Immagina che il tuo partner possa leggere ogni messaggio ed e-mail che invii, sentire ogni tua telefonata o rintracciare la tua posizione 24 ore su 24, sette giorni su sette. Per alcune vittime di violenza domestica, tutto questo è una realtà. Nel Regno Unito una donna su quattro e un uomo su tre sono stati vittime di violenza domestica. Circa il 48% delle vittime di violenza domestica [1] che hanno partecipato ad un sondaggio finanziato da Comic Relief ha dichiarato che i colpevoli usavano la tecnologia per continuare a pedinarle, molestarle e minacciarle. Dai messaggi e dalle telefonate minatorie fino alla violazione degli account online e al controllo dei dispositivi, spesso le vittime sentono di non avere alcuna privacy.

Per di più, non è raro che i cyber-attacchi aumentino una volta che la vittima ha interrotto la relazione violenta e che proseguano poi per diversi anni. Attraverso la mia esperienza di volontariato all’interno di organizzazioni di assistenza alle vittime di violenza domestica e i miei studi su questo tema, mi sono resa conto che le strutture di assistenza esistenti non sono in grado di aiutare le vittime in materia di cyber-security e cyber-privacy. In molti casi, gli operatori non hanno né il tempo né la possibilità di formarsi adeguatamente per comprendere le nuove minacce e le misure che si possono adottare per ridurle.

La fase iniziale della ricerca riguardava l’analisi di dati provenienti da forum di discussione online dedicati alle vittime di violenza domestica [2][3]. Seguendo un approccio tematico, sono stati analizzati 745 post individuali provenienti da tre forum. L’analisi ha rivelato che i colpevoli controllano e molestano le vittime in mille modi attraverso le tecnologie digitali di consumo. In questo breve articolo ci concentreremo su due tra i principali risultati: parleremo di sorveglianza esplicita e sorveglianza nascosta.

Le vittime hanno riportato un controllo esplicito dei propri account e dispositivi e la sensazione che non ci fosse modo di nascondere le informazioni al molestatore, né di mantenere alcun tipo di privacy individuale. La sorveglianza esplicita da parte dei molestatori avveniva obbligando le vittime a rinunciare alle proprie password o attraverso tentativi non autorizzati di accedere a distanza ai loro account. Spesso le vittime si accorgevano degli accessi non autorizzati trovando e-mail cancellate e/o lette dal molestatore o notifiche dei provider di servizi digitali che chiedevano loro di verificare l’accesso da una nuova posizione o da un nuovo dispositivo.

In questi casi riappropriarsi dei dispositivi e/o degli account compromessi e riprenderne il controllo può essere estremamente difficile per le vittime che temono le conseguenze, soprattutto se il molestatore può ancora entrare in contatto fisico con loro. Spesso la minaccia di violenza fisica viene ritenuta più pesante rispetto al controllo, la sorveglianza e la mancanza di privacy costanti.

Oltre al controllo esplicito, nei forum si parla anche di sorveglianza nascosta e di altre forme di controllo molto più insidiose. Spesso le vittime sospettano che sui loro dispositivi siano stati installati software per il keylogging o spyware per via del fatto che i molestatori sembrano conoscere costantemente la loro posizione o perché il cellulare funziona in modo strano, va lento, usa grandi quantità di dati, ha lo schermo che lampeggia o si illumina da solo o la batteria che si scarica molto più rapidamente del solito.

Ciò che è allo stesso modo sorprendente è che gli interventi sui forum mostrano come le vittime non abbiano accesso a servizi di assistenza in grado di verificare l’esistenza di spyware e provvedere a rimuoverli. Al contrario, i consigli scambiati sul forum, secondo le informazioni prese dalle ricerche online, sembrano essere l’unica fonte di supporto disponibile per le vittime. Un consiglio frequente è il resettaggio in fabbrica del cellulare, ma non si spiega come gli spyware possano essere installati. Considerata l’ampia conoscenza tecnica necessaria per installare malware da remoto, assumiamo che gli spyware riportati dalle vittime siano stati installati mentre l’autore aveva fisicamente accesso al dispositivo.

