Cerca nel blog

2022/08/19

Podcast RSI - Doom su un trattore per aiutare gli agricoltori, auto Hyundai hackerata, Janet Jackson causa crash nei laptop

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.

---

2022/08/18

Una canzone di Janet Jackson crashava i laptop

Questo articolo è disponibile anche in versione podcast audio.

Non capita a molte cantanti pop di essere la causa tecnica di un collasso di sistemi informatici, ma Janet Jackson può vantarsi di questo aspetto molto particolare della propria carriera musicale. La sua canzone Rhythm Nation, del 1989, è infatti citata ufficialmente come causa di un malfunzionamento informatico nel database Mitre delle vulnerabilità (CVE-2022-3892).

La curiosa citazione deriva da un articolo di Raymond Chen, di Microsoft, e anche se è targata 2022 risale in realtà ai tempi di Windows XP, intorno al 2005. Un’azienda leader nella fabbricazione di computer, di cui Chen non fa il nome, scoprì che quando veniva suonata specificamente questa canzone di Janet Jackson alcuni suoi modelli di laptop andavano in crash. Già questo era insolito, ma la cosa ancora più strana era che lo stesso succedeva anche ad alcuni laptop di marche concorrenti.

I ricercatori che investigarono il problema scoprirono inoltre che riprodurre il video della canzone su un laptop mandava in crash anche un altro laptop collocato nelle vicinanze, anche se quell’altro laptop non stava suonando il brano.

Alla fine, e probabilmente dopo un numero di esecuzioni di Rhythm Nation che deve averli spinti a odiare per sempre la canzone, i ricercatori scoprirono la causa del bizzarro problema: il brano conteneva una delle frequenze di risonanza dello specifico modello di disco rigido da 5400 giri al minuto installato su quei laptop. In altre parole, i suoni della canzone innescavano delle vibrazioni sempre più intense nel disco rigido che gli impedivano di funzionare.

Non vi preoccupate: si trattava di dischi rigidi tradizionali, del tipo con piatti e testine, non dei dischi rigidi a stato solido che si usano oggi e che sono infinitamente meno sensibili alle vibrazioni in generale.

La soluzione adottata dal fabbricante fu semplice: fu aggiunto al sistema audio un filtro che escludeva le frequenze colpevoli. Chissà se sapremo mai quali erano i dischi rigidi vulnerabili a Janet Jackson.

Fonti aggiuntive: The Register, Tenable.

Auto Hyundai “hackerata”: la chiave privata degli aggiornamenti si trova con Google

Questo articolo è disponibile anche in versione podcast audio.

Le chiavi di cifratura e di protezione del software della Hyundai Ioniq SEL sono pubblicamente disponibili con una semplice ricerca in Google. Lo ha scoperto Daniel Feldman, un ingegnere informatico di Minneapolis, negli Stati Uniti, che con questa chiave è riuscito a hackerare il sistema di informazione e intrattenimento o infotainment della propria vettura.

Feldman racconta nel proprio blog che la sua auto, un’ibrida del 2021, è dotata di un sistema di infotainment, appunto, che funziona adeguatamente, ma lui voleva vedere se era possibile personalizzarlo, e così ha scoperto che esistono già vari modi non ufficiali, ovviamente ad alto rischio, per entrare nella modalità manutenzione e installare applicazioni. Il sistema, infatti, è basato su Android e quindi accetta quasi qualunque applicazione realizzata per questo sistema operativo. A quanto pare, la password di accesso a questa modalità manutenzione è definita usando una tecnica piuttosto originale: è semplicemente composta dalle quattro cifre dell’ora e del minuto indicati dall’orologio di bordo.

Ma Feldman voleva fare di più: voleva scoprire se era possibile creare degli aggiornamenti personalizzati del firmware, ossia del software di base del sistema di infotainment. Gli aggiornamenti ufficiali, diffusi da Hyundai Mobis, sono distribuiti all’interno di un file ZIP protetto da una password e sono cifrati e anche firmati digitalmente. Sembrerebbe una tripla protezione più che ragionevole, ma purtroppo qualcuno in Hyundai ha commesso una serie di errori davvero imbarazzante.

Per prima cosa, Feldman è riuscito a scavalcare la password del file ZIP e a estrarne i contenuti; i dettagli della tecnica che ha usato sono nel suo blog. Per la cifratura degli aggiornamenti, ha trovato la chiave di decrittazione direttamente nel file ZIP. Due ostacoli su tre erano quindi rimossi.

Ma c’era ancora la firma digitale, ossia la protezione che consente di installare soltanto software che sia stato firmato e garantito usando una chiave segreta in due parti, una pubblica e una privata, nota soltanto ai tecnici di Hyundai Mobis. Senza quella chiave, Feldman era a un punto morto. È qui che ha avuto un’ispirazione molto felice.

Per verificare che nessun altro avesse già ottenuto i suoi stessi risultati, ha provato a cercare in Google la chiave di cifratura che aveva scoperto. E Google gli ha fatto scoprire che la chiave usata da Hyundai era quella usata come esempio nei manuali pubblici di crittografia (come il documento NIST SP800-38A). Era insomma come scoprire che i tecnici di Hyundai Mobis avevano “protetto” (si fa per dire) il proprio software usando la password pippo che si usa sempre nei tutorial e che conoscono tutti.

Ma non è finita qui. Frugando all’interno del software originale, l’ingegnere informatico ha scoperto che quel software conteneva la parte pubblica della chiave di firma digitale. Ispirato dall’errore precedente dei tecnici Hyundai, ha provato a cercare su Google una porzione di questa chiave, e ha scoperto che anche stavolta i tecnici avevano usato una chiave di firma digitale che è presente negli esempi dei tutorial, quelli che spiegano come firmare digitalmente qualunque file. E quei tutorial, ovviamente, includono anche la chiave privata corrispondente.

In altre parole: Hyundai ha usato una chiave privata di firma digitale presa da un tutorial e ha messo la chiave pubblica corrispondente nel proprio software. E così è emerso che tutto il suo castello di protezioni risulta essere fondato sull’argilla, e Feldman è riuscito a installare del software (più precisamente del firmware) scritto da lui sulla propria auto, come descrive in due altri articoli (primo, secondo). Missione compiuta, insomma.

Morale della storia: la sicurezza nel software non è cosa che si improvvisa. I protocolli e gli standard possono essere anche robustissimi e matematicamente inespugnabili, ma l’errore umano, o in questo caso la pigrizia di chi ha usato una chiave di firma digitale presa di peso da un tutorial, è sempre in agguato. Conviene ricordarlo quando qualche azienda, anche al di fuori del settore automobilistico, si vanta di usare i software di crittografia più sofisticati. Se li usa un pasticcione, sforneranno pasticci.

Fonte aggiuntiva: The Register.

Doom gira su un trattore per dimostrare la necessità del diritto di riparare

Credit: Kyle Wiens.

Questo articolo è disponibile anche in versione podcast audio.

A maggio 2022 ha avuto un forte impatto mediatico la notizia di un furto ingente di trattori in Ucraina, commesso da un gruppo di soldati russi; furto che si era trasformato in una beffa per i ladri. I trattori, infatti, erano stati bloccati e resi inutilizzabili grazie alla loro connessione a Internet. Ne avevo parlato anch’io in una puntata di questo podcast. Torno a parlarne perché c’è un seguito.

Pochi giorni fa un informatico australiano che si fa chiamare Sick Codes è riuscito a prendere il pieno controllo degli apparati elettronici di un trattore della John Deere, la stessa marca di quelli rubati e brickati da remoto in Ucraina. Lo ha fatto durante una presentazione alla conferenza internazionale di sicurezza DEF CON 30, tenutasi a Las Vegas, e da buon informatico ha dimostrato il proprio successo facendo girare sull’elettronica del trattore il gioco classico Doom.

Ovviamente, per fare le cose per bene, la versione di Doom giocata da Sick Codes non è quella di base, ma è appositamente modificata: si svolge in un campo agricolo e bisogna colpire i mostri senza ferire gli animali da fattoria.

Tutto questo può sembrare un colossale esercizio di frivolezza, ma in realtà il fatto che qualcuno sia riuscito a prendere il controllo dell’elettronica di questi sofisticatissimi macchinari agricoli rivela che sono basati su hardware e software fragili e non aggiornati. Dato che dipendiamo dall’agricoltura di precisione realizzata tramite macchine agricole computerizzate di questo genere, questa non è una buona situazione.

