De Martino, immagini rubate e smart home: imparare a usare la tecnologia (davvero)
Non è gossip: è sicurezza
Non faccio la morale: la vicenda è grave e basta. Parliamo di immagini intime sottratte e poi diffuse o vendute online. Chi ruba e chi condivide commette un abuso, sempre e senza distinzione. Qui però voglio ancora una volta concentrare lo sguardo sull’uso consapevole delle tecnologie. Perché non è solo una questione di furti, ma anche una questione di scarsa protezione. Con questo ovviamente non si vuole dare la colpa alle vittime, che di colpa non ne hanno, ma educare a un certo tipo di attenzione che non è molto distante da quella di chiudere la porta di casa o chiudere l’auto quando ci si allontana ma che spesso viene ignorata o semplicemente non conosciuta.
Negli ultimi giorni abbiamo visto il caso di Stefano De Martino: un video privato, catturato dal sistema di videosorveglianza della casa della compagna, è finito online e ha innescato indagini su più fronti, fino a tirare in ballo anche un sito che proponeva video e accessi a telecamere compromesse. E per accessi intendo proprio le informazioni necessarie a collegarsi quando si vuole a una webcam privata di qualcuno e spiarlo.
Non serve aggiungere altro per capire la portata del problema. Se ci chiediamo che cosa c’entra con casa nostra, la risposta è semplice: se per accenderlo o vederlo usiamo un’app, se sulla scatola c’è scritto Wi‑Fi/Bluetooth/Ethernet o se, al primo avvio, ci chiede di creare un account, allora quell’oggetto è online. Dove si vede? Nella scheda prodotto e nel manuale verifichiamo se è richiesto l’uso di un’app, se i dati passano dal cloud, se la connessione è Wi‑Fi/Bluetooth/Ethernet e se serve creare un account. Se queste informazioni non sono spiegate in modo semplice e visibile, è probabile che poi configurazione e assistenza risultino complicate.
La smart home non è neutra
La casa “intelligente” non è neutra: telecamere, serrature smart, tapparelle, citofoni, luci, termostati, robot aspirapolvere sono micro‑computer collegati a Internet. Se li usiamo con leggerezza, diventano la porta di servizio per chiunque.
La prima cosa da mettere in chiaro è il perimetro delle responsabilità. Le persone coinvolte hanno diritto a tutela e a non vedere diffusi contenuti privati. Chiunque venga a conoscenza, anche indirettamente, di questi contenuti ha un dovere semplice: non condividere. E, quando è possibile farlo in sicurezza, segnalare e denunciare attraverso i canali ufficiali (piattaforma, provider, Polizia Postale, Garante). Condividere è un gesto che fa danno, alimenta un mercato, e può essere perseguibile. Detto questo, il mio lavoro è spingere su prevenzione e competenza: ridurre la probabilità che un dispositivo domestico diventi un problema.
Le regole in fondo sono semplici ma vanno conosciute. Domanda tipica: “Come capisco se ho già in casa oggetti smart?” — Apriamo lo smartphone e cerchiamo le app dei dispositivi (telecamera, citofono, serratura, elettrodomestico). Se l’oggetto si controlla da lì, è connesso. Apriamo l’app e verifichiamo Utenti/Condivisione, Notifiche, Aggiornamenti.
Prima dell’acquisto: scegliere bene
Per capirlo, è bene fare così: aprire la pagina ufficiale del prodotto (e la scheda del negozio) e cercare subito “Sicurezza/Privacy/Aggiornamenti”. Leggere nero su bianco per quanti anni di aggiornamenti è garantito il dispositivo. Verificare se l’app e l’account prevedono autenticazione a due fattori (2FA) e se lo streaming è descritto con “TLS/HTTPS”, “SRTP” o “crittografia end‑to‑end”. Accertarsi che si possa disattivare, se presente, l’accesso cloud e usare registrazione locale (“NVR”, “microSD cifrata”, “NAS”): significa che i dati possono restare in casa. Per le telecamere cercare ONVIF; per la domotica termini come Matter, Thread, Zigbee e Z‑Wave non sono marche: sono standard/protocolli per la casa connessa (in gran parte aperti), pensati per l’interoperabilità e con meccanismi di sicurezza; compatibilità e sicurezza però dipendono da certificazione, implementazione e aggiornamenti dei dispositivi. Meglio scegliere prodotti con registro eventi (log) consultabile e manuale in PDF pubblico. Infine, verificare dove stanno i dati e dove ha sede l’azienda: server in UE e sede legale chiara sono preferibili. Se queste informazioni non si trovano facilmente su scheda prodotto, FAQ o manuale, meglio cambiare marca. Se si acquista online, aprire anche le sezioni Scheda tecnica e Domande e risposte: è un buon segno trovare riferimenti a 2FA, aggiornamenti e manuale in PDF. Se la pagina è povera, il marchio è generico o l’app del prodotto sembra una copia di un’altra app, è prudente evitare.
