Privacy in pillole, dopo i pasti principali

By
Alessandra Cortese
-

“Un’offerta che non può rifiutare”

Il ricordo di un’estate che ha fatto capolino con i suoi 40 gradi più caldi di sempre, pelle abbronzata, il cellulare a temperatura da fusione nucleare che non consentiva neppure di pubblicare la foto col mare e le gambe a würstel o registrare un messaggio vocale – neanche una consonante – da inviare agli “amici social”, la spiacevole sensazione di essere fuori dal mondo in una gremita e assolata spiaggia siciliana come al T3 di Fiumicino.

Tutto questo, volatilizzato e archiviato come in un cloud, lascia spazio alle prime ed emozionanti piogge pre-autunnali, mentre nell’aria si mescolano gli inconfondibili profumi delle sagre di paese, ove l’immancabile foto del grugno della porchetta si memorizza automaticamente nell’album “selfie” del mio smartphone (combinando, non so per quale ragione, i miei caratteri distintivi con quelli di un delizioso suino…).

Nel corso degli anni si è potuto assistere a una sorta di “mutazione genetica” delle più comuni app (oltre che dei dispositivi informatici stessi) che, attualmente, consentono di utilizzare, inviare, scambiare, nonché memorizzare e combinare dati personali di ogni fattispecie, tutto ciò rappresentando una mercificazione e commercializzazione delle informazioni che gli utenti stessi cedono (in)consapevolmente per avere in cambio una qualche utilità metafisica[1]: migliorare l’esperienza di navigazione dell’utente e altre frasi altisonanti che si leggono nelle privacy policy – sempre che siano presenti – dei big di Internet.

A quale multinazionale non farebbe gola la possibilità di raccogliere in modo libero e gratuito le preferenze dei consumatori, per fare attività di profilazione e per venderle successivamente ai terzi dei terzi dei terzi?[2] “Embè, tanto siamo tutti controllati”, tutto questo per non prendersi la briga di cambiare una banale password (che il più delle volte è password o la data di nascita o addirittura il nome del fornitore del servizio o il nome del gatto Briciolo del vicino). Ma poi quanto fastidiosa è la telefonata dei call center nel momento in cui avviciniamo alla bocca la prima forchettata di penne al ragù, il cui profumo ci inonda già le narici e… lì no, non ci si vede più, bisogna denunciarli per violazione dei morsi della fame.

 “Ho visto cose che voi umani…”

app privacyChiunque possieda uno smartphone difficilmente non si lascia tentare o stuzzicare dall’incredibile varietà di applicazioni che consentono di usare il proprio dispositivo a pieno regime, ma solo pochi sono realmente consapevoli di quel che significa cedere al fascino della tecnologia, pagando, in termini di dati personali, un prezzo davvero alto; difatti, le nuove frontiere dell’informatizzazione ci portano, ormai, ad accedere al cellulare mediante il riconoscimento dell’impronta digitale o attraverso un semplice comando vocale, a scrivere i messaggi con la funzione dettatura e, quando la pigrizia fa da padrone, anche sulle comuni chat si preferisce inviare un messaggio vocale (prossimamente, non escludo che si possa accedere allo smartphone anche mediante il pungidito, una protezione a tutela rafforzata: il riconoscimento del DNA e allo stesso tempo la misurazione della glicemia…).

Ma al di là della comodità di non perdere tempo a scrivere, prevenendo anche la formazione del tunnel carpale o dito a scatto, che cosa comporta l’invio della propria voce nella rete?

Iniziamo dalla base, ovvero gli avvisi – poco rassicuranti – sulla privacy che mi dà il mio dispositivo, il quale non accetta il mio nichilismo tecnologico: “Ciò che dici e detti verrà registrato e inviato a Apple” e ancora “il tuo dispositivo invierà anche altre informazioni quali: il tuo nome e il tuo soprannome, i nomi, i soprannomi dei contatti presenti nella tua rubrica e la relazione che hanno con te (per es. papà); i nomi dei brani delle tue raccolte”, mentre WhatsApp – faccio riferimento agli strumenti indispensabili del quotidiano – mi spiega in comodo inglese che[3], accettando l’uso del servizio offerto, si autorizza automaticamente ed espressamente l’accesso, anche periodico – da parte di WhatsApp stesso – all’elenco dei contatti e numeri in rubrica per trovare e tenere traccia dei numeri di telefono ma, attenzione, specifica “non collezioniamo nomi, indirizzi o e-mail, solo i numeri di cellulare”. Non so voi ma questo mi rasserena! Dopo aver acconsentito all’intrusione dell’applicazione nel nostro dispositivo, accettato l’uso del microfono (che può attivarsi, anche questo, contro la nostra volontà, poiché l’abbiamo già espressa, ab initio, all’accettazione delle condizioni d’uso[4]) vediamo velocemente cosa ci dice in merito agli scambi di messaggi: “i messaggi che vengono inviati attraverso il servizio fornito non vengono archiviati, copiati o conservati nel corso della normale attività commerciale; generalmente il messaggio segue questo percorso: digitazione testo – invio – transito attraverso i server di WhatsApp – ricezione se il destinatario è online, qualora il destinatario non fosse online, il messaggio rimane nei server finché non è possibile consegnarlo, in ogni caso – si spera – se il messaggio non viene consegnato nei successivi 30 giorni, viene eliminato dal server, in quanto tecnicamente tutto il contenuto dei messaggi viene salvato nella memoria del telefono del mittente e del destinatario[5] ma, nonostante quanto previsto, WhatsApp – come qualunque altra app di messaggistica – si riserva la possibilità di conservare informazioni del messaggio, come la data e l’ora e come pure qualsiasi altra informazione che l’applicazione è legalmente tenuta a raccogliere.

Diversa è la sorte dei file: “i file inviati attraverso il servizio WhatsApp permarranno, dopo l’invio, sui nostri server per un breve periodo, ma – arriva il “ma” rassicurante – verranno purgati e svuotati di qualsiasi informazione identificabile entro un breve periodo di tempo conformemente alle nostre politiche di conservazione”. Tutto molto chiaro, ora però voglio sapere che fine fanno i miei file (audio, video, foto hot… o più comunemente xxx-files)? Quanto misura il breve periodo in cui i miei file permangono sul server? In che senso verranno svuotati delle informazioni identificabili entro un breve periodo? Prima, sostanzialmente, viaggiano con tutte le informazioni, ma quali? Quali sono le politiche di conservazione di WhatsApp?

Misteri che da anni non trovano alcuna risposta, che turbano la serenità di generazioni di utenti i quali già in tenera età temono per l’incolumità dei loro file e dati personali, ma gli esperti del paradigitale proveranno a dare soluzioni che vi lasceranno di stucco e che neanche voi immaginerete mai: tornare al n***a 3310!

“Mai dire a una persona non della famiglia ciò che ti passa nella testa!” 

PrivacyPrima di fare del puro terrorismo psicologico con le nostre teorie da giuristi disfattisti, è opportuno fornire alcuni strumenti e definizioni, quelli noiosi per intenderci, che ci consentono di aver contezza – almeno in termini giuridici – del fenomeno di cui ci stiamo occupando.

Preliminarmente bisogna distinguere se decidiamo di prendercela con un soggetto comune o direttamente con i vari Apple, Google (per i telefoni Android), Microsoft o Facebook/WhatsApp, tutto questo al fine di determinare la giurisdizione e individuare la normativa di riferimento, difatti in tale seconda ipotesi, automaticamente e nella maggior parte dei casi, accettiamo l’applicazione della legge dello Stato della California, dove hanno sede i colossi di Internet; ma per il momento meglio scendere con i piedi per terra, e accontentarci di far causa al vicino di casa che magari Internet non ce l’ha e non ha la sfortuna di leggere questo vademecum.

In Italia vige il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196 che abroga e sostituisce la  legge 31 dicembre 1996, n. 675)[6] che definisce all’art. 4 co. 1 lett. b, come personali quei “dati e informazioni relativi ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”, ossia informazioni che riguardano una persona la cui identità è manifesta­mente chiara o può almeno essere accertata mediante l’ottenimento d’informazioni supplementari.

