CREDENZIALI, FOLLOWER E INFORMAZIONI SANITARIE MERCIFICATI NELL’AREA OSCURA DELLA RETE
Pagine a cura di Antonio Ciccia Messina
Nel web bazar si vendono e si comprano carte di credito, credenziali bancarie, passaporti. E non solo. Se si vuole commissionare un attacco internet si può scegliere il livello di efficacia distruttiva: il listino contempla aree geografiche preferite e ci sono opzioni per i vari portafogli.
Però qualcuno può essere interessato a dati sanitari e anche in questo caso non è un problema: nel web oscuro si trova anche questo. Oppure, ancora, si può desiderare di avere un pacchetto completo di una identità da spendere nelle relazioni sul web e c’è solo l’imbarazzo della scelta.
Tutto questo si trova nel «dark web» (per distinguerlo dal clear web) e, più, in fondo nel deep web. Siamo di fronte a mondi virtuali paralleli che al momento non sono intimoriti dalle leggi e dalle autorità e che provocano danni all’economia planetaria per un importo stimabile in 6 mila miliardi di dollari nel 2021. Per avere una panoramica completa e anche più listini organizzati per fascia di prodotto si può consultare https://www.privacyaffairs.com/dark-web-price-index-2020/. In questa pagina web si può trovare un’analisi dei prezzi del dark web, aggiornata a ottobre 2020, con categorie che vanno dalla carta di credito clonata al conto Paypal, hacking di profili social network, malware e attacchi DDOs destinati a interrompere servizi web. La privacy è messa a dura prova se il web, sotto la punta dell’iceberg, è una giungla in cui i dati personali sono solo merce di scambio.
Ma la privacy è anche messa a dura prova se si passa a un settore del tutto diverso cioè al settore delle neuroscienze. In quest’area emerge che i dati personali non sono solo quelli che l’interessato fornisce dichiarandoli o scrivendoli, ma sono anche quelli che si ricavano leggendo il cervello. Si parla di neurodati, utilizzabili potenzialmente per controllare la volontà della persona e spaventosi per i problemi che aprono sul piano etico e legale.
All’ordine del giorno del dibattito pubblico, senza aspettarsi tempi lunghi, si porrà il problema se le neuroprove si possono usare in un processo, ad esempio per stabilire la capacità di intendere e volere, così come si deve stabilire se possono e con che limiti essere usate dal datore di lavoro o dall’imprenditore per profilare i consumatori. Nicola Fabiano, presidente dell’Autorità Garante per la protezione dei dati personali di San Marino, affronta questi temi nel suo volume Gdpr & privacy: consapevolezza e opportunità. L’approccio con il Data protection and privacy relationships model (Dappremo).
Per la corretta impostazione di questo e altri temi della protezione dei dati, Fabiano propone un modello basato su un approccio matematico (Dappremo), che consente di raffinare e rendere scientifica l’analisi e l’applicazione della materia.
Entrambe le prospettive (dark web e neurodati) evidenziano la necessità di verificare se e come le persone e i loro dati siano protetti e se gli strumenti attuali siano efficaci.
Come tutelarsi. Nell’ambito della protezione dei dati, gli strumenti di tutela si abbinano con la responsabilizzazione di chi usa i dati. Una prospettiva, quest’ultima, di cui certamente non si preoccupa chi si propone scopi delinquenziali.
Quanto alla responsabilizzazione, il Gdpr (regolamento europeo sulla protezione dei dati n. 2016/679) impone al titolare del trattamento di rispettare i principi generali del trattamento e di osservare la privacy quale impostazione predefinita dei propri strumenti (privacy by default) e di porsi il problema del rispetto della privacy fin dalla progettazione della sua attività (privacy by design). Quanto ai principi, l’articolo 5 del Gdpr stabilisce che il trattamento deve essere corretto, oltre che lecito. Questo significa che bisogna rispettare anche requisiti di etica e moralità delle operazioni che si compiono. Sono canoni che assumono un particolare rilievo quando si parla di dati estratti a mezzo di tecniche in grado di rilevare l’impronta del cervello. Il medesimo articolo 5 impone che i trattamenti rispondano a criteri di sicurezza.
È indispensabile che imprese e pubbliche amministrazioni osservino questi criteri di sicurezza: è una via per prevenire l’afflusso della merce che si vende sugli scaffali del dark web. L’articolo 5 vale per regolamentare quel che succede prima di un fatto negativo. Ma è evidente che si tratta di un principio generale la cui formulazione rischia di diventare inutilizzabile o per eccessiva genericità: urge che si scrivano le norme di dettaglio, meglio se ina dimensione internazionale. Dopo un fatto negativo certamente si può fare un reclamo al Garante oppure si può denunciare un reato all’autorità giudiziaria, ma il risultato sarà un pugno di mosche se non si individua un responsabile, nascosto dietro la coltre del web sconosciuto.
Alert e siti dedicati per scovare le violazioni
Idati delle persone possono già essere immessi nel circuito di vendita del dark web. E si possono dare suggerimenti a chi volesse controllare se ha subito una violazione di dati. Ad esempio, Jacopo Giunta, avvocato esperto di protezione dei dati, vicepresidente dell’associazione Persone & Privacy, comincia a snocciolare alcune possibilità: «per verificare se un account di posta elettronica sia stato vittima di una violazione si può fare un controllo sul sito https://haveibeenpwned.com/. Per controllare se siamo vittime di attacco cyber eseguire la ricerca tramite indicazione della mail, nome e cognome e addirittura indirizzo fisico, una fonte utilizzabile è https://dehashed.com/. Infine https://ghostproject.fr segnala anche parte della password associata all’indirizzo mail violato».
Ci sono, poi, altre risorse, che vengono illustrate da Paolo Dal Checco, consulente informatico forense esperto di indagini su dark web: «un suggerimento aggiuntivo, che non costa nulla ma dovrebbe essere un punto fermo di chiunque, è attivare un alert sul proprio nome, sul proprio cellulare sulla propria email, in modo che non appena dovesse comparire uno dei tre elementi online (nel clear web, ovviamente) saremmo i primi a esserne informati. Ottimi e gratuiti, per questo tipo di notifiche, i servizi Google Alert e TalkWalker Alert, tra l’altro molto più veloce di Google nello scovare informazioni sui social network. Anche un alert sui Pastebin (pagina visibile solo dopo che ci si è autenticati) è un ottimo campanello di allarme in caso di data leak. Per il dark web, non ci sono metodi automatici altrettanto semplici ma una ricerca ogni tanto sul motore di ricerca Ahmia può essere comunque un buon compromesso».
Il problema, però, è che non c’è sufficiente consapevolezza dei pericoli che si corrono quando si collega in rete. Sul punto, Dal Checco sottolinea: «La gente non è consapevole in generale dei pericoli che corre quando qualcuno ha intenzione di sfruttarla per truffe, estorsioni, furti o altri reati. Nel mondo digitale, e in particolare nel sottoinsieme del dark web dove le identità non sono palesate, questi rischi si elevano all’ennesima potenza, nascondendo spesso dietro contatti, mail, chat, messaggi di testo un secondo fine che tipicamente punta a soldi o identità».
Viene immediatamente da chiedersi se la disciplina della privacy e della protezione dei dati sia un baluardo sufficiente. Secondo Dal Checco è certamente un buon passo in avanti ma soltanto nel mondo «lecito» e trasparente delle aziende o della pubblica amministrazione, chiaramente la criminalità non si sente poi così penalizzata dalla legislazione per quanto indirettamente ne patisca le conseguenze: una maggior attenzione al trattamento dei dati, alla loro riservatezza e protezione sottrae risorse ai delinquenti che dovranno maggiormente ingegnarsi per ottenere materiale con cui portare avanti i loro affari. E il giro d’affari stordisce, visto che, anche se non si può calcolare un Pil del dark web, si può stimare il danno per l’economia legale: per il 2021 la cifra di riferimento è sei mila miliardi di dollari. Dall’analisi bisogna passare alle strategie di reazione. Sul punto Dal Checco riferisce che la consapevolezza degli utenti è la prima difesa, che compensa spesso l’ingenuità o semplicemente la poca conoscenza. La tecnologia può proteggere fino a un certo punto, il resto devono farlo le persone con il loro comportamento attento nel rispondere alle mail, agli sms, nell’accedere a siti web, utilizzare sempre la stessa password, connettersi a link ricevuti da sconosciuti, e così via.
© Riproduzione riservata
Fonte:
