Angelica Marino
Condividi su:
Share on facebook
Share on twitter
Share on telegram
Share on whatsapp

Profilazione e sorveglianza digitale: esiste una via di fuga?

Matt Chinworth

“Now my computer gets sad without me, it’s scary 

It’s turnin’ off everything I believe in 

‘Cause it knows it’s easy” 

Unperson, Nothing but Thieves (2020)
Table Of Contents

Definire il web come “vasto” è riduttivo: questo offre una gamma di servizi incredibile, ritagliati per ogni tipo di esigenza. E come nasce internet, nasce il concetto di gratuità: la pretesa di ottenere uno strumento sofisticato senza dover spendere un centesimo è ormai insita e scontata nella gran parte di noi. Insomma, perché pagare per qualcosa che possiamo avere gratis? 

La possibilità di accedere a numerose risorse di qualità, gratuitamente, è la prima fonte di attrazione per i consumatori. Questo però, non è nient’altro che un modo per ottenere dati di individui spesso ignari dei termini e delle condizioni di servizio. Papiri e papiri di regole sulla privacy vengono accettati acriticamente e pigramente ogni giorno.   

E lo sai anche tu. In questo momento, leggendo l’articolo dal tuo dispositivo, stai producendo valore per qualcun altro. No, niente tesi complottistiche: quante volte avrai sentito che il dato è la moneta del nuovo millennio? Questo infatti ha un fondamentale valore economico e tutte le società che offrono servizi gratuiti, in fin dei conti, cedono prodotti in cambio di dati.  

Negli ultimi vent’anni siamo stati tutti affascinati e dolcemente cullati dalla novità di Internet: dai primi forum online alla comparsa di Youtube, dall’avvento degli smartphone all’affermarsi di strumenti fondamentali per la vita di tutti i giorni. Ai tempi del 56k, internet sembrava un ottimo posto dove nascondersi; un luogo d’élite per nerd e smanettoni che spesso facevano finta di essere qualcun altro. E quanto era bello scappare dalla routine del quotidiano vestendo panni di gamerboy87, piuttosto che di Xxx_Fantastik4_xxX?  

Con l’inizio dello scorso decennio, in seguito ad eventi come Wikileaks e al seguente scandalo di Cambridge Analytica, un sottile velo di disillusione ha iniziato a permeare l’entusiasmo del progresso tecnologico. 

Si pensi che dall’inizio alla fine dell’ultimo decennio la percezione di privacy online è profondamente cambiata. Secondo i dati raccolti su un campione di 23mila persone dal Centre for International Governance Innovation (Cigi) e Ipsos per il Global Survey on Internet Security and Trust, il 64% degli utenti di Internet è più preoccupato nei confronti della privacy rispetto all’anno precedente, mentre un 62% del campione totale ha paura della possibilità che agenzie straniere possano monitorare le sue attività online. Ecco, nel particolare, secondo il sondaggio condotto nel 2019, come cambia la percezione della preoccupazione di continente in continente.

Ci ritroviamo in presenza di argomenti che si rivelano di basilare importanza per la vita di ogni individuo che si vede costretto ad affrontare apertamente ed evidentemente, la calda questione dei propri dati personali. 

1. Il valore della profilazione

A chi non è mai capitato di sentire magicamente Google Assistant o Siri attivarsi nel bel mezzo di una conversazione? O di vedere su ogni annuncio in cui ti imbatti quello stupido gadget che avevi visto su Wish solo per pura curiosità? 

Pensiamo ad una situazione in cui le persone vengono spiate nei comportamenti che compiono tutti i giorni: apparentemente non sembra esistere un beneficio utile da queste azioni. Immaginiamo che qualcuno (o qualche strumento), dopo avere osservato il modo in cui ci rechiamo al lavoro e averci profilato, ci consiglia di salire sull’autobus che già abitualmente prendiamo per andare in ufficio. Quale sarebbe l’effettiva utilità di questa azione? Assolutamente nessuna: perché suggerirci qualcosa che facciamo già? Ma, nell’ipotesi in cui l’autobus passa prima (o sei tu in ritardo), la profilazione entra in gioco: ed ecco che proprio mentre smetti di rincorrere il pullman guardi le notifiche del cellulare. Bam! Magicamente spunta la proposta di un taxi ad un buon prezzo.

1.1 Profilazione da accumulo e profilazione da contesto

È più utile avere un mucchio di informazioni su un comportamento a lungo andare o un insieme di informazioni, anche più povera, che ci consente di generalizzare gli interessi e le necessità del nostro utente target? 

La profilazione da accumulo sistematico non genera alcuna nuova conoscenza sul target in questione, ma è solo utile a confermare sempre di più uno stereotipo. Dopo aver saputo che uno studente universitario prende il treno da tre anni a questa parte, il beneficio marginale che deriva dall’accumulo di nuovi dati diventa trascurabile. Addirittura, pensato con un’ottica pubblicitaria, la performance dell’azione di targeting potrebbe peggiorare, conseguendone un costo del trattamento promozionale (es. Costo per Clic) più elevato. 

La profilazione del contesto è un atto creativo implementato sempre di più da sofisticati algoritmi. A partire da una combinazione di dati di base, con la consapevolezza di non necessariamente portare l’azione del cliente a buon fine. Non c’è modo più efficace e razionale di ridurre questo rischio nel prevedere un mio comportamento nuovo se non osservando altri user personas simili.  

Ed ecco che qui si aggiunge un’altra dimensione della profilazione, non più basata sull’accumulo, o sul volume, ma sulla qualità dei dati. Questa è una strategia sempre più preponderante grazie ad internet e ai big data: l’osservatore, per garantire la performance ottimale, deve controllare quante più caratteristiche di quante più persone possibile. In questo modo vengono integrate delle caratteristiche parziali di un soggetto e altri profili parziali dell’altro (molto sovrapponibili) ipotizzando che le attività e gli interessi consueti della prima persona siano congruenti alla prossima mossa dell’utente profilato.

Sembra dunque che in questa realtà vasta di servizi gratuiti si celi un grande costo da sostenere: anche la minima azione su internet può essere profilata e dare dei subdoli indizi all’algoritmo di cosa propinarci. 

2. Un diritto (e una possibilità) di uscita 

Un quesito, dunque, sorge spontaneo: è possibile rinunciare alle comodità e all’istaneità di internet, giovando della completa (o parziale) tutela della propria privacy personale? 

È necessaria una premessa. Ad oggi, le tecnologie che fanno parte del nostro quotidiano presentano quattro principali aspetti:  

  • ✔ Sono in costante sviluppo, sia in termini hardware che software; ogni aggiornamento inserisce delle novità che possono giovare alla nostra privacy o meno (Si pensi alle novità in merito alla privacy di IOs). 

  • ✔ La diffusione di strumenti tecnologici è capillare, anche dove è meno pensabile: persino i distributori automatici hanno sviluppato nel tempo tecnologie per affinare l’esperienza di acquisto. 

  • ✔ Sono dotati di ubiquità, ovvero sono contemporaneamente in ogni luogo: smart tv, elettrodomestici intelligenti, assistenti vocali, smartphone, computer, tablet… questi sono gli esempi più banali;  

  • ✔ Infine, sono pervasivi: ovvero sono capaci di diffondersi acquistando o imponendo valori e significati nuovi. Si pensi al valore che ha guadagnato nuovamente l’orologio, che si è trasformato in smartwatch.

La mitigazione di un quadro invasivo della privacy che porta all’estrema difficoltà di uscire dallo stesso richiede un’azione complessa e combinata di varie componenti sociali: dalla giurisprudenza all’economia, dalla tecnica all’informatica. 

2.1 La filosofia di Rodotà

Chi è Stefano Rodotà

Dall’istituzione del Garante Privacy nel 1997, il presidente Stefano Rodotà ha contribuito in maniera egregia allo sviluppo della tutela della privacy pre-GDPR. Nel 2004, alla conclusione di due mandati, presentò una Relazione annuale conclusiva che prospettò futuri problemi che avrebbe comportato l’affermarsi di una società della sorveglianza e del controllo. Quasi con veggenza, ha accennato all’idea di un diritto all’uscita dal sistema, parallelamente al concetto di diritto all’oblio che caratterizza i media tradizionali e la stampa.  

“Non è solo nella società della spettacolarizzazione continua che emerge il bisogno di ritirarsi dietro alle quinte per riflettere, per rifiatare. Più cresce la nostra immersione nella società dell’informazione totale, più si diffondono le tecnologie dell’informazione e della comunicazione, più si amplia l’area in cui si forniscono beni e servizi in cambio di dati personali, maggiore diventa l’esigenza di precisare la posizione in cui si trova ciascuno di noi. Questo esige uno sguardo nuovo sugli strumenti giuridici disponibili, sull’utilizzazione delle stesse tecnologie come fattori di tutela della privacy e, in conclusione, sulla nuova dimensione costituzionale che sta emergendo.”

Stefano Rodotà, 2004

Il giurista pone le mani avanti e dichiare che l’obiettivo non è facile da raggiungere poiché, in ambito legislativo come in ambito economico, è difficile delimitare un diritto che coniughi tutte le necessità. In un’ottica ottimista, sostiene, è necessario attrezzarsi con strumenti che consentano, quantomeno, di limitare la presenza di chi ci sorveglia nella vita quotidiana.  

2.2 Privacy by Design e Privacy by Default

7 Principi fondanti della Privacy by Design

Già dagli anni Novanta il concetto di Privacy by Design si è instaurato alla base della tutela dei dati personali. Rodotà è un forte sostenitore dell’idea, e a tal riguardo asserisce: 

“Pensiamo al diritto del cittadino di poter stabilire, almeno in parte, i contenuti delle carte elettroniche che gli vengono rilasciate, selezionando, ad esempio, quali dati sulla salute debbano comparirvi. Pensiamo alla possibilità tecnologica di disattivare completamente tutti gli apparati elettronici che già portiamo con noi, come i telefoni mobili, o che stanno entrando nella nostra vita, come le “etichette intelligenti”, in modo da sottrarsi alla schiavitù della localizzazione permanente.” 

Stefano Rodotà (2004)

Quello che viene evidenziato, in sostanza, è la possibilità di esercitare un potere di controllo sul flusso dei nostri dati, regolandone direttamente le modalità di raccolta e di circolazione, interrompendolo quando lo si ritiene necessario e riattivandolo quando ci sembra opportuno.  

Quindi il concetto di Privacy by Design indica un approccio tecnologico e sociale, volto ad incorporare strumenti a tutela della privacy sin dal primo sviluppo del servizio stesso. Il sistema di tutela dei dati personali deve porre l’utente al centro: il titolare del trattamento dei dati obbligatoriamente deve garantire una tutela effettiva e concreta, non solo formale. Non è sufficiente che lo sviluppo del sistema sia conforme alle leggi, se poi si verificano eventi come data breaches.

Il concetto è ribadito ulteriormente nell’articolo 25 del GDPR (General Data Protection Regulation). Dalla sua istituzione e successiva attivazione, la carta impone a tutti i cittadini europei di raccogliere i prodotti con un occhio di riguardo alla tutela dei dati personali. La privacy by design è basata sulla valutazione del rischio, per cui ogni singola azienda, in base ai dati che raccoglie, dovrà valutare il rischio sul tipo di dati, la loro conservazione e il loro aggiornamento.

Tale valutazione deve essere ponderata sin dal primo step, al momento della progettazione del sistema, quindi prima che il trattamento inizi. È necessario tener conto anche della tipologia di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore. (Ciò sembra essere stato preso sottogamba dall’applicazione TikTok negli ultimi mesi)

Il principio di Privacy by Default prevede che per impostazione predefinita qualsiasi attività dovrebbe trattare i dati personali esclusivamente nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a questi scopi. Bisogna, dunque, designare il sistema di trattamento di dati garantendo la non eccessività delle informazioni gestite. Così l’interessato rimane sempre tutelato, ricevendo un alto livello di protezione. 

L’approccio basato sul rischio comporta che si deve tenere conto dello stato della tecnologia, per cui il trattamento e la conservazione va adattata di pari passo con lo sviluppo normativo europeo. Si tratta di un’azione di compromesso, destinata a variare nel corso del tempo e a seconda delle tecnologie che si diffonderanno. E l’imprevedibilità dello sviluppo tecnologico è decisamente una variabile importante che caratterizza l’impossibilità completa al diritto alla riservatezza online. Un esempio lampante è il necessario sviluppo tecnologico che ha apportato la pandemia: questo evento storico ha richiesto lo sviluppo di nuovi strumenti informatici fondamentali per la scuola, per il lavoro e per la vita sociale, con conseguenti scandali e problematiche legate alla riservatezza degli utenti.

3. È possibile mantenersi tutta la vita al di fuori del trattamento dei dati? 

Il diritto all’uscita è un concetto nobile ma applicabile solo con margini ridotti.  Un approccio più deciso potrebbe quindi essere l’uscita radicale dal sistema: un approccio fermo quanto inattuabile. Come sarebbe possibile per un bambino seguire le lezioni scolastiche in tempi di pandemia? Come sarebbe possibile mantenere relazioni a distanza nel lungo periodo?  

Adesso che abbiamo sperimentato l’utilità di usare Internet per sopravvivere all’emergenza sanitaria, l’accesso alla rete ci appare scontato. Come pure la possibilità di studiare a distanza, fare un concerto e ordinare la spesa online. Ma la Rete è un bene scarso e ce ne accorgiamo solo quando non ce l’abbiamo. 

Anche rinunciando a tutto quello che il Web offre, ad oggi la digitalizzazione è necessaria per poter compiere anche la più essenziale delle azioni: SPID, carta regionale dei servizi, home banking, servizi e agevolazioni per chi è in difficoltà. Dai bambini agli anziani, il nostro nuovo stile di vita ha forzatamente accelerato questo processo: sembra che qualsiasi operazione debba essere eseguita online per non dover incorrere a lenti e macchinosi processi burocratici.  

L’uscita completa dal sistema sembra essere impensabile e Rodotà, nel suo scritto “Persona, libertà, tecnologia. Note per una discussione” evidenzia delle corrispondenze e delle divergenze con il sistema agrario-feudale.  

“Ce lo ha detto Marc Bloch, (il sistema feudale) era appunto una società trasparente, dove l’intimità, la possibilità di sottrarsi agli sguardi indesiderati, erano la condizione, o il privilegio, di pochissimi eletti o di chi aveva deciso di separarsi dalla propria comunità – mistici o monaci, pastori o banditi. Chi, oggi, può scegliere un isolamento estremo per sottrarsi alla trasparenza assoluta? Neppure l’isolamento fisico può essere sufficiente. In un film di Tony Scott del 1998, Nemico pubblico, uno dei protagonisti diceva: “la sola privacy che avete è nella vostra testa. E forse neppure in quella”. Quel dubbio sta diventando una concreta, inquietante realtà. Si sviluppano le ricerche sulle impronte cerebrali, si mette a nudo la memoria individuale per trovare tracce che rivelino il ricordo di fatti passati e possano, quindi, essere assunte come prova di una partecipazione a quei fatti. Come annunciava Freud, l’Io rischia di non essere più padrone in casa propria. Cambia il mondo intorno a noi, e dentro di noi. La società della sorveglianza celebra i suoi riti e può cancellare i fondamenti della civiltà giuridica.” 

Online come offline, si può decidere di nascondersi per un determinato periodo: si può scollegare internet per una settimana, un mese un anno; così come si può rimanere isolati fisicamente per lo stesso tempo. Ma, prima o poi, si deve uscire dal nascondiglio. In un parallelismo con la realtà concreta, è difficile passeggiare per una città e non essere ripresi da almeno una telecamera: il progetto Anopticon lo evidenzia in modo esplicito.  

Riproduzione della mappa di Venezia – Progetto Anopticon

3.1 Il progetto Anopticon 

In particolare, Anopticon raggruppa tutte le telecamere di videosorveglianza negli spazi pubblici. Il progetto è portato avanti per mezzo della collaborazione di una community di utenti su internet. Il nome del progetto deriva da un libro di Umberto Eco, che parla di una realtà opposta al Panopticon (Per scoprire cos’è, dai un’occhiata a questo articolo). Nel concreto il lavoro, attraverso la collaborazione dei propri contributori, ha mappato e schedato le telecamere di videosorveglianza negli spazi pubblici cittadini, allo scopo di definire l’area videosorvegliata della città e di segnalare alle autorità competenti le violazioni della privacy e le telecamere illegali o non segnalate secondo la legge. 

Nella lista si trovano grandi città italiane come Venezia, Padova, Foggia, Urbino, Alessandria, Pisa, Genova, Verona, Roma e molte altre.  

3.2 Isolamento digitale? 

Tornando al discorso precedente, si può decidere di non aprire conti bancari, utilizzare bancomat e carte di credito… ma come potrebbe essere possibile acquistare una casa, ricevere uno stipendio, espatriare in alcuni paesi? Le azioni sopracitate possono essere ostacolate dalle autorità stesse o dalle istituzioni, per cui risulta estremamente complesso non essere almeno in un’occasione profilati e non avere dati che si possano poi correlare tra loro per definire la propria persona. In alternativa, risulta impossibile accedere al servizio desiderato.  

E nuovamente immaginiamo che un soggetto abbia deciso di non iscriversi mai ad un social network, di non avere un indirizzo di posta elettronica a lui (direttamente o indirettamente) riferibile, che non abbia una connessione ad Internet, non abbia un telefono e che non paghi con carte di credito. Il solo fatto di non essere incluso in questi ambiti apporterebbe decisamente un elevato livello di riservatezza, anche se non totale.  
D’altro canto è difficile credere, nel 2021 e in una società digitalizzata, che una persona non abbia accesso a nemmeno uno di questi servizi. Inoltre c’è da considerare che, sebbene ci si voglia mantenere fuori dal sistema, non si potrà avere sempre controllo sui dati che riguardano o sulle fotografie che i gli amici caricano sui social network. Allo stesso tempo, le rinunce tecnologiche comporterebbero un sicuro svantaggio sia pratico sia in termini di informazione e possibilità di conoscenza.  

3.3 Cancellare la propria presenza su Internet

Le informazioni che abbiamo lasciato sui social, sui siti di e-commerce, nelle caselle di posta elettronica e così via, sono dei segni quasi indelebili del nostro passaggio in Rete. Questo interessante video di WUSA9 spiega nel dettaglio i motivi per cui è impossibile rimuovere completamente le proprie tracce dal web.

Seppur un’operazione difficile da compiere integralmente, negli ultimi anni sono stati sviluppati numerosi siti web e applicazioni che consentono di cancellare le tracce dei propri dati personali in un solo click: un esempio è il sito Deseat.me sviluppato da due ricercatori svedesi. Per quanto riguarda i motori di ricerca, Ruin My Search History fa impazzire completamente la propria cronologia di ricerca e depistare chiunque (a proprio rischio e pericolo). 

4. La sostituzione di persona come strumento per ingannare il sistema

Fake account, sostituzione di persona, catfish: la tecnologia rende semplice creare identità fittizie in Internet. Chiunque, almeno una volta nella vita, ha inserito dei dati “taroccati” per raggirare il sistema in qualche modo. È opportuno accennare al fatto che queste azioni hanno due svantaggi evidenti: resistono solo a un controllo superficiale, per cui non sono da considerare strumenti efficaci per garantire l’anonimato. D’altra parte, non meno importante, possono costituire reato, dal momento che sono in grado di ingannare terze persone con cui ci si è relazionati. 

I servizi più diffusi, per facilitare l’iscrizione dell’utente, richiedono pochi step per terminare l’iscrizione. Non viene dunque effettuata una verifica accurata e, nel caso eventuale si verificassero dei problemi, il servizio semplicemente può provvedere a sospendere l’account.  

4.1 Implicazioni tecniche

È semplice camuffare un profilo fake quanto lo è scovarlo. Inventarsi un’identità comporta dei difetti a lungo andare, ma se finalizzata a garantire il proprio anonimato è un’attività completamente innocua.  
La questione diventa più spinosa quando ci si nasconde nei panni di qualcun altro: appropriarsi di un’identità altrui può generare profitto tramite potenziale mediatico e pubblicitario, oppure danno all’immagine della persona lesa tramite diffamazione. Due dei fenomeni più diffusi legati alla sostituzione di persona sono il catfishing e il phishing.

Facebook ed altri social si sono impegnati, ad esempio tramite l’autenticazione a due fattori, di informare il proprietario dell’account circa i login eseguiti da nuovi dispositivi. Inoltre, nel caso di eventuali sospetti, è possibile individuare gli intrusi mediante verifiche semplici ma più accurate come il rintracciamento dell’indirizzo IP.

4.2 Implicazioni giuridiche

Da un punto di vista strettamente giuridico, ci sono due leggi del Codice Penale che perseguono questo reato. In primis, troviamo l’articolo 494 che tratta della sostituzione di persona. 

“Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno.” 

Una norma ad hoc è stata poi sviluppata negli anni Novanta in merito alle frodi informatiche: in particolare, il furto di identità digitale costituisce aggravante dell’articolo 640-ter. 

5. Individuare tecnologie ed ambienti ostili

L’idea di uscire dal sistema della profilazione è strettamente correlata alla comprensione dell’ambiente circostante: il sistema, il servizio o una tecnologia che stiamo utilizzando in che modo può essere definito ostile? 
Nell’ambito della sicurezza informatica è ostile una tecnologia, un ambiente digitale o un’infrastruttura che abbia funzioni di controllo o possa essere configurata per controllare persone o servizi. Una questione simile accade quando ci troviamo dinanzi ad una tecnologia oscura, ovvero quando non si può esattamente sapere se lo strumento in questione abbia funzioni di sorveglianza; oppure il semplice motivo è che non se ne conoscono le specifiche.  

Quali sono i criteri di definizione delle tecnologie oscure?

5.1 La data retention

Un elemento fondamentale da prendere in considerazione è la data retention, ossia le modalità precise attraverso le quali i dati di traffico e di contenuto sono custoditi dai vari servizi, aziende ed enti pubblici. È di fatto un obbligo di legge istituito dalla direttiva europea 2006/24/CE: tra queste informazioni spiccano tempi di conservazione e specifiche riguardanti eventuali trasmissioni a terzi.  

La questione della data retention è puntigliosa sia dal punto di vista tecnico che da quello normativo: apre problematiche in punto di rapporti con le forze dell’ordine, di controllo fatto sulle conversazioni in transito e sulla capacità di rilevare gli spostamenti o la localizzazione degli utenti. Il problema è riposto nel fatto che i dati, essendo conservati, non garantiscono mai del tutto la protezione dei dati personali. Alcuni servizi online si propongono di tutelare questo aspetto garantendo la migrazione di dati verso giurisdizioni extra-europee oppure la non-conservazione dei log files. Quest’ultimi offrono informazioni importantissime in merito alle attività implicite ed esplicite di un qualsiasi sistema informatico e il loro normale funzionamento.

5.2 Come viene gestito il servizio?

Un’altra questione che rende un servizio più o meno ostile è la gestione del servizio, ovvero se il servizio è proprietario o si interfaccia con strutture terze. Pensiamo ad un’e-mail: se ci si appoggia ad un servizio come Gmail, i dati verranno visti e gestiti da un terzo. Il caso è diverso quando viene allestito un proprio server e un servizio su cui si ha un diretto controllo.  

