Andrea Lazzarotto, ci descriva brevemente la sua professione.

Io mi occupo di sviluppo software e consulenza informatica forense, che poi è forse l'attività più correlata anche alla tematica di cui parleremo oggi. Il consulente informatico forense è una figura professionale che si occupa di assistere i propri clienti dal punto di vista tecnico, nel mio caso informatico, nelle vicende che possono essere ad esempio giudiziarie, quindi a carattere penale, o anche in controversie di tipo civile, in cui si entra in un contesto in cui viene introdotta un qualche tipo di evidenza e di prova informatica o digitale. Quindi non necessariamente solo casi in cui magari si ha a che fare con crimini prettamente informatici, come immaginiamo un'azione di violazione di un sistema informatico, ma anche in realtà situazioni in cui gli elementi digitali possono entrare in casistiche che di fatto non erano vicende informatiche. Pensiamo ad esempio all'analisi di un dispositivo come un cellulare, che può anche venire fuori in vicende di altro tipo, come minacce oppure anche concorrenze sleali. Quindi io affianco il cliente dal punto di vista tecnico, mentre l'avvocato lo affianca dal punto di vista legale.

Parliamo in particolare di reclami presso il garante privacy, che per molti sono un mistero. Sentiamo sui giornali che ci sono violazioni dei dati, fughe di dati, data breach e via dicendo e molto spesso queste aziende coinvolte vengono segnalate al Garante, o il Garante avvia un’istruttoria e poi a volte c'è una sanzione, una pena di qualche tipo. In concreto, che cosa succede quando un sito si lascia sfuggire dei dati che vengono poi presi da un attore ostile che cerca di rivenderli? O comunque quando un sito se li è lasciati scappare e quindi ha commesso una violazione della garanzia di riservatezza fatta ai clienti?

In questo caso dobbiamo distinguere tra cosa succede ai dati che sono stati violati e cosa succede invece all'azienda che potrebbe essersi resa responsabile o comunque negligente da questo punto di vista. 

Per quanto riguarda i dati la situazione è un po' complicata, nel senso che una volta che è avvenuto un data breach e quindi questi dati sono stati violati e acceduti da soggetti ignoti e indeterminati, è probabile che, soprattutto se sono non dati di una singola persona, ma solitamente succede che vengono acceduti interi archivi, ad esempio di dati di tutti i clienti o di una buona parte dei clienti, questi dati abbiano per i criminali informatici un valore economico di fatto, perché il motivo per cui avvengono queste violazioni è generalmente di tipo economico. 

Le persone che si introducono nei sistemi per violare i dati e carpirli, dopo li vanno solitamente a rivendere in una sorta di mercato nero. Ci sono online questi mercati, questi marketplace, in cui chi ha rubato dei dati solitamente cerca di rivenderli a terzi per i motivi più disparati. 

Ad esempio, se sono stati rubati nei casi più gravi i dati di pagamento, questi dati di pagamento ovviamente fanno gola a chi poi va a fare le truffe sulle carte di credito sia per rubare direttamente denaro oppure anche per fare degli acquisti usando carte altrui. Se invece si tratta di dati, diciamo, magari anche un po' meno correlati al pagamento, un po' meno privati, come ad esempio delle liste di indirizzi email, queste liste di indirizzi email potrebbero ad esempio fare gola a persone che fanno attività di spamming, che significa mandare delle email pubblicitarie non sollecitate e non autorizzate a una vasta quantità di persone per fare pubblicità oppure anche per fare delle truffe, perché anche le email vengono usate a volte per mandare messaggi di cosiddetto phishing. Il phishing è una tecnica di attacco verso le persone per cui ci si spaccia per un sito affidabile, per esempio Facebook oppure Microsoft, e si manda un'email fasulla alla vittima in cui si richiede di cliccare un link per ad esempio rieffettuare l'accesso, per esempio per fare una verifica di un account, oppure ci si può anche fingere la banca e far cliccare il link malevolo a una persona in modo da indurla a fidarsi, magari perché vede il logo della banca o la grafica perfetta del sito che è stata clonata, e quindi avere gli indirizzi mail di tante persone aumenta la quantità di potenziali vittime che si vanno a colpire.

Poi, per la parte delle aziende, la questione è un po' più variata, nel senso che ci sono due strumenti che le persone possono utilizzare. La segnalazione è uno strumento che può utilizzare sostanzialmente chiunque per scrivere all'autorità garante per la protezione dei dati personali, ad esempio quella italiana o a seconda di dove uno risiede, per comunicare che c'è una certa situazione. Non è necessario per la segnalazione essere una delle persone che ha subito il data breach.

Invece le persone che sono state soggette di un data breach o comunque vedono violati i propri diritti alla riservatezza, alla protezione dei dati personali, possono utilizzare uno strumento un po' più specifico che è il reclamo. Il reclamo quindi deve essere fatto dall'interessato, o direttamente o tramite il proprio avvocato; quindi si va a scrivere al Garante per segnalare questo tipo di comportamento. Potrebbe essere un reclamo verso l'azienda: se io scopro che l'azienda X ha subito un data breach e io ero uno dei clienti dell'azienda X, ragionevolmente posso pensare che i miei dati siano stati violati e vado a fare un reclamo verso l'azienda X. Oppure nel caso ad esempio arrivino attività di pubblicità, quindi mi arrivano email pubblicitari di spam e io non so perché sto ricevendo un email pubblicitario dell'azienda Ypsilon che per qualche motivo ha il mio indirizzo email ma non mi risulta di averglielo fornito, posso anche in quel caso fare un reclamo.

Diciamo che in questo caso, soprattutto prima di fare un reclamo per un'attività di spamming, la cosa da fare preventivamente è contattare il titolare del trattamento, quindi l'azienda per cui vengono mandate le comunicazioni pubblicitarie, e fare una richiesta di esercizio dei diritti in materia di protezione dei dati personali, qui in Europa abbiamo il GDPR, e si può fare una richiesta di accesso ai dati personali, quindi richiedere all'azienda che ci sta scrivendo quali sono i dati personali nostri che sono in suo possesso, quali sono anche le categorie che vengono trattate, le finalità per cui vengono trattate, quindi nel caso specifico dovranno comunicare ad esempio che le stanno usando per mandarci questa email pubblicitaria, e quali sono eventualmente i criteri con cui vengono stabiliti di periodo di conservazione e anche l'origine dei dati, perché se io ricevo una comunicazione pubblicitaria posso richiedere qual è l'origine del mio indirizzo di posta o indirizzo email su cui mi sta venendo mandata la pubblicità. 

Poi si può richiedere anche, sempre ai sensi del GDPR, la richiesta di intervento. Quindi si può richiedere, ad esempio, di cancellare i dati perché magari non è mai stato richiesto di ricevere pubblicità oppure si era richiesto in passato ma non si desidera più riceverla.

E poi, infine, un'altra cosa che si può fare è una richiesta di opposizione al trattamento per le finalità di marketing. Questa richiesta poi dovrà essere riscontrata dall'azienda entro 30 giorni dal momento in cui è stata inviata. Se la risposta, quindi il riscontro, non è ritenuto sufficiente perché l'azienda o non ha risposto, oppure ha risposto in modo evasivo o non ha accolto la richiesta, a quel punto chiaramente si può fare un reclamo al garante per la protezione dei dati personali, descrivendo anche il fatto che è stata inviata una richiesta e che la risposta eventualmente ricevuta non è ritenuta soddisfacente.

