In un mondo dove l’integrazione dei sistemi di infotainment con quelli preposti al funzionamento degli impianti di sicurezza è in crescita, si fanno sempre più forti le perplessità sulla security delle informazioni, che si riflette inevitabilmente sulla safety delle persone interessate.
Da diversi anni, il concetto di sicurezza viene declinato in due distinte categorie: la security, intesa come protezione di un perimetro digitale o fisico, e la safety, relativa alla tutela dagli eventi che potrebbero compromettere l’integrità fisica o psicologica delle persone.
Safety e security: aspetti complementari
In molti settori, i due termini sono ormai - purtroppo - complementari: parlando dell’ambito automotive, per esempio, la security dei sistemi informatici di un’autovettura (zeppa di congegni elettronici, chip con Intelligenza Artificiale e centraline digitali collegate agli apparati elettrici e meccanici) può condizionare la safety degli occupanti per effetto di eventuali malfunzionamenti o, addirittura, attacchi informatici deliberati.
Nelle abitazioni e nelle aziende, sempre più spesso il sistema di domotica si trova a gestire anche compiti in materia di safety (rilevazione di incendi e allagamenti, attivazione degli estintori e delle pompe di sollevamento ecc.) e di monitoraggio degli utenti (people counting, plate number identification ecc.), utilizzando device collegati agli stessi impianti che si occupano della sicurezza delle informazioni e della protezione del perimetro.
Può accadere anche che gli impianti di una struttura, tramite cui si ascolta la musica e vengono smistate le telefonate, si trovino connessi alla stessa rete del sistema di domotica, di allarme, di storage o di elaborazione dei dati, creando una situazione in cui il file musicale e la telefonata sono accessibili dallo stesso canale di comunicazione con il quale la segretaria chatta con Zoom, il dipendente consulta occasionalmente il proprio profilo Facebook e il data center aziendale gestisce i fascicoli sanitari dei pazienti (per le ASL) o controlla la trazione e la frenata (per le autovetture).
Nel futuro a medio termine, saranno disponibili immobili in grado di regolare autonomamente gli accessi alle strutture senza l’intervento dell’operatore (magari attraverso un sistema di rilevamento biometrico) e autovetture in grado di guidare autonomamente, con la sola presenza passiva del passeggero.
Tuttavia, fin dove ci si può spingere, senza mettere in pericolo le libertà, i diritti e la salute dei cittadini?
È superfluo riportare alla memoria i casi di autovetture che, a causa di un guasto ai sensori di prossimità, frenavano da sole o sono state oggetto di malfunzionamenti dei sistemi di controllo di stabilità e trazione, fino alla perdita di controllo del mezzo. Sono stati registrati episodi di appartamenti che hanno bloccato sul terrazzo i proprietari - senza cellulare o telecomandi a portata di mano - a causa dell’attivazione della modalità notturna, con conseguente abbassamento automatico delle tapparelle.
Di recente, alcuni immobili e alcune autovetture sono rimasti offline per alcune ore a causa di aggiornamenti software non andati a buon fine, impedendo di conseguenza ai cittadini di entrare in casa o utilizzare l’auto. Ancora, errori di progettazione dell’hardware hanno ridotto sensibilmente la risposta dei software dopo l’aggiornamento, con l’effetto di rallentare perfino le operazioni di attivazione e spegnimento degli impianti, analogamente a quanto accaduto, in passato, con alcuni sistemi operativi per PC.
Si tratta di esempi che mostrano in modo evidente come la security delle informazioni si rifletta direttamente sulla safety, sconfinando nel rischio di esporre l’utente incauto o inconsapevole anche all’aggressione di eventuali malintenzionati.
Le estreme conseguenze
I recenti attacchi ransomware a infrastrutture critiche come gli ospedali hanno dimostrato che basta un utente incauto per far cadere un’intera amministrazione nel baratro dei server bloccati e della diffusione di dati riservatissimi, salvo il pagamento di una somma di denaro (estorsione tecnologica). Non solo: tutte le apparecchiature azionabili da remoto potrebbero essere sfruttate da un’ipotetica “dittatura tecnologica” per ottenere determinati comportamenti dai propri cittadini. L’Agenzia delle Entrate, per esempio, potrebbe trasformare il tradizionale fermo amministrativo (poco efficace per la mancanza di controlli sulle strade) in un fermo di tipo tecnologico, individuando il dispositivo associato all’utente che non ha pagato le tasse e disponendo, tramite il produttore, il blocco delle centraline elettroniche.
Anche l’esperimento di patente sociale del Comune di Bologna - attualmente declinato in positivo con l’attribuzione di sconti e vantaggi ai cittadini virtuosi - potrebbe avere conseguenze devastanti per i diritti e le libertà degli interessati o semplicemente dei soggetti esclusi da tali circuiti, causando crisi economiche e problemi nel mercato creditizio.
Il rischio è quello di arrivare all’uso delle informazioni che inevitabilmente diffondiamo quotidianamente, semplicemente utilizzando beni e servizi digitali, per creare dei profili personali associati alla patente del cittadino (anche incensurato) al fine di adottare misure cautelari contro potenziali comportamenti criminali. Infine, la nostra stessa identità digitale potrebbe essere manipolata al fine di attribuirci l’identità di qualcun altro (anziché sottrarci la nostra), con ogni possibile ricaduta su beni e servizi digitali.
La security e la safety, insomma, devono procedere di pari passo con adeguate garanzie per i cittadini, mentre i progettisti non devono cedere alla tentazione di sostituire l’essere umano con l’Intelligenza Artificiale in settori che potrebbero mettere seriamente a rischio i diritti e le libertà di ognuno di noi. Si chiama Data Protection by Design ed è uno dei principi fondamentali del nuovo Regolamento Europeo per la tutela dei dati personali (GDPR 679/2016).
