e-Gov

Privacy e sicurezza, il trattamento dei dati raccolti dagli Smart Assistant

Logo Diritto Informatica

Si chiama “Project connected home over IP” ed è il gruppo di lavoro formato da Amazon, Apple e Google e da altri colossi dell’informatica e non solo (ad esempio, nella partnership figura anche Ikea) con lo scopo di creare un nuovo protocollo di connessione tra gli oggetti domestici che rientrano nel campo della “domotica”. Il progetto ambisce a realizzare uno standard di connettività per aumentare l’interazione tra i prodotti “smart home”, prodotti cioè che sono in grado sia di comunicare tra di loro, sia di eseguire in autonomia alcuni compiti domestici. In tale ecosistema di oggetti connessi rientrano anche gli “Smart Home Personal Assistant”, gli speaker intelligenti che eseguono i comandi vocali impartiti dagli utenti.

Occorre, tuttavia, valutare quale siano i rischi di un’operazione di tal specie e quali tutele legislative siano ad essa applicabili.

La privacy dei dispositivi “Smart Home Personal Assistant”.

La crescente fruizione di apparecchiature intelligenti all’interno della propria abitazione può presentare diverse criticità in ambito privacy e di sicurezza informatica.

Occorre premettere che detti dispositivi domestici intelligenti utilizzano software di “weak AI“, capaci, cioè, di riprodurre alcune funzionalità cognitive dell’essere umano. Ne sono un esempio i dispositivi di “Home Assistant” quali Alexa di Amazon o Google Home, capaci di riconoscere i comandi impartiti vocalmente dall’utilizzatore. Tali dispositivi si attivano grazie a dei comandi vocali predefiniti dalla casa produttrice (c.d. wake-up words) e, registrando il comando impartito, si collegano ad un server per decodificarlo.

Una prima criticità per la tutela della privacy è determinata dal fatto che tali dispositivi restano in ascolto passivo anche quando non vengono specificamente attivati da una parola d’ordine, registrando in tal modo le conversazioni che avvengono all’interno delle mura domestiche.

Emblematico in tal senso è quanto accaduto a Portland nel 2018, dove il dispositivo domestico intelligente di due coniugi, fraintendendo il significato della conversazione in background tra i presenti, ha scambiato alcune parole per wake-up words registrando ed inviando, così, la conversazione ad un contatto in rubrica, senza il consenso dei proprietari.

Questo fatto generò una grande sensibilità in merito al fenomeno del c.d. “passive listening“, cioè l’ascolto passivo svolto da tali dispositivi Essendo in grado di captare le conversazioni private anche quando non specificamente attivati, il risultato sarebbe una immensa quantità di informazioni riservate registrate sui cloud delle società produttrice spesso senza la consapevolezza, men che meno il consenso, dei fruitori.

Sulla questione della privacy dei dispositivi domestici ancora non sono stati emanati provvedimenti dal Garante della privacy, il quale, tuttavia, in un’intervista sul tema, ha garantito che le norme del Regolamento generale sulla protezione dei dati (GDPR) contengono già importanti garanzie in merito (intervista su www.consumatori.it, 16 novembre 2018).

Infatti, uno dei principi ispiratori di detto regolamento è quello della “privacy by design e by default”, cristallizzato nell’art. 25 del GDPR, il quale stabilisce che le misure di protezione dei dati personali siano incorporate nei sistemi o dispositivi utilizzati per trattare dati e che gli stessi siano progettati in modo tale da minimizzare l’utilizzo dei dati raccolti.

È sempre utile, quindi, prendere in considerazione con particolare attenzione la privacy policy adottata dalle società produttrici dei dispositivi intelligenti. Amazon, per esempio, sebbene nella policy di “Alexa” riconosca che ci sia la possibilità di attivazioni involontarie del dispostivi, stabilisce, al contempo, un sistema di doppio controllo sulle parole di attivazione, al fine di minimizzare la quantità dei dati raccolti.

Problemi di cyber security

Lo scorso ottobre un gruppo di ricercatori del Security Research Labs (SRL) di Berlino ha hackerato gli assistenti vocali di Amazon e Google per dimostrare i pericoli insiti in tali dispositivi. In particolare, i ricercatori hanno impostato gli Assistenti Intelligenti in modo da poter registrare tutte le frasi pronunciate dopo la parola “io” o “ok”. Inoltre, l’esperimento ha dimostrato come fosse possibile anche impostare dei messaggi vocali che richiedevano agli utenti gli aggiornamenti di alcune password.

Nell’ottica del “Project connected home over IP”, gli assistenti personali intelligenti dovranno essere dispositivi ponte connessi con altre grandi apparecchiature presenti nelle nostre abitazioni. Eventuali attacchi informatici che dovessero colpire gli “smart home assistant” sarebbero, quindi, in grado di raggiungere anche altri dati presenti nelle nostre abitazioni. Senza contare poi che molti dispositivi sono anche connessi a telecamere e microfoni che, se hackerati, sarebbero in grado di far accedere i produttori o eventuali soggetti terzi alla vita privata di molti utilizzatori.

A tale proposito, è importante segnalare che, il 19 aprile 2019, l’Unione Europea ha emanato il “Regolamento relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione” il quale oltre a stabilire gli obiettivi e i compiti dell’agenzia dell’unione europea per la cibersicurezza, ha soprattutto armonizzato gli schemi europei di certificazione in merito alla sicurezza informatica.

Lo scopo di tale normativa è quello di rendere i dispositivi informatici circolanti all’interno dell’Unione conformi ad un principio di “security by design” comunitariamente riconosciuto.

Sebbene si tratti di schemi di certificazioni la cui adozione non è imposta ai produttori, tuttavia un sistema centralizzato e valido in tutto il territorio europeo sarebbe in grado di aumentare la fiducia dei consumatori in riferimento alla sicurezza dei nuovi dispositivi informatici.

Conclusioni

Alcuni dei rischi che potrebbero derivare dalla presenza di siffatti dispositivi nelle nostre abitazioni sono stati, infatti, qui analizzati, così come sono stati presentati i principali strumenti attualmente esistenti per tutelare la riservatezza dei consumatori. Si capisce, quindi, che il progetto instaurato tra i grandi colossi dell’informatica, con il fine di creare un ambiente domestico pieno di dispositivi interamente connessi tra di loro, in grado di agevolare la vita dei loro fruitori, è sicuramente una delle prossime frontiere con cui il diritto alla tutela privacy e la sicurezza informatica dovranno necessariamente confrontarsi.

È importante, inoltre, ricordare che nella maggior parte degli ordinamenti giuridici costituzionali, l’abitazione e le conversazioni private si identificano come diritti fondamentali ed inviolabili dell’uomo, che godono di forme di tutela particolarmente forti. Si tratta di principi di antiche origini, precursori del concetto moderno di privacy, che implicavano il diritto per gli esseri umani ad esser “lasciati soli”.

Vero è che spesso lo sviluppo delle nuove tecnologie comporta una parziale perdita di tali diritti fondamentali e, proprio per questo rischio, è importante l’impegno profuso dalle istituzioni europee per normare un campo molto delicato e potenzialmente lesivo dei diritti umani.

Tuttavia, spetta anche ai fruitori di tali servizi il compito di sensibilizzarsi in merito all’importanza della sicurezza informatica e della protezione dei propri dati personali, divenuto uno dei diritti fondamentali più importanti del secolo presente.