Datagate: possiamo proteggere la sicurezza dei dati?

L’analisi di com’è nato e come si è sviluppato lo scandalo che sta travolgendo l’amministrazione Obama, spinge a riflettere sulle misure che le aziende possono, nel loro piccolo, adottare per salvaguardare le proprie informazioni riservate

Quello alla libertà e alla segretezza delle conversazioni private rappresenta un diritto inviolabile e costituzionalmente garantito (articolo 15) nel nostro ordinamento, tuttavia lo sviluppo della cosiddetta “società dell’informazione” ha complicato non poco la sua effettiva tutela. L’avvento dei mezzi elettronici e la capillare diffusione della rete hanno offerto la ghiotta possibilità di localizzare tecnicamente qualunque comunicazione a distanza, di conoscerne l’ora e la durata, di tracciare il percorso dei dati trasmessi, di conoscerne il contenuto, di identificarne la fonte e la destinazione. Tali informazioni sono ora disponibili e potenzialmente in mano a soggetti pubblici e privati, che possono servirsene per i propri scopi, legati al benessere della cittadinanza o ad esigenze di natura commerciale.
Alla base della questione vi è un conflitto tra diritti ugualmente meritevoli di tutela, che spinge a interrogarsi sulla legittimità o meno di azioni volte a comprimere la riservatezza per garantire il rispetto di altri interessi, non ultimo quello alla sicurezza pubblica. L’acquisizione e il trattamento del traffico dati relativo alle attività svolte dagli utenti possono, infatti, rivelarsi spesso essenziali per la repressione e la prevenzione di comportamenti illegali; allo stesso tempo, però, una simile operazione mette seriamente a repentaglio una parte della sfera dei diritti fondamentali della persona. La legislazione e la giurisprudenza nazionali e internazionali sembrano avere non poche difficoltà nel ristabilire un equilibrio, suscitando, di volta in volta, il malcontento o il plauso dei detentori di opposti diritti.
Nella ribalta mediatica del Belpaese, la discussione che ruota attorno alla privacy è stata spesso legata al tema delle intercettazioni, sulle quali si è scagliato il dito infuocato di parlamentari e pensatori non proprio illuminati, interessati forse più a insabbiare i propri illeciti che a far valere un principio superiore.
Quando, però, a impugnare lo scettro della riservatezza è un cittadino americano di 29 anni, ex collaboratore di CIA (Central Intelligence Agency) e di NSA (National Security Agency), privo – almeno apparentemente – di interessi particolari, costretto, al contrario, a rinunciare alla propria tranquillità e a vivere da fuggitivo per sostenere i propri ideali, ecco allora che si crea un vero e proprio scandalo dalle dimensioni internazionali.
A questo scandalo la retorica giornalistica ha dato il nome di Datagate e alle sue origini vi sono alcune rivelazioni della talpa Edward Snowden, rimbalzate con estreme velocità tra le molte prime pagine cartacee e digitali di tutto il mondo. Negli ultimi quattro anni, Snowden ha lavorato per la NSA, in qualità di dipendente di diverse aziende esterne, tra cui Dell e – ultima – la società di sicurezza privata Booz Allen Hamilton (quest’ultima l’ha licenziato pubblicamente, in seguito alle sue rivelazioni). Lo scorso 20 maggio egli avrebbe scelto di lasciare le Hawaii – dove si trovava proprio per conto della Booz Allen Hamilton – motivando la dipartita ai propri superiori con la necessità di curare l’epilessia. Dopo aver copiato diversi documenti riservati, aver salutato la bellissima fidanzata e aver detto addio a uno stipendio da 200mila dollari l’anno, si sarebbe rifugiato a Hong Kong, dove, a suo dire, vige un forte impegno a tutela della libertà di parola e del dissenso politico.
Dall’hotel nel quale aveva scelto di nascondersi, sarebbe, allora, partita la prima soffiata – originariamente anonima – al quotidiano britannico The Guardian circa l’esistenza di un’ordinanza che imporrebbe alla compagnia di telecomunicazioni Verizon di conservare e rivelare all’FBI tutti i dati sensibili dei propri utenti (come numeri, identificatori unici, durata, orario e luogo in cui avvengono le conversazioni telefoniche), con pesanti ripercussioni in termini di privacy. Come si legge in un documento segreto pubblicato dal quotidiano, l’ordinanza sarebbe stata emessa dalla Foreign Intelligence Surveillance Court lo scorso 25 aprile 2013 e sarebbe valida per soli tre mesi, fino al prossimo 19 luglio. Essa vieta alla Verizon di rendere pubblica la questione e, pur non estendendosi al contenuto dei messaggi o alle informazioni personali degli utenti, permette al governo di tenere sotto controllo il traffico delle telefonate realizzate, all’interno dei confini Usa o tra Usa e altri Paesi, da milioni di cittadini ignari.
Legalmente la richiesta ricade sotto le disposizioni dell’Usa Patriot Act, la discussa legge emanata dopo gli attacchi dell’11 settembre 2001, con lo scopo di intensificare la lotta al terrorismo. Allo stesso tempo essa evidenzia come siano cambiate nel tempo le attività dell’intelligence americana, prima rivolte all’estero e ora decisamente più “domestiche”.
Se questo accesso ai tabulati telefonici risulta recente, lo stesso pare non si possa dire per l’attività di capillare spionaggio relativa alle informazioni e ai dati scambiati online dagli utenti. Un successivo scoop del The Guardian e del The Washington Post ha, infatti, dimostrato l’esistenza, fin dal 2007, di un programma di sorveglianza top-secret denominato PRISM e gestito dalla NSA. Esso consentirebbe al governo statunitense di richiedere ai Big dell’informatica e della rete – tra cui Google, Facebook, Microsoft, Yahoo!, Aol, Apple, Skype (ormai parte del gruppo di Redmond) e PalTalk – l’accesso alle mail, ai video, alle foto, alle chat vocali, alle notifiche di accesso e ad altre informazioni, sotto l’approvazione di un mandato Fisa (il controverso Foreign Intelligence Surveillance Act, che autorizza il governo americano a intercettare telefonate e email all’estero). In molti hanno notato l’assenza di un nome di rilievo, nella lista di chi avrebbe cooperato con Prism, quello di Twitter, già in passato mostratosi particolarmente attento nel difendere i dati personali dei propri utenti.
Nei resoconti giornalistici della vicenda, si sono moltiplicate le voci e le ipotesi circa il reale funzionamento del PRISM: secondo alcuni – tra i quali il The New York Times – l’accesso alle informazioni non sarebbe così diretto, le aziende non fornirebbero un accesso diretto ai propri server, al contrario avrebbero costruito una sorta di casella postale protetta alla quale il governo statunitense può accedere, e dove vengono depositati i soli dati frutto di specifica richiesta Fisa, valutata legittima dagli avvocati aziendali. Nessun invio di massa e automatico, dunque. Dal canto suo, il The Guardian ha pubblicato una diapositiva tratta da una presentazione PowerPoint segreta, interna alla NSA, nella quale si parla di cinque programmi da utilizzare: quattro servirebbero a intercettare i dati “nei cavi in fibra e nelle infrastrutture in cui scorrono”, e l’ultimo, il Prism appunto, prevedrebbe la “raccolta diretta” dai server di aziende statunitensi.
La slide rientrerebbe nel materiale consegnato da Snowden al The Guardian e al The Washington Post, materiale che, tuttavia, risulta per la maggior parte ancora inedito, malgrado la richiesta del 29enne di rendere pubbliche tutte e 41 le slide inviate. Nessuno dei documenti segreti finora pubblicati sembra chiarire realmente se lo spionaggio sia automatico e ampio oppure ristretto e mediato dagli avvocati delle aziende coinvolte.
A ciò si aggiungono le pesanti parole usate dalla “talpa” Snowden nella video intervista pubblicata dal The Guardian in cui rivela la propria identità: “L’Nsa ha costruito un’infrastruttura che le permette di intercettare praticamente tutto. Con la sua capacità la grande maggioranza delle comunicazioni umane è digerita automaticamente senza obiettivi. Se volessi vedere le tue email o il telefono di tua moglie, devo solo usare le intercettazioni. Posso ottenere le tue mail, password, tabulati telefonici, carte di credito. Non voglio vivere in una società che fa questo genere di cose… Non voglio vivere in un mondo in cui ogni cosa che faccio e dico è registrata. Non è una cosa che intendo appoggiare o tollerare”.
In una successiva intervista rilasciata a un giornale di Hong Kong, il South China Morning Post, Snowden ha difeso nuovamente la propria posizione e ha alzato la posta in gioco: “Non sono né un traditore né un eroe, sono un americano”, ha affermato – parlando anche dei timori per le possibili ripercussioni della vicenda sulla sua famiglia – e ha rivelato come la NSA sia solita spiare, con vere e proprie azioni di hackeraggio, le reti informatiche di privati e istituzioni in Cina e ad Hong Kong, almeno fin dal 2009. “Coloro che pensano che ho fatto un errore a scegliere di venire ad Hong Kong equivocano le mie intenzioni”, ha detto infine. “Non sono qui per nascondermi dalla giustizia, ma per rivelare crimini”.
Sono in molti, infatti, a vedere qualcosa di sospetto nella scelta dell’ex colonia britannica per la fuga, dato che essa è sotto l’amministrazione della Repubblica Popolare Cinese dal 1997 ed è stata oggetto di forti accuse da parte della Casa Bianca, in relazione alle presunte operazioni di hackeraggio contro istituzioni, giornali e colossi informatici e finanziari Usa. Tali accuse erano al centro dell’incontro informale tra i Presidenti Obama e Xi Jinping, tenutosi proprio nei giorni in cui lo scandalo è scoppiato.
In una successiva chat con i lettori del The Guardian (l’hashtag per rivolgergli delle domande era #AskSnowden), Snowden ha, tuttavia, smentito le accuse di complicità con Pechino: “Non ho avuto contatti con il governo cinese… io lavoro solo con i giornalisti”, ha detto. Il mio, ha proseguito, “è un paese per il quale vale la pena di morire”. “Le rivelazioni daranno ad Obama l’opportunità di tornare alla ragionevolezza, alla politica costituzionale e alla legalità”. “Il governo americano” – ha concluso profetico – “non potrà insabbiare le cose uccidendomi o mettendomi in prigione. La verità sta arrivando e non può essere fermata”.
Gettando altra benzina sul fuoco, il Financial Times ha poi riferito che l’amministrazione Obama, due anni fa, chiese e ottenne dalla Commissione Europea di eliminare, dalle norme Ue sulla protezione dei dati, una misura che avrebbe complicato all’intelligence americana il compito di spiare i cittadini europei. Tale misura, nota come Anti-Fisa clause, avrebbe reso nulla qualsiasi richiesta Usa alle società di telecomunicazione e di tecnologia europee di consegnare dati relativi ai propri utenti.
I giganti della rete coinvolti hanno inizialmente negato di conoscere il programma PRISM e di aver offerto all’intelligence americana una porta aperta sui loro data center, salvo poi fare dietrofront e sferrare il contrattacco (http://daily.wired.it/news/internet/2013/06/12/datagate-rapporto-facebook-microsoft-google-426758.html#?refresh_ce), chiedendo al governo USA il permesso di pubblicare tutti i dati relativi ai loro rapporti con l’Nsa, per dimostrare una maggiore trasparenza circa il regime di sorveglianza cui sono sottoposti.
 In base a quanto dichiarato dalle stesse aziende, nel secondo semestre del 2012, Facebook avrebbe ricevuto tra le 9 mila e le 10 mila richieste da parte dell’intelligence americana, relative agli account di 18-19 mila utenti; nello stesso periodo, Microsoft ne avrebbe ricevute 6-7 mila per 31-32 mila account. Tra il primo dicembre 2012 e il 31 maggio 2013, Apple avrebbe poi ricevuto tra le 4 e le 5 mila richieste relative a 9-10 mila account, mentre Yahoo!  fra le 12 e le 13 mila. Si tratta comunque di statistiche che fanno poca chiarezza, mescolando le domande che riguardano reati comuni e quelle che hanno a che fare con la sicurezza nazionale, dato che per legge le società coinvolte non possono rivelare quali richieste ricadono nell’ambito del FISA, dunque nel programma di sorveglianza Prism. Google attende il via libera della NSA per poter effettuare la distinzione e pubblicare le informazioni relative alle sole richieste per sicurezza nazionale; al momento nel suo Transparency Report sottolinea comunque di aver ricevuto 8438 domande da parte di autorità locali, federali e nazionali degli Usa durante l’ultimo semestre dell’anno scorso (ha risposto nell’88%-90% dei casi rispetto al 94% di tre anni prima).
Dal canto suo, l’amministrazione Usa ha ammesso l’esistenza del Programma PRISM, spiegando che le informazioni cui l’FBI ha accesso riguardano solo i cittadini non americani o che vivono fuori dagli Stati Uniti, allo scopo di garantire la sicurezza nazionale da nemici esterni. Il Presidente Barack Obama ha subito evidenziato come il programma non fosse segreto, ma “riservato” e, allo stesso tempo, “legale e limitato”, autorizzato più volte dal Congresso, a partire dal 2007, con sostegno bipartisan, al solo scopo di prevenire il terrorismo.
Il Direttore della National Intelligence James Clapper ha sottolineato come le inchieste del The Guardian e del The Washington Post siano “riprovevoli” e piene di errori, mentre il Direttore dell’FBI Robert Mueller, in un’udienza al Congresso, ha ribadito il fatto che la sorveglianza delle comunicazioni da parte delle agenzie di sicurezza Usa è avvenuta nel pieno rispetto della legge e ha fatto sapere di aver avviato un’inchiesta penale nei confronti di Snowden, poiché le sue rivelazioni avrebbero causato “significativi danni” al Paese e alla sua sicurezza.
In una successiva intervista al canale Pbs, il Presidente Obama ha difeso l’operato della Casa Bianca: “Il sistema è trasparente, per questo le autorizzazioni dipendevano dal Foreign Intelligence Surveillance Act”; nel contempo ammette: “Dobbiamo trovare modi per garantire alle persone la presenza di controlli ed equilibri, la sicurezza che le loro telefonate non sono ascoltate e che i loro messaggi e mail non sono letti da un Grande Fratello”. Obama ha quindi annunciato di aver dato vita ad una Commissione per la difesa della privacy e delle libertà civili formata da cittadini indipendenti, per avviare un dialogo nazionale sulla questione. “Ritengo che il mio lavoro” – ha detto – “sia di proteggere il popolo americano, e anche di proteggere lo stile di vita americano, che comprende la nostra privacy”.
Le ultime rilevanti dichiarazioni sono quelle fatte dal Direttore della NSA Keith Alexander, nel corso di un’audizione davanti all’House Permanent Select Committee on Intelligence: egli ha rivelato come, grazie al programma PRISM, siano stati sventati oltre 50 complotti terroristici contro gli Stati Uniti, messi a punto dopo l’11 settembre. Gli attentati avrebbero riguardato più di 20 Paesi e, tra la decina pianificata nel territorio degli Stati Uniti, almeno due erano indirizzati a New York (uno alla metropolitana e uno a Wall Street).
