arc-convert-01
Home : Archivio
Immaginate che grandi gruppi di potere dispongano di enormi database contenenti i volti, la mimica, i dati personali e le impronte vocali di milioni di comuni cittadini. Ed immaginate poi quanto potenzialmente devastante possa essere un così fatto arsenale informativo nelle mani sbagliate. Che potrebbero essere quelle di chi il database lo ha raccolto ma anche di chi ne venisse in possesso in modo illecito. Ce n'è abbastanza da mettere i brividi anche senza pensare ad usi estremi come il deep fake. Eppure è un processo già in corso che va sotto il nome apparentemente innocuo di video identificazione.
Forse lo avrete già notato da tempo, ma vale la pena fare un breve ripasso. Tra le varie forme per concludere un contratto a distanza sta prendendo rapidamente piede la video identificazione; attraverso una videochat o con un filmato registrato l'utente certifica la propria identità esibendo un documento di riconoscimento e aderisce al contratto esprimendo un consenso vocale. La procedura è ritenuta piuttosto efficace tanto da essere utilizzata anche in contesti in cui il riconoscimento dell'identità è previsto esplicitamente dalla legge. è ad esempio il caso dell'home banking ma anche del rilascio di nuove SIM telefoniche. Sul tema il Garante per la Privacy ha definito già nel 2014 una serie di linee guida (qui in PDF) e in tempi molto più recenti ne ha autorizzato l'uso anche per l'identità digitale SPID seppure rafforzata da ulteriori condizioni (presenza simultanea dell'operatore, versamento simbolico da un conto corrente intestato.
La procedura in se può anche essere comoda, specie in periodi di mobilità limitata da esigenze sanitarie. Ma proviamo a ragionare sul tema dal punto di vista della sicurezza informatica. è ovvio anzitutto che la registrazione debba essere conservata da parte del fornitore del servizio in quanto costituisce la prova dell'accettazione da parte dell'utente del contratto e delle sue clausole. Operatori finanziari, banche, società telefoniche e via di questo passo disporranno quindi di dati estremamente sensibili che includono non solo il volto dei clienti ma anche la loro mimica facciale e l'impronta vocale nonché i dati anagrafici del documento di riconoscimento. Chi segue l'evoluzione dell'intelligenza artificiale probabilmente avrà già associato questo scenario al deepfake, tecnica di manipolazione video che permette con una certa realisticità di far dire e fare qualsiasi cosa ad una persona.
Diamo anche per scontata la buona fede delle società che si affidano alla video identificazione, ma possiamo essere certi che lo stesso valga per i singoli operatori? E più in generale esistono regole e procedure solide per gestire un eventuale leak di dati di questo livello? Bisogna augurarsi che la risposta sia affermativa.
C'è poi uno scenario ancora più inquietante. Cosa accadrebbe se questo tipo di identificazione forte fosse adottato anche in contesti in cui non è necessario? Cosa accadrebbe cioè se fosse necessaria la video identificazione per fare acquisti online o per iscriversi ad un social network? Ipotesi da fantascienza? Considerate che già oggi FB richiede ad alcuni utenti "sospetti" di fornire una copia di un documento di identità (qui un articolo) per verificarne l'identità reale. E ancora se un apparentemente innocuo servizio online fosse in realtà emanazione più o meno diretta di un governo straniero (o anche nazionale)? Al solito siamo nell'intorno di una nuova frontiera con scenari in gran parte da definire e con strumenti di difesa tecnologica e normativa che appaiono decisamente inadeguati.
Microsoft pensiona JScript, una implementazione alternativa di Javascript nata ai tempi della prima guerra dei browser e da tempo non più sviluppata. Con il Patch Tuesday di ottobre 2020 sarà possibile disabilitare JScript in Internet Explorer {ZDnet. Consigliato se per qualche ragione dove ancora usare Interne Explorer e non vi serve retro-compatibilità con JScript.
Un altro passo verso la risoluzione dell'annoso bug dell'anno 2038 nei sistemi Linux {The Register.
Da leggere: il Cyber-Threat Report degli attacchi informatici di settembre 2020 redatto da TgSoft che analizza in particolare gli attacchi e la diffusione del malware Emotet.
Microsoft che sviluppa un browser per Linux? Anche solo 5 anni fa sarebbe stata una notizia buona solo per il primo aprile. Ed invece è successo davvero con Edge... {GHacks.
C'è una causa antitrust contro Google negli USA {Il Post. Ma magari ne riparliamo con calma la prossima volta