Negli ultimi giorni ha fatto scalpore la notizia diffusa da Yarix, azienda italiana di cyber security, che ha rivelato come fosse possibile accedere liberamente a immagini di sorveglianza provenienti da migliaia di telecamere IP installate in Italia e all’estero.

Il caso dei video rubati da oltre duemila telecamere di sorveglianza e messi in vendita online ha colpito l’opinione pubblica. Immagini di case private, esercizi commerciali, parcheggi, scuole, ma anche bagni, spogliatoi e stanze di ospedali erano accessibili con una semplice ricerca su Internet o tramite banali credenziali.

Ecco perché è un campanello d’allarme per la privacy.

Video rubati, l’impatto sulla privacy

I media hanno giustamente denunciato il problema come una grave falla nella sicurezza informatica. Appare infatti inquietante che sistemi, progettati per garantire la protezione possano trasformarsi in strumenti di voyeurismo e potenziale ricatto.

Tuttavia, il dibattito pubblico si è concentrato soprattutto sull’aspetto “hacker” della vicenda, lasciando in secondo piano una questione altrettanto cruciale e preliminare: perché esistono videocamere collocate in luoghi dove è vietato riprendere le persone?

Questa domanda ci conduce oltre la semplice narrazione tecnica e ci costringe a riflettere su tre piani intrecciati:

• il quadro normativo che vieta esplicitamente certe installazioni;
• la cultura aziendale e sociale che spesso banalizza la privacy;
• la responsabilità tecnologica legata a sistemi di videosorveglianza poco sicuri.

Un divieto netto ma ignorato: la legge c’è, ma non si vede.

Il GDPR e il Codice Privacy italiano (già prima del GDPR) vietano l’installazione di videocamere in luoghi dove le persone hanno un’aspettativa massima di riservatezza.

L’impostazione normativa vigente infatti richiede che ogni trattamento di dati personali (compresi quelli mediante riprese video) rispetti i principi di liceità, necessità, proporzionalità e minimizzazione.

L’uso di telecamere in luoghi privati o “sensibili” contrasta con questi principi fondamentali: nessun dispositivo di videosorveglianza dovrebbe essere collocato in bagni, spogliatoi, infermerie, sale mediche, camere d’albergo, e in generale in qualsiasi spazio “privato” dove le persone si sentono ragionevolmente protette da sguardi indiscreti.

L’intervento del Garante Privacy

Il Garante per la Protezione dei Dati Personali ha ribadito questo principio in diversi provvedimenti, come quello del 2010 e successivamente nelle FAQ del 2020.

Per il Garante, l’uso di impianti di videosorveglianza non può infatti comportare una compressione ingiustificata dei diritti e delle libertà fondamentali delle persone, per questo è vietata l’installazione di apparecchiature in luoghi riservati alla sfera personale.

Già sotto il “vecchio” Codice Privacy, il Garante vietava esplicitamente, con provvedimenti specifici, l’utilizzo di telecamere installate negli spogliatoi di ambulatori medici, considerandolo un’intromissione ingiustificata nella vita privata dei pazienti, lesiva della loro riservatezza e dignità.

Stessa cosa vale per le videocamere installate negli spogliatoi di un impianto termale.

Un atto illecito

Non è dunque una semplice “raccomandazione”. Collocare una telecamera in uno spogliatoio o in un bagno è un atto illecito e può comportare sanzioni severe, sia amministrative (fino a 20 milioni di euro o al 4% del fatturato annuo) sia penali.

Eppure, il cosiddetto “caso Yarix” dimostra che molte telecamere si trovavano esattamente in quei luoghi. Il problema, quindi, non è solo tecnologico. C’è infatti un buco culturale nell’applicazione delle norme.

“Non ho nulla da nascondere”: la cultura che normalizza la sorveglianza

La frase “se non ho nulla da nascondere, non ho nulla da temere” è diventata un mantra quando si parla di privacy.

È una convinzione pericolosa, perché legittima una sorveglianza totale che erode gradualmente diritti fondamentali.

Molte aziende installano telecamere per proteggere beni e persone, ma finiscono per posizionarle senza criterio, talvolta per “controllare” i dipendenti, altre volte per pigrizia progettuale.

In altri casi, privati cittadini piazzano telecamere in casa o nei condomini senza conoscere la normativa, convinti che sia un gesto di prudenza.

Il risultato è una cultura della videosorveglianza che trascura l’idea di dignità: la protezione non dovrebbe mai diventare intrusione.

Non è solo una questione di “furti” o “sicurezza”: è in gioco il diritto di sentirsi
invisibili in certi spazi.

Videosorveglianza fai-da-te: un pericolo per tutti

Oggi è facile acquistare online una telecamera IP, collegarla al Wi-Fi e controllare la propria casa dallo smartphone.

Questa democratizzazione della sorveglianza ha vantaggi evidenti, ma comporta anche rischi notevoli.

Secondo Yarix, gran parte dei sistemi esposti online presentavano:

• password di default mai cambiate;
• mancanza di aggiornamenti firmware.
• accessi remoti senza VPN né firewall;
• configurazioni “cloud” che permettono la visione a chiunque trovi l’indirizzo IP.

Non si tratta, dunque, di sofisticati attacchi hacker. Bastano strumenti automatici di scansione della rete per individuare sistemi vulnerabili.

Ma il problema tecnico è anche culturale. Molti utenti credono infatti che l’installazione di una telecamera sia un gesto di protezione e non immaginano che ogni dispositivo connesso a Internet è una potenziale porta di ingresso per malintenzionati, se non gestita con cura e la giusta consapevolezza.

La legge è chiara ma non viene applicata

Il Gdpr prevede strumenti concreti per prevenire abusi:

• minimizzazione dei dati trattati;
• DPIA (Data Protection Impact Assessment): valutazione d’impatto obbligatoria per sistemi di sorveglianza complessi;
• informative e cartellonistica: chi entra in un’area videosorvegliata deve saperlo;
• limitazione dei tempi di conservazione: le immagini non dovrebbero essere conservate oltre 24-48 ore, salvo eccezioni;
• ruolo del DPO (Data Protection Officer): per organizzazioni complesse, la consulenza di un DPO è essenziale.

Il problema è che troppi sistemi vengono installati senza consultare esperti legali né tantomeno specialisti privacy.

Nei condomini, spesso bastano due clic per comprare una telecamera “smart”, magari a bassissimo costo, e puntarla ovunque, senza sapere che si rischiano sanzioni.

La sorveglianza dovrebbe essere progettata sempre secondo il principio di privacy by design, minimizzando i dati raccolti e cercando di prevenire le violazioni prima che queste accadano.

Sorveglianza e lavoro: il confine sottile tra sicurezza e controllo

Il mondo del lavoro è un terreno delicato per la videosorveglianza. Lo Statuto dei Lavoratori (art. 4) vieta controlli occulti e prevede che le telecamere siano installate solo per esigenze organizzative, produttive o di sicurezza, previo accordo sindacale o autorizzazione dell’Ispettorato.

Tuttavia, non sono rari i casi di aziende che usano le telecamere per “monitorare” dipendenti, magari con la scusa della sicurezza.

Questa cultura del controllo genera sfiducia e può sfociare in pratiche di sorveglianza pervasiva che minano fortemente il benessere lavorativo.

Il nodo etico: privacy come libertà

Oltre le norme, c’è una questione di etica sociale. Se una telecamera può riprendere immagini intime, quelle immagini possono finire sul web, diventare oggetto di pornografia non consensuale o strumento di ricatto.

Il caso Yarix dimostra che il confine tra sicurezza e violazione è sottilissimo.
Una società che normalizza la videosorveglianza in ogni spazio perde progressivamente la percezione del diritto alla riservatezza.

Non è un caso che le autorità francesi (Cnil) e britanniche (ICO) abbiano avviato campagne pubbliche per sensibilizzare i cittadini sull’uso consapevole delle tecnologie di sorveglianza e sulle conseguenze derivanti dalle violazioni dei dati.

Ecco come è possibile sviluppare “il costo sociale della superficialità” in modo incisivo con esempi concreti e dati.

Il costo sociale della superficialità

L’approccio “metto una telecamera e risolvo” è la manifestazione più evidente di una cultura che confonde la privacy con una non ben determinata burocrazia e vede la videosorveglianza come una soluzione universale, semplice e immediata.

In realtà, questa scorciatoia genera rischi enormi su più piani:

• legale: installazioni non conformi possono sfociare in sanzioni milionarie, penali per violazione della privacy e contenziosi con dipendenti o clienti;
• reputazionale: la diffusione di notizie su telecamere installate impropriamente (per esempio, in spogliatoi o aree private) provoca danni di immagine spesso irreversibili;
• sociale: il messaggio implicito di sorveglianza pervasiva riduce il clima di fiducia tra cittadini, aziende e istituzioni.

La superficialità nella gestione della videosorveglianza non è solo un rischio regolatorio: è una ferita alla fiducia.

Infatti, clienti e dipendenti che scoprono di essere sorvegliati senza trasparenza sviluppano sfiducia verso l’organizzazione. Inoltre la percezione che la privacy sia ignorata genera un clima di sospetto in cui il cittadino si sente “sorvegliato”, non “protetto”. La sfiducia si riflette infine sui brand: bastano pochi titoli sui giornali (“Telecamere negli spogliatoi”, “Video privati diffusi online”) per azzerare anni di investimenti in reputazione.

In definitiva, ogni telecamera installata senza un’analisi preventiva è una scommessa sul futuro: se qualcosa andrà storto, il prezzo da pagare non sarà solo una multa, ma la perdita della fiducia sociale, un capitale intangibile che nessuna tecnologia potrà mai ricostruire in breve tempo.

Proposte per un futuro più sicuro

Per invertire questa tendenza, servono misure strutturali, come:

• certificazione obbligatoria per gli installatori: chi configura sistemi di sorveglianza dovrebbe avere competenze, almeno di base, in cyber security e privacy;
• campagne di sensibilizzazione nazionale: rendere chiari i divieti, spiegare ai cittadini come proteggere i propri dispositivi;
• privacy by design obbligatoria: i produttori di telecamere dovrebbero fornire sistemi sicuri “di default” (password univoche, aggiornamenti automatici, cifratura end-to-end);
• audit periodici: le aziende dovrebbero effettuare verifiche almeno annuali sulla sicurezza dei sistemi;
• incentivi fiscali: per sostituire dispositivi obsoleti con sistemi sicuri.

Dignità come linea rossa

Il caso Yarix è un campanello d’allarme: non basta proteggere i dati, bisogna rispettare le norme e proteggere la dignità. Se accettiamo videocamere nei bagni o negli spogliatoi, stiamo legittimando un controllo totale.

La tecnologia non è neutrale: riflette la cultura di chi la utilizza e, finché la privacy sarà vista come un ostacolo burocratico e non come un diritto umano fondamentale, continueremo a leggere di immagini rubate e persone violate.

La sicurezza non deve significare sorveglianza indiscriminata. Un sistema davvero sicuro è quello che rispetta i confini della libertà individuale.