Vai al contenuto

Podcast RSI – Identità elettronica: pro e contro tecnici, promesse e preoccupazioni

Questo è il testo della puntata del 29 settembre 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.

[CLIP: varie voci che chiedono “Mi dà un documento per favore?”]

Immaginatevi di rispondere a questa richiesta senza dover frugare nella borsa o nel portafogli per trovare una tessera consunta che ha su una vostra foto venuta male. Immaginate che non vi vada a genio l’idea di dare a uno sconosciuto l’elenco completo dei fatti vostri impressi su quella tessera, compreso l’indirizzo di casa come avviene nei documenti di alcuni paesi,* quando in realtà dovete dimostrare soltanto di essere maggiorenni o di essere chi dite di essere. O immaginate di essere online e che un sito di acquisti o un social network vi chieda una foto di un documento o addirittura di fare una scansione tridimensionale del vostro volto.

* La carta d’identità elettronica italiana, per esempio, include l’indirizzo di residenza, il codice fiscale e vari altri dati personali.

Ora immaginate di poter rispondere a queste situazioni semplicemente mostrando il vostro smartphone, che fornirà al vostro interlocutore soltanto le informazioni strettamente necessarie al caso specifico, garantite e autenticate dallo Stato. Questa è la promessa del cosiddetto Id-e o e-ID o mezzo di identificazione elettronico, già disponibile in numerosi Paesi.

Ma questa promessa è accompagnata anche da alcune preoccupazioni. Si teme di barattare la comodità con la sicurezza e di svendere la riservatezza in cambio dell’efficienza. Ci si preoccupa che si possa aprire gradualmente la porta a una sorveglianza di massa informatizzata e a vulnerabilità informatiche e che si finisca per escludere dalla società chi non ha o non può avere uno smartphone.

Benvenuti alla puntata del 29 settembre 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica e focalizzato, in questo caso, sui pro e i contro delle identità elettroniche. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Ci siamo abituati ormai da tempo all’idea che per acquistare certi prodotti, accedere a vari posti, fruire di determinati servizi o chiedere documentazione alla pubblica amministrazione si debba presentare un documento d’identità. Spesso non si tratta soltanto di esibire momentaneamente un documento a qualcuno che lo verifica al volo, ma quel documento viene anche scansionato o fotocopiato o comunque conservato, non sempre legittimamente, da chi ce lo ha chiesto.

E questa conservazione, a volte, non è particolarmente diligente. Lo testimonia il fatto che immettendo semplicemente in Google le parole chiave giuste emergono migliaia di scansioni di documenti d’identità perfettamente leggibili, archiviate maldestramente in qualche cloud mal configurato, a disposizione del primo truffatore che passa, e anche del secondo e del terzo. La gestione e la custodia corretta di questi dati personali rappresentano un costo importante per le amministrazioni e per le aziende.

Con la graduale introduzione dei controlli di età minima nei social network e nei siti di acquisti e di incontri, ci siamo anche abituati a dare a queste mega-aziende una scansione 3D del nostro volto oppure una foto fronte-retro di un nostro documento di identità. Quel documento contiene nome, cognome, indirizzo, data di nascita esatta, foto del volto e molte altre informazioni personali in più rispetto a quelle realmente necessarie per una semplice verifica dell’età. Una sovrabbondanza di dati che queste aziende divorano con entusiasmo per fare profilazione di massa delle persone insieme ai nostri like, alla rete dei nostri contatti e alla nostra localizzazione.

Questi problemi evidenti di sicurezza, riservatezza e costo della situazione attuale possono essere ridotti drasticamente con un sistema di identificazione elettronica come quelli già esistenti da molti anni in vari Paesi europei e come quello previsto in Svizzera dalla legge federale approvata dalla votazione popolare di ieri.

L’identificazione elettronica svizzera che viene proposta è gestita direttamente dallo Stato, che la rilascia e ne è responsabile, e si basa su standard tecnici aperti. I dati personali vengono custoditi e trattati a bordo dello smartphone dell’utente, in un’app statale chiamata Swiyu per iOS e Android [codice su Github]. Tutta la gestione ha luogo su computer dell’infrastruttura della Confederazione e quindi i dati non finiscono in qualche cloud aziendale magari d’oltreoceano, come avviene invece con le identificazioni online attuali.

Inoltre i dati che vengono trasmessi durante l’uso sono solo quelli strettamente necessari: per esempio, se un negozio fisico o online deve verificare un’età, riceverà soltanto l’informazione che il cliente ha più di 18 anni e nient’altro. Con i sistemi attuali, invece, il negozio viene a sapere, e finisce per archiviare, tutte le informazioni presenti sul documento tradizionale mostrato o trasmesso online. La privacy è insomma maggiormente protetta se si usa un’identificazione elettronica.

I dati scambiati sono protetti dalla crittografia e non sono riutilizzabili da terzi, per cui intercettarli è sostanzialmente inutile, e per chi li riceve è semplice verificare che siano autentici. Invece superare gli attuali controlli usando una carta d’identità tradizionale falsificata o trovata su Internet è relativamente facile, soprattutto online.

I documenti di identificazione tradizionali, inoltre, possono essere rubati e usati abusivamente fino alla loro scadenza prefissata, salvo che ci siano complessi coordinamenti fra archivi delle denunce di furto o smarrimento e negozi o servizi pubblici, mentre l’identificazione elettronica è facilmente revocabile in qualunque momento e cessa immediatamente di essere usabile ovunque.

Fra l’altro, la revocabilità non va vista come una procedura d’emergenza, come lo è nel caso dei documenti d’identità cartacei, ma è una prassi standard del sistema. Infatti l’identità digitale è legata strettamente allo specifico esemplare di smartphone dell’utente, grazie ancora una volta alla crittografia, e quindi non è trasferibile, in modo che siano praticamente impossibili i furti di identità. Se si cambia smartphone, si chiede semplicemente il rilascio di un nuovo certificato di identità digitale. L’intero procedimento è gratuito per i residenti.

C’è anche un altro livello di protezione della privacy: i dati personali delle credenziali digitali degli utenti non vengono mai custoditi nei server dello Stato e non c’è un’autorità centrale che li aggrega, custodisce o controlla. Lo scambio di dati avviene direttamente, in maniera decentrata, fra l’utente e il servizio o negozio. In questo modo è impossibile collegare tra loro le informazioni sull’utilizzo delle varie credenziali e fare profilazione di massa degli utenti.

I vantaggi di un sistema di identità digitale decentrato e non commerciale sono insomma numerosi, ma ci sono comunque degli aspetti meno positivi da considerare.

Il primo è la scarsa intuitività, almeno all’inizio, quando presentare il telefono per identificarsi non è ancora un gesto abituale e diffuso, anche se lo si fa già per i biglietti aerei, per i pagamenti contactless nei negozi fisici e in varie altre occasioni. Tutte le procedure informatiche che permettono, dietro le quinte, la garanzia e la verifica di un’identità digitale sono arcane e scarsamente comprensibili per l’utente non esperto, mentre verificare un documento d’identità tradizionale è un gesto naturale che conosciamo tutti.

Il secondo aspetto è la potenziale fragilità del sistema elettronico: una carta d’identità tradizionale funziona sempre, anche quando non c’è campo, e non ha una batteria che si possa scaricare. È un problema già visto con chi non stampa più i biglietti del cinema o del treno e poi va nel panico perché gli si scarica il telefono e non ha modo di ricaricarlo, o con chi si affida al navigatore nell’app e poi non sa che strada prendere quando si trova in una zona senza segnale cellulare.

Un terzo problema è la necessità di avere uno smartphone, e specificamente uno smartphone moderno con funzioni crittografiche integrate, se si vuole usare l’identità digitale: è vero che quasi tutte le persone oggi hanno un telefono cellulare, ma non tutte hanno uno smartphone Android o iOS. E ci sono persone che per mille ragioni, come costo, impatto ambientale, difficoltà motorie, diffidenza verso la tecnologia e antipatia per le interfacce tattili, non vogliono essere costrette a portarsi in giro un oggetto di questo genere.

Del resto non ci sono alternative tecniche realistiche: la potenza di calcolo e la facilità di aggiornamento che sono necessarie per avere un sistema sicuro e flessibile non consentono soluzioni come per esempio delle tessere in stile carta di credito, e comunque qualunque dispositivo dedicato comporterebbe un costo di produzione, distribuzione e gestione di milioni di esemplari, per non parlare del problema di far abituare le persone a portare con sé e tenere sempre carico un dispositivo in più, mentre lo smartphone è bene o male già nelle tasche di quasi tutti.

È anche per questo che la Confederazione continuerà a offrire tutti i servizi anche in maniera analogica e i metodi tradizionali di identificazione non verranno soppiantati ma resteranno disponibili in parallelo, per evitare che si formino dei ghetti tecnologici che intrappolano chi non può permettersi o non può usare uno smartphone, e quindi proprio le persone più deboli e vulnerabili.

Video di presentazione dell’id-E realizzato dalla Confederazione prima del recente referendum.

Resta comunque il problema di fondo di tante innovazioni tecnologiche degli ultimi tempi: la crescente centralità e importanza che fanno assumere allo smartphone nella vita di tutti i giorni. Quello che una volta era un telefono è oggi un oggetto fragile e costoso al quale viene chiesto di fare sempre più cose: fotocamera, agenda, navigatore, chiave di casa e dell’auto, custodia per i biglietti di viaggio, portafogli, traduttore, terminale bancario e adesso anche mezzo di identificazione. Se perdiamo lo smartphone o si rompe, rischiamo la paralisi sociale. Ma siccome capita raramente, ci abituiamo, diamo per scontato che funzioni, e smettiamo di sapere come usare i metodi alternativi.

Tirando le somme, il sistema di identità digitale svizzero non è perfetto, ma l’ottimo è nemico del buono, e non fare nulla significa lasciare le cose come stanno, cioè continuare a riversare dati personali negli immensi collettori delle aziende trilionarie del settore tecnologico. Il timore istintivo che un sistema di identità digitale porti a un ipotetico Grande Fratello governativo è comprensibile, ma l’alternativa è continuare a sottostare agli umori dei tanti Grandi Fratelli commerciali che non sono affatto ipotetici.

