Le trappole per “rubare” gli account nei social network sono tante. Qui spiego un espediente piuttosto ricorrente nei social network, basato semplicemente sulla modifica delle informazioni di contatto, che un utente può essere indotto ad aggiornare in modo ingannevole. Non chiamiamolo hackeraggio, non lo è: si tratta di un imbroglio. E in questo caso un utente incauto, senza accorgersene, serve il proprio account su un piatto d’argento direttamente ad un truffatore.
Una possibilità è questa: voi commentate il post Instagram (o Facebook) di un personaggio famoso o di un’azienda, il vostro commento viene notato da qualcuno che, tramite DM (Direct Message), vi contatta spacciandosi per un collaboratore, dice che il commento è interessante e vi promette di aprirvi un canale di comunicazione privilegiato ed esclusivo con il personaggio o l’azienda, inviandovi un link. L’opportunità attira la vostra attenzione: il commento che avevate scritto potrebbe essere ignorato, annegare in mezzo a migliaia di altri, qui invece vi propongono di aprire un contatto diretto e poter comunicare direttamente con la sicurezza di essere considerati, tutto ciò che dovete fare è seguire un link. Questo link vi porta alla gestione dei contatti del vostro account, in cui il truffatore vi indica di aggiungere un indirizzo mail (non il vostro, ma un indirizzo che vi dirà lui) “per permettere l’invio di messaggi diretti”. Il gioco è fatto: da quel momento, pensando di aver creato un collegamento con il personaggio o l’azienda in questione, in realtà avete dato ad un truffatore la delega a gestire il vostro account. Da lì a pochi minuti, ogni utente caduto nel tranello si trova ben presto a non poter più utilizzare il proprio account, perché il truffatore ha cambiato la password d’accesso e i contatti di riferimento. Pertanto è fondamentale fare sempre molta attenzione agli inviti ricevuti da persone sconosciute.
Aggiungo un elemento di complicazione: potreste ricevere questo stesso tipo di invito da una persona che conoscete, o almeno così credete. La persona che vi contatta potrebbe essersi impossessata dell’account del vostro conoscente, oppure potrebbe avere un account fasullo con lo stesso nome, per indurvi a fidarsi di lui. Anche qui, attenzione: il link che vi indica porta alla pagina che gestisce gli account del vostro profilo. Se ricevete quindi una richiesta simile, verificate sempre: prima di inserire o trasmettere qualsiasi informazione personale, contattate quella persona in un altro modo (telefonicamente oppure via mail, WhatsApp, Telegram, fax, piccione viaggiatore, citofonate a casa sua… quello che vi pare) e chiedetele se è stata lei a mandarvi quel link, che non serve a stabilire alcun canale di comunicazione privilegiato, ma a definire chi ha la possibilità gestire il vostro account.
Ultimamente ho ricevuto svariate segnalazioni di account rubati con espedienti simili e sabato scorso io stesso ho ricevuto questo tipo di esca, in cui mi è stato offerto di avere un contatto esclusivo con un’azienda che però conosco bene e con cui ho già un rapporto diretto. Il sospetto della truffa quindi era dietro l’angolo, ma in molti casi scoprirla non è semplice. Per cui ripeto, attenzione: si tratta a tutti gli effetti di un tentativo di furto di identità ed esserne vittime, oltre a creare problemi personali legati all’indisponibilità dell’account, può avere effetti collaterali anche molto sgradevoli. Se pensate a tutto ciò che può fare una persona che può agire sotto mentite spoglie, capite che si tratta di un argomento da prendere in seria considerazione. E se vi accade una cosa simile, oltre a non abboccare, segnalate l’account all’assistenza del social network
Nella classifica delle password più utilizzate, l’Italia si distingue (poco): mentre a livello mondiale resta saldamente in testa l’inossidabile “123456“, noi ci differenziamo con “admin” (dimostrando anche un discreto complesso di superiorità: l’admin è l’administrator, l’utente principale, il profilo con permessi di accesso “onnipotenti”). Ma in realtà la fantasia è poca, come si vede dal parallelo tra le top ten “Tutti i Paesi” e “Italia”. Perché nonostante siamo nel 2023, non tutti hanno maturato la consapevolezza che oggi, nell’era in cui tutto viene digitalizzato (dai documenti al conto corrente bancario), la password è la versione digitale della chiave – o della combinazione – che apre la cassaforte in cui conserviamo i nostri dati personali.
Si noti inoltre – sempre dalle classifiche qui riportate – quanto tempo serve per decifrare le password di uso comune: nel 70% dei casi basta meno di un secondo per aggirare l’ostacolo. Una menzione d’onore meritano però gli utenti che hanno scelto UNKNOWN, che danno più filo da torcere ai malintenzionati. Ovviamente uno dei criteri più diffusi resta sempre quello di utilizzare il proprio nome, ma nessun nome ricorrente potrà mai vantare presenze pari alle password più standard del mondo.
La debolezza della password è un problema? Sì perché, come detto sopra, le password sono le chiavi. Chiavi di casa digitali, del conto in banca, del computer. Se le perdiamo – o se ne perdiamo il controllo al punto da permettere a un’altra persona di impossessarsene e farne un utilizzo illecito – sapete meglio di me cosa può accadere: dal furto di informazioni a quello di identità, passando per i reati contro il patrimonio, le probabilità di subire un danno concreto sono direttamente proporzionali alla facilità di individuazione della parola chiave.
Le password devono essere complesse, e il più possibile slegate e indipendenti da qualunque informazione che ci riguarda: meglio pensare a qualcosa di differente dal nome (nostro o di qualcuno di famiglia, animali domestici inclusi), dalla data di nascita e da qualsiasi informazione che possa essere facilmente individuata, per conoscenza diretta o indiretta.
I criteri di composizione delle password devono andare in altre direzioni. Ad esempio si può pensare ad una frase, considerando le lettere iniziali di ogni parola che la compone e giocando con maiuscole e minuscole, usando anche lettere alternate a numeri e aggiungendo caratteri speciali. Oppure è possibile ricorrere a un generatore di password (come Roboform) e affidarsi alla sua scelta, senza utilizzare informazioni riconducibili a informazioni personali. Quando le password diventano tante e diventa difficile gestirle, anziché scriverle su un post it o in un foglio Excel, è il momento di affidarsi ad una soluzione di password management, cioè di qualcosa che possa aiutare a gestirne l’inventario e a recuperarle all’occorrenza. Una soluzione efficace e gratuita ad esempio è Devolutions Hub Personal.
Mai sottovalutare l’importanza delle password. Se pensate alle informazioni personali gestite dalle applicazioni installate su uno smartphone, ad esempio, capite bene quanta parte della vostra vita ha bisogno di password sicure: account social media, posta elettronica, conto corrente bancario, fascicolo sanitario elettronico, identità digitale. La possibilità che le nostre informazioni personali finiscano nelle mani sbagliate ci deve far riflettere: meglio una sola password, facile, da utilizzare per tutti gli account (che una volta rubata apre ai malintenzionati tutte le porte), oppure tante password complesse, diverse per ogni account?
Agli assistenti vocali come Alexa è possibile chiedere tante cose: le funzionalità si evolvono ogni giorno ma già nel loro standard permettono di fare ricerche sul web, impostare una sveglia, fissare appuntamenti, ascoltare un brano musicale in streaming, per non parlare della gestione dei dispositivi domestici “smart”. Ma, come scrivevo qualche tempo fa, si chiamano Assistenti perché assistono. Anzi: ascoltano, e lo fanno sempre, a scapito della privacy di chi li utilizza.
L’ultima notizia al riguardo viene dalla McKelvey School of Engineering della Washington University di St. Louis, le cui ricerche hanno confermato come Amazon utilizzi tutti i dati acquisiti tramite Alexa per profilare gli utenti e per destinare loro annunci pubblicitari mirati alle loro preferenze. Ma non è una novità: anni fa, da un rapporto pubblicato da Bloomberg è emersa l’esistenza di un team dedicato all’attività di ascolto e trascrizione di ciò che viene detto tramite lo smart speaker. Attività che oggi sono certamente automatizzate e che possono agire su una scala realmente ampia.
Non illudiamoci che questi dispositivi siano predisposti per attivarsi solamente in corrispondenza di una determinata frase. Certo, Alexa mostra di ascoltarci ed eseguire i comandi dopo che la chiamiamo per nome, esattamente come fanno anche Siri (Apple), Cortana (Microsoft), Google Assistant e altri assistenti vocali, come quelli a bordo delle auto. Ma per svolgere quel “compito”, l’assistente che si attiva con una determinata “parola magica” deve essere in grado di sceglierla, di distinguerla, di identificarla in mezzo al rumore, ad altri suoni… e ad altre frasi. Per rendere l’idea propongo sempre questo esempio: quando ci chiamano per nome, da quel momento rispondiamo e concediamo attenzione a chi ci ha chiamato, ma le nostre orecchie e il nostro cervello erano già “accesi” da prima.
Un assistente vocale non fa nulla di diverso e non ha alcuna difficoltà a rimanere sempre in ascolto e farsi microfono e portavoce di tutto quanto avviene tra le mura domestiche. All’insaputa di chi lo utilizza, che però dovrebbe sempre essere necessariamente informato di come vengono trattati i suoi dati personali: di chi sono le orecchie che li ascoltano? Per cosa verranno davvero impiegati? Verranno venduti ad altre organizzazioni a scopo statistico, commerciale, oppure politico?
Meta ha acquisito Luxexcel, azienda olandese specializzata nella produzione – con stampa 3D – di lenti graduate per smart glass, cioè gli “occhiali intelligenti”. La notizia giunge a breve distanza dall’annuncio, sempre da parte della holding che controlla Facebook, Instagram, WhatsApp e Oculus (non dimentichiamolo), di voler incrementare gli investimenti nelle tecnologie per la realtà aumentata e virtuale. Il gruppo di Mark Zuckerberg mette dunque le sue mani sull’azienda guidata da Fabio Esposito con cui aveva una partnership nel Project Aria, per lo sviluppo di software e hardware per la realtà aumentata, tra cui spicca l’obiettivo di realizzare un dispositivo “da indossare come un normale paio di occhiali”.
Luxexcel è già attiva nello sviluppo di lenti “stampate” integrando tecnologie come display LCD e pellicole olografiche. Puntando a queste tecnologie, Meta intende fare un enorme passo in avanti rispetto alla collaborazione già esistente con Luxottica. Il primo step è stato appunto il lancio dei Ray Ban Stories, un paio di occhiali che, con un’applicazione, permettono agli utenti di ascoltare musica, scattare foto, effettuare chiamate e registrare video da condividere su Facebook. C’è da scommettere che Project Aria proietterà molto di più davanti agli occhi di chi indosserà i nuovi smart glass di Meta-Luxexcel.
Ma la vera domanda è: riusciranno a centrare l’obiettivo mancato dai Google Glasses? Partiti con molte ambizioni, gli occhiali smart di Google una decina di anni fa si erano scontrati con un problema non trascurabile: la privacy. Certo, con il microfono e la telecamera di un paio di “occhiali intelligenti” non si catturano informazioni diverse da quelle acquisite da un moderno smartphone, ma mentre io mi posso accorgere di qualcuno che usa un cellulare per riprendermi, se una persona utilizza un paio di smart glass e non lo dichiara, nessun altro se ne accorge e chiunque si trovi intorno può essere ripreso, identificato e tracciato a sua insaputa. Per questo motivo Google ha limitato il mercato dei suoi occhiali al settore dei professionisti che li utilizzano per ricevere e trasmettere informazioni da remoto, ad esempio per applicazioni di telecontrollo.
Sicuramente sarà necessario prevedere una regolamentazione a questo scopo: potrebbe ad esempio essere reso obbligatorio un segnale visivo quando questi dispositivi sono “attivi”. Ma voi come vi vedreste, indossando un paio di occhiali con un evidente led lampeggiante sulla montatura?
I numeri telefonici di quasi 500 milioni di utenti WhatsApp sono in vendita su Internet, oltre 35 milioni di questi contatti sono di utenti italiani. La notizia è stata diffusa da Cybernews che spiega come, un paio di settimane fa, in un forum sia comparso l’annuncio della messa in vendita di un database datato 2022 con 487 milioni di numeri telefonici ottenuti dalla piattaforma di messaggistica.
Questa notizia finora è stata pubblicata solo da siti di informazione di settore, ma merita di guadagnare la più ampia diffusione, dal momento che tutti quei numeri telefonici ora sono potenziali bersagli di chiamate e messaggi che possono arrivare da ogni tipo di mittente o malintenzionato, che può inviare di tutto: pubblicità (anche ingannevole), minacce informatiche (e non solo), truffe, frodi e ogni altro tipo di comunicazione indesiderata e dannosa.
Il numero di utenti interessati è decisamente considerevole ed è una bella fetta degli oltre 2 miliardi di utenti che utilizzano WhatsApp in tutto il mondo. Se in quel database si trovano i contatti di 35 milioni di italiani significa che, se siete iscritti a WhatsApp, molto probabilmente c’è anche il vostro numero.
Quindi, in tema di attenzione allo spam, non limitatevi ad essere attenti ai messaggi che ricevete via email, ma verificate ciò che vi arriva anche da SMS, WhatsApp e ogni altro tipo di comunicazione che possa raggiungervi tramite il vostro numero telefonico. Anche un banale messaggino che vi aggiorna su una spedizione in arrivo potrebbe nascondere una trappola, basta un link su cui cliccare. E se avete condiviso il vostro numero telefonico sui vostri profili social (Facebook, Instagram, Twitter, eccetera), sappiate che è un gioco da ragazzi arrivare alla vostra identità, alle vostre foto e a tutte le informazioni personali che avete pubblicato, partendo semplicemente da un numero di cellulare trovato in Internet.
Come è stata ottenuta questa lista di contatti? Il venditore non lo ha rivelato, limitandosi a dire di aver usato una propria strategia (grazie, chi l’avrebbe detto?). L’ipotesi è che alla base ci sia un’attività di scraping, cioè di estrazione di informazioni dal web con l’utilizzo di bot dai motori di ricerca, non consentita dai termini di servizio di WhatsApp. Ma da quando le regole fermano i malintenzionati?
Nel 2015 i fondatori di Googlehanno creato una holding chiamata Alphabet per gestire tutte le società e i servizi del gruppo. Nel 2021 – oggi – Mark Zuckerbergha reso noto che Facebook, Instagram, Messenger e WhatsApp (insieme a tutti i servizi dello stesso gruppo come Quest VR, Horizon VR e così via) faranno capo a una nuova società chiamata Meta, un nome che – nelle intenzioni dichiarate del fondatore – rappresenterà “l’attenzione della società sulla costruzione del metaverso“.
Un nuovo nome non cambia la sostanza e l’evoluzione di tutto quanto è nato da (e intorno a) una versione digitale dell’annuario scolastico (tale era l’origine di Facebook). Soprattutto non cancella quanto è emerso dai Facebook Files e da vicende come il caso Cambridge Analytica. Rinominare la holding come Meta è un’operazione di lifting di facciata e non è un caso che, dopo l’annuncio, in borsa i titoli legati al gruppo di Zuckerberg abbiano iniziato a galoppare.
Effetti concreti di questa “novità”: ciò che fino a ieri veniva identificato come Galassia Facebook, gruppo Facebook, famiglia Facebook verrà riunito sotto un unico cappello, un nuovo “cognome” che potrebbe comparire anche nelle schermate di apertura delle app (al posto di “from Facebook”).
Si chiama Astro ed è stato presentato ieri da Amazon come un simpatico robot domestico, che gira per casa come un cucciolo curioso, muovendosi grazie alle sue tre ruote e con la sua testa – uno schermo – con due occhioni che cercano di dargli espressività. In pratica è un Echo Show con il “dono” della mobilità, che in più può “obbedire” al comando di spostarsi verso una determinata posizione della casa e riconoscere una persona (che Astro può identificare con un sistema di riconoscimento facciale), per portarle un oggetto, oppure per interagire attivando videochiamate o ancora trasmettere avvisi e allarmi relativi a compiti di videosorveglianza.
Al netto del design – più simpatico che sofisticato – sono però emerse molte perplessità sul “prodotto”, evidenziate da Motherboard: l’importanza del riconoscimento facciale per il suo funzionamento è nel mirino di coloro che sono più attenti alla tutela della riservatezza dei dati personali (per gli amici, la privacy) e lo stesso vale per le informazioni che Astro raccoglie in merito al comportamento dell’utente. Soprattutto perché, a quanto pare, questo “cucciolo elettronico” soffre di alcuni “problemi di gioventù” tutt’altro che trascurabili.
Tra le funzionalità che avrebbero necessità di migliorie, se non di un upgrade di rilievo, ci sarebbe innanzitutto il sistema di riconoscimento delle persone (che analizza e memorizza i volti di ogni persona rilevata nell’ambiente in cui si trova), che sarebbe “decisamente difettoso” e renderebbe quindi non affidabili alcune caratteristiche, come le funzioni di videosorveglianza. Altri aspetti critici consisterebbero nella possibilità di identificare ostacoli o pericoli sul suo percorso, per la presunta incapacità di Astro di riconoscere correttamente una scala e, quindi, di muoversi con il banale rischio di cadere. Quindi, stando a quanto dicono su Motherboard, vede poco e rischia di fare danni.
Vedremo in seguito se Amazon sarà in grado di risolvere i dubbi (non di poco conto) sollevati. Per quanto riguarda le perplessità sulla riservatezza, non c’è nulla di nuovo o diverso da quanto scritto da me in un post di due anni fa, dal titolo: si chiamano assistenti vocali perché assistono.
Sfogliare Google News, scegliere la sezione Scienza e tecnologia e imbattersi in due “articoli” dal contenuto commerciale, dimostra – a mio parere – un’applicazione fin troppo approssimativa del concetto di fornire notizie. Capisco perfettamente che le dinamiche di ranking utilizzate possano essere eccessivamente inclusive: in pratica è come gettare nel mare dell’informazione una rete a strascico e raccogliere un po’ di tutto. Ma è un’approssimazione assolutamente intenzionale.
A quasi vent’anni dall’introduzione di Google News potrei non comprendere come in Scienza e tecnologia possa finire una “notizia” che già nel titolo contiene il nome di un supermercato e termini come “volantino” e “offerta”, anche se relativa a dispositivi tecnologici. Si tratta di Google, non cerchiamo attenuanti: è un’azienda che si sostiene sulla raccolta pubblicitaria e che è proprietaria di tecnologie in grado di individuare dati con precisione chirurgica, tanto sulle informazioni presenti in Internet, quanto sugli utenti che vi navigano.
Non facciamoci ingannare dalla dichiarazione diffusa nei giorni scorsi da David Temkin, (che ha la qualifica di Director of Product Management, Ads Privacy and Trust per il gruppo), stando alla quale Google dal 2022 non utilizzerà più tecnologie di tracciamento per vendere pubblicità, ossia i cookies, con l’obiettivo di una maggiore tutela della privacy. Perché l’attività di profilazione comportamentale verrà attuata ugualmente, ma con una tecnologia differente.
Via i cookies, è tempo di sfruttare un nuovo sistema chiamato FloC (Federated Learning of Cohorts), il cui obiettivo è permettere agli inserzionisti di effettuare attività di profilazione senza utilizzare i cookie, ma sfruttando il browser, abilitato a raccogliere informazioni sulle abitudini degli utenti che potranno quindi essere categorizzati in gruppi (le coorti) in funzione delle loro caratteristiche.
EFF(Electronic Frontier Foundation), organizzazione internazionale non profit di avvocati che tutela la libertà di espressione e i diritti digitali in ambito tecnologico, spiega:
FLoC è inteso come un nuovo modo per far fare al vostro browser la profilazione che i tracker di terze parti facevano da soli: in questo caso, riducendo la vostra recente attività di navigazione ad un’etichetta comportamentale, e poi condividendola con siti web e pubblicitari. La tecnologia eviterà i rischi per la privacy dei cookie di terze parti, ma ne creerà di nuovi nel processo. Può anche esacerbare molti dei peggiori problemi di non-privacy con gli annunci comportamentali, compresa la discriminazione e il targeting predatorio.
C’è un interessante approfondimento su FloC in questo articolo su Agenda Digitale. All’utente verrà dunque sottratta anche quella lieve forma di controllo che poteva avere sui cookie, perché si sfrutterà un’altra tecnologia ben più pervasiva. Di fatto, quindi, la precisione nell’attività di profilazione non diminuirà, ma aumenterà.
Ma quindi… se Google è in grado di ottenere informazioni a questo livello, possiamo pensare che non possa essere più raffinata nella sua attività di selezione delle news? Tutto è ovviamente intenzionale e mirato a veicolare il proprio business attraverso il maggior numero di canali possibili. Ed evidenziare le “notizie” di una testata che a sua volta ripubblica i banner di Google Ads all’interno dei propri articoli, è una forma come un’altra per catturare l’attenzione degli utenti e indurli a cliccare sulle sue stesse inserzioni pubblicitarie.
Clubhouse ha qualche problema di privacy. Nel nuovo audio social network, su cui già esistevano perplessità in materia di riservatezza, a un utente è stato infatti possibile condividere gli audio di una “stanza” e ritrasmetterli esternamente in streaming tramite un sito web. Il leak è stato confermato dalla Alpha Exploration (l’azienda che ha realizzato la piattaforma), ed è stato reso noto solo pochi giorni dopo la scoperta, da parte dello Stanford Internet Observatory (SIO), di una vera e propria falla nella sicurezza del sistema, foriera di intrusioni non autorizzate e trasmissioni di dati.
Secondo quanto rilevato, la piattaforma si basa su tecnologie sviluppate della società cinese Agora, che secondo i ricercatori del SIO potrebbe accedere agli audio degli utenti e fornirne i contenuti al governo cinese. A quanto pare, però, esiste una vulnerabilità che è stata sfruttata, appunto, da un utente che ha scoperto come condividere le conversazioni, rendendole accessibili anche a utenti non iscritti, semplicemente sfruttando un sito esterno, chiamato OpenClubhouse.
Secondo quanto riferito da Bloomberg, Clubhouse ci ha messo una pezza bannando l’utente e dichiarando di aver apportato opportune contromisure, azione che presso il SIO non viene ritenuta credibile. Un problema non da poco e indubbiamente da risolvere in modo concreto, considerando la crescita esponenziale registrata in queste ultime settimane, in cui il social ha raggiunto quota 8 milioni di download, grazie anche all’ingresso di numerosi personaggi come Elon Musk, Kanye West e Mark Zuckerberg, che hanno indubbiamente contribuito ad accrescerne la popolarità.
Ma senza un deciso cambio di rotta sul fronte della sicurezza, tanta popolarità dopo l’entusiasmo per l’app del momento potrebbe tradursi in un problema di cattiva reputazione, per risolvere il quale una pezza non può essere sufficiente.
Quando una piattaforma tecnologica sembra funzionare, Mark Zuckerberg inizia a puntare i piedi e a volerla acquistare per inglobarla nella famiglia Facebook. Era accaduto con Instagram, si è ripetuto con WhatsApp e con Oculus. Ora – stando a quanto riferisce il New York Times – sarebbe il turno di Clubhouse, il social network “solo audio”, che sta acquistando popolarità mondiale grazie all’ingresso – registrato nei giorni scorsi – di vari nomi illustri (tra cui Elon Musk, ma anche personaggi come Drake, Tiffany Haddish e Jared Leto), che hanno contribuito a solleticare l’interesse di molti investitori. Clubhouse sarebbe però nel mirino anche di Twitter: entrambi i gruppi, infatti, avrebbero in cantiere soluzioni concorrenti (quella a cui sta lavorando Twitter si chiamerebbe Spaces).
Che l’evoluzione dei social network vada in questa direzione? Possibilissimo. Nel frattempo, però, l’impegno al rispetto degli utenti e delle loro informazioni personali deve essere mantenuto e il fatto che il “pioniere” Clubhouse, nelle proprie condizioni d’uso, non abbia previsto nessuna conformità alle regole previste dal GDPR lascia aperti ancora molti dubbi, insieme a quelli dei possibili utilizzi dei contenuti delle conversazioni. Ma è ormai certo che presto ne sentiremo parlare nuovamente.
Anziché fermarsi al lato social, i big potrebbero però guardare oltre e in altre direzioni, ad esempio verso una declinazione più social di soluzioni come Robinhood, la piattaforma di trading senza intermediazione, destinata ai piccoli investitori interessati alle criptovalute o a pacchetti di titoli quotati a Wall Street, gratuita per chi sceglie di sorbirsi inserzioni pubblicitarie, a pagamento per chi preferisce abbonarsi. Ma in entrambe le versioni rischiosa, per chi si avventura da solo in operazioni finanziarie senza alcun supporto. Questa è una boutade provocatoria ovviamente, ma non è detto che il futuro di questo settore non contempli questa possibilità.
TikTokinforma sull’accordo con il Garante della Privacy: dal 9 febbraio gli utenti italiani saranno chiamati ad aggiornare le informazioni personali del proprio profilo, confermando la propria data di nascita. Saranno sospesi gli account che dichiareranno un’età inferiore ai 13 anni:
TikTok è un’app riservata a persone di età pari o superiore a 13 anni e abbiamo già una serie di misure in atto per rilevare e rimuovere utenti di età inferiore ai 13 anni. Dal 9 febbraio, attraverso un aggiornamento della nostra app, faremo passare nuovamente ogni utente in Italia attraverso il nostro processo di verifica dell’età. Solo gli utenti di età pari o superiore a 13 anni potranno continuare a utilizzare l’app dopo aver eseguito questo processo. Gli utenti che hanno più di 13 anni ma che, per errore, potrebbero immettere accidentalmente un’età sbagliata, potranno presentare ricorso mentre il loro account rimane sospeso.
L’aggiornamento – non apportato ai requisiti di iscrizione, già definiti in tal senso, ma alla app – arriva in seguito ad una tragedia collegata all’utilizzo di TikTok che ha riportato d’attualità il tema dell’utilizzo di Internet e social network da parte dei minori, e della necessità di controlli adeguati sugli utenti che vi si iscrivono.
Basterà? Le dinamiche di controllo descritte da TikTok non sono realmente nulla di eccezionale: certo, prima non esistevano, ma non essendo nemmeno impossibili da aggirare, di fatto sono un “bastoncino tra le ruote” che rende ancor più intenzionale l’eventuale mancanza di rispetto delle regole sull’età minima degli iscritti. E’ come usare un lucchettino per chiudere un armadietto: forzarlo può essere un gioco da ragazzi, ma richiede volontarietà, perché rende impossibile un accesso inconsapevole e questo offre al social network la possibilità di dimostrare di aver adottato una soluzione per prevenirne l’utilizzo indebito.
Per identificare con ragionevole certezza gli utenti sotto i 13 anni successivamente a questa prima verifica, la società si è impegnata a valutare ulteriormente l’uso di intelligenza artificiale.
La risposta a quel “basterà?” rimane “no”, poiché anche in questo contesto si parla di tecniche aggirabili e il motivo è molto semplice: non è raro che i minori utilizzino account aperti da figure più adulte in famiglia, come genitori o sorelle/fratelli maggiori. Per questo motivo, la campagna di sensibilizzazione che TikTok ha promesso di aprire a beneficio di genitori e figli è necessaria soprattutto per genitori e tutori: è compito loro – nostro – applicare i principi di responsabilità e consapevolezza su questi aspetti, delicati e rilevanti allo stesso tempo. Come dicevo in un precedente post su questo argomento: gli unici a fare davvero la differenza siamo noi.
Io non so se Clubhouse sia l’evoluzione dei social network. Sicuramente il fatto che la comunicazione tra utenti avvenga solo via audio sovverte il paradigma classico delle piattaforme basate sulla condivisione di testi, link e immagini, che in questo periodo sono al centro dell’attenzione per questioni di moderazione o censura di contenuti se non di utenti. Disponibile (al momento) solo dall’App Store di Apple dalla scorsa primavera, ha cominciato ad “allargarsi” in questo inizio d’anno e la scorsa settimana nelle sue “stanze” erano presenti due milioni di utenti.
Riservato ai maggiorenni, prevede una registrazione da effettuare comunicando il proprio numero telefonico, ma l’account non viene attivato finché non si accetta l’invito di un utente già presente (che può inviarlo a due contatti) oppure su concessione della piattaforma. Una volta utenti si può accedere alle stanze o crearne di nuove, si tratta in pratica di chiamate di gruppo tematiche. Ci sono stanze open (aperte e tutti), social (accessibili da follower) o closed (su invito da parte di chi le ha aperte).
Niente di asincrono, niente podcast, tutto avviene solo in diretta e anche questo aspetto – che richiede disponibilità di tempo – lo distingue dagli altri social più visuali che permettono di consultare di nuovo, di riascoltare, leggere nuovi commenti, rispondere, eventualmente anche modificare quanto già scritto. Visto così, sembra un Discord in grado di farcela. L’impressione che ne traggo è quella di un palco con una platea dinamica: ok, la discussione può essere partecipata da tutti, ma un personaggio carismatico è sempre più attivo e ascoltato degli altri e tende ad essere protagonista nella stanza in cui si trova. Agli utenti, però, non è possibile conservare nulla perché non è possibile scaricare o condividere le conversazioni. Ovviamente non si può escludere che qualcuno possa registrarle con soluzioni esterne alla app.
A parte l’ultima osservazione personale, con questi presupposti la piattaforma appare privacy-friendly. Ma leggendone i terms of service (cosa che andrebbe sempre fatta) è possibile approfondire l’argomento scoprendo che:
Caricando qualsiasi Contenuto concedete e concederete ad Alpha Exploration Co. e alle sue società affiliate una licenza non esclusiva, mondiale, gratuita, interamente pagata, trasferibile, sublicenziabile, perpetua e irrevocabile per copiare, visualizzare, caricare, eseguire, distribuire, memorizzare, modificare e utilizzare in altro modo il vostro Contenuto in relazione al funzionamento del Servizio o alla promozione, pubblicità o marketing dello stesso, in qualsiasi forma, mezzo o tecnologia attualmente conosciuta o sviluppata successivamente.
Naturalmente la privacy policy va letta con attenzione perché, dopo aver chiarito tutte le varie tipologie di dati personali raccolti durante l’utilizzo da parte dell’utente, specifica il possibile utilizzo da parte dell’azienda (si noti l’assoluta mancanza di riferimenti al GDPR):
Possiamo aggregare i Dati Personali e utilizzare le informazioni aggregate per analizzare l’efficacia del nostro Servizio, per migliorare e aggiungere funzioni al nostro Servizio, e per altri scopi simili. Inoltre, di tanto in tanto, possiamo analizzare il comportamento generale e le caratteristiche degli utenti del nostro Servizio e condividere informazioni aggregate come le statistiche generali degli utenti con potenziali partner commerciali. Possiamo raccogliere informazioni aggregate attraverso il Servizio, attraverso i cookie e attraverso altri mezzi descritti nella presente Informativa sulla privacy.
E’ sicuramente verificabile che sui dispositivi degli utenti non venga memorizzato nulla, ma è altrettanto certo (in quanto è dichiarato) che Alpha Exploration – l’azienda che ha realizzato Clubhouse – raccolga tutte le informazioni possibili legate all’utilizzo della app (dati dell’utente, informazioni sullo smartphone, sulle interazioni con altre app, sulla geolocalizzazione dell’utente, eccetera), dati personali che – come si legge sopra – possono essere elaborati non solo ai fini del miglioramento del servizio, ma anche a scopi commerciali.
Non sembra quindi lontano dalla realtà la supposizione che gli audio possano essere ascoltati attentamente da sistemi di intelligenza artificiale in grado di analizzarne i contenuti con l’obiettivo di migliorare un altro servizio, ossia la profilazione dell’utente con finalità pubblicitarie o di indirizzamento delle opinioni. Sistemi molto simili a quelli che sono alle spalle dei numerosi assistenti vocali che ormai ben conosciamo.
In questo momento, però, vige una selezione all’ingresso determinata dal meccanismo su invito e, soprattutto, dalla disponibilità limitata solo agli utenti Apple. L’apertura verso Android cambierà tutto.
E’ necessaria inoltre una considerazione: questi milioni non corrispondono a una perdita definitiva di utenti da parte di WhatsApp. Si tratta, più semplicemente, del numero di utenti che hanno scaricato app concorrenti e attivanto un account. Operazione che può essere stata effettuata per convinzione, per curiosità, o semplicemente per avere a disposizione ulteriori canali di comunicazione.
D’altro canto, se una migrazione completa è possibilissima, può non essere semplice per tutti: per una persona che lo utilizza da anni, abbandonare definitivamente WhatsApp significa perdere il contatto con gli utenti e i gruppi con cui si hanno chat attive. Il primo step da compiere, quindi, è convincere tutti i contatti a spostarsi sulla stessa piattaforma, un’operazione forse agevole per i contatti individuali, soprattutto se “ristretti”. Tuttavia le cose si complicano se all’utente interessa mantenere il rapporto con i vari gruppi di cui fa parte, che possono essere amministrati da amici, conoscenti, colleghi, ma anche da istituzioni: non sono pochi gli enti che fanno uso di gruppi e broadcast per trasmettere informazioni di interesse collettivo, coinvolgendo utenti che non si conoscono tra loro, e che potrebbero banalmente non condividere l’obiettivo di fuggire da WhatsApp.
Comunque, come ho già avuto modo di scrivere, non esistono solo Signal e Telegram: oltre alle alternative che ho già citato – come Threema e Wire – volevo ricordarvi che esiste ancora ICQ 😉
La notizia drammatica della morte di una bambina per una sfida su TikTok, una delle tante challenge diffuse tramite social network, riporta l’attenzione pubblica sull’utilizzo di smartphone e tablet connessi a Internet da parte di minori e si assiste a richieste di introdurre per legge un’età minima per poterne usufruire, ma è bene premettere un dato di fatto: esiste già. E già da questo capiamo che non è una soluzione sufficiente.
L’età minima è stata stabilita per i servizi della “società dell’informazione” (connessione Internet, social network, servizi di messaggistica, eccetera): il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) indica 16 anni, lasciando però facoltà agli Stati UE di abbassare il vincolo di età (comunque mai al di sotto dei 13 anni). Avvalendosi di questa facoltà, l’Italia ha fissato l’età minima a 14 anni. In ogni caso, dai 13 anni l’iscrizione non è vietata, ma deve essere subordinata al consenso di genitori o tutori, chiamati ad esercitare una necessaria supervisione, oltre che a rispondere di eventuali condotte non adeguate. C’è anche un età minima per avere un’utenza cellulare, che è 8 anni, ma anche per questo serve il consenso di genitori e tutori che se ne assumono la responsabilità, dal momento che l’art.97 del Codice Penale stabilisce che “non è imputabile chi, nel momento in cui ha commesso il fatto, non aveva compiuto i quattordici anni”.
Quindi, ricapitolando: a 8 anni è possibile disporre di un telefono cellulare, utilizzabile per le telefonate. Dai 13 anni, con consenso dei genitori, è possibile accedere a servizi Internet, a cui è possibile iscriversi liberamente dal compimento dei 14 anni. Queste sono le regole che vengono evidentemente ignorate, come vengono aggirati i termini di utilizzo definiti dalle aziende che gestiscono i servizi, quando un bambino di 12 anni (o meno) è dotato di smartphone di ultima generazione con connessione Internet e iscrizione ai social network, effettuata dichiarando un’età non veritiera. E’ sicuramente possibile introdurre ulteriori “paletti” a livello tecnologico per rafforzare i meccanismi di controllo dell’età, onde evitare che un social network pensato per adolescenti o adulti sia accessibile ai bambini ed è auspicabile che le aziende del settore si muovano in questa direzione, ma anche questa non sarà mai una soluzione definitiva, perché la tecnologia non può risolvere tutto: applicazioni di controllo come Family Link possono essere di ulteriore aiuto, ma gli unici a fare davvero la differenza siamo noi.
Ciò che va considerato e messo in primissimo piano è la necessità di essere il più possibile a fianco dei minori per non far mai mancare quella vicinanza e quel supporto che permettono, con il tempo, di maturare la consapevolezza delle proprie azioni e dei rischi a cui possono andare incontro isolandosi in una sfera virtuale, in cui sono soli anche nell’illusione di mantenere un contatto (superficiale) con tantissime persone. Affidare uno smartphone o un tablet a un figlio deve essere una scelta consapevole di tutto ciò che questa responsabilità comporta e non può essere limitata alla spinta del confronto sociale trasmesso dal “ce l’hanno anche gli altri”, men che meno dalla presunta necessità di dargli uno strumento di intrattenimento per “tenerlo tranquillo”. Sicuramente è più semplice dirlo che concretizzarlo, ma non bisogna mai demordere.
Se siete utenti Android alla ricerca dall’app Immuni, per installarla o reinstallarla, non cadete nella trappola scoperta recentemente e resa nota da Cert-Agid:
Ancora una volta, sfruttando il tema “Covid-19” e la popolarità dell’app Immuni, i criminali stanno diffondendo una versione fake della stessa app attraverso domini creati ad-hoc.
A segnalare la presenza della fake app Immuni nella scorsa giornata di giovedì 15 è stato il gruppo di ricercatori di Malware Hunter Team (MHT) attraverso un tweet. I ricercatori hanno condiviso con il Cert-AgID il sample in questione, fornendo anche i relativi C2 contattati dal malware.
Attraverso siti web contraffatti, come quello presente all’indirizzo it-immuni.com (che riproduce piuttosto fedelmente il sito ufficiale di presentazione della app), i malintenzionati distribuiscono una versione fasulla della app Immuni (“immuni.apk”). L’utente che la installa di fatto si porta a casa il malware Alien, in grado di registrare quanto viene digitato sullo smartphone, installare software di controllo remoto, trasmettere informazioni (tra cui lista dei contatti, app installate, dati del dispositivo, posizione gps), installare e attivare ulteriori applicazioni, bloccare lo schermo mentre lo smartphone esegue altra operazioni e molto altro ancora.Quanto basta per capire che si tratta di un malware decisamente dannoso e per ricordare a tutti che una app – non solo Immuni – va scaricata solamente dagli store ufficiali (Play Store per i dispositivi con Android) o comunque da siti web di solida reputazione e provata affidabilità.
DARIO BONACINA 