Assistenza clienti

Assistenza Copying Skip to main content
Approfondimenti

Videoconferenza e privacy: come arginare le falle su sicurezza e protezione dei dati

By Agosto 10, 2020No Comments11 min read

10

Le videoconferenze sono state lo strumento più utilizzato in assoluto sia per la didattica a distanza, per le riunioni e meeting aziendali. 

Anche molti Enti Pubblici e persino la Giustizia Italiana hanno percorso la via della dematerializzazione, facendo a meno della presenza fisica dei loro operatori negli uffici e in aula.

Il problema vero, però, è che lo smart working così come la didattica a distanza hanno colto impreparati aziende pubbliche e private e l’uso delle videoconferenze in particolare ha fatto emergere un grosso problema relativo alla privacy e alla sicurezza dei dati personali.

Le piattaforme per le videoconferenze, come Hangouts, Skype, Zoom, Microsoft Teams e Whatsapp, sono tra le più utilizzate dagli utenti, perché rispondono rapidamente a un bisogno di interconnessione e comunicazione tra le persone.

Tuttavia, in molti non sanno che alcune di queste piattaforme, abitualmente usate per le videoconferenze, possono utilizzare i dati personali degli utenti per attività di profilazione.

In questo modo, questi colossi aziendali raccolgono i nostri dati (sesso, fascia d’età, geolocalizzazione, cronologia attività, tipologia di dispositivi usati,  ecc.), rilevano i nostri gusti e preferenze e li usano per mostrare annunci pubblicitari personalizzati. 

Come è possibile tutto questo? 

È molto semplice: gli utenti sono molto più concentrati sulla rapidità offerta dallo strumento per il raggiungimento di uno scopo (in questo caso la videoconferenza) che sul trattamento dei propri dati e sulla normativa sulla privacy.

Molto spesso accade, infatti, che durante la registrazione in una piattaforma di videoconferenze, essa ci mostri un banner per acconsentire al trattamento dei dati personali e, con leggerezza, accettiamo l’informativa sulla privacy senza nemmeno leggerla.

Questa azione di per sé consente a queste piattaforme di accedere e utilizzare tutte le informazioni personali fornite dall’utente, compresi file audio, video o altri documenti scambiati durante le videoconferenze.

Inoltre, queste piattaforme consentono all’utente di optare per la registrazione attraverso il proprio account social! 

Il male!

Infatti,  in questo modo tutte le informazioni rese pubbliche nel social network vengono trasmesse sulla piattaforma, si incrociano i dati ottenuti dai social e dalle piattaforme di videoconferenze ed essi si possono cedere a terze parti per scopi di profitto e pubblicitari.

Questo meccanismo spiega come mai queste piattaforme di videoconferenze siano spesse gratuite e come riescano a “guadagnarsi da vivere”.

Per questo motivo, quando si fa uso di queste piattaforme, per tutelare la propria privacy e ridurre i rischi di sicurezza dei propri dati è importante:

  • impostare i cookie;
  • “spulciare” le impostazioni di sicurezza della piattaforma, in modo che i dati trasmessi ad essa siano minimi.

Riguardo a quest’ultimo punto, il caso Zoom ci insegna che queste best practice non sono da sottovalutare.

Zoom: tutte le falle sulla sicurezza e privacy dei dati personali

Zoom è la piattaforma per videoconferenze più scaricata negli ultimi mesi, ma anche quella che ha fatto emergere i maggiori problemi legati alla privacy e alla sicurezza dei dati.

Zoom ha fatto parlare di sé a tal punto da scatenare un vero e proprio fenomeno, chiamato Zoombombing.

Cosa è successo?

Che persone non autorizzate riuscivano ad entrare all’interno delle videoconferenze, con il conseguente rischio per l'acquisizione di dati,  informazioni e documenti riservati, personali o aziendali.

Come è stato possibile lo "Zoombombing"?

La causa è da imputare al fatto che per accedere a una videoconferenza su Zoom basta avere il link o il codice della chiamata.

In più, il numero ID del meeting compare sullo schermo di ogni partecipante della videoconferenza. 

È facile, quindi, fare uno screenshot della schermata e condividerlo con qualsiasi altra persona esterna al meeting.

Cosa che è realmente successa e ha fatto il giro sui social: su tantissimi profili Instagram, account Twitter e forum, migliaia di persone hanno condiviso link privati per far accedere perfetti sconosciuti alle videoconferenze e intaccando la sicurezza delle stesse oltre che la privacy dei partecipanti.

La soluzione? Era nelle impostazioni di Zoom, non quelle di default ovviamente.

Bisogna scegliere manualmente chi può trasmettere audio e video e chi no, ma le impostazioni di default dell'app permettono a tutti di trasmettere. 

Fortunatamente Zoom pare abbia risolto questa falla nel sistema di videoconferenze, introducendo le "stanze" protette da password e la rimozione dell'ID pubblico.

Ma le falle relative alla sicurezza su Zoom non finiscono qui: sembra ancora valida la politica di gestione delle videoconferenze, che consentirebbe agli amministratori di vedere se i partecipanti hanno la finestra video Zoom attiva o meno per monitorare il loro livello di attenzione. 

Inoltre, i file delle registrazioni delle videoconferenze sembrano avere dei nomi così semplici da essere facilmente trovati e visualizzati, complice anche il fatto che i file non sono criptati.

Ciò vuol dire che se un utente salva le registrazioni sui server in cloud senza adottare ulteriori precauzioni di sicurezza, potrebbe subire una violazione dei propri dati personali, essendo le registrazioni molto facili da trovare.

Zoom e i suoi tecnici saranno già a lavoro per risolvere questi problemi di sicurezza, prevedendo una gestione più sicura dei dati trasmessi anche in virtù della normativa in materia di privacy vigente in Italia e in Europa.

Videoconferenze: cosa dicono la normativa e il Garante privacy

Già nel 2005 una newsletter del Garante Privacy  si era espressa in materia di trattamento dei dati personali relativamente ai dispositivi di telefonia dotati di videocamere.

Già allora, prima ancora che nascessero le piattaforme virtuali di videoconferenze, il Garante privacy si era focalizzato su due punti:

  • la trasmissione di foto e video a soggetti esterni;
  • l’uso di video per scopi non privati;
  • la chiarezza da parte dei fornitori dei servizi sul trattamento dei dati all’interno dell’informativa.

 

In linea generale, queste linee guida del garante della privacy cercavano di tutelare gli utenti dal rischio di violazione della sicurezza dei propri dati.

Questa posizione, sebbene lontana nel tempo, risulta perfettamente in linea con le disposizioni attuali del GDPR e con i vari adattamenti legislativi che si sono succeduti sino ad oggi.

In particolare, il Codice Privacy (D.lgs. 196/2003), novellato dal D.lgs. 101/2018, definisce, dall’art. 121 al 132-quater, i ruoli e le modalità del trattamento all’interno dei servizi di comunicazione elettronica, compresi quelli di telecomunicazione e i servizi di trasmissione nelle reti. 

In particolare l’art. 131 prevede che:

  • il fornitore di un servizio di comunicazione elettronica informi il contraente e, ove possibile, l’utente circa la sussistenza di situazioni che permettano di apprendere in modo non intenzionale il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei;
  • il contraente informi l'utente quando il contenuto delle comunicazioni o conversazioni può essere appreso da altri a causa del tipo di apparecchiature terminali utilizzate o del collegamento realizzato tra le stesse presso la sede del contraente medesimo;
  • un utente informi l’altro utente quando, nel corso della conversazione, sono utilizzati dispositivi che consentono l’ascolto della conversazione stessa da parte di altri soggetti.

L’art. 132-ter, introdotto dal D.lgs. 101/18, richiama esplicitamente il GDPR e prevede che:

  • nel rispetto di quanto disposto dall’articolo 32 del Regolamento, ai fornitori di servizi di comunicazione elettronica accessibili al pubblico si applicano le disposizioni del presente articolo;
  • Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 32 del Regolamento, anche attraverso altri soggetti a cui sia affidata l'erogazione del servizio, misure tecniche e organizzative adeguate al rischio esistente.
  • I soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati.
  • Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia e' definita dall'Autorità' per le garanzie nelle comunicazioni secondo le modalita' previste dalla normativa vigente.

Tutte queste misure garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché' garantiscono l'attuazione di una politica di sicurezza.

Infine l'art. 132-quater (anch’esso introdotto dal D.lgs. 101/18) stabilisce che:

  • il fornitore di un servizio di comunicazione elettronica accessibile al pubblico debba informare gli abbonati e, ove possibile, gli utenti, mediante linguaggio chiaro, idoneo e adeguato rispetto alla categoria e alla fascia di età dell’interessato a cui siano fornite le suddette informazioni, con particolare attenzione in caso di minori di età, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando [...] tutti i possibili rimedi e i relativi costi presumibili.

4 consigli per videoconferenze a prova di privacy

Per fare in modo che le tue conferenze siano sicure secondo ciò che prevede la normativa sulla privacy, ci sentiamo di darti alcuni semplici consigli per proteggere i tuoi dati personali e riservati.

Setta bene le impostazioni di privacy della piattaforma

Vai alle impostazioni della privacy della piattaforma e flagga solo le impostazioni necessarie. In questo modo ridurrai al minimo la raccolta dei dati. 

Non acconsentire, ad esempio, all'uso e alla condivisione di immagini o all’uso dei dati per siti di terze parti. Non consentire il collegamento e la registrazione alla piattaforma attraverso i profili social.

Occhio alle registrazioni

In molti casi è utile registrare una videoconferenza di lavoro. Ma il dispositivo che sta registrando la videocall è sicuro e protetto?

Accertati che il PC o qualsiasi altro dispositivo in uso abbia un buon antivirus e che utilizzi una rete privata virtuale (VPN).

Non usare gli smart speaker

Spegnere i microfoni degli smart speaker è una comodità.

Infatti quante volte è capitato che si siano attivati in automatico dopo aver pronunciato un “Ok” o “Hey”?

Ma non è solo una questione di comodità. Gli smart speaker infatti, possono inviare brevi clip audio (spesso registrate anche senza che noi abbiamo attivato gli assistenti digitali) ad Amazon, Google, Apple e i loro dipendenti li ascoltano per verificare la correttezza delle risposte date dai vari assistenti digitali, quali Alexa, Assistant e Siri.

Pensa come se fossi in ufficio 

Infine, un ultimo consiglio (non troppo tecnico): se lavori in smart working e hai una videoconferenza, controlla l'inquadratura della tua videocamera.

Se sei in casa, chiediti se nell’inquadratura ci siano oggetti che non vorresti mostrare al capo o al tuo collega d’ufficio o che non porteresti mai in ufficio. 

Conclusioni 

Se vuoi scongiurare il rischio che i dati personali vengano violati durante una videoconferenza, non optare per la prima piattaforma online gratuita che vedi sui motori di ricerca.

Rifletti su quali siano le tue esigenze di business e, se ne hai bisogno, affidati a dei consulenti esperti in materia di privacy.

Per evitare intrusioni indesiderate durante le videoconferenze, in ambito aziendale è preferibile affidarsi a piattaforme a pagamento, poiché molte tra quelle gratuite presentano ancora falle in termini di privacy.

In ogni caso, è una buona regola prestare sempre attenzione alle informative sulla privacy presenti all’interno di qualsiasi piattaforma di videoconferenza.

In particolare, la piattaforma che scegli per la tua attività lavorativa, deve essere sicura sotto diversi aspetti, quali,

  • La gestione delle informazioni rispetto a terze parti
  • La memorizzazione delle informazioni personali
  • La geolocalizzazione dei partecipanti
  • La crittografia end-to-end dei meeting
  • Il rispetto delle normative sulla privacy dei dati (GDPR)

L’impiego di sistemi professionali di videoconferenza garantiscono elevati standard di sicurezza e una qualità migliore dei servizi offerti rispetto ad altre piattaforme gratuite.

Scegliendo una piattaforma professionale, soddisferai le esigenze di business della tua azienda e, allo stesso tempo, tutelerai chiunque venga a contatto con essa.

Se ti stai chiedendo quale possa essere la piattaforma più in linea con le tue esigenze, puoi rivolgerti a Copying: ti supporteremo nella scelta degli strumenti di collaborazione e comunicazione, nell’implementazione delle piattaforme per il lavoro condiviso e in generale delle tecnologie per abilitare uno smart working sicuro.

 

Informatica e gestione documentale per semplificare il lavoro delle persone e aiutarle a ridurre l’impatto ambientale della loro attività.

Via Saronno 165 – 21042 Caronno Pertusella (VA)

info@copying.it
02 96450815

CERTIFICAZIONE SISTEMI QUALITA’ AZIENDALI UNI EN ISO 9001:2015 CERTIFICATO N. 9110.COP4

Gestione documentale

Stampa sostenibile
Connettività e VoIP
Infrastrutture informatiche
Assistenza e privacy
© 2024 Copying – developed by Leviathan

Copying Srl | Capitale Sociale € 50.000 | C.F. e Partita IVA 00615600137 | Reg. Imprese n. VA-207262 | PEC: copyingroup@pec.companymail.it

Informatica e gestione documentale per semplificare il lavoro delle persone e aiutarle a ridurre l’impatto ambientale della loro attività.

Via Saronno 165 – 21042 Caronno Pertusella (VA)

info@copying.it
02 96450815

CERTIFICAZIONE SISTEMI QUALITA’ AZIENDALI UNI EN ISO 9001:2015 CERTIFICATO N. 9110.COP4

Gestione documentale

Infrastrutture informatiche
Stampa sostenibile
Centralino e connettività
Assistenza e privacy
© 2024 Copying – developed by Leviathan

Copying Srl | Capitale Sociale € 50.000 | C.F. e Partita IVA 00615600137 | Reg. Imprese n. VA-207262 | PEC: copyingroup@pec.companymail.it