Sulla pista dei commercianti di dati

Andreas Geissbühler è su una montagna nell’Emmental quando sente un rumore sopra di lui. Tira fuori rapidamente il suo cellulare e apre un’app. “Un Air Glacier!” esclama con un sorriso soddisfatto. Il pensionato ama gli aerei e gli elicotteri da quando era piccolo. E ama l’app che gli permette di seguire il traffico aereo in tempo reale: Flightradar24. Un amore che ora viene messo alla prova.

SRF ha contattato Geissbühler perché le informazioni sui suoi spostamenti sono in vendita su internet: dove vive, dove va a giocare a bowling, persino la sua gita di settembre al Museo dei Trasporti di Lucerna. Lo hanno tradito le app sul suo cellulare. Geissbühler è sconcertato: “È davvero una sensazione spiacevole sapere che qualcuno usa i tuoi dati personali senza sapere esattamente come vengono utilizzati”.

Geissbühler ha quattro app sul suo telefono che probabilmente trasmettono la sua posizione. E non è l’unico a essere coinvolto. Un’inchiesta condotta da SRF, con diversi altri media, ha rivelato l’entità del commercio di dati di localizzazione provenienti dalle app. In questo modo, vengono rivelate le posizioni di milioni di dispositivi in Svizzera. Finora sono state identificate circa 40’000 app che trasmettono profili di movimento ai commercianti di dati, che li vendono poi a terzi.

Ma come arrivano le informazioni sulla localizzazione, a volte molto precise, ai commercianti di dati? Le ricerche hanno permesso di tracciare per la prima volta il percorso di queste informazioni. Una pista che porta in Lituania.

L’azienda pubblicitaria lituana Eskimi è un attore importante nel business della pubblicità digitale: ha otto uffici in tutto il mondo e fa parte dell’IAB, associazione internazionale di categoria del settore della pubblicità online. Come membro dell’IAB, Eskimi gode della fiducia di numerose app e siti web: al momento dell’inchiesta, ad esempio, i siti web di 20 Minuten, Blick, Watson, Le Matin, FFS o l’app mobile FFS. Su questi e decine di migliaia di altri portali, Eskimi, in qualità di azienda partner, può raccogliere i dati degli utenti e utilizzarli per scopi pubblicitari personalizzati.

Tuttavia, recenti indagini suggeriscono che Eskimi non solo avrebbe utilizzato questi dati per la pubblicità, ma li avrebbe anche condivisi con commercianti di dati come la società statunitense Datastream Group. Un’informazione contenuta in una lettera dell’azienda in risposta a una richiesta del senatore statunitense Ron Wyden. Il legale di Datastream Group afferma che parte dei suoi dati vengono ottenuti da Eskimi. Queste informazioni sono poi proposte a numerosi interessati su piattaforme di mercato online.

Eskimi sarebbe il primo caso noto di un’azienda europea che raccoglierebbe dati su larga scala dall’ecosistema pubblicitario e li rivenderebbe, presumibilmente senza il consenso degli utenti. L’azienda nega l’accusa e afferma di non essere coinvolta nel commercio di dati e di non avere alcuna relazione commerciale con Datastream Group.

Non solo siti web e app svizzere elencano Eskimi come partner. La SRF è in possesso di una lista di migliaia di app che condividono quotidianamente milioni di dati con Eskimi in tutto il mondo. Secondo Datastream Group, queste informazioni finiscono poi nell’offerta di vendita dei commercianti di dati. Durante l’inchiesta sono stati verificati i profili di movimento individuali ricavati dai dati e ha parlato con le persone coinvolte, che si sono mostrate sorprese e hanno dichiarato di non aver mai acconsentito a un tale utilizzo.

Su richiesta, Eskimi scrive di non aver verificato i dati in questione e di non poter confermarne la provenienza. Inoltre, sarebbe prassi comune fornire piccoli campioni di dati anonimizzati a potenziali partner per motivi di qualità. Queste informazioni dovrebbero essere usate solo a scopi pubblicitari. Gli operatori dei siti web di Blick, Watson e le FFS scrivono che, sebbene Eskimi fosse un potenziale partner nella lista IAB standard del settore, non ci sarebbe alcuna collaborazione attiva e quindi nessuno scambio di dati. Tamedia scrive di aver disattivato Eskimi come partner pubblicitario già da tempo, mentre l’operazione è in corso per 20 Minuten, Watson e Blick. Le FFS stanno valutando una rimozione.

Nel set di dati analizzato, ci sono diverse migliaia di app che dichiarano in modo trasparente di raccogliere dati di localizzazione precisi e di condividerli con terze parti per scopi pubblicitari, ad aziende come Eskimi.

Chi utilizza queste app acconsente alla condivisione della propria posizione per scopi pubblicitari. Tuttavia, questo non equivale a un consenso alla vendita della propria posizione a terzi. Per l’esperta di diritto sulla protezione dei dati Ursula Sury, la situazione è chiara: se gli utenti non fossero a conoscenza del fatto che i loro profili di movimento vengono venduti e non avessero dato il loro consenso, tale vendita non sarebbe legale.

Un modo per proteggersi sarebbe quello di leggere le informazioni sui servizi di distribuzione digitale delle applicazioni. Lì, i fornitori di app devono essere trasparenti su quali dati condividono e con chi. Purtroppo, però, queste informazioni non sono sempre affidabili.

Un’analisi di SRF ha rivelato centinaia di app gratuite nel Google Play Store che, nella pagina principale, dichiarano con le cosiddette etichette di trasparenza di non raccogliere posizioni o di non condividerle con clienti pubblicitari, ma i cui dati sono comunque finiti nelle mani dei commercianti. Tra queste ci sono popolari app di messaggistica, fornitori di VPN, videoplayer, app meteo, bibliche e coraniche. Poiché le informazioni nel Google Play Store sono autocertificazioni, è probabile che queste app ingannino i loro utenti e condividano comunque i loro dati. In risposta a una richiesta, Google afferma di obbligare obbliga gli sviluppatori a fornire informazioni precise. Questi sono responsabili di fornire informazioni complete e accurate nella sezione “Sicurezza dei dati”., sotto pena di provvedimenti.

Andreas Geissbühler è deluso, perché una di queste app è proprio Flightradar24. Che la posizione esatta e altri dati degli utenti vengano trasmessi a partner pubblicitari e commercianti di dati, non è menzionato sulla pagina principale del Google Play Store, dove l’app può essere scaricata. Invece, c’è scritto che “Nessun dato […] viene condiviso con aziende od organizzazioni terze”. Per il pensionato e fan di Flightradar, questo non è corretto: “Uso Flightradar su ogni smartphone da anni. Ma non sapevo trasmettesse o vendesse i miei dati”. Ora cercherà delle alternative.