di Massimo F. Penco

Cosa è l’identità digitale:

L’insieme di informazioni riguardanti una persona fisica; oltre ai dati puramente anagrafici, sempre più vanno a costituire l’identità digitale , usando le nuove tecnologie, una serie di altre informazioni che divengono un vero e proprio profilo digitale del soggetto. Tutti questi dati hanno due origini principali:

1)     Dati che vengono immagazzinati su sistemi ed archivi digitalizzati da parte della pubblica amministrazione, come ad esempio le anagrafi dei comuni, l’Agenzie delle entrate Servizio sanitario nazionale, ecc.. A loro volta questi sono da suddividersi in altra categorie in base alle peculiarità del  singolo individuo e sua progressione nella vita, ad esempio se si acquisterà una autovettura il nominativo, sui dati Anagrafici e fiscali finiranno in un altro archivio: il Pubblico Registro Automobilistico (PRA),  se acquisterà una casa il catasto, la Conservatoria delle ipoteche, L’apertura del conto in Banca , bancomat e carta di credito, se acquisterà un Cellulare e via dicendo. Secondo diversi punti di vista sfortunatamente/ fortunatamente tutti questi archivi non sono al momento interoperabili e neanche compatibili tra loro ad eccezione di alcuni , pur essendo pubblici, non sono tutti fruibili in rete se non agli addetti ai lavori.

2)     Dati che vengono ceduti ad archivi digitali di vario genere da parte del soggetto interessato di propria volontà, social network, compilazione di formulari on-line di vario genere. Tutti questi dati ceduti d’ iniziativa vanno ad alimentare una serie di archivi digitali che seppur con tutte le comminatorie di legge, non sappiamo da chi sono gestiti e tenuti e con quali livelli di sicurezza e privacy

Il conflitto sull’identità digitale:

Se da una parte vi è l’esigenza di digitalizzare quanto più possibile al fine di rendere i sistema paese più moderno, fruibile ed economico da un altro vi è l’esigenza del rispetto della privacy di ognuno di noi, conseguentemente la pubblica amministrazione dovrebbe spendere cifre piuttosto consistenti per la sicurezza di acquisizione ed archiviazione dei dati, d’altra parte occorre un forte cambio di mentalità da parte di tutti noi per il fatto che se da un lato si pretende e si ha diritto alla tutela della nostra identità digitale dall’altro rilasciamo con molta superficialità i nostri dati senza preoccuparci minimamente di dove vanno a finire e come vengono gestiti ma soprattutto se possono essere  cancellati con la stessa facilità di come sono stati inseriti, purtroppo questi dati rimangono in rete e sono più o meno visibili a tutti sotto forma di tracce digitali come mostrano gli schemi che seguono.

Più sicurezza, meno privacy, dicono i fautori del ricorso massiccio di tecnologia per i controlli personali. Anche Internet ed i social network divengono fonti di informazione e profiling dell’identità digitale di una persona, sempre più spesso, ad esempio l’attività su FB, viene esaminata da società di ricerca personale per capire le caratteristiche di un individuo, il suo orientamento politico, le amicizie e tutto quello che una persona scrive nel proprio profilo, incrociandolo con quello degli amici dei gruppi che frequenta ed altro ancora, come la correlazione di quanto inviato nel curriculum e quanto c’è on-line: la propria identità digitale.

Cito Facebook  perché in Italia siamo i più” grandi consumatori” di questo social network ecco le cifre: Ovviamente neanche a farlo apposta è di questi giorni una particolare attenzione di FB sulla privacy ecco il nuovo link che appare a tutti gli iscritti quando mettono un post on-line ottima cosa senz’altro anche se assomiglia molto al famoso adagio si chiude la stalla quando i buoi sono scappati.

http://www.facebook.com/privacy/explanation.php

Ed ancora viene finalmente fuori il problema del “Traffico d’Immagini” e del Photo sharing

http://www.theinquirer.it/2011/02/14/photo-sharing-traffico-dimmagini.html

Nell’era di Wikileaks abbiamo scoperto quanto siano vulnerabili e a rischio le informazioni, la corrispondenza segreta o meno di intere nazioni, a maggior ragione  i nostri dati personali che mettiamo on-line nei social network o sono contenuti in banche dati  non adeguatamente protette. In questo link

http://www.youtube.com/watch?v=KpLNlSKugHw&feature=related si mostra come la CIA usa FB per raccogliere informazioni  pescando nel  grande “serbatoio” dello stesso. Che sia vero o meno è qualcosa su cui riflettere. Se si leggono le condizioni di FB, che ognuno di noi accetta al momento in cui cede le proprie informazioni nella rete, c’è da rimanere attoniti:“Facebook may also collect information about you from other sources, such as newspapers, blogs, instant messaging services, and other users of the Facebook service through the operation of the service (eg. photo tags) in order to provide you with more useful information and a more personalized experience. By using Facebook, you are consenting to have your personal data transferred to and processed in the United States.” Praticamente FB può fare quello che vuole del vostro profilo.

Queste sono le condizioni con cui noi accediamo a FB e ad altri social network. Questa è la lista parziale delle informazioni che sono messe a disposizione di chiunque:

NOME, dati anagrafici, indirizzo, telefono, e-mail, sesso, abitudini, preferenze, credo politico e religioso, carriera studi, ed un’infinità di altre informazioni che possono facilmente ricavarsi anche dai post che una persona inserisce.

Potenti software sono stati predisposti per incrociare le informazioni, profilarle, fino ad arrivare ad esprimere una valutazione di ciascuno di noi in base a quanto ricercato o richiesto, curioso è il termine forgiato per indicare il fenomeno “data mining”[1].

Un’altra importante situazione da tenere in mente, è che FB come youtube, ed ogni altro social network, hanno immagazzinati centinaia di milioni di foto ed un’altra attività che chiamo “sosia network” è piuttosto semplice trovare un nostro sosia, usando un apposito software, in primo tempo creato per gioco, vedi quello della Coca Cola, poi usato per indagini di polizia, il cosiddetto “forensic”.  Questa attività illegale è divenuta una  vera e propria fabbrica di identità rubate è infatti piuttosto semplice clonare una persona rubandogli la cosa più personale di ognuno di noi il proprio volto.

La stessa FB ha indirettamente ammesso questa pratica creando una propria area:

Denominata : Reporting Fake/Fraudulent Profile

http://www.facebook.com/topic.php?uid=69178204322&topic=16194

Ed ovviamente anche qui la parola Mafia esce fuori guardate questo link:

User ID’s from Mafia Wars profile page ?

http://www.facebook.com/topic.php?uid=71775107787&topic=198262

L’uso di queste tecnologie per scopi delinquenziali è ancora tutta da scoprire e sarà un’area in cui impegnarsi in un futuro che è già oggi. Ad esempio posso creare un profilo identico ad un’altra persona basandomi sulle informazioni di un terzo o il contrario, partire da una foto e creargli intorno un altro profilo, dando vita ad una persona completamente identica nelle fattezze, con diverse informazioni e dati personali. Sarà un gioco da ragazzi realizzare un documento di identità falso o un’intera nuova “identità digitale”.

Questo è uno dei tanti avvisi di una scuola Americana:

Facebook, a social network service, is increasingly being used by school administrations and law enforcement agencies as a source of evidence against student users. The site, a popular online destination for college students, allows users to create profile pages with personal details. In the early years of the site, these pages could be viewed by other registered users from the same school, including resident assistants, campus police, or others who signed up for the service. The user privileges and terms of service of the site have since been changed to allow users to control who has the ability to view their content. Recent disciplinary actions against students based on information made available on Facebook has spurred debate over the legality and ethics of school administrators’ harvesting such information. Facebook’s Terms of Use specify that “the website is available for your personal, noncommercial use only,” misleading some to believe that college administrators and police may not use the site for conducting investigations. However, Facebook spokespeople have made clear that Facebook is a public forum and all information published on the site should be presumed available to the general public, school administrators included. Legal experts agree that public information sources such as Facebook can be legally used in criminal or other investigations.^[2]

Il nostro comportamento nell’interaggire nella rete lasciano le nostre traccie digitali “DIGITAL FOOTPRINT”  che rimangono purtroppo indelebili nel WEB

SOCIAL NETWORK A PARTE

Facebook è solo una delle realtà basata su Internet. Ogni nostra Iterazione  anche se gestita da terzi da e con il mondo digitale lascia la nostra ombra digitale “DIGITAL SHADOW” o tracce digitali “DIGITAL FOOTPRINT”

• In Italia ci si sta avviando verso un esteso uso della rete e di raccolta dati che interessano l’intera popolazione. Alcuni dei progetti riguardano:
• Il fascicolo personale elettronico spinto dall’adozione della CEC PAC, contenente le comunicazioni tra Cittadino e Pubblica amministrazione.
• Il fascicolo sanitario elettronico contenente i dati sanitari di tutti i cittadini.