Una regola d’oro dell’informatica, quando si tratta di privacy e riservatezza, è che bisogna sempre progettare i software che gestiscono questi aspetti cruciali della vita sociale democratica in modo che siano resistenti non solo alle tentazioni di abuso del governo corrente di un Paese, ma anche a quelle di tutti i possibili governi futuri, compresi quelli peggiori immaginabili. Per l’identità digitale svizzera sono state prese misure tecniche robuste proprio per ridurre al minimo questo rischio. La sua progettazione si basa su tre punti di forza principali.

  • Il primo è la cosiddetta privacy by design, ossia la riservatezza è incorporata e intrinseca e non è una funzione aggiunta a posteriori.
  • Il secondo è la minimizzazione dei dati, ossia in ogni fase vengono condivisi e scambiati soltanto i dati strettamente necessari allo scopo specifico, e anzi se un negozio o servizio ne chiede più del necessario è prevista la sua segnalazione pubblica.
  • Il terzo è il decentramento, vale a dire i dati dell’identità digitale di un utente sono custoditi esclusivamente sul suo dispositivo, senza archivi centrali.

A questi tre si aggiunge un quarto punto felicemente lungimirante: il sistema di identità digitale svizzero è concepito per essere conforme agli standard internazionali, in modo da garantire che possa essere usato in futuro anche all’estero, per esempio nell’Unione Europea, che si sta attrezzando con un sistema analogo.

Se tutto procederà secondo i piani, dall’anno prossimo sarà possibile avere una sorta di portafoglio elettronico che potrà contenere documenti e attestati della pubblica amministrazione, diplomi, biglietti, licenze di circolazione, tessere di assicurazione malattia, tessere di socio, carte clienti, iscrizioni protette ai social network e altro ancora, senza più stampare e spedire montagne di carta o tessere di plastica, e permetterà di identificarsi online, o meglio di qualificarsi per esempio in termini di età o di licenze,senza regalare a ogni sito tutti i nostri dati personali.

La spesa prevista per lo sviluppo e la gestione di questa identità digitale nazionale e per l’infrastruttura che la supporterà equivale a meno di tre franchi e mezzo a testa all’anno. Sembra una spesa ragionevole, se permette di snellire la burocrazia e di evitare di dover inviare ovunque immagini dettagliate dei nostri documenti.

E soprattutto se permette di creare una penuria di scansioni di documenti di identificazione sfruttabili dai criminali informatici. Sarebbe davvero splendido riuscire a indurre finalmente in questi malviventi una vera e propria… crisi di identità.

Fonti

Smartphone, social e minori, proibire o regolamentare? Indagine della RSI

Il 16 settembre scorso è andata in onda un’inchiesta del programma Falò della Radiotelevisione Svizzera sulla questione dei danni sociali causati dall’uso di smartphone e social network in particolare ai minori. I dati statistici si sono accumulati per anni e sono preoccupanti. Ora, finalmente, ci si interroga su cosa fare per una situazione che gli esperti hanno segnalato da tempo, restando largamente inascoltati.

Io faccio un piccolo intervento intorno a 19:00, mostrando che i controlli sui contenuti di Instagram sono inesistenti ed espongono gli utenti a pornografia e immagini di violenza estrema e che spesso questi contenuti inaccettabili non vengono rimossi nemmeno se li si segnala (probabilmente perché il “controllo” viene effettuato automaticamente, senza coinvolgere un essere umano).

Chiarisco il mio commento sul mettere la volpe a capo del pollaio: mi riferivo alle proposte di obbligare Meta e gli altri gestori di social network a effettuare controlli più severi sull’età degli utenti.

Queste aziende non hanno nessun incentivo economico a limitare gli utenti e nessuna penalità significativa se non lo fanno diligentemente (le sanzioni milionarie spesso citate sono l‘equivalente di qualche ora di fatturato e sono quindi un banale costo operativo, non un pericolo). Far fare questi controlli a loro significa regalare altri dati personali dei nostri figli (scansioni dei volti e dei documenti) ad aziende che vivono della vendita di quei dati.

Ha invece senso, secondo me, che lo Stato fornisca un servizio di identità digitale che comunichi a questi social solo il dato di legittimazione all’uso, ossia “certifico che questo utente – di cui non ti dico nient’altro, niente nome, cognome, indirizzo, documento, genere, volto, età precisa – ha più di X anni”. In pratica, io cittadino mi rivolgo allo Stato, che ha già i miei dati, e lo Stato mi dà un token, un codice usa e getta slegato dalla mia identità, che posso usare per autenticarmi in un social o in un negozio online o in un forum.

Non so se ci sono georestrizioni sul programma, ma se vi interessa è qui sul sito della RSI (72 minuti). I singoli servizi trasmessi durante la puntata sono qui: A scuola senza smartphone (6 minuti) e Smartphone e social, tempo di divieti? (20 minuti). Entrambi sono stati realizzati da Paola Santangelo e Andrea Campiotti.

Podcast RSI – Microsoft Word autosalverà i documenti nel cloud. E se Trump lo spegnesse?

Questo è il testo della puntata dell’8 settembre 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.

Il cloud è indubbiamente comodo. I nostri dati, i nostri documenti di lavoro sono facili da condividere, sono accessibili ovunque, in maniera agile e fluida, tramite tutti i nostri dispositivi, quando li mettiamo nel cloud, cioè li depositiamo in un sito accessibile via Internet solo da noi e dagli altri utenti che autorizziamo.

Ma cosa succederebbe se qualcuno spegnesse quel cloud? Quanti dei vostri processi di lavoro si fermerebbero completamente? Ce l’avete una copia locale dei vostri dati più importanti? Provate a pensarci un momento. Improvvisamente, niente mail. Niente OneDrive di Microsoft. Niente Google Drive. Niente Amazon Web Services. Siti web inaccessibili. Banche in tilt. Sistemi di gestione degli ospedali paralizzati. Aziende bloccate. Tutto fermo.

Non per un attacco informatico, ma perché il governo degli Stati Uniti ha ordinato a questi grandi gestori di cloud, che sono tutti statunitensi, di interrompere i loro servizi alle persone, alle aziende o alle pubbliche amministrazioni dei Paesi che osano disubbidire alle richieste politiche sempre più invadenti e surreali dell’attuale presidenza a stelle e strisce. Uno scenario che fino a poco tempo fa sembrava pura fantasia distopica, ma che le crescenti tensioni fra Washington e l’Europa rendono oggi oggettivamente plausibile, tanto che politici e tecnici ne discutono seriamente. E qualche avvisaglia di questa plausibilità c’è già stata.

Beh, direte voi, ma se scrivo un documento con Microsoft Word, per esempio, questa app me ne salva automaticamente una copia sul mio computer. Se il cloud non dovesse funzionare per qualunque motivo, ci potrei lavorare lo stesso. Per ora sì, ma attenzione, perché Microsoft sta per invertire le regole: Word salverà automaticamente i documenti nuovi nel cloud, e lo stesso faranno anche Excel e PowerPoint. E così il cloud diventerà ancora più indispensabile, e quindi usabile come strumento di ricatto, se non è un cosiddetto cloud sovrano, di cui gli utenti cioè hanno il pieno controllo.

Benvenuti alla puntata dell’8 settembre 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Microsoft sta per cambiare in maniera molto importante il modo in cui funzionano Word, Excel e PowerPoint per Windows in versione desktop. Oggi per salvare nel cloud di Microsoft o aziendale i documenti creati con queste applicazioni è necessario abilitare manualmente quest’opzione. Prossimamente, invece, queste diffusissime app salveranno automaticamente i documenti nel cloud e se l’utente ne vorrà avere una copia locale, usabile anche quando non c’è accesso a Internet, dovrà ricordarsi di salvarli manualmente sul proprio dispositivo.

Questa novità è stata presentata da Microsoft a fine agosto come un vantaggio, e per moltissimi utenti sarà sicuramente così: i documenti saranno accessibili ovunque, anche su un dispositivo Android o iOS, e le modifiche fatte su un dispositivo saranno sincronizzate automaticamente su tutti gli altri. Il salvataggio sarà automatico, per cui non ci sarà il rischio di chiudere o interrompere una sessione di lavoro dimenticandosi di salvare i cambiamenti fatti. La collaborazione diventerà più facile. Inoltre i documenti salvati nel cloud saranno immediatamente elaborabili dalle varie intelligenze artificiali di Microsoft.

Proprio quest’ultimo punto, però, solleva le obiezioni degli esperti di sicurezza. Come si può leggere nei commenti all’annuncio, agli addetti ai lavori non va a genio l’idea che Microsoft man mano stia rendendo più difficile accedere ai propri dati, creando una vera e propria dipendenza digitale che ostacola l’adozione di qualunque software alternativo e intralcia qualunque istituzione o azienda nella quale i dati devono circolare soltanto sui suoi computer senza finire nei server di nessun altro, per esempio per soddisfare requisiti di legge.

Ma la loro preoccupazione di fondo è che la costante, bulimica fame di dati delle intelligenze artificiali, nelle quali Microsoft e tutti i grandi nomi del settore stanno riversando investimenti ingentissimi, spinga prima o poi queste aziende a cambiare progressivamente le proprie condizioni di contratto in modo che possano usare i dati degli utenti per addestrare le proprie IA, come ha già fatto per esempio Meta per Facebook, Instagram e Threads [Fanpage.it].

Questa non è una bella cosa, perché numerosi casi già ben documentati dimostrano che le intelligenze artificiali tendono per natura a rigurgitare nelle proprie risposte pezzi dei documenti che hanno assimilato durante il loro addestramento, e quindi i nostri dati sanitari, professionali, aziendali, personali e confidenziali possono finire in pubblico.

Per ora non è così: Microsoft non usa i documenti degli utenti come fonte di addestramento. Ma sarà così per sempre? Non ci sarà prima o poi qualche aggiornamento di qualche clausola che lo consentirà, e che noi utenti accetteremo senza saperlo perché praticamente nessuno legge gli aggiornamenti dei termini e delle condizioni dei software?

Prima che quest’ipotesi passi per paranoia, è importante citare un caso concreto che va proprio in questa direzione.

