Il difficile rapporto tra social media, privacy e sicurezza

Gli attacchi piรน frequenti attraverso le piattaforme social sfruttano la condivisione di link malevoli che redirigono i visitatori su domini che ospitano dei codici malevoli, exploit kit, in grado di sfruttare delle falle nei principali software usati degli utenti . Sul fronte sicurezza utilizzare sempre software aggiornati per difendersi dalla maggior parte degli exploit, fare attenzione ai contenuti che accedono e ricondividono sulle piattaforme social. Di Emma Pietrafesa dal sito TECH ECONOMY del 24/03/2016
Secondo il Report annuale 2016 We are Social, presentato a gennaio, attualmente circa 3,4 miliardi di persone utilizzano Internet (nel 2015 erano 3 miliardi); la penetrazione sul totale della popolazione mondiale ha raggiunto il 46% rispetto al 42% del 2015. Di questi 3,4 miliardi di utenti Internet piรน di 2,3 miliardi sono quelli che hanno degli account social attivi (erano 2 milioni nel 2015); ciรฒ significa che il 75% delle persone che hanno iniziato a utilizzare Internet nellโ€™ultimo anno hanno contestualmente aperto anche un account social.

In Italia sono oltre 28 milioni le persone iscritte ad una piattaforma di social media, tra le varie piattaforme il primato รจ detenuto ancora una volta da Facebook, subito seguita da WhatsApp e Facebook Messenger (piattaforme della stessa azienda); da segnalare nellโ€™ultimo anno la crescita di Instagram che รจ passata dal 6% del 2015 al 12% questโ€™anno. Ciรฒ a livello di mercato significa che le aziende e brand hanno compreso che non possono non essere presenti su Facebook in Italia ma sopratutto che chi sta investendo su Instagram o investirร  nel corso dellโ€™anno sarร  in una posizione privilegiata rispetto alla concorrenza.

Quante foto condivise?
Ogni giorno oltre 350 milioni di foto vengono condivise dagli utenti di Facebook, a cui bisogna aggiungere le immagini postate su Flickr, Instagram, Google+, Tumblr o Pinterest. Non sempre รจ possibile verificarne lโ€™utilizzo corretto e non รจ un caso raro che un utente ricondivida una foto o un contenuto altrui senza averne il consenso, talvolta sfruttandola anche a fini commerciali o caricando online scatti fotografici eticamente discutibili o addirittura illegali. Del resto la nostra voglia di condivisione fa gola ai gestori dei social per vari motivi primo fra tutti il peso economico dei dati che consapevolmente o inconsapevolmente rilasciamo alle stesse piattaforme di cui utilizziamo i servizi online โ€œgratuitiโ€.

Questione di privacy?
Lโ€™avv. Francesco Paolo Micozzi, esperto di diritto dellโ€™informatica e delle nuove tecnologie, ci spiega che il business di oggi รจ rappresentano dalla raccolta e gestione dei nostri dati personali.

โ€œTutti i gestori di piattaforme social hanno un fine ultimo essenziale: ottenere ricavi fornendo agli utenti finali un prodotto gratuito. Ciรฒ potrebbe sembrare una contraddizione in termini se non si considerasse che la maggior parte dei ricavi si ottengono dalla pubblicitร  sugli stessi social network affollati da utenti che pensano che tutto ciรฒ che non pagano in denaro sia gratis. In realtร  gli utenti pagano profumatamente le piattaforme social. Non con denaro ma con dati personali. In cambio ottengono uno strumento che consente loro di stare in contatto, condividere sensazioni, immagini etc. Eโ€™ uno scambio simile a quel che avveniva nelle Americhe quando i Conquistadores ottenevano oro dagli Indios in cambio di specchietti e perline. Oggi lโ€™oro รจ rappresentato dai dati personaliโ€.

In questo quadro il discorso su privacy e social network va affrontato secondo Micozzi sotto tre diversi aspetti: da un lato quello legislativo/regolamentare, dallโ€™altro quello della piattaforma e, in ultimo (ma non per importanza ovviamente), quello degli utenti.

