Articolo aggiornato alle ore 17,28 del 16 aprile 2018
Qualcuno ha avuto accesso ai totem pubblicitari di Milano Centrale, e ha proiettato su uno degli schermi un articolo di Agi per dimostrarne la vulnerabilità. Il fatto è avvenuto nella sera del 15 aprile, quando un hacker ha preso possesso di uno dei pannelli pubblicitari, utilizzandolo per navigare su Internet e per fare una videochiamata. Gli schermi presenti nella stazione, dotati di telecamere capaci di riconoscere le caratteristiche dei passanti e di mostrare le pubblicità più appropriate rispetto a chi li guarda, raccolgono anche informazioni sensibili, che domenica sera potrebbero essere state compromesse.
La sera del 15 aprile un nostro articolo è stato proiettato sugli schermi pubblicitari della stazione più importante del nord italia. Non è stato un errore, ma la scelta di un hacker, che ha voluto dimostrare la vulnerabilità dei totem di Milano Centrale, sui quali scorrono immagini pubblicitarie e informazioni utili. L’articolo non è stato scelto a caso: si parlava del panel “Privacy nightmare Italia: storie di sorveglianza”, presentato durante il Festival del giornalismo di Perugia, e nel quale è stata raccontata un’inchiesta del Corriere della Sera dell’anno scorso, che rivelava la capacità dei totem di raccogliere informazioni sui passanti tramite la webcam. Un sistema vulnerabile e dal quale è possibile accedere ai dati raccolti.
Così domenica sera, a un anno dalle segnalazioni e dell’interessamento del Garante della privacy, i totem potrebbero non essere ancora sicuri. L’accesso è avvenuto fisicamente: l’hacker ha attivato la tastiera touchscreen del dispositivo e l’ha utilizzato per alcuni minuti. Il tempo necessario per rendere leggibile l’articolo di Agi. Ma anche per attivare una videochiamata utilizzando la webcam e le casse del dispositivo. Grazie a un link, verificato prima di scrivere la notizia, è stato possibile per diverse ore comunicare attraverso il totem e vedere i passanti, che a loro volta sentivano l’audio trasmesso. I totem sono a tutti gli effetti dei computer che utilizzano un sistema operativo Windows, e che svolgono tutte le funzioni di un qualsiasi Pc.
“Abbiamo riscontrato il malfunzionamento di uno degli apparati, e per sicurezza abbiamo disattivato il touchscreen su tutti i dispositivi”, ha spiegato ad Agi Enza Spinali di Grandi Stazioni Retail, società che gestisce i totem. Prima ancora era intervenuto il Gruppo Fs, a cui era stato segnalato il malfunzionamento: "È stata subito informata la nostra Protezione Aziendale che ha allertato la Grandi Stazioni Retail e, benché la società non appartenga al Gruppo FS Italiane, abbiamo chiesto che tutti i totem venissero disattivati”. La manomissione, come chiarito sia da Grandi Stazioni che da Fs, è stata fisica, e non ha comportato un accesso non autorizzato della rete.
Ad aprile del 2017 un’inchiesta del Corriere della Sera aveva rivelato che i totem della stazione centrale sono dotati di programmi per la ‘face detection’ (diversamente dal riconoscimento facciale, non eseguono una identificazione dell’identità di chi li guarda) in modo da riconoscere le caratteristiche fisiche dei passanti. Fascia d’età, genere e livello di attenzione: i pannelli scelgono autonomamente quali pubblicità mostrare in funzione del riconoscimento della persona che lo guarda, e raccogliendo dati utili a fini di marketing.
La segnalazione era partita da Giovanni Pellerano, esperto di sicurezza informatica e membro dell’Hermes Center - un’organizzazione dedicata alla tutela dei diritti umani digitali - il quale si era rivolto alla stampa una volta verificato che i dispositivi non erano adeguatamente protetti, e che quindi quelle informazioni potevano essere sottratte da persone non autorizzate. In quell’occasione il Garante della privacy aveva chiesto a Gs Retail di apporre sui totem degli adesivi che indicano ai passanti che tipo di dati vengono raccolti. “Gli adesivi che indicano ai visitatori la funzione di ‘facial detection’ sono in fase di verifica da parte del Garante - ha spiegato ad Agi la società. - Non appena saranno approvati li potremo apporre sui pannelli”.