In principio fu il Social Engineering

Profilazione, Big Data, pubblicità personalizzate, tutti temi molto in voga da qualche anno a questa parte, hanno un antenato comune: L'Ingegneria Sociale, dall'inglese Social Engineering. Per capire il significato di questa espressione bisogna tenere a mente che l'inglese "Engineering" ha un'accezione molto più estesa del corrispettivo italiano "Ingegneria": mentre quest'ultimo si riferisce quasi esclusivamente alla ben nota facoltà universitaria, cioè l'insieme delle capacità di trasformare le conoscenze in ambito scientifico e tecnologico in prodotti e servizi disponibili alla collettività, il termine inglese comprende anche le varie branche tecniche non necessariamente di livello universitario. Nel caso specifico, si intende la capacità di studiare il comportamento di qualcosa per intuirne il funzionamento interno; solo che il "Social" che viene prima ci precisa che il qualcosa sono le persone.

Di per sé, è una tecnica non recente, ma ovviamente l'avvento dell'informatica di massa l'ha resa particolarmente efficiente per via del numero elevato di elementi che possono esserne bersaglio, e la possibilità di effettuarla da lontano e in completo anonimato. In questa fase, la tecnica si poteva effettivamente considerare un attacco informatico, nel senso che c'era qualcuno che tramite azioni mirate ed ingannevoli cercava di indurre il malcapitato di turno a dare informazioni che altrimenti avrebbe tenute riservate, oppure a fare azioni a profitto dell'attaccante. Da quando poi c'è stato l'avvento dei social network, il fenomeno è esploso, tanto da specializzarsi in varie branche con scopi diversi e da diventare la fonte delle maggiori ricchezze moderne; ma in questo caso l'attacco mirato da parte di un malfattore è stato sostituito da una generale induzione alla condivisione selvaggia dei fatti propri attraverso prodotti e servizi apparentemente innocui ed utili (ogni riferimento a fatti reali è puramente... voluto!).

Cerchiamo di capirci meglio, andando nel concreto di qualche situazione.

Gli scopi più comuni sono:

• Furto d'identità
• Furto di password per accessi fraudolenti
• Ricatto
• Influenzare i comportamenti futuri

L'esempio più comune è il phishing, cioè la mail che induce ad inserire le proprie credenziali di accesso ad un servizio in un falso sito, per poi utilizzarle nel sito vero (se si parla della vostra banca, potete immaginare da soli l'effetto); sempre in tema di mail, esse sono il veicolo più utilizzato per la diffusione dei ransomware, cioè quei virus che cifrano i dati e richiedono un riscatto per la decifratura, attraverso allegati il cui presunto contenuto viene in qualche modo a scatenare il nostro interesse. Il più pericoloso attacco di questo tipo, soprattutto se perpetrato verso minori, è carpire la fiducia per poi abusarne (il termine non è scelto a caso: i casi di cronaca sono terrificanti).

Il vero scopo del post però è quelli di mettere in guardia rispetto alle tecniche passive, cioè a quelle che fanno uso dei dati che noi stessi rendiamo pubblici attraverso la nostra normale attività online.

L'esempio più lampante sono le innumerevoli foto fronte/retro postate sui social network delle carte di credito, così da rendere visibili tutti i dati che vi sono riportati: avete mai pensato che sono esattamente i dati che vengono richiesti quando fate un pagamento online? Quindi: foto postata, acquisto fraudolento in 5, 4, 3, 2, 1... (non ci credete che qualcuno sia così stupido? c'è un account twitter che retweeta questi geni...).

Simile è il caso del nostro codice fiscale, che racconta di noi tutti i dati anagrafici (e il furto d'identità è servito; per questo non vi lamentate quando vi chiedono la fotocopia della carta d'identità, e magari evitate di postarne una foto!).
Infine, i fatti recenti dimostrano che anche solo i like/mi piace/retweet e compagnia cantante forniscono indicazioni estremamente precise sulla nostra personalità, che poi vengono utilizzate per indirizzare i nostri comportamenti futuri, a partire dagli acquisti per finire al voto elettorale, attraverso informazioni personalizzate (e intendo: espressamente indirizzate ad una determinata persona).

Altra possibilità è quella di incrociare informazioni da fonti differenti: a me è capitato in più di un caso di intuire informazioni di persone che seguo su Twitter, ma che non conosco assolutamente di persona, basandomi solo su ciò è all'interno dei loro post (casi reali: ho trovato il cognome di un utente che aveva fornito solo il nome; per un altro ho capito dove vive; non si contano i casi di intuizione delle tendenze politiche). Ma il caso più comune e secondo me pericoloso è quello di fornire involontariamente indicazioni di quando si è lontani da casa (tipicamente, quando si è in vacanza, ma non solo), postando selfie appena scattati da cui è evidente risalire al luogo in cui ci si trova, che chiaramente non è quello in cui si vive; tenendo conto che ormai con l'intelligenza artificiale è possibile riconoscere posti anche molto poco comuni e da pochi, apparentemente insignificanti, dettagli.

L'errore più grave che si può commettere è quello di pensare che tutto ciò non riguardi noi: i malintenzionati non vanno per bersagli precisi, ma cercano nel mucchio di cui noi tutti facciamo parte. Il mio consiglio, prima di condividere anche la più più innocente delle informazioni, è chiedersi: a che scopo può essere utilizzata a mio danno? Ricordandoci poi che internet non dimentica.

P.S. Mai, MAI, MAI utilizzare informazioni personali per scegliere le vostre password!!!

Ci aggiorniamo?

Qualche settimana fa, non ricordo qual era il motivo, mi sono sentito dire: "Io gli aggiornamenti (dello smartphone) non li faccio mai". Mi è caduta la mascella, anche perché la persona in questione gode della mia stima, per cui non mi aspettavo un'affermazione così assurda. Però poi, com'è mio solito, questo mi ha fatto riflettere alla ricerca delle possibili motivazioni di una tale posizione.

Per poterci capire, è necessaria un po' di nomenclatura, anche perché in questo caso si usano termini inglesi.

La parola italiana aggiornamento, riferita a programmi, app, firmware o sistemi operativi (quindi: qualsiasi tipo di software), viene usata in corrispondenza a due parole inglesi: update e upgrade. La differenza di significato tra le due parole, semplificando un po' tutta la questione, sta nel tipo di aggiornamento: update si riferisce alle minor release, upgrade alle major release. Release viene spesso tradotta con versione, ma l'accezione del termine inglese è migliore, nel senso che fa riferimento al processo di sviluppo del software che, ad un certo punto, permette il rilascio al pubblico (o ai clienti) di una versione, appunto, pronta per l'uso. Ciò che è diverso è il tipo di aggiornamento: con la minor release (spesso identificata numericamente dopo la major release) si fanno aggiustamenti di problemi o qualche piccola miglioria nell'usabilità; la major release comporta significative novità, spesso con l'aggiunta di nuove funzionalità o la revisione più o meno completa di quelle esistenti.

Per fare un esempio pratico: quando dopo il nome del software c'è una versione come 4.13, il 4 è la major release e il 13 la minor; un update porterà alla versione 4.14, un upgrade alla 5.0. Purtroppo non c'è uno standard ed ogni produttore di software utilizza il suo sistema di numerazione, spesso rispondente più a logiche commerciali che tecniche; ma in qualche maniera si ritorna sempre ai due concetti appena esposti.

Torniamo al tema principale, che è: ma gli aggiornamenti vanno fatti? A questa domanda posso rispondere solo in un modo:

SI!

ed il motivo è semplice: gli aggiornamenti risolvono problemi, più o meno gravi, magari invisibili ai più ma sfruttabili dai malintenzionati o che potrebbero causare perdite di dati. Infatti gli aggiornamenti dei software sono considerati uno dei capisaldi per la sicurezza informatica.

Tuttavia un po' di attenzioni da prestare ci sono.

Minor release

Sono i più frequenti; anche qui, non esistono standard, ognuno fa come gli pare, però possiamo dire che ce ne sono diversi all'anno. Contenendo risoluzioni di problemi, sono importantissimi; tuttavia, una buona norma che suggerisco è di aspettare qualche giorno da quando escono, perché purtroppo capita troppo spesso che siano essi stessi affetti da problemi, e l'attesa permette agli addetti ai lavori di accorgersene e di rimediare.

Normalmente questo tipo di aggiornamenti impiegano poco tempo ad applicarsi e magari nemmeno richiedono il riavvio, ma ci sono notevolissime eccezioni, per cui anche piccoli aggiornamenti richiedono tempi esagerati (chiedere a Microsoft...).

Major release

Contenendo grosse novità, sono aggiornamenti grandi e poco frequenti; diciamo una volta l'anno (o anche meno). Comportano tempi abbastanza lunghi, almeno rispetto alle minor release: per i sistemi operativi, anche una o due ore, quindi è bene pianificare bene quando farli per non bloccare attività. Ma il consiglio principale è di evitare la primissima versione (quella spesso identificata come X.0), e di aspettare direttamente almeno la seconda (X.1), perché anche se approfonditamente testate (cosa non più così vera, purtroppo), contengono sempre problemi di gioventù, che vengono appunto risolti rapidamente ed inclusi nelle prime minor release.

Comunque sia, gli upgrade non sono, in generale, obbligatori: anzi, spesso sono deleteri se introducono problemi di compatibilità o utilizzo eccessivo di risorse hardware, quindi consiglio di valutarli volta per volta. Occhio ai software commerciali: l'upgrade potrebbe non essere incluso nella licenza, o in caso di abbonamento, è necessario averlo attivo.

Backup

Paura da aggiornamento? No, non è giustificata, ma nemmeno così campata per aria; per cui avere un modo di poter tornare indietro, se qualcosa va storto, non è per niente sbagliato. Alcuni sistemi operativi (Windows) hanno meccanismi interni; per altri casi esistono meccanismi esterni; in altri casi ancora (smartphone), non ne conosco. In ogni caso, i tempi complessivi dell'operazione si allungano, ma ritengo sia un investimento conveniente. Non è possibile trattare il tema in questo stesso post, lo farò prossimamente.

Consigli finali

1. Impostate la notifica automatica della disponibilità degli aggiornamenti, non l'installazione automatica: così potete pianificare quando farli, nel momento più comodo a voi.
2. Sia che facciate o no i backup dei software prima degli aggiornamenti, abbiate sempre un'alternativa se qualcosa va storto, il che significa un altro computer o un altro smartphone per le attività urgenti.
3. Non rimandate troppo per pigrizia, che poi il ritardo si paga...
4. Non sapete che pesci prendere? Chiedete consiglio o aiuto a qualcuno che ne capisce!

E il backup dei dati? No, non c'entra niente. Quello va fatto sempre. Comunque. A prescindere.

Privacy, la rivoluzione silenziosa

Manca solo un mese all'applicazione del Regolamento Europeo sulla Protezione dei Dati Personali, che andrà di fatto a sostituire le normative nazionali attuali (in Italia il Codice Privacy del 2003). Ne avevo parlato in un post circa 6 mesi fa, quando avevo appena iniziato ad occuparmi di questo tema (che ora sta diventando il mio lavoro), evidenziando le poche, anche se significative, novità dal punto di vista dei cittadini. Oggi, dopo mesi di studio, lo faccio di nuovo, con una prospettiva diversa: quella della vera rivoluzione che riguarda più coloro che lo devono mettere in pratica (aziende, associazioni, enti), che però avrà notevoli effetti sui tutelati, cioè tutti noi.

Rivoluzione, dicevamo: quella per cui si passa da un normale insieme di obblighi più o meno uguali per tutti, al principio di responsabilizzazione di chi tratta i nostri dati personali. Infatti, il senso ultimo del Regolamento si potrebbe riassumere in questo modo:

A te, azienda/associazione/ente che legittimamente li utilizzi, i dati personali vengono affidati dai legittimi proprietari, a condizione che tu li custodisca al meglio delle tue possibilità.

La pratica, senza entrare troppo nei dettagli, è che ogni titolare deve autonomamente decidere, entro i limiti dettati della norma, come trattare i dati personali che raccoglie e detiene. Ma ciò che ritengo più interessante è invece un altro aspetto: il legislatore cerca di imporre la visione per cui le persone che hanno i poteri decisionali nelle aziende devono immedesimarsi nelle persone di cui trattano i dati, valutandone le legittime aspettative, ed adoperandosi di conseguenza; anche in considerazione del fatto che chi in un contesto rappresenta colui che usa i dati personali, in altri è invece colui a cui appartengono. Spingendomi probabilmente oltre le reali intenzioni, è quasi come se venisse applicato all'uso dei dati personali l'insegnamento evangelico: non fare agli altri ciò che non vorresti fosse fatto a te.

Lo scopo è chiaramente l'effettiva tutela di quello che è considerato uno dei diritti fondamentali dell'uomo, tant'è vero che la norma non si applica solo ai cittadini europei, ma anche a coloro che temporaneamente ricadono sotto la giurisdizione europea; e contemporaneamente, si applica anche ai soggetti extra-UE che forniscono servizi ai cittadini europei, indipendentemente da dove essi si trovino fisicamente.

