Di chi sono i dati?

Breve riflessione sul livello di consapevolezza che abbiamo in merito al cambiamento che stiamo attraversando.

Recentemente, all’interno di un episodio del quotidiano show di informazione online Breaking Italy (condotto da Alessandro Masala aka SHY) è stato trattato un argomento che ha generato in me una serie di riflessioni.

Il fatto è questo: NordVPN, fornitore di servizi di rete privata virtuale personale , ha recentemente ammesso di essere stata hackerata. Ma ovviamente, se ne stiamo parlando, la notizia non è questa.

Per citare l’esperta di Cyber Security Giulia Pastorella: “Non devi chiederti se verrai hackerato, ma quando” e soprattutto, aggiungo io (e da qui la riflessione), come ti comporterai in seguito? Quale sarà la tua politica di trasparenza (se deciderai di adottarla)?

Quando un’azienda viene hackerata, è suo dovere comunicarlo al mondo esterno?

NordVPN ha effettivamente ammesso di essere stata hackerata però, ha anche aggiunto, che è successo nel marzo 2018. Ed ecco la notizia, il punto nevralgico da cui scaturisce la nostra riflessione: una azienda privata può arrogarsi il diritto di decidere di nascondere deliberatamente una falla nel suo sistema di sicurezza, ai suoi clienti? Il fatto di essere clienti e aver accettato i famosi “termini e condizioni” ci preclude il diritto fondamentale di sapere se e quando i nostri dati sono stati in pericolo?

Prima di proseguire però è meglio essere certi di camminare su un terreno comune perciò: ecco due parole su cosa è una VPN.

Cosa è una VPN?

In breve, una VPN è uno strumento che permette, tramite uno specifico protocollo chiamato tunneling, di rendere invisibili le proprie attività in Rete e in buona sostanza di mascherare l’Indirizzo IP che si utilizza per accedere a Internet.

NordVPN, che ha fatto di “protect your privacy online” il suo claim fornisce proprio questo servizio. Chi decide di avvalersi dei prodotti sviluppati da NordVPN sa i suoi dati resteranno sempre crittografati. Questo traffico passa attraverso l’utilizzo di numerosi data center, sparsi in tutto il mondo. Nel caso specifico di NordVPN, uno dei data center europei cui si affida l’azienda, in Finlandia, è stato hackerato e da lì la falla.

Chi decide se un hack deve essere comunicato oppure no?

NordVPN ha spiegato, ad una clientela giustamente preoccupata, di aver provveduto a risolvere il problema e di aver svolto indagini interne per assicurarsi che nessun altro data center avesse un fattore di rischio che permettesse l’aprirsi di un nuovo bridge. L’azienda ha anche assicurato che non sono stati riscontrati dei danni reali di “furto di informazioni” anche perché l’azienda segue una politica di no log e non profilazione.

NordVPN, quando il problema è venuto alla luce, si è affrettata a giustificarsi affermando che, pur essendosi accorta immediatamente del problema, dato lo scarso impatto che avrebbe avuto sulla qualità del proprio servizio e soprattutto sulla sicurezza, ha deciso di tacere.

Un’azienda privata segue interessi privati

Uno dei principali problemi che riguardano il periodo storico in cui viviamo non è tanto lo sviluppo tecnologico in sé e per se, che non è mai ne buono ne cattivo, ma il modo in cui viene utilizzato e soprattutto regolamentato.

Non è corretto aspettarsi da una azienda privata che, lo ripetiamo, persegue obiettivi di business, un’azione autonoma di auto-denuncia rispetto ad un problema potrebbe andare a macchiare l’immagine stessa del brand. Se rivelare una falla porta più rumore della portata reale del problema stesso, un’azienda, se non obbligata per legge o scoraggiata da pesanti sanzioni, è portata a tacere. Un fornitore di rete sicura di navigazione ha tutte le ragioni di salvaguardare se stessa. L’azienda privata protegge la propria immagine.

Quindi chi vigila? La risposta corretta dovrebbe essere: gli stati. Enti statali super partes che si occupano di proteggere i cittadini dalle decisioni delle multinazionali e di garantire multe pesanti a chi decide di mentire ai propri clienti per proteggere la propria brand-imagine.

Ma soprattutto, bisognerebbe garantire ai cittadini di ottenere gli strumenti minimi indispensabili, per comprendere i meccanismi che regolano la gestione dei nostri dati e a cosa rinunciamo ogni volta che clicchiamo “accetto”.

Quanto siamo consapevoli?

Le domande rimaste irrisolte sono numerose ma due, principalmente, sono scaturite a seguito di questa riflessione:

1. Per quanto tempo ancora i governi degli stati lasceranno completa libertà ad aziende private focalizzate sul profitto di scegliere in modo autonomo il livello di trasparenza da garantire ai propri clienti?

2. In ultimo, per quanto tempo noi clienti continueremo a non considerare gravi questi comportamenti, lesivi, per la nostra vita e per la forma che vogliamo dare al nostro futuro?