Lo scorso 25 Novembre 2014 il cosiddetto “Gruppo ex articolo 29” che, proprio in base a quanto disposto dall’articolo 29 della Direttiva UE sulla tutela dei dati personali numero 46/95, riunisce tutte le Autorità privacy nazionali degli Stati Membri ha emanato un importante parere “Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting” relativo alle misure di tutela degli utenti avverso l’utilizzo di tecniche cosiddette di “device fingerprinting”, atte ad identificare i dispositivi ed i loro utilizzatori mediante raccolta di dati tecnici e tracciatura del dispositivo connesso a Internet. L’Avvocato Alessandro Del Ninno ha preparato un approfondimento sul tema, che verrà pubblicato in tre puntate. Qui vi presentiamo la prima.
Cos’è il device fingerprint? Il “ device fingerprint ” letteralmente impronta digitale del dispositivo o machine fingerprint o browser fingerprint è una tecnica di raccolta di informazioni da e su un dispositivo connesso al web PC, smartphone, tablet, etc a scopo di identificazione del dispositivo e dell’utente che lo utilizza . Più in dettaglio, mediante il device fingerprint l’utente può essere monitorato attraverso la tracciatura e raccolta di dati tecnici e proprietà del suo dispositivo connesso a Internet la raccolta dei dati tecnici – comunque identificativi ai sensi delle vigenti normative privacy UE – può spaziare dalla dimensione dello schermo, alle versioni di software e plug-in installati, alla lista dei caratteri installati dall’utente - misurando l’altezza e la larghezza di stringhe stampate segretamente sulla pagina – alle configurazioni TCP/IP, alle informazioni tratte dall’orologio del dispositivo, al sistema operativo utilizzato, alle impostazioni delle connessioni wireless, fino all’indirizzo IP originale dell’utente . Le diverse modalità. Esistono due diverse modalità di operatività di tale tecnica il passive fingerprinting quello più rischioso per la privacy dell’utente inconsapevole e l’ active fingerprinting , che si basa sul fatto che l’utente si aspetta e tollera un certo grado di tracciamento, che avviene mediante istallazione direttamente sul dispositivo e da remoto di codice eseguibile che può accedere ad attributi come il MAC address cioè lo speciale identificativo univoco che ciascun produttore hardware assegna ad ogni scheda di rete, sia ethernet che wireless, immessa sul mercato o altri numeri seriali univoci dell’hardware del dispositivo. Gli studi sulla materia. La tecnica del device fingerprinting è stata in questi anni oggetto di approfonditi studi condotti da Università, gruppi di ricerca e associazioni a tutela della privacy. Ad esempio, in base ad un rapporto del 2013 dell’Università Ku Leuven-iMinds, si è scoperto che 145 tra i siti più importanti di Internet oltre che 16 tra i più grandi provider del web monitorano in tal modo gli utenti senza il loro consenso. Un gruppo di ricerca presso lo Stanford Security Laboratory ha invece scoperto una serie di vulnerabilità nella struttura sensoriale dei più comuni smartphone sul mercato che permetterebbe l'archiviazione di identificativi unici attraverso strumenti interni come accelerometro, altoparlanti e microfono il movimento del comune accelerometro può difatti rappresentare una impronta lasciata da un singolo dispositivo connesso al web, con un meccanismo di tracciamento molto simile a quello basato sui cookies . Infine, già nel 2010, uno studio della Electronic Frontier Foundation Eff aveva evidenziato che il device fingerprinting non colpisce solo Flash, il diffusissimo plug-in utilizzato per la riproduzione di animazioni, video e audio consentendo la raccolta dell’IP , ma anche Java Script, un linguaggio di programmazione molto comune tra le applicazioni web e dunque anche i device della Apple, su cui notoriamente non “gira” Flash . I rischi. La tecnica di device fingerprinting , che è stata icasticamente definita come il “rastrellamento delle cosiddette impronte digitali lasciate dai singoli dispositivi per la navigazione online” è altamente rischiosa per la privacy degli utenti/proprietari dei dispositivi tracciati per i seguenti motivi tra gli altri 1. il monitoraggio e la tracciatura del dispositivo e dell’utilizzo che ne fa l’utente avvengono – come detto - senza consenso e senza che l’utente ne sia consapevole 2. il device fingeprint è una tecnica di tracciatura più insidiosa dei cookies poiché – a differenza di questi ultimi – è in grado di operare anche se i cookies sono totalmente disattivati difatti tale tecnica rientra – dal punto di vista dell’Informatica – nella macro-categoria cosiddetta dei “ super-cookies ” tanto è vero che in un interessante articolo pubblicato di recente sulla rivista Forbes e intitolato “La morte dei cookies ” è stato evidenziato come le tecniche di device fingerprinting si stanno imponendo – in alternativa ai cookies e in modo sempre più sofisticato - come strumento utilizzato dalle Agenzie per la Sicurezza Nazionale di USA e di altri Paesi ve detto, comunque, che tale tecnica è utilizzata anche per combattere i furti di identità digitale e le frodi su carte di credito 3. il device fingerprinting , aspetto ancor più insidioso, può operare anche aggirando il Do Not Track HTTP , cioè lo strumento con cui gli utenti del web dichiarano esplicitamente di non voler essere monitorati attivando la relativa impostazione del browser .