Siamo quotidianamente immersi in un mare di informazioni. Ciascuno di noi ne produce continuamente: foto, post, e-mail, la musica che ascoltiamo, i nostri commenti, uniti a dati di geolocalizzazione, le nostre ricerche. Persino i download rimasti incompleti vengono tracciati e rielaborati, studiati e classificati attraverso enormi data set sempre più estesi ed accentrati. Da tempo, però, non solo gli umani producono dati e le connessioni non riguardano esclusivamente le persone: le interazioni, ormai sempre più globali, interessano anche gli oggetti che ci circondano, a loro volta produttori di dati ed informazioni su se stessi, il loro funzionamento, il loro utilizzo.
Questa incredibile rivoluzione viene definita “Internet of things” (IoT),
espressione coniata nel 1999 da Kevin Ashton, un ricercatore britannico
del Massachussets Institute of Technology (MIT).
Tecnicamente, ciascun oggetto viene identificato tramite piccoli sensori, Tag Rfid, o – più recentemente attraverso Codici QR (che rimandano ad indirizzo IP, un codice identificativo unico) applicati all’oggetto medesimo affinché esso possa trasmettere e ricevere, senza l’inter- vento umano, dati e informazioni utilizzando internet; in un secondo momento, i dati digitalizzatati vengono archiviati/memorizzati, rielaborati e “trasformati” in big data, provenienti non più dalla persone, ma dal mondo fisico circo- stante.
L’obiettivo dell’internet delle cose è far sì che il mondo digitale tracci una mappa di quello reale, attribuendo un’identità virtuale alle cose e ai luoghi dell’ambiente fisico.
L’obiettivo dell’internet delle cose è far sì che il mondo digitale tracci una mappa di quello reale, attribuendo un’identità virtuale alle cose e ai luoghi dell’ambiente fisico. Non esiste un unico metodo per fare IoT (e questo, unito all’assenza di standardizzazioni, rappresenta attualmente una criticità del sistema), ma l’intera “famiglia” delle tecnologie IoT ha lo scopo di rendere qualunque tipo di oggetto, non necessariamente nato e predisposto per il digitale, un dispositivo collegato ad internet in grado di godere di tutte le caratteristiche degli oggetti nati per utilizzare la rete. Le principali proprietà degli oggetti connessi alla rete sono essenzialmente due: il monitoraggio e il controllo.
Monitoraggio significa che l’oggetto può comportarsi come un sensore, in grado di produrre informazioni su di sé o sull’ambiente circostante. Ad esempio, un lampione IoT non solo può tenere sotto controllo la propria lampada, verificandone il funzionamento, ma potrebbe anche analizzare il livello di inquinamento dell’aria. Controllo significa che gli oggetti possono essere comandati a distanza senza tecnologie particolari, ma attraverso internet.
A questo punto, gli “oggetti” dell’IoT possono essere le persone che indossano un indumento connesso oppure hanno un dispositivo che monitorizza le loro funzioni fisiologiche, gli animali e le piante con i biochip, le automobili con i sensori, i robot utilizzati nelle catene di montaggio che comunicano con l’esterno, ma anche le scale mobili di un supermercato, i bisturi che trasmettono informazioni, i giocattoli interattivi. In teoria, qualsiasi “oggetto”, vivo o inanimato, che disponga dell’IP e della connessione ad internet necessaria per scambiare i dati raccolti fa IoT.
I campi di applicazione sono, pertanto, innumerevoli. Il vero limite è solo la fantasia umana. Tra i settori più prolifici per l’IoT c’è la domotica gli oggetti IoT sono presenti in moltissime tecnologie che utilizziamo in casa, compresi gli elettrodomestici e le smart cities le città stesse diventano produttrici di dati e sono controllabili a distanza, ad esempio con i totem digitali installati nelle principali capitali in tutto il mondo che possono indicare il numero di pedoni presenti ad una fermata del tram, gli smartphone connessi ad un hotspot pubblico e molto altro.
I dati dell’Internet delle Cose sono, per definizione, a disposizione dei terzi, che li possono trattare, elaborare, arricchire, usare per costruire nuovo valore. Insieme ai nostri dati personali, sono diventati il “petrolio” del terzo millennio: dati che, analizzati, producono altri dati e consentono profilazioni dei comportamenti ed analisi di mercato sempre più penetranti. Il nostro essere interconnessi, l’utilizzo continuo degli strumenti informatici, ha reso tutto questo materiale sempre più trattabile per le finalità più disparate. Non sempre ciascuno di noi è in grado di governare la mole di dati estratti dalle nostre interazioni informatiche. Se questo è lo scenario generale dell’IoT, i punti maggiormente problematici sono due: la privacy delle persone e la sicurezza informatica.
Il primo punto è una diretta conseguenza della funzione di monitoraggio propria dell’IoT: se un oggetto IoT produce dati, questi potrebbero essere relativi a persone e all’utilizzo che ne viene fatto.
