CarrierIQ, Samsung e Apple. Spyware di massa su smartphone e tablet?

di Andrea Monti – PC Professionale n. 252
Il caso Carrier IQ ripropone ancora una volta il problema dello strapotere dei signori del software. Quale tutela – reale – per i diritti degli utenti?

Lo scorso 30 novembre 2011un quotidiano online inglese ha diffuso la notizia della presenza, nei terminali Android – almeno in alcuni – di una sorta di rootkit prodotto dalla statunitense CarrierIQ. Questo rootkit, si legge nell’articolo, registra segretamente la pressione dei tasti, la locazione geografica del terminale e i messaggi ricevuti dagli utenti. Nessuno, prima della denuncia pubblica di un ricercatore californiano, aveva notizia dell’esistenza di questo processo occulto attivo in background nella memoria di un gran numero di smartphone e tablet. Non gli utenti e nemmeno – per quanto riguarda l’Italia – le autorità come il Garante per la protezione dei dati personali.
Dopo la prima reazione, l’immancabile minaccia di azioni legali contro chi ha avuto il coraggio di gridare che il Re è nudo, l’azienda interessata ha dovuto ammettere l’esistenza del software e – sostanzialmente – il suo modo di funzionare.
La paura di una pubblicità negativa per quelle aziende che hanno fatto dello user friendly una leva di marketing e comunicazione è stata così forte da scatenare la “corsa” di produttori e operatori a sganciarsi dal fornitore oramai divenuto “scomodo”. Un esempio è Apple, che dopo avere installato il rootkit all’insaputa degli utenti negli Iphone 4 e in successivi prodotti, annuncia che in futuro verrà rimosso.
Il problema non è solo americano ma riguarda anche il nostro paese. E infatti ALCEI, una ONG che si occupa di diritti civili online ha segnalato il caso al Garante per la protezione dei dati personali che, successivamente, ha annunciato di avere aperto un’istruttoria, del cui esito – se mai ci sarà – parleremo sicuramente nei prossimi numeri.
Fino a qui, la cronaca. Veniamo alle questioni legali.
Il modo in cui è progettata l’interazione fra lo smartphone, l’accesso alla rete e l’utilizzo dei servizi offerti da Apple o da Google è tale per il quale queste due aziende (e/o gli operatori di telefonia che accedono ai dati in questione) non hanno alcun vincolo tecnico per mettere sotto controllo un utente, se non la loro autonoma scelta di non farlo. In altri termini, se in concreto il rootkit raccoglie e invia dati anonimizzati (ma sarebbe interessante sapere se è effettivamente così) ciò accade solo perché i padroni dei sistemi operativi così hanno deciso, e nulla vieta che in futuro cambino idea. In sostanza, quindi, dei soggetti privati ed extracomunitari fanno (o hanno la possibilità di fare) senza troppi problemi delle cose che se fossero fatte nel corso di un’indagine penale avrebbero bisogno quantomeno di un provvedimento di un magistrato.
Come se non bastasse, la legge italiana – il Codice dei dati personali, per l’esattezza – prevede che le persone debbano essere informate di quali dati vengono raccolti su di loro, da chi e per quale scopo. E chi non lo fa può essere sanzionato dall’Autorità garante per la protezione dei dati personali. Certo, quando Android deve accedere – per esempio – a dati di localizzazione chiede il consenso all’utente, e anche IOS fa qualcosa di analogo. Ma qui stiamo parlando di una cosa diversa, e cioè di un processo in background che monitora di continuo il terminale e della cui esistenza nessuno è stato compiutamente informato, e che è potenzialmente pericoloso per gli utenti. Se così non fosse, infatti, si spiegherebbe il “fuggi-fuggi” da questo applicativo annunciato appunto – per esempio – da Apple.
E’ auspicabile dunque che il Garante per la protezione dei dati personali faccia presto nel concludere la sua indagine per tranquillizzare gli utenti sulla dichiarata “innocuità” di questo software o – se del caso – per punire esemplarmente gli autori di eventuali illeciti.
Ma, ci si potrebbe chiedere, visto che i “responsabili” di questi fatti sono tutti al di fuori della giurisdizione italiana come potrebbero intervenire le nostre autorità? Il problema, in realtà, non si pone perchè il fatto che i terminali siano venduti dalle nostre parti già consentirebbe di bloccarne la vendita in attesa di accertamenti, sulla falsariga di quello che accade con alimenti provenienti dall’estero e sospettati di essere pericolosi. Solo provvedimenti esemplari come questo potrebbero dissuadere i giganti dell’IT dal comportarsi come piante carnivore: affascinanti all’esterno per attirare la preda e, una volta catturata, spietate persecutrici dei propri “interessi”.
Ma il problema serio è che non siamo di fronte a un fatto – per quanto esteso e diffuso – isolato. Quanti ricordano, per esempio il caso, concettualmente identico a quello di oggi, del rootkit con funzioni anticopia installato nel 2005 da Sony BMG Music Entertainement nei CD di alcuni artisti, e che esponeva a rischi di sicurezza i computer degli inconsapevoli utenti? In quel caso, almeno in Italia, segnalazioni e denunce caddero nel vuoto e c’è da sperare che almeno questa volta le autorità coinvolte facciano il loro dovere.
Se così non fosse, darebbero agli utenti in buona fede, quelli che pagano somme salatissime pur di usare strumenti e servizi alla moda e dando fiducia a marchi blasonati, la sgradevolissima sensazione non solo di essere stati trattati come dei topi da laboratorio, ma di non essere nemmeno tutelati da chi dovrebbe farlo per dovere istituzionale.

Possibly Related Posts: