Cultura del dato decisiva per la protezione cyber dell’auto elettrica, connessa e a guida autonoma

I legami creati in rete, dalla poltrona di casa o dal sedile dell’auto, sono delle finestre, più o meno semplici da aprire, sulla nostra vita online. Il loro valore è inestimabile, i dati rappresentano il nuovo petrolio.

Chi pensa a cancellare dall’auto che venderà le informazioni personali caricate sui sistemi di infotainment? Pochissimi, forse nessuno. Lo smartphone attraverso  il Bluetooth invia notizie su spostamenti quotidiani, contatti in rubrica, preferenze musicali. Tutte informazioni che restano immagazzinate nei sistemi a bordo macchina in attesa che qualcun altro li cancelli o, peggio, li utilizzi per finalità di marketing. Questo accade perché la cultura della riservatezza e della protezione del dato è ancora poco diffusa, complici un’innovazione tecnologica che procede a ritmi incalzanti, una formazione carente e, forse, anche una scarsa curiosità.

Chiunque installi un’app dovrebbe leggerne e capirne i termini e le condizioni di utilizzo e avere un comportamento attivo nella protezione del sé virtuale. Tutto ciò è imprescindibile nelle smart city dove i veicoli saranno in prevalenza elettrici, dialogheranno con il mondo esterno e non avranno conducente. Il livello d’attenzione deve essere alto sin dall’acquisto: “Il concessionario non fornisce alcun chiarimento su quanto sia importante gestire i propri dati in un’auto moderna”, afferma Nicola Vanin, senior manager data governance and information security del gruppo Tim Spa, e “pochissime case automobilistiche hanno aggiornato i contratti di vendita sui rischi connessi”. È la persona che deve capire cosa sta sottoscrivendo e firmando, ma spesso “il soggetto non è particolarmente preparato, disinteressato alle informazioni che gli vengono fornite o attratto dal nuovo servizio offerto. O ancora, all’opposto, è surclassato da troppe notifiche”, spiega Marco Martorana, presidente di Assodata.

I consumatori più a rischio

I consumatori oggi più a rischio, secondo Martorana, sono gli anziani e i giovani delle generazioni Y e Z. Secondo l’avvocato questa situazione proseguirà “per almeno un’altra generazione o due” alimentando l’interesse degli addetti del marketing che “non sono concentrati sull’utente ma sulla categoria di soggetti intenzionati a compiere un determinato acquisto”. Ci sono stati già ammonimenti e sanzioni sulle pratiche commerciali scorrette. Recentemente l’Autorità garante della concorrenza e del mercato ha avviato un procedimento di inottemperanza nei confronti di Facebook per non aver fornito ai consumatori, in sede di registrazione, le corrette informazioni sulla raccolta e l’utilizzo dei dati ad uso commerciale e per finalità di marketing. In questo modo l’Autorità ha rilevato che Facebook “ha fatto sì che gli utenti prendessero una decisione di natura commerciale che altrimenti non avrebbero preso”. E ora rischia una multa di 5 milioni di euro. Questo “fenomeno della patrimonializzazione del dato personale, tipico delle nuove economie dei mercati digitali”, ha ribadito il Tar Lazio nelle sentenze 260 e 261 del 2020, “impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore”.

Il ruolo delle assicurazioni

Assicurare la propria auto sarà sempre più complicato. Se ne parla dal 2010, da quando è cresciuta l’adozione di sistemi di infotainment e sensoristica. Il problema principale è quello della responsabilità: chi assicurare in caso di incidente, la casa madre o il conducente? “Le compagnie di assicurazione stanno aumentando il costo delle polizze cyber del 25% a causa del numero spropositato di clienti vulnerabili al ransomware”, spiega Vanin, “e coprono sia la richiesta di riscatto dopo un attacco con ransomware, sia il recupero dei dati”.
Il premio assicurativo include il compenso per “i negoziatori che parlano fluentemente le lingue native degli hacker”.

Fanno pagare meno per ricevere più informazioni sullo stile di guida che sfruttano per creare nuove polizze o nuove formule in grado di catturare l’interesse dei clienti

Alcune compagnie, precisa Vanin, stanno scegliendo di considerare il ransomware come un prodotto separato dalla copertura informatica generale, come Allianz. Altre chiedono di pagare dal 20 al 30% delle richieste di ransomware, come Munich. Zurich insurance prevede l’implementazione della segmentazione e della segregazione della rete prima della sottoscrizione della copertura assicurativa. In Italia, aggiunge Martorana, “le compagnie assicurative consegnano una black box per monitorare l’attività dell’utente o geolocalizzare il mezzo in caso di furto. Fanno pagare meno per ricevere più informazioni sullo stile di guida che sfruttano per creare nuove polizze o nuove formule in grado di catturare l’interesse dei clienti”. Per contrastare i furti Ald automotive e LoJack Italia hanno installato sui mezzi noleggiati unità speciali che consentono di tracciare e recuperare il mezzo. Hanno istituito una centrale operativa per avvertire e aggiornare l’utente in caso di furto e il team di sicurezza di LoJack ha creato un filo diretto con le Forze di Polizia per aiutare a localizzare il mezzo.

IoT e perdita di informazioni finanziarie

Anche la ricarica dell’auto elettrica è un punto d’accesso alle informazioni finanziarie del proprietario. “I veicoli in commercio oggi sono stati costruiti circa cinque anni fa e adottano un sistema informatico ben noto agli hacker”, sottolinea Vanin.

La previsione delle minacce potenziali “non è semplice”, precisa Martorna, e, all’inverso, individuare i dati da proteggere è un campo minato che può portare a “incidenti di percorso”: “Se dico a mia moglie che sono in un posto ma la geolocalizzazione rivela che sono in un altro beh… posso avere dei problemi”. Considerato poi che i produttori “ricevono un flusso di dati costante dalle auto costruite fino al 2018”, anche le più comuni utilitarie, precisa Vanin, i dipendenti hanno l’obbligo di essere accorti. Gli amministratori delegati non possono esimersi dall’avere una password resiliente. Per evitare episodi come quello del 21 gennaio scorso quando il gruppo tedesco Gedia ha spento i sistemi It e ha mandato a casa 300 dipendenti della sede principale di Attendorn perché vittima dell’attacco ransomware del gruppo di cyber criminali Spodinokibi. Sotto scacco i dettagli finanziari dei clienti, coordinate bancarie e  polizze assicurative. “Questi attacchi sono innanzitutto un danno reputazionale per l’azienda”, precisa Vanin, “che è obbligata a pagare un riscatto per evitare la fuoriuscita di informazioni”. La sesta edizione del report ‘State of the phish’ di Proofpoint, presentata a gennaio 2020, mostra il grado di consapevolezza, vulnerabilità e resilienza delle aziende di tutto il mondo. Il dato più rilevante è che il 90% è stato colpito da attacchi mirati di tipo business email compromise e spear phishing. I cyber criminali sono attenti ai singoli utenti che possono proteggersi solo grazie a corsi di formazione e sensibilizzazione, come avvenuto nel 78% dei casi. Purtroppo, il 90% dei dipendenti ha dichiarato di utilizzare i dispositivi aziendali per attività personali e il 50% di non proteggere le reti domestiche con una password, con una evidente contaminazione tra attività professionali e private. Inoltre solo il 61% ha fornito la corretta definizione di phishing, il 31% di ransomware, il 30% di smishing e il 25% di vishing. Conoscenza che scarseggia ancora di più tra i Millennials.

I dati della mobilità per rendere più intelligenti le città

A questo punto c’è da fare una distinzione, precisa Vanin, tra “l’attività molto sofisticata di hackeraggio per intromettersi negli strumenti di bordo e impadronirsi dell’informazione dell’utente” e “quella portata avanti da un soggetto meno esperto che ha come unico intento l’utilizzo della capacità dell’auto di connettersi a internet per rubarla”. Oggi le case automobilistiche “non riescono a scongiurare questa intromissione nella comunicazione tra il veicolo e il suo proprietario” e non riescono a evitare che malintenzionati possano controllare l’accensione, il blocco del motore, la frenata d’emergenza. Audi, ad esempio, sta testando la tecnologia vehicle-to-infrastructure a Ingolstadt e a Dusseldorf, in Germania, per scambiare dati tra l’auto e la rete semaforica così da sfruttare meglio l’onda verde e ridurre tempi di percorrenza ed emissioni. I risvolti più preoccupanti? “Si potrebbero provocare incidenti. Nel periodo di alta tensione tra Stati Uniti e Iran il dipartimento della difesa americano ha emanato un warning per richiamare l’attenzione dei produttori alla protezione dei sistemi informatici di gestione che comunicano con le auto moderne, continuamente connesse”. Sperimentare, dunque, non basta. Bisogna andare oltre e pensare a sistemi di protezione, simili ad airbag virtuali. L’integrazione da parte di Fca della tecnologia Idemia, attiva nell’identità aumentata, ed eSim, per avere maggiore flessibilità nella scelta dei provider di rete mobile in ogni parte del mondo, non può esulare dallo sviluppo di misure di protezione del conducente.

La tecnologia della blockchain, secondo le previsioni di Trend micro sulla sicurezza al 2020, da quest’anno diventerà un nuovo mezzo per stabilire un sistema di fiducia distribuito tra acquirenti e venditori ma aiuterà anche i cybercriminali a registrare i pagamenti ricevuti tramite criptovalute mantenendo l’anonimato e riducendo il rischio di truffe. Altro aspetto da non tralasciare.

La prova del nove è sempre utile quando si tratta con la sicurezza dei sistemi. “Tesla premia chi riesce a bucare il sistema”, precisa Martorana. La soluzione più efficace sarebbe integrare un mix intergenerazionale di difese multistrato, basate su diversi meccanismi di sicurezza. Il monitoraggio comportamentale, a esempio, potrebbe aiutare a proteggere una gamma di applicazioni e servizi anche dai deepfake, i sistemi più avanzati di intelligenza artificiale nei quali determinate persone fanno o dicono cose in realtà mai avvenute, magari con la voce o l’aspetto dell’a.d.

La normativa europea

I cittadini europei sono tra i più tutelati al mondo, sottolinea Martorana: “Il regolamento europeo Gdpr, in vigore dal 25 maggio 2018, dà al soggetto interessato la possibilità di opporsi nel momento in cui venga presa una decisione completamente automatizzata sui suoi dati”. In altri Paesi non è possibile. A Baltimora, negli Stati Uniti, Amazon ha licenziato alcuni dipendenti sulla base di un algoritmo che ha calcolato i tassi di produttività. Inoltre, la Commissione europea sta valutando il blocco del riconoscimento facciale, che “negli Stati Uniti viene sfruttato quando il privato non riesce a tutelarsi e in Cina rassicura il cittadino perché rappresentazione dello Stato”. Il 19 febbraio ha pubblicato il Libro bianco sull’intelligenza artificiale, aperto alla consultazione pubblica fino al 19 maggio 2020, con alcune proposte per accogliere i cambiamenti nel modo in cui i dati vengono raccolti e condivisi così da diminuire il divario competitivo con Usa e Cina e aumentare la fiducia nell’intelligenza artificiale oltre che la capacità di proteggere il sé, in qualsiasi forma e luogo.