Installazione consapevole: dal router alle password
Prima cosa: cambiare le password di fabbrica con credenziali lunghe e uniche.
“Come si cambiano le password?” — Nel manuale deve essere indicato. Se non c’è una procedura chiara, è già un campanello d’allarme sulla qualità del prodotto.
L’autenticazione a due fattori (2FA) va attivata sia sull’account del produttore sia sull’e‑mail collegata. “Come si fa la 2FA?” — Nell’app o nel sito del produttore cercate Sicurezza/Autenticazione a due fattori (se presente). Si tratta dello stesso tipo di accesso che usano le banche, con una conferma via SMS o con un codice segreto da inserire. Si sceglie SMS (più semplice) o app autenticatore (più sicura), si inquadra il QR e si salvano i codici di recupero su carta o in un gestore di password.
Firmware e app vanno aggiornati: attivate Aggiornamenti automatici (se presenti; di solito in Impostazioni > Aggiornamenti/Firmware). Se non esiste l’opzione, fate un controllo una volta al mese, o cambiate prodotto.
Se non serve vedere le immagini fuori casa, disattivate, se presente, l’accesso remoto e lasciate lo streaming solo in LAN (cioè nella rete di casa). Se presenti, abilitate gli avvisi di nuovo dispositivo/login e le notifiche di accessi sospetti nell’app (Impostazioni > Notifiche): vi accorgete subito di movimenti anomali.
Per i salvataggi, preferite NVR o microSD cifrata (se supportata). Quando cedete o buttate una telecamera, inizializzate (formattate) la memoria (dal menu del dispositivo) e eseguite un reset ai dati di fabbrica.
In generale poi chiedetevi: mi serve davvero avere una telecamera dentro casa? Non basta averla all’esterno? E se davvero mi serve in casa, mi serve proprio in quella determinata stanza? Posso spegnerla quando sono in casa?
Postilla — Alcune telecamere non hanno una password propria: si usano solo tramite app con sistemi di accoppiamento (ID/P2P, codice, QR; P2P = collegamento diretto tramite i server del produttore). In questi casi la sicurezza dipende dall’account dell’app e dallo smartphone: 2FA obbligatoria sull’account, blocco schermo sullo smartphone con PIN/biometria, app aggiornate. Nella sezione Condivisione dispositivo/Device Sharing verificate chi ha accesso e rimuovete nomi sconosciuti; disattivate eventuali link di condivisione permanenti. Se l’app mostra “Dispositivi collegati” o “Sessioni attive“, eliminate quelle che non riconoscete e rigenerate eventuali codici di accoppiamento.
Gli errori che aprono la porta
I principali errori che ci mettono in pericolo nascono quando riutilizziamo la stessa password ovunque (magari “NomeCane123”), quando inquadriamo al volo un QR o clicchiamo un link “di assistenza” arrivato via messaggio che in realtà è phishing (short.staipa.it/6jn66) e consegna le credenziali del cloud del produttore, quando lasciamo la telecamera esposta su Internet “per comodità” con una porta aperta sul router, o quando installiamo app non ufficiali che pretendono l’accesso totale allo stream o all’account. Non serve un attacco hollywoodiano: basta questo automatismo. Su piccole abitudini quotidiane che, senza accorgercene, bucano la nostra privacy, ho raccolto esempi e rimedi in Modi in cui violiamo la nostra privacy ogni giorno (short.staipa.it/lg53w)
Se succede, il rimedio d’emergenza è semplice e concreto: cambiamo subito la password; disattiviamo l’UPnP, se presente (è l’apertura automatica delle porte del router); chiudiamo eventuali porte aperte sul router (cioè accessi dall’esterno); apriamo l’app del dispositivo e, se presenti, controlliamo Condivisioni/Utenti e Sessioni attive; infine verifichiamo che siano attivi gli aggiornamenti automatici e la verifica in due passaggi (2FA). Alcuni di questi passaggi possono essere un po’ tecnici, ma almeno attivare gli aggiornamenti automatici, e la verifica 2FA dovrebbe essere alla portata di tutti, seguendo il manuale del dispositivo. Se siete tra quelli che non leggono mai le istruzioni… beh, mi dispiace per voi.
Perché sul web compaiono webcam “aperte” (e perché non servono ‘trucchi da hacker’)
Non servono “pirati informatici”: spesso basta la cattiva configurazione. Molte interfacce delle telecamere e di altri oggetti smart espongono pagine standard su Internet; i motori di ricerca generalisti e quelli che indicizzano dispositivi le trovano da soli, senza che nessuno debba “cercare trucchi”. È un problema noto da anni (ne parlava già Paolo Attivissimo quasi dieci anni fa (https://short.staipa.it/0jtou) e purtroppo è ancora attuale. Non scrivo come si fa, per ovvi motivi: è irresponsabile e, in molti casi, è reato.