Queste segnalazioni, questi reclami, vanno fatti secondo qualche procedura particolare, per esempio bisogna mandare una posta elettronica certificata, bisogna immettere dei dati nel sito del garante? Come si procede in pratica? Supponiamo che io sia vittima di un data breach, quindi so che i miei dati personali di qualche genere, per esempio una login e una password di un mio account, sono stati esposti da una ditta. Cosa faccio?

Sicuramente se ho già le evidenze che i miei dati certamente sono stati coinvolti nel breach, posso contattare direttamente il garante. Oppure, una cosa che possiamo consigliare è che per essere certi di essere nel breach, perché a volte questi breach riguardano una fetta di utenti ma non tutti gli utenti di un'azienda, possiamo contattare proprio l'azienda stessa. Quindi anche in questo caso possiamo fare un esercizio dei diritti ai sensi del GDPR, per cui troviamo anche una modulistica, diciamo un esempio di richiesta, sul sito del garante.

Ad esempio, il Garante della privacy italiano ci fornisce un esempio di richiesta [dovrebbe essere questo], però in realtà la richiesta verso l'azienda può essere fatta sostanzialmente in forma libera, quindi anche contattando il servizio clienti tramite l'email che viene messa a disposizione; oppure, se si vuole essere più formali e più sicuri dell'invio, si può inviare una raccomandata con avviso di ricevimento o una PEC. Quindi nella richiesta possiamo descrivere, ad esempio, come è capitato anche a me di fare in un caso, che tramite la stampa è stato riscontrato che l'azienda ha subito un data breach o comunque ha visto acceduti i propri dati di alcuni clienti da parte di ignoti. In ragione di ciò si richiede all'azienda di fornire una copia di tutti i dati personali e indicare soprattutto se questi dati o quali di questi dati sono stati coinvolti nella violazione. In questo caso, come dicevo prima, la richiesta di esercizio dei diritti deve essere riscontrata entro 30 giorni; questo è un obbligo legale previsto dal GDPR, quindi l'azienda non può ignorarla, o comunque se lo fa si espone eventualmente a delle conseguenze.

Trascorsi questi 30 giorni possiamo avere ricevuto una risposta che ci chiarisce esattamente cosa è successo, oppure avere non ricevuto una risposta, oppure un riscontro inadeguato. In questi casi, se abbiamo ricevuto la risposta che ci dice che effettivamente i nostri dati sono stati violati, oppure se non abbiamo ricevuto un riscontro, possiamo procedere a effettuare un reclamo all'autorità garante.

Anche per il reclamo, il Garante della privacy italiano ci fornisce un modello. In questo caso il reclamo viene fatto tramite la trasmissione appunto all'autorità del nostro reclamo all'ufficio protocollo, quindi viene fatto o tramite una PEC, che è il metodo più semplice, oppure tramite una raccomandata. Nel caso in cui mandiamo una PEC possiamo avere l'atto firmato digitalmente, quindi se siamo in possesso di una firma digitale possiamo semplicemente sottoscrivere il PDF. Se invece facciamo un reclamo scritto che firmiamo a penna, dovremo poi allegare anche un documento di identità per farci riconoscere.

Per le aziende che subiscono questi data breach, quali sono le conseguenze? C'è una sanzione? Il Garante, una volta accettato il reclamo, che cosa fa concretamente? Molto spesso chi non segue queste vicende in dettaglio non ha una percezione molto chiara di tutti i passaggi successivi al reclamo o alla segnalazione.

Ci possono essere diversi tipi di risultato, che vanno dal caso in cui si è verificato che il reclamo non è fondato, oppure è un reclamo relativo a un fatto non particolarmente grave, come ad esempio un'e-mail pubblicitaria, e poi il titolare del trattamento, quindi l'azienda, ha riscontrato e accolto la richiesta di cancellazione, ad esempio, dalle email pubblicitarie; il reclamo può essere anche archiviato, quindi il procedimento viene archiviato senza particolari conseguenze. 

Oppure, nei casi un po' più gravi, un po' più fondati, ci sono vari tipi di sanzioni, dal più semplice, che può essere un ammonimento. L'ammonimento sembra una sciocchezza, come se fosse sgridare un bambino, ma in realtà dal punto di vista privacy è una sanzione che ha un suo significato, perché poi eventuali successive violazioni verrebbero valutate in modo anche più grave.

In alternativa ci possono essere delle imposizioni, quindi l'autorità garante, ordina, impone di terminare il trattamento, quindi può anche disporre un divieto di ulteriore trattamento dei dati, sempre ad esempio se parliamo di trasmissione di materiale pubblicitario; l'autorità potrebbe vietare il successivo trattamento di questi dati, oppure ci possono essere delle sanzioni in denaro, quindi quelle che un po' impropriamente a volte definiamo multe. Non sono multe, ma sono sanzioni pecuniarie che vengono calcolate anche in base alla grandezza dell'azienda, a quanto è il volume, il giro d'affari, quindi anche quanto è il fatturato annuo e anche ovviamente alla gravità della violazione, perché ci sono condotte che sono più gravi e altre che sono meno gravi. Infatti le sanzioni hanno un massimo che può raggiungere anche cifre molto elevate, perché pensiamo che il massimo che la legge prevede fino a 10 o 20 milioni di euro oppure dal 2 al 4% del fatturato mondiale annuo, se questo è superiore. Diciamo che è una norma, quella del massimo della sanzione che è stata prevista soprattutto per le aziende molto grandi, le multinazionali.

L'importo, l'ammontare di questa sanzione a chi finisce? Alla vittima, al garante, altrove?

Il reclamante in questo contesto non riceve denaro, il procedimento innanzi al Garante non è come un processo civile in cui vado a chiedere i danni, ma è un procedimento in cui l'interessato fa rispettare i propri diritti alla privacy. Quindi la sanzione non va a finire in mano al reclamante, ma viene elargita di fatto all'autorità, quindi è come se fosse una multa, anche se non è una multa.

Facciamo un caso concreto: un utente che non è coinvolto direttamente, non sono i suoi dati a essere stati trafugati, ma si accorge che c'è un'azienda che sta disseminando consapevolmente o meno i dati dei suoi clienti, fatture, documenti di identità, si accorge di questa cosa. Fa quindi una segnalazione al garante. A quel punto il garante che cosa fa? Manterrà aggiornata la persona che ha fatto la segnalazione o ci sarà un rapporto soltanto con la ditta interessata?

Per quanto riguarda le segnalazioni, da quello che so, anche se non ho moltissima esperienza perché seguo abitualmente tanti reclami ma non molte segnalazioni, siccome il segnalante non è direttamente interessato, ovviamente non viene messo al corrente di tutto l'iter e di tutto quello che segue. Salvo che ci sono diversi casi in cui, alla fine dell'istruttoria e dell'eventuale decisione sanzionatoria, il Garante della privacy alcuni provvedimenti li pubblica. Anche la pubblicazione sul sito del Garante è una sanzione accessoria che può essere comminata per alcuni casi un po' più gravi; invece se una persona è reclamante, quindi è direttamente interessata, chiaramente viene tenuta al corrente del percorso che segue l’istruttoria.

Con che frequenza avvengono situazioni di questo tipo, ossia che ci siano reclami non per spamming ma proprio per violazione dei dati, dati disseminati?

È un po' difficile da stimare, anche perché queste situazioni di data breach in realtà non sempre vengono messe alla luce come dovrebbero. Diciamo che il GDPR prevede che nel momento in cui un'azienda si rende conto che ha subìto un data breach o comunque che ha subìto una violazione che potrebbe anche avere esposto dei dati personali, deve agire in un tempo molto breve, perché la legge prevede un termine di 72 ore, salvo casi particolari. 

In queste 72 ore dovrebbe fare una valutazione di quella che è stata la violazione e determinare se fare una segnalazione al garante, quindi tra virgolette autosegnalarsi in un certo senso, oppure se è stato un caso particolarmente piccolo, non vi è anzi l'obbligo necessariamente di comunicarlo all'autorità, ma deve essere annotato su un apposito registro interno, che è il registro delle violazioni. 

Adesso entriamo in una materia che è più legale, è tecnica e riguarda di più i DPO o gli avvocati, però diciamo che l'azienda che è messa al corrente dovrebbe segnalarsi da sola al garante. Se invece l'azienda non è al corrente, perché magari se ne accorge qualcun altro, allora può essere che un altro cittadino faccia la segnalazione all'azienda e a quel punto parte il termine. E' anche vero che in alcuni casi può anche succedere, soprattutto con aziende piccole e non strutturate, che l'azienda preferisca o ritenga di non gestire particolarmente bene questa cosa, magari perché pensa che nascondere la testa sotto la sabbia possa essere una buona strategia; può capitare anche quello.

Quindi in casi come questi, se l'azienda fa finta di niente e i dati rimangono aperti e accessibili, qual è il passo successivo?

Nel caso in cui una persona o interessata o un semplice segnalante decida di fare qualcosa, può fare una segnalazione o un reclamo all'autorità garante.

C'è da dire una cosa, comunque, che soprattutto per le segnalazioni abbiamo fatto prima l'esempio che se uno scopre in modo accidentale che un'azienda espone dati di altri può fare la segnalazione, certamente può farlo. Quello che è un po' problematico, dal mio punto di vista in Italia, è che la definizione che abbiamo dal punto di vista del codice penale, quindi parlo dell'articolo dell'ipotesi di reato di accesso abusivo a sistema informatico, è estremamente vaga.

Se andiamo a leggere letteralmente l'articolo, ci sono scenari in cui uno potrebbe scoprire in modo di tutto accidentale, ad esempio perché cerca delle parole su Google e uno dei link lo riporta a un documento che presenta dati personali che non c'era motivo di esporre o per altri motivi. Questo potrebbe portare una persona a vedersi, diciamo, paventata la minaccia più o meno fondata, diciamo anche magari per spaventarlo, di una possibile querela per accesso abusivo a sistema informatico, perché se noi andiamo a vedere l'articolo 615 ter, si parla di accedere a una risorsa, quindi a un sistema informatico, contro la volontà espressa o tacita di chi ha diritto di escluderlo. 

Uno potrebbe dirmi “ma perché tu hai aperto questo documento PDF con i dati personali dei miei clienti?”. “Stavo cercando su Google un'altra cosa, ho cliccato un link e è venuto fuori quel documento”. “Però io non volevo che tu accedessi a quel documento, quindi la mia volontà era quella di non farti accedere ai dati.” Allora comincia a diventare complicato. 

È chiaro che poi lì si parlerebbe di sistemi protetti da misure di sicurezza, però purtroppo c'è anche questa cosa che non abbiamo un framework legale, diciamo un sistema per cui chi va a segnalare alle aziende che ha questo problema di privacy viene tutelato legalmente in modo automatico, come stanno pensando di fare in altri paesi europei, cioè di mettere delle regole per cui se tu segnali una problematica a un'azienda sei sostanzialmente schermato da possibili denunce o altri tipi di azioni. 

In Italia non abbiamo questo, quindi rimane tutto in seno al buon senso delle singole aziende. Sicuramente ci sono tante aziende che di fronte a una segnalazione del genere ringrazierebbero e quindi ne vinceremmo tutti perché l'azienda scopre un problema, lo risolve e ne mitiga gli effetti. Ma io immagino che ci possono anche essere aziende che non siano molto felici di vedersi segnalate queste problematiche, perché poi devono gestire queste situazioni.

La situazione varia da paese a paese. Ci sono dei paesi che hanno già attivato questo scudo per chi fa segnalazioni di questo genere? Se sì, quali sono?

Stavo leggendo qualche ora fa una notizia relativa al Belgio, su una cosa in fase di pianificazione, e lì si parlava proprio di accessi dei controlli di sicurezza sulle aziende, quindi è una tematica più ampia rispetto allo semplice accertamento della protezione dei dati. In Belgio stanno pensando di tutelare legalmente i dati e di tutelare legalmente coloro che scoprano in modo più o meno accidentale che un'azienda ha problemi di sicurezza informatica e nel momento in cui chi lo scopre lo segnala immediatamente, cioè entro tre giorni, all'azienda.

Stanno pensando di introdurre proprio una sorta di immunità da eventuali conseguenze. Questo tipo di iniziative, secondo me, ha un impatto molto positivo, perché spesso si tende a scoprire in modo del tutto fortuito documenti tramite Google, per esempio, documenti PDF o file Excel o altre cose che contengono dati personali. E la frase standard che circola un po' anche fra i miei conoscenti, i colleghi, è "OK, fai finta che non abbia visto niente e lascia stare, perché se lo segnali non sai mai cosa potrebbe succedere, potrebbero ringraziarti o potrebbero anche minacciarti di una denuncia perché stavi aprendo un PDF che hai trovato casualmente su Google". 

Invece avendo una sorta di scudo, automaticamente tutte le persone verrebbero invogliate a segnalare queste scoperte, anche accidentali, e di conseguenza si migliora complessivamente lo stato della sicurezza informatica e della protezione dei dati. 

La situazione è ancora complessa, è ancora in divenire, però c'è un problema di proteggere appunto chi trova queste cose e poi cerca di fare il suo dovere di cittadino in un certo senso.

Voi che siete nel settore, siete in tanti ma avete tutti lavoro a tempo pieno per gestire questi problemi o i casi sono relativamente pochi per cui tutto sommato si naviga abbastanza bene?

È difficile parlare un po' per categoria, perché in realtà tanti professionisti anche in questo settore si specializzano in diverse categorie. Ci sono colleghi che si occupano tantissimo di dati personali, di privacy, ci sono altri colleghi che magari vedono pochi casi perché si occupano di più di altre cose come la sicurezza informatica nelle aziende oppure anche le perizie su smartphone e così via. Quindi è un po' difficile fare un commento generale su questo aspetto.

Io personalmente devo dire che nel mio caso la maggior parte dei reclami che seguo dal punto di vista privacy sono cose che seguo io personalmente come diretto interessato e reclamante come privato cittadino, mentre lavorativamente me ne capitano meno spesso.

Le aziende italiane sono attente al problema o lo prendono sotto gamba? Perché sembra perché ci siano molti casi, anche piuttosto grossi, di aziende che si fanno trovare con i dati a spasso. C'è un problema di sensibilità delle aziende secondo lei?

Secondo me sì e direi inoltre che è un problema di sensibilità, un problema forse anche culturale, cioè manca la cultura della sicurezza informatica. Dobbiamo tenere in considerazione, comunque, che in Italia soprattutto le aziende sono molto, in grandissima percentuale sono PMI e ci sono anche tantissimi casi di aziende che hanno 1, 2, 3, 5 persone all'interno in tutta l'azienda, quindi parliamo proprio di microimprese, e chiaramente in questi contesti è molto difficile avere tutte le competenze anche dal punto di vista della sicurezza informatica, perché una grande azienda, che può essere la classica grande azienda americana che ha migliaia e migliaia di addetti, al suo interno avrà un'unità dedicata alla sicurezza informatica, mentre una microimpresa probabilmente si rivolge per fare le proprie attività anche a fornitori esterni o consulenti quando serve, che gli sistemano il sito, gli sistemano il gestionale e così via. Quindi manca un po' anche la cultura della fiducia perché certi tipi di istruzioni probabilmente non vengono neanche visti con la dovuta considerazione. Cioè ci sono piccole aziende, soprattutto che quando si parla del problema della tutela dei dati rispondono "Sì, ma vuoi che vengano proprio da me ad attaccare? Non sono Microsoft, una piccola azienda, quindi cosa vuoi che mi succeda?” Di conseguenza si sottovaluta probabilmente anche il problema.