WeTransfer è uno dei servizi più diffusi per il trasferimento di grandi file via Internet. Lo uso anch’io, e funziona benissimo, ma ai primi di luglio scorso l’azienda omonima olandese che lo gestisce, acquistata nel 2024 dall’italiana Bending Spoons, ha iniziato a inviare ai propri utenti un avviso di cambio delle condizioni d’uso piuttosto preoccupante.

Questo avviso diceva che da quel momento in poi i documenti trasferiti e condivisi tramite WeTransfer potevano essere usati dall’azienda per “migliorare le prestazioni di modelli di apprendimento automatico”. Le nuove condizioni includevano anche il diritto di WeTransfer di “riprodurre, distribuire, modificare” oppure “mostrare pubblicamente” i file caricati dagli utenti.

Ovviamente quegli utenti – perlomeno quei pochi che si sono presi la briga di leggere in dettaglio l’avviso – non hanno preso bene un cambiamento del genere, che sembrava dare a WeTransfer il diritto di usare i file degli utenti per l’addestramento di intelligenze artificiali. In realtà le nuove condizioni precisavano che lo scopo di questo cambiamento era limitato all’uso dei file degli utenti per la moderazione interna del servizio: in altre parole, per consentire il riconoscimento automatico, tramite intelligenza artificiale, di file e documenti illegali, per esempio immagini di abusi su minori o documenti che violano le norme sulla privacy o sul diritto d’autore. Ma una volta ottenuto quel permesso, il passo successivo diventa più corto e la tentazione diventa sempre più forte [BBC].

Wetransfer ha poi rettificato e chiarito le proprie condizioni d’uso, dicendo che l’azienda stava pensando di usare in futuro l’intelligenza artificiale per assistere nel lavoro di moderazione dei contenuti ma non aveva creato o utilizzato in pratica questa funzione, e quindi questa clausola serviva a fornire le basi contrattuali. Ora WeTransfer dichiara esplicitamente di non usare “il machine learning o qualunque forma di IA per elaborare i contenuti condivisi” e la relativa clausola è stata eliminata [Wired.it].

Non è il primo caso del suo genere. A dicembre 2023, un altro grande nome del settore del trasferimento di grandi file, Dropbox, era stato accusato nientemeno che dal direttore tecnico di Amazon, Werner Vogels, e da altre persone di spicco di usare i dati degli utenti per alimentare le intelligenze artificiali di OpenAI.

L’azienda era intervenuta con un chiarimento che spiegava che si trattava di un equivoco, ma la vicenda aveva messo in luce la diffusa diffidenza, anche tra gli addetti ai lavori, nei confronti delle grandi aziende informatiche, specialmente quelle legate all’intelligenza artificiale. Diffidenza motivata da una scarsissima trasparenza sull’origine dei dati usati per gli addestramenti e da un abuso sistematico di terminologia ambigua e ingannevole nelle condizioni d’uso.

Come scrisse Thomas Claburn su The Register a suo tempo,Quando un fornitore di tecnologia dice ‘Noi non vendiamo i vostri dati’, questo non dovrebbe significare ‘Lasciamo che terzi che tu non conosci costruiscano modelli o facciano pubblicità mirata usando i tuoi dati, che restano sui nostri server e tecnicamente non vengono venduti’”.Ma di fatto spesso lo schema è proprio quello. E ce n’è un esempio molto recente.

Il 70% dell’infrastruttura europea per il cloud è oggi nelle mani di tre colossi statunitensi, cioè Google, Microsoft e Amazon [Synergy Research Group], e solo il 15% di questa infrastruttura è gestito da aziende europee. Questo significa che una presidenza statunitense a dir poco imprevedibile ed eccentrica come quella attuale potrebbe usare questa situazione come leva politica. “Fate quello che vogliamo noi nella guerra commerciale in corso e smettetela di fare leggi che regolamentano le tecnologie”, potrebbe dire Donald Trump, “altrimenti bloccheremo l’accesso ai vostri dati e sarete fritti”.

Normalmente, quando un’azione del genere non parte dalla Casa Bianca questo si chiama ransomware: estorsione informatica tramite blocco dell’accesso ai dati della vittima.

Questo scenario è preso seriamente in considerazione da alcuni europarlamentari, che chiedono urgentemente la creazione di un cloud europeo, sulla cui infrastruttura sia l’Europa ad avere sovranità, e a marzo scorso il Parlamento olandese ha chiesto formalmente al governo di ridurre drasticamente la sua dipendenza dai servizi informatici statunitensi, descritti come una “minaccia all’autonomia e alla sicurezza informatica” del Paese. Anche in Germania, richieste di distacco dai servizi informatici a stelle e strisce sono arrivate dall’attuale cancelliere federale, Friedrich Merz, e dal ministro federale per la digitalizzazione, Karsten Wildberger [Heise.de].

Parole pesanti, insomma, ma di fatto molte pubbliche amministrazioni europee usano servizi cloud gestiti da Google, Microsoft e Amazon, e una legge statunitense, lo US Cloud Act, consente alle agenzie americane di investigazione e di polizia di obbligare le aziende dello stesso paese a dare loro pieno accesso ai dati dei clienti custoditi nei cloud per indagare su reati gravi. Questa legge fu firmata proprio da Trump durante il suo primo mandato [EuroNews] e gli darebbe il potere di chiedere ai fornitori statunitensi di servizi cloud di dare accesso ai dati di un governo europeo o di cessare il servizio cloud alla pubblica amministrazione di quel Paese. Ovviamente sarebbe la presidenza Trump a decidere che cosa costituisce, dal suo punto di vista, un “reato grave”.

Discorsi di questo genere si fanno appunto dai tempi dell’introduzione di questa legge statunitense, ma hanno acquisito improvvisa urgenza dopo un episodio dai contorni decisamente poco chiari.

A maggio scorso, il procuratore capo della Corte Penale Internazionale, il britannico Karim Khan, ha dichiarato di aver perso improvvisamente l’accesso alla propria mail di lavoro (ospitata sul cloud di Microsoft) e che i suoi conti bancari nel Regno Unito erano stati congelati. I dipendenti americani della Corte, che si trova all’Aia, sono stati avvisati che rischiano l’arresto se si recano negli Stati Uniti. Queste e altre misure stanno di fatto paralizzando il delicato lavoro della Corte.

Il presidente statunitense aveva imposto delle sanzioni specificamente contro Khan a febbraio, dopo che i giudici della Corte avevano emesso dei mandati di arresto contro il primo ministro israeliano Netanyahu e il suo ex ministro della difesa Gallant con l’ipotesi di crimini di guerra in relazione alle azioni israeliane a Gaza. Khan aveva dovuto trasferire la propria mail al fornitore svizzero Proton Mail [AP].

Ma Brad Smith, vicepresidente di Microsoft, ha dichiarato che l’azienda non aveva né terminato né sospeso i propri servizi per la Corte Penale Internazionale. Allo stesso tempo, però, non ha voluto commentare le esatte circostanze che hanno portato alla chiusura della mail di Khan [Heise.de; Politico; Heise.de].

Microsoft ha anche annunciato che aggiungerà una clausola vincolante ai propri contratti con i governi europei e con la Commissione europea, impegnandosi a fare causa qualora la presidenza americana le ordinasse di sospendere i servizi cloud in Europa [Politico].

Un gesto molto bello e rassicurante, a prima vista, ma “impegnarsi a fare causa” non è la stessa cosa che “rifiutarsi di eseguire un ordine”. Se di colpo un ospedale non può più curare i pazienti perché tutti i dati sono in un cloud che è stato spento su comando presidenziale infischiandosene delle conseguenze, sapere che però poi Microsoft andrà in tribunale non è una gran consolazione per quei pazienti.

Intanto che si accumulano avvisaglie e proseguono le schermaglie a base di mezze parole, c’è chi invece si è già rimboccato le maniche. Lo stato tedesco dello Schleswig-Holstein ha già eliminato Office 365 e Windows di Microsoft in favore di LibreOffice e Linux, sta sostituendo Outlook con Thunderbird e Open-Xchange, al posto di Sharepoint usa Nextcloud, e invece di Webex della Cisco adopera sistemi di conferenza open source come Jitsi. Anche il ministero per la digitalizzazione danese sta sperimentando un piano analogo, mentre sono arrivati segnali di interesse da Regno Unito, Francia, Nuova Zelanda, India, Svizzera e Austria [Raconteur.net].

Sarebbe davvero una storia strana dell’informatica se, dopo tanti anni di tentativi di introdurre il software libero motivati dai risparmi sui costi di licenza e dall’ideale della libertà di accesso ai dati, questa transizione finalmente avvenisse per merito (si fa per dire) delle ripicche e dei ghiribizzi di un presidente americano che non ha mai usato un computer in vita sua [Futurism.com; CNN].

Fonti aggiuntive

Microsoft Word now automatically saves new documents to the cloud, The Verge, 2025

Should Europe wean itself off US tech?, BBC, 2025

Donald Trump thinks 19-year-old Barron is a tech whizz because he can turn on a laptop – 16 funniest reactions, The Poke, 2025

Basta uno squillo per localizzare chiunque? Chiedo aiuto tecnico per una verifica

Mi è stato segnalato questo articolo su Mastdatabase.co.uk che, se confermato, rivelerebbe la presenza di un errore di configurazione di un operatore cellulare che renderebbe possibile a qualunque persona localizzare qualunque altro utente semplicemente facendogli squillare il telefono.

In sintesi, secondo l’articolo, se si è utenti della rete cellulare britannica O2 e la si usa per chiamare un altro utente della stessa rete facendo una chiamata VoLTE (Voice over LTE), i dati che si ricevono includono anche l’identificativo della cella di rete sotto la quale si trova il chiamato. Questo permette di localizzarlo con notevole precisione.

Chiedo aiuto per verificare a) se quello che viene affermato è vero b) qualora sia vero, se vale anche per altri operatori di altri paesi.

In pratica, l‘articolo suggerisce di usare l’app Network Signal Guru (manuale) su un telefono Android rootato e di chiamare un altro utente facendo una cosiddetta chiamata VoLTE, un servizio che è attivo per default sulla maggior parte dei cellulari recenti (info Swisscom; info Fastweb).

L‘app, durante la chiamata, dovrebbe visualizzare i dati diagnostici della rete cellulare. Secondo l’articolo, sulla rete O2 questi dati diagnostici includono l’IMEI e l’IMSI del chiamante e anche quelli del chiamato, ma soprattutto includono l’header Cellular-Network-Info, che fornisce il tipo di cella usato dal chiamato, il suo Location Area Code e il suo Cell ID.

Immettendo questi dati in uno strumento online come Cellmapper.net si ottiene l’indicazione su una mappa della macrocella della rete cellulare che è stata usata dal chiamato durante la telefonata. In altre parole, si può sapere in che città si trova una persona semplicemente chiamandola. Nelle città dotate di microcelle, si può localizzare una persona con estrema precisione. Questa situazione avviene anche se il chiamato è in roaming all’estero ed è un errore di configurazione dell’operatore; non c’è nulla che l’utente possa fare.

Qualcuno riesce a confermare/smentire? Ho installato Network Signal Guru su un mio cellulare (non rootato) e ho provato a chiamare un altro mio cellulare, ma nei log correttamente generati dall’app non ho trovato informazioni come quelle descritte nell’articolo. In compenso ho trovato informazioni di localizzazione e velocità stupendamente dettagliate.

Screenshot dei dati presentati da Cellmapper.net per una zona a caso di Lugano (non è dove abito io e non mi trovo lì).

Stravaleaks: guardie del corpo presidenziali pubblicano online i propri percorsi di fitness

Un’inchiesta giornalistica di Le Monde segnala un esempio clamoroso di tracciabilità eccessiva e pericolosa indotta dalla vanità: le guardie del corpo di vari capi di stato, da Biden a Trump a Putin a Macron, pubblicano regolarmente i propri percorsi di fitness su Strava, rivelando così le proprie identità, le proprie abitazioni, i luoghi dove vanno in vacanza e ovviamente rivelando anche dove si trovano o si troveranno i leader che sono chiamati a proteggere.

Queste guardie del corpo, infatti, spesso raggiungono in anticipo i luoghi dei summit che dovrebbero in teoria restare segreti fino all’ultimo minuto per evidenti ragioni di sicurezza. Pubblicando la propria localizzazione, con tanto di percorsi seguiti per le proprie corse di allenamento e punti di partenza e di arrivo precisi, tolgono qualunque velo di riservatezza agli spostamenti delle persone protette.

Ma come hanno fatto i giornalisti di Le Monde a risalire alle loro identità e quindi sapere chi cercare su Strava? Hanno usato un po’ di buon sano, paziente e diligente giornalismo investigativo, combinato con la competenza informatica. Nel caso delle guardie del corpo presidenziali statunitensi, l’indagine parte dalla conoscenza di un fatto: questi specialisti si addestrano per diversi mesi al centro James J. Rowley, vicino a Washington. Un dato pubblico e presente anche su Wikipedia.

Ovviamente si tengono in forma fisica mentre sono in questo centro, e lo fanno per esempio correndo nelle vicinanze. Basta quindi andare su Strava e cercare con pazienza chi posta attività su Strava in quella zona e poi posta altre corse nei luoghi in cui si trova il presidente USA nelle date corrispondenti agli spostamenti presidenziali. Il metodo è spiegato in questo video (in francese; embed qui sotto).

Uno dei video esplicativi di Le Monde.

Il problema dell’eccesso di condivisione di dati personali non riguarda solo i politici: tocca anche qualunque persona esposta al rischio di stalking (in particolare le donne) e chiunque abbia un incarico sensibile che lo espone al rischio di aggressioni o rapimenti. Tocca anche chi semplicemente ha un bella bicicletta, di quelle costose, e se la vede rubare perché i ladri scoprono online dove abita e quali sono le abitudini della vittima, come è stato raccontato nel programma radiofonico Millevoci della ReteUno RSI al quale ho partecipato ieri (una clip audio del mio intervento è qui).

Va notato che le impostazioni predefinite di Strava nascondono i primi e ultimi 200 metri di ogni percorso; è un buon inizio, ma non è sufficiente.

Fonti aggiuntive: Cyberdaily.au, RTS.ch, Le Monde (in inglese, anche qui).

Terremoto su Telegram, arrestato in Francia Pavel Durov

Avete probabilmente già saputo dell’arresto di Pavel Durov, fondatore e CEO di
Telegram, sabato scorso all’aeroporto francese di Le Bourget dove era
atterrato con il suo jet privato. La notizia, riportata da quasi tutti i media
del mondo, si basa su
informazioni
dell’emittente francese TF1, secondo la quale l’arresto sarebbe legato alla
mancanza di moderazione di Telegram e all’assenza di collaborazione con le
forze dell’ordine di qualunque paese, che renderebbe Durov complice dello
spaccio di stupefacenti, del riciclaggio di denaro e della condivisione di
immagini di abusi sessuali su minori che avvengono su Telegram.

Su X, Telegram (l’azienda) ha
dichiarato
di essere “in attesa di una pronta risoluzione di questa situazione” e che
“è assurdo affermare che una piattaforma o il suo proprietario sono
responsabili per gli abusi di quella piattaforma”.

Gli abusi in questione avvengono anche su altri social network, anche sotto la
protezione di una crittografia end-to-end che Telegram, va
ricordato, non ha nelle chat normali ma solo nelle chat segrete; la differenza
rispetto a Telegram è che gli altri social network almeno formalmente
collaborano con le richieste delle forze di polizia (anche se io e altri
abbiamo segnalato ripetutamente, per esempio a Instagram, la pubblicazione di
immagini illegali di minori e siamo stati rassicurati che le immagini erano
“conformi agli standard della comunità”).

Moderare 900 milioni di utenti, almeno nelle chat normali che può leggere o in
quelle segrete che potrebbero essergli segnalate da terzi, sarebbe possibile
ma richiederebbe un numero di addetti che Telegram non ha. Durov ha
dichiarato, in un’intervista recente a Tucker Carlson, di avere in tutto
“circa 30 ingegneri [software]”
alle sue dirette dipendenze. 

E comunque Telegram
dichiara apertamente nelle sue FAQ
di non aver nessuna intenzione di fare da moderatore:
“Tutte le chat e i gruppi di Telegram sono territorio privato dei loro
rispettivi partecipanti. Non eseguiamo alcuna richiesta [di eliminazione di contenuti illegali]
relativa ad esse […] Ad oggi, abbiamo divulgato 0 byte di dati a terzi,
inclusi i governi […] Mentre blocchiamo bot e canali legati al
terrorismo (ad esempio legati all’ ISIS), non bloccheremo nessuno che
esprime pacificamente altre opinioni.”

Va ricordato che Telegram è, per i cittadini russi, uno dei pochissimi canali
attraverso i quali possono ricevere informazioni non filtrate dalla censura
governativa, e questo è possibile grazie alla struttura tecnica e legale (una
serie di scatole cinesi di aziende sparse per il mondo) di Telegram. Durov ha
lasciato la Russia proprio per non dover cedere al governo i dati dei
cittadini raccolti dalla sua piattaforma precedente, Vkontakte, una sorta di
Facebook nazionale, e censurarla. A modo suo, ha dei princìpi molto saldi: non
collaborare con nessuna autorità, perché chi per un certo governo è un
sovversivo per un altro governo è un dissidente, e chi è considerato
terrorista da una parte è visto come combattente per la libertà dall’altra.

Ne ho parlato brevemente al Telegiornale della RSI ieri sera (link diretto): preciso che “i radar” sono gli autovelox in italiano ticinese.


Fonti aggiuntive:
RSI,
TechCrunch,
TechCrunch,
Ars Technica,
ANSA.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – Story: Deepfake fra plagio, abuso e autodifesa

logo del Disinformatico

Ultimo aggiornamento: 2024/04/18 8:30.

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

Deepfake. È la parola usata per
indicare la tecnica informatica che permette di sostituire il volto
di una persona con un altro, in foto e in video, usando l’intelligenza
artificiale, in maniera molto realistica. Così realistica che, se il
deepfake è fatto bene, la maggior parte delle persone non si
accorge affatto che si tratta di un volto sostituito.

Per molti utenti, deepfake
è sinonimo di molestia, di truffa, ma per altri invece è
un’occasione di lavoro, di scoperta della propria personalità, e
addirittura di protezione
personale.

Benvenuti
alla
puntata del 12
aprile 2024
del Disinformatico, che
stavolta racconta due casi
molto differenti di applicazione di deepfake
che spaziano dal plagio alla molestia fino all’autodifesa,
e presenta le nuove regole di Meta per la pubblicazione di deepfake
e immagini sintetiche in generale.
Io sono Paolo Attivissimo.

[SIGLA di apertura]

Influencer virtuali in crescita ma sotto attacco deepfake

Pochi mesi fa, a dicembre 2023, vi ho raccontato la mia
esplorazione del fenomeno delle cosiddette influencer virtuali:
persone che non esistono, le cui immagini e i cui video sono generati
dall’intelligenza artificiale. Identità che sono pilotate da persone reali
che scelgono le loro pose, il loro vestiario e le loro apparizioni
sui social network.

Una delle più celebri influencer
virtuali è la spagnola Aitana Lopez, gestita
da un’agenzia di moda di
Barcellona: oggi ha
oltre 300.000 follower su Instagram (@fit_aitana)
e fa guadagnare i suoi creatori tramite i
contratti pubblicitari e la
vendita di foto piccanti
su piattaforme per adulti come Fanvue.

L’idea dell’influencer
virtuale, quasi sempre al femminile (anche se c’è qualche raro,
timido tentativo al maschile), piace molto al mercato: costa molto meno di
una modella o di una
influencer in carne e ossa,
non si lamenta delle ore di lavoro o dei vestiti scomodi, non si
stanca, non invecchia, non
ingrassa e non ha spese di
trasferta. Se una campagna
pubblicitaria ha bisogno di un volto o di un corpo che attirino
l’attenzione o semplicemente indossino un certo prodotto, può rivolgersi
a questi personaggi sintetici a basso costo e alta efficienza.
Nessuno del pubblico si accorgerà che si tratta di immagini generate
dall’intelligenza artificiale.

