%20--%3e%3csvg%20version='1.1'%20id='Layer_1'%20xmlns='http://www.w3.org/2000/svg'%20xmlns:xlink='http://www.w3.org/1999/xlink'%20x='0px'%20y='0px'%20viewBox='0%200%20100.6%2073.7'%20style='enable-background:new%200%200%20100.6%2073.7;'%20xml:space='preserve'%3e%3cstyle%20type='text/css'%3e%20.st0{fill:%23AF001E;}%20.st1{fill:%23FFFFFF;}%20%3c/style%3e%3cg%3e%3crect%20class='st0'%20width='100.6'%20height='73.7'/%3e%3cpath%20class='st1'%20d='M25.2,36.3l-0.5,2.3c-0.2,0.7-0.2,1-0.2,1.2c0,0.5,0.2,1,0.5,1.6L31.5,53c0.5,0.9,1,1.3,2.3,1.3h5.9%20c0.8,0,1.7-0.5,0.8-1.8l-7.9-13.1c2.7-1.7,5.6-4.1,5.6-9.3c0-6.8-3.8-10.6-12.2-10.6H13.9c-1.1,0-1.4,0.4-1.4,1.5v32%20c0,1.1,0.3,1.5,1.4,1.5h5c1.1,0,1.4-0.4,1.4-1.5V26h5.2c3.3,0,4.8,1.2,4.8,4.2c0,2.8-1.2,3.6-2.5,4.2C26.3,35,25.7,34.3,25.2,36.3z%20'/%3e%3cpath%20class='st1'%20d='M45.9,48.8L45.3,53c-0.1,0.8,0.3,1.1,1,1.2c1.6,0.2,5.5,0.5,9.4,0.5c8.6,0,14.9-2.8,14.9-10.9%20c0-4.7-2.1-8.3-9.2-10.1l-4-1c-2.7-0.7-4-1.6-4-3.6c0-2.8,2.6-3.4,5.1-3.4c3.4,0,6.8,0.3,8.1,0.4c1.4,0.1,1.8-0.1,2-1.2l0.7-4.1%20c0.1-0.8-0.3-1.1-1-1.2c-1.6-0.2-5-0.5-9.4-0.5c-9,0-13.3,3.9-13.3,10.1c0,5.6,3,8.9,8.3,10.3l4,1c3.3,0.9,4.7,1.8,4.7,3.9%20c0,3-2.1,3.6-7.1,3.6c-2.3,0-6.2-0.3-7.6-0.4C46.5,47.4,46.1,47.6,45.9,48.8z'/%3e%3cpath%20class='st1'%20d='M79.4,52.9c0,1.1,0.3,1.5,1.4,1.5h5c1.1,0,1.4-0.4,1.4-1.5v-32c0-1.1-0.3-1.5-1.4-1.5h-5%20c-1.1,0-1.4,0.4-1.4,1.5V52.9z'/%3e%3c/g%3e%3c/svg%3e)
Andreas Geissbühler è su una montagna nell’Emmental quando sente un rumore sopra di lui. Tira fuori rapidamente il suo cellulare e apre un’app. “Un Air Glacier!” esclama con un sorriso soddisfatto. Il pensionato ama gli aerei e gli elicotteri da quando era piccolo. E ama l’app che gli permette di seguire il traffico aereo in tempo reale: Flightradar24. Un amore che ora viene messo alla prova.
App gratuite pericolose (Kassensturz, SRF, 11.02.2025)
SRF ha contattato Geissbühler perché le informazioni sui suoi spostamenti sono in vendita su internet: dove vive, dove va a giocare a bowling, persino la sua gita di settembre al Museo dei Trasporti di Lucerna. Lo hanno tradito le app sul suo cellulare. Geissbühler è sconcertato: “È davvero una sensazione spiacevole sapere che qualcuno usa i tuoi dati personali senza sapere esattamente come vengono utilizzati”.
