Guida alle buone pratiche

In English »

Questa è una guida alla privacy online per il grande pubblico. Si compone di un elenco di buone pratiche ampiamente riconosciute che ogni persona dovrebbe considerare di adottare per meglio proteggere la propria privacy e la propria sicurezza online.

Quando è stata aggiornata l’ultima volta questa pagina?

Indice

1. Aggiornamenti software

2. Password del dispositivo

3. Crittografia del dispositivo

4. Trova il mio dispositivo

5. Gestione delle password

6. Autenticazione a più fattori

7. Comunicazione sicura

8. HTTPS

9. DNS over HTTPS

10. Browser web

11. Impostazioni e politiche sulla privacy

12. Tracciamento web e delle app

13. Servizi cloud

14. Violazioni di dati

15. Protezione e minimizzazione dei dati

16. Backup dei dati

17. Ingegneria sociale

18. Software antimalware

19. Sicurezza della webcam

20. VPN

21. Tor

22. Valutazione della sicurezza personale

23. Coinvolgi altre persone

24. Conclusione

Aggiornamenti software

2 min di lettura

Ogni software è complesso, imperfetto e in continua evoluzione.

Una delle cose più importanti che puoi fare per proteggere le tue informazioni è tenere il tuo software (come le tue applicazioni e i tuoi vari sistemi operativi) sempre aggiornato, assicurandoti al tempo stesso che sia abbastanza recente da essere ancora supportato da chi lo ha sviluppato (che si tratti di uno sviluppatore o una sviluppatrice indipendente o di una grande azienda come Apple, Google, Microsoft o Samsung). In questo modo non solo ti assicurerai di avere accesso alle ultime funzionalità e correzioni, ma anche alla versione più sicura che un determinato prodotto software può offrire in quel preciso momento.

Tieni presente che i telefoni, i tablet, ed i computer portatili e fissi non sono gli unici dispositivi che dipendono da aggiornamenti software regolari e tempestivi per funzionare in modo sicuro, migliorare con il passare del tempo ed introdurre nuove funzionalità. Anche i router (che sono al centro di qualsiasi rete locale come la tua rete domestica) e dispositivi IoT come altoparlanti, lampadine, frigoriferi, campanelli, televisori e telecomandi intelligenti fanno affidamento a questi aggiornamenti per le medesime ragioni.

Per dirlo con le parole di Gennie Gebhart dell’Electronic Frontier Foundation (che ho tradotto dall’inglese e modificato per fini di chiarezza):

“Tutto il software è una bozza, alcuni software sono semplicemente meglio abbozzati di altri. I tuoi dispositivi sono pieni di software ed ogni software contiene degli errori; è scritto da esseri umani e gli esseri umani commettono immancabilmente degli errori ad un certo punto. Ci sono (idealmente) interi gruppi di ingegneru costantemente al lavoro su questi sistemi operativi e applicazioni per trovare gli errori e correggerli. Quello che ti viene chiesto è soltanto cliccare “Aggiorna” e magari riavviare. Se non lo fai, significa che c’è un modo per approfittare del tuo dispositivo o del tuo software che è ormai noto in giro per il mondo. Finché non clicchi “Aggiorna” sei più facile ed economicu da hackerare”.

Vai all’indice ⇾

Password del dispositivo

3 min di lettura

Puoi cercare di evitare che altre persone abbiano accesso ai tuoi dati personali (così come ai dati personali che le persone con le quali sei in contatto potrebbero condividere con te) impostando una password robusta e unica (a volte chiamata codice o PIN) su ciascuno dei tuoi dispositivi.

Pensa alle informazioni personali che hai salvato sui tuoi dispositivi (note, contatti, conversazioni private, foto e video, cronologia della navigazione web, dati sanitari come informazioni relative al monitoraggio del ciclo mestruale o alle notifiche di esposizione per il Covid-19, ecc.), ma anche alle informazioni personali accessibili attraverso di essi (file caricati sul cloud, email, informazioni finanziarie e altre informazioni salvate sui tuoi account online). Probabilmente non vorresti che tutto questo restasse senza protezione ogni volta che lasci uno dei tuoi dispositivi incustoditi, o nel caso in cui dovessi perderne uno. Anche le persone che condividono informazioni personali con te probabilmente vorrebbero evitare che questo succeda.

Una volta impostata una password, potrebbe essere possibile (in base al dispositivo che stai usando) abilitare una qualche forma di autenticazione biometrica. In questo caso sarai anche in grado di sbloccare i tuoi dispositivi per mezzo della scansione di parti del corpo come le impronte digitali, il viso o l’iride.

Questo può aiutarti a rendere più facile e veloce l’azione di sbloccare i tuoi dispositivi e, allo stesso tempo, consentirti di utilizzare password più robuste e di ridurre la finestra di tempo tra quando blocchi i tuoi dispositivi e quando è necessaria una password o un fattore biometrico per sbloccarli (dato che la scomodità di dover digitare ogni volta una password per accedere non sarà più presente). Questo può anche aiutarti a mantenere le tue password private quando usi i tuoi dispositivi davanti ad altre persone (ad esempio in luoghi pubblici) o in spazi videosorvegliati.

Tieni presente che non tutte le forme e le implementazioni di autenticazione biometrica offrono lo stesso livello di sicurezza (ad esempio alcune possono essere ingannate da una semplice stampa o da un video del tuo volto). Questo significa che sarebbe consigliabile facessi qualche ricerca in anticipo per avere la certezza di essere a tuo agio con il livello di protezione che un dato sistema biometrico è in grado di fornire. Se i risultati della ricerca dovessero metterti a disagio (o se per qualsiasi motivo l’autenticazione biometrica non dovesse essere fattibile nel tuo caso in particolare) ricorda di usare comunque una password robusta e unica.

Un buon modo per creare password robuste, tutte diverse una dall’altra e facili da ricordare è tramite il metodo Diceware e altri metodi simili. Fai un salto al capitolo sulla gestione delle password per maggiori informazioni in merito.

Una nota: non dovresti (nella maggior parte dei casi) condividere le tue password o passphrase con altre persone. Se hai il sospetto (o la certezza) che una delle tue password è stata compromessa, cambiala il prima possibile.

Vai all’indice ⇾

Crittografia del dispositivo

5 min di lettura

Puoi attivare la crittografia del dispositivo sulla memoria interna dei tuoi dispositivi e su qualsiasi unità esterna (come chiavi USB, dischi rigidi, unità a stato solido e schede SD) per rendere più difficile a chiunque estrarre qualsiasi dato.

I dati salvati su dispositivi quali iPhone e iPad possono essere facilmente criptati impostando un codice (eventualmente affiancato da Touch ID o Face ID).

I dispositivi Android più recenti vengono solitamente criptati in automatico una volta attivato il blocco schermo. Puoi assicurarti sia effettivamente così visitando la sezione Sicurezza dell’app Impostazioni e cercando informazioni sullo stato crittografico del tuo dispositivo. I dispositivi Android meno recenti dovrebbero anch’essi fornire la crittografia, ma come funzionalità facoltativa attivabile dalla sezione Sicurezza (o Sicurezza e posizione) della loro app Impostazioni.

I computer Mac con OS X Yosemite (10.10) o successivo vengono criptati in modo predefinito durante la configurazione iniziale tramite FileVault, questo a meno che l’utente non decida di disabilitare manualmente la funzione. Puoi controllare se il tuo dispositivo è criptato aprendo le Preferenze di Sistema, cliccando su Sicurezza e Privacy e controllando se FileVault è attivato o disattivato dal pannello omonimo. Durante la procedura per abilitare la crittografia del dispositivo (sia che questo accada durante la configurazione iniziale o in un secondo momento) ti verrà chiesto se vuoi utilizzare il tuo account iCloud per sbloccare il disco e reimpostare la password. Anche se da un lato questa potrebbe sembrare una comodità, dall’altro significa affidare a terzi (in questo caso ad una grande azienda) la password del tuo dispositivo, il che probabilmente significa concedere a questa azienda la possibilità di reimpostare la password e sbloccare il tuo dispositivo al posto tuo, se lo volesse o se fosse costretta a farlo. Se preferisci essere l’unica persona in grado di sbloccare il tuo computer ed hai scelto di non permettere al tuo account iCloud di farlo per te, allora verrà generata una chiave di recupero, assicurati di salvarla in un luogo sicuro. Nota bene: se stai impostando questa opzione durante la configurazione iniziale, dovrai deselezionare manualmente l’opzione “Consenti al mio account iCloud di sbloccare il disco” per fare in modo che la password del dispositivo non venga salvata nel cloud.

I dispositivi Windows più recenti dovrebbero abilitare automaticamente la crittografia del dispositivo (talvolta denominata Crittografia del dispositivo BitLocker) al momento della configurazione iniziale se l’utente decide di accedere con il proprio account Microsoft. Ciò significa che le persone che scelgono di non accedere con il proprio account Microsoft (e di utilizzare quindi un account utente locale) non potranno utilizzare la funzione, mentre le persone che scelgono di accedere con il proprio account Microsoft non potranno evitare che la loro chiave di ripristino venga automaticamente caricata su OneDrive. Questo non è l’ideale perché significa affidare a terzi (anche in questo caso ad una grande azienda) la tua chiave di ripristino, il che probabilmente significa concedere a questa azienda la possibilità di reimpostare la password e sbloccare il tuo dispositivo al posto tuo, se lo volesse o se fosse costretta a farlo. Puoi controllare se questa funzione è disponibile sul tuo dispositivo e se è attivata o disattivata aprendo le Impostazioni, facendo clic su Aggiornamento e sicurezza e poi su Crittografia dispositivo. Date le limitazioni di questa opzione ti consiglierei di dare un’occhiata ad alternative più complete come BitLocker (disponibile su Windows 10 Pro, Enterprise ed Education ma non disponibile su Windows 10 Home), oppure ad uno strumento di terze parti gratuito ed open source come VeraCrypt.

Alcune delle distribuzioni Linux più diffuse come Ubuntu e Linux Mint offrono la possibilità di abilitare la crittografia durante il processo di installazione.

