Il Governo è al lavoro per rendere disponibile ai cittadini interessati il bonus per l’acquisto di grandi elettrodomestici, pari a uno sconto del 30% con un tetto di 100 euro, che salgono a 200 se l’Isee non supera 25mila euro. 

Bonus elettrodomestici: il Governo punta ad abbassare il costo delle bollette

L’obiettivo dell’esecutivo è far entrare nelle case di più italiani possibili elettrodomestici green, così riducendo il consumo energetico, si abbasserà anche il costo delle bollette. Nel nostro Paese per l’energia elettrica si continua a pagare di più rispetto al resto dell’UE.

In attesa di sapere quando sarà erogabile il bonus – è previsto entro la fine di quest’anno – si conosce la modalità per scaricare il voucher da mostrare nel momento dell’acquisto e ricevere lo sconto direttamente in fattura.

Secondo il decreto interministeriale, visionato da Repubblica, firmato già dal ministro delle imprese e del Made in Italy, Adolfo Urso (è attesa la firma anche del ministro dell’Economia Giancarlo Giorgetti), il voucher dovrà essere richiesto, attraverso SPID o la Carta d’identità elettronica (CIE) o CNS, su una piattaforma ad hoc di PagoPa e speso in un tempo determinato.

Essendo stati stanziati solo 48 milioni, si arriverà a un click day? E quindi fare la gara a chi prima riesce a scaricare il voucher associato al codice fiscale.

Nel voucher comunque non sarà indicato l’importo dello sconto, perché questo dipende dal prezzo di vendita dell’elettrodomestico.

Sette le categorie di beni interessati: 

1. lavatrici e lavasciuga almeno di classe A; 
2. forni (almeno A); 
3. cappe (almeno B); 
4. lavastoviglie (almeno C); 
5. asciugabiancheria (almeno C); 
6. frigoriferi e congelatori (almeno D); 
7. piani cottura. Inoltre, dovrà essere rottamato l’elettrodomestico vecchio della testa tipologia. Non sarà possibile, per esempio, rottamare la lavatrice per il nuovo frigorifero

Infine, ogni nucleo familiare potrà acquistare solo un prodotto agevolato; il bonus non potrà essere cumulato con altre agevolazioni, ad esempio la detrazione del 50% per i grandi elettrodomestici per chi ristruttura casa.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/bonus-per-nuovi-elettrodomestici-il-voucher-fino-a-200-euro-si-scarichera-da-pagopa-con-spid-o-cie/544181/

SpaceX ha da poco concesso una rara visita alla sua fabbrica di Starlink a Redmond, Washington, in grado di produrre fino a 70 satelliti a settimana.

Ne ha dato conto la rivista specializzata PC Mag, precisando che l’azienda ha appena pubblicato un video sulla fabbrica di Redmond, in vista del decimo test di volo di SpaceX per il suo veicolo spaziale Starship, riprogrammato a causa delle condizioni meteorologiche. “Tutti quei satelliti Starlink sono partiti da qui, proprio da Redmond”, dice Akash Badshah, direttore senior per l’ingegneria satellitare di SpaceX, nel video.

Starlink satellites are designed, built, launched and operated from the United States to provide connectivity anywhere on the planet pic.twitter.com/NkcjJw4nDT

— Starlink (@Starlink) August 25, 2025

Il filmato offre uno sguardo all’interno della fabbrica, mostrando la produzione dei componenti e il processo di assemblaggio e confezionamento dei satelliti. “In SpaceX, lavoriamo molto velocemente e abbiamo imparato a costruire satelliti al ritmo di 70 satelliti a settimana”, aggiunge Cornelia Rosu, Senior Director di SpaceX per la produzione di Starlink.

Ciò si traduce in 3.640 satelliti all’anno, un enorme aumento rispetto al 2020, quando SpaceX dichiarava di poter produrre solo 120 satelliti al mese.

La capacità produttiva è fondamentale, poiché SpaceX sta lavorando per lanciare e gestire quasi 30.000 satelliti Starlink, in attesa dell’approvazione della Federal Communications Commission. L’obiettivo è aumentare la copertura e la capacità di Starlink e offrire velocità gigabit. Attualmente SpaceX ha l’autorizzazione normativa per gestire solo circa 12.000 satelliti.

Mini laser per velocità super elevate

Il filmato rivela anche un nuovo dettaglio sugli sforzi di SpaceX per dotare i satelliti Starlink di collegamenti laser, consentendo loro di comunicare tra loro in orbita e instradare dati fino a 200 Gbps. SpaceX ha sviluppato un componente “mini laser” più piccolo, installabile su un satellite. Michael Nicolls, vicepresidente dell’ingegneria satellitare di SpaceX, ha twittato che il mini laser è destinato a satelliti e stazioni spaziali di terze parti, che possono utilizzare i collegamenti laser per connettersi alla rete Starlink.

The Starlink “mini laser” shown in today’s video will connect third party satellites and space stations into the Starlink constellation. The mini laser is designed to achieve link speeds of 25 Gbps at distances up to 4000 km, and was recently successfully tested in orbit on a… pic.twitter.com/8nW37CRp7s

— Michael Nicolls (@michaelnicollsx) August 25, 2025

“Il mini laser è progettato per raggiungere velocità di collegamento di 25 Gbps a distanze fino a 4.000 km ed è stato recentemente testato con successo in orbita su un satellite lanciato con Starlink G10-20”, ha detto.

Oltre alla capacità produttiva, SpaceX fa affidamento anche sul veicolo Starship per trasportare nello spazio i satelliti Starlink V3, più potenti ma più pesanti. In un filmato separato, SpaceX ha mostrato un demo reel di come Starship trasporterà i satelliti V3 nell’orbita terrestre.

Starship will deploy the more advanced V3 Starlink satellites, with each launch adding more than 20x the network capacity of current Falcon 9 flights pic.twitter.com/G3N9hgWWev

— SpaceX (@SpaceX) August 25, 2025

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/spacex-mostra-i-suoi-mini-laser-nella-fabbrica-di-satelliti-di-starlink/543962/

Con il 6,49%, ben al di sotto della media UE del 16,3%, l’Italia si colloca tra i Paesi con le peggiori performance nel 1^ Indice di Sovranità Digitale redatto dalla società tedesca NextCloud. 

“Nonostante alcune iniziative nazionali visibili e la retorica politica sulla sovranità digitale”, si legge nel report riferendosi al nostro Paese e alla Spagna (risulta 27esima), “l’effettiva adozione di strumenti sovrani rimane minima in quasi tutte le categorie”. 

Mentre al primo posto c’è la Finlandia con il 64,50%, seguita dalla Germania con il 53,85 e al terzo posto i Paesi Bassi con il 36,32%.

Come leggere i numeri, prima di fare un’analisi

I punteggi sono comparativi e non assoluti: un punteggio elevato indica una maggiore diffusione relativa rispetto ad altri Paesi, ma non necessariamente un’adozione diffusa. I dati riflettono l’utilizzo visibile degli strumenti nella società, in particolare tra individui e piccole organizzazioni. Quindi il report non si riferisce alle Pubbliche Amministrazioni, perché, spiega il Rapporto, “la maggior parte delle agenzie governative in Europa dipende completamente da Microsoft, Google e altre grandi aziende tecnologiche”.

Proprio alcuni giorni fa Key4Biz ha pubblicato la classifica mondiale sull’adozione del cloud: e ben il 60% del mercato globale è in mano alle aziende americane.

Ma nel report curato dalla società cloud tedesca è interessante notare come in diversi paesi europei siano i cittadini rispetto al governo a preferire software, piattaforme di archiviazione e scambio di file, applicazioni video o di chat made in Europe.

Significa che in questi Stati è alto il livello di consapevolezza da parte dei consumatori, più che della classe politica, dei rischi significativi della forte dipendenza da tecnologie extra-Ue.

Oggi l’Unione europea dipende per l’80% da tecnologie di Paesi terzi

 L’Unione europea spende 148 miliardi di euro all’anno per software e servizi cloud di aziende tecnologiche statunitensi. Piuttosto assurdo, a pensarci bene: i contribuenti finanziano monopoli tecnologici stranieri mentre i nostri governi ignorano le alternative tecnologiche europee che i cittadini, invece, stanno già utilizzando.
Questo lock-in comporta rischi significativi:

• riduce la capacità dell’Ue e dei singoli Stati di agire strategicamente a livello tecnologico
• diminuisce la sua competitività economica
• impedisce la crescita di aziende tech europee (ostacolate anche dall’iper-regolamentazione europea)
• rende vulnerabili i suoi dati sensibili, per esempio a causa della legge statunitense sulla sorveglianza dell’intelligence esterna (Foreign Intelligence Surveillance Act – FISA) e del Cloud Act.
• La FISA consente alle agenzie di intelligence di accedere ai dati delle aziende tecnologiche statunitensi. Mentre il Cloud Act permette invece alle autorità statunitensi di accedere ai dati il cui hosting è effettuato da aziende statunitensi, anche se tali dati sono fisicamente conservati al di fuori degli Stati Uniti. 

È ora, nell’era del trumpismo, di alimentare l’indipendenza digitale europea

La visione è quella di sostenere l’imprenditorialità e la competitività europea (un ecosistema diversificato di imprese, PMI, startup), creare resilienza, proteggere la nostra autonomia e sovranità in un mondo volatile e potenziare le persone e le imprese d’Europa.

Perché unirsi all’iniziativa Indipendenza Digitale di Key4biz e ReD Open

L’Indipendenza Digitale rappresenta una priorità strategica emergente per governi, imprese e cittadini, con l’obiettivo di gestire l’innovazione e la trasformazione digitale costruendo un ecosistema in grado di proteggere servizi critici, infrastrutture e dati in modo autonomo e resiliente. Il tema non si limita alla sola Sovranità su dati e infrastrutture, ma si propone di costruire in contesti responsabili, ambienti consapevoli e sicuri, capaci di salvaguardare la competitività economica, la sicurezza e i diritti fondamentali delle persone.

Per le Aziende, l’indipendenza digitale significa assicurarsi libertà di innovazione e di posizionamento delle proprie risorse strategiche sul mercato riducendo i rischi derivanti da dipendenze tecnologiche esterne, gestendo in autonomia le tecnologie, proteggendo i dati critici e accrescendo il valore della propria organizzazione tramite lo sviluppo delle competenze interne e la conseguente valorizzazione delle persone.

Punta a questo obiettivo l’iniziativa “Indipendenza Digitale” di Key4biz, in collaborazione con ReD OPEN, spin-off dell’Università degli Studi Milano-Bicocca. All’interno del progetto, abbiamo organizzato, il 27 maggio 2025 a Roma, la prima Conferenza italiana sull’Indipendenza Digitale: è stata l’occasione anche per presentare il 1^ Rapporto sull’(in)dipendenza digitale in Italia.

L’Indipendenza digitale sta emergendo come un imperativo strategico, politico ed economico

Soprattutto all’indomani della nuova minaccia di Trump: “super dazi per tutti i Paesi in cui esistono tasse, leggi e regolamenti per le piattaforme digitali americane”.

In altre parole, il messaggio americano è chiaro: le nostre aziende devono essere libere di muoversi a piacimenti nei vostri Paesi, meno regole e più profitti.

Le parole di Trump sono arrivate alla vigilia dell’annuncio di un’audizione pubblica della Camera dei Rappresentanti statunitense, fissata per mercoledì 3 settembre 2025, intitolata “La minaccia dell’Europa alla libertà di parola e all’innovazione americana”.

Gli Stati Uniti ci vedono così. Mentre i Governi e la maggioranza delle Pubbliche Amministrazioni europee restano ancora ciechi, non riescono ancora ad avviare una transizione alle tecnologie europee. È la sindrome di Stoccolma: la vittima prova affetto per l’aggressore…

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/indipendenza-digitale-italia-solo-30esima-su-57-paesi-analizzati-il-report/544153/

Anche a luglio le bollette elettriche italiane sono state tra le più care all’interno dei Paesi UE. Il PUN, il prezzo all’ingrosso dell’elettricità, è salito a luglio rispetto al mese precedente e mostra un forte divario rispetto al corrispondente valore utilizzato in altri Stati europei. Il prezzo all’ingrosso è uno dei principali fattori che spingono all’insù le bollette italiane, ma non è l’unico: i prezzi elevati sono dovuti anche al sistema di funzionamento del mercato elettrico, alla forte dipendenza dell’Italia dal gas e dalle condizioni climatiche. Verificare regolarmente le offerte luce disponibili sul mercato libero è di grande aiuto per tenere al minimo i costi della bolletta elettrica: il comparatore di SOStariffe.it fa un’analisi dettagliata delle offerte di più operatori partner e facilita la ricerca delle tariffe più convenienti.

Prezzo dell’elettricità in Italia tra i più cari in UE

Secondo i dati forniti da Ember, il PUN di luglio 2025 è stato di 113,3 €/MWh, il 26% in più rispetto al dato medio UE (circa 90 €/MWh).

Osservando i dati si nota come ci sia un forte divario all’interno dell’UE tra i prezzi dell’elettricità. Il dato italiano di luglio 2025 risulta più caro rispetto a quello di molti altri Stati, ma con percentuali diverse: nel mese di luglio l’Italia ha pagato l’elettricità poco più del 20% rispetto alla Francia (quasi 80 €/MWh), circa il 55% in più rispetto alla Spagna (74 €/MWh) e quasi il quadruplo della Svezia (29 €/MWh).

Le cause del caro energia italiano

Le bollette italiane dell’energia elettrica sono tra le più care d’Europa per diversi motivi. A influenzare il PUN mantenendolo stabilmente superiore rispetto alla media europea è, innanzitutto, la forte dipendenza del sistema energetico italiano dal gas.

Mentre gli altri Paesi europei utilizzano il gas per produrre una quota contenuta di elettricità (si va dal 3% della Francia al 17% della Spagna), l’Italia lo usa per generare il 45% dell’energia elettrica. Questa forte interconnessione tra luce e gas fa sì che l’aumento di quest’ultimo si rifletta immancabilmente in un aumento anche della prima.

A contribuire al caro bollette italiano è anche il meccanismo di formazione del prezzo sul mercato. Il PUN viene determinato sulla Borsa elettrica dall’incontro tra domanda e offerta, applicando il prezzo marginale. Il funzionamento della borsa prevede che i produttori di energia determinino il prezzo minimo a cui sono disposti a vendere l’elettricità prodotta. Queste offerte vengono classificate a partire dal prezzo più basso a quello più alto. Il fabbisogno energetico viene man mano coperto dai vari produttori e il prezzo finale che si forma sul mercato è quello dell’ultimo produttore che soddisfa le richieste della domanda: tutta l’energia viene scambiata a questo prezzo.

Per effetto di questo sistema, tipicamente il prezzo dell’elettricità corrisponde a quello prodotto utilizzando il gas come materia prima, dal momento che l’energia da fonti rinnovabili ha costi di produzione inferiori.

A incidere sul prezzo all’ingrosso dell’energia elettrica sono anche le condizioni climatiche. Le ondate di calore generano normalmente picchi nella domanda di energia, necessaria per alimentare i sistemi di condizionamento. Il clima molto caldo riduce inoltre la quota di energia proveniente da fonti come l’eolico e l’idroelettrico.

Infine, in base ai risultati di un’indagine conoscitiva dell’ARERA, c’è il sospetto che siano state attuate manovre manipolatorie del mercato. In particolare, l’ipotesi su cui si sta indagando è che alcuni produttori abbiano dichiarato una minore capacità produttiva, facendo salire artificiosamente il prezzo marginale e ottenendo un maggiore profitto.

Come risparmiare sulla bolletta con le migliori offerte luce

Per difendersi dal caro energia e alleggerire il peso delle bollette, la scelta più efficace è confrontare le tariffe disponibili sul mercato libero.

La concorrenza tra fornitori permette di poter scegliere tra prezzi, bonus e condizioni differenti: approfittarne significa poter individuare la soluzione più adatta alle proprie esigenze di consumo e al proprio stile di vita.

Utilizzare un comparatore come SOStariffe.it permette di avere una panoramica chiara e aggiornata delle migliori offerte luce degli operatori partner, con la possibilità di stimare il risparmio annuo rispetto alla tariffa attuale. In questo modo è semplice trovare l’opzione più conveniente: si può decidere di bloccare il prezzo per tutelarsi da nuovi aumenti e avere maggiore controllo sui costi energetici, ad esempio, oppure optare per un’offerta variabile che consente di pagare l’elettricità sempre al valore di mercato.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/energia-elettrica-in-italia-si-continua-a-pagare-di-piu-rispetto-al-resto-dellue/544136/

L’introduzione dell’Apple AirTag nel 2021, concepito come un innovativo localizzatore di oggetti personali che sfrutta la vasta rete “Dov’è” (Find My) di Apple, ha rapidamente rivelato un duplice potenziale. Se da un lato facilita il ritrovamento di beni smarriti come chiavi o bagagli, le sue caratteristiche intrinseche – dimensioni compatte, costo contenuto e capacità di tracciamento preciso – lo hanno trasformato in un potenziale strumento per il tracciamento non consensuale e lo stalking.

Questa evoluzione ha sollevato significative preoccupazioni globali in materia di privacy e sicurezza informatica. Il presente elaborato si propone di analizzare in profondità le vulnerabilità tecniche degli AirTag che ne consentono l’abuso per scopi di stalking, esaminando l’efficacia delle contromisure implementate da Apple, le tecniche di elusione utilizzate dai molestatori, le implicazioni più ampie per la sicurezza informatica, il quadro normativo e giurisprudenziale italiano in materia di tracciamento illecito, e le strategie di rilevamento e mitigazione per gli esperti del settore.

Architettura e principi operativi degli AirTag

Gli AirTag sono dispositivi progettati con un’architettura che integra diverse tecnologie per consentire una localizzazione efficiente. Si presentano come dischi compatti, con un diametro di 31,9 mm, uno spessore di 8 mm e un peso di soli 11 grammi. Il loro design è minimalista, con il logo Apple su un lato e una superficie liscia sull’altro. Sono alimentati da una batteria a bottone CR2032 sostituibile dall’utente, che garantisce un’autonomia fino a un anno. La certificazione IP67 ne attesta la resistenza a schizzi, acqua e polvere, rendendoli idonei all’uso quotidiano in diverse condizioni ambientali.

Per la connettività, l’AirTag sfrutta il Bluetooth Low Energy (BLE) per la localizzazione di prossimità. Un chip U1, progettato da Apple, abilita la tecnologia Ultra Wideband (UWB), che permette la funzione “Posizione precisa” (Precision Finding) su iPhone 11 e modelli successivi, fornendo indicazioni esatte di distanza e direzione. La tecnologia NFC (Near Field Communication) è impiegata per la modalità Smarrito: toccando un AirTag con uno smartphone compatibile, è possibile visualizzare le informazioni di contatto del proprietario, qualora siano state impostate. Un altoparlante integrato consente all’AirTag di emettere un suono, facilitandone il ritrovamento nelle vicinanze.

La capacità di localizzazione degli AirTag si basa sulla vasta rete “Dov’è” di Apple, che comprende centinaia di milioni di dispositivi Apple attivi (iPhone, iPad, Mac) in tutto il mondo. L’AirTag emette un segnale Bluetooth sicuro che viene rilevato da questi dispositivi nelle vicinanze. I dispositivi rilevatori, a loro volta, inviano la posizione dell’AirTag a iCloud in modo anonimo e crittografato. Questo processo garantisce che solo il proprietario dell’AirTag possa visualizzarne la posizione sulla mappa nell’app Dov’è. L’intero meccanismo è progettato per essere anonimo ed efficiente, con la promessa che i dati di localizzazione e la cronologia non vengano mai memorizzati sull’AirTag stesso.

Apple ha integrato diverse funzionalità per scoraggiare il tracciamento indesiderato. Gli AirTag utilizzano identificatori Bluetooth casuali che cambiano frequentemente, con l’obiettivo di prevenire il tracciamento persistente dei movimenti di una persona. Inoltre, se un AirTag sconosciuto (non associato all’ID Apple dell’utente) si sposta con un utente per un periodo prolungato, l’iPhone dell’utente riceve un avviso con il messaggio “AirTag rilevato in movimento con te”. Questo avviso si attiva specificamente quando l’AirTag è separato dal suo proprietario registrato. A completamento di queste misure, dopo un certo periodo di tempo (inizialmente 3 giorni, poi ridotto a 8-24 ore in base al movimento), un AirTag separato dal suo proprietario emette automaticamente un suono per avvisare chiunque nelle vicinanze della sua presenza.

Nonostante le dichiarazioni di Apple riguardo l’integrazione di funzionalità di privacy e sicurezza fin dalla progettazione dell’AirTag , l’architettura stessa che consente un tracciamento efficace degli oggetti smarriti – ovvero la dipendenza dalla rete “Dov’è” e la capacità di operare in modo discreto – crea intrinsecamente un vettore di rischio per il tracciamento non consensuale.

Le contromisure, come le notifiche e i suoni, appaiono come tentativi di mitigare questo rischio a posteriori rispetto alla funzionalità di tracciamento intrinseca, piuttosto che prevenirla alla radice. Questo solleva la questione se il design fondamentale del prodotto sia intrinsecamente compatibile con la prevenzione assoluta dello stalking, o se le misure anti-stalking siano sempre un “patch” a un problema di design di base. La crittografia e l’anonimizzazione dei dati di localizzazione rappresentano un aspetto lodevole della “privacy by design” di Apple, ma questa non si estende completamente alla prevenzione dell’abuso fisico del dispositivo. La facilità di occultamento e la dipendenza da alert software per la rilevazione creano una finestra di vulnerabilità significativa.

L’AirTag come strumento di stalking: abuso e limiti delle protezioni

Nonostante le funzionalità di sicurezza integrate, l’AirTag è stato ampiamente documentato come strumento di stalking, evidenziando le lacune nelle protezioni attuali. Fin dal suo lancio, gli AirTag sono stati associati a un incremento delle segnalazioni di stalking e molestie, con una prevalenza di casi perpetrati da ex partner. Un’analisi approfondita di 150 rapporti di polizia, condotta nell’arco di otto mesi, ha rivelato che meno della metà di tali segnalazioni riguardava furti, mentre la maggior parte descriveva in dettaglio molestie o stalking di donne tramite l’uso di AirTag. In 50 di questi casi, le vittime hanno ricevuto notifiche anti-tracciamento sui loro iPhone, mentre in altre circostanze hanno scoperto AirTag nascosti nei propri veicoli o ne hanno udito il segnale acustico.

La gravità del problema è stata ulteriormente sottolineata da una causa collettiva intentata negli Stati Uniti da oltre trenta vittime, le quali accusano Apple di negligenza per aver reso gli AirTag “una delle tecnologie più pericolose e inquietanti” per il tracciamento in tempo reale. Apple, dal canto suo, ha risposto condannando fermamente qualsiasi uso illecito dei propri prodotti e affermando di collaborare attivamente con le forze dell’ordine per contrastare tali abusi.

Apple ha introdotto e migliorato le funzionalità anti-stalking, inclusi avvisi e segnali acustici. L’azienda ha anche aggiornato il processo di configurazione degli AirTag per includere avvisi chiari sull’illegalità del tracciamento non consensuale. Tuttavia, numerosi studi e rapporti indicano che l’efficacia di queste misure è limitata. Una ricerca del CISPA Helmholtz Center ha rilevato che le notifiche di tracciamento indesiderato sono “significativamente più affidabili e tempestive su iOS rispetto ad Android”. Questo divario crea una vulnerabilità sistemica.

Gli stalker potrebbero scegliere vittime con dispositivi Android, sapendo che saranno meno protette da avvisi automatici e tempestivi, o che dovranno compiere azioni manuali per rilevare la minaccia. La sicurezza non può essere garantita in un ecosistema frammentato. Sebbene la collaborazione tra Apple e Google per una specifica di settore per avvisi sui tracker sconosciuti sia un passo positivo, la sua implementazione universale e l’efficacia su tutti i dispositivi rimangono sfide critiche per garantire una protezione equa per tutti gli utenti.

Inoltre, molti partecipanti agli studi hanno “ignorato completamente l’avviso discreto” fornito dalla notifica, e l’interfaccia utente dell’app Dov’è è stata giudicata “confusa”, rendendo più difficile la localizzazione del tracker. Gli avvisi acustici, un’altra contromisura, si attivano solo dopo un certo periodo di separazione dal proprietario (generalmente 8-24 ore, ma anche 3 giorni in alcuni contesti ) e solo se il dispositivo è in movimento. Questo ritardo può essere insufficiente in ambienti rumorosi o permettere allo stalker di raccogliere informazioni critiche prima che la vittima sia allertata.

La persistenza dei casi di stalking è in parte dovuta alla facilità con cui le protezioni degli AirTag possono essere eluse. Una delle tecniche più semplici e diffuse è la rimozione fisica dell’altoparlante. L’eliminazione dell’allarme acustico rende la vittima dipendente esclusivamente dalle notifiche software, che, come detto, possono essere ritardate o ignorate. È inoltre possibile manipolare l’URL NFC modificando il firmware dell’AirTag per alterare il link che viene visualizzato quando il dispositivo viene toccato da uno smartphone.

Un attaccante può così reindirizzare la vittima a un link malevolo (ad esempio, una pagina iCloud contraffatta) per esfiltrare credenziali tramite keylogger o iniettare malware. Questa tecnica sfrutta la fiducia dell’utente nel processo di identificazione dell’AirTag smarrito. La clonazione di un AirTag implica l’estrazione e la riprogrammazione del suo firmware, consentendo una personalizzazione quasi completa del dispositivo.

Questo può permettere di resettare AirTag rubati con un nuovo numero di serie, bypassare le funzionalità della “modalità smarrito” e, più preoccupante, eliminare le notifiche di tracciamento indesiderate modificando il codice del chip nRF. Questa capacità rende l’AirTag “completamente stealth” e una minaccia molto più pericolosa per lo stalking. Le contromisure di Apple, in particolare le notifiche e gli avvisi acustici, sono soggette a ritardi e possono essere eluse. Questo crea una “finestra di opportunità” significativa per lo stalker. Anche se un AirTag non modificato alla fine emette un suono o genera una notifica, il tempo intercorso può essere sufficiente per un molestatore per raccogliere informazioni critiche sui movimenti della vittima, stabilire routine o persino preparare un attacco fisico.

Un ritardo di ore o giorni può compromettere gravemente la sicurezza della vittima, permettendo allo stalker di acquisire dati sufficienti per pianificare ulteriori azioni, anche prima che la vittima sia consapevole del tracciamento. Questo evidenzia una lacuna nella filosofia di “sicurezza proattiva”.

Implicazioni di sicurezza informatica oltre lo stalking personale

Le vulnerabilità degli AirTag si estendono oltre il mero tracciamento personale, presentando rischi significativi per la sicurezza informatica in contesti più ampi. È stata scoperta una vulnerabilità di tipo Cross-Site Scripting (XSS) negli AirTag, la quale può essere sfruttata per veicolare malware, sottrarre credenziali e rubare token. Un attaccante può sfruttare questa falla per reindirizzare le vittime a una pagina iCloud contraffatta, da cui un keylogger installato potrebbe esfiltrare le credenziali. La vulnerabilità si manifesta anche quando l’AirTag è in “Lost Mode”, consentendo l’esecuzione di vari attacchi basati sul web. Un aspetto critico è che molti utenti non sono consapevoli che l’accesso alla pagina https://found.apple.com non richiede autenticazione, rendendoli particolarmente suscettibili a questa forma di ingegneria sociale.

Ulteriori attacchi di iniezione possono avvenire anche tramite l’app Dov’è, utilizzata per scansionare dispositivi di terze parti che supportano la modalità smarrito. Oltre all’XSS, la manipolazione dell’URL NFC può indirizzare gli utenti a siti malevoli, compromettendo ulteriormente i dati personali o l’account dell’utente. Queste vulnerabilità dimostrano che un dispositivo fisico, apparentemente innocuo, può diventare un punto di ingresso per attacchi cyber sofisticati. Si crea così un ponte tra il mondo fisico dello stalking e quello digitale della compromissione dei dati. Un attaccante non solo può seguire la vittima, ma può anche tentare di rubare le sue credenziali o installare malware.

Per gli esperti di sicurezza, ciò significa che l’analisi delle minacce legate ai dispositivi di tracciamento deve estendersi oltre la mera geolocalizzazione. È fondamentale considerare gli AirTag come potenziali vettori per attacchi di phishing, malware e furto di identità, richiedendo un approccio olistico alla difesa che integri sicurezza fisica e cyber.

Sebbene Apple affermi che i dati di localizzazione siano crittografati end-to-end e non accessibili da Apple stessa, né memorizzati sull’AirTag , la natura stessa del tracciamento onnipresente solleva questioni fondamentali sulla raccolta e aggregazione di grandi volumi di dati di movimento. Anche se inizialmente anonimizzati, questi dati aggregati potrebbero essere potenzialmente de-anonimizzati tramite tecniche avanzate, portando a violazioni della privacy su larga scala. Un dispositivo Apple infetto può essere trasformato in un “AirTag di grandi dimensioni” rintracciabile tramite la rete Dov’è.

Questa capacità suggerisce che gli AirTag, o più ampiamente la rete su cui si basano, potrebbero essere sfruttati in scenari di spionaggio o attacchi persistenti avanzati (APT) per monitorare posizioni sensibili o individui di alto profilo. Gli AirTag, in quanto parte dell’Internet of Things (IoT), sono inoltre soggetti a rischi più ampi associati a questi dispositivi: la mancanza di crittografia predefinita, ecosistemi insicuri, problemi di autenticazione, attacchi Distributed Denial of Service (DDoS), furto di dispositivi, exploit del firmware e vulnerabilità software. Molti dispositivi IoT sono prodotti rapidamente e a basso costo, rendendoli vulnerabili, e la sicurezza può essere trascurata a favore della funzionalità o del design.

A differenza dei tracker GPS professionali, gli AirTag non offrono un tracciamento continuo in tempo reale, affidandosi alla densità di dispositivi Apple nelle vicinanze per aggiornare la loro posizione. Questo li rende meno affidabili per la gestione di asset commerciali o il tracciamento di veicoli in movimento rapido o in aree rurali, dove la copertura della rete “Dov’è” potrebbe essere limitata. I tracker GPS professionali sono spesso più difficili da rilevare e disabilitare, offrono funzionalità avanzate come il geofencing, avvisi di manomissione e integrazione con sistemi di gestione della flotta, e presentano una maggiore resistenza ambientale.

Mentre l’attenzione è spesso sul tracciamento personale, gli AirTag possono rappresentare un rischio significativo anche per la sicurezza aziendale. Se un AirTag viene nascosto in attrezzature aziendali, veicoli o persino su dipendenti, può fornire a un attore malevolo dati di localizzazione critici sull’infrastruttura o sulle operazioni. A differenza dei sistemi GPS professionali, gli AirTag non sono progettati per la sicurezza aziendale, mancano di funzionalità di monitoraggio in tempo reale, avvisi di manomissione e integrazione con sistemi di gestione.

Questo li rende un “punto cieco” per i team di sicurezza aziendale, che potrebbero non avere gli strumenti o i protocolli per rilevarli o mitigarli efficacemente. Le organizzazioni devono estendere le loro politiche di sicurezza e i loro programmi di valutazione del rischio per includere i dispositivi di tracciamento consumer. Ciò implica la necessità di procedure di ispezione fisica, l’educazione dei dipendenti sui rischi e, potenzialmente, l’implementazione di soluzioni di rilevamento dedicate per proteggere asset e informazioni sensibili da minacce veicolate da tracker economici e facilmente occultabili.

Quadro normativo e giurisprudenziale italiano sul tracciamento illecito

Il contesto legale italiano offre strumenti per affrontare il tracciamento illecito, sebbene l’adattamento alle nuove tecnologie digitali presenti sfide. Diversi articoli del Codice Penale italiano sono rilevanti in caso di tracciamento non consensuale. L’Art. 612-bis c.p. (Atti persecutori – Stalking) si configura quando la condotta molesta è reiterata o vessatoria, causando nella vittima un grave e perdurante stato di ansia o paura, un fondato timore per la propria incolumità o quella di un prossimo congiunto, o costringendola ad alterare le proprie abitudini di vita. L’uso di dispositivi di tracciamento come gli AirTag rientra pienamente in questa fattispecie se la condotta è reiterata e produce tali effetti.

