L’adozione di sistemi d’allarme e videosorveglianza comporta benefici indiscutibili in termini di sicurezza, ma allo stesso tempo impone una serie di responsabilità legali e operative legate alla protezione dei dati e alla cybersecurity. Un approccio consapevole e integrato, che coinvolga anche la disciplina vigente, è l’unico modo per garantire la riservatezza e i diritti degli utenti finali, ma anche la tutela dei professionisti.
Negli ultimi anni, l’adozione di sistemi d’allarme e videosorveglianza nelle abitazioni è cresciuta esponenzialmente, grazie ai progressi tecnologici e alla maggiore consapevolezza in materia di sicurezza domestica. Tuttavia, l’integrazione di questi dispositivi all’interno delle abitazioni comporta inevitabilmente la raccolta e la gestione di una mole significativa di dati personali, tema che solleva interrogativi importanti riguardo alla protezione dei diritti e delle libertà degli interessati e alla conseguente necessità di garantire l’integrità dei sistemi con adeguate misure di sicurezza.
L’evoluzione della sicurezza domestica e l’uso di dispositivi smart
I tradizionali sistemi d’allarme e videosorveglianza, inizialmente limitati a tecnologie analogiche e monitoraggi locali, si sono trasformati in soluzioni digitali avanzate. Oggi, grazie ai prodotti appartenenti all’Internet of Things (IoT), è possibile adottare soluzioni che offrono funzioni di monitoraggio remoto, accesso tramite smartphone e integrazioni con altri dispositivi intelligenti della casa, come serrature elettroniche, tapparelle motorizzate, serrande e cancelli elettrici e sistemi di illuminazione automatizzati.
Quest’evoluzione, se da un lato migliora notevolmente la sicurezza fisica delle abitazioni, dall’altro introduce nuove sfide legate alla sicurezza dei dati: i dispositivi smart (come le telecamere IP o i sensori wireless) rilevano, trasmettono e archiviano una grande quantità di informazioni, inclusi dati e metadati relativi alle persone fisiche che entrano nel loro raggio d’azione. Le abitazioni diventano così un nuovo obiettivo per gli attacchi informatici, finalizzati non solo a violare il perimetro esterno ma anche ad acquisire i dati rilevati e archiviati dai sistemi.
Queste informazioni successivamente possono essere utili per un attacco fisico all’abitazione (a partire dagli orari di frequentazione registrati), per un’aggressione alle persone (individuati i soggetti più esposti e le loro abitudini), per un uso degli stessi dati in altro ambito (per esempio, facendo scattare l’allarme dell’abitazione per provocare il ritorno a casa del proprietario, così da entrare fisicamente nella sua azienda o nel suo studio professionale). È quindi necessario rendere le abitazioni meno vulnerabili ai potenziali attacchi informatici, adottando adeguate misure di protezione.
GDPR per la protezione dei dati personali
Il Regolamento Generale sulla Protezione dei Dati (GDPR 679/2016), entrato in vigore nel 2018, rappresenta il quadro normativo di riferimento in Europa per la protezione dei dati personali, inclusi quelli raccolti tramite impianti di videosorveglianza e allarme, e stabilisce chiaramente che i dati personali, inclusi video e audio, devono essere raccolti e utilizzati solo per scopi legittimi, rispettando i principi di necessità e proporzionalità, che impongono al proprietario - e, di conseguenza, a installatori e produttori - di valutare i reali obiettivi perseguiti con l’installazione dell’impianto o dei sistemi integrati.
In sostanza, il produttore ha l’obbligo di realizzare dispositivi dotati di adeguate misure di sicurezza e versatili, in modo da adattarsi alle varie situazioni determinate dall’installazione e dalle esigenze di protezione del proprietario; l’installatore, a sua volta, ha l’obbligo di configurare l’impianto affinché rispetti le prescrizioni del GDPR.
Sempre a questo proposito, le linee guida del gruppo di lavoro europeo dei Garanti per la protezione dei dati personali, pubblicate nel luglio 2019, e i diversi provvedimenti dell’autorità Garante italiana per la protezione dei dati personali (in ultimo, il provvedimento 339 di giugno 2024) hanno evidenziato la necessità di limitare le riprese di spazi e aree pubbliche, nonché la conservazione delle relative immagini, alle sole situazioni in cui sia documentata un’esigenza accentuata di tutela della proprietà privata o delle persone che frequentano o abitano una struttura - con l’onere, a carico del proprietario e titolare del trattamento, di informare con cartelli e segnalazioni i soggetti che potrebbero entrare nel raggio d’azione delle telecamere.
Il principio non contrasta, ma è complementare alle diverse pronunce della Corte Suprema di Cassazione, che a più riprese ha evidenziato come in spazi e aree pubbliche non sussiste alcuna legittima aspettativa di riservatezza e, quindi, il rilevamento dei dati dev’essere soggetto ai soli limiti dell’utilizzo necessario e proporzionato alle finalità perseguite, sulla base del Regolamento Europeo 679/2016.
Occorre anche sottolineare che il rilevamento dei dati da parte degli impianti di allarme e videosorveglianza pone oggi non pochi problemi in riferimento al personale dipendente o a chi frequenta un’abitazione: collaboratrici domestiche, assistenti agli anziani, infermieri, medici, falegnami, giardinieri e idraulici entrano necessariamente nel raggio di rilevazione dell’impianto d’allarme e delle telecamere e devono quindi essere adeguatamente informati e tutelati rispetto a tale trattamento.
I dipendenti, in particolare, non possono essere oggetto di controllo a distanza; il titolare del trattamento che è anche datore di lavoro deve quindi necessariamente rispettare le prescrizioni dell’art. 4 della L. 300/1970, che impone anche l’obbligo di acquisire l’autorizzazione della locale Direzione Territoriale del Lavoro ove dall’uso dell’impianto possa derivare un controllo a distanza dei lavoratori lesivo della loro dignità.
Occorre quindi fare molta attenzione all’utilizzo delle telecamere e dei sensori tramite smartphone, quando in casa sono presenti lavoratori dipendenti o eventuali assistenti di persone anziane e collaboratrici domestiche.
Cybersecurity e videosorveglianza: proteggere i dati raccolti
Uno dei principali rischi associati ai moderni sistemi di allarme e videosorveglianza riguarda la cybersecurity. L’interconnessione dei dispositivi smart attraverso la rete Internet rende gli apparecchi tecnologici vulnerabili a intrusioni informatiche, che possono compromettere non solo la sicurezza fisica dell’abitazione ma anche la privacy degli individui, intesa come riservatezza dell’intimità personale e familiare.
Un attacco a un sistema di videosorveglianza potrebbe infatti consentire a terzi di accedere ai filmati registrati, monitorare le attività all’interno della casa e persino manipolare i dispositivi, per esempio disattivando un allarme o sbloccando una porta intelligente. Per mitigare questi rischi, è essenziale implementare adeguate misure di sicurezza informatica, proteggendo innanzitutto la rete locale (sarebbe preferibile avere una linea dedicata) e utilizzando i migliori sistemi di crittografia disponibili per codificare le comunicazioni tra titolare e sistema di sicurezza e tra i vari sensori e dispositivi che compongono l’impianto.
L’accesso dovrebbe essere consentito solo mediante autenticazione a due fattori e i software dovrebbero essere costantemente monitorati e aggiornati per correggere eventuali vulnerabilità. In sostanza, il sistema d’allarme e l’impianto di videosorveglianza devono venire controllati e aggiornati come qualsiasi altro sistema informatico, avendo cura anche di evitare di lasciare impostate configurazioni e credenziali di accesso standard (tra le prime oggetto di verifica in caso di attacco informatico).
Obblighi legali e trasparenza verso terzi
Un altro tema di grande importanza è la trasparenza nei confronti dei soggetti che potrebbero essere ripresi dalle telecamere di videosorveglianza installate in ambito domestico. La normativa, infatti, impone che i proprietari di abitazioni informino chiaramente le persone che transitano della presenza di sistemi di videosorveglianza, in particolare tramite l’apposizione di cartelli (ben visibili anche durante le ore notturne) in prossimità delle zone soggette a ripresa, così che l’interessato possa evitare di essere inquadrato se lo ritiene opportuno.
Se le telecamere catturano immagini di spazi pubblici o comuni, come ingressi condominiali o strade di accesso alla proprietà privata, la raccolta dei dati dev’essere proporzionata alle finalità della videosorveglianza e giustificata da effettive esigenze di tutela - per esempio precedenti aggressioni alle persone o al patrimonio o anche eventi criminali che legittimano una crescente preoccupazione del titolare rispetto a una possibile aggressione alla propria abitazione.
Impatti delle nuove tecnologie sulla videosorveglianza
Le tecnologie emergenti, come l’intelligenza artificiale (AI) e il machine learning, stanno aprendo nuovi orizzonti per la videosorveglianza domestica, migliorando le capacità di rilevamento e analisi già conseguite. Le telecamere dotate di AI possono, per esempio, distinguere tra persone, animali e oggetti in movimento, riducendo drasticamente i falsi allarmi. Tuttavia, l’uso di queste tecnologie solleva ulteriori questioni di riservatezza, per la capacità di analisi comportamentale e per il crescente ricorso a sistemi di identificazione biometrica, attualmente vietati nel territorio italiano ma non all’estero.
L’adozione della rete 5G, inoltre, permetterà di avere a disposizione una connessione più stabile e veloce per i dispositivi di videosorveglianza, facilitando lo streaming in tempo reale e riducendo i tempi di latenza. Tuttavia, con l’aumento della velocità di connessione, cresce anche il rischio di abuso da parte dei titolari, che potrebbero essere facilmente indotti a sorvegliare familiari, dipendenti e collaboratori approfittando delle capacità dei sistemi e della banda larga.
Da ultimo, non va sottovalutata la capacità di reazione del sistema alle aggressioni esterne: già oggi è possibile implementare, in risposta ai rilevamenti del sistema di allarme, reazioni come la chiusura di saracinesche, il blocco di porte e finestre, l’emissione di fumo e suoni. Nell’immediato futuro potrebbero diventare operativi sistemi di dissuasione attiva, capaci di intrappolare il malvivente e di comprometterne, seppur temporaneamente, l’integrità fisica (è sufficiente pensare all’emissione di forti suoni e luci, capaci di disorientare l’intruso, o a fumogeni contenenti prodotti urticanti).
La crescente capacità di individuare le intenzioni dell’intruso potrebbe portare a ritenere legittimo l’uso di tali dispositivi, vista anche la possibilità di proporzionare la reazione del sistema in base alle effettive minacce incombenti sul patrimonio o sulle persone. Sarà quindi necessario rielaborare anche l’interpretazione delle norme attuali, che non tengono conto dell’innovazione tecnologica, né delle eventuali responsabilità concorrenti di produttori e installatori.
5 BEST PRACTICE PER LA PROTEZIONE DEI DATI NEGLI IMPIANTI
- Impostare PASSWORD sicure e personalizzate per ogni dispositivo
- Abilitare l’AUTENTICAZIONE A DUE FATTORI su tutti i sistemi che lo consentono, così da aggiungere un ulteriore livello di sicurezza
- AGGIORNARE REGOLARMENTE IL FIRMWARE E IL SOFTWARE dei dispositivi per prevenire intrusioni legate a vulnerabilità note
- Utilizzare CRITTOGRAFIA robusta per proteggere i dati trasmessi tra i dispositivi e il titolare, verso e dal cloud o dal sistema di archiviazione, oppure tra i vari sensori e dispositivi
- MONITORARE PERIODICAMENTE L’ACCESSO AI SISTEMI e mantenere un registro delle attività, in modo da rilevare eventuali tentativi di intrusione o comportamenti sospetti