Che cosa deve fare una persona normale? — Se temiamo che una nostra webcam sia raggiungibile dall’esterno, la prima mossa è spegnere, se presente, l’accesso remoto nell’app. Poi cambiamo utente e password della telecamera (non solo la password), aggiorniamo il firmware e, quando possibile, spostiamo la registrazione in locale (NVR (registratore di rete) o microSD cifrata). Infine chiediamo a un tecnico di fiducia di verificare dall’esterno, in modo lecito, che la telecamera non sia visibile da Internet e che non esistano regole di inoltro attive sul router senza motivo.
Gli aggiornamenti software che alcuni temono, servono proprio a quello: quando le aziende scoprono vulnerabilità nei propri prodotti li aggiornano e li fanno aggiornare ai propri utenti. Le aziende serie.
Questo tema l’ho affrontato in maniera specifica anche in Possono spiarmi dalla webcam? (short.staipa.it/11q9a)
Oltre le telecamere: serrature, tapparelle, citofoni
Con serrature smart, quello che conta è che i dati siano cifrati a riposo, che esista un registro degli accessi e che si possano creare chiavi digitali da revocare in un attimo: tradotto, vediamo chi è entrato e possiamo togliere l’accesso a chi non deve più averlo. I moduli economici per tapparelle e altri attuatori, a volte espongono su Internet una paginetta senza password: in quel caso bisogna saper smanettare sul router per metterli in sicurezza e non è una cosa da tutti, meglio acquistare prodotti più costosi ma sicuri. Con citofoni e video‑doorbell capita che passino da sistemi P2P proprietari o da app “clone”: la domanda giusta è sempre dove passano i video e dove vengono salvati. Ricordiamoci che il router è il cuore di tutto (se è vecchio, meglio sostituirlo) e che un NAS (disco di rete) mal configurato può trasformarsi in un archivio “aperto” senza che ce ne accorgiamo.
In pratica, dove guardiamo nell’app? Per le serrature cerchiamo, se presenti, le sezioni Utenti/Chiavi e Log per vedere chi ha accesso e quando, e per revocare gli inviti; per tapparelle e moduli controlliamo se l’interfaccia web chiede una password e, se non la prevede, isoliamo il dispositivo in rete ospite; per citofoni e video‑doorbell cerchiamo Archiviazione/Cloud e Accesso remoto (se presenti): se l’accesso da fuori non serve lo disattiviamo, se serve lo lasciamo attivo ma con verifica in due passaggi (2FA).
Se è già successo
La tentazione di “trattare” con chi minaccia è fortissima. Ma, salvo indicazioni legali precise, non pagare, pagare non risolve il problema perché è sempre possibile che poi chiedano altri soldi, e altri ancora. Quando entra in gioco il ricatto (anche se qui non parliamo di “cam girl” reali o finte ma di immagini intime sottratte), i meccanismi sono quelli della sextortion: ho spiegato come funziona e cosa fare qui: (short.staipa.it/09o1z) Metti al sicuro le prove (screenshot con URL e orario, ID degli account, copie dei file), presentare denuncia, avvisare il fornitore del dispositivo passando da canali sicurezza e cambiare tutte le password collegate. Dove possibile, chiedere la rimozione dei contenuti e usare strumenti come StopNCII (https://stopncii.org/) per impedire ripubblicazioni automatiche sulle piattaforme. Sul Commissariato di PS (https://www.commissariatodips.it/segnalazioni/segnala-online/index.html) la sezione Segnala online consente di inviare una segnalazione con descrizione e allegati (screenshot completi di URL e orario). Sul sito del Garante Privacy (https://www.garanteprivacy.it/home/modulistica-e-servizi-online) si trovano i moduli per segnalazioni/reclami: utili quando si chiede rimozione o deindicizzazione di contenuti che trattano dati personali.
Chiusura: imparare a usare la tecnologia
Non demonizziamo la smart home: può essere utile e comoda. Ma non è a prova di leggerezza. La tecnologia chiede cura. Il messaggio che porto da anni è questo: impariamo a usarla, perché l’ignoranza tecnologica non è mai neutra. E quando parliamo di casi come questo, ricordiamoci sempre che la responsabilità penale e morale ricade su chi accede abusivamente e su chi diffonde: a noi resta il dovere di proteggere, con metodo, gli strumenti che mettiamo nelle nostre case.
Link rapidi utili
Per attivarsi subito:
Se cerchi ulteriori informazioni su come proteggere la tua privacy online trovi molti articoli qui: short.staipa.it/c1hus o puoi chiedermi di organizzare per la tua associazione una conferenza sull’argomento: https://short.staipa.it/eylfi
#educazioneDigitale #Phica #Privacy #RevengePorn #StopNCII #UsoConsapevoleDellaTecnologia #ViolenzaOnline
PPC Land
ResearchBuzz: Firehose
CEOTECH.IT
Stefano Giolo
Stefano Giolo - staipa.it
PUPUWEB Blog
Emelia 👸🏻
it's B! Cavello 🐝