La pena prevista va da 6 mesi a 5 anni. L’Art. 615-bis c.p. (Interferenze illecite nella vita privata) punisce chi si procura indebitamente notizie o immagini della vita privata svolgentesi nei luoghi di privata dimora. Tuttavia, la giurisprudenza italiana ha stabilito che l’abitacolo di un’autovettura non è generalmente considerato un luogo di privata dimora. Una sentenza del Tribunale di Arezzo (Febbraio 2021) e successive pronunce della Cassazione (es. n. 3446 del 29 gennaio 2024) hanno stabilito che l’installazione di un GPS in un’auto, anche senza consenso, non integra il reato di interferenze illecite nella vita privata se il dispositivo non è idoneo a catturare riprese visive o sonore.

La mera localizzazione è assimilata al “pedinamento”, che di per sé non è reato se non reiterato e vessatorio. Infine, l’Art. 660 c.p. (Molestie) punisce chi, in luogo pubblico o aperto al pubblico, ovvero col mezzo del telefono, per petulanza o altro biasimevole motivo, reca molestia o disturbo a una persona. L’uso di un AirTag, sebbene non esplicitamente menzionato, potrebbe rientrare in questa fattispecie se la condotta di tracciamento causa disturbo.

La giurisprudenza italiana, in particolare le sentenze della Cassazione, tende ad assimilare l’uso di un localizzatore GPS al “pedinamento”, che di per sé non è un reato se non reiterato e vessatorio. Questo crea una zona grigia in cui il tracciamento passivo della posizione, senza intercettazione di comunicazioni o violazione di “privata dimora”, potrebbe non essere penalmente rilevante in assenza di altri elementi costitutivi del reato di stalking.

Tuttavia, la natura discreta e pervasiva degli AirTag rende molto più facile per un molestatore superare la soglia del “pedinamento lecito” e ricadere nella fattispecie dello stalking, anche senza contatto diretto. La semplice consapevolezza di essere tracciati, indotta dalle notifiche di Apple, può generare lo stato di ansia e paura richiesto per il reato di stalking.

Per gli esperti legali e le forze dell’ordine, è cruciale non fermarsi alla mera assenza di intercettazioni audio/video. L’analisi forense e la raccolta di prove devono concentrarsi sulla reiterazione della condotta di tracciamento e sull’impatto psicologico sulla vittima, che può essere generato dalla sola consapevolezza del monitoraggio, anche se il dispositivo non è “illecito” in sé. La tecnologia, in questo caso, amplifica la capacità di molestia anche con un’azione apparentemente “passiva”.

Il Regolamento Generale sulla Protezione dei Dati (GDPR – Reg. UE 2016/679) è la normativa chiave per la protezione dei dati personali. I principi di privacy by design e privacy by default (Art. 25 GDPR) impongono che la protezione dei dati sia integrata fin dalla progettazione dei sistemi e che le impostazioni predefinite garantiscano il massimo livello di privacy.

Per trattamenti di dati ad alto rischio, come la geolocalizzazione, è obbligatoria una Valutazione d’Impatto sulla Protezione dei Dati (DPIA – Art. 35 GDPR), che deve includere una descrizione sistematica del trattamento, la valutazione della proporzionalità e necessità, l’analisi dei rischi per gli interessati e le misure previste per affrontarli. È inoltre fondamentale fornire un’informativa chiara e trasparente agli interessati (Art. 13 GDPR) e, in molti casi, ottenere il loro consenso esplicito per il trattamento dei dati di localizzazione. I dati raccolti devono essere pertinenti, limitati a quanto necessario per le finalità del trattamento e conservati solo per il tempo strettamente indispensabile (principio di minimizzazione dei dati).

Il Garante per la Protezione dei Dati Personali (GPDP) ha emesso provvedimenti e vademecum relativi all’uso di dispositivi di localizzazione, in particolare nel contesto lavorativo (controllo a distanza dei dipendenti) e per i fitness tracker. Questi sottolineano la necessità di accordi sindacali o autorizzazioni dell’Ispettorato del Lavoro per il monitoraggio dei dipendenti, l’obbligo di informare chiaramente gli interessati (ad esempio, tramite vetrofanie sui veicoli aziendali) e l’importanza di configurare i sistemi in ottica di privacy by design per minimizzare i dati trattati. Dalle fonti fornite, tuttavia, non emerge una specifica “posizione ufficiale” o “linea guida” del Garante Privacy italiano direttamente sugli AirTag per il tracciamento non consensuale di persone.

Nonostante la crescente diffusione degli AirTag e i casi documentati di stalking, le fonti non rivelano linee specifiche del Garante Privacy italiano direttamente rivolte all’uso non consensuale di questi dispositivi consumer. Le linee guida esistenti si concentrano principalmente sul contesto lavorativo o sui fitness tracker. Questa lacuna potrebbe indicare una sfida nell’adattare la normativa esistente a tecnologie emergenti usate per scopi malevoli, o una fiducia implicita nelle contromisure dei produttori.

L’assenza di una posizione chiara e specifica da parte dell’autorità garante potrebbe creare incertezza legale e ostacolare l’azione preventiva e repressiva. È auspicabile che il Garante Privacy emetta direttive esplicite sull’uso e l’abuso dei tracker consumer come gli AirTag, fornendo chiarezza su obblighi, diritti e sanzioni, in linea con i principi del GDPR e con l’obiettivo di tutelare la privacy e la sicurezza dei cittadini.

Strategie di rilevamento e mitigazione per esperti di sicurezza

La mitigazione del rischio di stalking tramite AirTag richiede un approccio su più livelli, che coinvolge sia gli utenti finali che gli specialisti della sicurezza informatica. Gli utenti iPhone devono assicurarsi che i Servizi di Localizzazione, “Trova il mio iPhone” e “Luoghi Frequenti” siano attivi, e che il Bluetooth sia abilitato per ricevere le notifiche di tracciamento indesiderato. È altresì necessario abilitare le “Notifiche di tracciamento” nelle impostazioni.

Data la piccola dimensione degli AirTag e la facilità con cui possono essere nascosti, è fondamentale ispezionare regolarmente borse, zaini, veicoli (sotto i sedili, nei vani, dietro le targhe, nei passaruota) e altri effetti personali. Se si riceve un avviso (“AirTag rilevato in movimento con te”), è consigliabile far suonare l’AirTag tramite l’app Dov’è e, se possibile, utilizzare la “Posizione precisa” per individuarlo. Una volta trovato, l’AirTag può essere disabilitato rimuovendo la batteria. È cruciale documentare il numero di serie prima della disabilitazione, poiché Apple può fornire dettagli dell’account abbinato alle forze dell’ordine in risposta a un mandato o richiesta valida.

Apple ha rilasciato un’app per Android, “Tracker Detect”, che consente agli utenti di scansionare manualmente la presenza di AirTag sconosciuti nelle vicinanze. Tuttavia, questa app non fornisce avvisi automatici in background e richiede una scansione manuale, limitandone l’utilità. I dispositivi Android 6.0 e successivi hanno funzionalità integrate per rilevare tracker sconosciuti, inclusi gli AirTag, e possono emettere un suono per localizzarli. Esistono anche app di terze parti per Android, come AirGuard, che possono rilevare la maggior parte dei tracker smart.

Anche i concorrenti di Apple, come Tile, hanno introdotto funzionalità di rilevamento (es. “Scan and Secure” nell’app Tile), sebbene con diverse limitazioni. Mentre Apple ha implementato avvisi automatici per iOS, gli utenti Android sono spesso svantaggiati, dovendo ricorrere a scansioni manuali con app meno efficaci. Questa asimmetria pone un onere significativo sulla vittima, che deve essere proattiva, informata e tecnicamente capace per rilevare un AirTag. La “protezione” diventa una responsabilità dell’utente piuttosto che una caratteristica intrinseca e universale del sistema. Questa situazione evidenzia la necessità di standard industriali più robusti e di soluzioni di rilevamento native e universali che non dipendano dal sistema operativo del dispositivo della vittima.

Per la ricerca di tracker Bluetooth nascosti, specialmente quelli con altoparlante rimosso , gli esperti possono impiegare rilevatori di segnali RF (Radio Frequenza) o “bug detectors”. Questi strumenti possono identificare le emissioni Bluetooth degli AirTag, anche se non emettono suoni. I rilevatori di campo magnetico, come quelli integrati in app come Detectify , possono aiutare a individuare dispositivi elettronici nascosti. I localizzatori GPS professionali sono un’alternativa più robusta agli AirTag per il tracciamento legittimo, ma la loro rilevabilità è una preoccupazione per gli stalker che li usano.

La natura crittografata della rete Dov’è e il fatto che i dati di localizzazione non siano memorizzati sull’AirTag stesso pongono sfide significative all’analisi forense. La randomizzazione degli indirizzi MAC Bluetooth (che cambiano ogni 24 ore) complica l’identificazione del momento esatto in cui un tracker è stato piazzato.

Gli investigatori forensi possono tentare di ottenere dati di localizzazione dagli “Unified Logs” di dispositivi iOS che hanno rilevato l’AirTag. Tuttavia, informazioni utili come posizioni e timestamp sono spesso redatte in questi log, rendendoli meno utili. L’accesso al “Keychain” di un dispositivo iOS e l’uso di strumenti come ArtEx possono consentire la decrittografia di file .record contenenti informazioni sui tracker indesiderati, inclusi indirizzi MAC randomizzati, orari di trigger delle notifiche e dati di localizzazione.

La randomizzazione degli indirizzi MAC Bluetooth e la crittografia end-to-end sono state implementate per la privacy, ma paradossalmente complicano l’analisi forense in caso di abuso. La volatilità dei dati e la mancanza di un log di localizzazione diretto sull’AirTag rendono difficile per gli investigatori ricostruire un percorso di tracciamento completo e identificare il momento esatto in cui il dispositivo è stato piazzato.

La dipendenza da dati presenti sui dispositivi iOS delle vittime (Unified Logs, Keychain) significa che la disponibilità e l’integrità di tali dati sono cruciali per il successo investigativo. Le tecniche di analisi forense per gli AirTag richiedono competenze specialistiche e strumenti avanzati per superare le barriere di privacy integrate. Le forze dell’ordine e i professionisti della digital forensics devono investire in formazione e strumenti specifici per estrarre e interpretare i dati rilevanti, collaborando strettamente con i produttori per ottenere le informazioni necessarie nel rispetto della legge.

Apple ha dichiarato di collaborare attivamente con le forze dell’ordine nelle indagini sui casi di abuso degli AirTag. Ogni AirTag ha un numero di serie unico ed è associato a un Apple ID. Apple può fornire i dettagli dell’account abbinato in risposta a un mandato di comparizione o a una richiesta valida da parte delle forze dell’ordine. Le vittime sono incoraggiate a contattare le autorità locali e fornire l’AirTag trovato o il suo numero di serie come prova.

Considerazioni etiche e raccomandazioni future

L’AirTag, come molte tecnologie innovative, incarna un profondo dilemma etico tra la comodità e l’utilità che offre e il potenziale di invasione della privacy e di abuso. La stessa tecnologia che offre tranquillità ai proprietari di oggetti smarriti può diventare uno strumento di sorveglianza non consensuale nelle mani sbagliate. La raccolta di dati di localizzazione solleva questioni complesse sul consenso informato, specialmente quando i termini e le condizioni d’uso sono lunghi e complessi, spesso ignorati dagli utenti.

Per le popolazioni vulnerabili, come minori e vittime di abusi, i rischi associati al tracciamento sono amplificati. La questione di chi possiede i dati di localizzazione e chi li controlla, anche dopo il consenso iniziale, rimane ambigua, sollevando preoccupazioni sull’uso futuro di tali informazioni. Il dilemma tra utilità e privacy non è solo un problema tecnico o legale, ma un “trade-off” etico che coinvolge produttori, legislatori e utenti.

I produttori hanno la responsabilità di progettare in modo etico (privacy by design), i legislatori di creare un quadro normativo chiaro e applicabile, e gli utenti di essere consapevoli e responsabili nell’uso e nella gestione delle proprie informazioni. L’attuale situazione mostra che questa responsabilità condivisa non è ancora pienamente realizzata, con lacune che gli stalker possono sfruttare.

I produttori di dispositivi IoT e tracker hanno la responsabilità etica di integrare la sicurezza e la privacy fin dalle prime fasi di progettazione. Questo approccio va oltre la semplice conformità normativa e include la previsione di usi impropri. È eticamente imperativo che i produttori forniscano informazioni chiare e comprensibili sulle modalità di raccolta, utilizzo e condivisione dei dati di localizzazione. La risposta di Apple alle preoccupazioni, attraverso aggiornamenti software, avvisi e collaborazione con le forze dell’ordine, è un passo nella giusta direzione, ma la persistenza degli abusi suggerisce che le misure attuali non sono sufficienti per mitigare completamente il rischio.

Per affrontare efficacemente le sfide poste dagli AirTag e da dispositivi simili, sono necessarie diverse azioni future. La collaborazione tra Apple e Google per una specifica di settore per gli avvisi sui tracker sconosciuti è un modello da seguire. La standardizzazione delle funzionalità anti-stalking tra diversi ecosistemi (Apple, Android, Tile, Samsung) è cruciale per una protezione universale, garantendo che nessun utente sia lasciato indietro a causa della piattaforma scelta. Le notifiche dovrebbero essere più chiare, urgenti e difficili da ignorare, con una user experience (UX) guidata per la localizzazione e disattivazione del tracker. La tempestività degli avvisi è fondamentale per ridurre la “finestra di opportunità” per gli stalker.

Gli utenti dovrebbero avere un controllo granulare sui propri dati di localizzazione, con opzioni di opt-out facilmente accessibili e comprensibili. Questo include la capacità di visualizzare e gestire la cronologia di tracciamento e di revocare il consenso in modo semplice. Campagne di sensibilizzazione pubbliche, supportate da istituzioni educative e aziende, sono necessarie per informare gli utenti sui rischi del tracciamento non consensuale e sulle misure di protezione disponibili. La rapidità con cui tecnologie come gli AirTag vengono adottate e poi abusate supera spesso la capacità di legislatori e autorità garanti di rispondere con normative specifiche e tempestive.

Questo crea un divario temporale in cui le minacce evolvono più velocemente delle contromisure etiche e legali. L’etica della progettazione e dell’uso della tecnologia deve diventare più “agile”, anticipando i potenziali abusi e integrando meccanismi di feedback rapidi per adattare le protezioni. Gli esperti di cybersecurity hanno un ruolo cruciale nel colmare questo divario, non solo identificando le vulnerabilità, ma anche partecipando attivamente al dibattito etico e alla formulazione di raccomandazioni politiche. La ricerca proattiva su nuove tecniche di abuso e la proposta di soluzioni innovative sono essenziali per garantire che l’innovazione tecnologica non comprometta i diritti fondamentali alla privacy e alla sicurezza personale.

Conclusioni

Gli AirTag, sebbene progettati per scopi benigni di localizzazione di oggetti smarriti, presentano vulnerabilità intrinseche e limiti nelle loro contromisure anti-stalking che li rendono strumenti efficaci per il tracciamento non consensuale. Tecniche come la rimozione dell’altoparlante, la manipolazione dell’URL NFC e la clonazione del firmware consentono agli attaccanti di eludere le protezioni di Apple, trasformando un semplice localizzatore in una potenziale arma per lo stalking e un vettore per attacchi cyber più ampi. Il quadro normativo italiano, pur fornendo strumenti giuridici applicabili, fatica a coprire specificamente le sfumature del tracciamento digitale non consensuale, evidenziando una zona grigia legale e una disparità nella protezione offerta agli utenti di diverse piattaforme.

La lotta all’abuso delle tecnologie di tracciamento richiede un approccio olistico e multidisciplinare. È imperativo che i produttori adottino un vero approccio privacy and security by design, anticipando gli abusi e implementando contromisure più robuste e universali, che non si limitino a “patch” reattivi. I legislatori devono aggiornare le normative per affrontare le specificità delle minacce digitali emergenti, e le autorità garanti devono fornire linee guida chiare e tempestive.

Infine, gli utenti devono essere educati sui rischi e sulle strategie di auto-protezione, diventando parte attiva della propria sicurezza digitale. Solo attraverso una collaborazione sinergica e proattiva tra tecnologia, legge, etica e consapevolezza pubblica sarà possibile mitigare efficacemente il rischio che dispositivi innovativi diventino armi nelle mani dei molestatori, garantendo che la tecnologia serva al benessere e alla sicurezza degli individui.

Fonti:

Apple. (n.d.). AirTag.

Apple. (2021). AirTag – Tech Specs.

Apple. (2022, February 10). An update on AirTag and unwanted tracking. Apple Newsroom.

Apple Support. (n.d.). Cosa fare se un avviso ti informa che un AirTag, un paio di AirPods, un accessorio nella rete Dov’è o un dispositivo di localizzazione Bluetooth compatibile si muove con te.

CISPA Helmholtz Center for Information Security. (2023). AirTag-Facilitated Stalking Protection: Evaluating Unwanted Tracking Notifications and Tracker Locating Features.

Converge. (n.d.). “AirTag trovato in movimento con te”: come prevenire il tracciamento a nostra insaputa.

Courthouse News. (2024, November 18). Class thinned in Apple AirTag stalker suit.

Developers App India. (2024, June 14). The Ethical Considerations of Location Tracking in Mobile Apps.

Diaz, M. (2025, January 31). How to find out if an AirTag is tracking you and what to do about it. ZDNet.

DSU Digital Forensics. (2023, April 17). Apple AirTags.

Embrace The Red. (2021, June 28). Airtag hacks – scanning via browser, removing speaker and data exfiltration.

Forensic News. (n.d.). GPS e investigazioni: quando è possibile utilizzarlo?.

Garante Privacy. (n.d.). Fitness tracker.

Garante Privacy. (2016, May 18). Trattamento di dati personali effettuato attraverso la localizzazione di dispositivi smartphone – 18 maggio 2016.

GoCodes. (n.d.). Why You Shouldn’t Use AirTags for Commercial Asset Tracking

Google. (n.d.). Avvisi sui Tracker Sconosciuti.

Grazzini, C. (2024, May 29). Gli AirTag della Apple sotto accusa: da trova-oggetti a strumento preferito degli stalker. IRPA.

iPhoneItalia. (n.d.). AirTag violato e riprogrammato: l’hack è possibile

Kaspersky. (n.d.). Stalking con gli AirTag di Apple: come proteggersi.

Kayata, E. (2023, October 23). Apple AirTags Slow to Alert for Stalking, Researchers Say. Northeastern University.

LandAirSea. (2025, June 27). Apple AirTags Security Risks.

Osservatorio Data Protection. (n.d.). Controllo a distanza dei dipendenti: il Garante Privacy torna a sanzionare l’uso improprio dei sistemi di geolocalizzazione

PCMag. (2024, March 18). How to Protect Yourself Against AirTag and Tile Stalking.

Peer ASEE. (n.d.). Apple’s AirTag: A Security Vulnerability Discussion and Guide to Personal Safety.

PETS Symposium. (2023). AirTag-Facilitated Stalking Protection: Evaluating Unwanted Tracking Notifications and Tracker Locating Features.

Reddit. (n.d.). Can you disable the AirTag sound?.

Rivista Studio. (2022, September 5). Gli AirTag Apple sono diventati strumenti ideali per gli stalker.

SafeWise. (n.d.). Apple AirTag Review.

The Binary Hick. (2024, September 2). Where the Wild Tags Are: Other AirTag Stories.

The Truth About Forensic Science. (n.d.). AirTags and Stalking: A Deep Dive into the Forensic Science Behind Apple’s Tracking Device.

https://www.ictsecuritymagazine.com/notizie/airtag-stalking/

Mentre le nostre chat esplodono di sticker e GIF un po’ goffe, i gruppi WhatsApp diventano (detestabili) mini-uffici per chi non riesce a stare lontano dal lavoro nemmeno quando è in vacanza, e i carrelli dell’e-commerce, magari fast fashion, non conoscono stagioni, le infrastrutture italiane – dalle reti di telecomunicazioni ai corrieri – continuano a macinare volumi e gigabyte a ritmo sostenuto. L’Osservatorio AGCOM n. 2/2025, aggiornato a marzo e appena pubblicato, ci consegna la fotografia di un settore che nel 2024 ha messo sul piatto un valore complessivo di 56,19 miliardi di euro, in crescita del 3,5% rispetto all’anno precedente (+1,88 miliardi di euro).

A spingere la performance sono stati soprattutto la rete fissa e il settore postale, mentre la rete mobile ha visto un leggero calo dei ricavi pur con consumi di dati in aumento. Il quadro che ne esce è quello di un’Italia digitale che corre veloce, ma a velocità diverse a seconda del mezzo che utilizza.

La riscossa della rete fissa

Nel 2024 la rete fissa ha vissuto una nuova e intensa fase di espansione. I ricavi hanno raggiunto 17,32 miliardi di euro, con un incremento di ben 1,287 miliardi sul 2023. Il dato è ancora più interessante se si guarda alla composizione tecnologica:

• FTTH (fibra ottica pura): +25,3% in un anno, arrivando a 6,18 milioni di accessi.
• FWA (fibra su rete mista radio): +10%, per un totale di 2,42 milioni di linee.
• FTTC (fibra misto rame): -7,1%, in calo a 9,00 milioni di linee.

Il messaggio è chiaro: la migrazione verso tecnologie full fiber è in pieno corso, mentre le soluzioni ibride, con l’eccezione del FWA, perdono terreno (su SOSTariffe.it è sempre possibile mettere a confronto le più convenienti tra le offerte Internet Casa). Anche sul fronte del traffico dati, i numeri parlano da soli. Nel primo trimestre 2025, il download cumulato ha toccato 14,43 exabyte (+7,3% rispetto allo stesso periodo 2024), mentre l’upload è salito a 1,94 exabyte (+9,7%). Se guardiamo alle medie giornaliere, ogni linea broadband ha trasportato 10,30 GB di dati, in crescita del 9,5%.

Dietro questi numeri c’è una combinazione di fattori: dallo smart working ormai stabilizzato (molte aziende mantengono la formula ibrida, sempre più richiesta anche dai lavoratori che cercano un migliore equilibrio tra lavoro e vita quotidiana) alla crescita del gaming in cloud e del video in alta definizione, passando per applicazioni di realtà aumentata e telemedicina.

Il mobile cambia pelle

Sul fronte della rete mobile, il 2024 ha mostrato un quadro più sfumato. I ricavi sono scesi a 10,69 miliardi di euro, in calo di 379 milioni rispetto al 2023. Nonostante ciò, il numero di SIM “human” (cioè intestate a persone e non a macchine) è cresciuto dello 0,5%, raggiungendo 78,9 milioni di unità su un totale di 109,2 milioni di SIM attive in Italia.

Interessante la trasformazione nella tipologia di contratto: le SIM in abbonamento sono aumentate del 4,8% in un anno, mentre le prepagate hanno perso terreno, con un calo dell’11,5% in quattro anni. Un segnale che i pacchetti “all inclusive” con dati illimitati e servizi aggiuntivi stanno conquistando gli utenti più attivi, anche in virtù delle offerte legate all’acquisto di smartphone 5G.

E a proposito di dati, il mobile continua a bruciare record: nel primo trimestre 2025 si sono registrati 4,22 exabyte di download (+11,3%) e 0,42 exabyte di upload (+30%). Il consumo medio giornaliero per SIM “human” è arrivato a 0,92 GB, con un +11,6% rispetto all’anno precedente. Picchi settimanali di traffico hanno toccato addirittura il +292% rispetto al benchmark del 2020, complice anche la diffusione di app video in live streaming e la crescita del gaming competitivo su rete mobile.

Questi dati, letti insieme, indicano un mercato che non perde utenti ma vede una trasformazione silenziosa: meno ricariche occasionali, più contratti stabili, più consumo pro capite e più servizi verticali (streaming musicale, cloud gaming, IoT domestico).

Posta e pacchi: il boom dell’e-commerce

Soprattutto, non smettiamo più di comprare online, e i corrieri ormai ci trattano da vecchi amici quando arrivano col loro carico di pacchi Amazon, Shein e così via. Il comparto postale è stato uno dei protagonisti della crescita 2024: il settore ha totalizzato 8,59 miliardi di euro di ricavi (+163 milioni rispetto al 2023). La parte del leone l’ha fatta, ancora una volta, il segmento pacco: 6,83 miliardi di euro (+123 milioni).

I servizi di corrispondenza tradizionali, invece, hanno generato 1,76 miliardi di euro, con una crescita più contenuta (+40 milioni). All’interno del segmento postale, i servizi domestici hanno registrato un +3,7% (6,39 miliardi), mentre i transfrontalieri hanno segnato un -2,8% (poco sopra i 2 miliardi).

Il dato strutturale più impressionante è l’evoluzione del mix: oggi i pacchi rappresentano circa il 79% del valore complessivo del settore postale, mentre cinque anni fa questa quota era significativamente più bassa. Una conferma, se mai ce ne fosse bisogno, che la “lettera di carta” è ormai un oggetto da collezione o un vezzo per nostalgici, mentre la logistica è la spina dorsale dell’economia digitale.

Prospettive: dove corrono i bit e i pacchi

Mettendo insieme i pezzi, il quadro è chiaro: la rete fissa si sta trasformando rapidamente verso la fibra pura, con incrementi a due cifre e un calo marcato delle soluzioni miste rame. La rete mobile è stabile sul fronte utenti ma sta cambiando modello di business, con più abbonamenti, più consumo e più specializzazione dei servizi. Il settore postale si sta specializzando sempre più sulla logistica e-commerce, con il pacco come asset centrale.

Cosa aspettarsi per il 2025-2026? AGCOM non fa previsioni dirette, ma i trend suggeriscono tre direzioni probabili (fatte salve le eventualità imprevedibili del commercio internazionale, come ci hanno insegnato in questi mesi le trattative sui dazi):

1. Ulteriore migrazione da FTTC a FTTH, spinta anche dall’onda lunga del PNRR e dalla competizione sui prezzi.
2. 5G e IoT come driver per nuovi ricavi nel mobile, con applicazioni in ambito industriale, sanitario e smart city.
3. Automazione e sostenibilità nel delivery, con robot, droni e flotte elettriche per consegne urbane a basso impatto.

Fonti: https://www.agcom.it/sites/default/files/documenti/osservatorio/AGCOM_Osservatorio%20n.2-2025%20-%2008%2008%202025.pdf

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/fibra-in-fuga-e-pacchi-da-record-il-2024-secondo-lagcom/544129/

Ha fatto scalpore la storia di Michaela Benthaus, l’ingegnera spaziale tedesca paraplegica che sarà la prima astronauta in sedia a rotelle a volare nello spazio. Lo ha annunciato lei stessa su Linkedin, sollevando una pioggia di commenti entusiastici per il suo sogno che diventa realtà.

“Sono davvero entusiasta di condividere che volerò nello spazio su un futuro volo del razzo New Shepard di Blue Origin (Blue Origin ). Pensavo che il mio sogno di andare nello spazio fosse finito per sempre quando ho avuto l’incidente. Ma negli ultimi mesi, ho lavorato con un team straordinario e di supporto per rendere possibile a un utente su sedia a rotelle di prendere parte a un volo suborbitale, qualcosa che non è mai stato fatto prima. Questo sembra un passo importante poiché i viaggi spaziali per le persone con disabilità sono ancora agli inizi. Sono così grata e spero che ispiri un cambiamento di mentalità in tutta l’industria spaziale, creando più opportunità per persone come me. Potrei essere la primo, ma non ho intenzione di essere l’ultima”, scrive la giovane donna, accompagnando il suo annuncio ‘Vado nello spazio!’ con una foto sorridente, che la ritrae davanti alla navicella che la porterà in orbita.

L’incidente in mountain bike

Michaela Benthaus, ingegnere spaziale tedesca, è attualmente una giovane tirocinante presso l’Agenzia Spaziale Europea (ESA). Nel settembre 2018, un incidente in mountain bike le ha cambiato la vita causandole una lesione al midollo spinale, che da allora mi l’ha costretta a usare una sedia a rotelle. Questa sfida non ha fatto altro che rafforzare la sua determinazione e il suo impegno nel campo aerospaziale, scrive la giovane su Linkedin.

Benthaus è impegnata nell’inclusione nelle discipline STEM, in particolare nei settori dell’esplorazione spaziale e dei voli spaziali con equipaggio umano.

AstroAccess, volo parabolico nello spazio

Nel dicembre 2022, ha avuto l’opportunità di partecipare a un volo parabolico in partenza da Houston. Nell’aprile 2024, ha partecipato a una missione analogica di due settimane presso la stazione di ricerca Lunares in Polonia.

Fin da piccola, Michaela Benthaus ha sempre sognato di diventare un’astronauta. Dopo l’incidente, non si è data per vinta e da allora ha sperimentato da studente aerospaziale l’assenza di gravità per la prima volta, con un programma americano che ha l’obiettivo di rendere lo spazio accessibile a tutti.

Benthaus non ha mai rinunciato al suo sogno e continua a perseguirlo ancora oggi. Dopo aver conseguito una laurea triennale in Ingegneria Meccatronica, è stata ammessa al Master in Aerospaziale della TUM (Technische Universitaet Muenchen), specializzandosi in spazio e astrofisica.

E Michaela Benthaus ha avuto l’opportunità, almeno di sperimentare l’assenza di gravità, nel dicembre 2022. Ha fatto domanda per partecipare ad AstroAccess, un’iniziativa statunitense che mira a rendere i viaggi spaziali accessibili alle persone con disabilità. AstroAccess si stava preparando a effettuare il suo secondo volo parabolico. In questa manovra, un velivolo guadagna rapidamente quota prima di lanciarsi in una picchiata altrettanto ripida. Nel punto più alto, nel passaggio dalla salita alla discesa, le persone a bordo sperimentano l’assenza di gravità per 20 secondi.

Settore aerospaziale in fermento

È “come la sensazione di un salto dal trampolino, ma che dura 20 secondi”, dice. Racconta con entusiasmo della sensazione di libertà e soprattutto di potersi muovere di nuovo da sola in assenza di gravità dopo così tanto tempo su una sedia a rotelle.

“In questo momento nel settore aerospaziale stanno succedendo molte cose”. E più stazioni spaziali vengono lanciate in orbita e più aziende aerospaziali private vengono lanciate – ad esempio nel turismo spaziale – maggiori saranno le sue possibilità di continuare a perseguire il suo sogno aprendo così la strada del cielo anche per i disabili.

Space & Underwater, il videoreportage della 1^ edizione della Conferenza internazionale dedicata ai domìni Spazio e Subacqueo, promossa e organizzata dal giornale Cybersecurity Italia.
La 2^ edizione si terrà il 3 dicembre 2025.

[embedded content]

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/il-sogno-di-michaela-benthaus-e-realta-sara-la-prima-astronauta-in-sedia-a-rotelle-nello-spazio/543566/

Nuovo botta e risposta tra Bruxelles e Washington sempre sul digitale, nel mirino DSA e DMA

Cambio di tono a Bruxelles. Il portavoce della Commissione europea per le questioni digitali, Thomas Regnier, ha definito “assurdità” le accuse di censura rivolte dall’amministrazione Trump all’impianto regolatorio dell’Unione europea, in particolare al Digital Services Act (DSA) e al Digital Markets Act (DMA).

Le parole arrivano all’indomani dell’annuncio di un’audizione pubblica della Camera dei Rappresentanti statunitense, fissata per mercoledì 3 settembre 2025, intitolata “Europe’s threat to American speech and innovation”.
La commissione giudiziaria della Camera dei rappresentanti degli Stati Uniti ha invitato anche l’ex commissario europeo per il Mercato interno e gli affari digitali ed ex ministro dell’Economia e delle finanze in Francia, Thierry Breton, a testimoniare

“Non ho commenti sull’audizione pubblica negli Usa”, ha detto Regnier ai giornalisti a Bruxelles, “queste accuse di censura sono assurde. Sono completamente infondate e completamente sbagliate”.
Tutto sommato una vecchia accusa e una fastidiosa pretesa da parte americana.