1) A livello normativo le cose si muovono piรน lentamente, ovviamente, e il legislatore europeo โ€” oltre che quelli nazionali โ€” si preoccupano di disciplinare il trattamento dei dati personali considerando lโ€™utente comune come una parte debole. Inoltre, in prospettiva futura, si stanno giร  approntando delle norme che terranno conto anche delle piรน recenti novitร  tecnologiche. Tuttavia tale lentezza dellโ€™iter normativo porta a introdurre delle misure che spesso sembrano superflue se non, addirittura, sorpassate. Eโ€™ il caso ad esempio della cosiddetta โ€œlegge cookiesโ€.

2) A livello delle piattaforme social la disciplina sul trattamento dei dati personali rappresenta piรน un ostacolo che un beneficio. In questo caso le modifiche introdotte (a cadenze talvolta molto frequenti) alle condizioni dโ€™uso della piattaforma spesso sono dettate da casi pratici che, volta per volta, i gestori delle piattaforme si trovano ad affrontare in sede di contenzioso.

3)Da un punto di vista dellโ€™utente comune, inoltre, posso notare come nel corso degli anni le campagne di sensibilizzazione su un corretto uso delle proprie informazioni personali stia sortendo effetti positivi. Resistono, purtroppo, alcune cattive abitudini come quelle legate alla pubblicazione di immagini di minorenni o di soggetti ripresi a loro insaputa, in situazioni imbarazzanti o alla diffusione di proprie informazioni potenzialmente pregiudizievoli, ad esempio, per una futura attivitร  lavorativa.

Del resto tutti i gestori di piattaforme social hanno un fine ultimo essenziale: ottenere ricavi fornendo agli utenti finali un prodotto gratuito. In realtร  gli utenti pagano profumatamente le piattaforme social: non con denaro ma con dati personali.

Questioni di sicurezza?
I social media sono indubbiamente uno strumento privilegiato di attacco per due motivi principali: consentono di raggiungere platee di utenti enormi, ed in secondo luogo consentono di farlo in maniera istantanea. A questo aggiungiamo che lโ€™attaccante sfrutta il concetto di โ€œfiduciaโ€ alla base delle reti sociali, per cui se un amico condivide un link probabilmente non si avranno remore a visitarlo e condividerlo. Abbiamo affrontato lโ€™argomento con Pierluigi Paganini, esperto internazionale di sicurezza informatica e responsabile del nostro canale Security Notes, che ha chiarito cosa si intende per metadato: ovvero un attributo relativo ad una informazione. Ad esempio, in una intercettazione telefonica abbiamo il contenuto della conversazione, lโ€™informazione, ed i metadati che sono lโ€™orario, la durata, i numeri di telefono usati dagli interlocutori, eccetera. Analogamente per un post pubblicato su un social network abbiamo il contenuto del post (i.e. immagine, testo) che rappresenta lโ€™informazione, mentre i metadati utili possono essere lโ€™orario di pubblicazione, numero di like, numero di condivisioni, oppure tutte le informazioni relative ad una immagine pubblicata, come il dispositivo che lโ€™ha effettuata piuttosto che le coordinate geografiche del luogo dello scatto.

โ€œEโ€™ evidente โ€“ sostiene Paganini โ€“ che queste informazioni rappresentino un tesoro per chiunque voglia profilare le nostre abitudini online, comprendere i nostri comportamenti e persino influenzarli. I metadati sono informazioni appetibili per chiunque utilizzi il web: dalle agenzie di intelligence alle compagnie che gestiscono campagne pubblicitarieโ€.

Gli attacchi piรน frequenti attraverso le piattaforme social sfruttano la condivisione di link malevoli che redirigono i visitatori su domini che ospitano dei codici malevoli, exploit kit, in grado di sfruttare delle falle nei principali software usati degli utenti (browser, Adobe Reader, Java). In questo modo รจ possibile infettare i PC delle vittime con codici di vario tipo, come spyware e ransomware.
โ€œUnโ€™altra tipologia di attacco โ€“ prosegue Paganini โ€“ molto comune รจ il phishing, che si ha quando lโ€™utente รจ indirizzato verso pagine che sono una copia esatta di siti legittimi. Le informazioni raccolte da queste pagine sono utilizzate dallโ€™attaccante per prendere possesso degli account della vittima ed agire per suo conto con diverse finalitร . Possiamo dire che le opportunitร  per lโ€™attaccante sono limitate solo dalla sua fantasiaโ€.

