Vai al contenuto

Stanno arrivando DMA e DSA, due leggi UE per difendere i nostri diritti digitali

Questo articolo è disponibile anche in versione podcast audio.

Qualche giorno fa il Parlamento Europeo ha adottato due proposte di legge che
dovrebbero tutelare maggiormente le persone online e che impongono nuove
regole alle aziende big tech. Queste proposte si chiamano DSA e
DMA,
Digital Services Act
e rispettivamente
Digital Markets Act, e dovrebbero entrare in vigore in autunno. Sono leggi europee, ma non
riguardano soltanto chi vive e lavora nell’Unione Europea.

Per parlarne ho chiesto una sintesi a Francesco Gabaglio, che è un giornalista
che lavora per
Cult+, il magazine culturale online della RSI, e si occupa spesso di come la
tecnologia influenza la nostra cultura e viceversa. E questo è proprio uno di
quei casi. Trascrivo qui quello che dice Francesco:

Ciao Paolo, grazie per questo spazio. In effetti abbiamo parlato di queste
due leggi di mercoledì sulla nostra pagina Instagram
[linkata qui sotto] perché sono leggi che, per come sono state
scritte, avrebbero un impatto veramente enorme su tutta l’industria di
Internet e non solo nell’UE. Il loro scopo da una parte è quello di tutelare
maggiormente gli utenti online; dall’altra è quello di facilitare la
concorrenza, e infatti si applicano soprattutto alle aziende
big tech, quindi Meta, Google, Apple, Twitter e TikTok, soprattutto.

Cominciamo dalla prima legge, la più sostanziosa, che è il DSA o Digital
Services Act. Come prima cosa il DSA pone un freno alla profilazione; vieta
alle grandi piattaforme di usare i dati personali particolarmente sensibili,
come lo stato di salute, vieta la pubblicità mirata ai minorenni, e obbliga
le piattaforme anche a fornire un sistema di raccomandazione non basato
sulla profilazione (quindi, primo tra tutti, per esempio, un feed
cronologico).

Poi c’è il capitolo rimozione dei contenuti. Quello che fa il DSA è renderla
più veloce, fondamentalmente. Le piattaforme continueranno a non essere
responsabili legalmente per i contenuti postati dagli utenti ma dovranno
subito eliminare i contenuti illegali, e per farlo dovranno rispondere anche
a richieste di rimozione da parte delle autorità giudiziarie e di polizia, e
questo è forse il punto più critico, che preoccupa di più attivisti ed
esperti. 

Ci sono poi altre misure che favoriscono la trasparenza: le piattaforme
dovranno spiegare alle autorità come funzionano i loro algoritmi e quali
rischi presentano, e poi questi rischi verranno valutati da un organismo
dell’UE, che non esiste ancora (ma ci arriviamo dopo).

Ultima vittoria per gli utenti, poi, i dark pattern saranno vietati.
Cioè quei trucchetti che alcune aziende usano per spingerci a fare certe
scelte nelle opzioni, nascondendo i pulsanti, rendendo complicatissimi i
menu di scelta dei cookies; ci siamo capiti, insomma. 

Passiamo poi al DMA, che è la seconda legge, il Digital Markets Act. Qui lo
scopo invece è evitare i monopoli e facilitare la concorrenza. La misura che
più ha fatto discutere è quella di obbligare le piattaforme a permettere
l’utilizzo di app di terze parti per accedere ai propri servizi, quindi
permettere fondamentalmente l’esistenza, per esempio, di un client non
ufficiale per WhatsApp. Ed è un punto problematico per quanto riguarda la
sicurezza, perché non si capisce bene come potrebbe essere gestita la
crittografia end-to-end, per esempio. Staremo a vedere.

Altra misura che citerei è il divieto di tracciare gli utenti fuori dalla
propria piattaforma senza esplicito consenso, e qui pensiamo ovviamente a
Meta.

Ecco, queste sono alcune delle misure. Le proposte di legge sono lunghe 450
pagine.

Facciamo un bilancio. La prima buona notizia è che queste sono buone leggi
per gli utenti: perlomeno ne sono convinti analisti e attivisti per i
diritti online come l’Electronic Frontier Foundation. L’altra buona notizia
è che anche la Svizzera probabilmente ne beneficerà, perché nessuna grande
azienda vuole sviluppare policy e servizi diversi per ogni paese. La
cattiva notizia è che il difficile arriva ora: l’UE e gli stati membri
dovranno prima di tutto decidere chi e come dovrà implementare e far
rispettare le leggi. Il successo di queste leggi, soprattutto all’inizio,
dipenderà da come le aziende reagiranno. La speranza è che per evitare le
salatissime multe previste (si parla fino al 10% del reddito annuale) si
adattino a queste leggi prima ancora che l’UE abbia un meccanismo
completamente funzionante.

Cult+ ha creato per il proprio profilo Instagram (@rsicultplus) un post apposito che può essere utile da condividere con chi usa questa
piattaforma social e vuole sapere cosa cambierà nei prossimi mesi nella nostra
vita digitale:

Speriamo che queste leggi riescano a mettere in pratica i loro sani princìpi in maniera meno complicata e frustrante di quanto è successo con le normative sui cookie, che ci hanno trasformati tutti in formidabili cliccatori compulsivi sul pulsante Accetto di tutti i siti che visitiamo ma non ci hanno insegnato granché sulla difesa del nostro diritto a non essere spiati, schedati e classificati.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Google Analytics, stop anche dal Garante italiano: quanti siti non sono in regola?

Google Analytics, stop anche dal Garante italiano: quanti siti non sono in regola?

Anche il Garante Privacy italiano, dopo quello austriaco e francese, ha dichiarato che usare Google Analytics va contro la normativa europea GDPR perché raccoglie informazioni personali sui visitatori e le manda negli Stati Uniti (o comunque le rende disponibili alle aziende e alle autorità governative statunitensi perché è un’azienda statunitense, sia pure residente in UE), e gli USA non sono considerati un paese sicuro per la protezione dei dati per via della maggiore facilità di accesso per profilazione commerciale o di sorveglianza politica.

Il Garante ha già emesso un primo provvedimento che riguarda una Srl italiana. La questione è raccontata in dettaglio su Punto Informatico, che linka anche i dettagli del provvedimento.

I siti italiani non in regola sono tantissimi: migliaia già soltanto considerando quelli della pubblica amministrazione, che non si capisce perché debbano appoggiarsi a Google quando esiste un sistema di analytics nazionale e conforme alle norme di protezione dei dati personali (webanalytics.italia.it). Ne parla Matteo Flora in questo video, spiegando la tecnica usata da Fabio Pietrosanti per documentare la situazione:

Sempre Flora affronta la questione insieme a Guido Scorza, che è uno dei componenti del Garante italiano, e insieme a due avvocati, Gianluca Gilardi e Andrea Michinelli, che propongono alcune soluzioni (come Matomo o Piwik Pro, discussi nel secondo video da Gilardi intorno a 32 minuti).

Michinelli spiega ulteriori dettagli in questo articolo su Cybersecurity360.it.

Il problema è davvero grosso per moltissime aziende e per la pubblica amministrazione, che si troveranno presto costrette a una radicale ristrutturazione dei propri siti, e anche per i privati che gestiscono un sito ospitato da Google, come per esempio questo blog. 

Sottolineo che non si tratta di una questione solo italiana: sono coinvolti tutti i garanti europei. Sottolineo inoltre che, come notano gli ospiti di Matteo Flora, non è neanche questione di dove stanno i server. Possono anche essere fisicamente nell’UE, ma se sono intestati a un’azienda statunitense sono comunque disponibili ai governi USA.

E questo blog come è messo? Ne ho parlato qui a maggio scorso. Da parte mia, come utente di Blogger (che è di Google), credo di aver fatto tutto il possibile per evitare l’uso di Google Analytics:

  • Ho verificato di aver disabilitato Google Analytics in questo blog e in tutti gli altri che gestisco, secondo l’invito e il comunicato del Garante Privacy italiano del 23 giugno 2022 e le sue linee guida del 10 giugno 2021. L’ho fatto andando nelle Impostazioni del blog, scegliendo la voce ID proprietà di Google Analytics, cliccandovi sopra e verificando che la voce era vuota (lo era probabilmente da parecchio tempo).
  • Ho inoltre disabilitato in tutti i blog che gestisco Google Marketing Platform, andando nelle Impostazioni del blog, scegliendo la voce Abilita file ads.txt personalizzato e disattivandola.

Se ci sono altre cose che posso fare per ridurre la profilazione fatta da terzi, ditemelo. 

Sarebbe una magagna molto pesante se questo non bastasse e fosse necessario abbandonare completamente la piattaforma Google per questo blog e gli altri che gestisco.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Vasche da bagno a rischio attacco informatico

Vasche da bagno a rischio attacco informatico


Di tutte le cose che possono essere prese di mira da un attacco informatico, la
vasca da bagno con idromassaggio sembrerebbe essere proprio l’ultima, ma è quello
che è successo di recente. Un ricercatore californiano di sicurezza informatica,
Eaton Zveare, ha trovato il modo di accedere via Internet ai dati personali
degli utenti delle vasche “smart” commercializzate da Jacuzzi e da altre marche
molto note del settore e prenderne il controllo.

Pochi giorni fa il ricercatore ha raccontato la bizzarra vicenda nel suo
sito: ha ordinato per sé una di queste vasche aggiungendo l’opzione, denominata
SmartTub, che aggiunge alla vasca un modulo ricetrasmettitore che usa
la rete cellulare per mandare informazioni a un’app che permette di comandare
a distanza la vasca, accendendo le luci, regolando i getti e la temperatura
dell’acqua, e così via. Lo so, può sembrare una funzione extralusso, ma sono oltre
10.000 le persone che hanno scaricato l’app
da Google Play e quindi, si presume, la usano.

Durante la configurazione dell’app, il ricercatore ha visto comparire sul suo
schermo per un attimo una tabella piena di dati. L’ha catturata usando uno
screen recorder per registrare quell’immagine fugace e ha scoperto che
si trattava di un pannello di controllo per amministratori, strapieno di dati di
utenti di vasche con idromassaggio di varie marche.

 

Da bravo informatico, ha approfondito l’indagine e ha scoperto che il pannello
di controllo era accessibile a chiunque senza immettere credenziali e
consentiva di vedere e modificare i dettagli dei proprietari delle vasche, con
nomi, cognomi e indirizzi di mail, e anche di disabilitare
completamente gli account.

In maniera molto responsabile, Eaton Zveare ha contattato il supporto tecnico
dell’app di Jacuzzi per avvisare l’azienda del problema. Ha ricevuto risposta
e ha fornito tutti i dettagli tecnici, ma poi non ha sentito più nulla per
mesi, mentre la falla rimaneva aperta. Ha dovuto tentare vari altri indirizzi
di contatto e infine rivolgersi alla società di sicurezza informatica Auth0,
che gestisce il sistema di accesso alle vasche da bagno “smart”, prima di
ottenere risposta. Un copione che chiunque lavori nella sicurezza informatica
ha già vissuto tante volte.

Ma alla fine, dopo sei mesi, la falla è stata chiusa, senza neppure un cenno
di riconoscimento o ringraziamento da parte della casa produttrice di vasche,
alla quale il ricercatore ha risolto gratuitamente un guaio che avrebbe potuto avere
conseguenze legali molto onerose. Anche questo silenzio fa parte del copione.

C’è di più. Secondo le leggi della California, dove ha sede la Jacuzzi, questa
fuga di dati dei clienti dovrebbe essere annunciata ai clienti stessi e
segnalata
alle autorità, ma finora non risulta che ci sia stato alcun annuncio o
segnalazione. Se questo è il modo in cui si gestiscono i dati degli utenti e i
comandi remoti dei loro elettrodomestici, forse conviene cercare
elettrodomestici che non siano così tanto “smart”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le parole di Internet: real-time bidding. Un rapporto rivela quanto è invasiva la pubblicità online

Le parole di Internet: real-time bidding. Un rapporto rivela quanto è invasiva la pubblicità online

C’è una funzione di Internet che è poco conosciuta dal grande pubblico,
nonostante il fatto che quel grande pubblico vi interagisce oltre cinquecento
miliardi di volte al giorno e che questa funzione produce ricavi per più di 117
miliardi di dollari l’anno. Eppure pochi sanno cosa sia il
real-time bidding. Molti non sanno neanche che esiste e quanto possa
essere invadente. Provo a raccontarvelo.

