anche all’esigenza di con­ciliazione con gli ordinamenti di nazioni (per esempio Cina, Russia e Pakistan) in cui la presen­za delle agenzie governative nella vita pubblica e privata del cittadino è vissuta come normale e ineluttabile.

La Commissione Europea ha cercato di porre parziale rimedio a questa situazione - che ri­mane comunque in attesa di essere governata - con le Standard Contractual Clauses for data transfers between EU and non-EU countries, che consentono di disciplinare i rapporti tra privati in modo da ritenere plausibile che il destinatario delle informazioni in territorio extra-europeo si impegni a garantire lo stesso livello di riservatez­za accordato dal GDPR. Le istituzioni non sem­brano però tenere conto, almeno al momento, della mole di informazioni che si muove in canali ben diversi da quelli tradizionali, come i segnali generati dagli apparati di varia natura apparte­nenti alla categoria dell’Internet of Things.

La giornata tipo dei dati del comune cittadino

Impianti d’allarme, sensori, termocamere - e anche lavatrici, smart TV, impianti dei videoci­tofoni, cornici digitali e assistenti vocali - per­cepiscono e trasmettono quotidianamente ai server dei produttori e/o dei gestori dei relativi servizi una quantità incredibile di dati, che pos­sono essere ricollegati agli utenti o alle persone in prossimità dei dispositivi utilizzati, oltre a ve­nire incrociati con le informazioni provenienti da bancomat, carte di credito, sportelli automatici, biglietterie online, carte e app di fidelizzazione della clientela, smartphone, tablet e altri wea­reble devices.

Focalizzando l’attenzione sulla giornata tipo di un comune cittadino, è possibile stimare la quantità di informazioni che vengono trasmesse all’esterno della sua sfera di pertinenza giuridica, spesso inconsapevolmente: già durante il sonno, i parametri vitali della persona vengono rilevati dall’orologio o dal dispositivo che indossa al pol­so e trasmessi al cloud per la conservazione. Al momento di alzarsi, un dispositivo elettronico o un assistente vocale rilevano l’attività di spe­gnimento della sveglia, mentre i sensori dell’im­pianto di allarme o di domotica percepiscono i movimenti all’interno dell’abitazione, attivando il relativo cambio di scenario.

La vita quotidiana inizia con la consultazione delle news, dei messaggi di posta elettronica e dei social network attraverso lo smartphone, che registra anche, grazie al GPS integrato, l’uscita di casa e il tragitto verso il luogo di lavoro, fermate intermedie incluse.

Molti dipendenti utilizzano sul lavoro app per la rilevazione delle presenze, che stanno rapi­damente sostituendo il vecchio badge, o fanno ricorso al wallet dello smartphone per memo­rizzare le tessere delle società di trasporti pub­blici. Chi utilizza un’autovettura si collega, nel momento dell’accensione, al sistema di enter­tainment del veicolo, che a sua volta è connesso ai server dell’azienda produttrice per l’aggiorna­mento delle centraline e la rilevazione dei para­metri di funzionamento (o malfunzionamento) dell’auto.

Durante il tragitto, il telepass o altre app dedi­cate provvedono al pagamento degli ecopass urbani, dei pedaggi e dei parcheggi. Tutti i dati transitano sui server delle società finanziarie e degli istituti di credito che erogano i servizi di pagamento, per poi essere indirizzati verso i database delle società di gestione. Nel frattem­po, gli utenti utilizzano gli assistenti vocali di computer, smartphone, tablet e hub intelligenti - che monitorano le conversazioni alla ricerca di parole chiave per l’attivazione dei servizi - senza avere idea della destinazione dei dati, della loro eventuale memorizzazione e del tipo di analisi eseguita su quanto captato.

L’uso del bancomat o della carta di credito, as­sieme ai flussi dell’Internet banking e del conto corrente, consente di analizzare redditi, spese e comportamenti dell’individuo, mentre le fidelity card o le app di coinvolgimento della clientela consentono di approfondire gusti e abitudini dei singoli utilizzatori e delle loro famiglie. A tutto questo, si può facilmente aggiungere la mole di informazioni ricavabile dalle immagini delle te­lecamere di sorveglianza, pubbliche e private, e dai dati sul traffico e sulla posizione provenienti dallo smartphone, che possono venire utilizzati per rilevare con chi ha parlato o si è incontrato il proprietario del dispositivo.

protezione dei dati

Meccanismi di sicurezza cercasi

Da quanto detto, è evidente come il problema della liquidità e fragilità della vita digitale dei singoli sia oltremodo attuale: il cittadino medio è anestetizzato dai colori accattivanti e dal coin­volgimento di giochi e servizi, ma i titolari delle aziende - che ricoprono anche il ruolo di respon­sabili del trattamento dei dati personali - hanno una responsabilità crescente nel settore della conservazione e analisi dei dati, con particolare riferimento alla protezione delle informazioni da aggressioni esterne.

Il mercato è invaso da prodotti a basso costo, che non offrono alcuna garanzia di protezione imme­diata o proiettata nel futuro, visto che i prezzi accattivanti che ingolosiscono consumatori e installatori impediscono ai produttori di curare la progettazione e l’aggiornamento degli apparati e dei firmware per impedire la rilevazione e la trasmissione delle informazioni. Il problema non è di poca rilevanza, poiché un sistema di allarme o di monitoraggio, pur progettato egregiamente dall’installatore, potrebbe presentare una falla nella sicurezza a causa di un singolo dispositivo non adeguatamente protetto (il cosiddetto anello debole della catena).

Per questo motivo, nella Pubblica Amministra­zione è stata costituita recentemente l’Agenzia per la Cybersecurity Nazionale, che si avvale di laboratori di certificazione accreditati per verifi­care la qualità dei prodotti offerti alle infrastrut­ture critiche del panorama nazionale, assicuran­do un livello di sicurezza elevato e un altrettanto elevato grado di affidabilità del produttore.

Nei prossimi anni si perverrà probabilmente anche all’adozione di standard di certificazione finalizzati alla semplificazione dei processi di accreditamento, così che i produttori possano autonomamente organizzarsi per presentare all’agenzia intere classi di prodotti già idonei al mercato delle infrastrutture critiche.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome