L’obiettivo finale della sicurezza informatica è proteggere le organizzazioni e gli individui, attraverso la protezione dei loro sistemi e reti.
Il fattore umano è l’elemento chiave della catena delle garanzie di sicurezza e, allo stesso tempo, il bene finale da tutelare. Tuttavia, se le informazioni personali di ciascun individuo sono esposte, saranno vulnerabili agli attacchi di ingegneria sociale mirati specificatamente alle loro debolezze. In questo modo, sarà raggiunto il cuore dell’organizzazione e dei singoli, aggirando le protezioni tecnologiche.
Dobbiamo quindi ricordarci che la sicurezza informatica non è fine a se stessa, ma è un mezzo per proteggere organizzazioni ed individui.
Le misure di sicurezza possono essere di diverso tipo: organizzative, legali e tecniche e dietro di loro ci sono persone, che progettano, installano, selezionano, configurano, attivano/disattivano, utilizzano, rispettano e controllano. Pertanto le informazioni personali (dati, metadati, ambiente sociale e famigliare, impronte digitali, chiavi crittografiche, ecc.) degli individui, dietro le misure di sicurezza, diventano una delle loro principali vulnerabilità.
Solo nel corso del 2020, l’85% delle violazioni tecnologiche ha coinvolto il fattore umano.
La realtà mostra quindi che il modo più semplice per compromettere un’organizzazione, è convincerla ad “aprire” le porte agli intrusi dall’interno, o meglio ancora, a eseguire direttamente le azioni desiderate da chi vuol comprometterla. Per raggiungere questo obiettivo sono state sviluppate tecniche di ingegneria sociale.
L’ingegneria sociale è l’azione di ingannare o ricattare una persona, facendogli rilevare informazioni o intraprendendo un’azione che può essere utilizzata per compromettere o influenzare negativamente un sistema o, in definitiva, un’organizzazione o uno Stato.
Esistono molte tecniche di ingegneria sociale: dall’estorsione palese al pretesto, al phishing, al quid pro quo, all’esca, allo smishing, al vishing, all’agricoltura, alla caccia, alla caccia alle balene, allo sfruttamento dei social network e così via. Tecniche di bassa complessità tecnologica ma con raffinatezza psicologia e sociologica crescente.
Gli attacchi possono essere semplici, cioè utilizzare solo i pregiudizi cognitivi di base inerenti alla natura umana. In questi casi il successo viene spesso raggiunto attraverso consegne di massa, nella speranza che una piccola percentuale di vittime cada nella trappola. Sebbene molti di questi siano mirati alla frode e il loro impatto sia limitato all’ambiente del singolo individuo, alcuni possono avere gravi ripercussioni sull’organizzazione o sulla società.
Gli attacchi più pericolosi saranno quelli adattati alle peculiarità di ciascun individuo.
Per fare ciò è necessario raccogliere informazioni specifiche su ciascun individuo, al di là di quello che può essere nome, indirizzo, numero di conto e carta, telefono, email, ecc. e concentrarsi sui suoi punti deboli, valutati in base al loro acquisto profilo, geolocalizzazione, credenze valori, paure e desideri e, in breve, la loro impronta digitale e il loro profilo.
Prima delle digitalizzazione di massa, questa raccolta di informazioni doveva essere focalizzata su individui chiave in un organizzazione target, ma oggigiorno può essere effettuata in modo massiccio sull’intera popolazione.
Questo concetto non è una novità, lo è il livello potenziale di vulnerabilità che sta raggiungendo l’ampia raccolta di dati, su tutti gli ambiti del comportamento personale e collettivo, con granularità, interoperabilità e fruibile da soggetti, sia privati che pubbliche amministrazioni.
Ovviamente qualsiasi organizzazione cercherà di proteggere i dati che potrebbero rendere vulnerabile il suo direttore generale, COO, CEO, CIO, CISO o qualsiasi risorsa umana chiave per la sicurezza dell’entità (in breve quasi tutto il suo personale). Tuttavia tutti questi ruoli sono occupati da persone che, non importa quanto siano importanti per l’organizzazione, sono semplicemente clienti o utenti di social network, società finanziarie, assicurative o di marketing, assistenza sanitaria, enti locali, fornitori, piattaforme di contenuti ecc.
La protezione dei dati trascende quindi i confini dell’organizzazione e ha un impatto sull’individuo e sulla società.
In tali entità di cui siamo clienti, si verificherà l’accumulo e l’accesso a dati provenienti da diversi ambiti della vita privata, la fuga di tali informazioni, violazioni dei dati personali, l’uso non etico o direttamente illecito di set di dati che, insieme alle risorse di elaborazione e l’analisi massiva dei dati, consentono la profilazione automatica, la generazione di informazioni chiavi sulle vulnerabilità di ciascun soggetto e, quindi, dell’organizzazione o delle organizzazioni di cui fa parte.
Nella misura in cui i principi di limitazione delle finalità, conservazione dei dati e limitazione della comunicazione, minimizzazione e responsabilità proattiva non vengono applicati al trattamento dei dati personali, o la protezione dei dati non è implementata per impostazione predefinita e per progettazione, la perdita della privacy renderà le persone vulnerabili obiettivi. In questo modo, l’entità o organizzazione in cui si trovano, sarà trascinata nell’insicurezza.
In questi casi non sarà più necessario compromettere i sistemi per raggiungere lo scopo dell’attaccante. Quando la privacy, l’intimità o il libero arbitrio degli individui sono compromessi o semplicemente condizionati, può concretizzarsi un attacco al cuore dell’organizzazione o anche dello Stato e delle sue Istituzioni, che nessuna misura di sicurezza informatica può mitigare.
Pertanto senza privacy gli obiettivi finali della sicurezza informatica saranno compromessi dalle sue fondamenta. La sicurezza informatica senza privacy può funzionare in regimi in cui mancano lo stato di diritto e le garanzie democratiche, ma in questi casi la sicurezza informatica avrà qualsiasi altro oggetto oltre alla protezione delle persone, ma solo un altro strumento per controllare e limitare i diritti e le libertà dei cittadini.
Secondo la classifica pubblicata annualmente da NordPass, la password più usata al mondo nel 2022 è… “password”! Mentre in Italia, sempre da quanto emerge dalla ricerca fatta, la parola chiave più usata dagli utenti è … “123456”!
Eppure si parla tanto di sicurezza informatica, di dati ed identità rubate, di necessità di responsabilizzare di più gli utenti internet e poi ecco che sono usate password talmente deboli per proteggere i propri account, che possono essere decifrate in meno di un secondo!
Secondo l’analisi, rispetto al 2021, il 73% delle 200 password più comuni nel 2022, rimane lo stesso. Inoltre l’83% delle parole chiave del corrente anno può essere decifrato in meno di un secondo (proprio come dicevamo), proprio come la parola “password”. Al secondo posto nella lista delle password più usate al mondo troviamo “123456”, al terzo “123456789”, al quarto “guest” ed al quinto “qwerty”.
Per quanto riguarda il ns. paese, al secondo posto c’è (udite udite) “1234567879”, al terzo “password”, al quarto “ciao” ed al quinto “Juventus”: tutte decifrabili in 1 secondo dai potenziali hacker.
Possiamo solo consolarci sapendo che “123456” è la password più usata anche in Colombia, Francia e Giappone…. mal comune!
Quando i rischi sono maggiori, è saggio scegliere i nostri strumenti di comunicazione, in modo più consapevole.
Fai un piano di comunicazione
Ogni metodo di comunicazione, digitale o meno, presenta vantaggi e svantaggi in termini di praticità, costi e sicurezza, tra le altre considerazioni. Sta a ciascuno di noi valutare i benefici ed i rischi dei metodi che utilizziamo attualmente per comunicare. Per esempio è importante creare un piano di comunicazione tra te ed i tuoi contatti, in modo da essere sempre in comunicazione anche in situazioni non chiare (digitalmente parlando).
Parla con i tuoi contatti, proponi, discuti e concorda un piano specifico per la vostra comunicazione, includendo:
rischi noti;
App e servizi che utilizzerai o che NON utilizzerai;
passi che farai se qualcosa va storto;
Considera i passaggi informali che puoi intraprendere, tra cui:
creazione e scambio di indirizzi e-mail di backup alternativi;
scambio di numeri di telefono;
condivisione di contatti di emergenza;
Considera poi i passaggi formali che puoi intraprendere:
specificare i metodi di comunicazione supportati nella politica di sicurezza, archiviazione dei dati o conservazione dei documenti dell’organizzazione;
Considera cosa dici e dove lo dici:
prendi in considerazione lo sviluppo di un linguaggio in codice che puoi utilizzare per evitare di menzionare apertamente nomi, indirizzi, azioni specifiche ecc.
In una situazione di crisi non siamo mai chiaramente lucidi e potremmo dover agire in fretta, prendendo decisioni che ci possono creare ancora più danno. Ecco perché pianificare una comunicazione di emergenza può aiutarci a rimanere al sicuro.
Crea più account “usa e getta”
Molti provider di posta elettronica ti consentono di creare “alias” e-mail per ricevere la posta al tuo indirizzo principale, senza bisogno di rivelare quale sia il tuo indirizzo mail principale;
utilizzare un indirizzo e-mail di inoltro Firefox;
se sai che non importa se perdi l’accesso ad un account, ma hai bisogno di un indirizzo valido per iscriverti ad un servizio online, prova Guerrilla Mail.
Gli strumenti di crittografia che codificano i tuoi messaggi, in modo che gli eventuali hacker non possano leggerti, impediscono che il contenuto dei tuoi messaggi sia esposto. Ma è più difficile nascondere chi sta inviando o ricevendo un messaggio, le date e gli orari in cui i messaggi sono inviati e ricevuti, quante informazioni sono state inviate e informazioni sui dispositivi utilizzati. Questo tipo di “informazioni sulle informazioni” è spesso chiamato “metadato”. Non è nascosto perché alcuni dati tipo router, server, computer e altri dispositivi tra te e il destinatario, sono necessari per far arrivare il tuo messaggio alla persona giusta. I metadati possono rivelare molto su chi conosci, sui tuoi modelli di comunicazione, soprattutto se possono essere analizzati in grandi volumi.
L’utilizzo di una serie di account che puoi facilmente abbandonare, senza interruzioni significative, è una strategia per mascherare chi sei.
Usa TOR Browser, TAILS o una VPN affidabile
L’utilizzo di Tor Browser, una VPN o Tails ti consente di visitare i siti web senza rivelare chi sei o da dove vieni. Se accedi ad un sito o a un servizio, continuerai a condividere le informazioni del tuo account (e potenzialmente informazioni personali) con il sito web.
Tails è un sistema operativo che usi al posto del solito sistema operativo del tuo computer (Windows, Mac o Linux). protegge tutte le tue connessioni Internet utilizzando Tor in ogni momento. Funziona da un’unità USB collegata alla macchina, cancella la tua cronologia quando la spegni, rendendo meno probabile che il tuo computer possa essere “improntato”
dai siti che hai visitato, dal Wi-Fi che hai utilizzato e dalle App che hai installato.
Usa la posta elettronica in modo più sicuro
Crittografa i servizi di posta elettronica che già utilizzi:
busta postale;
Thunderbird.
Prova i servizi di porta elettronica che supportano la crittografia:
Tutanota;
Posta protonica;
nota: nessuno di questi servizi crittografa automaticamente la posta a qualcuno che non utilizza lo stesso servizio. Per farlo è necessario impostare una password che il destinatario può utilizzare per aprire il messaggio o potrebbe essere necessario scambiare chiavi pubbliche di crittografia.
La crittografia delle e-mail utilizza una matematica complessa per codificare il contenuti dei tuoi file o messaggi, in modo che possano essere letti solo da qualcuno che ha la “chiave” per codificarlo. Utilizzare la crittografia è sicuro, nessun computer è abbastanza potente da fare i calcoli per decodificarla.
L’uso della crittografia con la posta elettronica è importante, la tua e-mail passa attraverso una serie di altri dispositivi per raggiungere la persona a cui stai scrivendo. L’hub Wi-Fi o l’hotspot a cui sei connesso è tra questi. I messaggi passano anche attraverso cavi e connessioni wireless (come WI-FI e Bluetooth).
La tua e-mail viene salvata anche su server e su più di uno dei dispositivi del destinatario, come cellulare e il suo computer. Un qualsiasi malintenzionato potrebbe teoricamente trovare i tuoi messaggi in uno qualsiasi di questi luoghi. La crittografia impedisce agli aggressori di leggere ciò che trovano, facendo sembra i tuoi messaggi come paragrafi di lettere e numeri senza senso.
L’e-mail con la crittografia inclusa non è stata ancora creata, è stato sviluppato negli anni ’70 quando è stato utilizzato da un numero limitato di persone. Oggi la maggior parte dei provider di posta elettronica (come Gmail, Outlook, Yandex, ecc.) protegge i tuoi messaggi con la crittografia, utilizzando ad esempio HTTPS, mentre passano dal tuo dispositivo, tramite il tuo router Wi-Fi locale e i server dei tuoi provider di posta elettronica (questo è chiamato crittografia del server).
E’ consigliabile quindi utilizzare servizi di posta elettronica crittografati end-to-end (e2ee), ad esempio quelli che utilizzano o abilitano la crittografia PGP (come Thunderbird, Mailvelope e Proton Mail o Tutanota). Ciò significa che i tuoi messaggi saranno protetti con la crittografia quando sono salvati sui server del tuo provider, nonché sui dispositivi tuoi e dei destinatari.
Ma ci sono anche alcuni inconvenienti: la maggior parte della crittografia non nasconde chi sta inviando la posta a chi o quando, un malintenzionato potrebbe utilizzare tali informazioni per dimostrare che le persone stanno parlando tra di loro, inoltre la gestione della crittografia richiede sforzo e consapevolezza aggiuntivi.
Evita di conservare le informazioni sensibili che non ti servono più
Imposta i messaggi a scomparsa sulle applicazioni di messaggistica, ove è possibile;
Elimina i messaggi quando possibile.
Considera quali messaggi qualcuno potrebbe trovare se fosse in grado di accedere al tuo account sul tuo server di posta elettronica o dispositivo. Cosa rivelerebbero quei messaggi sul tuo lavoro, sulle tue opinioni o sui tuoi contatti? Considera questo rischio con il vantaggio di avere accesso alla tua posta elettronica su più dispositivi. Il back-up della tua e-mail su un dispositivo crittografato è un modo per conservare e salvare le tue e-mail in modo sicuro.
Chat video e audio in modo più sicuro
Utilizza servizi di video, voce e testo crittografati end to end. Se non è possibile utilizzare la crittografia end-to-end, assicurati di utilizzare i servizi consigliati che sono ospitati su serve affidabili, da provider affidabili.
Controlla chi è connesso a videochiamate e chat
Scopri a chi stai inviando una chiamata o un invito ad una chat:
conferma i numeri di telefono o gli indirizzi e-mail a cui stai inviando;
non condividere gli inviti sui social media pubblici.
Prima di iniziare una chiamata, famigliarizza con gli strumenti dell’amministratore o del moderatore che consentono di disattivare, bloccare o espellere partecipanti indesiderati. Configuralo in modo che solo i moderatori abbiano la possibilità di disattivare l’audio e bloccare le videochiamate;
Quando inizia una chiamata o una chat, non dare per scontato di sapere chi è connesso, solo leggendo i nomi assegnati. Non è difficile per qualcuno inserire il nome di qualcuno che conosci, come nome utente e fingere di essere loro.
controlla l’identità di tutti i partecipanti alla chiamata chiedendo loro di parlare o di accendere la fotocamera;
conferma in un altro canale (come chat o e-mail sicura) che la persona in una chiamata è effettivamente la persona relativa al suo nome utente;
acquisisci schermate o registra partecipanti indesiderati per raccogliere prove per controlli successivi o azioni legali;
espellere chiunque non si desidera avere nella chiamata o nella conversazione;
se l’espulsione o il blocco di qualcuno non funziona, avvia una conversazione completamente nuova. Ricontrolla l’elenco dei numeri di telefono o degli indirizzi e-mail a cui stai inviando, per assicurarti che siano corretti per le persone che desideri nella conversazione. Contatta ogni persona attraverso un canale diverso per confermare (ad es. utilizzare una telefonata se ritieni che il suo indirizzo e-mail sia sbagliato).
I servizi online non impediscono alle persone di accedere a chiamate o chat, utilizzando il nome di qualcun altro: Per essere sicuri che tutti siano chi dicono di essere, verifica la loro identità prima di discutere di dettagli sensibili. Durante la pandemia molte persone hanno imparato a proprie spese che le persone che volevano molestarle, potevano trovare la loro strada nell’organizzazione di videochiamate. Quando i moderati hanno la possibilità di disattivare o rimuovere i partecipanti dalle chiamate, si garantisce che le videochiamate possano procedere senza interruzioni.
Cambia le videochiamate con microfono e videocamera spenti, per impostazione predefinita
Si supponga che quando ci si connette, la fotocamera e il microfono possono essere accesi, per impostazione predefinita. Controlla questa impostazione e fai attenzione a ciò che mostri o dici, finché non sai che sono disattivati;
Prendi in considerazione la possibilità di coprire la fotocamera con un adesivo o altro e rimuoverlo solo quando la usi;
Prendi in considerazione la disabilitazione del microfono e della fotocamera nelle impostazioni del dispositivo, se non riesci a disattivarli nel servizio prima della connessione.
Stabilisci regole per l’acquisizione e partecipazione alle videochiamate
Concordare le regole base prima dell’inizio di una riunione, regole che potrebbero riguardare:
se i partecipanti useranno nomi reali o soprannomi;
se manterrai le fotocamere accese o spente;
se i partecipanti terranno i loro microfoni accesi o spenti, quando non intervengono;
come i partecipanti indicheranno che vogliono intervenire;
chi guiderà l’incontro;
chi prenderà appunti e, dove, se e come saranno scritti e poi distribuiti;
se è accettabile acquisire schermate o registrare una videochiamata, ecc.
Se i tuoi partecipanti sono preoccupati per la loro sicurezza, una registrazione video della loro partecipazione alla chiamata, potrebbe metterli a rischio di identificazione di posizione e l’affiliazione al tuo gruppo sia identificata. Stabilire in anticipo regole di base su telecamere e microfoni se questo è un rischio. Ricorda, le regole di base da sole non impediranno a qualcuno di registrare la chiamata.
