App a rischio privacy: ecco perché è importante leggere attentamente le condizioni di servizio e la privacy policy prima di installare un’app sul nostro dispositivo.
Che gli smartphone siano in grado di rivelare una molteplicità di informazioni non solo sui loro proprietari ma, indirettamente, anche sui loro familiari, amici e contatti è fatto ormai noto.
Altrettando indiscussa è la circostanza che molte di queste informazioni vengano quotidianamente registrate e archiviate nelle app che, installate sui nostri dispositivi mobili, vengono elette a custodi di un tesoretto di dati personali, spesso anche sensibili, dell’utente.
Oggi esiste un’app praticamente per tutto: per scambiare messaggi (es: Whatsapp e Telegram), per accedere ai social network (es: Facebook, twitter, LinkedIn e Instagram, solo per citare i più noti), per fare acquisti di qualunque tipologia di beni o servizi, per rimanere aggiornati su notizie e meteo, per fare incontri, per ascoltare musica o guardare film o video, per leggere giornali o libri, per giocare ai videogiochi, per pagare bollette e tenere sotto controllo le proprie entrate e uscite e persino per misurare prestazioni sportive e monitorare periodi di fertilità.
Facili da scaricare, veloci, semplici da utilizzare e, nella maggior parte dei casi, gratuite: queste le caratteristiche che le rendono così popolari.
Ma quanti di noi si sono mai posti seriamente il problema di quali rischi possono nascondere queste app sotto il profilo della tutela della privacy?
Da Faceapp a Zao, passando per le app di homebanking e le c.d. Femtech: una panoramica dei rischi per la nostra privacy che hanno interessato i quotidiani negli ultimi mesi.
Negli ultimi tempi svariate sono state le app che hanno fatto parlare di sé in termini di rischi per la protezione dei dati personali degli utenti.
Ultima in ordine di tempo è Zao, l’app cinese di proprietà della società Momo Inc. messa online solo lo scorso 30 agosto che consente, previo caricamento di alcuni selfie dell’utente, di sostituire il suo volto a quello degli attori di film famosi scelti da un catalogo di titoli prestabilito fornito dall’app stessa. La tecnica utilizzata è quella del face swapping (che tradotto letteralmente significa “sostituzione del volto”): l’app è in grado cioè di creare, in una manciata di secondi, un deep fake che sostituisce le sembianze dell’utente a quelle delle celebrities di Holliwood.
Risultato strabiliante: peccato solo che, leggendo i termini di servizio dell’app nella loro originaria versione (versione ad oggi modificata a seguito delle rimostranze da parte degli utenti) emergeva come tutti i contenuti generati dagli utenti fossero destinati a diventare oggetto di diritti gratuiti, irrevocabili, permanenti e liberamente trasferibili da parte della società proprietaria dell’app, circostanza questa che ha spinto una delle maggiori piattaforme social cinesi (Wechat) ad intervenire, consentendo ai propri utenti solamente la condivisione dei video creati con l’app ma impedendo loro di invitare i propri contatti ad utilizzarla, facendo a tal fine comparire il seguente messaggio “l’accesso a questa pagina è stato bloccato poichè contiene molti rischi sulla sicurezza“.
Passando dal faceto al serio, desta un certo sconcerto la diffusione dei risultati di una ricerca svolta da ImmuniWeb, dalla quale sarebbe emerso che, tra le app di servizi finanziari esaminate nel corso dell’indagine, ben 85 non superano il test di conformità al GDPR, 25 non sono protette da un web application firewall (WAF) e 7 contengono vulnerabilità note e sfruttabili da malintenzionati e che il 20% delle app di mobile banking contiene almeno una vulnerabilità di sicurezza ad alto rischio (fonte: Federprivacy).
Capitolo a parte occupano poi le app. c.d. di Femtech, espressione ottenuta dalla fusione dei termini inglesi “feminine” e “technology” coniata per la prima volta nel 2016 da Ida Tin (imprenditrice danese ideatrice dell’app Clue) e diventato di comune utilizzo per identificare genericamente tutte le app dedicate alla salute delle donne (es: quelle per il monitoraggio di ciclo mestruale, fertilità, ovulazione e gravidanza).
Pochi giorni fa Privacy International, un’organizzazione no profit londinese, avrebbe scoperto che alcune app utilizzate dalle donne per monitorare il ciclo mestruale, sintomi correlati e attività sessuale (nello specifico Maya, di proprietà della Plackal Tech con sede in India e MIA Fem, di proprietà della Mobapp Development Limited con sede a Cipro), inviano i dati sensibili delle milioni di donne che le utilizzano direttamente a Facebook.
Scoperta amara ma non nuova nel settore delle femtech; risale infatti ad aprile 2019 l’inchiesta pubblicata dal Washington Post relativa alle applicazioni dell’americana Ovia Health che, a detta dell’autorevole giornale americano, sarebbe responsabile della condivisione dei dati inseriti dalle utilizzatrici “con datori di lavoro e assicurazioni sanitarie che, sfruttando il sistema del welfare aziendale, vengono spinti in maniera sempre più invadente a raccogliere maggiori informazioni sulla vita dei loro dipendenti“.
