Vai al contenuto

privacy

Podcast RSI – Microsoft Word autosalverà i documenti nel cloud. E se Trump lo spegnesse?

Questo è il testo della puntata dell’8 settembre 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.

Il cloud è indubbiamente comodo. I nostri dati, i nostri documenti di lavoro sono facili da condividere, sono accessibili ovunque, in maniera agile e fluida, tramite tutti i nostri dispositivi, quando li mettiamo nel cloud, cioè li depositiamo in un sito accessibile via Internet solo da noi e dagli altri utenti che autorizziamo.

Ma cosa succederebbe se qualcuno spegnesse quel cloud? Quanti dei vostri processi di lavoro si fermerebbero completamente? Ce l’avete una copia locale dei vostri dati più importanti? Provate a pensarci un momento. Improvvisamente, niente mail. Niente OneDrive di Microsoft. Niente Google Drive. Niente Amazon Web Services. Siti web inaccessibili. Banche in tilt. Sistemi di gestione degli ospedali paralizzati. Aziende bloccate. Tutto fermo.

Non per un attacco informatico, ma perché il governo degli Stati Uniti ha ordinato a questi grandi gestori di cloud, che sono tutti statunitensi, di interrompere i loro servizi alle persone, alle aziende o alle pubbliche amministrazioni dei Paesi che osano disubbidire alle richieste politiche sempre più invadenti e surreali dell’attuale presidenza a stelle e strisce. Uno scenario che fino a poco tempo fa sembrava pura fantasia distopica, ma che le crescenti tensioni fra Washington e l’Europa rendono oggi oggettivamente plausibile, tanto che politici e tecnici ne discutono seriamente. E qualche avvisaglia di questa plausibilità c’è già stata.

Beh, direte voi, ma se scrivo un documento con Microsoft Word, per esempio, questa app me ne salva automaticamente una copia sul mio computer. Se il cloud non dovesse funzionare per qualunque motivo, ci potrei lavorare lo stesso. Per ora sì, ma attenzione, perché Microsoft sta per invertire le regole: Word salverà automaticamente i documenti nuovi nel cloud, e lo stesso faranno anche Excel e PowerPoint. E così il cloud diventerà ancora più indispensabile, e quindi usabile come strumento di ricatto, se non è un cosiddetto cloud sovrano, di cui gli utenti cioè hanno il pieno controllo.

Benvenuti alla puntata dell’8 settembre 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Microsoft sta per cambiare in maniera molto importante il modo in cui funzionano Word, Excel e PowerPoint per Windows in versione desktop. Oggi per salvare nel cloud di Microsoft o aziendale i documenti creati con queste applicazioni è necessario abilitare manualmente quest’opzione. Prossimamente, invece, queste diffusissime app salveranno automaticamente i documenti nel cloud e se l’utente ne vorrà avere una copia locale, usabile anche quando non c’è accesso a Internet, dovrà ricordarsi di salvarli manualmente sul proprio dispositivo.

Questa novità è stata presentata da Microsoft a fine agosto come un vantaggio, e per moltissimi utenti sarà sicuramente così: i documenti saranno accessibili ovunque, anche su un dispositivo Android o iOS, e le modifiche fatte su un dispositivo saranno sincronizzate automaticamente su tutti gli altri. Il salvataggio sarà automatico, per cui non ci sarà il rischio di chiudere o interrompere una sessione di lavoro dimenticandosi di salvare i cambiamenti fatti. La collaborazione diventerà più facile. Inoltre i documenti salvati nel cloud saranno immediatamente elaborabili dalle varie intelligenze artificiali di Microsoft.

Proprio quest’ultimo punto, però, solleva le obiezioni degli esperti di sicurezza. Come si può leggere nei commenti all’annuncio, agli addetti ai lavori non va a genio l’idea che Microsoft man mano stia rendendo più difficile accedere ai propri dati, creando una vera e propria dipendenza digitale che ostacola l’adozione di qualunque software alternativo e intralcia qualunque istituzione o azienda nella quale i dati devono circolare soltanto sui suoi computer senza finire nei server di nessun altro, per esempio per soddisfare requisiti di legge.

Ma la loro preoccupazione di fondo è che la costante, bulimica fame di dati delle intelligenze artificiali, nelle quali Microsoft e tutti i grandi nomi del settore stanno riversando investimenti ingentissimi, spinga prima o poi queste aziende a cambiare progressivamente le proprie condizioni di contratto in modo che possano usare i dati degli utenti per addestrare le proprie IA, come ha già fatto per esempio Meta per Facebook, Instagram e Threads [Fanpage.it].

Questa non è una bella cosa, perché numerosi casi già ben documentati dimostrano che le intelligenze artificiali tendono per natura a rigurgitare nelle proprie risposte pezzi dei documenti che hanno assimilato durante il loro addestramento, e quindi i nostri dati sanitari, professionali, aziendali, personali e confidenziali possono finire in pubblico.

Per ora non è così: Microsoft non usa i documenti degli utenti come fonte di addestramento. Ma sarà così per sempre? Non ci sarà prima o poi qualche aggiornamento di qualche clausola che lo consentirà, e che noi utenti accetteremo senza saperlo perché praticamente nessuno legge gli aggiornamenti dei termini e delle condizioni dei software?

Prima che quest’ipotesi passi per paranoia, è importante citare un caso concreto che va proprio in questa direzione.

WeTransfer è uno dei servizi più diffusi per il trasferimento di grandi file via Internet. Lo uso anch’io, e funziona benissimo, ma ai primi di luglio scorso l’azienda omonima olandese che lo gestisce, acquistata nel 2024 dall’italiana Bending Spoons, ha iniziato a inviare ai propri utenti un avviso di cambio delle condizioni d’uso piuttosto preoccupante.

Questo avviso diceva che da quel momento in poi i documenti trasferiti e condivisi tramite WeTransfer potevano essere usati dall’azienda per “migliorare le prestazioni di modelli di apprendimento automatico”. Le nuove condizioni includevano anche il diritto di WeTransfer di “riprodurre, distribuire, modificare” oppure “mostrare pubblicamente” i file caricati dagli utenti.

Ovviamente quegli utenti – perlomeno quei pochi che si sono presi la briga di leggere in dettaglio l’avviso – non hanno preso bene un cambiamento del genere, che sembrava dare a WeTransfer il diritto di usare i file degli utenti per l’addestramento di intelligenze artificiali. In realtà le nuove condizioni precisavano che lo scopo di questo cambiamento era limitato all’uso dei file degli utenti per la moderazione interna del servizio: in altre parole, per consentire il riconoscimento automatico, tramite intelligenza artificiale, di file e documenti illegali, per esempio immagini di abusi su minori o documenti che violano le norme sulla privacy o sul diritto d’autore. Ma una volta ottenuto quel permesso, il passo successivo diventa più corto e la tentazione diventa sempre più forte [BBC].

Wetransfer ha poi rettificato e chiarito le proprie condizioni d’uso, dicendo che l’azienda stava pensando di usare in futuro l’intelligenza artificiale per assistere nel lavoro di moderazione dei contenuti ma non aveva creato o utilizzato in pratica questa funzione, e quindi questa clausola serviva a fornire le basi contrattuali. Ora WeTransfer dichiara esplicitamente di non usare “il machine learning o qualunque forma di IA per elaborare i contenuti condivisi” e la relativa clausola è stata eliminata [Wired.it].

Non è il primo caso del suo genere. A dicembre 2023, un altro grande nome del settore del trasferimento di grandi file, Dropbox, era stato accusato nientemeno che dal direttore tecnico di Amazon, Werner Vogels, e da altre persone di spicco di usare i dati degli utenti per alimentare le intelligenze artificiali di OpenAI.

L’azienda era intervenuta con un chiarimento che spiegava che si trattava di un equivoco, ma la vicenda aveva messo in luce la diffusa diffidenza, anche tra gli addetti ai lavori, nei confronti delle grandi aziende informatiche, specialmente quelle legate all’intelligenza artificiale. Diffidenza motivata da una scarsissima trasparenza sull’origine dei dati usati per gli addestramenti e da un abuso sistematico di terminologia ambigua e ingannevole nelle condizioni d’uso.

Come scrisse Thomas Claburn su The Register a suo tempo,Quando un fornitore di tecnologia dice ‘Noi non vendiamo i vostri dati’, questo non dovrebbe significare ‘Lasciamo che terzi che tu non conosci costruiscano modelli o facciano pubblicità mirata usando i tuoi dati, che restano sui nostri server e tecnicamente non vengono venduti’”.Ma di fatto spesso lo schema è proprio quello. E ce n’è un esempio molto recente.

Il 70% dell’infrastruttura europea per il cloud è oggi nelle mani di tre colossi statunitensi, cioè Google, Microsoft e Amazon [Synergy Research Group], e solo il 15% di questa infrastruttura è gestito da aziende europee. Questo significa che una presidenza statunitense a dir poco imprevedibile ed eccentrica come quella attuale potrebbe usare questa situazione come leva politica. “Fate quello che vogliamo noi nella guerra commerciale in corso e smettetela di fare leggi che regolamentano le tecnologie”, potrebbe dire Donald Trump, “altrimenti bloccheremo l’accesso ai vostri dati e sarete fritti”.

Normalmente, quando un’azione del genere non parte dalla Casa Bianca questo si chiama ransomware: estorsione informatica tramite blocco dell’accesso ai dati della vittima.

Questo scenario è preso seriamente in considerazione da alcuni europarlamentari, che chiedono urgentemente la creazione di un cloud europeo, sulla cui infrastruttura sia l’Europa ad avere sovranità, e a marzo scorso il Parlamento olandese ha chiesto formalmente al governo di ridurre drasticamente la sua dipendenza dai servizi informatici statunitensi, descritti come una “minaccia all’autonomia e alla sicurezza informatica” del Paese. Anche in Germania, richieste di distacco dai servizi informatici a stelle e strisce sono arrivate dall’attuale cancelliere federale, Friedrich Merz, e dal ministro federale per la digitalizzazione, Karsten Wildberger [Heise.de].

Parole pesanti, insomma, ma di fatto molte pubbliche amministrazioni europee usano servizi cloud gestiti da Google, Microsoft e Amazon, e una legge statunitense, lo US Cloud Act, consente alle agenzie americane di investigazione e di polizia di obbligare le aziende dello stesso paese a dare loro pieno accesso ai dati dei clienti custoditi nei cloud per indagare su reati gravi. Questa legge fu firmata proprio da Trump durante il suo primo mandato [EuroNews] e gli darebbe il potere di chiedere ai fornitori statunitensi di servizi cloud di dare accesso ai dati di un governo europeo o di cessare il servizio cloud alla pubblica amministrazione di quel Paese. Ovviamente sarebbe la presidenza Trump a decidere che cosa costituisce, dal suo punto di vista, un “reato grave”.

Discorsi di questo genere si fanno appunto dai tempi dell’introduzione di questa legge statunitense, ma hanno acquisito improvvisa urgenza dopo un episodio dai contorni decisamente poco chiari.

A maggio scorso, il procuratore capo della Corte Penale Internazionale, il britannico Karim Khan, ha dichiarato di aver perso improvvisamente l’accesso alla propria mail di lavoro (ospitata sul cloud di Microsoft) e che i suoi conti bancari nel Regno Unito erano stati congelati. I dipendenti americani della Corte, che si trova all’Aia, sono stati avvisati che rischiano l’arresto se si recano negli Stati Uniti. Queste e altre misure stanno di fatto paralizzando il delicato lavoro della Corte.

Il presidente statunitense aveva imposto delle sanzioni specificamente contro Khan a febbraio, dopo che i giudici della Corte avevano emesso dei mandati di arresto contro il primo ministro israeliano Netanyahu e il suo ex ministro della difesa Gallant con l’ipotesi di crimini di guerra in relazione alle azioni israeliane a Gaza. Khan aveva dovuto trasferire la propria mail al fornitore svizzero Proton Mail [AP].