Quindi tutto bene? Sicuramente no. Chi normalmente dimostra di non avere rispetto dei diritti altrui non ne avrà nemmeno in questa occasione; in questo caso, si spera che siano le salatissime sanzioni previste a fare giustizia. La speranza, però, è che questo principio faccia breccia nelle persone oneste ed abbia l'effetto di motivare coloro che, pur nel pieno rispetto della legge, ritengono la protezione dei dati personali, così come altri temi, solo un altro adempimento burocratico a cui dare il minimo dell'importanza possibile.
Ancora una volta, non è la legge da sola a poter cambiare le cose: serve che il tema della privacy venga, prima di tutto, sentito da tutti come uno dei diritti irrinunciabili.

L'importanza del Regolamento viene anche dimostrata da come le grandi aziende del web stanno affrontando l'adeguamento (secondo alcuni con timore): le nuove privacy policy stanno iniziando a farsi vedere, ma per un'analisi dettagliata vi rimando ad un futuro post.

Facebook ieri, oggi e domani

Da ormai diversi giorni Facebook è sulla bocca di tutti, dopo i presunti scandali svelati dai media. Molti ne hanno parlato e commentato. Personalmente, per scelta legata più al comune utilizzo che ne viene fatto, non ho mai avuto un account Facebook (né Whatsapp o Instagram, che per chi non lo sapesse sono società che appartengono a Facebook), per cui quello che so è esperienza indiretta. Ciò nonostante, propongo una visione, spero originale ed interessante, di quello che sta succedendo.

Facebook ieri

Dalla pagina di Wikipedia Italia relativa alla voce Facebook:

Facebook è un social network lanciato il 4 febbraio 2004[...]. Il sito, fondato ad Harvard negli Stati Uniti dal proprietario Mark Zuckerberg e diversi colleghi [...] era originariamente stato progettato esclusivamente per gli studenti dell'Università di Harvard, ma fu presto aperto anche agli studenti di altre scuole della zona di Boston, della Ivy League e della Stanford University.

Successivamente fu aperto anche agli studenti delle scuole superiori e poi a chiunque dichiarasse di avere più di 13 anni di età. [...] Ha cambiato profondamente molti aspetti legati alla socializzazione e all'interazione tra individui, sia sul piano privato che quello economico e commerciale.

Tutto questo per dire che presumibilmente Facebook è nato con l'innocente intenzione di essere un punto di contatto e socializzazione per una comunità ristretta, ma evidentemente ha incontrato un bisogno inespresso della società del nostro tempo, amplificato dal quasi contemporaneo boom del mobile, ed il suo successo è andato ben oltre le aspettative di chi l'ha creato. 
Il successo ha inevitabilmente comportato crescenti necessità economiche (non dimentichiamo che mantenere un servizio internet, anche banale, ha costi non indifferenti). In "soccorso", sicuramente prima è venuta la pubblicità, secondo il business model in voga in quei primi anni della diffusione di internet come fenomeno di massa; poi la pubblicità mirata, utilizzando la profilazione degli utilizzatori; infine, ed è il problema evidenziato degli scandali odierni, ma già presente da anni, la raccolta e/o vendita di dati personali a fini di influenza sociale e politica. E soprattutto in quest'ultimo caso, è facile immaginare che anche le migliori intenzioni dei primi tempi possano aver ceduto il passo alle sirene dei soldi facili, soprattutto se nei dirigenti non ci fosse stata una adeguata sensibilità ai temi della privacy.

La riflessione sul passato, però, non può prescindere da un dato inequivocabile: nessuno dei dati personali utilizzati, per qualsivoglia fine, è stato estorto con la forza o con l'inganno: tutto è stato volontariamente fornito dagli utenti del servizio, semplicemente utilizzandolo. Inoltre, l'utilizzo dei dati per scopi di marketing (ma non solo) era scritto nelle privacy policy (basta controllare: alcuni estratti delle policy a gennaio 2017 sono riportate in un mio vecchio post). Quindi, per gli addetti ai lavori, non c'è nessuno scandalo: era tutto noto, ma chi ha provato a mettere in guardia la massa è stato semplicemente ignorato.

