18 ottobre 2018
Furti di identità e crimini informatici sempre più diffusi … che fare?
di Maria Alessandra Monanni
In base alle ultime vicende che hanno interessato Facebook e Google Plus che dire … come possiamo ad oggi continuare a sperare che i nostri dati personali siano nelle loro mani ma in sicurezza?
Facebook è stato sottoposto ad un attacco informatico che avrebbe comportato il furto di dati di molti utenti (email, numeri di telefono): da 50 milioni di utenti, come si era detto in un primo tempo, si è passati a confermare un dato ridimensionato di circa 30 milioni, sempre comunque un numero considerevole! Sembra infatti che gli hacker siano stati in grado di ottenere i cosiddetti token d'accesso dei profili dei diversi utenti (con i token infatti è possibile rimanere collegati al proprio profilo social senza dover ogniqualvolta reinserire la password).
Google Plus, dall'altra parte, starebbe chiudendo i battenti non solo per uno scarso uso da parte dei consumatori ma perché è stato riscontrato un bug all'interno del codice che ha messo a rischio la privacy e la sicurezza delle informazioni sugli account di 500.000 utenti.
A questi fatti si aggiungono denunce dell'Associazione Italiana per la Sicurezza Informatica (CLUSIT) sull'aumento dei furti di identità (furto delle credenziali) per mettere in atto attacchi informatici e la conferma, secondo un rapporto Censis sulla Comunicazione, della sfiducia sempre più profonda nei confronti dei Social Network da parte degli utenti italiani e di una riscoperta della "radio come uno dei mezzi di informazione più affidabili".
Questa è una decisa reazione a quanto sta accadendo: dagli abusi dei nostri dati personali messi in atto dai gestori delle piattaforme Social e motori di ricerca, alla lettura delle nostre email sugli account Gmail - come conferma la vicepresidente di Google Susan Molinari - per cui vengono autorizzate indistintamente aziende terze ad accedervi per scopi pubblicitari (analisi delle preferenze degli utenti per gestione di pubblicità personalizzata).
Ma come fare per poter difendersi da tutto questo? Sicuramente il GDPR assume un ruolo centrale nella gestione di questa situazione - come afferma l'onorevole Antonello Soro, Garante della Privacy - il quale, in un'intervista in riferimento a questi fatti, pone l'accento sulla discutibile modalità di fare business dei grandi colossi della rete, a discapito sicuramente degli utenti: dati che vengono sfruttati per ricerche di mercato, per scopi di marketing e analisi a fini pubblicitari.
Sottolinea che per difendersi da questi abusi il Regolamento Europeo costituisce uno straordinario strumento "per costringere gli Over The Top a gestire con maggiore trasparenza i dati personali dei loro utenti, a proteggerli con misure adeguate e a limitare in un perimetro chiaro gli usi che di questi dati essi possono fare". Infatti l'onorevole richiama a tal riguardo il caso Facebook per cui proprio in applicazione del GDPR, Facebook stessa abbia dovuto comunicare immediatamente la violazione, sia agli utenti che alle Autorità sulla protezione dei dati.
La peculiarità del GDPR è proprio quella di poter intervenire a tutela dei nostri dati anche nei confronti di imprese collocate al di fuori dell'Unione Europea, ma i cui prodotti siano destinati a cittadini dell'Unione stessa. In questo modo i Colossi dovranno certamente porre attenzione agli utenti europei che, con questo Regolamento, possono essere tutelati nel rispetto dei loro diritti e a protezione dei propri dati personali. Una disciplina che richiami il modello europeo, non è presente in molti Paesi extra-europei, ma alcuni si stanno già adeguando, come ad esempio la California, che nel giugno del 2018 ha adottato il "Privacy Act", o come il Canada e il Giappone.
L'intervista prosegue in attenzione ai fatti accaduti a Facebook: sembrerebbe che i dati sottratti dall'azienda siano già in vendita nel "mercato nero del web", cagionando un grosso danno all'immagine di Facebook. "Se confermato sarebbe molto grave" - asserisce Soro - "C'è anche da dire che oggi il danno reputazionale è più importante delle sanzioni. La deterrenza esercitata da entrambe queste "sanzioni" (giuridica e sociale) nel tempo può portare a un miglioramento della qualità dei servizi. Le aziende coinvolte sanno che devono competere anche su questo aspetto con i concorrenti che vengono da altri paesi: la protezione dati diviene infatti una risorsa reputazionale importante."
Anche rispetto al caso Google Plus viene richiamato l'aspetto "reputazionale", per cui Google stessa sembra non abbia ancora riconosciuto in realtà che il "databreach" possa essere collegato alla "vulnerabilità di Google Plus", proprio per motivi di reputazione. Questo ha comportato molte denunce di associazioni e diverse segnalazioni a difesa dei consumatori. L'Autorità si è attivata ma, come racconta l'onorevole Soro, "non da soli. Considerato il carattere transnazionale di queste aziende non ci muoveremo più come singola autorità ma concordemente con le altre autorità europee. Per questo abbiamo creato una piattaforma apposita per lo scambio di informazioni e la cooperazione avanzata".
L'onorevole Soro prosegue confermando che la gravità dell'accesso ai contenuti di posta non è giustificabile qualunque sia la motivazione, ma sottolinea che questo agire è nato da "un periodo lunghissimo in cui l'economia digitale ha funzionato al di sopra della legge, sia perché non c'erano regole, sia perché gli utenti non esercitavano pienamente i loro diritti, sia perché l'euforia del business era prevalente rispetto alle cautele da adottare". Nonostante questo modo di vedere, Google però ha promesso all'Autorità di chiudere Google Plus, di definire nuove misure a protezione dei dati e di attuare una "revisione radicale delle proprie policies, comprese le forme di accesso agli sviluppatori di terze parti".
Inoltre, dato il tentativo da parte delle aziende di "rovesciare sugli utenti ogni responsabilità" sulla gestione dei dati, a motivo del fatto che la maggior parte di loro tende a non leggere le "clausole legali dei servizi informatici", il GDPR si assume il compito di consolidare le garanzie seguendo un approccio preventivo. Infatti "grazie al nuovo regolamento europeo" - continua l'onorevole Soro - "è l'azienda a dover garantire che dati saranno trattati correttamente mentre sono le autorità di garanzia che dovranno vigilare perché i cittadini da soli non saranno mai in grado di verificare che uso viene fatto dei loro dati".
In conclusione l'onorevole Soro ritiene che sono state "sottostimate le sfide della trasformazione digitale": non si può settorializzare le responsabilità alle sole imprese o ai soli utenti e "le leggi da sole non bastano". Occorre definire un nuovo approccio culturale: " bisogna imparare a pensare la rete come a una dimensione della vita".
Aggiunge: "le aziende digitali e i governi che hanno il controllo dei nostri dati producono una sorveglianza totale. Per questo i diritti nella dimensione online vanno riconosciuti come nella real life, nella vita analogica. La protezione dei dati è rilevantissima per la difesa della libertà".
Terminando poi l'intervista con un'espressione molto incisiva: "I dati siamo noi. La protezione dell'umanità passa attraverso la protezione dei nostri dati".
Dott.ssa Maria Alessandra Monanni
Legal Specialist in Proprietà Intellettuale
Copywriter e Blogger