96 / 100
Il tema delle implicazioni legali corre-
late alla interconnessione massiva di
dispositivi elettronici senzienti, feno-
meno noto ai più con l’espressione
Internet of Things (IoT), coniata per
la prima volta negli Stati Uniti già nel
1999 da Kevin Ashton, può essere af-
frontato da molteplici prospettive, sia
con riferimento a beni e diritti super
individuali, di rilevanza internazionale
che possono essere bersaglio o stru-
mento di condotte illecite; sia con ri-
ferimento a beni e diritti individuali
che possono essere attaccati e messi
in pericolo nello stesso scenario tec-
nologico, ma con modalità più subdole
e meno percebili.
Cyber weapons e Internet of Things
Dal punto di vista generale della pro-
tezione dello spazio cibernetico na-
zionale, si puó percepire l’Internet of
Things come una fonte di grave pe-
ricolo concreto per la sicurezza delle
istituzioni, dei servizi essenziali e della
stessa esistenza della democrazia di
un Paese.
Si tratta, in buona sostanza in un’ottica
‘militare’, di un vero e proprio eser-
cito di dispositivi, collegati a Internet
solo relativamente presidiati da ade-
guate ed efficaci misure di sicurezza,
in grado di generare traffico telema-
tico, indirizzabile a piacimento verso
un qualsiasi bersaglio.
Per comprendere nella loro attualità
la portata delle affermazioni appena
riferite, che a un approccio superficiale
potrebbero sembrare sproporziona-
te, mi pare sufficiente considerare le
dinamiche relative al recente attacco
DDos (Distributed Denial of Servi-
ces) messo a segno lo scorso otto-
bre, attraverso DynDNS (provider di
connettività) nei confronti di alcuni
dei maggiori player del mercato web
statunitense, tra i quali Amazon, Spo-
tify, Netflix,Twitter e altri.
Ció che in realtá maggiormente colpi-
sce della vicenda è il fatto che, come è
noto, l’attacco sia stato sferrato sfrut-
tando le vulnerabilità proprie, e in par-
ticolare la debolezza delle password
di default, non modificate dagli uten-
ti, di alcuni dispositivi interconnessi e
più in particolare di video camere di
sicurezza, in precedenza infettati con
il malware Mirai.
Valga il vero che sin dal 10 settembre
2015, quindi ben un anno prima del
verificarsi dell’attacco, l’Internet Crime
Compliant Center (IC3) del Federal
Bureau of Investigation (FBI), istituito
presso il Dipartimento di Giustizia de-
gli Stati Uniti d’America, aveva diffuso
uno specifico avviso di allerta. Il Nr.
I-091015-PSA, dal titolo “Internet of
Things poses opportunities for Cyber
Crime”, nel quale, prefigurava, tra gli
scenari possibili, proprio quello che
si poi si è verificato con la violazione
del protocollo UPnP (Universal Plug
and Play Protocol) utilizzato dalle te-
lecamere di sicurezza.
IoT & Privacy
Ma non è solo questo ció che pre-
occupa.
Come sopra accennato, accanto alla
lesione di beni superindividuali, un uso
sconsiderato, indiscriminato e di cer-
to illecito della tecnologia correlata
all’Internet of Things può condurre,
nell’attuale quadro normativo euro-
peo in materia di Data Protection, alla
violazione anche dei diritti dei singoli
individui, mettendo a rischio la sal-
vaguardia dell’anonimato e della vita
privata.
In argomento si puó leggere nel te-
sto del Parere nr. 8 del 16 settembre
2014, in materia di “Recenti sviluppi
INTERNET OF (THINKING) THINGS
SICUREZZA DELLE INFORMAZIONI E PRIVACY AL TEMPO DELL’INTERNET DELLE COSE,
PROFILI PROBLEMATICI E QUESTIONI APERTE.
94
marzo 2017
Giuseppe Serafini
Avvocato del Foro di Perugia
BSI-ISO/IEC 27001:2013 Lead Auditor;
Master Privacy Officer.
giuseppe.serafini@ordineavvocati.perugia.itIL PARERE DEL LEGALE
Gli oggetti indossabili tenuti
molto vicino agli interessati
rendono disponibili una serie di
altri identificativi quali indirizzi
MAC di altri dispositivi, numeri
IP, tipologia dei sistemi operativi
impiegati, applicazioni in uso,
che potrebbero essere utili per
generare un device fingerprint
che può permettere anche
l’identificazione non autorizzata
dell’interessato.