Ma Brad Smith, vicepresidente di Microsoft, ha dichiarato che l’azienda non aveva né terminato né sospeso i propri servizi per la Corte Penale Internazionale. Allo stesso tempo, però, non ha voluto commentare le esatte circostanze che hanno portato alla chiusura della mail di Khan [Heise.de; Politico; Heise.de].

Microsoft ha anche annunciato che aggiungerà una clausola vincolante ai propri contratti con i governi europei e con la Commissione europea, impegnandosi a fare causa qualora la presidenza americana le ordinasse di sospendere i servizi cloud in Europa [Politico].

Un gesto molto bello e rassicurante, a prima vista, ma “impegnarsi a fare causa” non è la stessa cosa che “rifiutarsi di eseguire un ordine”. Se di colpo un ospedale non può più curare i pazienti perché tutti i dati sono in un cloud che è stato spento su comando presidenziale infischiandosene delle conseguenze, sapere che però poi Microsoft andrà in tribunale non è una gran consolazione per quei pazienti.

Intanto che si accumulano avvisaglie e proseguono le schermaglie a base di mezze parole, c’è chi invece si è già rimboccato le maniche. Lo stato tedesco dello Schleswig-Holstein ha già eliminato Office 365 e Windows di Microsoft in favore di LibreOffice e Linux, sta sostituendo Outlook con Thunderbird e Open-Xchange, al posto di Sharepoint usa Nextcloud, e invece di Webex della Cisco adopera sistemi di conferenza open source come Jitsi. Anche il ministero per la digitalizzazione danese sta sperimentando un piano analogo, mentre sono arrivati segnali di interesse da Regno Unito, Francia, Nuova Zelanda, India, Svizzera e Austria [Raconteur.net].

Sarebbe davvero una storia strana dell’informatica se, dopo tanti anni di tentativi di introdurre il software libero motivati dai risparmi sui costi di licenza e dall’ideale della libertà di accesso ai dati, questa transizione finalmente avvenisse per merito (si fa per dire) delle ripicche e dei ghiribizzi di un presidente americano che non ha mai usato un computer in vita sua [Futurism.com; CNN].

Fonti aggiuntive

Microsoft Word now automatically saves new documents to the cloud, The Verge, 2025

Should Europe wean itself off US tech?, BBC, 2025

Donald Trump thinks 19-year-old Barron is a tech whizz because he can turn on a laptop – 16 funniest reactions, The Poke, 2025

Basta uno squillo per localizzare chiunque? Chiedo aiuto tecnico per una verifica

Mi è stato segnalato questo articolo su Mastdatabase.co.uk che, se confermato, rivelerebbe la presenza di un errore di configurazione di un operatore cellulare che renderebbe possibile a qualunque persona localizzare qualunque altro utente semplicemente facendogli squillare il telefono.

In sintesi, secondo l’articolo, se si è utenti della rete cellulare britannica O2 e la si usa per chiamare un altro utente della stessa rete facendo una chiamata VoLTE (Voice over LTE), i dati che si ricevono includono anche l’identificativo della cella di rete sotto la quale si trova il chiamato. Questo permette di localizzarlo con notevole precisione.

Chiedo aiuto per verificare a) se quello che viene affermato è vero b) qualora sia vero, se vale anche per altri operatori di altri paesi.

In pratica, l‘articolo suggerisce di usare l’app Network Signal Guru (manuale) su un telefono Android rootato e di chiamare un altro utente facendo una cosiddetta chiamata VoLTE, un servizio che è attivo per default sulla maggior parte dei cellulari recenti (info Swisscom; info Fastweb).

L‘app, durante la chiamata, dovrebbe visualizzare i dati diagnostici della rete cellulare. Secondo l’articolo, sulla rete O2 questi dati diagnostici includono l’IMEI e l’IMSI del chiamante e anche quelli del chiamato, ma soprattutto includono l’header Cellular-Network-Info, che fornisce il tipo di cella usato dal chiamato, il suo Location Area Code e il suo Cell ID.

