Il difficile rapporto tra social media, privacy e sicurezza
Gli attacchi più frequenti attraverso le piattaforme social sfruttano la condivisione di link malevoli che redirigono i visitatori su domini che ospitano dei codici malevoli, exploit kit, in grado di sfruttare delle falle nei principali software usati degli utenti . Sul fronte sicurezza utilizzare sempre software aggiornati per difendersi dalla maggior parte degli exploit, fare attenzione ai contenuti che accedono e ricondividono sulle piattaforme social. Di Emma Pietrafesa dal sito TECH ECONOMY del 24/03/2016
Secondo il Report annuale 2016 We are Social, presentato a gennaio, attualmente circa 3,4 miliardi di persone utilizzano Internet (nel 2015 erano 3 miliardi); la penetrazione sul totale della popolazione mondiale ha raggiunto il 46% rispetto al 42% del 2015. Di questi 3,4 miliardi di utenti Internet più di 2,3 miliardi sono quelli che hanno degli account social attivi (erano 2 milioni nel 2015); ciò significa che il 75% delle persone che hanno iniziato a utilizzare Internet nell’ultimo anno hanno contestualmente aperto anche un account social.
In Italia sono oltre 28 milioni le persone iscritte ad una piattaforma di social media, tra le varie piattaforme il primato è detenuto ancora una volta da Facebook, subito seguita da WhatsApp e Facebook Messenger (piattaforme della stessa azienda); da segnalare nell’ultimo anno la crescita di Instagram che è passata dal 6% del 2015 al 12% quest’anno. Ciò a livello di mercato significa che le aziende e brand hanno compreso che non possono non essere presenti su Facebook in Italia ma sopratutto che chi sta investendo su Instagram o investirà nel corso dell’anno sarà in una posizione privilegiata rispetto alla concorrenza.
Quante foto condivise?
Ogni giorno oltre 350 milioni di foto vengono condivise dagli utenti di Facebook, a cui bisogna aggiungere le immagini postate su Flickr, Instagram, Google+, Tumblr o Pinterest. Non sempre è possibile verificarne l’utilizzo corretto e non è un caso raro che un utente ricondivida una foto o un contenuto altrui senza averne il consenso, talvolta sfruttandola anche a fini commerciali o caricando online scatti fotografici eticamente discutibili o addirittura illegali. Del resto la nostra voglia di condivisione fa gola ai gestori dei social per vari motivi primo fra tutti il peso economico dei dati che consapevolmente o inconsapevolmente rilasciamo alle stesse piattaforme di cui utilizziamo i servizi online “gratuiti”.
Questione di privacy?
L’avv. Francesco Paolo Micozzi, esperto di diritto dell’informatica e delle nuove tecnologie, ci spiega che il business di oggi è rappresentano dalla raccolta e gestione dei nostri dati personali.
“Tutti i gestori di piattaforme social hanno un fine ultimo essenziale: ottenere ricavi fornendo agli utenti finali un prodotto gratuito. Ciò potrebbe sembrare una contraddizione in termini se non si considerasse che la maggior parte dei ricavi si ottengono dalla pubblicità sugli stessi social network affollati da utenti che pensano che tutto ciò che non pagano in denaro sia gratis. In realtà gli utenti pagano profumatamente le piattaforme social. Non con denaro ma con dati personali. In cambio ottengono uno strumento che consente loro di stare in contatto, condividere sensazioni, immagini etc. E’ uno scambio simile a quel che avveniva nelle Americhe quando i Conquistadores ottenevano oro dagli Indios in cambio di specchietti e perline. Oggi l’oro è rappresentato dai dati personali”.
In questo quadro il discorso su privacy e social network va affrontato secondo Micozzi sotto tre diversi aspetti: da un lato quello legislativo/regolamentare, dall’altro quello della piattaforma e, in ultimo (ma non per importanza ovviamente), quello degli utenti.
1) A livello normativo le cose si muovono più lentamente, ovviamente, e il legislatore europeo — oltre che quelli nazionali — si preoccupano di disciplinare il trattamento dei dati personali considerando l’utente comune come una parte debole. Inoltre, in prospettiva futura, si stanno già approntando delle norme che terranno conto anche delle più recenti novità tecnologiche. Tuttavia tale lentezza dell’iter normativo porta a introdurre delle misure che spesso sembrano superflue se non, addirittura, sorpassate. E’ il caso ad esempio della cosiddetta “legge cookies”.
2) A livello delle piattaforme social la disciplina sul trattamento dei dati personali rappresenta più un ostacolo che un beneficio. In questo caso le modifiche introdotte (a cadenze talvolta molto frequenti) alle condizioni d’uso della piattaforma spesso sono dettate da casi pratici che, volta per volta, i gestori delle piattaforme si trovano ad affrontare in sede di contenzioso.
3)Da un punto di vista dell’utente comune, inoltre, posso notare come nel corso degli anni le campagne di sensibilizzazione su un corretto uso delle proprie informazioni personali stia sortendo effetti positivi. Resistono, purtroppo, alcune cattive abitudini come quelle legate alla pubblicazione di immagini di minorenni o di soggetti ripresi a loro insaputa, in situazioni imbarazzanti o alla diffusione di proprie informazioni potenzialmente pregiudizievoli, ad esempio, per una futura attività lavorativa.
Del resto tutti i gestori di piattaforme social hanno un fine ultimo essenziale: ottenere ricavi fornendo agli utenti finali un prodotto gratuito. In realtà gli utenti pagano profumatamente le piattaforme social: non con denaro ma con dati personali.
Questioni di sicurezza?