La manipolazione di queste informazioni ricade nel campo del trattamento dei dati personali e risente delle diverse impostazioni che la protezione dei dati personali sta assumendo nei diversi sistemi giuridici. La sicurezza è, invece, direttamente correlata al controllo messo in atto dagli oggetti IoT: se un qualunque oggetto può essere comandato a distanza, potrebbe, allo stesso modo, essere attaccato da criminali informatici proprio attraverso la rete. In particolare, anche se ogni oggetto è sicuro quando viene usato singolarmente, la sua messa in Rete rappresenta una situazione nuova che non ha raggiunto quel grado di sofisticazione tecnica che rende sicuro tutto il sistema: ad oggi, la vera zona grigia – di tutti e di nessuno – è proprio l’interscambio dati macchina-macchina. Ad oggi, nessuno ha la responsabilità di occuparsi della sicurezza di questa comunicazione.
Lo sviluppo dell’Iot progredisce, inoltre, in maniera scoordinata, senza che alla base vi siano l’elaborazione di standard condivisi che indichino le modalità di interazione degli oggetti. Di fatto, ogni azienda utilizza le proprie soluzioni e, peggio, ogni settore ha propri specifici standard: la domotica parla una sua lingua, l’automotive un’altra…
Questa grande difformità costituisce il maggior li- mite per chi sta all’origine di tutta la catena del digitale, come i produttori di semiconduttori, i quali dovrebbero implementare standard di sicurezza differenti per ciascun settore dell’IoT, oltre a creare monopoli di fatto a beneficio di quelle aziende che per prime riescono ad implementare una determinata soluzione e ad imporla sul mercato. La storia recente dei grandi colossi di Internet (Google, Amazon Facebook), purtroppo, lo conferma.
I dispositivi smart da un lato promettono benefici e semplificazioni delle attività quotidiane, dall’altro introducono una serie di nuovi rischi, come attacchi hacker, furti d’identità on line, accesso ai dati personali da parte di malintenzionati, raccolta di dati di qualsiasi tipo per fini secondari (anche “sensibili”, come quelli connessi allo stato di salute, ad oggi tutelati dalla nostra normativa) da parte di imprese multinazionali. La disponibilità di questo materiale informativo, se utilizzata al fine di controllare ed indirizzare la produzione, potrebbe modificare lo stesso sistema economico. Se questo è lo stato dell’arte, cosa può fare il diritto, in particolare, per la transnazionalità degli interessi coinvolti, il diritto internazionale?
Nonostante l’impegno di alcuni organismi internazionali (come l’ONU) nell’elaborare linee guida e l’emissione di raccomandazioni e pareri provenienti dalle più autorevoli autorità internazionali, siamo ancora molto lontani dal possedere gli strumenti giuridici idonei a disciplinare un fenomeno così globale e pervasivo. Soprattutto, mancano norme e regole che possano essere fatte valere dovunque. Ciò non è casuale, ma deriva dalla profonda differenza sul concetto di privacy esistente negli Stati Uniti e in Europa (a questo proposito basti pensare alle recenti sentenze in materia di protezione dei dati e privacy della Corte di Giustizia dell’Unione Europea, quali Google-Spain e Maximillian Schrems v. data protection, che hanno fortemente riaffermato il diritto dei singoli rispetto all’utilizzo del dato da parte degli operatori commerciali). Questa differenza concettuale ha radici profonde di matrice storica e culturale: mentre il sistema europeo rimane fortemente “ancorato” al rispetto dei diritti umani, quello americano è più frammentato (legislativamente parlando) e volto al raggiungimento del profitto economico.
Come sempre, l’ibridazione dei due approcci sarebbe quella auspicabile, considerato che il diritto non può non tener conto del fattore economico, determinante per lo sviluppo tecnologico, e un impianto normativo troppo “paralizzante” e superato potrebbe comportare la fuga degli investimenti a favore delle aeree del mondo dotate di una regolamentazione “più leggera”.
Regolamentare il processo produttivo degli oggetti smart, individuando responsabilità (e, dunque, diritti e doveri) e status giuridici delle varie figure coinvolte nel composito collage dell’IoT (dal produttore, compreso quello dei microchip al designer, passando per il fornitore dei software e della connettività) e, contemporaneamente, abbandonare l’impostazione troppo “datocentrica” delle ultime pronunce della Corte di Giustizia dell’Unione Europea, ripensando in chiave moderna la nozione di “vita privata”, così come prevista dalla Dichiarazione universale dei diritti umani e dalla Convenzione Europea dei diritti dell’uomo, non più strettamente correlata alla dicotomia “luogo pubblico”/“luogo privato”, a causa di una tecnologia che annulla le differenze, potrebbero essere dei punti di partenza per riscrivere il diritto delle genti e delle cose del terzo millennio.