Ringrazio Andrea Lazzarotto per questa esplorazione molto esaustiva del settore dei reclami, di come ci si interfaccia con un garante europeo e spero che tutto sommato rimanga... senza lavoro, almeno da questo punto di vista. Ma nel frattempo per chi volesse sapere esattamente che fine fanno i suoi dati e che tipo di reazione e risposta c'è da parte dell'autorità, abbiamo qualche luce in più sull'argomento. Grazie ancora Andrea Lazzarotto.

Grazie a voi.

In questi giorni sto viaggiando in treno in Italia e ho notato che spesso gli utenti di iPhone e iPad lasciano aperta a tutti la funzione AirDrop, che permette di inviare file da un dispositivo Apple a un altro. La funzione non richiede che i dispositivi siano collegati alla stessa rete Wi-Fi.

Per esempio, facendo una semplice scansione (con il normale Finder del mio Mac) dei dispositivi raggiungibili via AirDrop ho trovato questi utenti:

“CIA Asset 4752” è il mio iPhone di test, che ho lasciato aperto per l’occasione. Ma l’iPad di Lele, gli iPhone di Viola, Dany ed Eradis e il Macbook Air di Lorenza non sono miei. Non ho tentato di inviare file, per non allarmarli.

Non è prudente tenere AirDrop aperto a tutti: chiunque vi può mandare foto indesiderate o malware, fare stalking o commettere altre molestie o abusi. AirDrop andrebbe attivato solo quando serve per trasferire dati da un dispositivo all’altro. Queste sono le opzioni disponibili sull’iPhone in Impostazioni - Generali - AirDrop: Ricezione non attiva (che consiglio come impostazione da tenere attiva normalmente), Solo contatti e Tutti per 10 minuti.

Per ridurre la vostra esposizione di dati personali quando attivate AirDrop, attivatelo solo verso i vostri contatti e in ogni caso togliete il vostro nome e il tipo di dispositivo dalla stringa del nome che viene trasmesso. Non accettate mai dati da sconosciuti.

Se avete un iPhone, iPad o Mac, andate in Impostazioni - Generali - Info - Nome, poi cambiate nome. 

Siate creativi. Io, per esempio, ho scelto questo:

Ultimo aggiornamento: 2023/06/09 8:45.

Oggi (8 giugno) in Italia il partito Azione ha pubblicato questo tweet che propone “di vietare l'utilizzo agli under13 e la possibilità di accesso solo con il consenso dei genitori per gli under15, in linea con la normativa europea. L’età dovrà essere certificaita [sic] attraverso un meccanismo in grado di confermare in modo sicuro i requisiti e che potrà essere utilizzato anche per tutti gli altri siti a maggior rischio.”

Ragazzi e ragazze si iscrivono ai social a un'età sempre piu giovane e vi trascorrono in media fino a 5 ore al giorno. I danni che ne derivano sono depressione, disturbi dell'alimentazione e del sonno, cyberbullismo.
Proponiamo di vietare l'utilizzo agli under13 e la possibilità… pic.twitter.com/UP6wYTDr1R

— Azione (@Azione_it) June 8, 2023

La proposta è stata descritta da Azione in questo documento, la cui unica parte vagamente tecnica è questa, che già contiene una contraddizione: si dice che quando l’utente italiano chiederà di registrarsi a un social network verrà rimandato a un servizio di identità digitale, e poi si dice che “la proposta non avrà un impatto sul funzionamento dei social media”. Ma se si introduce questo rimando, allora l’impatto c’è eccome.

Gli anni passano, ma i politici proprio non riescono a mettersi in testa il concetto che la certificazione dell’età per usare i social network non si può fare e che non basta invocare un magico “meccanismo” per risolvere i problemi tecnici.

Ci siamo già passati di recente, per cui mi sono permesso di rispondere al tweet di Azione come segue.

Buongiorno, avete provato a consultarvi con gli addetti ai lavori prima di proporre questo divieto? Capisco le buone intenzioni, ma per l'ennesima volta si fanno proposte senza pensare a come si implementerebbero.

Queste sono le obiezioni degli esperti:

1. Introdurre un divieto significa trovare il modo di farlo rispettare, altrimenti è inutile. Farlo rispettare significa identificare gli utenti. Chi farà questo lavoro? Chi lo pagherà? Chi vigilerà contro abusi?

2. A chi affidiamo i dati dei minori? A Facebook, Twitter, Instagram, Tinder, Ask, Vkontakte, WhatsApp, Telegram? A quante aziende dovremmo dare i documenti dei nostri figli?

3. Pensate che un dodicenne non sappia come creare un account non italiano usando una VPN per simulare di stare all'estero? [I video su YouTube sono pieni di sponsorizzazioni da parte di una nota marca produttrice di VPN; il browser Opera ha una VPN gratuita incorporata]

4. L’anonimato online è un diritto sancito dalla Dichiarazione dei diritti in Internet, approvata all’unanimità a Montecitorio nel 2015. Lo ignoriamo?

5. Cosa si fa per gli account esistenti? Li sospendiamo in massa fino a che non depositano un documento? E se un utente esistente si rifiuta di dare un documento, che si fa? E se il social network decide che non se la sente di accollarsi questo fardello tecnico immenso?

6. Se il documento andasse dato ai social network, significherebbe dare una copia di un documento d’identità ad aziende il cui mestiere per definizione è vendere i nostri dati.

7. Equivale a una schedatura di massa. Creerebbe un enorme database centralizzato di dati, attività e opinioni personali di milioni di cittadini, messo in mano a un’azienda o a un governo. E necessariamente consultabile da governi esteri.

8. Avete provato a parlarne con il Garante per la Privacy? La volta scorsa che qualcuno ha fatto una proposta analoga, la sua risposta fu questa [“Pensare di imbrigliare infrastrutture mondiali con una nostra leggina nazionale è velleitario e consegnare l’intera anagrafica a privati è pericoloso”]

9. C'è già adesso un limite di età indicato nelle condizioni d'uso dei vari social network. Chiaramente i social non riescono a farlo rispettare. In che modo pensate di riuscire a fare quello che società miliardarie non sono in grado di fare?

10. Suggerisco di non proporre SPID o altre certificazioni digitali di identità. Non solo milioni di utenti non le hanno e non le sanno usare, ma resterebbe il problema degli account esistenti.

Basta, per favore, con le proposte tecnicamente insensate.

11. Fare questo genere di proposte senza avere un piano tecnico già discusso con gli esperti rischia di essere un autogol. Capisco che "per salvare i bambini" sia uno slogan sempreverde, ma non è così che si salveranno i bambini. Le carriere politiche, forse. I bambini, no.

12. Gli esperti italiani non mancano. Sentiteli. Vi diranno che, per l'ennesima volta, la proposta è irrealizzabile.

Buon lavoro.

Ultimo aggiornamento: 2023/04/13 13:40. L’articolo è stato estesamente riscritto per tenere conto degli sviluppi della vicenda.

Sta creando comprensibilmente scalpore la notizia che dei dipendenti di Tesla hanno dichiarato che fra il 2019 e il 2022 alcuni video ripresi dalle telecamere di bordo di cui sono dotate le auto di questa marca sono stati fatti circolare per divertimento all’interno dell’azienda, violando le regole interne di privacy. A seguito di questa notizia, un proprietario statunitense di una di queste auto ha avviato una class action contro Tesla (RSI.ch).

Le descrizioni dei video fatti circolare dai dipendenti includono per esempio un uomo che si è avvicinato a una Tesla mentre era completamente nudo, incidenti, animali, cartelli stradali e immagini riprese all’interno dei garage degli utenti, che mostrano oggetti intimi. Fra queste immagini c’è anche la Lotus Esprit “sommergibile” usata nel film della serie di James Bond La spia che mi amava del 1977. Questa famosissima Lotus è oggi di proprietà di Elon Musk.

Nella concitazione di riferire la notizia, la cui fonte originale è un lungo e dettagliato articolo di Reuters, molte delle testate che l’hanno riportata hanno tralasciato informazioni molto importanti e pubblicato notizie tecnicamente scorrette.

Prima di tutto, le immagini descritte da Reuters provengono dalle telecamere esterne dei veicoli, non dalla telecamera interna, che è montata sui modelli più recenti per monitorare l’attenzione del conducente durante la guida assistita, come fanno anche altre marche [Ford, per esempio]. Ma molte testate giornalistiche hanno scritto erroneamente che si tratta di immagini “prese all’interno dei veicoli” [ANSA, 2023/11/04, copia permanente, ho chiesto spiegazioni pubblicamente] o che “dentro le auto i conducenti venivano filmati” (La Regione, copia permanente; ho segnalato l’errore).

Mi sono procurato e letto anche i documenti pubblici della class action: non contengono alcun riferimento a immagini prese all’interno dei veicoli.

Il problema, insomma, non riguarda chi sta dentro il veicolo e che probabilmente come proprietario sa di guidare un’auto dotata di telecamere di sorveglianza, ma riguarda le persone che passano vicino a un’auto di questo tipo e che possono essere facilmente inconsapevoli delle sue dotazioni tecnologiche.

Questi veicoli, infatti, hanno numerose telecamere esterne, poco visibili, che guardano in tutte le direzioni e sono attive durante la marcia, per consentire le funzioni di guida assistita e per fungere da dashcam, e anche durante la sosta, se il conducente ha attivato la cosiddetta modalità Sentinella per proteggere l’auto contro furti e vandalismi [funziona].

Se vi siete mai avvicinati a una Tesla parcheggiata e avete notato che i suoi fanali hanno iniziato a lampeggiare, è perché il veicolo aveva attiva la modalità Sentinella e quindi vi ha avvisato discretamente di avervi visto e potenzialmente registrato.

Un altro aspetto importante che è stato spesso tralasciato è che le immagini delle telecamere vengono trasmesse a Tesla e alle aziende che collaborano con Tesla solo se l’utente dà il proprio consenso. Questo viene detto esplicitamente nell’articolo originale di Reuters [“if a customer agrees to share data”] ed è indicato nell’informativa sul trattamento dati di Tesla, che specifica che “È possibile controllare i dati che si condividono toccando Comandi > Software > Condivisione dati”. Lo stesso vale per la telecamera interna, secondo quanto indicato dal manuale: “Per impostazione predefinita, le immagini e i video registrati dalla telecamera restano all'interno del veicolo e non vengono trasmessi a nessuno, nemmeno a Tesla, a meno che non sia stata abilitata la condivisione dei dati”. Questi video possono essere visti dal proprietario e, se il proprietario ha dato il consenso, anche dai dipendenti di Tesla e delle sue affiliate. Se avviene un incidente, le immagini delle telecamere vengono inviate a Tesla.

[Inoltre l’informativa sulla privacy parla specificamente dei dati delle telecamere, precisando ancora una volta che è necessario il consenso opt-in dell’utente: “In order for camera recordings for fleet learning to be shared with Tesla, your consent for Data Sharing is required and can be controlled through the vehicle’s touchscreen at any time. Even if you choose to opt-in, unless we receive the data as a result of a safety event (a vehicle collision or airbag deployment) — camera recordings remain anonymous and are not linked to you or your vehicle”. I tipi di dati raccolti da Tesla sono schematizzati bene in questo articolo di Electrek]

In sintesi: indubbiamente l’articolo di Reuters denuncia una violazione inaccettabile delle regole di confidenzialità da parte dei dipendenti di Tesla e rivela una cultura aziendale di disinvolta condivisione interna di queste immagini. Ma va anche considerato che se uno va in giro nudo e lo fa davanti a un’auto dotata di telecamere, sua o altri, che lo avvisa della presenza di quelle telecamere lampeggiando, forse il problema non è soltanto di Tesla.

Più in generale, questa vicenda mette bene in luce un problema di moltissimi dispositivi connessi a Internet, dagli assistenti vocali alle dashcam alle telecamere di sorveglianza che salvano le registrazioni nel cloud alle automobili di qualunque marca che trasmettono dati e immagini ai loro produttori. Se avete Alexa o Google Home in casa, pezzi delle vostre conversazioni vengono inviati ad Amazon o Google, rispettivamente, e quindi i dipendenti possono ascoltare quelle registrazioni. E se possono farlo, conoscendo la natura umana è probabile che lo faranno e le condivideranno, e non solo per motivi di lavoro.

Per questo da anni si raccomanda agli utenti di questi dispositivi di chiedersi quali dati vengano raccolti e come sia possibile evitare questa raccolta, scegliendo prodotti che minimizzano la raccolta di dati o che permettono all’utente di rifiutarla o limitarla; per questo esistono i Garanti per la privacy, che spesso vengono visti dall’opinione pubblica come un pedante ostacolo (come si è visto con la vicenda del cosiddetto “blocco” di ChatGPT in Italia). 

Leggete, una volta tanto, i manuali dei dispositivi connessi che acquistate e scoprite come si impostano le funzioni di blocco della condivisione dei dati che non volete far circolare. Farete un favore a voi stessi e agli altri.

[Piccola precisazione personale: ho una Tesla Model S, ma essendo un modello del 2016 non è dotata di telecamere perimetrali ma solo di telecamere frontali e posteriori, che non registrano nulla e non inviano nulla a Tesla. Però ho installato una dashcam che registra costantemente quello che avviene esternamente; questa telecamera tiene i dati per sé e non li condivide con nessuno]

Fonti aggiuntive: Teslarati, Gizmodo, Ars Technica, Electrek.

La deformazione professionale è una brutta cosa. Se sei un informatico patologico, vai a fare la spesa al supermercato e invece di pensare alle cose da comperare ti cade l’occhio sullo scanner manuale che usi per scansionare i prodotti e metterli direttamente nei sacchetti già in ordine per il pagamento rapido in cassa; pensi a come quello scanner comunica via Wi-Fi con il sistema informatico del supermercato, a come gestisce il database dei prodotti tenendo conto degli sconti e delle offerte “tre per due”; e soprattutto noti una cosa strana: lo scanner ha una minuscola fotocamera appena al di sopra dello schermo.

È quello che mi è successo andando a fare la spesa con lo scanner manuale in un supermercato della catena Coop, qui in Svizzera. E ovviamente mi sono chiesto subito perché uno scanner del genere avesse una fotocamera rivolta quasi sempre verso il soffitto o il volto dell’utente.

