L’uso responsabile delle piattaforme di videoconferenza
Le tecnologie digitali, per via delle regole di distanziamento che il Covid-19 ha imposto, hanno diffuso un nuovo modo di garantire la continuità delle relazioni professionali e quelle di studio.
Aziende, scuole e università infatti, hanno dovuto “improvvisare” e innovare in modo pressocchè simultaneo, il metodo per proseguire gli incontri di lavoro e le lezioni.
Da un lato l’annullamento repentino della nostra socialità anche nell’ambito lavorativo, dall’altro la necessità di adottare l’uso responsabile delle piattaforme di videoconferenza, in piena sicurezza.
Le piattaforme digitali di web meeting, già sperimentate in precedenza oggi stanno diventando sempre di più un mezzo per tenere riunioni, corsi e lezioni, sfruttando il web.
L’offerta è senza dubbio esplosa e ciascuno di noi ne ha sperimentate di tutti i colori letteralmente: dal tradizionale (e forse un po’ obsoleto) Skype, a Zoom, Meet, Teams e persino altre meno conosciute (e meno sicure) come Jitsi!
Fin qui tutto bene: esplode una pandemia e l’uomo con la propria conoscenza della tecnologia governa il momento, azzerando le distanze.
Davvero tutto avviene senza alcun prezzo da pagare?
Come sempre il problema è dato dalla consapevolezza del mezzo digitale. E quando mi riferisco a questo intendo quella sinergia, allineamento o “alchimia” che si raggiunge solo fondendo competenze che prevedono la conoscenza di dispositivi informatici e software, con quelle squisitamente legali che cercano di applicare le norme all’uso degli stessi, rendendo più sicuro e responsabile l’uso delle piattaforme di videoconferenza.
Il matrimonio fra Informatici e Esperti in IT Law deve essere finalmente celebrato per permettere tutto questo.
Come? Coniugando e diffondendo la conoscenza di mezzi e diritti per creare nuove opportunità e prevenendo i rischi con approccio multidisciplinare.
A proposito di rischi…Come siamo soliti partecipare ai meeting on line?
L’eccesso di disinvoltura nel web non va assecondato. Questo ragionamento deve essere tanto più importante per le organizzazioni complesse quali le Aziende, ma anche Enti e Scuole.
Ma per capire meglio, partiamo dall’inizio.
Quando organizziamo un web meeting, rendiamo visibili gli account email dei partecipanti e/o il loro profilo di app di instant message (whatsapp, telegram, signal). Inviamo email o messaggi che contengono il link o il codice di chiamata per partecipare agevolmente dal pc o dal proprio smartphone. Questa è già una fase delicata, in cui tramite la condivisione di un collegamento si rende accessibile ad un soggetto l’ingresso nella virtual room.
In altre parole è come dare un telepass che permetta di entrare nella riunione. Se lo hai entri altrimenti resti alla barriera del web, in questo caso.
Spesso basta uno screenshoot per consentire di ammettere estranei alla riunione. La foto del display viene scattata e condivisa sui Social per esempio: per questo spesso molti hanno potuto sperimentare l’ingresso di identità sconosciute. E la motivazione della partecipazione siamo sicuri fosse per squisiti scopi goliardici?
Dipende, non è escluso, ma non deve essere considerato uno scherzo. Quello che oggi si chiama “Zoomboombing” è tutt’altro che un evento remoto.
E’ una possibilità. E allora, innanzitutto occorre considerare quale sia l’importanza e il grado di riservatezza delle informazioni ci si scambia in una stanza virtuale che ospita la riunione. Porrebbero essere scambiate informazioni importanti, strategiche, documenti o idee che costituiscono il know-how di un progetto o addirittura di un gruppo di lavoro, di un’azienda. Potrebbero essere condivisi documenti, dettagli tecnici o dati importanti per la realizzazione di un obiettivo imprenditoriale.
Esattamente come all’interno di una stanza fisica, anche la stanza virtuale deve poter garantire riservatezza e protezione delle informazioni che essa conterrà e ospiterà.
I pericoli corrono rapidi nel web: per ogni tecnologia che cerchi, vi è un cyber-inganno che trovi!
