Google One VPN e Apple Private Relay garantiscono davvero la nostra privacy?

Google e Apple offrono servizi che usano la privacy come argomento di vendita, ma impongono limitazioni ad altri diritti in nome della tutela del copyright e dell’ampliamento del walled garden di Andrea Monti – Originariamente pubblicato su PC Professionale n. 367

Google One VPN e Apple Private Relay sono due servizi disponibili anche in Italia (quello di Apple prossimamente) che, pur con qualche differenza tecnica, promettono di tutelare la privacy delle connessioni internet degli utenti operando come “intermediari” fra il singolo client e la big internet. La promessa è sicuramente allettante, ma l’analisi del funzionamento di questi due prodotti ne evidenzia alcune limitazioni di impiego e delle criticità strutturali da considerare prima di decidere di utilizzarli.

Le limitazioni riguardano la permanenza del tracciamento della geolocalizzazione e, nel caso di Google, anche il fatto che l’uso della VPN consentirà comunque di erogare servizi personalizzati –in altri termini, la profilazione individuale rimane attiva nonostante la cifratura del traffico e l’anonimizzazione dell’IP utilizzato. Le pagine di help del servizio, infatti, dicono chiaramente due cose. La prima: è possibile reduce online tracking by hiding your IP address (“ridurre”, dunque, non “eliminare”). La seconda: while VPN by Google One secures your device connection, it does not affect how Google collects data when you use our other products and services. For example, depending on your sync settings, Chrome will continue to store your Chrome browsing history to your Google Account. In altri termini: la connessione è anonimizzata ma accedendo ai dati dell’utente (memorizzati nel suo account anche durante le sessioni protette) potrebbe essere possibile ricostruire l’associazione fra risorsa di rete acceduta e identità dell’autore dell’accesso. Dunque, sulla base di un ordine dell’autorità giudiziaria o dei servizi segreti sarebbe possibile accedere a queste informazioni e, astrattamente, superare il livello di anonimizzazione promesso dal servizio.

Prima ancora che si verifichi un’ipotesi del genere, tuttavia ci si dovrebbe chiedere cosa impedisce alle due Big Tech di analizzare il traffico generato dagli utenti. Dal punto di vista tecnico, sia Google sia Apple dichiarano di avere adottato un sistema per disaccoppiare l’utenza dall’IP che viene utilizzato. In questo modo, almeno sulla carta, le aziende sanno se un account sta usando la connessione VPN ma non sanno per farci cosa. Questo, però, è vero solo in parte perché la necessità di bloccare l’accesso a contenuti protetti da diritto d’autore tramite geoblocking fa sì che, in entrambi i servizi, l’IP assegnato all’utente sia associabile ad una zona geografica. La conseguenza è che la risorsa di rete di destinazione potrà sempre avere un’idea sulla provenienza dell’IP anonimizzato.

Al di là di questi dettagli tecnici, tuttavia, la criticità principale evidenziata anche da Google è che, aspetti tecnici e vulnerabilità software a parte, la migliore garanzia che il fornitore della VPN non abusi della possibilità di spiare i propri utenti è, sostanzialmente, la “parola d’onore” del fornitore stesso. In altri termini, usare questi servizi implica compiere un atto di fede sul fatto che le due Big Tech eviteranno di utilizzare i dati degli utenti ed essere consapevoli che di fronte alle richieste dell’autorità giudiziaria americana dovranno consentire la decodifica del traffico e l’identificazione dell’utente. E se questo non fosse possibile perché il sistema è progettato per non consentire questa operazione, ci troveremmo di fronte alla riedizione di una clamorosa vertenza giudiziaria di cui parlammo sul numero 299 di PC Professionale. Nel 2016 il FBI chiese a Apple di rompere la crittografia che proteggeva i contenuti di un iPhone detenuto da un indagato e la prima si rifiutò di farlo “in nome della privacy”, appunto.

La causa si risolse in nulla perché gli inquirenti trovarono il modo di accedere da soli ai dati dello smartphone, ma il problema giuridico rimase – e rimane – tal quale: un’azienda può progettare un software o un servizio che non consente l’esecuzione di attività di indagine della magistratura?

La risposta non è così semplice come si potrebbe pensare perché in Italia, per esempio, da sempre e ancora oggi gli ISP devono fornire alla magistratura una serie di “prestazioni obbligatorie” fra le quali il blocco o il dirottamento delle chiamate DNS a siti da oscurare, l’elusione di HTTPS e delle VPN eventualmente fornite ai clienti e le intercettazioni di email e chiamate VoIP.  Quindi sarebbe paradossale che mentre gli ISP devono rendere disponibili questi servizi all’autorità giudiziaria, Apple e Google non debbano fare lo stesso. Certo, essendo aziende americane non sono obbligate a rispettare gli ordini della magistratura italiana. Ma forse sarebbe ora di pensare a una legge che – analogamente a quello che si sta cercando di fare con la web tax- obblighi chi opera sul suolo italiano a collaborare direttamente con le autorità nazionali.

Rimane sullo sfondo, infine, la considerazione non meno importante che questi servizi che monetizzano il desiderio (e a volte la paranoia) di privacy consentono l’ulteriore accumulazione nelle mani di pochi soggetti di tutte le componenti della rete, dall’accesso, al trasporto, alle applicazioni. Siamo di fronte all’ennesima estensione del walled garden nel quale gli utenti sono prigionieri di un blocco tecnologico che rende più difficile usare la rete con un minimo di indipendenza dai fornitori. Ironia della sorte, fino a qualche tempo fa la perdita della libertà non costava soldi perché i servizi erano “gratis”. Ora, invece, per entrare nella gabbia dorata bisogna anche pagare.

Possibly Related Posts: