Vai al contenuto

sorveglianza digitale

Podcast RSI – Legge UK “salvabambini”, modello da studiare. Per evitarlo

Questo è il testo della puntata dell’11 agosto 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.

[CLIP: audio da “Death Stranding”, tratto da questo video]

Ogni tanto, nella storia di Internet, arriva qualcuno che reclama che si deve fare qualcosa per impedire ai minori di vedere i contenuti non adatti alla loro età che si possono trovare facilmente online. Raccoglie firme, promuove petizioni, trova agevolmente qualche politico che sposa la sua causa perché proteggere i bambini piace molto a qualunque elettore ed elettrice, e la richiesta finisce per diventare una proposta di legge.

A questo punto, di solito, vengono convocati i tecnici, quelli che sanno come funziona realmente Internet, scuotono la testa come hanno già fatto altre volte in passato e avvisano che la proposta è nobile ma non è tecnicamente fattibile e provarci avrebbe delle conseguenze catastrofiche sulla sicurezza, sulla privacy di tutti i cittadini, sui minori stessi e sui servizi di sostegno a quei minori, diventerebbe una censura di massa di qualunque idea politicamente sgradita e comunque soprattutto non funzionerebbe, perché qualunque misura tecnica per identificare e distinguere fra minori e adulti quando accedono a un sito sarebbe facilmente aggirabile.

Il politico di solito rimane perplesso ma accetta il parere esperto dei tecnici e lascia perdere. Il 25 luglio scorso, invece, un intero paese europeo ha deciso di ignorare fieramente gli esperti e di provare lo stesso a proteggere i bambini approvando una legge che è l’equivalente informatico di vietare al vento di soffiare. Quel paese è il Regno Unito, e questa è la storia di un disastro annunciato, da ricordare la prossima volta che qualche altro politico, in qualche altro paese, si farà venire la stessa idea.*

* Tipo la Francia, ma in modi meno draconiani di quello britannico [Twobirds; Techinformed]; Danimarca, Grecia, Italia e Spagna stanno testando un’app di verifica dell’età [Lepoint; Liberation].

Perché tutto il costoso sistema di controllo online dell’età tramite riconoscimento facciale messo in piedi nel Regno Unito, usando le più sofisticate tecnologie, è crollato (come ampiamente previsto) nel giro di pochi giorni grazie a un videogioco, Death Stranding, di cui avete sentito uno spezzone in apertura. I suoi giocatori, infatti, hanno scoperto che per farsi identificare come adulti bastava mostrare alla telecamera uno dei personaggi del gioco, Sam Bridges, che può essere comandato per fargli fare tutti i movimenti e le espressioni richieste dai controlli. E ovviamente le vendite di VPN sono schizzate alle stelle. Ma soprattutto ci si è resi conto che questo sistema strangola le piccole comunità online e lascia invece il campo libero ai soliti grandi nomi stramiliardari dei social network.

Benvenuti alla puntata dell’11 agosto 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica; questa è l’unica puntata di questo mese. La prossima verrà pubblicata il primo settembre. Io sono Paolo Attivissimo.

[SIGLA di apertura]

L’Online Safety Act è una legge del Regno Unito concepita nel 2023 per impedire alle persone che hanno meno di diciotto anni di accedere alla pornografia e ai contenuti legati all’autolesionismo, ai disturbi dell’alimentazione e al suicidio. I suoi controlli online sono entrati in vigore il 25 luglio scorso. In pratica, i gestori dei siti che possono trovarsi a ospitare contenuti di questo tipo* sono obbligati ad attivare delle verifiche dell’età dei loro visitatori, gestite da aziende specializzate.

* Notare il “possono”. Questa legge non riguarda solo i siti pornografici. Ci torno dopo, ma è importante chiarirlo subito.

Queste verifiche possono richiedere per esempio di dare le coordinate di una carta di credito, perché si presume che chi ha accesso a una carta di credito sia maggiorenne. In alternativa, l’utente può dare le coordinate di un proprio documento d’identità insieme a una propria foto scattata sul momento e il software controllerà se corrispondono e se si riferiscono a un maggiorenne oppure no.

Uno dei metodi di controllo alternativi più originali proposti da questa nuova legge britannica è la verifica tramite email. L’utente fornisce il proprio indirizzo di mail a un servizio apposito, che interroga i fornitori di servizi bancari o di utenze domestiche del paese, come luce, telefono, gas o Internet, per sapere se quell’indirizzo è stato usato per fare transazioni o gestire utenze, nel qual caso si presume che l’utente sia maggiorenne. Ovviamente questo significa che i gestori di questi controlli devono ficcare il naso nelle attività personali di questi utenti.

Poi c’è il riconoscimento facciale, o meglio, la stima dell’età tramite analisi del volto. L’utente si fa un selfie o mostra il viso in diretta alla telecamera del computer o del telefonino e un’azienda specializzata usa l’intelligenza artificiale per decidere se ha una faccia da maggiorenne o da minorenne.

L’utente può anche dare il permesso a una società specializzata di verificare se il suo numero di telefonino è intestato a un minorenne o un adulto, oppure può affidarle le sue coordinate bancarie e la società di verifica interrogherà la banca per sapere se l’utente ha più o meno di 18 anni.

Sono tutte misure piuttosto invasive, che hanno tre punti deboli molto importanti.

Il primo è che raccolgono i dati personali di milioni di persone e li mettono in mano ad aziende private, creando quindi potenzialmente un archivio centrale che farà gola ai criminali informatici, come è già successo per esempio con AU10TIX, la società israeliana usata da TikTok, Uber, LinkedIn, PayPal e altri grandi nomi [404 Media].

Il secondo punto debole è che l’utente britannico può eludere tutte queste complicazioni semplicemente installando un’app VPN, in modo da simulare di trovarsi al di fuori del Regno Unito e quindi non essere soggetto a tutti questi controlli. E infatti tre giorni dopo l’entrata in vigore di questa legge le app VPN sono diventate le più scaricate in assoluto nell’App Store di Apple nel paese. L’app svizzera Proton VPN, per esempio, ha avuto un picco del 1800% nelle attivazioni provenienti dal Regno Unito.

Il colmo dell’ironia involontaria in questa situazione arriva dalla BBC, che in un articolo sul proprio sito riferisce che le autorità vietano alle piattaforme online di ospitare contenuti che incoraggino l’uso delle VPN per eludere i controlli sull’età e subito dopo, sulla propria piattaforma, offre una pratica infografica che spiega esattamente come usare una VPN per eludere i controlli sull’età.

L’infografica della BBC.

Come nota il sito Techdirt.com, “quando la tua legge ‘salvabambini’ ha come risultato principale insegnare ai bambini come usare le VPN per aggirarla, forse hai sbagliato leggermente il tuo obiettivo”.

Il terzo punto debole è che la stima dell’età tramite riconoscimento facciale può essere beffata appunto usando il volto di Sam Porter Bridges, il protagonista del popolare videogioco Death Stranding. Questo controllo infatti chiede all’utente di mostrare alcune espressioni facciali, tipo aprire o chiudere la bocca, e in questo gioco è possibile comandare questo personaggio in modo che faccia proprio queste espressioni.

Screenshot

La notizia di questo trucco si è diffusa immediatamente nei social network, nei siti di gaming e in quelli dedicati alle notizie informatiche, spesso accompagnato da un coro di “ve l’avevamo detto”. È una falla imbarazzantissima, che solleva una domanda importante: se le aziende che realizzano questi controlli sono talmente inette che basta un videogioco per beffarle, perché mai dovremmo credere che siano capaci invece di custodire perfettamente i nostri dati sensibili?

Anche se molti utenti eluderanno questi controlli, anche se sarà necessario rinunciare a un po’ di anonimato online, almeno qualche bambino verrà protetto dalle grinfie dei pornografi, giusto? No, perché la strada dell’inferno, come si suol dire, è lastricata di buone intenzioni, anche in informatica.

Infatti una delle conseguenze di questa nuova legge britannica è che le comunità online e le associazioni per la tutela dei minori adesso non sono più facilmente accessibili ai minori che vorrebbero proteggere. Per esempio, una vittima minorenne di abusi sessuali deve ora presentare un documento di un adulto per poter interagire con i servizi che la possono aiutare.

E non è tutto: molti siti e forum gestiti da privati si trovano costretti a chiudere, perché non hanno i fondi necessari per pagare le aziende private deputate a questi controlli obbligatori, che possono costare circa 2700 euro l’anno, e non hanno le risorse umane per mettersi in regola con le nuove disposizioni. Non si tratta solo di siti che parlano di tematiche sensibili riguardanti i minori: queste regole toccano tutti i siti britannici, su qualunque tema.* Persino un’associazione di ciclisti o un forum dedicato al golf o alle birre artigianali o ai criceti.

* Questa legge è stata presentata come “anti-porno”, ma non è affatto così. L’OSA non riguarda solo i siti pornografici. Tocca qualunque sito nel quale gli utenti possano pubblicare contenuti o interagire tra loro. In pratica, qualunque forum e qualunque sito di associazione.

“The Act’s duties apply to search services and services that allow users to post content online or to interact with each other. This includes a range of websites, apps and other services, including social media services, consumer file cloud storage and sharing sites, video-sharing platforms, online forums, dating services, and online instant messaging services.” [Gov.uk] 

Inoltre questa legge tocca principalmente i siti britannici, ma si estende anche ai siti esteri in alcuni casi: “The Act applies to services even if the companies providing them are outside the UK should they have links to the UK. This includes if the service has a significant number of UK users, if the UK is a target market, or it is capable of being accessed by UK users and there is a material risk of significant harm to such users. [...] The Act gives Ofcom the powers they need to take appropriate action against all companies in scope, no matter where they are based, where services have relevant links with the UK. This means services with a significant number of UK users or where UK users are a target market, as well as other services which have in-scope content that presents a risk of significant harm to people in the UK.” [Gov.uk]

Persino Wikipedia. L’enciclopedia online, infatti, rischia di essere equiparata ai social network come Facebook o TikTok e ai grandi siti di pornografia che erano nella mente del legislatore quando ha concepito l’Online Safety Act. Gli avvocati della Wikimedia Foundation sono andati in tribunale per contestare la nuova legge, che obbligherebbe Wikipedia a mettere un tetto al numero di britannici che la consultano, perché se dovessero superare i sette milioni l’enciclopedia verrebbe classificata come un cosiddetto “servizio di categoria 1” e sarebbe soggetta quindi alle restrizioni massime previste da questa legge [Wikimedia Foundation]. Dovrebbe per esempio verificare le identità dei circa 260.000 utenti che contribuiscono volontariamente alla sua manutenzione e sottostare a mille altri obblighi che la renderebbero in sostanza ingestibile [The Telegraph; copia su Archive.is].

Insomma, quella che è stata presentata come una legge contro la pornografia sta diventando un bavaglio che tocca moltissimi settori.* Persino Spotify adesso deve chiedere agli utenti di farsi controllare l’età per poter accedere a certi suoi video musicali nel Regno Unito. Numerosi utenti segnalano che le notizie di guerra, soprattutto quelle riguardanti la Palestina, sono bloccate sui social network e per leggerle bisogna presentare un documento d’identità o farsi verificare l’età. Sono soggetti a controlli persino i forum di Reddit dedicati al cinema o ai labubu [Dazed].

* L’ambito intenzionale di questa legge è vastissimo: altro che “anti-porno”. I temi specificamente protetti non sono solo gli abusi sessuali su minori, la violenza sessuale estrema, gli abusi tramite immagini intime, lo sfruttamente sessuale e la pornografia estrema, ma le frodi, i reati contro l’ordine pubblico con aggravanti razziali o religiose, l’istigazione alla violenza, l’immigrazione illegale e il traffico di esseri umani, la promozione o la facilitazione del suicidio, la vendita di sostanze o armi illegali e il terrorismo. [Gov.uk]

I social network e i grandi siti per adulti, invece, prosperano indisturbati. A differenza delle piccole comunità online di volontari, hanno le risorse economiche e tecniche necessarie per implementare questi controlli di fatto inutili. Se si cerca di regolamentare Internet pensando che Internet sia solo Facebook e Google e poco altro, alla fine sopravvivono solo questi colossi, che sono gli unici che ricevono benefici da una legge come questa.

Chi prima gestiva un forum amatoriale indipendente, infatti, si troverà costretto a trasferire la propria comunità di utenti su un social network come Instagram o Discord o Facebook, dove i post dei membri saranno inframmezzati da inserzioni pubblicitarie che faranno diventare ancora più ricchi e potenti questi social e i loro proprietari, e dove quello che scrivono sarà soggetto agli umori e alle censure del momento [The New Statesman], come sa bene chiunque abbia perso di colpo il proprio profilo Instagram perché a quanto pare avrebbe violato qualche “standard della comunità” e non ha modo di reclamare e nemmeno di sapere quale di questi standard non avrebbe rispettato.

I cittadini britannici hanno criticato gli effetti di questa legge, depositando centinaia di migliaia di firme in pochi giorni presso il sito governativo apposito per le petizioni. Peter Kyle, segretario di stato per le tecnologie del governo del paese, ha risposto scrivendo su X/Twitter che chi vuole sopprimere questa legge sta dalla parte dei predatori di minori [X], equiparando insomma i critici ai criminali.

Visto che la tentazione di adottare leggi come quella britannica farà inevitabilmente capolino ancora, riassumo per chiarezza quali sono i veri effetti di qualunque legge che imponga la verifica delle identità o dell’età per accedere a contenuti online:

  • Per gli adulti diventa più difficile accedere alle informazioni e ai servizi perfettamente legali e utili.
  • I cittadini vengono obbligati a creare un tracciamento dettagliato delle loro attività online legato alle proprie identità e vengono spinti verso piattaforme meno sicure.
  • Le piccole comunità online che non possono permettersi gli oneri di conformità alla legge vengono distrutte.
  • E a un’intera generazione viene insegnato che eludere la sorveglianza governativa è una competenza di base della vita [TechDirt].

I danni che queste leggi affermano di voler eliminare, invece, proseguono indisturbati. I predatori non fanno altro che trasferirsi su altre piattaforme, usano la messaggistica con crittografia oppure ricorrono alle VPN. Si crea, insomma, l’illusione della sicurezza, ma in realtà si aumenta l’insicurezza di tutti. E i social network, i cui algoritmi creano spirali cognitive tossiche e causano tutti questi danni, vengono premiati invece di essere puniti.

Quello che è successo nel Regno Unito dovrebbe essere un monito per qualunque democrazia alle prese con la regolamentazione di Internet. Se i politici preferiscono atteggiarsi a uomini forti e decisionisti, se privilegiano l’apparenza di aver fatto qualcosa, qualunque cosa, alla sostanza di aver capito il problema e di aver agito ascoltando gli esperti, adottando soluzioni sociali a lungo termine e varando norme come l’interoperabilità che tolgano ai social network il loro strapotere di ghetti inghirlandati, il risultato è che nessun bambino viene salvato.

E l’unica cosa buona che viene fuori da questa legge britannica è che adesso quei pericoli per la democrazia che venivano ipotizzati dagli esperti non sono più teoria, ma sono pratica concreta, tangibile e reale, da studiare per capire che cosa non fare.

Fonti

Reddit and Discord’s UK age verification can be defeated by Death Stranding’s photo mode, The Verge (2025) [copia su Archive.is]

The UK’s new age-gating rules are easy to bypass, The Verge (2025) [copia su Archive.is]

Istruzioni di bypass di Kevin Beaumont su Mastodon (2025)

Brits can get around Discord’s age verification thanks to Death Stranding’s photo mode, bypassing the measure introduced with the UK’s Online Safety Act. We tried it and it works—thanks, Kojima, PCGamer (2025)

UK VPN demand soars after debut of Online Safety Act, The Register (2025)

VPNs top download charts as age verification law kicks in, BBC (2025)

Didn’t Take Long To Reveal The UK’s Online Safety Act Is Exactly The Privacy-Crushing Failure Everyone Warned About, Techdirt (2025)

The UK’s new online safety laws are already a disaster, Dazed (2025)

Death Of A Forum: How The UK’s Online Safety Act Is Killing Communities, Techdirt (2025)

Podcast RSI – Smart TV che fanno la spia mandando screenshot di quello che guardiamo

Questo è il testo della puntata del 7 aprile 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.

[CLIP letta da voce sintetica: “Con l’invenzione e lo sviluppo della televisione, e il progresso tecnico che rese possibile di ricevere e trasmettere simultaneamente sullo stesso apparecchio, il concetto di vita privata si poteva considerare del tutto scomparso. Ogni cittadino, o meglio ogni cittadino che fosse abbastanza importante e che valesse la pena di sorvegliare, poteva essere tenuto comodamente sotto gli occhi della polizia e a portata della propaganda ufficiale”]

George Orwell, l’autore del celeberrimo libro distopico 1984 dal quale sono tratte queste parole, era un ottimista. Pensava che la sorveglianza tramite la tecnologia sarebbe stata applicata solo a chi fosse abbastanza importante. Oggi, invece, la sorveglianza tecnologica si applica a tutti, in massa, e per di più siamo noi utenti a pagare per i dispositivi che la consentono.

Uno di questi dispositivi è il televisore, o meglio la “Smart TV”, come va di moda chiamarla adesso. Sì, perché buona parte dei televisori moderni in commercio è dotata di un sistema che raccoglie informazioni su quello che guardiamo sullo schermo e le trasmette a un archivio centralizzato. Non a scopo di sorveglianza totalitaria, ma per mandarci pubblicità sempre più mirate, basate sulle nostre abitudini e i nostri gusti. In sostanza, molti televisori fanno continui screenshot di quello che state guardando, non importa se sia una serie di Netflix, un videogioco o un vostro video personale, e li usano per riconoscere cosa state guardando e per suggerire ai pubblicitari quali prodotti o servizi mostrarvi.

Probabilmente non ne avete mai sentito parlare, perché non è una caratteristica tecnica che i fabbricanti sbandierano fieramente, ma esiste, e funziona talmente bene che almeno un’azienda costruttrice ha guadagnato più da questa sorveglianza di massa che dalla vendita dei propri televisori.

Questa è la storia di questo sistema di sorveglianza integrato, di come funziona e soprattutto di come controllare se è presente nella vostra Smart TV e di come disattivarlo.

Benvenuti alla puntata del 7 aprile 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Se avete una Smart TV, uno di quei televisori ultrapiatti che si collegano a Internet, probabilmente ogni volta che lo usate per guardare qualcosa siete in compagna di un ospite non invitato.

Questo ospite si chiama ACR, che sta per Automated Content Recognition o “riconoscimento automatico dei contenuti”. È un software, integrato nel televisore, che raccoglie dati su tutto quello che guardate e li manda a un archivio centrale per identificare cosa state guardando e mandarvi pubblicità personalizzate. La sua esistenza non è un segreto in senso stretto, ma i fabbricanti di televisori non si sforzano molto per farla conoscere al consumatore medio.

Questo ACR effettua continuamente delle catture dello schermo, degli screenshot, di quello che state vedendo; lo fa con qualunque cosa venga mostrata sullo schermo, quindi non solo programmi di canali televisivi ma anche Blu-Ray, sessioni di videogioco, video personali e schermate di lavoro per chi, come me, usa una Smart TV come monitor gigante per il proprio computer. Ne fa veramente tante, di queste catture: fino a 7200 ogni ora, ossia circa due al secondo.

Queste catture vengono elaborate per crearne una sintesi, una sorta di impronta digitale [fingerprint in inglese] che viene confrontata con un enorme archivio di contenuti video di vario genere, compresi gli spot pubblicitari. Quando viene trovata una corrispondenza, il sistema deduce che state guardando quel contenuto e avvisa i gestori del servizio, che possono vendere quest’informazione a scopo pubblicitario o per proporre contenuti a tema. Queste vendite rappresentavano, nel 2022, un mercato che valeva quasi venti miliardi di dollari ed è in continua crescita.