Breton: “Adesso basta!”

Ex Commissario Breton che ha scritto per Le Figaro un lungo articolo di accusa nei confronti degli Stati Uniti e di critica all’Europa che a suo modo di vedere non sta reagendo come dovrebbe: “Fino a che punto noi, cittadini dell’Unione europea, accetteremo la sottomissione? Sottomissione a chi vuole imporci le sue regole, le sue leggi, i suoi tempi. Sottomissione a coloro che ora pretendono di dettarci i nostri grandi principi democratici e morali, le nostre regole di convivenza, la stessa protezione dei nostri stessi figli, sui social network? Come, e in nome di cosa, accetteremmo di buttare via le nostre leggi sulla regolamentazione digitale (DSA, DMA) votate con lucidità, coraggio e determinazione da una stragrande maggioranza dei nostri parlamentari europei?“.

Breton rimprovera a questa Commissione di aver negoziato male con Washington, di non aver battuto i pugni sul tavolo per ottenere risultati migliore per le sue imprese e i suoi cittadini, sottolineando che questo è ben lungi dall’essere il miglior accordo possibile per l’Europa.

“E se l’Europa dovesse essere “punita” di nuovo perché non ha comprato abbastanza gas dall’America? O perché ha deciso di scegliere di destinare le centinaia di miliardi richiesti al di là dell’Atlantico principalmente all’economia europea e ai suoi posti di lavoro? Si supponeva che fosse necessario accettare l’umiliazione per evitare l’instabilità. Se non ci rimettiamo, avremo sia l’umiliazione che l’instabilità. L’ultimo attacco in picchiata alle nostre leggi digitali sarà sufficiente a convincere?“, si chiede ancora Breton.

“È giunto il momento di alzarsi in piedi. Lasciamo che le forze europee si uniscano e dicano: “CA SUFFIT, ENOUGH IS ENOUGH, ES REICHT, ADESSO BASTA, DOSC TEGO, YA BASTA“. Alzati Europa!”, è infine la conclusione ad effetto del suo articolo. Un appello a cui forse neanche lui crede davvero, vista la situazione generale e l’aria che si respira a Bruxelles e le altre capitali europee.

Numeri alla mano, il DSA limita le rimozioni arbitrarie

Regnier ha rivendicato l’effetto anti-censura del DSA, citando dati su Meta (proprietaria di Facebook e Instagram) e TikTok: nella seconda metà del 2024 gli utenti Ue hanno contestato oltre 16 milioni di decisioni di rimozione dei contenuti prese dalle due piattaforme.

In quasi il 35% dei casi i contenuti sono stati giudicati rimossi ingiustamente e quindi ripristinati. “È grazie al DSA”, ha sottolineato, “che esiste un meccanismo effettivo di ricorso contro le decisioni delle piattaforme”.

L’audizione al Congresso e i testimoni, in lista c’è anche l’ex Commissario Breton

La commissione della Camera che ospiterà l’audizione — nella comunicazione ufficiale presentata come un esame delle “leggi europee sulla censura” — intende passare al setaccio, oltre a DSA e DMA, anche l’Online Safety Act del Regno Unito e il Digital Markets, Competition and Consumers Act britannico, accusandoli di minacciare la libertà di espressione degli americani e di danneggiare l’innovazione e le Big Tech Usa.
In altre parole, il messaggio americano è chiaro: le nostre aziende devono essere libere di muoversi a piacimenti nei vostri Paesi, meno regole e più profitti.

Tra i testimoni annunciati figura Nigel Farage, parlamentare britannico di estrema destra ed ex eurodeputato protagonista della campagna per la Brexit, indicato come “witness” confermato. È stato inoltrato un invito anche a Thierry Breton, ex Commissario Ue che ha contribuito a scrivere il “pacchetto digitale” europeo, ma la sua presenza non è al momento confermata.

Su Breton, Regnier ha ricordato che, in quanto ex Commissario, può partecipare a un’audizione extra-Ue solo con l’autorizzazione della Commissione e nel rispetto dell’obbligo di segreto professionale previsto dai Trattati. La Commissione ha inoltre fatto sapere che l’attuale Commissaria al Digitale, Henna Virkkunen, non è stata invitata.

Sicurezza online e terrorismo: “pensiamo alle cose reali”

Il portavoce ha infine richiamato la necessità di cooperazione transatlantica su dossier concreti: sicurezza dei minori online e contrasto al terrorismo in rete. “Concentriamoci sulle cose reali che accadono nel mondo online”, ha detto Regnier, sollecitando un’agenda condivisa Ue-Usa oltre le polemiche.

A una settimana dall’audizione a Washington, Bruxelles alza il livello della risposta politica. La Commissione respinge come “assurde” le accuse di censura e porta numeri verificabili — >16 milioni di ricorsi e ~35% di rimozioni annullate — a sostegno della tesi che il DSA non zittisce, ma tutela la voce degli utenti europei.

Sullo sfondo, resta totalmente aperta la contesa tra le due sponde dell’Atlantico su più punti strategici: dai mercati ai poteri delle Big Tech fino alla sovranità regolatoria.
E al momento è l’Europa che sembra avere la peggio. Serve un’azione politica più compatta e coesa, anche per aumentare il peso (potenzialmente maggiore) di Bruxelles al tavolo dei negoziati commerciali, che non sono per niente conclusi.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/dsa-e-dma-sotto-attacco-usa-regnier-ue-assurde-le-accuse-di-censura-lex-commissario-breton-chiamato-a-washington/544142/

Nel panorama contemporaneo della cybersecurity, caratterizzato da minacce in costante evoluzione e attacchi sempre più sofisticati, l’approccio noto come “security by obscurity” o “sicurezza tramite oscuramento” rappresenta una metodologia controversa e spesso inefficace. Questo articolo esamina criticamente tale strategia, analizzandone le limitazioni intrinseche, i rischi associati e le alternative più efficaci nel contesto della protezione contro il cybercrime. Attraverso un’analisi approfondita della letteratura scientifica e delle raccomandazioni istituzionali, si dimostra come la security by obscurity non debba mai costituire il pilastro principale di una strategia di cybersecurity.

Security by Obscurity: definizione e rischi nella cybersecurity moderna

La security by obscurity, definita come la pratica di nascondere i dettagli o i meccanismi di un sistema per migliorarne la sicurezza, ha radici storiche profonde nella crittografia militare e civile. Il principio di Kerckhoffs, formulato nel 1883, stabiliva che un sistema crittografico dovrebbe essere sicuro anche se tutto del sistema, eccetto la chiave, è di conoscenza pubblica³. Questo principio fondamentale ha plasmato l’approccio moderno alla cybersecurity, mettendo in discussione l’efficacia dell’oscuramento come strategia primaria di difesa.

Nel contesto odierno del cybercrime, dove il costo globale è stimato a quasi 1 trilione di dollari nel 2020, con un incremento superiore al 50% rispetto al 2018¹, è cruciale comprendere perché la security by obscurity rappresenti un approccio fondamentalmente inadeguato come strategia principale di protezione.

Definizione e caratteristiche della Security by Obscurity

Concetti fondamentali

La security by obscurity è la pratica di nascondere i dettagli o i meccanismi di un sistema per migliorarne la sicurezza, basandosi sul principio di nascondere qualcosa in piena vista, simile ai giochi di prestigio di un mago o all’uso del camuffamento². Questa metodologia diverge dai metodi di sicurezza tradizionali e si concentra sull’offuscare informazioni o caratteristiche per scoraggiare potenziali minacce.

Esempi pratici nel cybercrime

Nel panorama del cybercrime contemporaneo, la security by obscurity si manifesta in diverse forme:

• Nascondere interfacce amministrative: Modificare gli URL di default delle pagine di amministrazione
• Offuscamento del codice: Rendere difficile la lettura del codice sorgente
• Port knocking: Nascondere servizi dietro sequenze di connessioni specifiche
• Mascheramento delle tecnologie: Rimuovere header HTTP che rivelano versioni di software

L’Opposizione istituzionale alla Security by Obscurity

Raccomandazioni del NIST

Il National Institute of Standards and Technology (NIST) degli Stati Uniti raccomanda esplicitamente contro questa pratica: “La sicurezza del sistema non dovrebbe dipendere dalla segretezza dell’implementazione o dei suoi componenti”⁴. Questa posizione istituzionale si basa su evidenze empiriche e ricerche approfondite che dimostrano l’inefficacia dell’oscuramento come strategia primaria.

Common Weakness Enumeration (CWE-656)

Il progetto Common Weakness Enumeration elenca “Reliance on Security Through Obscurity” come CWE-656, definendola come una debolezza che si verifica quando un prodotto utilizza un meccanismo di protezione la cui forza dipende pesantemente dalla sua oscurità⁵. Questa classificazione ufficiale sottolinea come l’affidamento primario sull’oscuramento sia riconosciuto a livello internazionale come una vulnerabilità significativa.

Principi OWASP

L’Open Web Application Security Project (OWASP) stabilisce chiaramente che “la security by obscurity non dovrebbe mai essere utilizzata come unico meccanismo di sicurezza”⁶. Tra i dieci principi fondamentali di sicurezza OWASP, il principio “Avoid security by obscurity” occupa una posizione centrale, enfatizzando l’importanza di controlli di sicurezza solidi indipendenti dall’occultamento.

Analisi critica: perché la Security by Obscurity Fallisce

Vulnerabilità intrinseche

La security by obscurity presenta diverse vulnerabilità fondamentali che la rendono inadeguata come strategia primaria:

1. Falso senso di sicurezza

L’affidamento esclusivo sull’oscurità può portare a un falso senso di sicurezza, poiché una volta che “il gatto è fuori dal sacco”, la sicurezza può essere severamente compromessa⁷. Questa caratteristica rappresenta un rischio sistemico significativo nelle infrastrutture critiche.

2. Facilità di Reverse Engineering

Nel panorama contemporaneo del cybercrime, gli attaccanti dispongono di strumenti sofisticati per il reverse engineering. La pubblicazione di algoritmi crittografici non compromette la sicurezza, poiché è solo questione di tempo prima che un attaccante scopra come funziona il sistema crittografico⁸.

3. Scalabilità limitata

L’oscuramento presenta sfide significative in termini di scalabilità e manutenzione. L’eccessivo tentativo di nascondere tutti i dettagli del sistema può sovraccaricare i team di sicurezza IT, contribuendo al burnout e riducendo l’efficacia⁹.

Evidenze storiche di fallimenti

La storia della cybersecurity è costellata di esempi in cui la security by obscurity ha fallito:

Un gran numero di sistemi crittografici per telecomunicazioni e gestione dei diritti digitali utilizzano la security by obscurity, ma sono stati infine violati, inclusi componenti di GSM, crittografia GMR, crittografia GPRS, numerosi schemi di crittografia RFID e più recentemente Terrestrial Trunked Radio (TETRA)¹⁰.

Il Principio di Kerckhoffs: fondamento teorico dell’opposizione

Origini e formulazione

Auguste Kerckhoffs formulò alla fine del diciannovesimo secolo il principio secondo cui un sistema crittografico dovrebbe essere sicuro anche se tutto del sistema, eccetto la chiave, è di conoscenza pubblica¹¹. Questo principio, noto come Principio di Kerckhoffs, costituisce il fondamento teorico dell’opposizione moderna alla security by obscurity.

Reformulazione di Shannon

Il principio di Kerckhoffs è stato riformulato da Claude Shannon come “Il nemico conosce il sistema”, forma in cui è conosciuto come massima di Shannon¹². Questa reformulazione enfatizza l’importanza di progettare sistemi di sicurezza assumendo che gli attaccanti abbiano accesso completo alle informazioni sul sistema.

Applicazioni moderne

Il principio di Kerckhoffs è applicato in virtualmente tutti gli algoritmi di crittografia contemporanei (DES, AES, ecc.), che sono considerati sicuri e accuratamente studiati, dove la sicurezza del messaggio crittografato dipende esclusivamente dalla sicurezza della chiave di crittografia segreta¹³.

Alternative efficaci: Security by Design e Defense in Depth

Security by Design

La security by design è un approccio che implementa misure di sicurezza fin dalle prime fasi del ciclo di vita dello sviluppo software (SDLC), riconoscendo l’importanza di minimizzare i rischi basati su software nell’ambito dell’open source enterprise¹⁴.

Principi fondamentali

La security by design si basa su principi consolidati:

1. Principio del Privilegio Minimo: I sistemi e i processi dovrebbero essere progettati in modo che l’accesso e i permessi siano limitati, con ruoli che devono essere rivisti, concordati e regolarmente verificati dal personale aziendale¹⁵
2. Defense in Depth: Costruire difese in più livelli che si supportino a vicenda, costringendo gli attaccanti a sconfiggere livelli indipendenti, evitando così singoli punti di fallimento¹⁶
3. Fail Secure: Progettare sistemi che falliscano in modalità sicura quando si verificano errori

Implementazione pratica

La security by design significa impostare sistemi che comunicheranno quando la sicurezza designata fallisce, utilizzando principi come la separazione fisica degli accessi e la riduzione della superficie di attacco¹⁷.

Framework di riferimento per professionisti della cybersecurity

NIST Cybersecurity Framework 2.0

Il NIST Cybersecurity Framework fornisce una guida completa e best practice che le organizzazioni del settore privato possono seguire per migliorare la sicurezza delle informazioni e la gestione del rischio di cybersecurity¹⁸. Il framework è strutturato intorno a cinque funzioni principali:

1. Identify (Identificare)
2. Protect (Proteggere)
3. Detect (Rilevare)
4. Respond (Rispondere)
5. Recover (Recuperare)

Implementazione strategica

Il NIST CSF non è una checklist che le organizzazioni possono utilizzare per “risolvere” i rischi di cybersecurity, ma definisce un insieme di risultati che il programma di cybersecurity dovrebbe essere in grado di raggiungere¹⁹.

Ruolo limitato ma legittimo dell’oscuramento

Difesa in profondità

Nonostante le criticità evidenziate, è importante riconoscere che l’oscuramento può avere un ruolo limitato all’interno di una strategia di difesa stratificata. Il framework di cyber resilienza NIST 800-160 Volume 2 raccomanda l’uso della security by obscurity come parte complementare di un ambiente informatico resiliente e sicuro²⁰.

Condizioni per l’uso appropriato

L’oscuramento può essere appropriato quando:

1. Non costituisce la difesa primaria: Deve essere sempre un livello aggiuntivo, mai principale
2. È trasparente ai processi operativi: Non deve interferire con le operazioni normali
3. È combinato con controlli robusti: Deve supportare, non sostituire, misure di sicurezza solide

L’oscurità può essere una piccola parte della defense in depth, poiché può creare più lavoro per un attaccante; tuttavia, rappresenta un rischio significativo se utilizzata come mezzo primario di protezione²¹.

Raccomandazioni per i professionisti della cybersecurity

Strategie di implementazione

1. Prioritizzazione delle Difese: Implementare prima i livelli di sicurezza più efficaci: aggiornamenti, password forti, autenticazione a due fattori, SSL e limitazione dei tentativi di login²²
2. Threat Modeling Integrato: Il threat modeling dovrebbe essere integrato nelle sessioni di perfezionamento, cercando cambiamenti nei flussi di dati e nel controllo degli accessi o altri controlli di sicurezza²³
3. Monitoraggio Continuo: Implementare sistemi di monitoraggio che non dipendano dall’oscuramento per la loro efficacia

Metriche e valutazione

I professionisti dovrebbero implementare metriche che valutino l’efficacia della sicurezza indipendentemente dall’oscuramento:

• Tempo di rilevamento delle intrusioni
• Efficacia dei controlli di accesso
• Robustezza della crittografia
• Resilienza agli attacchi automatizzati

Implicazioni per la gestione del rischio cyber

Quantificazione del rischio

Con il costo medio delle richieste di risarcimento per assicurazioni cyber aumentato da 145.000 USD nel 2019 a 359.000 USD nel 2020, c’è una crescente necessità di migliori fonti di informazioni cyber, database standardizzati, reporting obbligatorio e consapevolezza pubblica²⁴.

Impatto sui modelli di business

L’adozione di strategie di sicurezza basate principalmente sull’oscuramento può avere impatti significativi sui modelli di business:

1. Responsabilità Legale: Maggiore esposizione a responsabilità in caso di violazione
2. Compliance: Difficoltà nel soddisfare requisiti normativi che richiedono trasparenza
3. Assicurabilità: Problemi nell’ottenere copertura assicurativa cyber adeguata

Tendenze emergenti e ricerca futura

Moving Target Defense

Negli anni recenti, versioni più avanzate di “security through obscurity” hanno guadagnato supporto come metodologia nella cybersecurity attraverso Moving Target Defense e cyber deception²⁵. Questi approcci rappresentano evoluzioni più sofisticate che mantengono alcuni elementi di oscuramento ma li integrano in framework di sicurezza più robusti.

Artificial Intelligence e Machine Learning

Con l’evoluzione sempre più complessa dei cybercrime, è imperativo che le misure di cybersecurity diventino più robuste e sofisticate, utilizzando tecniche di Artificial Intelligence (AI) come il Machine Learning per monitorare ambienti di rete e combattere attivamente le minacce cyber²⁶.

Conclusioni e raccomandazioni finali

L’analisi condotta dimostra inequivocabilmente che la security by obscurity non deve mai costituire la strategia principale di protezione contro il cybercrime. Le evidenze scientifiche, le raccomandazioni istituzionali e i casi storici convergono nel sottolineare i rischi intrinseci di questo approccio.

Raccomandazioni chiave

1. Adozione di Security by Design: Implementare principi di sicurezza fin dalla fase di progettazione
2. Implementazione di Defense in Depth: Creare sistemi di sicurezza stratificati e ridondanti
3. Conformità ai Framework Standard: Adottare framework riconosciuti come NIST CSF 2.0
4. Uso Limitato dell’Oscuramento: Utilizzare l’oscuramento solo come livello aggiuntivo, mai primario
5. Formazione Continua: Investire nella formazione del personale sui principi di sicurezza moderni

Riflessioni finali

Nel panorama in evoluzione del cybercrime, dove il cybercrime in tutte le sue forme rappresenta ora tra il 40 e il 50% di tutti i crimini nelle società industrializzate²⁷, è cruciale che i professionisti della cybersecurity adottino approcci basati su evidenze scientifiche e best practice riconosciute.

La sicurezza efficace non può essere costruita su fondamenta di segretezza, ma deve basarsi su principi robusti, implementazioni trasparenti e difese stratificate. Solo attraverso questo approccio metodico e scientificamente fondato sarà possibile affrontare efficacemente le sfide crescenti del cybercrime contemporaneo.

L’abbandono della security by obscurity come strategia primaria non rappresenta una perdita, ma un’evoluzione verso approcci più maturi e efficaci che caratterizzano la cybersecurity moderna. I professionisti del settore sono chiamati a guidare questa transizione, implementando strategie di sicurezza che resistano non solo agli attacchi di oggi, ma anche a quelli di domani.

Fonti

PMC – Cyber risk and cybersecurity: a systematic review of data availability

Wikipedia – Security through obscurity

Kerckhoffs’s Principle – Crypto-IT

NIST Security recommendations

Common Weakness Enumeration CWE-656

OWASP Security Design Principles

PacketLabs – The Security Through Obscurity Debate

Cryptography Stack Exchange – Kerckhoffs’ principles

PacketLabs – Security team challenges

Wikipedia – Historical failures of obscurity-based systems

Crypto-IT – Kerckhoffs principle origins

Shannon’s reformulation of Kerckhoffs principle

Modern cryptographic applications

Red Hat – Security by Design

Red Hat – Principle of Least Privilege

Red Hat – Defense in Depth

Security by Design implementation

IBM – NIST Cybersecurity Framework

NIST CSF strategic implementation

NIST 800-160 Volume 2

Defense in depth with limited obscurity

Solid Help Center – Security prioritization

Red Hat – Threat modeling integration

Geneva Papers – Cyber insurance trends

Moving Target Defense evolution

AI in Cybersecurity – comprehensive review

Journal of Crime and Justice – Cybercrime statistics

https://www.ictsecuritymagazine.com/articoli/security-by-obscurity/

Jumio has released its 2025 Online Identity Study, exploring consumer attitudes and awareness surrounding online identity, fraud risks and consumer data protection. The report found that compared to a year ago, AI-driven fraud has become a more prominent threat to personal security than more traditional identity theft methods, with 69% of consumers saying so. AI-powered scams are also more challenging to detect than they were a year ago.

Consumers worry daily about falling victim to AI fraud, with 76% worrying about false documents or digital IDs being created through AI and 75% worrying about AI-created scam messages deceiving targets into giving away money or sensitive information. 54% of consumers are confident in their ability to detect a deepfake video, with 41% reporting they are not confident. 5% are unaware of what a deepfake video is. 

The report also found that students are pushing for greater digital trust standards. Key findings include: 

• 40% believe the responsibility of mitigating AI-driven fraud belongs to government agencies. 38% believe it should go to big tech. 
• 38% would feel more secure using biometrics rather than just passwords to protect online accounts. 
• 42% would have more trust in their banking institution if it leveraged biometrics for identity verification. 

https://www.securitymagazine.com/articles/101871-69-of-consumers-believe-ai-fraud-is-the-biggest-identity-threat