UCTAT Newsletter n.89 – maggio 2026
di Martina Mulinacci
Regoli la temperatura del forno dall’ufficio per quando sarai a casa. Le tapparelle si alzano da sole quando arrivi. Il termostato impara i tuoi orari. Il frigorifero sa cosa ti manca e ti manda la lista della spesa. Quelle mansioni una volta gestite da esseri umani, ora sono alla portata di (quasi) tutti. Ma ogni volta che uno di questi dispositivi funziona, esegue un ordine che non abbiamo dato noi, e nel frattempo raccoglie dati. La domanda che raramente ci poniamo è: dove vanno, a chi appartengono, e chi decide come vengono usati? Ma soprattutto, di chi e quanto ci fidiamo?
La smart home (l’abitazione dotata di dispositivi connessi a Internet capaci di comunicare tra loro e con servizi esterni) viene presentata quasi sempre come una soluzione di comfort, risparmio energetico e sicurezza, ed è effettivamente così. Termostati intelligenti, sistemi di illuminazione automatica, videocitofoni, elettrodomestici connessi, sensori di presenza. Una casa connessa però, non è solo un edificio con un sistema chiuso, è anche un nodo computazionale collegato in permanenza a reti esterne. In altri termini, è un terminale della città digitale, quella rete diffusa di infrastrutture, piattaforme e servizi che raccoglie, elabora e distribuisce informazioni su come viviamo, ci muoviamo, consumiamo energia, usiamo il tempo. Il mondo IoT (Internet of Things), la rete di oggetti fisici dotati di sensori, software e connettività che permette loro di scambiare dati con altri dispositivi e sistemi, è cresciuto a una velocità tale che ha superato di gran lunga la capacità normativa e progettuale di governarlo. Oggi, oltre l’80% delle abitazioni negli Stati Uniti contiene almeno un dispositivo smart[1], e la tendenza europea segue la stessa direzione. In Italia, il mercato della domotica (il sistema che integra e automatizza le funzioni di un’abitazione) ha registrato una crescita costante nell’ultimo decennio, accelerata dall’interesse per l’efficienza energetica e dal superbonus edilizio.
Il problema non è la tecnologia in sé ma la permeabilità invisibile che produce. Per secoli l’architettura domestica ha costruito dispositivi fisici di separazione e protezione: muri, soglie, filtri, sequenze tra spazio pubblico, semipubblico e privato. In alcuni casi la sfera privata è stata esposta, ma nella quasi totalità delle abitazioni, la privacy è l’elemento fondamentale attorno al quale si costruisce e anche la normativa segue questa visione. La casa connessa invece introduce una permeabilità che non ha forma spaziale riconoscibile: i dati escono senza fare rumore, velocemente e in massa.
Come si può apprendere dalla lezione del prof. Alessandro Barenghi[2], qualsiasi oggetto che esegue un programma va considerato come un computer/calcolatore (anche la bilancia del supermercato ad esempio). Ci sono ovviamente tanti vantaggi nel trasformare oggetti semplici in piccoli computer che eseguono comandi e trasformano dati/informazioni, tra cui anche garantirgli una vita più lunga (aggiornando il software). È importante capire però che se un oggetto ha all’interno un calcolatore connesso in rete, non è più un “semplice” frigo, bilancia, etc., ma dal punto di vista della sicurezza informatica è un computer con accessori e periferiche. Quando usiamo questi oggetti ci fidiamo del fatto che il programma che è installato faccia esclusivamente quello che vogliamo. Non è necessariamente così (basti pensare che per “scaricarsi di ogni responsabilità” i produttori di oggetti smart invitano a non parlare di informazioni sensibili davanti ai loro prodotti nel contratto di utilizzo). Però la scelta di capire che cosa fa quel programma c’è, l’unico ostacolo è che richiede competenze specifiche e sono in pochi ad averle (controllare il codice sorgente non è un compito banale anche per chi comprende la materia).
Uno studio pubblicato su Scientific Reports nel 2025, condotto su un dataset di 2,5 milioni di contatori intelligenti (gli smart meter[3], dispositivi che misurano i consumi elettrici in tempo reale) ha dimostrato che bastano cinque misurazioni consecutive per re-identificare con una precisione superiore al 90% le singole abitazioni, anche quando i dati vengono degradati o pseudonimizzati. In altre parole, l’anonimizzazione, da sola, non protegge. I pattern di consumo energetico di un’abitazione sono sufficientemente unici da funzionare come un’impronta digitale della vita domestica. Da quei dati è possibile inferire orari, presenze, abitudini, condizione socioeconomica e, con tecniche più sofisticate, persino lo stato occupazionale degli abitanti. Questo vale per i contatori, ma il principio si estende a qualsiasi dispositivo connesso: un termostato intelligente sa quando siamo in casa e quando no; un frigorifero smart conosce le nostre abitudini alimentari; un assistente vocale come Alexa o Google Home registra frammenti di conversazione nell’ambiente domestico, una videocamera di sicurezza registra anche cosa facciamo in real time. Ognuno di questi oggetti è, potenzialmente, una finestra aperta su ciò che accade dentro la sfera più privata che abbiamo.