Sfera privata tutelata o no?
Appare evidente che la tutela della sfera privata diviene sempre piรน difficile nellโ€™attuale mondo iperconnesso e si scontra con diverse criticitร .

La maggior parte dei social network si auto-concedono (essendo contratti per adesione in cui la facoltร  di modifica dellโ€™utente รจ nulla) una licenza permanente e non esclusiva sui nostri contenuti. Possono, cosรฌ, riutilizzarli senza autorizzazione, ovviamente nei limiti di quanto il contratto con lโ€™utente e la normativa di riferimento stabiliscono.

Una debolezza rivelata da Micozzi รจ quella relativa alla attuale situazione sul trasferimento transfrontaliero di dati personali: basti pensare alla difficoltร  di redazione del cosiddetto Privacy Shield (che dovrebbe andare a coprire il buco lasciato aperto dalla decisione della CEDU sul caso Schrems, che ha dichiarato invalido il regime del Safe Harbour). Oppure si pensi alla scoperta fatta dalla Commission Nationale de lโ€™Informatique et des Liberteโ€™s (Cnil) francese secondo la quale Facebook gestirebbe in modo improprio non solo i dati dei suoi iscritti, ma anche quelli di utenti internet senza un account al social, che capitano sui contenuti della piattaforma tramite ricerche online. Il Garante francese per i dati personali ha dato tempo tre mesi al social di Mark Zuckerberg per adeguarsi alle normative locali, pena una possibile multa fino a 150mila euro. Lโ€™autoritร  francese, inoltre, ha chiesto a Facebook di ottenere il consenso esplicito degli utenti per la raccolta di informazioni sensibili come il credo religioso, lโ€™orientamento sessuale o quello politico e vuole che Facebook sospenda lโ€™invio di dati degli utenti negli Stati Uniti sulla base del decaduto โ€œSafe Harbourโ€ invalidato dalla Corte Ue a ottobre scorso.

Sul fronte sicurezza Paganini suggerisce di utilizzare sempre software aggiornati per difendersi dalla maggior parte degli exploit, fare attenzione ai contenuti che accedono e ricondividono sulle piattaforme social ed infine prestare attenzione quando giunge una richiesta di contatto da un utente di un social network.

Malgrado la complessitร  e delicatezza delle questioni affrontate, le stesse piattaforme social stanno cercando di tenere il passo con la continue crescenti esigenze di privacy e sicurezza (e quindi si spera di maggiore consapevolezza) da parte dei propri utenti migliorando alcune funzionalitร  e policy in tal senso; รจ recente la funzionalitร  di ripulitura by default dei metadati sensibili (indicazioni longitudine e latitudine, dispositivo dellโ€™utente, etc) delle foto caricate dagli utenti su Facebook e Twitter da parte delle stesse piattaforme.

Emma Pietrafesa
Ricercatrice non strutturata presso Enti di ricerca e Universitร , Comunicatrice. Lavora nel settore delle attivitร  di ricerca e comunicazione da oltre 10 anni, con focus su: ICT e socialmedia ed impatto sugli stili di vita, tematiche di genere, salute e sicurezza sul lavoro, cyberharassment e cybersafety. Eโ€™ Responsabile del Coordinamento editoriale della Rivista accademica RES PUBLICA. Fa parte del Direttivo di Stati Generali dellโ€™Innovazione (SGI). Al suo attivo (italiano, francese ed inglese) oltre 40 pubblicazioni tra articoli, saggi, monografie e cura redazionale di pubblicazioni scientifiche e accademiche. Docente e relatrice in convegni e seminari di settore. Scrive per testate online nel settore ICT e digitale: TechEconomy, Girl Geek Life.