Pertanto, sono da intendersi tali tutti quei dati trattati con strumenti elettronici, o contenuti su atti e documenti cartacei, come il nome e il cognome, la data di nascita, numero di telefono, e-mail, immagini stampate o digitalizzate, la voce e tutte le caratteristiche biometriche di un individuo, ovverosia quegli elementi distintivi di un soggetto che lo rendono identificabile (all’art. 4 co. 1 lett. c, vengono definiti “dati identificativi” quei dati personali che permettono l’identificazione diretta dell’interessato).

Tali dati, nel momento in cui vengono comunicati a terze persone ed entrano nella loro “disponibilità materiale”, possono essere suscettibili di conservazione, consultazione, elaborazione, registrazione, comunicazione, diffusione, distruzione e archiviazione in banca dati; tutte queste operazioni costituiscono “trattamento” ai sensi dell’art. 4 co. 1 lett. a, del Codice Privacy[7].

“C’eravamo tanto amati” 

Arriviamo agli esempi pratici, quelli che piacciono tanto a noi e che rendono meglio l’idea: siete depressi e sconfortati, avete problemi di cuore, invece di andare a parlare coi vostri genitori – che se si dovesse applicare loro il Codice sulla Privacy per le modalità, a dir poco discutibili, del trattamento delle vostre confidenze, a quest’ora sarebbero stati condannati migliaia di volte[8] – decidete di sfogarvi sui social indirizzando un infinito numero di improperi alla persona che amavate e con la quale fino a qualche settimana prima vi mostravate in foto stile famiglia mulino bianco. Seguono post in cui la vostra bacheca si trasforma in un muro del pianto: ecco, non stupitevi se nelle prossime 24 ore riceverete e-mail riguardanti offerte strepitose come “Prozac puro al 100%, due scatole al prezzo di una” o “Lexotan al gusto di fragola, ora in offerta solo per te” (perché magari quattro settimane fa avete postato una foto della frutta di stagione), o sul blog del vostro ex, sulla destra, vi appare “Bisogno di aiuto? Scrivi al tuo psicologo online, oggi star bene non è mai stato così facile” e infine la telefonata dal call center in cui vi propongono di sostituire il numero preferito con cui parlate illimitatamente (rectius parlavate), con quello di vostra madre (o quello di comare Maria) aderendo all’offerta “Single Special Card”.

Ecco che a questo punto avrete la percezione – e non si tratta di mera percezione, ve lo diciamo noi, ma di realtà – che l’intero universo sia consapevole della vostra disavventura amorosa e la vostra paranoia sarà tale da voler ricorrere al gesto più estremo, staccare la spina, ovverosia l’eutanasia digitale!

“Non se butta via niente” 

Twitter Peccato che la rete non dimentichi, sarebbe bello poter esercitare il diritto all’oblio come Dio comanda! Beh, che stupidaggini, le proprie cose non vanno scritte sui social, lo sanno tutti, come tutti sanno che le conversazioni su Viber e Skype possono essere intercettate, che vengono salvate sui server e non criptate (quantomeno per la prima applicazione… per la seconda basti sapere che i governi possono accedervi), ah no forse non lo sapevate!

La rete è un po’ come il pozzo di San Patrizio, o come rompere il vaso di Pandora, tutti i dati circolano in chiaro, criptati, accessibili o meno dai provider (o dalle autorità), frazionati, interi, combinabili con altri, un miscuglio di informazioni che possono far sapere vita, morte e miracoli di chiunque abbia anche solo un indirizzo di posta elettronica.

Per concludere col botto ho deciso di condividere con voi i risultati di una ricerca dell’Electronic Frontier Foundation in cui confrontando varie applicazioni si evidenzia quanto – ed è evidente che lo siano – le conversazioni digitali siano sicure. Già rido immaginando le vostre facce alla fine di questa lettura.

Andiamo per ordine, nel rispetto dell’analisi fatta numererò ciascun criterio usato dalla fondazione e poi assegnerò i numeri a ciascuna applicazione se tale criterio è presente (insomma, daremo i numeri).

