martedì, Marzo 19, 2024
Uncategorized

IoT e privacy: il problema della logica plug and play

1. Introduzione

Giova ricordare che l’espressione Internet of Things (da qui, per brevità, IoT) è un neologismo che fa riferimento all’evoluzione della rete Internet ed alla sua estensione al mondo degli oggetti e dei luoghi concreti. Gli oggetti coinvolti (intesi come dispositivi, attrezzature, materiali, prodotti tangibili, impianti e sistemi) acquisiscono “intelligenza” in virtù della loro capacità a comunicare dati su sé stessi e su altri dispositivi, e ad accedere alle informazioni aggregate da parte di altri[1].

Dunque, il frigorifero di un’abitazione che permette di rilevare la temperatura interna, trasmettendone i dati allo smartphone del proprietario, è un tipico esempio di applicazione di IoT, come lo sono l’orologio che rileva la frequenza cardiaca, la respirazione ed il ciclo del sonno per ottimizzare il proprio stile di vita, o gli assistenti vocali ai quali si può chiedere di accendere o spegnere le luci della propria abitazione qualora connesse. Ogni oggetto può essere uno strumento c.d. di internet delle cose: semafori, elettrodomestici o videocamere, se connessi ad una rete che permette di ricevere e trasmettere dati.

Ciò che accomuna oggetti così diversi tra loro è proprio l’interconnessione dei dispositivi, la quale rappresenta una nuova concezione degli spazi e degli oggetti, che porta alla colonizzazione della vita quotidiana da parte dei processi di elaborazione delle informazioni[2]. L’obiettivo di queste tecnologie è quello di rendere le situazioni di vita quotidiana sensibili alla rete e a disposizione dell’analisi ed elaborazione[3].

Attraverso tale interconnessione tutto sta cambiando: dagli stili di vita al il modo di comunicare, di relazionarsi e di lavorare. Il mondo pervasivo dell’IoT permetterà, dunque, di semplificare ogni aspetto della vita degli individui grazie agli oggetti utilizzati nella quotidianità, producendo al contempo nuovi tipi di dati[4].

Sono svariati, infatti, i vantaggi dell’utilizzo di queste tecnologie: in ambito commerciale, l’internet delle cose incrementerà l’efficienza aziendale, permetterà di sfruttare l’intelligenza di una vasta gamma di attrezzature, renderà migliori le attività e aumenterà la soddisfazione dei clienti, riducendo i costi per le imprese[5]. Ciò avrà anche un impatto profondo sulla vita delle persone: migliorerà la sicurezza pubblica, il trasporto e l’assistenza sanitaria grazie a un’informazione più accurata e a comunicazioni più veloci. È evidente, quindi, il ruolo fondamentale di questo nuovo insieme di tecnologie nell’Industria 4.0[6].

L’IoT è composto da una serie di tecnologie che, se considerate in relazione alla tipologia di oggetti coinvolti, vanno distinte in specifiche etichette. Così, il c.d. quantified self[7] indica quell’insieme di tecnologie attraverso cui prende forma l’obiettivo di monitorare il comportamento del corpo umano e di ricavare, da tali indagini, dati conoscitivi che permettono di agire in un determinato modo; mentre il termine smart home[8] fa riferimento alla volontà di mettere lo spazio domestico a disposizione della rete; la c.d. smart city[9] rappresenta l’estensione della smart home su scala municipale, ovvero quel fenomeno mediante il quale tutta la città diviene digitalizzata. Ogni dimensione citata evidenzia un particolare aspetto della sfida che il mondo intelligente rappresenta per noi. Va considerato che nella dimensione più personale, l’IoT comprende anche sensori biometrici indossabili, ossia dispositivi che raccolgono tracce biometriche e le mette a disposizione dell’osservazione ed analisi in rete[10].

2. IoT tra vantaggi e problematiche

Attualmente potremmo considerare l’IoT come la manifestazione più tangibile del fatto che l’uomo voglia misurare e controllare il mondo, poiché attraverso i dispositivi di cattura di cui si serve, l’IoT rappresenta un mezzo per quantificare i processi della vita ad ogni livello, trasformando tali processi in dati digitalizzati da analizzare[11]. Bisogna, dunque, porre l’attenzione sugli effetti che si producono ogni volta che queste tipologie vengono utilizzate e i nuovi dati vengono prodotti. Infatti l’IoT presenta opportunità illimitate: nella vita di tutti i giorni possiamo pensare a innumerevoli applicazioni nelle quali l’interconnessione dei dispositivi può essere utile (domotica, settore automotive, lavoro, svago, meteorologia, sicurezza, ecc.). Non mancano però anche le preoccupazioni, soprattutto in merito al fattore sicurezza, in una duplice accezione: bisogna riflettere sulla sicurezza strutturale dei devices utilizzati e sulla sicurezza dei dati che ne sono custoditi all’interno. Si pensi che alcuni dispositivi (come i router, che sempre più di frequente subiscono attacchi informatici) vengono prodotti, diffusi e non sempre periodicamente aggiornati.

Va osservato, inoltre, che i sensori rilevano i dati, li trasmettono in rete e li raccolgono in archivi digitali; tuttavia, spesso non è chiara la natura dei dati raccolti e in quale parte della rete tali informazioni vengano archiviate.

Le problematiche sul tema, dunque, sono molteplici e includono le tematiche tipiche oggetto di dibattito circa l’implementazione delle nuove tecnologie, quali privacy, profilazione e sicurezza[12].

In particolare, le implicazioni in tema di privacy dell’utenza sono, alla luce dei predetti rilevamenti, evidenti ed è fondamentale che fin dalla fase di progettazione dei servizi e dei prodotti da offrire poi sul mercato, gli operatori coinvolti adottino soluzioni tecnologiche a garanzia della riservatezza degli utenti (c.d. privacy by design).

Da qui arriva la necessità di ricorrere a tecniche di cifratura e anonimizzazione delle informazioni, per un uso corretto delle tecnologie[13].

Ad esempio, i dispositivi basati su un sistema operativo Android, come gli smartphone, presentano comandi vocali[14]. Talvolta, tali comandi si attivano da soli, magari mentre si è impegnati in una conversazione telefonica. Google raccoglie tutti i dati provenienti da tali dispositivi, tracciando inoltre i passi, i luoghi visitati, le ricerche sul motore di ricerca, i siti visitati e via discorrendo[15].

A questo punto viene naturale chiedersi: dove vanno a finire tutti questi dati? Le persone non ne sono mai pienamente consapevoli, e a volte, neanche in parte. Se è vero che “viviamo in un mondo in cui le cose si ritirano dalla coscienza, rendendo silenziosamente possibili le nostre azioni più esplicite[16], è anche vero che spesso qualcuno conta su quel ritiro nella misura in cui favorisce i propri interessi. Questa riflessione va fatta non solo per una mera questione di curiosità filosofica.

Infatti, i problemi dell’IoT non riguardano solo questioni tecnico-giuridiche, ma hanno anche un impatto sociale sulla vita delle persone. Molti di noi hanno almeno una vaga consapevolezza che i nostri telefoni raccolgono in continuazione informazioni circa la nostra posizione e le nostre attività giornaliere. Tuttavia, siamo tendenzialmente inconsapevoli delle conseguenze di tutto ciò[17]: letteralmente ogni aspetto della nostra vita sta diventando tecnologizzato.

2.1 Su IoT e privacy: il problema della logica plug-and-play

In molti casi, nell’ambito dell’utilizzo degli strumenti di IoT da parte del consumatore finale, la comodità degli strumenti è considerata così forte al punto da annullare gli aspetti critici, come nell’ambito della logica plug-and-play[18], in cui spesso viene dimenticata l’attenzione verso la sicurezza della rete. Si consideri l’esempio delle videocamere connesse in rete: si tratta di strumenti facilmente trovabili commercio, a cifre anche piuttosto basse, che trasmettono i dati su Internet esattamente allo stesso modo delle videocamere appartenenti ad un livello industriale più elevato e dai costi di produzione più rilevanti, ma con una significativa differenza sui sistemi di controllo dei feed trasmessi. Utilizzando un motore di ricerca specializzato in IoT[19] si possono infatti ritrovare moltissimi dispositivi in tutto il mondo che trasmettono in tempo reale ed in modo non protetto; chiunque voglia cercarli può trovare i contenuti delle riprese online, che spesso riprendono anche scene che si suppone si preferisca tenere private, come registrazioni di coltivazioni (naturalmente illegali) di marijuana, aree protette in filiali bancarie o alloggi di basi militari[20]. In qualsiasi luogo del mondo dotato di una connessione ad Internet, in questo modo è possibile guardare il comportamento di chiunque. In tutta probabilità, i soggetti coinvolti direttamente nelle videoregistrazioni, non sono a conoscenza del fatto che i loro comportamenti siano costantemente ripresi e resi a disposizione degli utenti in rete, e tutto ciò ha delle implicazioni evidenti e notevoli sulla riservatezza delle persone. Queste problematiche sono diffuse in tutto il sistema dell’IoT e riguardano, oltre alle videocamere, qualsiasi oggetto che può essere connesso alla rete[21].

Ciò che desta ancora maggiori preoccupazioni è che i dispositivi non protetti, oltre ad essere esposti nei loro comandi e contenuti alla rete globale, possono anche essere utilizzati come punto di accesso per qualsiasi altro dispositivo connesso, permettendo agli intrusi digitali di installare delle backdoor[22], di intercettare il traffico web o di lanciare gli attacchi denial of service (DoS)[23].

Quanto si vuole evidenziare attraverso questi esempi è la necessità di porre una maggiore attenzione nei confronti delle decisioni commerciali che regolano la produzione e l’offerta degli strumenti di IoT, che non sempre segue un’adeguata offerta sul piano della sicurezza.

Il nodo della questione è essenzialmente di tipo economico e riguarda il modello di business che l’azienda produttrice intende seguire, ma ciò ha comunque delle ripercussioni importanti sul piano giuridico e sociale. Dunque, l’avanguardia non deve essere solo apparente e deve essere associata ad accurati piani di sicurezza che riducano al minimo il rischio di attacchi. È anche per questo che serve l’intervento del legislatore, se le aziende, verosimilmente per vantaggi commerciali, tendono a non considerare queste necessità con l’attenzione che meritano.

2.2 Sul potenziale utilizzo di questi dati

Sul tema si pone il problema dell’utilizzabilità dei dati provenienti dai dispositivi non protetti esposti in rete: l’utilizzo di videoregistrazioni occulte a fini investigativi[24] non è mai stato accolto dal legislatore in modo positivo, infatti ancora oggi è regolato dal diritto vivente.

Seguendo gli orientamenti prima della Corte Costituzionale[25] e poi della Corte di Cassazione nella sua composizione più autorevole[26], le videoriprese effettuate (non nell’ambito del processo penale) in luoghi pubblici o aperti o esposti al pubblico, sono da includere nella categoria dei documenti, ai sensi dell’art. 234 c.p.p.; qualora invece effettuate nell’ambito del processo penale, anche su iniziativa della polizia giudiziaria, vanno comprese nella categoria delle prove atipiche, dunque soggette alla disciplina ex art. 189 c.p.p.

Occorre, però, fare alcune precisazioni: tali videoriprese non possono essere espletate ovunque; le videoregistrazioni effettuate ai fini del processo penale in ambito domiciliare si considerano acquisite illecitamente e, di conseguenza, inutilizzabili. Anche il domicilio è tutelato costituzionalmente limitatamente ai luoghi con cui la persona abbia un rapporto stabile. Ciò significa che, quando si tratta di tutelare la privacy della persona, la videoregistrazione può essere ammessa previo provvedimento motivato dell’autorità giudiziaria[27]. Quindi, le videoriprese che, seppure non comportino un’intrusione nel domicilio, violano la privacy, devono rappresentare oggetto di tutela da parte dell’autorità giudiziaria. Si pensi, ad esempio, al caso in cui la polizia giudiziaria effettui delle videoregistrazioni in bagni pubblici. Per quanto concerne lo specifico caso delle videoriprese, va osservato che «occorre verificare che, mediante l’attivazione da remoto della telecamera inerente al telefono cellulare, non siano state effettuate videoregistrazioni all’interno di luoghi di privata dimora o, comunque, tali da imporre la necessità di tutelare la riservatezza personale […]. Nell’affermativa, anche queste risultanze dovranno essere espunte dal compendio indiziario. Si tratta infatti di una questione non di legittimità della tecnica di acquisizione probatoria, in sé considerata, ma di utilizzabilità delle relative risultanze»[28]. Dunque, oggetto di tutela da parte dell’autorità giudiziaria, nell’ottica del rispetto della privacy individuale, non deve essere solo il domicilio o il luogo di privata dimora, ma ogni luogo, anche pubblico, nel quale si renda necessario il rispetto della riservatezza personale.

3. Conclusioni

Troppo spesso e inconsapevolmente le persone scambiano l’interconnessione con la vulnerabilità dei loro dati ed è impossibile pensare che tutte le vulnerabilità verranno mai messe in sicurezza, per una questione banalmente logica: il diritto arriva di natura dopo il progresso, ma ancora prima, le aziende produttrici non hanno interessi a eliminarle, mentre l’utenza finale non ha le competenze per farlo. Gli strumenti di IoT sono studiati per essere alla portata di tutti, spesso non sono troppo costosi e le dotazioni di sicurezza sono basiche, quindi chi li acquista spesso non sa neanche che deve adottare determinati protocolli (o almeno, non se ne preoccupa). Finché non verrà sviluppato un paradigma di sicurezza all’altezza dei problemi sovraesposti, tutti gli oggetti connessi in rete saranno sottoposti a questo tipo di vulnerabilità. Dunque, la crisi della sicurezza dell’IoT è inevitabilmente già insita nell’ideologia che porta un soggetto ad utilizzare uno strumento poiché di ausilio nelle più semplici attività di vita quotidiana, scambiando i propri dati personali per la comodità del servizio offerto, e nel fatto che moltissimi tra i dispositivi in circolazione siano installati e gestiti da persone comuni. I problemi sulla privacy sono uno dei temi che saranno oggetto del prosieguo della trattazione nel prossimo capitolo, poiché è necessario comprendere in che modo procedure scorrette attuate nell’applicazione di tali metodologie informatiche incidano sulle garanzie processuali.

[1] K Ashton, That “Internet fo Things” Thing, in RFID Journal, 22 luglio 2009.

[2] Così A. Greenfield, Tecnologie radicali. Il progetto della vita quotidiana, Torino, 2017, p. 32. Nel saggio l’autore riporta la definizione di IoT di un importante studioso, pioniere e primo sostenitore di questa nuova concezione, che vede la materia come una nuova esistenza in cui “la calcolabilità e la comunicazione dei sati sono incorporati e distribuiti all’interno del nostro ambiente nella sua interezza”. Si veda sul punto M. Kuniavsky, Smart Things: Ubiquitous Computing User Experience Design, Burlington (Mass.), 2010

[3] D. Miorandi, S. Sicari, F. De Pellegrini, I. Chlamtac, Internet of things: Vision, applications and research challenges, in Ad Hoc Networks, Vol. 10/2012, pp. 1497 ss.

[4] D. Lillis, B. Becker, T.O. Sullivan, M. Scanlon, Current Challenges and Future Research Areas for Digital Forensic Investigation, report of The 11th ADFSL Conference on Digital Forensics, Security and Law (CDFSL 2016), Daytona Beach, FL, USA, reperibile al sito: https://arxiv.org/abs/1604.03850

[5] Ad esempio, un sistema HVAC abilitato IoT oggi può riferire se il filtro dell’aria è pulito e funziona correttamente. Allo stesso modo, nel settore sanitario l’IoT può tenere traccia della posizione di ogni attrezzatura necessaria. Nel settore dei trasporti, invece, l’IoT è in grado di fornire il monitoraggio in tempo reale degli oggetti in spedizione. Considerando l’epoca di controllo e automazione in cui vertiamo, in molti casi un’azienda o un consumatore facenti parti di un mondo connesso potranno controllare i vari dispositivi da remoto, accendendo o spegnendo una parte specifica di attrezzature o regolando la temperatura a distanza. In questo modo, una volta stabilite le linee guida, un processo può inviare avvisi per anomalie ed eventualmente fornire una risposta automatica. In pratica, se le pastiglie dei freni su un camion stanno per guastarsi, il processo di Internet può automaticamente programmare la manutenzione. Per quanto riguarda la riduzione dei costi, molte aziende adotteranno l’IoT al fine di risparmiare denaro. Quindi, con l’IoT un’azienda potrà risparmiare denaro riducendo al minimo i guasti e permettere alla stessa di eseguire la manutenzione programmata. I sensori possono anche misurare elementi, come il comportamento di guida e la velocità, per ridurre i costi di carburante e l’usura dei componenti. E ancora, nuovi contatori intelligenti nelle case e nelle aziende possono anche fornire dati che aiutino le persone a comprendere il consumo di energia e le opportunità di risparmio sui costi. Cfr. A. Greenfield, Tecnologie radicali, cit.

[6] P. Reale, IoT Forensics, nuove sfide e opportunità nelle indagini scientifiche, in Sicurezza e giustizia, Vol. 2/2015, pp. 43 ss, reperibile al sito: https://www.sicurezzaegiustizia.com/iot-forensics-nuove-sfide-e-opportunita-nelle-indagini-scientifiche/. Si vedano inoltre i numerosi report di IoT Analytics reperibili al sito https://iot-analytics.com/, in cui emerge la capillarità dell’utilizzo di tali strumenti e l’incremento notevole che stanno avendo nel corso degli ultimi anni a partire dal 2014.

[7] Si vedano sul punto D. Lupton, The quantified self. A sociology of self-tracking, Cambridge, 2016, pp. 88 ss.; G. Malgieri, G. Comandé, Sensitive-by-distance: quasi-health data in the algorithmic era, in Information & Communications Technology Law, Vol. 26/2017.

[8] T. Schulz, J. Herstad, H. Holone, Privacy at Home: An Inquiry into Sensors and Robots for the Stay at Home Elderly, in Human Aspects of IT for the Aged Population. Applications in Health, Assistance, and Entertainment (a cura di Zhou J., Salvendy G.), Cham, 2018, pp. 377 ss.

[9] Per approfondire: L. Edwards, Privacy, Security and Data Protection in Smart Cities: A Critical EU Law Perspective, in HeinOnline, Vol. 1/2016, pp. 28 ss, reperibile al sito: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2711290.

[10] L’esempio più lampante sul punto è il pedometro digitale connesso ad una rete. La tecnologia di questo contapassi è la stessa utilizzata negli smartphone e riesce a misurare la distanza complessiva percorsa, fornendo una stima delle kcal bruciate nel corso dell’attività di movimento. I modelli più avanzati misurano la frequenza cardiaca, la respirazione o la temperatura corporea. Questi dati biologici possono essere utili per dedurre stati psicofisici importanti, utili anche a livello processuale. Tali latenti indicatori della performance biologica sono difficili da cogliere e vengono resi decifrabili per essere restituiti all’esercizio della volontà di chi ne fa uso, o quantomeno posti sotto il loro (apparente) controllo. Cfr. A. Greenfield, Tecnologie radicali, cit.

[11] Cfr. L. Floridi, Pensare l’infosfera, Milano, 2020.

[12] M. Hildebrandt, Legal protection by design: objections and refutations, in Legisprudence, Vol. 5/2011, pp. 223 ss, reperibile al sito https://www.tandfonline.com/doi/abs/10.5235/175214611797885693.

[13] Ibidem.

[14] Consultabile personalmente sui propri dispositivi al link https://history.google.com/history/audio.

[15] Ibidem.

[16] G. Harman, Heidegger on Objects and Things, in Making Things Public: Atmospheres of Democracy (a cura di B. Latour e P. Weibel), Cambridge (Mass.), 2005.

[17] Il report proveniente dalla conferenza del National Intelligent Council “Six Technologies with Potential Impacts on US Interests out to 2025” dell’aprile 2008 ha evidenziato un tema importante su cui riflettere, esprimendo che; “individuals, businesses, and governments are unprepared for a possible future when Internet nodes reside in such everyday things as food packages, furniture, paper documents, and more. Today’s developments point to future opportunities and risks that will arise when people can remotely control, locate, and monitor everyday things. Popular demand combined with technology advances could drive widespread diffusion of an Internet of Things that could, like the present Internet, contribute invaluably to our economy. But to the extent that everyday objects become information-security risks, the IoT could distribute those risks far more widely than the Internet has to date.”

[18] Si tratta, sostanzialmente, di tecnologie che possono funzionare senza che l’utente debba necessariamente installare programmi o configurare il sistema.

[19] Si consideri, ad esempio, Shodan: si tratta di un motore di ricerca specializzato e dedicato ai dispositivi collegati alla rete Internet, il quale indicizza i devices connessi alla rete, a differenza dei classici motori di ricerca, come Google search o Bing, che indicizzano siti e pagine web.

[20] A. Greenfield, Tecnologie radicali, cit., p.44.

[21] Il ricercatore Matthew Garrett ha descritto un soggiorno in hotel a Londra nel 2016 denunciando come gli interruttori delle camere fossero stati sostituiti con dei tablet Android, verosimilmente per stare dietro alle ultime tendende hitech. Dopo qualche minuto di lavoro egli è riuscito a dimostrare che i comandi della sua stanza non erano protetti e le ultime quattro cifre dell’indirizzo IP di ogni stanza corrispondevano esattamente al numero della camera e al piano d’ubicazione nell’hotel. Dunque, qualsiasi hacker avrebbe potuto prendere il controllo di qualsiasi stanza in qualsiasi parte del mondo, sostituendo solo le cirfe appropriate dell’indirizzo IP. Così M. Garrett, I stayed in a hotel with Android Lightswitches and it was juast as bad as you’d imagine, 11 marzo 2016, reperibile al link https://mjg59.dreamwidth.org/40505.html.

[22] Si tratta di metodi, spesso segreti, per aggirare l’autenticazione di un sistema, allo scopo di superare il sistema di difesa e prendere il controllo da remoto del sistema.

[23] Si tratta di un malfunzionamento del sistema a causa del verificarsi di un attacco informatico, allo scopo di eliminare le risorse del sistema che fornisce servizi, così da rendere il sistema non più in grado di fornire quei servizi. S. Prowell, R. Kraus, M. Borkin, Seven Deadliest Network Attacks, Amsterdam, 2010, pp. 21 ss.

[24] Cfr. C. Marinelli, Intercettazioni processuali e nuovi mezzi di ricerca della prova, cit., pp. 159 ss.

[25] Corte Cost., Sent. N. 135/2002 e Sent. N. 149/2008, reperibili al sito www.giurcost.org

[26] Cass. Pen., Sez. Un., Sent. 28 marzo 2006, Prisco, in CED 234267.

[27] M. Torre, Indagini informatiche e processo penale, cit., p. 157.

[28] Cass. Pen., Sez. VI, Sent. N. 27100/2015, reperibili al sito www.giurcost.org

Francesca Bucci

Praticante avvocato presso l'Istituto Nazionale della Previdenza Sociale; appassionata di diritto e nuove tecnologie, in particolare delle problematiche giuridiche sollevate dall'utilizzo di algoritmi nell'ottica della prevenzione e repressione dei reati, collabora con l'area IP & IT.

Lascia un commento