cos’ e come districarsi tra i nuovi e i vecchi pericoli

Oggi, 28 gennaio 2024, nel mondo è il Data Privacy Day 2024, in Italia è la Giornata della Protezione dei Dati 2024, un’occasione in più per la sensibilizzazione sui temi di privacy e sicurezza dei dati personali. In un giro di calendario di cose ne sono cambiate parecchie. L’intelligenza artificiale si è presa definitivamente la scena, adesso non è solo ChatGPT ma la nuova frontiera dell’innovazione verso la quale stanno investendo un po’ tutti, sia chi vende servizi che chi vende hardware. E poi, parlando di sicurezza in senso stretto, le passkey sono avanzate a grandi falcate, iniziano a esser tanti i big del settore ad aver puntato sul nuovo strumento che promette di portare il processo di autenticazione al livello successivo, superando i limiti e soprattutto i rischi delle password.

X è solo l’ultimo a essere stato “rapito” dalle passkey, il social ex Twitter adesso tra le mani di Elon Musk le ha introdotte a partire dall’app per gli iPhone attivi negli Stati Uniti, ma è questione di tempo affinché l’accesso a X passi per tutti dal nuovo sistema di autenticazione. Le passkey non azzerano i rischi ma li riducono di parecchio, per cui la loro diffusione giocherà a favore della sicurezza. La questione ruota piuttosto intorno all’intelligenza artificiale, una conquista dal potenziale innovativo dirompente ma che allo stesso tempo, come tutte le novità rivoluzionarie, nasconde delle insidie. Il Data Privacy Day 2024 ci tende la mano per fare il punto della situazione.

Una buona sintesi per la giornata istituita nel 2006 nel Vecchio Continente per iniziativa del Consiglio d’Europa arriva da James Fisher, Chief Strategy Officier di Qlik, azienda che si occupa di software: se dell’AI non viene fatto un utilizzo responsabile, i rischi potenzialmente sono incalcolabili.

Siamo nel bel mezzo di un boom dell’intelligenza artificiale, con l’AI generativa che promette di portarci in una nuova era di produttività e sviluppo. Tuttavia, nonostante il vasto potenziale della tecnologia, i timori sono ancora molti, in particolare sul suo utilizzo responsabile. Ci sono rischi, infatti, legati alla violazione della privacy dei dati e del consenso individuale quando si tratta di quei dati su cui vengono costruiti gli algoritmi dell’intelligenza artificiale.

I deepfake, ad esempio, sulle prime fanno sorridere, alcuni però inquietano per qualità del risultato finale e possibili conseguenze. A star fermi si rischia di essere proiettati in un’era in cui potenzialmente nessuno potrà più stabilire con certezza se un viso o una dichiarazione sono autentici o sono stati creati dall’intelligenza artificiale. Rischia il consumatore e rischia l’AI, che potrebbe essere travolta da un clima di sfiducia:

La fiducia nella AI generativa – e nei dati che la alimentano – è quindi fondamentale affinché questa tecnologia venga adottata dalle aziende. Con il rischio di disinformazione, l’uso di deepfake e altro ancora, sarà necessario un maggiore sforzo per costruire questa fiducia. Un modo per farlo è migliorare i dati di cui l’AI si nutre, perché l’AI è valida solo se sono validi i suoi dati.

In Italia sul finire dello scorso anno il Garante privacy ha aperto un’indagine conoscitiva sulla raccolta online di dati personali usati per addestrare gli algoritmi, un primo passo per verificare che i siti pubblici e privati abbiano misure di sicurezza adeguate a contrastare il cosiddetto webscraping, cioè la raccolta massiva di dati personali da parte di terzi per addestrare gli algoritmi di AI. La regolamentazione è una questione urgente, e con l’AI Act l’Europa ha dimostrato acume e reattività nei confronti della sfida più grande degli anni a venire.

Dietro quella nuova frontiera che avanza alla velocità della luce e che chiamiamo intelligenza artificiale non va allentata la presa sulle care, vecchie, buone abitudini. Nonostante un’adozione via via maggiore delle passkey, le password rimangono e rimarranno anche nel 2024 lo strumento principale per tenere al sicuro quanto di più caro abbiamo online.

È di pochissimi giorni fa la notizia della violazione forse più estesa di sempre che ha causato l’esposizione di circa 12 TB di dati, non a caso soprannominata MOAB, Mother of all breaches, cioè la madre di tutte le violazioni. La “malavita 2.0” ha rubato qualcosa come 26 miliardi di informazioni di vario tipo, quindi nomi, indirizzi, numeri di telefono, credenziali d’accesso tra cui username e password, ovviamente (qui si può verificare il proprio coinvolgimento). Incalcolabili i rischi, nonostante sulla sicurezza online si porti avanti da anni una campagna di sensibilizzazione.

Il Data Privacy Day 2024 è l’occasione per ripassare alcuni concetti di base:

• mai utilizzare la stessa password
  

  • meglio affidarsi a un password manager per contrastare il rischio di dimenticarle

• più la password è complessa (alternando ad esempio minuscole, maiuscole, numeri o caratteri speciali), più ci si mette al riparo dai furti “semplici”
• attivare l’autenticazione a due fattori

  • solitamente un SMS con un codice monouso che viene inviato sul telefono all’accesso o alla reimpostazione della password

• utilizzare una VPN, soprattutto in caso di collegamento a connessioni Wi-Fi pubbliche

  • la si può vedere come un “filtro” tra sé e internet, se ne trovano di gratuite ma se lo scopo è far transitare dati e informazioni in sicurezza è meglio evitarle

• installare sempre gli ultimi aggiornamenti disponibili su smartphone, tablet, computer, eccetera.

Per la protezione “diretta” dei dati sensibili:

• leggere con attenzione le informative sui dati personali alla registrazione nei siti
• spuntare le caselle sulle autorizzazioni in maniera consapevole, sapendo ciò che si accetta.

E poi c’è il phishing, una tecnica di sottrazione dei dati o di frode ben più subdola perché basata sull’inganno. Il malvivente chiama la potenziale vittima o le manda un messaggio di posta (attenzione al mittente) vestendo i panni di un provider affidabile – spesso e volentieri si tratta di banche -, e con qualche scusa prova a “pescare” (phishing deriva dall’inglese to fish) dati personali, numeri delle carte di credito o le credenziali di accesso all’home banking.

Il più delle volte il sedicente impiegato della banca chiede di:

• accedere alla propria area riservata attraverso un link inviato via email
  

  • l’abilità dei truffatori ha raggiunto un tale livello di raffinatezza che delle volte il link della mail o dell’SMS fraudolenti conduce a una pagina d’accesso del tutto identica a quella che si utilizza normalmente; la prova del nove, tuttavia, è l’URL della pagina: se lo si controlla ci si accorge immediatamente che non si tratta di quello autentico

• eseguire delle operazioni o transazioni “di prova” al telefono
• verificare la propria posizione con un “agente antifrode” al telefono
• confermare i propri dati personali, i numeri delle carte di pagamento, i codici o le risposte alle domande di sicurezza.

In questi casi (e in molti altri) la diffidenza “salva”, al minimo dubbio è sempre un’ottima idea contattare la banca tramite i numeri di telefono gratuiti che ogni istituto mette a disposizione. Meglio un passaggio in più che il rischio di consegnare le chiavi di casa a uno sconosciuto. Ricordate che in genere le banche non chiedono mai i dati sensibili, né al telefono e neppure via posta elettronica.