Dal consueto Rapporto annuale del WEF sui rischi percepiti a livello globale, uno sguardo critico al mondo della sicurezza dei dati personali, destinato, in futuro, a misurarsi con l’aumento delle minacce informatiche, con l’evoluzione delle tecnologie emergenti e l’esigenza di dataset pubblici.

TAKEAWAY

  • Tra i diversi aspetti in tema di cyber-security e privacy emersi dal Report 2023 a cura del World Economic Forum, quello relativo all’aumento degli episodi di cyber crime e al diffondersi, a livello globale, della percezione di non-sicurezza riguardo alla protezione dei dati personali.
  • In particolare, uno dei rischi percepiti da coloro che hanno preso parte alla Global Risks Perception Survey si riferisce all’aumento, in futuro, della raccolta automatica di dati, con la preoccupazione che questo avvenga senza il consenso esplicito da parte deli utenti e senza la garanzia di un trattamento corretto e non lesivo della privacy.
  • Un altro rischio percepito riguarda, invece, la raccolta e il trattamento di dati personali ritenuto “abusivo”, perché effettuato con modalità e con finalità non ben precisate nel consenso originale sottoposto all’utente.

Da The Global Risks Report 2023 del World Economic Forum (WEF), la cyber-security e il diritto alla privacy emergono, a livello globale, quali aree di forte criticità a causa dell’inasprimento degli episodi di criminalità informatica e del diffondersi di un senso di insicurezza sotto il profilo della protezione dei dati, specie di quelli personali.

In particolare, i risultati della Global Risks Perception Survey (condotta dal 7 settembre al 5 ottobre 2022), utilizzata dagli autori del Report per raccogliere dati sui rischi globali percepiti, collocano la criminalità informatica nella classifica dei pericoli più gravi dei prossimi dieci anni.

Come già evidenziato dal Global Risks Report 2022 del WEF, l’attività dei cyber criminals è in drammatica crescita, con attacchi sempre più aggressivi e sofisticati. Scenario – questo – confermato anche dai dati del Rapporto Clusit sulla sicurezza ICT relativi al primo semestre 2022, che vedono – per quanto riguarda nello specifico l’Europa – un picco pari al 26% dei cyber attack complessivi, contro il 21% del 2021.

Ma il Report WEF 2023 segnala anche un altro fenomeno, legato alla proliferazione dei dispositivi di raccolta dati e alle tecniche di intelligenza artificiale a loro supporto, «che potrebbero aprire a nuove forme di controllo dell’autonomia individuale».

«Set di dati sempre più grandi e la loro analisi sempre più puntuale aumentano la percezione del rischio di un uso improprio delle informazioni personali attraverso meccanismi ritenuti legittimi, andando in qualche modo a ledere il diritto alla privacy anche nell’ambito di regimi democratici e fortemente regolamentati» osservano gli analisti del World Economic Forum, sottolineando come «le incursioni legali nei dati personali dei cittadini vengano spesso motivate da considerazioni di sicurezza pubblica, di prevenzione e di risposta alla criminalità».

Rammentiamo che la Global Risks Perception Survey di quest’anno ha coinvolto oltre 1.200 esperti in tutto il mondo – comprese autorità in ambito accademico, delle imprese, dei Governi, della comunità internazionale e della società civile – e che, all’interno del Report, il “rischio globale” è definito come «la possibilità che si verifichi un evento o una condizione che, se avessero luogo, avrebbero un impatto negativo su una parte significativa del PIL globale, della popolazione o delle risorse naturali».

Ma vediamo ora da vicino i rischi percepiti dagli intervistati e rilevati dall’indagine globale.

Schema che illustra le interconnessioni tra i rischi emerse dall’indagine condotta dal WEF in tema di “insicurezza” informatica (Fonte World Economic Forum, Global Risks Perception Survey 2022-2023).
Le interconnessioni tra i rischi emerse dall’indagine condotta dal WEF in tema di “insicurezza” informatica e privacy (Fonte: World Economic Forum, Global Risks Perception Survey 2022-2023).

Dati personali raccolti senza consenso e senza garanzia di un adeguato trattamento

In tema di cyber-security e diritto alla privacy, gli analisti del WEF mettono in guardia da un rischio che, anno dopo anno, sembra farsi sempre più concreto e abbandonare la sfera dei “timori popolari”, dettati più da disinformazione e da scarsa conoscenza della materia che dalla realtà dei fatti.

«Man mano che verranno raccolti più dati e che le potenzialità delle tecnologie aumenteranno nel corso del decennio che ci attende, le persone saranno soggette a un controllo e a un monitoraggio automatici senza precedenti, in ambito pubblico e privato, e spesso senza un adeguato anonimato o senza il loro consenso»: è questa la percezione che emerge, in generale, dalle risposte fornite dagli intervistati.

Relativamente alle tecnologie, il richiamo è all’identificazione biometrica, considerata dagli addetti ai lavori una pratica particolarmente sicura e affidabile nel proteggere l’accesso a dispositivi e a sistemi informatici – oltre che a luoghi fisici – perché in grado di identificare i soggetti mediante il riconoscimento delle loro caratteristiche fisiche uniche e irripetibili quali, ad esempio, le impronte digitali, le linee della mano, i tratti del volto o il timbro di voce.

Ma a tale livello di affidabilità e di sicurezza non corrisponde un altrettanto elevato grado di tutela della privacy e della libertà individuale, specie per quanto concerne i sistemi di riconoscimento facciale, oggetto di annosi dibattiti in tutto il mondo sia in riferimento alla loro installazione in luoghi fisici da parte di privati, sia in riferimento al loro impiego da parte delle Forze dell’ordine per motivi di pubblica sicurezza.