Se vuoi criptare unità di archiviazione esterne (quali chiavette USB, dischi rigidi, ecc.) o creare contenitori di file criptati che puoi archiviare dove vuoi, dai un’occhiata al già citato VeraCrypt.

Se stai cercando uno strumento che funzioni criptando i file singolarmente (invece che creando un unico contenitore criptato come fa VeraCrypt) e che sia anche un po’ più semplice da usare, allora dai un’occhiata a Cryptomator. Criptare i dati in questo modo significa che le informazioni sul numero e le dimensioni dei file saranno accessibili anche una volta che i dati sono stati criptati (che in alcune circostanze potrebbe non essere l’ideale), ma al tempo stesso consente di sincronizzare facilmente i dati criptati con servizi cloud non criptati end-to-end come iCloud Drive, Dropbox, OneDrive o Google Drive.

Tieni presente che i dispositivi criptati potrebbero dover essere spenti ed i contenitori o le cassaforti criptate smontati/e o chiusi/e affinché i dati siano completamente criptati.

Lascio di seguito alcune risorse che potresti trovare utili:

Vai all’indice ⇾

Trova il mio dispositivo

1 min di lettura

Puoi abilitare funzioni come Trova il mio dispositivo (disponibile su Windows e Android) e Dov’è (disponibile su iOS, iPadOS e macOS) per avere accesso ad alcune delle seguenti possibilità:

  • Localizzare il dispositivo su una mappa.
  • Fare in modo che il dispositivo emetta un suono.
  • Bloccare il dispositivo e far apparire un messaggio personalizzato sullo schermo.
  • Cancellare tutti i dati salvati sul dispositivo.

Inoltre il Blocco di attivazione di Apple e le funzioni di protezione del telefono di Google aiutano ad impedire a persone non autorizzate di utilizzare dispositivi smarriti o rubati anche qualora i dati salvati su questi dispositivi dovessero essere cancellati da remoto.

Tieni conto che abilitare funzioni di questo tipo significa inviare regolarmente informazioni relative alla propria posizione a un’azienda come Apple, Microsoft o Google (a seconda del dispositivo in questione). Devi pertanto bilanciare il vantaggio di poter localizzare, proteggere e cancellare da remoto i tuoi dispositivi con la tua disponibilità a divulgare tali informazioni personali a terze parti.

Tieni presente che questo non è l’unico modo in cui i tuoi dispositivi possono trasmettere informazioni relative alla tua posizione a terzi. Maggiori informazioni in merito sono disponibili nel capitolo sulle impostazioni e politiche sulla privacy.

Vai all’indice ⇾

Gestione delle password

5 min di lettura

Puoi usare un gestore di password (una cassaforte digitale criptata) per migliorare in modo drastico la sicurezza dei tuoi account e semplificare la gestione di informazioni così sensibili.

Alcune delle opzioni che si distinguono per buona reputazione sono:

Usare un gestore di password significa poter fare affidamento su un generatore di password casuali in grado di produrre password robuste e tutte diverse l’una dall’altra da usare per i propri account ed al tempo stesso non doversi preoccupare di impararle a memoria. Significa creare un elenco più o meno organizzato di tutte le informazioni relative ai propri account (e altre informazioni che si vuole tenere al sicuro ed a portata di mano) e salvarlo in forma criptata in modo che soltanto la persona che conosce la password del gestore di password è in grado di accedere ai dati. Significa anche poter evitare di usare account preesistenti (come un account Google, Facebook, Microsoft o Apple) per accedere ad altri servizi, il che può avere implicazioni negative per la privacy e la sicurezza.

Immagina una stringa di oltre 30 caratteri composta da lettere, numeri e simboli generati in modo casuale: questa è una password! 123456, singole parole dal dizionario, titoli di film, date, nomi di persone o animali o altre informazioni personali non sono password.

Puoi approssimare la robustezza delle tue password usando il Password Strength Testing Tool offerto da Bitwarden. Puoi anche fare un salto al capitolo sulle violazioni di dati per capire come controllare se i tuoi account sono stati compromessi in casi noti di violazioni di dati e quali azioni puoi compiere in seguito ad un evento di questo tipo.

La maggior parte dei gestori di password sono in grado di compilare automaticamente informazioni quali nome utente e password direttamente nelle pagine web o nelle app che usi. Su dispositivi mobili questa funzione è attivabile in seguito all’installazione dell’app del gestore di password scelto, mentre su computer portatili e fissi la funzione è solitamente fruibile nel browser installando l’estensione del browser del gestore di password in questione.

Durante la configurazione del gestore di password ti verrà chiesto di creare una password generale. Questa è la password che ti permetterà di accedere a tutto ciò che salverai nel tuo gestore di password, ed è una delle poche password (insieme alle password dei tuoi dispositivi personali e forse un paio d’altre) che dovrai imparare a memoria.

Un buon modo per creare password facili da ricordare ma al tempo stesso robuste e sempre diverse l’una dall’altra è usare delle passphrase create con l’aiuto del metodo Diceware o metodi simili.

La maggior parte dei gestori di password includono un generatore di password in grado di generarle per te. (Se stai ancora configurando il tuo gestore di password ed usare il generatore non è ancora possibile, puoi usare un’opzione accessibile tramite browser come il Generatore di password complesse di 1Password o il Bitwarden Strong Password Generator). Questo è il metodo più semplice.

In alternativa puoi prendere cinque dadi (anche uno solo va bene) e un elenco di parole Diceware come questo di Arnold G. Reinhold (tradotto in italiano da Tarin Gamberini). Come avrai notato ogni parola della lista è identificata da una stringa unica di cinque numeri. Quello che devi fare è tirare i dadi fino ad ottenere i primi cinque numeri: la parola corrispondente sarà la prima della tua passphrase! Continua a tirare i dadi finché la tua passphrase raggiungerà una certa robustezza.

Generalmente si consiglia di creare delle passphrase lunghe almeno dalle cinque alle sette parole.

Ecco alcune risorse sull’argomento:

Nonostante un gestore di password sia la soluzione migliore per la maggior parte delle persone, ci saranno casi in cui (per qualsiasi motivo) una soluzione software non è fattibile. Se ti trovi in questa situazione tieni presente che gestire le tue credenziali usando un libro delle password fisico che conservi in un luogo sicuro potrebbe essere meglio che non gestirle affatto.

Una volta impostato password (o passphrase) robuste e uniche per i tuoi account, dovresti essere a posto. Aziende e servizi che seguono pratiche di sicurezza informatica moderne dovrebbero richiedere un cambio di password solo se sospettano (o hanno la certezza) che le tue password siano state compromesse.

Una nota: non dovresti (nella maggior parte dei casi) condividere le tue password o passphrase con altre persone.

Vai all’indice ⇾

Autenticazione a più fattori

5 min di lettura

Puoi abilitare l’autenticazione a più fattori (l’autenticazione a due fattori, la verifica in due passaggi, ecc. sono tutte forme di autenticazione a più fattori) per migliorare significativamente la sicurezza dei tuoi account, aggiungendo un ulteriore passaggio a sistemi di autenticazione che altrimenti chiederebbero di fornire un solo fattore (per esempio una password) per eseguire l’accesso.

Probabilmente hai già usato una qualche forma di autenticazione a più fattori in passato. Se possiedi una carta di credito e vai ad uno sportello automatico per prelevare contanti ti viene chiesto di inserire la tua carta e di fornire un PIN: questa è una forma di autenticazione a più fattori!

Questi fattori aggiuntivi possono essere qualcosa che conosci (come una password o un PIN), qualcosa che possiedi (come una carta di credito, un telefono o una chiave di sicurezza), o qualcosa che sei (attraverso la scansione delle impronte digitali, del viso o dell’iride). Messi insieme rendono molto più difficile la vita di chi cerca di rubare le tue informazioni.

Nel caso delle aziende e dei servizi online che supportano l’autenticazione a più fattori, i fattori aggiuntivi sono solitamente implementati in forma di codici di verifica validi una volta sola recapitati al tuo telefono (qualcosa che hai) via SMS, chiamata cellulare o email, o generati da un’applicazione di autenticazione installata sul tuo telefono (sempre qualcosa che hai). In alcuni casi l’autenticazione a più fattori può essere disponibile come notifica push inviata al tuo telefono con una semplice domanda Si/No, oppure tramite la possibilità di impostare una chiave di sicurezza, un piccolo dispositivo fisico in grado di fornire un livello di protezione più elevato da comuni attacchi informatici come il phishing.

Tieni presente che nonostante l’autenticazione a più fattori rappresenti un significativo miglioramento nella protezione dei tuoi account e qualsiasi tipo di autenticazione a più fattori è meglio di niente, non tutti i metodi di autenticazione a più fattori offrono lo stesso livello di protezione:

Tieni anche presente che le varianti di autenticazione a più fattori disponibili (così come il modo in cui queste vengono chiamate) possono variare da un servizio all’altro. Questo significa che a volte il metodo di autenticazione a più fattori che preferisci potrebbe non essere disponibile e altre volte potrebbe essere necessario cercare con attenzione per trovare quello che cerchi. Eccoti un po’ di aiuto: Two Factor Auth (2FA).

Quando si abilita l’autenticazione a più fattori spesso viene chiesto di salvare uno o più codici di recupero o codici di backup. Questi codici ti permetteranno di accedere ai tuoi account nel caso in cui dovessi perdere l’accesso al dispositivo con il quale gestisci l’autenticazione a più fattori. Assicurati di tenerli al sicuro nel tuo gestore di password, o in un altro luogo sicuro.

Gestori di password come 1Password, Bitwarden, KeePassXC, Strongbox e KeePassDX ti permettono di gestire le informazioni relative all’autenticazione a più fattori direttamente insieme ai tuoi altri dati sensibili. Se preferisci tenerle separate puoi dare un’occhiata ad app di autenticazione come Tofu Authenticator, Aegis Authenticator, OTP Auth e andOTP. Queste ultime possono essere utili anche per salvare le informazioni relative all’autenticazione a più fattori del tuo gestore di password, che (per ovvie ragioni) non dovrebbero essere salvate soltanto all’interno del gestore stesso. Per quanto riguarda le chiavi di sicurezza, le YubiKey, le SoloKey e le Nitrokey sono tra le migliori attualmente disponibili.

Qui trovi alcune risorse che potrebbero aiutarti a scegliere il metodo di autenticazione a più fattori più adatto a te:

Indipendentemente da quanto sia stratificato il tuo approccio alla sicurezza, la sicurezza dei tuoi account è robusta solo quanto lo sono le impostazioni relative al ripristino dell’accesso nel caso in cui dovessi dimenticare la password. Questo per dire che, sulla via per abilitare l’autenticazione a più fattori dappertutto, faresti bene a dedicare un po’ di tempo al controllo di queste impostazioni.

P.S.: applicazioni come Signal e WhatsApp offrono anch’esse forme di autenticazione a più fattori. Prendi in considerazione di abilitarle!

Vai all’indice ⇾

Comunicazione sicura

7 min di lettura

Puoi priorizzare l’uso di strumenti di comunicazione criptati end-to-end come l’app di messaggistica Signal (qui trovi una guida per principianti in inglese) e servizi email quali ProtonMail e Tutanota, rispetto ad opzioni non criptate come le chiamate cellulari e gli SMS oppure ad opzioni criptate ma non end-to-end come Facebook Messenger, Instagram Direct, Telegram, i Messaggi Diretti di Twitter, Skype, WeChat, Gmail e Outlook.com, per essere sicuru (in misura ragionevole) che solo tu e le persone con le quali scegli di comunicare abbiano accesso al contenuto delle tue conversazioni. Nessuna terza parte come Facebook, Google, Microsoft, Twitter, altre aziende, dipendenti disonestu, governi o altre persone malintenzionate saranno in grado di avere accesso, abusare, o sfruttare le informazioni che condividi.

I servizi di comunicazione criptata end-to-end si basano solitamente su una tecnologia chiamata crittografia a chiave pubblica, che prevede l’assegnazione di una chiave pubblica ed una privata ad ogni utente.

Quando una persona invia un messaggio ad un’altra persona (o un messaggio vocale, un allegato, una chiamata vocale, una videochiamata, e così via), i dati vengono criptati localmente sul dispositivo della persona mittente utilizzando la chiave pubblica della persona destinataria per poi essere inviati via Internet alla persona destinataria. Una volta raggiunta la destinazione i dati vengono decriptati localmente utilizzando la chiave privata della persona destinataria (che, come suggerisce il nome, non viene mai condivisa). Ecco fatto!

Le impronte digitali delle chiavi pubbliche (sequenze relativamente brevi di caratteri che identificano in modo univoco una chiave pubblica) possono essere utilizzate per assicurarsi che le conversazioni siano effettivamente criptate end-to-end e per verificare che le persone all’altro capo di una conversazione siano effettivamente chi dicono di essere. Servizi diversi le chiamano in modi diversi: Signal (così come WhatsApp) le chiama codici di sicurezza, mentre ProtonMail si riferisce ad esse semplicemente come impronte digitali. Tutanota non offre attualmente la possibilità di visualizzarle o confrontarle.

Nonostante WhatsApp (di proprietà di Facebook) e altre app di messaggistica proteggano il contenuto delle conversazioni con la crittografia end-to-end in modo predefinito, questo non significa necessariamente che proteggano anche le informazioni relative alla tua identità e alla tua attività. Questo tipo di informazioni (che sono sempre informazioni personali e che, in alcuni casi, potrebbero essere sensibili quanto il contenuto stesso di una conversazione, se non di più) sono comunemente note come metadati, e possono includere informazioni su di te quali il tuo nome, la tua immagine del profilo, il tuo stato, con chi comunichi, quando e con quale frequenza, il nome, l’immagine e la lista di partecipanti di tutti i tuoi gruppi, la tua posizione, informazioni relative a tutte le persone nella tua rubrica (incluse coloro che non usano quella particolare app di messaggistica), come e quando usi l’app, ecc.

Rispetto a WhatsApp, Signal è finanziata dall’organizzazione senza fini di lucro Signal Foundation, è open source, ha un’informativa sulla privacy molto più rigorosa, ed ha molte funzioni volte alla protezione dei dati e dei metadati (come i messaggi a scomparsa personalizzabili, i messaggi media visualizzabili una volta, la ricerca privata dei contatti, il/la mittente sigillatu, i gruppi privati, i profili criptati, gli strumenti per sfocare i volti, le anteprime private dei link, la ricerca privata delle GIF, gli adesivi criptati e l’opzione inoltra sempre le chiamate) che mettono il potere nelle mani delle persone e fanno sì che l’azienda che gestisce l’app non sappia quasi nulla dei suoi utenti e delle sue utenti.

ProtonMail e Tutanota sono anch’esse open source e forniscono sia la crittografia end-to-end che la crittografia ad accesso zero. Mentre le caselle di posta ProtonMail e Tutanota sono sempre protette con la crittografia ad accesso zero (il che significa che nessuna persona eccetto il/la utente vi ha accesso), la disponibilità della crittografia end-to-end dipende dai servizi email utilizzati da tutte le persone coinvolte in una conversazione. Il modo più semplice per assicurarsi che la corrispondenza email sia criptata end-to-end è assicurarsi che tutte le parti coinvolte usino ProtonMail oppure Tutanota.

Per quanto riguarda le chiamate di gruppo e le videoconferenze Signal al momento consente ad un massimo di 8 persone di partecipare contemporaneamente. In casi in cui questo non dovesse essere sufficiente potresti trovarti a dover ricorrere ad opzioni criptate end-to-end ma meno rispettose della privacy come Wire (che consente audioconferenze fino a 25 persone e videoconferenze fino a 12 persone) e FaceTime (che ha fissato il suo limite a 32 persone), oppure ad opzioni per lo più non criptate end-to-end ma orientate alla privacy come Jitsi Meet (che consente riunioni fino a 75 persone, ma mette a disposizione la crittografia end-to-end solo come funzione sperimentale facoltativa disponibile se tuttu si uniscono alla chiamata usando un browser basato su Chromium, come ad esempio Brave).

Va sottolineato che, nonostante Wire e FaceTime siano criptate end-to-end, hanno entrambe alcune lacune significative in termini di sicurezza e privacy. A differenza di Signal, Wire mantiene accesso a molti metadati, compresa una copia in chiaro delle connessioni di tuttu sui loro server. Oltre a questo, il loro tentativo nel 2019 di spostare la loro holding dall’UE agli Stati Uniti senza che nessunu se ne accorgesse ha suscitato molte critiche e preoccupazioni. A differenza di Signal, Wire, WhatsApp ed altre app, FaceTime (che è disponibile solo su dispositivi Apple) non fornisce attualmente agli/alle utenti la possibilità di confrontare le impronte digitali delle chiavi pubbliche per verificare che le chiamate siano davvero criptate end-to-end.

Nel caso tu abbia bisogno o abbia scelto di fare affidamento su WhatsApp, considera di modificare alcune impostazioni per meglio proteggere la tua privacy. Considera di disabilitare i backup sul cloud (che, non essendo criptati end-to-end, non fanno altro che annullare la protezione offerta dalla crittografia end-to-end integrata in WhatsApp), abilitare le notifiche di sicurezza per assicurarti di ricevere una notifica qualora il codice di sicurezza di una persona nella tua rubrica dovesse cambiare, disabilitare la funzione Salva nel Rullino foto su iOS o la funzione Visibilità dei media su Android in modo che le immagini e i video che ricevi non vengano salvati nel rullino foto o nella galleria del tuo telefono, e magari anche di negare a WhatsApp accesso a informazioni quali la tua rubrica e la tua posizione. Se utilizzi i messaggi effimeri, sappi che se i backup sul cloud sono abilitati tutti i messaggi (inclusi quelli effimeri) verranno salvati nel cloud e che se è abilitata la funzione Salva nel Rullino foto/Visibilità dei media, i messaggi multimediali verranno eliminati dalla chat dopo 7 giorni, ma non verranno eliminati dal rullino foto o dalla galleria del tuo telefono a meno che tu non scelga di farlo manualmente.

Ecco alcune risorse ed articoli in merito:

Nota: alcuni dei servizi di messaggistica classificati in questo capitolo come servizi che non usano la crittografia end-to-end la offrono come opzione facoltativa. Questo significa che l’importanza di mantenere private le conversazioni non è trattata come elemento fondante, bensì come ripensamento parziale e tardivo.

Vai all’indice ⇾

HTTPS

4 min di lettura

HTTPS è la versione sicura dell’Hypertext Transfer Protocol, o HTTP.

Quando ci si connette ad un sito web sicuro (un sito che utilizza HTTPS) si ottengono tre cose molto importanti: in primo luogo si ottiene una prova dell’identità del sito; questo significa che puoi fidarti che un dato sito è realmente chi dice di essere e non un altro sito verso il quale sei statu reindirizzatu senza saperlo e senza il tuo consenso. In secondo luogo si ottiene la riservatezza; questo significa che puoi fare affidamento sul fatto che lo scambio di informazioni tra te e un dato sito è protetto e non può essere intercettato. In terzo luogo si ottiene una prova di integrità; il che significa che puoi fidarti che i dati che fluiscono da e verso un dato sito non sono stati alterati in alcun modo.

Questo mette in evidenza quanto i siti HTTP (o siti web non sicuri) siano vulnerabili e quanto sia inopportuno fidarsi di loro. In effetti siti e pagine web non sicure possono e sono utilizzate da persone malintenzionate, governi e ISP in tutto il mondo per:

  • Ottenere l’accesso ai dati in transito tra gli/le utenti e le pagine web che stanno visitando
    Pensaci bene prima di digitare credenziali di accesso, dati della carta di credito o qualsiasi altro tipo di informazione personale in una pagina che non è sicura. Tieni anche presente che qualsiasi pagina web non sicura che visiti può rappresentare una fonte di informazioni preziose per ISP in grado di utilizzare o vendere le informazioni personali per fini pubblicitari o altri fini o per governi che impiegano tecnologie di sorveglianza di massa.
  • Censurare in modo mirato
    Nel caso di pagine web sicure, tutto ciò che segue la barra “/” è criptato. Questo significa che se visiti una qualsiasi pagina di Wikipedia l’unica cosa che possono vedere delle persone malintenzionate è: https://www.wikipedia.org. Questo significa, tra le altre cose, che un governo repressivo (o un ISP non regolamentato) deve scegliere se bloccare Wikipedia completamente o non bloccarla affatto.

HTTPS è una parte fondamentale di molti degli strumenti sui quali facciamo affidamento nella nostra vita quotidiana. È dovere di chi gestisce un sito web aggiornarlo ad HTTPS ed è un diritto delle persone che visitano quel sito chiedere a chi lo gestisce di aggiornarlo nel caso in cui non lo avesse ancora fatto.

Puoi assicurarti di non essere su un sito non sicuro tenendo d’occhio la barra degli indirizzi: se non vedi un’icona a forma di lucchetto o vedi un avviso (come un’icona a forma di lucchetto barrata, un messaggio che dice “Non sicuro” o un’icona a forma di punto esclamativo) allora il sito che stai visitando è distribuito tramite una connessione non sicura. In questo caso, evita di inserire informazioni personali e, se possibile, cerca di non utilizzarlo in futuro.

Alcuni siti web potrebbero essere disponibili sia tramite HTTP che tramite HTTPS. Impostazioni del browser come la Modalità solo HTTPS di Firefox (che garantisce che tutte le connessioni ai siti web utilizzino il protocollo HTTPS), oppure estensioni del browser come HTTPS Everywhere dell’EFF (che richiede ai siti di utilizzare HTTPS sempre o quando possibile) possono essere d’aiuto in questi casi.

Tieni presente che in alcune circostanze l’atto stesso di visitare una pagina web può essere considerato un’informazione molto personale e che cancellare le tue informazioni da una casella di ricerca, un modulo online, o qualsiasi altro tipo di campo di inserimento prima di averle inviate non significa necessariamente che il sito in questione non le abbia registrate comunque.

Ricorda: il fatto che una pagina sia sicura non esclude che possa essere o meno dannosa. Con la crescente diffusione di HTTPS a livello mondiale, anche il numero di siti web dannosi che la utilizzano è in crescita.

Ecco alcune risorse che potrebbero interessarti:

Vai all’indice ⇾

DNS over HTTPS

3 min di lettura

DNS over HTTPS è un protocollo che consente l’accesso ai servizi del sistema dei nomi di dominio, o Domain Name System, attraverso una connessione sicura.

Qualsiasi cosa connessa ad Internet (siti web compresi) è identificata da una stringa di caratteri nota come indirizzo IP. Questo significa che quando digiti l’indirizzo del tuo sito preferito (per esempio Wikipedia) nella barra degli indirizzi, deve esserci un servizio che il tuo browser può contattare per tradurre “wikipedia.org” in un indirizzo IP che può effettivamente localizzare ed al quale può connettersi. E’ qui che entra in gioco la “rubrica” di Internet, ovvero il sistema dei nomi di dominio o DNS (Domain Name System).

Il DNS è la tecnologia che ti permette di avere a che fare con indirizzi web che hanno un senso, invece delle stringhe casuali di caratteri che compongono gli indirizzi IP.

I servizi DNS sono solitamente forniti dal tuo ISP in modo predefinito, ma ci sono fornitori DNS alternativi che puoi impostare manualmente nel caso l’opzione predefinita non faccia per te.

Proprio come era il caso per i collegamenti alla maggior parte dei siti web (che non erano sicuri fino a tempi relativamente recenti) la maggior parte dei servizi DNS sono ancora oggi resi disponibili tramite connessioni non sicure. Questo significa che, anche se siti come Wikipedia.org sono distribuiti tramite HTTPS, le richieste DNS che i tuoi dispositivi fanno per connettersi a questi siti sono spesso non criptate e semplici da intercettare, manomettere e bloccare da persone nella tua rete locale, dal tuo ISP o da altre persone malintenzionate in grado di intercettarle.

Il protocollo DNS over HTTPS (DoH) risolve questo problema consentendo ad aziende e organizzazioni che gestiscono server DNS di gestire le richieste DNS tramite una connessione HTTPS.

Ci sono diverse aziende che stanno iniziando ad aggiungere questa opzione alla loro offerta DNS, in particolare Cloudflare con il servizio 1.1.1.1. Chi fosse interessatu a cambiare le proprie impostazioni DNS predefinite a favore di Cloudflare sfruttando i vantaggi offerti da DoH può installare l’app 1.1.1.1 sui propri dispositivi ed usarla in modalità “1.1.1.1” (la modalità “WARP” abilita il servizio VPN di Cloudflare). Chi utilizza Firefox può abilitare DoH con Cloudflare all’interno del browser dalla pagina Impostazioni.

Se hai bisogno di più protezione rispetto a quella che HTTPS e DoH possono fornire, dai un’occhiata al capitolo sulle VPN ed a quello su Tor.

Vai all’indice ⇾

Browser web

2 min di lettura

Un elemento importante per quanto riguarda la protezione durante la navigazione sul web è la scelta di un buon browser web, uno che sia facile da usare ma anche in grado di proteggere la tua sicurezza e la tua privacy.

Prendi in considerazione di provare Firefox se non lo hai provato di recente. E’ un prodotto fortemente orientato alla sicurezza e alla privacy e mette a disposizione funzioni come le notifiche di Firefox Monitor per avvisare gli/le utenti quando visitano un sito che ha subito una recente violazione di dati, la capacità (come menzionato sopra) di abilitare DNS over HTTPS direttamente all’interno del browser semplicemente spuntando una casella, così come alcune funzioni (ed estensioni) focalizzate alla protezione dal tracciamento menzionate nel capitolo sul tracciamento web e delle app

I prodotti Firefox non sono controllati da un’azienda affamata di dati come Google, ma da un’organizzazione non a scopo di lucro (Mozilla) che si occupa di proteggere i propri utenti e le proprie utenti e di rendere Internet un posto migliore per tutte le persone.

Eccoti un aiuto, nel caso ti servisse: Passare da Chrome a Firefox (Mozilla)

Se hai bisogno di un browser web basato su Chromium (Chromium è il progetto open source alla base di Google Chrome) allora considera di provare Brave. Come Google Chrome ha accesso alle estensioni disponibili tramite il Chrome Web Store, ma a differenza di Google Chrome è dotato di una serie di funzioni volte al mantenimento della privacy e nasce da un impegno generale più marcato a favore della privacy e della sicurezza degli utenti e delle utenti.

Una nota: qualunque sia il browser che scegli di usare, tieni presente che la navigazione privata (a volte definita come navigazione in incognito o InPrivate) NON è uno strumento per proteggere l’anonimato.

Se sei alla ricerca di uno strumento per navigare il web in modo anonimo, evitare il tracciamento, il fingerprinting e la sorveglianza ed aggirare la censura, allora il Tor Browser (oppure l’Onion Browser se usi iOS o iPadOS) è probabilmente quello che stai cercando. Trovi maggiori info in merito nel capitolo su Tor.

Vai all’indice ⇾

Impostazioni e politiche sulla privacy

5 min di lettura

Le applicazioni e i servizi che usi sono accompagnati, tra le altre cose, da informative sulla privacy e da un certo numero di impostazioni sulla privacy attive in modo predefinito. Questo può tradursi in informative e impostazioni che permettono ad aziende come Facebook e Google di utilizzare i tuoi dati personali per generare pubblicità mirata, ma anche autorizzazioni che consentono alle applicazioni che usi di accedere a componenti del telefono come la fotocamera e il microfono oppure ad informazioni quali la tua posizione geografica, i tuoi contatti, il tuo calendario, le tue foto ecc.

Dato che spesso sicurezza e privacy non sono fornite in modo predefinito, considera di visionare attentamente queste informative e impostazioni sulla privacy per essere sicuru di essere a tuo agio di fronte alla quantità di dati personali ai quali le applicazioni e i servizi che usi sono in grado di accedere, e che possono eventualmente raccogliere, archiviare, utilizzare o condividere. Fare questo potrebbe voler dire:

  • Leggere le informative sulla privacy e i termini di servizio
    Quando ti iscrivi a un servizio, o apri un’applicazione per la prima volta, ti viene chiesto di accettare informative e termini che regoleranno il tuo rapporto con quell’applicazione o servizio e ciò che tu e la società che gestisce il servizio potrete fare o non potrete fare. Considera seriamente di leggere questi documenti.
  • Controllare le autorizzazioni delle applicazioni che usi
    Quante delle tue applicazioni hanno realmente bisogno di accedere alla tua posizione, al tuo microfono, alla tua fotocamera o alla tua rubrica per funzionare correttamente?
  • Controllare le autorizzazioni delle estensioni del tuo browser
    Le estensioni del browser possono fare molte cose, oltre ad essere utili: possono avere accesso alla tua cronologia di navigazione, sostituire i contenuti delle pagine che visiti, avere accesso ai dati che inserisci in qualsiasi pagina web (inclusi dati sensibili come i dati finanziari, le password e i tuoi messaggi privati), avere accesso e/o modificare i tuoi segnalibri, ecc. Se alcune delle autorizzazioni richieste da una data estensione dovessero sembrarti strane o eccessive, prendi in considerazione di rimuovere quell’estensione dal tuo browser e magari cercare un’alternativa. Se un’estensione non proviene da una fonte attendibile, potrebbe causare seri danni.
  • Abbandonare alcune applicazioni e servizi cancellando l’account e/o disinstallando l’applicazione.
    Se prendi questa decisione ma vuoi conservare i tuoi dati ricorda che la maggior parte dei servizi permette di scaricare una copia dei propri dati.