A chiusura di questa carrellata non si può certo tacere di FaceApp, l’applicazione russa già on-line da un paio di anni ma divenuta virale negli ultimi mesi che, utilizzando algoritmi di intelligenza artificiale, consente di invecchiare i nostri volti mostrandoci quali sembianze avremo tra alcuni anni utilizzando un selfie scattato tramite l’app o caricandone uno dalla galleria fotografica del dispositivo.
Ancora una volta siamo di fronte ad un risultato divertente, che stuzzica la nostra curiosità; ma quanti utenti hanno letto la privacy policy dell’app prima di scaricarla?
Sarebbe infatti bastato leggerne qualche riga per scoprire che l’app si riserva di condividere i contenuti dell’utente e le relative informazioni (a titolo esemplificativo le informazioni rilevate dai cookies, i dati di posizione e di utilizzo) con le altre aziende facenti parte del suo gruppo, nonché con partner pubblicitari di terze parti.
Scorrendo l’informativa si scopre anche che registrandosi a Faceapp e utilizzando il servizio l’utente acconsente “al trasferimento di informazioni negli Stati Uniti o in qualsiasi altro Paese in cui FaceApp, i suoi Affiliati o Fornitori di servizi mantengono le strutture” e che Faceapp, pur dichiarando di utilizzare garanzie (che lei stessa in maniera autoreferenziale definisce “commercialmente ragionevoli”) per proteggere le informazioni raccolte tramite il servizio, dichiara espressamente di non poter “garantire la sicurezza delle informazioni trasmesse a FaceApp né garantire che le informazioni sul Servizio non siano accessibili, divulgate, modificate o distrutte.”
In pratica gli utenti, tramite FaceApp, hanno regalato i loro dati personali senza sapere a chi e per quale finalità.
Come fare per conoscere quali dati raccolgono le app che utilizziamo e per quale finalità lo fanno?
Trattasi di quesiti a cui si dovrebbe poter trovare una risposta leggendo le condizioni di servizio e la privacy policy relative a ciascuna applicazione mobile.
Il vero problema è che molto spesso gli utenti scaricano app di qualunque genere senza preoccuparsi di leggerle prima dell’installazione, esponendo i loro dati a svariati rischi, spesso anche accettando senza battere ciglio di concedere l’accesso alla rubrica, alla galleria, alla posizione, al microfono e alla fotocamera dello smartphone.
Che la problematica sia reale è confermato dall’attenzione da anni dimostrata sul punto dalle principali autorità straniere e italiane che si occupano di protezione dei dati personali.
Il Gruppo di Lavoro ex Articolo 29 (c.d. Working Party) se ne era occupato già nel 2011 con una opinion intitolata “Geolocation services on smart mobile devices” e nel 2013 con un parere (parere n. 2/2013) dedicato proprio alle applicazioni per dispositivi intelligenti.
Dello stesso tema si sono occupate anche Enisa (vedasi il documento intitolato “Privacy Anda Data Protection In Mobile Applications” pubblicato nel novembre 2017) e le Autorità Garanti riunite nella la 35° Conferenza internazionale tenutasi il 23 ed il 24 settembre 2013 a Varsavia (vedasi Dichiarazione di Varsavia sulla Applificazione della società del 24 settembre 2013).
Anche il Garante italiano per la protezione dei dati personali era intervenuto sul tema già prima dell’entrata in vigore del GDPR, pubblicando il video “APProva di privacy” contenente alcuni suggerimenti pratici per un uso consapevole delle app.
Dopo l’entrata in vigore del GDPR cosa dovrebbe essere specificato nell’ informativa privacy di un’app?
La nuova disciplina europea in materia di protezione dei dati personali (GDPR) prevede che l’informativa privacy di ciascuna app debba specificare:
– chi è il titolare del trattamento dei dati raccolti mediante l’utilizzo dell’app da parte dell’utente;
– se è presente un DPO e come l’utente può contattarlo per ottenere informazioni relative al trattamento dei suoi dati personali;
– quali dati vengono registrati nell’app e a quali altri dati presenti nel nostro dispositivo potrà avere accesso e per quale finalità;
– per quanto tempo verranno conservati i dati personali raccolti, avendo cura anche di specificare le tempistiche in caso di disinstallazione dell’app;
– a quali soggetti terzi potranno essere comunicati i dati personali e per quale finalità;
– quali sono i diritti dell’utente e come potranno essere esercitati;
– se vengono utilizzati processi decisionali automatizzati (es: profilazione);
– come circoleranno i dati personali raccolti e in quali Paesi potranno essere processati e trasferiti.
Come tutelarsi?
Il primo passo è quindi quello di leggere attentamente le condizioni di servizio e le privacy policy delle app, avendo cura di scegliere con cautela quali informazioni decidiamo di condividere con esse ed evitando di installare app con informative non chiare, incomplete o che richiedono il conferimento di dati sovrabbondanti rispetto al servizio offerto.
Inoltre, onde evitare il rischio di scaricare unitamente all’app anche virus e malware pericolosi per la sicurezza dei dati conservati nei nostri dispositivi, è importante anche rivolgersi esclusivamente ai market che offrono maggiori garanzie di controllo sul software e che consentono di leggere i giudizi degli altri utenti, utili sia per valutare la qualità delle app sia eventuali rischi per la privacy.
