di Roberto Carminati – da Il Libero Professionista Reloaded #24
Ammonta addirittura a 54 miliardi il numero totale di cookie (letteralmente biscottini), frammenti di testo che registrano informazioni private relative alle abitudini di navigazione o di acquisto di ogni utente del web, che di recente sono stati immessi nei canali del dark web da ignoti hacker. Provenivano per lo più da Brasile, Messico, India e Stati Uniti, ma più di 455 milioni portavano targa italiana e 554 milioni arrivavano dalla Spagna, nazione europea in assoluto più colpita, in questo caso, dai malviventi. Se vengono attivati, i biscottini possono garantire l’accesso a un servizio o account senza la necessità di inserirvi nuovamente username e password dopo la prima registrazione. Ecco perché con la funzione Device bound session credentials o DBSC Google ha agito in modo da stringere un legame definitivo fra i cookie e uno specifico dispositivo personale. Proprio dal motore di ricerca di Mountain View sono stati estratti ben 2,5 miliardi dei cookie di cui sopra, contro i 700 milioni di YouTube e i 500 milioni di Bing. Attivi – il 17% nella fattispecie – o inattivi che siano, rappresentano una miniera di dati da incrociare e associare per creare elaborate truffe. Alternativamente, possono tramutarsi in teste di ponte per la conduzione di attacchi mirati.
Oggetto del desiderio
Del fatto che i cookie rappresentino un oggetto del desiderio agli occhi dei cybercriminali è convinto Andrea Basso, technology executive director dell’agenzia di marketing digitale milanese Mirai Bay: «Il furto di questi minuscoli quanto preziosi file», ha detto a Il Libero Professionista Reloaded, «è sempre in auge. Si tratta di merci quanto mai appetibili, poiché veicolo di dati che sulle piazze dei dark web possono essere rivenduti a prezzi spesso elevati, anche se sono solamente i casi più eclatanti a fare emergere il fenomeno in tutta la sua pericolosità e rilevanza. Si deve tenere presente che tali, piccole stringhe di software contengono informazioni critiche per il funzionamento di un sito e la profilazione degli utenti: ne tracciano le abitudini di acquisto e, talora, memorizzano i codici delle carte di credito». Basti pensare a tutte le volte che, facendo shopping in rete, abbiamo riempito solo in parte il carrello, per poi tornare a completare la spesa in un secondo momento: gli articoli selezionati, che per certi versi ci identificano e dicono molto delle nostre personalità e consuetudini, restano per un determinato periodo di tempo archiviati nella memoria degli e-tailer. «Come è noto», ha aggiunto Basso, «è facoltà degli utenti scegliere quali cookie accettare e quali rifiutare e, a seconda dei consensi che si concedono o negano, si diventa anche un bersaglio più o meno attraente per i malintenzionati».
Scegli il cookie giusto
È evidente che il valore dei cookie aumenta quando essi integrano, come finisce spesso per accadere, i numeri di una carta di credito inseriti dagli utenti per completare un’operazione di acquisto o bancaria. Ma possono servire anche ad altro. «Al di là dei cookie strettamente necessari per finalità tecniche di base», ha osservato Basso, «altri cookie analitici e statistici, rifiutabili, sono a loro volta riutilizzabili a scopi difficilmente immaginabili per l’utilizzatore medio. La stessa attività di ricerca e prenotazione di un viaggio si basa su dettagli che potenzialmente diventano utili alla concorrenza di un operatore – per poter presentare offerte più allettanti – o all’agenzia per far lievitare i prezzi». Certo, a salvaguardia dei navigatori ci sono strumenti come il General data protection regulation (GDPR) sulla protezione dei dati personali, cui sviluppatori come i collaboratori di Mirai Bay devono attenersi rigorosamente. «Ma non di rado», ha detto Basso, «l’atteggiamento di tanti proprietari di siti è superficiale: in sede di sviluppo ci si affida a tool preimpostati e non a professionisti ed esperti di privacy capaci, magari col supporto di consulenti, di fornire adeguato supporto legale. Eppure, la regolamentazione dei cookie ha una lunga storia alle spalle: prende spunto dall’ Articolo 122 del Codice della privacy».
Europa vs resto del mondo
Né va dimenticato che il GDPR si applica agli utenti collocati nell’Unione Europea (recentemente si è adeguata anche la Svizzera): non, per esempio, agli utenti collocati negli Stati Uniti – di qui anche alcune controversie che oppongono occasionalmente Bruxelles alle multinazionali americane; né in Cina. «Un utente», ha spiegato Basso, «deve avere la possibilità di scegliere quali cookie accettare, tenendo presente che quelli di profilazione integrano una mole superiore di informazioni critiche. I rischi dipendono in larga misura dalla tipologia dei siti visitati e dunque dei cookies medesimi. È in particolare quando i cookies gestiscono dati di sessione e login che suscitano l’interesse della pirateria. Attraverso i cookie si può in teoria accedere al sito di un professionista e sottrarre documenti legali o clinici, con tutte le conseguenze del caso. La responsabilità dei programmatori è notevole: un’adeguata criptazione dei dati che ne complica la lettura è un’ottima forma di difesa, in linea con la data protection by default and by design, criterio base del GDPR». Peccato tuttavia, sotto quest’ultimo aspetto, che secondo una ricerca condotta dall’università di Amsterdam e dal Politecnico di Zurigo, addirittura il 90% di circa 100 mila siti analizzati in Europa non siano conformi al Regolamento Ue 2016/679, dunque alle corrette pratiche di gestione dei cookie. Nel 57% delle circostanze non sarebbe data alcuna chance di rifiutarli e nel 32% dei casi non sarebbe richiesto alcun consenso oppure (65%) il tracciamento avverrebbe indipendentemente dalle scelte.