PET sta per Privacy Enhancing Technologies, che in italiano suona letteralmente come “tecnologie di miglioramento della privacy”. Si tratta di un approccio alla privacy nato in ambito accademico, ma che sta rapidamente crescendo di interesse in diversi mercati. L’idea di base è di garantire la protezione dei dati ed estrarli evitando la visibilità dei dati personali.

Secondo Gartner, entro il 2025 il 50% delle grandi organizzazioni adotterà tecnologie PET in ambienti non attendibili e in casi d'uso di analisi dei multiparty data (Top Strategic Technology Trends for 2021, ottobre 2020).

Il topic sale rapidamente tra i trend (topic) anche perché recentemente Google ha reso in modalità open source due nuove tecnologie, finora utilizzate solo internamente, pensate proprio in quest’ottica.

Gli strumenti rientrano nell’iniziativa Protected Computing di Google che si pone l’obiettivo di cambiare il modo e il luogo in cui i dati vengono elaborati. Il primo, Magritte, disponibile su GitHub, si basa sul machine learning e rileva automaticamente oggetti da oscurare all’interno di un video.

Mentre Fully Homomorphic Encryption Transpiler permette di eseguire calcoli su dati crittografati senza dover accedere a informazioni di identificazione personale. Il secondo strumento risulta particolarmente utile nei contesti finanziari, nella Sanità e negli ambiti istituzionali, dove si ha bisogno di trattare dati sensibili, ma nel pieno rispetto della privacy.

I Governi si interessano alle Privacy Enhancing Technologies

Il Governo USA e quello della Gran Bretagna hanno lanciato una iniziativa congiunta, indicendo dei bandi specificamente dedicati all'approccio PET. D’altronde, è evidente che tecnologie di questo tipo soddisfano pienamente i requisiti del GDPR e di qualsiasi normativa mondiale in tema di trattamento di dati personali. Anzi, sono state studiate appositamente.

Il PET è anche allo studio di Meta, ma sia Google che Apple lo hanno già sperimentato, per esempio negli schemi di tracciamento dei contatti durante la pandemia. Attualmente, l’unica azienda che si dedica espressamente al PET è Enveil, fondata da ex appartenenti alla United States Intelligence Community con esperienze in matematica, algoritmi e machine learning.

Uno dei pilastri su cui si basa la tecnologia PET è la crittografia omomorfica – che permette di elaborare dati crittografati senza decrittografarli. Per questo si sfrutta la Secure Multi-party Computation, un modello di elaborazione che calcola una funzione su dati input mantenendoli nascosti. I sistemi PET, inoltre, devono operare in ambienti di elaborazione “attendibili”, ovvero in porzioni in qualche modo isolate dal sistema operativo principale.

Il Soft Pet in fondo è già tra noi

I sistemi PET, inoltre, si distinguono in “soft” e “hard”, dove il primo prevede il coinvolgimento di una terza parte nell’elaborazione. Il TLS, Transport Layer Security utilizzato dai client di posta elettronica, nella messaggistica istantanea e contenuto all’interno dell’HTTPS è un classico esempio di soft PET. L’hard PET, invece, non coinvolge terze parti nella gestione dei dati, e può essere garantito dall'uso di una VPN.

Attualmente gli usi più comuni dell’approccio PET riguardano la crittografia e la cosiddetta “pseudonimizzazione” in cui si modificano i campi dati sostituendoli con pseudonimi.

Come accennato, tra i mercati più interessati alla questione c’è certamente il Finance, alle prese con norme molto stringenti nell’uso dei dati personali ma che, allo stesso tempo, hanno necessità di monitorare e individuare frodi e riciclaggio. Evidentemente, l’obiettivo è simile anche nei contesti governativi. Nella Sanità, invece, i dati sui pazienti sono fondamentali per gli studi clinici e la sperimentazione farmacologica ma, anche in questo caso, è obbligatorio trattarli con estrema delicatezza.

Come e perché integrare il PET in azienda

Dal punto di vista operativo, uno strumento PET si integra come livello aggiuntivo all’interno del framework applicativo ma, in questa fase, è necessario procedere con i piedi di piombo. Questo perché siamo ancora in estrema sperimentazione. Per esempio, si deve ancora avere delle garanzie sul fatto che l’aggiunta di un layer di elaborazione sui dati non ne comprometta la velocità.

L’approccio corretto è dunque di capire internamente, o con l’aiuto del partner di tecnologia, se sia realmente necessario il ricorso a strumenti PET. Ciò significa, in pratica, chiedersi di che tipo sono i dati trattati e quanto si sia GDPR compliant.

Allo stesso tempo, non deve essere la corsa alla compliance il principale motivo di interesse. Ma piuttosto un approccio etico alla cybersecurity orientato a maggior tutela e protezione.