Le regole su come tenere i microfoni spenti quando non stai parlando e su come fare a turno, possono anche garantire una riunione più fluida e meno stressante.
Usa un auricolare
L’uso di cuffie o auricolari assicura che qualcuno vicino a te, che sta ascoltando la tua conversazione, non possa sentire ciò che gli altri partecipanti alla chiamata stanno dicendo (anche se ovviamente sarebbero in grado di sentirti).
Controlla cosa può essere visto e ascoltato
Presta attenzione a ciò che è visibile sullo sfondo del tuo video, sia chi e cosa c’è nella cornice;
Potresti non voler dare troppe informazioni sulla tua casa, foto di famiglia, appunti o sull’ambiente naturale o della città fuori dalla tua finestra, ecc.;
Scegli una posizione con un muro bianco dietro di te, se possibile elimina il disordine;
Verifica cosa c’è in background prima di una chiamata, ad esempio aprendo l’App della fotocamera o meet.jit e avviando una riunione vuota con la fotocamera accesa in modo da poter vedere cosa c’è nell’immagine;
Presta attenzione a chi e cosa può essere ascoltato in sottofondo;
Chiudi porte e finestre o avvisa coloro che condividono il tuo spazio, della riunione.
Sulla base di ciò che si può vedere e sentire in sottofondo alle videochiamate, consente ai malintenzionati di poter agire.
Usa una chat sicura
I servizi di chat possono accedere e raccogliere informazioni sulla tua posizione, attività, contenuti e con chi stai parlando. Scegliere quello giusto è importante per proteggere la tua sicurezza.
Elimina la cronologia delle chat
Trova l’opzione in un’App per eliminare tutte le conservazioni o quelle specifiche.
se stai eliminando un’App di chat, elimina i messaggi prima di rimuoverla;
se tale opzione non è disponibile, scopri come rimuovere i messaggi manualmente. Chiedi ai tuoi contatti di fare lo stesso.
Potresti anche essere in grado di impostare i messaggi “a scadenza” o essere eliminati dal tuo telefono e dal telefono del destinatario dopo un certo periodo di tempo.
considera per quanto tempo desideri che i messaggi siano visibili prima che scadano. Potresti avere la possibilità di farli scadere dopo pochi minuti , ore o giorni;
i messaggi che scompaiono non garantiscono che non saranno mai trovati! E’ possibile che qualcuno possa acquisire uno screenshot dei messaggi o che qualcuno possa scattare una foto dello schermo, utilizzando un’altra fotocamera.
Le App di chat tengono un registro di tutto ciò che tu e i tuoi contatti avete detto o condiviso, per impostazione predefinita. Usa l’opzione dei messaggi a scomparsa per limitare la quantità di informazioni che un’App memorizza sul telefono.
Rimuovi le informazioni di identificazione dalle tue foto e altri file
Utilizzare Obsuracam, Exif criptato, MetaX o Exifcleaner.
Può sembrare che il semplice utilizzo di una funzione di sfuocature del viso o la copertura di dettagli sensibili, protegga le persone o i luoghi nelle tue immagini. Tuttavia, ci sono alcuni modi per salvare le foto modificate che non impediscono a qualcuno che ha il file, di vedere cosa stavi cercando di nascondere.
Tutti i file hanno una piccola quantità di informazioni salvate su dove e come sono stati creati. Queste informazioni sono chiamate metadati. Di solito puoi dare un’occhiata ad alcuni dei metadati di un file su un computer, facendo clic con il pulsante destro del mouse sul file stesso e selezionando “proprietà” o “ottieni informazioni”. Alcuni metadati possono includere la tua posizione o il dispositivo con cui è stato creato il file: informazioni che qualcuno che sta guardando il file, potrebbe utilizzare per identificarti.
Cerca i segnali che indicano che il tuo account potrebbe essere stato manomesso
Modifiche ai contenuti o alle impostazioni dell’account che non hai apportato;
Un contatto ha ricevuto un messaggio che non hai inviato:
assicurati che il messaggio sia stato inviato dal tuo account e che le sue intestazioni non siano state oggetto di “spoofing” ( attacco informatico per impiega in vari modi, la falsificazione dell’identità)
Non puoi accedere al tuo account, anche se nome utente e password sono corretti;
Non ricevi messaggi che i tuoi contatti sono certi di averti inviato (assicurati che non siano nella cartella spam);
Una terza parte ha scambiato informazioni esclusivamente tramite questo account, anche se né il mittente, né il destinatario/i le hanno condivise con nessun altro;
Ricevi la notifica di richiesta di modifica della password, che non hai effettuato, indipendentemente dal fatto che siano riuscite o meno;
Hai perso un dispositivo mobile o ne è stato rubato o confiscato uno mentre era connesso all’account;
Se il tuo fornitore di servizi offre un registro delle attività recenti dell’account, noti connessioni in un momento o da una posizione che non avresti potuto stabilire tu stesso;
Hai ricevuto un messaggio dal fornitore di servizi di qualcuno che tentava di accedere al tuo account.
Se noti uno o più di queste informazioni e altre spiegazioni sembrano improbabili, considera di eseguire alcuni o tutti i passaggi che seguono.
Non usare più questo account per scambiare informazioni sensibili
Aspetta ad usarlo di nuovo fino a quando non avrai una migliore comprensione di cosa sta succedendo
Cambia subito la tua password
Crea e mantieni password sicure
Crea nuove password univoche per altri account
Questo è fondamentale se gli altri tuoi account hanno password uguali o simili
Se non sei in grado di accedere
Dovresti essere in grado di contattare il fornitore del servizio per recuperare il tuo account. Non tutti i social media e i provider di posta elettronica hanno procedure per queste situazioni, ma alcuni lo fanno;
Considera l’idea di chiedere aiuto ad un esperto:
Tecnici o esperti nella sicurezza nella tua comunità potrebbero essere in grado di aiutarti e fornire assistenza;
La Help Line di Access Now offre assistenza tecnica in caso di emergenza e consulenza.
Esamina la sicurezza dei dispositivi associati a questo account
Esamina la sicurezza degli altri dispositivi che hanno avuto accesso a questo account o su cui hai memorizzato la password di questo account;
Controlla i servizi che hai collegato a questo account
Molti servizi di terze parti ti consentono di accedere con il tuo account Facebook, Google o Microsoft;
Crea un elenco di account collegati (cerca nella tua casella di posta “verifica la tua email” o “conferma account” per trovarne molti rapidamente)
Prova a scollegarli se possibile;
Dai priorità agli account di comunicazione finanziaria e di altro tipo più sensibili.
Esci da tutte le sessioni
L’e-mail e altri fornitori di comunicazioni ti danno spesso la possibilità di vedere tutti i luoghi in cui il tuo account è connesso. Usalo per disconnetterti da posizioni e connessioni che non conosci;
Potrebbe essere necessario eseguire nuovamente l’accesso sui dispositivi che si desidera utilizzare per accedere all’account;
Per ulteriori informazioni, consulta le nostre guide di base sulla sicurezza per i tuoi telefoni e computer.
Adotta misure per proteggere i tuoi account
Segui le istruzioni su ciascun fornitore di servizi alla voce “se il tuo account è stato perso, rubato o violato” o “protezione dell’account.
I siti di social network oggi sono innumerevoli e vanno ben oltre i soliti Facebook, Twitter, Instagram, Tinder, TikTok, Linkedin. Condividiamo i nostri dati anche con tutta una serie di applicazioni che usiamo tutti i giorni e a cui permettiamo di raccogliere, catalogare, studiare e spesso “ricondividere” le nostre informazioni.
Proviamo a pensare a piattaforme di streaming come Netflix, Spotify, Youtube, Amazon prime, PornHub oppure quelle relative alla sharing economy come Uber, AirBnb, Deliveroo, JustEat; applicazioni che gestiscono i pagamenti come PayPal. Non parlando poi di WhatsApp, Telegram, Messenger, WeChat, Signal, vogliamo poi parlare di siti e applicazioni dove effettuiamo acquisti di vario genere come Ryanair, eBay, Depop, Vinted e potremmo continuare…
Ecco alcuni dati raccolti
Ma cosa compone il nostro “io” digitale? Cosa viene raccolto? Vediamo un po’:
Nome e cognome;
Età;
Genere;
Orientamento sessuale;
Stato sentimentale;
Razza;
Peso;
Altezza;
Nazione di nascita;
Credenze religiose;
Zona di residenza;
Indirizzo di casa;
Stato lavorativo e tipo di occupazione;
Ruolo lavorativo;
Possesso di animali domestici;
E-mail;
Numero di telefono;
Gestore telefonico;
Tipo di telefono o di altro dispositivo;
Indirizzo IP del dispositivo utilizzato e dettagli della connessione (inclusi data e ora);
Eventi in calendario;
Un elenco in costante aggiornamento di hobby e interessi;
Parenti stretti;
Cognome della madre da nubile;
Attuale datore di lavoro;
Datori di lavoro passati;
Tragitto casa-lavoro e viceversa;
Luoghi in cui siamo stati e in cui andremo in vacanza;
Dettagli del conto bancario;
Importo dello stipendio;
Allergie o intolleranze;
Informazioni su stato di salute e stile di vita;
Posizione e data delle nostre foto o dei nostri video;
Informazioni vocali o audio;
Elementi visualizzati attraverso la fotocamera.
Alcuni siti o applicazioni riprendono ulteriori informazioni dalla raccolta di altri dati che non pensiamo assolutamente possano essere raccolti ed elaborati, come ad esempio i dati raccolti tramite tecniche di “eye tracking” (monitoraggio oculare). Questa tecnica consente di effettuare l’analisi dei movimenti dello sguardo, dei punti di fissazione, persino della loro durata in determinati punti dello schermo, l’ordine della visualizzazione. Forniscono informazioni su cosa attira l’attenzione visiva dell’utente e permettono di calibrare gli algoritmi personalizzando la navigazione, le campagna marketing, che contribuiscono per la maggior parte alla realizzazione dei profitti di questi siti o applicazioni. Tutto questo per mezzo delle fotocamere frontali dei vostri dispositivi, mentre voi usate ingenuamente le svariate applicazioni che se ne avvalgono.
Google
Quando si usa un qualsiasi servizio Google, si raccolgono:
ricerche eseguite;
video guardati;
annunci visualizzati o selezionati;
posizione;
siti web visitati;
App, browser e dispositivi usati per accedere ai servizi Google.
Quando si crea un account Google, la raccolta può riguardare:
nome e cognome;
data di nascita e sesso;
password e numero di telefono;
e-mail inviate e ricevute su G-mail;
foto e video salvati;
documenti;
fogli e presentazioni create su Drive;
commenti pubblicati su YouTube;
contatti aggiunti;
eventi di calendario:
A seconda della piattaforma collettrice, queste informazioni vengono inoltre condivise anche con altre aziende o agenzia governative, per svariati scopi.
Facciamo l’esempio di Google:
“Forniamo informazioni personali alle nostre società consociate o ad altre aziende o persone fidate, affinché le elaborino per noi in base alle nostre istruzioni e nel rispetto delle nostre norme sulla Privacy e di altre eventuali misure appropriate, relative a riservatezza e sicurezza. Ad esempio, usufruiamo di fornitori di servizi affinché ci aiutino con l’assistenza clienti” Questo è quanto riporta la sezione Norme sulla privacy, del sito di Google.
«Condivideremo informazioni personali al di fuori di Google qualora ritenessimo in buona fede che l’accesso, l’utilizzo, la tutela o la divulgazione di tali informazioni sia ragionevolmente necessario per:
Rispettare le leggi o norme vigenti, un procedimento giudiziario o una richiesta del governo. Condividiamo le informazioni relative al numero e al tipo di richieste che riceviamo da parte dei governi nel nostro Rapporto sulla trasparenza.
Applicare i Termini di servizio vigenti, compresi gli accertamenti in merito a potenziali violazioni.
Rilevare, impedire o altrimenti gestire attività fraudolente o problemi relativi alla sicurezza o di natura tecnica.
Tutelare i diritti, la proprietà o la sicurezza di Google, dei nostri utenti o del pubblico, come richiesto o consentito dalla legge.»
Gli ultimi due punti lasciano ampi margini di manovra per condividere informazioni per le più diverse ragioni e specialmente con l’NSA, i servizi segreti statunitensi, come vedremo in seguito.
Supermercati, Ipermercati, grandi magazzini
Anche le carte fedeltà dei supermercati trattano i dati dei clienti attraverso una vera e propria profilazione delle loro abitudini ed i loro comportamenti, sono pertanto un vero e proprio strumento di identificazione e/o profilazione di un consumatore!
Infatti le grandi società attraverso i programmi di fidelizzazione si pongono il duplice obiettivo di profilazione e marketing diretto.
Guardando in special modo alla grande distribuzione organizzata (G.D.O.), il trattamento dei dati forniti all’atto dell’emissione di una carta fedeltà può portare a rischi per i consumatori/interessati poiché, nella prassi, si assiste a un’indiscriminata richiesta di dati ulteriori e non necessari.
Oltre al fatto che molti interessati non sono consapevoli che, mediante la carta fedeltà, le loro abitudini e i loro comportamenti sono oggetto di profilazione, ciò a causa di informative generiche e poco chiare.
La tipologia di dati che la società vuole trattare, anche ai fini di profilazione è ad esempio: dati relativi agli specifici acquisti effettuati, alle abitudini comportamentali di acquisto…
Accanto a dati anagrafici e recapiti anche di posta elettronica, sono spesso raccolte altre informazioni relative al cliente o a suoi familiari, non necessarie per attribuire i vantaggi collegati alla carta (titolo di studio, professione, interessi, abitudini, preferenze, modalità di acquisti, ecc.
Consumatori, relativi nuclei familiari ed altre persone da essi indicati, ricevendo i vantaggi legati alla fidelizzazione, sono monitorati in dettaglio nei loro comportamenti, vengono profilati anche all’interno di specifiche banche dati centrali o locali e fatti oggetto di raffronto con altri clienti, senza esserne peraltro consapevoli non avendo ricevuto un’adeguata informativa.
La sottoscrizione alle tessere fidelity è generalmente gratuita, qui dobbiamo chiederci perchè? Perché il vero bene negoziato è il dato personale.
È per questo che al momento in cui forniscono i propri dati per aderire al programma di fidelizzazione, i clienti devono essere informati in merito all’uso che la società farà di questi.
Ecco solo alcune delle fidelity card che profilano i consumatori:
Ecco perché non sono illegittimi in assoluto…. Dipende.
Cosa c’è di nuovo
Il Garante Privacy, il Garante della concorrenza del mercato, la Cassazione hanno detto che i cookie wall non sono illegittimi in assoluto. Ma dipende. L’illegittimità si ha quando “la volontà è calpestata”, ma il “prendere o lasciare” (o consenso per farsi tracciare e profilare con i cookie o niente accesso ad un sito) e cioè scambio dati contro contenuti digitali, è stato sdoganato anche dalla legge.
Tutto è iniziato da un’indagine aperta dal Garante Privacy sui cookie wall di alcuni quotidiani on-line, che hanno cominciato ad usare filtri e sistemi che condizionano l’accesso ai contenuti, alla sottoscrizione di un abbonamento o, in alternativa, al rilascio del consenso da parte degli utenti, all’installazione di cookie o altri sistemi di tracciamento di dati personali (cookie wall). Ma concedere dati per ricevere un servizio, ad alcune condizioni, si può fare.
Tutto ciò ha fondamento nelle pronunce di Garanti italiani, nella giurisprudenza e nella legislazione relativa al mercato digitale.
E quindi?
Ovviamente, come riportava il Garante in un provvedimento del 2000 trattando il caso di un quotidiano on-line, rimane nella disponibilità degli interessati l’acconsentire a servizi che subordinano una prestazione (l’accesso ad Internet) alla cessione di dati identificativi o attinenti a gusti, preferenze e interessi. La persona deve ovviamente essere messa in grado di capire a cosa va incontro e bisogna darle tutte le informazioni per esprimere le proprie scelte liberamente e consapevolmente. E’ scontato che non ci può essere inganno o menzogna verso l’utente.
Sulla stessa riga sono anche il parere dell’Antitrust (sempre del 2000), la sentenza della Cassazione (del 2018) dove si precisa che si può scambiare un cookie con un servizio, con l’ovvio rispetto della volontà e senza inganni.
Ecco un piccolo esempio di risposte tipo date da utenti intervistati, sul problema dei dati, della mancanza di privacy in internet
Non ho niente da nascondere
Che tu abbia qualcosa da nascondere o meno è del tutto irrilevante. La privacy non riguarda nascondersi, ma riguarda autonomia, potere e controllo; si tratta della tua capacità di decidere come ti presenti al mondo.
Data la quantità di dati su di te costantemente raccolti, per lo più in modi che non puoi vedere, questa erosione della tua privacy non può fare a meno di avere un impatto a lungo termine – sul tuo lavoro o su lavori futuri; sulle tue reti; su quanto si finisce per pagare per prodotti specifici; e su una serie di altre cose.
Non mi interessa che la gente sappia che mangio i corn-flakes a colazione
Non tutte le tracce digitali sono importanti e no, forse quello che mangi a colazione non ha importanza.
Ma quando guardi attentamente le tracce digitali che crei, troverai un mix: alcuni potrebbero essere molto banali (la tua colazione), ma altri potrebbero essere molto più personali – dove vai (che può anche mostrare cosa stai facendo, e con chi), o quali sono i tuoi problemi di salute. Pensa a ciò che condividi con Google solo attraverso le ricerche: potrebbero essere cose che non hai nemmeno condiviso con il tuo partner o i tuoi amici più cari.
La domanda è: puoi davvero sempre distinguere tra le tracce digitali che sarebbe meglio mantenere private e quelle che non contano? Ciò che sembra banale oggi potrebbe essere importante domani, o potrebbe essere interessante per qualcun altro, o potrebbe fornire molte più informazioni su di te di quanto pensi.