Alexander ha anche spiegato quali siano i tipi di dati raccolti dalla NSA e in virtù di quali leggi: la sezione 215 del Patriot Act permette di raccogliere i dati relativi alle telefonate dalle compagnie, non, quindi, i dati relativi alle transazioni con carte di credito come inizialmente diffuso (che potrebbero però essere raccolti dall’Fbi), mentre la sezione 702 del Fisa permette la raccolta di dati relativi a chat, email e indirizzi Ip. Le informazioni relative al traffico telefonico – ha sostenuto ancora il capo della NSA – resterebbero a disposizione dell’agenzia per cinque anni e la loro raccolta non servirebbe ad analisi di data minging generiche, ma, al contrario, sarebbe limitata a specifici numeri di telefono. Le interrogazioni sui database telefonici, infine, possono essere richieste solo da un ventina di persone alla NSA.
La repentina giustificazione dell’amministrazione americana, che ha sottolineato come PRISM fosse rivolto esclusivamente ai cittadini esteri, è parsa a molti come una sorta di gaffe diplomatica verso il resto del mondo, suscitando non poche reazioni, anche in Italia. Lo scandalo spinge, a questo punto, a riflettere anche sulla reale capacità delle aziende italiane di proteggere i dati scambiati in rete, nei limiti, ovviamente, del proprio raggio d’azione.
Come noto, l’uso di antivirus, anti-spyware e altri strumenti classici di protezione è un requisito essenziale per la difesa dai pericoli esterni. Un’ulteriore forma di protezione potrebbe essere l’utilizzo di una rete VPN (Virtual Private Networks): essa tipicamente permette a computer ubicati in sedi fisiche diverse di stabilire un collegamento tramite Internet, ma, a differenza delle reti pubbliche, consente di crittografare i dati e inviarli solo a un computer o a gruppo di computer specifici. Ad essa possono accedere solo gli utenti autorizzati, poiché si crea una sorta di “tunnel” virtuale attraverso il web. Queste reti private vengono tipicamente usate dalle aziende per comunicare con le loro sedi remote o con i dipendenti che si lavorano fuori sede e che magari si collegano ad una rete Wi-Fi pubblica, tuttavia esse rappresentano una forma sicurezza in più anche quando si lavora su di una rete sicura locale.
La capillare diffusione delle piattaforme di Social Netwok ha poi posto nuove problematiche in tema di sicurezza, riconducibili, in particolare, a due categorie principali: da una parte i rischi derivano dai contenuti potenzialmente malevoli che possono essere scaricati dagli utenti attraverso link, file o applicazioni presenti nel canale (Malware Intrusion); dall’altra parte vi è il pericolo che alcuni dati di proprietà dell’azienda vengano divulgati in contesti e modi non conformi alla policy aziendale, causando potenziali problemi alla reputazione e alla proprietà intellettuale dell’azienda (Data Extrusion o Data Leakage).
L’utilizzo di piattaforme social non sembra essere più limitato alla sfera personale, sempre più esse rappresentano un canale informativo e commerciale; per questo la decisione di bloccare l’accesso ai Social da parte dei dipendenti, se da una parte elimina alcuni problemi di sicurezza, dall’altra persegue un modello di business piuttosto chiuso e impedisce di beneficiare dei potenziali vantaggi del web 2.0. Spetta alla specificità di ogni singola realtà valutare l’opportunità o meno di adottare simili misure, tuttavia nessuna azienda può prescindere dal definire policy aziendali capaci di indottrinare i dipendenti circa l’uso corretto dei Social Network e dall’utilizzare specifici strumenti di prevenzione.
Le minacce del tipo Malware Intrusion possono essere, ad esempio, affrontate partendo dal perimetro della rete aziendale, eliminando all’ingresso eventuali malware veicolati attraverso la connessione al Social Network (tipicamente sistemi di Network Intrusion Prevention, Network Antivirus, Content Filtering…), fino a tecnologie di protezione degli host (es. Host Antivirus, Host Intrusion Prevention). Le minacce di Data Extrusion si combattono, invece, applicando controlli di sicurezza il più vicino possibile ai dati, sugli host o analizzando i flussi di traffico in uscita per intercettare e bloccare le informazioni confidenziali.
Da qualche anno si assiste poi ad un’ampia espansione nell’utilizzo del cloud in azienda. Accanto agli ovvi benefici in termini di produttività, flessibilità e costi, si pone l’onere di adottare qualche livello di sicurezza in più per evitare che dati sensibili o riservati possano finire sotto lo sguardo di persone non autorizzate. I principali servizi di cloud storage  assicurano che i file caricati sono crittografati e protetti, tuttavia essi mantengono il controllo delle chiavi di crittografia reali, quindi non garantiscono pienamente di essere protetti da attacchi provenienti dall’esterno (ad esempio dagli stessi gestori del servizio); inoltre sui computer usati per accedere al cloud tramite specifica applicazione, i file rimangono visibili ad altre persone che accedono a quegli stessi computer. Da qui deriva l’importanza di crittografare i dati, rendendoli inaccessibili agli estranei, attraverso l’utilizzo di specifici software.
Pubblicato su: PMI-dome
Annunci

Privacy e Web: la percezione degli utenti

Un’indagine svolta da Human Highway per conto di Diennea MagNews ha indagato sull’effettiva conoscenza e considerazione dei navigatori italiani circa gli strumenti di tracciamento usati nella rete e i rischi in materia di riservatezza dei propri dati

Nel dibattito collettivo riferito alle tendenze sociali registrate nella modernità, ci si ritrova spesso a far riferimento alla figura, piuttosto inquietante, del Grande Fratello orwelliano, che dall’alto osserva, controlla e manipola le nostre stesse esistenze. Nessuno scomodi Alessia Marcuzzi per favore, l’intento della presente riflessione esula dai contenitori televisivi svuotati e coinvolge piuttosto la discussione che circonda il cosiddetto regime del controllo.

Nel dare corso alla nostra quotidianità, compiamo una serie di gesti che, più o meno volontariamente, lasciano delle tracce memorizzabili nei database di molte organizzazioni: parliamo al telefono, paghiamo con carta di credito, accumuliamo punti nella tessera del supermercato, salutiamo divertiti – quando la notiamo – la telecamera di videosorveglianza.
Per non parlare, poi, del web. Ogni attività da noi compiuta nel www rivela qualcosa di noi stessi, delle nostre inclinazioni, dei nostri interessi, delle nostre abitudini, delle nostre reti sociali, in una parola del nostro microuniverso esperienziale. Mentre tracciamo il nostro percorso lungo le infinite vie della rete (chattiamo, scambiamo foto, condividiamo dati personali e stati d’animo, realizziamo delle ricerche…), segniamo una serie di manifestazioni della nostra personalità che nel loro insieme vanno a costruire la nostra identità virtuale.

Questa cosa – tanto più vera nell’epoca dei molti network sociali e seppur apparentemente ovvia e banale – implica, in realtà, una serie di conseguenze che devono essere prese in seria considerazione e che hanno portano a non poche difficoltà nella ricerca di una regolamentazione giuridica equa della rete, capace, da un lato, di consentire l’acquisizione e il trattamento dei dati riferiti alle attività svolte in rete (spesso essenziali per la repressione e la prevenzione di comportamenti illeciti) e, dall’altro lato, di non comprimere il valore fondamentale della segretezza nelle comunicazioni (art. 15 della Costituzione italiana).

La particolare natura del dato informativo relativo al traffico generato dall’utente è in grado di documentare in modo oggettivo il fatto che determinati episodi sono avvenuti in un determinato arco temporale, a partire da determinati luoghi, manifestando determinati effetti.

Come reagiscono, allora, gli utenti ad una simile consapevolezza? E ancor prima: tale consapevolezza può dirsi realmente generalizzata? A quale livello si colloca la conoscenza degli strumenti di tracciamento e come ci si tutela da essi?
A queste e ad altre domande ha cercato di dare risposta il report 2011 “Privacy & Permission Marketing online”, con riferimento al contesto italiano: nel mese di settembre 2011 MagNews – “uno dei principali player dell’email marketing in Italia” e “core business di Diennea, azienda leader nella creazione di tecnologie per la comunicazione e il marketing” – ha commissionato a Human Highway un lavoro di ricerca con l’intento di “descrivere l’attuale percezione da parte dell’utenza internet italiana delle tematiche relative alla tutela della privacy nel Web e ai sistemi di profilazione e riconoscimento personale che sono comunemente utilizzati online”.

In seguito all’invio, tramite mail, dell’invito a partecipare, rivolto alle 2.765 persone appartenenti al panel OpLine di Human Highway, sono entrati a far parte del campione di riferimento 1.018 casi utili, rappresentativi della popolazione italiana con almeno 15 anni di età e con una frequenza di navigazione in rete non inferiore ad una volta la settimana (popolazione stimata in circa 26 milioni di individui).

Sulla base delle informazioni rese disponibili dalla Ricerca di Base condotta a giugno 2011 da Human Highway su 2.000 casi CATI per descrivere l’universo Internet italiano, una prima preliminare analisi rivela un tasso generale di penetrazione della rete in Italia pari al 50% della popolazione, percentuale che si innalza al 91% se si considerano le sole persone di età compresa tra i 15 e i 24 anni, salvo ridimensionarsi al 68% per i 25-34enni e al 66% per i 35-44enni. In conformità con questa stessa Ricerca di Base il campione di partenza è stato suddiviso per sesso, età (cinque fasce) e area geografica di appartenenza.
Stando al Report, il grado di preoccupazione in merito al tracciamento dei propri comportamenti divide la popolazione italiana in tre gruppi principali, di dimensione simile ma con predisposizione diversa, confermando sostanzialmente i dati rilevati in una ricerca simile riferita al 2009: il 38% degli intervistati non sa se essere o meno preoccupato (37% nel 2009), il 31% si dichiara per nulla o poco preoccupato (29% nel 2009), mentre il 30% è abbastanza o molto preoccupato (34% nel 2009).

Cercando di cogliere la distribuzione della preoccupazione in relazione al mezzo utilizzato, il report rivela come Facebook rappresenti una sede privilegiata per i timori degli utenti, sia con riferimento ai contenuti propri diffusi, per il possibile uso improprio degli stessi da parte del sistema (39% si dichiara molto o abbastanza preoccupato), sia soprattutto con riferimento alla mancanza di controllo per i contenuti inseriti da altri (53% è molto o abbastanza preoccupato); ben il 44,1% degli intervistati ha, allora, dichiarato di essere influenzato molto o in diversi aspetti da simili timori, modificando di conseguenza il proprio agire all’interno della piattaforma sociale.
La forte diffusione dei Social Network e la discussione sulle problematiche di privacy che ne è derivata hanno fatto in modo che passasse in secondo piano la paura del tracciamento dei dati relativi alla propria carta di credito, paura che ha perso il primato detenuto nel 2009 ma che è comunque sentita da una quota consistente della popolazione (44%); il 36% del campione dichiara di lasciarsi influenzare da questa consapevolezza, tenendo sotto controllo l’utilizzo che si fa dello strumento carta di credito.
La geolocalizzazione turba il 34% della popolazione e influenza, di conseguenza, il comportamento del 30,5%, superando il timore – ben più sentito nel 2009 – di essere intercettati telefonicamente (che preoccupa il 29% e condiziona le azioni del 26,2%).
Più basso l’allarme per la chat e per la navigazione sul web, ciascuna delle quali preoccupa il 28% della popolazione (condizionando reciprocamente il 24,9% e il 24,4% degli utenti) e per l’intercettazione delle proprie mail (il 23% se ne dichiara preoccupato e il 20,8 modifica i propri comportamenti in relazione a tale preoccupazione). Seguono fare ricerche sul web, usare il telefono fisso e la possibilità di essere spiati per strada dai circuiti di sorveglianza, alternative che raggiungono ciascuna una quota di preoccupazione pari al 20% (e influenzano rispettivamente il 20,5%, il 19,3% e il 19,2% delle persone). Ad allarmare in misura inferiore sono, infine, l’uso di carte fedeltà per la raccolta punti (15% e un condizionamento valido per il 16,4% del campione) e utilizzo del fax (11% e influenza per il 10,5%).

