Stessa app, altro giorno (e altre possibili violazioni)

Oggi parliamo di FaceApp, la famosa app a cui dando in pasto il proprio volto, ve lo restituisce invecchiato, con il genere cambiato o semplicemente smette di farvi essere brutti come la mutua (il che è quasi un miracolo).

Ripercorriamone insieme la storia. Estate 2019 e tutti gli influencer di riferimento cominciano a postare foto di loro stessi invecchiati, l’utilizzo dell’app si diffonde a macchia d’olio e FaceApp raggiunge facilmente gli 80 Mln di download. Estate 2020, estate del covid, del distanziamento sociale e di come sareste se foste nati uomo (o donna). Perchè la logica di diffusione è sempre la stessa, il primo influencer ne parla, poi il secondo e poi sui social comincia a non esserci spazio per nulla tranne che per voi, che da novelle sorelle Wachowski, avete deciso di compiere il salto verso l’ignoto.

Tornando un attimo seri pero’ cerchiamo di comprendere come sin dal primo momento un po’ tutti gli addetti al lavori hanno nutrito dubbi riguardo alla privacy della app, in quanto la software house dietro al prodotto è la Wireless Lab di Yaroslav Goncharov (già fondatore di Yandex, il Google russo n.d.r ) e le farraginose policy del prodotto non lasciassero ben comprendere come e soprattutto dove le nostre foto venissero utilizzate (a parte il cambiare sesso ovviamente). Nel 2019 la privacy parlava di “trattenere le foto a tempo indeterminato”, “cambio della proprietà della foto”, “rimbalzo tra server della società”. Oggi le cose sono un po’ cambiate per cui concesso il beneficio del dubbio andiamo ad analizzare cosa FaceApp, necessita e colleziona come nostri dati personali.

Nello specifico, cosa FaceApp sa di noi?

Prenderemo in considerazione il mondo Android, tenete conto che pero’ le stesse richieste vengono effettuate al dispositivo iOs su cui avete installato l’app

photo6003340471730024854

Soffermiamoci un attimo sui 3 punti segnalatati, senza considerare per un attimo l’accesso praticamente full alla galleria

  • accesso alla rete completo
  • esecuzione all’avvio
  • ricevere dati da internet

L’accesso completo alla rete e il ricevere dati da internet, sono facilmente spiegabili dalla natura e dal funzionamento stesso dell’app, in quanto l’elaborazione dei vostri selfie non avverrà MAI in locale sui vostri smartphone ma sempre sui server FaceApp, quello a cui non riesco personalmente a dare una spiegazione  (e non la da nemmeno FaceApp nei suoi termini di servizio) è perchè l’app deve avviarsi in maniera automatica e silente ad ogni avvio del dispositivo (con l’accesso completo a galleria e rete).

Ma non è l’unico tasto dolente dell’app. Se infatti facciamo riferimento alla pagina con le policy della privacy che potete trovare qui di seguito

Privacy Policy FaceApp

Ci imbattiamo in alcuni passaggi che non hanno minimamente a che fare con il funzionamento l’app stessa, ma sono un corollario di raccolta dati dell’utilizzatore.

Dati di attività online, ad esempio informazioni sull’utilizzo e sulle azioni sull’app e sui siti, comprese le pagine o le schermate visualizzate, il tempo trascorso su una pagina o schermata, i percorsi di navigazione tra le pagine o le schermate, le informazioni sull’attività su una pagina o schermata , tempi di accesso e durata dell’accesso. I nostri fornitori di servizi e alcune terze parti (ad es. Reti pubblicitarie online e i loro clienti) possono anche raccogliere questo tipo di informazioni nel tempo e attraverso siti Web e applicazioni mobili di terze parti. Queste informazioni possono essere raccolte sul nostro sito utilizzando cookie, archiviazione web del browser (noto anche come oggetti memorizzati localmente o “LSO”), web beacon e tecnologie simili. Potremmo raccogliere queste informazioni direttamente o attraverso il nostro uso di kit di sviluppo software di terze parti (“SDK”). Gli SDK possono consentire a terzi di raccogliere informazioni direttamente dalla nostra app.

Cercando di sintetizzare il concetto quindi, FaceApp potrebbe collezionare la vostra cronologia di navigazione, le schermate del vostro device. E oltre a lei ovviamente, i suoi partner pubblicitari. Se pero’ quanto sopra lo leggete in combo con quello che viene successivamente, allora, potrete comprendere da soli che pur non essendo una bomba pronta ad esplodere al suono di “Morte al GDPR”, dovrebbe far sorgere almeno qualche dubbio su quanto andiamo a regalare di noi stessi a società private. Leggiamo ancora infatti

Trasferimenti aziendali. Potremmo vendere, trasferire o condividere in altro modo alcune o tutte le nostre attività o attività, comprese le informazioni personali, in relazione a una transazione commerciale (o potenziale transazione commerciale) come una cessione aziendale, fusione, consolidamento, acquisizione, riorganizzazione o vendita di beni, o in caso di fallimento o scioglimento.

Quindi ricapitolando, abbiamo un’azienda RUSSA che domani potrebbe vendere ad un soggetto terzo, magari proveniente da una nazione dove la concezione di dati personali è nulla (coff, coff, Cina). Se la cosa non sembra preoccuparvi particolarmente, pensate di aver letto la vostra cartella clinica, il vostro conto bancario o qualsiasi altro dato sensibile e di averne magari fatto uno screen prima di aprire FaceApp. Ecco, adesso, alla luce di quanto sopra, non siete più gli unici a sapere come state, quanti soldi avete e se avete delle proprietà nascoste a Santo Domingo.

E se non dovesse essere la vendita il problema, possono anche cambiare destinazione d’uso della app, senza ovviamente rinunciare a tutto quello che hanno acquisito come informazioni nel corso del tempo. In sostanza se si dovesse trasformare in una app per la caccia ai nemici politici della nazione, hanno già la vostra faccia bella e curata.

La posizione ufficiale di FaceApp

Ovviamente in tutto questo la posizione ufficiale di FaceApp non si è fatta attendere e ribadendo quanto già presente nelle sue privacy, indica come 24-48 ore il tempo massimo di transito sui propri server delle immagini dall’ultima modifica. Inoltre l’elaborazione delle immagini non avviene su server russi, ma server di Google o Amazon (che quindi sono soggetti a regole ferree), in base alla distanza dall’utilizzatore dell’app stessa.

Alcune considerazioni

Pur essendo chiaro che come per altre milioni di app gratuite che usiamo giornalmente, siamo noi la merce di scambio, esistono a mio avviso alcuni punti da non sottovalutare nel momento in cui si decide di utilizzare l’app. Alcuni sono palesi, come il fatto di non sapere a chi, cosa e quando potrebbero essere venduti i dati personali, il fatto che nelle privacy policy non venga quasi mai fatta menzione al GDPR (e nei punti in cui lo fa è incompleta) o il collezionare dati privati in modo silente (come l’avvio automatico dell’app). Per carità, già questo dovrebbe bastare a far storcere il naso, ma se ci aggiungiamo che nel momento in cui usiamo l’app, stiamo ADDESTRANDO UNA RETE NEURALE a riconoscere delle persone, a trasformarle con un algoritmo che è pressoché perfetto (e qui tanto di cappello agli sviluppatori), la mente corre velocissima ai Deepfake (per chi non sapesse di cosa parliamo qui e qui trova un paio di info sull’argomento) e tutte le implicazioni che questo potrebbe portare. I meno addentrati non ci vedranno nulla di male nel rischiare di vedere la propria faccia in un porno con Megan Fox, ma se su quel porno dovesse finirci l’AD di una grossa azienda i guai sarebbero enomi. E se un presidente in campagna elettorale facesse affermazioni razziste? Ah no, quello succede anche senza deepfake.

In sostanza, una rete neurale, addestrata da una platea che al momento conta più di 100 Mln di installazioni solo su Android, è nelle mani di un’azienda, che non dichiara ove questa è hostata (ok la modifica fisica delle immagini è su Aws e Google, ma il cuore pulsante di questa funzionalità potrebbe essere ovunque), con base russa. La stessa Russia accusata di avere hacker di stato in giro per il mondo a pilotare elezioni, diffondere fake news ed elargire regali a sovranisti di vario genere. Senza scadere in inutili complottismi, il mio personale invito è di leggere, informarsi su quali dati stiamo concedendo e soprattutto A CHI lo stiamo facendo. Credere, nel 2020, che in un mondo interconnesso come quello in cui viviamo, l’unico risultato che FaceApp ha nella nostra vita è quello di farci sembrare più belli, pur sapendo da cosa muove tutto il sistema, è da folli (o da ciechi volontari, considerando la quantità di informazioni che si possono estrarre anche dai soli TOS delle app che usiamo).

Ah, si, un’ultima nota personale. Dite al vostro amichevole mangia ciliege di quartiere, che quanto sopra è peggio di Immuni, che a differenza di FaceApp, non raccoglie dati personali di nessun tipo ma solo token anonimi, che vengono conservati in Italia, nel server del Ministero della Sanità e non in qualche server farm di zio Vladmir, al di là del Volga.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui