LA GUIDA

Dati personali: i pericoli più comuni della rete e come evitarli

Dalla mancanza di trasparenza sul trattamento ai cookie, dal nudging al phishing: ecco tutte le trappole che potrebbero mettere in pericolo i nostri dati nel corso delle nostre quotidiane attività online. Cosa sapere, i rischi e come proteggersi

02 Mar 2022
Flavia Fornasiero

DPO e Consulente Privacy

Amazon, cosa sappiamo della sanzione del Garante della privacy del Lussemburgo

I nostri dati personali vengono raccolti e trattati in tanti modi diversi su internet, comportando a volte alcuni rischi per noi e per l’organizzazione di cui facciamo parte.

Proviamo a tracciare una lista di questioni e consigli da cui cominciare per aumentare la sicurezza dei nostri dati online.

Privacy online, così mettiamo a rischio i nostri dati senza rendercene conto

Trasparenza

Per prima cosa, c’è un problema di trasparenza. Quando si forniscono informazioni per accedere a servizi online, si pensa generalmente che i dati personali saranno utilizzati dal Titolare del trattamento unicamente per gestire la nostra richiesta o il processo in corso (ad esempio, una transazione bancaria, un ordine su piattaforma e-commerce, un preventivo per polizza auto, ecc.). Tuttavia, non è sempre così.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Cose da sapere

Spesso questi dati sono utilizzati anche per altri scopi, e nel caso questa eventualità dovrebbe essere esplicitata nella Privacy Policy del Titolare a cui stiamo comunicando i dati stessi. Mentre compiliamo un form di raccolta dati, dovremmo avere a disposizione un link o veder comparire un “pop-up” che ci conduce ad una apposita sezione “Privacy” del sito. Qui troveremo un’informativa al trattamento completa, chiara e semplice come previsto dal GDPR, con la descrizione dei possibili altri usi dei dati personali. Questo almeno è l’auspicio, considerando anche che l’obbligo di informativa non è propriamente una novità dell’ultima ora.

Sappiamo che, molto spesso, i dati personali comunicati per una finalità ben precisa vengono utilizzati (dal Titolare o da terze parti) anche per arricchire il nostro profilo, i nostri interessi, le nostre attività on line. Il tutto servirà poi a personalizzare le pubblicità che vedremo sul sito stesso oppure quando visiteremo siti o app di altri Titolari.

Quali rischi?

Alcune organizzazioni non sono molto trasparenti rispetto ai molteplici usi dei dati personali raccolti e non attribuiscono la giusta importanza all’esercizio dei diritti degli interessati (GDPR, articoli 15-22). Un esempio di questo comportamento non corretto è tipicamente rappresentato da Privacy Policy troppo generiche e ambigue, che indicano nelle finalità: “Utilizziamo i tuoi dati personali per migliorare il nostro servizio”, senza ulteriori dettagli. Queste descrizioni molto vaghe non sono sufficienti e accettabili, in quanto non consentono all’utente di capire cosa intende fare il Titolare con i dati personali che raccoglie. Altre “anomalie frequenti” nelle informative sono ad esempio la totale omissione dei vari tipi di trattamenti eseguiti, oppure il tentativo di nascondere finalità particolari dietro scopi secondari e istituzionali (quali “ricerca e sviluppo, analisi statistica”), e ancora evitare di descrivere come e quando condividono i dati personali con altri partner.

Come proteggersi

Bisogna innanzi tutto cercare di tenersi informati ed essere consapevoli che ogni Titolare del trattamento ha il dovere di essere chiaro rispetto all’uso dei dati che gli state fornendo. Come per ogni contratto che si sottoscrive, quando ci si iscrive ad un servizio on line non bisognerebbe agire in fretta, ma prendersi il giusto tempo per leggere l’informativa sulla privacy e capire come i dati personali vengono utilizzati da tale servizio. Se c’è qualcosa di poco chiaro o che ci lascia perplessi, valutare se effettivamente si desidera utilizzare tale servizio o meno, oppure se ci sono delle funzionalità di cui si potrebbe fare a meno. Non trascurare anche gli eventuali avvisi “pop up” o link quali “Leggi di più” che possono comparire in fase di iscrizione o di installazione in caso di App.

Come regola generale, non bisognerebbe fornire dati personali a un servizio online senza conoscere le modalità di utilizzo dei dati. Come accennato in precedenza, le organizzazioni hanno la precisa responsabilità (oltre che obbligo normativo) di garantirvi una spiegazione semplice, chiara, facilmente accessibile rispetto a cosa intendono fare con i vostri dati. Se si vuole essere prudenti, fornire solo la quantità minima di dati personali necessari per aderire al servizio che si desidera utilizzare (ad. esempio, solo quelli indicati come “campi obbligatori”).

Cookie e strumenti di tracciamento

È ormai noto che molte aziende creano profili basati sulle nostre attività online per analizzare il comportamento dei consumatori e prendere importanti decisioni strategiche. Questo avviene soprattutto per mezzo dei famosi cookie.

Cosa sapere

I cookie sono piccoli file di testo che vengono installati nel browser web quando visitiamo un sito e possono registrare ad esempio le preferenze linguistiche, il tipo di device utilizzato oppure le ricerche e gli acquisti effettuati. Le informazioni contenute nei cookie vengono ritrasmesse al sito ogni volta che si visita una pagina, si fa clic su un link o si interagisce in qualsiasi modo con il sito. Il proprietario del sito può utilizzarle per tracciare il comportamento dell’utente, capire le sue preferenze e i suoi interessi, arricchire il profilo utente che è già presente nei suoi sistemi, e può talvolta collegare ciò che si fa sul suo sito web ad attività effettuate su altri siti. Questo è il classico meccanismo dei cosiddetti “cookie di terze parti” che vengono creati quando il titolare del sito web permette ad un’altra organizzazione di utilizzare parte della propria pagina web per pubblicità, interazione con i social media, aggiornamenti meteo o altri tipi di widget.

In base all’attuale normativa sulla privacy (GDPR e specifiche Linee Guida del Garante italiano), entrando in un sito web l’utente deve potere conoscere quali cookie il sito propone e scegliere quali accettare o meno (al di là di quelli tecnici che servono al funzionamento del sito e non tracciano gli utenti).

Quali rischi?

Il monitoraggio del nostro comportamento sui siti web può essere molto dettagliato, anche perché di frequente organizzazioni diverse scambiano tra loro i dati sulle azioni degli utenti eseguite sui propri siti web. Possono quindi essere analizzati molti dettagli sulla nostra vita privata, i nostri interessi e le attività sia professionali sia personali. Questi meccanismi possono anche essere usati in alcuni casi per influenzare il nostro shopping o altri tipi di scelte, arrivando ad avere un impatto sulle opinioni politiche o su argomenti di grande rilevanza per la società (restando nell’attualità pandemica, pensiamo ad esempio all’aspro dibattito tra NoVax e ProVax e a come la comunicazione web può influenzarlo).

Un altro rischio riguarda la non corretta classificazione dei cookie da parte del titolare del sito. A volte, i cookie che i siti web classificano come “necessari” potrebbero non esserlo. Infatti, ai sensi della normativa vigente, i cookie strettamente necessari al funzionamento del servizio non necessitano di consenso. Un proprietario di sito poco attento (o poco etico) potrebbe includere nei cookie necessari alcuni strumenti che in realtà non lo sono. Altro scenario: il sito web dovrebbe funzionare anche avendo rifiutato i cookie non necessari, mentre potrebbe capitare che alcune delle caratteristiche opzionali non si attivino correttamente e si è quindi “costretti” ad accettare anche dei cookie opzionali per fruire al meglio del sito.

Come proteggersi

È importante valutare bene le informazioni che vengono fornite sull’uso dei cookie del sito web visitato e la presenza del consenso per installarli. Deve essere presente una Cookie Policy chiara e completa, che spieghi in modo semplice quali cookie sono strettamente necessari per utilizzare il servizio e quali sono facoltativi. Nei siti a norma di legge, i cookie non necessari possono essere accettati o rifiutati subito o anche in seguito, attraverso uno specifico link nel sito che riconduce l’utente alla finestra dei consensi. È anche possibile intervenire a livello di browser web, modificando in questo modo le impostazioni generali dei cookie; molti siti forniscono le istruzioni su come fare nei diversi tipi di browser.

Se alcune finalità dei cookie che viene chiesto di accettare non sembrano molto chiare, si potrebbe decidere di non visitare il sito, di accettare solo alcuni cookie, oppure di cancellarli dopo aver utilizzato il sito, attraverso le apposite funzioni del browser.

Molti titolari di siti stanno utilizzando alcuni “plugin” per supportare la gestione dei cookie da accettare e da rifiutare. Questi strumenti, se presenti, permettono facilmente di verificare quali consensi abbiamo già fornito e di modificarli in ogni momento, a volte anche rispetto al singolo cookie e non solo per categoria (necessari, analitici, di preferenza, marketing/profilazione).

L’importanza del design visivo: il “nudging”

A volte, quando si utilizzano servizi online o applicazioni ci viene chiesto di fare una scelta su una funzione o sul modo in cui il titolare del sito ci permette di utilizzare il servizio.

Cosa sapere

Potrebbe essere necessario scegliere “OK” o “Annulla”, “Consento” o “Non consento”, “Sì” o “No”, “Accetta” o “Gestisci impostazioni”. A volte queste scelte possono comportare molteplici passaggi ed è evidente che il modo in cui questo processo è stato progettato e ci viene presentato, riveste una grande importanza per l’organizzazione e le sue strategie di marketing. Va ricordato che durante la progettazione di questi flussi, i titolari dei siti dovranno sempre applicare i principi di “Privacy by design” e “Privacy by default”, garantendo quindi che le informazioni fornite all’utente per permettergli di scegliere tra le varie opzioni siano sempre chiare e complete e che i servizi dovrebbero, per impostazione predefinita, trattare solo i dati personali necessari per le finalità prevista.

Quali rischi?

Il design visivo delle funzioni di scelta può essere utilizzato in modo quasi subdolo. Ad esempio, le organizzazioni possono utilizzare il branding, il tipo di colori e dei font per evidenziare o enfatizzare determinate opzioni piuttosto che altre. Spesso quella che viene presentata come la scelta più in evidenza, non è detto che sia la più “privacy friendly” o la più appropriata per gli utenti.

Ad esempio, si potrebbe vedere in una pagina web un pulsante ‘OK’ colorato invece che grigio oppure più grande del pulsante “Cancel” e quindi essere portati a scegliere OK per ottenere una migliore esperienza. Oppure, si potrebbe essere di fretta e non notare un piccolo link ‘Per saperne di più’’ posto vicino ai pulsanti di scelta oppure un link ‘Skip’ che viene presentato in grigio, in piccolo e ai margini dello schermo. In tutti questi casi, le strategie di progettazione visiva spingono l’utente verso le scelte che interessano maggiormente al titolare del sito piuttosto che quelle che l’utente avrebbe fatto consultando informazioni più chiare e ricevendo meno “spinte”, più note nel settore con il termine inglese di nudge.

La teoria dei nudge afferma infatti che i piccoli rinforzi positivi, aiuti indiretti o anche solo la mancanza di rinforzi negativi possono incidere sui processi decisionali dell’individuo. È quindi possibile intervenire proattivamente sull’architettura della scelta, in modo da indirizzare gli utenti verso determinate opzioni e non altre, senza farli sentire costretti nella loro scelta.

Tornando ai rischi, potrebbe quindi succedere che, seguendo la scelta più in vista perché colorata o ingrandita, non si presti l’adeguata attenzione alle informazioni disponibili su ciò che ci viene chiesto di accettare o alle scelte alternative. Si potrebbe ad esempio finire per fornire un consenso ad un trattamento che in realtà non ci porta alcun beneficio. Ovviamente i titolari di siti che dovessero abusare di queste tecniche, andrebbero incontro ad una potenziale sanzione per mancato rispetto degli obblighi di trasparenza, o per ottenimento del consenso in modo non adeguato.

Come proteggersi

Prestare la massima attenzione alle impostazioni e ai menu che vengono proposti quando si utilizza un sito o una app. Bisogna analizzare tutti gli elementi visualizzati a schermo e non solo quelli più evidenziati e posizionati ad arte per guidare la nostra scelta. Anche il linguaggio utilizzato ha una grande importanza, il modo con cui sono posti i quesiti e la presentazione o meno delle alternative: possono influenzare la nostra preferenza in una particolare direzione.

Se non si è convinti della scelta più evidenziata, considerare anche l’opzione di “non scegliere” e quindi di annullare e tornare alla schermata precedente, prendersi il tempo di riflettere e valutare meglio senza agire sempre di fretta. Se è presente un link per accedere a maggiori informazioni, utilizzarlo e verificare se effettivamente sono disponibili più dettagli su quello che ci viene chiesto di fare, su quale potrebbe essere l’impatto della scelta e su come può avvantaggiare noi o il titolare del sito.

Infine, se le opzioni disponibili sono poco chiare o non si comprende qualche elemento, è opportuno contattare il fornitore del prodotto o servizio e chiedere chiarimenti sulle alternative che ci vengono proposte. A volte ci si dimentica che domandare è lecito … e rispondere è cortesia!

Sicurezza: i rischi del “riciclo” delle password

Quasi sempre per accedere a servizi online è necessario creare un account, costituito da un nome utente e da una password. La maggior parte di noi utilizza ormai numerosi servizi e si trova dunque a dover generare e a tenere traccia di decine e decine di password.

Cosa sapere

Le password andranno create con una certa complessità e dovranno avere caratteristiche che le rendano difficili da indovinare, sia da parte di umani che di bot. A volte sarà necessario rispettare una determinata lunghezza, oppure la password dovrà contenere almeno un numero, una lettera maiuscola o un carattere speciale. Alcuni servizi più delicati ed importanti possono anche richiedere che le password siano aggiornate a intervalli regolari, ad esempio ogni tre mesi.

Quali rischi?

A volte l’utente si trova a dover aggiornare una password scaduta proprio quando ha necessità di accedere rapidamente ad un servizio, e questo lo porta magari a compiere scelte sbagliate, come quella di riutilizzare una password già in uso per un altro sito o app. Quale è il grosso rischio in questo caso? Se ci fosse una violazione di dati (Data Breach) durante la quale i criminali hanno avuto accesso a nomi utente e password del servizio, verrebbero messi a rischio anche gli altri servizi per i quali si è impostata la medesima password. Molte aziende adottano misure di sicurezza, anche apparentemente robuste, per proteggere le identità utente e le relative credenziali, ma la storia ci dice che spesso e volentieri gli hacker sono riusciti a metter mano ai database delle password. La brutta abitudine quindi di riutilizzare le password può mettere a serio rischio molte delle nostre informazioni più confidenziali.

Come proteggersi?

Qualche semplice regola:

  • non riutilizzare la stessa password per l’accesso a diversi siti web o servizi
  • adottare schemi di creazione delle password difficilmente individuabili
  • garantire che gli indirizzi e-mail primari e gli altri account più importanti siano protetti da password diverse, uniche e con alto grado di complessità. Questa misura aiuterà a ridurre il rischio in caso di violazione di dati personali su un singolo servizio.
  • oltre a creare password con alti criteri di complessità, tenere presente che password più lunghe (al momento della scrittura, almeno 12 caratteri) oppure le cosiddette “passphrase” sono più sicure (passphrase = una frase chiave, può essere anche di senso compiuto per ricordarla meglio ma dovrebbe includere anche numeri e caratteri speciali
  • se si devono gestire molte password, valutare l’utilizzo di un apposito tool tra i tanti disponibili detto “Password Manager”, che permette di memorizzare le varie parole chiave, di generarle con diversi criteri e a cui si accede con una password master lunga e sicura

Molti sistemi di registrazione degli account e accesso ai servizi utilizzano ormai modalità di autenticazione a due fattori (quindi oltre a user name e password viene chiesto un codice temporaneo inviato al cellulare o alla casella di posta elettronica). È auspicabile che tutti i siti lo adottino, quindi si suggerisce di prestare maggiore attenzione quando ci si iscrive ad un servizio che non lo prevede.

Sicurezza: il phishing

Il phishing è “una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli.” (definizione pubblicata sul sito della Polizia Postale). Il phishing mira soprattutto ad acquisire informazioni riservate degli utenti e utilizzarle per violare le misure di sicurezza di un sito, un servizio, un’organizzazione in generale.

Cosa sapere

Nella maggior parte dei casi, i criminali inviano una e-mail di spoofing, apparentemente proveniente dalla propria banca, dalla posta o da una società a noi nota, in cui si invita l’utente a fornire i propri dati di accesso al servizio per ovviare a problemi tecnici o nella registrazione. Tipicamente, un attacco di phishing si caratterizza per questi particolari:

  • crea un senso di urgenza e paura nell’utente, a cui viene prospettata la possibile perdita di accesso a un servizio
  • contiene la richiesta di informazioni riservate come password o pin
  • il testo dell’e-mail sembra autentico, ma contiene errori di ortografia o grammatica che la vera organizzazione non farebbe
  • contiene link a siti web che hanno nomi particolari o strana ortografia
  • offre la possibilità di ottenere prodotti o servizi molto desiderabili (cellulari costosi, vacanze, prova gratuita auto di lusso, soggiorni in hotel cinque stelle, altri incentivi)

Spesso gli attacchi di phishing sono diretti indiscriminatamente verso un gran numero di utenti, nella speranza che tra questi almeno qualcuno cada nella trappola (e spesso purtroppo è così). Quando invece i criminali si rivolgono specificamente a un singolo utente o a un piccolo gruppo di utenti, si tratta di “spear phishing”, una truffa che ha l’obiettivo di colpire una singola organizzazione per sottrarle dati e danneggiarla.

Quali rischi?

I criminali che realizzano il tentativo di phishing puntano a guadagnare la fiducia dell’utente e fargli credere che siano reali ed affidabili. L’obiettivo finale degli hacker è violare la sicurezza di un servizio utilizzato e rubare o estorcere denaro o altri oggetti di valore dell’utente o dell’organizzazione di cui esso fa parte. In alcuni casi, il messaggio di phishing non chiede di fornire informazioni riservate, ma forza l’utente ad installare un software non verificato o delle applicazioni che sono in realtà malware o spyware, che a loro volta si attiveranno per raccogliere informazioni riservate o diffondere virus all’interno della rete aziendale.

Come proteggersi

Gli attacchi di phishing possono essere molto sofisticati e supportati da informazioni che i criminali hanno trovato sull’utente preso di mira. Di seguito sono riportati alcuni suggerimenti per identificare ed evitare gli attacchi di phishing:

  • fare molta attenzione ai link inseriti nelle e-mail; posizionando il puntatore del mouse sul link, dovreste vedere l’URL di destinazione nella parte bassa della finestra. Se non si tratta del sito reale, non cliccare il link.
  • Verificare se il link proposto non contiene piccoli e ingannevoli errori di ortografia (es. www.gasanteprivacy.it assomiglia ma non è l’originale www.garanteprivacy.it)
  • Controllare la veridicità dell’URL presente nella e-mail con un tool specifico (ad esempio Google Safe Browsing
  • In generale, non si dovrebbe mai comunicare a nessuno i propri codici di accesso, siano essi password o PIN
  • Le banche e gli istituti finanziari in generale non chiedono la conferma di dati personali via e-mail; diffidare quindi da questo genere di comunicazioni che contengono un link con la richiesta di “accedere qui” per visualizzare le informazioni dell’account; meglio andare direttamente sul sito della banca dal browser se si pensa che la richiesta sia autentica
  • Verificare sempre che nei siti web dove bisogna immettere dati personali, la trasmissione degli stessi avvenga con protocollo cifrato: nella barra di ricerca ci sia deve essere la dicitura HTTPS davanti alla URL del sito, e cliccando sul simbolo del lucchetto prima di HTTPS si aprirà un pop-up con tutte le indicazioni relative alla certificazione digitale utilizzata dal sito.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing
@RIPRODUZIONE RISERVATA

Articolo 1 di 4