Informativa WhatsApp sulla privacy: quali i contenuti e gli effetti sulle parti?

0
185

Il 2021 mostra fin dai primi giorni una chiara volontà di affermarsi come “l’anno della digitalizzazione”, un anno cioè votato alla gestione dei rapporti umani in maniera quasi interamente virtuale, e lo fa attraverso la diffusione di una nota informativa con la quale il social in assoluto più in voga fra tutti, WhatsApp, comunica l’aggiornamento – perfino con un certo carattere di urgenza – dei termini del servizio, fissandolo all’8 febbraio 2021.
Così recitava il testo dell’informativa, in un avviso a comparsa prima di dare accesso alla home – chat del social: «WhatsApp sta aggiornando i propri termini e l’informativa sulla privacy». E ancora: «Toccando “accetto”, accetti i nuovi termini e l’informativa sulla privacy, che entreranno in vigore l’8 febbraio 2021. Dopo questa data, dovrai accettare questi aggiornamenti per continuare a utilizzare WhatsApp. Puoi anche visitare il centro assistenza se preferisci eliminare il tuo account e desideri ulteriori informazioni».
Ad alzare il livello dell’attenzione non è stata, però, la mera questione sostanziale dell’aggiornamento, quanto più la severa conditio procedurale, contenuta nella seconda parte del testo del messaggio. Un paragone può essere fatto con il secondo comma di un articolo tratto da un Dpcm, che rende ancora più specifica la lettera della norma. Vediamo meglio in che senso.
Il cliente medio, cui sono tendenzialmente oscure le dinamiche interne ai Big Data, non ha reagito benissimo all’intimazione di doversi adeguare agli aggiornamenti di WhatsApp, pena l’interruzione del servizio nei suoi confronti: spuntando “accetto”, avrebbe perduto la propria privacy? A quali rischi si sarebbe esposto da quel momento in avanti? Così, nell’arco di poche settimane, è iniziata una rapida migrazione verso i maggiori competitors di messaggistica istantanea: tra questi spiccano Viber, Signal – che, nella fattispecie, rappresenta una novità di primissimo piano – ed infine Telegram.
Il core – theme di questo misunderstanding ruota intorno al fatto che nelle intenzioni di Facebook vi era tutto fuorchè rivoluzionare la prassi fino ad ora stabilita per l’utente che si è registrato a WhatsApp ed alla quale si era, giustamente, abituato.
Forse sarebbe stato più opportuno realizzare una comunicazione diversa, che avesse palesato le reali intenzioni del social network, e che soprattutto lo avesse fatto in tempi decisamente meno stretti: effettivamente, mettendosi nei panni del consumatore, Facebook avrebbe potuto immaginare quanto poteva risultare spiazzante sapere se, e dove eventualmente, spostare le proprie conversazioni.
Il secondo campanello di allarme riguardava la privacy. Cosa avrebbe voluto dire l’espressione “accettare i nuovi termini”?
Anche in questo caso, la confusione non ha tardato ad arrivare ed in breve si è diffusa la fake news per la quale WhatsApp, dall’8 febbraio in poi, avrebbe avuto accesso ai contenuti delle singole conversazioni. Forse la questione si sarebbe potuta affrontare con meno superficialità e si sarebbe potuta risolvere specificando, fin da subito, che il social network avrebbe avuto accesso soltanto ai metadati dei messaggi degli utenti. Ma cosa sono questi “metadati”? Per comprenderlo basterà fare un esempio.
Se avete composto il numero di un centro di analisi, WhatsApp saprà che avete parlato con un servizio che effettua tamponi per il Covid, o prelievi, ma non saprà che cosa esattamente vi siete detti.
Tuttavia, spiega Romain Aubert, associate manager e strategist per Accenture, WhatsApp può accedere a tutti i numeri della rubrica del nostro smartphone “in modo ricorrente” e includendo “sia quelli degli utenti dei nostri Servizi, sia quelli dei tuoi altri contatti” .
Ciò risulta tanto più logico alla luce del fatto che non sarebbe oggettivamente possibile, oltre che ingiusto per ovvie ragioni di privacy, raccogliere una quantità talmente massiccia di dati al punto da gestire l’intero traffico di circa un miliardo e mezzo di persone nel mondo.
I metadati rappresentano per le aziende l’humus per mezzo del quale poter sviluppare appieno il proprio valore, una sorta di contesto di riferimento. Attraverso lo stoccaggio e l’analisi di preziosi strumenti, si ha l’opportunità di comprendere le relazioni, di conoscere le preferenze dei consumatori e perfino di orientarne le scelte. Inoltre, monitorare il contenuto e la qualità dei metadati è diventato, nella situazione di pandemia da Covid-19, imprescindibile per quelle aziende che si proiettano sul mercato dell’online, pur tenendo presenti quelli che sono i vantaggi ma anche i rischi associati alla loro veicolazione. Questi diventano ancora più preziosi se sono attivi, cioè arricchiti dal machine learning, ampliati dalla conoscenza umana e integrati. È per questo motivo che la gestione dei dati svolge, oggi, un ruolo centrale e strategico nell’approccio alla Digital Trasformation.
