IoT: alcuni esempi di uso comune e loro possibili vulnerabilità
Autore: Claudio Fuligni
IoT sta diffondendosi sempre più nel quotidiano, ma non si devono sottovalutare le vulnerabilità sotto il profilo della privacy e della cybersecurity
Data: 23/12/2023
I prodotti digitali connessi con la tecnologia IoT sono dispositivi con funzionalità connesse ed integrate che sempre più spesso ci si ritrova ad utilizzare, nella nostra realtà quotidiana così come nell’ambito aziendale, senza prestare adeguata attenzione alle possibili vulnerabilità ed ai rischi di cyber attacchi ad essi collegati.
Di seguito alcuni degli IoT più utilizzati con evidenziati gli aspetti più rilevanti ai fini della cybersecurity.
IoT e Smart Car
Tramite IoT, le autovetture arrivano a comportarsi nei confronti dell’utilizzatore come uno smartphone su ruote, trasmettendo in tempo reale una grande quantità di dati e informazioni. Inoltre, Internet of Things consente la connessione della macchina con i veicoli nelle vicinanze e con le infrastrutture circostanti con il dichiarato fine di prevenire e rilevare eventuali incidenti.
Nella smart car, tuttavia, il flusso di dati è in duplice direzione. Se per un verso, infatti, la vettura risponde alle richieste dell’utente fornendo servizi come GPS, musica e tutta una serie di informazioni, anche molto complesse, nel verso opposto raccoglie dall’utente, il più delle volte inconsapevole, enormi quantità di dati, anche personali e sensibili, che trasmette wireless ai produttori, che, oltretutto, spesso vendono gli stessi dati raccolti a terze parti o sul mercato.
Tutti i produttori raccolgono dati personali del proprietario del veicolo: nome, indirizzo, numero di patente di guida, numero di telefono, indirizzo e-mail numero di previdenza sociale e altri. Sul conducente dell’auto, i produttori raccolgono dati personali anche appartenenti alle categorie particolari di cui all’art. 9 GDPR, quali, a titolo esemplificativo, altezza, peso, battito cardiaco, movimenti oculari, scansione del viso per il riconoscimento facciale, nonché informazioni relative alla guida, tra cui accelerazione e velocità, funzionalità di sterzata e frenata, direzione di marcia, o anche le preferenze all’interno del veicolo, le posizioni preferite salvate sui suoi sistemi e le immagini catturate da telecamere o sensori esterni.
In tutte le smart car sono raccolti anche i dati dai telefonini sincronizzati usati nell’abitacolo.
La questione si pone in tutta la sua rilevanza se si pensa che solo alcune case produttrici forniscono una informativa privacy completa all’acquirente, trasferendo, poi, sul medesimo l’onere e la responsabilità di informare gli eventuali passeggeri.
Di ciò si è ben presto reso conto l’EPDB (European Data Protection Board) e il 9 marzo 2021 ha adottato le Linee guida 1/2020 sul trattamento dei dati personali nel contesto dei veicoli connessi e delle applicazioni legate alla mobilità, con le quali, tra l’altro, ha individuato i dati trattati rilevanti ai fini dell’applicazione della normativa privacy e ha dettato alcune regole per garantire il rispetto degli obblighi in materia di protezione dei dati personali fin dalla progettazione e per impostazione predefinita di cui all’articolo 25 del GDPR.
Ma le questioni aperte sono per il momento ancora lontane dalla soluzione definitiva.
IoT e Smart Home
IoT è impiegato nelle case per gestire in automatico e/o da remoto gli impianti e gli oggetti intelligenti connessi dell’abitazione, al fine di ridurre i consumi energetici, migliorare la fruibilità dei servizi e potenziare le misure di sicurezza della casa e di protezione delle persone al suo interno.
Gli oggetti intelligenti connessi tra loro e con i rispettivi produttori all’interno delle Smart Home raccolgono una notevole quantità di dati, anche di natura personale e sottoforma di modelli comportamentali, ed esportano queste informazioni all’esterno delle pareti domestiche, verso le aziende produttrici, che elaborano i dati ricevuti in autonomia o li trasferiscono a soggetti terzi, spesso a titolo oneroso.
Il fatto è che molto spesso gli utenti non sono stati correttamente informati (o non lo sono stati affatto), al momento dell’acquisto o dell’installazione del prodotto smart, né che questo effettua la raccolta di dati personali, anche sensibili, né che tali dati personali, una volta raccolti, possono essere utilizzati dal produttore anche per attività di profilazione, che, com’è noto, richiedono sempre il preventivo consenso, adeguatamente informato, dell’interessato, o, anche, possono da questi essere ceduti a terzi a titolo oneroso.
Per comprendere meglio la questione, si pensi, ad esempio, al caso in cui alcuni utenti che, dopo aver installato nelle loro abitazioni singole videocamere o un intero sistema di videosorveglianza intelligente, hanno rinvenuto fotogrammi delle loro abitudini e della loro vita privata pubblicate sul web.
A questo aspetto problematico in termini di privacy, se ne aggiunge un altro rilevante sotto il profilo della cybersecurity: con l’aumento dell’utilizzo nelle abitazioni di oggetti intelligenti, connessi tra loro e collegati wireless con i vari produttori (e in alcuni casi anche con terze parti), aumenta notevolmente il rischio di cyber attacchi, che, pur colpendo singoli prodotti, per tale sistema di connessioni possono facilmente raggiungere tutto il sistema di domotica, con evidenti conseguenze per gli utenti, sia in termini di impossibilità di utilizzo degli strumenti, sia, soprattutto, in termini di perdita e possibile trattamento abusivo di dati.
IoT e Smart City
Secondo la definizione dell’Unione Europea, una città intelligente è un luogo che integra i sistemi fisici, digitali e umani nelle reti e nei servizi tradizionali per utilizzare meglio le risorse energetiche e ridurre le emissioni a vantaggio dei cittadini e delle imprese (cfr: https://commission.europa.eu/news/focus-energy-and-smart-cities-2022-07-13_it).
IoT nella Smart City è utilizzato per il monitoraggio e la gestione di servizi quali l’illuminazione pubblica, i trasporti urbani, i parcheggi, lo smaltimento dei rifiuti e la sicurezza pubblica attraverso sistemi di videosorveglianza.
In tutti questi casi, l’interazione dell’utente con il sistema integrato comporta la raccolta di dati, che successivamente sono processati anche a fini di analisi comportamentale.
Come sempre quando si è di fronte a trattamenti aventi ad oggetto dati personali, l’utente deve essere correttamente informato prima che il trattamento dei suoi dati personali abbia inizio, essendo indifferente il fatto che il titolare del trattamento sia in questi casi una autorità pubblica piuttosto che un soggetto privato.
Anzi, proprio la natura pubblica del titolare del trattamento impone la nomina di un Responsabile per la Protezione dei Dati (RPD), ai sensi dell’art. 37 GDPR.
Inoltre, qualora il trattamento preveda l’uso di nuove tecnologie, l’ente pubblico dovrà adempiere anche all’obbligo di effettuare una preventiva valutazione d’impatto ai sensi dell’art. 35, par. 1 GDPR, come ha più volte ribadito il Garante Privacy con riferimento alle telecamere pubbliche che hanno implementato il sistema di riconoscimento facciale.
Gli interventi del legislatore europeo a tutela degli utenti
Il 30 novembre 2023 la Presidenza del Consiglio UE e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta legislativa nota come Cyber Resilience Act (CRA), che nasce al fine di garantire che i prodotti con componenti digitali siano sicuri sotto il profilo della cybersecurity.
Il futuro Regolamento si propone, in altri termini, di introdurre requisiti minimi di sicurezza informatica per tali prodotti nelle varie fasi di progettazione, sviluppo, produzione e commercializzazione di tali prodotti, da un lato, garantendo ai consumatori una più adeguata informazione, dall’altro imponendo ai produttori l’implementazione di procedure rispettose della privacy, quali gli obblighi di fornire valutazioni relative a cyber risk e di rilasciare dichiarazioni di conformità, nonché prevedendo, sia per i produttori che per altre figure come gli importatori e i distributori, stringenti obblighi di valutazione delle vulnerabilità.
Il CRA, una volta definitivamente approvato dal Parlamento europeo e dal Consiglio UE, entrerà in vigore il ventesimo giorno dalla pubblicazione nella Gazzetta Ufficiale, ma le imprese avranno a disposizione trentasei mesi per adeguarvisi.