I social media sono indubbiamente uno strumento privilegiato di attacco per due motivi principali: consentono di raggiungere platee di utenti enormi, ed in secondo luogo consentono di farlo in maniera istantanea. A questo aggiungiamo che l’attaccante sfrutta il concetto di “fiducia” alla base delle reti sociali, per cui se un amico condivide un link probabilmente non si avranno remore a visitarlo e condividerlo. Abbiamo affrontato l’argomento con Pierluigi Paganini, esperto internazionale di sicurezza informatica e responsabile del nostro canale Security Notes, che ha chiarito cosa si intende per metadato: ovvero un attributo relativo ad una informazione. Ad esempio, in una intercettazione telefonica abbiamo il contenuto della conversazione, l’informazione, ed i metadati che sono l’orario, la durata, i numeri di telefono usati dagli interlocutori, eccetera. Analogamente per un post pubblicato su un social network abbiamo il contenuto del post (i.e. immagine, testo) che rappresenta l’informazione, mentre i metadati utili possono essere l’orario di pubblicazione, numero di like, numero di condivisioni, oppure tutte le informazioni relative ad una immagine pubblicata, come il dispositivo che l’ha effettuata piuttosto che le coordinate geografiche del luogo dello scatto.
“E’ evidente – sostiene Paganini – che queste informazioni rappresentino un tesoro per chiunque voglia profilare le nostre abitudini online, comprendere i nostri comportamenti e persino influenzarli. I metadati sono informazioni appetibili per chiunque utilizzi il web: dalle agenzie di intelligence alle compagnie che gestiscono campagne pubblicitarie”.
Gli attacchi più frequenti attraverso le piattaforme social sfruttano la condivisione di link malevoli che redirigono i visitatori su domini che ospitano dei codici malevoli, exploit kit, in grado di sfruttare delle falle nei principali software usati degli utenti (browser, Adobe Reader, Java). In questo modo è possibile infettare i PC delle vittime con codici di vario tipo, come spyware e ransomware.
“Un’altra tipologia di attacco – prosegue Paganini – molto comune è il phishing, che si ha quando l’utente è indirizzato verso pagine che sono una copia esatta di siti legittimi. Le informazioni raccolte da queste pagine sono utilizzate dall’attaccante per prendere possesso degli account della vittima ed agire per suo conto con diverse finalità. Possiamo dire che le opportunità per l’attaccante sono limitate solo dalla sua fantasia”.
Sfera privata tutelata o no?
Appare evidente che la tutela della sfera privata diviene sempre più difficile nell’attuale mondo iperconnesso e si scontra con diverse criticità.
La maggior parte dei social network si auto-concedono (essendo contratti per adesione in cui la facoltà di modifica dell’utente è nulla) una licenza permanente e non esclusiva sui nostri contenuti. Possono, così, riutilizzarli senza autorizzazione, ovviamente nei limiti di quanto il contratto con l’utente e la normativa di riferimento stabiliscono.
Una debolezza rivelata da Micozzi è quella relativa alla attuale situazione sul trasferimento transfrontaliero di dati personali: basti pensare alla difficoltà di redazione del cosiddetto Privacy Shield (che dovrebbe andare a coprire il buco lasciato aperto dalla decisione della CEDU sul caso Schrems, che ha dichiarato invalido il regime del Safe Harbour). Oppure si pensi alla scoperta fatta dalla Commission Nationale de l’Informatique et des Liberte’s (Cnil) francese secondo la quale Facebook gestirebbe in modo improprio non solo i dati dei suoi iscritti, ma anche quelli di utenti internet senza un account al social, che capitano sui contenuti della piattaforma tramite ricerche online. Il Garante francese per i dati personali ha dato tempo tre mesi al social di Mark Zuckerberg per adeguarsi alle normative locali, pena una possibile multa fino a 150mila euro. L’autorità francese, inoltre, ha chiesto a Facebook di ottenere il consenso esplicito degli utenti per la raccolta di informazioni sensibili come il credo religioso, l’orientamento sessuale o quello politico e vuole che Facebook sospenda l’invio di dati degli utenti negli Stati Uniti sulla base del decaduto “Safe Harbour” invalidato dalla Corte Ue a ottobre scorso.
Sul fronte sicurezza Paganini suggerisce di utilizzare sempre software aggiornati per difendersi dalla maggior parte degli exploit, fare attenzione ai contenuti che accedono e ricondividono sulle piattaforme social ed infine prestare attenzione quando giunge una richiesta di contatto da un utente di un social network.
Malgrado la complessità e delicatezza delle questioni affrontate, le stesse piattaforme social stanno cercando di tenere il passo con la continue crescenti esigenze di privacy e sicurezza (e quindi si spera di maggiore consapevolezza) da parte dei propri utenti migliorando alcune funzionalità e policy in tal senso; è recente la funzionalità di ripulitura by default dei metadati sensibili (indicazioni longitudine e latitudine, dispositivo dell’utente, etc) delle foto caricate dagli utenti su Facebook e Twitter da parte delle stesse piattaforme.
Emma Pietrafesa
Ricercatrice non strutturata presso Enti di ricerca e Università, Comunicatrice. Lavora nel settore delle attività di ricerca e comunicazione da oltre 10 anni, con focus su: ICT e socialmedia ed impatto sugli stili di vita, tematiche di genere, salute e sicurezza sul lavoro, cyberharassment e cybersafety. E’ Responsabile del Coordinamento editoriale della Rivista accademica RES PUBLICA. Fa parte del Direttivo di Stati Generali dell’Innovazione (SGI). Al suo attivo (italiano, francese ed inglese) oltre 40 pubblicazioni tra articoli, saggi, monografie e cura redazionale di pubblicazioni scientifiche e accademiche. Docente e relatrice in convegni e seminari di settore. Scrive per testate online nel settore ICT e digitale: TechEconomy, Girl Geek Life.