Man mano che Internet diviene sempre più importante nelle nostre vite, la vera sfida diventa quella di godere degli innegabili vantaggi delle moderne tecnologie di comunicazione digitale ma riducendo al minimo i rischi di violazione della nostra privacy. Un’adeguata comprensione delle minacce alla nostra privacy è un fattore fondamentale per prevenire eventuali violazioni.
Dato che assimiliamo molto meglio le storie rispetto ai meri dati statistici o alle nozioni tecniche, ecco dieci esempi di situazioni, tratti dalla realtà statunitense, che spiegano in che modo la nostra privacy può essere violata e con quali conseguenze.
1. Sorveglianza governativa
John è un uomo d’affari che telefona regolarmente ai propri partner di business ubicati nel Medio Oriente. Inaspettatamente, due agenti dell’FBI bussano alla porta di casa di John per chiedergli informazioni sulle sue relazioni con gente del Medio Oriente. Gli agenti hanno già a disposizione tutte le date in cui John ha visitato negozi, librerie, ristoranti, dentisti, dottori, club ed eventi sportivi, e conoscono anche l’esatta ubicazione di ognuno di quei posti.
John non ha commesso nulla di illecito che potesse innescare un’investigazione dell’FBI. I suoi affari e quelli dei suoi partner non sono connessi ad alcuna attività illegale. John è stato sottoposto ad investigazione dell’FBI sulla semplice base di un report prodotto dall’NSA per mezzo di un insieme di strumenti analitici chiamato “Co-Traveler”. L’analisi delle informazioni sulle chiamate telefoniche di John, in particolare le ubicazioni degli interlocutori, i dati identificativi, l’orario e la durata delle chiamate, ha portato alla conclusione che il malcapitato John fosse una persona sospetta.
2. Profilatura commerciale
Jessica è una ragazza di 19 anni che vive in casa con i genitori. Un giorno Jessica scopre di essere incinta e decide di non dirlo subito ai genitori. Jessica va spesso nei negozi della sua città a fare shopping. Improvvisamente, Jessica inizia a ricevere da uno di questi negozi del materiale pubblicitario che reclamizza prodotti per neonati. I genitori notano il materiale pubblicitario e chiedono spiegazioni a Jessica, cui non resta che ammettere la sua gravidanza.
Come ha fatto il negozio a sapere prima dei genitori che Jessica era incinta? Semplice: il negozio genera e mantiene aggiornato un profilo commerciale di ciascun cliente, con nominativo, carta di credito, indirizzo civico e tutte le informazioni riguardanti i prodotti acquistati. Un software specializzato analizza ciascun profilo e individua quale materiale pubblicitario sia più opportuno inviare all’indirizzo dei clienti. Jessica aveva comprato grandi quantità di lozioni e saponi senza profumazione e parabeni, grosse confezioni di batuffoli di cotone, igienizzanti per mani, salviette umidificate e integratori di calcio, magnesio e zinco. L’applicazione usata dal negozio, analizzando i dati sugli acquisti con i propri algoritmi, aveva decretato che Jessica fosse incinta.
3. Violazione di istituti bancari
Peter lavora come dirigente presso un istituto bancario. Un giorno la sua abitazione viene svaligiata. L’investigazione che segue rileva che i ladri avevano scovato l’indirizzo di residenza di Peter su Internet. Il suo indirizzo, infatti, venne pubblicato da un gruppo di hacker che avevano in precedenza violato il sito della Federal Reserve e messo online informazioni private riguardanti i conti correnti circa 5.000 dirigenti bancari. Le informazioni includevano indirizzi civici, indirizzi di posta elettronica e numeri di telefono.
4. Violazione di siti di e-commerce
Stephen è un avvocato che spesso acquista beni, prodotti e software via Internet. Un giorno, leggendo il giornale, la sua attenzione è catturata dalla notizia di un gruppo di hacker che ha sottratto i dati di circa 3 milioni di carte di credito archiviate nei sistemi di una delle società dalle quali egli si rifornisce abitualmente online. Stephen effettua subito una verifica dell’estratto conto della sua carta di credito per scoprire che qualcuno ha già provveduto a sottrarre ben 20.000 dollari senza la sua autorizzazione.