Facebook oggi

Lo scandalo, come tutti (speriamo!) ormai sanno, è nato dal caso Cambridge Analytica (ho segnalato diversi articoli e commenti attraverso l'hashtag #ilvecchiolupodimare), in cui, è bene ricordare, i profili degli utenti sarebbero stati usati per influenzare il loro voto nelle elezioni presidenziali americane e nel referendum britannico sull'abbandono dell'UE (ma la società, in parte, nega o ridimensiona le cose); poi mano mano, con il tempismo tipico del giornalismo che si sveglia solo quando sente "l'odore del sangue", sono arrivati altri casi, fino al più recente che ha svelato finalmente il segreto dell'acqua calda: tutti i dati di tutti gli utenti sono stati usati per scopi poco chiari e trasparenti. In realtà era già qualche settimana che rimbalzavano sui media specializzati dichiarazioni di osservatori, o anche di ex dirigenti di Facebook stessa, riguardante proprio le politiche "allegre" di utilizzo dei dati personali degli utenti (e, non dimentichiamolo, anche dei loro amici, inclusi quelli non iscritti).

Il buon Mark si è assunto le sue responsabilità (o quanto meno ha finto di farlo: ci sono in giro presunte dichiarazioni di Zuckerberg stesso, più o meno rubate, che lasciano pochi dubbi sull'intenzionalità delle azioni), ed ha promesso una stretta sull'utilizzo indiscriminato dei dati (tipico esempio del chiudere il recinto dopo che i buoi sono scappati). Sempre per rimanere nelle reazioni a scoppio ritardato, c'è chi teatralmente ha chiuso i suoi account, e chi ha iniziato a suggerire di farlo. I "tecnici", come me, hanno segnalato le istruzioni di varie operazioni utili, come scaricare tutti i propri dati o come (provare a) cancellarli. Insomma, il caso ha generato, forse per la prima volta, una certa reazione dei commentatori.

In realtà, a me sembra che in tutta questa confusione, emerge assordante il silenzio degli utenti di Facebook, almeno i non VIP.

Facebook domani

Ed ora, cosa succederà? Certo, considerando che anni fa avevo già previsto l'imminente fine di Facebook, che invece è diventato il rappresentante per antonomasia della categoria dei social network, non sono certo il più indicato a fare previsioni... ma almeno qualche altra riflessione sì.
Dal punto di vista finanziario, Facebook subirà sicuramente dei contraccolpi (oltre all'immediato calo in borsa): per esempio, alcune società hanno già ritirato le loro campagne pubblicitarie.

Inoltre, a brevissimo (il mese prossimo), dovrà adeguarsi al nuovo Regolamento europeo sulla privacy (non è chiaro se ciò sarà esteso anche agli utenti non europei), che impone totale trasparenza sugli utilizzi dei dati, e relativi consensi espliciti. Se tale regolamento fosse applicabile ai fatti in questione, assisteremmo ad un procedimento che probabilmente porterebbe alla sanzione massima possibile, cioè diversi milioni di Euro ed il divieto di proseguire con i trattamenti illeciti. 

Il grosso del problema è però cosa faranno gli utenti. In proposito, non dimentichiamo che negli ultimi mesi si stava comunque verificando un curioso fenomeno, ossia la disaffezione dei giovanissimi, e la loro migrazione verso altri social, come una sorta di fuga dai propri genitori, affluiti anche loro in massa ad iscriversi a Facebook.
Chiudere l'account è sostanzialmente inutile, se non come gesto di protesta; evitare di aprirne uno nuovo, può avere senso. Ci potrebbe essere, almeno da parte degli utenti più attenti e consapevoli, una diminuzione dell'utilizzo del servizio, in particolare riguardo alle applicazioni che spesso rappresentano il mezzo con cui vengono condotte le profilazioni più invasive (tramite quiz o sondaggi, appositamente studiati). Ma non credo che ci sarà una vera fuga, anche perché per molti Facebook rappresenta in massima parte la memoria della propria vita (errore che non esito a definire estremamente stupido). Ancora meno impattate sembrano essere Whatsapp ed Instagram, che inspiegabilmente non sono state toccate dallo scandalo.

