Domotica smart, quello che i consumatori non sanno: così ci giochiamo privacy e sicurezza - Agenda Digitale

case intelligenti

Domotica smart, quello che i consumatori non sanno: così ci giochiamo privacy e sicurezza

Le nostre case, invase da device smart, raccolgono ogni giorno una quantità spropositata di dati, anche in termini di modelli comportamentali, che vengono poi elaborati da terzi al di fuori della casa stessa. Dalle videocamere di sicurezza agli assistenti vocali, ecco a cosa dobbiamo prestare attenzione

01 Lug 2021
Maurizio Stochino

Consulente ICT - Esperto di Sicurezza Informatica

La domotica smart, quello che fino a qualche anno fa sembrava essere un concetto decisamente astruso e fuori dalla portata e, inutile negarlo, anche dell’interesse di molte persone, è diventato invece in breve tempo un orizzonte vicino che ci consente d’intravedere il futuro.

Oggi si fa un gran parlare di domotica, ma spesso è il concetto principale quello che viene effettivamente a mancare. Cosa s’intende per domotica smart? E quali sono i nodi da sciogliere in tema di privacy e sicurezza?

Case intelligenti: tecnologie e sfide per il futuro

Privacy e sicurezza della smart home

Appurato come ci sia un incremento esponenziale del fenomeno, e conseguentemente anche degli apparati e dei device utilizzati, quale garanzia ha l’utente di poter tenere sotto controllo l’enorme flusso di dati e informazioni personali che vengono generati giornalmente?

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

Il fatto è che la domotica smart e quelle che ormai sono chiamate smart home, case intelligenti, ogni giorno raccolgono una quantità spropositata di dati, anche in termini di modelli comportamentali, ma tutte queste informazioni vengono poi elaborate da enti terzi al di fuori della casa stessa.

Sono diversi i casi, ad esempio, in cui persone che avevano installato nelle loro abitazioni videocamere o un intero sistema di videosorveglianza intelligente hanno ritrovato fotogrammi delle loro abitudini e della loro vita pubblicate sul web.

Dove inizia e finisce un servizio quindi? E quando si può parlare di violazione della privacy e rischio per la sicurezza?

Sicurezza della smart home, come scegliere i device giusti per evitare problemi

Da utenti a oggetto di monitoraggio

Il tema è decisamente complesso, anche perché ormai la domotica ha assunto lo status di un vero e proprio ecosistema in cui diverse piccole realtà risultano perennemente connesse e interfacciate tra di loro senza che il fruitore abbia un reale controllo sull’intero processo distributivo dei dati.

La procedura di immagazzinamento dati e distribuzione per la successiva elaborazione è qualcosa totalmente al di fuori del controllo dell’utente che quindi può facilmente ritrovarsi da reale utilizzatore a potenziale vittima di un sistema in cui è protagonista ma al contempo anche oggetto di studio e possibile analisi e monitoraggio.

Senza poi considerare l’eventualità di attacchi informatici mirati che possono essere avanzati per sfruttare le falle e le debolezze dei server di raccolta.

Andiamo ora a vedere alcuni scenari in cui la domotica smart ha assunto un ruolo potenzialmente ambiguo con un alto fattore di rischio.

Xiaomi e il bug delle videocamere smart home

Una delle vicende che più ha destato scalpore e ha fatto riflettere attentamente su quelli che possono essere le implicazioni morali ed etiche correlate alla domotica è stata certamente quella relativa alle videocamere smart home di Xiaomi.

La vicenda è salita alla ribalta il 2 gennaio del 2020 quando un utente sul popolare social Reddit ha postato un intervento in cui veniva evidenziato come le videocamere in questione stessero si effettivamente riprendendo, però sullo smart display comparivano immagini appartenenti ad altri ambienti e persone.

Prima di approfondire la questione, però, è essenziale chiarire bene ed esaustivamente quali siano i componenti in gioco. Da una parte abbiamo le videocamere Xiaomi e dall’altra un Google Nest Hub.

Un Google Nest Hub può essere considerato come uno schermo intelligente mediante cui avere la possibilità di vedere tranquillamente video su Youtube o i nostri programmi preferiti in streaming o anche ascoltare della musica tramite l’integrazione con l’app dedicata Spotify.

Oltre all’aspetto puramente ludico, però, un Google Nest Hub può essere anche impiegato per prendere il controllo degli aspetti gestionali della domotica con un semplice click.

Abbiamo bisogno di attivare una determinata funzione tramite attivazione vocale? Questo dispositivo può esserci d’aiuto, così come nel caso vogliamo accedere i riscaldamenti a un determinato orario o controllare i vari devices interconnessi semplicemente usando il display principale.

Un Google Nest Hub, quindi, funge da dispositivo multifunzione appositamente studiato e realizzato per gestire in perfetta comodità tutta la domotica della propria abitazione.

In quanto tale, ovviamente, può anche fungere da schermo per mostrare le immagini in tempo reale acquisite dalle videocamere o dal sistema di videosorveglianza presente in casa ed ecco quindi che arriviamo al secondo elemento in gioco, le videocamere Xiaomi.

La videocamera coinvolta nei fatti, specificatamente una Xiaomi Mijia 1080p Smart IP, risultava effettivamente funzionante, solo che le immagini visualizzate sullo schermo del Google Nest Hub erano quelle di utenti in possesso del medesimo modello.

Si può quindi facilmente immaginare il disorientamento nello scoprire come una videocamera potesse aver trasmesso immagini e fotogrammi personali e intimi a dei perfetti sconosciuti con tutti i rischi per la sicurezza e la privacy che questo comportava.

Non è solo una mera questione di violazione della privacy, seppure questa sia indiscutibilmente fondamentale e un diritto garantito, quanto il potenziale rischio derivante dal fatto che immagini simili potessero essere acquisite da malintenzionati o hacker.

L’intera faccenda ha suscitato immediatamente le reazioni più disparate, inizialmente si è anche pensato che fosse un malfunzionamento legato a un mancato aggiornamento o a degli apparati vetusti o fuori produzione, cosa che comunque sarebbe irrilevante ai fini del discorso, ma tutti i device coinvolti nel caso erano nuovi e aggiornati all’ultima versione del firmware.

Immediatamente Google e Xiaomi hanno cercato di comprendere i motivi di questo disguido tecnico, per così dire, e in data 17 gennaio 2020 Xiaomi ha annunciato di aver risolto con successo il bug responsabile dell’interferenza ed estromissione delle loro videocamere Mi dal sistema proprietario di Google.

Sono ovviamente seguite delle scuse dovute in cui la società ha espresso il proprio disappunto per l’accadimento dichiarando come la tutela della privacy e della sicurezza degli utenti sia uno degli obiettivi dichiarati aziendali.

Report successivi hanno messo in evidenza come il bizzarro fenomeno fosse stato causato dall’implementazione di una nuova funzionalità nelle videocamere e come avesse colpito poco più di un migliaio di utenti.

Si tratti di numeri che forse per un’azienda possono essere poco significativi se si tengono conto dei milioni di prodotti immessi sul mercato, però la corsa nel cercare di risolvere l’increscioso incidente e le dovute scuse hanno messo ancora più in evidenza come la privacy e la sicurezza siano tematiche quanto mai degne di considerazioni oggigiorno.

Il riconoscimento facciale nel campanello di casa è una pessima idea: ecco perché

Backdoor in Ring per la polizia USA

La dimostrazione più evidente di come il rapporto tra privacy e tecnologia sia quanto mai complesso e degno di ulteriori approfondimenti ci viene dal prodotto Amazon Ring e da come viene attualmente impiegato presso le forze dell’ordine statunitensi.

Amazon Ring è il brand che con il quale s’indicano specifiche videocamere di sicurezza. Ovviamente, per il loro uso, sono state prese in considerazione dalla polizia statunitense per poter offrire un servizio maggiormente celere e indirizzato senza virtuali possibilità di errori d’identificazione.