Questi si aggiungono ad n numero indefinito di Banche Dati, tenute da vari enti, in via di completa digitalizzazione ed ancora non interoperabili tra loro, ma alcune già fruibili on-line. Le più comuni: le anagrafe dei comuni, l’Agenzia delle entrate, il Pubblico Registro Automobilistico ed un’infinità di altre ancora, oltre ovviamente altre organizzazioni che raccolgono informazioni on-line tramite moduli di iscrizione più o meno protetti e più o meno plausibili. Direi che i segreti dei polverosi archivi cartacei stanno per essere violati e trasformati in bit, con essi tutti i “segreti” che contengono e tutte le nostre “Identità” che divengono così identità digitali.

DAL CARTACEO AL BIT

E’ un epocale e quanto mai necessario passaggio dalla carta al virtuale. Siamo preparati a tutto questo? Direi proprio di no, non lo siamo mentalmente, non lo siamo tecnicamente. Non mi risulta sia stato eseguito un concreto studio di cosa significhi tutto questo. Oltre che legiferare a raffica, nulla si è fatto per far si che i repositori dei dati di tutti gli Italiani siano realmente sicuri, è un po’ come andare avanti alla cieca: Poi qualcosa si farà o avverrà!

Questi sono alcuni esempi, ma in effetti ci sarebbe da scrivere n libri in materia, per questo sono arrivato nella convinzione che:

OGNI BASE DATI È A RISCHIO INTERCETTAZIONI NEL WEB,  NON ESISTE L’ASSOLUTA SICUREZZA DEI DATI

E’ una sorta di sport mondiale tra gli hackers, violare i dati altrui. Uno sport che richiede impegno, forza ed è assolutamente rischioso, ma alla fine, è un piacere immenso metterli a disposizione di tutti! Wikileaks insegna!

In Italia, il tema dell’identità digitale è quanto mai attuale. Alla luce di clamorosi e recenti episodi di cronaca nera e di processi giudiziari che hanno coinvolto emotivamente l’opinione pubblica. Sempre più spesso diventa determinante la “prova digitale”. Si può essere assolti o condannati in base alle “tracce d‘uso” di computer e telefoni cellulari, alle frequentazioni dei social network. E’ allora il caso di riflettere con attenzione su come si formano queste “prove digitali” e su come vengono valutate. Insomma, l’identità digitale pesa sempre di più nella vita di ognuno di noi, ma il dibattito resta ancora negli ambiti ristretti degli addetti ai lavori. Vorrei confutare quella sorta di teorema che sembra essere ormai accettato per buono nelle aule di giustizia. Chiamiamolo, per comodità, “Teorema della quattro P”.

E’ invalsa la consuetudine – che purtroppo è divenuta fonte di prova in alcune recenti sentenze e investigazioni di cui la cronaca ha parlato diffusamente (caso di Garlasco e di Perugia, Scazzi, ed il rapimento di Yara)  – in cui sempre di più il computer e il cellulare sono elementi primari di indagine, che evolvono in prove. La proprietà di un apparato tecnologico, PC o cellulare, fa sì che il proprietario possa sostenere e provare di aver lavorato in un certo giorno a una certa ora e, in alcuni casi (cellulare),  affermare di essere in un certo posto, o essere stato localizzato nello stesso luogo.

Il teorema che la proprietà o il possesso di un oggetto sia prova di averla usato, costituiscono un’ipotesi tutta da sfatare, soprattutto nel caso in cui l’identità di chi usa l’apparato non è più fisica bensì digitale. Questo vale ancor più per gli apparati localizzabili attraverso tecnologie (GSM o GPS). Cioè, il possesso o la proprietà di un apparato usato per comunicare non dà la certezza e la prova:

• Di chi ne fa uso;
• Del luogo fisico in cui si trova;
• Di quando lo abbia usato;
• Di quanto tempo lo abbia usato;
• In sostanza non è possibile stabilire che proprietà, possesso, uso, siano identificabili con una specifica persona fisica;
• Nessuna tecnologia è in grado di dare queste certezze;
• Gli apparati digitali, computer, cellulari, smartphone, eccetera, hanno vita e personalità autonoma, indipendentemente da chi ne ha la proprietà, li possiede e li usa.

Come vedremo, anche le più recenti ricerche tecnologiche sulla sicurezza non sono riuscite a risolvere completamente questa importante problematica e, per questo, l’identità digitale rimane un grosso problema irrisolto.

L’identità di chi opera con un computer/cellulare é nota solo a chi ne fa uso. L’operatore comunica, inserisce e riceve dati, sottoscrive digitalmente contratti, accetta clausole – interloquisce, insomma – con un’altra entità digitale, anch’essa sconosciuta.