D’altro canto il termine “spyware” potrebbe essere stato usato per descrivere applicazioni legali come Find my Friends o app di parental control usate in modo improprio dagli aggressori, senza che le vittime ne siano a conoscenza, per rintracciarle e monitorarle. Nonostante questo, nella maggior parte dei casi entrambe le forme di sorveglianza, sia esplicita che nascosta, richiedono che gli intimidatori abbiano accesso alle credenziali di accesso delle vittime e, spesso, che accedano al loro dispositivo almeno una volta. Un modo di affrontare il problema potrebbe essere migliorare i meccanismi di autenticazione che riescono a distinguere l’utente primario da tutti gli altri che potrebbero avere accesso agli stessi dispositivi e account.

La progettazione dei meccanismi di autenticazione dell’utente è una sfida continua e relativamente nuova. Questo articolo vuole sostenere che l’applicazione di casi di utilizzi estremi nella progettazione di questi meccanismi potrebbe rivelarsi vantaggiosa in una concezione a lungo termine, proiettata verso il futuro. Includere gli “extreme users” nell’innovazione permette di essere valutare il design da nuove prospettive, che spesso possono dare vita a idee insolite e interessanti. Le vittime di sorveglianza continua e di attacchi informatici perpetrati da un partner (un tempo) intimo, possono essere considerate extreme users [1,2,3] che, nella specificità dei loro bisogni, offrono implicazioni più vaste per la progettazione dei meccanismi di sicurezza e della privacy digitale.

Prendete ad esempio l’autenticazione tramite riconoscimento facciale, che potenzialmente potrebbe individuare chi sta tentando di installare dei software su un dispositivo e limitare i diritti d’accesso a tutti coloro che non siano l’utente primario. Potrebbe essere usata per assicurarsi che l’utente che interagisce con il dispositivo sia lo stesso che ha effettuato il login iniziale. Questo tipo di autenticazione potrebbe essere utile alle vittime di violenza domestica ma anche in ambienti in cui più utenti hanno accesso ad un singolo dispositivo. Gli elettrodomestici smart sono un esempio di dispositivi utilizzati da più di un utente – potenzialmente un’intera famiglia – che potrebbero trarre beneficio da account multipli e dai modi per identificare rapidamente e in modo efficace i vari utenti.

Nei casi in cui il riconoscimento facciale non sia possibile (per esempio a causa delle condizioni di illuminazione) [4], un’IA capace di imparare e riconoscere gli schemi ricorrenti di utilizzo potrebbe essere utile per distinguere gli utenti primari da quelli secondari, oppure da quelli non autorizzati. Il design della privacy e dei meccanismi di sicurezza informatici, che presto con l’internet delle cose diverrà esponenzialmente più complesso, potrebbe trarre vantaggio dall’osservare gli extreme users in molte situazioni. Questo articolo si schiera a favore non solo dell’inclusione dei bisogni delle vittime di violenza domestica, ma anche della considerazione di utenti al di là dei contesti standard e degli scenari d’uso. 


Note:

[1] – Le vittime sottoposte al sondaggio sono esclusivamente donne.

[2] – Sono stati analizzati solo forum aperti che non richiedono alcuna registrazione e che non impediscono ricerche.

[3] – I nomi dei forum non sono stati resi pubblici per proteggere l’anonimato degli utenti.

Riferimenti:

1. Jed R. Brubaker e Janet Vertesi. 2010. Death and the social network. CHI Workshop on Death and the Digital.

2. Lars Erik Holmquist. 2004. User-driven Innovation in the Future Applications Lab. CHI ’04 Extended Abstracts on Human Factors in Computing Systems, ACM, 1091–1092.

3. A. F. Newell, P. Gregor, M. Morgan, G. Pullin, e C. Macaulay. 2011. User-Sensitive Inclusive Design. Universal Access in the Information Society; Heidelberg10, 3: 235–243.

4. Esteban Vazquez-Fernandez e Daniel Gonzalez-Jimenez. 2016. Face recognition for authentication on mobile devices. Image and Vision Computing 55: 31–33.