L’innovazione digitale degli ultimi anni ha riguardato sempre più aspetti del nostro quotidiano, offrendoci numerosi “smart objects”. Dai termostati comandabili a distanza tramite smartphone, alle automobili che si guidano da sole: è questo il mondo dell’Industria IoT, fatto di oggetti intelligenti connessi ad internet.
Ma è proprio nella connessione ad internet che si nasconde il vero pericolo di questi dispositivi, che possono esporsi a attacchi hacker e data breach. Sì, perché non siamo ancora abituati a pensarlo, ma da una lampadina smart incautamente buttata nel cestino si potrebbe facilmente risalire ai dati della rete wireless cui era connessa.
Industria IoT
Il fatto che questi dispositivi siano spesso sprovvisti di display li rende poco interattivi e apparentemente innocui. Se poi si considera che, per loro natura, sono spesso lasciati incustoditi (si pensi al caso della “smart agricolture” e della robotica in generale), ecco spiegato come mai l’Unione europea abbia sentito il bisogno di sviluppare le linee guida europee per la sicurezza IoT (ETSI EN 303 645), che guideranno gli utenti nella scelta di “elevati livelli di sicurezza” forniranno alcune “disposizioni in materia di protezione dei dati […] dei dispositivi connessi alla rete, e della loro interazione con servizi ad essi associati”.
Tra le caratteristiche che, in base alle linee guida, un oggetto deve possedere per essere certificabile ci sono il fatto che possieda una password univoca, che conservi in modo sicuro i parametri di sicurezza o che garantisca la sicurezza dei dati personali degli utenti, permettendo loro di cancellarli facilmente. Solo un prodotto che si attiene a tutti e 13 i parametri può essere certificabile.
Le linee guida tengono conto anche del GDPR e della privacy: la sezione 6 richiede infatti che il costruttore dichiari espressamente se vengono trattati dati personali, in che modo e a che fine; è inoltre necessario che l’utente esprima un consenso informato al trattamento.
Un percorso iniziato nel 2020, che non sembra in procinto di arrestarsi: le “Assessment specification” e la “Implementation guide”, prossime ad entrare in vigore, completeranno il quadro della cybersecurity nell’universo IoT.
Quel che sembra ancor più importante, tuttavia, è che parallelamente alle iniziative apparentemente tecniche del legislatore, si inizi a trattare dell’argomento in modo che il consumatore stesso possa assumere decisioni ponderate. L’obiettivo è duplice: da un lato si vuole garantire la tutela effettiva degli utenti e, dall’altro, rendere più semplice individuare i possibili (e concreti) rischi dell’industria IoT.