Insomma, il rischio percepito, per il futuro, è quello di un’identificazione biometrica di massa, con una pervasività e una rapidità tale di elaborazione dei dati raccolti che potrebbe comportare un trattamento selvaggio delle informazioni personali degli utenti, finalizzato alla loro profilazione per molteplici scopi.

Cyber-security e diritto alla privacy: il rischio della perdita di anonimato

Un altro aspetto evidenziato dal Global Risks Report 2023 in tema di cyber-security e diritto alla privacy ha a che vedere con la tendenza ad acconsentire – nelle attività online – a più raccolte di dati per impieghi correlati alla fruizione di diversi servizi e all’acquisto di differenti prodotti.

Ma il consenso alla raccolta e al trattamento di informazioni personali accordato nell’ambito di una determinata attività – fanno notare gli autori – se aggregato a ulteriori punti dati relativi ad altre attività, può esporre al fenomeno denominato “effetto mosaico” che, a sua volta, dà origine a due specifici rischi per la privacy: la reidentificazione e la divulgazione degli attributi, ossia alla perdita di anonimato e alla conseguente possibilità di essere identificati.

«Studi e ricerche in materia suggeriscono che il 99,98% dei residenti negli Stati Uniti potrebbe essere correttamente reidentificato in qualsiasi set di dati mediante solo quindici attributi demografici, arrivando così a risalire alle preferenze degli utenti in fatto di politica, ad abbinare – estraendo i dati contenuti in database pubblicamente disponibili – il DNA a individui selezionati a caso e a collegare ai singoli pazienti i dati di fatturazione medica derivati da dataset pubblici» mettono in guarda gli analisti del WEF.

Nel peggiore degli scenari, questo significa che un’organizzazione internazionale sarebbe in grado – in cambio di denaro – di condividere dati anonimi per consentire l’identificazione e il monitoraggio di rifugiati oppure per compromettere le catene di approvvigionamento di beni essenziali.

«I dati su etnia, orientamento sessuale e stato di immigrazione possono essere ottenuti legalmente in alcuni mercati e poi reidentificati a vari livelli, portando a molestie e ad abusi. In uno di questi esempi, l’orientamento sessuale di un sacerdote è stato scoperto attraverso l’acquisto di dati sulla posizione dello smartphone e poi reso pubblico» si legge nel Report.

La ricerca del compromesso tra tecnologie emergenti e protezione dei dati

In materia di cyber-security e diritto alla privacy, non possiamo però ignorare un’evidenza. E cioè che i dati, oggi, rappresentano una preziosa risorsa strategica per le organizzazioni di ogni dimensione e settore di appartenenza. A questo si aggiunge il fatto che la loro raccolta, la loro organizzazione e la loro analisi sono essenziali per la messa a punto di progetti di intelligenza artificiale di successo.

«Applicazioni più estese e innovative dell’AI e di altre tecnologie emergenti richiederanno, in futuro, incroci e aggregazioni di dati tra pubblico e privato, fornendo un vantaggio competitivo alle economie, ad esempio attraverso il conseguimento di traguardi importanti in ambito medico grazie ai progressi nell’ambito delle biotecnologie» rimarcano gli autori.

I Governi, da parte loro, dovranno sempre più impegnarsi nel bilanciare le politiche di protezione dei dati con i benefici di uno sviluppo sempre più rapido delle tecnologie emergenti.

Allo stesso tempo, per fare fronte alla crescente concentrazione di dati nelle mani di un numero ristretto di aziende del settore privato, «i Governi potrebbero spingere sempre più verso l’adozione di dataset aperti, sia nel settore pubblico che privato».

Ma il rischio è sempre uno: molti di questi set di dati potrebbero essere soggetti alla minaccia della reidentificazione. Da qui l’urgenza – espressa dagli intervistati – di intervenire con politiche e strategie a tutela di quei pool di dati particolarmente vulnerabili agli attacchi perché contenenti, ad esempio, informazioni di carattere biologico, relative al sequenziamento del DNA e a dati sanitari sensibili:

«Le potenziali conseguenze del furto su larga scala di informazioni biometriche o genomiche sono in gran parte sconosciute, ma potrebbero portare allo sviluppo di armi biologiche mirate»

avvertono gli analisti.

Cyber-security e diritto alla privacy: il pericolo di abuso (accidentale o intenzionale) dei dati

In materia di cyber-security e diritto alla privacy, un altro rischio emerso dal The Global Risks Report 2023 riguarda la raccolta e il trattamento dei dati (accidentali o intenzionali) in modalità che non erano state espresse, né ben indicate nel consenso originale sottoposto all’utente.

«Lo sviluppo, a livello globale, di una tassonomia dei dati, nonché di standard e di definizioni più coerenti dal punto di vista giuridico delle informazioni personali e delle informazioni sensibili, è a questo punto un fattore chiave».

Gli autori, a tale proposito, citano un esempio che proviene dall’Europa, dove recentemente – ai sensi del GDPR – una società è stata multata dal Garante della privacy per un messaggio pubblicitario online che, dalla raccolta di una particolare categoria di dati degli utenti interessati, era in grado di dedurre una specifica condizione fisica e la relazione con una patologia clinica.

Urge, a questo punto, considerare l’etica della raccolta e dell’utilizzo dei dati, col fine di ridurre al minimo il rischio di considerazioni reputazionali relative agli urenti su Web.

Inoltre – concludono gli analisti – stimolate sia dall’aumento degli attacchi informatici che da leggi più severe sui dati, «lo smaltimento volontario e la distruzione dei dati personali possono diventare, per le aziende, una priorità più forte, con conseguenti potenziali benefici a livello di sostenibilità ambientale derivanti dalla riduzione delle esigenze di archiviazione dei dati».

Scritto da: