La guida

App a tutela della privacy: ecco quali sono e come funzionano

Il mercato ha reso disponibili diverse soluzioni per tutelare gli utenti del web dai tracker: in questo vademecum, la descrizione delle principali app privacy e il loro utilizzo

26 Mag 2020
C
Barbara Calderini

Legal Specialist - Data Protection Officer


Il mercato propone app attente alla privacy presentate come soluzioni per oscurare le nostre impronte digitali mentre navighiamo sul Web, per combattere i tracker. Questi, intercettando i nostri dati, abilitano in forma pervasiva il tracciamento, spesso illegittimo, dei nostri comportamenti e delle attività che svolgiamo con i nostri device.

Le soluzioni disponibili, però, ancora oggi sono tutt’altro che ideali e soddisfacenti e richiedono, molto spesso, importanti e pesanti compromessi. Vediamo qual è la situazione.

App privacy: presidi digitali contro i tracker

I tracker (ampiamente utilizzati ad esempio da GetResponse e MailChimp), si declinano in varie forme: un singolo pixel invisibile inserito in un’e-mail, o persino i collegamenti ipertestuali incorporati in un messaggio. Stando ad alcune ricerche, i tracker vengono ora utilizzati con una percentuale cha arriva al 60 percento di tutte le e-mail inviate.

Molti processi di targeting inziano dai “cookie”: una tematica attuale ed importante sulla quale si avrà modo di tornare in un’altra occasione stante che proprio in Europa la Direttiva europea sulla e-privacy, ormai peraltro prossima alla sua revisione, è stata da sempre ignorata dalla maggioranza dei siti Web a cominciare dai stessi progettisti. Non è una novità che i sistemi di tracciamento siano già in funzione prima della manifestazione di consenso dell’utente per i cookie di terze parti.

Ed è all’interno di tutto questo vasto complesso panorama tecnologico, che sono emersi servizi quali Disconnect.me e Jumbo? Probabilmente anche questi nomi ai più suoneranno familiari. Certamente lo sono alle maggiori testate giornalistiche specie d’oltreoceano che ne sono, in alcuni casi, anche primi sostenitori;  lo sono agli attivisti dei diritti umani e, dopo Cambridge Analytica lo sono diventati sempre di più.

Rappresentano due tra le start-up di nuova generazione che sviluppano e promuovono, attraverso applicazioni dedicate, specifici servizi digitali definiti da alcuni come “gatekeeper digitali”. Una sorta di “presidi” al  corretto funzionamento delle impostazioni sulla protezione delle informazioni personali presenti nei nostri smarthpone, dispositivi vari e nei vari account che abbiamo nel tempo creato (e magari mai aggiornato e di cui ignoriamo i termini di servizio).

E tuttavia, anche in questo caso, il rovescio della medaglia riporta il peso dell’immanente compromesso: le specifiche funzioni che quelle app privacy mirano ad assolvere richiede, infatti, la preventiva concessione di una larga autonomia di gestione, come l’accesso e la disponibilità per buona parte dei nostri dati personali. Nel caso della VPN ad esempio, sarebbero in grado di monitorare tutto il nostro traffico in rete. La decisione se utilizzarle o meno va dunque ponderata sulla base di un’esauriente conoscenza del loro funzionamento e della loro effettiva utilità.

Il parametro di giudizio migliore rimane quello della fiducia o accountability, per usare un termine molto in voga ultimamente, il cui significato a mio modo di vedere, malgrado la sua insita vaghezza, risiede appunto nella “dimostrazione di essersi meritati la fiducia”. Un compito alto quanto arduo per le relative app.

Il mercato delle app privacy

Di seguito, analizziamo nel dettaglio alcune app privacy.

Disconnect.me

Disconnect.Me è un’app sviluppata per i due ecosistemi di applicazioni mobili dominanti, Apple iOS e Android, da ex collaboratori di Google. Il suo ingresso nel mercato non fu tra i più semplici. Nel 2015, infatti,  i creatori Disconnect instaurarono un contenzioso contro Google dinanzi alle autorità europee. Il motivo: l’esclusione della app Disconnect.Me dal Play Store di Google. E le accuse della start up si inserirono nel medesimo frangente temporale in cui Google era già impegnato con le ben note accuse antitrust mosse dalla Commissione UE, e che porteranno alla condanna dello stesso. Le conseguenti sanzioni sono oggetto di impugnazione pendente presso la Corte Europea.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Network Security

Oggi, ad ogni modo, Disconnect.Me è presente in Google Play. Combina essenzialmente tre servizi: adblocker, firewall e VPN e si avvale della crittografia e della tecnologia VPN per rendere le informazioni sicure. Dichiara di riuscire ad impedire ai tracker la raccolta delle attività svolte online: dalla password, alle informazioni finanziarie e sanitarie. Prevede tre versioni: una base gratuita e due, una Pro (solo per IOS) e una Premium, a pagamento con funzionalità incrementate, compreso l’uso permanente della VPN su un massimo di tre dispositivi. Per intenderci è l’applicazione che è stata scelta da Mozilla per il lancio di Firefox Quantum nel 2017. Ed è stato nominato lo strumento preferito per la privacy dal New York Times nel 2016, 2017 e 2018.

Jumbo

Pierre Valade, fondatore dell’app Jumbo, è lo stesso ideatore dell’accattivante calendario Sunrise acquistato da Microsoft nel 2015. Jumbo è stata lanciata ad aprile 2019 solo per IOS, ma gli sviluppatori del team preannunciano, a breve, anche una release per Android. È pensata come un “assistente personale” capace di gestire le esigenze di data protection dell’utente, compresa la rimozione di contenuti e dati obsoleti da piattaforme come Google, Amazon Alexa, Tinder, Facebook, Instagram e Twitter.

Ad esempio, la funzione Twitter Cleaner  elimina i vecchi tweet dal social, mentre contemporaneamente esegue il backup degli stessi all’interno del dispositivo in modalità accessibile solo all’utente dell’account Jumbo: “un caveau di Twitter e solo tu hai la chiave”. Si legge nella loro pagina web. Su Google, elimina la cronologia delle ricerche. Elimina le registrazioni vocali memorizzate da Alexa. Su Facdebook limita la visibilità dei vecchi post. Ciò non deve lasciare intendere che i contenuti saranno, da allora in poi, visibili  “solo a te”; Facebook continuare ad averne accesso specie se non sussistono corretti settaggi delle impostazioni privacy proprie del social.

Dalla pagina web di presentazione dell’app si apprende che attualmente Jumbo esegue la scansione solo di Facebook, Google, Twitter, Amazon e del darkweb. Instagram, LinkedIn e altri arriveranno in un secondo tempo. Offre quattro servizi principali di protezione:

  • sicurezza (dark web, autenticazione a due fattori);
  • gestione delle impronte digitali (vecchi tweet o post di Facebook; cronologia delle ricerche);
  • monitoraggio e personalizzazione delle profilazioni (monitoraggio degli annunci, stato online dei social media);
  • monitoraggio dei tag e della visibilità dei contenuti (informazioni sul profilo, tag di Facebook e visibilità dei post).

Nei suoi tiri di vendita non è casuale trovare il riferimento al caso Cambridge Analytica. Il CEO di Jumbo ha tenuto a sottolineare che “nessun dato dell’utente viene condiviso con l’applicazione e neppure memorizzato su server remoti. Tutte le elaborazioni vemgono svolte lato client dialogando con le varie piattaforme social”. Agisce dunque come una sorta di longa manus per nostro conto ed infatti, richiede una delega ampia: nome utente e password degli account social con i quali si intende interagire.

Prevede tre profili di diverso rigore e restrizioni: debole, medio e alto, a cui corrispondono altrettanti settaggi predefiniti delle impostazioni presenti nei social coinvolti. Ad oggi non è ancora possibile esportare una copia dei backup eseguiti dall’applicazione per nostro conto ma , stanti anche le problematiche sottese al rispetto del diritto di portabilità degli utenti europei, pare che Valade stia sviluppando la connettività Dropbox e iCloud, che funzionerà anche in modo retroattivo per scaricare  ad esempio i tweet rimossi dalla bacheca del social. Rimane in ogni caso un’app piuttosto pesante e limitante il sistema in cui si installa: dalla battery drain, al consumo di memoria interna, e utilizzo della rete.

Bouncer

Si tratta diun’app a pagamento, sviluppata da Sam Ruston, uno sviluppatore piuttosto popolare per la sua app  Weather Timeline. Si presenta come un “gestore” dei permessi richiesti dalle applicazioni installate sui nostri dispositivi. Troppo spesso, infatti, la gestione degli utenti si limita alla supina e disinformata accettazione dell’ormai noto “concedi”. Un limbo indefinito al quale Bouncer vorrebbe ovviare, richiedendo all’utente la disponibilità di accedere, per suo conto, alle impostazioni delle numerose app installate. In breve Bouncer interviene concedendo il permesso, solo qualora il rilascio dello stesso sia necessario per la funzionalità specifica dell’app di turno: accedere alle foto memorizzate per utilizzare un app editor photo, ad esempioDi default, infatti, i permessi sono tutti negati e, l’utente, può in ogni momento personalizzare le proprie scelte per ciascuna app.

