Dai vari ambiti dove l’Internet delle cose può essere applicato, quali Industrial IOT, Smartcities, domotica, wearables, auto connesse ed altro ancora, si comprende che lo scopo ultimo dell’IOT è quello di semplificarci la vita e darci informazioni sempre più accurate su usi, abitudini e comportamenti umani, sulla base delle quali poi, potranno essere forniti servizi e prodotti mirati. È altrettanto vero, però, che ai benefici corrisponde un prezzo da pagare che è quello associato ai potenziali rischi collegati alla privacy e alla sicurezza.

Imprese e persone comuni saranno chiamati a prendere coscienza del fatto che i potenziali rischi di violazione dei dati raccolti aumenteranno esponenzialmente. Dunque, il timore è quello che i dati inviati alle varie applicazioni tramite internet possono essere facilmente trasmessi all’esterno dell’area protetta dell’utente, con inevitabili ripercussioni negative se ciò dovesse accadere. Gli scenari problematici che si configurano nella raccolta dei dati sono quindi due, la “privacy” e la “sicurezza”. Il primo punto è una conseguenza dell’attività del monitoraggio, ad esempio se un sensore IoT produce dei dati, questi potrebbero essere relativi a persone e al loro utilizzo e la manipolazione di queste informazioni, ricadrebbe nel discusso campo della trasparenza e trattamento dei dati personali regolato dalla normativa “GDPR”. La sicurezza invece, è una conseguenza del controllo, ovvero, se un qualsiasi dispositivo può essere comandato a distanza, allora potrebbe anche essere attaccato da hacker informatici per fini criminali.

Ecco quindi che, parlando di privacy e sicurezza dei dati, entra in gioco la necessità di attrezzarsi con le giuste precauzioni per garantire il più elevato grado di protezione possibile. Ma da dove possiamo cominciare? Una buona strategia è quella di individuare i punti critici e le attività fondamentali dell’utente per poi applicare nuovi approcci finalizzati ad alzare il livello di sicurezza della rete, come la Security by Design (SbD) e la Privacy by Design (PbD). La SbD consiste nel progettare un sistema adottando come prima cosa, delle misure tecniche ed organizzative adeguate affinché si possano tutelare i dati da trattamenti illeciti, poi, altre misure basate su tecnologie che impediscono la violazione dei sistemi ICT, garantendo la stabilità delle infrastrutture dove vengono conservate le informazioni inviate e scambiate tra dispositivi IoT, computer, smartphone, tablet ma anche i data center delle aziende. Alcuni esempi sono i nuovi protocolli Internet (IPv6 successore dell’IPv4) che consentono di aumentare il numero di indirizzi IP a disposizione, i Big Data, il cloud computing e altro ancora. Invece, nel caso della PbD, il sistema di tutela dei dati personali, colloca l’utente al centro, indirizzando chi deve occuparsi della protezione dei dati, verso una tutela effettiva e non solo formale. Il principio su cui si basa tale approccio è che non è sufficiente che un sistema sia conforme alla norma se poi l’utente non è concretamente tutelato.

Pertanto, affinchè le misure utilizzate nel sistema PbD siano utili a tutelare i dati raccolti da trattamenti illegali, le misure da adottare nella progettazione devono riferirsi ad alcuni principi utili quali: Prevenire non correggere, i rischi devono essere valutati nella fase iniziale della progettazione, Privacy come impostazione di default, privacy incorporata nel progetto, massima funzionalità per rispettare tutte le esigenze; sicurezza durante tutto il ciclo del prodotto o servizio; visibilità e trasparenza di tutte le fasi del trattamento; centralità dell’utente, quindi procedure chiare e rapide per rispondere alle richieste di accesso.

La gestione della cybersecurity nel mondo dell’internet delle cose continuerà ad essere uno dei temi principali dei prossimi anni. È improbabile che emergerà a breve un unico metodo efficace e standardizzato data la varietà degli oggetti e dei sistemi. È quindi opportuno attrezzarsi sin da subito, non solo con soluzioni di sicurezza informatica su base tecnologica, ma soprattutto con una vera cultura ai giusti livelli che consenta una maggiore comprensione dei rischi cyber, ovvero elementi di conoscenza che, una volta individuati e condivisi, permettano di intraprendere azioni immediate utili a contrastare il pericolo.

Sandro Zilli
Responsabile Osservatorio Innovazione e Crescita Digitale AIDR