Diritti e libertà nel mondo della sicurezza digitale

Getting your Trinity Audio player ready...

Da diversi anni, il concetto di “sicurezza” viene declinato in due distinte categorie: la security, intesa come protezione di un perimetro digitale o fisico, e la safety, riguardante la tutela delle persone rispetto ad eventi che potrebbero comprometterne l’integrità fisica o psicologica.

Entrambe, a seguito di una valutazione dei rischi connessi a determinati scenari, alle vulnerabilità rilevate e alla tipologia di impatto prevedibile, richiedono l’adozione di adeguate misure di sicurezza di tipo fisico, logico ed organizzativo, volte a prevenire che gli eventi si verifichino o che, quantomeno, se ne possano mitigare le conseguenze.

Nel settore automotive, come in molti altri, i due termini sono ormai – purtroppo – complementari, dato che la security dei sistemi informatici di un’autovettura, ormai zeppa di congegni elettronici, chip dotati di intelligenza artificiale e centraline digitali collegate ad ogni apparato elettrico o meccanico, potrebbe mettere in discussione anche la safety degli occupanti, per effetto di eventuali malfunzionamenti o, peggio, di attacchi informatici deliberati.

Non si sottraggono all’esigenza (?) di digitalizzazione neppure le abitazioni e le aziende, nelle quali, sempre più spesso, alla domotica sono delegati compiti in materia di safety (rilevazione incendi, allagamenti, attivazione estintori, pompe di sollevamento, ecc.) e di monitoraggio degli utenti (people counting, plate number identification, riscontro evacuazione, ecc.) associati / collegati agli stessi impianti che si occupano della sicurezza delle informazioni e della protezione del perimetro (firewall e sistemi di protezione logica, impianti di allarme e videosorveglianza basati su IA, sistemi di riconoscimento biometrico per le aree a rischio, ecc.).

Si assiste ad un proliferare di tecnologia che si potrebbe definire eccessivo e perfino superfluo, spesso avente la semplice finalità di ostentare un benessere o di soddisfare necessità che tali sono esclusivamente nel mondo ideale del promotore dell’installazione, senza alcuna valutazione obiettiva dei rischi che, al contrario, potrebbero consigliare una diversa configurazione oppure di non procedere all’installazione.

La crescente integrazione dei sistemi di infotainment con quelli preposti al funzionamento degli impianti di sicurezza rende ancora più preoccupanti le perplessità fondate sulla security delle informazioni e al riflesso che potrebbe avere sulla safety degli interessati

Mentre, infatti, i mezzi di trasporto più grandi (aerei, navi, treni, ecc.) – per fare un confronto con le autovetture – e le strutture immobiliari più estese, sono dotati di doppi circuiti di controllo, segmentazione delle reti, strumenti di analisi che rilevano qualsiasi anomalia e mettono il titolare in condizione di disabilitare i dispositivi principali per far ricorso a quelli ausiliari, nei sistemi meno costosi tali opzioni non esistono ed alcune intelligenze artificiali hanno il pieno controllo della situazione.

Accade, quindi, che gli stessi impianti che consentono di ascoltare musica e smistare le telefonate, si trovino sulla stessa rete con l’impianto di domotica, di allarme, di storage o di elaborazione dei dati. Conseguentemente, il file musicale diffuso e la telefonata trasmessa all’interno della struttura sono accessibili dallo stesso canale di comunicazione con il quale la segretaria chatta con Zoom, il dipendente consulta occasionalmente il proprio profilo Facebook e il data center aziendale gestisce i fascicoli sanitari dei pazienti (se si tratta di una ASL) o controlla la trazione e la frenata (se si tratta di un’autovettura).

Nel medio termine saranno disponibili immobili in grado di regolare autonomamente gli accessi alle varie strutture senza l’intervento dell’operatore (magari attraverso un sistema di rilevamento biometrico che apre i varchi e abilita le credenziali per l’accesso agli spazi e alle informazioni) ed autovetture in grado di guidare autonomamente con la sola presenza passiva del passeggero.

Tesla, ad esempio, ha già introdotto la guida autonoma ma termini e condizioni del servizio richiedono che il guidatore sia sempre vigile e pronto a riprendere i comandi in caso d’emergenza o malfunzionamento. Peraltro, alla luce del confronto tra la sinistrosità delle prime autovetture a guida autonoma e la media degli automobilisti, tale conquista viene da molti guardata in chiave positiva.

Tuttavia, fino a dove ci si può spingere, senza mettere in pericolo le libertà, i diritti e la salute dei cittadini?

È superfluo riportare alla memoria i casi, già pervenuti agli onori della cronaca, di autovetture che, a causa di un guasto ai sensori di prossimità, frenavano da sole senza alcuna ragione, o delle quali il proprietario ha perso il controllo a causa del malfunzionamento dei sistemi di controllo di stabilità e trazione.

Sono stati registrati casi di appartamenti che hanno bloccato sul terrazzo i proprietari – che non avevano in quel momento cellulare e telecomandi a portata di mano – a causa dell’attivazione della modalità notturna con conseguente abbassamento automatico delle tapparelle, costringendoli a forzare quelle misure di sicurezza che loro stessi avevano attivato.

Di recente, alcuni immobili ed alcune autovetture sono rimasti off-line per alcune ore a causa di aggiornamenti software non andati a buon fine, con l’effetto, temporaneo ma decisamente imbarazzante, di impedire ai legittimi utilizzatori di poter entrare in casa o di poter utilizzare l’auto.

Ed ancora, errori di progettazione dell’hardware hanno ridotto sensibilmente la risposta dei software dopo l’aggiornamento, con l’effetto di rallentare perfino le operazioni di attivazione e spegnimento degli impianti, analogamente a quanto accadeva, in passato, con alcuni sistemi operativi per PC.

Ebbene, poiché questi esempi possono essere traslati su qualsiasi realtà tecnologica attuale, dallo smartphone che consente di utilizzare le app per l’home banking assieme a quelle per navigare su Internet e fruire dei social network, fino alla smartTV e al bracciale per il fitness che alcuni hanno al polso, appare evidente che la security delle informazioni si riflette direttamente sulla safety, sconfinando nel rischio di esporre l’utente incauto o inconsapevole dei rischi che corre, anche all’aggressione di eventuali malintenzionati.

I recenti attacchi ransomware ad infrastrutture critiche come gli ospedali hanno dimostrato che basta un utente incauto nel download di un allegato per far cadere una intera amministrazione nel baratro dei server bloccati e della diffusione di dati riservatissimi

A ciò si aggiunga che tutte le apparecchiature azionabili da remoto potrebbero essere sottoposte non solo ad estorsione tecnologica, intesa come ipotesi di reato consistente nel richiedere una somma di denaro in cambio della possibilità di tornare ad utilizzare il dispositivo, ma anche ad una ipotetica dittatura tecnologica che uno stato autoritario potrebbe introdurre come meccanismo per ottenere determinati comportamenti dai propri cittadini. L’Agenzia delle Entrate, ad esempio, potrebbe trasformare il tradizionale fermo amministrativo (poco efficace per la mancanza di controlli sulle strade) ad un fermo di tipo tecnologico, individuando il dispositivo associato all’utente che non ha pagato le tasse e disponendo, tramite il produttore, il blocco delle centraline elettroniche.
Non è fantasia ma tecnologia già disponibile, come ha dimostrato il caso delle macchine agricole della nota John Deere statunitense, sottratte da ignoti presso una concessionaria e disattivati da remoto (con conseguente inutilizzabilità) dal produttore, semplicemente collegandosi agli apparati di comunicazione presenti sui veicoli.

Senza scomodare criminali informatici che potrebbero, tramite ransomware, privarci dei nostri ricordi o dei nostri beni (autoveicoli, servizi di vario genere, dispositivi digitali, foto e video delle vacanze, ecc.), chiedendoci un riscatto per averli indietro e minacciando di renderli pubblicamente disponibili, è invece opportuno richiamare alla memoria l’azione di profilazione massiva iniziata dalla Repubblica Popolare Cinese nei confronti dei propri cittadini, al fine di attribuire a ciascuno di essi un bilancio sociale, con crediti o debiti che, assieme alla scomparsa del denaro contante e al controllo delle identità digitali e dei profili finanziari, potrebbero portare chiunque ad essere escluso dalla vita sociale e dalla stessa possibilità di acquistare beni di prima necessità semplicemente bloccando i suoi profili digitali.

Anche l’esperimento del Comune di Bologna, di patente sociale, attualmente declinata in positivo, attribuendo sconti e vantaggi ai cittadini virtuosi, potrebbe avere conseguenze devastanti per i diritti e le libertà degli interessati o semplicemente dei soggetti esclusi da tali circuiti. È sufficiente, infatti, pensare che tale sistema ha già generato seri problemi nel mercato creditizio, con ripetute crisi economiche senza precedenti nella storia, e potrebbe ulteriormente degenerare nel modello cinese, ove al credito venissero aggiunti i debiti derivanti dal mancato pagamento delle tasse, dalle multe per eccesso di velocità o sosta vietata, dalla mancata partecipazione ad iniziative organizzate dall’Autorità, ecc.

L’escalation potrebbe non fermarsi e, a questo punto, addivenire all’uso delle informazioni che inevitabilmente diffondiamo quotidianamente, per il solo fatto di utilizzare beni e servizi digitali, per creare dei profili personali da associare alla patente del cittadino al fine di adottare misure cautelari per prevenire potenziali comportamenti criminali, nonostante l’incensuratezza.

Infine, le nostre identità digitali potrebbero essere manipolate al fine di attribuirci l’identità di qualcun altro anziché sottrarci la nostra, con ogni possibile ricaduta su beni e servizi digitali (a tal fine, suggerisco di rivedere il sempreverde “The Net – Intrappolata dalla rete” con Sandra Bullock).

La security e la safety, insomma, devono procedere di pari passo con adeguate garanzie per i cittadini e i progettisti non devono cedere alla tentazione di sostituire l’essere umano con l’intelligenza artificiale in settori che potrebbero mettere seriamente a rischio i diritti e le libertà di ognuno di noi. Si chiama data protection by design ed è uno dei principi fondamentali del nuovo Regolamento Europeo per la tutela dei dati personali, meglio noto come GDPR 679/2016.

Gianluca Pomante per Sicurezza Magazine