I fabbricanti che partecipano al sistema ACR sono fra i più blasonati: nomi come Roku, Samsung, LG, Sony, Hisense e tanti altri. Non è un sistema particolarmente nuovo, perché esiste almeno dal 2011. E funziona molto bene, almeno dal punto di vista di chi lo vende: a novembre 2021, uno di questi fabbricanti di Smart TV, Vizio, uno dei più importanti negli Stati Uniti, ha guadagnato dalla vendita dei dati dei propri clienti più del doppio di quello che ha ottenuto dalla vendita degli apparecchi televisivi [The Verge; Vizio].

Schema generale del funzionamento dell’ACR (da Watching TV with the Second-Party: A First Look at Automatic Content Recognition Tracking in Smart TVs, Arxiv.org, 2024).

Probabilmente a questo punto vi state chiedendo se catturare di nascosto quello che c’è sullo schermo della TV che sta in casa vostra sia legale. La risposta, come sempre in questi casi, è un grosso “dipende”. Le normative statunitensi sono molto permissive, mentre quelle europee sono orientate alla tutela del consumatore.

Eppure anche negli Stati Uniti, quella stessa Vizio che ha guadagnato così tanto dall’uso dell’ACR era stata sanzionata dalla Commissione federale per il commercio [FTC] nel 2017 perché con questo sistema raccoglieva i dati di ascolto di undici milioni di televisori senza il consenso dei consumatori e senza che quei consumatori ne fossero a conoscenza. Secondo la Commissione, Vizio aveva reso facile associare a questi dati televisivi numerose informazioni personali come “sesso, età, reddito, stato civile, dimensioni del nucleo famigliare, livello di istruzione, proprietà e valore dell’abitazione” e ha anche “venduto queste informazioni a terzi, che le hanno usate a vari scopi, compresa la pubblicità mirata”.

La sanzione, di circa 2 milioni di dollari, è stata in sostanza trascurabile: un costo operativo più che una punizione efficace [FTC; FTC]. Un tribunale federale statunitense ha poi approvato un risarcimento di 17 milioni di dollari in seguito a una class action avviata per le stesse ragioni contro la stessa azienda [Class Law Group; Hunton.com]. Questo caso dimostra la disinvoltura con la quale le aziende trattano i dati e i diritti dei consumatori.

C’è anche un altro tipo di disinvoltura aziendale legato a questo riconoscimento automatico dei contenuti: l’idea che bombardare l’utente di pubblicità sia non tanto un male necessario, ma addirittura un beneficio per il consumatore. Come dice una presentazione di Samsung dedicata al mercato canadese, “la tecnologia ACR offre numerosi benefici sia per gli spettatori, sia per gli inserzionisti. Per gli spettatori, l’ACR crea un’esperienza televisiva veramente personalizzata.”

La pagina della presentazione di Samsung che parla di “esperienza televisiva veramente personalizzata” grazie all’ACR.
Il flusso di dati dell’ACR di Samsung che conferma la cattura di due immagini al secondo da parte del televisore.

Samsung spiega che i consumatori sono “sovraccaricati dalla quantità di scelte disponibili e faticano a scoprire contenuti nuovi e pertinenti”. Oltre l’80% degli interpellati in uno studio svolto nel 2022 dall’azienda, sempre in Canada, ha dichiarato che sarebbe interessato a ricevere suggerimenti intelligenti sui contenuti per aiutarlo a trovare serie TV di suo gradimento. Ma desiderare di “ricevere suggerimenti su cosa guardare” non è la stessa cosa che voler essere spiati in tutto quello che si guarda alla TV pur di ricevere quei suggerimenti.

Alle aziende, insomma, sembra che non passi nemmeno per l’anticamera del cervello l’ipotesi che chi ha comprato un televisore, pagandolo con i propri soldi, non voglia essere bombardato da pubblicità che non ha richiesto e voglia invece usare il televisore come vuole lui o lei e non come glielo impone di nascosto un fabbricante. Per questi produttori di televisori è a quanto pare inconcepibile che qualcuno voglia vivere senza spot pubblicitari e che non desideri una “esperienza televisiva personalizzata”, ma voglia semplicemente guardare la TV in santa pace.