WhatsApp, quindi, voleva semplicemente dirci che il cambio dei termini era finalizzato ad una gestione più intelligente ed inclusiva dei dati realmente utili e non alla sottrazione del nostro arbitrio sugli stessi o della nostra indiscutibile privacy.
Quest’ultima, infatti, grazie al servizio di crittografia end – to – end, sarebbe garantita in ogni caso.
La crittografia end – to – end è un sistema di comunicazione cifrata nel quale solo le persone che stanno comunicando possono leggere i messaggi. Evita che terze parti, compresi gli Internet Services Provider, possano leggere o alterare i messaggi scambiati tra due persone.
I vantaggi delle nuove tecniche di cifratura si possono cogliere con uno sguardo alla prima di queste elaborazioni, la crittografia simmetrica. Se quest’ultima prevedeva, infatti, che due utenti utilizzassero lo stesso codice, in gergo “chiave”, per cifrare i messaggi che si scambiavano, nella crittografia asimmetrica le persone che comunicano utilizzano non una, ma ben due coppie di chiavi: una pubblica e una privata.
Ciò implica che se A vuole inviare un messaggio a B, A cifrerà il messaggio con la chiave pubblica di B, il quale a sua volta cifrerà il messaggio con la sua chiave privata. In questo modo si vuol garantire totalmente l’utente, poiché la sicurezza dipende esclusivamente dalla coppia di chiavi private.
Anche questo metodo, però, non garantisce di navigare nell’assoluta sicurezza: presenta anzi dei limiti che, nella peggiore delle ipotesi, si potrebbero tradurre in una scarsa preparazione di fronte ad un attacco man – in the middle.
Un attacco MITM, o man in the middle, – letteralmente “uomo nel mezzo” – è una tipologia di minaccia informatica molto diffusa che permette al cyber malintenzionato di intercettare e manipolare il traffico internet che l’utente crede sia privato.
Più tecnicamente, l’offensore si introduce nella comunicazione in corso tra due entità: un client (la vittima) ed il server. In questo modo non solo ha accesso immediato ai messaggi, ma può anche modificarli o fingersi una delle due parti. Ma, attenzione: l’attacco può funzionare solo se nessuna delle due parti è in grado di sapere che il collegamento che li unisce reciprocamente è stato effettivamente compromesso da una terza parte, cosa di cui potrebbero venire a conoscenza comunicando con un canale diverso non compromesso.
La maggior parte dei protocolli di crittografia includono una qualche forma di autenticazione “endpoint” specificamente per prevenire attacchi MITM.
È probabilmente uno dei primi obiettivi su cui si sono concentrati i creatori di questa nuova forma di cifratura al fine di applicarla, non a tutti, ma certamente ai maggiori servizi di messaggistica istantanea. È interessante notare, infatti, come Facebook Messenger, Google Hangouts, Skype, Snapchat, Viber e Yahoo non ne siano provvisti.
Di conseguenza, proviamo a darci una spiegazione della migrazione degli internauti verso nuovi lidi e riteniamo opinabile che sia stata proprio questa scrematura a fare da molla per l’utente medio che, nel silenzio della legge, è corso a scaricare prima fra tutte Signal.
Nata nel 2013, Signal Private Messenger – questo il suo nome completo – si distingue in maniera particolare dalle sue concorrenti perché le conversazioni sono sempre crittografate end – to end. L’applicazione mette in coda i messaggi crittografati sui suoi server per recapitarli a dispositivi temporaneamente offline. La cronologia dei messaggi è pertanto memorizzata sui dispositivi degli utenti e non sui server.
Ciò non solo permette una notevole protezione di messaggi di testo, chiamate, audio e video, ma significa che la privacy non è una modalità opzionale: è l’unico modo in cui Signal funziona.
Alla luce di queste argomentazioni, l’informativa di WhatsApp che si presentava con un testo a dir poco equivocabile, ha avuto almeno un risvolto positivo nella promozione e diffusione di piattaforme alternative.
Tuttavia, riteniamo opportuno sottolineare come l’inerzia del social network non abbia dato alcun margine di manovra all’expertise, la quale si è ritrovata a dover scongiurare, da subito, ogni dubbio sorto sulla perdita della propria privacy e a rassicurare l’utente che si apprestava a cliccare “accetto” sul banner dell’informativa.
Per questo motivo, il Garante per la Privacy ha portato la questione all’attenzione dell’Edpb, il Board che riunisce le Autorità privacy europee e, con un intervento d’urgenza volto a chiarire la portata dell’informativa, ha ritenuto necessario posticipare il termine per l’accettazione dell’aggiornamento al 15 maggio, così da concedere uno slot di assimilazione più ampio a chi si apprestava a leggerla.
Queste le parole, sul sito ufficiale, del Garante per la Privacy: “Il Garante ritiene che dai termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica dopo l’8 febbraio. Il messaggio appare molto chiaro! E continua: “Tale informativa non appare pertanto idonea a consentire agli utenti di Whatsapp la manifestazione di una volontà libera e consapevole.”
Nuove conseguenze sono sorte, mutatis mutandis, anche sull’opportunità di ridar valore al GDPR.
Lo scudo del General Data Protection Regulation, con particolare riferimento alle regole stringenti in tema di trasferimento di dati extra – UE, non avrebbe permesso l’applicazione di un’informativa data “alla maniera americana” nei paesi europei. Dunque, tra il testo emesso dalle autorità di Facebook ed il documento, dal forte carattere garantista, si è creata una vera e propria crasi.
Nei paesi extra europei, dove invece non vige il virtuosismo del GDPR, l’informativa sull’uso dei dati personali è decisamente meno stringente.
Lo si deduce con facilità dalla “collaborazione con altre aziende di Facebook”, uno dei punti più alti dell’informativa, volta all’utilizzo intelligente ed inclusivo delle informazioni che WhatsApp riceve dal traffico in entrata e in uscita. L’obiettivo ultimo è, come espressamente dichiarato nell’informativa alla voce di cui più sopra, quello di “migliorare, comprendere, personalizzare, supportare e commercializzare i servizi di WhatsApp e le offerte delle aziende di Facebook.”
Mi appresto dunque a sintetizzare, in maniera breve e concisa, l’obiettivo di questa ricerca.
Senza voler togliere spazio all’individuo, inteso come personaggio di primo piano e figlio del suo tempo, quella che stiamo attualmente vivendo è un’era a forte trazione globale. Pertanto, il singolo utente che opera sulla rete dovrà ora confrontarsi con quelli che sono i nuovi protagonisti indiscussi della scena internazionale: Facebook, Google, Amazon, nonché i grandi gruppi industriali che nascono e si affermano sulla quinta dimensione dell’arena globale, meglio nota come cyberspazio.
In questo contesto, anche i profili legali delle stesse aziende hanno subito forti mutamenti, trovandosi costrette ad adeguare le proprie privacy policy al nuovo ambiente.
Di questi tempi, le stesse transazioni economiche hanno abdicato ai metodi tradizionali per far spazio alla liquidità digitale.
La nuova frontiera dei pagamenti internazionali, il Bitcoin, sta prendendo sempre più campo ed è diventata oggetto privilegiato di studio da parte degli esperti in finanza informatica.
È nostro dovere precisare che, nonostante i suoi innumerevoli pro, Bitcoin presenta dei rischi associati al suo utilizzo che hanno letteralmente paralizzato l’opinione pubblica e creato un pregiudizio talmente incisivo da aver distribuito i suoi riflessi anche sul sistema Blockchain – in buona misura comprensibile, visto che opera attraverso lo scambio in rete delle crittovalute.
Questo concetto, però, meriterebbe un approfondimento a parte, in una sede più opportuna ed interamente dedicata al suo discernimento.
Per il momento, ci basti sfatare il mito dell’inaffidabilità del sistema Blockchain portando all’attenzione un assunto esemplificativo: Blockchain è un registro condiviso di dati digitali, basato sul consenso.
Da tale postulato si possono ricavare due dimostrazioni: la prima spiega che, basandosi sulla condivisione di un database, il registro rimuove la necessità di intermediari che, in precedenza, erano tenuti ad agire come terze parti di fiducia per verificare, registrare e coordinare i dati. La seconda, di stretta correlazione, evidenzia come a differenza di un database distribuito, non esiste un amministratore centrale.
Senza entrare nel merito di una questione che meriterebbe uno spazio di trattazione riservato, l’auspicio che per il momento ci proponiamo è un cambio di mindset che avvenga attraverso la promozione e la facilitazione di alternative avveniristiche.
È innanzitutto necessario promuovere l’abbandono di ogni pregiudizio sull’utilizzo di registri proprietari e condivisi privo di alcuna fondatezza scientifica, ed insieme a questo, che le barriere alla libera circolazione dei dati vengano gradualmente abbattute per consentire una comunicazione più agile, che sia pur sempre improntata al rispetto dei principi costituzionali di libertà, uguaglianza e salvaguardia dell’individuo.
Un focus merita poi la questione della regolamentazione del Web: ricordiamo, infatti, che fuori dal seminato del GDPR, l’utilizzo della rete non è regolamentato da nessuna normativa vigente.
Pertanto, rappresenta un diritto – dovere del singolo utente quello di munirsi di una serie di garanzie che lo tutelino automaticamente dal discendere degli effetti delle sue operazioni virtuali in quella che è la sua sfera giuridica personale.
Sarà un processo lungo, ma possiede in nuce delle ottime premesse per il suo slancio nel prossimo futuro.

Leave a reply