Per quanto riguarda la protezione delle informazioni sulla propria posizione, tieni presente che ci sono diversi modi in cui questi dati possono essere accessibili o possono essere raccolti da terzi:

  • Le applicazioni sono in grado di accedere e tenere traccia della tua posizione usando i dati forniti da sistemi globali di navigazione satellitare come il GPS e Galileo. Nella maggior parte dei casi dovresti essere in grado di controllare questo aspetto visitando le impostazioni sulla privacy del tuo dispositivo.
  • Le applicazioni sono anche in grado di tracciare la tua posizione usando la connettività Bluetooth e Wi-Fi. Attualmente sono pochi i sistemi operativi che permettono di controllare questo aspetto.
  • Il tuo indirizzo IP può essere utilizzato dai siti, applicazioni e servizi che usi per approssimare il luogo dal quale stai accedendo ad Internet. Per ulteriori informazioni su come controllare questo aspetto, consulta il capitolo sulle VPN e quello su Tor.
  • Gli operatori di rete mobile sono in grado di rilevare e tracciare la tua posizione perché sanno a quale delle loro celle radio sei connessu, rendendo la divulgazione della tua posizione una questione di routine. Puoi evitare questo disattivando completamente la connettività cellulare tramite impostazioni quali la modalità aereo o lasciando il telefono a casa.

Vai all’indice ⇾

Tracciamento web e delle app

2 min di lettura

Grandi reti per il tracciamento come quelle messe in piedi da Google, Facebook, Amazon, Twitter ed altre aziende cercano di seguirti ovunque con l’obiettivo di raccogliere quanti più dati possibili su di te e sul tuo comportamento. Possono poi usare questi dati per cercare di influenzare i tuoi pensieri e le tue decisioni come la marca delle scarpe che vorresti comprare, il luogo del tuo prossimo viaggio, quali notizie sei in grado di vedere, quale partito politico dovresti votare, ecc.

Le pubblicità possono essere invadenti, a volte sfruttate per scopi dannosi (possono per esempio cercare di ingannarti per spingerti ad installare malware o fornire informazioni personali) e possono avere un impatto negativo sulla tua esperienza di navigazione, sul consumo dati e sulla durata della batteria.

I siti web possono anche essere compromessi per generare criptovaluta usando la potenza di calcolo dei tuoi dispositivi senza il tuo consenso, il che può essere un’attività molto redditizia per persone malintenzionate.

Per ridurre al minimo questo tipo di comportamenti puoi provare estensioni del browser come uBlock Origin, Privacy Badger, Ghostery o DuckDuckGo Privacy Essentials e prendere in considerazione di passare a prodotti e servizi incentrati sulla privacy come DuckDuckGo (un motore di ricerca che non traccia gli utenti e le utenti), OsmAnd (un’applicazione di navigazione e mappe offline) e Traduci di Apple o DeepL Traduttore (due servizi di traduzione automatica meno invasivi per la privacy rispetto a Google Traduttore).

Se usi Firefox dai un’occhiata alla protezione antitracciamento avanzata (disponibile per computer fissi e portatili e per dispositivi iOS e Android) e ad estensioni antitracciamento come Facebook Container e Firefox Multi-Account Containers.

Se possiedi un iPhone o un iPad avrai forse notato che quando apri certe app ti viene chiesto se vuoi permettere a quell’app di tenere traccia delle attività che svolgi nelle app e sui siti web di altre aziende. Se tocchi “Chiedi all’app di non eseguire il tracciamento”, allora l’app in questione non sarà in grado di tracciarti. Se vuoi impedire a qualsiasi app di tracciarti o anche solo di chiedere se vuoi essere tracciatu, puoi visitare “Impostazioni” > “Privacy” > “Tracciamento” ed assicurarti che l’opzione “Richiesta tracciamento attività” sia disattivata.

Tieni presente che la maggior parte dei siti web e delle app sono finanziati tramite la pubblicità, prendi in considerazione l’idea di sostenere finanziariamente i siti o le app sulle quali fai maggiore affidamento (se puoi) in modo che possano continuare a fare il loro lavoro.

Vai all’indice ⇾

Servizi cloud

2 min di lettura

I servizi cloud possono essere strumenti molto utili, ma possono anche introdurre significativi compromessi in termini di sicurezza e privacy.

Aziende che gestiscono servizi molto popolari come Google Drive, OneDrive, Dropbox, OneNote, Evernote, Documenti Google, Microsoft Office, WeTransfer e così via non possono garantire che gli/le utenti siano le uniche persone in grado di accedere ai propri dati perché, per varie ragioni, hanno scelto di sviluppare questi prodotti in modo che anche loro potessero accedervi.

Nonostante questo possa essere accettabile in alcune circostanze, ci saranno probabilmente situazioni nelle quali (magari anche a costo di perdere qualcosa in termini di funzionalità) potresti voler mantenere il controllo su chi ha accesso ai tuoi dati e su come questi dati vengono gestiti.

E’ qui che entrano in scena servizi criptati end-to-end come Sync e Tresorit per il cloud storage, Standard Notes per le note, Tutanota e CryptPad per il calendario, CryptPad per l’editing collaborativo di documenti e Tresorit Send, FileSend e OnionShare per la condivisione di file. Tutti questi prodotti criptano e decriptano i dati localmente, in modo da fornire un servizio in grado di assicurare (in misura ragionevole) che solo tu e le persone con le quali vuoi condividere qualcosa siano in grado di accedervi.

P.S.: se stai cercando un’alternativa offline alla suite di applicazioni di Microsoft Office, dai un’occhiata a LibreOffice della Document Foundation per desktop ed a Collabora Office di Collabora per dispositivi mobili.

Vai all’indice ⇾

Violazioni di dati

3 min di lettura

Le violazioni di dati sono diventate molto frequenti in questi ultimi anni e ogni violazione si aggiunge a un numero crescente di dati personali pubblicamente disponibili (e quindi compromessi).

Si pensi al disastro di Equifax del 2017, che ha esposto dati personali come i Social Security Number e le date di nascita di oltre 140 milioni di cittadini e cittadine statunitensi; o alla violazione di dati di Yahoo! dello stesso anno, che ha esposto info personali di tutti e 3 i miliardi di account registrati sulla piattaforma; o alla fuga di dati di Aadhaar del 2018, che ha esposto le info personali di 1,1 miliardi di persone; o al “bug” di Twitter dello stesso anno, che ha spinto l’azienda a consigliare a 330 milioni di utenti il cambiamento della password; o alla violazione di dati di Microsoft del 2020, che ha esposto i dati di 250 milioni di clienti; o alla fuga di dati di Facebook del 2021, che ha esposto dati personali come data di nascita, datore o datrice di lavoro, genere, posizione geografica, numero di telefono e situazione sentimentale di più di 533 milioni di persone, e questi sono solo alcuni dei casi che hanno avuto più visibilità.

Tutti questi dati compromessi non torneranno mai sotto il controllo di chi li ha persi, e in casi come i Social Security Number e le date di nascita (essendo queste informazioni che non possono essere cambiate) non c’è molto che si possa fare per riparare il danno creato.

In un mondo che fa sempre più affidamento su strumenti digitali per raccogliere, salvare, utilizzare e condividere qualsiasi tipo di dato (compresi dati personali e dati personali sensibili); in un mondo in cui le informazioni personali sono spesso compromesse in violazioni di dati e/o volontariamente divulgate sui social media o altri canali semi-pubblici o non sicuri (e nonostante questo ancora ampiamente utilizzate per identificare e autenticare le persone), persone malintenzionate possono causare grossi danni.

Uno strumento molto utile per avere informazioni sulle violazioni di dati ed aumentare la consapevolezza collettiva rispetto al problema è Firefox Monitor. Si tratta di un sito di facile utilizzo (basato sul progetto Have I Been Pwned? di Troy Hunt) che ti permette di verificare se i tuoi dati sono stati compromessi in una violazione di dati nota consultando un database pubblicamente disponibile, ma anche di registrare i tuoi indirizzi email (in questo caso è richiesto un account Firefox gratuito) per essere avvisatu non appena nuove informazioni che interessano i tuoi account dovessero diventare disponibili.

Due caratteristiche interessanti di Have I Been Pwned? (che attualmente Firefox Monitor non possiede) sono la possibilità di controllare se sei statu colpitu da una violazione di dati inserendo il tuo numero di telefono e Pwned Passwords, una pagina dove puoi digitare le tue password e sapere immediatamente se sono state compromesse in una violazione di dati nota. Il procedimento di controllo viene svolto senza che le tue password lascino mai il tuo dispositivo o vengano divulgate a terze parti sfruttando una proprietà matematica nota come k-anonimato.

Diverse altre aziende hanno incorporato i dati di Have I Been Pwned? nei loro prodotti e servizi. Due di queste che ci tengo a menzionare sono 1Password e Bitwarden, due app per la gestione delle password che hanno implementato questo tramite le loro rispettive funzioni Watchtower e Vault Health Reports.

Vai all’indice ⇾

Protezione e minimizzazione dei dati

4 min di lettura

Cerca di essere consapevole di quali dati digitalizzi e dove e come li salvi, così come di quali dati personali stai condividendo, con chi, dove e come.

Questi dati possono essere informazioni personali come nome e cognome, data di nascita, indirizzo di casa e numero della carta d’identità ma anche informazioni sensibili come i dati sanitari, quelli genetici e altri dati che potrebbero essere utilizzati per rivelare la tua origine razziale o etnica, le tue opinioni politiche, la tua vita sessuale, le tue convinzioni religiose o filosofiche, così come la tua identità di genere o il tuo orientamento sessuale.

Tieni presente che non si tratta soltanto di proteggere i tuoi dati personali, ma anche i dati personali che altre persone hanno condiviso, condividono e condivideranno con te.

Informazioni personali come nome, cognome e data di nascita sono ancora utilizzate in molti casi come uniche informazioni necessarie per autenticare le persone (si guardi per esempio alle compagnie telefoniche…) e potrebbero essere utilizzate per impersonarti e ottenere accesso non autorizzato ad ogni genere di servizio che usi. Inoltre, una volta che dati di questo tipo diventano pubblici, potrebbe non esserci un modo per risolvere il problema. Le password si possono cambiare, ma cambiare cose come la tua data di nascita, il tuo nome e cognome, o il tuo indirizzo di casa è molto meno fattibile (se non impossibile).