In definitiva, mi aspetto che Facebook ne esca ridimensionato sotto diversi punti di vista, ma temo che sopravviva senza eccessivi patemi. Anche perché la memoria umana è corta... in attesa del prossimo scandalo, che, con tutte le differenze del caso, ha già un protagonista designato: Alphabet. Questo nome non vi dice niente? Non vi rovinerò la sorpresa! 😉

AGGIORNAMENTO Luglio 2019
Cosa è successo da un anno a questa parte? Che sono iniziate ad arrivare le sanzioni. Pochi giorni fa, l'Autorità Garante per la Protezione dei Dati Personali ha elevato una sanzione da 1 milione di Euro; infatti, l'illecito era stato scoperto in epoca pre-GDPR e quindi non si applicavano le mega-sanzioni possibili con quest'ultimo. Subito dopo, la Commissione Federale per il Commercio degli USA, che non ha leggi sulla privacy a livello del GDPR (che anzi è visto come il fumo negli occhi), ha comminato una multa da 5 miliardi di dollari! Circa 5000 volte quella italiana!!! Bene, benissimo, direte voi: peccato che subito dopo la notizia il titolo Facebook in borsa sia salito: perché tutti si aspettavano ben di peggio! In definitiva, la mega-multa rappresenta quello che Facebook guadagna in un mese...
State quindi sereni: Facebook (e Whatsapp, e Instagram) per ora non chiudono. Anzi rilanciano: vogliono entrare nel mercato dei pagamenti digitali (Libra). E la voce delle povere Cassandre come me che mettono in guardia dai pericoli che ne derivano, è sovrastata dagli applausi dei soliti entusiasti...

Lo nero periglio che vien dal web: i pirati informatici!

L'avete capito il titolo? No? Male, malissimo! Fà il verso a un episodio di uno dei capolavori assoluti della commedia italiana, L'armata Brancaleone (di Mario Monicelli, 1966), nell'originale "lo nero periglio" veniva dal mare e non dal web, ed erano i pirati saraceni (saracini, nel film). Tutto questo per introdurre il tema del post, ossia il pirata informatico, e più precisamente l'uso della parola con cui viene comunemente indicato, ossia hacker.

Quando l'informatica era roba rinchiusa nelle università o in qualche azienda agli albori dell'innovazione digitale, il significato di Hacker era ben diverso da quello che poi la prassi (sbagliata!) gli ha affibbiato. Esso non era il pirata informatico, ma colui che, grazie ad una conoscenza estremamente approfondita delle tematiche digitali, era in grado di inventarsi nuove tecnologie o utilizzi di quelle esistenti. La connotazione del termine era assolutamente positiva, mentre il pirata informatico aveva un nome diverso, cracker, ossia colui che "rompe" (crack), cioè danneggia, i sistemi informatici. In realtà, i due termini si differenziavano non tanto per le capacità tecniche, che possiamo considerare identiche, ma per lo scopo per cui venivano utilizzate: creare innovazione, nel caso di hacker, contro delinquere, nel caso di cracker. Per certi versi, entrambi i generi hanno portato il loro contributo alla rivoluzione digitale di inizio millennio, perché combattere i cracker ha profondamente sviluppato il concetto di sicurezza informatica. Volendo portare un esempio di hacker secondo questa accezione "antica", non posso che citare Linus Torvalds, ossia colui che, insoddisfatto dei sistemi operativi proprietari della galassia Unix, nonché dei primi tentativi di creare degli Unix gratuiti in campo didattico, creò Linux, che oggi è il sistema operativo più famoso ed utilizzato al mondo.

Come si diceva all'inizio, oramai il termine hacker ha assunto valenza negativa, tant'è vero che è stata coniata una terminologia diversa per designare gli hacker "buoni": gli ethical hacker, ossia gli hacker che hanno motivazioni etiche. Letteralmente, almeno secondo l'accezione correntemente in uso, gli ethical hacker sono coloro che vanno alla caccia di vulnerabilità dei sistemi informatici e che, invece di sfruttarle a loro esclusivo vantaggio (questi sono gli hacker "normali", cioè cattivi), le rivelano direttamente e solo alle aziende produttrici (nel caso dell'hardware) o sviluppatrici (nel caso di software) perché vengano corrette. In qualche caso ci guadagnano qualche soldino, perché le aziende pagano ricompense a chi scova queste vulnerabilità (evidentemente gli costa meno di un efficiente sistema di qualità interna...), ma per lo più ciò che guadagnano è la fama che poi si trasforma in un lavoro strapagato. Eh sì, perché gli hacker (quelli veramente bravi) sono pochi, e per combattere un hacker, ci vuole un hacker (non si contano quelli che hanno saltato la barricata, cioè che dopo essersi guadagnati la fama a suon di attacchi ben riusciti, sono stati assunti da aziende che si occupano di sicurezza).

