Negli ultimi anni, mi sono trovato a rispondere a diverse domande riguardo l’uso dei profili psicologici come strumento per orientare le decisioni nel piano di sensibilizzazione.
L’idea è la seguente: determinare il profilo psicologico dei nostri utenti attraverso diverse tecniche e algoritmi, e con queste informazioni fornire contenuti di sensibilizzazione adattati alle necessità di ciascuna persona. Inoltre, realizzare simulazioni di phishing specifiche per sfruttare le debolezze di ogni profilo.
Un profilo psicologico può essere determinato facilmente mediante l’uso di sondaggi, oppure in modo meno trasparente tramite chatbot o intelligenza artificiale.
Al di là del fatto che l’uso di questi profili nella sensibilizzazione è un metodo per il quale non esistono prove sufficienti che ne attestino l’efficacia, c’è qualcosa di ancora più importante: Il profilo psicologico di una persona è una informazione clinica.
Per questo motivo, se prevediamo di eseguire test psicologici sui nostri utenti, archiviare queste informazioni e prendere decisioni al riguardo, dobbiamo fare molta attenzione.
Vediamo cosa implica questo nell’ambito del GDPR:
Accesso alle informazioni
Una piattaforma di sensibilizzazione può normalmente essere accessibile da:
- Il responsabile della sicurezza o della tecnologia della nostra organizzazione.
- Gli analisti o il team responsabile della gestione del piano di sensibilizzazione della nostra organizzazione.
- Il personale del partner che fornisce il servizio di sensibilizzazione gestito.
Se la piattaforma contiene informazioni sui profili psicologici dei nostri utenti, ci troviamo in una situazione davvero delicata. Questo tipo di informazione sensibile è normalmente riservata al personale specializzato in psicologia, che ha un ruolo definito all’interno dell’organizzazione e gestisce queste informazioni con il massimo riserbo. Solo queste persone dovrebbero poter vedere informazioni, report o qualsiasi dato relativo ai profili psicologici degli utenti.
Trasparenza
Gli utenti della nostra organizzazione devono comprendere come verranno elaborati i loro profili psicologici.
Qui potremmo affrontare diverse difficoltà. Se stiamo utilizzando, ad esempio, un sondaggio, possiamo spiegare il processo in modo chiaro e semplice. Se la nostra piattaforma di sensibilizzazione elabora i profili tramite algoritmi o strumenti di IA, è davvero molto difficile che possiamo conoscere i dettagli di questo processo e ancora più difficile trasmetterlo in modo chiaro affinché tutti nella nostra organizzazione possano comprenderlo.
Questo è rilevante perché questa comprensione è quella che poi permette alle persone di esercitare i loro diritti di privacy ed è anche alla base del punto successivo.
Consenso
Se gestiamo informazioni relative alla salute dei nostri utenti, dobbiamo ottenere il loro consenso. Questo implica che gli utenti comprendano perché intendiamo determinare e archiviare queste informazioni, come le utilizzeremo e quali possibili implicazioni in termini di privacy potrebbero avere per loro. Questo consenso deve inoltre essere chiaramente dimostrabile e tracciabile.
Discriminazione e pregiudizi
Se utilizziamo i profili psicologici per raggruppare i nostri utenti e prendere decisioni al riguardo (come inviare una simulazione di phishing mirata o adattare un messaggio di sensibilizzazione), dobbiamo tenere a mente che stiamo adottando una pratica che è eticamente discutibile.
I test psicologici possono basarsi su modelli che riflettono pregiudizi o stereotipi che possono portare a decisioni ingiuste o discriminatorie.
Conclusioni
Se intendiamo creare, archiviare e utilizzare i profili psicologici dei nostri utenti nel nostro programma di sensibilizzazione, dobbiamo prestare davvero molta attenzione, poiché potremmo commettere una violazione grave della privacy.
I dati clinici sono altamente confidenziali. Se non vengono adottate le misure adeguate per proteggere la privacy dei nostri utenti, c’è il rischio di violare i loro diritti fondamentali alla privacy e alla protezione dei dati.
Detto questo e arrivati a questo punto dell’articolo, è il momento di fare affidamento sul nostro giudizio come responsabili della sicurezza informatica: è davvero rilevante il profilo psicologico dei nostri utenti per raggiungere gli obiettivi del nostro programma di sensibilizzazione? Esistono prove che supportano l’uso di questo metodo per sviluppare una cultura della sicurezza? Abbiamo gli strumenti e i consigli legali necessari per garantire che il nostro programma sia conforme e rispetti regolamenti così rilevanti come il GDPR?
Concetti come la Due Diligence e la Due Care sono fondamentali quando rispondiamo a queste domande. Speriamo che queste riflessioni siano utili per prendere decisioni professionali e informate riguardo i programmi di sensibilizzazione.
Fonte
Questo articolo si basa sull’analisi effettuata dall’avvocato Marcelo Temperini, esperto in Diritto Informatica, Privacy e Cybercrime, nel suo articolo: I pericoli dei test psicologici nella prevenzione delle frodi e nel rispetto del GDPR
Lascia un commento