Credit: Kyle Wiens.

Sick Codes non è nuovo a queste dimostrazioni: ad aprile 2021 aveva fatto vedere che era possibile trasmettere dati senza autorizzazione ai trattori della John Deere, che era stata avvisata e aveva chiuso le falle che consentivano questa intrusione. Ma ora l’informatico è tornato alla carica facendo addirittura un jailbreak locale di questi trattori, ossia uno sblocco che consente all’utente di eseguire qualunque software, e la cosa è importante per gli agricoltori, perché scavalca i blocchi che impediscono loro artificialmente di riparare le proprie macchine agricole e li obbligano a dipendere dai concessionari ufficiali. In altre parole, come sugli smartphone, il jailbreak dei trattori ridà ai proprietari il pieno controllo degli apparati che hanno acquistato e consente loro di ripararli o modificarli.

Il diritto di riparare gli oggetti di cui si è proprietari viene spesso ostacolato da protezioni artificiali di questo tipo, ma negli Stati Uniti, in Unione Europea e nel Regno Unito si sta facendo strada una serie di leggi che proteggono questo diritto, e scoperte come quella di Sick Codes sono preziose per documentare il fatto che le giustificazioni presentate dalle aziende per l’esistenza di questi blocchi software non reggono.

Di solito, infatti, le aziende dicono che impedire la riparazione a persone non autorizzate è necessario per tutelare i sofisticati sistemi software installati. Ma Sick Codes ha dimostrato che questi sistemi sono in realtà tutt’altro: alcuni usano Windows CE, altri usano versioni antiche di Linux, e tutto, persino l’intero firmware, gira come root, ossia con pieni permessi di amministratore, e non c’è alcun controllo sulla provenienza del software che viene eseguito, nessuna firma digitale o checksum. In parole povere, i “sofisticati sistemi” vanno contro tutte le regole di sicurezza informatica.

Grazie anche a iniziative come questa insieme alle nuove normative sul diritto di riparare, John Deere ha annunciato a marzo che renderà disponibile ai proprietari delle sue macchine agricole una porzione più consistente del software di riparazione e consentirà ai clienti e ai riparatori esterni di scaricare e installare gli aggiornamenti software ufficiali, invece di obbligare gli agricoltori a portare i mezzi alle officine autorizzate. Perché se può essere una scocciatura trovarsi con un laptop che decide di scaricare e installare i propri aggiornamenti proprio mentre si sta facendo una presentazione o si sta cercando di concludere un lavoro urgente, potete immaginare quanto sia devastante trovarsi con un trattore che non va solo per un problema software mentre il raccolto ottenuto con tanta fatica si sta rovinando sul campo.

Fonti aggiuntive: Ars Technica, The Register, Fierce Electronics.

Antibufala: Per il Corriere, una persona è morta “durante una prova di guida autonoma” di una BMW. Non è vero

Maurizio Bertera sul Corriere della Sera, nella sezione a pagamento, scrive (copia permanente) che “la Polizia tedesca ha dichiarato che una persona è morta e nove sono rimaste gravemente ferite dopo che un'auto impegnata in un test di guida autonoma ha improvvisamente cambiato direzione innescando una serie di collisioni che hanno coinvolto quattro veicoli.” La polizia lo ha dichiarato, ma non è vero.

L’auto è una BMW iX elettrica, che non è dotata di guida autonoma: ha soltanto un sistema di guida assistita, nel quale il conducente rimane costantemente responsabile della condotta del veicolo. Per cui non poteva essere in corso alcuna “prova di guida autonoma”.

La polizia tedesca ha affermato inizialmente che il veicolo era un’auto elettrica di prova a guida autonoma e che non era chiaro se al momento dell’incidente fosse sotto il controllo del conducente. BMW ha smentito, sottolineando che il veicolo non era dotato di guida autonoma. L’auto, tuttavia, era contrassegnata come veicolo di test a scopo di protezione dei dati, dato che stava effettuando delle riprese video, scrive Euronews. Da qui, forse, l’equivoco. 

Il Corriere, al momento in cui scrivo, non ha ancora rettificato, nonostante sia stato avvisato che la notizia è falsa. 

Visto il bilancio tragico dell’incidente, è importantissimo ricordare che i sistemi di guida assistita possono sbagliare (e sbagliano spesso nel momento peggiore) e che la responsabilità della guida del veicolo è sempre e comunque del conducente per tutti i sistemi di questo tipo che sono classificati come SAE Livello 0, 1 e 2.

Nel 1978 ero uno skater. Ne ho le terribili prove

C’è gente che mi guarda incredula quando dico che da ragazzino ero uno skater. Questo mio filmato sgranatissimo risale ad aprile e maggio del 1978. Una puntata del programma RAI Odeon mi aveva fatto conoscere l’esistenza della skateboard-mania, che dilagava principalmente negli Stati Uniti e nel Regno Unito ma era totalmente sconosciuta nel paesino lombardo in cui vivevo, e per me fu amore a prima vista.

Uscii subito a comperare il primo skate che trovai (una vera schifezza), imparai a usarlo e poi me ne comprai uno migliore, quello che si vede in queste riprese, durante un viaggio in UK. Poi passai a una tavola della Newporter, una Pro Slalom, che ho ancora.

Ci si divertiva con poco. Non avevamo caschi o altro. Al massimo un paio di guanti e gomitiere, le cadute e le sbucciature sull’asfalto erano all'ordine del giorno. E sì, andavamo in mezzo alle (poche) auto.

Ho appena riattivato il server delle foto e dei video di famiglia del Maniero Digitale, e mentre lo stavo sfogliando è riemerso questo vecchio riversamento da pellicola Super8 muta, che adesso ho rimontato alla buona e ho messo online come prova dei miei passatempi giovanili poco conosciuti.

La musica del video è generata automaticamente da Mubert. La cinepresa era una Canon 518 SV (lo ricordo perché lo annotai nei titoli di testa originali). Per chi volesse sapere il luogo esatto, è Bereguardo (in provincia di Pavia), alla discesa del castello. Non è cambiato praticamente nulla, da allora. Viene voglia di tornarci con lo skate.

2022/08/14

Ho sbufalato otto minuti di documentario lunacomplottista

Su richiesta di Open, ho esaminato otto minuti di un video complottista dedicato agli allunaggi da Massimo Mazzucco che è un perfetto esempio dell’approccio noto come metodo dello spandiletame: il complottista spara mille teorie sballate e annuncia mille misteri farlocchi, nella speranza che qualcuno di quei proiettili di scemenza aderisca alle pareti della teca cranica del malcapitato spettatore e lo convinca che “beh, dai, qualcosa di vero ci deve essere, non possono essere tutte balle, sono troppe”.

Ne è venuta fuori un’intervista che fa a fettine quegli otto minuti: se vi interessa, la trovate qui insieme ai video e ai dati che smentiscono una per una le insinuazioni fatte da Mazzucco. L’intervista integrale in video, con il debunking approfondito, è qui sotto.

Aggiungo solo qualche link utile che dà la misura dell’inettitudine investigativa di Mazzucco (parlo di inettitudine perché l’alternativa è il dolo): quando il complottista dice che Neil Armstrong non partecipò alle celebrazioni del quarantennale, nel 2009, mostra una pagina del sito di Paris-Match, specificamente questa, il cui testo dice “ne participera pas à la célébration du 40ème anniversaire du premier alunissage le lundi 20 juillet aux quartiers généraux de la NASA à Washington.” Il che è formalmente corretto, nel senso che Armstrong non andò al quartier generale della NASA a Washington. Ma celebrò altrove: specificamente al National Air and Space Museum (fonte), dove tenne un discorso insieme a Aldrin e Collins (video), alla cerimonia di conferimento della Congressional Gold Medal (video) e alla Casa Bianca con Obama (video). Scusate se è poco.

Mica male, per uno che secondo Mazzucco si sarebbe rifiutato di partecipare ai festeggiamenti.

Il discorso di Neil Armstrong che secondo Mazzucco non esiste.

Metto subito in chiaro che non ho nessuna intenzione di debunkare tutto il video lunacomplottista di Massimo Mazzucco. Ho fatto questo pezzetto solo perché me l’ha chiesto Open, e mi fermo qui perché già in otto minuti le cretinate che ho dovuto sentire hanno superato il livello di guardia e i neuroni hanno iniziato a scappare per mettersi in salvo. 

E per gli ottusangoli che diranno “Eh ma non hai debunkato il resto!”, chiarisco che quando il livello di incompetenza e di assurdità è quello che emerge da questi otto minuti, non c’è motivo di pensare che il resto possa essere differente.

2022/08/13

Piero Angela, 1928-2022. Settant’anni di divulgazione della conoscenza

Alberto Angela ha dato poco fa la notizia della scomparsa del padre, Piero. Una persona squisita, un signore della divulgazione e della comunicazione. Ha fatto la storia del giornalismo, con mano precisa e garbata; ha ispirato tantissimi ad appassionarsi alla scienza e al piacere della conoscenza. Le mie condoglianze e la mia sommessa gratitudine vanno a tutta la sua famiglia.

Io sono uno dei suoi tanti figli culturali. Gli devo praticamente tutta la mia forma mentis e la mia carriera: leggere da ragazzino il suo Viaggio nel mondo del paranormale mi aprì un universo di conoscenza e di metodo investigativo che non avevo nemmeno sognato potesse esistere. E nel 1995, a SuperQuark, Piero presentò il mio libro Internet per tutti, facendone esplodere le vendite e incoraggiando così l’editore a farmi continuare a scrivere.

Mai avrei immaginato che io, cresciuto come milioni di telespettatori a pane e Piero Angela”, un giorno avrei avuto l’onore non solo di incontrarlo, chiacchierare con lui e sentire la sua forte, ruvida stretta di mano e il suo spiazzante “diamoci del tu”, ma anche di collaborare con lui in varie occasioni legate al complottismo e alla rievocazione degli allunaggi insieme ad Alberto. E, grazie a lui, conoscere tante persone straordinarie, troppe per citarle una per una, che ho il privilegio di chiamare amici ed amiche e alle quali va il mio pensiero e il mio abbraccio in un momento di lutto condiviso.

Piero Angela mancherà immensamente a tutta la divulgazione scientifica, ma ci lascia un modello di stile e di comunicazione chiara e precisa a cui ambire ogni giorno e un’eredità inestimabile di persone e di istituzioni, prima fra tutte il Cicap, che continuano il suo lavoro paziente di scoperta e di gioiosa condivisione del sapere e di contrasto ai ciarlatani e ai manipolatori.

Piero ha lasciato su Facebook questo messaggio di congedo:

Cari amici, mi spiace non essere più con voi dopo 70 anni assieme. Ma anche la natura ha i suoi ritmi. Sono stati anni per me molto stimolanti che mi hanno portato a conoscere il mondo e la natura umana.

Soprattutto ho avuto la fortuna di conoscere gente che mi ha aiutato a realizzare quello che ogni uomo vorrebbe scoprire. Grazie alla scienza e a un metodo che permette di affrontare i problemi in modo razionale ma al tempo stesso umano.

Malgrado una lunga malattia sono riuscito a portare a termine tutte le mie trasmissioni e i miei progetti (persino una piccola soddisfazione: un disco di jazz al pianoforte…). Ma anche, sedici puntate dedicate alla scuola sui problemi dell’ambiente e dell’energia.

È stata un’avventura straordinaria, vissuta intensamente e resa possibile grazie alla collaborazione di un grande gruppo di autori, collaboratori, tecnici e scienziati.

A mia volta, ho cercato di raccontare quello che ho imparato.

Carissimi tutti, penso di aver fatto la mia parte. Cercate di fare anche voi la vostra per questo nostro difficile Paese.

Un grande abbraccio

Piero Angela

 

In suo onore e ricordo, teniamo accesa la luce della ragione. Sempre.

2022/08/16

Nel giorno dei funerali di Piero Angela, il figlio Alberto ci ha donato queste parole perfette di ricordo e sereno incoraggiamento.

Repubblica scrive che “le auto saranno ancora più razziste”. Eh?

In un articolo senza firma del 12 agosto 2022, dedicato alla Formula E (il campionato per auto elettriche), Repubblica scrive che “L'auto Gen 2 ha raddoppiato la capacità della batteria e ha rimosso la necessità di pitstop per cambiare auto. Con Gen 3, le auto saranno ancora più razziste.”

Screenshot e link a copia permanente per gli increduli:

Come è possibile scrivere una scemenza simile? E non è l’unica, visto che si parla anche di “traguardo secolare” in una gara di auto che è nata otto anni fa e che festeggia la centesima gara.

Ci sono anche altre fesserie colossali, che non cito pubblicamente perché non voglio fare il revisore di bozze gratuito.

Ho segnalato pubblicamente la stupidaggine a Repubblica. È ancora lì, online in tutto il suo splendore, mentre scrivo queste righe. E raccatta incassi pubblicitari grazie agli spot applicati in abbondanza all’articolo. Sembra quasi che lo scopo di questo tipo di giornalismo non sia informare il lettore, ma generare fuffa nella quale ospitare pubblicità.


Un lettore, Luca, mi suggerisce che si tratti di una traduzione a neuroni spenti di questo articolo di Reuters.

In effetti il confronto è illuminante (le evidenziazioni sono mie):

REUTERS: From a debut in 2014 around the stadium built for Beijing’s 2008 Summer Olympics, Formula E reaches its century milestone on Sunday by racing near the stadium that hosted the 1988 Seoul Games.

REPUBBLICA: Da un debutto nel 2014 intorno allo stadio costruito per le Olimpiadi estive di Pechino 2008, la Formula E raggiunge il suo traguardo secolare domenica correndo vicino allo stadio che ha ospitato i Giochi di Seoul del 1988.

Nella terminologia sportiva inglese, century significa centinaio. Sì, leggendo il dizionario senza ragionare si trova che century significa principalmente secolo, ma è per questo che esistono i traduttori umani dotati di cervello tenuto acceso: per capire dal contesto il senso delle parole, invece di tradurre meccanicamente una parola alla volta senza pensare che parlare di secolare per un tipo di gara iniziato otto anni fa non ha il benché minimo senso.

REUTERS: The Gen 2 car doubled the battery capacity and removed the need for pitstops to change cars. With Gen 3, the cars will be racier still.

REPUBBLICA: L'auto Gen 2 ha raddoppiato la capacità della batteria e ha rimosso la necessità di pitstop per cambiare auto. Con Gen 3, le auto saranno ancora più razziste.

Qui racier è il comparativo di racy, ossia (in questo contesto) corsaiola, nel senso di un’auto particolarmente adatta alle corse. Razzista non c’entra assolutamente nulla ed è un errore vergognoso che nasce probabilmente dall’assonanza fra racy (corsaiolo) e racist (razzista) ma soprattutto dal non chiedersi nemmeno vagamente quale possa essere il senso di quello che si sta traducendo.

Ho fatto notare la questione a Reuters chiedendo un commento. Vedremo se ci saranno sviluppi.

Ringrazio Stefano per la segnalazione della perla.

2022/08/12

Podcast RSI - Story: Di chi sono i tuoi dati quando muori?

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di questa puntata, sono qui sotto.

Prologo

NOTA: questo podcast contiene informazioni di natura legale, ottenute da una consulenza con uno specialista della materia, ma non sostituisce una consulenza legale personale.

[CLIP: Rumore di traffico cittadino]

Siamo a Lugano, in una caldissima giornata d’estate. La persona davanti a me mi sta chiedendo una consulenza tecnica molto particolare: vuole sbloccare il telefonino di un familiare morto in circostanze tragiche. Su quello smartphone ci sono informazioni che permetterebbero alla famiglia di capire meglio quelle circostanze e forse trovare pace, o recuperare dati essenziali per gestire le conseguenze pratiche del lutto improvviso. Ma c’è un problema: la persona è morta senza lasciare alla famiglia il codice di sblocco del dispositivo.

I dati sono quindi inaccessibili, a meno che si riesca a trovare la maniera di scoprire quel codice oppure scavalcarlo, e gli informatici spesso questi metodi li conoscono. Ma a questo punto c’è un altro problema: il diritto della famiglia di accedere ai dati della persona che non c’è più. Dati che potrebbero contenere segreti o confidenze che la persona non voleva assolutamente condividere con i propri familiari. Cosa si fa in questi casi?

Questa è la storia, non facile da raccontare, delle nostre eredità digitali, e di come oggi sia necessario pensarci per tempo, perché nei nostri dispositivi elettronici chiudiamo a chiave parti sempre più consistenti della nostra vita e dei nostri rapporti personali e professionali, custodiamo segreti, codici di accesso e foto intime. E se da una parte la tecnologia rende sempre più difficile scavalcare le protezioni di questi dispositivi, dall’altra c’è un fatto legale sorprendente, che probabilmente toglierà il sonno a molti: i morti non hanno privacy.

Benvenuti a questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Lo so, è un argomento che molti considerano macabro o addirittura tabù, ma prima o poi capita praticamente a tutti che un familiare ci lasci per sempre, e oggi a tutti gli altri problemi che questa dipartita comporta si aggiunge quello della gestione dei dati digitali di chi non c’è più.

Anche nelle circostanze meno drammatiche, la scomparsa di una persona cara comporta che chi le sopravvive debba mettere ordine nelle cose del defunto. E quelle cose, oggigiorno, sono spesso in formato digitale, custodite esclusivamente nello smartphone e nei servizi cloud associati a quello smartphone. Dalle bollette agli abbonamenti, dai contratti alle iscrizioni, è tutto sempre meno su carta. Chiudere questi rapporti, o anche solo scoprirne l’esistenza, diventa sempre più difficile, perché in giro per casa non ci sono lettere o bollette cartacee nelle quali imbattersi.

C’è poi la questione degli account sui social network: se non si hanno le loro password, non è possibile accedervi, nemmeno per comunicare il lutto o per chiuderli. E se si hanno le password ma non si ha il PIN di sblocco dello smartphone, non si possono ricevere neanche i codici di verifica di questi account.

È importante fermare subito le ipotesi un po’ morbose sul prendere le impronte dalle dita della salma o usare il riconoscimento facciale: lasciamole ai telefilm, perché sono state tentate ma funzionano solo nell’universo degli sceneggiatori. Molti sensori d’impronta moderni, per esempio, rilevano la conduttività elettrica dei polpastrelli, che cambia dopo la morte, mentre il riconoscimento facciale richiede che gli occhi siano aperti e il viso non abbia subìto i mutamenti fisiologici inevitabili del decesso.

Dal punto di vista tecnico, a volte è possibile aggirare tutte queste protezioni. Gli smartphone meno recenti hanno delle falle di protezione dei dati per cui è possibile scavalcare il PIN o reimpostarlo con opportuni comandi o con software abbastanza facilmente reperibile. Gli specialisti delle forze di polizia sono dotati di apparati appositi, come quelli fabbricati dalla Cellebrite, che sbloccano praticamente ogni smartphone esistente, ma vengono usati solo in circostanze molto particolari, per esempio se ci sono aspetti non chiari nel decesso o se c’è un procedimento legale in corso, e normalmente non sono disponibili al pubblico.

Capita spesso, insomma, che un informatico riceva la richiesta degli eredi di sbloccare uno smartphone di una persona deceduta. È capitato anche a me, appunto, in varie occasioni, che naturalmente non posso raccontare in dettaglio per rispetto delle persone coinvolte. A volte la motivazione è puramente pratica, perché servono le password per chiudere dei contratti o degli account o recuperare somme magari ingenti in bitcoin, e altre volte è profondamente emotiva, per esempio perché una famiglia vuole recuperare le ultime foto scattate insieme a una persona cara che non c’è più oppure vuole cercare di capire le ragioni di un gesto estremo. Ma in ogni caso è una richiesta sempre più frequente.

In situazioni come queste, però, oltre all’aspetto tecnico c’è anche quello legale. Ammesso di riuscire a scoprire o scavalcare il PIN di uno smartphone, è lecito dare ai familiari o agli eredi pieno accesso alle informazioni di una persona deceduta? Magari aveva dei segreti che non voleva condividere con queste persone: una malattia che teneva per sé, per non angosciare i cari, o una storia sentimentale che voleva tenere privata per proteggere qualcuno, per esempio. Molte persone tengono sul proprio smartphone pensieri personali e immagini intime che probabilmente non desiderano condividere con i propri figli o genitori.

La risposta a questo dubbio è piuttosto sorprendente: una volta decedute, le persone non sono più persone, dal punto di vista legale, e quindi con poche eccezioni non hanno più diritti personali, compreso quello alla riservatezza. I dati dei defunti non sono più privati.

---

Si tratta di un principio diffuso in molti ordinamenti giuridici, compreso quello svizzero, e solleva la questione della cosiddetta postmortem privacy (pronunciato privasi, se preferite la pronuncia britannica). Ma questo non vuol dire che eredi e familiari possano rivolgersi disinvoltamente a informatici per scardinare le protezioni di computer, tablet e smartphone e accedere a tutti i dati presenti o addirittura renderli pubblici. Ereditare materialmente un dispositivo digitale, infatti, non significa automaticamente ereditare pieno accesso ai dati contenuti nel dispositivo.

La ragione è semplice. È quasi inevitabile che quei dati riguardino anche le persone viventi con le quali il deceduto ha intrattenuto comunicazioni: i loro indirizzi e numeri di telefono, delle fotografie e dei video che li ritraggono, i loro messaggi confidenziali, i segreti professionali e altro ancora. Queste comunicazioni vengono considerate corrispondenza, e quindi in Svizzera, per esempio, sono tutelate dall’articolo 13 della Costituzione Federale e dalla Legge Federale sulla Protezione dei Dati. Tutele analoghe sono previste in tutti i paesi dell’Unione Europea e anche in molti paesi di diritto anglosassone.

Non è l’unico ostacolo legale da superare. Un codice di blocco su uno smartphone o una password su un computer o un account social vengono normalmente considerati dalla legge come “provvedimenti tecnici” atti a proteggere i dati personali contro un trattamento non autorizzato. Normalmente vengono usati per proteggersi dai ladri digitali, ma possono anche indicare un’intenzione di proteggere quei dati da chiunque, compresi eredi e familiari.

Allo stesso tempo, però, va considerato che molti telefonini e computer si bloccano automaticamente se non vengono usati e che non è materialmente possibile aprire account per mail e social network senza impostare una password, e quindi è difficile capire se i familiari siano stati esclusi dall’accesso intenzionalmente o se la persona deceduta semplicemente non abbia pensato a questo scenario.

Situazioni ambigue come queste possono essere risolte rivolgendosi a un consulente legale e poi chiedendo a un giudice di valutare gli interessi in gioco e decidere quali siano preponderanti, tenendo conto anche del fatto che fotografie e testi del defunto possono essere considerate proprietà intellettuale e quindi devono seguire le norme di successione riguardanti il diritto d’autore. Ma in ogni caso si tratta di un procedimento oneroso, anche dal punto di vista emotivo. E manca, a tutt’oggi, una rete di assistenza legale e psicologica chiara per chi si trova in queste situazioni, specialmente in seguito a un lutto improvviso.

Ma perlomeno per la parte pratica esiste una via più semplice.

---

Tutte queste complicazioni, infatti, si possono prevenire agendo in anticipo. Molti social network prevedono un’opzione che consente di designare degli eredi: Facebook, per esempio, ha il cosiddetto “contatto erede”, come spiegato nel Centro assistenza online del social network. Lo stesso fa Google, offrendo un piano per l’eredità digitale. In alcuni casi si può invece scegliere di far cancellare automaticamente i propri account in caso di decesso.

Si può anche scegliere di affidare i propri PIN e le proprie password a una o più persone di fiducia, sigillando queste informazioni in una busta da aprire solo in caso di morte, escludendo le credenziali dei servizi che non si desidera condividere e lasciando istruzioni su cosa fare dei vari account, per esempio eliminarli o renderli commemorativi, come previsto da Instagram e Facebook.

Per gli eredi, invece, ci sono due raccomandazioni tecniche di base: la prima è tenere aperto per qualche tempo il contratto telefonico cellulare della persona deceduta, perché potrebbe essere necessario per ricevere gli SMS dell’autenticazione a due fattori o i link personalizzati per il recupero degli account. La seconda è di non buttare via i dispositivi digitali del defunto, anche se sono tecnicamente inaccessibili: c’è sempre la possibilità che qualcuno, in futuro, scopra una tecnica inedita che consente di eludere o sbloccare le loro protezioni.

Tutto questo può sembrare così lugubre e complicato da far passare la voglia di affrontare il problema, ma la questione esiste e negarla non la risolverà: l’aldilà digitale è una delle incombenze inaspettate della vita del ventunesimo secolo.

Fonti aggiuntive

  • Un mio articolo molto più breve su questo stesso tema è uscito sul numero 2/22 della rivista La Borsa della Spesa dell’ACSI (Associazione consumatrici e consumatori della Svizzera italiana).
  • Come inviare una richiesta relativa all'account Google di un utente deceduto.