Premessa

Nella Parte 1 abbiamo imparato ad individuare ciò che è bene proteggere e nella Parte 2 abbiamo visto come comunicare in modo sicuro. In questa terza parte vediamo cosa significa utilizzare consapevolmente uno strumento tanto potente quanto alla portata di tutti: i social media.

Parte 3: Utilizzare i social media consapevolmente

I social media (o “i social”, come va di moda) sono tra i siti web più polari. Facebook ha quasi due miliardi e mezzo di utenti, e Instagram e Twitter ne contano centinaia di milioni.

Concepite originariamente per condividere pensieri, fotografie e informazioni personali, i social network sono oggi l’equivalente delle piazze, dove si discute, ci si organizza, si prendono decisioni e si creano correnti di pensiero. Tutte queste attività possono essere svolte consapevolmente e nel rispetto della privacy degli utenti, ma non è spesso questo il primario interesse di chi opera e gestisce i social media. Vedremo a breve il perché.

Quando si decide di utilizzare un social media è bene considerare queste domande: mi serve davvero? Posso interagire in un social network mantenendo un adeguato livello di privacy? Posso tenere segreta la mia identità? I miei contatti e le associazioni di cui faccio parte? Che informazioni voglio tenere private e da chi voglio nasconderle?

A seconda delle circostanze, ciascuno di noi potrebbe volersi proteggere o dal gestore del social network stesso (che quindi, seguendo quanto visto nella Parte 1, è nostro avversario), o da altri utenti della stessa—o entrambe le cose.

Suggerimenti per creare un profilo online

  • Vogliamo utilizzare il nostro vero nome? Alcuni siti richiedono che si usi il nome vero (la cosiddetta “real name policy,” secondo la quale, se ognuno utilizza sempre e solo il proprio nome vero, questo aiuterebbe a creare una diffusa fiducia nel prossimo, e quindi a comunicare in maniera più sicura), anche se nel corso degli anni questo vincolo è stato rilassato. Se non ce la sentiamo di usare il nostro vero nome, non usiamolo!
  • Quando ci registriamo, non esageriamo con i dettagli: inseriamo lo stretto indispensabile. Se vogliamo proteggere la nostra vera identità, meglio utilizzare un indirizzo email “ad hoc”, non usato altrove, ed evitiamo di utilizzare il nostro numero di telefono personale. Questi due dati (email e numero di telefono) ci identificano “univocamente” e possono essere impiegati per correlare account tra social network distinti—anche se sotto nomi diversi.
  • Scegliamo la foto del profilo con attenzione. Non solo ogni fotografia contiene dei metadati (invisibili se non si sa come cercarli, come ad esempio le coordinate geografiche e la data e l’ora dello scatto), ma anche l’immagine in sé potrebbe rivelare informazioni su di noi. La foto è stata scattata nelle vicinanze della nostra abitazione, posto di lavoro, o altro luogo riservato? Ci sono cartelli stradali o indirizzi visibili?
  • Scegliere una password robusta, univoca, e abilitare l’autenticazione a due fattori (2FA). Queste raccomandazioni non valgono soltanto per l’uso dei social media, quindi ne parlerò in seguito in una parte dedicata.
  • Molte piattaforme di social media—come d’altronde molti siti—offrono le cosiddette domande segrete per reimpostare una password, nel caso questa vada persa: “Qual è il nome del tuo gatto?”, “Dove vivevi da giovane?”, etc. Alcune delle risposte a queste domande possono essere facilmente ottenute rovistando tra la nostra attività online, sui social media stessi. Inoltre, se si tratta effettivamente di segreti, potreste non volerli rivelare a chi gestisce la piattaforma. Quindi è bene scegliere delle risposte deliberatamente false. E se dimentichiamo le risposte false? Ne parleremo in futuro, sempre nella parte dedicata alla gestione delle password, e dei segreti in generale.

Una sfogliata alla privacy policy

Leggere integralmente una privacy policy è un’impresa per pochi. Tuttavia, vale la pena dare almeno un’occhiata alla sezione che riguarda i nostri dati, come vengono impiegati, se e con quali finalità vengono condivisi e con quali terze parti, e come il gestore risponde alle richieste delle forze dell’ordine—cosa richiede, in caso di reato, per accedere ai dati riservati di un sospettato?

L’azienda che gestisce un social network è orientata al profitto. Quindi, cinicamente, il “prodotto” siamo noi. O meglio: i dati che produciamo e consumiamo attraverso i social sono ciò che viene monetizzato—attraverso pubblicità e altri accordi commerciali con terze parti. Per questo motivo, i gestori delle piattaforme social raccolgono spesso una grande quantità di dati da ciascuno degli utenti, andando anche oltre quanto noi consapevolmente condividiamo. Dove ci troviamo, quali sono i nostri interessi, a quali pubblicità reagiamo e come, quali altri siti visitiamo, anche e soprattutto al di fuori dai social network stessi. Se vogliamo evitare che il gestore della piattaforma conosca e possa utilizzare queste informazioni è meglio utilizzare browser (ad esempio Firefox o Brave, oppure con opportune estensioni) che bloccano il “tracking” (e quindi la propagazione) di queste informazioni che implicitamente produciamo semplicemente perché “siamo online”.

Modificare le impostazioni di sicurezza e privacy

Per esempio, vogliamo che tutti i nostri post siano visibili a tutti (anche a chi non ha un account social), oppure solo a una ristretta cerchia di utenti? Vogliamo che il nostro profilo sia rintracciabile attraverso il nostro indirizzo email o numero di telefono? Vogliamo che la nostra posizione sia condivisa automaticamente? Con chi?

Anche se ogni social network ha le sue specifiche impostazioni, possiamo dividere le impostazioni in due macro gruppi:

  • Le impostazioni di sicurezza ci permettono di bloccare o “zittire” alcuni account, di essere notificati di attività sospetta (ad esempio se qualcuno tenta di “forzare” il nostro account). Qui è anche possibile re-impostare la propria password, (dis)attivare l’autenticazione a due fattori (2FA), aggiungere un indirizzo email o numero di telefono “di emergenza”, a cui inviare le informazioni per il reset delle credenziali. Inutile sottolineare la criticità di questi dettagli.
  • Le impostazioni di privacy riguardano invece “chi può vedere cosa”. Qui possiamo specificare quali categorie di utenti (tutti, amici di amici, amici, etc.) possono vedere quale contenuto (posizione, foto, contatti, tag), e se è possibile trovare il nostro nome nel motore di ricerca del social network.

Alcuni siti offrono dei “check up” di sicurezza e privacy. Facebook e Google sono probabilmente i migliori esempi. Si tratta di procedure guidate che spiegano passo passo, in linguaggio semplice, come impostare le opzioni di sicurezza e privacy. Sono uno strumento eccellente per la maggior parte degli utenti e un ottimo punto di partenza per i più esperti.

Infine, ricordiamoci che queste impostazioni sono soggette a modifiche. A volte diventano più restrittive, permettono un controllo più granulare; a volte il contrario. Normalmente si viene informati via email quando vengono apportate modifiche sostanziali. È bene prendere seriamente questi aggiornamenti.

Compartimentare informazioni e account

Per alcuni è molto importante avere diverse identità virtuali—per motivi legittimi. Pensiamo ad esempio ai social network, account pseudonimi, in varie community online, siti di incontri, siti di networking professionale.

Numeri di telefono e fotografie sono due categorie dati che richiedono molta attenzione. Le foto, in particolare, possono permettere di “collegare” due account che intendevamo tenere separati—ad esempio, due profili sotto nomi diversi con medesima foto.

Se dobbiamo rimanere anonimi o tenere separate le identità associate a due profili distinti dobbiamo utilizzare foto univoche, non reperite online. Utilizzando Google Immagini è infatti possibile usare una foto per cercarne un’altra identica o simile. Questa funzionalità permette a noi di controllare se una foto che abbiamo deciso di usare è facilmente reperibile online, e ad un nostro avversario di risalire al sito di origine di tale foto. Un simile discorso vale per altre informazioni quali numero di telefono, soprannome e indirizzo email.

Gruppi di discussione, con consapevolezza

I gruppi di discussione nascono come i funghi, perché è diventato estremamente semplice e veloce crearli. Dal goliardico gruppo WhatsApp o Telegram per organizzare il sabato sera, alla miriade di gruppi Facebook (su invito e pubblici) in cui si discutono temi di rilievo.

È bene sapere che, a seconda della piattaforma che state utilizzando, l’amministratore del gruppo ha normalmente accesso a più informazioni di un normale membro, e che anche un normale membro può vedere chi altro fa parte del gruppo. Il livello di accesso alle informazioni può variare da gruppo a gruppo ma anche a seconda dalla piattaforma: ad esempio in un gruppo Telegram nemmeno l’amministratore può sapere il numero di telefono degli altri membri (salvo quelli che abbiamo già in rubrica, ovviamente), mentre in un gruppo WhatsApp “tutti vedono tutto”.

Man mano che i gruppi crescono è difficile tenere traccia di chi ne fa parte, e più un gruppo è frequentato più è probabile che qualcosa possa sfuggire di mano all’amministratore—che, ad esempio, potrebbe approvare l’ingresso di un membro senza controllarne a fondo le credenziali, dando quindi accesso a degli sconosciuti.

Sicurezza e privacy sono sport di squadra

Non limitiamoci ad usare consapevolmente gli strumenti che i social media ci offrono. Facciamo un passo in più e parliamone con i nostri amici, specie se notiamo che stanno inconsapevolmente rivelando informazioni sensibili. Anche senza avere un account, e anche se rimuoviamo i tag sulle foto e sui post dei nostri amici, una foto di gruppo in cui compare la nostra faccia è sufficiente per sapere che quel giorno eravamo in quel luogo con tali persone.

Sicurezza e privacy sono, come abbiamo detto nella Parte 1, un processo: questo vale per le grandi realtà aziendali, ma anche per noi stessi; non limitiamoci a salvaguardare la nostra sicurezza, ma informiamo chi ci sta attorno.

Paternità

La presente Guida Galattica di Autodifesa Digitale è una traduzione arricchita dell'opera Surveillance Self Defense dell'Electronic Frontier Foundation (EFF), con qualche adattamento per la lingua italiana e qualche esempio per chiarire ove necessario. L'opera originale è rilasciata con licenza Creative Commons Attribution (CC-BY).