Per una definitiva disamina in materia di privacy, anonimato e cybersecurity. Chi vuole difendersi da chi, e perché?
Il web è ormai ovunque. I nostri device — laptop, smartphone, ma anche computer di bordo ed elettrodomestici — sono connessi in rete e scambiano informazioni secondo per secondo. Anche il denaro, da quello “classico” smaterializzato in app a quello cryptovalutario in blockchain, è ormai una funzione digitale, per non parlare delle procedure che oggi consentono di identificarci attraverso protocolli anagrafici…
Questioni come difesa dei dati personali e sensibili, anonimato e sicurezza informatica non sono mai state più attuali, per ragioni che ormai ciascuno può sperimentare o in prima persona, per fatti abbastanza innocui, ma certamente fastidiosi, che capitano ogni giorno, oppure attraverso testimonianze indirette di attacchi informatici, fughe di dati e via discorrendo. Quante volte avete ricevuto telefonate moleste da qualcuno che non si sa perché aveva il vostro recapito telefonico? Quanta SPAM dovete rimuovere giornalmente dalla vostra casella di posta elettronica? Gli esempi sono molti, ma credo che non serva continuare per capirci.
La sostanza è che, nel mondo ormai universalmente digitalizzato, Tizio può violare la sfera privata di Sempronio attraverso meccanismi più o meno semplici, o più o meno complessi, al fine di avvantaggiare sé stesso, con possibile (ma non certo) danno della persona violata.
Tuttavia questa definizione a me continua a sembrare molto, troppo generica, in quanto, nel parlare di temi come privacy, anonimato e sicurezza informatica, noi in realtà ci riferiamo a fattispecie estremamente diverse tra loro, e in molti casi lontanissime l’una dall’altra.
Ecco perché ho deciso di fare una volta per tutte chiarezza, utilizzando quella che ritengo essere la vera chiave di volta di tutto, ossia il concetto di potere (inteso come variabile che a sua volta intercetta un contropotere più o meno in grado di neutralizzarla o ridimensionarla).
Esempio: lo strano caso dei fanatici dell’anonimato
Come molti di voi sanno, io lavoro anche nel campo delle cryptovalute, con specifico riferimento, per ovvie ragioni dimensionali e di mercato, a Bitcoin.
In questo ambito ci sono parecchie persone che si rivolgono a servizi di acquisto beni che garantiscono l’anonimato, ovvero trattano spedizioni che vengono pagate in satoshi (senza quindi coinvolgere conti correnti o carte di credito, vale a dire sistemi centralizzati e nominali), e giungono a destinazione attraverso modalità che prevedono il prelievo del pacco in punti di ritiro, appunto, anonimi, o resi anonimi da procedure (che io continuo a vedere come rocambolesche, goffe e pindariche).
Ora, io posso ben capire che una persona che intende acquistare, che so, cannabis, oppure un giocattolo sessuale, intenda occultare la sua vera identità, anche ben oltre la basica dicitura pacco anonimo. Posso anche capire, lasciando come ovvio da parte la sfera dell’illegalità, chi sta acquistando un dispositivo (un cold wallet, per esempio) in qualche misura compromettente, che possa mettere in luce per esempio la sua condizione, che so, di grande riccone nonostante le apparenze. Ma che dire di una persona che si accinge a comprare un frullatore, o un portafoglio, o una torcia, o una ricarica per la penna a sfera?
Evidentemente questa persona ritiene che i propri dati personali aggregati — vale a dire la presenza congiunta di dati anagrafici, dati residenziali e dati misti connessi alla sua persona — possa in qualche modo circolare, o essere scambiata, o comunque possa dare a qualcuno il POTERE di fargli qualcosa di male, SENZA poter opporre alcun CONTROPOTERE per difendersi.
Ebbene, questa posizione è difendibile, oppure è puramente paranoica? La risposta a questa domanda è una e solo una: dipende. In astratto, sappiamo bene che le grandi compagnie che trattano dati personali hanno spesso venduto questi dati a terzi, magari anche senza ottenere alcun consenso preliminare da parte del cliente. Ma per quale ragioni? Per un attacco terroristico a casa nostra, oppure banalmente per tentare di venderci qualcosa? Ragionevolezza vuole che sia come ovvio la seconda risposta ad essere quella giusta.
Tuttavia rimane la vera questione di base, ossia le percepite o reali dinamiche del potere. A ragione o a torto, chi oggi mette in piedi o tenta di mettere in piedi politiche di “totale anonimato” (ovviamente impossibili da implementare al cento percento, in quanto ogni amministrazione pubblica ha tutti i nostri dati anagrafici e residenziali, puntualmente riportati in documenti di identità, patenti e passaporti) che cosa sta esprimendo, se non l’implicita denuncia di una sua paura legata all’impossibilità di opporre un contropotere al potere di chi potrebbe usare i suoi dati per danneggiarlo?
L’esempio di Bitcoin, però, non è stato speso a caso, in quanto a mio avviso si pone troppo l’accento sull’anonimato di una certa transazione, e molto poco sul potere implicitamente connesso alla meccanica di quella transazione. Se io sono ricco sfondato, e ho una casa a prova di qualsiasi furto, perché mai dovrei preoccuparmi di far sapere in giro che sono pieno di soldi? Mi viene da dire che i ricchi, quelli veri, hanno sempre fatto l’esatto contrario, ostentando pesantemente, e non certo nascondendo il loro status sociale.