Tor browser

Tor Browser, acronimo di  The Onion Router (la cipolla richiama l’incapsulamento dei dati in vari livelli di crittografia) si basa su Mozilla Firefox ed è già noto a molti giornalisti per la sua capacità di assicurare l’anonimato della navigazione web, by-passando anche le restrizioni imposte da diversi governi di tutto il mondo. Nasce nel 2008 da un team di sviluppatori, ricercatori e finanziatori, tra cui anche la Electronic Frontier Foundation, chiamato Tor Project.  Un’organizzazione no-profit molto eterogenea ma unita, a loro stesso dire “da una convinzione comune: gli utenti di Internet dovrebbero avere accesso privato a una rete senza censure”. Meno chiara è invece la funzione che Tor svolge quando si propone di proteggere l’anonimato di chi gestisce uno specifico sito e la sua vicinanza al Dark Web.  Mni riferisco ai siti identificati dal dominio “.onion” a volte, a torto o a ragione, collegati con traffici illeciti di droga e armi.

Nella loro pagina web è reso disponile il Tor Social Contract , ovvero l’insieme dei principi alla base della loro associazione e che determinano chi può farne parte e perché hanno deciso di sviluppare Tor. Ovvero:  promuovere e proteggere i diritti umani essenziali delle persone, ovunque. Così sostengono. Come funziona: In breve rimbalza il traffico Internet generato dai nostri dispositivi tra più server in tutto il mondo, creando una rete parallela gestita da volontari e governata dal principio della casualità della scelta dei server di approdo. Nessuno dei nodi coinvolti sarebbe in grado di identificare il mittente del segnale: ogni nodo riuscirebbe quindi solo a decifrare il precedente strato di crittografia rivelando il livello successivo e le istruzioni su come instradare poi i dati.

Tor è anche un’ app stabile, disponibile su Google Play e pronta per essere installata su qualsiasi telefono o tablet Android. Il corrispondente IOS è Onion Browser, ed è presente sull’Apple Store. Il  team ha recentemente lanciato un appello a chiunque voglia contribuire al miglioramento dei servizi disponibili, invitandoli all’ Internet Freedom Festival (IFF) in programma per la primavera 2020: “Stiamo organizzando un villaggio con attività sulla privacy, l’anonimato e l’anti-censura basate su Tor. L’IFF si svolgerà dal 20 al 24 aprile 2020 a Valencia, in Spagna, e il Tor Village si svolgerà negli ultimi due giorni, il 23 e il 24 aprile”, spiegano.

IoT Assistant

Si tratta probabilmente dell’app privacy più recente. Disponibile per IOS e Android, è stata sviluppata da un team di ricercatori della School of Computer Science della  Carnegie Mellon University, sotto il coordinamento del professor Norman Sadeh, con l’intento di informare gli utenti su quali tecnologie IoT sono attorno a loro e quali dati stanno raccogliendo. Dalle telecamere pubbliche con funzionalità di riconoscimento facciale, ai beacon Bluetooth che intercettano la nostra posizione nei centri commerciali, ai campanelli intelligenti stile Ring di Amazon; l’app IoT Assistant si dice in grado di scoprire i dispositivi IoT a portata dei nostri dati e di ottimizzare di conseguenza le apposite impostazioni di controllo presenti sui device in uso.”In base a normative come GDPR e CCPA, ci sono requisiti per comunicare in modo più esplicito non solo la presenza di tecnologie di monitoraggio e sorveglianza e ciò che raccolgono, ma anche di dare alle persone un controllo su ciò che viene raccolto e su come i dati possono essere utilizzati.”così Norman Sadeh , Professore dell’Institute for Software Research.

È concepita come soluzione anche per gli stessi proprietari dei dispositivi IoT che, infatti, possono utilizzare un portale online basato su cloud per pubblicare la presenza dei loro dispositivi IoT in appositi registri strutturati per tioplogia e aree fisiche di pertinenza. Ma anche in questo caso il “diavolo potrebbe nascondersi nei dettagli”. Il progetto è stato sovvenzionato nell’ambito del programma di ricerca sulla privacy Brandeis della DARPA e finanziato dal programma Cyberspace sicuro e affidabile della National Science Foundation e nella policy privacy presente viene specificato: “Gli uffici del governo federale che supervisionano la protezione delle persone nella ricerca avranno anche accesso ai registri di ricerca per garantire la protezione delle materie di ricerca. I rappresentanti degli sponsor della ricerca (DoD e NSF) sono autorizzati a rivedere i registri della ricerca”.