Se siete in un supermercato mentre ascoltate questo podcast, o la prossima volta che ci andate, provate a guardare se gli scanner manuali, quelli che sembrano un po’ pistole laser da film di fantascienza, hanno una fotocamera: è una finestrella circolare, quasi invisibile sul nero della cornice intorno allo schermo, e al centro c’è una piccolissima lente.

Non vi preoccupate: se state pensando che la fotocamera vi osservi mentre fate la spesa, magari per giudicare il vostro gradimento dei prodotti, i vostri comportamenti di acquisto o peggio ancora per controllare che siete onesti e davvero scansionate tutti i prodotti che mettete nei sacchetti, siete fuori strada. La realtà è diversa e decisamente inaspettata.

Ho chiesto informazioni direttamente all’ufficio stampa di Coop, visto che la dettagliata pagina Web informativa sulla protezione dei dati di questo gruppo non menziona questi scanner manuali, e la sua risposta è stata molto chiara e ampia: “La fotocamera di cui sono dotati gli scanner portatili di Coop non viene utilizzata e non ne è previsto l'uso per il futuro.”

Quindi questi scanner hanno davvero una fotocamera; la mia impressione era corretta. E con tutta probabilità questa fotocamera fa parte delle dotazioni standard di questo modello di scanner e quindi è presente anche negli esemplari forniti alle aziende che non la usano. Ma quelle che invece la usano, cosa ne fanno?

Per trovare la risposta bisogna identificare la specifica marca e il modello dello scanner. Nel mio caso la marca si chiama Zebra Technologies Corporation, con sede a Holtsville, negli Stati Uniti, come indicato sulla targhetta identificativa del dispositivo, e il modello è indicato dal cosiddetto part number, abbreviato in P/N sulla stessa targhetta, ed è PS20.

Grazie a @mfp, che segue Il Disinformatico su Mastodon, sono emerse le specifiche tecniche di questo scanner e anche il suo manuale in italiano.

Queste specifiche indicano che si tratta di una telecamera da 5 megapixel, tutt’altro che modesta come prestazioni, e rivelano finalmente a cosa serve nei paesi nei quali viene utilizzata: fa riconoscimento di immagini, allo scopo di offrire al supermercato un servizio di identificazione delle persone oppure di cosiddetto locationing VLC. In altre parole, se attivata può identificare il cliente e anche localizzarlo all’interno del punto di vendita.

“Con la fotocamera anteriore, il dispositivo supporta le applicazioni di posizionamento/localizzazione indoor VLC (Visible Light Communications). Inoltre, la fotocamera viene utilizzata per il riconoscimento di immagini e volti” (manuale italiano, pagina 5)

“Enable image recognition through a wide variety of image-based 3rd party applications. Cost-effectively implement the latest locationing technology, VLC, which leverages your existing LED lighting infrastructure to track customers and workers.” (specifiche tecniche in inglese)

L’identificazione delle persone è abbastanza intuitiva da capire: se il software di riconoscimento delle immagini si accorge che è inquadrato un volto, può acquisirne una foto o un video. Ma il locationing VLC richiede un po’ di spiegazione. È una tecnica ingegnosa sviluppata dalla Philips e usata in alcuni supermercati francesi e tedeschi: ciascuna delle lampade a LED che illuminano il punto di vendita sfarfalla in modo unico, a velocità troppo elevata per essere percepita dall’occhio umano, trasmettendo così un codice che viene ricevuto dalla fotocamera dello scanner. In base a quali codici riceve, lo scanner sa esattamente dove si trova in ogni momento, con una precisione di circa 30 centimetri, senza dover installare trasmettitori radio appositi.

Ci sono anche delle app per smartphone, come per esempio LightKey, Kiwink o LiPHY, che possono ricevere e trasmettere segnali attraverso questi lampeggiamenti luminosi impercettibili.

L’ufficio stampa di Coop mi ha precisato anche che il suo scanner non utilizza queste funzioni, e io per ulteriore verifica ho provato a fare la spesa coprendo la fotocamera. Non ci sono stati errori, allarmi o malfunzionamenti.

Fonti aggiuntive: Mapsted.com; Optica.org; Favendo.com.

Alle 20 sarò sempre alla Scuola Media per un incontro con genitori e docenti, in cui parleremo insieme degli stessi temi anche alla luce delle esperienze degli studenti. 

L’ingresso per l’incontro serale è libero. Visti i temi trattati, consiglio di non portare minori, in modo da poter discutere e mostrare immagini liberamente.

Foto: Chase Masterson per Pop Culture Hero Coalition https://www.popculturehero.org.

Scavalcare la crittografia end-to-end di WhatsApp e leggere tutti i messaggi di un altro utente è facile. Così facile che può capitare addirittura per caso: basta avere il numero di telefono di quell’utente (in altre parole, è sufficiente essere un end di quell’end-to-end).

The Register e Gizmodo hanno pubblicato il racconto della disavventura capitata a un utente europeo che ha involontariamente avuto accesso a tutti i messaggi privati e ai gruppi WhatsApp di un’altra persona.

L’utente diventato intruso per caso si chiama Ugo e per molto tempo ha avuto un account WhatsApp legato al suo numero di telefono cellulare svizzero. A ottobre scorso si è trasferito in Francia per lavoro e si è procurato un numero di telefono cellulare francese, con relativa SIM nuova. Durante tutto questo periodo ha continuato a usare WhatsApp senza problemi, ricevendo e mandando messaggi come al solito.

Alla fine del mese di ottobre 2022 ha cambiato il proprio numero nell’app di WhatsApp, dando quello francese. A quel punto il suo telefono è stato inondato da tutti i gruppi e i messaggi personali e di lavoro di qualcun altro, quasi tutti in italiano, e la sua foto di profilo è diventata quella di quella persona (una donna). Ugo ha cercato di spiegare ai suoi interlocutori che lui non era la persona con la quale credevano di parlare, ma senza molto successo.

In pratica, senza volerlo Ugo aveva preso il pieno controllo dell’account WhatsApp di un’altra persona a lui sconosciuta.

Il padre di Ugo, che per lavoro ha esperienza nel settore e che ho contattato direttamente via mail, mi ha spiegato che ha usato l’apposita pagina di segnalazione di Meta per avvisare del possibile bug di sicurezza: la risposta di Meta è stata che non è un difetto di WhatsApp, ma è un problema degli operatori telefonici, che riutilizzano i numeri di telefono. 

Fra l’altro, si tratta di un problema noto e addirittura documentato nelle FAQ di WhatsApp:

Tutti gli account WhatsApp sono collegati a un numero di cellulare. Dal momento che riutilizzare i numeri di telefono è una prassi piuttosto comune per gli operatori di telefonia mobile, è possibile che il precedente proprietario del tuo numero di telefono usasse WhatsApp.
Se la persona che usava il numero prima di te non ha eliminato il suo account WhatsApp, sia tu che i tuoi contatti potreste vedere il numero su WhatsApp prima dell'attivazione del tuo nuovo account. Potresti anche vedere che il tuo numero di telefono è associato alla foto del profilo e alla sezione Info di qualcun altro.
Non devi preoccuparti. Questo significa solo che l'account precedente non è stato eliminato e nel sistema sono ancora presenti le vecchie informazioni. Il precedente proprietario del tuo numero non avrà alcun tipo di accesso all'account WhatsApp che attiverai con il tuo nuovo numero di telefono. Le tue conversazioni e gli altri dati WhatsApp sono protetti.
Monitoriamo l'inattività degli account per evitare eventuali confusioni provocate dal riutilizzo dei numeri di telefono. Se un account non viene utilizzato per 45 giorni e quindi viene attivato nuovamente su un dispositivo mobile differente, presumiamo che il numero sia stato riutilizzato. Quando si verificano queste situazioni, eliminiamo i dati del vecchio account collegati al numero di telefono, come ad esempio la foto del profilo e la sezione Info.

