Siamo tutti spiabili nell’intimità, a causa dei dispositivi della casa intelligente. Come le videocamere di sorveglianza. Ma non solo. L’ultimo caso riguarda la comparsa online di video intimi del conduttore televisivo Stefano De Martino, ripreso con la sua compagna Caroline Tronelli. Video sottratti probabilmente per via di una falla software nelle videocamere installate dalla coppia. Sono apparsi su un portale (poi oscurato) con video intimi presi da webcam in tutto il mondo, su Facebook e girano su Whatsapp e Telegram.
Indice degli argomenti
Il caso dei video di De Martino e Caroline Tronelli
L’apertura di un’istruttoria pochi giorni fa da parte del Garante privacy italiano in seguito al reclamo di De Martino per la divulgazione in rete dei filmati di natura intima ci ricorda che il problema riguarda tutti noi. Non solo le persone famose.
La smart home infatti è ormai una realtà diffusa anche in Italia: sistemi di videosorveglianza remota, serrature intelligenti, sensori ambientali, assistenti vocali e persino frigoriferi connessi alla rete stanno entrando progressivamente nelle nostre abitazioni. Il mercato nazionale della domotica ha raggiunto nel 2023 un valore di 810 milioni di euro, con una crescita costante anno dopo anno, che ha portato l’apertura di un nuovo fronte di vulnerabilità informatiche rischiose per milioni di utenti spesso inconsapevoli.
Garante privacy su video di De Martino
Per il caso De Martino, il Garante privacy ha ordinato “l’immediata limitazione definitiva del relativo trattamento, disposta nei confronti di chiunque abbia divulgato i predetti filmati” adottando inoltre “un provvedimento di avvertimento circa il carattere presumibilmente illecito di ogni eventuale ulteriore diffusione dei medesimi filmati”. Ma intanto il danno è fatto, perché come spiega l’autorità “la divulgazione di contenuti che riguardano la sfera personale ed intima, anche di personaggi noti, è suscettibile di determinare un pregiudizio grave e irreparabile per i soggetti coinvolti”.
I rischi privacy della smart home: i dispositivi a rischio
E non è certo l’unico caso comparso in cronaca. Infatti, ogni dispositivo connesso rappresenta un potenziale punto di accesso per attori malevoli.
Videocamere
Un caso emblematico è quello del produttore cinese di videocamere IP Ezviz, i cui dispositivi sono stati coinvolti in una campagna di exploit che sfruttava una vulnerabilità critica (CVE-2023-48121) nel protocollo di autenticazione per accedere da remoto alle telecamere senza credenziali valide. Migliaia di dispositivi sono risultati esposti pubblicamente su Internet, spesso configurati con le impostazioni di fabbrica e senza password robuste. Un utente malintenzionato avrebbe potuto non solo violare la privacy delle case in cui le videocamere erano installate, ma anche tracciare le abitudini dei residenti, come gli orari di uscita o di rientro, per commettere ulteriori reati.
Le minacce però non riguardano solo la sorveglianza. Alcuni attacchi hanno sfruttato le smart home per scopi più ampi, come nel caso della botnet Mirai, che ha avuto nel tempo numerose varianti. Questa botnet, famosa per aver sfruttato videocamere e router mal configurati, ha trasformato centinaia di migliaia di dispositivi domestici in strumenti per lanciare attacchi DDoS su larga scala, capaci di mettere fuori uso servizi come Twitter, Netflix e Spotify nel 2016.
Videocitofoni
Un altro caso che ha fatto scalpore è stato quello dell’azienda americana Ring, produttrice di videocitofoni smart. Alcuni hacker sono riusciti a ottenere accesso a centinaia di account sfruttando credenziali riciclate da altre piattaforme e in più di un’occasione, si sono introdotti virtualmente nelle abitazioni, parlando attraverso l’altoparlante integrato e intimorendo i residenti. Questi casi hanno suscitato grande attenzione mediatica e hanno spinto le aziende a rafforzare le misure di sicurezza, come l’introduzione obbligatoria della verifica in due passaggi.
L’utilizzo di protocolli di comunicazione vulnerabili, come UPnP e mDNS, può esporre dettagli sensibili, nomi di dispositivi, modelli e indirizzi MAC, a chiunque si trovi nella stessa rete o persino su Internet, se non adeguatamente protetti. Questo tipo di informazioni può essere sfruttato per costruire un profilo digitale dell’utente e delle sue abitudini, agevolando attacchi di social engineering o truffe mirate.
Luci smart e vulnerabilità
Anche quello delle luci smart è un settore potenzialmente a rischio. Nel 2020, i ricercatori dell’azienda di cybersicurezza Check Point Research hanno dimostrato che un attacco alle lampadine intelligenti Philips Hue poteva permettere a un hacker di prendere il controllo del bridge Zigbee tramite un malware diffuso via Wi-Fi. Una volta compromesso il bridge, era possibile accedere ad altri dispositivi nella rete locale, compresi computer e NAS, mostrando chiaramente come anche dispositivi apparentemente innocui possano diventare vettori d’ingresso in un’infrastruttura domestica.
Aspirapolveri
Nel 2022 il MIT Technology Review ha rivelato che alcuni modelli di Roomba utilizzati in fase di test avevano scattato immagini degli ambienti domestici, comprese fotografie di persone in situazioni intime, come una donna ripresa in bagno.
Queste immagini erano state inviate a società esterne incaricate di etichettare i dati per addestrare sistemi di intelligenza artificiale e, da lì, erano finite persino sui social network. Già nel 2019 i ricercatori di Trend Micro avevano individuato vulnerabilità nei robot aspirapolvere Ecovacs Deebot, che avrebbero potuto consentire a un attaccante di accedere da remoto a microfono e videocamera integrati, trasformando il dispositivo in un vero strumento di spionaggio. Più in generale, i modelli di fascia alta dotati di lidar, telecamere e microfoni pongono la questione della raccolta delle mappe delle abitazioni e del loro invio ai server delle aziende, con l’ipotesi non remota che possano essere condivise con terze parti per finalità commerciali.
Giocattoli smart
I giocattoli smart hanno dato vita a scandali ancora più eclatanti. Nel 2017 la bambola “My Friend Cayla” è stata vietata in Germania perché considerata un microfono occulto: utilizzava infatti un collegamento Bluetooth non protetto che permetteva a chiunque, nel raggio di pochi metri, di connettersi e comunicare con i bambini attraverso il giocattolo.
Nello stesso anno esplose il caso di CloudPets, peluche che consentivano a genitori e figli di scambiarsi messaggi vocali. Una grave falla di sicurezza espose online oltre due milioni di messaggi registrati e i dati personali di circa 800.000 utenti. Poco prima, nel 2016, i Furby Connect erano stati criticati perché il loro Bluetooth poteva essere sfruttato per inviare messaggi vocali arbitrari ai bambini. Ancora più controversa fu Hello Barbie, lanciata nel 2015: dotata di connessione Wi-Fi e riconoscimento vocale, inviava le registrazioni delle conversazioni ai server di Mattel, sollevando un ampio dibattito sul rischio di profilazione dei minori.
Tv
I televisori smart raccolgono dati sulle abitudini di visione per fini pubblicitari, ma alcuni modelli sono stati sorpresi a inviare in automatico informazioni dettagliate sulle trasmissioni guardate e persino su file video riprodotti da chiavette usb.
Frigoriferi, lavatrici
Anche gli elettrodomestici connessi, come frigoriferi e lavatrici “intelligenti” pongono rischi. Oltre a comunicare con la rete domestica, raccolgono dati su consumi, orari di utilizzo e perfino liste della spesa. In teoria, un attaccante che riuscisse a penetrare in questi sistemi potrebbe usarli come punto d’ingresso per monitorare l’attività domestica o accedere ad altre parti della rete.
Le contromisure normative in UE
Recentemente, l’Europa ha iniziato a prendere contromisure, infatti, a partire da agosto 2025, entreranno in vigore nuove norme derivanti dalla Direttiva RED, che imporranno requisiti specifici di cybersicurezza per tutti i dispositivi radio collegati a Internet. I produttori dovranno garantire protezioni minime contro accessi non autorizzati, aggiornabilità del firmware e protezione dei dati trasmessi. Parallelamente, regolamenti come il Cyber Resilience Act puntano a rafforzare l’intero ecosistema IoT in ottica “security by design”, costringendo le aziende a tenere conto della sicurezza già in fase di progettazione.
Come rendere sicura la smart home: i consigli
In questo scenario, anche i consumatori devono diventare più consapevoli e attenti. Installare dispositivi smart non può più essere un’operazione plug and play, affidata al caso. Serve prestare attenzione alle ricadute sulla sicurezza. Il primo passo importante è la segmentazione della rete: quasi tutti i router moderni offrono la possibilità di creare una rete ospite separata che può essere utilizzata per i dispositivi IoT in modo da isolare eventuali infezioni o accessi indesiderati dal resto della rete a cui sono collegati computer, smartphone e dati sensibili.
Un secondo passaggio per garantire la sicurezza della propria casa è assicurarsi che tutti i dispositivi siano aggiornati, tenendo conto del fatto che non tutti aggiornano automaticamente il firmware e controllando periodicamente l’app del produttore per verificare la disponibilità di nuove versioni. Un esempio concreto della necessità di rimanere sempre aggiornati è il caso che ha coinvolto ThroughTek Kalay, una piattaforma software integrata in oltre 83 milioni di dispositivi IoT consumer nel mondo, tra cui telecamere di sorveglianza, baby monitor e videoregistratori digitali (DVR). Una grave vulnerabilità scoperta nel 2021 da Mandiant ha permesso agli attaccanti di prendere il controllo completo di questi dispositivi da remoto, accedendo in tempo reale ai flussi audio e video, installando firmware malevoli e sfruttando le funzionalità di sistema senza che l’utente ne fosse minimamente consapevole. Il problema risiedeva nel meccanismo di autenticazione tramite UID (identificatore univoco), che poteva essere intercettato tramite tecniche di social engineering o vulnerabilità web. Ottenuto l’UID, l’attaccante era in grado di dirottare la connessione tra il dispositivo e la relativa app mobile, mantenendo un accesso persistente e invisibile. La criticità (CVE-2021-28372) non era limitata a un singolo produttore, ma colpiva l’intero ecosistema basato sull’SDK Kalay, utilizzato da decine di brand, spesso anche in versioni white label. Nonostante l’azienda abbia rilasciato una patch correttiva nella versione 3.1.10 del software, la distribuzione effettiva del fix dipende dai produttori dei dispositivi, molti dei quali non hanno previsto aggiornamenti. In assenza di un elenco ufficiale dei dispositivi coinvolti, resta fondamentale installare ogni aggiornamento software disponibile e considerare l’obsolescenza come un rischio attivo.
Anche scegliere le giuste password gioca un ruolo cruciale poiché molto spesso i dispositivi smart vengono lasciati con le credenziali predefinite, rappresentando obiettivi perfetti per il password spray. La disattivazione dei servizi non necessari è un altro accorgimento efficace per costruire la propria sicurezza casalinga: funzionalità come UPnP o WPS, pensate per semplificare la configurazione, possono esporre la rete a rischi gravi se lasciate attive, così come le porte TCP o UDP aperte nel firewall del router.
Infine, chi possiede numerosi dispositivi smart potrebbe utilizzare un servizio di VPN domestica o hub domotici avanzati che integrano strumenti di monitoraggio e blocco automatico di traffico sospetto.
L’importanza della consapevolezza
In sintesi, la smart home può essere tanto comoda quanto pericolosa, se trascurata. La facilità di spegnere le luci con un comando vocale o controllare la serratura da remoto non deve far dimenticare che ogni dispositivo connesso è una potenziale porta d’ingresso. Conoscere i rischi, seguire buone pratiche e scegliere con attenzione i prodotti sono i primi passi per abitare una casa smart e sicura.
