Pillole di Privacy - La Privacy Europea

Vai ai contenuti
La sicurezza informatica “fai da te” ed il furto di identità sul web
La fobia della privacy
fonte: ictsecuritymagazine.com
L’utenza che utilizza devices elettronici portatili ha, ormai da qualche tempo, assunto un atteggiamento schizofrenico nella presunzione di poter essere sistematicamente oggetto di intercettazione della propria privacy.
Da qui la corsa verso apparati della “mela” dove è possibile fare l’upgrade all’ultimo punto di aggiornamento e, così, salvaguardare il sistema iOS da tentativi di jailbreak in grado di aprire una falla sul dispositivo; o verso quei dispositivi Android di alta fascia in cui il brand ha realizzato una piattaforma impermeabile ove sarà possibile allocare i propri dati maggiormente a rischio.
I più esigenti, per maniacalità o, altrettante volte, per logiche professionali o “criminali”, prediligeranno l’acquisto di cryptophone assemblati nei paesi dell’Est, o di kit satellitari in grado di comunicare con Thuraya ed Inmarsat.
Ecco, allora, l’impennata sui mercati della sicurezza informatica di sistemi di blindatura, a basso costo, di apparati elettronici portatili, che vanno dall’identificazione biometrica, alla cifratura di accesso con codici numerici e segni, alla custodia protetta di più cartelle con autonome keywords di accesso al sistema, alla foto dell’impiccione che ha provato a forzare la chiave di accesso, con una miriade di applicazioni scaricabili gratuitamente sui vari stores.
Una procedura isterica che vede “il tizio” di turno, nello stereotipato ed incontrollato meccanismo di controllo del suo smartphone, prima porre il dito sul device per ottenere il riconoscimento della propria impronta digitale, poi avviare lo sblocco di sistema con la chiave di apertura della home del dispositivo (oltre alle procedure di sblocco del PIN della SIM telefonica), per poi accedere, ad esempio, ad una finta cartella che all’interno contiene, tra i tanti,  WhatsApp, Telegram, Skype, Messenger o Viber.
Ed, ancora, un’ interminabile procedura di privacy, con l’avvio dell’applicazione di interesse con un finto crash di sistema che rimanderà alla comparsa della dicitura “il processo si è interrotto inavvertitamente” o, facendo scorrere  due dita in basso sullo screen, consentire l’accesso alla pagine dell’applicazione; da qui ancora la nuova maschera di sistema con il codice di accesso (doppio su Telegram in modalità segreta) e finalmente accedere all’applicazione richiesta (senza poi contare la possibilità di avviare chat end to end con la distruzione programmata dopo un certo intervallo di tempo).
Una procedura che sa di ridicolo se si considera che ormai una buona fetta di utenza, per aumentare la performance del dispositivo che tiene incollato in mano, è passata all’utilizzo di macchine spinte da processori multi core (mediamente quad ed octa core) con memorie di sistema che ormai si sono attestate a non meno di 3 giga di RAM, con storage fino a 256 giga.
Routine che rimandano, poi, alla maniacale chiusura delle applicazioni in esecuzione, per salvaguardare (pensano gli utenti) la memoria impegnata ed il consumo di batteria: ovviamente ciò determina un nuovo protocollo isterico, con l’abilitazione di una ulteriore password che consente l’accesso alle app recenti così da poterle chiudere, per poi passare alla scansione del sistema per monitorare la presenza di virus, la pulizia di files temporanei delle pagine consultate, la “bonifica” di eventuali siti a contenuti “per adulti” visitati,  e quanto altro ancora (senza contare la tante applicazioni che rimandano alle connessioni wifi agganciate dall’utente).
Si tratta di procedure che fanno leccare i baffi ai programmatori i quali, ancor prima di pensare alla fruibilità del loro prodotto in modalità più o meno  free, si ingegnano su come poter creare il maggior numero di pagine pubblicitarie e di banner da inserire nel corso dell’avvio di quella camaleontica applicazione di tutela della privacy.
Il furto di IP e d’identità sul web
L’utenza però, da un punto di vista della sicurezza informatica, non si pone, il più delle volte, il problema del furto del proprio account: la più banale ed insidiosa procedura che consentirà ad un hacker di impadronirsi del “mondo virtuale” di una persona con un solo clic.
Una prima, sciocca, procedura è quella nota negli USA con il termine wardriving, una sorta di gara tra piccoli geni che consisteva nel forzare l’accesso ad una connessione wifi protetta utilizzando, come antenna, un tubo di patatine pringles.