5.3 La sua infrastruttura è oscura o trasparente?

Infine, un criterio che definisce l’ostilità di un’applicazione è la possibilità di conoscerne il suo funzionamento, per quanto possa sembrare affidabile. Ad esempio, una rete wireless pubblica è altamente pericolosa, poiché non gestita direttamente dall’utente: questa infatti può celare un sistema di intercettazione delle comunicazioni o di controllo dell’attività.  
Il segreto per una maggior consapevolezza del sistema che si usa consiste nella conoscenza a fondo del codice che lo muove: per questo è sempre meglio affidarsi a risorse trasparenti.  Ne parleremo tra poco.

6. Come evitare sistemi di sorveglianza Globale (o almeno, provarci)

Mantenere i propri dati sicuri, cosi come conservare quelli di altre persone è una vera e propria sfida dell’era digitale. Questo è dovuto in gran parte alla facilità con cui questi possono essere acquisiti da terzi. La Electronic Frontier Foundation, no-profit dedicata alla tutela dei diritti digitali e della libertà di parola nel contesto dell’odierna era digitale, ha diffuso recentemente delle linee guida volte a garantire una maggior consapevolezza nel contesto del controllo online.  

6.1 Elaborazione del modello di minaccia 

Come anticipazione, nel documento viene sottolineato che non esiste una sola soluzione per essere sicuri online, dal momento che la sicurezza digitale è una scienza inesatta e in continuo aggiornamento. Il primo passo verso un maggior livello di affidabilità è determinare esattamente quali dati devono essere protetti: le minacce possono dipendere infatti dalla posizione sociale e geografica dell’utente. È fondamentale considerare che è impossibile proteggerci da tutte le insidie e di conseguenza sarebbe necessario individuare quale tipo di soggetto vorrebbe entrare in possesso dei dati e attraverso quali modalità. 
Ecco le domande a cui dovremmo rispondere. 

  • ✔ In primis, dato o device che sia, qual è l’elemento da tutelare? In particolare, cosa potrebbe essere un oggetto di valore per un utente tipico: l’email? I messaggi istantanei? Fotografie e video? 

  • ✔ Terminate queste analisi preliminari, l’EFF suggerisce di occuparsi della scelta degli strumenti volti a raggiungere questo scopo. Non è scontato che tutti gli strumenti digitali siano sicuri: per la maggior parte dei dispositivi hardware e software sono necessari programmi e dispositivi volti a garantire una maggiore sicurezza. Il ricorso alla crittografia rende certamente più difficile a terzi la lettura dei messaggi o la possibilità di curiosare tra i file, ma l’attacco alla sicurezza digitale cercherà sempre l’elemento più debole per portare a termine l’impresa. 

  • ✔ Successivamente, da chi lo si vuole proteggere? Chi, vicino o lontano a noi, persona o organizzazione che sia, può prendere di mira l’informazione?

  • ✔ Poi è necessario un focus sul bene e sul rischio: che forza ha il fattore da cui si vuole proteggere il bene? 

  • ✔ Ed infine, quali potrebbero essere le conseguenze in caso di fallimento nella protezione? Quale impegno si pianifica per prevenire il rischio? 

6.2 Codice aperto e proprietario 

Come sostenuto precedentemente, la differenza tra codice aperto e codice proprietario è una questione da tenere a mente: gran parte dei programmi utilizzati e raccomandati dalla community della sicurezza digitale sono a codice libero e Open Source. Oramai sono sempre di più gli utenti che utilizzano questo tipo di programmi: le prestazioni non sono molto differenti rispetto ai software a pagamento. Bisogna però fare particolare attenzione a scaricare il software da sorgenti affidabili o direttamente da quello della software house: navigando su portali sconosciuti è molto probabile installare virus e malware che rallenteranno il computer.  

5 Programmi Open Source che non devono mancare nel tuo pc

Il concetto alla base dell’Open Source è che il prodotto o il servizio in questione è disponibile pubblicamente affinché si possa esaminare: spesso gli autori stessi del software chiedono al pubblico (tramite appositi forum) di segnalare problemi di sicurezza al fine di migliorare il programma.  

Azione ulteriormente utile è controllare la presenza di una procedura di auditing: una verifica approfondita da parte di una persona esterna all’ente produttore del software, proprio sulla sicurezza del codice. Nel processo di auditing sono inclusi dei test, definiti penetration testing, ovvero dei tentativi di violare la sicurezza del sistema e del codice. Un ultimo indice di affidabilità è il fatto che il software la sua popolarità: il fatto che sia utilizzato largamente dagli esperti del settore ne garantisce la qualità.  

6.3 Migliorare la sicurezza delle password 

Non c’era bisogno di farcelo dire dalla EFF: creare password efficaci è un elemento cruciale se si vuole tenere i propri dati al sicuro. Parlo proprio con te, che metti sempre 123456 come password: riutilizzare le chiavi d’accesso è una pessima abitudine, dal momento che chi ottiene la password altrui si ingegna per usarla in tutti servizi correlati. 
Una buona notizia per i più sbadati e pigri: esistono i password manager, come quello che offre Norton o KeePassX. Questi sono degli strumenti che cifrano e memorizzano le password utilizzando una passphrase master, ovvero una mega password per tutte le tue password. 

