IOT e GDPR – Internet of Things e Impatti Privacy

Il valore di mercato del settore dell’Internet delle cose in Italia è in costante crescita. Secondo i dati del 2022 dell’Osservatorio della Scuola di Management del Politecnico di Milano, il 2021 ha segnato una ripresa post-Covid con una crescita del mercato del +22% rispetto al 2020. Le offerte di soluzioni IoT si evolvono con nuovi servizi a valore aggiunto, mentre l’evoluzione tecnologica continua con l’introduzione di 5G, reti LPWA e nuove piattaforme, in un contesto caratterizzato da una certa incertezza sullo stato attuale delle applicazioni, i benefici abilitati e l’evoluzione futura. In questo articolo, forniremo chiarezza riguardo alle tendenze chiave e alle fonti normative del settore per supportare i DPO nell’valutare la conformità di questi sistemi.

La maturità del settore IoT è cresciuta rapidamente negli ultimi anni, nonostante la pandemia abbia rallentato la sua crescita. Questo significa che il mercato ha visto una trasformazione complessiva dalle soluzioni di connettività e progettazioni in fase sperimentale a soluzioni in produzione ben integrate nelle piattaforme e nelle applicazioni.

Il focus si è spostato dall’analisi del numero di dispositivi IoT venduti alla valutazione del numero e del tipo di applicazioni complete e funzionanti disponibili. L’analisi condotta dall’Osservatorio IoT della Scuola di Management del Politecnico di Milano ha rilevato una crescita soprattutto nelle offerte di servizi, con un aumento del +25% rispetto al 2020, arrivando a 3 miliardi di euro di valore. Questa crescita è guidata da nuove strategie e modelli di business basati sulla servitizzazione e dalle crescenti aspettative per il futuro.

Le risorse allocate al settore IoT dal PNRR, che ammontano a 29,78 miliardi di euro, hanno alimentato ulteriormente queste aspettative. Il PNRR mira a sostenere diverse aree IoT come Smart Factory, Smart City, Smart Building e Assistenza domiciliare.

L’analisi condotta dall’Osservatorio ha rivelato che l’80% delle grandi aziende coinvolte nel sondaggio ha attivato servizi a valore aggiunto basati sull’Internet delle cose. Inoltre, il 36% delle grandi aziende e il 40% delle PMI hanno deciso di aumentare gli investimenti in questo settore.

L’attenzione dei DPO dovrebbe essere rivolta in particolare alle nuove applicazioni IoT, che rappresentano un’opportunità ma anche una sfida in termini di sicurezza e privacy. L’IoT può essere integrato in diverse aree, come la logistica, la gestione della supply chain, la telemedicina e il fitness, ma ogni nuovo dispositivo connesso alla rete rappresenta una nuova vulnerabilità e un potenziale punto di accesso per gli attacchi informatici.

Per mitigare questi rischi, sono necessarie ampie protezioni che vanno dalla sicurezza fisica dei dispositivi alla riservatezza, integrità e disponibilità delle informazioni. Nel 2022, l’ISO e l’IEC hanno pubblicato la norma ISO/IEC 27400:2022 che fornisce linee guida su rischi, principi e controlli per la sicurezza e la privacy delle soluzioni IoT. La norma identifica 45 controlli di sicurezza e privacy da implementare.

Ecco alcuni dei principali controlli

• Implementare politiciche per la sicurezza IoT
• Adottare linee guida per gli utenti IoT sull’uso corretto di dispositivi e servizi IoT
• Informare gli utenti in relazione al trattamento dei dati, alle misure di sicurezza implementate e fornire loro contatti utili del servizio di supporto
• Definire ruoli e responsabilità con fornitori e parti coinvolte nel trattamento
• Verificare la progettazione dei dispositivi e sistemi IoT, applicando i principi di privacy e security by design
• Minimizzare la raccolta indiretta dei dati, applicando il principio di privacy by default
• Applicare i principi di ingegneria per un sistema IoT sicuro
• Operare in un ambiente protetto e con procedure di sviluppo sicure
• Utilizzare reti adeguate e accertarsi circa la sicurezza nella connessione dei vari dispositivi IoT
• Utilizzare le impostazioni e configurazioni corrette / che garantiscano maggiore sicurezza
• Implementare sistemi di autenticazione utente e dispositivo
• Adottare misure di sicurezza adeguate al ciclo di vita dei sistemi e servizi IoT
• Garantire agli utenti controlli sulla privacy
• Verificare periodicamente aggiornamenti software e firmware
• Verificare periodicamente le funzionalità dei dispositivi IoT
• Monitorare i log
• Proteggere i log
• Prevenire eventi invasivi per la privacy
• “Lesson learned” dagli incidenti di sicurezza e condividere le informazioni raccolte sulla vulnerabilità dei sistemi
• Disattivare i dispositivi non utilizzati e prestare attenzione allo smaltimento o riutilizzo sicuro delle apparecchiature

In conclusione, il settore dell’Internet delle cose in Italia sta vivendo una crescita significativa, trainata da nuove strategie e modelli di business, nonché da risorse allocate dal PNRR. Tuttavia, è importante prestare attenzione ai rischi per la sicurezza e la privacy associate alle nuove applicazioni IoT e adottare misure appropriate per mitigarli.