In realtà, gli hacker "buoni" (o quanto meno, non cattivi) possono annoverare un paio di altre categorie, sempre legate allo scopo delle loro azioni, piuttosto che alle loro capacità. C'è chi usa queste capacità per motivi politici, tipicamente cercando di svelare ciò che i governi (tutti, democratici e non) cercano di tenere segreto; il caso forse più famoso è Julian Assange, il fondatore di Wikileaks. Altri, al contrario, sono utilizzati proprio dalle agenzie governative per scopi di spionaggio o controspionaggio (tipo le presunte ingerenze russe nelle ultime elezioni presidenziali americane).

Il digitale a scuola; ed a scuola di digitale?

Tra i tanti temi relativi all'uso degli strumenti digitali, uno dei più critici e dibattuti è quello degli adolescenti e la scuola. Qualche giorno fa, ho letto un interessante articolo riguardante un esperimento di didattica in una scuola di Palermo tramite un popolare social: vale la pena di leggerlo.

L'articolo è stato segnalato su Twitter dalla community, formatasi pochi mesi fa, @GenitoriDigitali, che ha anche lanciato un piccolo sondaggio, a cui ho partecipato anch'io, non in quanto genitore, ma in quanto aspirante divulgatore di educazione digitale e temi affini (per leggere tutti i contributi alla discussione basta guardare il tweet). Al di là del mio contributo, colgo l'occasione per esporre in maniera più sistematica il mio punto di vista, per quanto limitato dal fatto che non ho (ancora) esperienze più o meno dirette rispetto al contesto di cui stiamo parlando (scuola e adolescenti).

Il digitale (con tutto ciò che consideriamo parte di questa definizione) è uno strumento, e come tutti gli strumenti può essere usato per il bene o per il male. L'acqua, elemento fondamentale della vita, può essere anche strumento di morte; d'altra parte, le bombe nucleari, che attentano alla sopravvivenza stessa del genere umano, potrebbero un giorno salvarci dai pericoli che provengono dallo spazio (no, niente extraterrestri: parlo di asteroidi e comete). Questi due esempio estremi servono a dimostrare che qualsiasi cosa può contribuire al bene, sempre ché ne valutiamo e controlliamo i rischi che possano al contrario contribuire al male.

Nel caso specifico, lo scopo didattico era, a mio parere, ottimo: commentare un libro non attraverso il solito compito personale, ma stimolando una discussione condivisa, in cui (e qui la grande potenza dei social) è intervenuta anche l'autrice.

Quindi tutto bene? Ovviamente no. L'articolo stesso racconta che gli studenti che non avevano lo smartphone o l'account sul social sono stati inclusi nel progetto dai professori, che hanno "prestato" le loro risorse: bravi, ma ciò non può essere la norma, se si volesse rendere metodi didattici del genere la normalità. D'altra parte, ritengo estremamente sbagliato obbligare gli studenti a possedere smartphone o tablet, ed ancora di più ad avere un account su qualsivoglia social (oltretutto viene fuori la questione dell'età: l'articolo non ne parla, ma ricordo che esiste per legge un limite inferiore di età, 16 anni, per poter aprire account online, che è abbassabile non oltre i 13). Problemi in realtà che si potrebbero superare facilmente (dimenticando la questione dei costi associati) pensando di utilizzare attrezzature (computer) e servizi (social) appartenenti alla scuola, invece di servizi pubblici (e spesso poco rispettosi della privacy).

Nella discussione su twitter è stato toccato un altro tema, ossia la competenza digitale degli operatori scolastici, insegnanti in primis. Essa è fondamentale per valutare correttamente i rischi, quali quelli che ho appena cercato di proporre (per ora ignorando la questione generale della sicurezza informatica, particolarmente importante visto che ci sono minori coinvolti), nell'utilizzare gli strumenti digitali nei progetti didattici. Non a caso il tema è comune a quello che ha portato alla formazione della community dei genitori, dopotutto sono due aspetti relativi al divario generazionale tra gli adolescenti figli/studenti e gli adulti genitori/insegnanti. Personalmente ritengo che sia proprio la scuola il luogo  più adatto a diffondere nel modo più capillare possibile la formazione necessaria per gli adulti che ne hanno bisogno. Così come gli istituti scolastici permettono alle società sportive di utilizzare le palestre per le loro attività, auspico che in modo simile le aule possano essere utilizzate per queste attività di formazione, in orari adatti allo scopo (tipicamente il tardo pomeriggio).