Neanche i più moderni sistemi di trasmissione dati (Posta elettronica Certificata, certificati con firma digitale) danno la certezza di chi riceve e trasmette un messaggio di posta elettronica. Facciamo un esempio banale, ma che evidenzia il problema. Bruno invia un messaggio ad Anna (che ha lasciato il PC incustodito):

Davanti al PC di Anna potrebbe esserci chiunque, nonostante crittografia e firma digitale. Il certificato residente nel computer fa ritenere a Bruno che, dall’altra parte, ci sia Anna. In realtà potrebbe esserci un’altra persona che millanta l’identità della donna e dunque intercetta i dati trasmessi.

La stessa cosa accade se si usa una connessione sicura X509 (SSL), tipica dell’Home Banking: Anna lascia il PC incustodito con il proprio certificato installato.

Al posto di Anna potrebbe esserci chiunque. Il certificato residente nel computer fa sì che qualsiasi controllo del sistema non rilevi nulla di anomalo, poiché l’intruso personifica e sostituisce Anna.

Scenario analogo se si scambiano messaggi con i cellulari. Quando si riceve un SMS da un  numero di cellulare noto non vuol dire che “il pollice” sia della persona che si conosce. Non è il cellulare a stabilire “l’identità” dell’apparato, bensì la SIM, che può essere stata prelevata da un telefono e introdotta in un altro.  Clonare una SIM è un gioco da ragazzi. Basta uno scanner da pochi euro.

I tecnici di tutto il mondo si basano su questi concetti cardine:

1)something you have (qualcosa che solo tu hai)

2)something you know (qualcosa che solo tu conosci o hai)

Sono gli assiomi della problematica dell’identità digitale. Le soluzioni fin qui adottate (user ID e password, sistemi biometrici, eccetera) non si sono dimostrate esaustive. La conoscenza del nostro user ID e password accoppiati con un dato biometrico offrono un buon livello di sicurezza, ma non assoluto.  La cinematografia ci ha proposto situazioni al limite, in cui una persona agisce sotto minaccia ed è costretta a rivelare user ID e password e, addirittura, si sottopone al controllo biometrico. Il sistema di sicurezza è così tratto in inganno dalla falsa identità digitale. Ci sono anche altri stratagemmi per bypassare la barriera biometrica.

I sistemi di difesa possono essere di due tipi:

1)Controlli a distanza;

2)Controllo accessi.

I controlli a distanza prevedono l’uso di PIN, per attivare il telefono cellulare, prelevare denaro dal bancomat, fare operazioni di Home Banking, accedere a un server via FTP, eccetera.

Il controllo accessi comprende l’ingresso in un particolare edificio, oppure la verifica del passaporto alla frontiera. Negli Stati Uniti i funzionari prelevano anche le impronte digitali e scattano una foto a chi vuole entrare nel paese.

I due sistemi hanno in comune la ricerca continua di soluzioni che rendano le procedure semplici e veloci. E’ il caso dell’evoluzione dal passaporto tradizionale a quello biometrico. La direzione di marcia è la cosiddetta autenticazione multipla, basata cioè sull’acquisizione di informazione che possano essere incrociate e verificate all’istante. Con buona pace della privacy.  Lo sa bene chi è andato di recente negli Stati Uniti. Innanzitutto, prima di partire, ci si deve registrare nel sito web dedicato:

All’arrivo, poi, è obbligatorio (e si pagano anche 14 dollari) farsi fotografare e sottoporsi al prelievo multiplo delle impronte digitali. C’è poi la recente introduzione (non dappertutto) del body scanner.

La banca dati del servizio di immigrazione si arricchirà dunque di queste informazioni personali:

1)     Dati anagrafici completi

2)     Luogo in cui si andrà a risiedere negli Stati Uniti

3)     Dati Biometrici da confrontare con il passaporto elettronico

4)     Foto

5)     Compagnia aerea, scopo del viaggio e altro ancora.

Nel prossimo futuro (ma in alcuni casi è già realtà) è previsto:

1) lo scanning di tutto il corpo, con particolare attenzione a caratteristiche principali e eventuali malformazioni;

2) l’esame minuzioso del contenuto di ogni oggetto contenuto nella valigia imbarcata e nel bagaglio a mano

3)creazione di una cartella personale del viaggiatore, che verrà confrontata ad ogni entrata negli Stati Uniti.

CONCLUSIONI:

Allontanarsi da Internet ? è una delle domande che mi pongono spesso, certo che no ! Per troppo tempo abbiamo ignorato ogni forma di prudenza nell’uso della rete direi che il segreto consiste in:

Nel mondo digitale la prudenza deve essere eguale a quella usata nella vita reale

[1] Il data mining è una tipica applicazione informatica (solitamente facente parte di un sistema esperto), usata per rintracciare (ed accorpare) dati significativi sepolti sotto una montagna di informazioni irrilevanti. Il termine inglese mining fa proprio riferimento al lavoro di estrazione che viene fatto nelle miniere.

Tweet