Quando vediamo una pubblicità su un sito Web, spesso quella pubblicità è stata
inserita nel sito automaticamente al termine di un’asta silenziosa che è
durata qualche millisecondo: il tempo che passa fra l’istante in cui
clicchiamo su un link e l’istante in cui la pagina desiderata corrispondente
compare sul nostro schermo. Quella velocissima asta in tempo reale, gestita
dai grandi operatori pubblicitari di Internet, come per esempio Google, è il
real-time bidding.

Funziona grosso modo così: immaginate di visitare il sito di promozione
turistica di una certa località, per esempio Parigi. Nel momento in cui ne
digitate il nome e premete Invio o cliccate sul suo link trovato in Google,
Google stessa sa che probabilmente siete interessati a visitare Parigi e sa
grosso modo dove vi trovate in base al vostro indirizzo IP. 

Il sistema di real-time bidding di Google può quindi annunciare alle
agenzie pubblicitarie che siete una delle, per esempio, diciottomila persone
che vivono nella vostra regione e che in quel momento sono interessate ad
andare a Parigi. A quel punto chiede a queste agenzie quale è disposta ad offrire di più
per far comparire una pubblicità di un suo cliente sul vostro schermo. Spesso
Google sa già qual è il migliore offerente, perché le agenzie pubblicitarie
hanno già immesso nei suoi database le loro offerte per i vari tipi di utente.

E così Google, nel giro di qualche millesimo di secondo, fa comparire sul
vostro schermo la pubblicità dei prodotti gestiti dall’agenzia che ha offerto
di più. 

Detto così sembra tutto abbastanza innocuo, ma c’è un problema. Secondo un
recente
rapporto
dell’Irish Council for Civil Liberties o
ICCL, una associazione irlandese per la tutela dei diritti civili, il
real-time bidding è
“la più grande violazione di dati personali mai vista”, che
“agisce dietro le quinte nei siti web e nelle app, traccia quello che
guardi, non importa quanto sia privato o sensibile, e registra dove vai.
Ogni giorno trasmette continuamente questi dati su di te a una serie di
aziende, permettendo loro di profilarti”.

Le società che gestiscono il real-time bidding, ossia principalmente
Google ma anche Microsoft, Facebook e Amazon, raccolgono infatti molti dati su
ciascun utente: non solo la localizzazione e il nome del sito che sta
visitando, ma anche altre informazioni, per esempio tramite i cookie, e questo
permette di costruire un profilo del valore pubblicitario di ciascun utente. Non ci sono salvaguardie tecniche che impediscano ad altre aziende senza scrupoli di utilizzare questi profili.

Infatti un’indagine del Financial Times ha segnalato che esiste un mercato illegale di scambio dei dati più
sensibili, come l’appartenenza a un’etnia, l’orientamento sessuale, lo stato
di salute e le opinioni politiche. L’ICCL segnala che la cosiddetta tassonomia, ossia l’elenco delle categorie di dati personali, redatta da IAB Tech Lab, un importante consorzio del settore pubblicitario online, include categorie come religione, divorzio, lutto, salute mentale, infertilità e malattie sessualmente trasmissibili.

Anche se i dati non sono esplicitamente
associati al nome e cognome di un utente, sono comunque legati a un profilo
che rappresenta una persona, nota
9to5Mac. E
Techcrunch
sottolinea che è tecnicamente molto facile fare reidentificazione,
ossia riassociare un profilo a una persona specifica, usando informazioni come
gli identificativi unici dei nostri dispositivi e la geolocalizzazione.

Il
rapporto
dell’ICCL getta finalmente luce sull’invasività e sulle dimensioni di questa
incessante attività di profilazione di massa: Google, stando al rapporto,
permette a ben 4698 aziende di ricevere dati di
real-time bidding riguardanti gli utenti statunitensi. Per esempio, i
venditori di dati hanno usato questo real-time bidding per profilare chi
partecipava alle proteste del movimento attivista Black Lives Matter e il
Dipartimento per la Sicurezza Interna statunitense lo ha usato per il
tracciamento dei telefonini senza chiedere mandato.

Non si tratta di un problema solo statunitense: nonostante le leggi europee
sulla privacy, più restrittive di quelle americane, secondo il rapporto
dell’ICCL il comportamento online e la localizzazione degli utenti americani
vengono tracciati e condivisi 107 mila miliardi di volte l’anno, mentre gli
stessi dati degli utenti europei vengono raccolti comunque 71 mila miliardi di volte.
In Germania, per esempio, le attività online di un utente vengono trasmesse ai
circuiti di real-time bidding in media 334 volte al giorno, ossia circa
una volta al minuto se si considera il tempo medio di uso di Internet degli
utenti tedeschi (circa 326 minuti, ossia circa cinque ore e mezza). In Svizzera
questa trasmissione avviene un pochino meno, circa 300 volte al giorno, e in
Italia avviene 284 volte in media. 

Va notato che queste sono stime per difetto, dato che non includono le
attività di real-time bidding di Facebook e Amazon ma si basano su un archivio di dati di Google che copre un periodo di 30 giorni e che è disponibile soltanto agli operatori del settore ma che l’ICCL è riuscito ad avere da una fonte confidenziale insieme a molti altri dati tecnici importanti.

Secondo l’agenzia Gartner, citata da
The Register, le industrie del settore del real-time bidding giustificano le
proprie pratiche usando una
clausola
del regolamento europeo sulla protezione dei dati (GDPR), ma molti enti di
regolamentazione hanno respinto questa giustificazione e ci sono azioni legali
in corso nel Regno Unito, in Belgio, in Germania e in Irlanda per limitare
fortemente questo real-time bidding. Nel frattempo, ricordatevi che quando
navigate in Internet non siete mai veramente soli. 

 

Fonti aggiuntive: BBC, Le Monde.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Propongo un nuovo hashtag: #checcevoismo

Propongo un nuovo hashtag: #checcevoismo

Ultimo aggiornamento: 2022/05/18 8:45.

Oggi (17/5) mi è stato segnalato un
tweet
di Carlo Calenda che proponeva, per l’ennesima volta, l’obbligo di
identificarsi presso i social network:
“Unica soluzione l’obbligo di registrarsi con identità verificata! Basta
ragazzini di 10 anni che si espongono, profili falsi/anonimi che insultano.
La libertà è responsabilità. A questo ho dedicato un capitolo nel mio libro
“la libertà che non libera”
[link al suddetto libro su Amazon].

Ho provato pacatamente a
rispiegare
quali sono i problemi di questa proposta (e ci hanno riprovato anche
Massimo Mantellini
e
Stefano Zanero), ed è iniziata la fiera dei commentatori che pensavano di risolvere con un
tweet problemi che hanno messo in crisi gli esperti e le menti migliori del
settore. Per cui propongo di adottare un hashtag che riassuma concisamente
questo comportamento: #checcevoismo.

Checcevoismo, s.m. Atteggiamento delle persone che credono che
il lavoro altamente professionale e sofisticato di qualcun altro sia facile e
che sarebbero in grado di farlo anche loro e pure meglio.
Etim. Romanesco “che ce vo’”, “che ci vuole”, sarcasmo
usato per affermare che un dato compito è ritenuto facile.

Credo di averlo
coniato
io l’anno scorso; non ne trovo altri usi precedenti online, ma potrei
sbagliarmi.

Raccolgo qui il thread di Zanero, datato 2019, per comodità di lettura:

Innanzitutto bisognerebbe chiarire quale problema vogliamo affrontare:
A)
le fake news?
B) gli insulti o la diffamazione a mezzo social?
C)
apologia di reato, minacce, etc?
D) le botnet di account finti, troll e
simili che infestano i dibattiti?

E non vale rispondere “tutti”.

Sono cose diverse e hanno soluzioni diverse. Il cosiddetto “anonimato online”
in realtà già non esiste: esiste lo pseudonimato, ovvero la possibilità di
usare un nickname o un nome finto anziché quello vero. Ora, lo pseudonimato è
positivo.

Consente a un giovane LGBT di chiedere informazioni o conoscere persone senza
rischi; consente a un oppositore politico di pubblicare la sua opinione senza
ritorsioni; protegge in generale i deboli dai forti e dai bulli: non tutti
sono o devono essere eroi per esprimersi!

Quindi “eliminare lo pseudonimato” non solo non è fattibile come vedremo, ma
non è nemmeno desiderabile: i dittatori e i bulli detestano lo pseudonimo che
consente di dire che il re è nudo.

In realtà ciò che alcuni vorrebbero è “poter punire chi commette reati”
(punti B e C) e “impedire l’uso di botnet o account finti” (punto D). Per la
prima cosa il problema in realtà è inesistente, per la seconda cosa il
problema non è risolvibile con una legge, vediamo perché.

Esistono due tipi di regole che si potrebbe cercare di imporre: 1)
imporre a chiunque di usare IL PROPRIO NOME per twittare o 2) imporre a
chiunque di lasciare presso il social network dei dati identificativi, pur
continuando a usare uno pseudonimo

La soluzione 1 abbiamo già detto essere sbagliata, ma entrambe sono
equivalenti nell’essere irrealizzabili e inutili. Già ora, chiunque usi
un social network è rintracciabile (a meno di casi particolari) sulla
base del proprio IP. Tale IP va chiesto mediante rogatoria.

Le obiezioni qui di solito sono che a) la rogatoria si fa solo per i
reati b) è inefficiente e c) a volte l’IP è mascherato. Alla a) si
risponde che è giusto così, solo i reati vanno repressi. Alla b) si
risponde che anche nella soluzione 2 sopra si dovrà comunque fare
rogatoria.

Rimane la c). Ma pensateci: questa legge si applicherà solo in
Italia. Chi è in grado di mascherare l’indirizzo IP, sarà anche in
grado di passare per straniero. Semplicemente questa proposta di
legge penalizzerà i cittadini rispettosi della stessa e non
influenzerà gli altri.

Un ulteriore problema che rende tutte queste ipotesi pura
fantasia è: anche volendo chiedere “i documenti” per registrarsi
“col proprio nome”, come si verificano quei documenti? Perché
mandare un documento alterato è un amen. Di nuovo si colpiscono
solo i cittadini onesti.

Infine, tutto quanto sopra (che è comunque inutile) toccherebbe
solo i casi B e C da cui siamo partiti. Non i casi A e D perché
ovviamente chi crea account fake a raffica banalmente non opera
dall’Italia. Finita lì.

Stefano Quintarelli mi segnala questo suo intervento video (in inglese) sull’argomento, che propone alcune possibili soluzioni (da 7m00s in poi per 15 minuti circa):

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Davvero questo blog è stato segnalato al Garante Privacy italiano? Aiutatemi a capire

Davvero questo blog è stato segnalato al Garante Privacy italiano? Aiutatemi a capire

Ultimo aggiornamento: 2022/05/04 11:10.

Alcune settimane fa un lettore mi ha scritto una mail avvisandomi che il 22
marzo aveva
“partecipato ad un webinar registrato organizzato dal dipartimento di
scienze della comunicazione e dello spettacolo dell’università Cattolica del
Sacro Cuore.”
In questo webinar aveva
“parlato un addetto del garante per la protezione dei dati personali in
merito alle nuove linee guida sui cookie dei siti web valide dal 10 gennaio
2022”
ed erano stati
“mostrati come esempi negativi per la categoria blog il sito
https://attivissimo.blogspot.com/”
e un altro sito di cui tralascio il nome. Secondo il lettore,
“[i]l responsabile dell’evento ha detto che tutti i siti mostrati nelle
slide (60 in tutto) sono stati segnalati. […] Dato che si parla di multe
che partono dai 6000 euro a crescere in base al numero di visualizzazioni
giornaliere, mi sembrava giusto segnalarlo perché sono un sostenitore di
questo blog.”

Preoccupante. Ma è passato ormai un po’ di tempo, e qui al Maniero Digitale
non sono arrivate né comunicazioni né tanto meno multe da seimila euro da
parte del Garante italiano. La cosa non mi sorprende più di tanto, perché vivo
appunto in Svizzera e il blog viene redatto e gestito da qui, ma vorrei capire
come stanno le cose.

Se questo blog non è conforme, vorrei adeguarlo (e mi piacerebbe sapere come);
se lo è, vorrei sapere chi è che nei convegni pubblici addita questo blog a
torto e chiedergli di non farlo.

Purtroppo il lettore non si ricordava il nome dell’addetto, e non trovo nulla
nel calendario eventi del
dipartimento. Ho chiesto lumi pubblicamente al Garante e sono in attesa di risposta. 

Ho due richieste di aiuto: 

  1. Qualcuno sa qualcosa di questo evento e/o mi può aiutare a rintracciare l’evento e la
    persona e chiarire cosa è stato detto e mostrato esattamente?
  2. Se questo blog ha delle non conformità, quali sono, e come si correggono?

Grazie. 

—-

Cominciamo dalle basi. Le nuove linee guida in questione dovrebbero essere
queste.

Nell’help di Google trovo
queste info, che parlano di una
“Notifica sui cookie nei paesi dell’Unione europea” e precisano che
“[…] Al fine di soddisfare tali requisiti, abbiamo aggiunto la seguente
notifica sul tuo blog: “Questo sito utilizza cookie di Google per erogare i
propri servizi e per analizzare il traffico. Il tuo indirizzo IP e il tuo
agente utente sono condivisi con Google, unitamente alle metriche sulle
prestazioni e sulla sicurezza, per garantire la qualità del servizio,
generare statistiche di utilizzo e rilevare e contrastare eventuali
abusi.”” 

Io però questa notifica non la vedo quando visito questo blog con un browser
vergine (tipo Browserling.com), e non la vedo nemmeno negli altri blog che
gestisco. Voi la vedete? C’è chi mi
dice di
vederla
come bandina grigia in testa al blog quando lo visita in una sessione anonima
del proprio browser.

Ho tentato con una VPN, simulando di essere in territorio francese, ed
effettivamente se apro una finestra di navigazione privata il banner mi
compare. Beh, almeno adesso so cosa devo fare per vedere il mio sito come lo
vede un residente UE.

Il banner linka, alle parole “ulteriori informazioni”, la pagina www.blogger.com/go/blogspot-cookies, che descrive in dettaglio in che modo Google utilizza i cookie e i tipi di cookie utilizzati da Google.

—-

Su suggerimento di un commentatore ho provato a usare
Cookiebot in versione gratuita per sapere quali cookie
vengono usati da questo blog. Cookiebot dice che il blog è “non conforme” e trova (nella scansione base, meno completa di quella della versione a pagamento) 23 cookie di Google, YouTube, Disqus, Livestream.com e Twitter. Nulla che dipenda da me. 

Nota per tutti i commentatori che arrivano con “soluzioni” del tipo “migra tutto il blog a un’altra piattaforma”: per favore, non facciamo come quelli che quando sentono di un problema con Windows propongono “installa Linux”. Grazie. 

Oltretutto migrare non servirebbe a nulla: dovrei cancellare questo blog. Perché se questo blog non è conforme e non lo cancello, continua a non essere conforme, anche se smetto di aggiornarlo, e quindi il problema della non conformità, con ipotetica sanzione, non si risolve.

—-

2022/05/04 11:10. Ho aggiunto all’intestazione del blog la dicitura “Avviso cookie: Questo blog include cookie di Google, YouTube, Disqus e Twitter. Non miei.” Spero che sia sufficiente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – AirTag Apple, stalking troppo facile: ecco come rimediare

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate
presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa
puntata, sono qui sotto.

Sto pedinando digitalmente una donna per le vie di Lugano. La vedo mentre va a
trovare un’amica, ha un incontro di lavoro, si ferma davanti ai negozi, entra
in un centro commerciale e prende l’autobus per tornare a casa. La seguo
comodamente, tramite un’apposita app sul mio smartphone, fino al suo indirizzo
di abitazione. La cosa più strana è che i passanti mi stanno dando una mano a
pedinarla, e neanche lo sanno.

Niente paura: la donna in questione è mia moglie e si è offerta volontaria per
un test degli AirTag, i
localizzatori elettronici di Apple, piccoli come bottoni, basati sulla
tecnologia Bluetooth già usata per gli auricolari e per tanti altri accessori
per smartphone, tablet e computer. Si attaccano per esempio alle chiavi di
casa o a qualunque oggetto che si tema di perdere e permettono di ritrovarlo
in caso di smarrimento. 

Non sono i primi localizzatori del genere sul mercato, ma gli AirTag hanno una
caratteristica molto particolare: funzionano a grandi distanze, anche fuori
dalla normale portata del Bluetooth, che è di qualche decina di metri, perché
si appoggiano a tutti i telefonini Apple che si trovino nelle vicinanze. Lo
fanno anche altri localizzatori di altre marche, come per esempio gli SmartTag
di Samsung, ma nessun concorrente può contare su un numero così elevato di
smartphone degli utenti, che diventano sensori inconsapevoli di una rete di
tracciamento vastissima e capillare.

Finché un AirTag è a pochi metri dal suo proprietario, comunica direttamente
usando i segnali radio del suo piccolo trasmettitore Bluetooth e gli può anche
indicare in che esatta direzione e a che distanza si trova. Ma questo
trasmettitore è intenzionalmente molto debole, per far durare a lungo la
batteria incorporata. Così Apple usa una tecnica ingegnosa per estendere il
raggio d’azione del suo localizzatore: qualunque iPhone che passi nelle
vicinanze di qualunque AirTag e abbia il Bluetooth attivo riceve
automaticamente il segnale identificativo di quell’AirTag e lo inoltra via
Internet ad Apple. Se avete un iPhone, fate parte della rete di rilevamento
degli AirTag e magari non lo sapete nemmeno.

[CLIP da
Il Cavaliere Oscuro]

Lucius Fox: Hai trasformato ogni cellulare di Gotham in un microfono spia.

Batman: E in un generatore ricevitore ad alta frequenza.

Lucius Fox: Lei ha preso il mio concetto di sonar e lo ha applicato a
tutti i telefoni della città. Con mezza città che le dà segnali, può tracciare
la mappa di Gotham.

Per tutelare la privacy, il segnale di ogni AirTag ha una chiave digitale che
è nota soltanto al localizzatore stesso e al proprietario, e i dati che
vengono trasmessi sono ulteriormente mascherati tramite hashing. In
parole povere, un passante il cui iPhone riceva   il segnale Bluetooth di
un AirTag non può sapere a chi appartiene quel localizzatore o altre
informazioni: si limita a ricevere gli impulsi radio e a inoltrare
automaticamente i dati ricevuti, che non può decifrare. Ci sono anche vari
altri strati di protezione digitale che permettono, in sostanza, soltanto al
legittimo proprietario di un AirTag di ricevere informazioni da quell’AirTag.

Ma di fatto, praticamente tutti gli iPhone in circolazione sono sensori della
rete di tracciamento di Apple. Questo è incredibilmente utile quando si tratta
di ritrovare le proprie chiavi smarrite, o di localizzare la propria valigia
in aeroporto magari mentre qualcuno la sta portando via per errore al posto
della propria identica o la sta proprio rubando. Ma cosa succede se qualcuno
decide di usare questo potere per pedinare una persona senza il suo consenso?
È già accaduto: per esempio, negli Stati Uniti la modella Brooks Nader ha
raccontato di aver
trovato
un AirTag non suo nella tasca del proprio cappotto dopo aver visitato un bar
di Manhattan, e non è l’unico
caso
del suo
genere.

