Regalare ai propri figli giocattoli collegati a Internet potrebbe non essere un’idea brillante. Secondo l’FBI i rischi connessi all’utilizzo di giochi che includono funzionalità che prevedono la connessione alla Rete (cosiddetti IoT Toys ) potrebbe mettere a repentaglio la sicurezza dei minori . “Questi giocattoli tipicamente contengono sensori, microfoni, fotocamere, componenti di archiviazione dati e altre funzionalità multimediali, tra cui riconoscimento vocale e opzioni GPS. Queste caratteristiche potrebbero mettere a rischio la privacy e la sicurezza dei bambini a causa della grande quantità di informazioni personali che potrebbero essere divulgate involontariamente”- si legge su una nota dell’IC3 ( Internet Crime Complaint Center , una divisione dell’FBI).
I dati acquisiti per mezzo dei giocattoli tecnologici, comprendono anche dati sensibili dei minori. Spesso l’autorizzazione alla raccolta e trattamento viene fornita attraverso una banale autorizzazione data spesso in maniera distratta (i termini di condizione e uso sono a volte poco chiari e lunghi da leggere). Quel che è peggio è che potrebbe essere prevista anche la cessione degli stessi a soggetti terzi , come le aziende che si occupano del software di riconoscimento vocale incorporato nei giocattoli. Basti pensare che il microfono di cui sono dotati questi giocattoli può registrare tutte le conversazioni che avvengono nell’ambiente casalingo, come il nome del bambino, i propri gusti, la scuola frequentata e via dicendo, che possono essere facilmente integrati ad altri dati forniti in fase di registrazione, come data di nascita, foto profilo, indirizzo di casa. Il GPS si occupa poi di tracciare costantemente la posizione del bambino in tempo reale, minando ancora una volta la sua sicurezza.
Il problema, al di là della cessione dei dati quasi involontaria o comunque non correttamente informata, è rappresentata soprattutto dall’ insicurezza della trasmissione dei dati , favorendo quindi l’opportunità a malintenzionati di carpirli e utilizzarli in maniera malevola. La crittazione e i certificati digitali di tutti i dati trasmessi attraverso WiFi o Bluetooth non sarebbero sufficientemente sicuri, fa sapere l’FBI, che sottolinea: “La crittazione della comunicazioni tra giocattolo, access-point WiFi, server Internet che immagazzinano dati o interagiscono con il giocattolo è cruciale per mitigare il rischio di penetrazione di hacker o intercettazioni su conversazioni e messaggi”.
I giocattoli connessi via Bluetooth che non dispongono di requisiti di autenticazione (ad esempio PIN o password) durante il pairing con i dispositivi mobili potrebbero costituire un rischio per l’accesso non autorizzato al giocattolo e consentire la comunicazione tra un utente sconosciuto e il proprio figlio. “Potrebbe anche essere possibile per gli utenti non autorizzati accedere in remoto al giocattolo se le misure di sicurezza utilizzate per queste connessioni non sono sufficienti o se il dispositivo è compromesso” – aggiunge l’FBI. Tutto ciò nonostante la legge statunitense preveda una serie di obblighi da poco aggiornati dalla Federal Trade Commission come specifici requisiti per siti Internet e dispositivi rivolti a minori di 13 anni ( The Children’s Online Protection Act è il codice di leggi specifico in materia) così come per app, servizi online basati sulla localizzazione e il Voice-over IP.
A difesa dei minori e della loro sicurezza, l’FBI ha fornito una serie di accorgimenti da seguire per comprendere se il giocattolo sia o meno sicuro, dall’utilizzo di sole reti WiFi protette all’uso di PIN o password durante il pairing Bluetooth, dall’utilizzo di crittazione dei dati al rilascio di patch e aggiornamenti. Prima di regalare uno smart toy è bene leggere le condizioni d’uso che devono prevedere che le aziende diano informazione circa eventuali cyber-attacchi, notifiche in caso di scoperte di vulnerabilità, la dichiarazione di dove vengono immagazzinati i dati e chi vi ha accesso. Per i genitori è bene garantire la privacy dei propri figli spegnendo il giocattolo quando inutilizzato, impostando password sicure al momento della creazione degli account, evitando di fornire troppi dati se non necessario.
I casi di incidenti con smart toys negli ultimi anni sono stati diversi: My Friend Cayla insignito del premio come miglior giocattolo del 2014 in Norvegia e Svezia, è stato criticato per non prevedere l’inserimento di un PIN durante il pairing con dispositivi Bluetooth, permettendo a chiunque effettuare un’intromissione (tra l’altro anche l’informativa sul trattamento dei dati sarebbe risultata lacunosa). Per questo motivo ne è stata sospesa la vendita in Germania. Non meglio è andata per Hello Barbie , anch’essa circa un anno prima aveva messo a repentaglio la privacy dei minori con lacune simili di cui era affetto anche il robottino BB-8 di Star Wars . Ancor peggio va con CloudPets , simpatici peluche in grado di registrare le voci dei bambini e gestire numerosi altri dati raccolti condividendoli su un database pubblico chiamato MongoDB senza alcun tipo di protezione, alla mercé di chiunque, come dimostrato dal sito Troy Hunt .
Fisher Price ha dovuto ammettere poco più che un anno fa che un suo orsacchiotto rivolto ai più piccoli era affetto da gravi vulnerabilità che avrebbero permesso agli hacker di violare gli account associati all’utilizzo di un’app permettendo di rubare l’identità degli utilizzatori: “Abbiamo recentemente appreso di una vulnerabilità di sicurezza con il nostro Fisher-Price WiFi-linked Bear Toy. Abbiamo risolto la situazione e non abbiamo ragione di credere che le informazioni del cliente siano state violate da persone non autorizzate. Mattel e Fisher-Price prendono seriamente il tema della sicurezza dei consumatori e dei loro dati personali, per questo motivo agiamo rapidamente per risolvere le possibili vulnerabilità come questa”.
Fortunatamente manca all’appello un caso di vera violazione che veda come vittima i minori, quindi al momento si parla di rischio potenziale . Ma visto che di mezzo c’è la sicurezza dei più piccoli varrebbe la pena mostrare maggiore sensibilità.
Mirko Zago