Creare
questi personaggi virtuali è abbastanza semplice: ero riuscito
anch’io a creare un clone molto realistico di Aitana Lopez, con
l’aiuto di una coppia di
persone esperte
di grafica digitale. La parte difficile è guadagnarci
qualcosa, cercando sponsor o contratti pubblicitari e scansando le
offerte truffaldine di una selva di sedicenti promotori che si fanno
pagare promettendo di farti avere tanti follower (tutti falsi). Ho
chiuso il mio esperimento
senza rimetterci soldi,
ma ho continuato a seguire
gli sforzi di chi mi aveva
aiutato e che ora
comincia a vedere i primi guadagni. Qualche foto per la copertina di
un CD o di una playlist
di una band emergente,
qualche illustrazione per piccoli eventi, qualche fotografia sexy
venduta online, tanti
contenuti pubblicati diligentemente
tutti i giorni, e
i follower, soprattutto su Instagram, alla
fine arrivano, anche
nel mercato di lingua italiana,
al di qua e al di là della frontiera.

Profili sintetici come Francesca
Giubelli (11.000 follower), Rebecca
Galani (15.000 follower) o
Ambrissima
(37.000 follower) vengono
intervistati virtualmente dai media generalisti come se fossero
persone reali, e spostano opinioni e creano discussioni, anche su
temi impegnativi come il clima o i diritti umani, proprio come se fossero
persone reali. Non
hanno i numeri dei grandi
influencer reali, certo, ma
in compenso costano molto meno e soprattutto non
fanno gaffe e non causano imbarazzi ai loro sponsor con
le loro vicende sentimentali.
Aspettatevi, insomma, che nei
prossimi mesi siano sempre più presenti e numerosi gli influencer
virtuali le cui immagini sono generate con l’intelligenza
artificiale.

Stanno nascendo anche
le prime community di
influencer virtuali in lingua italiana, come Aitalia.community,
i cui membri si scambiano
trucchi e consigli tecnici e di marketing e si sono dati
un “manifesto
etico” di trasparenza,
che esige per esempio che i
contenuti sintetici siano sempre dichiarati come tali, a differenza
di alcuni settimanali blasonati che spacciano per autentiche
delle foto talmente ritoccate da dare due
piedi sinistri alle persone ritratte.

[Nota: Aitalia mi ha precisato di definirsi “la prima community di AI models, influencers e talents etici a livello globale” e “la prima a redarre il manifesto etico condiviso con l’internazionale” (nel senso delle “community nate fuori dai confini italiani, come AVA Models e Virtual factors”)]

Al primo
punto di questo manifesto c’è
il divieto
dei deepfake non
consensuali. Moltissimi
artisti digitali che creano e
curano belle immagini di modelle e modelli virtuali si vedono infatti
plagiare il lavoro da operatori
senza scrupoli, che scaricano in
massa le immagini prodotte
da questi artisti,
sostituiscono i volti
dei loro personaggi usando
la tecnica del deepfake, senza
permesso e senza compenso, e
così riusano
a scrocco la fatica altrui
ripubblicandola sui propri
profili social, che spesso hanno un seguito maggiore di quello degli
artisti originali.

È un nuovo
tipo di pirateria dei contenuti,
ed è un problema
che
tocca anche le modelle e i modelli in carne e ossa. Nelle
varie piattaforme social,
infatti, abbondano i profili
che hanno centinaia di migliaia di follower, con i relativi guadagni,
ottenuti pubblicando
le foto o
i reel, ossia
i video, di persone reali,
quasi sempre donne, e sostituendone i volti per
spacciarli per
immagini
create
da loro. Lo segnala per
esempio un
articolo
su 404media,
facendo nomi e cognomi di questi sfruttatori della fatica altrui.

Molti creatori di contenuti si
stanno difendendo usando il watermarking,
ossia la sovrimpressione di scritte semitrasparenti per identificare
l’autore originale dell’immagine sintetica o reale, ma
i software di intelligenza artificiale riescono spesso a cancellare
queste sovrimpressioni.

Se state pensando di fare l’influencer
virtuale o reale perché vi sembra un lavoro facile, o di promuovere
la vostra arte online, mettete in conto anche il rischio della
pirateria. E se pensavate che
fare la modella o il modello fosse uno dei pochi lavori non
influenzati dall’intelligenza artificiale, devo darvi una
delusione: a
parte forse marmisti e pizzaioli,
non si salva nessuno.

Salva dallo stalking grazie al deepfake: Sika
Moon

Dalla Germania arriva un caso molto particolare di uso positivo
della tecnica del deepfake,
segnalato in un’intervista pubblicata da Die
Tageszeitung e dedicata a
una giovane donna che si fa chiamare Sika Moon e pubblica e
vende online
le proprie foto e i propri video per adulti. Questo è il suo lavoro
a tempo pieno, e le sue attività sulle varie piattaforme social sono
seguite in media da circa 4 milioni di persone al mese, dandole
guadagni mensili che lei definisce “stabilmente a cinque
cifre”.

Anche
il suo lavoro è stato toccato dall’intelligenza artificiale. Per
cinque anni ha lavorato pubblicando sulla piattaforma Onlyfans,
mostrando il suo vero volto, ma delle esperienze di stalking che
definisce “terribili”
l’hanno costretta a proteggersi ricorrendo all’anonimato,
ottenuto in questo caso facendo un deepfake
a se stessa. Il viso della donna in questione, infatti, nelle foto e
nei video è generato con l’intelligenza artificiale, ed è
differente dal suo, ma è talmente realistico che pochi si accorgono
della manipolazione. Ora ha
cambiato piattaforma, perché Onlyfans rifiuta i contenuti generati
sinteticamente.

Questo
deepfake, insomma, le
ha permesso di evitare che il suo lavoro fosse sabotato dagli stalker
e le consente di proseguire la propria attività in sicurezza. È un
tipo di uso positivo di
questa tecnologia che non riguarda solo chi vuole proteggersi da
persone pericolosamente
invadenti ma vale anche, per
esempio, per chi vive in un ambiente in cui è considerato reato,
tipicamente solo per le donne, mostrare il proprio volto oppure è
comunque necessario coprirlo o mascherarlo per non farsi identificare, per provare in sicurezza esperienze altrimenti impossibili. Un deepfake, insomma, è una
maschera che però lascia passare tutta l’espressività di un viso.

Inoltre, sempre
grazie all’intelligenza artificiale, Sika Moon
può comunicare con i propri fan direttamente nella loro lingua. Ha
infatti fatto clonare la propria voce e quindi può ora inviare
messaggi vocali ai suoi follower parlando ogni volta nella loro rispettiva
lingua.

Nell’intervista, Sika Moon
segnala inoltre un altro fenomeno interessante che riguarda le
immagini generate dall’intelligenza artificiale: in
molte culture
l’idea stessa che una fotografia di una persona possa essere creata
sinteticamente è inconcepibile o
fa molta fatica a essere accettata. In fin dei conti, una foto è una
foto, un disegno è un disegno. Solo il computer permette di creare
in grandi quantità disegni che sembrano fotografie.
“La gente in India, nei paesi africani e in quelli arabi
di solito non lo capisce affatto”,
spiega Sika Moon, nonostante il
suo profilo dichiari chiaramente che molte sue immagini sono
completamente generate dall’intelligenza
artificiale. E quello che
dice corrisponde anche alla mia esperienza nel seguire le attività di
altre persone che fanno lo stesso lavoro di Sika Moon appoggiandosi
all’informatica per le proprie immagini.

Tutto questo sembra indicare che
l’impatto culturale dell’IA sarà differente nei vari paesi del
mondo. In quelli tecnologizzati verrà probabilmente attutito dalla
familiarità con la tecnologia, ma in altri sarà molto più
destabilizzante. Forse
sarebbe opportuno tenerne conto, per non creare una nuova forma di
inquinamento digitale da esportare.

Nuove regole di Meta per i contenuti sintetici

La stragrande maggioranza delle foto, dei video e degli audio
generati dall’intelligenza artificiale circola sui social network
ed è lì che ha il maggiore impatto. Ma allora perché i social
network non fanno qualcosa per impedire la diffusione di fake news,
inganni e manipolazioni che usano l’intelligenza artificiale?

La risposta a questa domanda è che in realtà i social fanno
qualcosa, ma quello che fanno è inadeguato, perché la tecnologia si
evolve talmente in fretta che le regole scritte per esempio dal
gruppo Meta per uniformare la gestione dei contenuti sintetici da
parte di Facebook, Instagram e Threads risalgono a soli quattro anni
fa ma sono completamente obsolete. Nel 2020 i contenuti realistici
generati dall’intelligenza artificiale erano rarissimi e si temeva
soprattutto la manipolazione dei video. Da allora, invece, sono
emerse le immagini sintetiche realistiche producibili in massa e
anche i contenuti audio falsi e creati artificialmente.

E così Meta ha presentato le sue nuove regole con un comunicato
stampa il 5 aprile scorso: prossimamente smetterà di censurare direttamente i
contenuti “innocui” generati dall’intelligenza artificiale e a
partire da maggio applicherà un’etichetta di avviso a una gamma
più vasta di contenuti video, audio e di immagini se rileverà che
sono stati creati o manipolati adoperando l’intelligenza
artificiale o se chi li pubblica li indicherà spontaneamente come
generati usando questa soluzione.

Mentre finora le regole bandivano soltanto i video realizzati o
alterati con l’intelligenza artificiale che facevano sembrare che una persona avesse detto
qualcosa che non aveva detto, ora verranno etichettati anche i video
modificati per attribuire a una persona un comportamento o un
gesto che non ha commesso. Da luglio, inoltre, Meta smetterà di
censurare i contenuti generati che non violano le regole su argomenti
come le interferenze elettorali, il bullismo, le molestie, la
violenza e l’istigazione. In sostanza, ci saranno meno rimozioni e
più etichettature di avvertimento.

Tuttavia c’è il problema che al momento attuale Meta si affida
agli indicatori
standard per riconoscere le immagini sintetiche. Molti software
per la generazione di immagini, come quelli di Google, OpenAI,
Microsoft, Adobe, Midjourney e Shutterstock, includono nelle proprie immagini
un indicatore visibile o rilevabile digitalmente, una sorta di
bollino che le marca come sintetiche, e Meta usa solo questo
indicatore per sapere se un’immagine è alterata oppure no; non fa
nessun altro controllo. Di conseguenza, un creatore ostile può quindi generare
immagini o video senza indicatori, o togliere questi indicatori da
contenuti esistenti, che non verranno riconosciuti ed etichettati da
Meta come sintetici.

Per colmare almeno in parte questa lacuna, Meta offrirà agli
utenti la possibilità di etichettare volontariamente i contenuti
generati con l’intelligenza artificiale e applicherà penalità a
chi non usa questa etichettatura. Ma è chiaro che chi vuole
ingannare o disseminare disinformazione non aderirà certo a questo
volontariato e potrà farla franca anche con le nuove regole. Come al
solito, insomma, i social network fanno troppo poco, troppo tardi.

Fonte aggiuntiva: Ars
Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cosa fare in caso di data breach: intervista ad Andrea Lazzarotto, consulente informatico forense

Cosa fare in caso di data breach: intervista ad Andrea Lazzarotto, consulente informatico forense

Ho intervistato a febbraio scorso lo sviluppatore di software e consulente
informatico forense
Andrea Lazzarotto (sul
tema dei data breach, che ho poi affrontato nel
podcast di oggi. Con colpevole ritardo, dovuto alla speranza a lungo coltivata di
riuscire ad affiancare a quest’intervista quella di una figura analoga svizzera,
pubblico qui l’intervista a Lazzarotto. Alcuni passaggi sono stati leggermente
riveduti per maggiore chiarezza; se ci sono errori, sono colpa della mia
trascrizione (segnalatemi eventuali cose da sistemare). La foto qui accanto è
tratta dal suo sito.

Andrea Lazzarotto, ci descriva brevemente la sua professione.

Io mi occupo di sviluppo software e consulenza informatica forense, che poi è
forse l’attività più correlata anche alla tematica di cui parleremo oggi. Il
consulente informatico forense è una figura professionale che si occupa di
assistere i propri clienti dal punto di vista tecnico, nel mio caso
informatico, nelle vicende che possono essere ad esempio giudiziarie, quindi a
carattere penale, o anche in controversie di tipo civile, in cui si entra in
un contesto in cui viene introdotta un qualche tipo di evidenza e di prova
informatica o digitale. Quindi non necessariamente solo casi in cui magari si
ha a che fare con crimini prettamente informatici, come immaginiamo un’azione
di violazione di un sistema informatico, ma anche in realtà situazioni in cui
gli elementi digitali possono entrare in casistiche che di fatto non erano
vicende informatiche. Pensiamo ad esempio all’analisi di un dispositivo come
un cellulare, che può anche venire fuori in vicende di altro tipo, come
minacce oppure anche concorrenze sleali. Quindi io affianco il cliente dal
punto di vista tecnico, mentre l’avvocato lo affianca dal punto di vista
legale.

Parliamo in particolare di reclami presso il garante privacy, che per molti
sono un mistero. Sentiamo sui giornali che ci sono violazioni dei dati,
fughe di dati, data breach e via dicendo e molto spesso queste
aziende coinvolte vengono segnalate al Garante, o il Garante avvia
un’istruttoria e poi a volte c’è una sanzione, una pena di qualche tipo. In
concreto, che cosa succede quando un sito si lascia sfuggire dei dati che
vengono poi presi da un attore ostile che cerca di rivenderli? O comunque
quando un sito se li è lasciati scappare e quindi ha commesso una violazione
della garanzia di riservatezza fatta ai clienti?

In questo caso dobbiamo distinguere tra cosa succede ai dati che sono stati
violati e cosa succede invece all’azienda che potrebbe essersi resa
responsabile o comunque negligente da questo punto di vista. 

Per quanto riguarda i dati la situazione è un po’ complicata, nel senso che
una volta che è avvenuto un data breach e quindi questi dati sono stati
violati e acceduti da soggetti ignoti e indeterminati, è probabile che,
soprattutto se sono non dati di una singola persona, ma solitamente succede
che vengono acceduti interi archivi, ad esempio di dati di tutti i clienti o
di una buona parte dei clienti, questi dati abbiano per i criminali
informatici un valore economico di fatto, perché il motivo per cui avvengono
queste violazioni è generalmente di tipo economico. 

Le persone che si introducono nei sistemi per violare i dati e carpirli, dopo
li vanno solitamente a rivendere in una sorta di mercato nero. Ci sono online
questi mercati, questi marketplace, in cui chi ha rubato dei dati
solitamente cerca di rivenderli a terzi per i motivi più disparati. 

Ad esempio, se sono stati rubati nei casi più gravi i dati di pagamento,
questi dati di pagamento ovviamente fanno gola a chi poi va a fare le truffe
sulle carte di credito sia per rubare direttamente denaro oppure anche per
fare degli acquisti usando carte altrui. Se invece si tratta di dati, diciamo,
magari anche un po’ meno correlati al pagamento, un po’ meno privati, come ad
esempio delle liste di indirizzi email, queste liste di indirizzi email
potrebbero ad esempio fare gola a persone che fanno attività di spamming, che
significa mandare delle email pubblicitarie non sollecitate e non autorizzate
a una vasta quantità di persone per fare pubblicità oppure anche per fare
delle truffe, perché anche le email vengono usate a volte per mandare messaggi
di cosiddetto phishing. Il phishing è una tecnica di attacco
verso le persone per cui ci si spaccia per un sito affidabile, per esempio
Facebook oppure Microsoft, e si manda un’email fasulla alla vittima in cui si
richiede di cliccare un link per ad esempio rieffettuare l’accesso, per
esempio per fare una verifica di un account, oppure ci si può anche fingere la
banca e far cliccare il link malevolo a una persona in modo da indurla a
fidarsi, magari perché vede il logo della banca o la grafica perfetta del sito
che è stata clonata, e quindi avere gli indirizzi mail di tante persone
aumenta la quantità di potenziali vittime che si vanno a colpire.

Poi, per la parte delle aziende, la questione è un po’ più variata, nel senso
che ci sono due strumenti che le persone possono utilizzare. La
segnalazione è uno strumento che può utilizzare sostanzialmente
chiunque per scrivere all’autorità garante per la protezione dei dati
personali, ad esempio quella italiana o a seconda di dove uno risiede, per
comunicare che c’è una certa situazione. Non è necessario per la segnalazione
essere una delle persone che ha subito il data breach.

Invece le persone che sono state soggette di un data breach o comunque
vedono violati i propri diritti alla riservatezza, alla protezione dei dati
personali, possono utilizzare uno strumento un po’ più specifico che è il
reclamo. Il reclamo quindi deve essere fatto dall’interessato, o
direttamente o tramite il proprio avvocato; quindi si va a scrivere al Garante
per segnalare questo tipo di comportamento. Potrebbe essere un reclamo verso
l’azienda: se io scopro che l’azienda X ha subito un data breach e io
ero uno dei clienti dell’azienda X, ragionevolmente posso pensare che i miei
dati siano stati violati e vado a fare un reclamo verso l’azienda X. Oppure
nel caso ad esempio arrivino attività di pubblicità, quindi mi arrivano email
pubblicitari di spam e io non so perché sto ricevendo un email pubblicitario
dell’azienda Ypsilon che per qualche motivo ha il mio indirizzo email ma non
mi risulta di averglielo fornito, posso anche in quel caso fare un
reclamo.

Una pagina della scheda informativa del Garante italiano sulle modalità di reclamo e segnalazione.

Diciamo che in questo caso, soprattutto prima di fare un reclamo per
un’attività di spamming, la cosa da fare preventivamente è contattare il
titolare del trattamento, quindi l’azienda per cui vengono mandate le
comunicazioni pubblicitarie, e fare una richiesta di esercizio dei diritti in
materia di protezione dei dati personali, qui in Europa abbiamo il GDPR, e si
può fare una richiesta di accesso ai dati personali, quindi richiedere
all’azienda che ci sta scrivendo quali sono i dati personali nostri che sono
in suo possesso, quali sono anche le categorie che vengono trattate, le
finalità per cui vengono trattate, quindi nel caso specifico dovranno
comunicare ad esempio che le stanno usando per mandarci questa email
pubblicitaria, e quali sono eventualmente i criteri con cui vengono stabiliti
di periodo di conservazione e anche l’origine dei dati, perché se io ricevo
una comunicazione pubblicitaria posso richiedere qual è l’origine del mio
indirizzo di posta o indirizzo email su cui mi sta venendo mandata la
pubblicità. 

Poi si può richiedere anche, sempre ai sensi del GDPR, la richiesta di
intervento. Quindi si può richiedere, ad esempio, di cancellare i dati perché
magari non è mai stato richiesto di ricevere pubblicità oppure si era
richiesto in passato ma non si desidera più riceverla.

E poi, infine, un’altra cosa che si può fare è una
richiesta di opposizione al trattamento per le finalità di marketing.
Questa richiesta poi dovrà essere riscontrata dall’azienda entro 30 giorni dal
momento in cui è stata inviata. Se la risposta, quindi il riscontro, non è
ritenuto sufficiente perché l’azienda o non ha risposto, oppure ha risposto in
modo evasivo o non ha accolto la richiesta, a quel punto chiaramente si può
fare un reclamo al garante per la protezione dei dati personali, descrivendo
anche il fatto che è stata inviata una richiesta e che la risposta
eventualmente ricevuta non è ritenuta soddisfacente.

Immagine generata da DALL-E usando come prompt il testo della risposta qui sopra. Secondo ChatGPT, rappresenta “il complesso viaggio dei dati attraverso le violazioni, e le conseguenti implicazioni sia per gli individui sia per le aziende”.

Queste segnalazioni, questi reclami, vanno fatti secondo qualche procedura
particolare, per esempio bisogna mandare una posta elettronica certificata,
bisogna immettere dei dati nel sito del garante? Come si procede in pratica?
Supponiamo che io sia vittima di un data breach, quindi so che i miei
dati personali di qualche genere, per esempio una login e una password di un
mio account, sono stati esposti da una ditta. Cosa faccio?