Questi localizzatori, facilissimi da configurare, estremamente piccoli e
discreti, poco costosi, con una durata che si misura in mesi e una portata
enorme, possono essere annidati facilmente: in una tasca di un indumento, in
uno zaino di scuola, in una cucitura di un cappotto, nelle pieghe della
carrozzeria di un’automobile. Il loro design ultraminimalista non li
identifica vistosamente come dei dispositivi di tracciamento. Sembrano,
effettivamente, dei grossi bottoni bianchi. Si apre insomma l’era dello
stalking digitale di massa, a portata dell’utente comune. Non occorre
nessuna conoscenza tecnica.

—-

Ovviamente Apple, come gli altri produttori di dispositivi analoghi, si è resa
conto del rischio di abusi e ha integrato negli AirTag una serie di
limitazioni apposite. 

Per esempio, qualunque AirTag che si allontani a lungo dal proprietario e
rilevi di essere in movimento farà suonare un cicalino, per cui una vittima di
stalking potrebbe udire questo avviso acustico e accorgersi di avere un
localizzatore addosso. Ma dai primi test sembra che “a lungo” significhi fino
a 24 ore, per cui c’è tempo in abbondanza per un pedinamento quotidiano, per
esempio di una persona convivente. Inoltre il cicalino può essere difficile da
udire se l’AirTag è sepolto sul fondo di una borsetta o applicato a
un’automobile. E inevitabilmente è nato anche un
mercato
di AirTag modificati, nel quale il cicalino è completamente silenziato.

Apple ha predisposto anche un’altra misura antipedinamento: un AirTag che sia
lontano dal proprietario e si muova insieme a voi farà comparire un avviso sul
vostro telefonino, ma soltanto se avete un iPhone. Se avete uno smartphone di
qualunque altra marca, niente avviso.

Chi ha uno smartphone Android può installare un’app di nome
Tracker Detect, disponibile nel Play Store di Google, che permette di cercare manualmente
eventuali AirTag indesiderati e indurli a produrre un avviso acustico (sempre
che non siano stati modificati). Ci sono anche altre app che fanno una
scansione generica di qualunque dispositivo Bluetooth, come
LightBlue
e
BLE Scanner
per iPhone o
BLE Scanner
e
Bluetooth Scanner
per Android. Anche Samsung offre un’app analoga,
SmartThings, per i propri dispositivi di localizzazione [Android; iOS].
Ma in ogni caso si tratta di un procedimento macchinoso e manuale, che
l’utente deve fare appositamente e periodicamente.

Chi trova un AirTag sconosciuto può inoltre appoggiarlo contro il proprio
smartphone di qualunque marca (basta che sia dotato di sensore NFC) e riceverà
un link che rivelerà il numero seriale e le tre cifre finali del numero di
telefono del proprietario del localizzatore. Lo stesso link informerà anche su
come disabilitare un AirTag trovato: in sostanza, spiegherà come si toglie la
sua batteria.

Attenzione, però , ai falsi allarmi: alcuni utenti di iPhone hanno segnalato
che il loro smartphone avvisava di aver rilevato un accessorio sconosciuto e
quindi hanno temuto che si trattasse di un AirTag abusivo. In realtà l’avviso
veniva prodotto da alcuni modelli di cuffie senza filo. Va chiarito
anche che la localizzazione remota funziona bene soltanto se ci sono degli
iPhone nelle immediate vicinanze. Se siete da soli in aperta campagna o su una
strada poco battuta, gli AirTag non potranno comunicare la vostra presenza.

Se temete che qualcuno vi stia tracciando, insomma, queste app sono un aiuto,
ma conviene abbinarne l’uso alla tecnica classica manuale di frugare nelle
proprie borse, negli indumenti e in qualunque altro luogo in cui un
malintenzionato potrebbe nascondere un localizzatore.

Da parte sua, Apple sta
aggiornando
iOS in modo che chi configura un AirTag riceva un avviso molto chiaro del
fatto che usare questo dispositivo per tracciare le persone senza il loro
consenso è un reato in molte regioni del mondo e del fatto che il dispositivo
è progettato per essere rilevato da eventuali vittime e per consentire alle
forze dell’ordine di richiedere informazioni che consentano di identificare il
proprietario dell’AirTag. L’azienda dice di aver già collaborato con la
polizia in diverse occasioni per rintracciare chi aveva piazzato abusivamente
degli AirTag. È confortante, ma è anche una conferma del fatto che il problema
è reale.

Una dimostrazione positiva della potenza di questi dispositivi di tracciamento
è arrivata dalla Germania, dove la ricercatrice di sicurezza e attivista
informatica berlinese
Lilith Wittmann ha
usato gli AirTag per
dimostrare
che un’agenzia governativa tedesca è in realtà una copertura di un’attività di
spionaggio. Ha spedito per posta dei plichi contenenti questi localizzatori e
ne ha tracciato il percorso, scoprendo che venivano reinviati a strutture
usate dai servizi di intelligence tedeschi. Il tracciamento ha
funzionato sfruttando presumibilmente gli iPhone degli stessi addetti
dell’intelligence. Chi si occupa di sicurezza dovrà ora fare i conti
anche con questo aspetto delle tecnologie commerciali.

I ricercatori di sicurezza, infatti, si sono lanciati sugli AirTag per
studiarli e capire come ottimizzare le loro funzioni positive e indebolire
quelle negative. L’Università di Darmstadt ha già messo gratuitamente a
disposizione AirGuard,
un’app
disponibile
nello store ufficiale di Android che per certi versi è più potente delle app
fornite da Apple, perché fa una scansione periodica automatica alla ricerca di
AirTag e simili. Se trova ripetutamente lo stesso dispositivo di tracciamento,
l’app avvisa l’utente. Se usate quest’app, tutte le informazioni di
localizzazione restano nel vostro telefonino. Se nessuno vi sta tracciando,
l’app vi lascia in pace, restando vigile.

È indubbio che avere un dispositivo economico che permette di trovare i propri
oggetti smarriti sia utile: la sfida tecnologica è trovare il modo di
consentire questo potere senza allo stesso tempo rendere troppo facile un
abuso. La soluzione perfetta è ancora tutta da trovare: nel frattempo, qualche
aiuto tecnologico c’è, ma come sempre è indispensabile affidarsi anche al buon
senso pratico. Ogni tanto vuotate la borsa, lo zaino e il cassetto dell’auto:
magari troverete cose che credevate perse per sempre.

E se vi siete persi qualcuno dei nomi delle app citate in questo podcast, non
c’è bisogno di un AirTag per recuperarli: trovate il testo integrale, con i
link alle singole app, sul mio blog
Disinformatico.info.

[il testo della seconda parte del podcast è qui]

Fonti aggiuntive:
Sophos, Gizmodo, New York Times, Gizmodo,
Engadget.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Perché l’esercito svizzero vieta l’uso di WhatsApp, Telegram e Signal? Ci sono motivi che toccano anche gli utenti comuni?

Ultimo aggiornamento: 2022/01/20 18:30.

Di recente l’esercito svizzero ha bandito l’uso di WhatsApp, Signal, Telegram e
di qualunque altra applicazione di messaggistica diversa da
Threema per le comunicazioni legate al
servizio.

Il portavoce dell’esercito, Daniel Reist, ha spiegato che la decisione
è stata presa per questioni di sicurezza e di protezione dei dati. I militari
potranno continuare a utilizzare WhatsApp e altre applicazioni per le
comunicazioni private.

La decisione dell’esercito ha comprensibilmente spinto molte persone a farsi
tre domande: 

  • cosa c’è di così pericoloso in WhatsApp, Signal, Telegram eccetera da
    indurre l’esercito svizzero a compiere questo passo?
  • perché Threema invece non è pericolosa?
  • se lo fa l’esercito, dovremmo farlo anche noi?

Alcuni si saranno anche fatti una quarta domanda: Threema chi? In
effetti Threema non è molto popolare: i suoi circa
dieci milioni di utenti
sono trascurabili rispetto ai due miliardi di utenti di WhatsApp. Molte
persone non l’hanno mai sentita nominare e vengono a sapere della sua
esistenza soltanto a causa della risonanza della notizia di questa decisione
militare svizzera.

Cominciamo dalla prima domanda: le app di messaggistica non svizzere, come
appunto WhatsApp, Signal e Telegram, non rispettano le norme svizzere sulla
riservatezza. WhatsApp, in particolare, è soggetta alle leggi statunitensi e
in particolare al cosiddetto CLOUD Act (acronimo di
Clarifying Lawful Overseas Use of Data Act), una legge del 2018 che consente alle autorità statunitensi di acquisire
informazioni sul traffico di dati da tutti i gestori di servizi di
telecomunicazioni sottoposti alla giurisdizione degli Stati Uniti e lo
consente anche se questi dati si trovano fuori dal territorio americano e
anche se sono gestiti per esempio da società europee che hanno una filiale
negli Stati Uniti, come spiega in dettaglio la legal specialist e
data protection officer Barbara Calderini su
Agenda Digitale.

In parole povere, gli Stati Uniti possono ottenere, aggregare e analizzare
tutti i dati trasmessi su WhatsApp da qualunque militare svizzero o di
qualunque altro paese. Il rischio non è ipotetico: è già
capitato
che messaggi o post di militari russi abbiano rivelato la loro presenza in
Ucraìna
e in Siria, a volte smentendo le dichiarazioni ufficiali. La Russia ha
vietato
completamente l’uso degli smartphone durante il servizio militare nel 2019.

È vero che WhatsApp ha la cosiddetta crittografia end-to-end, per cui
Meta (la società che possiede WhatsApp insieme a Facebook e Instagram) non può
cedere a nessuno il contenuto delle conversazioni fatte tramite
WhatsApp semplicemente perché non le ha a disposizione. 

Ma la crittografia non copre i dati di contorno di queste conversazioni, ossia
i cosiddetti metadati: con chi avete parlato, a che ora di quale giorno
l’avete fatto, per quanto tempo avete conversato e quante volte avete
scambiato messaggi con ciascuna delle persone con le quali avete comunicato
tramite WhatsApp. Usare WhatsApp significa quindi dare a Meta, e quindi alle
autorità statunitensi, l’elenco completo dei propri amici, contatti di lavoro
e commilitoni. Messi insieme, tutti questi metadati hanno un valore strategico
enorme.

Faccio un esempio concreto: qualche anno fa, nel 2017, sono stato invitato a
parlare a Locarno a una conferenza organizzata dall’esercito svizzero e
dedicata alla digitalizzazione legata alla sicurezza nazionale. Il pubblico
era composto quasi esclusivamente da militari. Ho chiesto quanti di loro
avessero uno smartphone acceso in tasca con la geolocalizzazione attiva e
WhatsApp installato: hanno risposto affermativamente quasi tutti. Ma allora,
ho proseguito, Google o Apple, e sicuramente Facebook, sanno che buona parte
degli ufficiali dell’esercito svizzero, provenienti da tutti i cantoni, si
trovano radunati in questo preciso luogo in questo preciso momento. E lo
possono sapere in tante altre circostanze e passare questi dati al proprio
governo. In sostanza, un paese straniero può monitorare i movimenti dei nostri
militari, e può farlo oltretutto in modo perfettamente legale. La mia
osservazione è stata accolta, come dire, con consapevole disagio.

Per chi è nelle forze armate elvetiche, insomma, usare WhatsApp (e, in misura minore, Signal o Telegram) o in
generale applicazioni di messaggistica gestite da operatori situati al di
fuori della Svizzera ha delle implicazioni reali di sicurezza militare.

Tutto questo spiega perché Threema, invece, non è considerata a rischio: si
tratta di un’app creata da una società che ha sede in Svizzera, a Pfäffikon,
nel canton Svitto, e che custodisce i dati in modo conforme alle leggi
nazionali e lo fa su server situati in Svizzera. Quindi non è soggetta al
CLOUD Act statunitense. Allo stesso tempo offre, come le app rivali, le stesse
protezioni di crittografia end-to-end ed è open source, quindi
liberamente ispezionabile. E a differenza delle altre app (in particolare di WhatsApp), non richiede di
dare al gestore un numero di telefono o altre informazioni personali e non si
mantiene offrendo queste informazioni ai pubblicitari (in questo senso Signal è più virtuosa rispetto a Telegram e WhatsApp). Threema è infatti
un’app a pagamento: costa quattro franchi, che si pagano una volta sola.
L’esercito svizzero pagherà questo abbonamento agli utenti militari.

