Elettrodomestici intelligenti in ufficio, attenzione alla privacy
La presenza di elettrodomestici che sfruttano l’intelligenza artificiale (IoT) in ambito domestico, è un tema già analizzato in passato, per quanto le varie implicazioni siano ancora da esplorare in modo completo e la costante innovazione tecnologica porti sempre nuove sfide. In questo articolo si vogliono approfondire le implicazioni dell’uso di tali elettrodomestici in ambito aziendale, “l’ufficio intelligente”, escludendo in ogni caso i dispositivi normalmente presenti, come, ad esempio, le multifunzione, le webcam ed i cellulari.
(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione 'Il sistema di gestione della privacy e le attività di audit')
L'ufficio intelligente promette una migliore produttività e una migliore collaborazione tra persone e dispositivi, in un ambiente basato sull'IoT. Il rischio sulla tutela della privacy in tale ambito, è che vengano acquisiti dati personali circa le abitudini di consumo dei dipendenti, ma anche di chi frequenta tali ambienti (ad esempio i clienti) e che vengano acquisiti altri dati, come, ad esempio, quelli riguardanti il know how aziendale. Il tema è già stato anticipato affrontando la problematica degli assistenti vocali.
Gli elettrodomestici intelligenti in ufficio - I dispostivi dotati di intelligenza artificiale si connettono ad internet e comunicano attraverso soluzioni come: Wi-Fi, Bluetooth, servizi cloud, App, o una connessione proprietaria.
Affinché le apparecchiature siano controllabili con un dispositivo compatibile, esse devono essere assimilabili ad una periferica di rete, e quindi dotate di un indirizzo IP locale.
Gli elettrodomestici intelligenti comunemente utilizzati in ambito aziendale possono essere i più svariati: frigoriferi, robot aspirapolvere, impianti di illuminazione, rilevatori di fumo, contatti per porte/finestre, antifurti, serrature elettroniche, telecamere, porte antincendio, lettori di badge, etichettatrici, sistemi di trattamento dell’aria, dispenser, distributori automatici (di alimentari, DPI), ecc.
Tutti i dispositivi di questo tipo hanno la necessità, per poter fornire le prestazioni richieste, di raccogliere metadati, come l’ora e la data di accensione, i parametri settati, la durata di utilizzo, ecc.
Il caso dei robot aspirapolvere - Alcuni dispositivi, come ad esempio i frigoriferi, possono “spiare” le conversazioni, ed eventualmente gli ambienti, limitatamente ad una visuale ridotta e di norma poco interessante, com’è in effetti il locale destinato a dispensa; in ogni caso la presenza di una telecamera non è giustificabile con la funzione svolta. Altri dispositivi, come i robot aspirapolvere di nuova generazione, sono dotati di molti sensori, tra cui telecamere e sistemi di ricezione dei suoni (che servono per ricevere comandi vocali). A tali elettrodomestici è stata dedicata diversa letteratura anche di recente, ma in modo quasi esclusivamente limitato all’ambiente casalingo.
I robot aspirapolvere sono sempre più diffusi anche in ambienti lavorativi, dove sono utilizzati, anche con frequenza quotidiana, per eliminare le microparticelle che si formano negli uffici (a causa di materiali per la costruzione, arredi, dispositivi, condizionatori e prodotti impiegati per la pulizia), e che innalzano il livello di inquinamento in ambienti nei quali, di norma, non vi è ricambio d’aria.
Grazie a questi strumenti diventa più facile mantenere costantemente puliti, confortevoli ed in ordine i vari ambienti di lavoro, i quali, se disordinati, possono avere un impatto sulla produttività e lasciare un'impressione negativa anche ai clienti. L’uso di tali apparecchi presenta anche altri vantaggi:
- un ridotto impatto ambientale;
- la possibilità di rimuovere immediatamente liquidi o polveri a seguito di sversamenti accidentali
- la possibilità di programmare il dispositivo (che potrebbe anche imparare autonomamente), per eseguire sessioni di pulizia in orari e giorni specifici;
- la possibilità raggiungere posizioni difficilmente accessibili con mezzi tradizionali, o evitare zone che gli sono inibite.
I robot aspirapolvere, nelle versioni più evolute:
- dispongono di sensori a ultrasuoni, infrarossi e laser, e di telecamere, per potersi orientare al meglio, navigare in modo mirato, prevenire danneggiamenti e riconoscere ostacoli o la presenza di liquidi/polveri;
- creano mappe più o meno dettagliate degli ambienti in cui operano; fanno ricorso all’intelligenza artificiale per ottimizzare e pianificare il percorso dell’area di copertura, tenendo conto di alcuni fattori, come il numero di giri e la lunghezza della traiettoria (PPCR Path Planning of Cleaner Robot);
- si possono connettere ad internet, tramite un’App, per essere configurati e/o ricevere comandi, o, per esempio, attivarsi solo quando il personale esce dall’ufficio;
- possono fungere anche da telecamera di sicurezza, permettendo di controllare in streaming gli ambienti e rilevare la presenza di intrusi o perdite.