E’ solo internet
Cerchi lavoro o richiedi credito? Le aziende potrebbero cercarti su Google o acquistare il tuo profilo da un broker di dati. Prenotazione di un volo? Sei sicuro che non ci siano discriminazioni di prezzo in atto, in base alle tue ricerche precedenti? O peggio, quella battuta su Twitter che viene memorizzata e influenza se si ottiene un visto o meno.
Anche quando lasci il computer e il telefono a casa, una telecamera a circuito chiuso registra il tuo viso mentre entri in metropolitana; la tua carta di trasporto è registrata; e quando arrivi a destinazione, un amico scatta una foto, ti tagga e la pubblica su Twitter.
Pensi ancora che sia “solo Internet?” Internet è tutto intorno a te.
Ma io sono solo uno su milioni, come può qualcuno vedermi?
Stai immaginando persone sedute dietro un computer da qualche parte, ad analizzare le tracce di dati prodotte da milioni, miliardi di persone? In realtà, sono le macchine che fanno questo lavoro: macchine e algoritmi creati appositamente per analizzare enormi volumi di dati. Essere “uno su milioni” non significa che puoi “nascondersi nella folla”; significa che quando le macchine confrontano i tuoi dati con i dati di tutti questi altri, è più facile trovare i valori anomali.
Ma ricevo uno sconto sulla mia assicurazione
Quando vai dal tuo medico, la tua comunicazione è protetta. Questo è codificato nel concetto universale di riservatezza medico-paziente, per assicurarti di poter esprimere la tua opinione al tuo medico senza preoccuparti di possibili ripercussioni, come l’aumento dei premi dell’assicurazione sanitaria.
Ma condivideresti felicemente con una compagnia di assicurazioni i dati di un fitness tracker indossabile che monitora i tuoi passi, la respirazione e la frequenza cardiaca e può percepire possibili malattie croniche e stress – in cambio di un piccolo sconto?
Ma ricevo il servizio gratuitamente
Non lo ricevi gratuitamente: paghi con i tuoi dati.
Non vengo dall’Occidente, non è un problema per me
La raccolta dei dati è una questione globale. I prestatori nei paesi africani e negli Stati Uniti si stanno già rivolgendo ai social media e ai registri dei telefoni cellulari per valutare l’affidabilità creditizia, ovvero per decidere se concederti un prestito o meno.
Le password sono strumenti importanti per proteggere i tuoi dati e la tua identità.
Scopri se le tue password sono state compromesse
Esistono molti trucchi che possono portare a scoprire le tue password. Alcuni strumenti però possono aiutarti per difendere la tua integrità: password lunghe, random e uniche. Puoi utilizzare un gestore di password sicuro ed impostare l’autenticazione a più fattori quando possibile.
Ma per riuscire a scoprire se per caso le tue password sono state compromesse, puoi:
cerca “sono stato Pwned” su internet, indicando i tuoi account puoi vedere se sono sempre integri. In caso contrario:
modifica immediatamente qualsiasi password dell’account segnalato, utilizzando le istruzioni per configurare un gestore di password;
anche se nessuno dei tuoi account viene visualizzato, dovresti comunque seguire le istruzioni che troverai qui di seguito, poiché può capire che alcune violazioni non siano segnalate.
Evita le comuni strategie di creare password deboli
Ecco i modi più comuni in cui gli aggressori “arrivano” alle tue password:
possono indovinare la tua password:
utilizzando le tue informazioni personali, come date importanti, nomi, citazioni famose, canzoni o autori che ti piacciono;
usando un dizionario;
modificando leggermente le password che hai usato in precedenza;
utilizzando il software per provare tutte le possibili combinazioni per sbloccare le password.
possono cercare:
dove sono scritte le tue password (come note sulla tua scrivania);
cosa stai digitando quando inserisci la password;
password che sono già state violate e sono disponibili online.
possono trarti in inganno:
attraverso l’installazione di un’App malware per registrare la tua password;
facendoti digitare la tua password in una pagina di accesso falsa, tramite pishing;
facendoti fornire le tue password o altre informazioni, fingendo di essere una persona di supporto o qualcuno che conosci (noto anche come ingegneria sociale).
sfruttando le vulnerabilità:
hackerando il sito web che ha la tua password;
rubando la tua password se è memorizzata nel browser;
rubando la tua password dalle App che usi sul telefono.
Segui queste linee guida per proteggerti:
Usa sempre un dispositivo pulito, aggiornato, protetto di cui ti fidi, per accedere ai tuoi account e aprire le tue informazioni sensibili;
tieni presente che i seguenti step da soli, NON rendono sicure le tue password:
Usare parole o numeri relativi a te o alle persone e alle organizzazioni intorno a te, come:
come di persone, animali domestici o organizzazioni
date di nascita, ricorrenze o festività importanti
numeri di telefono o indirizzi
qualsiasi altro dato che una persona qualsiasi potrebbe imparare cercando te e le persone intorno a te.
Utilizzare frasi comuni, come citazioni famose, testi di canzoni e poesie;
Sostituzione di caratteri con un simbolo simile (es. sostituzione di “a” con @)
Mettere punti esclamativi, numeri o altri segni di punteggiatura alla fine;
Iniziare ogni parola con lettere maiuscole;
Usare singole parole in qualsiasi dizionario;
cambiare frequentemente le password.
Usa un gestore di password:
utilizza i seguenti programmi: KeePassXC (per Linus, Mac o Windows), KeePassDX (per Android) o StrongBox )per iOS);
NON riutilizzare vecchie password;
Lascia che il gestore delle password generi e salvi una password lunga, causale e univoca per ciascuno dei tuoi accessi;
Quando possibile, è più sicuro impostare accessi separati per account diversi, piuttosto che avere un solo account e dover condividere la sua password.
Effettua il backup del database del tuo gestore di password:
come con una qualsiasi password individuale, perdere molte delle tue password contemporaneamente potrebbe causare qualsiasi tipo di danno, dalla perdita dei tuoi contatti per finire con perdite di origine finanziario. Ecco perché è importante eseguire regolarmente il backup.
Usa il metodo diceware (metodo basato sul lancio manuale di dadi il cui scopo è quello di creare password e altre variabili crittografiche) per generare password per il tuo password manager e altre password che devi ricordare (es. la password per sbloccare il tuo password manager!);
tira il dado 5 volte per ottenere un numero di cinque cifre (es. 6,2,5,1,1);
usa la parola nell’elenco con il numero corrispondente;
Ripetere questa operazione 5 volte, usando queste 5 parole come “passphrase” per un accesso, non utilizzandola altrove;
Crea quindi un immagine mentale usando le parole, in ordine, che ti aiuteranno a ricordare la frase.
Esercitati ad inserire queste password regolarmente, prima ogni giorno e poi almeno una volta alla settimana, la ripetizione ti aiuterà a “salvare” in memoria queste password.
Se devi annotare le password su carta, conservale in un luogo sicuro e chiuso a chiave come una cassaforte o un cassetto della scrivania:
è importante che le tue password non siano visibili a chi passa, o facili da trovare e copiare;
non tenerle nel portafoglio;
distruggi completamente le copie cartacee della password o dei codici di backup non appena non ne hai più bisogno;
in alternativa, mantieni quelle password su altro dispositivo, puoi nasconderli tra le note senza spiegazioni o descrizioni.
Se decidi di utilizzare un gestore di password online:
Evita di archiviare informazioni sull’account altamente sensibili (come account finanziari o accessi all’account di ripristino) nel data base online;
Proteggi l’accesso al tuo database online con l’autenticazione a 2 fattori;
Se hai bisogno di condividere le password:
Evita la condivisione quando possibile:
se devi farlo con un amico, un famigliare o un collega, cambiala in qualcosa di temporaneo e condividi quella password, quando hai finito la condivisone ricambiala con qualcosa di sicuro;
prendi in considerazione la creazione di account separati per ogni individuo che necessita di accesso; molti servizi lo rendono possibile. Puoi limitare le azioni che questi account possono eseguire e ciò che possono vedere. Consulta le guide di sicurezza di base per Android, iOS, Mac e Windows per istruzioni su come eseguire questa operazione;
configura il tuo gestore di password in modo da poterlo utilizzare in modo collaborativo, KeePassXC lo rende possibile.
Non fornire la tua password quando qualcuno ti invia un’e-mail, una chiamata o un messaggio:
Vai all’App o al sito del servizio che presumibilmente ti ha inviato un messaggio per verificare la richiesta;
Se sembra essere una persona o un ufficio che conosci ad inviare il messaggio, contattalo tramite altro canale per verificare se ha effettuato la richiesta. Non fare mai click sui collegamenti o inviare una risposta;
Sii consapevole quando un messaggio sta cercando di spaventarti, di incuriosirti, di farti sentire che perderai un’occasione o comunque di farti agire rapidamente e senza pensare. Fermati, mantieni la calma e trova altri modi per verificare messaggi come questi.
Quando cambiare la password
Cambia subito la tua password quando:
Sembra che tuo account, i tuoi dispositivi o i tuoi colleghi o le persone che stanno intorno a te, siano state vittime di una violazione;
Ricevi un avviso credibile dai servizi che utilizzi, che ti informa di un tentativo di accesso da un dispositivo o una posizione non autorizzati:
cerca notizie sulle violazioni;
se ricevi un’e-mail o un avviso, controlla sul sito web del fornitore di servizi, che ti ha inviato l’avviso.
Hai inserito la password su di un dispositivo mobile non attendibile, condiviso o pubblico (potrebbe essere installato un codice dannoso);
Sei preoccupato che qualcuno ti abbia visto digitale la tua password.
Riduci al minimo i danni avvisando i tuoi contatti che potrebbero essere stati colpiti.
Pensa dove sei e chi può vedere:
Se ti trovi uno spazio pubblico e digiti la tua password, fai attenzione se puoi essere visto o registrato;
Controlla se qualcuno sta guardando la tua tastiera o il tuo telefono mentre digiti le password;
Usa uno schermo di protezione della privacy per rendere più difficile vedere ciò che stai digitando.
Usa l’autenticazione a due fattori (2FA o MFA)
Verifica quali servizi offrono 2FA:
E’ fondamentale impostare 2FA per:
i tuoi conti bancari o App di denaro;
account come il tuo indirizzo e-mail, social media o altri, di cui avresti bisogno per recuperare altri account,
Le tue opzioni 2FA possono includere:
utilizzando un’App o un programma di autenticazione come Google Authenticator, Okta o Duo. Consigliamo l’APP Aegis su Android o l’App Raivo OTP su iOS/iPhone. (Quando si utilizza questa opzione è importante proteggere il telefono cellulare dai malware);
utilizzando un dispositivo hardware, spesso chiamato token di sicurezza, dongle o “chiave” USB, che puoi collegare al tuo dispositivo o configurare per utilizzare NFC (comunicazione nearfield). Alcuni esempi sono Yubikey, Nitrokey, Google Titan Key e Thetis Key. I dispositivi hardware potrebbero non essere utilizzabili su dispositivi mobili.
Puoi utilizzare un’App di autenticazione o un dispositivo hardware per più servizi oppure impostare servizi diversi con diverse forme di 2FA per una protezione aggiuntiva;
Dopo aver configurato il dispositivo 2FA, le due opzioni precedenti non richiedono una connessione internet per generare codici. L’utilizzo dell’e-mail per 2FA richiede invece una connessione.
Classificando le opzioni 2FA in ordine di sicurezza, un’App di autenticazione o un dispositivo hardware è più sicuro, quindi e-mail, quindi SMS. Inoltre, gli SMS potrebbero non raggiungerti se ti trovi in un altro paese o senza copertura.
i messaggi di testo SMS non sono crittografati e gli aggressori hanno intercettato con successo questi codici una tantum diretti al telefono di un possibile “bersaglio”.
Una volta che hai impostato 2FA, quando inserisci il tuo nome utente e password utilizzerai anche questo modo aggiuntivo per dimostrare di essere chi dici di essere, inserendo la tua chiave, inserendo un codice dal tuo autenticatore o inserendo il codice che ti viene inviato;
Non disabilitare l’autenticazione a due fattori dopo averla configurata. Alcuni servizi potrebbero offrirti la possibilità di disattivarlo per un po’ per comodità, ma considera l’impatto che ciò potrebbe avere sulla tua sicurezza.
Mantieni i codici di backup 2FA al sicuro e separati:
Se ti vengono forniti codici di backup quando configuri 2FA, archivia questi codici in un gestore di password;
Idealmente per mantenere questi codici separati da altre informazioni che potrebbero essere utilizzate per accedere ai tuoi account, crea un database KeePassXC separato e salvalo su un altro dispositivo.
Evita l’impronta digitale o lo sblocco on il volto (biometria):
Se il dispositivo è impostato per lo sblocco tramite viso o impronta digitale, modifica le impostazioni per utilizzare invece lo sblocco con password;
Consulta le guide di sicurezza di base per Android, iOS, Mac e Windows per istruzioni su come eseguire questa operazione.
Imposta domande di recupero più sicure
Molti servizi web richiedono “domande di sicurezza” o “domande di ripristino” quando crei un account. Per renderle meno accessibili:
fornisci risposte false e non correlate con le domande;
puoi utilizzare un altro codice univoco causale generato dal tuo gestore di password;
salva le tue risposte e altre informazioni false nel tuo gestore di password, in modo da non rimanere bloccato.
Le domande di ripristino sono importanti per aiutare i servizi a verificare la tua identità, in caso di sospetto che qualcun altro stia tentando di accedere al tuo account. Le risposte a domande come “in quale città sei nato” oppure “come si chiama il tuo animale domestico”, possono essere di facile risposta, nel caso in cui riescano ad arrivare ai tuoi dati. Se tu dai risposte false, puoi rendere più difficile per un malintenzionato dirottare il tuo account.
Definiamo “sorveglianza” la raccolta di dati da parte di Enti Pubblici, mentre semplicemente “servizi per l’utente” la stessa raccolta fatta da aziende.
Monitoraggio online: che cos’è?
Ti è mai successo di stare tranquillo seduto a leggere un giornale, mentre ti accorgi di uno sconosciuto che alle tue spalle lo leggeva anche lui? Leggere le notizie online è come avere Google, Facebook o Twitter che fanno la stessa cosa. Le aziende che raccolgono dati (tracker di terze parti) su chi sei, cosa stai leggendo e cosa ti interessa, di solito senza che tu lo sappia. Il monitoraggio online svolge un ruolo fondamentale in un settore più ampio che trae profitto dai nostri dati.
Vediamo come funziona. La maggior parte dei siti include immagini e codici incorporati, che provengono da domini e serve di società di terze parti. Queste società sono in grado di tracciarci attraverso l’uso di cookie e di altre tecnologie, che raccolgono varie informazioni su di noi: indirizzo IP, tipo di pc o telefono cellulare, sistema operativo ed i plug-in che abbiamo installato, per esempio. Oltre a questo dati sul nostro comportamento online, come i siti che visitiamo, dove e per quanto tempo indugia il nostro mouse su una pagina e ciò che cerchiamo. Tutto ciò viene collegato con i nostri mi piace e consentono di creare profili su di noi, che sono poi venduto agli inserzionisti. E questo alimenta un settore ben più ampio che trae profitto dai nostri dati.
Che cos’è la trackografia
Trackography è un progetto “open source di Tactical Tech” che mira ad aumentare la trasparenza sull’industria dei dati online illustrando chi ci segue online e dove viaggiano i nostri dati quando accediamo ai siti Web. In particolare ci mostra:
le aziende che ci seguono
i paesi che ospitano i server dei siti Web a cui accediamo
i paesi che ospitano i server delle società di tracciamento
i paesi che ospitano l’infrastruttura di rete necessaria per raggiungere i server dei siti Web e le società di tracciamento
informazioni su come alcune delle “società di monitoraggio prevalenti a livello globale” gestiscono i nostri dati in base alle loro politiche sulla privacy
I dati raccolti tramite Trackography sono aperti e possono fungere da risorsa per ricercatori, avvocati, attivisti, sostenitori, attivisti e formatori di sicurezza digitale che sono interessati a sollevare domande critiche su tracker di terze parti o che vogliono mostrare cosa succede ai nostri dati online.
Perchè trackografia
La trackografia è stata sviluppata per:
aumentare la trasparenza e la consapevolezza pubblica sull’industria globale dei dati
aiutare gli utenti di Internet a capire meglio come funziona il monitoraggio online
mostrare come il tracciamento dei dati è imminente per l’uso di Internet
sollevare questioni critiche riguardanti l’industria globale dei dati
motivare gruppi e individui a utilizzare gli strumenti di elusione esistenti per il miglioramento della privacy e il monitoraggio
ispirare gruppi e individui a sviluppare (più) strumenti di elusione del monitoraggio
fornire una risorsa per ricercatori, avvocati, attivisti, sostenitori, attivisti e formatori di sicurezza digitale
Perchè il monitoraggio online è importante?
Il monitoraggio online significa che il nostro comportamento online è sotto il microscopio da parti a cui non abbiamo esplicitamente acconsentito.
La pubblicità è il modello di business predefinito di Internet. Quasi ogni singolo sito web a cui accediamo viene tracciato da qualcuno, da qualche parte. Ciò è reso possibile dall’uso di tecnologie di tracciamento, come i cookie, da parte di società che guadagnano milioni con il monitoraggio, la raccolta, l’analisi, l’elaborazione, l’aggregazione e la vendita dei nostri dati, spesso a scapito delle nostre libertà civili (come il nostro diritto alla privacy ).
In molti casi, tali società creano profili su gruppi e individui che aiutano l’industria pubblicitaria. Questi profili raccontano una storia su di noi – che può essere vera o meno – e possono includere le nostre convinzioni politiche, genere, orientamento sessuale, stato economico, abitudini, interessi, affiliazioni e molto altro. E sebbene tutto ciò possa sembrare innocuo, abbiamo pochissimo controllo su come e quando i nostri dati vengono raccolti, come vengono creati i nostri profili, se sono accurati, con chi vengono successivamente condivisi, chi vi ha accesso, cosa vengono utilizzati per, dove sono conservati e per quanto tempo. Tali profili vengono poi venduti a terze parti che possono essere inserzionisti, editori, compagnie assicurative, farmaceutiche, banche, fornitori di servizi di comunicazione o dipartimento del governo.
Perchè la profilazione è importante?