Qui emerge una contraddizione che la normativa attuale fatica ancora ad affrontare in modo pratico. Il consenso al trattamento dei dati (il documento che firmiamo, o accettiamo cliccando, quando attiviamo un dispositivo smart) viene dato da un singolo utente, quello che configura il sistema, ma la casa è frequentata da più utenti. Uno studio pubblicato su Discover Internet of Things nel 2025 (Kaufman & Hoffner) identifica proprio nella presenza di stakeholder multipli (il proprietario di casa, gli inquilini, gli ospiti, i collaboratori domestici, etc.) che hanno tutti interessi diversi rispetto allo spazio e ai dispositivi che lo abitano. Quando un assistente vocale è attivo in cucina, chiunque entri in quella stanza viene registrato senza aver firmato niente, spesso senza saperlo. Si crea un’asimmetria di autorità in cui un unico “amministratore” prende decisioni che riguardano tutti.
Il Regolamento Generale sulla Protezione dei Dati (GDPR[4]), in vigore nell’Unione Europea dal 2018, prevede all’articolo 7 il diritto di revocare il consenso in qualsiasi momento, con la stessa semplicità con cui lo si è accordato. In teoria, dunque, ogni utente coinvolto nel trattamento dei dati domestici dovrebbe poter esercitare questo diritto. In pratica, quanti dispositivi IoT domestici offrono un’interfaccia chiara per farlo? Quanti utenti sanno che questo diritto esiste? La distanza tra il principio normativo e la sua applicabilità concreta è ancora molto ampia.
C’è un secondo livello del problema, altrettanto importante: i dati domestici hanno un valore economico reale, e chi li raccoglie lo sa benissimo. Acquisto un frigorifero smart a un prezzo elevato e quella cifra serve a coprire il costo dell’hardware e del software, nonché dell’assistenza, ma il produttore sa anche che il dispositivo genererà nel tempo un flusso continuo di informazioni sulle mie abitudini alimentari. Quei dati possono essere ceduti a terzi, utilizzati per profilazione commerciale, venduti ad aziende alimentari o assicurative. Ho acquistato un prodotto a caro prezzo ma che comunque non è solamente mio; ho anche finanziato la costruzione di un asset di dati che non mi appartiene. Chi produce guadagna due volte e io sto pagando per vendere i miei dati senza sapere nemmeno a chi.
Questo non significa che la raccolta dati sia intrinsecamente sbagliata. Significa che la stessa raccolta può avere finalità radicalmente diverse, e che la differenza conta. Dati energetici aggregati e anonimi, usati per ottimizzare le reti elettriche o condurre ricerche sull’efficienza degli edifici, hanno un valore pubblico enorme: chi lavora su progetti di efficientamento energetico e sulla rigenerazione del patrimonio edilizio lo sa bene. Il monitoraggio continuo dei consumi reali se fatto con finalità dichiarate, è uno strumento prezioso che supera di gran lunga l’affidabilità di quanto è riportato dagli utenti in merito ai propri comportamenti. Si tratta di un modello completamente diverso da quello in cui gli stessi dati vengono usati per profilazione o per alzare i premi assicurativi. La differenza è nella trasparenza, nelle finalità e nel consenso granulare e informato: una differenza che le norme cominciano ad affrontare, ma che il mercato tende a mantenere opaca.
Il tema della consapevolezza si fa ancora più urgente quando si considerano le fasce di utenza più vulnerabile. Per anziani soli, persone con disabilità, bambini, i dispositivi assistivi domestici (sistemi di telemedicina, sensori di caduta, monitor per la salute) sono un’opportunità concreta di autonomia e sicurezza. Ma queste sono le persone meno in grado di comprendere cosa stanno accettando quando attivano questi servizi e molto spesso le più esposte a usi impropri dei dati raccolti. Un sistema di monitoraggio sanitario domestico che trasmette dati a una piattaforma assicurativa può trasformarsi in uno strumento di discriminazione.
L’Unione Europea ha costruito negli ultimi anni un apparato normativo ambizioso, che vale la pena conoscere anche fuori dal perimetro strettamente tecnico. Il GDPR stabilisce principi come la minimizzazione dei dati (raccogliere solo ciò che è strettamente necessario), la limitazione della finalità (usarli solo per lo scopo dichiarato), la trasparenza e il diritto di revoca del consenso. La Direttiva NIS 2, adottata nel 2022[5], estende gli obblighi di sicurezza informatica a una platea più ampia di operatori, compresi i fornitori di servizi digitali integrati nelle infrastrutture urbane. La novità più rilevante per il settore domestico è il Cyber Resilience Act (CRA), il cui iter europeo si è concluso nel 2024 con l’entrata in vigore progressiva fino al 2027. È il primo strumento normativo europeo che introduce obblighi di cybersecurity by design per i prodotti con elementi digitali, inclusi i dispositivi IoT domestici. I produttori saranno tenuti a garantire aggiornamenti di sicurezza per tutta la durata del ciclo di vita del prodotto, a documentare le vulnerabilità e a notificare le violazioni. È un cambiamento significativo perché sposta parte della responsabilità dal singolo utente al produttore, dove è più ragionevole che stia. Nonostante questo quadro normativo sempre più articolato, una rassegna sistematica della letteratura scientifica europea pubblicata nel 2026 su Smart Cities (Papaioannou et al.) evidenzia come la sua applicazione concreta rimanga frammentata: le diverse normative si sovrappongono parzialmente, i ruoli tra produttori, operatori di servizio e utenti finali restano spesso mal definiti, e i cittadini continuano a essere trattati come soggetti passivi la cui privacy deve essere tutelata, piuttosto che partecipanti attivi nella progettazione dei sistemi che li riguardano.
Tutto questo pone una questione che riguarda direttamente chi progetta gli spazi in cui viviamo. L’architettura del Novecento ha saputo incorporare, non senza resistenze, una serie di parametri che oggi consideriamo ovvi, come igiene, ventilazione, illuminazione naturale, accessibilità, efficienza energetica. È servita una combinazione di pressione normativa, ricerca, cultura professionale per arrivare a questo punto e oggi la dimensione digitale si trova in quella fase, riconosciuta a parole ma quasi sempre ignorata nella pratica progettuale e nei capitolati. Quali standard minimi di sicurezza dovrebbero entrare come criteri di qualità abitativa, al pari della classe energetica o dell’abbattimento delle barriere architettoniche? La normativa comincia a dare risposte ma quelle progettuali sono ancora quasi tutte da costruire.
L’idea di base rimane quella di non demonizzare le smart technologies, che semplificano di fatto la vita e spesso la migliorano, riducendo i consumi, aumentando l’autonomia, permettendo di monitorare la salute e rendendo gli spazi più reattivi ai bisogni di chi li abita. Ma ogni sistema connesso è anche un contratto implicito, scritto in caratteri piccoli, che scambia comodità con dati e finché questo contratto rimane implicito, finché non sappiamo (o non vogliamo sapere) con precisione cosa cediamo, a chi, per quanto tempo, per quale finalità e con quale possibilità di tornare indietro, non stiamo esercitando una scelta ma stiamo subendo una condizione. La domanda non è se usare la tecnologia, è a quale prezzo, e se quel prezzo lo stiamo davvero scegliendo.
Bibliografia
Voyez et al., “The privacy cost of fine-grained electrical consumption data”, Scientific Reports, 2025;
Kaufman & Hoffner, “Smart home and spaces with multiple stakeholders: automation, conflicts, security and recommender systems”, Discover Internet of Things, 2025;
Papaioannou et al., “Cybersecurity and Regulatory Compliance in Smart Cities: A Comprehensive Review”, Smart Cities, 2026;
Ishaq & Farooq, “Exploring IoT in Smart Cities: Practices, Challenges and Way Forward”, University of Management and Technology, Lahore;
Regolamento UE 2016/679 (GDPR);
Direttiva NIS 2 (UE 2022/2555);
Cyber Resilience Act (UE 2024/2847).
[1] https://nypost.com/2025/12/09/lifestyle/more-than-8-in-10-american-homes-now-contain-smart-tech-survey/?
[2] Conferenza Sicurezza e Privacy 2023: di quali elementi del nostro computer ci fidiamo? Delle applicazioni? Del sistema operativo? Dell’hardware? Una riflessione su “trusting trust”. https://www.youtube.com/watch?v=v9tsUIp9C1M
[3] https://www.edps.europa.eu/data-protection/our-work/publications/techdispatch/techdispatch-2-smart-meters-smart-homes_en
[4] Regolamento UE 679/2016, “GDPR”. Altri regolamenti a livello europeo: Direttiva UE 2018/844; Regolamento UE 1087/2018, “FFD”; Direttiva UE 770/2019; Direttiva UE 771/ 2019
[5] Altre normative a livello Nazionale: D.lgs. 196/2003 (codice della privacy); l. n. 205/2017, c.d. legge di bilancio 2018; d.lgs. 101/2018; l. n. 145/2018, c.d. legge di bilancio 2019; d.l. n. 34/2020, c.d. Decreto Rilancio, l. n. 77/2020.
URBAN CURATOR TAT 