Un protocollo desueto atteso che, i più, dimenticano di attivare una protezione alla propria connessione (sia essa proveniente da una banda larga domestica o dalla condivisione hot spot con un dispositivo GSM), cosicché è sempre più frequente notare, in prossimità degli armadi di smistamento dei gestori telefonici, ragazzini appena sbarcati dall’ultima nave che già sono in grado di smanettare per trovare una delle tante “porte” aperte senza una protezione (negli standard WEP, WPA, WPA2) ed iniziare le loro connessioni VoIP con l’altro continente.
Ma accanto a questo, non sempre banale, furto di indirizzi IP, la questione ancor più delicata riguarda l’account dell’utente su uno dei tanti sistemi che, parallelamente, gestiscono più devices, contenuti social, cartelle di posta elettronica, nuvole di back up dei dati, e mille altri effetti personali non troppo virtuali.
A detto proposito, mentre l’utente è particolarmente accorto nello sblocco del proprio device nascondendo il proprio segno di apertura (solitamente una zeta, una elle o una enne) o riducendo al minimo i caratteri e ad un lumicino l’intensità dello schermo, poco ricorda del proprio username e della password che consentono di accedere al proprio mondo.
Ma, ancor meno, ha memoria di aver, o meno, consentito al sistema, quale impostazione di default, di effettuare operazioni di back up sul cloud di account, di effettuare uno streaming del proprio rullino fotografico, di impostare la consultazione di più indirizzi di posta dallo stesso client, e quanto altro ancora.
Può accadere, allora, nella più banale delle ipotesi, che il consumatore stanco del proprio smartphone, tablet o pc portatile, abbia deciso di passare alla versione plus o di nuova generazione e di regalare o disfarsi, contestualmente, del vecchio dispositivo, senza ripristinare le impostazioni di fabbrica.
Accadrà allora che il nuovo fortunato utente, con il telefonino di seconda mano, inserita la propria sim senza aggiornare l’account, si troverà, ad esempio,  tra i folder della propria galleria fotografica le foto che, nel frattempo, il generoso amico ha iniziato a scattare, o le mail rimaste attive negli account di posta, i profili dei social (ad eccezione di whatsapp che non consente la simultanea fruibilità su più indirizzi telefonici, ma solo attraverso la procedura WhatsApp Web con l’abbinamento del QR Code di una diversa macchina).
Analoga criticità si configura nel caso in cui una persona, che in modo clandestino o con raggiri, si è impadronita dei privilegi di un dominio (ad esempio il marito che ha regalato il telefono alla propria signora, o il datore di lavoro che ha omaggiato la segretaria di un telefono di servizio), così da poter avere il possesso virtuale di quell’utenza.
L’ackeraggio d’elite con i brute force seriali
Ma se queste possono essere ovvie discussioni da osteria, si consideri, invece, l’hacker professionista che per svariate ragioni ha interesse a vulnerare un profilo e rubarne l’identità: l’attività avrà inizio con l’individuazione dell’account, solitamente abbinato ad un indirizzo di posta elettronica, procedendo poi alla forzatura della password con un  programma più o meno avanzato di brute force seriali, in grado di “lavorare” in tempi ridottissimi chiavi di apertura anche di diversi caratteri.
Ecco la ragione per cui si suggerisce di utilizzare caratteri alfa numerici molto lungi e complessi, con l’aggiunta di segni e maiuscole, così da rendere sempre più difficoltosa la forzatura del sistema.
Nella realtà accade però, il più delle volte, che la password di accesso sia un nome di persona abbinato ad una data (ad esempio: michele64), che renderà la procedura di accesso di una facilità disarmante.
Certo, in tal caso il “sistema”, rilevato l’accesso sui generis, dovrebbe in astratto inviare un messaggio di alert all’indirizzo preimpostato dall’utente all’atto di creazione dell’account: ad esempio con scritto “nuovo accesso al tuo account da dispositivo Android-iOS…., zona Catania ore….”.
Però il problema, il più delle volte, rimanda a quello smemorato indirizzo di posta, che è stato nel frattempo dismesso dall’utente o viene utilizzato residualmente, con accesso una tantum da remoto senza che, quindi, l’interessato sia in grado di accorgersi in tempo reale dell’accesso fraudolento.
Nelle attività di intelligence l’iter di infiltrazione è un tantino  più complicato, a volte con il disturbo in prossimità dell’utente attenzionato,  attraverso l’inibizione dei dispositivi di comunicazione con jammers in grado di disturbare il segnale GSM, o con la momentanea interdizione all’accesso della linea fisica che alimenta la rete internet domestica (dal chiostrino o dall’armadio di smistamento); ciò consentirà l’inibizione della ricezione del messaggio di alert o, in altri casi ancora, la veicolazione di messaggi fake in grado di ingannare il bersaglio.
Effettuata la penetrazione nel sistema, lo stretto necessario per effettuare le procedure di possesso, l’hacker avrà, poi, diversi modi per monitorare l’utente una volta abbandonata “la presa”: dal clone del dominio dell’account, all’osservazione attraverso uno spyware, al pedinamento con applicazioni di localizzazione, alla scansione con sofisticati ed invisibili  keylogger in grado di memorizzare le varie password utilizzate dal cliente bersaglio, o molto altro ancora.
Si tratta, da un profilo giuridico, di procedure illegali che, dall’interferenza illecita nella vita privata (art. 615 bis cp), passano all’accesso abusivo ad un sistema informatico o telematico (art. 615 ter cp), alla detenzione e diffusione abusiva di codici di accesso a sistemi informativi o telematici (art. 615 quater cp), alla diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615 quinques cp), alla cognizione, interruzione o impedimento illeciti di comunicazioni o conversazioni telegrafiche o telefoniche (art. 617 cp), all’installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche (art. 617 bis cp),  alla falsificazione, alterazione o soppressione del contenuto di comunicazioni o conversazioni telegrafiche o telefoniche (art. 617 ter cp),  alla intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater cp), alla installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617 quinques cp), fino alla falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617 sexies cp).
Un banale suggerimento
In conclusione al brevissimo approfondimento sul tema della sicurezza informatica “fai da te”, il suggerimento all’utente rimane quello – prima di badare alla performance di prestazione, di attrazione estetica del proprio device ed all’utilizzo delle tante applicazioni che ne appesantiranno uso e fruibilità – di considerare prioritariamente:
  1. la sicurezza dei propri account, con chiavi di accesso complesse e differenti per ogni singolo profilo;
  2. una frequente revisione di cambio password;
  3. l’attivazione di sistemi “sentinella” in grado di fornire all’utente un alert di accesso, tramite mail o sms;
  4. il controllo di tutti i devices collegati allo stesso account;
  5. la disattivazione del proprio account in caso di cessione di un apparato e l’inizializzazione alle impostazioni di fabbrica.
Per ultimo, ma non da ultimo, per evitare che forme di addictions da apparato elettronico distorcano in patologie croniche, il consiglio più accorato è quello di un utilizzo dei devices elettronici come strumento voluttuario (quanto separabile) di ausilio nella routine dell’individuo, piuttosto che quale sorta di estensione bionica in grado di influenzare e, spesse volte, condizionare pesantemente il vivere quotidiano.
Se così non fosse, quella “scatola nera” che portiamo con noi potrebbe, una sera, farci forse ritrovare in una pantomima non troppo distante da quella pellicola di Paolo Genovese che mette a fuoco, attorno ad un tavolo nel corso di una cena, tanti “perfetti sconosciuti”.
IL CONSENSO RACCOLTO PRIMA DELLA DATA DI EFFICACIA DEL GDPR SARÀ ANCORA VALIDO?
Fonte europrivacy.info Maria Roberta Perugini
La “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” pubblicata dal Garante precisa, nelle “Raccomandazioni” in calce alla scheda dedicata al consenso, che:
Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).”.
Il Garante dunque afferma essenzialmente che il consenso ottenuto prima della data di efficacia del GDPR continua a costituire valida base giuridica del trattamento purché sia stato raccolto con modalità tali per cui risulti “esplicito” (se riferito alla raccolta di dati sensibili e a decisioni basate su trattamenti automatizzati), “libero, specifico, informato” e “manifestato attraverso dichiarazione o azione positiva inequivocabile” (se riferito a dati ordinari).
Il Garante, pur ricordando tra le “caratteristiche sopra individuate” richiamate che il consenso deve essere “libero, specifico, informato”, non chiarisce se tale ultimo requisito deve ritenersi soddisfatto dall’avere fornito una informativa rispettosa dei requisiti di cui al Codice Privacy e non sia dunque necessario avere ottemperato alle richieste del GDPR, le quali – come noto – comportano contenuti in parte nuovi e diversi (ed in sostanza più numerosi e articolati) rispetto a quanto richiesto dalla attuale normativa italiana.
Dunque, dando per assunto che il “vecchio” consenso sia stato raccolto secondo modalità che ne garantiscono libertà, specificità, inequivocabilità o – se del caso – il suo essere “esplicito”, al fine di valutare la sua perdurante validità dal 25 maggio 2018 si pone il quesito: il consenso raccolto correttamente secondo le prescrizioni del Codice Privacy si può considerare valido anche sotto il regime del GDPR, e pertanto costituisce idonea base giuridica del trattamento senza bisogno di raccoglierne uno nuovo?
L’interrogativo è importante, ma credo che il tema di base debba essere un altro, ossia: nell’ottica della continuazione dei trattamenti già in corso alla data di entrata in vigore del GDPR, l’informativa già fornita nel rispetto del Codice Privacy è sufficiente a fondare una consapevolezza dell’interessato, relativamente al trattamento che viene effettuato dei propri dati personali, che risulti adeguata in rapporto alle richieste del GDPR?
In caso di risposta positiva, il consenso “informato” ai sensi del Codice Privacy continuerebbe ad essere tale anche ai sensi del GDPR e pertanto non sarebbe necessario raccoglierlo nuovamente.
Personalmente, considerata la rilevante differenza esistente tra la “vecchia” informativa e quella prescritta dal GDPR, mi pare difficile prospettare la continuazione tout-court dei trattamenti in corso in virtù di una presunzione di uguaglianza delle due informative. Bisogna infatti considerare che i trattamenti che avranno inizio in costanza di GDPR dovranno necessariamente rispecchiare le nuove norme, con la conseguenza che trattamenti con le medesime caratteristiche quanto a finalità, modalità, tipologia di interessati e di dati trattati, fondati sulla medesima base giuridica – il consenso – basata però su presupposti diversi (le informative “vecchie” e quelle “nuove”), si troverebbero a convivere: ciò comporterebbe una sperequazione difficilmente giustificabile sia con riferimento agli interessati che hanno dato ante GDPR il consenso al trattamento (fornito – per chi riceve la “nuova” informativa – sulla base della conoscenza di maggiori e più approfondite informazioni, alcune delle quali indicate dall’art. 13 comma 2 del GDPR come “necessarie per garantire un trattamento corretto e trasparente“: si pensi ad esempio a quelle sulla logica e le conseguenze della profilazione o sulla durata della conservazione dei dati), sia con riferimento ai titolari post GDPR (che con la  “nuova” informativa dovranno fornire una fotografia del trattamento ben più analitica e complessa).
Probabilmente, una soluzione bilanciata potrebbe essere che i titolari del trattamento che intendessero continuare ad utilizzare i dati degli interessati, di cui hanno (legittimamente) acquisito il consenso ante GDPR, fornissero un supplemento di informativa con le informazioni “nuove” necessarie in base alle norme e alla piena trasparenza (art. 5, comma 1, lett, a) GDPR), offrendo contestualmente agli interessati la possibilità di revocare il consenso originariamente fornito e naturalmente specificando le eventuali conseguenze di tale revoca.
Di seguito, nella tabella, una schematica rappresentazione delle situazioni che si possono creare.

Una logica analoga dovrebbe essere seguita quando il trattamento in corso – che il titolare intendesse continuare anche in regime di GDPR – fosse fondato su una base giuridica diversa dal consenso: è chiaro che la esplicitazione di tale fondamento (obbligatoria ex artt. 13, co. 1, lett. c) e 14, co. 1, lett. c) GDPR), tanto più in quanto accompagnata dagli altri nuovi contenuti dell’informativa, induce nell’interessato – che in tale caso non è stato chiamato a scegliere, attivandosi per fornire il proprio consenso – una più profonda consapevolezza del trattamento che viene fatto dei propri dati personali e di conseguenza dei propri diritti, compresi quelli di nuova codificazione, in ossequio al principio di trasparenza.
Per concludere, ricordo che nell’approccio del GDPR le scelte di trattamento sono rimesse all’accountability del titolare: anche in assenza di specifiche linee guida, o comunque di specifici supporti approntati dal Garante o da altri organismi a ciò deputati, i titolari del trattamento sono dunque tenuti ad operare secondo proprie valutazioni, nell’ottica del bilanciamento tra i propri diritti e quelli alla protezione dei dati personali degli interessati e nel rispetto del principio di trasparenza:  in questo contesto, il titolare si assume la responsabilità delle scelte fatte ed è in grado dimostrare il percorso (decisionale, organizzativo, tecnico) progettato e attuato.
Ciò vale tanto per le decisioni relative alle circostanze di trattamento sopra considerate, quanto – con riferimento ad un tema affine – per la valutazione della “impossibilità” o dello “sforzo sproporzionato” che ai sensi dell’art. 14, comma 5, lett. b) legittimano il titolare a non fornire alcuna informazione all’interessato i cui dati ha raccolto presso terzi.
Torna ai contenuti