5. Violazione di siti della sanità
Alex è positivo all’HIV ed è stato registrato come tale nei sistemi della sanità nazionale che condividono le informazioni attraverso un sito governativo. Il sito viene violato e i dati personali di 70.000 soggetti, Alex incluso, vengono pubblicati online. In seguito a questo episodio, il suo datore di lavoro scopre che Alex è sieropositivo e, da quel giorno, il suo atteggiamento e quello dei colleghi cambiano radicalmente in senso negativo, tanto che ad Alex non resta che lasciare il lavoro.
6. False lamentele online
Il dottor S. ha uno studio privato di medicina con un volume d’affari piuttosto elevato, almeno finché qualcuno non scrive una lamentela anonima in uno dei siti di raccolta delle insoddisfazioni pubblicamente disponibili. La lamentela aveva come oggetto il fatto che il dottor S. fosse un maniaco sessuale.
Questa particolare tipologia di siti consente ai clienti insoddisfatti di pubblicare lamentele. In molti casi, i servizi di questi siti non verificano l’attendibilità delle lamentele pubblicate dagli utenti, con l’aggravante che alcuni di essi non consentono a nessuno, nemmeno all’autore della lamentela, di modificarne il contenuto. Le lamentele pubblicate non sono solo visibili online attraverso i motori di ricerca, ma spesso appaiono addirittura nelle prime pagine dei risultati di ricerca, grazie alla popolarità di questa specifica tipologia di siti che li porta ad avere una certa priorità per i motori di ricerca.
La lamentela nei confronti del dottor S. era falsa, eppure essa è apparsa regolarmente alla prima posizione dei risultati delle ricerche su Google aventi come chiave il nome del dottor S. Come diretta conseguenza, il dottor S. ha perso moltissimi dei suoi clienti. Nel successivo procedimento legale nei confronti dell’anonimo calunniatore, al fine di far rimuovere la falsa lamentela, il dottor S. scopre che, anche qualora avesse vinto la causa, il sito in questione non sarebbe stato legalmente obbligato a rimuovere il contenuto diffamatorio, ai sensi della sezione 230(c)(1) dell’US Communications Decency Act del 1996, che garantisce l’immunità da qualsiasi responsabilità ai provider di servizi online verso informazioni pubblicate da terzi.
7. Utilizzo di Facebook per verificare la reputazione
Carla è una ragazza laureata di 24 anni che fa domanda di impiego presso una grande compagnia. Il processo di selezione consiste di diverse fasi, comprendenti test e valutazione di documenti. Nonostante le difficoltà, Carla raggiunge la fase finale che prevede l’intervista con il datore di lavoro. Prima dell’intervista, il selezionatore delle risorse umane dà un’occhiata al profilo Facebook di Carla e nota diverse foto della ragazza scattate all’interno di night club. Consultando i profili Facebook degli altri candidati, il selezionatore trova solo fotografie dei soggetti presso seminari e conferenze accademiche. Alla fine, il selezionatore decide di non assumere Carla perché potrebbe difettare della serietà richiesta dalla compagnia. Le foto che Carla ha scelto di pubblicare su Facebook hanno direttamente penalizzato la sua vita professionale.
8. Violazioni di droni
Sarah ha un’importante posizione politica nella sua regione di residenza, ma un giorno riceve dai propri colleghi un link relativo ad un sito che ha pubblicato fotografie di lei, nuda, mentre nuota nella piscina della sua residenza. Le foto sembrano scattate da un’altezza di circa 20 metri da terra. Successivamente, Sarah scopre dai media che le foto potrebbero essere state scattate da uno di quei moderni droni volanti utilizzati per consegnare libri al suo indirizzo (il riferimento ad Amazon è evidente). I sistemi della società che utilizzava i droni per la consegna dei prodotti sono stati violati e tutte le foto in essi contenute sono state rilasciate pubblicamente online.
9. Violazione di sistemi di cloud computing
Nicholas è un avvocato che utilizza diversi servizi cloud forniti da una sola compagnia. I servizi includono editor di testo e immagini, piattaforme di posta elettronica, calendari e agende, tutti servizi analoghi a quelli forniti da Google, Dropbox e Apple. Il sito della compagnia fornitrice dei servizi cloud viene violato e i criminali riescono ad ottenere e a divulgare pubblicamente un elevato volume di informazioni su Nicholas e i suoi clienti. Come conseguenza, Nicholas perde moltissimi clienti e, presto, la sua attività di avvocato va in fallimento.