Immettendo questi dati in uno strumento online come Cellmapper.net si ottiene l’indicazione su una mappa della macrocella della rete cellulare che è stata usata dal chiamato durante la telefonata. In altre parole, si può sapere in che città si trova una persona semplicemente chiamandola. Nelle città dotate di microcelle, si può localizzare una persona con estrema precisione. Questa situazione avviene anche se il chiamato è in roaming all’estero ed è un errore di configurazione dell’operatore; non c’è nulla che l’utente possa fare.

Qualcuno riesce a confermare/smentire? Ho installato Network Signal Guru su un mio cellulare (non rootato) e ho provato a chiamare un altro mio cellulare, ma nei log correttamente generati dall’app non ho trovato informazioni come quelle descritte nell’articolo. In compenso ho trovato informazioni di localizzazione e velocità stupendamente dettagliate.

Screenshot dei dati presentati da Cellmapper.net per una zona a caso di Lugano (non è dove abito io e non mi trovo lì).

Stravaleaks: guardie del corpo presidenziali pubblicano online i propri percorsi di fitness

Un’inchiesta giornalistica di Le Monde segnala un esempio clamoroso di tracciabilità eccessiva e pericolosa indotta dalla vanità: le guardie del corpo di vari capi di stato, da Biden a Trump a Putin a Macron, pubblicano regolarmente i propri percorsi di fitness su Strava, rivelando così le proprie identità, le proprie abitazioni, i luoghi dove vanno in vacanza e ovviamente rivelando anche dove si trovano o si troveranno i leader che sono chiamati a proteggere.

Queste guardie del corpo, infatti, spesso raggiungono in anticipo i luoghi dei summit che dovrebbero in teoria restare segreti fino all’ultimo minuto per evidenti ragioni di sicurezza. Pubblicando la propria localizzazione, con tanto di percorsi seguiti per le proprie corse di allenamento e punti di partenza e di arrivo precisi, tolgono qualunque velo di riservatezza agli spostamenti delle persone protette.

Ma come hanno fatto i giornalisti di Le Monde a risalire alle loro identità e quindi sapere chi cercare su Strava? Hanno usato un po’ di buon sano, paziente e diligente giornalismo investigativo, combinato con la competenza informatica. Nel caso delle guardie del corpo presidenziali statunitensi, l’indagine parte dalla conoscenza di un fatto: questi specialisti si addestrano per diversi mesi al centro James J. Rowley, vicino a Washington. Un dato pubblico e presente anche su Wikipedia.

Ovviamente si tengono in forma fisica mentre sono in questo centro, e lo fanno per esempio correndo nelle vicinanze. Basta quindi andare su Strava e cercare con pazienza chi posta attività su Strava in quella zona e poi posta altre corse nei luoghi in cui si trova il presidente USA nelle date corrispondenti agli spostamenti presidenziali. Il metodo è spiegato in questo video (in francese; embed qui sotto).

Uno dei video esplicativi di Le Monde.

Il problema dell’eccesso di condivisione di dati personali non riguarda solo i politici: tocca anche qualunque persona esposta al rischio di stalking (in particolare le donne) e chiunque abbia un incarico sensibile che lo espone al rischio di aggressioni o rapimenti. Tocca anche chi semplicemente ha un bella bicicletta, di quelle costose, e se la vede rubare perché i ladri scoprono online dove abita e quali sono le abitudini della vittima, come è stato raccontato nel programma radiofonico Millevoci della ReteUno RSI al quale ho partecipato ieri (una clip audio del mio intervento è qui).

Va notato che le impostazioni predefinite di Strava nascondono i primi e ultimi 200 metri di ogni percorso; è un buon inizio, ma non è sufficiente.

Fonti aggiuntive: Cyberdaily.au, RTS.ch, Le Monde (in inglese, anche qui).