Geissbühler ha quattro app sul suo telefono che probabilmente trasmettono la sua posizione. E non è l’unico a essere coinvolto. Un’inchiesta condotta da SRF, con diversi altri media, ha rivelato l’entità del commercio di dati di localizzazione provenienti dalle app. In questo modo, vengono rivelate le posizioni di milioni di dispositivi in Svizzera. Finora sono state identificate circa 40’000 app che trasmettono profili di movimento ai commercianti di dati, che li vendono poi a terzi.
https://rsi.cue.rsi.ch/info/dialogo/La-spia-in-tasca--2505448.html
Ma come arrivano le informazioni sulla localizzazione, a volte molto precise, ai commercianti di dati? Le ricerche hanno permesso di tracciare per la prima volta il percorso di queste informazioni. Una pista che porta in Lituania.
Un’inchiesta internazionale
Un collettivo di giornalisti internazionali sta cercando di fare luce sul controverso commercio di dati sensibili sulla localizzazione. Al centro dell’attenzione ci sono i set di dati del commerciante di dati statunitense Datastream Group (ora Datasys), che sono stati trasmessi al media online tedesco Netzpolitik.org. Fanno parte del collettivo: SRF/RTS (Svizzera), 404 Media, WIRED (USA), Le Monde (Francia), NRK (Norvegia), BNR Nieuwsradio (Paesi Bassi), Netzpolitik.org, Bayerischer Rundfunk/ARD (Germania).
Dalla Svizzera alla Lituania
L’azienda pubblicitaria lituana Eskimi è un attore importante nel business della pubblicità digitale: ha otto uffici in tutto il mondo e fa parte dell’IAB, associazione internazionale di categoria del settore della pubblicità online. Come membro dell’IAB, Eskimi gode della fiducia di numerose app e siti web: al momento dell’inchiesta, ad esempio, i siti web di 20 Minuten, Blick, Watson, Le Matin, FFS o l’app mobile FFS. Su questi e decine di migliaia di altri portali, Eskimi, in qualità di azienda partner, può raccogliere i dati degli utenti e utilizzarli per scopi pubblicitari personalizzati.
Tuttavia, recenti indagini suggeriscono che Eskimi non solo avrebbe utilizzato questi dati per la pubblicità, ma li avrebbe anche condivisi con commercianti di dati come la società statunitense Datastream Group. Un’informazione contenuta in una lettera dell’azienda in risposta a una richiesta del senatore statunitense Ron Wyden. Il legale di Datastream Group afferma che parte dei suoi dati vengono ottenuti da Eskimi. Queste informazioni sono poi proposte a numerosi interessati su piattaforme di mercato online.
Eskimi sarebbe il primo caso noto di un’azienda europea che raccoglierebbe dati su larga scala dall’ecosistema pubblicitario e li rivenderebbe, presumibilmente senza il consenso degli utenti. L’azienda nega l’accusa e afferma di non essere coinvolta nel commercio di dati e di non avere alcuna relazione commerciale con Datastream Group.
Alimentati con dati delle app gratuite
Non solo siti web e app svizzere elencano Eskimi come partner. La SRF è in possesso di una lista di migliaia di app che condividono quotidianamente milioni di dati con Eskimi in tutto il mondo. Secondo Datastream Group, queste informazioni finiscono poi nell’offerta di vendita dei commercianti di dati. Durante l’inchiesta sono stati verificati i profili di movimento individuali ricavati dai dati e ha parlato con le persone coinvolte, che si sono mostrate sorprese e hanno dichiarato di non aver mai acconsentito a un tale utilizzo.
Su richiesta, Eskimi scrive di non aver verificato i dati in questione e di non poter confermarne la provenienza. Inoltre, sarebbe prassi comune fornire piccoli campioni di dati anonimizzati a potenziali partner per motivi di qualità. Queste informazioni dovrebbero essere usate solo a scopi pubblicitari. Gli operatori dei siti web di Blick, Watson e le FFS scrivono che, sebbene Eskimi fosse un potenziale partner nella lista IAB standard del settore, non ci sarebbe alcuna collaborazione attiva e quindi nessuno scambio di dati. Tamedia scrive di aver disattivato Eskimi come partner pubblicitario già da tempo, mentre l’operazione è in corso per 20 Minuten, Watson e Blick. Le FFS stanno valutando una rimozione.