Ma la vera domanda è: quanto interesse c'è, o ci sarebbe, verso queste iniziative? Inutile organizzarle, se poi vanno deserte. La mia personale sensazione, basata su ciò che vedo tra le mie frequentazioni e su ciò che sento attraverso i media, è che l'interesse sia molto limitato, e che la sensibilizzazione non produca effetti significativi. Parlo del fatto che vedo professionisti molto attivi sui social che hanno un seguito che quantitativamente è migliaia di volte inferiore a sportivi e personaggi dello spettacolo, i quali spesso limitano la loro attività social ad autoincensarsi. La situazione sembra quella classica in cui nessuno fa niente finché non arriva la tragedia (infatti, qualcosa si muove solo riguardo il cyberbullismo).

La situazione può migliorare solo se alle iniziative dal basso (cittadini) si unisce il supporto dall'alto (istituzioni). Ma non dimentichiamo che anche le istituzioni sono fatte di cittadini. 

Cosa c'entrano i Big Data con la "monnezza"?

Oggi mi è capitato di sentire una storia quanto mai interessante su come vanno le cose in questi tempi di innovazione selvaggia. Per ovvie ragioni di riservatezza, ometterò tutti i dettagli possibili, poiché in pratica si è trattata di un'introduzione ad un prodotto non ancora in commercio.

Una piccola premessa: non c'è modo di controllare le mie affermazioni, purtroppo posso solo chiedere di avere fiducia; io stesso, al di là di alcune foto viste su uno smartphone, non ho prove che quello che vi sto per raccontare sia completamente vero. Però è plausibile, ed è quello che mi interessa.

Il prodotto in questione tratta i rifiuti casalinghi in ottica di economia circolare: in pratica, ottenendo dai rifiuti materiale in qualche modo riutilizzabile, quindi un lodevole scopo, con finalità anche ecologiche. Il problema è che alla vendita questo prodotto costerebbe nmila euro, cosa che lo renderebbe un prodotto di nicchia, per veri ambientalisti che non sanno come spendere altrimenti i soldi. La soluzione? Aggiungendo opportuni "sensori", l'apparecchio fa una sorta di analisi dei rifiuti e tramite un collegamento internet, li invia a chissà chi per entrare a far parte di quel calderone di informazioni che oggi vanno col nome di Big Data. Attraverso la vendita di questi dati, il costo al dettaglio dovrebbe scendere parecchio, molto, ma molto di più del 50%, portandolo al livello di altri elettrodomestici molto comuni nelle nostre case (e ben al di sotto del costo di certi telefonini con la mela...). Geniale, no? Talmente geniale, che il primo posto dove stanno cercando di piazzare questi apparecchi, e Dio solo sa se quanto ce n'è bisogno, è Roma!

Per chi non lo sapesse: col nome Big Data si intendono quei sistemi che da gigantesche quantità di informazioni non strutturate (e, speriamo, anonime) estrapolano poche ma importanti informazioni utilizzabili agli scopi più disparati (e legali, s'intende).

Perché la storia è interessante? Beh, perché ci insegna che i nostri dati, inclusi quelli della nostra spazzatura, sono preziosissimi per qualcuno, tanto da poter essere venduti. Sono preziosissimi perché raccontano i nostri consumi; come  essi variano nel tempo; e magari anche la qualità dei prodotti che consumiamo. Informazioni fondamentali per chi programma investimenti nello sviluppo di un nuovo prodotto. E la vendita di tali dati è talmente remunerativa da giustificare uno "sconto" (diciamo intorno al 80%) che in ogni altro caso darebbe naturalmente adito a sospetti di truffa. Dimenticavo: il costo del collegamento internet non è a carico del consumatore, ma del produttore...

Questa storia, tra le altre cose, mi ha un po' aperto gli occhi su quello che sta diventando un mantra del mercato digitale, ossia l'Internet delle cose (ne avevo parlato, in modo alquanto critico, in un vecchio post): cioè collegare ad internet qualsiasi oggetto. Ed anche il costo relativamente basso di questi oggetti potrebbe spiegarsi, oltre che con l'assoluta mancanza di qualsiasi misura di sicurezza informatica, proprio con il principio di raccogliere dati e poi rivenderli profumatamente.

In conclusione, non posso che tornare al tormentone che ripropongo sempre ultimamente: pur di risparmiare nell'acquisto di un prodotto/servizio, siete davvero disposti a rinunciare a proteggere i vostri dati personali (anche se in fondo, si tratta solo di monnezza)?