Quando ti iscrivi ad un servizio cerca di farti un’idea di come l’azienda che lo gestisce salverà i tuoi dati e se li tratterà in un modo compatibile con la protezione della tua sicurezza e il rispetto della tua privacy. Pensa anche a quali dati un’azienda potrebbe aver bisogno per offrire un determinato servizio rispetto ai dati che effettivamente richiede, e cerca di trovare un modo per fornire esclusivamente lo stretto necessario.

Quel forum online ha davvero bisogno del tuo vero nome, della tua data di nascita e del tuo indirizzo email principale? Sarebbe davvero consigliabile affidare a quel sito di acquisti online i dati della tua carta di credito, o sarebbe invece meglio usare un metodo di pagamento alternativo (tipo PayPal, se disponibile)?

Cerca sempre di capire quanti dati personali sei dispostu a condividere con terzi. Se non sei a tuo agio di fronte alla quantità di informazioni che un determinato servizio chiede di fornire, prendi in considerazione di non usarlo.

Cerca di criptare il maggior numero di dati possibile, cancellando allo stesso tempo i dati di cui non hai bisogno o che non usi più. Questo potrebbe voler dire eliminare messaggi pubblicati sui social media che non senti riflettano più chi sei, immagini e video di cui non hai bisogno salvate in qualche cartella condivisa, account che non usi mai o che usi solo raramente (il sito Just Delete Me può aiutarti in questo caso), o vecchi file che stanno solo occupando spazio prezioso. Potrebbe anche voler dire cancellare completamente i tuoi dati da vecchi dispositivi quali telefoni, computer portatili, tablet, dischi rigidi, chiavi USB, schede SD ecc.

Teni presente che, salvo l’utilizzo di uno strumento affidabile per la cancellazione del disco, la migliore soluzione per cancellare completamente i dati da dispositivi quali vecchi dischi rigidi è solitamente la distruzione fisica del disco stesso.

Prendersi cura dei propri dati significa anche decidere cosa accadrà ai propri account e ai dati salvati in questi account dopo la propria morte. Preferiresti che i tuoi dati venissero cancellati, o preferiresti invece affidare ad una persona (o un gruppo di persone) il trattamento di questi dati? Un piano per la propria morte digitale non è probabilmente qualcosa a cui la gente normalmente pensa, ma è anche l’unico modo per mantenere un certo controllo sui propri dati quando non si è più in vita.

Non sono molti i servizi che offrono attualmente impostazioni o politiche aziendali in questo senso, ma alcuni lo fanno. Magari dacci un’occhiata ad un certo punto?

Ecco un aiuto per navigare l’argomento, nel caso ne avessi bisogno: Death Online: Planning your digital afterlife (The Verge)

Se hai bisogno di proteggerti dalle molestie online, allora visita la guida Speak Up & Stay Safe(r) di Jaclyn Friedman, Anita Sarkeesian e Renee Bracey Sherman.

Vai all’indice ⇾

Backup dei dati

3 min di lettura

Una cosa che puoi fare per cercare di evitare di perdere i tuoi dati nel caso il tuo telefono, portatile, dispositivo di archiviazione esterno, o qualsiasi altro dispositivo dovesse andare perso, essere rubato, o smettere di funzionare per qualche ragione sono i backup.

Dispositivi come iPhone, iPad, qualsiasi computer Mac e i vari telefoni e tablet Android disponibili sul mercato offrono di solito qualche funzione di backup sul cloud. Questo rende il mantenimento di una copia dei dati del dispositivo pronta per ogni evenienza molto semplice, ma significa solitamente anche rinunciare al controllo che si ha su quei dati nella misura in cui questi non saranno più accessibili esclusivamente a te, ma anche (almeno in parte) all’azienda che gestisce il servizio cloud.

Al momento Apple non offre la possibilità di proteggere i backup su iCloud con la crittografia end-to-end e purtroppo è improbabile la situazione cambi nel breve periodo. Quello che offre è la possibilità di salvare i backup criptati di iPhone e iPad sul proprio computer usando iTunes o il Finder e la possibilità di salvare i backup criptati del Mac su un dispositivo di archiviazione esterno usando Time Machine. Se possiedi uno o più dispositivi Apple, prendi in considerazione di eseguire soltanto backup locali (invece di backup su iCloud).

Google sembra utilizzare una qualche forma di crittografia end-to-end per proteggere i dati di chi decide di eseguire il backup del proprio dispositivo Android sul cloud di Google, ma non è molto trasparente in merito a quali dati siano effettivamente protetti. La funzione dovrebbe essere disponibile sui dispositivi con Android 9 o successivi sui quali è abilitato un PIN, una sequenza o una password per il blocco schermo. Un’opzione integrata per eseguire il backup di un dispositivo Android su un computer o su un dispositivo di archiviazione esterno non sembra essere disponibile per il momento.

Per quanto riguarda i dispositivi Windows, Microsoft non offre una funzione di backup completo sul cloud come Apple e Google (solo un’opzione per la sincronizzazione delle impostazioni non criptata end-to-end) e offre soltanto un’opzione di backup locale piuttosto limitata chiamata Cronologia file.

Alcune delle distribuzioni Linux più diffuse come Ubuntu e Linux Mint forniscono strumenti di base per il backup già preinstallati, cercali nel menu delle applicazioni del tuo sistema operativo.

Chi è alla ricerca di soluzioni multi piattaforma per il backup del proprio computer fisso, portatile o qualsiasi dispositivo di archiviazione esterno (come un disco rigido, una scheda SD, una chiave USB, ecc.) può dare un’occhiata a strumenti di backup e crittografia come FreeFileSync e VeraCrypt per i backup locali (ulteriori informazioni su VeraCrypt sono disponibili nel capitolo sulla crittografia del dispositivo) e a fornitori di cloud storage criptato end-to-end come Sync e Tresorit per i backup sul cloud.

C’è sempre la possibilità di scegliere un servizio che non fornisce la crittografia end-to-end se i dati sono già criptati con strumenti come VeraCrypt o Cryptomator, o se i dati interessati non sono personali (nel senso che la divulgazione di questi a terze parti non sarebbe motivo di preoccupazione per te o altre persone).

Nel scegliere l’opzione (o la combinazione di opzioni) che meglio si adatta alle tue esigenze, tieni conto della sensibilità dei dati in questione, nonché (in particolare nel caso di servizi non criptati end-to-end) della fiducia che sei dispostu a riporre nell’azienda che gestisce il servizio.

Vai all’indice ⇾

Ingegneria sociale

3 min di lettura

L’hacking contemporaneo implica solitamente la partecipazione inconsapevole delle persone o delle organizzazioni prese di mira. Questo perché, per le persone malintenzionate, è molto più facile (e meno costoso) ingannare qualcunu tramite una telefonata, un link o un allegato dannoso (spingendo così la vittima a fare il lavoro per loro), che non farsi strada attraverso sistemi di sicurezza informatica per conto proprio (il che sarebbe probabilmente fattibile, ma tendenzialmente più dispendioso in termini di tempo e denaro).

Nonostante i servizi email più conosciuti riescano a filtrare la maggior parte dei messaggi indesiderati dalla tua casella di posta, i browser web più conosciuti siano in grado di avvertirti quando stai per visitare una pagina web potenzialmente dannosa, i sistemi operativi abbiano capacità proattive e reattive volte a proteggere gli utenti e le utenti da file dannosi e vari altri prodotti e servizi software abbiano delle protezioni abilitate in modo predefinito, tieni presente che tali protezioni non sono in grado di proteggerti da tutto e (cosa ancora più importante) non sono sempre in grado di proteggerti da te stessu.

Ecco alcuni suggerimenti che possono aiutarti a riconoscere ed evitare attacchi che sfruttano l’ingegneria sociale come il phishing, lo spear phishing, il baiting e l’impersonificazione:

  • Cose che sono troppo belle per essere vere
    Comunicazioni di questo tipo possono promuovere oggetti forniti gratuitamente, ingenti somme di denaro o cose simili.
  • Messaggi che trasmettono un senso di urgenza e chiedono di agire in fretta
    Messaggi di questo tipo potrebbero affermare che i tuoi account sono stati violati e chiederti di inserire le tue informazioni in una pagina che assomiglia a quella originale, ma in realtà non lo è.
  • Indirizzi email che non sembrano corretti
    Per esempio indirizzi email molto lunghi e apparentemente casuali, o indirizzi simili a quelli di cui ti fidi ma diversi in qualche piccolo dettaglio meno evidente.
  • Comunicazioni da o a proposito di servizi che non usi
    Come un’email che menziona un conto bancario di una banca con la quale non hai nessun rapporto, o un servizio al quale non ti sei mai iscrittu, o un pacco che non hai mai ordinato.
  • Link sospetti
    Come un link dall’aspetto strano o link abbreviati (per esempio usando bit.ly) recapitati via email, messaggio, SMS o che trovi sui social media.
  • File sconosciuti o sospetti
    Come un file .exe o PDF scaricato da un sito web qualunque o non sicuro invece che da un sito web sicuro e di fiducia, o un file simile recapitato via email, messaggio o SMS.
  • Dispositivi sconosciuti o sospetti
    Questo potrebbe voler dire evitare di inserire dati personali su dispositivi al di fuori del tuo controllo diretto (come un computer alla biblioteca o quello di un amico o un’amica) o di collegare dispositivi sconosciuti (come chiavi USB o dischi rigidi di altre persone o che hai trovato) al tuo computer portatile o altro dispositivo personale.
  • Telefonate sospette
    Quali telefonate dove una persona apparentemente assunta da un’azienda come Microsoft o Apple per fornire servizio clienti o assistenza tecnica ti chiama proattivamente chiedendoti di fornire strane informazioni personali.

Puoi mettere alla prova le tue abilità usando Sei in grado di riconoscere i tentativi di phishing?, un quiz di Jigsaw. Puoi anche utilizzare strumenti come WhereGoes per vedere dove porta un URL abbreviato prima di aprirlo effettivamente nel tuo browser.