La scelta dell’esercito di bandire le altre app dalle comunicazioni di
servizio ma consentire l’uso di WhatsApp e simili per comunicazioni private
non offre sicurezza assoluta: è un compromesso pragmatico, perché il semplice
fatto di usare queste app invia comunque dati preziosi e sensibili alle
società estere che le gestiscono. Ma è un passo nella direzione giusta.

Alla luce di tutto questo, noi utenti comuni cosa dobbiamo fare? Dipende tutto
dalla situazione personale, ma l’esempio dato dall’esercito svizzero è valido,
anche per chi vive al di fuori dei confini elvetici, ed è un buon promemoria
del fatto che per molte categorie professionali, come per esempio medici,
consulenti legali, giornalisti o fornitori di servizi bancari, usare WhatsApp
e simili per comunicazioni legate alla propria attività è già ora una
violazione delle norme nazionali sulla riservatezza dei propri pazienti,
clienti o interlocutori. Usarle per la sfera personale, invece, è meno
problematico, ma va comunque valutato con attenzione.

Allo stesso tempo, è inutile avere un’app ipersicura che però non viene usata
dalle persone con le quali si vuole comunicare, per cui è necessario valutare
la situazione caso per caso. Possiamo provare a chiedere ai nostri
interlocutori se accettano di installare e usare app come Threema accanto a
WhatsApp: anche questo è un passo nella direzione giusta.

 

Fonti:
RSI,
La Regione,
Swissinfo,
La Regione,
Start Magazine,
TvSvizzera.it.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Aggiornamenti Apple per tutti i dispositivi: non solo funzioni nuove, ma anche molti rattoppi. Anche per Android

Apple ha rilasciato una raffica di aggiornamenti per molti suoi dispositivi, dai computer ai tablet agli smartphone agli orologi, e li ha annunciati puntando sulle nuove funzioni, ma in realtà includono anche molte correzioni di sicurezza e quindi vanno installati appena possibile.

Per esempio, macOS 12.1 aggiunge SharePlay, per condividere musica o video oppure il contenuto di un’app durante le videochiamate, ma con alcune limitazioni. Sono migliorati anche i controlli parentali, che permettono di attivare avvisi se i figli minori ricevono o inviano foto intime tramite l‘app Messaggi. Le correzioni di sicurezza sono elencate qui.

iOS e iPadOS 15.2 contengono una nuova impostazione che permette di vedere meglio quali app hanno avuto accesso alle informazioni personali, ma sono aggiornamenti importanti soprattutto per le correzioni di sicurezza, che sono davvero tante. Alcune delle falle corrette da questi aggiornamenti consentivano di prendere il controllo del dispositivo usando semplicemente un’immagine o un file audio appositamente alterato.

Anche gli Apple Watch e le Apple Tv hanno i loro bravi aggiornamenti, rispettivamente alle versioni 8.3 e 15.2, ma non sono particolarmente significativi, a parte la correzione di una falla che permetteva di prendere il controllo degli Apple Watch tramite un’immagine appositamente confezionata.

C’è invece una novità interessante che riguarda Android: la cosa può sembrare strana, visto che Apple normalmente non produce software per Android, ma stavolta è così. L’azienda ha infatti rilasciato una nuova app Android, chiamata Tracker Detect, che permette anche agli smartphone di questo tipo, oltre che agli iPhone, di rilevare i dispositivi di tracciamento e localizzazione AirTag di Apple. Gli iPhone possono farlo andando nell’app Dov’è, scegliendo Oggetti e poi Identifica l’oggetto trovato.

Questi dispositivi, grandi come una moneta, sono pensati per rintracciare oggetti smarriti o rubati, come chiavi o valigie, ma sono utilizzabili anche in modo illecito per pedinare le persone a distanza e quindi è importante che anche gli utenti Android possano usare il proprio smartphone come rilevatore di eventuali AirTag nascosti da qualcuno nelle loro cose.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Perché SaluteLazio ha il tracciamento di Facebook e Google nell’area privata e chiede di accettare un’informativa privacy che non esiste?

Salutelazio.it, il sito del sistema
sanitario regionale della Regione Lazio, ospita tracciatori di Facebook e di
Google nell’area privata. Lo segnala
Eugenio Petullà, mostrando queste immagini:

Le immagini pubblicate da Petullà mostrano che nel codice HTML dell’area
privata è presente il codice del
Facebook Pixel, che è il sistema di tracciamento di Facebook, e c’è un link a Google
Analytics. Questo sembra indicare che l’utente viene tracciato da Facebook e
da Google anche nella sua sessione sanitaria privata.

Non sono utente di SaluteLazio, per cui non posso verificare questa
segnalazione (di cui non ho motivo di dubitare). Se potete farlo voi,
segnalatemelo nei commenti o in privato via mail (a
paolo.attivissimo@gmail.com).

È assolutamente folle che un ente sanitario pubblico immetta un tracciatore
commerciale nel proprio sito.

Ieri ho
chiesto chiarimenti
via Twitter a SaluteLazio e oggi ho scritto una PEC al DPO indicato nell’informativa sulla privacy: finora non ci sono risposte.

Intanto Petullà ha
scoperto
che l’informativa sui cookie di SaluteLazio porta al nulla. Se ci si collega
al sito per la prima volta (o in navigazione privata), compare infatti la
richiesta di accettare i cookie, accompagnata dal link
Leggi l’informativa cookie completa; ma questo link porta semplicemente
a salutelazio.it (l’HREF è vuoto, nota
Camelia Boban; copia permanente). 

In altre parole: Salutelazio.it chiede agli utenti di accettare un’informativa
che non esiste.

Ci fanno una testa così con la tutela della privacy e il GDPR, e poi fanno
sconcezze ridicole come queste.

Intanto, se volete farvi un’idea di quanto sia invasivo e pervasivo il
tracciamento commerciale effettuato da Facebook (con il consenso dei vari siti), provate a sfogliare la vostra Attività fuori da Facebook, che “include informazioni che aziende e organizzazioni condividono con noi sulle tue interazioni con loro, ad esempio quando visiti le loro app o i loro siti web”

Sarà interessante scoprire perché la Regione Lazio manda a Facebook informazioni sulle interazioni degli utenti con il sito e in particolare con la sezione dedicata alla salute.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.