La Smart TV non è la versione piatta del televisore classico, non è un dispositivo passivo che mostra a chi lo ha comprato quello che gli interessa: è diventato un fragoroso, ossessivo, insistente chioschetto pubblicitario al servizio dei fabbricanti, degli inserzionisti e dei data broker che guadagnano miliardi vendendo i fatti nostri.

E in questa presentazione di Samsung c’è annidato anche un altro dato interessante: il servizio ACR di questa azienda ha anche una funzione cross-device. In altre parole, è capace di coinvolgere in questa sorveglianza commerciale anche gli altri dispositivi connessi, come i telefonini e i tablet. Piattaforme commerciali come Samba TV usano i dati dell’ACR per mostrare sui telefonini di casa le stesse pubblicità che passano sulla Smart TV [The Viewpoint]. Quei telefonini vengono associati alla casa perché si collegano al Wi-Fi domestico, come fa anche il televisore, e quindi hanno lo stesso indirizzo IP.

La pagina della presentazione di Samsung che parla di funzioni cross-device.

Molti utenti pensano che il telefonino li ascolti, perché vedono comparire sul suo schermo le pubblicità di cose di cui hanno parlato, ma in realtà è probabile che ad ascoltarli o a dedurre i loro interessi sia quell’altro schermo che hanno in casa.

Vediamo allora come scoprire se una Smart TV fa la spia e come disattivare questa funzione.

Per tagliare la testa al toro ed evitare completamente la sorveglianza commerciale dell’ACR nei televisori smart ci sono due soluzioni. La prima è… non acquistare una Smart TV.

Al posto del televisore, infatti, si può acquistare un monitor per computer. Questi dispositivi, almeno per ora, non hanno funzioni di sorveglianza e si possono collegare al set top box per lo streaming, al computer o al lettore Blu-Ray. Il difetto di questa soluzione è che chi desidera uno schermo molto grande non troverà monitor per computer delle dimensioni desiderate. In alternativa, si può scegliere un videoproiettore, che consente di avere immagini molto grandi ed è anch’esso, per ora, privo di funzioni di riconoscimento dei contenuti proiettati.

La seconda soluzione è acquistare una Smart TV, ma non collegarla a Internet, né tramite cavo Ethernet né tramite Wi-Fi. In questo modo, se anche dovesse acquisire degli screenshot di quello che si sta guardando, non potrà trasmettere alcuna informazione al suo fabbricante. È quello che ho fatto io: il televisore del Maniero Digitale è una Smart TV OLED collegata a un computer, a un set top box o a un riproduttore di Blu-Ray esclusivamente tramite cavo HDMI, lungo il quale non transitano informazioni pubblicitarie.

Se invece avete già una Smart TV e volete sapere se sorveglia quello che guardate, su Internet ci sono numerose istruzioni dettagliate, per ogni specifica marca, che spiegano in quale menu, sottomenu e sotto-sottomenu andare per cercare le funzioni-spia; le trovate linkate su Attivissimo.me [articolo su ZDNet; articolo su The Markup].

A dimostrazione del fatto che le aziende non ci tengono affatto a informare il consumatore che viene sorvegliato, queste funzioni non vengono indicate con un nome esplicativo o almeno con la sigla standard ACR, ma sono presenti con nomi decisamente eufemistici e ingannevoli. Per Samsung, per esempio, il nome da cercare è Viewing Information Services, ossia “servizi per le informazioni di fruizione”; per Sony è Samba Services Manager.

Considerata la tendenza crescente a guardare film e serie TV mentre si usa lo smartphone o si fa altro, tanto che i copioni di molte nuove produzioni vengono scritti facendo dire ai personaggi ogni tanto un riassunto della situazione per i più distratti, si può dire che viviamo in un mondo nel quale i nostri televisori guardano noi più attentamente di quanto noi guardiamo loro, e sanno di noi molto più di quello che sappiamo noi di loro. Non dovremmo preoccuparci che possano diventare senzienti con l’intelligenza artificiale, ma che siano già diventati insopportabilmente pettegoli.