I robot aspirapolvere, come le lampadine ed altri dispositivi, tengono sotto controllo anche le condizioni delle parti soggette ad usura che devono essere sostituite regolarmente (filtri, spazzole, ecc.) e, dopo un certo numero di cicli, informano l’utente di provvedere alla sostituzione. Si tratta di una funzionalità utile per mantenere le prestazioni del dispositivo, e il robot potrebbe incaricarsi, in modo autonomo, di ordinare un ricambio direttamente a un negozio online, esattamente come un frigorifero intelligente potrebbe ordinare prodotti alimentari e bevande.
Connettendosi, hanno però anche la possibilità di trasmettere la mappatura degli uffici così come possono riprodurre video ed immagini; tali funzionalità possono essere necessarie per ottimizzare l’offerta dei servizi. In altri termini, i robot aspirapolvere, dotati di sensori meccanici, sensori ottici e software avanzato, appartengono alla stessa categoria dei videocitofoni e delle webcam, che raccolgono dati personali e ambientali per servire al meglio l'utente.
Anche le lampadine intelligenti, utilizzate per controllare i consumi in tutti gli ambienti e per modificare i parametri dell’impianto di illuminazione (colore, dimmerabilità, intensità e temperatura della luce, in base alle necessità e preferenze dei lavoratori e/o dell’ambiente nel quale vengono svolti alcuni processi, ad esempio il controllo di parametri di colore), possono essere potenziali “agenti di spionaggio”.
Il tema è molto dibattuto, si cita, tra gli studi più recenti quello dell’Università del Maryland “Spying with Your Robot Vacuum Cleaner: Eavesdropping via Lidar Sensors” del novembre 2020.
Come valutare la sicurezza e la protezione dei dati - Per controllare il “comportamento” dei dispositivi, laddove è previsto che si connettano ad internet per ampliare la gamma di servizi offerti, si possono acquistare modelli che adottano le misure, elencate ammesso che siano rese disponibili dal produttore:
- adeguata complessità delle password, oppure autenticazione a due fattori;
- crittografia dei dati di utilizzo e delle credenziali dell'utente, sia per le comunicazioni interne che verso l’esterno;
- rilascio regolare, e comunicato, di aggiornamenti SW e firmware per correggere le vulnerabilità circa la sicurezza, comunicazione all’utente quando vengono rilasciati nuovi aggiornamenti;
- attivazione delle notifiche e-mail quando un utente accede da un nuovo dispositivo o indirizzo IP;
- la limitazione del numero di diritti utente richiesti dall’App sullo smartphone dell’utente, valutarne la reale necessità e l’eventuale condivisione con altre piattaforme, social network, ecc;
- la compatibilità con gli assistenti vocali e quindi anche la possibilità di comunicare utilizzando i comandi vocali.
Bisogna anche riflettere che se il dispositivo è controllato da una app centrale, in grado di controllare tutti o parte dei dispositivi IoT presenti nell’ambiente di lavoro collegati, ciò significa che un malintenzionato potrebbe non solo ottenere l'accesso al dispositivo, ma anche ai componenti intelligenti più critici dell’ambiente di lavoro.
Infine, dovrebbero essere consultati i documenti resi disponibili dal produttore, come:
- politiche sulla privacy;
- informative per comprendere come il produttore raccoglie, accede e utilizza i dati, inclusa l’eventuale comunicazione a terzi (anche extra UE); nel caso in cui il produttore avesse sedi anche in Paesi extra UE, controllare se garantisce ovunque le misure di protezione previste dal GDPR;
- diritti di utilizzo dei dati, diritti che il produttore si auto-concede per dati che potrebbero non essere necessari per l'uso previsto del dispositivo (ad esempio: informazioni demografiche e sullo stile di vita, età, data di nascita, sesso, stipendio o altro reddito, tempo libero e interessi personali, numero di bambini e di animali domestici, informazioni di vario tipo sull’ambiente in cui opera il dispositivo);
- accessibilità delle informazioni raccolte, limitata al solo al produttore, oppure estesa ad altre aziende di un gruppo di cui il produttore facesse parte;
- termini di servizio, compresi quelli di assistenza e ricambistica;
- disponibilità di certificati/dichiarazioni da parte di terzi, come richiesto dall’art. 42 “Certificazione” del Regolamento UE 2016/679 (GDPR)
L’eventuale mancanza delle misure e dei documenti/informazioni elencati, non deporrebbe a favore della trasparenza del produttore, e tale situazione dovrebbe influire sulla scelta, al momento dell’acquisto.
Vanno pertanto privilegiati i prodotti di origine europea, obbligatoriamente sottoposti al GDPR e quelli che garantiscono la raccolta dei dati in forma anonima e limitata all’ottimizzazione delle prestazioni del prodotto.
Conclusioni - Ovviamente i dispositivi che non dispongono di connettività non presentano alcun problema relativamente alla protezione dei dati, però non offrono servizi innovativi, comodi, o che permettano di aumentare l’efficienza aziendale; tali servizi possono essere resi disponibili solo sfruttando le potenzialità dell’IoT.
Il problema è evidenziato dal fatto che l’acquisto di tali elettrodomestici, viene spesso svolto da personale che non dispone di competenze sufficienti per valutare le implicazioni delle scelte effettuate, dato che tali dispositivi non impattano sul core business aziendale. Considerazioni analoghe dovrebbero essere effettuate nel caso degli autorizzati che, operando in smart working, sono soggetti, nei propri ambienti domestici, alle medesime vulnerabilità.