La stessa cosa vale per Bitcoin. Supponiamo che io venga incastrato da una persona che, facendo carte false, arrivi a dire che io devo a lui una certa somma di denaro. Supponiamo che questa persona mi rintracci, e possa dire con certezza che quella somma è effettivamente nella mia disponibilità. Se stiamo parlando di un conto corrente, è chiaro che un qualsiasi giudice avrebbe il potere, in virtù di quelle carte false, che io potrei solo contestare a posteriori (a mie spese, attraverso avvocati, controdenunce, etc…), di prosciugarlo fino all’ultimo centesimo. Ma nel caso di Bitcoin? Questo è impossibile, nel senso che solo attraverso la mia chiave privata, che conosco solo io, è possibile effettuare una transazione al wallet del mio “nemico”. In altre parole, non si capisce perché ci sia tutta questa attenzione all’anonimato, quando in realtà ci si dovrebbe più occupare del contropotere da opporre eventualmente al potere di un potenziale personaggio desideroso di danneggiarci per ottenere un guadagno che riteniamo ingiusto.
Dal mio punto di vista, io credo che l’anonimato sia il triste ripiego di chi non ha ben capito da chi o da cosa si deve difendere, e/o non è in grado di mettere in piedi, attorno a sé, una ragionevole cortina di sicurezza in grado di neutralizzare un potere altrui.
Privacy e sicurezza informatica: la vera questione
Se passiamo dal campo dell’anonimato a quello della privacy, allora le cose cambiano, e cambiano di molto.
Ciascuno di noi, ormai, gestisce decine e decine di password, fattori di autenticazione, ma anche dati sensibili non solo nostri, ma di clienti e amici, che un esperto criminale informatico potrebbe rubare per ottenenere un illecito vantaggio e provocare un indiretto danno a noi, oltre che potenzialmente a molte altre persone connesse a quei dati.
In questo caso non siamo più nel campo dell’anonimato, ma della privacy, intesa come necessaria protezione di informazioni che veicolano dinamiche ben più raffinate di una semplice anagrafica. Parlo dunque di autenticazioni, di password, di chiavi in grado di ottenere accessi dispositivi (home banking, per esempio), oppure anche di informazioni nude e crude che riguardano pazienti, clienti, situazioni particolari, segreti aziendali, formule, brevetti, etc…
In altre parole, se il mio obiettivo è nascondermi come un topo di fogna, è evidente che il mio vero problema è rappresentato non già dal potere altrui, ma dall’incapacità di allestire un contropotere in grado di neutralizzare il potere altrui di danneggiarmi solo attraverso la mia anagrafica.
(Ora, mi spiace dirlo, ma è la realtà. Come ovvio, nel mio mestiere mi è capitato di intercettare persone che manifestavano una forte, fortissima, direi paranoica attenzione all’anonimato. Curioso però che fossero tutte anche molto interessate a piramidi maya che a loro dire non si sarebbero dovute trovare dove stavano, e a teorie su genetica aliena, case infestate e affini… Non per fare ovviamente di tutta l’erba un fascio, ci mancherebbe. Ma lascio al lettore acuto e intelligente le debite ricerche, conferme e conclusioni…)
Se sono “ricco in BTC”, non ho alcun problema di anonimato, in quanto nessuno può toccare i miei BTC senza il mio esplicito consenso.
Ma se un hacker esperto riesce a penetrare nei miei sistemi informatici, dove ho incautamente stivato alcuni miei dati sensibili, magari senza un apparato di protezione adeguato, allora anche quella mia ricchezza può essere compromessa.
Ecco perché la privacy, intesa come protezione dati sensibili che in tutto o in parte si suppongono anche stivati in dispositivi elettronici, ci riguarda veramente tutti, nell’ottica della necessità uniforme e orizzontale di dotarci di sistemi di cybersecurity.
Ossia:
L’uso di sistemi potenti ci permette di difenderci dal potere altrui, attraverso un contropotere intrinseco. Ma anche questi sistemi potenti devono essere difesi da chi ha conoscenze e competenze “di livello superiore” in grado di vanificarli.
Ricapitolando
La richiesta di anonimato, salvo ovviamente casi esplicitamente eclatanti e ovvi (che comunque coinvolgono comportamenti di per sé tristi, come di chi debba nascondere relazioni extraconiugali, oppure il consumo di droghe illegali, per non parlare di veri e propri reati, che evidentemente non sono e non possono essere l’oggetto di questa mia disquisizione), nasconde in realtà l’assenza o la percepita assenza di un contropotere da opporre a quello che si considera — a ragione o a torto — un potere altrui.
L’anonimato dovrebbe invece essere sostituito dalla tranquilla esposizione in chiaro del proprio nome e cognome, con protezione di ciò che riteniamo importante attraverso sistemi in grado di renderci autonomi sul piano del potere, e non del nascondimento.
Tuttavia, la tutela della privacy informatica, ovvero la sua speculare materia, detta cybersecurity, rappresenta un campo obbligatorio per tutti, in quanto ciascuno di noi è più o meno esposto al crimine informatico, che punta non già banalmente ai nostri dati anagrafici, ma a disintegrare i nostri sistemi di sicurezza.
Per consulenze e contatti, Complet Service è l’agenzia di servisi dove ho l’onore di lavorare come consulente. Ci occupiamo anche di sicurezza informatica, con soluzioni a 360 gradi per te, la tua famiglia e la tua azienda. Se ti è piaciuto questo articolo, e magari vuoi saperne di più, non esitare a contattarci!