Sicuramente se ho già le evidenze che i miei dati certamente sono stati
coinvolti nel breach, posso contattare direttamente il garante. Oppure,
una cosa che possiamo consigliare è che per essere certi di essere nel
breach, perché a volte questi breach riguardano una fetta di
utenti ma non tutti gli utenti di un’azienda, possiamo contattare proprio
l’azienda stessa. Quindi anche in questo caso possiamo fare un esercizio dei
diritti ai sensi del GDPR, per cui troviamo anche una modulistica, diciamo un
esempio di richiesta, sul sito del garante.

Ad esempio, il Garante della privacy italiano ci fornisce un esempio di
richiesta [dovrebbe essere questo], però in realtà la richiesta verso l’azienda può essere fatta
sostanzialmente in forma libera, quindi anche contattando il servizio clienti
tramite l’email che viene messa a disposizione; oppure, se si vuole essere più
formali e più sicuri dell’invio, si può inviare una raccomandata con avviso di
ricevimento o una PEC. Quindi nella richiesta possiamo descrivere, ad esempio,
come è capitato anche a me di fare in un caso, che tramite la stampa è stato
riscontrato che l’azienda ha subito un data breach o comunque ha visto
acceduti i propri dati di alcuni clienti da parte di ignoti. In ragione di ciò
si richiede all’azienda di fornire una copia di tutti i dati personali e
indicare soprattutto se questi dati o quali di questi dati sono stati
coinvolti nella violazione. In questo caso, come dicevo prima, la richiesta di
esercizio dei diritti deve essere riscontrata entro 30 giorni; questo è un
obbligo legale previsto dal GDPR, quindi l’azienda non può ignorarla, o
comunque se lo fa si espone eventualmente a delle conseguenze.

Trascorsi questi 30 giorni possiamo avere ricevuto una risposta che ci
chiarisce esattamente cosa è successo, oppure avere non ricevuto una risposta,
oppure un riscontro inadeguato. In questi casi, se abbiamo ricevuto la
risposta che ci dice che effettivamente i nostri dati sono stati violati,
oppure se non abbiamo ricevuto un riscontro, possiamo procedere a effettuare
un reclamo all’autorità garante.

Anche per il reclamo, il Garante della privacy italiano ci fornisce un
modello. In questo caso il reclamo viene fatto tramite la trasmissione appunto
all’autorità del nostro reclamo all’ufficio protocollo, quindi viene fatto o
tramite una PEC, che è il metodo più semplice, oppure tramite una
raccomandata. Nel caso in cui mandiamo una PEC possiamo avere l’atto firmato
digitalmente, quindi se siamo in possesso di una firma digitale possiamo
semplicemente sottoscrivere il PDF. Se invece facciamo un reclamo scritto che
firmiamo a penna, dovremo poi allegare anche un documento di identità per
farci riconoscere.

Per le aziende che subiscono questi data breach, quali sono le
conseguenze? C’è una sanzione? Il Garante, una volta accettato il reclamo,
che cosa fa concretamente? Molto spesso chi non segue queste vicende in
dettaglio non ha una percezione molto chiara di tutti i passaggi successivi
al reclamo o alla segnalazione.

Ci possono essere diversi tipi di risultato, che vanno dal caso in cui si è
verificato che il reclamo non è fondato, oppure è un reclamo relativo a un
fatto non particolarmente grave, come ad esempio un’e-mail pubblicitaria, e
poi il titolare del trattamento, quindi l’azienda, ha riscontrato e accolto la
richiesta di cancellazione, ad esempio, dalle email pubblicitarie; il reclamo
può essere anche archiviato, quindi il procedimento viene archiviato senza
particolari conseguenze. 

Oppure, nei casi un po’ più gravi, un po’ più fondati, ci sono vari tipi di
sanzioni, dal più semplice, che può essere un ammonimento. L’ammonimento
sembra una sciocchezza, come se fosse sgridare un bambino, ma in realtà dal
punto di vista privacy è una sanzione che ha un suo significato, perché poi
eventuali successive violazioni verrebbero valutate in modo anche più grave.

In alternativa ci possono essere delle imposizioni, quindi l’autorità garante,
ordina, impone di terminare il trattamento, quindi può anche disporre un
divieto di ulteriore trattamento dei dati, sempre ad esempio se parliamo di
trasmissione di materiale pubblicitario; l’autorità potrebbe vietare il
successivo trattamento di questi dati, oppure ci possono essere delle sanzioni
in denaro, quindi quelle che un po’ impropriamente a volte definiamo multe.
Non sono multe, ma sono sanzioni pecuniarie che vengono calcolate anche in
base alla grandezza dell’azienda, a quanto è il volume, il giro d’affari,
quindi anche quanto è il fatturato annuo e anche ovviamente alla gravità della
violazione, perché ci sono condotte che sono più gravi e altre che sono meno
gravi. Infatti le sanzioni hanno un massimo che può raggiungere anche cifre
molto elevate, perché pensiamo che il massimo che la legge prevede fino a 10 o
20 milioni di euro oppure dal 2 al 4% del fatturato mondiale annuo, se questo
è superiore. Diciamo che è una norma, quella del massimo della sanzione che è
stata prevista soprattutto per le aziende molto grandi, le multinazionali.

L’importo, l’ammontare di questa sanzione a chi finisce? Alla vittima, al
garante, altrove?

Il reclamante in questo contesto non riceve denaro, il procedimento innanzi al
Garante non è come un processo civile in cui vado a chiedere i danni, ma è un
procedimento in cui l’interessato fa rispettare i propri diritti alla privacy.
Quindi la sanzione non va a finire in mano al reclamante, ma viene elargita di
fatto all’autorità, quindi è come se fosse una multa, anche se non è una
multa.

Facciamo un caso concreto: un utente che non è coinvolto direttamente, non
sono i suoi dati a essere stati trafugati, ma si accorge che c’è un’azienda
che sta disseminando consapevolmente o meno i dati dei suoi clienti,
fatture, documenti di identità, si accorge di questa cosa. Fa quindi una
segnalazione al garante. A quel punto il garante che cosa fa? Manterrà
aggiornata la persona che ha fatto la segnalazione o ci sarà un rapporto
soltanto con la ditta interessata?

Per quanto riguarda le segnalazioni, da quello che so, anche se non ho
moltissima esperienza perché seguo abitualmente tanti reclami ma non molte
segnalazioni, siccome il segnalante non è direttamente interessato, ovviamente
non viene messo al corrente di tutto l’iter e di tutto quello che segue. Salvo
che ci sono diversi casi in cui, alla fine dell’istruttoria e dell’eventuale
decisione sanzionatoria, il Garante della privacy alcuni provvedimenti li
pubblica. Anche la pubblicazione sul sito del Garante è una sanzione
accessoria che può essere comminata per alcuni casi un po’ più gravi; invece
se una persona è reclamante, quindi è direttamente interessata, chiaramente
viene tenuta al corrente del percorso che segue l’istruttoria.

Con che frequenza avvengono situazioni di questo tipo, ossia che ci siano
reclami non per spamming ma proprio per violazione dei dati, dati
disseminati?

È un po’ difficile da stimare, anche perché queste situazioni di
data breach
in realtà non sempre vengono messe alla luce come dovrebbero. Diciamo che il
GDPR prevede che nel momento in cui un’azienda si rende conto che ha subìto un
data breach o comunque che ha subìto una violazione che potrebbe anche
avere esposto dei dati personali, deve agire in un tempo molto breve, perché
la legge prevede un termine di 72 ore, salvo casi particolari. 

In queste 72 ore dovrebbe fare una valutazione di quella che è stata la
violazione e determinare se fare una segnalazione al garante, quindi tra
virgolette autosegnalarsi in un certo senso, oppure se è stato un caso
particolarmente piccolo, non vi è anzi l’obbligo necessariamente di
comunicarlo all’autorità, ma deve essere annotato su un apposito registro
interno, che è il registro delle violazioni. 

Adesso entriamo in una materia che è più legale, è tecnica e riguarda di più i
DPO o gli avvocati, però diciamo che l’azienda che è messa al corrente
dovrebbe segnalarsi da sola al garante. Se invece l’azienda non è al corrente,
perché magari se ne accorge qualcun altro, allora può essere che un altro
cittadino faccia la segnalazione all’azienda e a quel punto parte il termine.
E’ anche vero che in alcuni casi può anche succedere, soprattutto con aziende
piccole e non strutturate, che l’azienda preferisca o ritenga di non gestire
particolarmente bene questa cosa, magari perché pensa che nascondere la testa
sotto la sabbia possa essere una buona strategia; può capitare anche quello.


Quindi in casi come questi, se l’azienda fa finta di niente e i dati
rimangono aperti e accessibili, qual è il passo successivo?

Nel caso in cui una persona o interessata o un semplice segnalante decida di
fare qualcosa, può fare una segnalazione o un reclamo all’autorità garante.

C’è da dire una cosa, comunque, che soprattutto per le segnalazioni abbiamo
fatto prima l’esempio che se uno scopre in modo accidentale che un’azienda
espone dati di altri può fare la segnalazione, certamente può farlo. Quello
che è un po’ problematico, dal mio punto di vista in Italia, è che la
definizione che abbiamo dal punto di vista del codice penale, quindi parlo
dell’articolo dell’ipotesi di reato di accesso abusivo a sistema informatico,
è estremamente vaga.

Se andiamo a leggere letteralmente l’articolo, ci sono scenari in cui uno
potrebbe scoprire in modo di tutto accidentale, ad esempio perché cerca delle
parole su Google e uno dei link lo riporta a un documento che presenta dati
personali che non c’era motivo di esporre o per altri motivi. Questo potrebbe
portare una persona a vedersi, diciamo, paventata la minaccia più o meno
fondata, diciamo anche magari per spaventarlo, di una possibile querela per
accesso abusivo a sistema informatico, perché se noi andiamo a vedere
l’articolo 615 ter, si parla di accedere a una risorsa, quindi a un sistema
informatico, contro la volontà espressa o tacita di chi ha diritto di
escluderlo. 

Uno potrebbe dirmi
“ma perché tu hai aperto questo documento PDF con i dati personali dei miei
clienti?”. “Stavo cercando su Google un’altra cosa, ho cliccato un link e è
venuto fuori quel documento”. “Però io non volevo che tu accedessi a quel
documento, quindi la mia volontà era quella di non farti accedere ai
dati.”
Allora comincia a diventare complicato. 

È chiaro che poi lì si parlerebbe di sistemi protetti da misure di sicurezza,
però purtroppo c’è anche questa cosa che non abbiamo un
framework legale, diciamo un sistema per cui chi va a segnalare alle
aziende che ha questo problema di privacy viene tutelato legalmente in modo
automatico, come stanno pensando di fare in altri paesi europei, cioè di
mettere delle regole per cui se tu segnali una problematica a un’azienda sei
sostanzialmente schermato da possibili denunce o altri tipi di azioni. 

In Italia non abbiamo questo, quindi rimane tutto in seno al buon senso delle
singole aziende. Sicuramente ci sono tante aziende che di fronte a una
segnalazione del genere ringrazierebbero e quindi ne vinceremmo tutti perché
l’azienda scopre un problema, lo risolve e ne mitiga gli effetti. Ma io
immagino che ci possono anche essere aziende che non siano molto felici di
vedersi segnalate queste problematiche, perché poi devono gestire queste
situazioni.

Immagine generata da DALL-E usando come prompt il testo della risposta qui sopra. Secondo ChatGPT, rappresenta “le complessità e le sfide di una segnalazione di violazioni della privacy in Italia e raffigura simbolicamente il processo decisionale che deve affrontare un individuo che scopre accidentalmente che un’azienda espone dei dati”.

La situazione varia da paese a paese. Ci sono dei paesi che hanno già attivato questo scudo per chi fa
segnalazioni di questo genere? Se sì, quali sono?

Stavo leggendo qualche ora fa una notizia relativa al Belgio, su una cosa in
fase di pianificazione, e lì si parlava proprio di accessi dei controlli di
sicurezza sulle aziende, quindi è una tematica più ampia rispetto allo
semplice accertamento della protezione dei dati. In Belgio stanno pensando di
tutelare legalmente i dati e di tutelare legalmente coloro che scoprano in
modo più o meno accidentale che un’azienda ha problemi di sicurezza
informatica e nel momento in cui chi lo scopre lo segnala immediatamente, cioè
entro tre giorni, all’azienda.

Stanno pensando di introdurre proprio una sorta di immunità da eventuali
conseguenze. Questo tipo di iniziative, secondo me, ha un impatto molto
positivo, perché spesso si tende a scoprire in modo del tutto fortuito
documenti tramite Google, per esempio, documenti PDF o file Excel o altre cose
che contengono dati personali. E la frase standard che circola un po’ anche
fra i miei conoscenti, i colleghi, è
“OK, fai finta che non abbia visto niente e lascia stare, perché se lo
segnali non sai mai cosa potrebbe succedere, potrebbero ringraziarti o
potrebbero anche minacciarti di una denuncia perché stavi aprendo un PDF che
hai trovato casualmente su Google”

Invece avendo una sorta di scudo, automaticamente tutte le persone verrebbero
invogliate a segnalare queste scoperte, anche accidentali, e di conseguenza si
migliora complessivamente lo stato della sicurezza informatica e della
protezione dei dati. 

La situazione è ancora complessa, è ancora in divenire, però c’è un problema
di proteggere appunto chi trova queste cose e poi cerca di fare il suo dovere
di cittadino in un certo senso.

Voi che siete nel settore, siete in tanti ma avete tutti lavoro a tempo
pieno per gestire questi problemi o i casi sono relativamente pochi per cui
tutto sommato si naviga abbastanza bene?

È difficile parlare un po’ per categoria, perché in realtà tanti
professionisti anche in questo settore si specializzano in diverse categorie.
Ci sono colleghi che si occupano tantissimo di dati personali, di privacy, ci
sono altri colleghi che magari vedono pochi casi perché si occupano di più di
altre cose come la sicurezza informatica nelle aziende oppure anche le perizie
su smartphone e così via. Quindi è un po’ difficile fare un commento generale
su questo aspetto.

Io personalmente devo dire che nel mio caso la maggior parte dei reclami che
seguo dal punto di vista privacy sono cose che seguo io personalmente come
diretto interessato e reclamante come privato cittadino, mentre
lavorativamente me ne capitano meno spesso.


Le aziende italiane sono attente al problema o lo prendono sotto gamba?
Perché sembra perché ci siano molti casi, anche piuttosto grossi, di aziende
che si fanno trovare con i dati a spasso. C’è un problema di sensibilità
delle aziende secondo lei?

Secondo me sì e direi inoltre che è un problema di sensibilità, un problema
forse anche culturale, cioè manca la cultura della sicurezza informatica.
Dobbiamo tenere in considerazione, comunque, che in Italia soprattutto le
aziende sono molto, in grandissima percentuale sono PMI e ci sono anche
tantissimi casi di aziende che hanno 1, 2, 3, 5 persone all’interno in tutta
l’azienda, quindi parliamo proprio di microimprese, e chiaramente in questi
contesti è molto difficile avere tutte le competenze anche dal punto di vista
della sicurezza informatica, perché una grande azienda, che può essere la
classica grande azienda americana che ha migliaia e migliaia di addetti, al
suo interno avrà un’unità dedicata alla sicurezza informatica, mentre una
microimpresa probabilmente si rivolge per fare le proprie attività anche a
fornitori esterni o consulenti quando serve, che gli sistemano il sito, gli
sistemano il gestionale e così via. Quindi manca un po’ anche la cultura della
fiducia perché certi tipi di istruzioni probabilmente non vengono neanche
visti con la dovuta considerazione. Cioè ci sono piccole aziende, soprattutto
che quando si parla del problema della tutela dei dati rispondono
“Sì, ma vuoi che vengano proprio da me ad attaccare? Non sono Microsoft,
una piccola azienda, quindi cosa vuoi che mi succeda?” Di conseguenza si sottovaluta probabilmente anche il problema.


Ringrazio Andrea Lazzarotto per questa esplorazione molto esaustiva del
settore dei reclami, di come ci si interfaccia con un garante europeo e
spero che tutto sommato rimanga… senza lavoro, almeno da questo punto di
vista. Ma nel frattempo per chi volesse sapere esattamente che fine fanno i
suoi dati e che tipo di reazione e risposta c’è da parte dell’autorità,
abbiamo qualche luce in più sull’argomento. Grazie ancora Andrea
Lazzarotto.

Grazie a voi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché tanta gente che ha l’iPhone, l'iPad o il Mac va in giro con AirDrop aperto a tutti?

Perché tanta gente che ha l’iPhone, l’iPad o il Mac va in giro con AirDrop aperto a tutti?

Pubblicazione iniziale: 2023/11/12 13:28, Ultimo aggiornamento: 2023/11/18 11:10. Immagine iniziale generata da DALL-E.

In questi giorni sto viaggiando in treno in Italia e ho notato che spesso gli
utenti di iPhone e iPad lasciano aperta a tutti la funzione AirDrop, che
permette di inviare file da un dispositivo Apple a un altro. La funzione non
richiede che i dispositivi siano collegati alla stessa rete Wi-Fi.

Per esempio, facendo una semplice scansione (con il normale Finder del mio
Mac) dei dispositivi raggiungibili via AirDrop ho trovato questi utenti:

“CIA Asset 4752” è il mio iPhone di test, che ho lasciato aperto per
l’occasione. Ma l’iPad di Lele, gli iPhone di Viola, Dany ed Eradis e il Macbook Air di Lorenza non sono miei. Non
ho tentato di inviare file, per non allarmarli.

Non è prudente tenere AirDrop aperto a tutti: chiunque vi può mandare foto
indesiderate o malware, fare stalking o commettere altre molestie o abusi.
AirDrop andrebbe attivato solo quando serve per trasferire dati da un
dispositivo all’altro. Queste sono le opzioni disponibili sull’iPhone in Impostazioni – Generali – AirDrop: Ricezione non attiva (che consiglio come impostazione da tenere attiva normalmente), Solo contatti e Tutti per 10 minuti.

Per ridurre la vostra esposizione di dati personali quando attivate AirDrop,
attivatelo solo verso i vostri contatti e in ogni caso togliete il vostro nome
e il tipo di dispositivo dalla stringa del nome che viene trasmesso.
Non accettate mai dati da sconosciuti.

Se avete un iPhone, iPad o Mac, andate in
Impostazioni – Generali – Info – Nome, poi cambiate nome. 

Siate creativi. Io, per esempio, ho scelto questo:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Santo cielo, ho un fan club su Facebook

Santo cielo, ho un fan club su Facebook

Ieri sera un amico mi ha nominato Facebook e io ho fatto una faccia inorridita. Essere presente su Facebook, moi? Giammai. Preferirei fare un bidet a un rinoceronte.

Ho sempre visto Facebook come un concentrato del peggio di Internet: una colossale, rutilante, ipercinetica, vanesia perdita di tempo e di banda, come Second Life, combinata con l’offerta volontaria a chissà chi di tutta la rete dei nostri contatti e conoscenti. La Stasi avrebbe dato l’anima per ottenere quello che gli utenti danno spontaneamente ai vari siti di social networking: la mappa completa delle persone che si conoscono, e delle persone che a loro volta conoscono le persone che si conoscono, e così via. E poi ci preoccupiamo di Echelon e delle telecamere per strada.

E’ per questo che rifiuto sistematicamente i vari inviti a LinkedIn, Facebook e simili: grazie, apprezzo il gesto, ma per principio non amo far sapere a sconosciuti quali sono le mie frequentazioni. Non perché le mie frequentazioni siano discutibili (a parte alcune), ma per principio: sono fatti miei e ci tengo che restino tali.

Capirete dunque il mio orrore quando non solo l’amico mi ha parlato di Facebook, ma vi ha immesso il mio nome e lo ha trovato. E ha trovato un lusinghiero ma surreale fan club con 102 iscritti.

In altre parole, sono su Facebook, che io lo voglia o no. E allora tanto vale esserci intenzionalmente, almeno con una pagina di rappresentanza. Sigh. Pagina che però, da quel che ho capito, è visibile soltanto a chi si iscrive a Facebook. Questo si che è marketing virale. Non iscrivetevi a Facebook soltanto per vederla, perché non c’è nulla di speciale e probabilmente non ci sarà mai. Serve solo per limitare il rischio che qualcuno metta su Facebook un mio clone.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.