Sempre più spesso qualsiasi App che noi installiamo, o qualsiasi sito sul quale ci registriamo, ci fornisce una modalità di “accesso semplificato” che prevede l’utilizzo dei dati di autenticazione di un altro fornitore, normalmente Google o Facebook.
Io ho “battezzato” questo meccanismo come “autenticazione incrociata”, perché un nome preciso questo meccanismo pare non lo abbia.
Nell'articolo
Accesso semplificato: i vantaggi
La cosa allettante, che spinge quasi tutti gli utenti verso questa scelta, è che così non dobbiamo creare un nuovo utente e memorizzare una nuova password, fornendo per contro un consenso allo scambio di informazioni tra due soggetti (quello al quale sto accedendo e Google o Facebook o altri ancora).
I limiti di questo consenso non sono spesso così semplici da comprendere e da individuare, ed in ogni caso a noi interessano poco: basta fare in fretta per accedere a quello che desideriamo, giusto?!?
Non è così?
Sì, purtroppo è così, perché abbiamo fretta e non abbiamo tempo da perdere nel registrarci o peggio leggere quali consensi stiamo concedendo alla nuova App o al nuovo servizio.
Accesso semplificato: gli svantaggi
A mio avviso è assolutamente sbagliato utilizzare questo meccanismo, perché:
- Non conosciamo l’attendibilità del fornitore dell’app o del sito o del servizio (non parlo di Facebook né di Google ovviamente, ma del nuovo servizio che ci apprestiamo ad attivare);
- Non sappiamo quali dati effettivamente vengano scambiati tra i due soggetti (se anche ci vengono forniti dettagli in merito, noi non li guardiamo ed accettiamo supinamente, o se ci mettiamo a leggere con attenzione non sempre è così semplice capire);
- Nel momento in cui smettiamo di utilizzare l’app o il servizio o il sito, il consenso allo scambio dei dati resta (un consenso è per sempre, diceva qualcuno poco fa);
- Non abbiamo modo di vedere con quanti soggetti abbiamo attivato questo meccanismo, né di conseguenza rettificare la situazione.
Un nuovo account per ogni accesso
Alla luce di quanto spiegato finora, vi sembra un comportamento sicuro e sano? A me no di certo!
Quindi è molto meglio armarsi di santa pazienza e creare un nuovo account per ogni App/servizio/sito al quale accediamo.
Certo ci dobbiamo mettere un po’ più di impegno, ed avremo una nuova credenziale da memorizzare, ma fidatevi che è meglio così.
Abbiamo già visto come poter utilizzare in sicurezza le password. Conosciamo quindi la loro necessità di complessità, ed al modo in cui memorizzarle in maniera sicura, ovviando almeno in parte al disagio di doverne creare una nuova.
Altre forme di profilazione
Questo articolo conclude una serie che tratta di questi argomenti:
Il consenso al trattamento dei dati: opportunità o pericolo?
L’identità digitale e l’impronta digitale: cosa sono e a cosa servono
Profilazione e Big data: risvolti su Privacy e Sicurezza
Ma ci sono anche forme di profilazione, che prevedono anche l’uso dei dati di geolocalizzazione, o l’ascolto di quello che diciamo in prossimità dei nostri assistenti vocali (Siri, Bixby, Alexa, ecc.).
Si, gli oggetti tecnologici che indossiamo (wearable) o che ci portiamo dietro (come gli smartphone), ci geolocalizzano e ci ascoltano costantemente, ed usano questi dati (big data) per profilarci.
Ma chi gli ha dato il permesso direte voi!?! Ve lo dico io, il permesso lo avete dato voi nel momento in cui avete “acceso” questi oggetti.
In quel momento critico, per fretta avete evitato di leggere le barbose clausole sul trattamento dei dati e fornito ogni possibile consenso, con il risultato che parliamo di un certo oggetto o visitiamo un negozio di un certo marchio, e dopo qualche minuto ci troviamo la pubblicità di quell’oggetto e di quel brand.
Per non parlare di quando parliamo di una certa patologia, o di tipo di operazione chirurgica, ed improvvisamente ci compare la pubblicità dei migliori medici e chirurghi in questo ambito.
Terrificante, ma vero, ed è solo colpa nostra.
Insomma, la profilazione è ovunque.
Conclusioni
La profilazione, quindi, è sì uno strumento legittimo e potente di marketing, ma anche uno strumento con cui (come abbiamo avuto modo di vedere) i nostri dati vengono raccolti e combinati per creare un puzzle identificativo e comportamentale, che può diventare un’arma potente per i cybercriminali.
Impariamo ad essere “resilienti” e parafrasando un noto modo di dire, “vendiamo caro il consenso!”.
Nato e cresciuto con l’informatica, si è occupato e tuttora si occupa di ICT in un importante gruppo torinese, dove attualmente ricopre il ruolo di CISO (Chief Information Security Officer) nonché di Responsabile dei Sistemi di Gestione Integrati. Grande esperto in materia, specializzato e certificato nei principali schemi di certificazione per la Cybersecurity, la Sicurezza Informatica e la Data Protection (privacy), effettua formazione e fornisce consulenza in questi ed altri ambiti presso primarie aziende italiane.