La profilazione individuale può sollevare vari tipi di preoccupazioni. Immagina di non poter ottenere un prestito bancario perché la tua banca ha acquistato dati su di te che dimostrano che sei un “cliente inaffidabile”. Oppure immagina che la tua compagnia di assicurazioni ti classifichi come qualcuno con un “comportamento rischioso” a causa del fatto che le tue attività di navigazione mostrano che hai un interesse per gli sport estremi. O peggio ancora, immagina le forze dell’ordine che bussano alla tua porta perché hai “letto troppo” materiale anarchico online.
La profilazione di gruppopuò essere ugualmente problematica e può sollevare preoccupazioni per la società in generale. La ricerca ha dimostrato che il raggruppamento di dati sui gruppi può portare a discriminazione, i broker di dati (coloro che raccolgono, analizzano e vendono informazioni sui consumatori) inseriscono le persone in categorie (segmenti dei dati), che possono portare a comportamenti discriminatorio nei loro confronti, da parte di coloro che acquisizioni tali elenchi (es. la situazione finanziaria o sanitaria).
Perchè è importante sapere dove viaggiano i nostri dati?
E’ bene sapere che quando ci colleghiamo ad un sito web, non ci colleghiamo solo al server di quel sito, ma anche ai server di tutte le altre società che stanno monitorando il nostro accesso a quel sito web. Ciascuna di queste società gestisce i dati in base alla propria politica sulla privacy e rispetta leggi e regolamenti nel paese in cui ha sede.
Purtroppo però molti paesi non hanno ancora una legge specifica sulla protezione dei dati, oppure se la legge è presente non sempre viene applicata correttamente, non salvaguardando così i dati. Anche l’Unione Europea, che dispone di uno dei più solidi impianti sulla privacy a livello globale, riesce a mettersi al passo con i rapidi sviluppi su Internet. Questo si traduce nel fatto che mentre i nostri dati possono essere inizialmente raccolti all’interno dell’UE, possono ritrovarsi archiviati in un paese finale non UE.
E’ praticamente impossibile individuare la posizione dei nostri dati in ogni particolare momento, rendendo così ancora più difficile la loro regolamentazione.
Cosa esamina la Trackografia?
Monitoraggio online: siti Web multimediali
Tactical Tech ha avviato Trackography esplorando il monitoraggio online attraverso siti Web multimediali in 38 paesi in tutto il mondo.
La premessa era che, a differenza di altri tipi di siti Web, le notizie online vengono lette dalla maggior parte di noi ogni giorno, indipendentemente dal nostro background. I tracker di terze parti possono potenzialmente identificare molte informazioni sugli individui in base al tipo di notizie che leggono regolarmente, come le loro convinzioni politiche, lo stato economico e molto altro, e creare profili su di loro.
Oltre i media: monitoraggio online attraverso i siti web
Trackografia ampliata all’esame del tracciamento online attraverso vari altri diversi tipi di siti Web. Tali siti web rientrano nei seguenti settori:
Governo e politica
Finanza
Salute
Società
Risultati del monitoraggio online tramite siti web multimediali
Trackography fornisce un’istantanea del monitoraggio di terze parti in oltre 2.500 siti Web multimediali in 38 paesi in momenti specifici. Alcuni risultati chiave basati sui dati che abbiamo raccolto includono quanto segue:
1. Gli Stati Uniti d’America (USA) sono il principale paese a livello globale che tiene traccia di ciò che leggiamo online.
Almeno il 90% di tutti i siti Web multimediali ha connessioni che passano attraverso l’infrastruttura di rete degli Stati Uniti per i seguenti motivi:
gli Stati Uniti ospitano i server della maggior parte delle società di tracciamento a livello globale, inclusi i server di alcune delle principali società di tracciamento, come Google, Facebook e Twitter
gli Stati Uniti ospitano i server della maggior parte dei siti Web multimediali
gli Stati Uniti possiedono la maggior parte dell’infrastruttura di rete necessaria per accedere ai server dei siti Web dei media e delle società di monitoraggio
L’infrastruttura di Google, Facebook e Twitter è inclusa nell’87,32% dei 2.508 siti Web multimediali analizzati dal nostro software. Attraverso queste tre società statunitensi, la maggior parte dei dati su ciò che le persone in tutto il mondo leggono online finiscono nei server statunitensi.
2. In alcuni casi, la lettura delle notizie online fa sì che i dati delle persone arrivino ai server degli stati avversari. Per esempio:
Ucraina: l’80% dei siti web dei media nazionali e, in media, l’84,61% dei siti web dei media regionali hanno almeno una connessione che passa attraverso l’infrastruttura di rete della Russia.
Territori palestinesi: il 27,59% dei siti Web dei media nazionali, il 50% dei siti Web dei media regionali e il 16,67% dei blog di notizie hanno almeno una connessione che passa attraverso l’infrastruttura di rete di Israele, mentre il 93,1% dei siti Web dei media nazionali e il 100% dei siti Web dei media regionali passare attraverso l’infrastruttura di rete degli Stati Uniti
Pakistan: il 5,71% dei siti Web dei media nazionali e il 12,5% dei siti Web dei media regionali hanno almeno una connessione che passa attraverso l’infrastruttura di rete dell’India.
3. Anche se il tuo paese potrebbe avere una legislazione sulla privacy, la lettura delle notizie online potrebbe comportare il trasferimento dei tuoi dati in paesi che non hanno leggi sulla privacy. Per esempio:
Germania: alcuni siti Web dei media nazionali dei nostri test hanno connessioni che passano attraverso l’infrastruttura di rete dell’India, che attualmente non ha leggi sulla privacy.
4. Alcune organizzazioni di media che difendono e promuovono i diritti umani consentono a più aziende di monitorare le persone che accedono ai loro siti web. Per esempio:
Secondo uno dei nostri test, il quotidiano spagnolo Libertad Digital , un quotidiano online per la difesa del giornalismo, consente a 49 aziende di tracciare i visitatori del suo sito web.
5. Secondo alcuni dei nostri test , il Wall Street Journal, il Philippine Daily Inquirer e il Kashmir Times consentono alla maggior parte delle aziende a livello globale di tracciare i visitatori dei propri siti web .
6. A differenza del Global North, la maggior parte dei paesi del Global South non ospita i server dei propri siti Web multimediali. Invece, di solito sono ospitati nei paesi del Nord del mondo, il che significa che i dati dei loro cittadini vengono successivamente gestiti e regolamentati in base a leggi e giurisdizioni diverse.
7. Quando accediamo a siti Web multimediali a livello globale, i principali paesi in cui viaggiano i nostri dati includono quanto segue:
Stati Uniti d’America
Regno Unito
Paesi Bassi
Irlanda
Singapore
Italia
Germania
Francia
Giappone
Anche se tutti i paesi di cui sopra hanno leggi sulla privacy, ci sono dei limiti. Tali leggi non proteggono necessariamente i dati dei cittadini stranieri né tutti i dati rientrano in tali leggi. Inoltre, al momento non è chiaro con chi questi paesi condividano i dati raccolti e dove tali dati vengano eventualmente archiviati.
8. Punti salienti specifici per paese:
Kenya: tutti i siti Web dei media nazionali e i blog di notizie del nostro test hanno almeno una connessione che passa attraverso l’infrastruttura di rete degli Emirati Arabi Uniti.
Pakistan: il 74,29% dei siti Web dei media nazionali e il 62,5% dei siti Web dei media regionali hanno almeno una connessione che passa attraverso l’infrastruttura dell’Oman.
Siria: l’86,96% dei siti web dei media nazionali ha almeno una connessione che passa attraverso l’infrastruttura di rete degli Stati Uniti e del Regno Unito.
Arabia Saudita: il 93% dei siti media nazionali ha almeno una connessione che passa attraverso l’infrastruttura di rete italiana.
Russia: il 77,78% dei siti web dei media nazionali ha connessioni che passano attraverso l’infrastruttura di rete degli Stati Uniti e del Regno Unito.
Australia: circa il 94% dei siti web dei media nazionali, l’81,51% dei siti web dei media regionali e il 77,27% dei blog di notizie hanno almeno una connessione che passa attraverso l’infrastruttura di rete di Singapore.
India: l’ 86,3% dei siti web dei media nazionali ha almeno una connessione che passa attraverso l’infrastruttura di rete di Singapore.
Brasile: tutti i siti web dei media nazionali del nostro test hanno almeno una connessione che passa attraverso l’infrastruttura di rete italiana.
Indonesia: i siti web dei media nazionali hanno connessioni che passano attraverso l’infrastruttura di rete di India, Singapore e Stati Uniti in tutti e 3 i nostri test.
Nigeria: tutti i siti Web dei media nazionali e tutti i blog di notizie del nostro test hanno almeno una connessione che passa attraverso l’infrastruttura di rete del Sud Africa.
Regno Unito: i siti web dei media nazionali hanno almeno una connessione che passa attraverso l’infrastruttura di rete dei Paesi Bassi in tutti e 5 i nostri test.
Risultati del monitoraggio online tramite siti web in Asia e UE
Trackography fornisce un’istantanea del tracciamento di terze parti attraverso vari tipi di siti Web (ad es. governativi e finanziari) in India, Tailandia, Filippine e 17 paesi europei. Alcuni risultati chiave basati sui dati che abbiamo raccolto includono quanto segue:
India
1. Google tiene traccia del comportamento online degli indiani più di qualsiasi altra azienda. In particolare, tiene traccia del 68,7% dell’accesso degli utenti a siti Web sanitari, finanziari, sociali e politici in India.
2. Anche se il server di onlymyhealth.com si trova in India, quando gli utenti accedono a quel sito Web si connettono anche ai server di 18 società di tracciamento che si trovano negli Stati Uniti, Australia, Giappone, Vietnam, Germania, Paesi Bassi, Svezia , Irlanda e Regno Unito. Tali società includono broker di dati come PubMatic e AppNexus, che hanno periodi di conservazione dei dati rispettivamente di 270 e 730 giorni.
* onlymyhealth.com include informazioni su varie condizioni di salute, che vanno dalla gravidanza e malattie sessualmente trasmissibili al diabete e al cancro
Tailandia
1. Google tiene traccia di tutti gli accessi (100%) ai siti Web più popolari della Tailandia.
2. Google tiene traccia del comportamento online degli utenti online thailandesi più di qualsiasi altra azienda. In particolare, tiene traccia del 66,8% dell’accesso degli utenti a siti Web finanziari, sociali, sanitari e governativi in Tailandia.
3. Anche se il server di ohozaa.com (uno dei siti Web più popolari in Tailandia) si trova in Tailandia, quando gli utenti accedono a quel sito Web si connettono anche ai server di 11 società di tracciamento che si trovano negli Stati Uniti, in Giappone, Malesia e Irlanda.
Filippine
1. Google tiene traccia del comportamento online degli utenti filippini più di qualsiasi altra azienda. In particolare, tiene traccia del 73,2% dell’accesso degli utenti a siti Web finanziari, sociali, sanitari e governativi.
2. Google tiene traccia dell’80% degli accessi ai siti Web più popolari nelle Filippine.
3. Quando gli utenti nelle Filippine accedono a coraggiofilippine.blogspot.com , si connettono ai server di 16 società di tracciamento che si trovano in Canada, Australia, Francia e Regno Unito. Tali società includono broker di dati come PubMatic e Lotame, che hanno periodi di conservazione dei dati per 270 giorni.
* coraggiofilippine.blogspot.com è un sito web gestito dalla Chiesa cattolica romana che fornisce “sostegno spirituale per uomini e donne con attrazioni per lo stesso sesso”
Unione europea
Sulla base dei seguenti risultati , è evidente che Google tiene traccia degli accessi degli utenti ai siti Web governativi in 17 paesi europei:
Spagna
Google, 43,1%
Facebook, 5,2%
AddThis, 3,4%
Svizzera
Google, 29,7%
Facebook, 1,9%
AddThis, 1,3%
Belgio
Google, 49,2%
Facebook, 3,1%
Neustar, 2,7%
Ungheria
Google, 47,9%
Facebook, 13,7%
Yandex, 1,6%
Lettonia
Google, 46,5%
Gemio, 1,6%
Facebook, 3,6%
Cipro
Google, 48,2%
AddThis, 3,6%
Facebook, 5,8%
Estonia
Google, 58%
Twitter, 11,6%
Brightcove, 2,3%
Inghilterra
Google, 68,2%
Twitter, 9,1%
AddThis, 1,2%
Olanda
Google, 32,6%
Facebook, 2,3%
Neustar, 2,9%
Irlanda
Google, 50%
Facebook, 13,2%
Krux, 31,9%
Austria
Google, 80,4%
punteggio com, 34,8%
Zopim, 1,1%
Romania
Google, 52,2%
Twitter, 10,9%
Video a coda lunga, 2,9%
Germania
Google, 22,9%
etracker, 11,4%
Media specifici, 7,7%
Malta
Google, 43,1%
Twitter, 13,8%
WPP, 10%
Francia
Google, 40%
Twitter, 16,7%
AddThis, 8,3%
Italia
Google, 49,2%
Facebook, 4,6%
Yahoo!, 1,5%
Svezia
Google, 41,7%
Video a coda lunga, 2,1%
Facebook, 2,1%
Incontro diretto dei tracker
Per lo studio sui siti web dei media, il software è stato distribuito in 38 paesi in tutto il mondo ed identificato centinaia di aziende che tracciano le persone attraverso i siti. Secondo i risultati di questo studio, di alcune di queste aziende esaminate, denominate società di tracciamento prevalenti a livello globale, è stato analizzato le relative politiche sulla privacy, per avere un’idea di come dichiarano di gestire i dati.
In particolare sono stati raccolti dati sui seguenti campi delle loro informative:
Le tipologie di dati che raccolgono (PII, non PII, dati tecnici)
Se forniscono garanzie per impedire la piena identificazione degli indirizzi IP delle persone
Se le persone possono rinunciare al loro monitoraggio
Se supportano Do Not Track (DNT)
I tipi di tecnologie di tracciamento che utilizzano (cookie del browser, cookie flash, web beacon/web bug)
Se sono conformi al quadro Safe Harbor USA-UE
Che siano certificati TRUSTe
Risultati chiave
Su 25 società di tracciamento prevalenti a livello globale, 19 dichiarano nelle loro politiche sulla privacy di raccogliere informazioni di identificazione personale (PII) e divulgare dati a terzi, senza vietare esplicitamente loro di utilizzare tali dati per scopi non specificati.
Solo 11 su 25 società di monitoraggio prevalenti a livello globale rivelano per quanto tempo conservano i dati nelle loro politiche sulla privacy .
22 delle 25 società di monitoraggio prevalenti a livello globale hanno sede negli Stati Uniti d’America.
Solo 3 su 25 società di monitoraggio prevalenti a livello globale supportano Do Not Track (DNT) .
Mentre 25 società di tracciamento prevalenti a livello globale affermano nelle loro politiche sulla privacy che gli utenti possono “rinunciare” al tracciamento online, questa opzione è in gran parte condizionata in alcuni casi a causa di alcuni dei seguenti motivi:
gli utenti possono rinunciare solo se il loro browser non è configurato per bloccare i cookie di terze parti
gli utenti possono annullare l’iscrizione solo cancellando il proprio account con un servizio
gli utenti devono rinunciare a tutti i dispositivi che utilizzano
gli utenti possono solo disattivare il browser che stanno utilizzando, il che significa che il monitoraggio tra siti su altri browser potrebbe continuare
se gli utenti rimuovono i cookie di tracciamento, non potranno accedere a determinati servizi
se gli utenti rinunciano, avranno accesso limitato a contenuti e funzionalità
in alcuni casi, gli utenti possono annullare l’iscrizione solo tramite il sito Web Digital Advertising Alliance
Solo 1 delle 25 società di tracciamento prevalenti a livello globale (Gemius) afferma nella sua politica sulla privacy che fornisce garanzie per impedire la piena identificazione dell’indirizzo IP degli utenti.
Sebbene la maggior parte delle società di tracciamento prevalenti a livello mondiale rispettino il quadro dell’approdo sicuro USA-UE , ciò non impedisce loro di raccogliere i dati degli utenti e di condividerli con terze parti.
Metodologia della Trackografia
Attraverso Trackography abbiamo esaminato quali aziende ci tracciano e dove viaggiano i nostri dati quando accediamo ai siti web. La nostra metodologia include quanto segue:
1. Creazione di set di dati
Tactical Tech ha iniziato Trackography esplorando il monitoraggio online attraverso siti Web multimediali. Abbiamo creato set di dati che contengono gli URL di siti Web e blog di media globali, nazionali e locali che coprono le notizie per 38 paesi in tutto il mondo. Questi set di dati sono stati esaminati dai contributori globali al progetto.
2. Esecuzione del software di raccolta dati di Trackography
Il nostro software è progettato per emulare un browser e per connettersi ai siti Web inclusi nei set di dati . Il software non solo ci consente di visualizzare il traceroute di un utente verso il server di un sito Web specifico ogni volta che vi accede, ma anche di raccogliere tutti gli URL di terze parti inclusi nei siti Web.
I dettagli su come eseguire il nostro software possono essere visualizzati tramite il nostro repository su github.
3. Analisi dei risultati
Alcuni dei risultati raccolti dal nostro software illustrano quali società specifiche ci tracciano e dove viaggiano i nostri dati quando accediamo ai siti Web inclusi nei nostri set di dati.
Nei nostri casi di studio abbiamo esaminato i risultati che abbiamo raccolto sulla base di quanto segue:
Come e perché il monitoraggio online differisce nei vari paesi del mondo
Le politiche sulla privacy delle società prevalenti che tracciano gli utenti in tutto il mondo (abbiamo reso le politiche sulla privacy leggibili da una macchina)
Il quadro legale sulla privacy di alcuni dei paesi che ospitano i server di siti Web e società di tracciamento.
Questo sito utilizza solo ed esclusivamente cookie tecnici per garantirvi una migliore navigazione.
Panoramica privacy
Questo sito Web utilizza i cookie per consentirci di offrirti la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito web e aiutare il nostro team a capire quali sezioni del sito web trovi più interessanti e utili.
Cookie strettamente necessari
I cookie strettamente necessari dovrebbero essere sempre attivati per poter salvare le tue preferenze per le impostazioni dei cookie.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