L’autenticazione a due fattori e le one time passwords sono sempre più preponderanti in servizi come Facebook e Amazon, ma anche in servizi di identità digitale (SPID). Questo implica che per fare il login l’utente deve conoscere un’informazione o essere in possesso di un dispositivo che fornisca un altro dato (Come un token o un telefono). 

7. Chi sono i Whistleblowers (e perché sono importanti)

Spesso il sistema prova a prevedere, dall’interno, rimedi o procedure che possano mettere in evidenza momenti di deviazione dal corso legale delle attività. Il caso più noto è quello dei cosiddetti Whistleblowers, letteralmente segnalatori di illeciti. Tali soggetti possono denunciare le condotte illecite o pericoli di cui sono venuti a conoscenza all’interno dell’organizzazione stessa. Questo può accadere tramite segnalazione all’autorità giudiziaria o rendendo pubblica la notizia attraverso i media o le associazioni ed enti che si occupano dei problemi in questione.  

Tra i Whistleblowers più famosi spicca la figura di Edward Snowden, Ex tecnico della CIA e collaboratore di un’azienda consulente della National Security Agency. Ce ne ha parlato ampiamente Erika nel suo articolo; in breve, l’uomo è celebre perché ha rivelato pubblicamente dettagli di diversi programmi top-secret di sorveglianza di massa del governo statunitense e britannico. Si tratta del più importante leak di sicurezza della storia statunitense perché questo riguardava intercettazioni delle comunicazioni telefoniche e via Internet che avvenivano tra Stati Uniti ed Unione Europea. 

Quando la notizia fu diffusa dal The Guardian e dal The Washington Post, la reazione più immediata della politica è stata estremamente penalizzante. Questo ha scosso un dibattito pubblico senza precedenti che portò ad un‘attenzione giuridica particolare da parte delle istituzioni. Negli anni successivi leaks di questo genere aumentarono, portando a crisi all’interno del sistema.  

7.1 Whistleblowing in Italia e in Europa: le tutele della giurisprudenza

Fino alla legge anticorruzione 190 del 2012, detta anche legge Severino, il modo più efficace in Italia di riportare illeciti di questo genere era la denuncia. Questa però spesso significa un processo legale di grande costo e grande fatica. La materia del whistleblowing, disciplinata in forma molto embrionale, trova ora una più compiuta regolamentazione nella l. 179/2017, che prevede più articolate tutele per il settore pubblico (art. 54 bis d.lgs. 165/2001) ed introduce una seppur limitata tutela del whistleblower nel settore privato (art. 6 co. 2 bis e ss d.lgs. 231/2001). 

Non a caso la stessa Europa, sulla base della giurisprudenza statunitense e su incoraggiamento di moltissime forze civiche che hanno spinto in tal senso, obbligherà tutti gli stati dell’Unione europea a uniformare gli standard sul tema entro il dicembre 2021, grazie alla direttiva 2019/1937 riguardante la “protezione delle persone che segnalano violazioni del diritto dell’Unione”. In questo senso si consideri che, ad oggi, dei 28 Paesi dell’Unione, sono solo 16 quelli che prevedono una normativa specifica, più o meno articolata, in materia. 

Come già sostenuto, l’obiettivo della direttiva è disciplinare la protezione dei whistleblowers all’interno dell’Unione, introducendo norme minime comuni di tutela al fine di dare uniformità a normative nazionali che sono, allo stato attuale, piuttosto frammentate ed eterogenee. Il cosiddetto “suonatore di fischietto” è una figura fondamentale molto utile, e dovrebbe essere inserita in un contesto legale, in grado di giudicare la gravità del rischio, e allo stesso tempo proteggerlo da ritorsioni da parte del soggetto segnalato. 

8. Uscire dal sistema 

“Breakthroughs di Matt Chinworth”

L’essere al di fuori del sistema è un’azione sempre più difficile e resa complessa sempre di più da chi esercita il controllo, tanto che lo stesso non è più correlato alla presenza fisica ma riguarda il lato digitale dell’identità dell’individuo. Ora come non mai, tale difficoltà ha giustificato la diffusione di strumenti che hanno l’obiettivo di aiutare a sfuggire al controllo portato in determinati ambienti, e di impedire il tracciamento o la profilazione.  

È divertente, quanto altrettanto spaventoso, pensare che è la stessa architettura tecnologica ad incorporare gli aspetti del controllo e della sorveglianza. Le macchine per la stampa e i tipografi liberarono le opere dal chiuso dei monasteri e dai locali degli editori, ma al tempo stesso le fissarono in un corpo facilmente controllabile. Così, Internet ha costituito la più ampia diffusione e distribuzione del pensiero ma al contempo si è rivelata la più potente macchina del controllo.  

