In anni recenti, il comparto IoT è cresciuto in modo esponenziale, nonostante o forse soprattutto grazie alla pandemia. Tutto questo, grazie a una trasformazione da soluzioni di connettività e progetti a lungo bloccati nella fase di testing, a soluzioni prodotte e integrate con piattaforme e applicativi.
Perfino chi si occupa di analisi non misura più solo il numero di dispositivi IoT venduti, ma la quantità e tipologia di applicazioni disponibili. Secondo l’Osservatorio IoT della School of Management del Politecnico di Milano, è stata rilevata, in particolare, una crescita dell’offerta di servizi. Parliamo di 3 miliardi di euro, con un aumento del +25% dal 2020.
Giulio Salvadori, Direttore dell’Osservatorio IoT, ha dichiarato che: “Si assiste al lancio di nuove strategie e business, e a un incremento delle aspettative per il futuro”. Queste aspettative derivano anche dalle risorse destinate all’IoT dal PNRR (Piano Nazionale di Ripresa e Resilienza), che ammontano a 29,78 mld di euro in diversi ambiti tra cui Smart Factory, Smart City, Smart Building e Assisted Living.
Applicazioni innovative
Inoltre, l’analisi condotta dall’Osservatorio del Politecnico mostra un dato molto importante: l’80% delle grandi aziende coinvolte ha attivato servizi basati sull’Internet of Things, mentre il 36% delle grandi imprese e il 40% delle PMI ha aumentato gli investimenti.
Una spinta decisiva arriva anche dal tema della sostenibilità ecologica, poiché le soluzioni IoT aiutano a monitorare il consumo in eccesso o le emissioni tossiche. E non solo, perché le tecnologie IoT supportate da intelligenza artificiale (AI) possono essere utilizzate anche nell’ambito della logistica o per la biometria contactless, con il riconoscimento di persone e oggetti.
Nuovi rischi privacy
Tuttavia, queste nuove applicazioni, sempre più diffuse sul mercato, rappresentano un campanello d’allarme per i Data Protection Officer (DPO). Infatti, se da un lato, grazie all’IoT, l’industria sta facendo passi da gigante, dall’altro anche settori più delicati stanno utilizzando queste tecnologie. Ad esempio, possiamo citare la gestione del personale, i servizi al cittadino, la telemedicina, il fitness e benessere.
All’interno di questi ambiti particolari, i nuovi dispositivi connessi costituiscono nuove vulnerabilità, impattando sul rischio correlato al trattamento dei dati. Ogni dispositivo, infatti, rappresenta un punto di accesso per eventuali cyber attacchi. Questo include anche la situazione geopolitica in cui, molto spesso, i conflitti bellici diventano cyber war.
Per questo, la vigilanza delle istituzioni è molto elevata. I nuovi standard stabiliti in materia di sicurezza sono dedicati alla tutela dei consumatori e utenti dei servizi.
Linee guida e normative internazionali
La necessità di tutelare chi usufruisce di sistemi IoT sono molteplici, a partire dalla costituzione di validi sistemi di vigilanza. Non basta accertarsi della sicurezza fisica del dispositivo e dell’apparato, ma occorre verificare anche la riservatezza, l’integrità e la disponibilità delle informazioni trasmesse, dati personali inclusi.
Nel 2022 l’International Organization for Standardization (ISO), unitamente all’International Electrotechnical Commission (IEC), ha pubblicato lo standard ISO/IEC 27400:2022, a cui seguiranno l’anno prossimo nuovi standard ISO.
La nuova linea guida stabilisce standard relativi ai rischi e ai controlli sulla sicurezza, IoT e privacy. Infatti, sono stati individuati 45 controlli da compiere, tutti accompagnati da uno scopo ben definito, dalle parti responsabili, il dominio IoT e una guida per implementare le soluzioni IoT in sicurezza.
Di seguito alcuni dei principali controlli:
- Stabilire una politica per la sicurezza IoT
- Implementare linee guida per gli utenti IoT
- Informare gli utenti sul trattamento dei dati, sulle misure di sicurezza adottate e fornire i contatti utili del servizio di supporto
- Gestire le responsabilità dei fornitori e parti coinvolte nel trattamento dati
- Verificare la corretta progettazione dei dispositivi e sistemi IoT, basandosi sui principi di privacy e security by design
- Limitare la raccolta indiretta di dati, con il principio “privacy by default”
Di recente, anche l’Agenzia UE per la cibersecurity (ENISA) ha sviluppato linee guida per prevenire eventuali minacce alle infrastrutture intelligenti, evidenziando buone pratiche di sicurezza e suggerendo indicazioni utili per operatori e decisori.
Nel sito web di ENISA è presente un’area tematica interamente dedicata all’argomento, con le buone pratiche suddivise in base a settori e ambiti di applicazione. Tutte queste normative costituiscono elementi essenziali per prevenire il rischio e adempiere al Regolamento europeo per la protezione dei dati personali.
Il ruolo dei DPO per IoT e privacy
Antonello Soro, ex presidente dell’Autorità Garante, nel 2019 ha dichiarato: “Le innovazioni connesse alle tecnologie digitali sembrano scardinare le coordinate del diritto”.
Questo alla luce della diffusa carenza di un quadro normativo completo ed efficace, colmata solo in minima parte dagli standard e dalle linee guida di cui abbiamo parlato. Per questo, il ruolo dei DPO assume una sempre maggiore importanza. Il rispetto del Regolamento europeo sulla protezione dei dati personali deve indicare la strada per una corretta sorveglianza sui sistemi IoT.
Per la stessa ragione, l’articolo 39 del GDPR attribuisce ai DPO il compito di verificare gli adempimenti previsti dal Regolamento, nel rispetto dei principi fondamentali, nonché delle norme emanate dalle autorità internazionali. Questi standard e linee guida sono, al momento, tutto quello che abbiamo per sviluppare checklist di conformità efficaci per la sicurezza e la privacy, da utilizzare durante le attività di audit condotte nelle aziende.