Droni: “quarta dimensione” della security perimetrale

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, Chief Security Officer e Data Protection Officer, Giovanni Villarosa è ache Vice Presidente di SECURTEC (Associazione culturale, composta da security manager certificati, che si occupa di tematiche legate al mondo - logica e fisica - per la protezione di infrastrutture complesse e critiche).

In questo numero affronteremo, per concludere l’argomento della sicurezza perimetrale nel suo insieme (antintrusione, accessi, videosorveglianza), una piccola panoramica sulla futuristica “quarta dimensione” sperimentata, attualmente, come supplemento tecnologico ai classici sistemi perimetrali: parliamo del complesso e sofisticato mondo dei sistemi SAPR (sistemi di aeromobili a pilotaggio remoto), comunemente conosciuti con il sostantivo Drone.

Da tempo nel mondo della sicurezza attiva è sorta l’esigenza di un quarto ambito applicativo nella “security perimetrale”: una sicurezza (tanto pubblica quanto privata) molto più “interattiva”, complementare a quella tradizionale (TVCC e antintrusione), che dia maggior spazio ai cd droni intelligenti, in grado di interagire nell’era IoT (Internet of Things) con tutti gli altri dispositivi appartenenti a sistemi diversi e collaterali. Alcuni produttori hanno già progettato, realizzato (preserie) e sperimentato soddisfacenti evoluti modelli di SAPR in grado di monitorare esternamente il perimetro della proprietà; oggi si è arrivati a pensarli come l’ulteriore soluzione impiegabile in ambienti chiusi, sviluppando sistemi che permetteranno ai droni di volare in ambienti interni, rilevando persone, attività criminogene oppure insolite, utilizzando specifiche piattaforme hardware e software appositamente sviluppate per questo particolare ambito di operazioni in automatico. Interfacciandosi con tutta la sensoristica di sicurezza presente al di fuori o all’interno dei perimetri protetti, i SAPR evoluti potranno sincronizzarsi con essa operando in maniera congiunta. Il collegamento campo-utente avverrà attraverso tutta una serie di device (smartphone, tablet, pc, etc) collegati in maniera sicura, crittata, tramite i quali sarà possibile visualizzare in streaming quello che accade internamente alle aree protette o lungo i perimetri esterni. In caso di allarme, il drone effettuerà un sopralluogo in maniera automatica, sfruttando le capacità dell’intelligenza artificiale.

OGGI E DOMANI

Nella situazione attuale, ad oggi sul mercato sono presenti sistemi che vengono costantemente utilizzati nell’ambito della sicurezza privata. Va sempre ricordato ai professionisti, che tali sistemi di ripresa e di verifica remota, applicati alla security, rappresentano sistemi “aerei” telecomandati, generalmente di piccole dimensioni, ma che sotto il profilo giuridico sono assimilati ad aeromodelli. Nello scenario futuro disegnato dall’authority europea, verrà finalmente messo ordine tra aeromodelli e SAPR: finora, con il regolamento ENAC, gli aeromodelli erano i droni utilizzati per scopi ludico, mentre SAPR erano i droni operati per qualunque altra funzione/operazione di tipo professionale (sicurezza pubblica e privata). Con il nuovo regolamento europeo, dal 2018 aeromodelli e droni saranno classificati univocamente sotto la sigla UA: Unmanned Aircraft. Questi sistemi saranno dunque sempre più dotati, in ambito sicurezza, di tecnologie video altamente performanti, che avranno come diretta conseguenza un invasivo impatto sulla sfera della privacy personale: è perciò obbligatorio considerare questa problematica quando si operano tali sistemi nella security privata con impatto pubblico. Le riprese possono infatti essere effettuate all’insaputa degli interessati, non sempre è possibile identificare chi pilota il drone, le immagini possono essere hackerate, sottratte e pubblicate sul web, e ciò rende ancor più spinosa (con rilievo penale e civile) la questione della protezione e del trattamento dei dati personali, dal momento che le immagini video sono dati personali.

DRONI E PRIVACY

In Italia l’impatto di settore, e il rapporto conflittuale che si genera tra privacy e droni, è stato oggetto di dibattito e regolamentazione. Il Garante Soro, durante la riunione del WP art.29 in argomento, affermava: la sola ampiezza delle applicazioni oggi note, dalla ricognizione di aree impervie alle riprese di eventi o manifestazioni, dal monitoraggio di aree urbane alla verifica di impianti e strutture complesse fino agli usi amatoriali o ricreativi, dà bene l’idea di quali possono essere i potenziali rischi per la privacy delle persone. Il Garante solleva un condivisibile e pesante interrogativo: l’etica. Non a caso l’ENAC (Ente Nazionale Aviazione Civile), con un regolamento di settore (redatto con la collaborazione del Garante) emanato nella 1^ ed. del 16 dicembre 2013, modificato poi nella 2^ ed. del 16 luglio 2015, disciplinava l’uso di questi dispositivi a livello operativo, e nell’impatto generato soprattutto nel perimetro privacy. Nell’art 34 del regolamento ENAC è previsto che, nel caso in cui le operazioni svolte attraverso un sistema drone possano comportare un trattamento di dati personali, tale circostanza debba essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione e il trattamento dei dati personali debba essere effettuato in ogni caso nel rispetto del D.Lgs 196/2003. Difatti il sorvolo su assembramenti umani, aree affollate, manifestazioni presenta un forte impatto privacy, e secondo l’ente aeronautico si identifica come un’operazione critica che comporta una serie di adempimenti e attestazioni specifici a presidio del volo, della sicurezza e della serietà dell’operatore. Peraltro, la diversità di attori (produttori, committenti, piloti droni) che utilizzano questi sistemi costituisce un fattore di rischio per la sicurezza dei dati personali, e di incertezza per gli operatori stessi. Il regolamento prescrive infatti a riguardo: il profilo della protezione dei dati personali e della privacy deve essere previsto nei contratti e accordi fra operatori dei SAPR e i committenti. Da queste prescrizioni emerge chiaramente come sia necessario definire un corretto equilibrio tra le necessità della sicurezza da un lato, e il diritto alla protezione dei dati personali e della privacy dall’altro. Le aziende produttrici dovranno applicare sempre, ai loro prodotti, l’inviolabile principio di privacy by default; ai titolari e responsabili spetterà l’obbligo delle finalità e le modalità del trattamento dei dati, individuando gli incaricati che accederanno ai dati e alle immagini, quali policy attuare per la conservazione delle immagini, quali le misure di sistema a protezione dei dati stessi (by design). E’ lo stesso Garante a richiamare l’attenzione su tali problematiche legate al trattamento dei dati su base giuridica, informativa e sulla titolarità del trattamento, perché tali sistemi effettuano, attraverso tecnologie sempre più spinte (microfoni, sensori Full HD, jammers, intercettazioni wireless, etc, elettroniche con cui tali mezzi possono essere equipaggiati), rilevazioni, captazioni, cattura di immagini - tutte operazioni fortemente invasive.

DATA PRIVACY IMPACT ASSESSMENT

Un altro adempimento da tenere nella massima considerazione è il principio della Data Privacy Impact Assessment (DPIA). Altro esempio: con i sistemi SAPR come si soddisfa l’onere dell’attività informativa prevista dall’art. 13 del Codice, per tutelare la persona sottoposta ad attività di videosorveglianza, impropriamente esercitata con il mezzo mobile? Deve avvenire con gli stessi criteri tecnico-normativi applicabili ai sistemi di videosorveglianza di tipo fisso, o è permessa un’area più ampia? Chi è il titolare del trattamento dei dati? L’adozione delle misure di sicurezza si è dimostrata, ad oggi, una congenita carenza che molti droni hanno già di default, per un semplice quanto pericoloso stratagemma tecnico: per alleggerire il peso dei SAPR i costruttori muniscono i sistemi di una leggerissima card tipo SD, evitando la dotazione dell’apparato radio, più pesante, per la trasmissione in remoto delle immagini. Risulta evidente come le misure minime di sicurezza (all. B del Codice) in fatto di protezione del dato vengano di fatto azzerate: cosa accadrebbe se il drone fosse perso? Dove e in quale mani finirebbero i dati personali? Dilemma professionale da non sottovalutare, anche perché penalmente sanzionato..