Da circa un decennio le app sono entrate a far parte della quotidianità di un numero sempre maggiore di persone. Si tratta di programmi molto facili da installare – in particolare sui dispositivi mobili come smartphone e tablet – e che offrono diverse funzioni: messaggistica, intrattenimento, giochi, operazioni bancarie, fitness, acquisti on line, prenotazione di servizi vari (es. car sharing o bike sharing), calcolo dei percorsi in auto o a piedi e molte altre. Il mercato è in sostanza controllato da Google e da Apple, i gestori dei due store che mettono a disposizione le app: Apple per i dispositivi con sistema iOS e Google Play per quelli con sistema Android.
Per scaricare l’app desiderata basta andare sull’app store presente in ogni dispositivo, scegliere il programma desiderato e cliccare su “installa”. Molte tra le app più diffuse sono gratuite, quindi non occorre neppure eseguire il passaggio del pagamento: basta accettare le condizioni del fornitore del programma e nel giro di pochi secondi l’app viene installata sul dispositivo ed è pronta per essere utilizzata.
Sembra tutto molto facile e per di più nella maggior parte dei casi gratuito. Tuttavia la realtà è ben diversa. Innanzitutto bisogna essere consapevoli che non si tratta di una vera e propria “gratuità”, in quanto il fornitore del servizio riceve sempre quale “corrispettivo” i dati personali dell’utente, una “merce” che per le aziende è sempre più preziosa per fini commerciali e non solo. Così come si insegna ai bambini a non prendere le caramelle dagli sconosciuti perché dietro c’è sempre un pericoloso secondo fine, così vale anche per le app gratuite, posto che le aziende che erogano gratuitamente quei programmi non lo fanno certo per beneficenza.
Bisogna quindi essere consapevoli – e dalle statistiche emerge che in pochi lo sono effettivamente – che con la stessa facilità con cui si scarica una app è possibile incorrere in seri rischi di violazione dei propri dati personali, con conseguenze spesso imprevedibili. Quando infatti si subisce un’intrusione nella propria sfera privata, oltre al danno immediato relativo alla lesione della riservatezza in sé, possono esservi tante altre conseguenze spiacevoli per il malcapitato: dal furto di identità per commettere reati contro terzi (es. per realizzare una truffa on line o per adescare minorenni) all’uso dei dati personali per fini statistici o commerciali non autorizzati o, ancora, per accedere al conto in banca della vittima.
Già nel 2013, in occasione della trentacinquesima Conferenza internazionale dei Garanti privacy tenutasi a Varsavia nel mese di settembre, il problema delle app è stato sollevato e a conclusione dei lavori è stata pubblicata la Dichiarazione di Varsavia sulla “appificazione” della società.
In quel documento, dopo aver messo in evidenza sia il numero crescente di applicazioni create dagli sviluppatori sia il numero sempre maggiore di utenti, è stata espressa la preoccupazione per i rischi connessi alla privacy: “Le app facilitano e vivacizzano molte delle attività che svolgiamo giornalmente; allo stesso tempo, le app raccolgono anche una grande mole di informazioni personali. Tutto ciò permette un monitoraggio digitale permanente, mentre gli utenti spesso non ne hanno consapevolezza né ne conoscono i fini ultimi”. “È fondamentale” – si legge ancora nel documento citato ‒ “che gli utenti abbiano e continuino ad avere il controllo dei propri dati. Devono poter decidere quali informazioni condividere, con chi condividerle e per quali finalità”.
Sono passati più di sette anni dalla Dichiarazione di Varsavia e la situazione riguardante la sicurezza dei dati degli utenti che utilizzano le app non sembra essere affatto migliorata.
Secondo una recente indagine del 2020 condotta dall’Osservatorio di Federprivacy – la principale associazione italiana che ha tra i suoi obiettivi quello di promuovere il rispetto della normativa in materia di privacy a tutela dei consumatori ‒ circa l’87% delle app fra quelle maggiormente utilizzate non rispettano il Regolamento europeo in materia di privacy (GDPR), ad esempio con riferimento alla nomina del Data Protection Officer, vale a dire il responsabile della protezione dei dati previsto espressamente dagli artt. 37 e ss. del GDPR.
Ma non solo. Dall’indagine è emerso altresì che la maggior parte delle app per uso ludico rivolte ai minori risultano essere molto pericolose per i dati degli utenti. Su un campione di 500 app tra quelle maggiormente scaricate da bambini ed adolescenti, in ben 469 casi sono stati riscontrati tracker di profilazione on line, vale a dire che il 93,8% delle app esaminate aveva dei sistemi di tracciamento in grado di raccogliere molte più informazioni di quelle necessarie. In pratica, si è osservato che gli utenti di quelle app – in virtù del “consenso” di volta in volta accordato con il click alla relativa richiesta (posto come condizione per utilizzare il servizio) venivano spiati nei loro comportamenti, attraverso la memorizzazione del tempo di utilizzo dell’app, la geolocalizzazione, l’accesso ai dati della rubrica o alle foto.
Si tratta, come è evidente, di un problema molto serio in quanto, da una parte, molti fornitori di app non trattano i dati in modo lecito trasferendoli persino all’estero e, dall’altra, gli utenti – sempre più numerosi anche tra i minori ‒ non hanno un’adeguata consapevolezza dei rischi che corrono.
Ne consegue che ogni giorno aumentano le vittime, spesso inconsapevoli, di un trattamento illecito dei propri dati da parte dei gestori delle app, tanto che nell’ottobre 2020 il Garante privacy ha diffuso il documento esplicativo “APProva di privacy. Suggerimenti per usare le app proteggendo i propri dati” con lo scopo di sensibilizzare su questa tematica.
Prima di scaricare una app – suggerisce il Garante ‒ è fondamentale capire quanti e quali dati verranno raccolti e come verranno utilizzati, leggendo attentamente l’informativa sul trattamento dei dati personali: cosa che nella maggior parte dei casi non viene fatta, dal momento che è piuttosto diffusa l’abitudine di cliccare su “accetta” senza leggere le condizioni di uso. In particolare, bisogna diffidare di quelle app che non rispettano il principio della minimizzazione dei dati: i fornitori dovrebbero richiedere solo i dati strettamente necessari per l’erogazione del servizio. È quindi molto importante sapere per cosa viene prestato il consenso.
Ci sono infatti della app che una volta installate consentono al fornitore di accedere alle immagini, alla rubrica e ai file presenti sul dispositivo, nonché di geolocalizzare l’utente in modo da monitorare in tempo reale i suoi spostamenti e, ancora, persino di accedere al microfono. Tuttavia, la maggior parte degli utenti non è neppure a conoscenza della possibilità di queste intrusioni e in diversi casi ha persino prestato il consenso alle stesse senza rendersene conto, o perché non ha letto l’informativa o perché l’informativa era poco chiara sul punto.
Il Garante privacy ha invitato inoltre alla massima prudenza circa l’uso di tutte quelle app che, grazie all’intelligenza artificiale, consentono di modificare foto e video, ad esempio invecchiando i volti o trasformando maschi in femmine e viceversa. Queste app, che possono sembrare divertenti e che spesso vengono utilizzate come passatempo anche dai minori, celano in realtà dei grossi rischi, sia perché hanno accesso all’archivio delle immagini, sia perché attraverso le fotografie e/o i video è possibile raccogliere dati biometrici.
Attualmente l’impiego dei dati biometrici per i pagamenti, per l’accesso ai servizi bancari o in sostituzione di password o codici di accesso (ad esempio per disinstallare l’allarme di casa) non è diffuso, tuttavia si sta andando nella direzione di aumentarne l’uso su larga scala. Ebbene, dal momento che qualsiasi dato personale, una volta messo in rete, può facilmente sfuggire al controllo, è più che fondato il timore che i dati biometrici raccolti dalle app e trattati in modo non adeguato, anche a distanza di anni, possano essere utilizzati da malintenzionati per gli scopi illeciti più diversi.
Le stesse considerazioni valgono anche per altri tipi di app, come ad esempio quelle utilizzate per il fitness, che durante il lockdown hanno visto un incremento di installazioni e, ancora, per le app mediche (es. quelle per il controllo del peso, la gestione dell’ansia o della depressione, l’andamento della gravidanza ecc.). Si tratta in questo caso di app che raccolgono dati sensibili dell’utente, rilevando il suo stato di salute, il battito cardiaco e la pressione arteriosa e, in quanto tali, espongono a seri rischi: i dati potrebbero infatti essere trasmessi a terzi per finalità di marketing (ad esempio per orientare le aziende farmaceutiche consentendo loro di massimizzare i profitti) o per finalità illecite, posto che tra l’altro negli ultimi anni si è registrato un aumento del cyber crime in ambito sanitario, a dimostrazione del fatto che i dati relativi alla salute delle persone suscitano interesse nella criminalità e questo dovrebbe quindi far riflettere sull’importanza di accostarsi alle app sanitarie o per il fitness con la massima prudenza e consapevolezza, diffidando subito delle app che richiedono dati non strettamente necessari o che hanno un’informativa poco chiara.
Ai rischi dovuti al trattamento illecito dei dati da parte dei fornitori delle app devono poi aggiungersi i rischi legati agli attacchi da parte degli hacker, i cui canali preferiti sarebbero proprio le app e il cloud.
A questo tipo di attacchi non sono risultate immuni neppure le app delle banche, che nella maggior parte dei casi sono risultate vulnerabili, con conseguente esposizione degli utenti a rischi di furti on line delle credenziali di accesso. In particolare, la gestione del proprio conto bancario tramite smartphone o tablet è messa in serio pericolo da alcuni trojan (“cavalli di Troja”) che si autoinstallano sul dispositivo all’insaputa dell’utente attraverso l’installazione di altre app apparentemente innocue, come ad esempio quelle per calcolare i passi, per contare le calorie o addirittura app come Adobe Flash distribuite da canali non ufficiali. Una volta installato, il trojan è in grado di acquisire tutti i dati dell’utente, compresi i codici di accesso per l’home banking. Come è stato osservato anche dal Garante privacy in diverse occasioni, l’unico modo per proteggersi è evitare di scaricare programmi da siti non sicuri, fare attenzione alle app che si installano sui propri dispositivi e dotare gli stessi di anti-virus in grado di proteggere i dati personali da eventuali violazioni.