Voi date alle app informazioni personali. Loro le girano a Facebook

Ultim'ora News

Milioni di utenti di smartphone confessano i loro segreti più intimi alle proprie app, anche quando vogliono fare esercizio per diminuire il  grasso della pancia o indicano il prezzo della casa che hanno visitato lo scorso fine settimana. Altre applicazioni conoscono il peso corporeo degli utenti, la pressione sanguigna, i cicli mestruali o lo stato di gravidanza.

All'insaputa della maggior parte delle persone, in molti casi che i dati vengono condivisi con qualcun altro: Facebook.

Secondo i test effettuati da The Wall Street Journal, il gigante dei social-media raccoglie intensivamente informazioni personali da molte popolari applicazioni per smartphone pochi secondi dopo che gli utenti le hanno inserite, anche se non hanno alcuna connessione a Facebook. Le applicazioni spesso inviano i dati senza alcuna indicazione rilevante o specifica, come dimostrato dai test.

È già noto che molte applicazioni per smartphone inviano informazioni a Facebook su quando gli utenti aprono le app e, a volte, su che cosa fanno all'interno. Finora non era stato segnalato che almeno 11 applicazioni popolari, per un totale di decine di milioni di download, hanno anche condiviso i dati sensibili inseriti dagli utenti. I risultati hanno allarmato alcuni esperti di privacy che hanno passato in rassegna i test del Journal.

Facebook è attualmente sotto esame da parte di Washington e delle autorità di regolamentazione europee per il modo in cui tratta le informazioni di utenti e non utenti. È stata multata per aver consentito l'accesso illecito ai dati degli utenti alla Cambridge Analytica, società di dati politici ormai defunta, e ha attirato critiche per aver dato alle aziende un accesso speciale ai dati degli utenti ben dopo aver informato di aver  bloccato tali informazioni.

Nel caso delle app, il test del Journal ha dimostrato che il software Facebook raccoglie dati da molte applicazioni anche se non viene utilizzato un account Facebook e se l'utente finale non è membro di Facebook.

Apple e Google, che gestiscono i due app store dominanti, non richiedono alle app di rivelare tutti i partner con cui i dati vengono condivisi. Gli utenti possono decidere di non autorizzare un'applicazione ad accedere a determinati tipi di informazioni, come i loro contatti o la loro ubicazione. Ma questi permessi generalmente non si applicano alle informazioni che gli utenti forniscono direttamente alle applicazioni, che a volte sono le più personali.

Nei test del WSJ, Instant Heart Rate: HR Monitor, la più popolare applicazione sulla frequenza cardiaca presente su iOS di Apple, realizzata da Azumio con sede in California, ha inviato la frequenza cardiaca di un utente a Facebook subito dopo la registrazione.

Come dimostrato dai test del Journal, Flo Period & Ovulation Tracker della Flo Health, che sostienedi avere 25 milioni di utenti attivi, ha riferito a Facebook quando un utente aveva le mestruazioni o ha informato l'app dell'intenzione di rimanere incinta.

Dagli stessi test è emerso che l’app immobiliare Realtor.com, di proprietà di Move, una controllata dalla News Corp (che pubblica il  Wall Street Journal) ha inviato al social network la posizione e il prezzo degli annunci che un utente ha consultato, notando quali sono stati contrassegnati come favoriti.

Nessuna di queste applicazioni ha fornito agli utenti un modo apparente per impedire l'invio di tali informazioni a Facebook.

Facebook ha detto che alcuni dei dati di condivisione scoperti dai test del WSJ sembravano aver violato le condizioni e  termini di business, che istruiscono gli sviluppatori di app a non inviare a Facebook dati su  "salute, informazioni finanziarie o altre categorie di informazioni sensibili". Facebook ha detto che sta avvisando le app segnalate dal Journal di interrompere l'invio di informazioni che i suoi utenti potrebbero considerare sensibili. L'azienda ha detto anche che potrebbe intraprendere ulteriori azioni se le applicazioni non sono conformi. "Chiediamo agli sviluppatori di app di essere chiari con i loro utenti sulle informazioni che condividono con noi", ha detto una portavoce di Facebook.

Al centro del problema c'è uno strumento di analisi che Facebook offre agli sviluppatori, che permette loro di vedere le statistiche sulle attività dei loro utenti e di indirizzare agli utenti gli annunci pubblicitari di Facebook. Anche se i termini di utilizzo di Facebook danno alla società la possibilità di utilizzare i dati scoperti dal Journal per altri scopi, il portavoce ha negato il ricorso a questo utilizzo.

Facebook dice ai suoi partner commerciali di utilizzare i dati dei clienti raccolti dalle app, tra le altre cose,  per personalizzare annunci pubblicitari e contenuti su Facebook e per condurre ricerche di mercato. Un brevetto che l'azienda ha richiesto nel 2015, approvato l'anno scorso, descrive come i dati delle applicazioni verrebbero memorizzati sui server di Facebook, dove potrebbero essere utilizzati per aiutare gli algoritmi dell'azienda a indirizzare gli annunci e selezionare i contenuti da mostrare agli utenti.

Apple ha dichiarato che le sue linee guida richiedono alle applicazioni di richiedere il "consenso preliminare dell'utente" per la raccolta dei dati degli utenti e di adottare misure per impedire l'accesso non autorizzato da parte di terzi. "Quando veniamo a conoscenza di uno sviluppatore che viola questi rigorosi termini e le linee guida sulla privacy, indaghiamo rapidamente e, se necessario, intraprendiamo azioni immediate", ha detto l'azienda.

Un portavoce di Google ha rifiutato di commentare, oltre a indicare la politica aziendale secondo cui richiede alle applicazioni che gestiscono dati sensibili di "rivelare il tipo di parti con cui vengono condivisi i dati personali o i dati sensibili degli utenti", e in alcuni casi di farlo in modo prominente.

Prima che Alice Berg iniziasse ad usare Flo per tracciare i suoi periodi mestruali nel giugno scorso, ha controllato i termini di servizio dell'app. La venticinquenne studentessa di Oslo dice di essere diventata più cauta nel condividere i dati con le applicazioni e di voler essere sicura che solo una quantità limitata dei suoi dati sarebbe stata condivisa con terze parti come Facebook.

Ora la Berg ha detto che potrebbe cancellare l'app. "Penso che sia incredibilmente disonesto da parte loro mentire ai loro utenti, specialmente quando si tratta di qualcosa di così sensibile", ha detto.

L'informativa sulla privacy di Flo Health dice che non invierà "informazioni riguardanti i cicli rimarcati, la gravidanza, i sintomi, le note e altre informazioni da voi inserite e che non scegliete di condividere" a fornitori di terze parti. La Flo inizialmente ha detto in una dichiarazione scritta che non invia "dati critici dell'utente" e che i dati che invia a Facebook sono "spersonalizzati" per mantenerli privati e sicuri.

Il test del Journal, tuttavia, ha mostrato che le informazioni sensibili sono state inviate con un identificatore pubblicitario unico che può essere abbinato a un dispositivo o un profilo. Un portavoce di Flo ha successivamente affermato che l'azienda "limiterà in maniera sostanziale" l'uso di sistemi di analisi esterni e al contempo condurrà un audit interno sulla privacy.

Move, il proprietario dell'app immobiliare Realtor.com, che secondo i test del Journal ha inviato a Facebook informazioni sulle proprietà che piacciono agli utenti, ha dichiarato "ci atteniamo rigorosamente a tutti i requisiti locali, statali e federali" e che la sua politica sulla privacy "indica chiaramente come vengono raccolte e condivise le informazioni degli utenti". Questa politica dice che l'app raccoglie una varietà di informazioni, compresi i contenuti in cui gli utenti sono interessati, e può condividerle con terze parti. Non c'è menzione di Facebook.

Il Journal ha testato più di 70 applicazioni che sono tra le più popolari nello store iOS di Apple per le categorie che gestiscono informazioni sensibili degli utenti. Ha utilizzato un software per monitorare le comunicazioni Internet innescate dall'utilizzo di un'applicazione, comprese le informazioni inviate a Facebook e ad altre terze parti. I test hanno rilevato che almeno 11 applicazioni hanno inviato a Facebook informazioni potenzialmente sensibili sul comportamento degli utenti o sui dati inseriti.

Tra le prime 10 applicazioni in campo finanziario dell’App Store americano di Apple censite lo scorso giovedì, nessuna sembrava inviare informazioni sensibili a Facebook, e solo due non hanno inviato nessuna informazione. Ma almeno sei delle 15 principali applicazioni per la salute e il fitness hanno inviato informazioni potenzialmente sensibili subito dopo averle raccolte.

Disconnect Inc., una società di software che produce strumenti per la gestione della privacy online, è stata incaricata dal Journal di testare nuovamente alcune delle applicazioni. L'azienda ha confermato i risultati e ha detto che i termini di Facebook che consentono di utilizzare i dati raccolti erano insoliti.

"E’ un gran pasticcio", ha detto Patrick Jackson, chief technology officer di Disconnect, che ha analizzato le applicazioni per conto del Journal. "Tutto ciò è completamente indipendente dalle funzionalità dell'applicazione."

Il software utilizzato dal Journal nei suoi test non è stato in grado di decifrare i contenuti del traffico dalle applicazioni Android. Esther Onfroy, co-fondatore dell’azienda di cybersecurity Defensive Lab Agency, ha condotto un test separato mostrando che almeno un'app segnalata dal test del Journal, BetterMe: Weight Loss Workouts, anche nella sua versione Android condivideva pesi e le altezze degli utenti con Facebook non appena li inserivano. BetterMe non ha risposto alle richieste via email e social-media dal Journal. Il 16 febbraio, dopo essere stato contattato dal Journal, ha aggiornato la sua politica sulla privacy, sostituendo un riferimento generale ai dati analitici di Facebook con uno che dichiara di condividere le informazioni con Facebook in modo da poter determinare "il peso e l'altezza media dei nostri utenti, quanti utenti hanno scelto una particolare area problematica del loro corpo, e altre interazioni".

Le appi spesso integrano un codice noto come kit di sviluppo software, o SDK, che aiutano gli sviluppatori ad integrare alcune caratteristiche o funzioni. Qualsiasi informazione condivisa con un'app può anche essere condivisa con il produttore dell'SDK incorporato. Ci sono una serie di SDK, compresi quelli di Facebook, che permettono alle app di comprendere meglio il comportamento dei loro utenti o di raccogliere dati per vendere pubblicità mirata.

L'SDK di Facebook, che è contenuto in migliaia di applicazioni, include un servizio di analisi chiamato "App Events" che permette agli sviluppatori di guardare le tendenze tra i loro utenti. Le app possono dire all'SDK di registrare una serie di azioni standardizzate intraprese dagli utenti, come per esempio quando un utente completa un acquisto. Gli sviluppatori di applicazioni possono anche definire "eventi app personalizzati" da catturare per Facebook, ed è così che sono state inviate le informazioni sensibili rilevate dal Journal.

Facebook sostiene che sul suo sito web utilizza i dati dei clienti provenienti dal suo SDK, combinati con altri dati che raccoglie, per personalizzare gli annunci pubblicitari e i contenuti, così come per "migliorare altre esperienze su Facebook, compresi i News Feed e le capacità di posizionamento dei contenuti ricercati".

Ma una portavoce ha detto che Facebook non usa eventi personalizzati, quelli che possono contenere informazioni sensibili per questi scopi. Ha detto che Facebook elimina automaticamente alcuni dati sensibili che potrebbe ricevere, come i numeri di sicurezza sociale. Ha dichiarato inoltre che Facebook sta ora studiando come cercare applicazioni che violano i suoi termini, e come costruire salvaguardie per impedire a Facebook di memorizzare i dati sensibili che le app le possono inviare.

Avvocati esperti di privacy affermano che la raccolta di dati sanitari da parte di entità non sanitarie è legale nella maggior parte degli Stati Uniti, a condizione che vi sia una sufficiente evidenziazione nelle condizioni  di servizio di un'app e di Facebook. La Federal Trade Commission si è interessata ai casi in cui la condivisione dei dati si discosta ampiamente da ciò che gli utenti potrebbero aspettarsi, in particolare se è stato difficile trovare istruzioni o spiegazioni per gli utenti, ha dichiarato Woodrow Hartzog, professore di diritto e informatica presso la Northeastern University.

L'informativa sulla privacy di Azumio, produttore dell'applicazione Instant Heart Rate, spiega che raccoglie informazioni sulla salute, comprese le frequenze cardiache, e che può fornire alcuni dati personali a fornitori di servizi e fornitori di pubblicità di terze parti. Non dice nulla sul fornire a quelle entità esterne informazioni di carattere sanitario tratte dalle sue applicazioni, né menziona Facebook come fornitore.

Bojan Bostjancic, ceo dell'azienda, ha dichiarato in un messaggio di posta elettronica che utilizza gli strumenti di Facebook per analizzare il comportamento dei suoi utenti nell'app e che rivela l'uso di terze parti nella sua politica sulla privacy. Non ha risposto alle domande successive.

Dopo essere stata contattata dal Journal, Breethe Inc., creatrice di un'app di meditazione con lo stesso nome, ha smesso di inviare a Facebook l'indirizzo e-mail che ogni utente ha utilizzato per accedere all'app, così come il nome completo di ogni meditazione completata.

"Chiaramente, il modello di business di Facebook è unico e, purtroppo, non siamo stati così diligenti nell'allineare la nostra gestione dei dati con la loro politica sulla privacy come avremmo dovuto essere", ha detto Garner Bornstein, co-fondatore dell'azienda.

Nell'Unione europea, il trattamento di alcuni dati sensibili, come le informazioni sanitarie o sessuali, è regolamentato in modo più rigoroso. La nuova legge sulla privacy dell'UE richiede solitamente alle aziende di ottenere un consenso esplicito per raccogliere, elaborare o condividere tali dati,  e rendere il consenso una condizione per l'utilizzo di un servizio di solito non è valido.

Alcuni esperti di privacy che hanno esaminato i risultati del Journal hanno affermato che le pratiche possono essere in violazione di tale legge. "Per i dati sensibili, le aziende hanno fondamentalmente sempre bisogno di consenso,  probabilmente sia lo sviluppatore dell'app sia Facebook", ha detto Frederik J. Zuiderveen Borgesius, professore di diritto alla Radboud University in Olanda.

Il portavoce di Facebook ha dichiarato che l'azienda è conforme alla normativa UE sulla privacy.

Facebook consente agli utenti di disattivare la capacità dell'azienda di utilizzare i dati raccolti da app e siti web di terze parti per annunci mirati. Attualmente non c'è modo di impedire subito all'azienda di raccogliere le informazioni  o di utilizzarle per altri scopi, come l'individuazione di conti falsi. All'inizio di questo mese, l’antitrust tedesco ha ordinato a Facebook di smettere di usare questi dati senza autorizzazione, una sentenza per cui Facebook è ricorsa in appello.

Sotto pressione per la raccolta di dati, l'amministratore delegato di Facebook Mark Zuckerberg ha detto l'anno scorso che l'azienda avrebbe creato una funzione chiamata "Clear History" per consentire agli utenti di vedere quali dati Facebook aveva raccolto su di essi da app e siti web, e di cancellarli da Facebook. L'azienda dice che sta ancora costruendo la tecnologia necessaria per rendere possibile questa caratteristica.

I dati estratti dalle app mobili possono essere preziosi. Gli inserzionisti di pubblicità dicono che grazie alle intuizioni di Facebook sul comportamento degli utenti, la societò può offrire un miglior ritorno sull'investimento pubblicitario rispetto alla maggior parte delle altre aziende, quando esse per esempio cercano utenti esperti di esercizio fisico, o stanno informandosi per comprare una nuova vettura sportiva. Tali annunci hanno un costo per click più alto.

Questo è in parte il motivo per cui i ricavi di Facebook sono in aumento. La società di ricerca eMarketer prevede che Facebook quest'anno rappresenterà il 20% dei 333 miliardi di dollari del mercato mondiale della pubblicità digitale.  In una conferece call per discutere gli ultimi profitti dell'azienda, tuttavia, il  chief financial officer David Wehner ha osservato che gli investitori in titoli Facebook dovrebbero essere consapevoli del fatto che Apple e Google potrebbero forse rafforzare i loro controlli sulla privacy intorno alle app  Questa possibilità, ha detto, è "un rischio continuo che stiamo monitorando per il 2019".

Please click here to read this article in English on The Wall Street Journal