Dai dati riportati emerge, allora, come sia presente una relazione diretta tra timore verso una particolare modalità di tracciamento e modificazione del comportamento in senso di difesa, dunque più è alto il primo, maggiore sarà l’entità dichiarata della seconda. È interessante, tuttavia, notare come questa correlazione venga in parte meno con riferimento alla navigazione via web: pur essendo consapevoli di lasciare tracce nel corso del proprio peregrinare lungo la rete, gli utenti intervistati si dimostrano meno propensi a variare il proprio atteggiamento in questo senso e, dunque, più propensi a rinunciare ad una piccola fetta della propria riservatezza, probabilmente a causa dei molti vantaggi veicolati dalla navigazione.
Particolarmente sentita e ricercata dagli intervistati è, poi, la tutela della privacy per i minori: ad essere predilette come soluzioni alla problematica sono la formazione rivolta ai bambini circa i rischi che in tal senso si possono incontrare in Internet e l’intervento a monte dei genitori, attraverso filtri o altri controlli speciali sugli account di posta e attraverso la limitazione dei siti sui quali i bambini possono navigare. Tali metodi sono ritenuti maggiormente efficaci rispetto ad interventi più coercitivi o di divieto, interventi, questi ultimi, comunque ritenuti utili, soprattutto considerando il dato in forma evolutiva: rispetto al 2009 l’atteggiamento di protezione sembra essersi intensificato, aumentando la quota di coloro che adotterebbero queste misure coercitive pur di tutelare la privacy minorile.

Il report passa poi ad analizzare il livello di conoscenza e l’atteggiamento generale verso gli strumenti di profilazione passiva presenti in rete (cookie, indirizzi IP o Google Dasahboard).
Gli utenti hanno dimostrato un livello di conoscenza discreto verso questi strumenti: il 63,3%, ad esempio, è consapevole del fatto che nel web è possibile rintracciate il link su cui si ha cliccato per arrivare ad un determinato sito, il 62% sa che è possibile conoscere il paese in cui ci si trova e 59,7% sa che può essere riconosciuto il modello di browser che si sta utilizzando. Tutte queste consapevolezze generano comunque la sensazione di sentirsi osservati e infastidiscono gli utenti.
Il 48%, poi, ha dichiarato di conoscere i cookie e di sapere a cosa servono o quale sia la loro funzione, il 25% di averne sentito parlare e di sapere vagamente di cosa si tratta. Il 71% ha rivelato di sapere cosa sono e a cosa servono o come funzionano gli indirizzi Ip e il 17% di averne una conoscenza vaga. Il 48% conosce i metodi di profilazione passiva dell’e-mail marketing (sa che, se si è iscritti alla newsletter di un sito, esso può sapere se apro le mail che mi invia o se clicco nei link in esse presenti). Minore, invece, la conoscenza di Google Dashboard, padronanza di un solo 16% degli intervistati, al quale si somma un 14% riferito a chi ne ha solo sentito parlare vagamente; tra le reazioni all’aver scoperto i contenuti presenti in Dashboard, la più comune è la sensazione di essere osservati (28,6%), seguita dal sentirsi incuriositi e interessati (26%), dall’indifferenza (19,7%) e dal fastidio (15,7%): delle reazioni, tutto sommato, di non eccessiva preoccupazione, dettate, forse, dall’utilità dello strumento, per chi se ne serve.
Sulla base delle risposte fornite circa la conoscenza dei meccanismi di profilazione passiva del web, la popolazione è stata suddivisa in tre categorie: gli utenti “evoluti” (22%), gli utenti con una conoscenza media della rete (42%) e quelli con una conoscenza scarsa (37%).
Si rileva una forte correlazione tra consapevolezza di questi strumenti e sesso e età del rispondente: gli utenti più evoluti sono uomini (28% degli utenti uomini è evoluto, contro il 15% delle donne) appartenenti alla fascia centrale d’età (dai 35 ai 44 anni) e dopo i 45 anni la percentuale di utenti evoluti diminuisce lasciando spazio agli utenti medi (che raggiungono il 49% nella fascia 45-54 anni e si ridimensionano ad un 42% nella fascia over 54) e agli utenti base (raggiungono il 46% tra gli over 54).

