IoT, Smart devices e Smart houses: vantaggi, criticità e assenza normative

IoT, Smart devices e Smart houses: vantaggi, criticità e assenza normative

a cura di Michele Longhin

Una nuova era

L’economia si sta velocemente digitalizzando. Le tecnologie dell’informazione e della comunicazione non costituiscono più un settore a sé stante, bensì sono la base stessa di tutti i sistemi economici e sociali innovativi e moderni. I dati elettronici sono al centro di tali sistemi e, quando sono analizzati o utilizzati in associazione a servizi e prodotti, possono generare un ingente valore. Allo stesso tempo, il rapido sviluppo dell’economia dei dati e di tecnologie emergenti come l’intelligenza artificiale, i prodotti e i servizi relativi all’Internet degli oggetti, i sistemi autonomi e la tecnologia 5G sollevano nuove questioni giuridiche relative all’accesso ai dati e al loro riutilizzo, alla responsabilità, all’etica e alla solidarietà. Si dovrebbe considerare l’opportunità di lavorare in materia di responsabilità, segnatamente attraverso l’impiego di codici di autoregolamentazione e altre migliori prassi, tenendo conto delle raccomandazioni, delle decisioni e delle azioni adottate senza interazione umana lungo l’intera catena del valore dell’acquisizione e trattamento dei dati. Tali lavori potrebbero anche contemplare meccanismi appropriati per determinare la responsabilità, per trasferire la responsabilità tra servizi che cooperano, per l’assicurazione e per l’audit.

Nel 2020 gli smart devices connessi sono 30 miliardi. Si stima che già nel 2025 potranno essere 75 miliardi con un trend in costante ed esponenziale crescita[1]. Ma cosa hanno in comune una smart tv, un braccialetto per il fitness, un assistente vocale, o più in generale tutti quegli oggetti “intelligenti” che ci siamo abituati a usare nei più vari ambiti della nostra vita quotidiana?

Innanzitutto, è necessario definire cosa siano questi dispositivi tecnologici che appartengono a quell’assioma che è conosciuto come internet of things – internet delle cose (Iot è l’acronimo inglese). La paternità di questa espressione è attribuita a Kevin Ashton, ingegnere inglese ricercatore presso il MIT, che la usò la prima volta nel 1999[2].

L’Iot designa una molteplicità di oggetti, materiali, strumenti, apparecchiature che, grazie alla loro connessione in rete, possono “dialogare” tra loro, interagire scambiandosi segnali e dati, comprese informazioni su dati personali. L’obiettivo dell’“internet delle cose” è semplificare la vita di tutti i giorni, migliorare la salute, l’ambiente, la mobilità e di conseguenza il tempo libero. L’Iot consiste dunque in una rete di infrastrutture nelle quali innumerevoli sensori sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro sia nel medio raggio – mediante l’utilizzo di tecnologie a radio frequenza (per esempio Rfid, bluetooth ecc.), sia tramite una rete di comunicazione elettronica.

L’architettura dei sistemi si basa su un network che mette in comunicazione componenti fisiche intelligenti con una parte logica di gestione di dati, azioni e controlli. La parte concreta del sistema si compone di smart devices (come frigoriferi, TV e lavatrici) e di sensori (ad es. di movimento, di temperatura e umidità) che eseguono comandi e monitorano l’ambiente.

 

Campi di applicazione dell’Iot

L’Iot trova oggi comune applicazione nei settori più disparati: la salute (dispositivi di smart health per la diagnosi e la prevenzione), la mobilità (smart city e smart mobility), la casa (domotica, smart building), l’industria (Industrial Internet of Things – IIoT), l’agricoltura (smart agrifood), la zootecnia (wearable per animali), i servizi finanziari (digital payment), il tempo libero (smart band, fit tracker, smartwatch).

Quando l’approccio IoT si inserisce nell’ambito residenziale si parla di Smart House.

In questo contesto vi sono piccoli micro-ambienti in cui sono presenti diversi dispositivi smart, ovvero intelligenti. Le smart houses sono esempi di questi micro-habitat e per essere definite tali, le smart houses devono possedere determinate caratteristiche tecnologiche.

Un minore livello di complessità è quello proposto dal settore della domotica (o home automation), il quale promuove case dotate di tecnologie capaci di modificare lo stato di apparecchiature e impianti mediante il controllo remoto eseguito dai proprietari.

In questo contesto è possibile identificare due diversi livelli di dettaglio.

Un primo elemento è dato dalla componente “intelligente” nel management dell’abitazione. In questa prospettiva, il sistema di smart house e i devices interni ed esterni lavorano in sinergia, scambiandosi dati e informazioni con l’obiettivo di automatizzare le azioni degli occupanti calibrandole sulle loro preferenze.

Il naturale sviluppo di questo approccio mira a proporre sistemi in grado di apprendere dalle azioni e dai controlli svolti dagli utenti al fine di agire in maniera preventiva e ottimizzare la gestione dell’ambiente domestico. Sostanzialmente gli smart devices sono progettati per conoscere, in senso lato, i loro proprietari.

La componente virtuale possiede gli algoritmi per l’elaborazione dei dati e la gestione dei comandi; inoltre, essa opera affinché tutti gli elementi del sistema lavorino correttamente e in cooperazione.

Il secondo elemento fondamentale di questa struttura è l’interfaccia di controllo e comunicazione tra il sistema smart e l’utente finale.

Il collegamento tra componente virtuale e reale dovrebbe essere sviluppato in maniera semplice e intuitiva affinché il proprietario possa controllare velocemente ed efficacemente l’ambiente domestico.

Applicazioni di largo utilizzo sono quelle legate alla videosorveglianza e alla gestione di accessi e presenze (in particolare mediante il monitoraggio di porte e finestre). Ambiti attualmente meno diffusi riguardano i sistemi di irrigazione intelligenti, le soluzioni SOHO (acronimo di Small Office Home Office) e le applicazioni intelligenti per la salute, la cura e l’assistenza di anziani e malati.

Applicazioni IoT in ambito domestico

Le applicazioni IoT legate alla sicurezza sono quelle che a oggi rappresentano la quota maggiore del mercato delle smart houses. Infatti, i sistemi di videosorveglianza, i sensori di movimento e anti-intrusione si attestano come il 35% del mercato globale.

Una forte impennata si è avuta grazie alle campagne di comunicazione sugli assistenti domestici (quali Amazon Echo, Google Home e Apple HomePod), tanto che le vendite si aggirano sui 60 milioni di euro (pari a circa il 16% del mercato complessivo).

Il comparto relativo alla gestione dell’energia e del comfort occupa una porzione minore del business globale (circa il 12%).

Va segnalato che anche questo ambito è in crescita grazie alla possibilità di interazione con gli smart home speakers che mediante il controllo vocale rendono semplici, diretti e istantanei i comandi.

Le smart houses sono un mercato in crescita. Applicazioni e sistemi IoT in ambiente residenziale sono attualmente protagonisti di una rapidissima crescita e diffusione sia in Italia che in Europa. L’osservatorio IoT della School of Management del Politecnico di Milano ha evidenziato che il mercato delle smart houses in Italia ha raggiunto i 380 milioni di euro nel 2018, con una crescita del 52% rispetto al 2017. Il trend positivo è uno dei più alti in Europa (solo la Spagna segna una crescita del +59%) ma, in termini assoluti di diffusione, il divario con gli altri paesi europei è ancora considerevole. Basti pensare che paesi come il Regno Unito e la Germania hanno mercati da 1,7-1,8 miliardi di euro. Oltre alla diffusione, anche il grado di conoscenza degli oggetti smart e connessi sta migliorando. Infatti, il 41% degli italiani possiede almeno un oggetto smart a casa, di cui la maggior parte sono correlati all’ambito della sicurezza. Tuttavia, le potenzialità di questi oggetti spesso non vengono sfruttate appieno perché i consumatori non le ritengono utili o non sono in grado di usarle a causa dell’eccessiva complessità. Un altro aspetto che tende a frenare gli utenti sia nell’utilizzo sia nell’acquisto di smart objects riguarda gli aspetti legati alla privacy. Infatti, è cresciuta la diffidenza dei consumatori nel condividere i dati personali, passando dal 27% al 51%[3].

Iot e Gdpr

Sul piano giuridico i principali nodi critici legati allo sviluppo e all’ecosistema dell’Iot riguardano la tutela dei dati personali degli utenti e la sicurezza.

I dispositivi di Iot dialogano con noi e tra di loro ricevendo e scambiando ingenti quantità di dati e informazioni personali, spesso anche dati c.d. sensibili come quelli riguardanti la salute (oggi con il nuovo Regolamento europeo sulla privacy – c.d. Gdpr – non si parla più propriamente di “dati sensibili” ma di “categorie particolari di dati personali”).

A livello istituzionale un primo focus sulle implicazioni legali dell’Iot lo ha dedicato il Gruppo di lavoro “Articolo 29” (WP29), nel “Parere 8/2014 sui recenti sviluppi nel campo dell’Internet degli oggetti” adottato il 16 settembre 2014.

Il WP29 è organismo europeo indipendente che ha svolto funzioni consultive sui temi della protezione della vita privata e dei dati personali fino al 25 maggio 2018 (data di entrata in vigore del regolamento Gdpr), e oggi è sostituito dal Comitato europeo per la protezione dei dati – Edpb.

L’analisi del WP 29 si è concentrata in particolare su tre sviluppi specifici dell’IoT (wearable computing ovvero dispositivi informatici indossabili, quantified self e domotica) che 1) si interfacciano direttamente con l’utente e 2) riguardano dispositivi e servizi che sono effettivamente utilizzati e che in effetti si prestano quindi ad un’analisi alla luce della normativa in materia di protezione dei dati.

Il WP29 ha formulato una serie di raccomandazioni pratiche indirizzate ai diversi portatori di interessi (fabbricanti di dispositivi, sviluppatori di applicazioni, piattaforme sociali, ulteriori destinatari dei dati, piattaforme di dati e organismi di normazione) per aiutarli a mettere in pratica la protezione della vita privata e dei dati nei propri prodotti e servizi [4].

Come tutte le tecnologie che implicano il trattamento di dati personali, anche i dispositivi di Iot devono fare i conti con le norme sulla tutela della privacy; in particolare con i principi c.d. di trasparenza e di privacy by design e by default. In relazione alla trasparenza: le informazioni destinate al pubblico o all’interessato devono essere accessibili facilmente e di semplice comprensione. Si pensi ad esempio alle informazioni online sulle caratteristiche dei prodotti: l’interessato deve poter comprendere se sono raccolti dati personali, da chi e a quale scopo.

I dati personali devono essere trattati in modo lecito, equo, trasparente e il titolare o responsabile del trattamento deve applicare politiche trasparenti e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell’esercizio dei diritti dell’interessato.

L’uso di dispositivi IoT pone infatti un problema di asimmetria informativa e di mancanza di controllo sui propri dati personali: la condivisione di dati personali tra produttori dei dispositivi, sviluppatori di software, fornitori di capacità di calcolo, clouds providers e analisti, comporta per le persone, i cui dati sono trattati, un’estrema difficoltà ad esercitare un adeguato controllo sugli stessi, sulle modalità della loro trasmissione dai dispositivi IoT, sulla condivisione tra terze parti e, soprattutto, sulle finalità perseguite  diverse da quelle associate al dispositivo (c.d. “uso secondario”)[5].

Inoltre, in questo contesto si dovrebbe maggiormente fare riferimento ai citati concetti di matrice anglosassone quali privacy by design e privacy by default. La prima riguarda la protezione dei dati integrata nell’intero ciclo di vita della tecnologia, dalla fase iniziale di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale. La seconda, le impostazioni di tutela della vita privata relative ai servizi e prodotti devono rispettare i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

La quantità di dati personali potenzialmente rilevabile dai diversi dispositivi pone inoltre il rischio di una profilazione sempre più sofisticata delle abitudini dei clienti. Per “profilazione” invece si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica. Si utilizzano in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona.

A questo proposito il Gdpr stabilisce che l’interessato ha il diritto “di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Proposte legislative

Oggi, si rende quindi necessaria una certificazione della sicurezza degli oggetti connessi con “un’etichetta”. Il nostro orizzonte potrebbe essere quello europeo. Oggi le aziende devono ottenere l’ok da ogni stato e i costi sono molto alti[6].

Dopo il Gdpr, il regolamento sulla protezione dei dati personali, l’Unione europea si appresta ad alzare nuove difese per la sicurezza informatica. Sono quelle del cosiddetto Cybersecurity act. Ossia il regolamento che assegnerà all’agenzia comunitaria per la sicurezza informatica, l’Enisa, nuovi compiti e risorse per proteggere il vecchio continente dagli attacchi hacker e che metterà nero su bianco l’introduzione di una certificazione per gli oggetti connessi[7]. In futuro le aziende di elettronica dovranno passare i test europei prima di poter vendere un apparecchio smart, dalla telecamera al frigorifero, e garantire la sicurezza dei dati raccolti e trasmessi.

Uno degli obiettivi è fissare i paletti della sicurezza degli oggetti connessi. Come si legge nella bozza, l’Ue vuole istituire “una certificazione standardizzata a livello di Ue, che si basi su norme europee o internazionali e preveda requisiti e criteri di valutazione comuni in materia di cybersicurezza validi per tutti i settori e i mercati nazionali”[8].

Gli oggetti connessi, d’altronde, moltiplicano le possibilità attraverso le quali gli attacchi informatici possono propagarsi nelle reti. Ci sono le porte, chiamate backdoor, spesso tutt’altro che sorvegliate o difese con sistemi facilmente aggirabili.  È necessario quindi che, sebbene un numero crescente di dispositivi siano connessi a internet, la sicurezza non è sufficientemente integrata nella progettazione dei medesimi, il che rende inadeguata la cybersicurezza.

Uno studio della Commissione europea calcola che tra il 2013 e il 2017 gli attacchi hacker sono quintuplicati nel vecchio continente[9],  coinvolgendo non più solo i computer, come in passato, ma anche le migliaia di apparecchi smart che oggi sono presenti nelle nostre case e che si utilizzano nella vita di tutti i giorni.

 La certificazione quindi sarebbe una definizione di uno standard minimo di sicurezza del prodotto che viene messo in commercio. È necessaria quindi maggiore consapevolezza dei sistemi che si utilizzano. In questo modo si aumenterebbe la sicurezza informatica, i consumatori avrebbero maggiore fiducia nei prodotti ed i medesimi diventerebbero più sicuri in quanto tali.

Si creerebbe così un livello minimo di sicurezza alla pari di quello in vigore per la produzione di tutti i prodotti europei come ad esempio giocattoli o automobili.

È necessario creare maggiore consapevolezza che dev’essere in primo luogo dettata da una maggiore conoscenza dei sistemi smart. Diversamente dal passato, gli smart devices collegano il cliente finale alla rete e quindi ad una rete illimitata di collegamenti.

Il Cybersecurity act assegnerà più poteri e soldi all’Enisa. Oggi l’agenzia, con sede a Creta, ha uno staff di 84 persone e un budget di 11 milioni. In quattro anni Bruxelles vuole assumere 40 nuovi dipendenti e raddoppiare i finanziamenti a 23 milioni. Enisa deciderà le politiche di cybersicurezza europea, interverrà in caso di attacchi e incidenti, affiancherà i governi degli Stati membri. E scriverà le regole per certificare gli oggetti connessi. A quel punto sarà accreditati gli enti che potranno apporre il marchio di qualità, per un massimo di cinque anni.

Le associazioni industriali sono piuttosto restie riguardo l’etichetta di cybersicurezza. Business Europe e Digital Europe sono a favore purché non sia obbligatoria. Le federazioni Ifia e Ceoc (agenzie ispettive e di certificazione) propongono un distinguo: obbligo per oggetti e infrastrutture critiche, volontarietà per il resto. Il che implicherebbe che le aziende di elettrodomestici potrebbero scegliere se certificare o meno i loro prodotti destinati alla smart home. Lo stesso direttore operativo di Enisa è a favore di una certificazione leggera per l’Internet of Things. Mancano norme stringenti in settori critici, come l’armonizzazione della legge penale tra gli Stati membri o l’uso della crittografia[10].

L’unico modo per avere più sicurezza sugli apparecchi connessi si potrebbe avere attraverso uno sforzo di governi e cittadini.

Il Clusit è stato chiamato al tavolo di lavoro della prossima direttiva europea. L’obiettivo è di calibrare la certificazione in base all’uso dell’oggetto e ai rischi collegati. Infatti, un macchinario sanitario in ospedale svolge funzioni e raccoglie dati più sensibili di un frullatore. La norma deve essere fondata su una valutazione di rischio, che non è uguale per tutti gli oggetti. Ci sono differenze incredibili, i tempi dipendono dai governi ma possono essere veloci, come per il Gdpr. La definizione di standard minimi è urgente, d’altro canto sempre più oggetti connessi entrano in casa.

 

Riflessioni e conclusioni

I sistemi smart house possiedono, in generale, due funzionalità principali.

La prima riguarda la localizzazione delle attività delle persone (detta anche ‘human activity tracking’); mentre la seconda è inerente all’acquisizione e all’uso dei dati (data collection).

Entrambe le funzionalità devono essere continue e avvenire in real-time per rispondere in maniera reattiva alle necessità degli abitanti.

Il tracking è la parte intelligente della componente software. Il suo obiettivo è quello di scoprire, comprendere e registrare le azioni degli utenti e, quando possibile, di prevederle al fine di migliorare la fruizione degli spazi.

È fondamentale che questa funzione avvenga in modo non invadente affinché gli occupanti non si sentano sorvegliati dal sistema.

La funzione di data collection è parimenti fondamentale in quanto permette di eseguire analisi statistiche e di ottimizzare i processi mediante l’elaborazione delle informazioni registrate.

I dati generati nella smart home derivano da tre diverse sorgenti: dall’interazione attiva tra utente e sistema (ad es. comandi vocali e controlli tramite interfaccia grafica), dall’interazione passiva (presenza/assenza degli occupanti monitorata mediante sensori di movimento) e dai dati ambientali (temperatura, umidità, ecc.).

L’aumento di devices e sensori nelle smart houses implica un sensibile incremento di quantità e di tipologie di dati monitorati e immagazzinati dai sistemi. In un’ottica di automazione sempre maggiore, si stanno sviluppando strumenti per la gestione dei così detti ‘big data’[11].

Questi dati sono il prodotto di grandi quantità di informazioni generati dal sistema in una mole elevata, in modo molto veloce, attraverso differenti tipologie di dati chi possono generare. Questo è strettamente connesso con la veracità. Ad esempio, i dati hanno valore se è possibile individuare dei trend che prima risultavano invisibili e, attraverso di essi, proporre miglioramenti che possono giovare all’utilizzatore (sia in termini di comfort sia economici).

Infatti, grandi quantità di dati richiedono sforzi computazionali considerevoli ma possono offrire importanti vantaggi. Quando il volume dei dati è molto elevato è possibile applicare algoritmi per l’identificazione di pattern ricorrenti e trend, in particolare, relazionati al comportamento delle persone e alle loro interazioni con l’ambiente circostante.

L’obiettivo dei sistemi smart houses è migliorare la qualità della vita degli occupanti. Infatti, la possibilità di programmare impegni, attività e di definire, da remoto, programmi di funzionamento per i sistemi smart, aiutano a risparmiare tempo nella gestione quotidiana dell’abitazione. I sistemi smart home aiutano anche a risparmiare denaro poiché è possibile monitorare in ogni momento i flussi di energia e intervenire in caso di consumi eccessivi. Inoltre, la possibilità di monitorare tutti gli ambienti domestici via Internet e di essere avvertiti in real-time in caso di intrusioni o manomissioni contribuisce a migliorare la sicurezza e la serenità dei proprietari.

Sebbene il mercato relativo alle smart houses sia il protagonista di un crescente successo, esistono ancora alcuni limiti. In particolare, l’approccio che gli utenti adottano nei confronti di questi sistemi è ancora privo di integrazione, tanto che solamente il 5% degli utenti pensa di avere adeguate conoscenze della tecnologia smart house[12].

Molto spesso oggetti smart e applicazioni vengono usati per risolvere pochi problemi quotidiani, senza incidere significativamente (e positivamente) sulla vita delle persone.

Tale mancanza di interazione è figlia di alcune problematiche legate alla struttura intrinseca dei sistemi e a come questi vengono presentati ai fruitori. Infatti, spesso vengono riscontrati problemi nell’utilizzo dei servizi, e soprattutto di quelli più avanzati, a causa di un’interfaccia grafica poco intuitiva e di una comunicazione inadeguata di tutte le capacità degli smart devices.

Le prossime attività in questo ambito di ricerca mirano al superamento degli attuali limiti con l’obiettivo di semplificare la gestione dei diversi smart devices, di migliorarne l’interoperabilità e di offrire all’utente un’esperienza integrata che possa migliorare sensibilmente lo stile di vita.

In questo contesto, l’Intelligenza Artificiale (AI) e la biometria vocale giocheranno un ruolo cardine. Infatti, queste tecnologie, oltre a migliorare la sicurezza dei sistemi, possono permettere agli utenti elevatissimi livelli di personalizzazione (grazie anche all’unicità del timbro vocale). Inoltre, gli algoritmi di machine learning (cioè di auto-apprendimento) integrati negli oggetti smart sono in grado di elaborare le informazioni direttamente in locale e compiere azioni immediate.

Le attività di sviluppo aspirano a inserire un elevatissimo grado di intelligenza negli assistenti vocali, affinché siano capaci di intervenire in maniera proattiva nelle occupazioni e nella vita degli utenti e possano proporre attività calibrate sulle loro preferenze.

Queste novità per essere considerate possibilità devono però essere sicure e coscienziosamente fruibili: da un lato, un modo per poter garantire uno standard minimo è una certificazione unica di produzione; dall’altro, maggiore informazione sulle potenzialità di questi sistemi che diverranno sempre più di uso quotidiano e della popolazione giù giovane.

[1] Internet of Things – number of connected devices worldwide 2015-2025, Published by Statista Research Department, 14 novembre, 2019.

[2] K. Ashton, “That ‘Internet of Things’ Thing“, RFID Journal, 22 June 2009, disponibile qui https://www.rfidjournal.com/articles/view?4986.

[3]“Smart Home: mercato da 380 milioni di euro”, Osservatorio IoT, 2019, disponibile su  https://www.osservatori.net/it_it/osservatori/comunicati-stampa/smart-home-mercato-italia.

[4] F. Naspi, G. Filippetti, Smart homes: come l’IoT ci aiuterà nella vita di tutti i giorni, 28/01/2020 disponibile su ingenioweb.it.

[5] Wolters Kluwer Italia Contributor, Internet of things, tra diritto e controversie, 20 novembre 2019, disponibile su wired.it.

[6] B. Weisz, Quanto costa l’upgrade di un’azienda al modello industry 4.0, 11 febbraio 2016, disponibile su agendadigitale.eu.

[7] The EU Cybersecurity Act, disponibile su https://ec.europa.eu/digital-single-market/en/eu-cybersecurity-act.

[8] L. Zorloni, Cybersecurity e smart home, in Europa la battaglia per le difese dell’Iot, 3 settembre 2018, disponibile su wired.it.

[9] Rapporto Clusit sulla Sicurezza Informatica 2019, pagg. 270-280.

[10]The EU Cybersecurity Act, Regolamento (UE) 2019/881 del 17 aprile 2019, disponibile su https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019R0881&from=EN .

[11] Directorate-general for internal policies, European Parliament, Big Data and Smart Devices and Their Impact on Privacy, 2015.

[12] F. Naspi, G. Filippetti, Smart homes: come l’IoT ci aiuterà nella vita di tutti i giorni, 28/01/2020 disponibile su ingenioweb.it.