ClubHouse, il nuovo social network "vocale" che sta spopolando in tutto il mondo è arrivato anche in Italia alcune settimane fa. Premetto subito che a me piace molto sotto il profilo della user experience perché porta una nuova modalità di interazione tra le persone.
Sotto il profilo della sicurezza informatica e della privacy, sono state sollevati subito molti dubbi, in quanto l'App ha oggettivamente molte pecche. Facciamo il punto della situazione cercando di capire quali impatti ci possono essere per "la signora Maria" che usa ClubHouse.
Privacy e GDPR
La privacy policy di ClubHouse è redatta principalmente per essere recepita dal mercato americano. Non ci sono riferimenti all'Europa e di conseguenza neppure al GDPR, che regola il trattamento dei dati personali.
In particolare, per come è concepito oggi il servizio, sono parecchi gli articoli del GDPR violati. Non voglio soffermarmi su questo punto in quanto potete trovare articoli di approfondimento molto validi (uno qui).
Segnalo solo che il Garante per la Privacy italiano ha scritto a Clubhouse per avere chiarimenti in merito: attendiamo la risposta.
La Rubrica telefonica
Quando ci iscriviamo a Clubhouse, l'app chiede di poter accedere alla nostra rubrica. Senza concedere questo accesso è possibile comunque continuare anche se si "perdono" alcune delle funzionalità social, ovvero poter invitare amici, vedere chi tra i nostri contatti è già sulla piattaforma etc.
In pratica, senza consenso di accesso, il rischio è di rimanere "da parte". Fornendo l'accesso a Clubhouse, la nostra rubrica telefonica viene trasmessa ai server dell'app.
Attenzione: sono molte le app che hanno (o chiedono) l'accesso alla nostra rubrica, vedi ad esempio Telegram, WhatsApp, LinkedIn, etc.
Il problema in questo caso che non sappiamo come vengono trattati i nostri dati. Ad esempio: se dopo aver dato l'accesso alla rubrica, lo revoco, i dati vengono cancellati? Non lo sappiamo. Questo è il problema.
Un altro aspetto "interessante" relativo alla rubrica è che Clubhouse incrocia tutti i numeri di telefono che raccoglie: questo significa che io posso sapere, tra i miei contatti, quante persone hanno lo stesso numero di telefono memorizzato.
Questo permette, a chi svolge attività di social intelligence, di creare un grafo di relazioni.
Registrazione delle conversazioni.
Sappiamo, dalla policy del nuovo social, che le conversazioni nelle Room vengono registrate solo nel caso in cui sia notificato un incidente. Tale registrazione ha l'obiettivo di capire cosa è andato storto e di conseguenza prendere le giuste misure verso gli utenti che hanno infranto il regolamento.
Bene. Ma per quanto tempo le registrazioni rimangono sui server?
"Solely for the purpose of supporting incident investigations, we temporarily record the audio in a room while the room is live. If a user reports a Trust and Safety violation while the room is active, we retain the audio for the purposes of investigating the incident, and then delete it when the investigation is complete. If no incident is reported in a room, we delete the temporary audio recording when the room ends." - tratto dalla Privacy Policy di Clubhouse
Non è dato saperlo, anche in questo caso. 24 ore? 2 anni?
Il ban della Cina.
Lunedì 8 Febbraio, Clubhouse è stato bannato in Cina: le autorità hanno bloccato l'accesso al social network in quanto lo ritenevano pericoloso per le discussioni politiche e sui diritti umani che si svolgevano. La cosa curiosa è che l'app di Clubhouse non è mai stata disponibile sul AppStore di Apple (a parte qualche settimana nel mese di settembre):
Risulta quindi evidente che gli utenti cinesi hanno usato dei sistemi alternativi per accedere al social, poi prontamente bloccati dal regime grazie al sistema di controllo generale che da anni adottano.
Clubhouse usa una piattaforma... cinese!
Il 12 Febbraio, lo Stanford Internet Observatory pubblica in interessante articolo dove spiega che il sistema di audio-chat utilizzato da Clubhouse, è fornito e gestito da una società di nome Agora che - appunto - come mestiere fornisce soluzioni as a service per la gestione di chat vocali e video.
Questo significa che tutte le comunicazioni vocali all'interno delle varie room, passano per i server di Agora. La cosa si complica quando andiamo a vedere dove si trova Agora: due headquarter, uno negli Stati Uniti e uno.... a Shanghai, in Cina.
Questo pone ulteriori problemi, infatti le società cinesi devono sottostare alle ferree regole imposte dal People’s Republic of China (PRC) cybersecurity law.
In pratica, se l'autorità cinese volesse conoscere il contenuto di una chat, potrebbe farlo imponendo ad Agora di fornire tutti i dati di cui è in possesso. Ma c'è di più: a questo punto altre domande ci possiamo porre.
Agorà registra le conversazioni? Per quanto tempo? Vengono memorizzate su quali server?
Una startup che cresce in fretta. Troppo.
Come abbiamo visto ci sono parecchi interrogativi ai quali non abbiamo una risposta, domande che riguardano i nostri diritti alla privacy e che in alcuni casi - vedi gli episodi in Cina - possono mettere in pericolo le persone.
Clubhouse è cresciuta ad un ritmo eccezionale, tant'è che la sua valutazione ora supera il miliardo di dollari. Ma questa crescita è figlia anche di una modalità di lavoro che comporta ritmi frenetici che spesso lasciano aperte delle falle, normative, tecniche e di sicurezza.
Credo sia corretto porci delle domande, che spesso vengono poste in secondo piano dalla nostra curiosità nell'esplorare nuove modalità di comunicazione e relazione, soprattutto in un periodo dove proprio le relazioni sono cambiate a causa della pandemia.
Riusciranno "i ragazzi" di Clubhouse a colmare tutti i gap prima che... Facebook cloni l'applicazione?? Sarà una bella gara.