La dimostrazione è data dall’aumento di app -fake che alludono a piattaforme celebri come Zoom, Webex e Slack e contengono in realtà minacce per i dati personali, consistendo in un c.d. adware, ossia un software scaricato, spesso in maniera inconsapevole, durante la navigazione in Internet o l’installazione di un software gratuito (come parrebbe apparentemente essere quello di web meeting prescelto!), programmato per raccogliere informazioni sulle operazioni effettuate dall’utente e per visualizzare periodicamente messaggi pubblicitari non richiesti.
A peggiorare la situazione si verifica lo “spaccio” sottobanco delle credenziali d’accesso ai meeting on line: migliaia di credenziali di accesso agli account Zoom ufficiali, sottratte dai criminal hacker, vengono pubblicate nel Dark Web all’interno di un corposo database. Approdando in questo sostrato più profondo dell’Internet si può acquistare credenziali intercettate in Rete che magari alcuni uomini d’affari si sono scambiati per parlare di questioni riservate o strategiche.
E’ un nuovo mercato per nuove truffe. Meglio note come le c.d. BEC, ossia consumate attraverso le Business Email Compromise. Gli attacchi BEC sono progettati per bypassare i meccanismi di sicurezza come filtri antispam e antivirus e sono così pericolosi. Ecco che il fattore umano deve sapientemente essere in grado di prevenire e disattivare gli automatismi delle frodi informatiche e tutelare il patrimonio informativo. Cosa occorre fare per continuare ad usare le piattaforme di web conference meeting?
Quali sono le considerazioni da tenere presente per l’uso delle piattaforme di videoconferenza?
Due sono le considerazioni da tenere presenti. La verifica dei sistemi di sicurezza informatica adottati dalle aziende, ma soprattutto la preparazione del personale che è esposto ai pericoli o agli inconvenienti del web meeting.
Per attuare questo, occorre senza dubbio una verifica competente ed attenta dei sistemi informativi usati nella organizzazione oggetto di analisi, nonché la verifica dell’esistenza di policy aziendali efficaci.
Con questo si intendono regolamenti capaci di somministrare regole certe tanto per l’ente che autorizza ed impiega la web conference call, quanto per i dipendenti che devono conoscere come devono utilizzare quel dispositivo in sicurezza per l’Azienda e per sé, quanto è stato considerato il tempo lavoro e il diritto alla disconnessione, ossia il diritto a non dover partecipare al meeting oltre un certo orario.
Insomma, i temi per una organizzazione complessa sono molteplici e non possono essere trascurati.
Altra questione molto più importante è la valutazione della piattaforma web prescelta sotto il profilo della tutela della protezione dei dati personali. Infatti è stato reso noto come alcuni software, inviassero e condividessero in modo automatico con piattaforme Social, i dati degli account che partecipavano al meeting, per scopi diversi e lontani dalle finalità per i quali dovevano essere trattati. L’Azienda o l’Organizzazione che sceglie di adottare lo strumento software per organizzare le riunioni a distanza, o web meeting, dovrà opportunamente integrare le informative e costruire un vero e proprio “sistema” di governance legale che ottemperi gli obblighi che il GDPR impone per l’impiego di tali piattaforme.
L’uso responsabile delle piattaforme di videoconferenza: a chi spetta la protezione dei dati personali?
Facciamo un altro esempio, meno lontano dal suggestivo e solo apparentemente distante mondo del Dark web. Immaginiamo che durante una riunione, l’organizzatore registri l’incontro virtuale a cui partecipiamo.
Sono state chieste le necessarie autorizzazioni?
Sono stati assolti tutti gli obblighi imposti dall’uso di simili dispositivi?
In fondo, in un solo momento viene registrata l’identità (nome e cognome), l’immagine e la voce, tutti dati personali del cui trattamento mi devo preoccupare. Con chi saranno condivisi? Chi ne attuerà la conservazione e come? Pensiamoci.
La protezione dei dati personali dei partecipanti è una responsabilità precisa di chi organizza il meeting, e del fornitore della piattaforma come prevede l’art. 132 quater del Codice della Privacy (riformato dal D.Lgs.101/2018). La tutela della riservatezza aziendale del patrimonio informativo del know-how non può essere sottovalutata e passa attualmente anche dalle infinite e numerosissime call conference che occupano le giornate di lavoro. Proprio questione di (web) meeting!