Vai all’indice ⇾

Software antimalware

3 min di lettura

Qualsiasi tipo di software maligno o dannoso è detto malware. Adware, ransomware, spyware (come lo stalkerware), worm, virus, trojan e backdoor sono alcuni dei tipi più comuni di malware. Il software antimalware è software progettato per aiutare a prevenire, rilevare e rimuovere queste minacce da un dato dispositivo.

Per funzionare correttamente il software antimalware deve avere accesso quasi completo al sistema sul quale è installato e questo livello di accesso (in particolare nel caso di soluzioni di terze parti) si è dimostrato molto problematico nel corso degli anni. Questo perché le aziende di sicurezza di terze parti devono solitamente fare affidamento su stratagemmi poco trasparenti per guadagnarsi l’accesso ad un sistema e permettere così al loro prodotto di funzionare e i bug nel loro software possono quindi aggiungere gravi vulnerabilità ad un computer, invece di contribuire a renderlo più sicuro. Per non parlare delle “funzionalità” anti-privacy che alcuni di loro pensavano fosse accettabile implementare.

La maggior parte dei sistemi operativi sono dotati di meccanismi e strumenti di sicurezza integrati che possono aiutare a minimizzare le minacce legate al malware. Prendi in considerazione di affidarti a questi, invece di installare software di terze parti (a pagamento o gratuiti).

Windows viene fornito con l’app Sicurezza di Windows come parte del sistema operativo, questa include (tra gli altri) strumenti per la protezione da virus e minacce, protezione da ransomware e protezione firewall e della rete.

macOS viene fornito con diverse protezioni di sicurezza integrate, come un processo obbligatorio di firma delle app, l’esecuzione in sandbox delle stesse e la rilevazione e rimozione dei virus.

I sistemi operativi per dispositivi mobili come iOS, iPadOS e Android sono anch’essi dotati di robuste protezioni integrate come il sandboxing delle app, la possibilità di installare app solo dagli app store ufficiali (questo può essere disabilitato su Android) e altre.

Se possiedi un dispositivo iOS o iPadOS, dai un’occhiata all’app iVerify di Trail of Bits (disponibile solo in inglese). Anche se non è un vero e proprio antivirus, può aiutarti a mantenere il tuo dispositivo sicuro cercando regolarmente segni di compromissione e fornendo altre funzioni e risorse utili, come la possibilità di consultare diverse guide su come migliorare rapidamente la sicurezza del proprio dispositivo.

Qui trovi alcune informazioni aggiuntive sull’argomento:

Cerca sempre di prestare attenzione ed essere consapevole sia delle azioni che svolgi con i tuoi dispositivi che il contesto nel quale le svolgi. Il software antimalware o simile può effettivamente aiutarti, ma non può e non dovrebbe essere considerato una protezione contro tutto, specialmente nel caso in cui vengano ignorate pratiche di sicurezza come quelle menzionate in questa guida.

Tra l’altro, nel caso te lo stessi chiedendo: sì, qualsiasi prodotto software ha vulnerabilità. E: sì, c’è malware per tuttu. Nessun sistema è immune e non esiste un sistema a prova di hackeraggio o un sistema sicuro al 100%.

Vai all’indice ⇾

Sicurezza della webcam

1 min di lettura

Le webcam sono un componente hardware che è generalmente facile ed economico da hackerare. Considera di coprirle con del nastro adesivo o con un adesivo quando non le stai usando.

Questo non ti renderà a prova di sorveglianza (probabilmente ci sono molte altre telecamere intorno a te in qualsiasi momento che puoi controllare di meno o non puoi controllare affatto, per non parlare dei microfoni, che sono molto più difficili da coprire o disabilitare) ma ehi, almeno stai facendo qualcosa in merito, e se da un lato questo potrebbe darti un senso di maggior sicurezza, dall’altro significa dire in modo discreto alle altre persone che la sicurezza e la privacy per te sono importanti (il che è in se utile, e divertente).

Vai all’indice ⇾

VPN

4 min di lettura

Una rete virtuale privata (Virtual Private Network) è uno strumento utilizzato da persone diverse in diverse parti del mondo per fare cose diverse. Una persona potrebbe utilizzare una VPN fidata (la parola chiave qui è “fidata”) per accedere a contenuti soggetti a blocco geografico, impedire al proprio ISP di avere accesso (e magari trarre guadagno) dalla propria attività Internet, o semplicemente per navigare in modo sicuro e privato mentre è collegata ad una rete Wi-Fi pubblica; mentre un’altra persona potrebbe usarne una per proteggersi dalla sorveglianza di massa e da leggi sulla conservazione obbligatoria dei dati o per aggirare la censura ed essere in grado di esercitare pienamente i propri diritti umani.

Usare una VPN significa inviare tutto il proprio traffico Internet ad uno dei server della VPN che si è scelto (le VPN hanno di solito centinaia o addirittura migliaia di server sparsi in giro per il mondo) attraverso un tunnel criptato, traffico che a quel punto viene decriptato per raggiungere la destinazione. I due principali risvolti positivi di una soluzione di questo tipo sono:

  • La crittografia del traffico
    Chiunque sia posizionatu tra te e i server della VPN (che sia una persona malintenzionata, un ISP non regolamentato o un’agenzia di intelligence) potrà solo vedere che sei connessu ad una VPN e non avrà alcun tipo di accesso al tuo traffico Internet.
  • L’offuscamento dell’indirizzo IP
    Qualsiasi servizio al quale ti connetterai vedrà solo l’indirizzo IP del server della VPN, nascondendo così gli indirizzi IP dei tuoi dispositivi. Questo significa che il tuo traffico apparirà ai servizi che usi come se provenisse dai server della VPN invece che dalla tua posizione fisica reale.

Ricorda: una VPN protegge solo la connessione tra te e i servizi che usi, non ti impedisce di visitare siti web dannosi, ne di fornire (volontariamente o involontariamente) informazioni personali a questi servizi. Visto che i dati vengono criptati localmente sui tuoi dispositivi e vengono poi decriptati una volta raggiunti i server della VPN, utilizzarne una significa spostare la fiducia dal tuo ISP all’azienda che gestisce la VPN. Per questo è estremamente importante trovare una VPN della quale ti puoi davvero fidare.

Non tutti i servizi VPN offrono lo stesso livello di protezione. Elementi ai quali è importante prestare attenzione durante la ricerca di una VPN sono l’informativa sulla privacy, il paese che ospita la loro sede legale, il paese dal quale gestiscono il servizio (che ti aiuterà a capire quanto puoi fidarti di loro in base al tipo di leggi alle quali devono sottostare), chi gestisce il servizio e la tecnologia e i protocolli di sicurezza utilizzati per proteggere le tue informazioni.

Le VPN gratuite sono solitamente sconsigliate in quanto molte traggono profitto dalla vendita degli stessi dati che i/le clienti vogliono proteggere.

Due VPN che mi sento a mio agio a menzionare in questa sede sono Mullvad VPN e ProtonVPN, quest’ultima sviluppata dalle stesse persone che gestiscono ProtonMail. Entrambe sono open source, sono state sottoposte a controlli di sicurezza indipendenti, utilizzano protocolli VPN con un’ottima reputazione, includono un kill switch (sempre abilitato nel caso di Mullvad VPN, disabilitato in modo predefinito nel caso di ProtonVPN) e sono dotate di funzioni aggiuntive relative alla sicurezza come le opzioni Richiedi sempre VPN e Modalità bridge di Mullvad VPN e NetShield e Secure Core di ProtonVPN.

Ecco alcune risorse correlate che potrebbero interessarti:

P.S.: Se quello che cerchi è uno strumento in grado di proteggere l’anonimato, allora ti consiglio di dare un’occhiata al capitolo su Tor, qui sotto.

Vai all’indice ⇾

Tor

6 min di lettura

Tor è una rete gestita da volontari e volontarie in tutto il mondo che permette alle persone di usare internet proteggendo l’anonimato. È anche uno strumento essenziale per evitare il tracciamento, il fingerprinting e la sorveglianza e per aggirare la censura.

Il modo più semplice per utilizzarla è tramite browser web come il Tor Browser (se usi Windows, macOS, Linux o Android) o l’Onion Browser (se usi iOS o iPadOS), i quali costringono tutte le connessioni tra il browser web ed Internet a passare attraverso la rete Tor.

Ogni connessione iniziata tramite la rete Tor è protetta con tre diversi strati di crittografia e viene fatta rimbalzare tra tre nodi selezionati a caso nella rete Tor (noti come relè), prima di raggiungere la sua destinazione. Questi tre relè sono noti, insieme, come circuito Tor.

Il primo relè di un circuito è noto come nodo di guardia e rimane lo stesso per 2-3 mesi al fine di proteggere contro un noto attacco in grado di compromettere l’anonimato, gli altri due (il relè centrale e il relè d’uscita) cambiano ad ogni nuovo sito web che visiti. Questa configurazione fa sì che non solo (in modo simile ad una VPN) i prodotti e servizi che utilizzi su Internet non siano in grado di sapere chi sei e da dove vieni (a meno tu non decida per conto tuo di rivelare queste informazioni), ma che nessuna singola entità all’interno della rete Tor stessa abbia modo di sapere allo stesso tempo da dove proviene il tuo traffico, che cosa contiene (se il sito web non usa HTTPS) e qual’è la sua destinazione finale.

Supponiamo tu voglia visitare Wikipedia usando il Tor Browser o l’Onion Browser. Una volta stabilito un circuito Tor i dati saranno criptati usando prima la chiave pubblica del relè d’uscita, poi usando la chiave pubblica del relè centrale, poi un’ultima volta usando la chiave pubblica del nodo di guardia e saranno poi inviati al nodo di guardia. Quest’ultimo decifrerà il primo livello di crittografia per sapere a quale relè centrale deve inviare i dati. Il nodo di guardia saprà quindi solo da dove provengono i dati (da te, tramite il tuo indirizzo IP) ed il relè centrale al quale deve inviarli; non avrà accesso ai dati stessi, né quale sarà la destinazione finale una volta che questi usciranno dalla rete Tor. Il relè centrale decifrerà il secondo livello di crittografia per accedere alle istruzioni relative al relè d’uscita al quale dovrà inviare i dati, ma a questo punto saprà solo che i dati provengono da un dato nodo di guardia e sono in transito verso un dato relè d’uscita, continuerà a non aver accesso ai dati, alla loro destinazione finale al di fuori della rete Tor e non saprà nemmeno che i dati provengono da te. Una volta raggiunto il relè d’uscita, l’ultimo strato della crittografia fornita da Tor sarà decifrato per consentire al relè di connettersi a Wikipedia. Il relè d’uscita saprà quindi che qualcunu si sta connettendo a Wikipedia, ma non avrà modo di sapere chi questa persona sia effettivamente. Wikipedia, dall’altra parte, vedrà solo che il traffico proviene da un dato relè d’uscita della rete Tor, non la tua reale posizione o identità.