Queste videocamere iperperformanti e che possono contare su una qualità d’immagine in HD sono divenute nel corso di pochissimo tempo una delle strumentazioni di videosorveglianza preferita se è vero che da un ultimo report del 2020 risulta come siano più di 2.000 i distretti di polizia in cui vengono impiegate.

Se lo scopo, quanto meno nelle intenzioni, è più che condivisibile e giusto, è all’atto pratico, però, che iniziano a esserci le prime falle, soprattutto in tema sicurezza.

Un’inchiesta giornalistica condotta nel 2019 ha messo in evidenza come il prodotto fosse particolarmente influenzabile da attacchi hacker e come, ad esempio, fossero riusciti a creare una backdoor, ovvero un software dedicato spia tramite cui accedere senza il permesso dell’utente, riuscendo facilmente a individuare indirizzi mail e password dei proprietari.

L’azienda dal canto suo ha sempre scaricato le responsabilità all’utente finale adducendo la motivazione che spettasse a chi ne fa effettivamente uso ampliare le modalità di sicurezza, tramite magari una doppia autenticazione, ma com’è logico comprendere le spiegazioni non sono risultate molto convincenti.

Passati appena pochi giorni dall’uscita dell’inchiesta ed ecco che sono stati scoperti due database con migliaia d’informazioni sensibili contenenti non solo indirizzi mail e password dei proprietari, ma persino i dati delle loro carte di credito.

Ovvio come lo scenario appena descritto possa suscitare delle preoccupazioni se si pensa al singolo utente, ma cosa succede se dovessero verificarsi problematiche simili in quelle videocamere utilizzate nei sistemi di videosorveglianza?

Benché non si abbia niente da nascondere, non a tutti farebbe piacere il sapere di poter finire sui nastri di videoregistrazione in possesso della polizia, referti che tra l’altro non godono nemmeno di una sicurezza così elevata che ne giustificherebbero l’impiego.

Nonostante l’azienda produttrice asserisca che le procedure per garantire la privacy siano state ulteriormente rafforzate anche in virtù delle ultime vicende e che gli stessi distretti di polizia garantiscano come le richieste d’accesso ai dati raccolti siano per lo più appannaggio di aree in cui il tasso della criminalità è particolarmente elevato, è innegabile come il tema della privacy sia più vivo che mai.

Gli assistenti vocali ci ascoltano sempre

Di dispositivi muniti di microfono e che da un certo punto di vista fanno ormai parte dell’arredo di una casa ce ne sono diversi, il rappresentante più conosciuto e rinomato è sicuramente Alexa, l’assistente personale intelligente progettato da Amazon.

Device di questa natura sono certamente utili perché rappresentano la quinta essenza della domotica e le loro caratteristiche li rendono strumenti ideali tramite cui poter prendere il controllo su numerosi aspetti gestionali non solo della propria abitazione, ma anche della propria quotidianità con innumerevoli campi d’applicazione.

A destare preoccupazione, però, è soprattutto la presenza del microfono. Dopotutto, se c’è un apparato atto alla ricezione d’informazioni o richieste, possiamo davvero avere la certezza che dall’altra parte non ci sia qualcuno all’ascolto?

Messa così potrebbe quasi sembrare uno dei tanti sfoghi antitecnologici che tanto spazio trovano sul web, però le cose richiedono effettivamente un chiarimento esplicativo a riguardo.

La stessa Amazon ha ormai reso pubblico come ci fossero degli operatori adibiti alla visione delle registrazioni delle videocamere di sicurezza, così come ce ne sono altri che si occupano attivamente dell’ascolto e del monitoraggio delle conversazioni messe in atto con gli assistenti virtuali.

Lo scopo, come sempre assicurato dall’azienda, è quella di fornire un servizio quanto mai compatibile e perfezionato con le esigenze dei suoi fruitori e degli utenti, potrà anche essere vero, ma è evidente come nel bel mezzo di tutti i dati raccolti possano esserci fotogrammi o audio che si preferisce tenere per sé.

Addirittura, nel corso di un’inchiesta, Bloomberg ha rivelato come in Paesi quali il Costa Rica, l’India o la Romania vengano analizzati più di 1.000 audio quotidianamente contenenti spesso informazioni sensibili che possono riguardare ad esempio i dati della propria carta di credito o del proprio conto.

La difesa di Amazon, ma anche di altre realtà simili che forniscono prodotti analoghi come Siri di Apple, hanno sempre chiarito come l’ascolto fosse prettamente riservato al perfezionamento degli algoritmi di funzionamento e mai a spiare intenzionalmente gli utenti.

Volendo si potrebbe anche pensare che basti spegnere il dispositivo subito dopo averlo chiamato in causa per soddisfare un’esigenza personale, ma la matematica Hanna Fry del London College ha messo in luce una realtà differente.

Risulta, infatti, che le tecnologie di assistenza vocale continuino la loro opera di ascolto ricettivo e monitoraggio per un certo periodo persino successivamente all’adempimento del compito richiesto, rimanendo quindi silenti ma in effettivo stato di ricezione.

La situazione in sé potrebbe non allarmare, ma quanto meno richiama all’attenzione la necessità di un approccio più consapevole a tecnologie del genere.

Il riconoscimento facciale di Dahua e Hikvision

Da qualche anno le due multinazionali cinesi Dahua e Hikvision specializzate nella realizzazione e commercializzazione di prodotti atti alla videosorveglianza sono nell’occhio del ciclone per comportamenti ambigui legati alla privacy e alla sicurezza.

Pur realizzando dispositivi che assicurano fare affidamento sui più sofisticati algoritmi guidati da un innovativo e rivoluzionario sistema di deep learning dell’AI, è emerso come il riconoscimento facciale avanzato dalla società Hikvision andasse a penalizzare e individuare la minoranza degli Uiguri, una piccola comunità di cittadini musulmani residenti nella regione cinese dello Xinjiang.

A causa di ciò e per rappresentare una potenziale minaccia per la sicurezza nazionale, entrambe le società sono state messe ufficialmente al bando negli Stati Uniti con un’apposita legge firmata dal presidente Trump il 13 agosto del 2018.

Sono stati messi in dubbio addirittura l’attendibilità dei dati raccolti e l’effettivo funzionamento dell’intelligenza artificiale che gestisce l’intero processo, ciò però ha causato conseguenze anche in Europa.

Proprio recentemente, infatti, il Parlamento europeo con una percentuale bulgara del quasi il 90% ha approvato la mozione che poneva fine alla collaborazione in essere con la società Hikvision e la rimozione di tutti i dispositivi installati.

Ovvio come la portata di una decisione simile si sia fatta sentire anche in Italia. Camera e Senato, ad esempio, hanno annunciato di aver già messo in atto un processo di sostituzione di tutte le videocamere e i termoscanner appartenenti a Hikvision con l’obiettivo, inoltre, di garantire risultati simili anche nelle varie procure su tutto il territorio.

Discorso analogo può essere fatto anche per l’altra azienda chiamata in causa, la Dahua, i cui prodotti sono tuttora largamente utilizzati se si pensa che solo nel 2020, in virtù dell’emergenza Covid-19, a Palazzo Chigi sono stati ben 19 i totem installati riconducibili a questa società.

Il punto di vista legale

Dal punto di vista legale è in primis da precisare che la domotica, come ogni altra tecnologia, non è di per sé giusta o sbagliata. Dipende sempre da come ci si approccia a tali sistemi, è questo a fare la differenza. Gli smart speaker, ad esempio, non sono necessariamente un problema, se però come accaduto in passato, Amazon e le altre Big Tech, avviano programmi di human review senza nulla comunicare ai clienti e senza fornire un effettivo controllo sui propri dati (partendo anche dalla richiesta di consenso su tali trattamenti), vediamo che allora l’utilizzo di questi assistenti vocali diventa problematico. Ma questo non vale solo per gli home device, vale per qualsiasi tipo di tecnologia. Le automobili, ad esempio stanno diventando una sorta di smartspeaker con le ruote. Anche in quel caso gli assistenti vocali dovranno essere progettati in modo corretto.

Riprendendo quanto evidenziato più sopra, con riferimento a Ring, è chiaro che la presenza di backdoor utilizzabili dalle forze dell’ordine è un grosso problema. Non viviamo difatti in paesi totalitari, non è in vigore uno stato di polizia, motivo per cui anche gli agenti, nell’esercizio delle loro funzioni, dovranno necessariamente sottostare alle regole generali previste dall’ordinamento. A nulla vale il fatto che si stia (per ora) parlando di polizia statunitense e questo perché come ci insegnano anche i film, persino oltreoceano per poter avviare indagini è necessario dotarsi di quello che viene volgarmente chiamato un “mandato”.

Non a caso, proprio in questi giorni Amazon è stata costretta ad un passo indietro. Sul blog ufficiale di Ring leggiamo difatti che da adesso in poi le forze dell’ordine non potranno più estrarre video tramite una backdoor ma dovranno agire in maniera più leale, come fossero dei pari. E come può avvenire tutto ciò? Semplice, Amazon ha creato una sezione apposta per le forze dell’ordine. In caso di necessità le stesse possono descrivere i fatti per cui chiedono aiuto e, qui sta la novità, non sarà Amazon a fornire i video ma saranno gli altri utenti a farlo. In sostanza è una vera e propria di richiesta di collaborazione. Se l’utente vorrà, potrà condividere le proprie registrazioni con la polizia, differentemente non lo farà, e le forze dell’ordine non avranno la possibilità di ottenere i video in altro modo. Si legge sul blog: “I post di richiesta di assistenza sono opt-in, nulla viene condiviso con alcuna agenzia a meno che non si svolgano attivamente i passaggi insiti nella scelta di farlo”. Questo, come anticipato, potrebbe essere già un buon passo avanti dimostrando che l’utilizzo corretto di una tecnologia consente di non stigmatizzarla.

Discorso a parte tuttavia vale per le tecnologie di riconoscimento facciale, le quali salvo specifica previsione legale devono ritenersi assolutamente fuori legge. Sono noti i casi di Como e Torino dove il garante è intervenuto contro le amministrazioni comunali ree di aver installato telecamere smart al fine di controllare i cittadini. In questi casi il garante ha evidenziato come, in mancanza di una normativa apposita, tali tecnologie siano da ritenersi illegali. Lo stesso vale per l’utilizzo da parte degli organi dello stato e della UE. Del resto, pare quantomeno il caso di ricordare che l’Artificial Intelligence Act è piuttosto restrittivo quanto alle possibilità di utilizzo di sistemi di riconoscimento biometrico. Non è quindi un caso che il Parlamento UE abbia cessato la collaborazione con la società Hikvision, come sopra affermato. Si tratta di una circostanza che dal punto di vista legale e politico è del tutto in linea con un percorso di consapevolezza che sta portando avanti l’Unione quantomeno dal 25 maggio 2018.

Conclusione

In conclusione, come abbiamo visto, i framework legislativi, specialmente in UE sono in grado ormai di disciplinare correttamente tutte le casistiche ipotizzabili. Dalla domotica al controllo in aree pubbliche, quello che però manca, come evidenziano le cronache, è una più acuta sensibilità tanto da parte delle società quanto da parte dei consumatori che troppo spesso si limitano a un semplicistico “acconsento” senza realmente comprendere cosa sta accadendo. In tal senso, mentre l’Unione ed i singoli stati stanno dimostrando maturità sul tema, sono i consumatori che invece agiscono in modo troppo impulsivo e credo che, proprio per questo, sarà da concentrare su di loro una maggiore attenzione al fine di formare una cultura digital ad oggi non presente.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3