App privacy: la dimensione del monitoraggio

Parliamo di un sofisticato ecosistema di terze parti, non sempre legittimate, fatto di attori social-mediatici (ed i social media si estendono ben oltre Facebook), di tecnologie domotiche perennemente in osservazione o in ascolto, di reti pubblicitarie, broker di dati e società di data-analysis che raccolgono, analizzano e quindi “stimano” le nostre impronte digitali. Si servono dei cookie; dei tag di identificazione alfanumerici unici che consentono ai tracker di identificare gli individui. Da lì, alla formazione di “cluster” specifici su cui basare le complesse strategie e tattiche di pubblicità programmatica, non sempre legittima o gradita, il passo è breve. Chi è consapevole di tali attività dietro agli schermi? Chi determina chi può saperlo? Di fatto l’inconsapevele gestione dell’utente sui suoi dati regna sovrana.

Il New York Times, in un articolo di Jennifer Valentino-DeVires, Natasha Singer, Michael H. Keller e Aaron Krolikdel dicembre 2018, ha messo in evidenza come alcune app raccolgano dati dettagliati sulla posizione dagli utenti anche quando queste non sono in uso. L’articolo documenta come questi dati apparentemente anonimi possano, in realtà, indentificare gli individui dai loro movimenti. Soteris Demetriou, docente di Sistemi di Sicurezza presso il Dipartimento di Informatica presso l’Imperial College di Londra e direttore di APSS – Applications and Systems Security Lab, ha dichiarato: “Le pubblicità che vedi sono il risultato di enormi quantità di dati che le aziende hanno su di te. Condividono una grande quantità di informazioni attraverso reti pubblicitarie alimentate da macchine- algoritmi di apprendimento estremamente potenti (…) e oggi hanno la capacità di sapere efficacemente a cosa potresti essere interessato anche prima di te”.

Un sondaggio del 2019 condotto dal Pew Research Center, su 4.272  tra il 3-17 giugno 2019, ha rilevato che gli utenti statunitensi è convinto che le proprie attività online e offline vengano monitorate sia dalle aziende che dal governo con una certa regolarità e  che la raccolta dei dati presenti più rischi che benefici. A tale percezione però non corrisponde la dovuta diligenza nel prestare attenzione alle politiche sulla privacy e ai termini di servizio che i servizi digitali utilizzano. Ammesso e non concesso poi che ciò potrebbe bastare per garantire una corretta e completa informazione. L’ignoranza delle leggi in materia di protezione dei dati è altresì evidente.

L’esperimento noto con il tag #googlemapshacks dell’artista Simon Weckert e dei suoi 99 smartphone dismessi, a spasso in un carretto, per le vie prospicenti l’headquarters di Google, è un efficace rappresentazione di quanto la tecnologia abbia assunto nei confronti degli individui, forme invasive ed indiscriminate, tanto da condizionarne pesantemente lo sviluppo nella società e nelle sue abitudini di vita. Come ben rilevato nel Il Report 2020 Amnesty International “Surveillance Giants”, il vero valore dei servizi  forniti dai sercizi digitali ha un importante costo sistemico che coinvolge direttamente la libertà e la dignità degli individui.

Conclusione

“L’esperienza umana è ormai materia prima gratuita che viene trasformata in dati comportamentali… e poi venduta come “prodotti di previsione” in un nuovo mercato quello dei “mercati comportamentali a termine’…dove operano organizzazioni desiderose solo di conoscere il nostro comportamento futuro”.

Termini come questi si leggono nel libro di Shoshana Zuboff  “The Age for Surveillance Capitalism”. The Fight for a Human Future at the New Frontier of Power. È chiaro il legame profondo che lega libertà, dignità e protezione dei dati.

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

Se, dunque, senza un’adeguata e forte tutela delle informazioni che ci riguardano, specie nella loro proiezione digitale e tecnologica, rischiamo sempre di più di essere discriminati, sorvegliati, classificati e selezionati;  se, sempre più difficile ci appare la possibilità di agire autonomamente come individui di una società libera, allora sarebbe il caso di domandarsi se sia giusto lasciare che l’autoregolamentazione “di fatto concessa” agli esponenti dei modelli di business della “data driven economy” possa continuare a gestire e controllare ampi aspetti del processo di cambiamento in atto e delle istanze di protezione dei diritti umani in esso insite. Direi sicuramente di no.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5