Fonti

How to disable ACR on your TV (and why doing it makes such a big difference for privacy), ZDnet, 2025

How to disable ACR on your TV (and stop companies from spying on you), ZDnet, 2025

Your Smart TV Knows What You’re Watching, The Markup, 2023

Cassandra Crossing/ ACR, la Smart-TV vi spia davvero, Medium.com, 2025

Smart TV, così i produttori tracciano le nostre abitudini, Agendadigitale.eu, 2024

Automatic Content Recognition Market Size, Share & Trends Analysis Report By Component (Software), By Content (Audio, Video, Image), By Platform, By Technology, By Industry Vertical, By End Use, By Resolution, By Distribution Channel, And Segment Forecasts, 2025 – 2030, Grand View Research

Automatic content recognition, Wikipedia

ACR (Automatic Content Recognition), Acrcloud.com (archiviato su Archive.org), 2017

Automated Content Recognition: Discussion Paper – Phase 1 ‘Existing technologies and their impact on IP’, European Union Intellectual Property Office, 2020

Automated Content Recognition: Discussion Paper – Phase 2 ‘IP enforcement and management use cases’, European Union Intellectual Property Office, 2022

Watching TV with the Second-Party: A First Look at Automatic Content Recognition Tracking in Smart TVs, Arxiv.org, 2024

Vizio’s profit on ads, subscriptions, and data is double the money it makes selling TVs, The Verge, 2021

Vizio Smart TVs Are Watching You Back Even Harder Than Most, Consumerist, 2015 (archiviato su Archive.org)

Stravaleaks: guardie del corpo presidenziali pubblicano online i propri percorsi di fitness

Un’inchiesta giornalistica di Le Monde segnala un esempio clamoroso di tracciabilità eccessiva e pericolosa indotta dalla vanità: le guardie del corpo di vari capi di stato, da Biden a Trump a Putin a Macron, pubblicano regolarmente i propri percorsi di fitness su Strava, rivelando così le proprie identità, le proprie abitazioni, i luoghi dove vanno in vacanza e ovviamente rivelando anche dove si trovano o si troveranno i leader che sono chiamati a proteggere.

Queste guardie del corpo, infatti, spesso raggiungono in anticipo i luoghi dei summit che dovrebbero in teoria restare segreti fino all’ultimo minuto per evidenti ragioni di sicurezza. Pubblicando la propria localizzazione, con tanto di percorsi seguiti per le proprie corse di allenamento e punti di partenza e di arrivo precisi, tolgono qualunque velo di riservatezza agli spostamenti delle persone protette.

Ma come hanno fatto i giornalisti di Le Monde a risalire alle loro identità e quindi sapere chi cercare su Strava? Hanno usato un po’ di buon sano, paziente e diligente giornalismo investigativo, combinato con la competenza informatica. Nel caso delle guardie del corpo presidenziali statunitensi, l’indagine parte dalla conoscenza di un fatto: questi specialisti si addestrano per diversi mesi al centro James J. Rowley, vicino a Washington. Un dato pubblico e presente anche su Wikipedia.

Ovviamente si tengono in forma fisica mentre sono in questo centro, e lo fanno per esempio correndo nelle vicinanze. Basta quindi andare su Strava e cercare con pazienza chi posta attività su Strava in quella zona e poi posta altre corse nei luoghi in cui si trova il presidente USA nelle date corrispondenti agli spostamenti presidenziali. Il metodo è spiegato in questo video (in francese; embed qui sotto).

Uno dei video esplicativi di Le Monde.

Il problema dell’eccesso di condivisione di dati personali non riguarda solo i politici: tocca anche qualunque persona esposta al rischio di stalking (in particolare le donne) e chiunque abbia un incarico sensibile che lo espone al rischio di aggressioni o rapimenti. Tocca anche chi semplicemente ha un bella bicicletta, di quelle costose, e se la vede rubare perché i ladri scoprono online dove abita e quali sono le abitudini della vittima, come è stato raccontato nel programma radiofonico Millevoci della ReteUno RSI al quale ho partecipato ieri (una clip audio del mio intervento è qui).

Va notato che le impostazioni predefinite di Strava nascondono i primi e ultimi 200 metri di ogni percorso; è un buon inizio, ma non è sufficiente.

Fonti aggiuntive: Cyberdaily.au, RTS.ch, Le Monde (in inglese, anche qui).