Lo dice chiaramente Brittany Kaiser, l’ex direttrice dello sviluppo aziendale di Cambridge Analytica che ha deciso di collaborare con la giustizia: i dati sono il bene più richiesto sulla faccia della Terra, e di conseguenza anche il più prezioso. Non è una novità, non lo ha detto lei per prima, ma sentirlo pronunciare da chi, profilando gli utenti, è riuscita a influenzare almeno due dei voti più importanti dell’ultimo decennio – la Brexit e l’elezione di Donald Trump – fa un certo effetto. Nonostante questa certezza sia piuttosto diffusa, non si può dire che la consapevolezza della necessità di proteggere le informazioni che ci riguardano lo sia altrettanto.
Tra gli strumenti che più mettono a rischio le tracce che lasciamo in rete durante la navigazione online c’è lo smartphone, che ci rende molto più vulnerabili rispetto, per esempio, al personal computer. Sebbene sia un problema diffuso su tutti i telefoni, alcune ricerche dimostrano che non tutti i modelli ci espongono allo stesso modo: i meno costosi mettono i consumatori più a rischio di altri. Ne consegue che le persone con minori possibilità economiche sono anche le più vulnerabili e il loro diritto alla protezione dei dati è meno garantito rispetto a quello dei più benestanti. Per comprendere l’effetto sociale di questo problema, bisogna pensare che milioni di persone che vivono nei Paesi in via di sviluppo – dove spesso non esiste nemmeno la traccia di un’adeguata normativa sulla privacy – sono attualmente a rischio. Anche i consumatori occidentali che si affidano a marchi minori – per scelta o necessità – possono essere soggetti a rischi.
L’abbassamento del prezzo dello smartphone nell’ultimo decennio ha portato la penetrazione globale di questo prodotto dal 21% del 2014 al 35% del 2019. Si stima che entro il 2025 arriveremo a sfiorare l’80%: un dato positivo se si pensa che in molte aree del mondo il cellulare è l’unico mezzo di accesso a internet e che per molte persone in difficoltà – pensiamo per esempio ai migranti – questo rappresenta un fondamentale strumento di sopravvivenza. Se vogliamo guardare all’Italia, il trend è in linea con quello globale: l’83% degli italiani possedeva uno smartphone nel 2018, mentre nel 2015 solo il 65%. Siamo il terzo Paese al mondo per possesso di telefonini e tra le popolazioni che li usano di più, con una media di 1 ora e 53 minuti al giorno. Eppure, non è ancora diffusa nemmeno nel nostro Paese un’adeguata cultura sulla protezione dei dati.
Alla fine del mese scorso, l’ong britannica Privacy International ha pubblicato i risultati di una ricerca effettuata su un telefono MyPhone, un marchio filippino, acquistato alla cifra di 19 dollari. La prima cosa che hanno notato è che il telefono non supportava l’ultima versione di Android e quindi non integrava le patch, i miglioramenti che vengono installati con gli aggiornamenti e che avrebbero dovuto risolvere le vulnerabilità del sistema. In secondo luogo, il telefono presentava varie applicazioni preinstallate e non cancellabili che avevano accesso a tutta una serie di dati dell’utente, compreso il codice Imei, che identifica ogni device in maniera univoca. Non solo questi dati non erano protetti da adeguati protocolli di sicurezza, ma venivano usati per proporre servizi a pagamento legati al produttore del telefono e contenuti religiosi e politici.
Un’inchiesta del Wall Street Journal ha rivelato lo stesso di un telefono Singtech P10, venduto in Birmania e Cambogia. I dati – Imei, indirizzi Mac e posizione – verrebbero raccolti tramite il software di un’agenzia pubblicitaria, la General Mobile Corp, che collaborerebbe anche con Huawei e Xiaomi. La diffusione di Huawei nel nostro Paese, secondo i dati di Comscore, è aumentata del 413% in due anni (dati 2017), raddoppiando il numero di clienti (il 16% del totale) e solo ora è in leggero calo; quella di Xiaomi ha registrato un +48% solo nel primo trimestre del 2019.
I due studi sono solo la punta di un iceberg: una ricerca della Cornell University del 2017 ha analizzato smartphone di 200 marchi diversi e ha riscontrato che la maggior parte delle app preinstallate nei telefoni presentano grossi problemi di sicurezza. Sono gli stessi ricercatori a dire che persino il loro lavoro mostra solo “la superficie di un problema più ampio”. A preoccupare gli esperti è il fatto che durante le varie fasi di sviluppo del software e delle app preinstallate sui telefoni gli attori coinvolti sono tanti – vanno dalle aziende che realizzano l’hardware agli operatori, passando per le agenzie terze che si occupano di pubblicità e tracking – ma il processo non è trasparente. “Potenziali accordi e partnership, conclusi tra le parti in causa, potrebbero aver reso i dati degli utenti una merce ancora prima che questi abbiano acquistato il prodotto o abbiano deciso di installare un software di loro iniziativa”.
Molti degli utenti Android non sono a conoscenza né di che app sono installate nel proprio telefono, né tantomeno quali dati condividano. Per verificarlo, i ricercatori hanno valutato l’informativa sulla privacy di 6 nuovi modelli di marchi noti, tra cui anche Nokia, Sony, Lg e Huawei: “All’avvio, tre di questi non presentavano alcuna informativa sulla privacy, solo i termini di servizio di Android. Gli altri offrivano un’informativa che accennava solamente al fatto che avrebbero raccolto i dati degli utenti, compreso l’Imei, per servizi aggiuntivi. Da notare il fatto che il cliente non ha altra scelta se non accettare i termini del servizio Android, così come quelli della casa produttrice.” Lo stesso è stato riscontrato da una ricerca di Ranking Digital Right, un’Ong che si occupa di valutare la policy delle più grandi aziende dell’hi-tech e di internet: molte di loro non comunicano agli utenti efficacemente le informazioni di base che riguardano i telefonini. Peraltro, anche se le informative fossero esaustive, bisogna considerare che spesso non lasciano una reale scelta: non concedere l’autorizzazione, in molti casi, significa rendere il telefono inutilizzabile.
Il fatto che buona parte dei cellulari Android non sia sicuro lo sa anche Google, che ha ammesso come nel 2016 solo il 3% degli smartphone in giro per il mondo supportasse l’ultima versione del sistema e solo la metà avesse ricevuto gli aggiornamenti di sicurezza necessari. Questo perché i telefonini Android che non sono direttamente controllati da Google presentano delle modifiche al loro sistema operativo open source, che rendono più difficili gli aggiornamenti. Per rendere l’idea di quanto sia diffuso questo problema, basta guardare a un rapporto di Ranking Digital Right, che si è occupata di valutare le policy aziendali di alcuni tra i più grandi marchi per comprendere l’attenzione che dedicano alla tutela della privacy e della libertà d’espressione online dei loro utenti. Per fare un esempio, Samsung, che detiene la quota maggiore dei telefoni Android in circolazione nel mondo, ha ricevuto il secondo peggior punteggio in termini di protezione della privacy degli utenti, classificandosi nona su un totale di dodici grandi produttori.
Qualcuno potrebbe chiedersi: se non ho fatto nulla di male, cosa mi interessa? È una domanda lecita, ma ingenua. Prima di tutto, è una questione di diritto. L’articolo 12 della Dichiarazione Universale dei Diritti Umani dell’Onu del 1948 sancisce il diritto di ogni individuo alla tutela della sua privacy, contro ogni interferenza o lesione. Lo stesso principio è alla base della Carta dei diritti dell’Unione europea, poi diventata vincolante con il trattato di Lisbona del 2009: questo non solo tutela la riservatezza, ma anche il diritto alla protezione dei dati personali. C’è poi il recente Regolamento generale sulla protezione dei dati, in vigore dal maggio del 2018 a livello europeo, che interessa anche le aziende che hanno sede fuori dall’Unione europea nel momento in cui queste operino in uno Stato membro.
In secondo luogo, è una questione politica. Abbiamo visto in Occidente cosa è successo quando una compagnia spregiudicata ha appoggiato un tipo di propaganda o uno schieramento. In alcuni Paesi il controllo ha raggiunto un livello ancora superiore: Global Voices, un network di attivisti per la libertà di espressione in rete, ha riportato che, nell’agosto 2016, presunti hacker di Stato iraniani avrebbero inviato messaggi contenenti malware a diversi attivisti per i diritti umani. Attraverso questi, e sfruttando le vulnerabilità di Android, sarebbero stati in grado di accedere a tutti i contenuti del loro telefono, dalle telefonate agli sms passando per le foto, le registrazioni, la localizzazione e altri dati sensibili. Lo stesso sarebbe accaduto in Cina, dove le vittime sarebbero stati gli attivisti tibetani e uiguri. È lecito pensare che non si tratti di casi isolati, specialmente pensando allo stato di polizia che il governo cinese ha messo in piedi nella regione dello Xinjiang, dove vive la minoranza musulmana uigura.
È, infine, una questione di sicurezza personale: anche se vivessimo nel Paese più democratico e meno invasivo del mondo – e sfido a trovarne di tanto trasparenti – un telefono non sicuro ci rende vulnerabili anche a frodi, furti d’identità, truffe, stalking online e a tutta una serie di reati che vanno a colpire direttamente la nostra privacy in rete. Questa corrisponde sempre di più alla nostra privacy nella vita privata, perché con lo smartphone facciamo praticamente tutto.
Ecco perché quindi è necessario che si diffonda una maggiore consapevolezza tra i cittadini, affinché questi comprendano l’importanza della protezione dei loro dati, e tra le istituzioni, affinché adottino misure sempre più stringenti a tutela dei consumatori e degli utenti. Il Gdpr europeo è un ottimo inizio: è in vigore da poco più di un anno e molti grandi gruppi nell’ambito delle telecomunicazioni hanno già ricevuto sanzioni importanti. Tutti gli Stati si dovrebbero dotare di simili normative e la velocità con cui questo strumento si sta diffondendo anche tra le fasce più deboli della popolazione globale rende necessaria un’azione tempestiva, che tenga in considerazione il fatto che non tutti gli utenti sono uguali e che alcuni hanno minori possibilità di altri, ma lo stesso diritto di essere tutelati.