In pratica, qualche tempo prima la donna di cui Ugo stava leggendo i messaggi WhatsApp aveva chiuso il numero di telefonino che usava per WhatsApp. Quel numero era tornato disponibile e l’operatore telefonico lo aveva riutilizzato, assegnandolo a Ugo.

Questa possibilità di accedere ai messaggi WhatsApp di un altro utente è una falla di privacy considerevole, e il bello è che è nota almeno da tre anni. Se qualcuno ha modo di farsi dare dall’operatore telefonico una SIM che ha il numero della persona presa di mira, può leggerne tutti i messaggi. È una tecnica chiamata SIM swap: i criminali informatici la usano contattando gli operatori telefonici e spacciandosi per la vittima, chiedendo una SIM nuova perché, dicono, quella corrente non funziona più o è stata smarrita. Nei paesi nei quali gli operatori non verificano attentamente l’identità degli utenti, la SIM nuova finisce nelle mani del criminale, che a quel punto può ricevere tutti gli SMS di autenticazione dei vari servizi online della vittima e prendere il controllo in particolare delle sue piattaforme social.

Nel caso di Ugo non c’è stata alcuna intenzione criminosa, ma la sua vicenda dimostra che la riservatezza dei messaggi online non è robusta come molti pensano.

Per contenere questo problema dei numeri riciclati, normalmente gli operatori hanno un periodo piuttosto lungo di cosiddetta “quarantena”, durante il quale il numero non viene riassegnato a nessuno, e WhatsApp dichiara che se si accorge che un account non viene usato per un mese e mezzo e poi ricomincia a essere usato su un dispositivo nuovo, eliminerà i dati del vecchio account. Ma a Ugo e alla donna che è diventata sua vittima non intenzionale non è andata così, perché l’account della donna non era inattivo. La donna aveva cambiato numero di telefono e aveva continuato a usare WhatsApp sul nuovo numero, ma senza cambiare il numero nell’app.

Infatti se non si avvisa WhatsApp del cambio di numero, WhatsApp continua a credere che l’account sia associato ancora al numero vecchio, come dimostra il padre di Ugo con un video dettagliatissimo, in cui usa due numeri di telefono svizzeri e fa vedere che scambiando le SIM i due utenti, chiamiamoli Andrea e Beatrice, continuano a ricevere i messaggi dei rispettivi account WhatsApp come se niente fosse, nonostante lo scambio di SIM nei loro telefoni. 

Ma se Andrea avvisa WhatsApp del cambio di numero, il suo telefono comincia a ricevere i messaggi WhatsApp di Beatrice, perché il telefono di Andrea contiene la SIM che prima era nel telefono di Beatrice.

Normalmente WhatsApp protegge il cambio di numero contro gli abusi inviando al numero vecchio un SMS contenente un codice di sicurezza. Ma in questo caso il vecchio numero di Beatrice ora ce l’ha Andrea, che quindi riceve il codice e ha tutto il necessario per prendere il controllo dell’account WhatsApp di Beatrice.

Va chiarito che questa tecnica non consente accesso ai messaggi passati di WhatsApp: permette di leggere soltanto i messaggi che sono stati inviati al proprietario precedente del numero dopo che il nuovo proprietario ha usato quel numero per WhatsApp. Ma già così, ricevere le comunicazioni e le foto destinate a un’altra persona e poterla impersonare online, senza che quella persona lo sappia, è parecchio invadente e preoccupante.

Va anche sottolineato che questa situazione offre un canale di sorveglianza molto semplice alle forze di polizia: è sufficiente che chiedano all’operatore telefonico di generare una seconda SIM con lo stesso numero e avranno accesso ai messaggi WhatsApp inviati alla persona sorvegliata. Nel caso di altri sistemi di messaggistica, come Telegram, che conservano i messaggi sui propri server, questa tecnica probabilmente consente anche di recuperare tutti i messaggi passati.

Noi utenti possiamo ridurre il rischio di violazioni della privacy come questa con due passi piuttosto semplici. Il primo è attivare l’autenticazione a due fattori su WhatsApp, sotto Impostazioni - Account - Verifica in due passaggi. Il secondo è avvisare WhatsApp se cambiamo numero, andando in Impostazioni - Account - Cambia numero. Andrebbe fatto comunque, perché altrimenti in caso di qualunque problema con il vostro account, WhatsApp non potrà validarvi tramite il numero di telefono. Se infine decidete di smettere di usare WhatsApp per qualunque motivo, ricordatevi prima di tutto di eliminare l’account andando sempre in Impostazioni - Account - Elimina account.

Un altro giorno, un’altra segnalazione di dati personali a spasso, pronti per essere raccattati dal primo criminale informatico che passa ed essere usati come punto di partenza per attacchi informatici e truffe di ogni sorta.

Mi è stato segnalato un indirizzo IP italiano, sulla rete Eolo, che propone una pagina aperta a tutti che ospita un form di immissione dati:

Il form cita Artoni, che è una società di logistica italiana, ma i dati a spasso non sono colpa sua; la pagina che li diffonde è probabilmente di un’azienda che usa Artoni per le proprie spedizioni di merci.

Il form da solo non dice granché, ma non c’è bisogno di provare a immettere dati a caso sperando di trovare qualche corrispondenza: sarebbe molto improbabile e tedioso. Come capita spesso in tanti database, anche questo form ha una caratteristica elementare, utilissima per chi vuole rastrellare dati: premendo semplicemente il pulsante Cerca, senza immettere nulla, elenca tutti i dati dell’intero archivio, che sono circa un migliaio. Una tecnica classica, che qualunque scraper o raccattatore di informazioni conosce e applica.

Cliccando sui link delle singole ordinazioni si possono vedere i dettagli: per esempio quelli dell’azienda di Urbisaglia, in provincia di Macerata, che paga con ricevuta bancaria a 60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600 euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di caffè con la carta di credito.

Sapere i dati di chi compra caffè forse non sembra un grosso problema di sicurezza, visto che il consumo di questa bevanda non è particolarmente controverso o privato, ma ovviamente il problema non è il prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a chiunque, anche a malintenzionati.

L’esempio più banale di questo problema è che un criminale potrebbe usare le informazioni per chiamare la signora Antonella di Genova spacciandosi per un addetto del servizio di sicurezza delle carte di credito che le telefona per un controllo e dicendole con tono rassicurante che sta solo verificando che lei abbia regolarmente acquistato quello specifico prodotto. Il criminale potrebbe conquistarsi facilmente la fiducia della vittima descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato, se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora C*******, mi conferma i dati della carta con la quale ha effettuato il pagamento? Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di credito per errore.”

Certo, non tutti cadranno nella trappola e comunicheranno i dati della propria carta di credito, che il criminale potrà poi usare per commettere frodi. Ma con migliaia di nominativi a disposizione in questo singolo archivio, prima o poi troverà qualcuno che ci cadrà. E al criminale basta avere successo solo una volta ogni tanto.

Purtroppo non sembrano esserci dati utili per risalire all’identità del gestore maldestro di questa pagina Web, ma ho provato a contattare via mail alcuni clienti per chiedere se se la sentono di dirmi il nome della ditta alla quale hanno fatto l’ordinazione. Finora non ha risposto nessuno.