  1. La comunicazione è criptata in transito – questo criterio richiede che tutte le comunicazioni di tutti gli utenti, nel loro percorso, siano criptate.
  2. La comunicazione è criptata attraverso una password e il provider non può avervi accesso – Questo criterio richiede che tutte le comunicazioni dell’utente siano cifrate con la crittografia end-to-end, significa che le chiavi necessarie per decriptare i messaggi devono essere generate e conservate presso gli endpoint (vale a dire dagli utenti, non dai server). Le chiavi non dovrebbero mai lasciare gli endpoint se non con un’azione specifica dell’utente, come ad esempio per il backup di una chiave o sincronizzare le chiavi tra due dispositivi.
  3. È possibile verificare in modo autonomo l’identità del proprio corrispondente – questo criterio richiede che esista un metodo incorporato per consentire agli utenti di verificare l’identità dei soggetti con cui stanno interagendo e l’integrità del canale di comunicazione, anche se il fornitore dei servizi o altre terze parti sono compromessi.
  4. Le conversazioni vecchie sono sicure se le chiavi vengono rubate – tale criterio richiede che l’applicazione fornisca la segretezza per il futuro, cioè che tutte le conversazioni debbano essere criptate con delle chiavi che vengono cancellate abitualmente (insieme con i valori casuali utilizzati per ricavarle). È imperativo che tali chiavi non possano essere ricostruite dopo la cancellazione, anche se è stato dato l’accesso. Tale criterio richiede la presenza della crittografia end-to-end del punto 2.
  5. Il codice è aperto a una revisione indipendente – questo criterio richiede che una sufficiente parte di codice sorgente sia stata pubblicata e che una implementazione compatibile possa essere compilata in maniera indipendente. Ciò che si richiede è che tutto il codice che può influire sulla comunicazione e sulla crittografia eseguita dal client, sia disponibile per la verifica di eventuali bug, back doors e problemi strutturali.
  6. L’architettura della crittografia è ben documentata – tale criterio richiede che vengano date spiegazioni chiare e dettagliate sulla crittografia utilizzata dal programma: gli algoritmi, come vengono generate le chiavi, conservate e scambiate, il ciclo di vita di ciascuna chiave e il processo di modifica.
  7. C’è stato un controllo di sicurezza indipendente – questo criterio richiede che sia stata effettuata una verifica sulla genuinità della sicurezza da un’autorità indipendente (che non sia la casa di produzione) nei dodici mesi prima dell’ultimo aggiornamento di questa ricerca (giugno 2015)[9].

Adesso vediamo i livelli di sicurezza delle applicazioni più comuni:

  • BlackBerry Messenger: criterio 1 presente;
  • Cryptocat: criteri 1, 2, 3, 4, 5, 6 e 7 presenti[10];
  • Chat di Facebook: criteri 1 e 7 presenti;
  • Facetime: criteri 1, 2, 4, 6 e 7 presenti;
  • Google Hangouts: criteri 1 e 7 presenti;
  • iMessage: criteri 1, 2, 4, 6 e 7 presenti;
  • Skype: criterio 1 presente;
  • Snapchat: criteri 1 e 7 presenti;
  • Telegram: criteri 1, 5, 6 e 7;
  • Viber: criterio 1 presente;
  • Whatsapp: criterio 1[11] e 7 presenti;
  • Yahoo Messenger: criterio 1 presente.

Bene, dopo aver infranto candidamente le vostre più che radicate convinzioni sulla privacy (prevedo perciò livelli altissimi di eutanasia digitale), non mi resta che invitarvi a un buon uso dei vostri smartphone e delle app connesse, perché anche voi un giorno potreste ritrovarvi in Tribunale a dover spiegare come mai da una registrazione su WhatsApp o su Viber risulta che aspettavate che il corriere vi portasse dieci chili di roba dalla Sicilia – e le paste di mandorla si sa che sono roba pesante!

Tratto da una storia vera:

Mangiando il minestrone la tenera bambina – che poco amava zucchine, peperoni e melanzane – disse “mamma ma qui c’è una zucchina” e la mamma rispose “Tesoro, io ho messo tutto nel frullatore, capita che non frulli tutto”.