Traendo le conclusioni, un’uscita dal sistema è impensabile, ma può essere realistico per un limitato tempo nascondersi al fuoco di una ripresa o l’obbiettivo di una fotocamera, così come è possibile evitare di essere tracciati in qualche modo. L’approccio corretto è quello di cercare di prevedere come la tecnologia futura andrà a toccare la riservatezza e i diritti dell’uomo e di tenere sempre a mente, al contempo, le tradizionali categorie giuridiche di protezione della dignità e della libertà dell’individuo. Uno sguardo al futuro, in definitiva, ma sempre bene ancorato al passato e alla nostra tradizione giuridica. 

9. Fonti

Ziccardi G. (2015) Internet, Controllo e Libertà. Trasparenza, sorveglianza e segreto nell’era tecnologica, Milano, Raffaello Cortina Editore.

Wired, 13 giugno 2014, La percezione della privacy nell’era della sorveglianza digitale

WibMachine, 22 maggio 2017, Distributori automatici intelligenti vs tradizionali: cosa fa la differenza?

La Repubblica, 12 giugno 2020, Diritto di accesso alla rete e diritto di “uscita”, tra privacy e sicurezza. Un libro sulla legge che non c’è

Protezioni Dati Personali, 25 marzo 2018, Privacy by design e by default

Garante Privacy, 9 febbraio 2005, Discorso del Presidente Stefano Rodotà 

Ann Cavoukian – Privacy By Design CA (2011) The 7 Foundational Principles

European Data Journalism Network, 29 luglio 2020, La pandemia come pretesto per una sorveglianza digitale a tutto campo

The Guardian, 9 giugno 2013, Edward Snowden: the whistleblower behind the NSA surveillance revelations

Surveillance Self-Defense, 19 ottobre 2019, Protecting Yourself on Social Networks

Agenda Digitale, 7 gennaio 2020, Whistleblowing e protezione dati personali, i paletti del Garante privacy

Sistema Penale, 6 dicembre 2019, La direttiva europea sul whistleblowing: come cambia la tutela per chi segnala illeciti nel contesto lavorativo

llustrazioni: Matt Chinworth Illustration

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

L'ARTICOLO TI E' PIACIUTO? SCOPRINE ALTRI

Chill Time
Posted on
1
La Cina, tramite l'utilizzo di grandi dataset, sta pianificando un Sistema di Credito Sociale per assegnare un punteggio ad ogni cittadino.
Marke-thing
Posted on
Tra tutti i dispositivi elettronici a nostra disposizione, la TV sembrava essere l’ultima spiaggia, l’unico dispositivo ancora non in grado di spiare ogni nostro movimento. Purtroppo non è così. Complici ...
PsicoCose
Posted on
2
Una sorveglianza perfetta messa in atto da web e social media, talmente perfetta che spesso noi utenti nemmeno ci accorgiamo di essere osservati. Oggi giorno, l’innovazione tecnologica ha portato la ...
PsicoCose
Posted on
0
Essere al di fuori del sistema digitale è un’azione sempre più difficile e ostacolata. Ora come non mai, tale difficoltà ha giustificato la diffusione di strumenti che hanno l’obiettivo di ...
Marke-thing
Posted on
2
La pubblicità comportamentale è un tipo di pubblicità che si basa sugli interessi degli utenti che navigano in rete. Si tratta di un settore in forte crescita, al punto da ...
Robe da Nerd
Posted on
0
Google, l’azienda che tutti i giorni si nasconde dietro le nostre ricerche sul web. Scopriamo tutto quello che c’è da sapere sul rapporto tra i Big G e i nostri ...
Chill Time
Posted on
0
Il rispetto della privacy, negli anni del boom tecnologico che stiamo attraversando, diviene sempre più difficile. Infatti, i sistemi di profilazione e la necessità di avere sempre più dati sugli ...
Chill Time
Posted on
TikTok, coinvolta in una class action, è costretta a pagare una multa da 92 milioni di dollari per aver violato la privacy dei suoi utenti.
Robe da Nerd
Posted on
1
Gli studenti dell'università di Torino si scagliano contro le misure di controllo e il sistema proctoring per lo svolgimento degli esami.
Marke-thing
Posted on
0
Dobbiamo proprio ammetterlo: le app di Food Delivery sono una vera figata. Poter ricevere il nostro piatto del cuore direttamente sul nostro pianerottolo è una comodità a cui è difficile ...
Spotify

ASCOLTA I NOSTRI PODCAST

Leggi il nostro blog… anche quando non puoi leggerlo! Interviste, riflessioni e spunti a portata di stream.

Anche sui tuoi assistenti vocali.

SCOPRI I PODCAST