10. Violazione dei Google Glass
Mary usa continuamente i Google Glass, uno speciale e moderno tipo di computer indossabile con l’aspetto di un quasi normale paio di occhiali. Il dispositivo visualizza informazioni su un piccolo schermo di vetro trasparente posto davanti agli occhi dell’utente ed accetta comandi vocali che cominciano con la frase “OK Glass”. Un Google Glass può contenere 12 GB di dati e ha una telecamera da 5 megapixel in grado di catturare video con risoluzione 720p. Gli utenti possono anche caricare contenuti multimediali, come foto, video e audio, su Internet.
Mary usa i Google Glass mentre passeggia per strada, mentre lavora al computer, mentre preleva contanti da uno sportello ATM e mentre gira per casa. Un giorno Mary scopre che i suoi Google Glass sono stati violati, con il risultato che gli hacker hanno avuto accesso diretto a diversi suoi dati personali, comprese le informazioni sulle sue carte di credito e centinaia di foto e video relativi alla sua vita privata.
Questi sono solo alcuni esempi di come la nostra privacy può essere violata. Le violazioni della privacy possono avere fonti e obiettivi differenti, perciò le misure di protezione devono essere indirizzate da diverse prospettive.
Innanzitutto, le persone hanno un’estrema necessità di ricevere un’adeguata educazione sul corretto uso delle tecnologie digitali e sull’adozione di adeguate pratiche di riservatezza e protezione della propria privacy. Questo significa comprendere in quali situazioni è opportuno ricorrere alla cessione di dati personali e in quali no. Significa imparare a prefigurare quali possibili conseguenze per la propria privacy e la propria sicurezza derivino dalla scelta di concedere informazioni private o sensibili, per sé stessi o per il proprio business. Significa adottare misure tecnologiche di protezione, come antivirus, antispyware, antiphishing e firewall su tutti i dispositivi attraverso i quali tali informazioni vengono gestite e veicolate. Significa, infine, imparare a gestire le proprie credenziali d’accesso, a partire dalla password che deve essere sufficientemente lunga e complessa da scoraggiare eventuali tentativi di brute force. Nel 2012, un gruppo di hacker ha pubblicato le credenziali di circa 50.000 utenti di Yahoo!, fra le quali in più di 2.000 casi erano state usate sequenze numeriche come “12345” e in circa 800 casi la password era semplicemente “password”.
In secondo luogo, le aziende devono adottare misure e pratiche di sicurezza per proteggere adeguatamente i propri clienti da violazioni della loro privacy. Questo significa attuare una campagna interna di sensibilizzazione di tutti i dipendenti, non solo quelli tecnici, sull’importanza della sicurezza aziendale e della protezione dei dati sensibili della clientela. Questo significa erogare formazione periodica su tematiche di sicurezza, magari prospettando i possibili scenari e le situazioni comuni di rischio che l’azienda potrebbe incontrare nel proprio business. Anche e soprattutto nel caso delle aziende rivestono un compito fondamentale di protezione tutti i già menzionati apparati e software di sicurezza, insieme a robuste pratiche di securizzazione e protezione dei sistemi e delle applicazioni, a partire dalle applicazioni web, con l’introduzione della crittografia in tutti gli ambiti in cui la protezione delle informazioni sensibili, archiviate o in transito, la richiede.
Infine, il governo ha il compito di educare i propri cittadini su come proteggersi dalle violazioni della privacy, possibilmente fin dalla scuola elementare, dove per molti alunni inizia l’uso in prima persona delle tecnologie digitali e di Internet. I materiali educativi pubblicamente forniti dalle istituzioni governative, insieme a leggi e regolamentazioni, agiscono spesso come importante spinta per privati ed aziende verso l’adozione di sane pratiche di protezione e la diminuzione dei rischi di violazione. Molti governi, fa cui anche quello italiano, stanno operando in questo senso con una serie di leggi indirizzate ad ambiti di privacy e sicurezza personale, pertanto sarebbe auspicabile instaurare una seria e continuativa collaborazione fra governi con l’obiettivo di armonizzare la base normativa e aumentarne di conseguenza l’efficacia e l’applicabilità transnazionale. Purtroppo, spesso e volentieri, i governi sono il soggetto più fortemente interessato a violare la privacy dei cittadini, le prove in tal senso sono schiaccianti, e dell’educazione alla privacy nelle scuole, al momento, non vi è traccia alcuna.
L’unica vera sensibilizzazione proviene da associazioni volontaristiche e dai cittadini stessi. Io, nel mio piccolo, faccio la mia parte.
Ettore Guarnaccia