De gevaren van zelfbewaking: de zaak De Martino en de kwetsbaarheid van het ‘digitale huis’

De zaak van Stefano De Martino Dit leidt tot een meer algemene reflectie over de betekenis van het industriële model dat vereist dat elke dienst die ons aangaat, zelfs de meest persoonlijke en intieme sferen, noodzakelijkerwijs " in de cloud" wordt geleverd of in ieder geval via de mogelijkheid voor de provider om rechtstreeks op ons thuis- of bedrijfsnetwerk aan te sluiten .

Is huisautomatisering ‘standaard kwetsbaar’?

Weinig mensen weten dat ze al sinds mensenheugenis hun router "gratis in bruikleen" krijgen van hun internetprovider en dat ze die op afstand kunnen bedienen. En dat diensten die gebaseerd zijn op de onvermijdelijke "app", met name diensten die de bediening van webcams of bewakingssystemen beheren, ergens videostreams opslaan voor toekomstig gebruik, maar niet per se op de terminal van de klant.

Ondanks de "veiligheidsmaatregelen" en "contractuele garanties" die vaak niet meer zijn dan slogans, is de realiteit dat gegevens over ons persoonlijke en openbare leven maar al te vaak in handen komen van degenen die er geen toegang toe zouden moeten hebben . Dit brengt echter ook de gedeelde verantwoordelijkheid met zich mee van de slachtoffers die, uit vertrouwen of nalatigheid, niet echt nadenken over de vraag wat het betekent om een technologie te gebruiken die door iemand anders wordt beheerd of beheerd.

Hoe zijn de video's gestolen?

Er is geen openbare informatie over de structuur van het videobewakingssysteem van De Martino , maar uit de beschrijving van de feiten kan worden afgeleid dat het in de eenvoudigste configuratie bestond uit een of meer camera's die ook van buitenaf via internet bereikbaar waren en dat de videostromen werden opgenomen op één enkel apparaat (vaak uitgerust met een eigen geheugen) of op een server die ter beschikking stond van de fabrikant.

Uitgaande van deze aanname (een van de vele mogelijke aannames) betekent dit dat als de bestanden rechtstreeks van de camera's zijn gehaald, ze direct blootgesteld waren - dat wil zeggen, bereikbaar waren - op het netwerk, dat hun firmware, de software die ze laat werken, kwetsbaar was en/of dat de wachtwoorden zwak waren of ontbraken.

Als de bestanden echter zijn gestolen van de externe systemen waar ze zijn opgeslagen, kan dit zijn gebeurd doordat iemand legitieme inloggegevens heeft gebruikt en zo heeft gehandeld in wat ten onrechte ' identiteitsdiefstal' wordt genoemd, of doordat er misbruik is gemaakt van kwetsbaarheden in de infrastructuur waar de gegevens zijn opgeslagen.

Welke misdaden zijn er gepleegd?

Ongeacht hoe de misdaad is gepleegd, is het overduidelijk dat we hier te maken hebben met een misdaad zoals beschreven in artikel 615-ter van het Wetboek van Strafrecht. Daarin is de ongeautoriseerde toegang tot een systeem strafbaar , of het nu gaat om één computer of een machine die is aangesloten op een netwerk. Dit kan potentieel onrechtmatige inmenging in het privéleven inhouden, maar paradoxaal genoeg niet onrechtmatige verwerking van persoonsgegevens of "wraakporno".

Misdrijven met betrekking tot persoonsgegevens straffen in feite degenen die "schade" veroorzaken door misbruik te maken van internetverkeer of geolocatiegegevens, spammers of degenen die archieven onrechtmatig verspreiden; en geen van deze zaken is van toepassing op de zaak De Martino. Om artikel 612-ter van het Wetboek van Strafrecht, dat betrekking heeft op wraakporno , toe te passen, moet de persoon die de content verspreidt ook de auteur zijn – en dat is niet het geval.

De rol van de Autoriteit Persoonsgegevens

De tussenkomst van de gegevensbeschermingsautoriteit verdient een aparte bespreking.

Als het feit strafrechtelijk relevant is, kan de Garant – die geen bevoegdheid heeft om rechten te beschermen – geen eigen onderzoek doen naar de specifieke aard van het misdrijf. Indien zij echter tijdens administratieve controles elementen ontdekt die van belang zijn voor de rechterlijke macht, moet zij deze aan de officier van justitie melden. Maar welk onderzoek kan de Garant in zo'n geval doen?

Om deze vraag te beantwoorden, moeten we terugkeren naar de technische aspecten van de kwestie en opnieuw kijken naar het verschil tussen een systeem dat volledig door de gebruiker zelf wordt beheerd en een systeem dat afhankelijk is van een tussenpersoon, zoals een leverancier van opslagdiensten en externe controle over de apparaten.

Algemeen gesproken kan de Garant in het eerste geval weinig nagaan: als de gebruiker een fout heeft gemaakt door de installatie van het systeem niet aan een gekwalificeerd persoon toe te vertrouwen, en geen passende tegenmaatregelen heeft genomen, zelfs als er sprake is van mogelijke kwetsbaarheden in de camera's, dan valt de verantwoordelijkheid hiervoor uitsluitend bij het Openbaar Ministerie.

Als echter, en dat geldt altijd in zeer algemene zin, toegang tot de video's mogelijk was door nalatigheid in het beheer van de bediening op afstand van het systeem of de opslag van bestanden, dan is het redelijk om op zijn minst te veronderstellen dat er behoefte is aan een audit van de effectieve algehele beveiliging van de combinatie van product (camera)/dienst (beheer op afstand en opslag).

Als de video's uiteindelijk op een platform of blog zouden verschijnen, zou het bedrijf kunnen proberen de verwerking van die content te blokkeren. Dit zou echter verenigbaar zijn met het feit dat een rechter (in ieder geval een civiele rechter) degene zou moeten zijn die een dergelijke maatregel kan bevelen.

De verantwoordelijkheden van degenen die video's delen en de platforms die ze beschikbaar stellen

Het is hoogst onwaarschijnlijk dat individuele video-"sharers" fysiek voor de rechter kunnen worden gebracht – civielrechtelijk of strafrechtelijk – aangezien de pogingen om elk individu te identificeren tijdrovend en kostbaar genoeg zouden zijn om deze aanpak zinloos te maken. Dit geldt met name gezien het " Hydra -effect", waarbij content die eenmaal van de ene plek is verwijderd, elders in meerdere kopieën "opnieuw verschijnt".

Realistisch gezien zullen de platformbeheerders dus de content moeten verwijderen. Zij zijn, naast andere verplichtingen die de EU en het Italiaanse Burgerlijk Wetboek opleggen, verplicht hun gebruikers te identificeren . Bovendien hoeven ze, dankzij een recente uitspraak van het Hof van Cassatie, niet eens te wachten op een bevel van de rechter, omdat zelfs een "ongekwalificeerd" rapport – dat wil zeggen van een particulier, vooral als die het slachtoffer is – voldoende is om de exploitant aansprakelijk te stellen. Evenzo, en op basis van hetzelfde rechtsbeginsel, zouden toegangsbeheerders ook waarschuwingen kunnen krijgen om bepaalde netwerkbronnen te blokkeren zonder te hoeven wachten op een bevel van de autoriteiten.

De vinger en de maan

Mogelijk worden de daders van de ongeoorloofde toegang tot het privénetwerk van Stefano De Martino geïdentificeerd en vervolgd, net als degenen die de gestolen video's verspreidden. Sommige bedrijven zullen de boetes betalen die de Italiaanse Autoriteit voor gegevensbescherming heeft opgelegd, en sommige platforms zullen zich opnieuw in naam van de EU-regelgeving bevinden, waarbij ze privérecht toepassen buiten de jurisdictie van de rechterlijke macht. Privéchats en -groepen, die als zodanig niet gemakkelijk of direct identificeerbaar zijn, vallen buiten het bereik van deze regelgeving; maar de Europese Commissie overweegt dit ook met haar aanstaande regelgeving inzake client-side scanning . Door preventieve en automatische zoekopdrachten van apparaten naar "illegale inhoud" toe te staan en encryptie te verzwakken, zullen ze ons zonder proces tot vermoedelijk schuldige partijen maken.

Dit alles verandert echter niets aan één feit, of liever gezegd, aan twee: het eerste is dat de technologische reus die we zelf hebben helpen opbouwen, niet langer standhoudt; het tweede is dat gebruikers die zichzelf niet echt kunnen beschermen, steeds vaker het slachtoffer worden van industriële modellen die gebaseerd zijn op het feit dat fouten in software of een dienst geen fouten zijn, maar functionaliteiten .

Het identificeren en straffen van degenen die verantwoordelijk zijn voor illegale activiteiten is zeker een plicht, maar denken dat dit de stabiliteitsproblemen van de digitale reus Rhodos kan oplossen zonder serieus aandacht te besteden aan de kwestie van de aansprakelijkheid van degenen die de structurele kwetsbaarheden van software, netwerken en systemen veroorzaken, is gewoon leven in een sprookjeswereld – of in die van de bureaucratie.