È particolarmente inquietante la notizia riportata nel corso della settimana su tutti i quotidiani, secondo la quale pare che siano state hackerate 73 mila telecamere di sorveglianza IP collegate mediante la rete internet.
La Polizia Postale ha indagato 11 persone accusate di aver spiato la vita intima di privati cittadini, compresi i bambini, attraverso i dispositivi installati nelle loro abitazioni, negli spogliatoi di piscine e palestre o negli studi medici.
Le chiavi di accesso alle immagini venivano poi vendute per poche decine di euro, consentendo a migliaia di utenti di spiare le ignare persone e le loro vite.
Attraverso i canali Telegram e VKontakte (il social network più diffuso in Russia) gli utenti con soli 20 euro potevano accedere alle immagini e, con l’aggiunta di altri pochi euro, potevano avere accesso alle riprese in diretta delle telecamere selezionate. Le chat aperte contavano oltre 10 mila utenti e quelle “premium” circa 2mila.
È interessante però capire come una questa gravissima intrusione nella vita privata di ognuno di noi può capitare e la prima domanda che sorge spontanea nel leggere gli articoli è cosa ci facessero delle telecamere all’interno di spogliatoi di palestre e piscine?
Pare poi evidente che uno dei principi chiave del Reg. UE 679/2016 (GDPR) sia stato, come molto spesso succede, dimenticato o calpestato e ovvero al principio della privacy by design e privacy by default sancito dall’art. 25 del GDPR.
Quando decidiamo di installare una telecamera all’interno della nostra abitazione, magari nelle stanze dei nostri figli, ma anche nelle aziende o in luoghi pubblici, non ci chiediamo mai se quei dispositivi sono sicuri, sono in grado di tutelare la nostra privacy o se li possiamo installare lecitamente; quante telecamere private riprendono il suolo pubblico senza poterlo fare?
Acquistiamo telecamere wifi perché costano poco, sono facili di installare, non richiedono cablaggio e sono versatili nell’utilizzo, ma ci dimentichiamo che quando configuriamo un dispositivo nella nostra rete domestica o aziendale lo esponiamo ad un potenziale attacco dall’esterno, magari condividiamo la rete con il nostro vicino che potenzialmente può accedere alle nostre telecamere, soprattutto, come spesso succede, non prestiamo attenzione nel cambiare la password impostata di default dal costruttore; purtroppo esistono siti come Insecam che raccoglie le credenziali di tutte le telecamera IP accessibili via Internet alle quali non sono mai state cambiate le credenziali di default rendendole disponibili a chiunque. Ma non sarebbe semplice prevedere di default un sistema che obblighi l’utente a cambiare password al primo accesso?
Molto spesso questi dispositivi trasmettono sulla rete immagini senza utilizzare protocolli di cifratura, rendendole semplicemente disponibili anche ad un hacker alle prime armi.
La cosa che fa più sorridere è che queste telecamere da pochi euro, non sono dotate di unità UPS o batterie supplementari e quindi anche il più sprovveduto dei ladri può tranquillamente disattivarle togliendo corrente dall’interruttore che è il più delle volte collocato all’esterno delle abitazioni, mettendo fine anche alla rete wifi che permette il collegamento con l’unità di registrazione o con il sistema di allarme.
Prima di installare delle telecamere in qualsiasi tipologia di azienda dovremmo ricordarci che esiste dal 2010 un Provvedimento del Garante della privacy in materia di videosorveglianza molto dettagliato e delle linee guida dell’EDPB (European Data Protection Board) che stabiliscono le regole per il trattamento dei dati personali attraverso dispositivi video e forniscono un nuovo layout di pittogramma di informativa breve per avvisare gli interessati della presenza di un impianto di videosorveglianza, che prevede la presenza di informazioni più dettagliate rispetto al precedente.
Le linee guida ci ricordano anche che prima dell’installazione di un impianto di videosorveglianza che può coinvolgere un certo numero di interessati è necessario produrre una Privacy Impact Assessment (PIA), per “dimostrare” che l’impianto è lecito e sicuro.
Una recente indagine di Federprivacy stabilisce che solo l’8% delle telecamere installate rispetta le “regole privacy” e che una gran parte delle sanzioni è dovuta propria ad illecito trattamento dei dati personali attraverso gli impianti di videosorveglianza.
Il team Privacy di PQA si mette a disposizione per guidare aziende e privati nella valutazione e installazione di impianti di videosorveglianza che rispettino la Normativa Privacy.