Con riferimento al titolo di studio conseguito e alla zona di residenza, pare che gli utenti più evoluti si concentrino prevalentemente tra i laureati, residenti nel Nord Ovest.

Gli utenti più esperti sono anche i più consapevoli della tendenza, propria dei mezzi di informazione, ad enfatizzare il rischio per la privacy veicolato dal web; ciononostante sono ben consapevoli circa la presenza reale di tale rischio; gli utenti evoluti, anzi, risultano più preoccupati degli altri per la propria privacy su molti degli aspetti considerati a inizio analisi (uso del cellulare e del telefono fisso, geolocalizzazione, ricerca e navigazione sul web, videosorveglianza, scrittura mail, uso di fax e carte fedeltà) e sono gli utenti maggiormente influenzati nei loro comportamenti di utilizzo di questi mezzi, poiché cercano continuamente di tutelarsi tramite piccoli accorgimenti.
Essi, tuttavia, accettato il rischio per la privacy in rete – principalmente per la convinzione che, sia sul mondo virtuale sia su quello reale, non esistano ormai più posti “sicuri” – e dichiarano che, se anche ne sapessero di più su queste tematiche, non sarebbero disposti a cambiare il proprio atteggiamento di utilizzo del mezzo e a rinunciare ai privilegi forniti dal web.
Si osserva anche come, al crescere dell’età dei rispondenti, l’atteggiamento verso il tema della privacy sulla rete diventi sempre meno severo, meno allarmistico rispetto a quello dei più giovani, poiché cresce, appunto, la consapevolezza – o la disillusione, dicono i promotori del report – che non si possa riuscire a tutelare pienamente la propria riservatezza nemmeno nel mondo fisico; ci si dimostra, piuttosto, sempre più disponibili a rinunciare alla propria privacy in cambio di servizi specifici o dei semplici vantaggi che derivano dalla navigazione sul web.
Anche per quanto riguarda il marketing comportamentale, cambia l’atteggiamento dell’utenza in relazione ad età e al livello di conoscenza della rete: i più vecchi e i più esperti sono consapevoli del fatto che esso rappresenti la normale evoluzione della pubblicità in rete.
Con riferimento alla propria reputazione on-line, si osserva come tre rispondenti su quattro abbiano dichiarato di aver cercato almeno una volta il proprio nome su Google (18% lo ha fatto una sola volta, il 42% qualche volta e il 12% spesso), mentre il restante quarto non se ne sia curato in nessun modo; di fronte alla scoperta che sono stati pubblicati a propria insaputa da altri contenuti riferiti a sé, gli utenti si dichiarano infastiditi, ma allo stesso tempo anche meravigliati e sorpresi.
Le informazioni potenzialmente “intercettate” ritenute più personali di tutte sono la capacità del sito di localizzare qualcuno, di riconoscere il cookie e di sapere se si siano aperti o meno i messaggi ricevuti.
Altri due sono, per concludere, gli aspetti indagati dal report: i sistemi di profilazione attiva sul web e la conoscenza degli utenti circa l’informativa sulla privacy.
Con riferimento al primo, si evidenzia come, nel momento in cui all’utente venga richiesto di compilare dei form online, i campi che provocano più fastidio siano quelli relativi alla richiesta di informazioni sul reddito, sul patrimonio, sui conti correnti e sulla sfera economica in generale. Risulta diminuita notevolmente la quota di utenti che non terminano la compilazione di un form poiché vengono richieste informazioni sulla composizione del nucleo familiare, sul titolo di studio e sul sesso, mentre sono aumentati gli utenti che interrompono la profilazione quando vengono richieste informazioni come la tipologia di abitazione o altre domande sul tempo libero; in ogni caso – l’abbiamo detto – le la sfera economica continua a rappresentare la maggiore inibitrice.

Con riferimento all’informativa sulla privacy, risulta che la maggior parte (41,6%) degli intervistati non legge il testo della normativa, mentre l’atteggiamento più scrupoloso di tutti, cioè di chi legge sempre per intero il testo e ne conserva una copia sul pc, è passato da rappresentare il 10,6% degli intervistati nel 2009 al 4,4% nel 2011.
Nonostante, infine, gli intervistati conoscano abbastanza bene i propri diritti in materia di privacy e dichiarino di sapersi muovere in caso di violazione, solamente il 17% si sente tutelato dalla normativa attuale e, di questi, solo l’1% completamente, contro una percentuale del 41% riferita agli utenti che si sentono poco o per nulla tutelati (in conformità con la tendenza evidenziata nel 2009).

Pubblicato su: pmi-dome