HP sta affrontando alcune vertenze legali, promosse come class action da parte dei consumatori. Pietra dello scandalo è la decisione di HP di bloccare la stampante quando l’utente dovesse utilizzare cartucce non originali. Il meccanismo di “autoprotezione” introdotto dalla multinazionale statunitense si chiama Dynamic Security (Sicurezza dinamica) e arriva sulle stampanti degli utenti finali attraverso un aggiornamento del firmware.
Se aggiornare il firmware della stampante può risultare importante in molti casi, ad esempio allorquando fossero scoperte vulnerabilità di sicurezza importanti, dopo la diffusione della notizia circa il nuovo comportamento di molti di modelli di stampanti HP, tanti utenti preferiscono non scaricare e installare gli update più recenti. HP ha in questo caso ottenuto l’effetto contrario: tanti consumatori che si servono di cartucce compatibili si astengono dall’applicare il firmware aggiornato per non incorrere in blocchi della stampante. Allo stesso tempo, però, possono restare vulnerabili ad alcuni problemi di sicurezza.
Secondo HP il blocco della stampante mira a scongiurare eventuali infezioni malware
Nel corso di un’intervista rilasciata alla CNBC, il CEO di HP, Enrique Lores, ha rilasciato una dichiarazione che sta facendo discutere: “abbiamo verificato che è possibile incorporare malware nelle cartucce. Attraverso la cartuccia, il malware può passare alla stampante e dalla stampante, diffondersi all’interno della rete“.
Al momento, anche a valle di approfondite ricerche, non sono noti attacchi informatici che utilizzino attivamente le cartucce delle stampanti per infettare la rete locale e, prima ancora, la stampante stessa. Anche la comunità degli esperti di sicurezza si mostra decisamente scettica.
Graham Sutherland, ad esempio, scrive: “ho visto e fatto alcune cose davvero insolite sull’hardware nella mia vita, inclusa la memorizzazione di dati nascosti all’interno delle EEPROM SPD su moduli di memoria DIMM. (…) L’affermazione (del CEO di HP, n.d.r.) risulta estremamente improbabile anche in un ambiente di laboratorio, figuriamoci nel mondo reale, e soprattutto ai fini di colpire aziende o individui anziché specifici soggetti“.
Un argomento del quale HP aveva iniziato a parlare già nel 2022
Eppure HP sostiene che i chip presenti sulle cartucce, utilizzati come microcontroller, possono costituire una via d’accesso per gli attacchi. Una ricerca del 2022 svolta da Actionable Intelligence cita il lavoro di un ricercatore che aveva trovato un modo per hackerare una stampante attraverso una cartuccia d’inchiostro di terze parti. Lo studioso, tuttavia, non è riuscito a eseguire lo stesso hack con una cartuccia HP.
Shivaun Albright, responsabile della sicurezza delle soluzioni di stampa HP, aveva parlato di un errore di buffer overflow che, in alcune circostanze, avrebbe potuto consentire l’iniezione di codice nel dispositivo vulnerabile.
HP ammette però che non ci sono prove dell’utilizzo di un hack del genere “in natura”. Tuttavia, la tesi dell’azienda è che essendo i chip utilizzati nelle cartucce d’inchiostro di terze parti riprogrammabili, devono necessariamente essere considerati meno sicuri. E mette in dubbio anche le misure di sicurezza delle catene di approvvigionamento utilizzate dalle società che producono cartucce compatibili.
Protezione della proprietà intellettuale
Se da un lato la comunità degli esperti di sicurezza sostiene che la modalità di attacco descritta da HP possa essere plausibile ma di scarsa fattibilità pratica (richiederebbe un alto livello di risorse e competenze), l’utilizzo di Dynamic Security sembra uno strumento a protezione della proprietà intellettuale.
D’altra parte, è lo stesso Lores a farlo presente nelle prime battute dell’intervista: “è importante proteggere la nostra proprietà intellettuale. (…) Quando identifichiamo cartucce che violano la nostra proprietà intellettuale, fermiamo il funzionamento della stampante“.
Se da un lato il brand e l’affidabilità del marchio potrebbero essere buoni motivi per optare per una cartuccia di marca HP rispetto a quella di terze parti, tali decisioni dovrebbero tipicamente essere lasciate ai clienti, non imposte tramite aggiornamenti del firmware.
Quando HP lanciò Dynamic Security nel 2016, sosteneva che la funzione avrebbe fornito “la migliore esperienza per il consumatore” proteggendo anche chi usa cartucce che violano la proprietà intellettuale dell’azienda. A distanza di anni e dopo diversi aggiornamenti del firmware, il quadro sembra più sbilanciato sul secondo punto.
Lores ha anche aggiunto che HP perde denaro quando vende una stampante mentre guadagna con la commercializzazione, ad esempio, dei consumabili. Ecco quindi che la società sta investendo sempre più sui piani di abbonamento: i programmi come Instant Ink possono accrescere il valore di un cliente di circa il 20%, aveva osservato Marie Myers, CFO di HP a dicembre 2023. Indicando Instant Ink come una delle aree chiave di crescita per HP.
L’investimento è di HP sul cliente che acquista stampanti
Come accennato in precedenza, HP ha affrontato e sta sostenendo diverse cause legali in relazione al blocco della funzionalità del dispositivo a causa dell’utilizzo di cartucce di terze parti. Alcuni analisti si sono chiesti, quindi, perché la società continui a battere la stessa strada.
Quando un consumatore acquista una stampante HP, considera questa attività come un investimento nell’azienda. Una dimostrazione di fiducia. In realtà Lores spiega: “ogni volta che un cliente acquista una stampante, per noi è un investimento. Stiamo investendo in quel cliente e se questo cliente non stampa abbastanza o non utilizza i nostri materiali di consumo, è un cattivo investimento“.
HP si aspetta quindi che i clienti che hanno già pagato per una stampante continuino a investire sui prodotti dell’azienda per anni. Di contro, i clienti che comprano una stampante auspicano completa libertà, compresa la possibilità di usare qualunque tipo di consumabile (sotto la loro esclusiva responsabilità, anche in termini di durata e affidabilità della stampante…).
Senza l’individuazione del giusto compromesso, il consumatore potrebbe non fare nemmeno l’investimento iniziale (ovvero l’acquisto della stampante). In questo modo non ci sarebbe neppure margine per promuovere programmi in abbonamento come Instant Ink.