Morale della favola: possiamo provare in tutti i modi a cancellare dati e file personali, ma ci sarà sempre una zucchina che sopravviverà.

E morale della morale, WhatsApp ci rammenta:

“A good rule of thumb is if you don’t want the whole world to know something or see something, don’t submit it as a Status Submission to the Service” che tradotto in francese sarebbe “Non fari nenti si voi non si sapi nenti”[12].

 

NOTE

[1] Dai risultati di uno studio condotto da alcuni ricercatori dell’Università Iulm di Milano è emerso che i “naviganti” sono disposti a cedere senza reticenza i propri dati personali in cambio di uno sconto su dei prodotti acquistabili online; sembrerebbe sufficiente uno sconto medio del 5,75% sul prezzo per stimolare la cessione di dati come sesso, data di nascita, provincia di residenza, mentre occorrono sconti medi del 9,27% per accedere a e-mail, numero di telefono, nome e cognome, indirizzo preciso. Tale tendenza ha destato non poche preoccupazioni in capo al Garante della Privacy, il quale teme che se un soggetto può influire sulla distribuzione delle notizie attraverso la targettizzazione delle informazioni, allo stesso tempo può influenzare l’opinione pubblica.

[2] Voi non ve ne state accorgendo, ma mentre leggete, mappiamo la vostra iride determinando un profilo completo di voi lettori, per mandarvi messaggi subliminali e manipolare la vostra mente!

[3] D’accordo, riporto l’informativa in lingua originale “You expressly acknowledge and agree that in order to provide the Service, WhatsApp may periodically access your contact list and/or address book on your mobile device to find and keep track of mobile phone numbers of other users of the Service. When providing your mobile phone number, you must provide accurate and complete information. You hereby give your express consent to WhatsApp to access your contact list and/or address book for mobile phone numbers in order to provide and use the Service. We do not collect names, addresses or email addresses, just mobile phone numbers.”

[4] Che il 90% degli utenti non legge, il 6% ha tentato di leggerne le prime righe e si è addormentato beatamente, il 3% ha letto solo le parti in grassetto, perché si sa la tecnologia favorisce la lettura frammentaria (iniziamo con i luoghi comuni), il restante 1%, tipo la sottoscritta, che non ha manifestamente niente da fare, le legge.

[5] Contenuto che viene trasmesso alla casa di produzione dello smartphone in fase di backup in cloud e che risiede in server dislocati nell’Isola che non c’è sotto la giurisdizione di Capitan Uncino. Se non avete capito, vi invito a partecipare al DIG.Eat il 14 ottobre 2015 per un approfondimento più serio.

[6] Questo sconosciuto che dovrebbe essere impiantato nella memoria di tutti, come la formazione della squadra dell’Italia, i nomi dei vincitori di Amici e quelli del gruppo di burraco che si riunisce dietro l’angolo.

[7]Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”.

[8] “Me figghiu si fici zitu, u sai cu cui? Ca soru du figghiu du nonnu di chiddu riccu” ‘mmare Maria:“Ma cui? Chidda che prima stava cu Iaffiu? Poveru carusu quanti corna ci fici”. Traduzione per i non terroni: “mio figlio si è fidanzato, lo sai con chi? Con la sorella del figlio del nonno di quello ricco” comare Maria: “ma chi? Quella che prima stava con Alfio? Povero ragazzo quante corna gli ha fatto.” Esempio tipico di pettegolezzo analogico, ovverosia senza l’ausilio di strumenti informatici; tenete presente che in poche ore la notizia è di dominio pubblico, forte di un passaparola e di strategie di comunicazione ben radicati sul territorio.

[9] Per consultare la ricerca in lingua originale https://www.eff.org/secure-messaging-scorecard

[10] Lo so che state già googlando su questa applicazione, noi vi vediamo.

[11] Crittografia end-to-end inserita solo da poco e solo per i messaggi scritti, per tutto il resto (file, registrazioni audio, foto e video) mi dispiace distruggere i vostri sogni.

[12] Non fare niente se non vuoi che si sappia niente!

Facebook Comments

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here