Dichiarazioni delle aziende menzionate
Riassunto delle dichiarazioni, in parte tradotte dall’inglese:
Eskimi
“Eskimi non è coinvolta nel commercio di dati. Qualsiasi riferimento a Eskimi come commerciante di dati è fuorviante. Eskimi non ha e non ha mai avuto una relazione commerciale con Datasys/Datastream Group. [...] Non abbiamo visto né esaminato i campioni di dati da voi menzionati e quindi non possiamo confermarne l’origine o l’autenticità. È pratica comune del settore fornire piccoli campioni anonimi di gruppi target, non in tempo reale, a potenziali partner per motivi di qualità. Questi campioni non possono essere condivisi, venduti o utilizzati in altro modo se non per lo scopo originale, ovvero la creazione di gruppi target e il miglioramento del targeting pubblicitario.”
Datastream Group
“Su richiesta di Netzpolitik, Datastream ha fornito un singolo campione di dati anonimizzato, ottenuto legalmente da un fornitore terzo affidabile e non destinato alla rivendita. La fonte dei dati è soggetta a un accordo di riservatezza legale. Qualsiasi menzione della fonte è stata fatta privatamente in risposta a una richiesta del Congresso degli Stati Uniti e non era accessibile al pubblico. [...] Il campione richiesto da Netzpolitik consisteva in dati di localizzazione non riservati, facilmente disponibili e anonimizzati che gli utenti avevano reso accessibili al fornitore attraverso app mobili ampiamente diffuse. [...] In qualità di broker di dati, Datastream ha agito nel normale corso degli affari fornendo questo campione di dati e ha sempre operato in modo etico e appropriato.”
“La politica sui dati degli utenti di Google Play richiede agli sviluppatori di fornire informazioni accurate nei loro moduli sulla privacy. Lavoriamo a stretto contatto con la comunità degli sviluppatori per assicurarci che comprendano l’importanza di fornire informazioni accurate in modo che gli utenti possano prendere decisioni informate su quali app utilizzare. Quando scopriamo che uno sviluppatore ha fornito informazioni false nel suo modulo sulla privacy e viola la politica, chiediamo allo sviluppatore di risolvere il problema per conformarsi alla politica. Le app non conformi sono soggette a misure di applicazione. Solo gli sviluppatori dispongono di tutte le informazioni necessarie per rappresentare accuratamente le loro pratiche sulla privacy nella sezione ‘Sicurezza dei dati’ delle loro app. Solo gli sviluppatori sono responsabili di fornire informazioni complete e accurate nella sezione ‘Sicurezza dei dati’ per le loro app.”
SBB
“Eskimi non è attualmente un partner pubblicitario delle FFS. Eskimi è un fornitore IAB (Vendor) e può quindi impostare cookie, anche su sbb.ch. Le FFS non trasmettono dati dei clienti a Eskimi. Eskimi può solo impostare un cookie su sbb.ch. Per i clienti che non accettano i cookie, non vengono impostati cookie.
Le FFS non trasmettono dati dei clienti agli inserzionisti. I fornitori terzi possono solo visualizzare annunci pubblicitari su sbb.ch. Le FFS utilizzano l’ad server di Google per questo scopo. Tuttavia, i dati non fluiscono dalle FFS a Google, ma viceversa. Le FFS forniscono all’ad server di Google solo dati dei clienti anonimizzati (senza possibilità di risalire a singole persone), e solo se è stato dato il consenso. L’unica cosa che viene trasmessa agli inserzionisti è il paese di localizzazione dell’utente. Tuttavia, questo non è il caso di Eskimi, poiché non sono abilitati per la pubblicità tramite l’ad server di Google per le FFS. I partner pubblicitari vengono regolarmente controllati e le aziende non affidabili vengono scartate. Attualmente, l’elenco dei fornitori IAB è in fase di revisione.”
Ringier
“Su Blick.ch, Eskimi è attualmente elencato nella lista dei fornitori, ma non è attivamente in uso. Verifichiamo i partner pubblicitari sulla base della certificazione IAB e rivediamo continuamente la nostra lista di fornitori in base alle informazioni pubblicamente disponibili. Esaminiamo le partnership commerciali secondo le nostre linee guida interne sulla protezione dei dati, che includono, tra l’altro, requisiti per il trattamento dei dati personali. Su Blick.ch, Eskimi sarà rimosso dalla lista dei fornitori alla prossima revisione. La verifica dei nostri partner pubblicitari avviene a intervalli regolari.”
CH Media
“Watson non ha una collaborazione attiva con Eskimi. Eskimi è un partecipante registrato del Transparency & Consent Framework (TCF) riconosciuto a livello europeo dell’Interactive Advertising Bureau (IAB). [...] Sulla base delle attuali scoperte tramite la ricerca, Watson ha disattivato il fornitore Eskimi sulla piattaforma di gestione del consenso.”
Tamedia/20 Minuten/TX Group
“Né Tamedia né 20 Minuten hanno una relazione contrattuale diretta con Eskimi. Eskimi è elencato nella lista ufficiale dei fornitori IAB come potenziale partner pubblicitario. Tamedia ha disattivato Eskimi come partner pubblicitario già da tempo. Anche 20 Minuten ha disattivato Eskimi. Per entrambe le aziende, Eskimi non è più attivo.”
WetterOnline e Flightradar24 non hanno risposto a ripetute richieste.
Raccolta di dati trasparente
Nel set di dati analizzato, ci sono diverse migliaia di app che dichiarano in modo trasparente di raccogliere dati di localizzazione precisi e di condividerli con terze parti per scopi pubblicitari, ad aziende come Eskimi.
Chi utilizza queste app acconsente alla condivisione della propria posizione per scopi pubblicitari. Tuttavia, questo non equivale a un consenso alla vendita della propria posizione a terzi. Per l’esperta di diritto sulla protezione dei dati Ursula Sury, la situazione è chiara: se gli utenti non fossero a conoscenza del fatto che i loro profili di movimento vengono venduti e non avessero dato il loro consenso, tale vendita non sarebbe legale.
Avviata un’indagine contro WetterOnline dopo l’inchiesta
L’app gratuita WetterOnline, molto popolare in Svizzera, è una delle app il cui modello di business si basa, tra l’altro, sulla condivisione di dati precisi sulla posizione. Secondo l’analisi, WetterOnline ha condiviso un numero straordinariamente elevato di coordinate GPS precise al metro, rivelando così i profili di movimento esatti di centinaia di migliaia di utenti. Nel frattempo, il Garante per la protezione dei dati del Land tedesco della Renania Settentrionale-Vestfalia, dove ha sede il produttore di WetterOnline, ha avviato un’indagine. WetterOnline ha apparentemente reagito riducendo il numero di aziende partner da 800 a circa 300.
Informazioni errate online
Un modo per proteggersi sarebbe quello di leggere le informazioni sui servizi di distribuzione digitale delle applicazioni. Lì, i fornitori di app devono essere trasparenti su quali dati condividono e con chi. Purtroppo, però, queste informazioni non sono sempre affidabili.
Un’analisi di SRF ha rivelato centinaia di app gratuite nel Google Play Store che, nella pagina principale, dichiarano con le cosiddette etichette di trasparenza di non raccogliere posizioni o di non condividerle con clienti pubblicitari, ma i cui dati sono comunque finiti nelle mani dei commercianti. Tra queste ci sono popolari app di messaggistica, fornitori di VPN, videoplayer, app meteo, bibliche e coraniche. Poiché le informazioni nel Google Play Store sono autocertificazioni, è probabile che queste app ingannino i loro utenti e condividano comunque i loro dati. In risposta a una richiesta, Google afferma di obbligare obbliga gli sviluppatori a fornire informazioni precise. Questi sono responsabili di fornire informazioni complete e accurate nella sezione “Sicurezza dei dati”., sotto pena di provvedimenti.
Andreas Geissbühler è deluso, perché una di queste app è proprio Flightradar24. Che la posizione esatta e altri dati degli utenti vengano trasmessi a partner pubblicitari e commercianti di dati, non è menzionato sulla pagina principale del Google Play Store, dove l’app può essere scaricata. Invece, c’è scritto che “Nessun dato [...] viene condiviso con aziende od organizzazioni terze”. Per il pensionato e fan di Flightradar, questo non è corretto: “Uso Flightradar su ogni smartphone da anni. Ma non sapevo trasmettesse o vendesse i miei dati”. Ora cercherà delle alternative.
Nuove linee guida
L’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vuole ora porre un freno alla proliferazione dei dati su siti web e app. A fine gennaio, la massima autorità svizzera per la protezione dei dati ha pubblicato delle linee guida. Stabiliscono che il commercio di profili personali e dati di localizzazione a fini pubblicitari rientra nella categoria del “profiling ad alto rischio” e richiede quindi un ulteriore consenso esplicito da parte degli utenti. Inoltre, potrebbe essere necessario effettuare una valutazione dell’impatto sulla protezione dei dati.
L’IFPDT scrive a SRF: “Se gli utenti concedono ai browser che utilizzano, come Safari o Chrome, il permesso di accedere ai dati di localizzazione dei loro telefoni cellulari, contrariamente alle impostazioni predefinite, ciò può portare alla condivisione di profili di movimento durante le visite future ai siti web, con conseguenze significative per la loro privacy. Per quanto riguarda l’ottenimento del consenso da parte dei fornitori di app e degli operatori di siti web, la cui prestazione caratteristica non richiede la raccolta di dati di localizzazione, l’IFPDT rileva generalmente la necessità di miglioramenti in Svizzera. Per questo motivo, dopo aver completato la sensibilizzazione sulle recenti linee guida, interverrà con mezzi di vigilanza per garantirne l’attuazione nei settori pertinenti”.
Grigioni: legge più moderna per proteggere i dati
Il Quotidiano 10.02.2025, 19:00
Entra nel canale WhatsApp RSI Info
Iscriviti per non perdere le notizie e i nostri contributi più rilevanti
https://whatsapp.com/channel/0029Vat6p4zL2ATyO8IRFJ2C
%20--%3e%3csvg%20version='1.1'%20id='Layer_1'%20xmlns='http://www.w3.org/2000/svg'%20xmlns:xlink='http://www.w3.org/1999/xlink'%20x='0px'%20y='0px'%20viewBox='0%200%20138.2%2048'%20style='enable-background:new%200%200%20138.2%2048;'%20xml:space='preserve'%3e%3cstyle%20type='text/css'%3e%20.st0{fill-rule:evenodd;clip-rule:evenodd;fill:%23AF001E;}%20.st1{fill-rule:evenodd;clip-rule:evenodd;fill:%23FFFFFF;}%20%3c/style%3e%3cpath%20class='st0'%20d='M0,48h138V0H0V48z'/%3e%3cpath%20class='st1'%20d='M9.3,31.7l-0.4,2.7C8.8,35,9,35.2,9.5,35.3c2,0.2,4,0.3,6.1,0.3c5.6,0,9.7-1.8,9.7-7.1c0-3.1-1.3-5.4-6-6.6%20l-2.6-0.7c-1.8-0.5-2.6-1-2.6-2.3c0-1.9,1.7-2.2,3.3-2.2c2.2,0,4.4,0.2,5.3,0.2c0.9,0.1,1.2,0,1.3-0.8l0.4-2.6c0-0.1,0-0.2,0-0.3%20c0-0.1-0.1-0.2-0.1-0.3s-0.1-0.1-0.2-0.2c-0.1,0-0.2-0.1-0.3-0.1c-2-0.2-4.1-0.3-6.1-0.3C11.8,12.4,9,14.9,9,19c0,3.6,2,5.8,5.4,6.7%20l2.6,0.7c2.1,0.6,3,1.2,3,2.5c0,2-1.3,2.3-4.6,2.3c-1.5,0-4-0.2-4.9-0.3C9.6,30.9,9.4,31,9.3,31.7'/%3e%3cpath%20class='st1'%20d='M36.4,23.6l-0.3,1.5C36,25.4,36,25.6,36,25.9c0,0.4,0.1,0.8,0.4,1.1l4.2,7.6c0.1,0.3,0.3,0.5,0.6,0.7%20c0.3,0.2,0.6,0.2,0.9,0.2h3.8c0.5,0,1.1-0.3,0.5-1.2l-5.1-8.6c1.7-1.1,3.6-2.6,3.6-6.1c0-4.4-2.5-6.9-7.9-6.9h-7.8%20c-0.7,0-0.9,0.2-0.9,1v20.8c0,0.7,0.2,1,0.9,1h3.2c0.7,0,0.9-0.2,0.9-1V16.8h3.3c2.1,0,3.1,0.8,3.1,2.8c0.1,0.6,0,1.2-0.3,1.6%20c-0.3,0.5-0.7,0.9-1.3,1.1C37.1,22.7,36.8,22.3,36.4,23.6z'/%3e%3cpath%20class='st1'%20d='M66.1,34V22.7c0-0.7-0.2-1-0.9-1h-5.8c-0.7,0-0.9,0.2-0.9,1v2.5c0,0.7,0.2,0.9,0.9,0.9h1.7v5%20c-0.6,0.1-1.1,0.1-1.7,0.1c-4.8,0-6-3.1-6-7.4c0-5.4,2-6.8,6.5-6.8c1.3,0,3.1,0.1,4.1,0.2c1,0.1,1.2,0,1.3-0.8l0.4-2.5%20c0.1-0.7,0-1-0.8-1.1c-1.8-0.2-3.6-0.3-5.4-0.2c-8.2,0-11.6,4.3-11.6,11.3s2.7,11.9,11.3,11.9c2,0.1,4,0,6-0.4%20C65.9,35.2,66.2,34.9,66.1,34'/%3e%3cpath%20class='st1'%20d='M74.9,31.7l-0.4,2.7c-0.1,0.5,0.2,0.7,0.6,0.8c2,0.2,4,0.3,6.1,0.3c5.6,0,9.7-1.8,9.7-7.1c0-3.1-1.3-5.4-6-6.6%20l-2.6-0.7c-1.8-0.5-2.6-1-2.6-2.3c0-1.9,1.7-2.2,3.3-2.2c2.2,0,4.4,0.2,5.3,0.2c0.9,0.1,1.2,0,1.3-0.8l0.4-2.6c0-0.1,0-0.2,0-0.3%20c0-0.1-0.1-0.2-0.1-0.3s-0.1-0.1-0.2-0.2c-0.1,0-0.2-0.1-0.3-0.1c-2-0.2-4.1-0.3-6.1-0.3c-5.8,0-8.6,2.6-8.6,6.6%20c0,3.6,2,5.8,5.4,6.7l2.6,0.7c2.1,0.6,3,1.2,3,2.6c0,2-1.3,2.3-4.6,2.3c-1.5,0-4-0.2-4.9-0.3C75.3,30.8,75,30.9,74.9,31.7'/%3e%3cpath%20class='st1'%20d='M93.1,31.7l-0.4,2.7c-0.1,0.5,0.2,0.7,0.6,0.8c2,0.2,4,0.3,6.1,0.3c5.6,0,9.7-1.8,9.7-7.1c0-3.1-1.3-5.4-6-6.6%20l-2.6-0.7c-1.8-0.5-2.6-1-2.6-2.3c0-1.9,1.7-2.2,3.3-2.2c2.2,0,4.4,0.2,5.3,0.2c0.9,0.1,1.2,0,1.3-0.8l0.4-2.6c0-0.1,0-0.2,0-0.3%20c0-0.1-0.1-0.2-0.1-0.3c-0.1-0.1-0.1-0.1-0.2-0.2c-0.1,0-0.2-0.1-0.3-0.1c-2-0.2-4.1-0.3-6.1-0.3c-5.8,0-8.6,2.6-8.6,6.6%20c0,3.6,2,5.8,5.4,6.7l2.6,0.7c2.1,0.6,3,1.2,3,2.6c0,2-1.3,2.3-4.6,2.3c-1.5,0-4-0.2-4.9-0.3S93.1,30.9,93.1,31.7'/%3e%3cpath%20class='st1'%20d='M120.2,23.6l-0.3,1.5c-0.1,0.3-0.1,0.5-0.1,0.8c0,0.4,0.1,0.8,0.3,1.1l4.2,7.6c0.1,0.3,0.3,0.5,0.6,0.7%20c0.3,0.2,0.6,0.2,0.9,0.2h3.8c0.5,0,1.1-0.3,0.5-1.2l-5.1-8.6c1.7-1.1,3.7-2.7,3.7-6.1c0-4.4-2.5-6.9-7.9-6.9H113%20c-0.7,0-0.9,0.2-0.9,1v20.8c0,0.7,0.2,1,0.9,1h3.2c0.7,0,0.9-0.2,0.9-1V16.8h3.3c2.1,0,3.1,0.8,3.1,2.8c0.1,0.6,0,1.2-0.3,1.6%20c-0.3,0.5-0.7,0.9-1.3,1.1C120.9,22.7,120.6,22.3,120.2,23.6'/%3e%3c/svg%3e)