Ultimo aggiornamento: 2023/02/01 16:05. 

Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.

Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori di ricerca generalisti, come Google, che permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.

Ieri (30 gennaio) ho segnalato il caso di un elenco di clienti assicurativi della zona di Chieti, allegramente consultabile e modificabile da chiunque da chissà quanto tempo fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e delle patenti di numerosi soccorritori volontari o professionisti.

Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono 32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia, e così via (le date sono visualizzate nel formato statunitense mese-giorno-anno). Per ciascun utente è indicata anche la situazione medica che rende necessario il trasporto.

E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata:

C’è anche un elenco di “personale che non timbra da più di 3 settimane”:

Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS). Non ho trovato il modo di capire chi sia il responsabile di queste pagine e avvisarlo; nell’HTML non ci sono informazioni di identità e anche un reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei commenti.

Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un problema peggiore: questi dati possono essere un appiglio perfetto per compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un esempio, se qualche truffatore o malintenzionato telefonasse alla signora Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e che passerà un incaricato a riscuoterlo, probabilmente la signora ci crederebbe e aprirebbe la porta di casa all’“incaricato”.

A un livello più sofisticato, un malvivente potrebbe approfittare del fatto che sa di questa violazione della privacy e contattare i responsabili del sito chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe meno di quello che costerebbe la sanzione del Garante più le spese legali e quelle per mettere a posto il sito.

Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un criminale informatico, che sicuramente avrà più inventiva di me.

---

2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza Urgenza che mi segnala che con le informazioni che ho fornito privatamente all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne i responsabili.

---

2023/02/02 11:30. I dati non sono più accessibili via Internet.

Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per tenere conto degli aggiornamenti e per fornire un contesto più ampio.

Quasi sempre i criminali informatici vengono immaginati e rappresentati come maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono affatto necessarie, perché i dati sono stati messi maldestramente a disposizione del primo che passa e sono accessibili via Internet da chiunque abbia una minima capacità informatica.

Per esempio, pochi giorni fa mi è arrivata in via confidenziale la segnalazione di un sito aperto a chiunque che contiene quello che sembra essere un elenco di dati assicurativi di clienti italiani, probabilmente della zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle polizze assicurative, e altro ancora.

Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di cliente ma è un avviso: “Buongiorno questo database è accessibile a chiunque via Internet”, tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è accorto che è non solo leggibile da chiunque ma è anche modificabile da chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.

Trovare queste perle non è difficile. Esistono motori di ricerca appositi, come Shodan, che ho citato tante volte qui e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta Internet, e prendono nota dei siti che hanno degli accessi non protetti. È sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto: telecamere di sorveglianza accessibili, server leggibili e scrivibili da chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente immettere le parole chiave giuste.

E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati anche da Google, appunto, anche se trovarli in questo modo richiede molta più fatica. Infatti nel caso che mi è stato segnalato, il sito contenente l’archivio di dati personali di assicurati italiani è non solo reperibile in Google ma è anche nella sua cache, ossia nella copia temporanea che Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno accessibili, almeno in parte, anche per qualche tempo dopo che il sito lasciato incautamente aperto sarà stato finalmente messo in sicurezza.

Qualche giorno fa ho contattato via mail quella che credo sia la ditta responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato che l’archivio non risultava più pubblicamente accessibile via Internet, anche se la copia cache è tuttora presente in Google. Probabilmente l’avviso lasciato in bella vista ha attirato positivamente l’attenzione dei responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.

Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.

Questo articolo è disponibile in versione audio nel podcast Il Disinformatico del 23 dicembre 2022. Ultimo aggiornamento: 2022/12/23 23:30.

Moltissime persone stanno usando la funzione Magic Avatar dell’app Lensa AI per crearsi dei ritratti personali digitali stilizzati, da usare per esempio come immagini dei profili social ma anche per puro divertimento, e i risultati sono davvero notevoli. Gli incassi della casa produttrice, Prisma Labs, ammontano già a svariati milioni di dollari.

Ma per usare Lensa AI bisogna affidare a quest’azienda una decina di foto del proprio volto, quindi una serie di dati biometrici sensibili. Pertanto sarebbe opportuno leggere l’informativa sulla riservatezza dei dati e le condizioni d’uso per scoprire che fine fanno queste foto: vengono depositate temporaneamente sui server dell’azienda, che si trovano negli Stati Uniti, e cancellate subito dopo la generazione degli avatar corrispondenti. Così dice Andrey Usoltsev, CEO e cofondatore di Prisma Labs.

Il problema è che oltre alle vostre foto, Lensa AI acquisisce molte altre informazioni personali “a scopo di marketing”, come per esempio (sezione 3 delle condizioni d’uso) che tipo di smartphone usate, il vostro indirizzo IP e soprattutto i dati di tracciamento pubblicitario raccolti dai principali operatori del settore, ossia i cosiddetti IDFA di Apple o gli Android Advertising ID di Google, che possono essere poi ceduti o rivenduti ad altre società.

Potete disabilitare questa raccolta di dati andando nelle apposite impostazioni di iOS o di Android e seguendo le istruzioni fornite nell’informativa di Lensa AI.

Ci sono anche alcune precauzioni che riguardano in particolare i bambini e le donne: mandare a Lensa AI immagini di bambini è contrario alle condizioni d’uso e produce risultati che mi limito a definire inquietanti. Per le donne, invece, Lensa AI ha una spiccata tendenza a generare immagini fortemente sessualizzate: l’app spesso genera nudi integrali e pose molto esplicite anche se si mandano solo fotografie del proprio volto.

Stranamente non sembra esserci lo stesso problema per gli uomini: per loro vengono generate solitamente immagini in stile eroico o comunque ritratti normali. Potete farvene un’idea sfogliando i tweet che usano l’hashtag #lensaai.

Ma il problema più grave è che è possibile usare Lensa AI per generare immagini pornografiche realistiche di altre persone in modo pericolosamente semplice. Se si appiccica rozzamente, con Photoshop, il volto di una persona su immagini esplicite di un’altra, Lensa AI fonde perfettamente le due immagini.

Lensa AI usa una versione del software di intelligenza artificiale Stable Diffusion che è dotata di filtri che in teoria dovrebbero bloccare le immagini non adatte, ma a quanto risulta dai test effettuati dai ricercatori questi filtri vanno in tilt se si usa una serie appositamente confezionata di immagini.

Le immagini pornografiche false di celebrità o di persone comuni, usate spesso come strumenti di aggressione, bullismo o umiliazione, purtroppo non sono una novità, ma generarle prima richiedeva una notevole competenza nell’uso di programmi di fotoritocco e questo ne frenava la produzione e l’abuso. Ora, invece, grazie a Lensa AI questo ostacolo non esiste più: bastano un telefonino e pochi dollari.

Prisma Labs ha dichiarato che sta prendendo delle misure tecniche per risolvere questo problema, ma l’avvento generale di questi software di intelligenza artificiale sta creando un pantano etico che sta già spingendo alcuni governi, come per esempio quello britannico, a valutare leggi che criminalizzino la disseminazione di foto intime generate artificialmente senza consenso.

Nel frattempo è forse il caso di ridurre, se possibile, la quantità di fotografie dei nostri volti che mettiamo a disposizione di chiunque pubblicandole sui social network. L’intelligenza artificiale, purtroppo, non aiuta a contrastare la cattiveria naturale.

Fonte aggiuntiva: TechCrunch.