La prima fase di Internet si è estesa fino ai primi anni Novanta. È stato in quel periodo che l'Internet ha assunto la forma attuale ed è stato depurato dai bug, per poi svilupparsi a livello globale. La sua crescita, allora, non era ostacolata da timori sulla sicurezza o sulla privacy dei dati. Fino agli anni Novanta, la partita è stata giocata sulla connettività.

Per "connettività" si intendeva consentire a tutti di accedere a Internet, in qualsiasi parte del mondo si trovassero. Poiché l'"inter" di Internet implicava il concetto di interoperabilità, la rete è stata in grado di crescere rapidamente utilizzando una serie di tecnologie. Si pensi ai modem analogici che utilizzavano le normali linee telefoniche, ai modem che inviavano dati tramite cavi coassiali originariamente progettati per il televisore, a Ethernet e, in seguito, alle connessioni in fibra ottica e al WiFi.

Negli anni '90 Internet veniva ampiamente utilizzato, e per usi che andavano ben oltre le sue origini accademiche. I primi pionieri del Web, come Netscape, compresero che il potenziale dell'e-commerce era enorme, ma sarebbe rimasto tale se le persone non fossero arrivate a fidarsi della sicurezza delle transazioni online.

Di conseguenza, con l'introduzione di SSL avvenuta nel 1994, Internet entrò in una seconda fase, una fase in cui la sicurezza giocava un ruolo di primo piano. L'opera di messa in sicurezza del Web, e più in generale Internet, contribuì a creare la "corsa all'oro" delle dotcom, e il mondo online sicuro in cui viviamo oggi. Sono in molti, però, ad avere frainteso questa sicurezza, pensando che essa fornisse anche delle garanzie sulla privacy, cosa che non è progettata per fare.

Le persone si sentono sicure ad andare online per fare acquisti, leggere notizie, ricercare patologie e cercare un compagno di vita perché la crittografia impedisce a un intercettatore di vedere cosa stanno facendo e fornisce la garanzia che un sito Web è quello che afferma di essere. Tuttavia, ciò non fornisce alcuna garanzia di privacy. Il sito Web che si visita conosce, come minimo, l'indirizzo IP della connessione Internet.

Anche con la crittografia un intercettatore ben posizionato potrebbe scoprire quanto meno i nomi dei siti Web che vengono visitati, a causa della fuoriuscita di informazioni da protocolli che non sono stati progettati per preservare la privacy.

Le persone che puntano a rimanere anonime su Internet si rivolgono pertanto a tecnologie come Tor o VPN. Mantenere l'anonimato su un sito Web in cui si fanno acquisti, o sul sito di prenotazione online di una compagnia aerea, non ha però alcun senso. In questi casi, la società con cui si interagisce saprà comunque con chi ha a che fare, perché l'acquirente del servizio comunicherà l'indirizzo di casa, il nome, il numero di passaporto, ecc. È interesse dell'utente fornire queste informazioni.

Questo rende la privacy un elemento non ben definito: si vuole rimanere anonimi per l'intercettatore, ma essere sicuri che il rivenditore conosca il proprio indirizzo.

La fase di connettività di Internet ha reso possibile a chiunque di collegarsi a un computer in qualsiasi parte del mondo, proprio come se si trovasse nella propria città. La fase di sicurezza di Internet ha risolto il problema del rassicurare l'utente circa la consegna delle sue informazioni a una compagnia aerea o a un rivenditore. La combinazione di queste due fasi ha portato a una rete Internet di cui ci si può fidare per trasmettere i propri dati, ma con uno scarso controllo su quello che è il loro destino.

La Fase 3

Un cittadino francese potrebbe acquistare beni da un sito Web spagnolo con la stessa facilità con cui acquisterebbe da un sito del Nord America. In entrambi i casi, il rivenditore conoscerebbe il nome e l'indirizzo francesi dove inviare gli acquisti. Per un cittadino consapevole della privacy, questo rappresenta un enigma. Internet ha creato una straordinaria piattaforma globale per il commercio, le notizie e le informazioni (quanto sia facile per il cittadino francese rimanere in contatto con la famiglia in Costa d'Avorio e persino leggere le notizie locali da lontano).

E mentre faceva acquisti, un intercettatore (come un ISP, il proprietario di un bar o un'agenzia di intelligence) poteva sapere quale sito Web stava visitando il cittadino francese.

Internet significa anche che le informazioni di tutti vengono disperse in tutto il mondo, e i paesi hanno regole diverse su come questi dati devono essere archiviati e condivisi. Le diverse nazioni e comunità internazionali hanno stretto accordi di condivisione dei dati per consentire il trasferimento transfrontaliero di informazioni private sui loro cittadini.

Le preoccupazioni circa l'intercettazione e il luogo in cui i dati finiscono hanno creato il mondo in cui viviamo oggi, dove i timori legati alla privacy cominciano ad essere in cima alle priorità in Europa, specialmente, ma anche in molti altri Paesi.

In aggiunta, l'economia e la flessibilità delle applicazioni SaaS e cloud significavano che era opportuno trasferire effettivamente i dati a un numero limitato di datacenter di grandi dimensioni (che a volte vengono chiamati impropriamente "regioni") in cui poter elaborare i dati provenienti da persone di tutto il mondo. E, a grandi linee, questo era il mondo di Internet, la connettività universale, la sicurezza diffusa e la condivisione dei dati attraverso accordi transfrontalieri.

Questa apparente utopia subì una doccia fredda in seguito alla divulgazione di documenti segreti che descrivevano il rapporto tra l'NSA statunitense (e i suoi partner Five Eyes) e le grandi società Internet, così come il fatto che le agenzie di intelligence raccogliessero dati dai choke points su Internet. Queste rivelazioni portarono all'attenzione del pubblico il fatto che i loro dati potevano, in alcuni casi, essere consultati dalle agenzie di intelligence straniere.

In men che non si dica quei grandi datacenter in Paesi molto lontani sembrarono una cattiva idea, e governi e cittadini iniziarono a richiedere il controllo dei dati. Questa è la terza fase di Internet. La privacy si unisce alla connettività universale e alla sicurezza come elemento essenziale.

Ma che cos'è il controllo sui dati, o la privacy? Governi diversi hanno idee diverse e requisiti diversi, che possono differire per diversi set di dati. Alcuni Paesi sono convinti che l'unico modo per controllare i dati sia tenerli al loro interno, dove ritengono di poter controllare chi può accedervi. Altri ritengono di poter affrontare i rischi implementando delle restrizioni per impedire a determinati governi o aziende di accedere ai dati, e gli ostacoli di natura normativa si stanno solo facendo più complessi.

Questa sarà una sfida enorme per le imprese che hanno creato il proprio modello di business attorno all'aggregazione delle informazioni dei cittadini al fine di indirizzare la pubblicità, ma è anche una sfida per chiunque offra un servizio Internet. Esattamente come hanno dovuto affrontare il flagello degli attacchi DDoS e degli hacker e si sono dovute mantenere al passo con le ultime tecnologie di crittografia, le aziende dovranno fondamentalmente archiviare ed elaborare i dati dei propri clienti in diversi Paesi e in diversi modi.

L' Unione europea, in particolare, ha insistito per un approccio globale alla privacy dei dati. Sebbene l'UE avesse stabilito principi di protezione dei dati dal 1995, l'attuazione del Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE nel 2018 ha dato il via a una nuova era nella privacy online. Il GDPR impone limitazioni al modo in cui i dati personali dei residenti nell'UE possono essere raccolti, archiviati, eliminati, modificati o trattati in altro modo.

Tra i requisiti del GDPR vi sono disposizioni su come proteggere i dati personali dell'UE qualora tali dati personali lascino l'UE. Sebbene gli Stati Uniti e l'UE abbiano collaborato per sviluppare una serie di impegni su base volontaria per facilitare alle aziende il trasferimento dei dati tra i due Paesi, tale quadro — il Privacy Shield — è stato invalidato l'estate scorsa. Di conseguenza, le aziende sono alle prese con la questione di come poter trasferire i dati al di fuori dell'UE coerentemente con i requisiti del GDPR. Le raccomandazioni recentemente emesse dal Comitato europeo per la protezione dei dati (EDPB),  che impongono agli esportatori di dati di valutare la normativa nei Paesi terzi, stabilire se tale normativa tuteli adeguatamente la privacy e, se necessario, ottenere garanzie supplementari da parte degli importatori di dati, hanno solo aumentato i timori delle imprese.

Questa preoccupazione sulla presenza, o meno, di controlli adeguati sui dati per rispondere ai timori delle autorità di regolamentazione europee ha spinto molti dei nostri clienti a valutare se sia possibile impedire che i dati soggetti al GDPR escano dall'UE.

Sono finiti i giorni in cui tutti i dati del mondo potevano essere elaborati in un enorme datacenter indipendentemente dalla loro provenienza.

Una reazione a questo cambiamento potrebbe essere un arroccamento in cui ciascun Paese crei i propri servizi di posta elettronica online, sistemi HR, provider di e-commerce e altro ancora. Sarebbe un enorme spreco di energie. Ci troviamo di fronte a economie di scala, se lo stesso servizio può essere utilizzato da tedeschi, peruviani, indonesiani, australiani...

La risposta a questa sfida nella privacy è identica a quella per le fasi di connettività e sicurezza di Internet: costruirla! Dobbiamo costruire un Internet che rispetti la privacy e che fornisca alle imprese gli strumenti per creare agevolmente applicazioni che rispettino la privacy.

Questa settimana parleremo dei nuovi strumenti di Cloudflare che semplificano la creazione di applicazioni che rispettano la privacy, consentendo alle aziende di collocare i dati dei loro utenti nei Paesi e nelle aree di loro scelta. Parleremo inoltre di alcuni nuovi protocolli che creano privacy nella struttura stessa di Internet. Aggiorneremo gli ultimi algoritmi quantum-resistant che aiutano a mantenere privati i dati privati di oggi e in un futuro molto lontano.

Mostreremo come sia possibile eseguire il servizio di un imponente resolver DNS come 1.1.1.1 preservando la privacy degli utenti attraverso un nuovo protocollo intelligente. Vedremo come creare password che non possono essere trafugate. E daremo a tutti il potere di ottenere web analytics senza tracciare le persone.

Benvenuti alla fase 3 di Internet: sempre attivo, sempre sicuro, sempre privato.