Per quanto riguarda le impostazioni del browser, sia il Tor Browser che l’Onion Browser sono pre-impostati in modo da proteggere al meglio la privacy e l’anonimato, si consiglia agli/alle utenti di cambiarle il meno possibile. Nel caso del Tor Browser si consiglia inoltre di non modificare la dimensione della finestra (che potrebbe permettere ai siti web di determinare le dimensioni del proprio schermo favorendo così un’esposizione a forme di tracciamento) e di non installare estensioni del browser oltre a quelle già incluse (perché queste potrebbero aggirare la rete Tor o comunque danneggiare la privacy e l’anonimato degli/delle utenti).

Tieni presente che alcuni siti web potrebbero bloccare o limitare il traffico proveniente dalla rete Tor e che in alcuni casi ti potrebbe venir chiesto di dimostrare che “non sei un robot” più spesso del solito. Ricorda anche che Tor non può proteggere il tuo anonimato in casi in cui decidessi di autenticarti in modo volontario ad un servizio (tipo Facebook) attraverso la rete Tor. In questi casi saranno fornite solo altre protezioni, tra cui l’offuscamento della posizione.

Oltre ai servizi Internet ai quali accedi di solito con il tuo browser e la connessione a Internet normali, una connessione ad Internet tramite Tor permette di accedere anche ai Servizi Onion. Questi sono servizi che funzionano interamente all’interno della rete Tor e permettono alle persone di proteggere la loro identità, la loro sicurezza e la loro privacy in circostanze anche molto diverse l’una dall’altra. I siti web resi disponibili come Servizi Onion sono chiamati siti Onion; alcuni esempi includono DuckDuckGo, ProtonMail, Facebook, The New York Times e la BBC. Altri tipi di Servizi Onion includono OnionShare, uno strumento che consente di condividere file, ospitare siti web e chattare con gli amici e le amiche in modo sicuro e anonimo, Ricochet Refresh, un progetto che consente di messaggiare in modo privato e anonimo e SecureDrop e GlobalLeaks, due sistemi per la segnalazione di illeciti (whistleblowing).

Un altro modo molto interessante per trarre beneficio dalla rete Tor è tramite l’uso del sistema operativo portatile Tails. Si tratta di un sistema operativo che può essere installato su una chiave USB ed eseguito su qualsiasi computer al quale la si colleghi. Tails è costruito in modo che tutte le connessioni Internet (non solo quelle generate dal Tor Browser) passino attraverso la rete Tor. È anche ingegnosamente progettato in modo da non lasciare traccie sul computer con il quale lo si usa ed in modo da resettare tutte le impostazioni e cancellare tutti i dati generati quando viene spento (a meno che non gli si dica specificatamente di non farlo).

Ecco alcune risorse che potresti trovare utili:

Vai all’indice ⇾

Valutazione della sicurezza personale

2 min di lettura

Un buon modo per attuare le misure ed i suggerimenti menzionati nei capitoli precedenti è definire il proprio modello di rischio. Questo ti aiuterà a capire quali sono le pratiche di sicurezza e di tutela della privacy che fanno al caso tuo e come meglio procedere alla loro realizzazione. Puoi iniziare il tutto ponendoti una serie di domande simili a quelle elencate di seguito, che sono basate sulla risorsa Your Security Plan della guida Surveillance Self-Defense (CC BY 3.0 US) dell’Electronic Frontier Foundation.

  • Cosa stai cercando di proteggere?
    Che informazioni consideri abbastanza personali/sensibili da essere dispostu a prendere provvedimenti per evitare che finiscano nelle mani sbagliate o diventino pubbliche?
  • Da chi le stai cercando di proteggere?
    Quello che ti preoccupa è la sorveglianza da parte della polizia, la sorveglianza aziendale, la sorveglianza da parte dei tuoi genitori, la minaccia che pongono le persone con accesso fisico ai tuoi dispositivi e sistemi quali coniugi, compagnu di stanza e datori o datrici di lavoro, o quello che ti interessa è l’adozione di misure di sicurezza generali per evitare di perdere il controllo sulle tue informazioni in seguito a un attacco hacker?
  • Se questa persona o entità dovesse cercare di impadronirsi di ciò che stai cercando di proteggere, come lo farebbe?
    Potrebbe semplicemente afferrare il tuo dispositivo? Dovrebbe indovinare un PIN? Potrebbe cercare di accedere ai tuoi dispositivi da remoto utilizzando malware? Potrebbe cercare di indovinare la password che riutilizzi ovunque? Sarebbe disposta a costringerti a sbloccare i tuoi dispositivi o account per lei?
  • Se avesse successo, quanto gravi sarebbero le conseguenze?
    Quale potrebbe essere lo scenario peggiore? Come gestiresti una situazione del genere se ti trovassi a doverla affrontare?
  • Quanto è probabile che qualcunu cerchi di impadronirsi di quello che stai cercando di proteggere?
    Quanto pensi che le tue informazioni siano preziose per la persona o l’entità in questione?
  • Quali risorse (come tempo e magari denaro) sei dispostu a investire per mettere al sicuro ciò che stai cercando di proteggere?

Mentre rifletti su queste domande tieni a mente che capire di chi e di che cosa ti fidi, così come renderti conto del fatto che se c’è qualcunu che ti ha presu di mira le sue capacità cresceranno probabilmente con il passare del tempo, può essere molto importante.

Vai all’indice ⇾

Coinvolgi altre persone

1 min di lettura

Quelle che abbiamo visto finora sono alcune delle più importante azioni individuali che ogni persona può intraprendere per proteggere al meglio i propri dati e i dati che le altre persone condividono con lei.

Il problema, però, è il seguente: la sicurezza e la privacy sono forti solo quanto lo è il punto più debole di un qualsiasi sistema informatico o gruppo di persone. Si tratta quindi di temi che possono essere realmente affrontati solo se si fa gioco di squadra.

Una volta che inizi a pensare alla protezione dei dati come un viaggio che tu e le persone intorno a te potete intraprendere insieme e come ad un bene pubblico, chiediti: queste persone (quelle con cui condivido informazioni personali, private e/o sensibili) proteggono i loro dati e i dati che condivido con loro? Sarebbe sensato per me suggerire, chiedere o addirittura esigere che seguano buone pratiche simili a quelle messe in evidenza in questo progetto?

Vai all’indice ⇾

Conclusione

3 min di lettura

La sicurezza personale e la privacy riguardano noi, sia in quanto persona che in quanto società. Sono qualcosa al quale dovremmo pensare e di cui dovremmo parlare perché (che ce ne rendiamo conto o no) sono al centro di tutto ciò che facciamo online e offline e toccano le nostre vite (direttamente o indirettamente) ogni giorno.

Per dirlo con le parole di Edward Snowden (che ho tradotto dall’inglese):

“Una delle cose più importanti sulla quale penso tutte le persone abbiano il dovere di riflettere (collettivamente nella società) è quando siamo spintu a pensare in un certo modo e ad accettare una certa idea di riflesso, senza affrontarla concretamente.

L’idea che gira, che se non hai niente da nascondere non hai nulla da temere, ha origine dalla propaganda nazista. Ciò non vuol dire equiparare le azioni del nostro attuale governo al nazismo, ma quella è l’origine della citazione. Viene dal Ministro della Propaganda Joseph Goebbels.

Quindi quando ascoltiamo i politici, le politiche e le persone del nostro tempo ripetere questo di riflesso senza confrontarsi con le sue origini, ciò che realmente rappresenta, penso sia dannoso.

E se effettivamente ci pensiamo, non ha senso. Perché la privacy non riguarda qualcosa da nascondere. La privacy riguarda qualcosa da proteggere. E’ chi sei. Ciò in cui credi. La privacy è il diritto all’essere te stessu. La privacy è ciò che ti dà la possibilità di condividere con il mondo chi sei alle tue condizioni. Che ti permette di far capire al mondo chi stai cercando di essere e al tempo stesso proteggere le parti di te delle quali non sei ancora sicuru, con le quali stai ancora sperimentando.

Senza privacy, quello che perdiamo è la capacità di commettere errori, la capacità di essere noi stessu. La privacy è la fonte di tutti gli altri diritti. La libertà di parola non ha molto significato se non puoi avere uno spazio tranquillo, uno spazio tuo, la tua mente, la tua comunità, i tuoi amici e le tue amiche, la tua famiglia, per decidere cosa vuoi dire veramente.

La libertà di religione non significa molto se non riesci a capire quello in cui credi perché influenzatu da critiche esterne o dalla pressione delle persone intorno a te. E così via.

La privacy è parte integrante della nostra lingua, dei nostri concetti fondamentali di governo e di se. È per questo che la chiamiamo “proprietà privata”. Senza la privacy non hai nulla per te.

Quindi, quando la gente mi dice questo, rispondo che sostenere non ti interessi la privacy perché non hai nulla da nascondere è come sostenere non ti interessi la libertà di parola perché non hai nulla da dire “.

Buon proseguimento 🌱

Vai all’indice ⇾

Ultima modifica della pagina: 15 giugno 2021
Ultima revisione completa dei link della pagina: 15 giugno 2021

Illustrazioni di Katerina Limpitsouni/unDraw / Licenza
Icona del cestino nell’illustrazione del capitolo sulla protezione e minimizzazione dei dati di Freepik/Flaticon / Licenza