La maggiore età online è 14 anni (forse)

Forse non tutti sanno che 2 settimane fa è stato pubblicato in Gazzetta Ufficiale (e quindi sta entrando in vigore) un decreto legislativo che complementa la normativa Europea sulla privacy (il Regolamento UE 679/16, meglio noto come GDPR). Tra i tanti tecnicismi del decreto, c'è un elemento che interessa gli adolescenti ed i loro genitori: è stata fissata a 14 anni (invece dei 16 come da Regolamento) l'età dalla quale i minori possono esprimere autonomanente il consenso per il trattamento dei loro dati personali nei servizi online. Poiché mi è capitato di leggere interpretazioni fuorvianti in passato, cercherò di fare chiarezza sul significato e le conseguenze di questa norma.

Il consenso è uno dei 6 presupposti su cui è possibile basare un trattamento lecito di dati personali; gli altri 5, dal punto di vista dei comuni cittadini, rappresentano tutti quei casi in cui il trattamento è indispensabile o comunque non lesivo dei nostri diritti. Quindi il consenso è l'unico caso in cui, sostanzialmente, abbiamo la possibilità di scegliere se accettare il trattamento o no. Nel mondo online è il presupposto più utilizzato, perché i servizi online (sembra incredibile, vero???) non sono indispensabili alla nostra vita. Poiché il consenso ha ovviamente un valore anche legale, sarebbe indispensabile la maggiore età per poterlo esprimere, ma in questo caso il legislatore ha tenuto in debito conto la realtà, cioè il fatto che i minori sono tra i maggiori utilizzatori di questi servizi, e quindi ha abbassato l'età per poter esprimere il consenso, prevedendo contemporaneamente alcune tutele aggiuntive, tra cui che la relativa informativa sul trattamento dei dati sia particolarmente chiara e concisa.

Cosa succede prima dei 14 anni? Semplicemente che è necessario il consenso (o l'autorizzazione) anche di chi esercità la responsabilità genitoriale. La norma prevede anche che il gestore del servizio verifichi l'età del minore e l'identità del genitore (evidentemente anche a Bruxelles hanno capito che accà nisciun è fess!).

Su quest'ultimo argomento voglio spendere altre due parole. Google ha trovato un metodo ingegnoso per verificare che il consenso accessorio dei genitori sia effettivo: richiede di utilizzare una carta di credito a nome del genitore su cui viene effettuata una pre-autorizzazione di un centesimo, che poi, dopo l'autorizzazione, viene restituito. Bene benissimo, se non fosse che (hoplà) Google ha ottenuto i dati di una carta di credito valida (non che faccia addebiti fraudolenti, intendiamoci!).

Il problema è che molti gestori, soprattutto extraeuropei (leggi: USA), se ne fregano e utilizzano un metodo molto più semplice: fissano nelle proprie condizioni di utilizzo l'età minima per iscriversi a 16 anni per tutti, così nessuna verifica è necessaria (la norma, infatti, per i maggiori di 16 anni non prevede verifiche di età). Tagliando di fatto fuori i minori proprio da tutti quei servizi che invece vanno tanto di moda, ma dall'altra parte confidando sul fatto che tanto il modo di iscriversi lo trovano lo stesso, come peraltro avvenuto finora, potendo così trattare dati personali di minori come se fossero maggiorenni.

Cari genitori, come vedete la legge non intende impedire le pratiche diventate ormai di uso quotidiano anche tra i giovanissimi, però è necessario che partecipiate alla vita online dei vostri figli, e non solo al momento dell'iscrizione al social: controllando loro, ovviamente, ma controllando anche come i diversi gestori di servizi utilizzano i vostri dati, e facendo di conseguenza le opportune scelte consapevoli. Lo ribadisco ancora una volta: utilizzare quella particolare chat "perché ce l'hanno tutti" è stupido, le alternative esistono e potete imporle, vedrete che piano piano diventeranno di uso comune; altrimenti, non cambierà mai nulla.

Aiuto, non ci sono più siti sicuri!

Pochi giorni fa è stata rilasciata la versione del browser Chrome che implementa la già annunciata funzionalità di segnalazione per i siti che non usano HTTPS.

Sul web molti siti specializzati (un esempio) ne hanno parlato, ma omettendo le informazioni basilari, per aiutare a capire l'importanza di questa scelta: ci provo io.

HTTP e HTTPS

HTTP (HyperText Transfer Protocol) è il protocollo di comunicazione su cui si basa il web, ossia internet come è conosciuta da tutti: i siti "parlano" con i browser utilizzando HTTP come linguaggio. HTTP è bidirezionale, nel senso che permette di inviare dati anche dal browser al server: funzionalità che viene usata per inviare i nostri parametri al server in modo da ottenere una risposta personalizzata.

HTTPS è la versione sicura, cioè crittografata, di HTTP. Il che vuol dire che HTTP invia i dati, in entrambe le direzioni, in chiaro, quindi facilmente leggibili (credetemi, l'intercettazione delle comunicazioni è banale).

La Crittografia di HTTPS

La crittografia trasforma un dato comprensibile in uno incomprensibile, tramite complesse funzioni matematiche. Mentre le funzioni sono sempre le stesse, ciò che rende unica ogni trasformazione è l'utilizzo di un altro dato, detto chiave, unico. Con la chiave si effettua sia la cifratura che la decifratura, il che vuol dire che la chiave deve essere conosciuta sia dal mittente che dal ricevente una comunicazione, e da nessun altro, altrimenti chiunque è in grado di decifrare la comunicazione. Questa modalità è scomoda perché mittente e destinatario devono scambiarsi la chiave in modo sicuro, e soprattutto ogni coppia mittente-destinatario deve avere chiavi diverse.

Per fortuna esistono metodi di cifratura con 2 chiavi diverse (ma correlate l'una all'altra): una deve essere tenuta segreta e l'altra può essere liberamente divulgata, semplicemente perché la cifratura avviene con una chiave e la decifratura con l'altra. Ebbene, HTTPS usa questa modalità: il server ha la chiave privata, ed il browser ha la chiave pubblica, che si scarica prima di iniziare a comunicare.

Riservatezza

Il difetto della chiave pubblica è che è, appunto, uguale per tutti, per cui chiunque sarebbe in grado di decifrare le comunicazioni provenienti dal servizio: per renderla univoca, si aggiunge un codice di sessione (creato alla prima comunicazione tra il server ed ogni singolo browser); in questa maniera, HTTPS è in grado di scambiare dati mantenendo la riservatezza degli stessi.

Autenticazione

Il fatto che il servizio possegga una chiave unica, creata appositamente e tenuta segreta comporta una seconda caratteristica: la corrispondente chiave pubblica funziona solo e esclusivamente con quel servizio, per cui il browser è sicuro di comunicare proprio con quel servizio e con nessun altro: potrei quindi autenticare il servizio.

Purtroppo, poiché la chiave pubblica è fornita dal servizio stesso, a meno di non fidarsi ciecamente, non possiamo essere sicuri che il servizio sia effettivamente quello che dichiara di essere. Per cui la vera autenticazione di un servizio ha bisogno di un ulteriore passaggio: la chiave pubblica, prima di essere utilizzata, viene a sua volta autenticata (e firmata digitalmente) da una entità terza, che effettua dei controlli per verificare che il servizio (in realtà, il proprietario, azienda o persona che sia) sia realmente chi dichiara di essere.

Siti sicuri e non sicuri

Il browser è in grado di riconoscere la firma digitale della chiave pubblica: quindi, se riconosce la firma come valida, e la chiave pubblica funziona rispetto al servizio (e quindi alla sua chiave privata), si è certi che stia parlando proprio col servizio (sito) giusto, quindi sicuro. In tutti gli altri casi, è considerato non sicuro.

Quindi i fornitori di siti hanno tutti gli interessi a farsi considerare sicuri, per le ragioni suddette: per un discorso di reputazione possono voler essere riconosciuti con certezza (es. un giornale online); per un discorso di segretezza delle informazioni (es. tutti i casi in cui si usano password); per entrambe (es. banca online).

Altre considerazioni

Tutto a posto? Ovviamente no. Ecco alcune questioni a cui fare attenzione.

• Un sito non sicuro può non essere un problema: dipende dalla criticità delle informazioni che tratta.
• Le chiavi possono avere una scadenza: se non vengono rinnovate in tempo, il sito può improvvisamente essere considerato non sicuro, pur essendolo fino a poco prima. La comunicazione rimane cifrata, ma non si può più fare completo affidamento sull'identità del servizio.
• I criminali informatici cercano continuamente metodi per ingannarci e farci considerare come sicuro un sito che non lo è. Un metodo divertente ed esemplificativo è questo. Inoltre, l'iconcina del lucchetto non è sufficiente perché banalmente falsificabile.
• La segnalazione di sito sicuro può essere assolutamente valida anche per siti con nomi simili a quelli più famosi: quindi, sempre occhio al nome del servizio nella barra degli indirizzi! Se notate qualcosa di strano, verificate che il proprietario del sito sia chi vi aspettate, e non qualcun altro.
• Tutti i metodi crittografici sono comunque vulnerabili al cosiddetto attacco a forza bruta, ossia cercare di trovare le chiavi semplicemente provando tutte le combinazioni possibili; per questo motivo la lunghezza della chiave è un fattore determinante (all'aumentare della lunghezza, il numero di tentativi aumenta in maniera esponenziale).
• Una pagina web può essere composta di parti diverse, che possono provenire da siti differenti (questo post ne è un esempio); ognuna di queste parti può utilizzare HTTPS oppure HTTP semplice, per cui la sicurezza complessiva potrebbe essere compromessa. In realtà i browser segnalano anche questa situazione (in particolare, pagine miste HTTP e HTTPS sono viste con sospetto).

Quindi: bisogna (tanto per cambiare) usare la testa. Mai e poi mai accedere al proprio conto corrente online (è solo un esempio) senza l'indicazione di sito sicuro; negli altri casi, cliccando sull'indicazione, è possibile avere i dettagli della segnalazione, e sulla base di quella decidere se andare avanti o no; e comunque si può considerare la reputazione di un sito anche sulla base dell'utilizzo e della relativa manutenzione dei certificati necessari all'HTTPS.
Anche gli altri browser permettono di fare le stesse verifiche, semplicemente (al momento) non danno l'indicazione nella stessa maniera come ora ha introdotto Chrome. Quest'ultimo ha "solo" fatto la scelta di spingere l'adozione di HTTPS anche nei casi in cui finora non se ne era sentita la necessità.