Article. What i write

Viviamo in una società iperconnessa e smart. Dalle smart TV nel salotto alle smart factory che stanno rivoluzionando l'industria, fino ai servizi cloud che archiviano i nostri ricordi, tutto è diventato istantaneo, intelligente e "a portata di clic". Questa incredibile comodità, resa possibile dalla capacità di acquisire, analizzare e condividere i dati, ha senza dubbio migliorato le nostre vite. Ma dietro questa facciata di efficienza, abbiamo accettato una perdita di controllo sui nostri dati che non è solo una percezione, ma un fatto concreto. Siamo sicuri di comprenderne le conseguenze?

Istintivamente, tendiamo a pensare che un sistema più "intelligente" sia anche più sicuro. In parte è vero: i grandi provider ci offrono una protezione di base (contro virus e malware) molto più solida di quella che potremmo garantire da soli. Tuttavia, in un ecosistema così complesso e interconnesso, questa intelligenza può rivelarsi un'arma a doppio taglio. L'anello debole diventa il punto d'attacco e oggi può essere qualsiasi cosa, da un'applicazione per smartphone a un frigorifero connesso. Una volta che un malintenzionato ha trovato una porta d'ingresso, l'intelligenza e l'interconnessione del sistema, progettate per ottimizzare i processi, possono essere sfruttate per amplificare l'attacco in modo esponenziale.

“In un sistema così iperconnesso e intelligente, l'intelligenza e l'iperconnettività si ritorcono chiaramente contro, perché se una volta una possibile minaccia si fermava lì, oggi può proseguire e diffondersi.”

Spesso ci viene detto che i nostri dati vengono resi "anonimi" prima di essere analizzati. Questo ci fa sentire al sicuro, ma la realtà è ben diversa. Eliminare semplicemente l'identità diretta, come il nome e il cognome, da un insieme di dati non li rende affatto anonimi. Esistono infatti i cosiddetti "quasi-identificatori", informazioni apparentemente innocue (come l'età, il codice postale o la professione) che, se correlate a dati provenienti da diverse fonti, possono consentire di risalire con precisione all'identità di una persona. Ma il rischio è ancora più profondo: non si tratta solo di alcuni campi specifici. Come sottolineano gli esperti, qualsiasi informazione in comune tra due insiemi di dati diversi può essere sufficiente a creare un collegamento e smascherare l'identità di una persona.

“Eliminare l'identità dei dati non significa renderli anonimi: qualsiasi informazione in comune tra le fonti dei dati mi permette di effettuare un collegamento che può far risalire all'identità del mio rispondente.”

Affidiamo ai provider cloud i nostri file, le nostre e-mail e le nostre foto, confidando nella loro sicurezza. La storia, però, è piena di casi in cui i dati affidati ai provider sono stati oggetto di intrusioni. Tuttavia, il problema più profondo non riguarda solo la minaccia esterna, ma un compromesso fondamentale e inevitabile: quello tra funzionalità e confidenzialità. Per offrirci servizi "smart", come cercare una parola in un'e-mail, analizzare i dati o organizzare le foto per soggetto, il provider deve poter leggere i nostri dati. Questo crea un dilemma irrisolvibile:

• Se il provider possiede la chiave per decifrare i dati, il servizio funziona, ma le nostre informazioni non sono più confidenziali nei suoi confronti.

• Se la chiave di cifratura è custodita solo da noi, i dati sono al sicuro, ma la maggior parte delle funzionalità "intelligenti" non funziona.

“Questa dinamica si traduce in una perdita di controllo, non solo percepita, ma anche effettiva, sui nostri beni più preziosi.”

Nella vita di tutti i giorni siamo abituati a pensare che "più è meglio". Se una serratura è sicura, due lo saranno ancora di più. Nel mondo della cybersicurezza, però, questa logica non solo non è valida, ma può addirittura rivelarsi controproducente. Combinare diverse tecniche di protezione non garantisce un aumento della sicurezza complessiva. Anzi, l'interazione tra sistemi complessi può creare nuove vulnerabilità impreviste. Immaginate, per esempio, di combinare un sofisticato sistema di crittografia dei dati con un sistema di backup automatico. Se l'interazione tra i due sistemi non è progettata alla perfezione, il sistema di backup potrebbe salvare, per errore, una copia temporanea della chiave di crittografia in un file di log non protetto, creando una vulnerabilità che non si verificherebbe se i due sistemi fossero utilizzati singolarmente.

“La somma delle due in sicurezza non dà mai il massimo; nella somma, magari dà qualcosa in meno.”

La minaccia più grande per la sicurezza dei nostri dati non proviene dall'hacker con competenze da film o dall'algoritmo ultra-sofisticato. La minaccia più grande è la nostra stessa mancanza di consapevolezza. Pensare che i rischi non esistano o che siano un problema di qualcun altro (il provider, il tecnico IT) ci rende l'anello debole dell'intera catena. L'approccio corretto è quello della "security and privacy by design", ovvero una consapevolezza dei problemi e una competenza di base che devono partire da ciascuno di noi. La sicurezza non è un prodotto che si può acquistare, ma un processo culturale che deve essere costruito.

“Se penso che non ci siano rischi, in realtà il rischio sono io, sono io l'anello debole di tutto il sistema.”

Gli avanzamenti tecnologici che caratterizzano la nostra società sono potenti e apportano benefici economici e sociali innegabili. Ben vengano. Tuttavia, non possiamo permetterci di essere utenti ingenui. La vera protezione nell'era digitale non deriva dall'avere più tecnologia, ma dall'avere più consapevolezza, più competenza e un radicale cambio di mentalità. Non si tratta di vivere nella paura, ma di agire con cognizione di causa.

La prossima volta che userai un servizio "smart", non ti chiederai solo cosa può fare per te, ma anche cosa sta facendo di te.