L'ANALISI

Auto connesse nuova fonte di big data. Chi garantisce la tutela della privacy?

Gdpr e Iso 20077 le norme di riferimento ma manca l’attribuzione di poteri ad hoc ad un’autorità specifica che si occupi delle verifiche su piattaforme di accesso e condivisione dei dati. La questione è dirimente: ne va dello sviluppo dell’intero ecosistema e della tutela dei cittadini

19 Gen 2022

Andrea Tomassi

Asrg Eu Lead

Giuseppe Faranda Cordella

ceo Drivesec

La digitalizzazione della società è sempre più diffusa e coinvolge tutti gli aspetti della vita sociale: lavoro, divertimento, salute. Ogni azienda e ogni individuo può accedere ad una enorme quantità di informazioni, e ne genera continuamente di nuove, soprattutto dati relativi alle sue attività. Questi dati possono essere raccolti ed analizzati e usati per intuire le nostre preferenze, prevedere le nostre scelte e indirizzare i nostri consumi.  Generiamo dati personali in ogni circostanza della nostra esistenza, compreso quando ci mettiamo alla guida di un veicolo per soddisfare le nostre esigenze di mobilità.

Attraverso le reti di bordo, su cui viaggiano i segnali che sovrintendono alle funzioni di guida, e la connettività verso i server Internet, una vettura di ultima generazione può generare e condividere una quantità di dati enorme, che possono essere utilizzati per gli scopi più diversi, sia commerciali che tecnici.

Questi dati sono in grado di generare opportunità di business per un vasto numero di player dell’ecosistema della mobilità quali, ad esempio, costruttori automobilistici, fornitori indipendenti di servizi di riparazione o manutenzione, assicurazioni, per arrivare anche ai distributori di carburanti, servizi di ricarica o ai fornitori di servizi logistici (hotel, ristoranti…). Non stupisce quindi che ci sia molta discussione intorno al tema dell’accesso ed utilizzo dei “

”: i dati generati dai veicoli connessi.

Rispetto all’accesso ai dati generati su veicolo ci sono due aspetti chiave che riguardano il “chi” ed il “come”.

Iniziamo dal “chi”. I dati generati a bordo veicolo non fanno eccezione rispetto alla normativa denominata General Data Protection Regulation (Gdpr), ovvero anche per questo tipo di dati è necessario esprimere il consenso all’uso da parte di persone terze; consenso che deve essere richiesto al guidatore e la cui evidenza deve essere conservata dal fornitore del servizio stesso. Si intuisce già un primo tema legato alla competizione tra differenti player, il costruttore automobilistico, che sviluppa e gestisce i sistemi di bordo, si trova in una posizione privilegiata nell’interazione con il guidatore. Il costruttore ha un rapporto diretto con il guidatore, e può condizionare la competizione tra i diversi fornitori di servizi.

Invece, l’accesso ad Internet, delle vetture, attraverso i servizi di connected car dei costruttori automobilistici risponde alla domanda sul “come”. Le cosiddette scatole telematiche, presenti in vettura grazie anche all’approvazione della normativa Ue sull’obbligatorietà del servizio di “chiamata di emergenza”, rendono possibile, al costruttore, scaricare in tempo reale i dati di interesse.

A seconda dei casi, poi, questi dati vengono messi a disposizione degli altri player attraverso dei server “off line” tramite i quali è possibile accedere ai dati di una specifica vettura, alle condizioni definite dal costruttore auto. Ad oggi la tecnologia a cui i costruttori guardano per la condivisione dei dati veicolo è quella del cosiddetto “extended vehicle”, ovvero trasferire i dati di ogni veicolo, organizzati e strutturati, su dei server che rappresentano appunto un’estensione, a terra, dei veicoli. Il concetto di “extended vehicle” è standardizzato dalla Iso 20077 “Road Vehicle – Extended Vehicle (ExVe) Methodology”.

Pur sembrando una soluzione ragionevole, l’Extended Vehicle, ha 2 difetti principali, che lo rendono poco pratico ed inefficiente per alcune applicazioni. La prima riguarda la qualità dei dati, che non sono accessibili in tempo reale, la seconda è che l’accesso alle informazioni è sempre mediato dai costruttori auto, che spesso sono in competizione con gli altri player che dovrebbero utilizzarli, e quindi possono godere di un vantaggio competitivo rispetto ad essi, potendo accedere in anticipo ai dati.

Per questo motivo una soluzione più equilibrata, promossa da diversi attori, ad esempio dalle lobby dei riparatori indipendenti, è quello di definire dei servizi di acceso ai dati direttamente su vettura e senza la mediazione di terze parti. Questa soluzione è stata caldeggiata all’interno del Motor Vehicle Working Group della Commissione Europea, gruppo di lavoro che coordina le azioni normative sul veicolo a livello Europeo.

Questo secondo modello, pur avendo indubbi vantaggi sotto l’aspetto sia della concorrenza equa tra i diversi fornitori di servizi che della libertà di scelta del fornitore di servizi da parte del proprietario del veicolo, ha delle implicazioni importanti dal punto di vista della cyber security.

Realizzare una piattaforma che consenta ad un qualsiasi operatore esterno, anche se qualificato, di interagire direttamente con le vetture, anche quando sono in movimento, porta a dei rischi di sicurezza importanti che rendono necessario uno sforzo per rendere cyber sicura una vettura molto impegnativo. Impegnativo ma non impossibile o impraticabile.

Un modello di piattaforma di questo tipo richiede la creazione di una partnership tra tutti gli attori dell’ecosistema di mobilità, finalizzata alla definizione di un modello di servizio “sicuro” e condiviso, e la definizione di un’autority preposta alla gestione ed al controllo della piattaforma di accesso e condivisione dei dati. Le iniziative di studio di modelli di questo tipo sono diverse, citiamo ad esempio “C-ITS: Cooperative Intelligent Transport Systems and Services” (ISO/TS 21184:2021).

Costruire un modello sicuro di scambio dati tra vetture e service provider non solo è possibile, ma è anche fondamentale per sviluppare un ecosistema di mobilità digitale in cui tutti gli operatori possano avere le stesse opportunità di business.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Approfondimenti

A
auto connesse
G
GDPR
P
privacy
V
vehicle data

Articolo 1 di 2